기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
개요
다국적 제약 회사와 협력하여 AWS에서 개념 증명(PoC) 활동을 실행함으로써 온프레미스에서 AWS 클라우드로 애플리케이션을 마이그레이션하는 방법을 탐색했습니다. 프로덕션 워크로드를 포함하도록 마이그레이션 워크플로를 규모를 조정하고 가속화하기 시작하면서 목표를 지원하기 위해 규제되고 규정을 준수하는 AWS 랜딩 존이 필요했습니다. 그래서 AWS Control Tower를 사용하여 새 AWS 랜딩 존을 설계하고 구현했습니다.
새로운 AWS 랜딩 존과 조직에서 조직 단위(OU)의 구조가 중요합니다. OU는 AWS Organizations를 사용하여 생성된 AWS 계정의 논리적 그룹입니다. OU를 사용하면 계층 구조로 AWS 계정을 구성하고 관리 및 거버넌스 제어를 일관된 방식으로 쉽게 적용할 수 있습니다.
정책 기반 제어를 OU 및 AWS 계정에 연결할 수 있습니다. OU 내의 하위 OU는 이러한 제어를 자동으로 상속합니다. 따라서 OU는 AWS Organizations에서 보안 및 거버넌스를 관리하는 데 중요한 역할을 합니다.
정책은 AWS 계정 그룹에 적용하려는 제어를 정의하는 하나 이상의 명령문이 포함된 JSON 문서입니다. AWS Organizations에서는 현재 서비스 제어 정책(SCP)이라고도 하는 네 가지 유형의 정책을 지원합니다. SCP는 서로 다른 AWS 계정에서 사용할 수 있는 AWS 서비스 및 작업을 정의합니다. 예를 들어 SCP를 사용하여 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스가 특정 인스턴스 유형을 사용하도록 요구할 수 있습니다.
정책 유형
SCP 정책 유형은 다음을 포함합니다.
-
허용 목록과 거부 목록은 SCP를 적용하여 계정에 사용 가능한 권한을 필터링할 수 있는 보완적인 전략입니다.
-
태그 정책을 사용하면 여러 계정에서 태그 키와 태그 값의 기본 대소문자 처리를 포함해 태그를 일관된 방식으로 유지 관리할 수 있습니다.
-
백업 정책은 백업 기간 및 AWS 리전에서의 백업을 위한 대상 볼트와 같이 지원되는 리소스 유형에 대한 백업을 구성합니다.
-
AI 서비스 옵트아웃 정책은 전 세계적으로 AWS 인공 지능(AI) 서비스의 지속적인 개선을 활성화하거나 비활성화합니다.
정책 상속 동작: 정책을 특정 OU에 연결하면 해당 OU 또는 하위 OU 바로 아래에 있는 계정이 정책을 상속합니다. 정책을 특정 계정에 연결하면 정책은 해당 계정에만 영향을 미칩니다. 예외 정책을 도입하여 상속된 정책을 덮어쓸 수 있습니다. 권한을 거부하지 않는 한 상속을 통해 명시적으로 모든 권한이 루트(OU)에서 해당 OU 및 하위 OU의 모든 AWS 계정으로 전달될 수 있습니다. 권한을 거부하려면 추가 정책을 생성하여 적절한 OU 또는 AWS 계정에 연결합니다. 정책 상속 및 예외에 대한 자세한 내용은 AWS Organizations 설명서를 참조하세요.
또한 AWS Control Tower는 OU 구조를 사용하여 자체 감지 및 예방적 제어(가드레일이라고도 함) 세트를 제공합니다. AWS Control Tower 예방적 제어는 AWS Organizations의 SCP를 사용하여 작업을 방지합니다. 감지 제어는 AWS Config를 사용하여 제어에 대한 구성 드리프트를 보고합니다. 이러한 제어에 대한 자세한 내용은 AWS Control Tower 설명서를 참조하세요.
또한 AWS Security Hub CSPM를 활성화하여 보안 모범 사례 검사를 자동화하고, 보안 알림을 단일 위치 및 형식으로 집계하며, 모든 AWS 계정에서 전반적인 보안 태세를 파악할 수 있습니다.
