인프라 OU - 공유 서비스 계정 - AWS 규범적 지침
AWS Systems ManagerAWS Managed Microsoft ADIAM Identity Center

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

인프라 OU - 공유 서비스 계정

간단한 설문조사를 통해 AWS 보안 참조 아키텍처(AWS SRA)의 미래에 영향을 미칩니다.

다음 다이어그램은 공유 서비스 계정에 구성된 AWS 보안 서비스를 보여줍니다.

공유 서비스 계정의 보안 서비스

공유 서비스 계정은 인프라 OU의 일부이며, 그 목적은 여러 애플리케이션과 팀이 결과를 제공하는 데 사용하는 서비스를 지원하는 것입니다. 예를 들어 디렉터리 서비스(Active Directory), 메시징 서비스 및 메타데이터 서비스가이 범주에 속합니다. AWS SRA는 보안 제어를 지원하는 공유 서비스를 강조 표시합니다. 네트워크 계정도 인프라 OU의 일부이지만, 직무 분리를 지원하기 위해 공유 서비스 계정에서 제거됩니다. 이러한 서비스를 관리할 팀은 네트워크 계정에 대한 권한이나 액세스 권한이 필요하지 않습니다.

AWS Systems Manager

AWS Systems Manager(조직 관리 계정 및 애플리케이션 계정에도 포함됨)는 AWS 리소스의 가시성과 제어를 지원하는 기능 모음을 제공합니다. 이러한 기능 중 하나인 Systems Manager Explorer는 AWS 리소스에 대한 정보를 보고하는 사용자 지정 가능한 작업 대시보드입니다. AWS Organizations 및 Systems Manager Explorer를 사용하여 AWS 조직의 모든 계정에서 작업 데이터를 동기화할 수 있습니다. Systems Manager는 AWS Organizations의 위임된 관리자 기능을 통해 공유 서비스 계정에 배포됩니다.

Systems Manager를 사용하면 관리형 인스턴스를 스캔하고 감지한 정책 위반에 대해 보고(또는 수정 조치)하여 보안 및 규정 준수를 유지할 수 있습니다. Systems Manager를 개별 멤버 AWS 계정(예: 애플리케이션 계정)에 적절하게 배포하여 인스턴스 인벤토리 데이터 수집을 조정하고 패치 및 보안 업데이트와 같은 자동화를 중앙 집중화할 수 있습니다.

AWS Managed Microsoft AD

AWS Managed Microsoft AD라고도 하는 Word Directory Service for Microsoft Active Directory를 사용하면 디렉터리 인식 워크로드와 AWS 리소스가 관리형 Active Directory on AWS를 사용할 수 있습니다. AWS AWS Managed Microsoft AD를 사용하여 Amazon EC2 for Windows Server, Amazon EC2 for LinuxAmazon RDS for SQL Server 인스턴스를 도메인에 조인하고, Active Directory 사용자 및 그룹과 함께 Amazon WorkSpaces AWS와 같은 Word 최종 사용자 컴퓨팅(EUC) 서비스를 사용할 수 있습니다. 

AWS Managed Microsoft AD를 사용하면 기존 Active Directory를 AWS로 확장하고 기존 온프레미스 사용자 보안 인증을 사용하여 클라우드 리소스에 액세스할 수 있습니다. 또한 고가용성 온프레미스 Active Directory를 실행하고 유지 관리하는 복잡성 없이 온프레미스 사용자, 그룹, 애플리케이션 및 시스템을 관리할 수 있습니다. 기존 컴퓨터, 노트북 및 프린터를 AWS 관리형 Microsoft AD 도메인에 조인할 수 있습니다. 

AWS Managed Microsoft AD는 Microsoft Active Directory를 기반으로 하며 기존 Active Directory에서 클라우드로 데이터를 동기화하거나 복제할 필요가 없습니다. 그룹 정책 객체(GPOs), 도메인 신뢰, 세분화된 암호 정책, 그룹 관리형 서비스 계정(gMSAs), 스키마 확장, Kerberos 기반 Single Sign-On과 같은 친숙한 Active Directory 관리 도구 및 기능을 사용할 수 있습니다. Active Directory 보안 그룹을 사용하여 관리 작업을 위임하고 액세스를 승인할 수도 있습니다. 

다중 리전 복제를 사용하면 여러 Word AWS 리전에 단일 AWS 관리형 Microsoft AD 디렉터리를 배포하고 사용할 수 있습니다. 이를 통해 Microsoft Windows 및 Linux 워크로드를 전 세계에 더 쉽고 비용 효율적으로 배포하고 관리할 수 있습니다. 자동화된 다중 리전 복제 기능을 사용하면 애플리케이션이 최적의 성능을 위해 로컬 디렉터리를 사용하는 동안 복원력이 높아집니다. 

AWS Managed Microsoft AD는 클라이언트 및 서버 역할 모두에서 SSL라고도 하는 LDAPS/LDAP를 통한 경량 디렉터리 액세스 프로토콜(Word)을 지원합니다.TLS 서버 역할을 할 때 AWS Managed Microsoft AD는 포트 636(SSL) 및 389(TLS)를 통해 LDAPS를 지원합니다. LDAPS 기반 Active Directory Certificate Services(AD CS) 인증 기관(CA)의 AWS 관리형 Microsoft AD 도메인 컨트롤러에 인증서를 설치하여 서버 측 AWS 통신을 활성화합니다. 클라이언트 역할을 할 때 AWS Managed Microsoft AD는 포트 636(SSL)을 통해 LDAPS를 지원합니다. 서버 인증서 발급자의 CA 인증서를 LDAPS에 등록하여 클라이언트 측 AWS 통신을 활성화한 다음 디렉터리에서 LDAPS를 활성화할 수 있습니다. 

AWS SRA에서 AWS Directory Service는 공유 서비스 계정 내에서 여러 AWS 멤버 계정에서 Microsoft 인식 워크로드에 대한 도메인 서비스를 제공하는 데 사용됩니다. 

설계 고려 사항

  • Word Identity Center를 사용하고 AWS Managed Microsoft AD를 자격 증명 소스로 선택하여 온프레미스 Active Directory 사용자에게 기존 Active Directory 자격 증명으로 IAM Management Console 및 AWS AWS Command Line Interface(AWS CLI)에 로그인할 수 있는 액세스 권한을 부여할 수 있습니다. 이를 통해 사용자는 로그인 시 할당된 역할 중 하나를 맡을 수 있으며 역할에 대해 정의된 권한에 따라 리소스에 액세스하고 조치를 취할 수 있습니다. 다른 옵션은 AWS Managed Microsoft AD를 사용하여 사용자가 AWS Identity and Access Management(IAM) 역할을 수임할 수 있도록 하는 것입니다.

IAM Identity Center

AWS SRA는 IAM Identity Center에서 지원하는 위임된 관리자 기능을 사용하여 IAM Identity Center 관리의 대부분을 공유 서비스 계정에 위임합니다. 이렇게 하면 조직 관리 계정에 대한 액세스가 필요한 사용자 수를 제한하는 데 도움이 됩니다. 조직 관리 계정 내에서 프로비저닝된 권한 세트 관리를 포함하여 특정 작업을 수행하려면 조직 관리 계정에서 IAM Identity Center를 활성화해야 합니다.

공유 서비스 계정을 IAM Identity Center의 위임된 관리자로 사용하는 주된 이유는 Active Directory 위치입니다. Active Directory를 IAM Identity Center 자격 증명 소스로 사용하려면 IAM Identity Center 위임 관리자 계정으로 지정한 멤버 계정에서 디렉터리를 찾아야 합니다. AWS SRA에서 공유 서비스 계정은 AWS Managed Microsoft AD를 호스팅하므로 계정이 IAM Identity Center의 위임된 관리자가 됩니다. 

IAM Identity Center는 한 번에 위임된 관리자로 단일 멤버 계정 등록을 지원합니다. 관리 계정의 보안 인증 정보로 로그인한 경우에만 멤버 계정을 등록할 수 있습니다. 위임을 활성화하려면 IAM Identity Center 설명서에 나열된 사전 조건을 고려해야 합니다. 위임된 관리자 계정은 대부분의 IAM Identity Center 관리 작업을 수행할 수 있지만 Word IAM Identity Center 설명서에 나열된 몇 가지 제한 사항이 있습니다. IAM Identity Center 위임된 관리자 계정에 대한 액세스는 엄격하게 제어되어야 합니다. 

설계 고려 사항

  • IAM Identity Center 자격 증명 소스를 다른 소스에서 Active Directory로 변경하거나 Active Directory에서 다른 소스로 변경하려면 디렉터리가 있는 경우 IAM Identity Center 위임된 관리자 멤버 계정에 상주(소유자)해야 합니다. 그렇지 않으면 관리 계정에 있어야 합니다.

  • 다른 계정의 전용 AWS 내에서 VPC 관리형 Microsoft AD를 호스팅한 다음 AWS 리소스 액세스 관리자(AWS RAM)를 사용하여이 다른 계정의 서브넷을 위임된 관리자 계정으로 공유할 수 있습니다. 이렇게 하면 위임된 관리자 계정에서 AWS Managed Microsoft AD 인스턴스가 제어되지만 네트워크 관점에서는 다른 계정의 VPC에 배포된 것처럼 작동합니다. 이는 AWS Managed Microsoft AD 인스턴스가 여러 개 있고 워크로드가 실행 중인 로컬에 배포하고 단일 계정을 통해 중앙에서 관리하려는 경우에 유용합니다.

  • 정기적인 자격 증명 및 액세스 관리 활동을 수행하는 전용 자격 증명 팀이 있거나 자격 증명 관리 기능을 다른 공유 서비스 기능과 분리하기 위한 엄격한 보안 요구 사항이 있는 경우 자격 증명 관리를 위한 전용 AWS 계정을 호스팅할 수 있습니다. 이 시나리오에서는이 계정을 IAM Identity Center의 위임된 관리자로 지정하고 AWS Managed Microsoft AD 디렉터리도 호스팅합니다. 단일 공유 서비스 계정 내에서 세분화된 IAM 권한을 사용하여 ID 관리 워크로드와 기타 공유 서비스 워크로드 간에 동일한 수준의 논리적 격리를 달성할 수 있습니다.

  • IAM Identity Center는 현재 다중 리전 지원을 제공하지 않습니다. (다른 리전에서 IAM Identity Center를 활성화하려면 먼저 현재 IAM Identity Center 구성을 삭제해야 합니다.) 또한 다양한 계정 집합에 대해 다양한 자격 증명 소스 사용을 지원하지 않거나 권한 관리를 조직의 다른 부분(즉, 위임된 여러 관리자) 또는 다른 관리자 그룹에 위임할 수 없습니다. 이러한 기능 중 하나라도 필요한 경우 Word 페더레이션을 사용하여 IAM 외부의 자격 증명 공급자(IdP) 내에서 사용자 자격 증명을 관리하고 이러한 외부 사용자 자격 증명에 계정에서 AWS 리소스를 사용할 수 있는 권한을 AWS 부여할 수 있습니다. IAM IdPs OIDCOpenID. SAML 가장 좋은 방법은 SAML Directory Federation Service(AD FS), Okta, Azure Active Directory(Azure AD) 또는 Ping Identity와 같은 타사 자격 증명 공급자와의 Word 2.0 페더레이션을 사용하여 사용자가 AWS Management Console에 로그인하거나 API AWS 작업을 호출할 수 있는 단일 로그인 기능을 제공하는 것입니다. IAM 페더레이션 및 자격 증명 공급자에 대한 자세한 내용은 Word IAM 설명서 및 SAML Identity Federation 워크숍의 Word 2.0 기반 페더레이션 정보를 참조하세요AWS.