모범 사례 AWS Control Tower 관리자 - AWS Control Tower

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

모범 사례 AWS Control Tower 관리자

이 주제는 주로 마스터 계정 관리자.

마스터 계정 관리자는 다음과 같은 일부 작업을 설명할 책임이 있습니다. AWS Control Tower 가드레일은 회원 계정 관리자가 을(를) 수행하지 못하도록 방지합니다. 이 주제에서는 이러한 지식을 전달하기 위한 몇 가지 모범 사례 및 절차에 대해 설명하고 AWS Control Tower 환경을 효율적으로 설정하고 유지 관리하기 위한 기타 팁을 제공합니다.

사용자에 대한 액세스 설명

더 AWS Control Tower 콘솔은 마스터 계정 관리자 권한. 이러한 사용자만 랜딩 존 내에서 관리 작업을 수행할 수 있습니다. 이는 모범 사례에 따라 대부분의 사용자 및 멤버 계정 관리자가 AWS Control Tower 콘솔을 볼 수 없음을 의미합니다. 의 일원으로서 마스터 계정 관리자 그룹인 경우, 귀하의 회원 계정의 사용자 및 관리자에게 다음 정보를 적절하게 설명하는 것은 귀하의 책임입니다.

  • 사용자 및 관리자가 랜딩 존 내에서 액세스할 수 있는 AWS 리소스를 설명합니다.

  • 다른 관리자가 적절하게 AWS 워크로드를 계획하고 실행할 수 있도록 각 조직 단위(OU)에 적용되는 방지 가드레일을 나열합니다.

리소스 액세스 설명

일부 관리자 및 다른 사용자는 랜딩 존 내에서 액세스할 수 있는 AWS 리소스에 대한 설명이 필요할 수 있습니다. 이 액세스에는 프로그래밍 방식 액세스와 콘솔 기반 액세스가 포함될 수 있습니다. 일반적으로 AWS 리소스에 대한 읽기 액세스 및 쓰기 액세스가 허용됩니다. AWS 내에서 작업을 수행하려면 사용자가 작업을 수행하는 데 필요한 특정 서비스에 대한 액세스 수준이 필요합니다.

AWS 개발자와 같은 일부 사용자는 액세스할 수 있는 리소스에 대해 알아야 엔지니어링 솔루션을 구축할 수 있습니다. AWS 서비스에서 실행되는 애플리케이션의 최종 사용자와 같은 그 외 사용자는 랜딩 존 내의 AWS 리소스에 대해 알아야 할 필요는 없습니다.

AWS는 사용자의 AWS 리소스 액세스 범위를 식별하는 도구를 제공합니다. 사용자 액세스 범위를 식별한 후에는 조직의 정보 관리 정책에 따라 해당 정보를 사용자와 공유할 수 있습니다. 이 도구에 대한 자세한 내용은 다음 링크를 참조하십시오.

  • AWS 액세스 관리자 – AWS Identity and Access Management(IAM) 액세스 관리자 도구를 사용하면 사용자, 역할 또는 그룹과 같은 IAM 엔터티가 AWS 서비스를 호출했을 때 마지막 타임스탬프를 분석하여 개발자의 권한을 결정할 수 있습니다. 서비스 액세스를 감사하고 불필요한 권한을 제거할 수 있으며, 필요한 경우 프로세스를 자동화할 수 있습니다. 자세한 내용은 AWS 보안 블로그 게시물을 참조하십시오.

  • IAM 정책 시뮬레이터 – IAM 정책 시뮬레이터를 통해 IAM 기반 및 리소스 기반 정책을 테스트하고 문제를 해결할 수 있습니다. 자세한 내용은 IAM 정책 시뮬레이터로 IAM 정책 테스트를 참조하십시오.

  • AWS CloudTrail로그 – AWS CloudTrail 로그를 검토하여 사용자, 역할 또는 AWS 서비스에서 수행한 작업을 확인할 수 있습니다. CloudTrail에 대한 자세한 내용은 AWS CloudTrail 사용 설명서를 참조하십시오.

    취한 조치 CloudTrail 랜딩 존 관리자는 랜딩 존에 기록됩니다. 마스터 계정. 멤버 계정 관리자 및 사용자가 수행한 작업은 공유 로그 아카이브 계정에 기록됩니다.

    활동 페이지에서 AWS Control Tower 이벤트의 요약 테이블을 볼 수 있습니다.

방지 가드레일 설명

방지 가드레일은 조직의 계정이 회사 정책을 계속 준수하도록 보장합니다. 방지 가드레일의 상태는 enforced(적용) 또는 not-enabled(활성화되지 않음)입니다. 방지 가드레일은 서비스 제어 정책 및 AWS Lambda 함수를 사용하여 정책 위반을 방지합니다. 이에 비해, 탐지 가드레일은 존재하는 다양한 사건 또는 상태에 대해서만 알려줍니다.

AWS 개발자와 같은 일부 사용자는 모든 계정에 적용되는 예방 가드레일에 대해 알아야 할 수 있습니다. OUs 엔지니어링 솔루션을 만들 수 있습니다. 다음 절차에서는 조직의 정보 관리 정책에 따라 적합한 사용자에게 이 정보를 제공하는 방법에 대한 몇 가지 지침을 제공합니다.

참고

이 절차에서는 랜딩 존 내에 하나 이상의 하위 OU와 한 명 이상의 AWS Single Sign-On 사용자를 이미 만들었다고 가정합니다.

알아야 할 사용자를 위해 방지 가드레일을 표시하려면

  1. https://console.aws.amazon.com/controltower/에서 AWS Control Tower 콘솔에 로그인합니다.

  2. 왼쪽 탐색 창에서 조직 단위를 선택합니다.

  3. 테이블에서 이름 가장 잘 알려진 OUs 해당 가드레일에 대한 정보가 필요합니다.

  4. OU의 이름과 이 OU에 적용되는 가드레일을 적어둡니다.

  5. 사용자가 정보를 필요로 하는 각 OU에 대해 앞의 두 단계를 반복합니다.

가드레일 및 해당 기능에 대한 자세한 내용은 AWS Control Tower의 가드레일 단원을 참조하십시오.

랜딩 존 설정을 위한 관리 팁

  • 가장 많은 작업을 수행하는 AWS 리전은 홈 리전이어야 합니다.

  • 랜딩 존을 설정하고 홈 리전 내에서 Account Factory 계정을 배포합니다.

  • 여러 AWS 리전에 투자하는 경우 클라우드 리소스는 대부분의 클라우드 관리 작업을 수행하고 워크로드를 실행할 리전에 있어야 합니다.

  • 감사 및 기타 버킷은 AWS Control Tower를 시작할 때와 동일한 AWS 지역에 생성됩니다. 이러한 버킷은 이동하지 않는 것이 좋습니다.

  • 시작 시 AWS STS 엔드포인트는 마스터 계정, 에서 지원하는 모든 지역 AWS Control Tower. 그렇지 않으면 중간에 구성 프로세스에서 시작이 실패할 수 있습니다.

랜딩 존 유지 관리를 위한 관리 팁

  • 로그 아카이브 계정에서 자체 로그 버킷을 만들 수 있습니다. AWS Control Tower에 의해 생성된 버킷은 그대로 둡니다. Amazon S3 액세스 로그는 원본 버킷과 동일한 AWS 리전에 있어야 합니다.

  • 워크로드와 로그를 동일한 AWS 리전에 보관하면 리전 간에 로그 정보 이동 및 검색과 관련된 비용을 절감할 수 있습니다.

  • AWS Control Tower에서 생성한 VPC는 AWS Control Tower가 사용 가능한 AWS 지역으로 제한됩니다. 워크로드가 지원되지 않는 리전에서 실행되는 일부 고객은 Account Factory 계정으로 생성된 VPC를 비활성화할 수 있습니다. AWS Service Catalog 포트폴리오를 사용하여 새 VPC를 생성하거나 필요한 리전에서만 실행되는 사용자 지정 VPC를 생성할 수 있습니다.

  • AWS Control Tower에서 생성한 VPC는 모든 AWS 계정에 대해 생성된 기본 VPC와 다릅니다. AWS Control Tower를 지원하는 리전에서는 AWS Control Tower가 AWS Control Tower VPC를 생성할 때 기본 AWS VPC를 삭제합니다.

  • 홈 AWS 리전에서 기본 VPC를 삭제하는 경우 다른 모든 AWS 지역에서 삭제하는 것이 좋습니다.

루트 사용자로 로그인

특정 관리 작업을 수행하려면 루트 사용자로 로그인해야 합니다. AWS Control Tower의 Account Factory에서 생성한 AWS 계정에 루트 사용자로 로그인할 수 있습니다.

다음 작업을 수행하려면 루트 사용자로 로그인해야 합니다.

루트 사용자로 로그인하려면

  1. AWS 로그인 페이지를 엽니다.

    액세스해야 하는 AWS 계정의 이메일 주소가 없는 경우, AWS Control Tower에서 해당 주소를 가져올 수 있습니다. 의 콘솔을 엽니다. 마스터 계정, 선택 계정이메일 주소 을(를) 찾습니다.

  2. 액세스해야 하는 AWS 계정의 이메일 주소를 입력한 후 다음을 선택합니다.

  3. Forgot password?(암호 찾기)를 선택하여 암호 재설정 지침을 루트 사용자 이메일 주소로 보냅니다.

  4. 루트 사용자 메일박스에서 암호 재설정 이메일 메시지를 열고 지침에 따라 암호를 재설정합니다.

  5. AWS 로그인 페이지를 연 다음 재설정 암호로 로그인합니다.

그룹, 역할 및 정책 설정에 대한 권장 사항

랜딩 존을 설정할 때 특정 계정에 액세스해야 하는 사용자와 그 이유에 대해 미리 결정하는 것이 좋습니다. 예를 들어, 보안 계정은 보안 팀만 액세스할 수 있어야 합니다. 마스터 계정 클라우드 관리자 팀 등만 액세스할 수 있어야 합니다.

권장 제한 사항

관리자가 AWS Control Tower 작업만 관리할 수 있도록 허용하는 IAM 역할 또는 정책을 설정하여 조직에 대한 관리 액세스 범위를 제한할 수 있습니다. IAM 정책을 사용하는 것이 좋습니다. arn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy. 을(를) 사용하여 AWSControlTowerServiceRolePolicy 역할 활성화됨, 관리자는 AWS Control Tower 만. 예방 가드레일을 관리하기 위해 AWS Organizations에 대한 적절한 액세스를 포함해야 합니다. SCPs및 AWS Config에 액세스하여 각 계정에서 감지 가드레일을 관리할 수 있습니다.

랜딩 존에서 공유 감사 계정을 설정할 때 해당 AWSSecurityAuditors 그룹을 계정의 타사 감사자에게 할당하는 것이 좋습니다. 이 그룹은 멤버에게 읽기 전용 권한을 부여합니다. 감사자의 업무 분리 요구 사항 준수를 위반할 수 있으므로 계정에는 감사 중인 환경에 대한 쓰기 권한이 없어야 합니다.

AWS Control Tower 리소스 생성 및 수정 지침

AWS Control Tower에서 리소스를 만들고 수정할 때 다음 방법을 사용하는 것이 좋습니다. 서비스가 업데이트될 경우 이 지침이 변경될 수 있습니다.

일반 지침

  • 에 의해 생성된 리소스를 수정하거나 삭제하지 마십시오. AWS Control Tower 에서 마스터 계정 또는 공유 계정에서. 이러한 리소스를 수정하려면 랜딩 영역을 업데이트해야 합니다.

  • 코어 조직 단위(OU)의 공유 계정에서 생성된 AWS Identity and Access Management(IAM) 역할을 수정하거나 삭제하지 마십시오. 이러한 역할을 수정하려면 랜딩 영역을 업데이트해야 합니다.

  • AWS Control Tower에서 생성된 리소스에 대한 자세한 내용은 공유 계정이란 무엇입니까? 단원을 참조하십시오.

  • 다음 중 하나를 통해 AWS 영역 사용을 허용하지 마십시오. SCPs 또는 AWS STS. 그렇게 하면 AWS Control Tower가 중단됩니다.

  • 일반적으로 AWS Control Tower는 한 번에 한 개의 작업을 수행하므로 다른 작업을 시작하기 전에 수행 중인 작업이 완료되어야 합니다. 예를 들어 가드레일 활성화 프로세스가 이미 사용 중일 때 계정을 프로비저닝하려고 시도하면 계정 프로비저닝이 실패합니다.

AWS Organizations 지침

  • AWS Organizations를 사용하여 AWS Control Tower에 등록된 OU와 연결된 SCP(서비스 제어 정책)를 업데이트하지 마십시오. 업데이트하면 가드레일이 알 수 없는 상태가 되어 AWS Control Tower에서 영향을 받는 가드레일을 다시 활성화해야 합니다. 대신, 새로운 SCPs 이를 첨부하여 OUs 편집하기 보다는 SCPs 그 AWS Control Tower 이(가) 을(를) 생성했습니다.

  • 개별 계정을 등록된 OU 외부에서 AWS Control Tower로 이동하면 복구해야 하는 드리프트가 발생합니다. 거버넌스 드리프트 유형을(를) 참조하십시오.

  • AWS Organizations를 사용하여 AWS Control Tower에 등록된 조직 내에서 계정을 생성, 초대 또는 이동하는 경우 이러한 계정이 AWS Control Tower에서 등록되지 않으며 변경 사항이 기록되지 않습니다. SSO를 통해 이러한 계정에 액세스해야 하는 경우 멤버 계정 액세스를 참조하십시오.

  • AWS Organizations를 사용하여 AWS Control Tower에서 생성된 조직으로 OU를 이동하는 경우 외부 OU가 AWS Control Tower에서 등록되지 않습니다.

  • 중첩됨 OUs 은(는) 에서 액세스할 수 없습니다. AWS Control Tower, 이유는 AWS Control Tower 최상위 레벨만 표시합니다. OUs.

  • AWS Organizations를 사용하여 AWS Control Tower에서 생성된 계정 또는 OU의 이름을 바꾸는 경우 새 이름이 AWS Control Tower에 표시되도록 랜딩 영역을 복구해야 합니다.

  • AWS Organizations를 사용하여 AWS Control Tower에서 생성된 OU를 삭제하는 경우 AWS Control Tower에서도 해당 OU를 삭제해야 합니다. 이 OU에 계정을 포함할 수 없습니다. Account Factory를 사용하여 이 OU에 새 계정을 프로비저닝할 수 없습니다.

AWS Single Sign-On 지침

Account Factory 지침

  • Account Factory를 사용하여 AWS Service Catalog에서 새 계정을 프로비저닝할 때 TagOptions를 정의하거나 알림을 활성화하거나 프로비저닝된 제품 계획을 만들지 마십시오. 그렇게 하면 새 계정을 프로비저닝하지 못할 수 있습니다.

  • Account Factory에서 계정을 프로비저닝하거나 계정 등록 기능을 사용할 때 IAM 사용자로 인증되는 경우 올바른 권한을 갖도록 IAM 사용자가 AWS 서비스 카탈로그 포트폴리오에 추가되었는지 확인하십시오. 그렇지 않으면 이해하기 어려운 오류 메시지가 AWS Service Catalog에서 수신될 수 있습니다. 이러한 유형의 오류에 대한 일반적인 원인은 문제 해결 안내서에 나와 있습니다. 특히 시작 경로를 찾을 수 없음 오류 단원을 참조하십시오.

  • 한 번에 한 개의 계정만 프로비저닝할 수 있습니다.

SNS 항목 구독 안내

  • aws-controltower-AllConfigNotifications SNS 항목은 AWS Config에서 게시한 모든 이벤트(규정 준수 알림 및 AWS 포함)를 수신합니다. CloudWatch 이벤트 알림. 예를 들어, 이 항목은 가드레일 위반이 발생한 경우 이를 알려줍니다. 또한 다른 유형의 이벤트에 대한 정보도 제공합니다. (자세한 내용: AWS 구성 게시하는 내용에 대한 자세한 내용은 을 참조하십시오.)

  • 데이터 이벤트 에서 aws-controltower-BaselineCloudTrail 추적이 에 게시되도록 설정됨 aws-controltower-AllConfigNotifications SNS 주제도 마찬가지입니다.

  • 자세한 규정 준수 알림을 받으려면 aws-controltower-AllConfigNotification SNS 주제. 이 항목은 모든 하위 계정의 준수 알림을 집계합니다.

  • 드리프트 알림 및 기타 알림과 규정 준수 알림을 수신하지만 전체적으로 알림은 더 적을 경우 aws-controltower-AggregateSecurityNotifications SNS 주제.

SNS 항목 및 준수에 대한 자세한 내용은 다음을 참조하십시오. 예방 및 알림.