랜딩 존 생성 - AWS 규범적 지침

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

랜딩 존 생성

랜딩 존은 워크로드와 애플리케이션을 배포할 수 있는 시작점인 잘 설계된 다중 계정 AWS 환경입니다. 다중 계정 아키텍처, ID 및 액세스 관리, 거버넌스, 데이터 보안, 네트워크 설계 및 로깅을 시작할 수 있는 기준선을 제공합니다. AWS Control Tower는 자동화된 가드레일을 제공하여 다중 계정 환경의 유지 및 거버넌스를 단순화하는 서비스입니다. 일반적으로 모든 AWS 리전에서 환경을 관리하는 단일 AWS Control Tower 랜딩 존을 프로비저닝합니다. AWS Control Tower는 계정 내의 다른 AWS 서비스를 오케스트레이션하여 작동합니다. 자세한 내용은 What happens when you set up a landing zone(AWS Control Tower 설명서)을 참조하세요.

AWS Control Tower로 랜딩 존을 설정할 때 관리 계정, 로그 아카이브 계정, 감사 계정의 세 가지 공유 계정을 식별합니다. 자세한 내용은 What are the shared accounts(AWS Control Tower 설명서)를 참조하세요. 관리 계정의 경우 워크로드를 호스팅하지 않는 기존 계정을 사용하여 랜딩 존을 설정해야 합니다. 그 아카이브 및 감사 계정의 경우 기존 AWS 계정을 재사용하거나 AWS Control Tower가 이를 생성할 수 있습니다.

AWS Control Tower 랜딩 존을 설정하는 방법에 대한 지침은 Getting started(AWS Control Tower 설명서)를 참조하세요.

모범 사례

  • Design principles for your multi-account strategy(AWS 백서)의 모범 사례를 준수합니다.

  • Best practices for AWS Control Tower administrators를 준수합니다(AWS Control Tower 설명서).

  • 대부분의 워크로드를 호스팅하는 AWS 리전에 랜딩 존을 생성합니다.

    중요

    랜딩 존을 배포한 후 이 리전을 변경하기로 결정하는 경우 AWS Support의 지원이 필요하며 랜딩 존 서비스를 해제해야 합니다. 이 방법은 권장되지 않습니다.

  • AWS Control Tower가 관리할 리전을 결정할 때 워크로드를 즉시 배포할 것으로 예상되는 리전만 선택합니다. 이러한 리전을 변경하거나 나중에 더 추가할 수 있습니다. AWS Control Tower는 리전을 관리할 경우 해당 리전에 탐지 가드레일을 AWS Config 규칙으로 배포합니다.

  • AWS Control Tower가 관리할 리전을 결정한 후 관리되지 않는 모든 리전에 대한 액세스를 거부합니다. 그러면 워크로드 및 개발자가 승인된 AWS 리전만 사용할 수 있습니다. 이는 조직의 서비스 제어 정책(SCP)으로 구현됩니다. 자세한 내용은 Configure the AWS 리전 deny control(AWS Control Tower 설명서)을 참조하세요.

  • AWS Control Tower에서 랜딩 존을 설정할 때 다음 OU와 계정의 이름을 바꾸는 것이 좋습니다.

    • Security OU의 이름을 Security_Prod로 변경하여 이 OU가 프로덕션 보안 관련 AWS 계정에 사용됨을 나타내는 것이 좋습니다.

    • AWS Control Tower가 추가 OU를 생성하도록 허용한 다음 이름을 Sandbox에서 Workloads로 바꾸는 것이 좋습니다. 다음 섹션에서는 AWS 계정을 구성하는 데 사용하는 Workloads OU 내에 추가 OU를 생성합니다.

    • 중앙 집중식 로깅 AWS 계정의 이름을 Log Archive에서 log-archive-prod로 바꾸는 것이 좋습니다.

    • 감사 계정의 이름을 Audit에서 security-tooling-prod로 바꾸는 것이 좋습니다.

  • 사기를 방지하기 위해 AWS에서는 AWS Control Tower 랜딩 존에 추가하기 전에 AWS 계정에 사용 기록이 있어야 합니다. 사용 기록 없이 새 AWS 계정을 사용하는 경우 새 계정에서 AWS 프리 티어에 없는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 시작할 수 있습니다. 인스턴스를 몇 분 동안 실행한 후 종료합니다.