207. Landing zone 빠르게 알아보자.
by
Feb 23. 2020
랜딘존 실습은 쉽지 않다.
해당 리소스를 모두 삭제하고 계정은 탈퇴해야 한다.
실습시 주의 바란다.
그렇지 않으면 계속 돈이 나온다.
반드시 종료할 삭제 할 테스트 계정들을 만들어 실습하기 바란다.
<1> 랜딩존 구성 보기
<2> 랜딩존 동영상
<2> 랜딩존 실습 하기
<1> 랜딩존 구성 보기
1. 구성
Secure
Scalable
Adaptable
2. Landing Zone 이 제공하는 것
1) Automation driven versioned infrastructure
2) Multi-account environment based on AWS best practices
3) Adapable foundation with goverance guardrails
4) Set of architecture patterns for shard core services
3. Building a Landing Zone
1) Account
2) Network - Domains, Direct connect , Core Services
3) Security - Logging, Configuration , Image
4) Identity & Access - Access , Identities - Federation
5) Cloud Users - Service Catalog , Automation , End User Interaction
1) Account
Centralised logs
Shared Core services
Small blast radius
Billing visibility
Environment isolation
Governance at Scale
2) Network - Domains, Direct connect , Core Services
VPC Design - VPC Peering , Bastion Host
Non-Overlapping IP Range
Subnet Design
Access Control Lists and Security Group - Ingress/Egress Points
Logging and Monitoring
VPN/AWS Direct Connect
DNS Domain
3) Security - Logging, Configuration , Image
Amazon GuardDutu for threat detection
Amazon CloudWatch metrics & alarms
AWS CloudTrail logs for auditing
VPC flow logs for network insights
AMI factory for hardened OS images
AWS Config Rule for dynamic compliance
4) Identity & Access - Access , Identities - Federation
AD -> IAM roles with access policies ->AWS account
5) Cloud Users - Service Catalog , Automation , End User Interaction
AWS Serice Catalog
4. 동영상 참고 https://www.youtube.com/watch?v=-u9LK8Dueyc&feature=youtu.be
landzign zone 비용 참고 https://aws.amazon.com/ko/controltower/pricing/?nc1=h_ls
계정관리 모범사례 https://docs.aws.amazon.com/ko_kr/controltower/latest/userguide/best-practices.html
5. 시범 서비스 Control Tower
1) 지원 지역
2020년 2월 현재, 미국 3곳, 유럽 1곳만 지원한다.
2) 요금
3. 설정해보기
로그 아카이브 메일 계정과 감사 메일 계정 2개를 넣어야 한다.
2개의 계정은 AWS계정 이메일이 아니어야 한다.
계정 생성 시 기존에 있는 AWS계정을 입력하면 생성이 되지 않는다.
기존에 AWS계정으로 사용하는 Email 말고 다른 Email 계정을 넣어야 한다.
