AWS Control Tower 관리자를 위한 모범 사례 - AWS Control Tower
사용자 액세스 설명리소스 액세스 설명예방 규제 항목 설명

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Control Tower 관리자를 위한 모범 사례

이 항목은 주로 관리 계정 관리자를 대상으로 합니다.

관리 계정 관리자는 AWS Control Tower 규제 때문에 회원 계정 관리자가 수행할 수 없는 일부 작업을 설명할 책임이 있습니다. 이 주제에서는 이러한 지식을 이전하기 위한 몇 가지 모범 사례와 절차를 설명하고, AWS Control Tower 환경을 효율적으로 설정하고 유지 관리하기 위한 기타 팁을 제공합니다.

사용자 액세스 설명

AWS Control Tower 콘솔은 관리 계정 관리자 권한을 가진 사용자만 사용할 수 있습니다. 이러한 사용자만 landing Zone 내에서 관리 작업을 수행할 수 있습니다. 모범 사례에 따르면 대부분의 사용자와 회원 계정 관리자는 AWS Control Tower 콘솔을 전혀 보지 못할 것입니다. 관리 계정 관리자 그룹의 일원으로서 회원 계정의 사용자와 관리자에게 다음 정보를 적절하게 설명하는 것은 귀하의 책임입니다.

  • 사용자 및 관리자가 landing zone 내에서 액세스할 수 있는 AWS 리소스에 대해 설명하십시오.

  • 다른 관리자가 그에 따라 AWS 워크로드를 계획하고 실행할 수 있도록 각 OU (Organization Unit) 에 적용되는 예방 제어를 나열하세요.

리소스 액세스 설명

일부 관리자 및 기타 사용자는 랜딩 존 내에서 액세스할 수 있는 AWS 리소스에 대한 설명이 필요할 수 있습니다. 이 액세스에는 프로그래밍 방식 액세스와 콘솔 기반 액세스가 포함될 수 있습니다. 일반적으로 AWS 리소스에 대한 읽기 액세스 및 쓰기 액세스는 허용됩니다. 내에서 AWS작업을 수행하려면 사용자가 작업을 수행하는 데 필요한 특정 서비스에 일정 수준의 액세스 권한이 있어야 합니다.

AWS 개발자와 같은 일부 사용자는 엔지니어링 솔루션을 만들려면 액세스 권한이 있는 리소스에 대해 알아야 할 수 있습니다. AWS 서비스에서 실행되는 애플리케이션의 최종 사용자와 같은 다른 사용자는 착륙 영역 내의 AWS 리소스에 대해 알 필요가 없습니다.

AWS 사용자의 AWS 리소스 액세스 범위를 식별하는 도구를 제공합니다. 사용자 액세스 범위를 식별한 후에는 조직의 정보 관리 정책에 따라 해당 정보를 사용자와 공유할 수 있습니다. 이 도구에 대한 자세한 내용은 다음 링크를 참조하십시오.

  • AWS 액세스 어드바이저 — AWS Identity and Access Management (IAM) 액세스 어드바이저 도구를 사용하면 사용자, 역할 또는 그룹과 같은 IAM 개체가 서비스를 호출했을 때의 마지막 타임스탬프를 분석하여 개발자가 보유한 권한을 확인할 수 있습니다. AWS 서비스 액세스를 감사하고 불필요한 권한을 제거할 수 있으며, 필요한 경우 프로세스를 자동화할 수 있습니다. 자세한 내용은 AWS 보안 블로그 게시물을 참조하십시오.

  • IAM 정책 시뮬레이터 - IAM 정책 시뮬레이터를 사용하면 IAM 기반 및 리소스 기반 정책을 테스트하고 문제를 해결할 수 있습니다. 자세한 내용은 IAM 정책 시뮬레이터를 사용한 IAM 정책 테스트를 참조하십시오.

  • AWS CloudTrail 로그 - AWS CloudTrail 로그를 검토하여 사용자, 역할 또는 역할이 수행한 작업을 확인할 수 있습니다. AWS 서비스에 대한 CloudTrail 자세한 내용은 AWS CloudTrail 사용 설명서를 참조하십시오.

    AWS Control Tower 랜딩 존 관리자가 취한 조치는 랜딩 존 관리 계정에서 확인할 수 있습니다. 회원 계정 관리자와 사용자가 취한 조치는 공유 로그 아카이브 계정에서 확인할 수 있습니다.

    활동 페이지에서 AWS Control Tower 이벤트의 요약 표를 볼 수 있습니다.

예방 규제 항목 설명

예방적 제어를 통해 조직의 계정이 회사 정책을 지속적으로 준수하도록 할 수 있습니다. 예방 통제의 상태는 시행되거나 활성화되지 않을 수 있습니다. 예방 제어는 SCP (서비스 제어 정책) 를 사용하여 정책 위반을 방지합니다. 이에 비해 탐지 컨트롤은 정의된 규칙을 통해 존재하는 다양한 이벤트 또는 상태를 알려줍니다. AWS Config

AWS 개발자와 같은 일부 사용자는 엔지니어링 솔루션을 개발하기 위해 자신이 사용하는 모든 계정 및 OU에 적용되는 예방 제어 기능에 대해 알아야 할 수 있습니다. 다음 절차에서는 조직의 정보 관리 정책에 따라 적합한 사용자에게 이 정보를 제공하는 방법에 대한 몇 가지 지침을 제공합니다.

참고

이 절차에서는 이미 적어도 한 명의 AWS IAM Identity Center 사용자뿐만 아니라 landding Zone 내에 적어도 한 명의 하위 OU를 만들었다고 가정합니다.

알 필요가 있는 사용자에게 예방 제어 기능을 보여주기 위함입니다.

  1. https://console.aws.amazon.com/controltower/ 에서 AWS Control Tower 콘솔에 로그인합니다.

  2. 왼쪽 탐색 메뉴에서 조직을 선택합니다.

  3. 테이블에서 사용자에게 해당 컨트롤에 대한 정보가 필요한 OU 중 하나의 이름을 선택합니다.

  4. OU 이름과 이 OU에 적용되는 컨트롤을 기록해 두십시오.

  5. 사용자가 정보를 필요로 하는 각 OU에 대해 앞의 두 단계를 반복합니다.

컨트롤과 해당 기능에 대한 자세한 내용은 을 참조하십시오AWS Control Tower의 규제 항목에 대한 정보.