관리자 계정 - AWS Directory Service
엔터프라이즈 및 도메인 관리자 권한 계정

관리자 계정

AWS Directory Service for Microsoft Active Directory 디렉터리를 생성하면 AWS가 모든 AWS과 관련된 그룹과 계정을 저장하는 OU(조직 단위)를 만듭니다. 이 OU에 대한 자세한 내용은 생성되는 내용를 참조하세요. 여기에는 관리자 계정이 포함됩니다. 관리자 계정은 해당 OU에 대해 다음과 같은 일반적인 관리 활동을 수행하는 권한을 가집니다.

  • 사용자, 그룹 및 컴퓨터를 추가하거나 업데이트하거나 삭제합니다. 자세한 내용은 AWS Managed Microsoft AD에서의 사용자 및 그룹 관리 섹션을 참조하세요.

  • 도메인(예: 파일 또는 인쇄 서버)에 리소스를 추가한 다음 OU 내의 사용자 및 그룹에 해당 리소스에 대한 권한 할당.

  • 추가 OU 및 컨테이너 생성.

  • 추가 OU 및 컨테이너의 권한을 위임합니다. 자세한 내용은 AWS Managed Microsoft AD에 대한 디렉터리 조인 권한 위임 섹션을 참조하세요.

  • 그룹 정책 생성 및 연결.

  • Active Directory 휴지통에서 삭제된 객체 복원.

  • Active Directory 웹 서비스에서 Active Directory 및 DNS Windows PowerShell 모듈 실행.

  • 그룹 관리형 서비스 계정을 생성하고 구성합니다. 자세한 내용은 그룹 관리형 서비스 계정 섹션을 참조하세요.

  • Kerberos 제한된 위임을 구성합니다. 자세한 내용은 Kerberos 제한된 위임 섹션을 참조하세요.

또한 관리자 계정은 다음과 같은 도메인 차원 활동을 수행할 권한이 있습니다.

  • DNS 구성 관리(레코드, 영역 및 전달자 추가, 제거 또는 업데이트)

  • DNS 이벤트 로그 보기

  • 보안 이벤트 로그 보기

여기 나열된 작업만 관리자 계정에 허용됩니다. 관리자 계정은 특정 OU(예: 상위 OU) 외부의 디렉터리 관련 작업들에 대한 권한이 없습니다.

중요

AWS 도메인 관리자는 AWS에 호스팅된 모든 도메인들에 대해 전체 관리 액세스 권한을 가집니다. 디렉터리 정보를 포함하여 AWS 시스템에 저장하는 콘텐츠를 AWS에서 처리하는 방법에 대한 자세한 내용은 AWS과의 계약 및 AWS데이터 보호 FAQ를 참조하세요.

참고

이 계정을 삭제하거나 이름을 바꾸지 않는 것이 좋습니다. 계정을 더 이상 사용하지 않으려면 긴 암호(64자 이하의 임의 문자)를 설정한 다음 계정을 비활성화하는 것이 좋습니다.

엔터프라이즈 및 도메인 관리자 권한 계정

AWS에서는 기본 제공 관리자 암호를 90일마다 임의 암호로 자동 교체합니다. 사람이 사용할 수 있도록 기본 제공되는 관리자 암호를 요청할 때마다 AWS 티켓이 생성되어 AWS Directory Service 팀에 기록됩니다. 보안 인증 정보는 암호화되어 보안 채널을 통해 처리됩니다. 또한 관리자 계정 보안 인증은 AWS Directory Service 관리팀에서만 요청할 수 있습니다.

디렉터리에서 운영 관리를 수행하기 위해 AWS는 엔터프라이즈 관리자 및 도메인 관리자 권한이 있는 계정에 대한 독점적인 제어권을 갖고 있습니다. 여기에는 AD 관리자 계정에 대한 독점적 제어가 포함됩니다. AWS는 암호 저장소를 사용하여 암호 관리를 자동화하여 이 계정을 보호합니다. 관리자 암호 교체 자동화 중 AWS는 임시 사용자 계정을 생성하고 도메인 관리자 권한을 부여합니다. 이 임시 계정은 관리자 계정에서 암호 교체 실패 시 백업으로 사용됩니다. AWS가 성공적으로 관리자 암호 교체 후 AWS는 임시 관리자 계정을 삭제합니다.

일반적으로 AWS는 해당 디렉터리를 전적으로 자동화를 통해 운영합니다. 자동화 프로세스로 운영 문제를 해결하지 못하는 상황이 발생하는 경우 AWS는 지원 엔지니어에게 도메인 컨트롤러(DC)에 로그인하여 진단을 수행하도록 지시할 수 있습니다. 이런 드문 상황이 발생할 경우 AWS는 요청/알림 시스템을 구현하여 액세스 권한을 부여합니다. 이 프로세스에서 AWS 자동화를 통해 디렉터리에 도메인 관리자 권한이 있는 기간 제한 사용자 계정이 생성됩니다. AWS에서는 해당 사용자 계정을 디렉터리에서 작업하도록 배정된 엔지니어와 연결합니다. AWS에서는 이 연결을 로그 시스템에 기록하고 엔지니어가 사용할 보안 인증 정보를 제공합니다. 엔지니어가 취하는 모든 행동은 Windows 이벤트 로그에 기록됩니다. 할당된 시간이 경과되면 자동화에서는 사용자 계정을 삭제합니다.

디렉터리에서 로그 전송 기능을 사용하여 관리자 계정을 모니터링할 수 있습니다. 이 기능은 AD 보안 이벤트를 모니터링 솔루션을 구현할 수 있는 CloudWatch 시스템으로 전송할 수 있게 합니다. 자세한 내용은 로그 전송 활성화 섹션을 참조하세요.

누군가가 대화식으로 DC에 로그인하면 보안 이벤트 ID 4624, 4672, 4648이 모두 기록됩니다. 도메인에 조인된 Windows 컴퓨터에서 이벤트 뷰어 Microsoft Management Console(MMC)을 사용하여 각 DC의 Windows 보안 이벤트 로그를 볼 수 있습니다. 로그 전송 활성화에서 모든 보안 이벤트 로그를 계정의 CloudWatch Logs로 전송할 수도 있습니다.

AWS 예약 OU 내에서 사용자가 생성되고 삭제되는 경우가 간혹 있을 수 있습니다. AWS에서는 사용자에게 액세스 및 관리 권한을 위임하지 않은 이 OU와 기타 OU 또는 컨테이너에 있는 모든 객체의 관리와 보안을 책임집니다. 해당 OU에서 생성 및 삭제를 확인할 수 있습니다. 이는 AWS Directory Service에서 자동화를 사용하여 도메인 관리자 암호를 정기적으로 교체하기 때문입니다. 암호가 교체되면 교체가 실패할 경우를 대비하여 백업이 생성됩니다. 교체가 성공하면 백업 계정이 자동으로 삭제됩니다. 또한 문제 해결을 위해 DC에 대화형 액세스가 필요한 드문 경우에도 AWS Directory Service 엔지니어가 사용할 임시 사용자 계정이 생성됩니다. 엔지니어가 작업을 완료하면 임시 사용자 계정이 삭제됩니다. 디렉터리에 대한 대화형 보안 인증이 요청될 때마다 AWS Directory Service 관리 팀에 알림이 전송된다는 점을 유의하세요.