본문 바로가기

블로그

LG CNS 기술블로그 DX Lounge에서 최신 IT 소식을 만나보세요!

AWS Ambassador

AWS Control Tower POC

2023.02.01

1. 개요

사내에 AWS 환경의 LandingZone이 있습니다.
AWS에서 출시한 Control Tower 서비스를 이용하여 LandingZone 구축이 가능한데요.
Control Tower를 통해 생성되는 LandingZone이 어떤 특징이 있는지 살펴보고 사용 방법을 알아보겠습니다.

2. AWS Control Tower

2.1 Control Tower 특징
● 랜딩 존
Control Tower 생성 시 Security, Logging Account가 생성됩니다.
OU Full feature를 사용하게 되며, AWS SSO가 생성됩니다.
● 가드레일
전반적인 AWS 환경에 대한 상위 수준 규칙이며, 일반적인 언어로 표현됩니다.
방지와 감지 두 가지 종류가 있으며 방지는 SCP를 통해서 하고, 감지는 AWS Config의 규칙으로 구현합니다.
두 종류의 가드레일에는 필수, 권장, 선택의 세 가지 범주가 적용됩니다. (가드레일)
● Account Factory
새로운 계정을 미리 설정된 구성으로 프로비저닝 하는 계정 템플릿입니다.
● 대시보드
랜딩 존을 관리할 수 있는 대시보드가 생성됩니다.

Control Tower 생성 시 구성되는 내용 : AWS Control Tower 작동

2.2 Control Tower 생성

Control Tower는 2가지 방법으로 시작이 가능합니다.
이 문서에는 “새 조직에서의 AWS Control Tower 시작”으로 테스트했습니다.
기존 조직에서 AWS Control Tower 시작: 이 단원은 기존 AWS Organizations에서 바로 AWS Control Tower를 생성합니다.
새 조직에서 AWS Control Tower 시작: 이 단원은 기존 AWS Organizations, OU 및 계정이 없는 고객을 위한 것입니다.

참고 사항
● AWS Control Tower 생성을 할 수 있는 테라폼 코드는 현재 존재하지 않는 걸로 확인됩니다. Account Factory에 대한 Code는 존재합니다.
● AWS Control Tower는 AWS CloudFormation StackSets를 사용하여 계정의 리소스를 설정합니다.

준비물(설정)
● 마스터로 사용할 AWS Account
● AWS Account의 AdministratorAccess 가 가능한 유저 생성
● AWS Account에 가입되지 않은 2개의 E-mail 주소

  • 감사계정, 로그 아카이브 계정 용도

생성
● 요금 검토 및 리전 선택

● 요금 : 기본요금은 없으나 AWS Service Catalog, AWS CloudTrail, AWS Config, Amazon CloudWatch, Amazon Simple Notification Service(SNS), Amazon Simple Storage Service(S3) 및 Amazon Virtual Private Cloud(VPC) 사용료가 발생합니다.
● 홈 리전 : Control Tower 홈 리전 선택으로 변경 불가합니다.
● 리전 거부 설정 : 사용 리전 선택. 활성/비활성 선택 가능. 공상평 LandingZone의 경우에는 SCP Rule 을 통해서 설정. Control Tower는 가드레일을 통해서 설정한다고 하나 결과적으로 SCP 설정으로 가능하고 수정도 가능합니다.
● 거버넌스를 위한 추가 AWS 리전 : Control Tower에서 관리할 리전을 선택합니다. (수정 가능)

OU(조직 단위) 구성

● 기본 OU : Control Tower 생성 완료 후 Logging, Security Account가 소속되는 OU입니다. (수정 불가)
● 추가 OU : Application OU와 같이 CORE OU를 제외한 용도의 Account가 소속될 OU입니다. 생성 후에 삭제 가능합니다.

생성 후 OU 구성 ( 기본 OU : Security, 추가 OU : Application )

공유 계정 및 암호화 구성

● 로그 아카이브 계정 : Cloud Trail에 대한 로그를 관리할 Account입니다.
● 감사 계정 : 다른 계정의 보안 준수 여부를 람다를 통해 관리할 수 있는 계정입니다.
● KMS 암호화 : AWS Control Tower 리소스를 KMS로 암호화 (수정 가능)

Control Tower 생성 결과
● 2개의 OU, 3개의 Account 생성
● 총 62개의 가드레일 규칙 생성
지침 기준 : 필수 – 22개, 권장 – 13개, 선택 – 27개
동작 기준 : 예방 – 22개, 탐지 – 40개

2.3 Account Factory 생성
계정 팩토리 네트워크 구성 편집
● 설정된 템플릿으로 Account 생성 가능
● VPC를 템플릿으로 생성할 수 있음
● VPC 설정이 자유롭지 않음
-예시 : 가용 영역 =3 고정
-최대 프라이빗 서브넷 수 범위 : 0 ~ 2

● 위 화면과 같이 설정하면 VPC 생성 없이 Account만 생성 가능
-인터넷 액세스가 가능한 서브넷 : False
-최대 프라이빗 서브넷 수 : 0
-VPC 생성용 리전 : 체크 해제

계정등록

● 계정 이메일 : AWS Account로 사용할 계정 이메일(AWS Account가 생성되어 있으면 안 됨)
● 표시 이름 : Account 표시 이름
● AWS SSO 이메일 : SSO에서 사용할 이메일
● AWS SSO 사용자 이름 : SSO에서 사용할 이름
● 상위 OU : 소속된 OU

다이어그램으로 보면 Control Tower를 통해서 Management Account와 Core OU 부분은 기본으로 생성이 됩니다.
Shared Service OU와 Accplication OU는 프로젝트의 요구에 맞게 구성을 하시면 되는데요.
Shared Service OU를 통해서 공통으로 사용할 만한 서비스들을 배치할 수 있겠습니다.
예를 들면 Network Account에 Internet in/outbound를 Routing 하기 위한 구성을 하고 Network Firewall이나 UTM/WAF 을 추가하여
네트워크 모니터링 및 통제를 중앙에서 할 수 있도록 구성할 수 있겠습니다.

3. 마무리

사내에서 더욱 많은 프로젝트에서 AWS를 사용하게 되면서 AWS Account를 관리하기 위한 것들을 고민하게 되는데요.
AWS Control Tower를 이용하여 Multi-Account를 더욱 효율적으로 관리할 수 있습니다.
특히 IAM 및 Compliance 조건들을 Control Tower를 통해서 통제가 가능해지기 때문에 표준화된 Rule을 일괄 적용할 수 있습니다.

해당 콘텐츠는 저작권법에 의해 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.
해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

목록

관련 아티클

챗봇과 대화를 할 수 있어요