SRA 구성 요소 — AWS 조직, 계정, 가드레일

간단한 설문조사를 통해 AWS 보안 참조 아키텍처 (AWSSRA) 의 미래에 영향을 미치세요.

AWS 보안 서비스, 제어 및 상호 작용은 AWS 다중 계정 전략과 ID 및 액세스 관리 가드레일을 기반으로 사용하는 것이 가장 좋습니다. 이러한 가드레일은 최소 권한, 직무 분리 및 개인 정보 보호를 구현할 수 있는 기능을 설정하고 필요한 제어 유형, 각 보안 서비스가 관리되는 위치, AWS SRA에서 데이터 및 권한을 공유하는 방법에 대한 결정을 지원합니다. 

AWS 계정은 AWS 리소스에 대한 보안, 액세스 및 청구 범위를 제공하고 리소스 독립성 및 격리를 달성할 수 있도록 합니다. 다중 계정을 사용하여 AWS 환경 구성 백서의 여러 AWS 계정을 사용할 때의 이점 섹션에서 설명하는 것처럼 여러 AWS 계정을 사용하는 것은 보안 요구 사항을 충족하는 방법에 중요한 역할을 합니다. 예를 들어, 기업의 보고 구조를 미러링하는 대신 기능, 규정 준수 요구 사항 또는 공통 제어 세트를 기반으로 조직 단위 (OU) 내의 개별 계정 및 그룹 계정으로 워크로드를 구성할 수 있습니다. 보안과 인프라를 염두에 두고 워크로드가 증가함에 따라 기업이 공통의 가드레일을 설정할 수 있도록 하세요. 이 접근 방식은 워크로드 간에 강력한 경계와 제어를 제공합니다. 계정 수준 분리는 AWS Organizations와 결합하여 프로덕션 환경을 개발 및 테스트 환경으로부터 격리하거나 결제 카드 산업 데이터 보안 표준 (PCI DSS) 또는 건강 보험 이전 및 책임법 (HIPAA) 과 같은 다양한 분류의 데이터를 처리하는 워크로드 간에 강력한 논리적 경계를 제공하는 데 사용됩니다. 단일 계정으로 AWS 여정을 시작할 수도 있지만, 워크로드의 규모와 복잡성이 커지면 여러 계정을 설정하는 것이 좋습니다. 

권한을 통해 AWS 리소스에 대한 액세스를 지정할 수 있습니다. 권한은 보안 주체 (사용자, 그룹, 역할) 로 알려진 IAM 개체에 부여됩니다. 기본적으로 보안 주체는 권한 없이 시작합니다. IAM 개체는 권한을 부여하기 전까지는 AWS에서 아무것도 할 수 없으며, 전체 AWS 조직만큼 광범위하게 적용되거나 주체, 조치, 리소스 및 조건의 개별 조합으로 세분화하여 적용되는 가드레일을 설정할 수 있습니다.