기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
다중 계정 환경 모범 사례
다음 권장 사항은 AWS Organizations에서 다중 계정 환경을 설정하고 관리하는 방법을 알려 드립니다.
계정 및 자격 증명
루트 액세스 관리를 활성화하여 멤버 계정의 루트 사용자 자격 증명 관리 단순화
멤버 계정의 루트 사용자 자격 증명을 모니터링하고 제거하는 데 도움이 되도록 루트 액세스 관리를 활성화하는 것이 좋습니다. 루트 액세스 관리는 루트 사용자 자격 증명 복구를 방지하여 조직의 계정 보안을 개선합니다.
멤버 계정 루트 사용자 자격 증명을 제거하여 루트 사용자의 계정 복구를 방지합니다. 이는 또한 멤버 계정이 루트 사용자를 복구하지 못하게 합니다.
권한 있는 세션을 맡아 멤버 계정에서 다음 작업을 수행합니다.
모든 위탁자의 Amazon S3 버킷 액세스를 거부하는 잘못 구성된 버킷 정책을 제거합니다.
모든 위탁자가 Amazon SQS 대기열에 액세스하는 것을 거부하는 Amazon Simple Queue Service 리소스 기반 정책을 삭제합니다.
멤버 계정이 루트 사용자 자격 증명을 복구하도록 허용합니다. 그러면 멤버 계정의 루트 사용자 이메일 받은 편지함에 액세스할 수 있는 사람이 루트 사용자 암호를 재설정하고 멤버 계정 루트 사용자로 로그인할 수 있습니다.
루트 액세스 관리가 활성화된 후 새로 생성된 멤버 계정은 보안 내재화되며 루트 사용자 자격 증명이 없으므로 프로비저닝 후 MFA와 같은 추가 보안이 필요하지 않습니다.
자세한 내용은 AWS Identity and Access Management 사용 설명서의 멤버 계정의 루트 사용자 자격 증명 중앙 집중화를 참조하세요.
연락 전화번호를 최신 상태로 유지하기
AWS 계정에 대한 액세스 권한을 복구하려면 문자 메시지 또는 전화를 받을 수 있는 유효하고 활성화된 연락 전화번호를 확보하는 것이 중요합니다. 계정 지원 및 복구 목적으로 AWS이(가) 연락할 수 있도록 전용 전화번호를 사용하는 것이 좋습니다. 계정 전화번호는 AWS Management 콘솔 또는 계정 관리 API를 통해 쉽게 조회하고 관리할 수 있습니다.
AWS이(가) 사용자에게 연락할 수 있는 전용 전화번호를 가지는 방법에는 여러 가지가 있습니다. 전용 SIM 카드와 실제 휴대폰을 구입하는 것이 가장 좋습니다. 휴대폰과 SIM을 장기간 안전하게 보관하여 계정 복구 시 전화번호를 사용할 수 있도록 하세요. 또한 모바일 청구서를 담당하는 팀은 이 번호가 장기간 비활성 상태로 남아 있더라도 그 유지의 중요성을 이해해야 합니다. 보호를 강화하기 위해 조직 내에서 이 전화번호를 기밀로 유지해야 합니다.
AWS 연락처 정보 콘솔 페이지에 전화번호를 문서화하고 조직에서 해당 전화번호를 알아야 하는 특정 팀과 세부 정보를 공유하세요. 이러한 방식으로 전화번호를 다른 SIM으로 이전할 때 발생하는 위험을 최소화하는 데 도움이 됩니다. 기존 정보 보안 정책에 따라 전화를 보관합니다. 그러나 전화를 다른 관련 자격 증명 정보와 같은 위치에 저장하면 안 됩니다. 전화 또는 전화의 보관 위치에 대한 모든 액세스는 기록하고 모니터링해야 합니다. 계정과 연결된 전화번호가 변경될 경우 기존 문서에서 전화번호를 업데이트하는 프로세스를 구현합니다.
루트 계정에 그룹 이메일 주소 사용하기
회사에서 관리하는 이메일 주소를 사용합니다. 받은 메시지를 사용자 그룹에 직접 전달하는 이메일 주소를 사용합니다. 예를 들어 액세스 확인을 위해 AWS이(가) 계정 소유자에게 연락해야 하는 경우 이메일 메시지가 여러 당사자에게 배포됩니다. 이러한 방식은 개인이 휴가 중이거나 아프거나 회사를 떠난 경우에도 응답이 지연될 위험을 줄이는 데 도움이 됩니다.
조직 구조 및 워크로드
단일 조직 내에서 계정 관리
단일 조직을 만들고 이 조직 내에서 모든 계정을 관리하는 것이 좋습니다. 조직은 사용자 환경 내 계정 간에 일관성을 유지할 수 있게 해주는 보안 경계입니다. 중앙에서 조직 내 계정 전체에 정책 또는 서비스 수준 구성을 적용할 수 있습니다. 다중 계정 환경 전반에서 일관된 정책, 중앙집중식 가시성, 프로그래밍적 제어를 구현하려면 단일 조직 내에서 이 작업을 수행하는 것이 가장 좋습니다.
보고 구조가 아닌 비즈니스 목적에 따라 워크로드 그룹화
프로덕션 워크로드 환경과 데이터를 최상위 워크로드 중심 OU에 분리하는 것이 좋습니다. OU는 회사의 보고 구조를 반영하기보다는 공통된 제어 집합을 기반으로 해야 합니다. 프로덕션 OU와는 별도로, 워크로드를 개발하고 테스트하는 데 사용되는 계정 및 워크로드 환경이 포함된 비-프로덕션 OU를 하나 이상 정의하는 것이 좋습니다. 추가적인 안내는 워크로드 지향 OU 구성을 참조하십시오.
여러 계정을 사용하여 워크로드 정리하기
AWS 계정은(는) AWS 리소스에 대한 자연 보안, 액세스, 청구 범위를 제공합니다. 여러 계정을 사용하면 계정 수준의 할당량과 API 요청 속도 한도를, 여기에 나열된 추가 혜택을 분산할 수 있어 이점이 있습니다. 보안, 로그, 인프라용 계정과 같은 전사적 차원의 기본 계정을 여러 개 사용하는 것이 좋습니다. 워크로드 계정의 경우 테스트/개발 워크로드에서 프로덕션 워크로드를 별도의 계정에 분리해야 합니다.
서비스 및 비용 관리
서비스 콘솔 또는 API/CLI 작업을 사용하여 조직 수준에서 AWS 서비스 활성화
한 가지 모범 사례로, 서비스 콘솔 또는 이에 상응하는 API 작업/CLI 명령어를 사용하여 AWS Organizations에서 통합하려는 모든 서비스를 활성화 또는 비활성화하는 것이 좋습니다. 이 방법을 사용하면 AWS 서비스가 조직에 필요한 모든 초기화 단계 (예: 필수 리소스 생성 및 서비스 비활성화 시 리소스 정리)를 수행할 수 있습니다. AWS Account Management은(는) AWS Organizations 콘솔 또는 API를 사용해야 활성화할 수 있는 유일한 서비스입니다. AWS Organizations와(과) 통합된 서비스 목록을 검토하려면 AWS 서비스 와 함께 사용할 수 있는 AWS Organizations을(를) 참조하십시오.
결제 도구를 사용하여 비용 추적 및 리소스 사용 최적화
조직을 관리하면 조직 내 계정에서 발생하는 모든 요금이 포함된 통합 청구서를 받게 됩니다. 비용 가시성에 대한 액세스가 필요한 비즈니스 사용자의 경우, 관리 계정의 역할에 결제 및 비용 도구를 검토할 수 있는 제한적 읽기 전용 권한을 부여할 수 있습니다. 예를 들어, 결제 보고서에 액세스할 수 있는 권한 집합을 만들거나 AWS Cost Explorer Service(시간 경과에 따른 비용 추세를 보는 도구) 및 Amazon S3 Storage Lens
조직 리소스 전반의 태그 지정 전략 및 태그 적용 계획
계정과 워크로드가 확장되면 비용 추적, 액세스 제어 및 리소스 구성에 태그 기능이 유용할 수 있습니다. 태그 명명 전략에 대해서는 AWS 리소스 태깅의 지침을 따르세요. 리소스 외에도 조직 루트, 계정, OU, 정책의 태그를 만들 수 있습니다. 자세한 내용은 태깅 전략 구축을 참조하십시오.
