조직 관리 계정 - AWS 권장 가이드
서비스 제어 정책리소스 제어 정책선언적 정책중앙 집중식 루트 액세스IAM Identity CenterIAM 액세스 어드바이저AWS Systems ManagerAWS Control TowerAWS Artifact분산 및 중앙 집중식 보안 서비스 가드레일

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

조직 관리 계정

간단한 설문 조사에 참여하여 AWS 보안 참조 아키텍처(AWS SRA)의 미래에 영향을 미칩니다.

다음 다이어그램은 조직 관리 계정에 구성된 AWS 보안 서비스를 보여줍니다.

조직 관리 계정에 대한 보안 서비스입니다.

이 가이드의 앞부분에서 보안 AWS Organizations 에 사용관리 계정, 신뢰할 수 있는 액세스 및 위임된 관리자 단원에서는 조직 관리 계정의 목적과 보안 목표에 대해 자세히 설명했습니다. 조직 관리 계정의 보안 모범 사례를 따릅니다. 여기에는 비즈니스에서 관리하는 이메일 주소 사용, 올바른 관리 및 보안 연락처 정보 유지(예: 계정 소유자에게 문의해야 하는 경우 AWS 계정에 전화번호 연결), 모든 사용자에 대한 멀티 팩터 인증(MFA) 활성화, 조직 관리 계정에 액세스할 수 있는 사용자를 정기적으로 검토하는 것이 포함됩니다. 조직 관리 계정에 배포된 서비스는 해당 서비스의 관리자(조직 관리 계정에서 액세스해야 함)가 다른 서비스에 부적절하게 액세스할 수 없도록 적절한 역할, 신뢰 정책 및 기타 권한으로 구성해야 합니다.

서비스 제어 정책

를 사용하면 여러에서 정책을 중앙에서 관리할 AWS Organizations수 있습니다 AWS 계정. 예를 들어 조직의 구성원 AWS 계정 인 여러에 서비스 제어 정책(SCPs)을 적용할 수 있습니다. SCPs를 사용하면 조직 구성원의 IAM 보안 주체(예: IAM 사용자 및 역할)가 실행할 수 있는 API와 실행할 수 없는 AWS 서비스 APIs를 정의할 수 있습니다 AWS 계정. SCPs는 조직을 생성할 때 AWS 계정 사용한 인 조직 관리 계정에서 생성 및 적용됩니다. SCPs에 대한 자세한 내용은이 참조의 앞부분에서 보안 AWS Organizations 에 사용 단원을 참조하십시오. 

AWS Control Tower 를 사용하여 AWS 조직을 관리하는 경우 SCPs 세트를 예방 가드레일로 배포합니다(필수, 적극 권장 또는 선택으로 분류됨). 이러한 가드레일은 조직 전체의 보안 제어를 적용하여 리소스를 관리하는 데 도움이 됩니다. 이러한 SCPs 값이 managed-by-control-tower인 aws-control-tower 태그를 자동으로 사용합니다. managed-by-control-tower

설계 고려 사항

SCPs 조직의 멤버 계정에 AWS 만 영향을 미칩니다. 조직 관리 계정에서 적용되지만 해당 계정의 사용자 또는 역할에는 영향을 미치지 않습니다. SCP 평가 로직의 작동 방식에 대해 알아보고 권장 구조의 예를 보려면 AWS 블로그 게시물 에서 서비스 제어 정책을 사용하는 방법을 참조하세요 AWS Organizations.

리소스 제어 정책

리소스 제어 정책(RCPs)은 조직 내 리소스에 사용 가능한 최대 권한을 중앙 집중식으로 제어합니다. RCP는 권한 가드레일을 정의하거나 자격 증명이 조직의 리소스에 대해 수행할 수 있는 작업에 대한 제한을 설정합니다. RCPs 사용하여 리소스에 액세스할 수 있는 사용자를 제한하고 조직의 멤버에서 리소스에 액세스하는 방법에 대한 요구 사항을 적용할 수 있습니다 AWS 계정. RCP를 개별 계정, OU 또는 조직 루트에 직접 연결할 수 있습니다. RCPs의 작동 방식에 대한 자세한 설명은 AWS Organizations 설명서의RCP 평가를 참조하세요. 이 참조의 앞부분에서 보안에 사용 섹션에서 RCPs에 대해 자세히 알아보세요. AWS Organizations

AWS Control Tower 를 사용하여 AWS 조직을 관리하는 경우 RCPs 세트를 예방 가드레일로 배포합니다(필수, 적극 권장 또는 선택으로 분류됨). 이러한 가드레일은 조직 전체의 보안 제어를 적용하여 리소스를 관리하는 데 도움이 됩니다. 이러한 SCPs 값이 인 aws-control-tower 태그를 자동으로 사용합니다managed-by-control-tower.

설계 고려 사항

선언적 정책

선언적 정책은 조직 전체에서 AWS 서비스 대규모로 지정된에 대해 원하는 구성을 중앙에서 선언하고 적용하는 데 도움이 되는 AWS Organizations 관리 정책의 한 유형입니다. 선언적 정책은 현재 Amazon EC2, Amazon VPCAmazon EBS 서비스를 지원합니다. 사용 가능한 서비스 속성에는 인스턴스 메타데이터 서비스 버전 2(IMDSv2) 적용, EC2 직렬 콘솔을 통한 문제 해결 허용, Amazon Machine Image(AMI) 설정 허용, Amazon EBS 스냅샷, Amazon EC2 AMIs. 지원되는 최신 서비스 및 속성은 AWS Organizations 설명서의 선언적 정책을 참조하세요.

AWS Organizations 및 AWS Control Tower 콘솔에서 AWS 서비스 몇 가지를 선택하거나 몇 가지 AWS Command Line Interface (AWS CLI) 및 AWS SDK 명령을 사용하여에 대한 기준 구성을 적용할 수 있습니다. 선언적 정책은 서비스의 컨트롤 플레인에 적용됩니다. 즉, 서비스에 새 기능 또는 APIs가 도입되거나 새 계정이 조직에 추가되거나 새 보안 주체 및 리소스가 생성되더라도에 대한 기본 구성이 AWS 서비스 항상 유지됩니다. 선언적 정책은 전체 조직 또는 특정 OUs 또는 계정에 적용할 수 있습니다. 유효 정책은 계정에 직접 연결된 정책과 함께 조직 루트 및 OUs에서 상속되는 규칙 집합입니다. 선언적 정책이 삭제되면 선언적 정책이 연결되기 전에 속성 상태가 해당 상태로 롤백됩니다.

선언적 정책을 사용하여 사용자 지정 오류 메시지를 생성할 수 있습니다. 예를 들어 선언적 정책으로 인해 API 작업이 실패하는 경우 오류 메시지를 설정하거나 내부 Wiki에 대한 링크 또는 실패를 설명하는 메시지에 대한 링크와 같은 사용자 지정 URL을 제공할 수 있습니다. 이렇게 하면 사용자가 문제를 직접 해결할 수 있도록 더 많은 정보를 제공할 수 있습니다. 를 사용하여 선언적 정책을 생성하고, 선언적 정책을 업데이트하고, 선언적 정책을 삭제하는 프로세스를 감사할 수도 있습니다 AWS CloudTrail.

선언적 정책은 계정 상태 보고서를 제공하므로 범위 내 계정에 대한 선언적 정책에서 지원하는 모든 속성의 현재 상태를 검토할 수 있습니다. 보고서 범위에 포함할 계정 및 OUs를 선택하거나 루트를 선택하여 전체 조직을 선택할 수 있습니다. 이 보고서는 분석을 제공하고 속성의 현재 상태가 계정 간에 균일한지( 값을 통해numberOfMatchedAccounts) 아니면 일관되지 않은( 값을 통해) AWS 리전 지정하여 준비 상태를 평가하는 데numberOfUnmatchedAccounts 도움이 됩니다.

설계 고려 사항

선언적 정책을 사용하여 서비스 속성을 구성하면 정책이 여러 APIs. 규정을 준수하지 않는 작업은 모두 실패합니다. 계정 관리자는 개별 계정 수준에서 서비스 속성의 값을 수정할 수 없습니다.

중앙 집중식 루트 액세스

의 모든 멤버 계정에 AWS Organizations 는 해당 멤버 계정의 모든 AWS 서비스 및 리소스에 대한 완전한 액세스 권한을 가진 자격 증명인 자체 루트 사용자가 있습니다. IAM은 중앙 집중식 루트 액세스 관리를 제공하여 모든 멤버 계정에서 루트 액세스를 관리합니다. 이렇게 하면 멤버 루트 사용자 사용을 방지하고 대규모 복구를 제공하는 데 도움이 됩니다. 중앙 집중식 루트 액세스 기능에는 루트 자격 증명 관리와 루트 세션이라는 두 가지 필수 기능이 있습니다. 

  • 루트 자격 증명 관리 기능은 중앙 관리를 허용하고 모든 관리 계정에서 루트 사용자를 보호하는 데 도움이 됩니다. 이 기능에는 장기 루트 자격 증명 제거, 멤버 계정의 루트 자격 증명 복구 방지, 기본적으로 루트 자격 증명 없이 새 멤버 계정 프로비저닝이 포함됩니다. 또한 규정 준수를 쉽게 입증할 수 있는 방법을 제공합니다. 루트 사용자 관리가 중앙 집중화되면 루트 사용자 암호, 액세스 키 및 서명 인증서를 제거하고 모든 멤버 계정에서 멀티 팩터 인증(MFA)을 비활성화할 수 있습니다.

  • 루트 세션 기능을 사용하면 조직 관리 계정 또는 위임된 관리자 계정의 멤버 계정에서 단기 자격 증명을 사용하여 권한이 있는 루트 사용자 작업을 수행할 수 있습니다. 이 기능을 사용하면 최소 권한 원칙을 준수하여 특정 작업으로 범위가 지정된 단기 루트 액세스를 활성화할 수 있습니다.

중앙 집중식 루트 자격 증명 관리를 위해서는 조직 관리 계정 또는 위임된 관리자 계정의 조직 수준에서 루트 자격 증명 관리 및 루트 세션 기능을 활성화해야 합니다. AWS SRA 모범 사례에 따라이 기능을 보안 도구 계정에 위임합니다. 중앙 집중식 루트 사용자 액세스 구성 및 사용에 대한 자세한 내용은 AWS 보안 블로그 게시물,를 사용하는 고객의 루트 액세스 중앙 관리를 참조하세요 AWS Organizations.

IAM Identity Center

AWS IAM Identity Center는 모든 AWS 계정, 보안 주체 및 클라우드 워크로드에 대한 SSO 액세스를 중앙에서 관리하는 데 도움이 되는 ID 페더레이션 서비스입니다. 또한 IAM Identity Center를 사용하면 일반적으로 사용되는 타사 서비스형 소프트웨어(SaaS) 애플리케이션에 대한 액세스 및 권한을 관리할 수 있습니다. 자격 증명 공급자는 SAML 2.0을 사용하여 IAM Identity Center와 통합됩니다. SCIM(System for Cross-Domain Identity Management)을 사용하여 대량 및 just-in-time 프로비저닝을 수행할 수 있습니다. 또한 IAM Identity Center는를 사용하여 자격 증명 공급자로서 온프레미스 또는 AWS관리형 Microsoft Active Directory(AD) 도메인과 통합할 수 있습니다 AWS Directory Service. IAM Identity Center에는 최종 사용자가 할당된 AWS 계정 IAM Identity Center, 역할, 클라우드 애플리케이션 및 사용자 지정 애플리케이션을 한 곳에서 찾고 액세스할 수 있는 사용자 포털이 포함되어 있습니다.

IAM Identity Center는 기본적으로 조직 관리 계정과 통합 AWS Organizations 되고 실행됩니다. 그러나 최소 권한을 행사하고 관리 계정에 대한 액세스를 엄격하게 제어하기 위해 IAM Identity Center 관리를 특정 멤버 계정에 위임할 수 있습니다. AWS SRA에서 공유 서비스 계정은 IAM Identity Center의 위임된 관리자 계정입니다. IAM Identity Center에 대해 위임된 관리를 활성화하기 전에 다음 고려 사항을 검토하세요. 위임에 대한 자세한 내용은 공유 서비스 계정 섹션에서 확인할 수 있습니다. 위임을 활성화한 후에도 조직 관리 계정에서 프로비저닝된 권한 세트를 관리하는 등 특정 IAM Identity Center 관련 작업을 수행하려면 IAM Identity Center를 조직 관리 계정에서 실행해야 합니다. 

IAM Identity Center 콘솔 내에서 계정은 캡슐화 OU로 표시됩니다. 이를 통해를 빠르게 검색하고 AWS 계정, 공통 권한 세트를 적용하고, 중앙 위치에서 액세스를 관리할 수 있습니다. 

IAM Identity Center에는 특정 사용자 정보를 저장해야 하는 ID 스토어가 포함되어 있습니다. 그러나 IAM Identity Center가 인력 정보의 신뢰할 수 있는 소스일 필요는 없습니다. 기업에 이미 신뢰할 수 있는 소스가 있는 경우 IAM Identity Center는 다음과 같은 유형의 ID 제공업체(IdPs 지원합니다.

  • IAM Identity Center ID 스토어 - 다음 두 가지 옵션을 사용할 수 없는 경우이 옵션을 선택합니다. ID 스토어에서 사용자가 생성되고, 그룹이 할당되고, 권한이 할당됩니다. 신뢰할 수 있는 소스가 IAM Identity Center 외부에 있더라도 보안 주체 속성의 사본이 자격 증명 저장소에 저장됩니다.

  • Microsoft Active Directory(AD) -의 디렉터리 AWS Directory Service for Microsoft Active Directory 또는 Active Directory의 자체 관리형 디렉터리에서 사용자를 계속 관리하려면이 옵션을 선택합니다.

  • 외부 ID 제공업체 - 외부 타사 SAML 기반 IdP에서 사용자를 관리하려면이 옵션을 선택합니다.

엔터프라이즈 내에 이미 있는 기존 IdP를 사용할 수 있습니다. 이렇게 하면 단일 위치에서 액세스를 생성, 관리 및 취소하므로 여러 애플리케이션과 서비스에 대한 액세스를 더 쉽게 관리할 수 있습니다. 예를 들어 누군가 팀을 떠나는 경우 한 위치에서 모든 애플리케이션 및 서비스(포함 AWS 계정)에 대한 액세스를 취소할 수 있습니다. 이렇게 하면 여러 자격 증명의 필요성이 줄어들고 인사(HR) 프로세스와 통합할 수 있는 기회가 제공됩니다.

설계 고려 사항

엔터프라이즈에서 해당 옵션을 사용할 수 있는 경우 외부 IdP를 사용합니다. IdP가 SCIM(System for Cross-domain Identity Management)을 지원하는 경우 IAM Identity Center의 SCIM 기능을 활용하여 사용자, 그룹 및 권한 프로비저닝(동기화)을 자동화합니다. 이를 통해 신입 직원, 다른 팀으로 이동하는 직원 및 퇴사하는 직원을 위한 회사 워크플로와 동기화된 AWS 상태로 액세스할 수 있습니다. 언제든지 디렉터리 하나 또는 SAML 2.0 자격 증명 공급자 하나만 IAM Identity Center에 연결할 수 있습니다. 그러나 다른 자격 증명 공급자로 전환할 수 있습니다.

IAM 액세스 어드바이저

IAM 액세스 어드바이저는 AWS 계정 및 OUs에 대해 마지막으로 액세스한 서비스 정보의 형태로 추적성 데이터를 제공합니다. 이 탐지 제어를 사용하여 최소 권한 전략에 기여합니다. IAM 보안 주체의 경우 마지막으로 액세스한 두 가지 유형의 정보, 즉 허용된 AWS 서비스 정보와 허용된 작업 정보를 볼 수 있습니다. 이 정보에는 시도한 날짜와 시간이 포함됩니다.

조직 관리 계정 내의 IAM 액세스를 통해 조직의 조직 관리 계정, OU, 멤버 계정 또는 IAM 정책에 대해 마지막으로 액세스한 서비스 데이터를 볼 수 있습니다 AWS . 이 정보는 관리 계정의 IAM 콘솔에서 사용할 수 있으며 AWS CLI 또는 프로그래밍 클라이언트에서 IAM Access Advisor APIs를 사용하여 프로그래밍 방식으로 얻을 수도 있습니다. 이 정보는 조직 또는 계정에서 서비스에 마지막으로 액세스하려고 시도한 보안 주체와 그 시기를 나타냅니다. 마지막으로 액세스한 정보는 실제 서비스 사용에 대한 인사이트를 제공하므로(예제 시나리오 참조) 실제로 사용되는 서비스로만 IAM 권한을 줄일 수 있습니다.

AWS Systems Manager

의 기능인 빠른 설정 AWS Organizations 및 탐색기는 AWS Systems Manager조직 관리 계정을 지원하고 운영합니다.

빠른 설정은 Systems Manager의 자동화 기능입니다. 이를 통해 조직 관리 계정은 Systems Manager가 AWS 조직의 여러 계정에서 사용자를 대신하여 참여할 수 있는 구성을 쉽게 정의할 수 있습니다. 조직 전체에서 AWS 빠른 설정을 활성화하거나 특정 OUs 선택할 수 있습니다. 빠른 설정은 AWS Systems Manager 에이전트(SSM 에이전트)가 EC2 인스턴스에서 격주 업데이트를 실행하도록 예약하고 해당 인스턴스에 대한 일일 스캔을 설정하여 누락된 패치를 식별할 수 있습니다. 

Explorer는 AWS 리소스에 대한 정보를 보고하는 사용자 지정 가능한 작업 대시보드입니다. 탐색기는 AWS 계정 및 여러 계정의 작업 데이터에 대한 집계된 보기를 표시합니다 AWS 리전. 여기에는 EC2 인스턴스 및 패치 규정 준수 세부 정보에 대한 데이터가 포함됩니다. 내에서 통합 설정(Systems Manager OpsCenter도 포함) AWS Organizations을 완료한 후 Explorer에서 OU별로 또는 전체 AWS 조직에 대해 데이터를 집계할 수 있습니다. Systems Manager는 데이터를 탐색기에 표시하기 전에 AWS 조직 관리 계정으로 집계합니다.

이 가이드의 뒷부분에 있는 워크로드 OU 섹션에서는 애플리케이션 계정의 EC2 인스턴스에서 SSM 에이전트를 사용하는 방법을 설명합니다.

AWS Control Tower

AWS Control Tower랜딩 존이라고 하는 안전한 다중 계정 AWS 환경을 설정하고 관리하는 간단한 방법을 제공합니다.는를 사용하여 랜딩 존을 AWS Control Tower 생성하고 지속적인 계정 관리 AWS Organizations및 거버넌스와 구현 모범 사례를 제공합니다. 계정이 조직 정책을 준수하는지 확인하면서를 사용하여 몇 단계로 새 계정을 프로비저닝 AWS Control Tower 할 수 있습니다. 기존 계정을 새 AWS Control Tower 환경에 추가할 수도 있습니다. 

AWS Control Tower 에는 광범위하고 유연한 기능 세트가 있습니다. 주요 기능은 AWS Organizations AWS Service Catalog및 IAM Identity Center를 AWS 서비스포함하여 다른 여러의 기능을 오케스트레이션하여 랜딩 존을 구축하는 기능입니다. 예를 들어는 기본적으로를 AWS Control Tower AWS CloudFormation 사용하여 기준, AWS Organizations 구성 변경을 방지하는 서비스 제어 정책(SCPs) 및 규정 미준수를 지속적으로 감지하는 AWS Config 규칙 규칙을 설정합니다.는 AWS Well Architected 보안 기반 설계 원칙에 따라 다중 계정 AWS 환경을 빠르게 조정하는 데 도움이 되는 블루프린트를 AWS Control Tower 적용합니다. 거버넌스 기능 중에서 AWS Control Tower 는 선택한 정책을 준수하지 않는 리소스의 배포를 방지하는 가드레일을 제공합니다.

를 사용하여 AWS SRA 지침 구현을 시작할 수 있습니다 AWS Control Tower. 예를 들어는 권장 다중 계정 아키텍처를 사용하여 AWS 조직을 AWS Control Tower 설정합니다. ID 관리를 제공하고, 계정에 대한 페더레이션 액세스를 제공하고, 로깅을 중앙 집중화하고, 교차 계정 보안 감사를 설정하고, 새 계정을 프로비저닝하기 위한 워크플로를 정의하고, 네트워크 구성을 통해 계정 기준을 구현하는 청사진을 제공합니다.

AWS SRA에서 AWS Control Tower 는 조직 관리 계정 내에 있습니다.는이 계정을 AWS Control Tower 사용하여 AWS 조직을 자동으로 설정하고 해당 계정을 관리 계정으로 지정하기 때문입니다. 이 계정은 조직 전체 AWS 의 결제에 사용됩니다. 또한 Account Factory 계정 프로비저닝, OUs 관리, 가드레일 관리에 사용됩니다. 기존 AWS 조직에서 AWS Control Tower 를 시작하는 경우 기존 관리 계정을 사용할 수 있습니다. AWS Control Tower 는 해당 계정을 지정된 관리 계정으로 사용합니다.

설계 고려 사항

계정 전체에서 제어 및 구성에 대한 추가 기준선을 지정하려면 Customizations for AWS Control Tower (CfCT)를 사용할 수 있습니다. CfCT를 사용하면 CloudFormation 템플릿과 SCP를 사용하여 AWS Control Tower 랜딩 존을 사용자 지정할 수 있습니다. SCPs 사용자 지정 템플릿 및 정책을 조직 내 개별 계정 및 OUs에 배포할 수 있습니다. CfCT는 AWS Control Tower 수명 주기 이벤트와 통합되어 리소스 배포가 랜딩 존과 동기화되도록 합니다. 

AWS Artifact

AWS Artifact는 AWS 보안 및 규정 준수 보고서와 일부 온라인 계약에 대한 온디맨드 액세스를 제공합니다. 에서 사용할 수 있는 보고서에 AWS Artifact 는 SOC(System and Organization Controls) 보고서, PCI(Payment Card Industry) 보고서, AWS 보안 제어의 구현 및 운영 효율성을 검증하는 지역 및 규정 준수 수직 부문의 인증 기관의 인증서가 포함됩니다.는 보안 제어 환경에 대한 투명성을 강화 AWS 하여에 대한 실사를 수행하는 데 AWS Artifact 도움이 됩니다. 또한 새 보고서에 즉시 액세스할 수 AWS 있도록의 보안 및 규정 준수를 지속적으로 모니터링할 수 있습니다.

AWS Artifact 계약을 통해 개별 계정 및 조직의 일부인 계정에 대한 BAA(Business Associate Addendum)와 같은 계약 상태를 AWS 검토, 수락 및 추적할 수 있습니다 AWS Organizations. 

AWS 감사 아티팩트를 감사자 또는 규제 기관에 AWS 보안 제어의 증거로 제공할 수 있습니다. 일부 AWS 감사 아티팩트에서 제공하는 책임 지침을 사용하여 클라우드 아키텍처를 설계할 수도 있습니다. 이 지침은 시스템의 특정 사용 사례를 지원하기 위해 마련할 수 있는 추가 보안 제어를 결정하는 데 도움이 됩니다.

AWS Artifact 는 계약을 검토, 수락 및 관리할 수 있는 중앙 위치를 제공하기 위해 조직 관리 계정에서 호스팅됩니다 AWS. 이는 관리 계정에서 수락된 계약이 멤버 계정으로 흐르기 때문입니다.

설계 고려 사항

조직 관리 계정 내의 사용자는의 계약 기능만 사용하도록 제한해야 하며 다른 기능은 사용할 수 AWS Artifact 없습니다. 업무 분리를 구현하기 위해 AWS Artifact 는 보안 도구 계정에서도 호스팅됩니다.이 계정에서는 규정 준수 이해관계자 및 외부 감사자에게 감사 아티팩트에 액세스할 수 있는 권한을 위임할 수 있습니다. 세분화된 IAM 권한 정책을 정의하여 이러한 분리를 구현할 수 있습니다. 예제는 AWS 설명서의 IAM 정책 예제를 참조하세요.

분산 및 중앙 집중식 보안 서비스 가드레일

AWS SRA, AWS Security Hub AWS Security Hub CSPM,,, Amazon GuardDuty, AWS Config, IAM Access Analyzer, AWS CloudTrail 조직 추적 및 종종 Amazon Macie는 계정 간에 적절한 위임된 가드레일 집합과 함께 배포되며 AWS 조직 전체에 중앙 집중식 모니터링, 관리 및 거버넌스를 제공합니다. 이 서비스 그룹은 AWS SRA에 표시되는 모든 유형의 계정에서 찾을 수 있습니다. 이는 계정 온보딩 및 기준 설정 프로세스의 일부로 프로비저닝해야 AWS 서비스 하는의 일부여야 합니다. GitHub 코드 리포지토리는 AWS 조직 관리 계정을 포함하여 계정 전체에서 보안 중심 서비스의 샘플 구현 AWS 을 제공합니다.

이러한 서비스 외에도 AWS SRA에는 통합 및 위임된 관리자 기능을 지원하는 두 가지 보안 중심 서비스 AWS Audit Manager인 Amazon Detective 및가 포함되어 있습니다 AWS Organizations. 그러나 이는 계정 기준 설정을 위한 권장 서비스의 일부로 포함되지 않습니다. 이러한 서비스는 다음 시나리오에서 가장 잘 사용되는 것으로 나타났습니다.

  • 이러한 디지털 포렌식 및 IT 감사 기능을 수행하는 전담 팀 또는 리소스 그룹이 있습니다. Detective는 보안 분석가 팀에서 가장 잘 활용되며 Audit Manager는 내부 감사 또는 규정 준수 팀에 유용합니다.

  • 프로젝트 시작 AWS Security Hub CSPM 시 AWS Config Amazon GuardDuty AWS Security Hub및와 같은 핵심 도구 세트에 집중한 다음 추가 기능을 제공하는 서비스를 사용하여 이를 기반으로 구축하려고 합니다.