AWS Organizations 및 전용 계정 구조 - AWS 권장 가이드

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Organizations 및 전용 계정 구조

설문 조사

여러분의 의견을 듣고 싶습니다. 간단한 설문 조사에 참여하여 AWS PRA에 대한 피드백을 제공해 주세요.

AWS Organizations는 여러 AWS 계정을 중앙에서 관리하고 관리하는 데 도움이 되는 계정 관리 서비스입니다. AWS Organizations의 사용은 잘 설계된 다중 계정 AWS 환경의 기반입니다. 자세한 내용은 Establishing your best practice AWS environment를 참조하세요.

다음 다이어그램에서는 AWS PRA의 상위 수준 계정 및 조직 단위(OU) 구조를 보여줍니다. 대부분의 경우 AWS PRA의 조직 구조는 AWS SRA의 조직 구조와 일치합니다.

AWS에서 AWS Organizations Privacy Reference Architecture 계정 구조.

AWS SRA 조직과의 편차는 다음과 같습니다.

  • AWS PRA는 개인 데이터 수집, 저장 및 처리 전용 개인 데이터(PD) OU를 추가합니다. 이러한 구조적 분리는 유연성을 제공하므로 개인 데이터가 의도치 않게 공개되지 않도록 보호하는 데 도움이 되는 구체적이고 세분화된 제어를 정의할 수 있습니다.

  • 인프라 OU에서 AWS 현재 PRA는 AWS SRA에 설명된 공유 서비스 계정에 대한 추가 지침을 포함하지 않습니다.

  • 현재 AWS PRA는 AWS SRA에 설명된 워크로드 OU에 대한 추가 지침을 포함하지 않습니다. 개인 데이터를 수집하거나 처리하는 애플리케이션은 PD OU의 전용 계정에 있습니다.

AWS Control Tower를 사용하여 조직 전체에 보안 및 개인 정보 보호 제어의 전반적인 기본 거버넌스와 자동화된 배포를 수행할 수 있습니다. AWS Control Tower가 현재 조직에서 사용되지 않는 경우에도 서비스 제어 정책 및 AWS Config 규칙과 같은 AWS Control Tower의 많은 보안 및 개인 정보 보호 제어를 해당 서비스에 배포할 수 있습니다.

계정 세분화 전략을 포함하여 계정 및 OU 구조를 계획할 때 개인 데이터 처리를 고려하는 것이 도움이 될 수 있습니다. 고유한 사용 사례와 관련 법률 및 규정에 대해 처리 중인 데이터 유형을 고려해야 할 수 있습니다. 예를 들어 카드 소지자 데이터는 Payment Card Industry Data Security Standard(PCI DSS)에 따라 보호되며, 보호 대상 건강 정보는 미국 건강 보험 양도 및 책임에 관한 법(HIPAA)의 적용을 받을 수 있습니다. 개인 데이터가 포함된 환경을 검토하고 이를 기반으로 세분화 전략을 계획하려고 할 수도 있습니다. 일반적인 계정 세분화 전략에는 개발, 스테이징 또는 품질 보증(QA) 및 프로덕션을 위한 전용 계정과 같이 소프트웨어 개발 수명 주기(SDLC)에 맞는 전용 AWS 계정이 포함될 수 있습니다. 이와 같은 세분화 전략은 전반적인 설계 논의에서 중요한 구성 요소일 수 있으며 OU가 특정 규제 요구 사항에 부합해야 할 수 있습니다.

일부 다중 계정 AWS 환경에는 AWS 리전당 전용 애플리케이션 계정이 필요하거나 다중 계정 랜딩 존이 필요할 수 있습니다. 이 경우 고객과 규제 기관의 고유한 데이터 주권 요구 사항을 충족하기 위해 추가 세분화가 필요합니다. 자세한 내용은 이 안내서의 글로벌 확장을 위한 전략 수립 섹션을 참조하세요.