AWS Control Tower의 가드레일 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Control Tower의 가드레일

가드레일은 전반적인 AWS 환경에 대한 지속적인 거버넌스를 제공하는 상위 수준 규칙이며, 일반적인 언어로 표현됩니다. AWS Control Tower는 가드레일을 통해 리소스를 관리하고 AWS 계정 그룹 전체에서 규정 준수를 모니터링하는 데 도움이 되는 예방 또는 탐지 제어 기능을 구현합니다.

가드레일은 전체 OU(조직 단위)에 적용되며 OU 내 모든 AWS 계정은 가드레일의 영향을 받습니다. 따라서 사용자가 사용자 랜딩 존의 AWS 계정에서 작업을 수행하는 경우, 항상 해당 계정의 OU를 관리하는 가드레일의 적용을 받습니다.

가드레일 목적

가드레일을 사용하면 정책 의도를 표현할 수 있습니다. 예를 들어, OU에서 S3 버킷에 대한 퍼블릭 읽기 액세스 허용 안 함 탐지 가드레일을 활성화하는 경우, 사용자가 해당 OU 아래의 모든 계정에 대해 S3 버킷에 대한 퍼블릭 읽기 액세스를 시도했는지 여부를 확인할 수 있습니다.

가드레일 동작 및 지침

가드레일은 동작지침에 따라 분류됩니다.

각 가드레일의 동작은 예방 또는 탐지입니다. 가드레일 지침은 각 가드레일을 OUs에 적용하는 방법에 대한 권장 사례를 나타냅니다. 가드레일 지침은 예방 가드레일 또는 탐지 가드레일 여부와 상관없이 독립적입니다.

가드레일 동작

  • 방지 – 정책 위반을 초래하는 작업이 허용되지 않으므로 방지 가드레일은 계정이 규정을 계속 준수할 수 있게 합니다. 방지 가드레일의 상태는 enforced(적용) 또는 not enabled(활성화되지 않음)입니다. 방지 가드레일은 모든 AWS 리전에서 지원됩니다.

  • 감지 – 감지 가드레일은 정책 위반과 같이 계정에 있는 리소스의 규정 미준수를 감지하고 대시보드를 통해 경고를 제공합니다. 감지 가드레일의 상태는 clear(정상), in violation(위반) 또는 not enabled(활성화되지 않음)입니다. 감지 가드레일은 AWS Control Tower가 지원하는 AWS 지역에만 적용됩니다.

가드레일 동작 구현

  • 방지 가드레일은 AWS Organizations의 일부인 서비스 제어 정책(SCP)을 사용해 구현됩니다.

  • 감지 가드레일은 AWS Config 규칙 및 AWS Lambda 함수를 사용해 구현됩니다.

  • 특정 필수 가드레일은 고유한 SCPs가 아닌 여러 작업을 수행하는 단일 SCP를 통해 구현됩니다. 따라서 해당 SCP가 적용되는 각 필수 가드레일 아래에 동일한 SCP가 가드레일 참조에 표시됩니다.

가드레일 안내

AWS Control Tower에서는 세 가지 범주 지침, 즉 필수, 권장선택 가드레일을 제공합니다.

  • 필수 가드레일은 항상 적용됩니다.

  • 권장 가드레일은 잘 설계된 다중 계정 환경의 일반적인 몇 가지 모범 사례를 적용하여 만들어졌습니다.

  • 선택 가드레일을 통해 AWS 엔터프라이즈 환경에서 일반적으로 제한되는 작업을 추적하거나 잠글 수 있습니다.

기본값: 새 랜딩 존를 생성하면 모든 필수 가드레일이 기본적으로 활성화됩니다. 권장 및 선택 가드레일은 기본적으로 비활성 상태입니다.

가드레일 및 OUs에 대한 고려 사항

가드레일 및 OUs로 작업할 때는 다음 속성을 고려하십시오.

  • 조직 단위에서 가드레일을 활성화하면 해당 OU의 모든 하위 계정에 가드레일이 적용됩니다.

  • 랜딩 존을 생성한 후 가드레일에 랜딩 존의 모든 리소스(예: S3 버킷)가 적용됩니다.

  • 를 통해 생성된 OUs에는 필수 가드레일이 자동으로 적용되고 다른 가드레일은 관리자의 재량에 따라 적용됩니다.AWS Control Tower

  • OUs 외부에서 생성된 AWS Control Tower에는 가드레일이 자동으로 적용되지 않습니다.랜딩 존

  • Account Factory를 통해 생성된 계정은 상위 OU의 가드레일을 상속합니다.

  • 외부에서 생성된 계정은 가드레일을 상속하지 않습니다.랜딩 존

  • 미등록 OUs가 AWS Control Tower 콘솔에 표시되지만 가드레일이 적용되지 않습니다.

  • 등록되지 않은 계정은 AWS Control Tower 콘솔에 표시되지만 가드레일은 여기에 적용되지 않습니다.

가드레일에 대한 예외

  • 루트 사용자와 IAM의 관리 계정 관리자는 가드레일이 거부하는 작업을 수행할 수 있습니다. 이 예외는 의도적인 것입니다. 이를 통해 관리 계정가 사용할 수 없는 상태가 되는 것을 방지할 수 있습니다. 에서 수행된 모든 작업은 책임 및 감사를 위해 로그 아카이브 계정에 포함된 로그에서 계속 추적됩니다.관리 계정

선택 가드레일

권장 및 선택 가드레일은 선택 사항입니다. 따라서 무엇을 활성화할지 선택하여 랜딩 존의 적용 수준을 사용자 지정할 수 있습니다. 선택 사항인 가드레일은 기본적으로 비활성 상태입니다. 선택적 가드레일에 대한 자세한 내용은 다음 가드레일 참조를 참고하십시오.

가드레일 세부 정보 보기

콘솔의 가드레일 세부 정보 페이지에서 각 가드레일에 대해 다음 세부 정보를 찾을 수 있습니다.

  • 이름 – 가드레일의 이름입니다.

  • 설명 – 가드레일의 설명입니다.

  • 지침 – 지침은 필수, 권장 또는 선택입니다.

  • 범주 가드레일 범주는 –감사 로그, 모니터링, 데이터 보안, 네트워크, IAM 또는 Control Tower 설정일 수 있습니다.

  • 동작 – 가드레일의 동작은 방지 또는 감지로 설정됩니다.

  • 규정 준수 상태 – 가드레일 규정 준수 상태는 정상, 규정 준수, 적용, 알 수 없음 또는 위반으로 설정할 수 있습니다.

가드레일 세부 정보 페이지에서 가드레일 아티팩트를 볼 수도 있습니다. 가드레일은 하나 이상의 아티팩트로 구현됩니다. 이러한 아티팩트에는 기준 AWS CloudFormation 템플릿, 계정 수준 구성 변경 또는 구성 드리프트를 생성할 수 있는 활동을 방지하는 서비스 제어 정책(SCP) 및 계정 수준 정책 위반을 감지하는 AWS Config 규칙가 포함될 수 있습니다.

가드레일 활성화

대부분의 가드레일은 OU 구성에 따라 자동으로 활성화되며 일부 가드레일은 OUs에서 수동으로 활성화할 수 있습니다. 다음 절차에서는 OU에서 가드레일을 활성화하는 단계를 설명합니다.

중요

매우 권장되는 지침에 따라 가드레일을 활성화하면 AWS Control Tower 관리형 AWS 리소스가 계정에 생성됩니다. AWS Control Tower에 의해 생성된 리소스를 수정하거나 삭제하지 마십시오. 수정하거나 삭제하면 가드레일이 알 수 없는 상태가 될 수 있습니다.

OU에서 가드레일을 활성화하려면

  1. 웹 브라우저를 사용하여 https://console.aws.amazon.com/controltower의 AWS Control Tower 콘솔로 이동합니다.

  2. 왼쪽 탐색 창에서 Guardrails(가드레일)를 선택합니다.

  3. 활성화할 가드레일을 선택합니다(예: Guardrail:). EC2 인스턴스에 연결된 EBS 볼륨의 암호화를 활성화합니다. 그러면 가드레일의 세부 정보 페이지가 열립니다.

  4. Organizational units enabled(활성화된 조직 단위)에서 Enable guardrail on OU(OU에서 가드레일 활성화)를 선택합니다.

  5. 의 이름을 나열하는 새 페이지가 표시됩니다.OUs 이 가드레일을 활성화할 OU를 식별합니다.

  6. Enable guardrail on OU(OU에서 가드레일 활성화)를 선택합니다.

  7. 가드레일이 활성화되었습니다. 변경이 완료되는 데 몇 분 정도 걸릴 수 있습니다. 변경이 완료되면 선택한 OU에서 이 가드레일이 활성화됩니다. 한 번에 한 개의 가드레일만 활성화할 수 있습니다.