기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # AWS AWS SRA의 조직 및 계정 구조 | | | --- | | [간단한 설문](https://amazonmr.au1.qualtrics.com/jfe/form/SV_e3XI1t37KMHU2ua) 조사에 참여하여 AWS 보안 참조 아키텍처(AWS SRA)의 미래에 영향을 미칩니다. | 다음 다이어그램은 특정 서비스를 표시하지 않고 AWS SRA의 상위 수준 구조를 캡처합니다. 이전 섹션에서 설명한 전용 계정 구조를 반영하며, 아키텍처의 기본 구성 요소에 대한 논의 방향을 잡기 위해 여기에 다이어그램을 포함합니다. + 다이어그램에 표시된 모든 계정은 단일 AWS 조직의 일부입니다. + 다이어그램의 왼쪽 상단에는 AWS 조직을 생성하는 데 사용되는 조직 관리 계정이 있습니다. + 조직 관리 계정 아래에는 두 개의 특정 계정이 있는 보안 OU가 있습니다. 하나는 보안 도구용이고 다른 하나는 로그 아카이브용입니다. + 오른쪽에는 네트워크 계정과 공유 서비스 계정이 있는 인프라 OU가 있습니다. + 다이어그램 하단에는 엔터프라이즈 애플리케이션을 포함하는 애플리케이션 계정과 연결된 워크로드 OU가 있습니다. 이 지침에서 모든 계정은 단일에서 작동하는 프로덕션(prod) 계정으로 간주됩니다 AWS 리전. 대부분 AWS 서비스 ([글로벌 서비스](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/global-services.html) 제외)은 리전별로 범위가 지정되므로 서비스에 대한 제어 및 데이터 영역이 각각 독립적으로 존재합니다 AWS 리전. 따라서 전체 AWS 환경에 대한 적용 범위를 보장하려면 사용 AWS 리전 하려는 모든에이 아키텍처를 복제해야 합니다. 특정에 워크로드가 없는 경우 [SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-deny-region) 사용하거나 로깅 및 모니터링 메커니즘을 사용하여 리전을 비활성화 AWS 리전해야 합니다. Security Hub CSPM을 사용하여 여러에서 단일 집계 리전으로 조사 결과 및 보안 점수를 집계 AWS 리전 하여 중앙 집중식 가시성을 확보할 수 있습니다. 대규모 계정 집합으로 AWS 조직을 호스팅할 때는 계정 배포 및 계정 거버넌스를 용이하게 하는 오케스트레이션 계층을 사용하는 것이 좋습니다.는 AWS 다중 계정 환경을 설정하고 관리하는 간단한 방법을 AWS Control Tower 제공합니다. [GitHub 리포지토리](https://github.com/aws-samples/aws-security-reference-architecture-examples)의 AWS SRA 코드 샘플은 [Customizations for AWS Control Tower (CfCT)](https://aws.amazon.com/solutions/implementations/customizations-for-aws-control-tower/) 솔루션을 사용하여 AWS SRA 권장 구조를 배포하는 방법을 보여줍니다. ![AWS SRA의 상위 수준 구조(서비스 제외).](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/security-reference-architecture/images/consolidated.png)