AWS 계정 관리 및 분리 - 보안 원칙

AWS 계정 관리 및 분리

조직의 보고 구조를 미러링하는 대신 기능, 규정 준수 요구 사항 또는 공통 제어 요소를 기반으로 별도의 계정과 그룹 계정에 워크로드를 구성하는 것이 좋습니다. AWS에서 계정은 뚜렷한 경계를 가지고 있습니다. 예를 들어 프로덕션 워크로드를 개발 및 테스트 워크로드에서 격리하려면 계정 수준의 분리를 적극 권장합니다.

중앙에서 계정 관리: AWS Organizations 는 AWS 계정 생성 및 관리,그리고 생성된 계정에 대한 제어를 자동화합니다. AWS Organizations를 통해 계정을 생성할 때는 사용할 이메일 주소를 신중히 선택해야 합니다. 이 이메일 주소가 암호를 재설정할 수 있는 루트 사용자가 되기 때문입니다. Organizations를 사용하면 여러 계정을 OU(조직 단위)로 그룹화하여 워크로드의 요구 사항과 용도에 따라 서로 다른 환경을 나타내도록 할 수 있습니다.

중앙에서 제어 설정: 적절한 수준의 특정 서비스, 리전 및 서비스 작업만 허용하여 AWS 계정에서 수행할 수 있는 작업을 제어하세요. AWS Organizations에서는 서비스 제어 정책(SCP)을 사용하여 모든 조직에 적용되는 조직, 조직 단위 또는 계정 수준에서 권한 가드레일을 적용할 수 있습니다. AWS Identity and Access Management (IAM) 사용자와 역할에 적용할 수 있습니다. 예를 들어 사용자가 명시적으로 허용하지 않은 리전에서는 리소스를 시작하지 못하도록 제한하는 SCP를 적용할 수 있습니다. AWS Control Tower는 여러 계정을 간편하게 설정하고 관리하는 방법을 제공합니다. 이는 AWS Organizations에서 계정 설정 및 프로비저닝을 자동화하고 가드레일 (예방 및 탐지 포함)을 적용하며 대시보드를 제공하여 가시성을 확보해줍니다.

중앙에서 서비스 및 리소스 구성: AWS Organizations를 사용하면 모든 계정에 적용되는 AWS 서비스 를 구성할 수 있습니다. 예를 들어 AWS CloudTrail, 회원 계정이 로깅을 비활성화하는 것을 방지합니다. 또한 정의한 규칙에 대해 AWS Config를 사용하여 중앙에서 데이터를 취합할 수 있으므로 워크로드를 감사하여 규정 준수 여부를 확인하고, 변화에 신속하게 대응하도록 지원할 수 있습니다. AWS CloudFormation StackSets 를 사용하면 조직 내의 여러 계정 및 OU에 걸쳐 AWS CloudFormation 스택을 중앙에서 관리할 수 있습니다. 이렇게 하면 보안 요구 사항에 부합하도록 새 계정을 자동으로 프로비저닝할 수 있습니다.

보안 서비스의 위임된 관리 기능을 사용하여 조직의 결제(관리) 계정에서 관리에 사용되는 계정을 분리하세요. GuardDuty, Security Hub, AWS Config 등의 여러 AWS 서비스에서는 관리 기능을 위해 특정 계정을 지정하는 등 AWS Organizations와의 통합을 지원합니다.

모범 사례