아키텍처 설계 보안 OU 인프라 플랫폼 OU 적격한 OU 비적격 OU 자동화 OU 예외 OU Graveyard OU

OU 설계: 2단계

이 예제의 제약 회사는 검증된 프로덕션 워크로드를 기존 OU에 배포하여 클라우드의 새로운 성숙도 단계로 빠르게 진입했습니다. 그리고 초기 설계 검토를 시작했으며, 규제된 AWS 랜딩 존으로 마이그레이션되는 워크로드가 많아짐에 따라 1단계 구조에 문제가 발생했습니다.

다음과 같은 새로운 요구 사항과 인사이트가 중요해졌습니다.

이 회사는 데이터 공유 모델 워크로드를 구현했으므로 애플리케이션은 더 이상 임상 또는 제조와 같은 별도의 OU에 할당할 수 없는 다목적 특성을 확보했습니다.
검증(특히 지속적인 검증)은 많은 워크로드의 중요한 측면이 되었습니다. 이러한 워크로드는 보안 모범 사례를 보다 쉽게 따를 수 있도록 운영 프로세스에 통합되어야 했습니다. 적격 워크로드에는 1단계의 OU 수준에서 설정된 것보다 엄격한 AWS 제어가 필요했습니다.
중첩된 OU 기능을 AWS Control Tower에서 사용할 수 있게 되었습니다.
기술 향상과 경험을 통해 워크로드와 관련된 특정 정책을 더 잘 이해할 수 있었습니다.
회사가 책임 조정을 기반으로 운영 모델을 정의하고 이에 합의했습니다.
워크로드 세분화 및 구성 블루프린트는 성숙되어 워크로드 마이그레이션에 채택되었습니다.

그 결과 2단계에서 새로운 설계가 구현되고 AWS 계정이 새로운 구조로 마이그레이션되었습니다. 이 새로운 구조에는 다음 섹션에 설명된 OU가 포함되어 있습니다.

아키텍처 설계

다음 다이어그램에서는 2단계의 OU 아키텍처를 보여줍니다.

보안 OU

보안 OU는 크게 보안 기능과 관련된 AWS 계정을 포함하고 두 계정(감사 및 로그 아카이브)을 사용하여 환경에 대한 중앙 로깅 및 감사 액세스를 위한 보안 운영 데이터를 저장합니다. Amazon GuardDuty 및 AWS Security Hub CSPM와 같은 AWS의 핵심 보안 서비스는 감사 계정에 있습니다. 이 OU는 원래 설계에서 변경되지 않은 상태입니다.

인프라 플랫폼 OU

인프라 플랫폼 OU에는 네트워킹 및 AWS 랜딩 존 전반의 공유 자동화와 같은 기본 인프라 계정이 포함되어 있습니다. 이 OU는 원래 설계에서 변경되지 않은 상태입니다.

적격한 OU

적격한 OU에는 엄격한 변경 관리, 자격 확인 및 검증과 같은 적격한 인프라가 필요한 워크로드가 포함되어 있습니다.

비적격 OU

비적격 OU에는 GxP 요구 사항이 없거나 비즈니스에 중요하지 않은 워크로드가 포함되어 있습니다.

자동화 OU

자동화 OU에는 인프라 관리를 위한 지속적 통합 및 지속적 전송(CI/CD) 파이프라인과 같은 워크로드 자동화를 위한 공유 리소스가 포함되어 있습니다. 요구 사항에 따라 자동화를 여러 환경에서 분할하거나 단일 AWS 계정에서 호스팅할 수 있습니다.

예외 OU

예외 OU에는 특별한 처리가 필요한 워크로드(그렇지 않은 경우 정책에 의해 금지됨)가 포함되어 있습니다. 예를 들어 널리 액세스 가능하고 읽기 가능한 Amazon Simple Storage Service(Amazon S3) 버킷은 예외 OU에 속합니다.

Graveyard OU

Graveyard OU에는 삭제할 워크로드에 대한 AWS 계정이 포함되어 있습니다. 계정이 만료되거나 삭제될 때까지 효과적이고 간단한 관리 액세스를 위해 이러한 계정의 정책은 제거해야 합니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

OU 설계: 1단계

OU 마이그레이션 및 확인