[ AWS Product ] AWS Control Tower란?

728x90

🌳 AWS Control Tower란?

◾️ 다른 AWS 서비스를 기반으로 구축된 서비스

◾️ 잘 설계된 환경을 설정하는데 도움이 됨

◾️ AWS 다중 계정을 간단하게 설정하고 관리하는 방법을 제공

◾️ 여러 AWS 서비스의 기능을 조정하여 1시간 이내에 랜딩 존을 구축

◾️ 보다 쉽게 기업 표준을 준수하고, 규제 요구 사항을 충족하고 모범 사례를 따를 수 있게 도와줌

🌳 AWS Control Tower에는 어떤 기능이 있나요?

🌱 Landing Zone (랜딩 존)

◾️ 보안 및 규정 준수 모범 사례에 기반한 아키텍처가 적용된 다중 계정 환경입니다.

◾️ 규정을 준수할 대상으로 하는 모든 조직 단위, 계정, 사용자 및 기타 자원을 포함

◾️ 기업의 크기에 맞게 확장 가능

🌱 Control (제어 또는 guardrail)

◾️ 전반적인 AWS 환경에 대한 지속적인 거버넌스를 제공하는 고수준 규칙

◾️ 세 가지 유형이 있음

( 예방적 제어 : preventive, 탐지적 제어 : detective, 선제적 제어 : proactive )

◾️ 제어에는 세 가지 유형의 가이드라인이 있음

( 의무적인 : mandatory, 강력히 권장되는 : recommended, 선택적인 : selective )

🌱 Account Factory (어카운트 팩토리)

◾️ 미리 승인된 계정 구성.

◾️ 새로운 계정의 프로비저닝을 표준화하는 데 도움이 되는 구성 가능한 계정 템플릿

◾️ AWS Control Tower 는 내장된 Account Factory를 제공하여 조직에서 계정 프로비저닝

워크플로우를 자동화하는 데 도움을 줌

🌱 Dashboard (대시보드)

◾️ 중앙 클라우드 관리자 팀에게 랜딩 존의 지속적인 감사를 제공

◾️ 새로운 계정의 프로비저닝을 표준화하는 데 도움이 되는 구성 가능한 계정 템플릿

◾️ AWS Control Tower 는 내장된 Account Factory를 제공하여 조직에서 계정 프로비저닝

워크플로우를 자동화하는 데 도움을 줌

❓ 프로비저닝(provisioning) ❓

사용자의 요구에 맞게 시스템 자원을 할당, 배치, 배포해 두었다가

시스템을 즉시 사용할 수 있는 상태로 미리 준비해 두는 것

❓ 오케스트레이션(Orchestration) ❓

컴퓨터 시스템, 애플리케이션, 서비스의 자동화된 구성, 관리, 조정을 말함

이로써, IT팀이 복잡한 Task와 Workflow를 쉽게 관리할 수 있도록 돕는다.

🌳 AWS Control Tower 작동 방식

크게 4가지 단계로 이루어짐

1️⃣ 모범 사례 청사진을 기반으로 랜딩존 설정을 자동화 함

2️⃣ AWS 워크로드에 대한 지속적인 거버넌스를 위해 가드레일을 적용

3️⃣ Account Factory와 함께 Account provisioning workflow를 자동화

4️⃣ 조직 단위, 계정 및 가드레일에 대한 대시보드를 통해 가시성 확보 및 관제

🌳 AWS Control Tower 가 다른 AWS 서비스와 상호작용 하는 방법

◾️다른 AWS와 통합하여 기존 워크로드를 AWS로 마이그레이션 하는 데 도움이 되는 솔루션으로

구축할 수 있다.

🌱 Configuration, Governance, and Extensibility

⭐️ Automated account configuration: 자동화된 계정 구성

◾️AWS Control Tower는 계정 배포 및 등록을 Account Factory( 일명 vending machine )으로 자동화

◾️Account Factory는 AWS Service Catalog에서 제공된 제품을 기반으로 추상화된 개념

◾️Account Factory는 AWS 계정을 생성, 등록 및 제어 정책 적용 프로세스를 자동화

⭐️ Centralized governance: 중앙 집중식 거버넌스

◾️AWS Oragnizations의 기능을 활용하여 다중 계정 환경에서

일관된 준수 및 거버넌스를 보장하는 프레임워크를 설정

⭐️ Extensibility: 확장성

◾️AWS Organizations뿐 아니라 AWS Control Tower 콘솔에서 직접 작업함으로써

자체 AWS Control Tower 환경을 구축 또는 확장 가능

◾️기존 조직을 등록하고 기존 계정을 AWS Control Tower에 등록한 후에는

AWS Control Tower에서 변경 사항이 반영

◾️AWS Control Tower 랜딩 존을 업데이트하여 변경 사항을 반영할 수 있음

🌳 Control Tower 용어 사전

⭐️ AWS Control Tower가 AWS Organizations 서비스와 많은 용어를 공유한다.

🍀AWS Organizations

◾️ AWS 환경을 중앙에서 관리하고 AWS에서의 워크로드 성장과 확장을 지원하는 AWS 서비스

◾️ AWS Control Tower는 계정을 생성하고 OU 수준에서

예방적인 제어를 강제하고 중앙 집중식 빌링을 제공하기 위해 AWS Organizations를 활용

🍀AWS account Factory account

◾️ AWS Control Tower의 Account Factory를 사용하여 프로비저닝된 AWS 계정

별명은 "자동판매기, vending machine"

🍀AWS Control Tower home Region

◾️ AWS Control Tower 랜딩 존이 배포된 AWS 리전.

◾️ 랜딩 존 설정에서 홈 리전을 확인할 수 있다.

🍀AWS Service Catalog

◾️ 일반적으로 배포되는 IT 서비스를 중앙에서 관리할 수 있는 기능을 제공

🍀AWS CloudFormation StackSets

◾️스택의 기능을 확장하여 단일 작업과 단일 CloudFormation 템플릿으로

여러 계정과 리전에 걸쳐 스택을 생성, 업데이트 또는 삭제할 수 있는 리소스 유형

🍀Stack Instance

◾️리전 내의 대상 계정에서 스택에 대한 레퍼런스

🍀Stack

◾️단일 유닛으로 관리할 수 있는 AWS 리소스의 모음

🍀Aggregator

◾️AWS Config 구성 및 규정 준수 데이터를 조직 내의 여러 계정과 리전에서 수집하는

AWS Config 리소스 유형

🍀Conformance pack

◾️단일 엔티티로 계정 및 리전 또는 AWS Organizations 내에서 배포할 수 있는

AWS Config 규칙 및 개선 조치의 모음

◾️Conformance pack을 사용하여 AWS Control Tower 환경을 사용자 정의할 수 있음

🍀Baseline

◾️계정을 베이스라인화한다는 것은 블루프린트와 제어를 설정하는 것을 의미

◾️베이스라인 프로세스: 블루프린트 배포의 일부.

계정에 중앙 집중식 로깅 및 보안 감사 역할을 설정

◾️AWS Control Tower의 베이스라인은 등록된 모든 계정에 적용되는 역할에 포함

🍀Blueprint

◾️계정 내에 배포되는 인프라 구성 요소를 설명하는 메타데이터를 포함하는 아티팩트

ex) AWS CloudFormation 템플릿은 AWS Control Tower 계정의 블루프린트로 사용됨

🍀Drift

◾️AWS Control Tower에 의해 설치되고 구성된 리소스의 변경

🍀Non-compliant resource

◾️특정 탐지 제어를 정의하는 AWS Config 규칙에 위배되는 리소스

🍀Shared account (공유된 계정)

◾️랜딩 존 설정 시 자동으로 생성되는 세 가지 계정 중 하나

관리 계정, 로그 아카이브 계정 및 감사 계정이 있음.

◾️로그 아카이브 계정과 감사 계정에 대한 사용자 정의 이름을 설정

🍀Member account

◾️멤버 계정은 AWS Control Tower 조직에 속하는 계정

◾️계정은 한 번에 하나의 조직에만 속할 수 있으며 해당 조직의 관리 계정에 대한 요금이 청구됨

◾️멤버 계정은 조직의 루트 컨테이너로 이동할 수 있음

🍀AWS account

◾️리소스 컨테이너 및 리소스 isolation boundary로 작동

◾️ AWS 계정은 요금과 결제에 연결될 수 있음

◾️AWS 계정은 AWS Control Tower의 사용자 계정(IAM 사용자 계정이라고도 함)과는 다름

◾️ Account Factory 프로비저닝 프로세스를 통해 생성된 계정은 AWS 계정

◾️ 계정 등록 또는 OU 등록 프로세스를 통해 AWS Control Tower에 추가될 수도 있음

🍀Control (Guardrail)

◾️전체 AWS Control Tower 환경에 지속적인 거버넌스를 제공하는 고수준 규칙

◾️각 제어는 단일 규칙을 강제

◾️예방적인 제어는 SCP를 사용하여 구현

◾️탐지 제어는 AWS Config 규칙을 사용하여 구현

◾️예측적인 제어는 AWS CloudFormation 후크를 사용하여 구현

🍀Landing zone

◾️기본 계정, 계정 구조, 네트워크 및 보안 레이아웃 등을 포함한

권장 시작 지점을 제공하는 클라우드 환경

◾️랜딩 존에서는 솔루션과 애플리케이션을 활용하는 워크로드를 배포할 수 있음

🍀Nested OU (중첩 OU)

◾️AWS Control Tower에서 중첩 OU는 다른 OU 내에 포함된 OU

◾️중첩 OU는 정확히 하나의 상위 OU를 가질 수 있으며

각 계정은 단 하나의 OU의 구성원이 될 수 있음

◾️중첩 OU는 계층 구조를 생성

◾️계층 구조의 하나의 OU에 정책을 연결하면 하위의 모든 OU 및 계정에 영향을 미침

◾️ AWS Control Tower의 중첩 OU 계층은 최대 다섯 수준까지 가능

🍀Parent OU (상위 OU)

◾️계층 구조에서 현재 OU 바로 위에 있는 OU

◾️각 OU는 단 하나의 상위 OU를 가질 수 있음

🍀Child OU (하위 OU)

◾️계층 구조에서 현재 OU 아래에 있는 OU

◾️OU는 여러 개의 하위 OU를 가질 수 있음

🍀 OU hierarchy

◾️AWS Control Tower에서 중첩된 OU의 계층은 최대 다섯 수준까지 가능

◾️중첩 순서는 수준으로 참조, 계층의 맨 위는 Level 1로 지정

🍀Top-level OU

◾️최상위 OU는 루트 자체가 아닌 루트 바로 아래에 있는 OU입니다

◾️루트는 OU아님