AWS Control Tower 관리자를 위한 모범 사례 - AWS Control Tower
사용자에게 액세스 권한 설명리소스 액세스 설명예방 제어 설명

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Control Tower 관리자를 위한 모범 사례

이 주제는 주로 관리 계정 관리자를 대상으로 합니다.

관리 계정 관리자는 AWS Control Tower가 제어하는 일부 작업으로 인해 멤버 계정 관리자가 수행할 수 없는 작업에 대해 설명할 책임이 있습니다. 이 주제에서는 이 지식을 이전하기 위한 몇 가지 모범 사례와 절차를 설명하고 AWS Control Tower 환경을 효율적으로 설정하고 유지하기 위한 다른 팁을 제공합니다.

사용자에게 액세스 권한 설명

AWS Control Tower 콘솔은 관리 계정 관리자 권한이 있는 사용자만 사용할 수 있습니다. 이러한 사용자만 랜딩 영역 내에서 관리 작업을 수행할 수 있습니다. 모범 사례에 따라 이는 대부분의 사용자와 멤버 계정 관리자가 AWS Control Tower 콘솔을 보지 않는다는 의미입니다. 관리 계정 관리자 그룹의 멤버는 필요에 따라 멤버 계정의 사용자 및 관리자에게 다음 정보를 설명할 책임이 있습니다.

  • 사용자와 관리자가 랜딩 영역 내에서 액세스할 수 있는 AWS 리소스를 설명합니다.

  • 다른 관리자가 그에 따라 AWS 워크로드를 계획하고 실행할 수 있도록 각 조직 단위(OU)에 적용되는 예방 제어를 나열합니다.

리소스 액세스 설명

일부 관리자 및 다른 사용자는 랜딩 존 내에서 액세스할 수 있는 AWS 리소스에 대한 설명이 필요할 수 있습니다. 이 액세스에는 프로그래밍 방식 액세스와 콘솔 기반 액세스가 포함될 수 있습니다. 일반적으로 AWS 리소스에 대한 읽기 액세스 및 쓰기 액세스가 허용됩니다. 내에서 작업을 수행하려면 AWS사용자가 작업을 수행하는 데 필요한 특정 서비스에 일정 수준의 액세스 권한이 필요합니다.

AWS 개발자와 같은 일부 사용자는 엔지니어링 솔루션을 생성할 수 있도록 액세스 권한이 있는 리소스에 대해 알아야 할 수 있습니다. AWS 서비스에서 실행되는 애플리케이션의 최종 사용자와 같은 다른 사용자는 랜딩 존 내의 AWS 리소스에 대해 알 필요가 없습니다.

AWS 는 사용자의 AWS 리소스 액세스 범위를 식별하는 도구를 제공합니다. 사용자 액세스 범위를 식별한 후에는 조직의 정보 관리 정책에 따라 해당 정보를 사용자와 공유할 수 있습니다. 이 도구에 대한 자세한 내용은 다음 링크를 참조하십시오.

  • AWS 액세스 어드바이저 - AWS Identity and Access Management (IAM) 액세스 어드바이저 도구를 사용하면 사용자, 역할 또는 그룹과 같은 IAM엔터티가 AWS 서비스라고 할 때 마지막 타임스탬프를 분석하여 개발자가 보유한 권한을 확인할 수 있습니다. 서비스 액세스를 감사하고 불필요한 권한을 제거할 수 있으며, 필요한 경우 프로세스를 자동화할 수 있습니다. 자세한 내용은 AWS 보안 블로그 게시물을 참조하세요.

  • IAM 정책 시뮬레이터 IAM- IAM 정책 시뮬레이터를 사용하면 기반 및 리소스 기반 정책을 테스트하고 문제를 해결할 수 있습니다. 자세한 내용은 IAM 정책 시뮬레이터를 사용한 IAM 정책 테스트를 참조하세요.

  • AWS CloudTrail 로그 - AWS CloudTrail 로그를 검토하여 사용자, 역할 또는 가 수행한 작업을 볼 수 있습니다 AWS 서비스. 에 대한 자세한 내용은 AWS CloudTrail 사용 설명서 섹션을 CloudTrail참조하세요.

    AWS Control Tower 랜딩 영역 관리자가 수행한 작업은 랜딩 영역 관리 계정에서 볼 수 있습니다. 멤버 계정 관리자 및 사용자가 수행한 작업은 공유 로그 아카이브 계정에서 볼 수 있습니다.

    활동 페이지에서 AWS Control Tower 이벤트의 요약 테이블을 볼 수 있습니다. https://console.aws.amazon.com/

예방 제어 설명

예방 제어는 조직의 계정이 회사 정책을 준수하도록 합니다. 예방 제어의 상태는 적용되거나 활성화되지 않습니다. 예방 제어는 서비스 제어 정책()을 사용하여 정책 위반을 방지합니다SCPs. 이에 비해 감지 제어는 정의된 AWS Config 규칙을 통해 존재하는 다양한 이벤트 또는 상태를 알려줍니다.

AWS 개발자와 같은 일부 사용자는 엔지니어링 솔루션을 생성할 수 있도록 모든 계정에 적용되는 예방 제어에 대해 알아야 OUs 할 수 있습니다. 다음 절차에서는 조직의 정보 관리 정책에 따라 적합한 사용자에게 이 정보를 제공하는 방법에 대한 몇 가지 지침을 제공합니다.

참고

이 절차에서는 랜딩 존 내에 하나 이상의 하위 OU와 하나 이상의 AWS IAM Identity Center 사용자를 이미 생성했다고 가정합니다.

알아야 하는 사용자를 위한 예방 제어를 표시하려면

  1. 에서 AWS Control Tower 콘솔에 로그인합니다https://console.aws.amazon.com/controltower/.

  2. 왼쪽 탐색에서 조직 을 선택합니다.

  3. 테이블에서 사용자에게 해당 컨트롤에 OUs 대한 정보가 필요한 의 이름을 선택합니다.

  4. OU의 이름과 이 OU에 적용되는 컨트롤을 기록해 둡니다.

  5. 사용자가 정보를 필요로 하는 각 OU에 대해 앞의 두 단계를 반복합니다.

컨트롤 및 해당 함수에 대한 자세한 내용은 AWS Control Tower의 컨트롤 정보를 참조하세요.