6탄-2. 랜딩존 구현의 핵심, AWS의 컨트롤 타워

AWS Professional Services 팀

<1> AWS 컨트롤 타워 주요 기능

<2> 컨트롤 타워 시작하기

<3> 컨트롤 타워 주요 기능

<4> 가드레일에 대해 알아보자~

<5> 어카운트 팩토리 알아보자

<6> 컨트롤 타워 전환 옵션  4가지

<7> 컨트롤 타워 전환 4단계

<8>  AFT(Account Factory for Terrform )

<9> 컨트롤 타워 신규 구성

<10>  다중 계정에서 컨트롤 타워는 필수이다.

<20> 같이 볼만한 자료

<1> AWS 컨트롤 타워 주요 기능

1

컨트롤 타워는 상품이다.

2

랜딩존

탄탄하고 안전한 착륙지점

아키텍처 모범 사례 + 보안적으로 안전한 클라우드 사용 환경

유연한 아키텍처를 위한 시작점

3

랜딩존?  컨트롤 타워?

랜딩존?

잘 만들어진 아키텍처 , 콘셉트이다.

랜딩존은 솔루션이다.

컨트롤 타워는 사용자가 쉽게 사용할 수 있도록 서비스화 한 상품이다.

기존 랜딩존에 비해, 컨트롤 타워는 간단해짐.

<2> 컨트롤 타워 시작하기

1

AWS 콘솔에서 Setup landing zone을 누루고 시작

한 시간 정도 걸린다.

2

랜딩존의 기본 요소들을 자동으로 설치해 준다.

3

어카운트 팩토리는?

계정 생성과정을 셀프서비스로 자동화하는 컨트롤 타워의 핵심 요소

4

AWS Organization?

AWS 환경에서 다운 계정을 관리하기 위한 것.

OU단위로 조직 구조를 설계할 수 있다.

OU는 서비스 제어 정책 적용 가능 - Service Contol Policy와 같은 조직별 정책이 각각 적용된다.

5

AWS  SSO?

다수의 어카운트의 자격증명을 관리하기 위한 Single Sing-On 서비스

6

컨트롤 타워의 로그를 관리하는  Log Archive account 가 있다.

수만의 계정의 접근 로그, audit정보들을 한 곳에 모으는 역할을 한다.

7

Audit  어카운트는?

보안 및 컴플라이언스 감사 목적으로 사용 되는 계정.

<3> 컨트롤 타워 주요 기능

1

자동화된 랜딩존 구현

2

가드레일 ?

AWS 모범사례를 기반으로 한 가드레일 적용해준다!!

3

어카운트 팩토리

<4> 가드레일에 대해 알아보자~

1

예방 가드레일은 항상 지켜야 하는 규칙

클라우드 Trail의 설정 변경을 금지하는 것

SCP (Service Control Policy)라고 하는 정책 적용하여 항상 규칙을 지키도록 한다.

2

탐지 가드레일?

규칙을 어겼을 때 알려주는 것.

S3 버킷이 외부로 공개되어 있는 때 알려준다.

Config Rule을 통해  설정한다.

3

대시보드를 통해 가드레일을 확인한다.

4

가드레인은 업데이트 된다.

최근 데이터 상주(Data Residency) 가드레일이 적용되었다.

<5> 어카운트 팩토리 알아보자

1

복잡한 어카운트 설정 등을 자동화

어카운트 생성 절차를 표준화

기본 보안과 네트워크 요구사항을 사전에 설정하여 반영한다.

2

어카운트 팩토리는 AWS 서비스 카탈로그를 통해 작동한다.

3

보안 서비스와 연계 필수이다.

<6> 컨트롤 타워 전환 옵션  4가지

1

컨트롤 타워 최초 도입?

가장 빠르고 쉬움

자동화된 사전진단 , 구성됨

2

오가니제이션에서 컨트롤 타워로?

3

랜딩존에서 컨트롤 타워로?

기존 리소스 의존성 확인

AVM 연계 확인

어떤 OU에 구성할 것인지 확인

기존 OU 사용 시 SCP도 동일

4

커스텀 랜딩존에서 컨트롤 타워로?

테라폼 랜 등 존이 나 별도로 구축한 경우

AFT(Account Factory for Terrform )

<7> 컨트롤 타워 전환 4단계

1

사전 준비 및 구성?

오가니제이션, OU 구조 정의

컨트롤 타워 설치 여부 점검 - 파트너사 사용 시 제약

컨트롤 타워 설치

2

마이그레이션?

IT와 가드레일 구성

계정 등록

SSO 설정

Core계정 리소스 마이그레이션

3

커스템 환경 구성?

CfCT , AFT 배포

사용자 정의 코드 작성

보안 서비스 검토 적용

4

지속 확장?

OU확장

<8>  AFT(Account Factory for Terrform )

테라폼 파이프라인을 통한 어카운트 생성 및 사용자 정의 환경 배포.

신규 어카운트 생성 및 기존 어카운트 사용자 정의

<9> 컨트롤 타워 신규 구성

1

3개의 이메일 주소가 필요하다.

2

AFT 파이프 라인 설치?

AFT가 사용할 OU 생성

3

어카운트 생성?

어카운트 펙토리를 통해 관리 계정 하나 생성

4

사용자 정의 테라폼 모듈로 어카운트 수정 배포

테라폼 사이트에서 다운로드

flag 등이 있다.  디폴트 VPC 삭제 flag 등

<10>  다중 계정에서 컨트롤 타워는 필수이다.

<20> 같이 볼만한 자료

https://brunch.co.kr/@topasvga/2802

(몰아보기) AWS 랜딩존

감사합니다.