랜딩 존이란 무엇입니까? - AWS 권장 가이드
다중 계정 프레임워크

랜딩 존이란 무엇입니까?

랜딩 존은 확장성과 안전성을 갖춘 잘 설계된 다중 계정 AWS 환경입니다. 이는 귀하의 조직이 보안 및 인프라 환경에 대한 자신감을 갖고 워크로드와 애플리케이션을 신속하게 출범하고 배포할 수 있는 시작점입니다. 랜딩 존을 구축하려면 조직의 성장 및 미래를 위한 업무 목표에 따라 계정 구조, 네트워킹, 보안 및 액세스 관리 전반에 걸쳐 기술 및 업무 결정을 내려야 합니다.

대규모로 AWS를 사용하기 시작하면 AWS에서 환경을 확립하기 위한 규범적 지침과 접근 방식을 찾아볼 수 있습니다. 이 분야의 AWS 모범 사례는 격리 및 영향 범위 감소를 위해 리소스와 워크로드를 여러 AWS 계정(리소스 컨테이너)으로 분리해야 하는 필요성에 중점을 둡니다. 다음 섹션에서는 여러 계정을 사용하려는 이유를 설명합니다.

다중 계정 프레임워크

표준 AWS 계정 수는 정해져 있지 않지만, 여러 개의 AWS 계정을 생성하는 것이 좋습니다. 계정이 여러 개일 경우, 가장 높은 수준의 리소스 및 보안 격리가 제공됩니다. 다음 질문 중 하나라도 '예'라고 답할 경우, 추가 AWS 계정을 생성하는 것을 고려해 보세요.

  • 귀하의 업무는 워크로드들 사이의 관리적 격리를 요구하나요?

  • 업무에 워크로드에 대한 가시성과 검색 가능성이 제한적이어야 합니까?

  • 영향 범위를 최소화하기 위해 업무에 격리가 필요한가요?

  • 업무에 복구 또는 감사 데이터의 강력한 격리가 필요한가요?

단일 계정으로는 충분하지 않을 수 있는 다른 이유는 다음과 같습니다.

  • 보안 제어 - 애플리케이션마다 다른 제어 정책 및 메커니즘을 요구하는 다양한 보안 프로필이 있을 수 있습니다. 예를 들면 감사자와 상담하여 결제 카드 산업(PCI) 관련 워크로드를 호스팅하는 단일 계정을 보여주는 것이 더 쉽습니다.

  • 격리 – 계정은 보안 보호의 한 단위입니다. 잠재적 위험과 보안 위협은 다른 계정에게 영향을 주지 않으면서 계정 내에 포함되어야 합니다. 여러 팀이나 서로 다른 보안 프로필로 인해 계정을 격리해야 할 필요가 있습니다.

  • 데이터 격리 – 데이터 저장소를 계정 단위로 격리하면 해당 데이터 저장소에 액세스하고 관리할 수 있는 사람 수가 제한됩니다. 이는 민감 데이터 노출을 줄여주고 일반 데이터 보호 규정(GDPR) 준수에 도움이 됩니다.

  • 다양한 팀 - 팀마다 책임과 리소스 요구 사항이 다릅니다. 동일한 계정에서 서로 간섭하지 않도록 해야 합니다.

  • 업무 프로세스 – 사업부 또는 제품마다 목적과 프로세스가 다를 수 있습니다. 업무별 요건을 충족하려면 다른 계정을 설정해야 합니다.

  • 청구 – 계정은 청구 수준에서 항목을 분리할 수 있는 유일한 방법입니다. 여러 계정을 사용하면 사업부, 직무 팀 또는 개별 사용자 간에 청구 수준에서 항목을 구분할 수 있습니다.

  • 한도 할당 – 계정당 한도. 워크로드를 여러 계정으로 분리하면 워크로드가 한도를 소비하거나 잠재적으로 리소스를 과도하게 프로비저닝하여 다른 애플리케이션이 의도한 대로 작동하지 못하게 되는 것을 방지할 수 있습니다.