기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

조직 관리 계정

다음 다이어그램은 조직 관리 계정에 구성된 AWS 보안 서비스를 보여줍니다.

이 안내서 앞부분의 보안을 위한 AWS Organizations 사용 및 관리 계정, 신뢰할 수 있는 액세스, 위임된 관리자 섹션에서는 Org Management 계정의 목적과 보안 목표에 대해 심층적으로 논의했습니다. 조직 관리 계정의 보안 모범 사례를 따르십시오. 여기에는 회사에서 관리하는 이메일 주소 사용, 올바른 관리 및 보안 연락처 정보 관리 (예: AWS가 계정 소유자에게 연락해야 하는 경우 계정에 전화번호 첨부), 모든 사용자에 대한 MFA (Multi-Factor Authentication) 활성화, Org Management 계정에 액세스할 수 있는 사용자 정기 검토 등이 포함됩니다. Org Management 계정에 배포된 서비스는 적절한 역할, 신뢰 정책 및 기타 권한으로 구성하여 해당 서비스의 관리자 (Org Management 계정으로 서비스에 액세스해야 함) 도 다른 서비스에 부적절하게 액세스할 수 없도록 해야 합니다.

서비스 제어 정책

AWS Organizations를 사용하면 여러 AWS 계정의 정책을 중앙에서 관리할 수 있습니다. 예를 들어 조직의 구성원인 여러 AWS 계정에 서비스 제어 정책 (SCP) 을 적용할 수 있습니다. SCP를 사용하면 조직의 구성원 AWS 계정에서 AWS ID 및 액세스 관리 (IAM) 개체 (예: IAM 사용자 및 역할) 가 실행할 수 있는 AWS 서비스 API와 실행할 수 없는 AWS 서비스 API를 정의할 수 있습니다. SCP는 조직을 만들 때 사용한 AWS 계정인 조직 관리 계정에서 생성되고 적용됩니다. 이 참조 앞부분의 보안을 위한 AWS Organizations 사용 섹션에서 SCP에 대한 자세한 내용을 읽어보십시오. 

AWS Control Tower를 사용하여 AWS 조직을 관리하는 경우 SCP 세트를 예방적 보호 장치 (필수, 강력 권장 또는 선택으로 분류) 로 배포합니다. 이러한 가드레일은 조직 전체에 보안 제어를 적용하여 리소스를 관리하는 데 도움이 됩니다. 이러한 SCP는 값이 인 태그를 자동으로 사용합니다. aws-control-tower managed-by-control-tower  

IAM Identity Center

AWS IAM ID 센터 (AWS Single Sign-On의 후속) 는 모든 AWS 계정, 보안 주체 및 클라우드 워크로드에 대한 SSO 액세스를 중앙에서 관리하는 데 도움이 되는 자격 증명 페더레이션 서비스입니다. 또한 IAM Identity Center를 사용하면 일반적으로 사용되는 타사 서비스형 소프트웨어 (SaaS) 애플리케이션에 대한 액세스 및 권한을 관리할 수 있습니다. ID 공급자는 SAML 2.0을 사용하여 IAM ID 센터와 통합합니다. 도메인 간 ID 관리 시스템 (SCIM) 을 사용하여 대량 및 just-in-time 프로비저닝을 수행할 수 있습니다. 또한 IAM ID 센터는 AWS 디렉토리 서비스를 사용하여 자격 증명 공급자로서 온프레미스 또는 AWS에서 관리하는 Microsoft Active Directory (AD) 도메인과 통합할 수 있습니다. IAM Identity Center에는 최종 사용자가 배정된 AWS 계정, 역할, 클라우드 애플리케이션 및 사용자 지정 애플리케이션을 한 곳에서 찾고 액세스할 수 있는 사용자 포털이 포함되어 있습니다.

IAM ID 센터는 기본적으로 AWS Organizations와 통합되며 기본적으로 조직 관리 계정에서 실행됩니다. 하지만 권한을 최소화하고 관리 계정에 대한 액세스를 엄격하게 제어하기 위해 IAM Identity Center 관리를 특정 회원 계정에 위임할 수 있습니다. AWS SRA에서 공유 서비스 계정은 IAM ID 센터의 위임된 관리자 계정입니다. IAM ID 센터의 위임 관리를 활성화하기 전에 다음 고려 사항을 검토하십시오. 위임에 대한 자세한 내용은 공유 서비스 계정 섹션에서 확인할 수 있습니다. 위임을 활성화한 후에도 특정 IAM Identity Center 관련 작업을 수행하려면 조직 관리 계정에서 IAM ID 센터를 실행해야 합니다. 여기에는 Org Management 계정에 프로비저닝된 권한 집합 관리가 포함됩니다. 

IAM Identity Center 콘솔 내에서는 계정이 캡슐화된 OU별로 표시됩니다. 이를 통해 AWS 계정을 빠르게 검색하고, 공통 권한 세트를 적용하고, 중앙 위치에서 액세스를 관리할 수 있습니다. 

IAM Identity Center에는 특정 사용자 정보를 저장해야 하는 ID 저장소가 포함되어 있습니다. 하지만 IAM Identity Center가 인력 정보의 신뢰할 수 있는 출처일 필요는 없습니다. 기업에 이미 신뢰할 수 있는 출처가 있는 경우 IAM Identity Center는 다음 유형의 ID 제공자를 지원합니다 (). IdPs

기업 내에 이미 있는 기존 IdP를 사용할 수 있습니다. 이렇게 하면 단일 위치에서 액세스 권한을 생성, 관리, 취소할 수 있으므로 여러 애플리케이션 및 서비스에 대한 액세스를 더 쉽게 관리할 수 있습니다. 예를 들어, 누군가가 팀을 떠나는 경우 한 위치에서 모든 애플리케이션 및 서비스 (AWS 계정 포함) 에 대한 액세스 권한을 취소할 수 있습니다. 이렇게 하면 여러 자격 증명의 필요성이 줄어들고 HR (인사) 프로세스와 통합할 기회가 생깁니다.

IAM 액세스 어드바이저

IAM 액세스 어드바이저는 AWS 계정 및 OU에 대해 서비스에서 마지막으로 액세스한 정보의 형태로 추적 가능 데이터를 제공합니다. 이 탐지 제어를 사용하여 최소 권한 전략에 기여하십시오. IAM 엔티티의 경우 마지막으로 액세스한 두 가지 유형의 정보, 즉 허용된 AWS 서비스 정보와 허용된 작업 정보를 볼 수 있습니다. 이 정보에는 시도한 날짜와 시간이 포함됩니다. 

조직 관리 계정 내에서 IAM 액세스를 통해 AWS 조직의 조직 관리 계정, OU, 회원 계정 또는 IAM 정책에 대해 서비스에 마지막으로 액세스한 데이터를 볼 수 있습니다. 이 정보는 관리 계정의 IAM 콘솔에서 사용할 수 있으며, AWS Command Line Interface (AWS CLI) 또는 프로그래밍 방식 클라이언트의 IAM 액세스 관리자 API를 사용하여 프로그래밍 방식으로 얻을 수도 있습니다. 이 정보는 조직 또는 계정에서 서비스에 마지막으로 액세스하려고 시도한 보안 주체와 그 시기를 나타냅니다. 마지막으로 액세스한 정보는 실제 서비스 사용에 대한 통찰력을 제공하므로 (예제 시나리오 참조) 실제로 사용되는 서비스로만 IAM 권한을 줄일 수 있습니다.

AWS Systems Manager

AWS Systems Manager의 기능인 빠른 설치 및 탐색기는 모두 AWS Organizations를 지원하고 조직 관리 계정에서 작동합니다. 

빠른 설치는 Systems Manager의 자동화 기능입니다. 이를 통해 조직 관리 계정은 Systems Manager가 AWS 조직 내 여러 계정에서 사용자를 대신하여 업무를 수행하도록 구성을 쉽게 정의할 수 있습니다. 전체 AWS 조직에서 Quick Setup을 활성화하거나 특정 OU를 선택할 수 있습니다. 빠른 설치는 EC2 인스턴스에 대해 격주 업데이트를 실행하도록 AWS Systems Manager Agent (SSM Agent) 를 예약하고 해당 인스턴스를 매일 스캔하여 누락된 패치를 식별하도록 설정할 수 있습니다. 

Explorer는 AWS 리소스에 대한 정보를 보고하는 사용자 지정 가능한 운영 대시보드입니다. Explorer는 AWS 계정 및 AWS 지역 전체의 운영 데이터를 집계하여 표시합니다. 여기에는 EC2 인스턴스에 대한 데이터와 패치 규정 준수 세부 정보가 포함됩니다. AWS Organizations 내에서 통합 설정 (Systems Manager도 포함 OpsCenter) 을 완료한 후에는 OU 또는 전체 AWS 조직에 대한 데이터를 탐색기에서 집계할 수 있습니다. Systems Manager는 데이터를 탐색기에 표시하기 전에 AWS 조직 관리 계정으로 데이터를 집계합니다.

이 가이드 뒷부분의 워크로드 OU 섹션에서는 애플리케이션 계정의 EC2 인스턴스에서 Systems Manager 에이전트 (SSM Agent) 를 사용하는 방법을 설명합니다.

AWS Control Tower

AWS Control Tower는 랜딩 존 (landing zone) 이라고 하는 안전한 다중 계정 AWS 환경을 설정하고 관리하는 간단한 방법을 제공합니다. AWS Control Tower는 AWS Organizations를 사용하여 랜딩 존을 생성하고, 지속적인 계정 관리 및 거버넌스와 구현 모범 사례를 제공합니다. AWS Control Tower를 사용하면 몇 단계만 거치면 새 계정을 프로비저닝하는 동시에 해당 계정이 조직 정책을 준수하도록 할 수 있습니다. 새 AWS Control Tower 환경에 기존 계정을 추가할 수도 있습니다. 

AWS Control Tower에는 광범위하고 유연한 기능 세트가 있습니다. 주요 기능 중 하나는 AWS Organizations, AWS Service Catalog, IAM Identity Center를 비롯한 여러 다른 AWS 서비스의 기능을 오케스트레이션하여 랜딩 존을 구축할 수 있다는 것입니다. 예를 들어 기본적으로 AWS Control Tower는 AWS를 사용하여 기준을 설정하고, AWS CloudFormation Organizations의 SCP (서비스 제어 정책) 는 구성 변경을 방지하며, AWS Config 규칙을 사용하여 부적합 사항을 지속적으로 탐지합니다. AWS Control Tower는 다중 계정 AWS 환경을 AWS Well Architected 보안 기반 설계 원칙에 빠르게 맞추는 데 도움이 되는 청사진을 사용합니다. 거버넌스 기능 중에서도 AWS Control Tower는 선택된 정책을 준수하지 않는 리소스의 배포를 방지하는 가드레일을 제공합니다. 

AWS Control Tower를 사용하여 AWS SRA 지침 구현을 시작할 수 있습니다. 예를 들어, AWS Control Tower는 권장되는 다중 계정 아키텍처를 갖춘 AWS 조직을 설립합니다. ID 관리를 제공하고, 계정에 대한 페더레이션 액세스를 제공하고, 로깅을 중앙 집중화하고, 계정 간 보안 감사를 설정하고, 새 계정을 프로비저닝하기 위한 워크플로를 정의하고, 네트워크 구성을 통한 계정 기준을 구현하기 위한 청사진을 제공합니다. 

AWS SRA에서 AWS 컨트롤 타워는 조직 관리 계정 내에 있습니다. AWS Control Tower는 이 계정을 사용하여 AWS 조직을 자동으로 설정하고 해당 계정을 관리 계정으로 지정하기 때문입니다. 이 계정은 AWS 조직 전체의 청구에 사용됩니다. 또한 Account Factory의 계정 프로비저닝, OU 관리, 가드레일 관리에도 사용됩니다. 기존 AWS 조직에서 AWS Control Tower를 시작하는 경우 기존 관리 계정을 사용할 수 있습니다. AWS Control Tower는 해당 계정을 지정 관리 계정으로 사용합니다.

AWS Artifact

AWS Artifact는 AWS 보안 및 규정 준수 보고서와 일부 온라인 계약에 대한 온디맨드 액세스를 제공합니다. AWS Artifact에서 제공되는 보고서에는 시스템 및 조직 제어 (SOC) 보고서, 지불 카드 산업 (PCI) 보고서, AWS 보안 제어의 구현 및 운영 효율성을 검증하는 지역 및 규정 준수 업종에 걸친 인증 기관이 제공하는 인증이 포함됩니다. AWS Artifact를 사용하면 보안 제어 환경에 대한 투명성을 높여 AWS에 대한 실사를 수행할 수 있습니다. 또한 새 보고서에 즉시 액세스하여 AWS의 보안 및 규정 준수를 지속적으로 모니터링할 수 있습니다. 

AWS Artifact 계약을 사용하면 개별 계정 및 AWS Organizations에서 조직에 속한 계정에 대한 비즈니스 제휴 부록 (BAA) 과 같은 AWS 계약의 상태를 검토, 수락 및 추적할 수 있습니다. 

AWS 감사 아티팩트를 감사자 또는 규제 기관에 AWS 보안 제어의 증거로 제공할 수 있습니다. 또한 일부 AWS 감사 아티팩트에서 제공하는 책임 지침을 사용하여 클라우드 아키텍처를 설계할 수 있습니다. 이 지침은 시스템의 특정 사용 사례를 지원하기 위해 적용할 수 있는 추가 보안 제어를 결정하는 데 도움이 됩니다. 

AWS Artifacts는 조직 관리 계정에서 호스팅되므로 AWS와의 계약을 검토, 수락 및 관리할 수 있는 중앙 위치를 제공합니다. 이는 관리 계정에서 수락된 계약이 회원 계정으로 전달되기 때문입니다. 

분산 및 중앙 집중식 보안 서비스 가드레일

AWS SRA, AWS 보안 허브, 아마존, AWS Config GuardDuty, IAM 액세스 분석기, CloudTrail AWS 조직 추적, 그리고 종종 Amazon Macie는 보안 도구 계정에 적절한 위임 관리 또는 집계를 통해 배포됩니다. 이를 통해 계정 전체에 일관된 가드레일을 적용할 수 있을 뿐만 아니라 AWS 조직 전체에 걸쳐 중앙 집중식 모니터링, 관리 및 거버넌스를 제공할 수 있습니다. AWS SRA에 표시된 모든 유형의 계정에서 이 서비스 그룹을 찾을 수 있습니다. 이는 계정 온보딩 및 베이스라인 프로세스의 일부로 프로비저닝해야 하는 AWS 서비스의 일부여야 합니다. GitHub코드 리포지토리는 AWS Org Management 계정을 포함하여 계정 전반에 걸쳐 AWS 보안 중심 서비스의 샘플 구현을 제공합니다. 

이러한 서비스 외에도 AWS SRA에는 AWS Organizations의 통합 및 위임 관리자 기능을 지원하는 두 가지 보안 중심 서비스인 Amazon Detective와 AWS Audit Manager가 포함되어 있습니다. 하지만 이러한 서비스는 계정 기준 설정 권장 서비스의 일부로 포함되어 있지 않습니다. 이러한 서비스는 다음과 같은 시나리오에서 가장 잘 사용되는 것으로 확인되었습니다.