AWS SRA의 AWS 조직 및 계정 구조 - AWS 규범적 지침

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS SRA의 AWS 조직 및 계정 구조

간단한 설문조사를 통해 AWS 보안 참조 아키텍처 (AWSSRA) 의 미래에 영향을 미치세요.

다음 다이어그램은 특정 서비스를 표시하지 않고 AWS SRA의 상위 수준 구조를 보여줍니다. 이는 이전 섹션에서 설명한 전용 계정 구조를 반영하며, 아키텍처의 기본 구성 요소에 대한 논의의 방향을 잡기 위해 여기에 다이어그램을 포함시켰습니다.

  • 다이어그램에 표시된 모든 계정은 단일 AWS 조직의 일부입니다.

  • 다이어그램의 왼쪽 상단에는 AWS 조직을 생성하는 데 사용되는 조직 관리 계정이 있습니다.

  • Org Management 계정 아래에는 두 개의 특정 계정이 있는 보안 OU가 있습니다. 하나는 보안 도구용이고 다른 하나는 로그 아카이브용입니다.

  • 오른쪽에는 네트워크 계정과 공유 서비스 계정이 있는 인프라 OU가 있습니다.

  • 다이어그램 아래쪽에는 엔터프라이즈 애플리케이션을 포함하는 애플리케이션 계정과 연결된 Workloads OU가 있습니다.

이 지침에서는 모든 계정을 단일 AWS 지역에서 운영되는 프로덕션 (prod) 계정으로 간주합니다. 대부분의 AWS 서비스 (글로벌 서비스 제외) 는 지역별로 범위가 지정되므로 서비스에 대한 제어 및 데이터 플레인은 각 AWS 지역에 독립적으로 존재합니다. 따라서 사용하려는 모든 AWS 지역에 이 아키텍처를 복제하여 전체 AWS 환경에 적용되도록 해야 합니다. 특정 AWS 리전에 워크로드가 없는 경우 SCP를 사용하거나 로깅 및 모니터링 메커니즘을 사용하여 리전을 비활성화해야 합니다. AWS Security Hub를 사용하여 여러 AWS 지역의 조사 결과 및 보안 점수를 단일 집계 지역으로 집계하여 중앙 집중식 가시성을 확보할 수 있습니다.

대규모 계정 집합으로 AWS 조직을 호스팅할 때는 계정 배포 및 계정 거버넌스를 용이하게 하는 오케스트레이션 계층을 사용하는 것이 좋습니다. AWS Control Tower는 AWS 다중 계정 환경을 설정하고 관리하는 간단한 방법을 제공합니다. GitHub리포지토리의 AWS SRA 코드 샘플은 AWS 컨트롤 타워 사용자 지정 (cFCT) 솔루션을 사용하여 AWS SRA 권장 구조를 배포하는 방법을 보여줍니다.

AWS SRA의 상위 수준 구조 (서비스 제외)