랜딩 존이란 무엇입니까?

PDFRSS

랜딩 존은 확장 가능하고 안전한 잘 설계된 다중 계정 AWS 환경입니다. 이는 귀하의 조직이 보안 및 인프라 환경에 대한 자신감을 갖고 워크로드와 애플리케이션을 신속하게 출범하고 배포할 수 있는 시작점입니다. 랜딩 존을 구축하려면 조직의 성장 및 미래를 위한 업무 목표에 따라 계정 구조, 네트워킹, 보안 및 액세스 관리 전반에 걸쳐 기술 및 업무 결정을 내려야 합니다.

AWS 대규모로 사용을 시작하면 환경 확립을 위한 AWS 규범적 지침과 접근 방식을 찾을 수 있습니다.이 영역 센터의 AWS 모범 사례에서는 격리 및 영향 감소 범위를 위해 리소스와 워크로드를 여러 AWS 계정(리소스 컨테이너)으로 격리해야 합니다. 다음 섹션에서는 여러 계정을 사용하려는 이유를 설명합니다.

다계정 프레임워크

보유해야 하는 표준 AWS 계정 수는 없지만 계정을 두 개 이상 생성하는 것이 좋습니다 AWS . 계정이 여러 개일 경우, 가장 높은 수준의 리소스 및 보안 격리가 제공됩니다. 다음 질문 중 하나에 예라고 답한 경우 추가 AWS 계정을 생성하는 것이 좋습니다.

• 귀하의 업무는 워크로드들 사이의 관리적 격리를 요구하는가요?

• 업무에 워크로드에 대한 가시성과 검색 가능성이 제한적이어야 합니까?

• 영향 범위를 최소화하기 위해 업무에 격리가 필요한가요?

• 비즈니스에 복구 또는 감사 데이터의 강력한 격리가 필요합니까?

단일 계정으로는 충분하지 않을 수 있는 다른 이유는 다음과 같습니다.

• 보안 제어 - 애플리케이션마다 제어 정책 및 메커니즘이 필요한 보안 프로필이 다를 수 있습니다. 예를 들어 감사자와 대화하고 Payment Card Industry(PCI) 워크로드를 호스팅하는 단일 계정을 가리키는 것이 더 쉽습니다.

• 격리 – 계정은 보안 보호의 한 단위입니다. 잠재적 위험과 보안 위협은 다른 계정에 영향을 주지 않고 계정 내에 포함되어야 합니다. 보안 요구 사항이 다르면 여러 팀 또는 다른 보안 프로필로 인해 한 계정과 다른 계정을 분리해야 할 수 있습니다.

• 데이터 격리 - 데이터 스토어를 계정으로 격리하면 해당 데이터 스토어에 액세스하고 관리할 수 있는 사람의 수가 제한됩니다. 이렇게 하면 고사설 데이터에 대한 노출이 제한되고 일반 데이터 보호 규정(GDPR) 규정 준수에 도움이 됩니다.

• 다양한 팀 - 팀마다 책임과 리소스 요구 사항이 다릅니다. 동일한 계정에서 서로의 방식으로 가져와서는 안 됩니다.

• 업무 프로세스 – 사업부 또는 제품마다 목적과 프로세스가 다를 수 있습니다. 업무별 요건을 충족하려면 다른 계정을 설정해야 합니다.

• 결제 - 계정은 전송 요금 분리를 포함하여 결제 수준에서 항목을 분리하는 유일한 진정한 방법입니다. 여러 계정을 사용하면 사업부, 직무 팀 또는 개별 사용자 간에 청구 수준에서 항목을 구분할 수 있습니다.

• 한도 할당 – 계정당 한도. 워크로드를 여러 계정으로 분리하면 워크로드가 한도를 소비하거나 잠재적으로 리소스를 과도하게 프로비저닝하여 다른 애플리케이션이 의도한 대로 작동하지 못하게 되는 것을 방지할 수 있습니다.