공유 계정 정보 - AWS Control Tower란
관리 계정로그 아카이브 계정감사 계정

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

공유 계정 정보

관리 계정, 감사 계정 및 로그 아카이브 계정이라는 세 가지 특수AWS 계정가 AWS Control Tower와 연결되어 있습니다. 이러한 계정을 일반적으로 공유 계정이라고 하며, 때때로 코어 계정이라고도 합니다.

  • 랜딩 존을 설정할 때 감사 및 로그 아카이브 계정의 사용자 지정 이름을 선택할 수 있습니다. 계정 이름 변경에 대한 자세한 내용은 외부에서 AWS Control Tower 리소스 이름 변경을 참조하세요.

  • 초기 랜딩 존 설정 프로세스 중에 기존AWS 계정를 AWS Control Tower 보안 또는 로깅 계정으로 지정할 수도 있습니다. 이 옵션을 사용하면 AWS Control Tower에서 새 공유 계정을 생성할 필요가 없습니다. (이는 일회성 선택입니다.)

공유 계정 및 연결된 리소스에 대한 자세한 내용은 공유 계정에서 생성된 리소스 섹션을 참조하세요.

관리 계정

그러면 AWS Control Tower가AWS 계정시작됩니다. 기본적으로 이 계정의 루트 사용자와 이 계정의 IAM 사용자 또는 IAM 관리자 사용자는 랜딩 존 내의 모든 리소스에 대한 전체 액세스 권한을 갖습니다.

참고

AWS Control Tower 콘솔 내에서 관리 기능을 수행할 때는 이 계정의 루트 사용자 또는 IAM 관리자 사용자로 로그인하는 대신 관리자 권한이 있는 IAM Identity Center 사용자로 로그인하는 것이 좋습니다.

관리 계정에서 사용할 수 있는 역할 및 리소스에 대한 자세한 내용은 공유 계정에서 생성된 리소스 섹션을 참조하세요.

로그 아카이브 계정

특별히 다른 계정을 가져오지 않으면 랜딩 존을 생성할 때 로그 아카이브 공유AWS계정이 자동으로 설정됩니다.

이 계정에는 랜딩 존의 다른 모든 계정에 대한 모든AWS CloudTrail및AWS Config로그 파일의 사본을 저장하기 위한 중앙 Amazon S3 버킷이 포함되어 있습니다. 모범 사례로, 로그 아카이브 계정에 대한 액세스를 규정 준수 및 조사를 담당하는 팀과 이와 관련된 보안 또는 감사 도구로 제한하는 것이 좋습니다. 이 계정은 자동 보안 감사에 사용하거나 Lambda 함수AWS Config 규칙와 같은 사용자 지정를 호스팅하여 문제 해결 작업을 수행하는 데 사용할 수 있습니다.

Amazon S3 버킷 정책

AWS Control Tower 랜딩 존 버전 3.3 이상의 경우 계정은 감사 버킷에 대한 모든 쓰기 권한에 대해 aws:SourceOrgID 조건을 충족해야 합니다. 이 조건은 CloudTrail만 조직 내 계정을 대신하여 S3 버킷에 로그를 쓸 수 있도록 보장하며, 조직 외부의 CloudTrail 로그가 AWS Control Tower S3 버킷에 기록되지 않도록 방지합니다. 자세한 내용은 AWS Control Tower 랜딩 존 버전 3.3 단원을 참조하십시오.

로그 아카이브 계정에서 사용할 수 있는 역할 및 리소스에 대한 자세한 내용은 로그 아카이브 계정 리소스 섹션을 참조하세요.

참고

이러한 로그는 변경할 수 없습니다. 모든 로그는 계정 활동과 관련된 감사 및 규정 준수 조사를 위해 저장됩니다.

감사 계정

구체적으로 또 다른 계정을 가져오지 않는 한, 이 공유 계정은 랜딩 존을 생성할 때 자동으로 설정됩니다.

감사 계정은 랜딩 존의 모든 계정에 대한 감사자(읽기 전용) 및 관리자(전체 액세스) 교차 계정 역할이 있는 보안 및 규정 준수 팀으로 제한되어야 합니다. 이러한 역할은 보안 및 규정 준수 팀이 다음 작업을 수행할 수 있도록 하기 위한 것입니다.

  • 사용자 지정AWS Config규칙 Lambda 함수 호스팅과 같은AWS메커니즘을 통해 감사를 수행합니다.

  • 문제 해결 작업과 같은 자동 보안 작업을 수행합니다.

또한 감사 계정은 Amazon Simple Notification Service(Amazon SNS) 서비스를 통해 알림을 수신합니다. 세 가지 범주의 알림을 수신할 수 있습니다.

  • 모든 구성 이벤트 -이 주제에서는 랜딩 존의 모든 계정에서 모든 CloudTrail 및AWS Config알림을 집계합니다.

  • 보안 알림 집계 - 이 주제는 특정 CloudWatch 이벤트,AWS Config 규칙규정 준수 상태 변경 이벤트 및 GuardDuty 조사 결과의 모든 보안 알림을 집계합니다.

  • 드리프트 알림 - 이 주제는 랜딩 존의 모든 계정, 사용자, OU 및 SCP에서 검색된 모든 드리프트 경고를 집계합니다. 드리프트에 대한 자세한 내용은 AWS Control Tower의 드리프트 감지 및 해결 섹션을 참조하세요.

멤버 계정 내에서 트리거되는 감사 알림도 로컬 Amazon SNS 주제에 알림을 보낼 수 있습니다. 이 기능을 사용하면 계정 관리자가 개별 멤버 계정과 관련된 감사 알림을 구독할 수 있습니다. 따라서 관리자는 중앙 집중식 감사 계정에 대한 모든 계정 알림을 집계하면서 개별 계정에 영향을 미치는 문제를 해결할 수 있습니다. 자세한 내용은 Amazon Simple Notification Service 개발자 안내서를 참조하세요.

감사 계정에서 사용할 수 있는 역할 및 리소스에 대한 자세한 내용은 계정 리소스 감사 섹션을 참조하세요.

프로그래밍 방식 감사에 대한 자세한 내용은 AWS Control Tower 감사 계정에 대한 프로그래밍 방식 역할 및 신뢰 관계를 참조하세요.

중요

감사 계정에 제공한 이메일 주소는 AWS Control Tower에서 지원하는 모든AWS 리전에서 AWS알림 - 구독 확인 이메일을 수신합니다. 감사 계정에서 규정 준수 이메일을 수신하려면 AWS Control Tower에서AWS 리전지원하는 각의 각 이메일 내에서 구독 확인 링크를 선택해야 합니다.