Amazon Web Services 한국 블로그
다중 계정 AWS 환경 설정을 위한 AWS Control Tower – 서울 리전 출시
다중 계정 AWS 환경을 설정하고 관리하는 가장 쉬운 방법을 제공하는 AWS Control Tower 서비스가 서울 리전에 출시되었습니다.
AWS Control Tower는 안전하고 이상적으로 설계된 다중 계정 AWS 환경인 기준 환경, 즉 랜딩 영역의 설정을 자동화합니다. 랜딩 영역은 보안, 운영 및 규정 준수 규칙을 통해 AWS 워크로드를 더 쉽게 관리하게 해 주는 안전한 환경을 조성하기 위해 수많은 엔터프라이즈 고객이 구축한 모범 사례를 바탕으로 구성할 수 있습니다.
기존에 서울 리전에서는 Control Tower 대신 AWS Landing Zone이라는 별도 솔루션을 제공했습니다. 기존 AWS Landing Zone 솔루션은 계속 지원은 하지만, 향후 추가 기능을 제공하지 않습니다. 앞으로는 AWS Control Tower를 사용하시길 권장합니다.
AWS Control Tower에는 다음과 같은 주요 기능을 바로 사용해 볼 수 있습니다.
계정 팩토리
계정 팩토리는 사내에서 사용할 새로운 AWS 계정 생성을 자동화합니다. 기존에 사전 승인된 계정 구성 템플릿으로 표준화된 계정을 만드는데 도움이됩니다. 사전 승인 된 네트워크 구성, 리전 선택 및 AWS Service Catalog를 사용하여 새 계정을 구성하고 프로비저닝 할 수 있도록 셀프 서비스를 활성화 할 수 있습니다.
랜딩 영역(Zone)
랜딩 존은 보안 및 규정 준수 모범 사례를 기반으로하는 잘 설계된 다중 계정 기반 AWS 서비스 환경입니다. 자격 증명, 연동 액세스 및 계정 구조에 대한 모범 사례를 블루 프린트로 만들어서 새로운 랜딩 영역 설정을 자동화해 줍니다. 랜딩 영역에서 자동으로 구현되는 블루 프린트에는 다음과 같은 사례가 있습니다.
- AWS Organizations를 사용하여 다중 계정 환경 생성하기
- AWS Single Sign-On (SSO) 기본 디렉터리를 사용하여 자격 증명 관리 제공
- AWS SSO를 사용하여 계정에 대한 연동 액세스 제공
- AWS CloudTrail 및 Amazon S3에 저장된 AWS Config의 로깅 중앙 집중화
- AWS IAM 및 AWS SSO를 사용한 보안 감사
AWS Control Tower에서 설정한 랜딩 영역은 고객이 스스로 콘솔을 통해 선택한 필수 및 강력 권장 가드 레일 세트를 사용하여 관리하며, 이를 통해 여러 계정 및 구성이 정책을 준수하는지 확인 가능합니다.
가드 레일
가드 레일은 보안, 운영 및 규정 준수를 위한 사전 패키지 된 거버넌스 규칙입니다. 가드 레일은 AWS Organizations 조직 단위 (OU) 내에서 활성화 할 수 있는 AWS 환경에 대한 특정 거버넌스 정책입니다. 각 가드 레일은 1) 방지 가드 레일 – 의도를 설정하고 정책을 준수하지 않는 리소스 배포 방지 (예: 모든 계정에서 AWS CloudTrail 활성화), 2) 감지 가드 레일 – 배포된 리소스의 부적합을 지속적으로 모니터링 (예: S3 버킷에 대한 퍼블릭 읽기 액세스 허용 안 함)의 두 가지를 사용 가능합니다. Control Tower는 다음을 통해 가드 레일을 세분화 된 AWS 정책으로 자동 변환합니다.
- AWS CloudFormation을 사용하여 구성 기준 설정
- 서비스 제어 정책을 사용하여 기본 구성 변경 방지 (방지 가드 레일 용)
- AWS Config 규칙을 통해 지속적으로 구성 변경 감지 (감지 가드 레일 용)
- 대시 보드에서 가드 레일 상태 업데이트
AWS Control Tower는 AWS 모범 사례와 거버넌스에 대한 공통 고객 정책을 기반으로 선별된 추천 가드 레일 세트를 제공합니다. 랜딩 영역 설정 중에 이러한 필수 가드 레일을 자동으로 활용할 수 있습니다.
대시 보드
Control Tower 대시 보드는 AWS 환경에 대한 지속적인 가시성을 제공합니다. 프로비저닝 된 OU 및 계정 수, 활성화 된 가드 레일 수를 보고 해당 가드 레일에 대해 OU 및 계정의 상태를 확인할 수 있습니다. 활성화 된 가드 레일과 관련하여 비준수 리소스 목록을 볼 수도 있습니다.
관련 정보
Customizations for AWS Control Tower 솔루션은 AWS Control Tower와 다른 신뢰할 수 있는 고가용성 AWS 서비스를 결합하여 고객이 AWS 모범 사례를 적용해서 보다 신속하게 안전한 다중 계정 AWS 환경을 설정하도록 도와줍니다.
AWS Marketplace for AWS Control Tower 솔루션은 소프트웨어 파트너사가 다중 계정 환경에 대한 보안, 중앙 집중식 네트워킹, 운영 인텔리전스, 보안 및 정보 이벤트 관리 (SIEM)를 포함한 인프라 및 운영에 도움을 주는 솔루션을 제공합니다.
AWS Control Tower에 대해서는 AWS Control Tower – 다중 계정 AWS 환경 설정 및 제어 서비스 정식 출시 블로그 글이나 아래 한국어 동영상 통해 배워 보시기 바랍니다.
더 자세한 것은 AWS Control Tower 제품 페이지 및 기술 문서를 참고하세요.
– Channy(윤석찬);