AWS Control Tower의 작동 방식 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Control Tower의 작동 방식

이 단원에서는 AWS Control Tower 작동 방식에 대해 자세히 설명합니다. 랜딩 존은 모든 AWS 리소스에 대한 well-architected 다중 계정 환경입니다. 이 환경을 사용하여 모든 AWS 계정에 대해 규정 준수 규칙을 적용할 수 있습니다.

AWS Control Tower 랜딩 존 구조

AWS Control Tower의 랜딩 존 구조는 다음과 같습니다.

  • 루트 – 랜딩 존의 다른 모든 OUs를 포함하는 상위 항목입니다.

  • 핵심 OU – 이 OU에는 로그 아카이브 계정 및 감사 멤버 계정이 포함되어 있습니다. 이러한 계정을 공유 계정이라고도 합니다.

  • 사용자 지정 OU – 사용자 지정 OU는 랜딩 존을 시작할 때 생성됩니다. 이 멤버 및 다른 멤버 OUs에는 사용자가 AWS 워크로드를 수행하기 위해 작업하는 멤버 계정이 포함되어 있습니다.

  • AWS SSO 디렉터리 – 이 디렉터리는 AWS SSO 사용자를 보관합니다. 각 AWS SSO 사용자에 대한 권한 범위를 정의합니다.

  • AWS SSO 사용자 – 사용자가 랜딩 존에서 AWS 워크로드를 수행하기 위해 맡을 수 있는 자격 증명입니다.

랜딩 영역 설정 시 발생하는 일

를 설정하면 랜딩 존가 사용자를 대신하여 AWS Control Tower에서 다음 작업을 수행합니다.관리 계정

  • 3개의 조직 조직 단위(OU)를 생성합니다. 루트, 코어 및 사용자 지정.

  • 두 개의 공유 계정, 즉 로그 아카이브 계정과 감사 계정을 만듭니다.

  • 미리 구성된 그룹 및 Single Sign-On 액세스를 사용하여 AWS SSO에 클라우드 네이티브 디렉터리를 만듭니다.

  • 20개의 방지 가드레일을 적용하여 정책을 시행합니다.

  • 6개의 감지 가드레일을 적용하여 구성 위반을 감지합니다.

  • 방지 가드레일은 관리 계정에 적용되지 않습니다.

  • 를 제외하고 가드레일은 조직 전체에 적용됩니다.관리 계정

AWS Control Tower 랜딩 존 및 계정에서 안전하게 리소스 관리

  • 랜딩 존을 만들면 많은 AWS 리소스가 생성됩니다. AWS Control Tower를 사용할 때 이 가이드에서 설명하는 지원되는 방법 이외의 방법으로 이러한 AWS Control Tower 관리형 리소스를 수정하거나 삭제하면 안 됩니다. 이러한 리소스를 삭제하거나 수정하면 랜딩 존이 알 수 없는 상태가 됩니다. 자세한 내용은 다음을 참조하십시오 AWS Control Tower 리소스 생성 및 수정 지침

  • 매우 권장되는 지침에 따라 가드레일을 활성화하면 AWS Control Tower가 관리하는 AWS 리소스를 계정에 생성합니다. AWS Control Tower에 의해 생성된 리소스를 수정하거나 삭제하지 마십시오. 이렇게 하면 가드레일이 알 수 없는 상태가 될 수 있습니다. 자세한 정보는 가드레일 참조 단원을 참조하십시오.

공유 계정이란 무엇입니까?

에서 AWS Control Tower에 있는 세 개의 공유 계정(랜딩 존, 로그 아카이브 계정 및 감사 계정)은 Account Factory에서 프로비저닝되지 않습니다.관리 계정

관리 계정이란 무엇입니까?

이 계정은 랜딩 존용으로 특별히 생성한 계정입니다. 이 계정은 랜딩 존의 모든 항목에 대한 결제에 사용됩니다. 또한 Account Factory 및 가드레일 관리는 물론 OUs 계정 프로비저닝에도 사용됩니다.

참고

AWS Control Tower에서 어떤 유형의 프로덕션 워크로드도 실행하지 않는 것이 좋습니다.관리 계정 워크로드를 실행할 별도의 AWS Control Tower 계정을 만드십시오.

를 설정하면 랜딩 존 내에 다음 AWS 리소스가 생성됩니다.관리 계정

AWS 제품 리소스 유형 리소스 이름
AWS Organizations 계정

audit

log archive

AWS Organizations OUs

Core

Custom

AWS Organizations 서비스 제어 정책

aws-guardrails-*

AWS CloudFormation 스택 AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER
AWS CloudFormation StackSets

AWSControlTowerBP-BASELINE-CLOUDTRAIL

AWSControlTowerBP-BASELINE-CLOUDWATCH

AWSControlTowerBP-BASELINE-CONFIG

AWSControlTowerBP-BASELINE-ROLES

AWSControlTowerBP-BASELINE-SERVICE-ROLES

AWSControlTowerBP-SECURITY-TOPICS

AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED

AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED

AWSControlTowerLoggingResources

AWSControlTowerSecurityResources

AWS Service Catalog 제품 AWS Control Tower Account Factory
AWS CloudTrail 추적 aws-controltower-BaselineCloudTrail
Amazon CloudWatch CloudWatch Logs aws-controltower/CloudTrailLogs
AWS Identity and Access Management Roles

AWSControlTowerAdmin

AWSControlTowerStackSetRole

AWSControlTowerCloudTrailRolePolicy

AWS Identity and Access Management 정책

AWSControlTowerServiceRolePolicy

AWSControlTowerAdminPolicy

AWSControlTowerCloudTrailRolePolicy

AWSControlTowerStackSetRolePolicy

AWS Single Sign-On 디렉터리 그룹

AWSAccountFactory

AWSAuditAccountAdmins

AWSControlTowerAdmins

AWSLogArchiveAdmins

AWSLogArchiveViewers

AWSSecurityAuditors

AWSSecurityAuditPowerUsers

AWSServiceCatalogAdmins

AWS Single Sign-On 권한 세트

AWSAdministratorAccess

AWSPowerUserAccess

AWSServiceCatalogAdminFullAccess

AWSServiceCatalogEndUserAccess

AWSReadOnlyAccess

AWSOrganizationsFullAccess

로그 아카이브 계정이란 무엇입니까?

이 계정은 랜딩 존의 모든 계정에서 API 활동 및 리소스 구성 로그의 리포지토리로 사용됩니다.

랜딩 존을 설정하면 로그 아카이브 계정 내에 다음 AWS 리소스가 생성됩니다.

AWS 제품 리소스 유형 Resource Name
AWS CloudFormation 스택

StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED-

StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED

StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-

StackSet-AWSControlTowerBP-BASELINE-CONFIG-

StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-

StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-

StackSet-AWSControlTowerBP-BASELINE-ROLES-

StackSet-AWSControlTowerLoggingResources-

AWS Config AWS Config 규칙

AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_READ_PROHIBITED

AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_WRITE_PROHIBIT

AWS CloudTrail 추적 aws-controltower-BaselineCloudTrail
Amazon CloudWatch CloudWatch 이벤트 규칙 aws-controltower-ConfigComplianceChangeEventRule
Amazon CloudWatch CloudWatch Logs

aws-controltower/CloudTrailLogs

/aws/lambda/aws-controltower-NotificationForwarder

AWS Identity and Access Management Roles

aws-controltower-AdministratorExecutionRole

aws-controltower-CloudWatchLogsRole

aws-controltower-ConfigRecorderRole

aws-controltower-ForwardSnsNotificationRole

aws-controltower-ReadOnlyExecutionRole

AWSControlTowerExecution

AWS Identity and Access Management 정책 AWSControlTowerServiceRolePolicy
Amazon Simple Notification Service 항목 aws-controltower-SecurityNotifications
AWS Lambda Applications StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-*
AWS Lambda 함수 aws-controltower-NotificationForwarder
Amazon Simple Storage Service 버킷

aws-controltower-logs-*

aws-controltower-s3-access-logs-*

감사 계정이란 무엇입니까?

감사 계정은 보안 및 규정 준수 팀에 랜딩 존의 모든 계정에 대한 읽기 및 쓰기 액세스 권한을 부여하도록 설계된 제한된 계정입니다. 감사 계정에서, Lambda 함수에만 부여된 역할을 통해 프로그래밍 방식으로 액세스하여 계정을 검토할 수 있습니다. 감사 계정을 이용해 다른 계정에 수동으로 로그인할 수 없습니다. Lambda 함수 및 역할에 대한 자세한 내용은 다른 AWS 계정에서 역할을 맡도록 Lambda 함수 구성을 참조하십시오.

랜딩 존을 설정하면 감사 계정 내에 다음 AWS 리소스가 생성됩니다.

AWS 제품 리소스 유형 리소스 이름
AWS CloudFormation 스택

StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED-

StackSet-AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED-

StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-

StackSet-AWSControlTowerBP-BASELINE-CONFIG-

StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-

StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-

StackSet-AWSControlTowerBP-SECURITY-TOPICS-

StackSet-AWSControlTowerBP-BASELINE-ROLES-

StackSet-AWSControlTowerSecurityResources-*

AWS Config 집계자 aws-controltower-GuardrailsComplianceAggregator
AWS Config AWS Config 규칙

AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_READ_PROHIBITED

AWSControlTower_AWS-GR_AUDIT_BUCKET_PUBLIC_WRITE_PROHIBITED

AWS CloudTrail 추적 aws-controltower-BaselineCloudTrail
Amazon CloudWatch CloudWatch 이벤트 규칙 aws-controltower-ConfigComplianceChangeEventRule
Amazon CloudWatch CloudWatch Logs

aws-controltower/CloudTrailLogs

/aws/lambda/aws-controltower-NotificationForwarder

AWS Identity and Access Management Roles

aws-controltower-AdministratorExecutionRole

aws-controltower-CloudWatchLogsRole

aws-controltower-ConfigRecorderRole

aws-controltower-ForwardSnsNotificationRole

aws-controltower-ReadOnlyExecutionRole

aws-controltower-SecurityAdministratorRole

aws-controltower-SecurityReadOnlyRole

AWSControlTowerExecution

AWS Identity and Access Management 정책 AWSControlTowerServiceRolePolicy
Amazon Simple Notification Service 항목

aws-controltower-AggregateSecurityNotifications

aws-controltower-AllConfigNotifications

aws-controltower-SecurityNotifications

AWS Lambda 함수 aws-controltower-NotificationForwarder

가드레일 작동 방식

가드레일은 전반적인 AWS 환경에 대한 지속적인 거버넌스를 제공하는 상위 수준 규칙이며, 각 가드레일은 단일 규칙을 적용하고 일반적인 언어로 표현됩니다. 규정 준수 요구 사항이 발전하며, 언제든지 WS Control Tower 콘솔에서 시행 중인 선택 또는 권장 가드레일을 변경할 수 있습니다. 필수 가드레일은 항상 적용되며 변경할 수 없습니다.

방지 가드레일은 작업이 발생하는 것을 방지합니다. 예를 들어, Disallow policy changes to log archive(로그 아카이브에 대한 정책 변경 허용 안 함) 가드레일은 로그 아카이브 공유 계정 내에서 IAM 정책 변경을 방지합니다. 방지된 작업을 수행하려고 하면 이 시도가 거부되고 CloudTrail에 기록됩니다. 리소스는 AWS Config에도 기록됩니다.

감지 가드레일은 특정 이벤트 발생 시 이를 감지하고 CloudTrail에 해당 작업을 기록합니다. 예를 들어 EC2 인스턴스에 연결된 EBS 볼륨의 암호화 활성화는 암호화되지 않은 Amazon EBS 볼륨이 랜딩 존의 EC2 인스턴스에 연결되어 있는지 감지합니다.

AWS 리전과 AWS Control Tower의 작동 방식

현재 AWS Control Tower는 다음 AWS 리전에서 지원됩니다.

  • 미국 동부(버지니아 북부)

  • 미국 동부(오하이오)

  • 미국 서부(오레곤)

  • 유럽(아일랜드)

  • 아시아 태평양(시드니)

랜딩 존을 만들면 AWS Management 콘솔에 액세스하는 데 사용되는 리전이 AWS Control Tower의 홈 AWS 리전이 됩니다. 생성 프로세스 중에 일부 리소스가 홈 AWS 리전에 프로비저닝됩니다. 및 AWS 계정과 같은 기타 리소스는 전역적입니다.OUs

현재 모든 방지 가드레일은 전역적으로 작동합니다. 그러나 감지 가드레일은 AWS Control Tower가 지원되는 리전에서만 작동합니다. 새 리전에서 AWS Control Tower를 활성화할 때 가드레일의 동작에 대한 자세한 내용은 새 AWS 리전에 AWS Control Tower 배포 단원을 참조하십시오.

AWS Control Tower가 역할을 사용하여 계정을 생성 및 관리하는 방식

AWS Control Tower는 AWS Organizations의 CreateAccount API를 호출하여 고객의 계정을 생성합니다. AWS Organizations는 이 계정을 생성할 때 해당 계정 내에 역할을 생성합니다. 역할의 이름은 AWS Control Tower가 파라미터를 API로 전달하여 지정합니다. 역할의 이름은 AWSControlTowerExecution입니다.

AWS Control Tower는 Account Factory에서 생성한 모든 계정에 대해 AWSControlTowerExecution 역할을 대신합니다. 이 역할을 사용하여 AWS Control Tower는 계정을 기준으로 설정하고 필수(및 기타 활성화된) 가드레일을 적용하여 다른 역할을 생성합니다. 이러한 역할은 AWS Config 같은 다른 서비스에서 사용됩니다.

참고

계정을 기준으로 설정하는 것은 블루프린트 및 가드레일을 설정하는 프로세스입니다. 또한 기준 설정 프로세스는 블루프린트 배포의 일환으로 중앙 집중식 로깅 및 보안 감사 역할을 설정합니다. 모든 관리 계정에 적용하는 역할에 AWS Control Tower 기준이 포함됩니다.

역할에 대한 설명AWSControlTowerExecution

AWSControlTowerExecution 역할을 사용하면 AWS Control Tower에서 개별 계정을 관리하고 해당 계정에 대한 정보를 감사 및 로깅 계정에 보고할 수 있습니다.

  • AWSControlTowerExecution을 통해 AWS Control Tower 감사 계정이 감사를 수행할 수 있습니다.

  • AWSControlTowerExecution을 통해 전체 계정의 모든 로그가 로깅 계정으로 전송되도록 조직의 로깅을 구성할 수 있습니다.

계정 설정을 완료한 후 AWSControlTowerExecution에서는 선택한 AWS Control Tower 가드레일이 조직의 모든 개별 계정과 AWS Control Tower에서 생성하는 모든 새 계정에 자동으로 적용되도록 합니다. 따라서 AWS Control Tower 가드레일에 포함된 감사 및 로깅 기능을 기반으로 규정 준수 및 보안 보고서를 쉽게 제공할 수 있습니다. 보안 및 규정 준수 팀은 모든 요구 사항이 충족되었는지 그리고 조직 드리프트가 발생하지 않았는지 확인할 수 있습니다. 드리프트에 대한 자세한 내용은 AWS Control Tower 사용 설명서를 참조하십시오.

요약하면 AWSControlTowerExecution 역할 및 관련 정책을 통해 조직 전체에서 보안 및 규정 준수를 유연하게 제어할 수 있습니다. 따라서 보안 침해가 발생할 가능성이 적어집니다.

에서 AWS Control Tower를 사용하는 방법StackSets

AWS Control Tower는 CloudFormation StackSets를 사용하여 계정의 리소스를 설정합니다. 각 스택 세트에는 여러 계정 및 계정당 여러 AWS 리전에 해당하는 StackInstances가 있습니다. Control Tower는 특정 CloudFormation 파라미터를 기반으로 특정 계정 및 AWS 리전에 업데이트를 선택적으로 적용합니다. 일부 스택 인스턴스에 업데이트가 적용되면 다른 스택 인스턴스는 Outdated(오래됨) 상태로 남아있을 수 있습니다. 이는 예상된 정상 동작입니다.

스택 인스턴스가 Outdated(오래됨) 상태가 되면 일반적으로 그 스택 인스턴스에 해당하는 스택이 스택 세트의 최신 템플릿과 정렬되지 않음을 의미합니다. 스택은 이전 템플릿에 남아 있으므로 최신 리소스 또는 파라미터가 포함되지 않을 수 있습니다. 스택은 여전히 완전히 사용할 수 있습니다.

다음은 업데이트 중에 지정된 AWS CloudFormation 파라미터를 기반으로 예상되는 동작에 대한 간략한 요약입니다.

스택 세트 업데이트에 템플릿에 대한 변경 사항이 포함되어 있거나(즉, TemplateBody 또는 TemplateURL 속성이 지정된 경우) Parameters 속성이 지정된 경우 AWS CloudFormation은 지정된 계정 및 AWS 리전에서 스택 인스턴스를 업데이트하기 전에 모든 스택 인스턴스를 Outdated(오래됨) 상태로 표시합니다. 스택 세트 업데이트에 템플릿 또는 파라미터에 대한 변경 사항이 포함되지 않은 경우 AWS CloudFormation은 지정된 계정 및 리전의 스택 인스턴스를 업데이트하고 다른 모든 스택 인스턴스는 기존 스택 인스턴스 상태로 유지합니다. 스택 세트와 연결된 모든 스택 인스턴스를 업데이트하려면 Accounts 또는 Regions 속성을 지정하지 마십시오.

자세한 내용은 AWS 사용 설명서의 스택 세트 업데이트CloudFormation를 참조하십시오.