AWS Organizations 및 전용 계정 구조 - AWS 권장 가이드

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Organizations 및 전용 계정 구조

설문 조사

귀하의 의견을 듣고 싶습니다. 간단한 설문 조사에 참여하여 AWS PRA에 대한 피드백을 제공해 주십시오.

AWS Organizations는 여러를 중앙에서 관리하고 관리하는 데 도움이 되는 계정 관리 서비스입니다 AWS 계정. 의 사용은 잘 설계된 다중 계정 AWS 환경의 기반 AWS Organizations 입니다. 자세한 내용은 모범 사례 AWS 환경 설정을 참조하세요.

다음 다이어그램은 AWS PRA의 상위 수준 계정 및 조직 단위(OU) 구조를 보여줍니다. 대부분의 경우, PRA의 AWS 조직 구조는 AWS SRA의 조직 구조와 일치합니다.

의 AWS 프라이버시 참조 아키텍처 계정 구조입니다 AWS Organizations.

AWS SRA 조직과의 편차는 다음과 같습니다.

  • AWS 개인 데이터 수집, 저장 및 처리 전용 개인 데이터(PD) OU가 추가됩니다. 이러한 구조 분리는 유연성을 제공하므로 특정하고 세분화된 제어를 정의하여 의도하지 않은 공개로부터 개인 데이터를 보호할 수 있습니다.

  • 인프라 OU에서 AWS 현재 PRA는 AWS SRA에 설명된 공유 서비스 계정에 대한 추가 지침을 포함하지 않습니다.

  • 현재 AWS PRA에는 AWS SRA에 설명된 워크로드 OU에 대한 추가 지침이 포함되어 있지 않습니다. 개인 데이터를 수집하거나 처리하는 애플리케이션은 PD OU의 전용 계정에 있습니다.

AWS Control Tower를 사용하여 조직 전체의 전반적인 기본 거버넌스와 보안 및 개인 정보 보호 제어의 자동 배포를 수행할 수 있습니다. AWS Control Tower 가 현재 조직에서 사용되지 않는 경우에도 서비스 제어 정책 및 AWS Config 규칙 AWS Control Tower과 같은 많은 보안 및 개인 정보 보호 제어를 해당 서비스에 배포할 수 있습니다.

계정 세분화 전략을 포함하여 계정 및 OU 구조를 계획할 때 개인 데이터 처리를 고려하는 것이 도움이 될 수 있습니다. 고유한 사용 사례와 관련 법률 및 규정에 대해 처리 중인 데이터 유형을 고려해야 할 수 있습니다. 예를 들어 카드 소지자 데이터는 PCI DSS(Payment Card Industry Data Security Standard)에 따라 보호되며, 보호 대상 건강 정보는 HIPAA(Health Insurance Portability and Accountability Act)의 적용을 받을 수 있습니다. 개인 데이터가 포함된 환경을 검토하고 이를 기반으로 세분화 전략을 계획할 수 있습니다. 일반적인 계정 세분화 전략에는 개발, 스테이징 또는 품질 보증(QA) 및 프로덕션을 위한 전용 계정과 같이 소프트웨어 개발 수명 주기(SDLC)에 AWS 계정 맞는 전용 계정이 포함될 수 있습니다. 이와 같은 세분화 전략은 전체 설계 논의에서 중요한 구성 요소일 수 있으며 OUs 특정 규제 요구 사항에 부합해야 할 수 있습니다.

일부 다중 계정 AWS 환경에는 당 전용 애플리케이션 계정이 AWS 리전필요하거나 다중 계정 랜딩 존이 필요할 수 있습니다. 이 경우 고객과 규제 기관의 고유한 데이터 주권 요구 사항을 충족하기 위해 추가 세분화가 필요합니다. 자세한 내용은 이 안내서의 글로벌 확장을 위한 전략 수립 섹션을 참조하세요.