랜딩 존 구축 - AWS 규범적 지침
AWS Control Tower사용자 지정 구축 랜딩 존권장 접근 방식

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

랜딩 존 구축

랜딩 존을 만들 수 있는 몇 가지 옵션이 있습니다 AWS. 환경을 오케스트레이션하기 위한 관리형 서비스를 선택하거나 파트너와 협력하여 자체 환경을 구축할 수 있습니다. AWS 오퍼 AWS Control Tower, 매니지드 서비스. 모든 사용자가 로 시작하는 것이 좋습니다 AWS Control Tower. 그러나 조직에 가장 적합한 결정을 내리려면 각 접근 방식의 차이점과 기능을 이해하는 것이 중요합니다.

착륙 지대 옵션 AWS:

  • AWS Control Tower

  • 사용자 지정 구축 랜딩 존

전달 메커니즘:

맞춤형 랜딩 존의 AWS Control Tower 차이점과 맞춤형 랜딩 존.

각 접근 방식의 이점 및 절충점:

Solution 이점 절충

AWS Control Tower

  • 완전 관리형 서비스.

  • AWS-제공된 제어 및 규정 준수 정책이 기본적으로 적용됩니다.

  • 모니터링 및 규정 준수 상태를 위한 중앙 대시보드를 제공합니다.

  • 새 계정을 프로비저닝하기 위한 Account Factory를 제공합니다.

  • 일부 사용자 지정 (예: 지역 선택 및 옵션 제어) 은 콘솔에서 사용할 수 있습니다.

고객 또는 파트너가 구축한 사용자 지정 솔루션을 사용하는 AWS Organizations

  • 맞춤형 솔루션.

  • 고객 또는 파트너가 모든 개발 및 코딩을 소유합니다.

  • 고객 또는 파트너가 통합 및 구현을 담당합니다.

모든 다중 계정 환경 오퍼링은 에서 제공됩니다. AWS Organizations AWS Organizations AWS 환경을 구축하고 관리하는 데 필요한 기본 인프라와 기능을 제공합니다. 를 사용하면 에서 제공하는 다중 계정 전략 지침을 AWS 활용하고 비즈니스 요구 사항에 가장 적합하도록 환경을 직접 사용자 지정할 수 있습니다. AWS Organizations기존 고객이고 현재 AWS Organizations 구현에 만족한다면 현재 AWS 환경을 계속 운영해야 합니다.

AWS Control Tower

AWS Control Tower AWS 관리형 서비스로 실행됩니다. 즉시 사용할 수 있는 사전 패키징된 환경 솔루션을 찾고 있다면 규범적 지침과 완전 관리형 환경을 활용할 AWS Control Tower 수 있습니다. 서비스는 다중 계정 모범 사례를 기반으로 랜딩 존을 설정하고, ID 및 액세스 관리를 중앙 집중화하고, 보안 및 규정 준수를 위해 사전 구성된 거버넌스 규칙을 설정합니다.

AWS 설치에 포함된 서비스. AWS Control Tower

AWS Control Tower 모범 사례, ID 청사진, 페더레이션 액세스 및 계정 구조를 사용하여 새 랜딩 존 설정을 자동화합니다. AWS Control Tower 에 구현된 청사진 중 일부는 다음과 같습니다.

  • 를 사용하는 다중 계정 환경 AWS Organizations

  • () 및 를 사용한 AWS Identity and Access Management 계정 간 보안 감사 IAM AWS IAM Identity Center

  • Identity Center 기본 디렉터리를 사용한 ID 관리

  • 아마존 심플 스토리지 서비스 (Amazon S3) 에서 중앙 집중식으로 로깅 및 AWS Config 저장 AWS CloudTrail

제어는 전체 AWS 환경에 대한 지속적인 거버넌스를 제공하는 높은 수준의 규칙입니다. 제어는 예방적 또는 탐정적일 수 있습니다. 예방 제어는 서비스의 AWS Organizations일부인 서비스 제어 정책 (SCPs) 을 사용하여 구현됩니다. Detective 컨트롤은 를 사용하여 구현됩니다. AWS Config AWS Control Tower 제어의 예는 다음과 같습니다.

  • 루트 사용자를 위한 액세스 키 생성 허용 안 함

  • 를 통한 인터넷 연결 금지 RDP

  • S3 버킷에 대한 퍼블릭 쓰기 액세스 허용 안 함

  • Amazon Elastic Compute Cloud (AmazonEBS) 인스턴스에 연결되지 않은 Amazon 엘라스틱 블록 스토어 (Amazon) 볼륨은 허용되지 않습니다. EC2

참고

AWS Control Tower 착륙 지대의 출발점입니다. 랜딩 존을 구축할 때 고유한 요구 사항에 따라 네트워킹, 액세스 관리, 보안에 대한 전략을 결정해야 합니다.

사용자 지정 구축 랜딩 존

사용자 지정 랜딩 존 솔루션을 직접 구축할 수 있습니다. 이 경우 기본 환경을 구현하여 ID 및 액세스 관리, 거버넌스, 데이터 보안, 네트워크 설계 및 로깅을 시작합니다. 모든 환경 구성 요소를 처음부터 구축하려는 경우나 사용자 지정 솔루션만 지원할 수 있는 요구 사항이 있는 경우 이 접근 방식을 사용하는 것이 좋습니다. 솔루션을 배포한 후에는 솔루션을 관리, 업그레이드, 유지 관리 및 운영할 수 있는 충분한 전문 지식이 있어야 합니다. AWS

랜딩 존을 구축하는 AWS Control Tower 것부터 시작하는 것이 좋습니다. AWS Control Tower Account AWS Control Tower Factory를 사용하여 초기 규범적 랜딩 존 구성을 구축하고, out-of-the-box 컨트롤 및 블루프린트를 사용하고, 새 계정을 생성할 수 있도록 도와줍니다.

설정 중에 AWS Control Tower 콘솔에서 랜딩 존을 사용자 지정할 수 있습니다. 자세한 내용은 AWS Control Tower 설명서를 참조하십시오. 기본 랜딩 존을 설정한 후 다음 옵션 중 하나를 사용하여 랜딩 존을 강화하고 추가로 사용자 지정하세요.

  • AWS CloudFormation 템플릿 및 서비스 제어 정책 AWS Control Tower () 을 통해 광범위한 사용자 지정 옵션을 제공하는 사용자 지정 대상 (cFCT) 을 사용하십시오. SCPs 자세한 내용은 AWS Control Tower 설명서를 참조하십시오.

  • 랜딩 존 액셀러레이터 (LZA) 를 사용하여 랜딩 존을 컴플라이언스 프레임워크에 맞게 개선하십시오. 자세한 내용은 구현 가이드를 참조하십시오. LZA