AWS Control Tower 관리자를 위한 모범 사례 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Control Tower 관리자를 위한 모범 사례

이 주제는 주로 관리 계정 관리자용입니다.

관리 계정 관리자는 AWS Control Tower 가드레일이 멤버 계정 관리자가 수행하지 못하도록 하는 일부 작업을 설명할 책임이 있습니다. 이 주제에서는 이러한 지식을 전달하기 위한 몇 가지 모범 사례 및 절차에 대해 설명하고 AWS Control Tower 환경을 효율적으로 설정하고 유지 관리하기 위한 기타 팁을 제공합니다.

사용자에 대한 액세스 설명

AWS Control Tower 콘솔은 관리 계정 관리자 권한이 있는 사용자만 사용할 수 있습니다. 이러한 사용자만 내에서 관리 작업을 수행할 수 있습니다.랜딩 존. 이는 모범 사례에 따라 대부분의 사용자 및 멤버 계정 관리자가 AWS Control Tower 콘솔을 볼 수 없음을 의미합니다. 관리 계정 관리자 그룹의 멤버는 멤버 계정의 사용자 및 관리자에게 다음 정보를 적절하게 설명할 책임이 있습니다.

  • 사용자 및 관리자가 내에서 액세스할 수 있는 AWS 리소스를 설명합니다.랜딩 존.

  • 다른 관리자가 적절하게 AWS 워크로드를 계획하고 실행할 수 있도록 각 조직 단위(OU)에 적용되는 방지 가드레일을 나열합니다.

리소스 액세스 설명

일부 관리자 및 다른 사용자는 내에서 액세스할 수 있는 AWS 리소스에 대한 설명이 필요할 수 있습니다.랜딩 존. 이 액세스에는 프로그래밍 방식 액세스와 콘솔 기반 액세스가 포함될 수 있습니다. 일반적으로 AWS 리소스에 대한 읽기 액세스 및 쓰기 액세스가 허용됩니다. AWS 내에서 작업을 수행하려면 사용자가 작업을 수행하는 데 필요한 특정 서비스에 대한 액세스 수준이 필요합니다.

AWS 개발자와 같은 일부 사용자는 액세스할 수 있는 리소스에 대해 알아야 엔지니어링 솔루션을 구축할 수 있습니다. AWS 서비스에서 실행되는 애플리케이션의 최종 사용자와 같은 그 외 사용자는 내의 AWS 리소스에 대해 알아야 할 필요는 없습니다.랜딩 존.

AWS는 사용자의 AWS 리소스 액세스 범위를 식별하는 도구를 제공합니다. 사용자 액세스 범위를 식별한 후에는 조직의 정보 관리 정책에 따라 해당 정보를 사용자와 공유할 수 있습니다. 이 도구에 대한 자세한 내용은 다음 링크를 참조하십시오.

  • AWS 액세스 관리자 – AWS Identity and Access Management(IAM) 액세스 관리자 도구를 사용하면 사용자, 역할 또는 그룹과 같은 IAM 엔터티가 AWS 서비스를 호출했을 때 마지막 타임스탬프를 분석하여 개발자의 권한을 결정할 수 있습니다. 서비스 액세스를 감사하고 불필요한 권한을 제거할 수 있으며, 필요한 경우 프로세스를 자동화할 수 있습니다. 자세한 내용은 AWS 보안 블로그 게시물.을 참조하십시오.

  • IAM 정책 시뮬레이터 – IAM 정책 시뮬레이터를 통해 IAM 기반 및 리소스 기반 정책을 테스트하고 문제를 해결할 수 있습니다. 자세한 내용은 IAM 정책 시뮬레이터로 IAM 정책 테스트.를 참조하십시오.

  • AWS CloudTrail로그 – AWS CloudTrail 로그를 검토하여 사용자, 역할 또는 AWS 서비스에서 수행한 작업을 확인할 수 있습니다. CloudTrail에 대한 자세한 내용은 AWS CloudTrail 사용 설명서.를 참조하십시오.

    CloudTrail 랜딩 영역 관리자가 수행한 작업은 랜딩 영역 에 기록됩니다관리 계정. 멤버 계정 관리자 및 사용자가 수행한 작업은 공유 로그 아카이브 계정에 기록됩니다.

    AWS Control Tower활동 페이지에서 이벤트 요약 표를 볼 수 있습니다.

방지 가드레일 설명

방지 가드레일은 조직의 계정이 회사 정책을 계속 준수하도록 보장합니다. 방지 가드레일의 상태는 enforced(적용) 또는 not-enabled(활성화되지 않음).입니다. 방지 가드레일은 서비스 제어 정책 및 AWS Lambda 함수를 사용하여 정책 위반을 방지합니다. 이에 비해, 탐지 가드레일은 존재하는 다양한 사건 또는 상태에 대해서만 알려줍니다.

AWS 개발자와 같은 일부 사용자는 엔지니어링 솔루션을 생성할 수 OUs 있도록 모든 계정에 적용되는 방지 가드레일에 대해 알아야 할 수 있습니다. 다음 절차에서는 조직의 정보 관리 정책에 따라 적합한 사용자에게 이 정보를 제공하는 방법에 대한 몇 가지 지침을 제공합니다.

참고

이 절차에서는 랜딩 존 내에 하나 이상의 하위 OU와 한 명 이상의 AWS Single Sign-On 사용자를 이미 만들었다고 가정합니다.

알아야 할 사용자를 위해 방지 가드레일을 표시하려면

  1. AWS Control Towercontroltower/https://console.aws.amazon.com/에서 콘솔에 로그인합니다.

  2. 왼쪽 탐색 창에서 조직 단위.를 선택합니다.

  3. 표에서 사용자가 해당 가드레일에 대한 정보를 필요로 하는 중 하나의 이름을OUs 선택합니다.

  4. OU의 이름과 이 OU에 적용되는 가드레일을 적어둡니다.

  5. 사용자가 정보를 필요로 하는 각 OU에 대해 앞의 두 단계를 반복합니다.

가드레일 및 해당 기능에 대한 자세한 내용은 단원을 참조하십시오.AWS Control Tower의 가드레일.

랜딩 존 설정을 위한 관리 팁

  • 가장 많은 작업을 수행하는 AWS 리전은 홈 리전이어야 합니다.

  • 랜딩 존을 설정하고 홈 리전 내에서 Account Factory 계정을 배포합니다.

  • 여러 AWS 리전에 투자하는 경우 클라우드 리소스는 대부분의 클라우드 관리 작업을 수행하고 워크로드를 실행할 리전에 있어야 합니다.

  • 감사 및 기타 버킷은 를 시작할 때와 동일한 AWS 지역에 생성됩니다.AWS Control Tower. 이러한 버킷은 이동하지 않는 것이 좋습니다.

  • 시작할 때 에서 지원하는 모든 리전에 대해 관리 계정에서 AWS STS 엔드포인트를 활성화해야 합니다AWS Control Tower. 그렇지 않으면 중간에 구성 프로세스에서 시작이 실패할 수 있습니다.

랜딩 존 유지 관리를 위한 관리 팁

  • 로그 아카이브 계정에서 자체 로그 버킷을 만들 수 있지만, 권장되지는 않습니다. 에서 생성한 버킷을 그대로 두어야 합니다AWS Control Tower. Amazon S3 액세스 로그는 원본 버킷과 동일한 AWS 리전에 있어야 합니다. 생성하는 버킷의 경우 필수 가드레일에 의해 생성되는 제한 사항으로 인해 해당 버킷s3:PutEncryptionConfiguration에서 s3:PutBucketLogging, 또는 s3:PutBucketPolicy를 사용할 수 있는 액세스 권한이 없습니다.

  • 워크로드와 로그를 동일한 AWS 리전에 보관하면 리전 간에 로그 정보 이동 및 검색과 관련된 비용을 절감할 수 있습니다.

  • AWS Control Tower에서 생성한 VPC는 AWS Control Tower가 사용 가능한 AWS 지역으로 제한됩니다. 워크로드가 지원되지 않는 리전에서 실행되는 일부 고객은 Account Factory 계정으로 생성된 VPC를 비활성화할 수 있습니다. AWS Service Catalog 포트폴리오를 사용하여 새 VPC를 생성하거나 필요한 리전에서만 실행되는 사용자 지정 VPC를 생성할 수 있습니다.

  • AWS Control Tower에서 생성한 VPC는 모든 AWS 계정에 대해 생성된 기본 VPC와 다릅니다. AWS Control Tower를 지원하는 리전에서는 AWS Control Tower가 AWS Control Tower VPC를 생성할 때 기본 AWS VPC를 삭제합니다.

  • 홈 AWS 리전에서 기본 VPC를 삭제하는 경우 다른 모든 AWS 지역에서 삭제하는 것이 좋습니다.

루트 사용자로 로그인

특정 관리 작업을 수행하려면 루트 사용자로 로그인해야 합니다. 의 Account Factory에서 생성한 AWS 계정에 루트 사용자로 로그인할 수 있습니다.AWS Control Tower.

다음 작업을 수행하려면 루트 사용자로 로그인해야 합니다.

루트 사용자로 로그인하려면

  1. AWS 로그인 페이지를 엽니다.

    액세스해야 하는 AWS 계정의 이메일 주소가 없는 경우, 에서 해당 주소를 가져올 수 있습니다.AWS Control Tower. 용 콘솔을 열고 계정을 관리 계정선택한 다음 이메일 주소를 찾습니다.

  2. 액세스해야 하는 AWS 계정의 이메일 주소를 입력한 후 다음.을 선택합니다.

  3. 암호 찾기를 선택하여 암호 재설정 지침을 루트 사용자 이메일 주소로 전송합니다.

  4. 루트 사용자 메일박스에서 암호 재설정 이메일 메시지를 열고 지침에 따라 암호를 재설정합니다.

  5. AWS 로그인 페이지를 연 다음 재설정 암호로 로그인합니다.

그룹, 역할 및 정책 설정에 대한 권장 사항

랜딩 존을 설정할 때 특정 계정에 액세스해야 하는 사용자와 그 이유에 대해 미리 결정하는 것이 좋습니다. 예를 들어 보안 계정은 보안 팀만 액세스할 수 있어야 하고, 는 클라우드 관리자 팀만 액세스할 수 관리 계정 있어야 합니다.

권장 제한 사항

관리자가 AWS Control Tower 작업만 관리할 수 있도록 허용하는 IAM 역할 또는 정책을 설정하여 조직에 대한 관리 액세스 범위를 제한할 수 있습니다. 권장되는 방법은 IAM 정책 를 사용하는 것입니다arn:aws:iam::aws:policy/service-role/AWSControlTowerServiceRolePolicy. AWSControlTowerServiceRolePolicy 역할이 활성화된 경우 관리자는 AWS Control Tower 만 관리할 수 있습니다. 각 계정에서 예방 가드레일 및 를 관리하기 위한 AWS Organizations 에 대한 적절한 액세스 권한SCPs과 탐지 가드레일을 관리하기 위한 AWS Config 에 대한 액세스를 포함해야 합니다.

랜딩 존에서 공유 감사 계정을 설정할 때 해당 AWSSecurityAuditors 그룹을 계정의 타사 감사자에게 할당하는 것이 좋습니다. 이 그룹은 멤버에게 읽기 전용 권한을 부여합니다. 감사자의 업무 분리 요구 사항 준수를 위반할 수 있으므로 계정에는 감사 중인 환경에 대한 쓰기 권한이 없어야 합니다.

AWS Control Tower 리소스 생성 및 수정 지침

에서 리소스를 만들고 수정할 때 다음 방법을 사용하는 것이 좋습니다.AWS Control Tower. 서비스가 업데이트될 경우 이 지침이 변경될 수 있습니다.

일반 지침

  • AWS Control Tower 관리 계정 또는 공유 계정에서 에 의해 생성된 리소스를 수정하거나 삭제하지 마십시오. 이러한 리소스를 수정하려면 랜딩 영역을 업데이트해야 합니다.

  • 코어 조직 단위(OU)의 공유 계정에서 생성된 AWS Identity and Access Management(IAM) 역할을 수정하거나 삭제하지 마십시오. 이러한 역할을 수정하려면 랜딩 영역을 업데이트해야 합니다.

  • AWS Control Tower에서 생성된 리소스에 대한 자세한 내용은 공유 계정이란 무엇입니까? 단원을 참조하십시오.

  • SCPs 또는 AWS STS를 통한 AWS 리전의 사용을 허용하지 마십시오. 그렇게 하면 가 중단됩니다.AWS Control Tower.

  • 일반적으로 AWS Control Tower는 한 번에 한 개의 작업을 수행하므로 다른 작업을 시작하기 전에 수행 중인 작업이 완료되어야 합니다. 예를 들어 가드레일 활성화 프로세스가 이미 사용 중일 때 계정을 프로비저닝하려고 시도하면 계정 프로비저닝이 실패합니다.

AWS Organizations 지침

  • AWS Organizations를 사용하여 AWS Control Tower.에 등록된 OU와 연결된 SCP(서비스 제어 정책)를 업데이트하지 마십시오. 업데이트하면 가드레일이 알 수 없는 상태가 되어 에서 영향을 받는 가드레일을 다시 활성화해야 합니다.AWS Control Tower. 대신 에서 SCPs OUs 생성한 를 편집SCPs하는 대신 새 를 AWS Control Tower 생성하고 에 연결할 수 있습니다.

  • 개별 계정을 등록된 OU 외부에서 AWS Control Tower로 이동하면 복구해야 하는 드리프트가 발생합니다. 단원을 참조하십시오.거버넌스 드리프트 유형.

  • AWS Organizations를 사용하여 AWS Control Tower에 등록된 조직 내에서 계정을 생성, 초대 또는 이동하는 경우 이러한 계정이 AWS Control Tower에서 등록되지 않으며 변경 사항이 기록되지 않습니다. SSO를 통해 이러한 계정에 액세스해야 하는 경우 멤버 계정 액세스.를 참조하십시오.

  • AWS Organizations를 사용하여 AWS Control Tower에서 생성된 조직으로 OU를 이동하는 경우 외부 OU가 AWS Control Tower.에서 등록되지 않습니다.

  • OUs 에는 최상위 만 AWS Control Tower 표시AWS Control Tower되므로 에서 중첩된 에 액세스할 수 없습니다OUs.

  • AWS Organizations를 사용하여 AWS Control Tower에서 생성된 계정 또는 OU의 이름을 바꾸는 경우 새 이름이 AWS Control Tower.에 표시되도록 랜딩 영역을 복구해야 합니다.

  • AWS Organizations를 사용하여 AWS Control Tower에서 생성된 OU를 삭제하는 경우 AWS Control Tower.에서도 해당 OU를 삭제해야 합니다. 이 OU에 계정을 포함할 수 없습니다. 를 사용하여 이 OU에 새 계정을 프로비저닝할 수 없습니다.Account Factory.

AWS Single Sign-On 지침

Account Factory 지침

  • Account Factory를 사용하여 AWS Service Catalog에서 새 계정을 프로비저닝할 때 TagOptions를 정의하거나 알림을 활성화하거나 프로비저닝된 제품 계획을 만들지 마십시오. 그렇게 하면 새 계정을 프로비저닝하지 못할 수 있습니다.

  • Account Factory에서 계정을 프로비저닝하거나 계정 등록 기능을 사용할 때 IAM 사용자로 인증되는 경우 올바른 권한을 갖도록 IAM 사용자가 AWS Service Catalog 포트폴리오에 추가되었는지 확인하십시오. 그렇지 않으면 이해하기 어려운 오류 메시지가 AWS Service Catalog에서 수신될 수 있습니다. 이러한 유형의 오류에 대한 일반적인 원인은 문제 해결 안내서에 나와 있습니다. 특히 단원을 참조하십시오.시작 경로를 찾을 수 없음 오류.

  • 한 번에 한 개의 계정만 프로비저닝할 수 있습니다.

SNS 주제 구독에 대한 지침

  • aws-controltower-AllConfigNotifications SNS 주제는 규정 준수 알림 및 AWS 이벤트 알림을 포함하여 AWS AWS Config 에서 게시한 모든 CloudWatch 이벤트를 수신합니다. 예를 들어 이 주제에서는 가드레일 위반이 발생한 경우 이를 알립니다. 또한 다른 유형의 이벤트에 대한 정보도 제공합니다. (이 주제를 구성할 때 게시하는 항목에 대해 AWS Config 에서 자세히 알아보십시오.)

  • https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html?icmpid=docs_cloudtrail_console#logging-data-events 추적의 데이터 이벤트aws-controltower-BaselineCloudTrailaws-controltower-AllConfigNotifications SNS 주제에 게시하도록 설정됩니다.

  • 자세한 규정 준수 알림을 받으려면 aws-controltower-AllConfigNotification SNS 주제를 구독하는 것이 좋습니다. 이 주제에서는 모든 하위 계정의 규정 준수 알림을 집계합니다.

  • 드리프트 알림 및 기타 알림은 물론 규정 준수 알림을 수신하지만 전체적으로 더 적은 알림을 받으려면 aws-controltower-AggregateSecurityNotifications SNS 주제를 구독하는 것이 좋습니다.

SNS 주제 및 규정 준수에 대한 자세한 내용은 단원을 참조하십시오방지 및 알림.