AWS Professional Services 팀
탄탄하고 안전한 착륙지점
아키텍처 모범 사례 + 보안적으로 안전한 클라우드 사용 환경
유연한 아키텍처를 위한 시작점
잘 만들어진 아키텍처 , 콘셉트이다.
랜딩존은 솔루션이다.
한 시간 정도 걸린다.
랜딩존의 기본 요소들을 자동으로 설치해 준다.
계정 생성과정을 셀프서비스로 자동화하는 컨트롤 타워의 핵심 요소
AWS 환경에서 다운 계정을 관리하기 위한 것.
OU단위로 조직 구조를 설계할 수 있다.
OU는 서비스 제어 정책 적용 가능 - Service Contol Policy와 같은 조직별 정책이 각각 적용된다.
다수의 어카운트의 자격증명을 관리하기 위한 Single Sing-On 서비스
수만의 계정의 접근 로그, audit정보들을 한 곳에 모으는 역할을 한다.
보안 및 컴플라이언스 감사 목적으로 사용 되는 계정.
AWS 모범사례를 기반으로 한 가드레일 적용해준다!!
클라우드 Trail의 설정 변경을 금지하는 것
SCP (Service Control Policy)라고 하는 정책 적용하여 항상 규칙을 지키도록 한다.
규칙을 어겼을 때 알려주는 것.
S3 버킷이 외부로 공개되어 있는 때 알려준다.
Config Rule을 통해 설정한다.
대시보드를 통해 가드레일을 확인한다.
최근 데이터 상주(Data Residency) 가드레일이 적용되었다.
어카운트 생성 절차를 표준화
기본 보안과 네트워크 요구사항을 사전에 설정하여 반영한다.
가장 빠르고 쉬움
자동화된 사전진단 , 구성됨
기존 리소스 의존성 확인
AVM 연계 확인
어떤 OU에 구성할 것인지 확인
기존 OU 사용 시 SCP도 동일
테라폼 랜 등 존이 나 별도로 구축한 경우
AFT(Account Factory for Terrform )
오가니제이션, OU 구조 정의
컨트롤 타워 설치 여부 점검 - 파트너사 사용 시 제약
컨트롤 타워 설치
IT와 가드레일 구성
계정 등록
SSO 설정
Core계정 리소스 마이그레이션
CfCT , AFT 배포
사용자 정의 코드 작성
보안 서비스 검토 적용
OU확장
테라폼 파이프라인을 통한 어카운트 생성 및 사용자 정의 환경 배포.
신규 어카운트 생성 및 기존 어카운트 사용자 정의
AFT가 사용할 OU 생성
어카운트 펙토리를 통해 관리 계정 하나 생성
테라폼 사이트에서 다운로드
flag 등이 있다. 디폴트 VPC 삭제 flag 등
https://brunch.co.kr/@topasvga/2802