기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
전용 계정 구조
| 간단한 설문 |
AWS 계정은 AWS 리소스에 대한 보안, 액세스 및 결제 경계를 제공하며 리소스 독립성과 격리를 달성할 수 있습니다. 기본적으로 계정 간에는 액세스할 수 없습니다.
OU 및 계정 구조를 설계할 때는 보안 및 인프라를 염두에 두고 시작하십시오. 이러한 특정 함수에 대한 기본 OUs 세트를 인프라 및 보안 OUs로 분할하여 생성하는 것이 좋습니다. 이러한 OU 및 계정 권장 사항은 AWS Organizations 및 다중 계정 구조 설계에 대한 보다 광범위하고 포괄적인 지침의 하위 집합을 캡처합니다. 전체 권장 사항은 AWS 설명서의 여러 계정을 사용하여 Word 환경 구성 및 AWS Organizations를 사용하는 조직 단위 모범 사례 블로그 게시물을 참조하세요
AWS SRA는 다음 계정을 사용하여 AWS에서 효과적인 보안 작업을 수행합니다. 이러한 전용 계정은 업무 분리를 보장하고, 애플리케이션 및 데이터의 다양한 민감한 요소에 대한 다양한 거버넌스 및 액세스 정책을 지원하며, 보안 이벤트의 영향을 완화하는 데 도움이 됩니다. 다음 논의에서는 프로덕션(프로드) 계정과 관련 워크로드에 중점을 둡니다. 소프트웨어 개발 수명 주기(SDLC) 계정(종종 개발 및 테스트 계정이라고 함)은 결과물을 스테이징하기 위한 것이며 프로덕션 계정의 보안 정책과 다른 보안 정책에 따라 운영될 수 있습니다.
계정 |
OU |
보안 역할 |
관리
|
— |
모든 AWS 리전 및 계정의 중앙 거버넌스 및 관리. AWS 조직의 루트를 호스팅하는 AWS 계정입니다. |
보안 도구 |
보안 |
광범위하게 적용되는 보안 서비스(예: Amazon GuardDuty, AWS Security Hub, AWS Audit Manager, Amazon Detective, Amazon Inspector 및 AWS Config)를 운영하고 Word 계정을 모니터링하며 보안 알림 및 응답을 자동화하기 AWS 위한 전용 AWS 계정입니다. (AWS Control Tower에서 보안 OU 아래에 있는 계정의 기본 이름은 감사 계정입니다.) |
로그 아카이브 |
보안 |
모든 AWS 리전 및 AWS 계정에 대한 모든 로깅 및 백업을 수집 및 보관하기 위한 전용 AWS 계정입니다. 이는 변경할 수 없는 스토리지로 설계되어야 합니다. |
네트워크 |
인프라 |
애플리케이션과 더 광범위한 인터넷 간의 게이트웨이입니다. 네트워크 계정은 개별 애플리케이션 워크로드, 보안 및 기타 인프라에서 광범위한 네트워킹 서비스, 구성 및 작업을 격리합니다. |
공유 서비스 |
인프라 |
이 계정은 여러 애플리케이션과 팀이 결과를 제공하는 데 사용하는 서비스를 지원합니다. 예를 들어 Identity Center 디렉터리 서비스(Active Directory), 메시징 서비스 및 메타데이터 서비스가 있습니다. |
애플리케이션 |
워크로드 |
AWS 조직의 애플리케이션을 호스팅하고 워크로드를 수행하는 AWS 계정입니다. (이를 워크로드 계정이라고도 합니다.) 팀에 매핑되는 대신 소프트웨어 서비스를 격리하기 위해 애플리케이션 계정을 생성해야 합니다. 이렇게 하면 배포된 애플리케이션이 조직 변경에 더 탄력적입니다. |
