AWS Control Tower Tower의 가드레일 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Control Tower Tower의 가드레일

가드레일은 전반적인 AWS 환경에 대한 지속적인 거버넌스를 제공하는 상위 수준 규칙이며, 일반적인 언어로 표현됩니다. 가드 레일을 통해 AWS Control Tower 타워를 구현합니다.예방법또는형사리소스를 관리하고 AWS 계정 그룹 전체에서 규정 준수를 모니터링하는 데 도움이 되는 제어 기능을 제공합니다.

가드레일은 전체 OU(조직 단위)에 적용되며 OU 내 모든 AWS 계정은 가드레일의 영향을 받습니다. 따라서 landing zone 존의 AWS 계정에서 작업을 수행하는 경우, 항상 해당 계정의 OU를 관리하는 가드레일의 적용을 받습니다.

가드레일 목적

가드레일을 사용하면 정책 의도를 표현할 수 있습니다. 예를 들어, 탐정 가드 레일을 활성화하는 경우Amazon S3 버킷에 대한 퍼블릭 읽기 액세스가 허용되는지 여부를 감지합니다.OU에서, 사용자가 해당 OU 아래의 모든 계정에 대해 S3 버킷에 대한 읽기 액세스 허용 여부를 확인할 수 있습니다.

가드레일 동작 및 지침

가드레일은 동작지침에 따라 분류됩니다.

각 가드레일의 동작은 예방 또는 탐지입니다. 가드레일 지침에는 각 가드레일을 OU에 적용하는 방법에 대한 권장 사례를 다룹니다. 가드레일 지침은 예방 가드레일 또는 탐지 가드레일 여부와 상관없이 독립적입니다.

가드레일 동작

  • 예방적— 정책 위반을 초래하는 작업이 허용되지 않으므로 방지 가드레일은 계정이 규정을 계속 준수할 수 있게 합니다. 방지 가드레일의 상태는 enforced(적용) 또는 not enabled(활성화되지 않음)입니다. 방지 가드레일은 모든 AWS 리전에서 지원됩니다.

  • Detective— 감지 가드레일은 정책 위반과 같이 계정 내 리소스의 규정 미준수를 감지하고 대시보드를 통해 경고를 제공합니다. 감지 가드레일의 상태는 clear(정상), in violation(위반) 또는 not enabled(활성화되지 않음)입니다. Detective 가드레일은 AWS Control Tower 가 지원하는 AWS 리전에만 적용됩니다.

가드레일 동작 구현

  • 방지 가드레일은 AWS Organizations의 일부인 서비스 제어 정책(SCP)을 사용해 구현됩니다.

  • 탐지 가드레일은 AWS Config 규칙을 사용하여 구현됩니다.

  • 특정 필수 가드레일은 고유한 SCP가 아닌 여러 작업을 수행하는 단일 SCP를 통해 구현됩니다. 따라서 가드레일 참조에서 해당 SCP가 적용되는 각 필수 가드레일 아래에 동일한 SCP가 표시됩니다.

가드레일 안내

AWS Control Tower 는 다음 세 가지 범주의필수,강력히 권장, 및선택적인가드레일.

  • 필수 가드레일은 항상 적용됩니다.

  • 권장 가드레일은 잘 설계된 다중 계정 환경의 일반적인 몇 가지 모범 사례를 적용하여 만들어졌습니다.

  • 선택 가드레일을 통해 AWS 엔터프라이즈 환경에서 일반적으로 제한되는 작업을 추적하거나 잠글 수 있습니다.

기본값: 새 landing zone 존을 생성하면 AWS Control Tower는 기본적으로 모든 필수 가드레일을 활성화하고 최상위 OU에 적용합니다. 거버넌스를 OU로 확장하면 AWS Control Tower Tower는 기본적으로 OU에 필수 가드레일을 적용합니다. 권장 및 선택 가드레일은 기본적으로 비활성 상태입니다.

가드레일 및 OU에 대한 고려 사항

가드레일 및 OU로 작업할 때는 다음 속성을 고려하십시오.

가드레일, 착륙 구역 및 OU

  • landing zone 존을 생성한 후 landing zone 존의 모든 리소스 (예: Amazon S3 버킷) 에 가드레일이 적용됩니다.

  • AWS Control Tower Tower를 통해 생성된 OU에는 필수 가드레일이 자동으로 적용되어 있으며, 관리자의 재량에 따라 옵션 가드레일이 적용됩니다.

  • AWS Control Tower landing zone 외부에서 생성된 OU (즉,미등록 OU는 AWS Control Tower 콘솔에 표시되지만 등록된 OU가 아닌 한 AWS Control Tower 가드레일은 적용되지 않습니다.

  • AWS Control Tower 에 등록된 조직 단위 (OU) 에서 가드레일을 활성화하면 OU의 모든 회원 계정에 예방 가드레일이 적용됩니다. Detective 가드레일은 등록된 계정에만 적용됩니다.

AWS Control Tower 에서 가드레일이 중첩된 OU에 적용되는 방법에 대한 자세한 내용은 단원을 참조하십시오.중첩된 OU 및 가드레일.

관리 계정에 대한 가드레일 예외

관리 계정의 IAM 관리자와 루트 사용자는 가드레일이 거부하는 작업을 수행할 수 있습니다. 이 예외는 의도적인 것입니다. 이렇게 하면 관리 계정이 사용할 수 없는 상태가 되는 것을 방지할 수 있습니다. 관리 계정 내에서 수행된 모든 작업은 책임과 감사를 목적으로 로그 아카이브 계정에 포함된 로그에서 계속 추적됩니다.

가드레일 및 계좌에 대한 고려 사항

가드레일 및 계정을 사용할 때는 다음 속성을 고려하십시오.

가드레일 및 계정

  • AWS Control Tower Tower의 Account Factory 팩토리를 통해 생성한 계정은 상위 OU의 가드레일을 상속하며, 연결된 리소스가 생성됩니다.

  • AWS Control Tower landing zone 외부에서 생성된 계정은 AWS Control Tower 가드레일을 상속하지 않습니다. 이것들을 호출합니다.등록되지 않은계정.

  • AWS Control Tower 외부에서 생성된 계정은 등록하기 전까지는 AWS Control Tower 에서 가드레일을 상속받지 않습니다. 그러나 이러한 등록되지 않은 계정입니다AWS Control Tower Tower에 표시됩니다.

    계정은 해당 OU에 등록할 때 OU에서 가드레일을 상속합니다.

  • OU에는 등록 또는 등록되지 않은 상태가 포함될 수 있습니다.멤버 계정.

  • 등록된 AWS Control Tower OU의 회원 계정이 아닌 한 등록되지 않은 계정에는 가드레일이 적용되지 않습니다. 이 경우 OU에 대한 예방 가드레일이 등록되지 않은 계정에 적용됩니다. Detective 가드레일은 적용되지 않습니다.

  • 옵션 가드레일을 활성화하는 경우 AWS Control Tower Tower는 계정에서 특정 추가 AWS 리소스를 생성하고 관리합니다. AWS Control Tower Tower에서 생성한 리소스를 수정하거나 삭제하지 마십시오. 수정하거나 삭제하면 가드레일이 알 수 없는 상태가 될 수 있습니다. 자세한 정보는 가드레일 참조을 참조하십시오.