랜딩 존 구축 - AWS 권장 가이드
AWS Control Tower사용자 지정 구축 랜딩 존권장 접근 방식

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

랜딩 존 구축

AWS에서 랜딩 존을 생성하기 위한 몇 가지 옵션이 있습니다. 관리형 서비스를 선택하여 환경을 오케스트레이션하거나 파트너와 협력하여 자체적으로 구축할 수 있습니다. AWS는 관리형 서비스인 AWS Control Tower를 제공합니다. 모든 사용자는 AWS Control Tower로 시작하는 것이 좋습니다. 그러나 조직에 가장 적합한 결정을 내리려면 각 접근 방식의 차이점과 기능을 이해하는 것이 중요합니다.

AWS의 랜딩 존 옵션:

  • AWS Control Tower

  • 사용자 지정 구축 랜딩 존

전달 메커니즘:

AWS Control Tower와 사용자 지정 랜딩 존의 차이점.

각 접근 방식의 이점 및 절충점:

Solution 이점 절충

AWS Control Tower

  • 완전 관리형 서비스.

  • AWS에서 제공되는 제어 및 규정 준수가 기본적으로 적용됩니다.

  • 모니터링 및 규정 준수 상태를 위한 중앙 대시보드를 제공합니다.

  • 신규 계정 프로비저닝을 위한 Account Factory를 제공합니다.

  • 일부 사용자 지정(예: 리전 선택 및 선택적 제어)을 콘솔에서 사용할 수 있습니다.

고객 또는 파트너가 구축한 사용자 지정 솔루션을 사용하는 AWS Organizations

  • 사용자 지정 구축 솔루션.

  • 고객 또는 파트너가 모든 개발 및 코딩을 소유합니다.

  • 고객 또는 파트너가 통합 및 구현을 담당합니다.

모든 다중 계정 환경 제품은 AWS Organizations에서 제공합니다. AWS Organizations는 AWS 환경을 구축하고 관리할 수 있는 기본 인프라와 기능을 제공합니다. AWS Organizations를 사용하면 AWS에서 제공하는 다중 계정 전략 지침을 활용하고 비즈니스 요구 사항에 가장 적합하도록 환경을 직접 사용자 지정할 수 있습니다. 기존 고객이고 현재 AWS Organizations 구현에 만족한다면 현재 AWS 환경을 계속 운영해야 합니다.

AWS Control Tower

AWS Control Tower는 AWS 관리형 서비스로 실행됩니다. 즉시 사용할 수 있는 사전 패키징된 환경 솔루션을 찾고 있다면 AWS Control Tower를 권장 가이드와 완전 관리형 환경으로 사용할 수 있습니다. 서비스는 다중 계정 모범 사례를 기반으로 랜딩 존을 설정하고, ID 및 액세스 관리를 중앙 집중화하고, 보안 및 규정 준수를 위해 사전 구성된 거버넌스 규칙을 설정합니다.

AWS Control Tower 설정에 포함된 AWS 서비스.

AWS Control Tower는 모범 사례, ID 블루프린트, 페더레이션 액세스, 계정 구조를 사용하여 새로운 랜딩 존 설정을 자동화합니다. AWS Control Tower에 구현된 블루프린트 중 일부는 다음과 같습니다.

  • AWS Organizations를 사용하는 다중 계정 환경

  • AWS Identity and Access Management(IAM) 및 AWS IAM Identity Center을 사용한 계정 간 보안 감사

  • Identity Center 기본 디렉터리를 사용한 ID 관리

  • AWS CloudTrail에서 중앙 집중식 로깅 및 Amazon Simple Storage Service(Amazon S3)에 저장된 AWS Config

제어는 전반적인 AWS 환경에 대한 지속적인 거버넌스를 제공하는 상위 수준 규칙입니다. 제어는 예방 제어일 수도 있고 탐지 제어일 수도 있습니다. 예방 제어는 AWS Organizations의 일부인 서비스 제어 정책(SCP)을 통해 구현됩니다. 탐지 제어는 AWS Config 규칙을 사용하여 구현됩니다. AWS Control Tower 제어의 예는 다음과 같습니다.

  • 루트 사용자를 위한 액세스 키 생성 허용 안 함

  • RDP를 통한 인터넷 연결 허용 안 함

  • S3 버킷에 대한 퍼블릭 쓰기 액세스 허용 안 함

  • Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 연결되지 않은 Amazon Elastic Block Store(Amazon EBS) 볼륨 허용 안 함

참고

AWS Control Tower는 랜딩 존의 출발점입니다. 랜딩 존을 구축할 때 고유한 요구 사항에 따라 네트워킹, 액세스 관리, 보안에 대한 전략을 결정해야 합니다.

사용자 지정 구축 랜딩 존

사용자 지정 랜딩 존 솔루션을 직접 구축할 수 있습니다. 이 경우 ID 및 액세스 관리, 거버넌스, 데이터 보안, 네트워크 설계, 로깅을 시작하려면 기준 환경을 구현합니다. 모든 환경 구성 요소를 처음부터 구축하려는 경우나 사용자 지정 솔루션만 지원할 수 있는 요구 사항이 있는 경우 이 접근 방식을 사용하는 것이 좋습니다. 솔루션을 배포한 후에는 솔루션을 관리, 업그레이드, 유지 관리, 운영하기 위한 충분한 AWS 전문 지식이 있어야 합니다.

AWS Control Tower를 사용하여 랜딩 존 구축을 시작할 것을 권장합니다. AWS Control Tower는 초기 권장 랜딩 존 구성 설정, 기본 제공 제어 및 블루프린트 활용, AWS Control Tower Account Factory를 통한 새 계정 생성을 지원합니다.

설정 과정에서 AWS Control Tower 콘솔을 통해 랜딩 존을 사용자 지정할 수 있습니다. 자세한 내용은 AWS Control Tower 설명서를 참조하세요. 기본 랜딩 존을 설정한 후에는 다음 옵션 중 하나를 사용하여 기본 랜딩 존을 추가로 향상하고 사용자 지정할 수 있습니다.

  • Customizations for AWS Control Tower(CfCT): CloudFormation 템플릿 및 서비스 제어 정책(SCP)을 통해 광범위한 사용자 지정 옵션을 제공합니다. 자세한 내용은 AWS Control Tower 설명서를 참조하세요.

  • Landing Zone Accelerator(LZA): 랜딩 존을 규정 준수 프레임워크에 맞게 향상시킵니다. 자세한 내용은 LZA 구현 가이드를 참조하세요.