© 2021, Amazon Web Services, Inc. or its Affiliates.
김학민
AWS Migration Partner SA
AWS Control Tower를 통한
클라우드 보안 및 거버넌스 설계

© 2021, Amazon Web Services, Inc. or its Affiliates.
강연 중 질문하는 방법
Go to Webinar “Chat/채팅” 창에 자신이 질문한
내역이 표시됩니다. 기본적으로 모든 질문은
공개로 답변 됩니다만 본인만 답변을 받고 싶으면
(비공개)라고 하고 질문해 주시면 됩니다.
본 컨텐츠는 고객의 편의를 위해 AWS 서비스 설명을 위해 온라인 세미나용으로 별도로 제작, 제공된 것입니다. 만약 AWS 사이트와
컨텐츠 상에서 차이나 불일치가 있을 경우, AWS 사이트(aws.amazon.com)가 우선합니다. 또한 AWS 사이트 상에서 한글 번역문과
영어 원문에 차이나 불일치가 있을 경우(번역의 지체로 인한 경우 등 포함), 영어 원문이 우선합니다.
AWS는 본 컨텐츠에 포함되거나 컨텐츠를 통하여 고객에게 제공된 일체의 정보, 콘텐츠, 자료, 제품(소프트웨어 포함) 또는 서비스를 이용함으로 인하여 발생하는 여하한 종류의 손해에 대하여 어떠한
책임도 지지 아니하며, 이는 직접 손해, 간접 손해, 부수적 손해, 징벌적 손해 및 결과적 손해를 포함하되 이에 한정되지 아니합니다.
고지 사항(Disclaimer)

© 2021, Amazon Web Services, Inc. or its Affiliates.
Table of contents
• AWS Control Tower 개요
• AWS Control Tower를 이용한 다중 계정 구성 방안
• 마무리

© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Control Tower 개요

© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS 계정이란?
• Amazon S3 버킷, Amazon EC2 인스턴스 또는 Amazon DynamoDB 테이블과
같은 AWS 자원들에 대한 격리 공간
• AWS IAM(Identity and Access Management)의 주체(사용자, 역할)를 사용하여
통제하는 자원에 접근

© 2021, Amazon Web Services, Inc. or its Affiliates.
단일 AWS 계정 vs 다중 AWS 계정

© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Control Tower란?
AWS를 규모에 맞게 설정하고 제어하는 가장 쉬운 방법
—
Provision
—
Operate
—
Enable
비지니스 민첩성 + 거버넌스 제어

© 2021, Amazon Web Services, Inc. or its Affiliates.
거버넌스 활성화
AWS landing zone
설정
가드레일
확립
자동화된 규정 준수
계정 프로비저닝
ID 및 액세스
중앙집중화
지속적인
관리

© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Control Tower 아키텍처
• AWS Organizations를 사용하여 다중 계정 관리
• AWS CloudFormation StackSets를 활용하여
멤버 계정들에 landing zone 설정
• AWS SSO를 사용한 신원 인증 및 Federated
Access 관리
• AWS CloudTrail과 AWS Config를 사용한 중앙
집중식 Log Archive
• AWS SSO와 AWS IAM을 사용하여 계정 간 감사
액세스
• AWS Service Catalog를 통해 최종 사용자 계정
프로비저닝
• Amazon CloudWatch와 Amazon SNS를 사용한
중앙집중식 모니터링 및 알림
Master account
AWS Control Tower AWS Organizations AWS Single
Sign-On
Stack
sets
AWS Service
Catalog
Log archive
account
Aggregate
AWS
CloudTrail 및
AWS Config
logs
Account
baseline
Audit account
Security cross-
account roles
Account
baseline
Provisioned
accounts
Network
baseline
Account
baseline
Amazon
CloudWatch
aggregator
Security
notifications
Core OU Custom OU AWS SSO
directory

© 2021, Amazon Web Services, Inc. or its Affiliates.
가드레일 설정
• 가드레일은 보안, 컴플라이언스 및 운영을 위해
사전 구성된 거버넌스 규칙임
• 세분화된 AWS 정책을 추상화하여 제공하기 위해
평문 영어로 작성
• 방지 가드레일: 규정 시행을 통해 정책 위반을 방지;
AWS CloudFormation과 SCPs 사용하여 구현
• 감지 가드레일: 대시보드에서 정책 위반 탐지 및
경고; AWS Config rules 사용하여 구현
• 규범적 지침을 위해 필수적으로 강력하게 권장되는
가드레일
• Organizational units을 쉽게 선택하고 활성화 가능
Organizational
units
Accounts
Enable
Enable
Output
Output
Output
Organizational
units
Accounts
Preventive guardrail
Granular AWS
policies
SCP
Detective/remediable
guardrails
Granular
AWS policies
AWS Config
rules
Always
compliant
Compliant
Non-
compliant

© 2021, Amazon Web Services, Inc. or its Affiliates.
중앙 집중화된 신원 인증 및 액세스
• AWS SSO는 신원 인증을 위한
기본적인 디렉토리를 제공
• AWS SSO는 또한 Organization 내 모든
계정들에 대한 federated access
management를 지원
• 사전 구성된 그룹 (예: AWS Control
Tower administrators, auditors, AWS
Service Catalog end users) 제공
• 사전 구성된 권한 세트 (예: admin, read-
only, write) 제공
Master Account
Member Account #1 Member Account #N
AWS Organizations
AWS Single Sign-On

© 2021, Amazon Web Services, Inc. or its Affiliates.
Account Factory
• 빌트인 account factory는 표준화된 계정
프로비저닝에 대한 템플릿 제공
• 구성 가능한 네트워크 세팅
(예: subnets, IP addresses)
• 계정 베이스라인과 가드레일을 자동 적용
• AWS Service Catalog에 퍼블리시
Account factory
Network
baseline
Network
CIDR
Network
regions
OU Account
baseline
AWS Service
Catalog
AWS Service
Catalog product
New AWS account
Network
baseline
Account
baseline
Guardrails

© 2021, Amazon Web Services, Inc. or its Affiliates.
수명 주기 이벤트
Account
Stack
Set
Amazon
GuardDuty
AWS Security
Hub
IAM Roles
Amazon VPC Flow
logs
Account Customizations
1. Launch
Account
Admin
New
Account
2. Account
Created
Amazon
CloudWatch
Rule
3. CreateManagedAccount
AWS Lambda
4. Trigger Lambda
AWS
CloudFormation
6a. Trigger customizations
through stack additions
6b. Trigger customizations
Directly
Control Tower
Master
AWS Service
Catalog

© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Control Tower를 이용한
다중 계정 구성 방안

© 2021, Amazon Web Services, Inc. or its Affiliates.
다중 계정 환경에서 계정 생성 시 고려되어야 할 기반 사항
• 네트워크: VPC, IP 할당, Subnet Masking, Transit Gateway, VPC Peering
• ID 관리: IAM, SSO, IdP
• 보안 도구: Guard Duty, Security Hub, IAM Access Analyzer, 써드파티 도구
• 로깅 전략: 어떤 로그를 어디에 저장할 것인지?, 로그 수집기(log aggregators) 통합 방식
• 지원 수준: Enterprise, Business (멤버 계정마다 다를 수 있음)
• 추가 가드레일: BYOG (Bring Your Own Guardrail)
• 운영 절차에 통합: ITSM/ITIL 통합 (ServiceNow, Jira Service Desk), 자산 관리, CMDB, 등
• 기본 리소스: 계정에서 필요한 다른 AWS services (예: lampstack), 아키텍처 패턴에 대한
‘결재’ 파이프라인 등 고려

© 2021, Amazon Web Services, Inc. or its Affiliates.
다중 계정 환경 설계를 위한 계정 및 OU 구조 고려 사항
계정 분리 고려 사항
• 보안 제어
• 격리
• 여러 팀
• 데이터 격리
• 비지니스 프로세스
• 빌링
• 리소스 쿼터 할당
OU 분리 고려 사항
• 회사 조직 구조
• 정책 변경 테스트
• 거버넌스 및 제어
• 프로덕션 및 스테이징 영역
• SCP(서비스 제어 정책)

© 2021, Amazon Web Services, Inc. or its Affiliates.
다중 계정 환경용 참조용 네트워크 아키텍처
Account Account
Account Account
Development
Account Account
Account Account
Testing
Account Account
Account Account
Production Shared services
Authentication, Monitoring
VPN
DX
Route
tables
Route
tables
Transit Gateway
VPC Peering을

© 2021, Amazon Web Services, Inc. or its Affiliates.
AWS Control Tower를 이용한 다중 계정 사례
AWS Cloud
AWS Organizations
Master
기본 Organizational Units (OU)
Infrastructure
Δ Shared Services
Δ Network
추가 OU
Security

© 2021, Amazon Web Services, Inc. or its Affiliates.
Q&A
Name of presenter

© 2021, Amazon Web Services, Inc. or its Affiliates.
더 나은 세미나를 위해
여러분의 의견을 남겨주세요!
▶ 질문에 대한 답변 드립니다.
▶ 발표자료/녹화영상은 추후 별도로
전달 드릴 예정입니다.

© 2021, Amazon Web Services, Inc. or its Affiliates.
Thank you!