AWSControl Tower 관리자를 위한 모범 사례 - AWS Control Tower
사용자 액세스 설명리소스 액세스 설명예방 관리에 대한 설명

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWSControl Tower 관리자를 위한 모범 사례

이 항목은 주로 관리 계정 관리자를 대상으로 합니다.

관리 계정 관리자는 Control Tower AWS 컨트롤로 인해 멤버 계정 관리자가 수행할 수 없는 일부 작업에 대해 설명할 책임이 있습니다. 이 항목에서는 이러한 지식을 이전하기 위한 몇 가지 모범 사례 및 절차를 설명하고 AWS Control Tower 환경을 효율적으로 설정하고 유지 관리하기 위한 기타 팁을 제공합니다.

사용자 액세스 설명

AWSControl Tower 콘솔은 관리 계정 관리자 권한이 있는 사용자만 사용할 수 있습니다. 이러한 사용자만 landing Zone 내에서 관리 작업을 수행할 수 있습니다. 모범 사례에 따르면 대부분의 사용자와 회원 계정 관리자는 AWS Control Tower 콘솔을 전혀 볼 수 없습니다. 관리 계정 관리자 그룹의 일원으로서 멤버 계정의 사용자와 관리자에게 다음 정보를 적절하게 설명하는 것은 귀하의 책임입니다.

  • 다음 내용을 설명하십시오. AWS 사용자 및 관리자가 randing Zone 내에서 액세스할 수 있는 리소스

  • 다른 관리자가 계획을 세우고 실행할 수 있도록 각 OU (조직 구성 단위) 에 적용되는 예방 제어를 나열하십시오. AWS 그에 따른 워크로드.

리소스 액세스 설명

일부 관리자 및 기타 사용자는 다음 사항에 대한 설명이 필요할 수 있습니다. AWS 랜딩 존 내에서 그들이 접근할 수 있는 자원. 이 액세스에는 프로그래밍 방식 액세스와 콘솔 기반 액세스가 포함될 수 있습니다. 일반적으로 읽기 권한과 쓰기 권한은 다음과 같습니다. AWS 리소스는 허용됩니다. 내에서 작업을 수행하려면 AWS사용자는 업무 수행에 필요한 특정 서비스에 일정 수준의 액세스 권한이 필요합니다.

다음과 같은 일부 사용자 AWS 개발자가 엔지니어링 솔루션을 만들려면 액세스 권한이 있는 리소스에 대해 알아야 할 수 있습니다. 기타 사용자 (예: 에서 실행되는 애플리케이션의 최종 사용자) AWS 서비스는 다음에 대해 알 필요가 없습니다. AWS 랜딩 존 내의 자원.

AWS 사용자의 범위를 식별하는 도구를 제공합니다. AWS 리소스 액세스. 사용자 액세스 범위를 식별한 후에는 조직의 정보 관리 정책에 따라 해당 정보를 사용자와 공유할 수 있습니다. 이 도구에 대한 자세한 내용은 다음 링크를 참조하십시오.

  • AWS 액세스 어드바이저 — AWS Identity and Access Management (IAM) 액세스 어드바이저 도구를 사용하면 사용자, 역할 또는 그룹과 같은 IAM 엔티티가 호출했을 때의 마지막 타임스탬프를 분석하여 개발자가 보유한 권한을 확인할 수 있습니다. AWS 서비스. 서비스 액세스를 감사하고 불필요한 권한을 제거할 수 있으며, 필요한 경우 프로세스를 자동화할 수 있습니다. 자세한 내용은 당사를 참조하십시오. AWS 보안 블로그 게시물.

  • IAM정책 시뮬레이터 - IAM 정책 시뮬레이터를 사용하여 IAM 기반 및 리소스 기반 정책을 테스트하고 문제를 해결할 수 있습니다. 자세한 내용은 정책 시뮬레이터를 IAM 사용한 IAM 정책 테스트를 참조하십시오.

  • AWS CloudTrail 로그 - 검토할 수 있습니다. AWS CloudTrail 로그를 통해 사용자, 역할 또는 역할이 수행한 작업을 확인할 수 있습니다. AWS 서비스. 에 대한 자세한 내용은 CloudTrail 을 참조하십시오. AWS CloudTrail 사용 설명서.

    AWSControl Tower 랜딩 존 관리자가 취한 조치는 랜딩 존 관리 계정에서 확인할 수 있습니다. 회원 계정 관리자와 사용자가 수행한 작업은 공유 로그 아카이브 계정에서 볼 수 있습니다.

    활동 페이지에서 AWS Control Tower 이벤트의 요약 표를 볼 수 있습니다.

예방 관리에 대한 설명

예방적 제어를 통해 조직의 계정이 회사 정책을 지속적으로 준수하도록 할 수 있습니다. 예방 통제의 상태는 시행되거나 활성화되지 않을 수 있습니다. 예방 제어는 서비스 제어 정책 () 을 사용하여 정책 위반을 방지합니다. SCPs 이에 비해 탐지 컨트롤은 정의된 방법을 통해 존재하는 다양한 이벤트 또는 상태를 알려줍니다. AWS Config 규칙.

일부 사용자 (예: AWS 개발자는 엔지니어링 솔루션을 만들려면 모든 계정과 OUs 자신이 사용하는 모든 계정에 적용되는 예방 제어 기능에 대해 알아야 할 수 있습니다. 다음 절차에서는 조직의 정보 관리 정책에 따라 적합한 사용자에게 이 정보를 제공하는 방법에 대한 몇 가지 지침을 제공합니다.

참고

이 절차에서는 사용자가 이미 랜딩 존 내에 하나 이상의 하위 OU를 만들고 하나 이상의 하위 OU를 만들었다고 가정합니다. AWS IAM Identity Center 사용자.

알 필요가 있는 사용자를 위해 예방 제어 기능을 보여주기 위해

  1. 에서 AWS Control Tower 콘솔에 https://console.aws.amazon.com/controltower/로그인합니다.

  2. 왼쪽 탐색 메뉴에서 조직을 선택합니다.

  3. 표에서 사용자에게 해당 컨트롤에 OUs 대한 정보가 필요한 항목 중 하나의 이름을 선택합니다.

  4. OU 이름과 이 OU에 적용되는 컨트롤을 기록해 두십시오.

  5. 사용자가 정보를 필요로 하는 각 OU에 대해 앞의 두 단계를 반복합니다.

컨트롤 및 기능에 대한 자세한 내용은 Control Tower의 AWS 컨트롤 정보를 참조하십시오.