규정 준수란 무엇입니까? - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

규정 준수란 무엇입니까?

AWS Control Tower를 사용하면 컴플라이언스는 클라우드 관리자가 조직의 계정이 기존 정책을 준수하고 있음을 알고 있음을 의미하는 반면, 빌더는 몇 번의 클릭으로 새로운 AWS 계정을 빠르게 프로비저닝할 수 있습니다.

규정 준수 규칙(가드레일)의 예 AWS Control Tower:

  • S3 버킷에 대한 공용 읽기 액세스 허용 안 함

  • RDP를 통한 인터넷 연결 금지

정부 규정 준수 규정의 예:

  • 1996년 미국 건강보험 양도 및 책임에 관한 법률(HIPAA)

  • 2016년 유럽연합 일반 데이터 보호 규정(GDPR)

방법에 대한 자세한 내용은 AWS Control Tower 정부 규정 및 업계 표준을 지속적으로 준수할 수 있도록 지원(참조: 준수 검증.

관리자는 어떻게 규정 준수를 검토할 수 있습니까?

지속적인 거버넌스를 위해 관리자는 사전 구성된 가드레일을 사용할 수 있습니다.—보안, 운영 및 규정 준수에 대해 명확하게 정의된 규칙—정책을 준수하지 않는 리소스의 배포를 방지하며 배포된 리소스의 부적합성을 지속적으로 모니터링할 수 있습니다.

OU 및 계정과 연결된 리소스의 준수 상태는 조직 단위 세부 정보 및 페이지 계정 세부 정보 각 페이지의 AWS Control Tower 콘솔.

리소스 준수 상태가 변경될 때 알림을 보내는 SNS 항목을 구독할 수 있습니다. 이 장 후반부의 예방 및 알림 단원을 참조하십시오.

방법에 대한 자세한 내용은 AWS Control Tower 에 리소스에 대한 정보가 수집됩니다. AWS 구성 집계자 문서.

AWS Control Tower 가드레일 준수 상태

이 섹션에는 AWS Control Tower.

In Violation – 리소스가 준수 규칙을 적극적으로 위반하고 있음을 나타냅니다.

  • 적용 대상: 감지 가드레일(AWS 구성 규칙)

  • 보고 대상: 여러 거래처에 걸친 가드레일

Enforced – 최대 보호 수준. 이 준수 규칙을 위반하는 작업은 허용되지 않습니다.

  • 적용 대상: 예방 가드레일(SCP)

  • 보고 대상: 여러 거래처에 걸친 가드레일

Clear – 규정 준수 규칙이 적절히 마련되어 있습니다. 위반이 감지되지 않았습니다.

  • 적용 대상: 감지 가드레일(AWS 구성 규칙)

  • 보고 대상: 여러 거래처에 걸친 가드레일

Compliant – 규정 준수 규칙이 적절히 마련되어 있습니다. 위반이 감지되지 않았습니다.

  • 적용 대상: 감지 가드레일(AWS 구성 규칙)

  • 보고 대상:

    • 단일 고객을 위한 가드레일

    • 여러 가드레일에 걸친 고객

    • 여러 계정에 걸친 OU

Non-Compliant – 규정 준수 규칙이 적절히 마련되어 있습니다. 그러나 비준수 리소스가 감지되었습니다.

  • 적용 대상: 감지 가드레일(AWS 구성 규칙)

  • 보고 대상:

    • 단일 고객을 위한 가드레일

    • 여러 가드레일에 걸친 고객

    • 여러 계정에 걸친 OU

Unknown Status – 준수 규칙이 깨졌거나 준수를 보장할 수 없습니다.

  • 적용 대상:

    • 감지 가드레일(AWS 구성 규칙)

    • 예방 가드레일(SCP)

  • 보고 대상:

    • 여러 거래처에 걸친 가드레일

    • 단일 고객을 위한 가드레일

    • 여러 가드레일에 걸친 고객

    • 여러 계정에 걸친 OU

    • 기본적으로 준수 상태의 모든 것

예방 및 알림

특정 가드레일을 활성화하고 에서 규정 준수를 유지하는 데 도움이 되는 특정 SNS 알림을 구독할 수 있습니다. AWS Control Tower.

드리프트 예방

일부 가드레일은 규정 준수 보고 메커니즘의 수정을 방지합니다.

가드레일 준수 알림 수신

주제 구독 arn:aws:sns:homeRegion:AuditAccount:aws-controltower-AggregateSecurityNotifications 감사 계정으로 전송된 전자 메일의 준수 변경 통지를 수신합니다.

실제 AWS Control Tower 홈 지역 및 감사 계정 정보를 에 표시된 주제 이름으로 입력합니다.

수신 가능한 추가 SNS 주제 및 알림

  • aws-controltower-SecurityNotifications: 지원되는 각 AWS 지역 에 대해 이러한 항목 중 하나가 존재합니다. 해당 지역의 AWS Config에서 규정 준수, 규정 미준수 및 변경 알림을 수신합니다. 수신되는 모든 알림을 aws-controltower-AggregateSecurityNotifications

  • aws-controltower-AggregateSecurityNotifications: 이 주제는 홈 AWS 영역에만 존재합니다. 지역별로 AWS 구성 알림을 수신합니다. aws-controltower-SecurityNotifications 주제 및 드리프트 알림 생성 AWS Control Tower.

  • aws-controltower-AllConfigNotifications: AWS Config에서 규정 준수, 규정 미준수 및 변경과 관련된 알림을 수신합니다.

SNS 주제에 대한 기타 고려사항:

  • 이러한 항목이 모두 존재하고 감사 계정 에 알림을 수신합니다.

  • 기본적으로 감사 계정 전자 메일 주소만 이러한 알림에 구독됩니다.

  • SNS 주제 AWS Control Tower 설계상 매우 시끄럽습니다. 예를 들어, AWS Config는 AWS Config가 새 리소스를 검색할 때마다 알림을 보냅니다.

  • SNS 항목에서 특정 유형의 알림을 필터링하려는 관리자는 Lambda 함수를 만들고 SNS 주제에 구독할 수 있습니다.

  • AWS 구성 알림에는 JSON 개체가 포함되어 있습니다.

  • AWS Control Tower 드리프트 알림은 일반 텍스트로 나타납니다.