728x90
1. Landing Zone
1) 개념
- 랜딩존의 개념적인 의미는 모래 밭이 아닌 탄탄하고 안전한 착륙 지점
- 클라우드 사용 환경 또는 학장 가능하고 유연한 아키텍처 설계를 위한 시작점
- multi account 환경과 보안적으로 안전하게 설계된 클라우드 아키텍처 컨셉 또는 패턴
→ 자동화,표준화된 계정 생성
2) 필요한 이유
-
서비스 계정, 공통계정, 관리계정, 네트워크 계정 등의 분할이 필요
- IT 운영환경에 의해 다중 계정이 필요
→ 개발, 프로덕션 분리해야 함 - 비용
- 감사 / 통제
- 서비스
- 네트워크
- 보안
- IT 운영환경에 의해 다중 계정이 필요
- 공통적으로 사용하는 기능은 표준화와 자동화에 따른 공통 기능 재사용이 필요
2. AWS Control Tower
1) 개념
- AWS 랜딩존 솔루션을 사용하기 쉽도록 서비스화한 상품, 랜딩 영역의 설정을 자동화
- 다중 계정의 AWS 환경을 쉽게 설정하고 관리하는 환경을 구현
- AWS 콘솔 - Control Tower - Setup landing zone
-
Control Tower 설치에 문제가 없는지 자동화된 진단 후 설치가 진행, 약 한 시간 이내로 기본 구성이 완료
-
설치가 완료되면 AWS 환경에 이러한 기본 구성 랜딩 영역이 만들어짐
-
먼저 AWS Control Tower를 관리하는 Management 계정에 AWS Service Catalog 라는 서비스를 통해 Account Factory가 구성 됨
-
Account Factory는 계정 생성 과정을 셀프 서비스로 자동화 하는 컨트롤 타워의 핵심 요소
-
AWS Organizations는 AWS 환경에서 다중 계정 환경을 관리하기 위한 것으로 Organization Units(OU) 단위로 조직 구조를 설계
-
OU 단위의 서비스 제어 정책, Service Control Policy와 같은 조직 별 정책이 각각 적용되는 단위
-
Multi Account 자격 증명 관리를 위한 AWS Single Sign-On 서비스도 기본적으로 통합되어 제공
-
Control Tower의 보안 감사 로그를 통합 저장하는 Log Archive의 Account는 수 많은 계정들의 접근 로그와 같은 audit 정보들을 한곳에 모으는 역할
-
audit 아카운트는 security 및 compliance 감사 목적으로 사용되는 제한된 계정, 각 아카운트에는 Account Baseline이 설정된 것을 볼 수 있는데, 아카운트가 기본적으로 가지게 되는 속성을 사전에 정의해두면 Account Factory가 아카운트 생성 시점에서 자동으로 설정해 주는 개념
-
Control Tower 설치 후, 고객 환경에 맞는 OU 구조와 정책을 설계하고 Account Baseline 또는 Network Baseline을 환경에 맞게 잡아 나가는 과정 필요
2) 주요 기능
Guardrail
-
Guardrail이라는 규칙의 경계 안에서는 최대한의 자유를 보장해 준다는 개념
-
Control Tower에서의 Guardrail은 일반적인 언어로 표현이 되고, 크게 다음 두 가지로 나뉨
① Preventive Guardrail(예방 가드레일)
- 항상 지켜야 하는 규칙
ex)클라우드 사용 기록들을 담고 있는 AWS CloudTrail의 설정 변경을 금지하는 문구 - SCP(Service Control Policy)라고 하는 강력한 정책을 통해 규칙을 항상 준수하도록 함
- 실제 Control Tower Dashboard를 통해 각각의 Guardrail 세부 내용과 적용 여부를 확인 가능하고, Guardrail은 계속해서 업데이트
② Detective Guardrail(탐지 가드레일)
- 반드시 지켜야 하는 규칙은 아니지만, 규칙을 어겼을 때 위반 사실을 알려 주는 기능
ex) 감사 로그가 저장되는 S3 버킷이 외부로 공개되어 있는지 여부를 확인 - Config Rule을 통해 규정 준수를 권고하고, 준수 여부를 확인할 수 있음
Account Factory
-
Account Factory는 Control Tower의 가장 중요한 요소 중 하나로, 다중 계정을 생성하는 기능
-
새로운 계정을 생성하고 조직의 요구사항에 꼭 맞게 설정하는 과정을 자동화하고 표준화
- 계정에 구성될 기본적인 보안 및 네트워크 요구사항들을 사전에 설정(Account Baseline) 하여 반영 할 수 있음
- Account Factory는 AWS Service Catalog라는 서비스를 통해 작동
- 위 사진의 클라우드팀(조직)의 관심사는 일반적으로 거버넌스, 보안, 통제
- 위 사진의 개발팀(조직)의 관심사는 Agility, self service, Time to market 비즈니스 혁신과 같은 키워드
- 두 조직의 관심사가 충돌하는 바로 중간 지점에 Control Tower가 있고 이를 가능하게 해주는 서비스
- Account Factory에서 사전 정의된 Baseline들을 catalog처럼 만들어 두며느 사용자는 새로운 account가 필요할 때마다 셀프서비스로 account 생성을 자동화 할 수 있게 됨
- 생성되는 account에는 자동으로 guardrail이 적용되고 요구사항에 꼭 맞는 Baseline도 가질 수 있음
3) 가격 정책
AWS Control Tower 자체의 사용에는 돈을 청구하지 않지만, AWS Control Tower가 적용된 서비스에는 요금이 부과됩니다.
예를 들면, AWS Service Catalog, AWS CloudTrail, AWS Config, Amazon CloudWatch, Amazon Simple Notification Service (SNS), Amazon Simple Storage Service (S3), and Amazon Virtual Private Cloud (VPC)과 같은 서비스의 사용에 따라 요금이 부과됩니다.
참조:
https://brunch.co.kr/@topasvga/1599
728x90
댓글