AWS의 조직 및 계정 구조 AWS SRA

간단한 설문 조사를 통해 AWS 보안 참조 아키텍처(AWS SRA)의 미래에 영향을 미칩니다.

다음 다이어그램은 특정 서비스를 표시AWSSRA하지 않고의 상위 수준 구조를 캡처합니다. 이는 이전 섹션에서 논의한 전용 계정 구조를 반영하며, 아키텍처의 기본 구성 요소에 대한 논의 방향을 정하기 위해 여기에 다이어그램을 포함합니다.

• 다이어그램에 표시된 모든 계정은 단일 AWS 조직의 일부입니다.

• 다이어그램의 왼쪽 상단에는 AWS 조직 생성에 사용되는 조직 관리 계정이 있습니다.

• 조직 관리 계정 아래에는 두 개의 특정 계정이 있는 보안 OU가 있습니다. 하나는 Security Tooling용이고 다른 하나는 Log Archive용입니다.

• 오른쪽에는 네트워크 계정과 공유 서비스 계정이 있는 인프라 OU가 있습니다.

• 다이어그램 하단에는 엔터프라이즈 애플리케이션을 수용하는 애플리케이션 계정과 연결된 워크로드 OU가 있습니다.

이 지침에서 모든 계정은 단일 AWS 리전에서 운영되는 프로덕션(프로드) 계정으로 간주됩니다. 대부분의 AWS 서비스(글로벌 서비스 제외)는 리전별로 범위가 지정되므로 서비스에 대한 제어 및 데이터 영역이 각 AWS 리전에 독립적으로 존재합니다. 따라서 전체 AWS 환경에 대한 적용 범위를 보장하려면 사용하려는 모든 AWS 리전에이 아키텍처를 복제해야 합니다. 특정 AWS 리전에 워크로드가 없는 경우 SCPs를 사용하거나 로깅 및 모니터링 메커니즘을 사용하여 리전을 비활성화해야 합니다. AWS Security Hub를 사용하여 여러 AWS 리전의 조사 결과 및 보안 점수를 단일 집계 리전으로 집계하여 중앙 집중식 가시성을 확보할 수 있습니다.

대규모 계정 집합으로 AWS 조직을 호스팅할 때는 계정 배포 및 계정 거버넌스를 용이하게 하는 오케스트레이션 계층이 있는 것이 좋습니다. AWS Control Tower는 AWS 다중 계정 환경을 설정하고 관리하는 간단한 방법을 제공합니다. GitHub 리포지토리의 AWS SRA 코드 샘플은 Customizations for AWS Control Tower(CfCT) 솔루션을 사용하여 AWS SRA 권장 구조를 배포하는 방법을 보여줍니다.