AWS 컨트롤 타워 landing zone 존을 위한 AWS 다중 계정 전략 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 컨트롤 타워 landing zone 존을 위한 AWS 다중 계정 전략

AWS Control Tower 고객은 AWS 환경을 설정하고 최상의 결과를 얻기 위해 계정을 설정하는 방법에 대한 지침을 찾는 경우가 많습니다. AWS는 다음과 같은 통합 권장 사항 집합을 만들었습니다.복수 계정 전략AWS Control Tower landing zone 존을 포함하여 AWS 리소스를 최대한 활용할 수 있도록 지원합니다.

기본적으로 AWS Control Tower 는 다른 AWS 서비스와 연동되는 오케스트레이션 계층 역할을 하며, 이를 통해 AWS 계정 및 AWS AWS Organizations 대한 AWS 다중 계정 권장 사항을 구현하는 데 도움이 됩니다. landing zone 존이 설정되면 AWS Control Tower Tower는 여러 계정 및 워크로드에 걸쳐 기업 정책 및 보안 관행을 유지 관리하는 데 계속 도움을 드립니다.

대부분의 착륙 구역은 시간이 지남에 따라 발전합니다 AWS Control Tower landing zone OU (조직 단위) 와 계정 수가 증가함에 따라 워크로드를 효과적으로 구성하는 데 도움이 되는 방식으로 AWS Control Tower 배포를 확장할 수 있습니다. 이 장에서는 AWS 멀티 계정 전략에 따라 AWS Control Tower landing zone 계획 및 설정하고 시간이 지남에 따라 확장하는 방법에 대한 규범적인 지침을 제공합니다.

조직 단위에 대한 모범 사례에 대한 일반적인 설명은 단원을 참조하십시오.AWS Organizations 사용하는 조직 단위의 모범 사례.

AWS 다중 계정 전략: 모범 사례 지침

잘 설계된 환경을 위한 AWS 모범 사례에서는 리소스와 워크로드를 여러 AWS 계정으로 분리하는 것이 좋습니다. AWS 계정은 격리된 리소스 컨테이너라고 생각할 수 있습니다. 이러한 계정은 워크로드 분류와 문제가 발생할 때 폭발 반경 감소를 제공합니다.

AWS 계정 정의

AWS 계정은 리소스 컨테이너 및 리소스 격리 경계 역할을 합니다.

참고

AWS 계정은 사용자 계정과 동일하지 않습니다. 이 계정은 페더레이션 또는 AWS Identity and Access Management (IAM) 를 통해 설정됩니다.

AWS 계정에 대해 자세히 알아보기

AWS 계정은 리소스를 격리하고 AWS 워크로드에 대한 보안 위협을 차단할 수 있는 기능을 제공합니다. 계정은 또한 청구 및 워크로드 환경의 거버넌스에 대한 메커니즘을 제공합니다.

AWS 계정은 워크로드에 대한 리소스 컨테이너를 제공하기 위한 기본 구현 메커니즘입니다. 환경을 잘 설계한 경우 여러 AWS 계정을 효과적으로 관리할 수 있으므로 여러 워크로드와 환경을 관리할 수 있습니다.

AWS Control Tower 타워는 잘 설계된 환경을 설정합니다. AWS 계정과 AWS Organizations Organizations에 의존하여 여러 계정으로 확장할 수 있는 환경 변경을 관리하는 데 도움이 됩니다.

잘 설계된 환경의 정의

AWS는 잘 설계된 환경을 landing zone 존으로 시작하는 환경으로 정의합니다.

AWS Control Tower 는 자동으로 설정되는 landing zone 존을 제공합니다. 고객 환경의 여러 계정에 걸쳐 기업 가이드라인을 준수할 수 있도록 가드레일을 시행합니다.

landing zone 구역의 정의

landing zone 존은 기본 계정, 계정 구조, 네트워크 및 보안 레이아웃 등을 포함하여 권장되는 시작 지점을 제공하는 클라우드 환경입니다. landing zone 존에서 솔루션과 애플리케이션을 활용하는 워크로드를 배포할 수 있습니다.

잘 설계된 환경을 설정하기 위한 지침

다음 섹션에서 설명하는 잘 설계된 환경의 세 가지 주요 구성 요소는 다음과 같습니다.

  • 여러 AWS 계정

  • 여러 OU (조직 단위)

  • 잘 계획된 구조

여러 AWS 계정 사용

하나의 계정으로는 잘 설계된 환경을 설정하기에 충분하지 않습니다. 여러 계정을 사용하면 보안 목표와 비즈니스 프로세스를 가장 잘 지원할 수 있습니다. 다중 계정 접근 방식을 사용하면 얻을 수 있는 몇 가지 이점은 다음과 같습니다.

  • 보안 컨트롤— 애플리케이션에는 보안 프로필이 다르므로 다른 제어 정책과 메커니즘이 필요합니다. 예를 들어 감사자와 대화하고 PCI (결제 카드 산업) 워크로드를 호스팅하는 단일 계정을 가리키는 것이 훨씬 쉽습니다.

  • 격리— 계정은 보안 보호 단위입니다. 잠재적 위험과 보안 위협은 다른 사람에게 영향을 주지 않고 계정 내에 포함될 수 있습니다. 따라서 보안이 필요한 경우 서로 계정을 격리해야 할 수 있습니다. 예를 들어 보안 프로필이 서로 다른 팀이 있을 수 있습니다.

  • 여러 팀— 팀에는 다양한 책임과 리소스 요구가 있습니다. 여러 계정을 설정함으로써 팀은 동일한 계정을 사용할 때와 마찬가지로 서로 간섭할 수 없습니다.

  • 데이터 격리— 데이터 저장소를 계정에 격리하면 데이터에 액세스할 수 있고 데이터 저장소를 관리할 수 있는 사람의 수를 제한할 수 있습니다. 이러한 격리는 고도의 개인 데이터의 무단 노출을 방지하는 데 도움이됩니다. 예를 들어 데이터 격리는 일반 데이터 보호 규정 (GDPR) 의 준수를 지원할 수 있습니다.

  • 비즈니스 프로세스— 사업부 또는 제품의 목적과 프로세스가 완전히 다른 경우가 많습니다. 비즈니스별 요구 사항을 충족하기 위해 개별 계정을 설정할 수 있습니다.

  • 결제— 계정은 송금 요금 등을 포함하여 청구 수준에서 항목을 분리할 수 있는 유일한 방법입니다. 다중 계정 전략은 사업부, 직무 팀 또는 개별 사용자 간에 별도의 청구 가능 항목을 생성하는 데 도움이 됩니다.

  • 할당량 할당— AWS 할당량은 계정별로 설정됩니다. 워크로드를 서로 다른 계정으로 분리하면 각 계정 (예: 프로젝트) 에 잘 정의된 개별 할당량이 부여됩니다.

여러 조직 단위 사용

AWS Control Tower 및 기타 계정 오케스트레이션 프레임워크는 계정 경계를 넘어서 변경할 수 있습니다. 따라서 AWS 모범 사례는 교차 계정 변경 사항을 해결하여 환경을 손상시키거나 보안을 약화시킬 수 있습니다. 경우에 따라 변경 사항이 정책을 넘어 전체 환경에 영향을 줄 수 있습니다. 따라서 두 개 이상의 필수 계정인 프로덕션 계정과 스테이징을 설정하는 것이 좋습니다.

또한 AWS 계정은 거버넌스 및 제어를 위해 조직 단위 (OU) 로 그룹화되는 경우가 많습니다. OU는 여러 계정에서 정책 집행을 처리하도록 설계되었습니다.

최소한 프로덕션 환경과 차별화된 가드레일 및 정책을 사용하여 사전 프로덕션 (또는 스테이징) 환경을 만드는 것이 좋습니다. 프로덕션 및 스테이징 환경은 별도의 OU로 생성 및 관리될 수 있으며 별도의 계정으로 청구될 수 있습니다. 또한 코드 테스트를 위해 샌드박스 OU를 설정할 수도 있습니다.

landing zone 구역의 OU에 대해 잘 계획된 구조 사용

AWS Control Tower 타워는 자동으로 일부 OU를 설정합니다. 워크로드 및 요구 사항이 시간이 지남에 따라 확장됨에 따라 원래 landing zone 구성을 필요에 맞게 확장할 수 있습니다.

참고

예제에 제공된 이름은 다중 계정 AWS 환경을 설정하기 위한 제안된 AWS 이름 지정 규칙을 따릅니다. landing zone 구역을 설정한 후 OU의 이름을 바꿀 수 있습니다.EditOU 세부 정보 페이지에서

권장 사항

AWS Control Tower 가 첫 번째 필수 OU인 보안 OU를 설정한 후에는 landing zone 존에 몇 가지 추가 OU를 생성하는 것이 좋습니다.

AWS Control Tower 타워에서 샌드박스 OU라는 하나 이상의 추가 OU를 생성하도록 허용하는 것이 좋습니다. 이 OU는 소프트웨어 개발 환경을 위한 것입니다. AWS Control Tower 는 landing zone 생성 중에 샌드박스 OU를 선택할 경우 자동으로 설정할 수 있습니다.

자체적으로 설정할 수 있는 두 가지 권장 OU인 인프라 OU, 공유 서비스 및 네트워킹 계정을 포함하는 OU, 프로덕션 워크로드를 포함하는 OU (워크로드 OU) 입니다. 의 AWS Control Tower 콘솔을 통해 landing zone OU를 추가할 수 있습니다.조직 단위페이지

자동으로 설정된 OU 외에 권장되는 OU

  • OU 인프라— 공유 서비스 및 네트워킹 계정을 포함합니다.

    참고

    AWS Control Tower 타워에서는 인프라 OU를 설정하지 않습니다.

  • OU 샌드박스— 소프트웨어 개발 OU. 예를 들어 고정 지출 한도가 있거나 프로덕션 네트워크에 연결되지 않을 수 있습니다.

    참고

    AWS Control Tower 에서는 샌드박스 OU를 설정하는 것이 좋지만 선택 사항입니다. landing zone 구성의 일부로 자동으로 설정할 수 있습니다.

  • OU 작업— 워크로드를 실행하는 계정을 포함합니다.

    참고

    AWS Control Tower 타워에서는 워크로드 OU를 설정하지 않습니다.

완전한 다중 계정 OU 구조를 갖춘 AWS Control Tower 타워의 예

AWS Control Tower 는 중첩된 OU 계층을 지원합니다. 즉, 조직의 요구 사항을 충족하는 계층적 OU 구조를 생성할 수 있습니다. AWS 다중 계정 전략 지침에 맞게 AWS Control Tower 환경을 구축할 수 있습니다.

또한 AWS 다중 계정 지침에 따라 성능이 우수하고 조정되는 단순하고 평평한 OU 구조를 구축할 수도 있습니다. 계층적 OU 구조를 구축할 수 있기 때문에 그렇게 해야 한다는 의미는 아닙니다.

연결된 페이지의 다이어그램은 더 많은 기본 OU와 추가 OU가 생성되었음을 보여줍니다. 이러한 OU는 대규모 배포의 추가 요구 사항을 충족합니다.

기본 OU 열에서 기본 구조에 두 개의 OU가 추가되었습니다.

  • 보안_프로드 OU— 보안 정책을 위한 읽기 전용 영역과 보안 감사 영역을 제공합니다.

  • OU 인프라— 이전에 권장했던 인프라 OU를 두 개의 OU인 Infrastructure_Test (사전 프로덕션 인프라의 경우) 와 Infrastructure_Prod (프로덕션 인프라용) 로 분리할 수 있습니다.

추가 OU 영역에서는 기본 구조에 몇 개의 OU가 추가되었습니다. 다음은 환경이 확장됨에 따라 다음과 같이 권장되는 OU입니다.

  • OU 작업— 이전에 권장되었지만 선택 사항인 워크로드 OU는 Workloads_Test (사전 프로덕션 워크로드의 경우) 와 Workloads_Prod (프로덕션 워크로드용) 의 두 개의 OU로 구분되었습니다.

  • PolicyStagingOU— 시스템 관리자가 가드레일 및 정책을 완전히 적용하기 전에 변경 사항을 테스트할 수 있습니다.

  • OU 정지— 일시적으로 비활성화되었을 수 있는 계정의 위치를 제공합니다.

루트 정보

루트는 OU가 아닙니다. 관리 계정과 조직의 모든 OU 및 계정에 대한 컨테이너입니다. 개념적으로 루트에는 모든 OU가 포함됩니다. 삭제할 수 없습니다. AWS Control Tower 내의 루트 레벨에서는 등록된 계정을 관리할 수 없습니다. 대신 OU 내에 등록된 계정을 관리합니다. 유용한 다이어그램은 을 참조하십시오.AWS Organizations 설명서.