AWSControl AWS 계정 Tower에 대해

AWS 계정 An은 소유한 모든 리소스를 담는 컨테이너입니다. 이러한 리소스에는 계정에서 허용하는 AWS Identity and Access Management (IAM) ID가 포함되며, 이를 통해 해당 계정에 액세스할 수 있는 사용자를 결정합니다. IAMID에는 사용자, 그룹, 역할 등이 포함될 수 있습니다. Control Tower에서의 사용자IAM, 역할 및 정책 작업에 대한 자세한 내용은 AWS Control Tower의 AWS ID 및 액세스 관리를 참조하십시오.

리소스 및 계정 생성 시간

AWSControl Tower는 계정을 만들거나 등록할 때 Account Factory 템플릿 형태의 리소스와 랜딩 존의 기타 리소스를 포함하여 계정에 필요한 최소 리소스 구성을 배포합니다. 이러한 리소스에는 IAM 역할, AWS CloudTrail 트레일, Service Catalog 프로비저닝된 제품, IAM Identity Center 사용자 등이 포함될 수 있습니다. AWS또한 Control Tower는 제어 구성의 필요에 따라 새 계정이 구성원 계정이 될 OU (조직 구성 단위) 에 리소스를 배포합니다.

AWSControl Tower는 사용자를 대신하여 이러한 리소스의 배포를 조정합니다. 리소스당 배포를 완료하는 데 몇 분이 걸릴 수 있으므로 계정을 만들거나 등록하기 전에 총 시간을 고려하세요. 계정의 리소스 관리에 대한 자세한 내용은 을 참조하십시오AWSControl Tower 리소스 생성 및 수정 지침.

기존 보안 또는 로깅 계정을 가져올 때 고려할 사항

Control AWS 계정 Tower는 를 보안 또는 로깅 계정으로 승인하기 전에 계정에 AWS Control Tower 요구 사항과 충돌하는 리소스가 있는지 확인합니다. AWS 예를 들어 AWS Control Tower에서 요구하는 것과 동일한 이름의 로깅 버킷이 있을 수 있습니다. 또한 AWS Control Tower는 계정이 리소스를 프로비저닝할 수 있는지 확인합니다. 예를 들어, AWS Security Token Service (AWS STS) 가 활성화되어 있고 계정이 일시 중단되지 않았는지, AWS Control Tower가 계정 내에서 리소스를 프로비저닝할 수 있는 권한이 있는지 확인합니다.

AWSControl Tower는 사용자가 제공한 로깅 및 보안 계정의 기존 리소스를 제거하지 않습니다. 하지만 거부 기능을 사용하도록 선택하면 지역 AWS 리전 거부 제어를 통해 거부된 지역의 리소스에 대한 액세스가 차단됩니다.

공유 계정 정보

AWSControl AWS 계정 Tower에는 관리 계정, 감사 계정, 로그 아카이브 계정 등 세 개의 특수 계정이 연결되어 있습니다. 이러한 계정은 일반적으로 공유 계정 또는 핵심 계정이라고 합니다.

• Landing Zone을 설정할 때 감사 및 로그 아카이브 계정의 사용자 지정 이름을 선택할 수 있습니다. 계정 이름 변경에 대한 자세한 내용은 AWSControl Tower 리소스 이름 외부 변경을 참조하십시오.

• 또한 초기 랜딩 존 설정 과정에서 기존 AWS 계정 계정을 AWS Control Tower 보안 또는 로깅 계정으로 지정할 수 있습니다. 이 옵션을 사용하면 AWS Control Tower가 새 공유 계정을 만들 필요가 없습니다. (이는 일회성 선택입니다.)

공유 계정 및 관련 리소스에 대한 자세한 내용은 을 참조하십시오공유 계정에서 생성된 리소스.

관리 계정

이로써 AWS Control Tower가 AWS 계정 시작됩니다. 기본적으로 이 계정의 루트 사용자와 이 계정의 IAM 사용자 또는 IAM 관리자는 착륙 영역 내의 모든 리소스에 대한 전체 액세스 권한을 가집니다.

참고

AWSControl Tower 콘솔 내에서 관리 기능을 수행할 때는 이 계정의 루트 사용자 또는 IAM관리자 사용자로 로그인하는 대신 관리자 권한이 있는 IAM Identity Center 사용자로 로그인하는 것이 좋습니다.

관리 계정에서 사용할 수 있는 역할 및 리소스에 대한 자세한 내용은 을 참조하십시오공유 계정에서 생성된 리소스.

로그 아카이브 계정

Landding Zone을 생성할 때 로그 아카이브 공유 계정이 자동으로 설정됩니다.

이 계정에는 랜딩 존에 있는 다른 모든 계정의 모든 AWS CloudTrail 계정과 AWS Config 로그 파일의 사본을 저장하는 중앙 Amazon S3 버킷이 포함되어 있습니다. 가장 좋은 방법은 규정 준수 및 조사를 담당하는 팀과 관련 보안 또는 감사 도구로만 로그 아카이브 계정 액세스를 제한하는 것입니다. 이 계정은 자동화된 보안 감사에 사용하거나 Lambda 함수와 같은 사용자 지정 AWS Config 규칙함수를 호스팅하여 수정 작업을 수행하는 데 사용할 수 있습니다.

Amazon S3 버킷 정책

AWSControl Tower 랜딩 존 버전 3.3 이상에서는 계정이 감사 버킷에 대한 모든 쓰기 권한 aws:SourceOrgID 조건을 충족해야 합니다. 이 조건은 조직 내 계정을 대신하여 S3 버킷에 CloudTrail 로그만 쓸 수 있도록 하고, 조직 외부의 CloudTrail 로그가 AWS Control Tower S3 버킷에 기록하는 것을 방지합니다. 자세한 내용은 AWSControl Tower 랜딩 존 버전 3.3 단원을 참조하십시오.

로그 아카이브 계정에서 사용할 수 있는 역할 및 리소스에 대한 자세한 내용은 을 참조하십시오. 로그 아카이브 계정 리소스

참고

이러한 로그는 변경할 수 없습니다. 모든 로그는 계정 활동과 관련된 감사 및 규정 준수 조사 목적으로 저장됩니다.

감사 계정

이 공유 계정은 landing Zone을 생성할 때 자동으로 설정됩니다.

감사 계정은 Landing Zone의 모든 계정에 대해 감사자 (읽기 전용) 및 관리자 (전체 액세스) 계정 간 역할을 가진 보안 및 규정 준수 팀으로 제한해야 합니다. 보안 및 규정 준수 팀은 이러한 역할을 다음과 같은 용도로 사용하기 위한 것입니다.

• 사용자 지정 AWS Config 규칙 Lambda 함수 호스팅과 같은 AWS 메커니즘을 통해 감사를 수행합니다.

• 수정 조치와 같은 자동화된 보안 작업을 수행합니다.

또한 감사 계정은 Amazon 단순 알림 서비스 (AmazonSNS) 서비스를 통해 알림을 수신합니다. 다음과 같은 세 가지 범주의 알림을 받을 수 있습니다.

• 모든 구성 이벤트 - 이 항목에서는 landing Zone에 있는 모든 계정의 모든 CloudTrail AWS Config 알림과 알림을 집계합니다.

• 보안 알림 집계 - 이 항목에서는 특정 CloudWatch 이벤트, AWS Config 규칙 규정 준수 상태 변경 이벤트 및 조사 결과의 모든 보안 알림을 집계합니다. GuardDuty

• 드리프트 알림 — 이 항목에서는 모든 계정OUs, 사용자 및 랜딩 SCPs 존에서 발견된 모든 드리프트 경고를 집계합니다. 드리프트에 대한 자세한 내용은 을 참조하십시오. AWS Control Tower의 드리프트 감지 및 해결

멤버 계정 내에서 트리거되는 감사 알림은 로컬 Amazon SNS 주제에 알림을 보낼 수도 있습니다. 계정 관리자는 이 기능을 통해 개별 회원 계정에만 적용되는 감사 알림을 구독할 수 있습니다. 따라서 관리자는 모든 계정 알림을 중앙 감사 계정에 집계하면서 개별 계정에 영향을 미치는 문제를 해결할 수 있습니다. 자세한 설명은 Amazon Simple Notification Service 개발자 안내서를 참조하세요.

감사 계정에서 사용할 수 있는 역할 및 리소스에 대한 자세한 내용은 을 참조하십시오. 감사 계정 리소스

프로그래밍 방식 감사에 대한 자세한 내용은 Control Tower AWS 감사 계정의 프로그래밍 역할 및 신뢰 관계를 참조하십시오.

중요

감사 계정에 입력한 이메일 주소는 AWS Control Tower에서 AWS 리전 지원하는 모든 사용자로부터 AWS 알림 - 구독 확인 이메일을 수신합니다. 감사 계정에서 규정 준수 이메일을 받으려면 AWS Control Tower에서 AWS 리전 지원하는 각 이메일에서 구독 확인 링크를 선택해야 합니다.