Amazon Web Services 한국 블로그
AWS Control Tower – 다중 계정 AWS 환경 설정 및 제어 서비스 정식 출시
AWS 고객의 멀티 계정 내부의 표준 환경을 설정하는 자동화 서비스인 AWS Control Tower의 정식 버전을 정식 출시합니다.
본 서비스는 보안적으로 우수하게 설계되어 즉시 사용할 수 있으며, AWS 프로페셔널 서비스팀이 수천 건의 고객 컨설팅을 통해 얻은 지식을 통합하며, 기술 백서, 문서, Well-Architected 프레임워크 및 교육에서 있는 권장 사항도 포함합니다. Control Tower에서 제공하는 지침은 공정하고 규범적이며 클라우드 여정을 가속화하도록 설계되었습니다.
AWS Control Tower는 AWS Organizations, AWS Identity and Access Management(IAM)(서비스 제어 정책 포함), AWS Config, AWS CloudTrail, AWS Service Catalog 등의 여러 AWS 서비스를 기반으로 합니다. 워크플로, 대시보드 및 설정 단계에서 수집한 정보를 중심으로 통합된 환경을 구축할 수 있습니다. AWS Control Tower는 랜딩 존을 자동화하여 다음이 포함된 기준 환경을 설정합니다.
- AWS Organizations를 사용하는 다중 계정 환경
- AWS Single Sign-On (SSO)를 사용하는 ID 관리
- AWS SSO를 사용하는, 계정에 대한 페더레이션된 액세스
- Amazon S3에 저장된 AWS CloudTrail 및 AWS Config의 중앙 집중화된 로깅
- AWS IAM 및 AWS SSO를 사용하는 교차 계정 보안 감사
더 자세히 들어가기 전에 몇 가지 주요 Control Tower 용어를 살펴보겠습니다.
- 랜딩 존 – Control Tower가 새로운 AWS 계정에서 시작하여 자동으로 설정하는 전체 다중 계정 환경입니다.
- 가드레일 – 보안, 규정 준수 및 비용 관리에 중점을 두고 정책 제어를 자동으로 구현합니다. 가드레일은 예방(위험한 것으로 간주되는 작업 차단) 또는 탐지(규정을 따르지 않는 작업에 대한 경고 발생)가 될 수 있습니다.
- 블루프린트 – 랜딩 존을 설정하는 데 사용되는 Well-Architected 설계 패턴입니다.
- 환경 – 환경에는 애플리케이션을 실행하도록 구성된 AWS 계정과 리소스가 있습니다. 사용자는 새로운 환경에 대한 요청을 하고(서비스 카탈로그를 통해) Control Tower는 자동화된 워크플로를 사용하여 리소스를 프로비저닝합니다.
Control Tower 시작하기
새로운 AWS 계정에서 시작하여 Control Tower 콘솔을 열고 [랜딩 존 설정]을 클릭하여 시작해 보겠습니다.
AWS Control Tower는 로그 보관 및 감사를 위한 AWS 계정을 만들고 AWS 계정과 아직 연결되지 않은 이메일 주소를 필요로 합니다. 저는 두 개의 주소를 입력하고 서비스 권한 내에서 정보를 검토하고 Control Tower에 AWS 리소스 및 서비스를 관리할 수 있는 권한을 제공하고, [랜딩 존 설정]을 클릭합니다.
설정 프로세스는 대략 한 시간 동안 실행되며 그 과정에서 상태 업데이트가 제공됩니다.
프로세스 초기에, Control Tower에서 계정 소유권을 확인하고 AWS SSO에 참여하도록 계정을 초대하고 몇몇 SNS 주제를 구독할 수 있도록 몇 가지 이메일 요청을 보냅니다. 요청에는 설정 프로세스를 진행하기 위해 클릭해야 하는 링크가 포함되어 있습니다. 두 번째 이메일에서도 계정에 대한 AWS SSO 암호를 생성하도록 요청합니다. 설정이 완료되면 AWS Control Tower에 상태 보고서가 표시됩니다.
콘솔은 몇 가지 권장 작업을 제공합니다.
여기서는 필수 가드레일을 적용하고 선택적인 가드레일을 활성화할 수 있습니다.
OU(조직 단위)와 계정 및 각각의 규정 준수 상태(가드레일 관련)를 볼 수 있습니다.
계정 팩토리 사용하기
왼쪽의 탐색을 통해 Control Tower에서 생성하고 관리하는 모든 AWS 리소스에 액세스할 수 있습니다. 제 기준 환경이 설정되었으므로 이제 계정 팩토리를 클릭하여 팀, 애플리케이션 등에 AWS 계정을 제공할 수 있습니다.
계정 팩토리에 제 네트워크 구성이 표시되며(나중에 편집하는 방법을 보여줄 예정) 계정 팩토리 네트워크 구성을 편집하거나 새 계정을 제공하는 옵션을 제공합니다.
계정을 프로비저닝할 때 VPC가 생성되는 리전을 비롯하여 새 계정에 사용되는 VPC 구성을 제어할 수 있습니다.
계정 팩토리는 AWS Service Catalog에 자동으로 게시됩니다. 저는 조직의 개발자와 마찬가지로 필요한 경우 관리 계정을 프로비저닝할 수 있습니다. [AWS Control Tower Account Factory(AWS Control Tower 계정 팩토리)]를 클릭하여 계속 진행합니다.
세부 정보를 검토하고 [LAUNCH PRODUCT(제품 시작)]를 클릭하여 새 계정을 프로비저닝합니다.
가드레일 작업하기
앞에서 언급했듯이 Control Tower의 가드레일은 [Mandatory(필수)] 또는 [Strongly Recommended(강력 권장)]인 지침을 제공합니다.
가드레일은 [IAM Service Control Policy(IAM 서비스 제어 정책)] 또는 [AWS Config rule(AWS Config 규칙)]을 통해 구현되며 OU 단위로 활성화할 수 있습니다.
정식 출시
AWS Control Tower는 정식 출시되었으며 미국 동부(버지니아 북부), 미국 동부(오하이오), 미국 서부(오레곤) 및 유럽(아일랜드) 리전에서 바로 사용할 수 있습니다. 이후 사용 가능한 리전은 늘어날 예정입니다. Control Tower 서비스는 무료입니다. 사용자를 대신하여 생성하는 AWS 리소스에 대해서만 비용을 지불하면 됩니다.
더 많은 AWS 리전에 대한 지원을 추가할 뿐만 아니라, 기존 AWS 계정 옆에 병렬 랜딩 존을 설정하고 사용자 지정 가드레일을 생성하고 사용할 수 있는 기능을 제공하기 위해 노력하고 있습니다.
— Jeff;