[AWS] Control Tower으로 조직 관리 자동화하기
AWS 조직관리 도구를 통합하고 자동화하는 Control Tower의 역할을 알아보겠습니다. 우선 Control Tower은 새로운 기술이 아닙니다. Control Tower는 AWS 계정(Account)의 권한 관리(Guardrail)를 조직단위(OU)로 구현하며, 기존의 모범사례 기반 자동 생성을 가능하게 합니다. (1) 예방 : SCP 과 (2) 감지 : AppConfig 두가지 방법으로 Guardrail을 구현하여 조직의 권한을 관리, 이상탐지를 통해 실시간으로 대응 할 수 있는 환경을 Control Tower에서 구성하는 것이죠.
1. 조직 생성
IAM을 활용하여 조직 내 사용자에게 업무에 필요한 최소한의 접근 권한을 부여함으로써 보안강화, 리소스 보호, 운영 효율성있는 인프라를 구축 할 수 있습니다. 하지만 권한의 변경이 되었을 경우 이를 일일이 반영하는 것은 귀찮은 작업입니다. 사용자를 그룹화하고 보다 효율적으로 관리하기 위해 OU(Organizational Units)를 사용합니다. 조직(OU)의 권한은 Guardrail으로 관리됩니다.
2. 조직 관리
Guardrail은 감지(detect)와 방지(prevention)로 사용자 권한을 제한합니다. 방지(prevention)는 SCP로 구현하며, OU에 적용되는 최대 권한이 SCP(Service Control Policy)로 정의됩니다. 감지(detect)는 AppConfig 또는 CloudTrail을 활용하여 구현하며, 조직 사용자의 이상행동을 탐지 할 수 있습니다. 감지 된 event는 Eventbridge를 활용하여 SNS 또는 Lambda 등의 서비스로 자동화된 솔루션을 구현 할 수 있습니다.
🐾 개념 요약
(1) IAM : 사용자에게 권한 부여합니다. 효율적인 관리를 위해 (2) OU : 조직 단위로 권한을 설정합니다. 조직 활동 모니터링을 위해 (3) CloudTrail을 활용하여 이상행동을 탐지합니다. CloudTrail의 이상행동(event)는 (4) EventBridge으로 기타 서비스와 연동합니다.
3. Control Tower의 이점 : 구성, 거버넌스 및 확장성
3-1. 구성
자동 계정 구성: AWS Control Tower는 프로비저닝된 제품 위에 추상화 형태로 구축된 Account Factory를 통해 계정 배포 및 등록을 자동화합니다. AWS Service CatalogAccount Factory는 AWS 계정을 생성하고 등록할 수 있으며, 해당 계정에 제어 및 정책을 적용하는 프로세스를 자동화합니다.
3-2. 거버넌스
중앙 집중식 거버넌스 : Organizations기능을 사용하여 다중 계정(multi-accoutn) 전반에서 일관된 규정 준수 및 거버넌스를 설정합니다. 이 서비스는 계정의 중앙 거버넌스 및 관리, Organizations API를 통한 계정 생성, 서비스 제어 정책 (SCP) 등 다중 계정 환경을 관리하는 데 필요한 기능을 제공합니다.
3-3. 확장성
확장성: AWS Control Tower 콘솔에서 Organizations를 직접 작업하여 조직을 구축하거나 확장할 수 있습니다. 기존 조직을 AWS Control Tower에 반영하기 위해 랜딩 존을 업데이트 해야합니다. 워크로드에 추가 고급 기능이 필요한 경우 AWS Control Tower와 함께 다른 AWS 파트너 솔루션을 활용할 수 있습니다.
🐾 Cloud Tower 요약
Control Tower는 모범사례기반 계정 생성 자동화를 지원하며 조직 단위 권한관리 및 이상탐지 모니터링을 중앙집중식으로 관리합니다.