인프라 OU — 공유 서비스 계정 - AWS 규범적 지침
AWS Systems ManagerAWS 관리형 마이크로소프트 광고IAM Identity Center

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

인프라 OU — 공유 서비스 계정

간단한 설문조사를 통해 AWS 보안 참조 아키텍처 (AWSSRA) 의 미래에 영향을 미치세요.

다음 다이어그램은 공유 서비스 계정에 구성된 AWS 보안 서비스를 보여줍니다.

공유 서비스 계정의 보안 서비스

Shared Services 계정은 인프라 OU의 일부이며, 그 목적은 여러 애플리케이션과 팀이 결과를 제공하는 데 사용하는 서비스를 지원하는 것입니다. 예를 들어 디렉터리 서비스 (Active Directory), 메시징 서비스 및 메타데이터 서비스가 이 범주에 속합니다. AWS SRA는 보안 제어를 지원하는 공유 서비스를 강조합니다. 네트워크 계정도 인프라 OU의 일부이지만 직무 분리를 지원하기 위해 공유 서비스 계정에서 제거됩니다. 이러한 서비스를 관리하는 팀에는 네트워크 계정에 대한 권한이나 액세스 권한이 필요하지 않습니다.

AWS Systems Manager

AWS Systems Manager (조직 관리 계정 및 애플리케이션 계정에도 포함됨) 는 AWS 리소스를 파악하고 제어할 수 있는 다양한 기능을 제공합니다. 이러한 기능 중 하나인 Systems Manager Explorer는 AWS 리소스에 대한 정보를 보고하는 사용자 지정 가능한 운영 대시보드입니다. AWS Organizations 및 Systems Manager 탐색기를 사용하여 AWS 조직 내 모든 계정의 운영 데이터를 동기화할 수 있습니다. Systems Manager는 AWS Organizations의 위임된 관리자 기능을 통해 공유 서비스 계정에 배포됩니다.

Systems Manager를 사용하면 관리형 인스턴스를 검사하고 탐지된 모든 정책 위반을 보고 (또는 수정 조치) 하여 보안 및 규정 준수를 유지할 수 있습니다. Systems Manager를 개별 멤버 AWS 계정 (예: 애플리케이션 계정) 의 적절한 배포와 함께 사용하면 인스턴스 인벤토리 데이터 수집을 조정하고 패치 및 보안 업데이트와 같은 자동화를 중앙 집중화할 수 있습니다.

AWS 관리형 마이크로소프트 광고

AWS 관리형 Microsoft AD라고도 하는 Microsoft Active Directory용 AWS Directory 서비스를 사용하면 디렉터리 인식 워크로드와 AWS 리소스가 AWS의 관리형 Active Directory를 사용할 수 있습니다. AWS 관리형 Microsoft AD를 사용하여 윈도우 서버용 Amazon EC2, 리눅스용 Amazon EC2, SQL Server용 Amazon RDS 인스턴스를 도메인에 가입시키고 아마존과 WorkSpaces 같은 AWS 최종 사용자 컴퓨팅 (EUC) 서비스를 Active Directory 사용자 및 그룹과 함께 사용할 수 있습니다. 

AWS 관리형 Microsoft AD를 사용하면 기존 Active Directory를 AWS로 확장하고 기존 온프레미스 사용자 자격 증명을 사용하여 클라우드 리소스에 액세스할 수 있습니다. 또한 가용성이 높은 온프레미스 Active Directory를 실행하고 유지 관리하는 복잡성 없이 온 프레미스 사용자, 그룹, 애플리케이션 및 시스템을 관리할 수 있습니다. 기존 컴퓨터, 랩톱 및 프린터를 AWS의 관리형 Microsoft AD 도메인에 가입할 수 있습니다. 

AWS 관리형 Microsoft AD는 Microsoft Active Directory를 기반으로 구축되므로 기존 Active Directory의 데이터를 클라우드로 동기화하거나 복제할 필요가 없습니다. 그룹 정책 개체 (GPO), 도메인 트러스트, 세분화된 암호 정책, GMSA (그룹 관리 서비스 계정), 스키마 확장, Kerberos 기반 싱글 사인온과 같은 친숙한 Active Directory 관리 도구 및 기능을 사용할 수 있습니다. Active Directory 보안 그룹을 사용하여 관리 작업을 위임하고 액세스 권한을 부여할 수도 있습니다. 

다중 지역 복제를 사용하면 여러 AWS 지역에 걸쳐 단일 AWS 관리형 Microsoft AD 디렉터리를 배포하고 사용할 수 있습니다. 따라서 Microsoft Windows 및 Linux 워크로드를 전 세계적으로 더 쉽고 비용 효율적으로 배포하고 관리할 수 있습니다. 자동화된 다중 지역 복제 기능을 사용하면 애플리케이션이 최적의 성능을 위해 로컬 디렉터리를 사용하는 동안 복원력이 향상됩니다. 

AWS 관리형 Microsoft AD는 클라이언트 및 서버 역할 모두에서 SSL/TLS (LDAPS라고도 함) 를 통한 경량 디렉터리 액세스 프로토콜 (LDAP) 을 지원합니다. 서버 역할을 하는 AWS 관리형 Microsoft AD는 포트 636 (SSL) 및 389 (TLS) 를 통한 LDAPS를 지원합니다. AWS 기반 Active Directory 인증 서비스 (AD CS) 인증 기관 (CA) 의 인증서를 AWS 관리형 Microsoft AD 도메인 컨트롤러에 설치하여 서버 측 LDAPS 통신을 활성화할 수 있습니다. AWS 관리형 Microsoft AD는 클라이언트 역할을 할 때 포트 636 (SSL) 을 통한 LDAPS를 지원합니다. 서버 인증서 발급자의 CA 인증서를 AWS에 등록한 다음 디렉토리에서 LDAPS를 활성화하여 클라이언트 측 LDAPS 통신을 활성화할 수 있습니다. 

AWS SRA에서 AWS Directory Service는 공유 서비스 계정 내에서 여러 AWS 회원 계정의 Microsoft 인식 워크로드에 대한 도메인 서비스를 제공하는 데 사용됩니다. 

설계 고려 사항

  • IAM ID 센터를 사용하고 AWS 관리형 Microsoft AD를 자격 증명 소스로 선택하여 온프레미스 Active Directory 사용자에게 기존 Active Directory 자격 증명으로 AWS 관리 콘솔 및 AWS CLI (명령줄 인터페이스) 에 로그인할 수 있는 액세스 권한을 부여할 수 있습니다. 이를 통해 사용자는 로그인 시 할당된 역할 중 하나를 수임하고 역할에 정의된 권한에 따라 리소스에 액세스하여 해당 리소스에 대한 조치를 취할 수 있습니다. 또 다른 옵션은 AWS 관리형 Microsoft AD를 사용하여 사용자가 AWS 자격 증명 및 액세스 관리 (IAM) 역할을 맡도록 하는 것입니다.

IAM Identity Center

AWS SRA는 IAM ID 센터에서 지원하는 위임된 관리자 기능을 사용하여 IAM ID 센터의 관리 대부분을 공유 서비스 계정에 위임합니다. 이를 통해 Org Management 계정에 액세스해야 하는 사용자 수를 제한할 수 있습니다. Org Management 계정 내에 프로비저닝된 권한 집합의 관리를 비롯한 특정 작업을 수행하려면 여전히 Org Management 계정에서 IAM Identity Center를 활성화해야 합니다.

IAM ID 센터의 위임 관리자로 공유 서비스 계정을 사용하는 주된 이유는 Active Directory 위치입니다. Active Directory를 IAM ID 센터 ID 소스로 사용하려는 경우 IAM ID 센터 위임 관리자 계정으로 지정한 멤버 계정에서 디렉터리를 찾아야 합니다. AWS SRA에서는 공유 서비스 계정이 AWS 관리형 Microsoft AD를 호스팅하므로 해당 계정이 IAM ID 센터의 위임 관리자가 됩니다. 

IAM ID 센터는 한 번에 단일 멤버 계정을 위임 관리자로 등록할 수 있도록 지원합니다. 관리 계정의 자격 증명으로 로그인할 때만 멤버 계정을 등록할 수 있습니다. 위임을 활성화하려면 IAM Identity Center 설명서에 나열된 사전 요구 사항을 고려해야 합니다. 위임된 관리자 계정은 대부분의 IAM Identity Center 관리 작업을 수행할 수 있지만 IAM Identity Center 설명서에 나와 있는 몇 가지 제한 사항이 있습니다. IAM ID 센터 위임 관리자 계정에 대한 액세스는 엄격하게 통제되어야 합니다. 

설계 고려 사항

  • IAM Identity Center ID 소스를 다른 소스에서 Active Directory로 변경하거나 Active Directory에서 다른 소스로 변경하려는 경우 해당 디렉터리는 IAM Identity Center에서 위임한 관리자 멤버 계정 (있는 경우) 에 있어야 하고 그렇지 않으면 관리 계정에 있어야 합니다.

  • 다른 계정의 전용 VPC 내에서 AWS 관리형 Microsoft AD를 호스팅한 다음 AWS Resource Access Manager (AWS RAM) 를 사용하여 이 다른 계정의 서브넷을 위임된 관리자 계정으로 공유할 수 있습니다. 이렇게 하면 AWS Managed Microsoft AD 인스턴스가 위임된 관리자 계정에서 제어되지만 네트워크 측면에서는 마치 다른 계정의 VPC에 배포된 것처럼 작동합니다. 이는 AWS Managed Microsoft AD 인스턴스가 여러 개 있고 이를 워크로드가 실행되는 곳에 로컬로 배포하되 하나의 계정을 통해 중앙에서 관리하려는 경우에 유용합니다.

  • 정기적으로 ID 및 액세스 관리 활동을 수행하는 전담 ID 팀이 있거나 ID 관리 기능을 다른 공유 서비스 기능과 분리해야 하는 엄격한 보안 요구 사항이 있는 경우 ID 관리를 위한 전용 AWS 계정을 호스팅할 수 있습니다. 이 시나리오에서는 이 계정을 IAM ID 센터의 위임 관리자로 지정하고 AWS 관리형 Microsoft AD 디렉터리도 호스팅합니다. 단일 공유 서비스 계정 내에서 세분화된 IAM 권한을 사용하여 자격 증명 관리 워크로드와 다른 공유 서비스 워크로드 간에 동일한 수준의 논리적 격리를 달성할 수 있습니다.

  • IAM Identity Center는 현재 다중 지역 지원을 제공하지 않습니다. (다른 지역에서 IAM ID 센터를 활성화하려면 먼저 현재 IAM ID 센터 구성을 삭제해야 합니다.) 또한 계정 집합별로 서로 다른 ID 소스를 사용할 수 없거나 조직의 여러 부분 (즉, 여러 위임된 관리자) 또는 다른 관리자 그룹에 권한 관리를 위임할 수 없습니다. 이러한 기능이 필요한 경우 IAM 페더레이션을 사용하여 AWS 외부의 ID 공급자 (IdP) 내에서 사용자 ID를 관리하고 이러한 외부 사용자 ID에 계정의 AWS 리소스를 사용할 권한을 부여할 수 있습니다. IAM은 OpenID Connect (OIDC) 또는 SAML 2.0과 호환되는 IdPs 것을 지원합니다. 가장 좋은 방법은 액티브 디렉터리 페더레이션 서비스 (AD FS), Okta, Azure Active Directory (Azure AD) 또는 Ping ID와 같은 타사 ID 공급자와 SAML 2.0 페더레이션을 사용하여 사용자가 AWS 관리 콘솔에 로그인하거나 AWS API 작업을 호출할 수 있는 싱글 사인온 기능을 제공하는 것입니다. IAM 페더레이션 및 자격 증명 공급자에 대한 자세한 내용은 IAM 설명서의 SAML 2.0 기반 페더레이션 정보 및 AWS ID 페더레이션 워크숍을 참조하십시오.