기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

조직 관리 계정

다음 다이어그램은 조직 관리 계정에 구성된 AWS 보안 서비스를 보여줍니다.

이 가이드 앞부분의 보안 및 관리 계정, 신뢰할 수 있는 액세스 및 위임된 관리자를 위한 AWS Organizations 사용 단원에서는 조직 관리 계정의 목적과 보안 목표에 대해 자세히 설명했습니다. 조직 관리 계정의 보안 모범 사례를 따릅니다. 여기에는 비즈니스에서 관리하는 이메일 주소 사용, 올바른 관리 및 보안 연락처 정보 유지(예: AWS가 계정 소유자에게 연락해야 하는 경우 계정에 전화번호 연결), 모든 사용자에 대한 다중 인증(MFA) 활성화, 조직 관리 계정에 액세스할 수 있는 사용자를 정기적으로 검토하는 것이 포함됩니다. 조직 관리 계정에 배포된 서비스는 해당 서비스의 관리자(조직 관리 계정에서 액세스해야 하는 사용자)가 다른 서비스에 부적절하게 액세스할 수 없도록 적절한 역할, 신뢰 정책 및 기타 권한으로 구성되어야 합니다.

서비스 제어 정책

AWS Organizations를 사용하면 여러 AWS 계정의 정책을 중앙에서 관리할 수 있습니다. 예를 들어 조직의 멤버인 여러 AWS 계정에 서비스 제어 정책(SCPs)을 적용할 수 있습니다. SCPs 사용하면 조직의 멤버 AWS 계정에서 AWS AWS Identity and Access Management(IAM) 엔터티(예: IAM 사용자 및 역할)에서 실행할 수 있는 AWS 서비스 APIs와 실행할 수 없는 AWS 서비스 API를 정의할 수 있습니다. SCPs는 조직을 생성할 때 사용한 AWS 계정인 조직 관리 계정에서 생성되고 적용됩니다. SCPs에 대한 자세한 내용은이 참조의 앞부분에서 AWS AWS Organizations for Security 사용 단원을 참조하십시오. 

AWS Control Tower를 사용하여 AWS 조직을 관리하는 경우 SCPs 세트를 예방 가드레일(필수, 강력 권장 또는 선택으로 분류됨)로 배포합니다. 이러한 가드레일은 조직 전체의 보안 제어를 적용하여 리소스를 관리하는 데 도움이 됩니다. 이러한 SCPs는 Managed-by-control-tower 값이 있는 aws-control-tower 태그를 자동으로 사용합니다. managed-by-control-tower 

IAM Identity Center

AWS IAM Identity Center(AWS Single Sign-On 후속)는 모든 AWS 계정, 보안 주체 및 클라우드 워크로드에 대한 SSO 액세스를 중앙에서 관리하는 데 도움이 되는 자격 증명 페더레이션 서비스입니다. 또한 IAM Identity Center는 일반적으로 사용되는 타사 서비스형 소프트웨어(SaaS) 애플리케이션에 대한 액세스 및 권한을 관리하는 데 도움이 됩니다. 자격 증명 공급자는 SAML 2.0을 사용하여 IAM Identity Center와 통합됩니다. SCIM(System for Cross-Domain Identity Management)을 사용하여 대량 및 just-in-time 프로비저닝을 수행할 수 있습니다. 또한 IAM Identity Center는 AWS Directory Service를 사용하여 자격 증명 공급자로서 온프레미스 또는 AWS 관리형 Microsoft Active Directory(AD) 도메인과 통합할 수 있습니다. IAM Identity Center에는 최종 사용자가 할당된 AWS 계정, 역할, 클라우드 애플리케이션 및 사용자 지정 애플리케이션을 한 곳에서 찾고 액세스할 수 있는 사용자 포털이 포함되어 있습니다.

IAM Identity Center는 기본적으로 AWS Organizations와 통합되며 기본적으로 조직 관리 계정에서 실행됩니다. 그러나 최소 권한을 행사하고 관리 계정에 대한 액세스를 엄격하게 제어하기 위해 IAM Identity Center 관리를 특정 멤버 계정에 위임할 수 있습니다. AWS SRA에서 공유 서비스 계정은 IAM Identity Center의 위임된 관리자 계정입니다. IAM Identity Center에 대해 위임된 관리를 활성화하기 전에 다음 고려 사항을 검토하세요. 위임에 대한 자세한 내용은 공유 서비스 계정 섹션에서 확인할 수 있습니다. 위임을 활성화한 후에도 조직 관리 계정에서 IAM Identity Center를 실행하여 조직 관리 계정에 프로비저닝된 권한 세트 관리를 포함한 특정 IAM Identity Center 관련 작업을 수행해야 합니다. 

IAM Identity Center 콘솔 내에서 계정은 캡슐화 OU로 표시됩니다. 이를 통해 AWS 계정을 빠르게 검색하고, 공통 권한 세트를 적용하고, 중앙 위치에서 액세스를 관리할 수 있습니다. 

IAM Identity Center에는 특정 사용자 정보를 저장해야 하는 자격 증명 스토어가 포함되어 있습니다. 그러나 IAM Identity Center가 인력 정보의 신뢰할 수 있는 소스일 필요는 없습니다. 기업에 이미 신뢰할 수 있는 소스가 있는 경우 IAM Identity Center는 다음과 같은 유형의 ID 제공업체(IdPs를 지원합니다.

엔터프라이즈 내에 이미 있는 기존 IdP를 사용할 수 있습니다. 따라서 단일 위치에서 액세스를 생성, 관리 및 취소하므로 여러 애플리케이션 및 서비스에서 액세스를 더 쉽게 관리할 수 있습니다. 예를 들어 누군가 팀을 떠나면 한 위치에서 모든 애플리케이션 및 서비스(AWS 계정 포함)에 대한 액세스를 취소할 수 있습니다. 이렇게 하면 여러 자격 증명의 필요성이 줄어들고 인사(HR) 프로세스와 통합할 수 있는 기회가 제공됩니다.

IAM 액세스 어드바이저

IAM 액세스 어드바이저는 AWS 계정 및 OUs에 대해 마지막으로 액세스한 서비스 정보의 형태로 추적성 데이터를 제공합니다. 이 탐지 제어를 사용하여 최소 권한 전략에 기여합니다. IAM 엔터티의 경우 마지막으로 액세스한 두 가지 유형의 정보, 즉 허용된 AWS 서비스 정보와 허용된 작업 정보를 볼 수 있습니다. 이 정보에는 시도한 날짜와 시간이 포함됩니다. 

조직 관리 계정 내 IAM 액세스를 사용하면 AWS 조직의 조직 관리 계정, OU, 멤버 계정 또는 IAM 정책에 대해 마지막으로 액세스한 서비스 데이터를 볼 수 있습니다. 이 정보는 관리 계정 내 IAM 콘솔에서 사용할 수 있으며 AWS Command Line Interface(AWS CLI) 또는 프로그래밍 클라이언트에서 IAM 액세스 어드바이저 APIs를 사용하여 프로그래밍 방식으로 얻을 수도 있습니다. 이 정보는 조직 또는 계정에서 서비스에 마지막으로 액세스하려고 시도한 보안 주체와 그 시기를 나타냅니다. 마지막으로 액세스한 정보는 실제 서비스 사용량에 대한 인사이트를 제공하므로(예제 시나리오 참조) 실제로 사용되는 서비스로만 IAM 권한을 줄일 수 있습니다.

AWS Systems Manager

AWS Systems Manager의 기능인 빠른 설정 및 탐색기는 모두 AWS Organizations를 지원하고 조직 관리 계정에서 작동합니다. 

빠른 설정은 Systems Manager의 자동화 기능입니다. 이를 통해 Org Management 계정은 AWS 조직의 여러 계정에서 사용자를 대신하여 참여할 Systems Manager에 대한 구성을 쉽게 정의할 수 있습니다. 전체 AWS 조직에서 빠른 설정을 활성화하거나 특정 OUs. 빠른 설정은 AWS Systems Manager 에이전트(SSM 에이전트)가 EC2 인스턴스에서 격주 업데이트를 실행하도록 예약하고 누락된 패치를 식별하기 위해 해당 인스턴스의 일일 스캔을 설정할 수 있습니다. 

Explorer는 AWS 리소스에 대한 정보를 보고하는 사용자 지정 가능한 작업 대시보드입니다. 탐색기는 AWS 계정 및 AWS 리전 전반의 작업 데이터에 대한 집계된 보기를 표시합니다. 여기에는 EC2 인스턴스 및 패치 규정 준수 세부 정보에 대한 데이터가 포함됩니다. AWS Organizations 내에서 통합 설정(Systems Manager OpsCenter도 포함)을 완료한 후 Explorer에서 OU 또는 전체 AWS 조직의 데이터를 집계할 수 있습니다. Systems Manager는 데이터를 AWS Org Management 계정으로 집계한 후 Explorer에 표시합니다.

이 가이드의 뒷부분에 있는 워크로드 OU 섹션에서는 애플리케이션 계정의 EC2 인스턴스에서 Systems Manager 에이전트(SSM 에이전트)의 사용에 대해 설명합니다.

AWS Control Tower

AWS Control Tower는 랜딩 존이라고 하는 안전한 다중 계정 AWS 환경을 설정하고 관리하는 간단한 방법을 제공합니다. AWS Control Tower는 AWS Organizations를 사용하여 랜딩 존을 생성하고 지속적인 계정 관리 및 거버넌스와 구현 모범 사례를 제공합니다. AWS Control Tower를 사용하여 몇 단계로 새 계정을 프로비저닝하는 동시에 계정이 조직 정책을 준수하는지 확인할 수 있습니다. 기존 계정을 새 AWS Control Tower 환경에 추가할 수도 있습니다. 

AWS Control Tower에는 광범위하고 유연한 기능 세트가 있습니다. 주요 기능은 AWS Organizations, AWS AWS Service Catalog 및 IAM Identity Center를 비롯한 여러 다른 AWS 서비스의 기능을 오케스트레이션하여 랜딩 존을 구축하는 기능입니다. 예를 들어 AWS Control Tower는 기본적으로 AWS CloudFormation을 사용하여 기준을 설정하고, AWS Organizations 서비스 제어 정책(SCPs)을 사용하여 구성 변경을 방지하고, AWS Config 규칙을 사용하여 규정 미준수를 지속적으로 감지합니다. AWS Control Tower는 다중 계정 AWS 환경을 AWS Well Architected 보안 기반 설계 원칙에 빠르게 정렬하는 데 도움이 되는 블루프린트를 사용합니다. 거버넌스 기능 중에서 AWS Control Tower는 선택한 정책을 준수하지 않는 리소스의 배포를 방지하는 가드레일을 제공합니다. 

AWS Control Tower를 사용하여 AWS SRA 지침 구현을 시작할 수 있습니다. 예를 들어 AWS Control Tower는 권장 다중 계정 아키텍처를 사용하여 AWS 조직을 설정합니다. ID 관리를 제공하고, 계정에 페더레이션 액세스를 제공하고, 로깅을 중앙 집중화하고, 교차 계정 보안 감사를 설정하고, 새 계정을 프로비저닝하기 위한 워크플로를 정의하고, 네트워크 구성을 사용하여 계정 기준을 구현하는 청사진을 제공합니다. 

AWS SRA에서 AWS Control Tower는이 계정을 사용하여 AWS 조직을 자동으로 설정하고 해당 계정을 관리 계정으로 지정하므로 AWS Control Tower는 조직 관리 계정 내에 있습니다. 이 계정은 AWS 조직 전체의 결제에 사용됩니다. 또한 계정 팩토리 프로비저닝, OUs 관리, 가드레일 관리에 사용됩니다. 기존 AWS 조직에서 AWS Control Tower를 시작하는 경우 기존 관리 계정을 사용할 수 있습니다. AWS Control Tower는 해당 계정을 지정된 관리 계정으로 사용합니다.

AWS Artifact

AWS Artifact는 AWS 보안 및 규정 준수 보고서와 일부 온라인 계약에 대한 온디맨드 액세스를 제공합니다. AWS 아티팩트에서 사용할 수 있는 보고서에는 시스템 및 조직 제어(SOC) 보고서, 결제 카드 산업(PCI) 보고서, AWS 보안 제어의 구현 및 운영 효과를 검증하는 리전 및 규정 준수 버티컬 전반의 인증 기관의 인증이 포함됩니다. AWS Artifact는 보안 제어 환경에 대한 투명성을 높여 AWS에 대한 실사를 수행하는 데 도움이 됩니다. 또한 새 보고서에 즉시 액세스할 수 있도록 AWS의 보안 및 규정 준수를 지속적으로 모니터링할 수 있습니다. 

AWS 아티팩트 계약을 사용하면 개별 계정 및 AWS Organizations의 조직에 속한 계정에 대한 Business Associate Addendum(BAA)과 같은 AWS 계약의 상태를 검토, 수락 및 추적할 수 있습니다. 

감사자 또는 규제 기관에 AWS 보안 제어의 증거로 AWS 감사 아티팩트를 제공할 수 있습니다. 일부 AWS 감사 아티팩트에서 제공하는 책임 지침을 사용하여 클라우드 아키텍처를 설계할 수도 있습니다. 이 지침은 시스템의 특정 사용 사례를 지원하기 위해 마련할 수 있는 추가 보안 제어를 결정하는 데 도움이 됩니다. 

AWS 아티팩트는 AWS와의 계약을 검토, 수락 및 관리할 수 있는 중앙 위치를 제공하기 위해 조직 관리 계정에서 호스팅됩니다. 이는 관리 계정에서 수락된 계약이 멤버 계정으로 흐르기 때문입니다. 

분산 및 중앙 집중식 보안 서비스 가드레일

AWS SRA, AWS Security Hub, Amazon GuardDuty, AWS Config, IAM Access Analyzer, AWS CloudTrail 조직 추적에서 적절한 위임된 관리 또는 집계를 사용하여 보안 도구 계정에 배포 Amazon Macie 되는 경우가 많습니다. 이를 통해 계정 간에 일관된 가드레일 세트를 사용할 수 있으며 AWS 조직 전체에서 중앙 집중식 모니터링, 관리 및 거버넌스를 제공할 수도 있습니다. 이 서비스 그룹은 AWS SRA에 표시된 모든 유형의 계정에서 찾을 수 있습니다. 이는 계정 온보딩 및 기준 설정 프로세스의 일부로 프로비저닝해야 하는 AWS 서비스의 일부여야 합니다. GitHub 코드 리포지토리는 AWS Org Management 계정을 포함하여 계정 전체에서 AWS 보안 중심 서비스의 샘플 구현을 제공합니다. 

이러한 서비스 외에도 AWS SRA에는 AWS Organizations의 통합 및 위임된 관리자 기능을 지원하는 두 가지 보안 중심 서비스인 Amazon Detective와 AWS Audit Manager가 포함되어 있습니다. 그러나 계정 기준선 지정을 위한 권장 서비스의 일부로 포함되지 않습니다. 이러한 서비스는 다음 시나리오에서 가장 잘 사용되는 것으로 나타났습니다.