이 AWS 솔루션 구현은 어떤 기능을 제공합니까?

AWS Landing Zone은 AWS 모범 사례에 따라 안전한 다중 계정 AWS 환경을 빠르게 설정할 수 있도록 하는 솔루션입니다. 다중 계정 환경에는 설계 선택 사항이 많기 때문에 환경을 설정할 때 상당한 시간이 소요되고, 여러 계정 및 서비스를 구성해야 하며, AWS 서비스에 대한 깊은 이해가 요구될 수 있습니다.

이 솔루션을 사용하면 안전하고 확장 가능한 워크로드 실행을 위한 환경이 자동으로 설정되고 핵심 계정 및 리소스 생성을 통해 초기 보안 기준이 구현되므로 시간을 절약할 수 있습니다. 또한, 다중 계정 아키텍처, ID 및 액세스 관리, 거버넌스, 데이터 보안, 네트워크 설계 및 로깅으로 시작하기 위한 기준 환경을 제공합니다.

이 솔루션은 최신 Node.js 런타임을 사용합니다. 버전 2.3은 Node.js 8.10 런타임을 사용하며, 2019년 12월 31일에 지원이 중단됩니다. 최신 버전으로 업그레이드하려면 스택을 업데이트하십시오.  

AWS Landing Zone

버전 2.4.1
최종 업데이트 날짜: 2020년 9월
작성: AWS

이 솔루션은 AWS Solutions Architects 또는 Professional Services 컨설턴트에서 AWS 계정, 네트워크, 보안 정책의 사용자 지정된 기준을 생성하기 위해 제공합니다.

아래 버튼을 사용하여 솔루션 업데이트에 가입하십시오.

참고: RSS 업데이트에 가입하려면 사용 중인 브라우저에 대해 RSS 플러그인이 활성화되어 있어야 합니다.  

이 솔루션 구현이 도움이 되었습니까?
피드백 제공 

AWS 솔루션 구현 개요

AWS Landing Zone 솔루션은 AWS Account Vending Machine(AVM) 제품을 배포하여 새로운 계정을 프로비저닝하고 자동으로 구성합니다. AVM은 AWS Single Sign-On(SSO)을 활용하여 사용자 계정 액세스를 관리합니다. 고객은 이 환경을 사용자 지정하여 Landing Zone 구성 및 업데이트 파이프라인을 통해 자체 계정 기준을 구현할 수 있습니다.

  • 다중 계정 구조
  • Account Vending Machine
  • 사용자 액세스
  • 알림
  • 다중 계정 구조
  • AWS Landing Zone 솔루션에는 4개의 계정과 AWS Service Catalog를 사용하여 배포할 수 있는 애드온 제품(예: Centralized Logging 솔루션, AWS Managed AD and Directory Connector for AWS SSO)이 포함됩니다.

    aws-landing-zone-architecture
     확대하려면 클릭
    AWS Organization 계정

    AWS Landing Zone이 AWS Organizations 계정에 배포됩니다. 이 계정은 구성을 관리하고 AWS Landing Zone 관리형 계정에 액세스하는 데 사용됩니다. AWS Organizations 계정은 멤버 계정을 생성하고 재정적으로 관리하는 기능을 제공합니다. AWS Landing Zone 구성 Amazon Simple Storage Service(Amazon S3) 버킷과 파이프라인, 계정 구성 StackSets, AWS Organizations 서비스 제어 정책(SCP), AWS Single Sign-On(SSO) 구성이 포함됩니다.

    로그 서비스 계정

    공유 서비스 계정은 디렉터리 서비스와 같은 인프라 공유 서비스에 대한 참조입니다. 기본적으로 이 계정은 Account Vending Machine (AVM)으로 생성된 새로운 AWS 계정과 자동으로 피어링될 수 있는 공유된 Amazon Virtual Private Cloud(VPC)에서 AWS SSO 통합을 위한 AWS 관리형 Active Directory를 호스팅합니다.

    로그 아카이브 계정

    로그 아카이브 계정에는 로그 아카이브 계정에 있는 모든 AWS CloudTrail 및 AWS Config 로그 파일의 사본을 저장하기 위한 중앙 Amazon S3 버킷이 있습니다.

    보안 계정

    보안 계정은 모든 AWS Landing Zone 관리형 계정에 대한 감사자(읽기 전용) 및 관리자(전체 액세스) 교차 계정 역할을 생성합니다. 이 역할은 회사 보안 및 규정 준수 팀이 인시던트 발생 시 긴급 보안 작업을 감사하거나 수행하는 데 사용하는 것을 목적으로 합니다.

    또한, 이 계정은 마스터 Amazon GuardDuty 계정으로 지정됩니다. 마스터 계정 사용자는 GuardDuty를 구성하고 자신의 계정 및 모든 멤버 계정에 대한 GuardDuty 결과를 확인할 수 있습니다.

  • Account Vending Machine
  • Account Vending Machine(AVM)은 AWS Landing Zone 주요 구성 요소입니다. AVM은 AWS Service Catalog 제품으로 제공되는데, 고객이 계정 보안 기준으로 사전 구성된 조직 단위(OU)의 새 AWS 계정과 사전 정의된 네트워크를 생성합니다.

    aws-landing-zone-account-vending-machine
     확대하려면 클릭

    AWS Landing Zone은 AWS Service Catalog를 활용해서 AWS Landing Zone 제품을 생성, 관리하기 위한 관리자 권한과 AVM 제품을 실행, 관리하는 최종 사용자 권한을 부여합니다.

    AVM은 시작 제약 사항을 통해 최종 사용자가 계정 관리자의 허가 없이도 새 계정을 생성하도록 지원합니다.

  • 사용자 액세스
  • AWS 계정에 권한이 최소화된 개별 사용자 액세스를 제공하는 것은 AWS 계정 관리의 필수적이면서도 기본적인 구성 요소입니다. AWS Landing Zone 솔루션은 고객에게 사용자 및 그룹을 저장하는 2가지 옵션을 제공합니다.

    aws-landing-zone-user-access
     확대하려면 클릭
    AWS SSO 디렉터리를 포함한 SSO

    기본 구성은 AWS SSO 디렉터리를 포함한 AWS Single Sign-On(SSO)을 배포하는데, SSO에서 사용자 및 그룹을 관리할 수 있습니다.

    AWS 계정에 사용자 액세스를 연동하기 위해 SSO 엔드포인트가 생성됩니다.

  • 알림
  • AWS Landing Zone 솔루션은 루트 계정 로그인, 콘솔 로그인 실패, API 인증 실패, 계정 내 변경 사항(보안 그룹, 네트워크 ACL, Amazon VPC 게이트웨이, 피어링 연결, ClassicLink, Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 상태, 라지 Amazon EC2 인스턴스 상태, AWS CloudTrail, AWS Identity and Access Management(IAM) 정책, AWS Config 규칙 준수 상태)이 발생할 경우 알림을 전송하도록 Amazon CloudWatch 경보 및 이벤트를 구성합니다.

    aws-landing-zone-notifications
     확대하려면 클릭

    이 솔루션은 각 계정이 로컬 Amazon Simple Notification Service(Amazon SNS) 주제로 알림을 전송하도록 구성합니다.

    All Configuration Events 주제가 모든 관리형 계정에서 AWS CloudTrail 및 AWS Config 알림을 집계합니다.

    Aggregate Security Notifications 주제는 특정 Amazon CloudWatch 이벤트, AWS Config Rules 규정 준수 상태 변경 이벤트, AWS GuardDuty 결과에서 보안 알림을 집계합니다.

    AWS Lambda 함수는 보안 알림 주제를 자동 구독하고 모든 알림을 AWS Organizations 계정의 집계 Amazon SNS 주제로 전달합니다.

    이 아키텍처는 로컬 관리자가 특정 계정의 알림을 구독 및 수신하도록 설계되었습니다.

보안 기준

AWS Landing Zone 솔루션에는 조직에 맞는 사용자 지정 계정 보안 기준을 수립하고 이행하기 위한 시작점으로 사용할 수 있는 초기 보안 기준이 포함됩니다. 기본적으로 초기 보안 기준에는 다음과 같은 설정이 포함됩니다.

AWS CloudTrail

CloudTrail 트레일 1개가 각 계정에 생성되고 로그 아카이브 계정의 중앙에서 관리되는 Amazon Simple Storage Service(Amazon S3) 버킷, 그리고 로컬 작업을 위한 로컬 계정의 AWS CloudWatch Logs(14일간 로그 그룹을 보관하는 정책)로 로그를 전송하도록 구성됩니다.

AWS Config

AWS Config가 활성화되고 계정 구성 로그 파일은 로그 아카이브 계정의 중앙에서 관리되는 Amazon S3 버킷에 저장됩니다.

AWS Config 규칙

AWS Config 규칙은 스토리지 암호화(Amazon Elastic Block Store, Amazon S3, Amazon Relational Database Service), AWS Identity and Access Management(IAM) 암호 정책, 루트 계정 다단계 인증(MFA), Amazon S3 퍼블릭 읽기 및 쓰기, 위험한 보안 그룹 규칙을 모니터링하도록 활성화됩니다.

AWS Identity and Access Management

AWS Identity and Access Management(IAM)는 IAM 암호 정책을 구성하는 데 사용합니다.

교차 계정 액세스

교차 계정 액세스는 보안 계정에서 AWS Landing Zone 계정에 대한 감사 및 긴급 보안 관리 액세스를 구성하는 데 사용됩니다.

Amazon Virtual Private Cloud(VPC)

Amazon VPC는 계정의 최초 네트워크를 구성합니다. 모든 리전에서 기본 VPC를 삭제하고, AVM에서 요청한 네트워크 유형을 배포하고, 때에 따라 Shared Services VPC로 네트워크 피어링을 실행하는 과정이 포함됩니다.

AWS Landing Zone 알림

Amazon CloudWatch 경고 및 이벤트는 루트 계정 로그인, 콘솔 로그인 실패, 계정 내 API 인증 실패가 발생할 시 알림을 전송하도록 구성됩니다.

Amazon GuardDuty

Amazon GuardDuty는 멤버 계정에서 GuardDuty 결과를 확인 및 관리하도록 구성됩니다.
구축 아이콘
솔루션 직접 배포

AWS 솔루션 구현 라이브러리에서 일반적인 아키텍처 문제에 대한 답을 검색해 보실 수 있습니다.

자세히 알아보기 
APN 파트너 찾기
APN 파트너 찾기

시작하는 데 도움이 되는 AWS 공인 컨설팅 및 기술 파트너를 찾으십시오.

자세히 알아보기 
살펴보기 아이콘
솔루션 컨설팅 오퍼 살펴보기

AWS의 컨설팅 오퍼 포트폴리오를 살펴보고 솔루션 배포 시 AWS의 검증된 지원을 받으세요.

자세히 알아보기