들어가며:
Landing Zone 이란?
단일계정으로는 충분하지 않은 이유 (Multi Account 설계 시 고려사항)
AWS 예시
들어가며:
"Landing Zone"은 "비행기가 안전하게 착륙할 수 있는 공간"을 의미합니다.
즉, AWS Landing Zone을 설계한다는 것은 AWS 상에서 시스템을 안정적으로 구축하기 위한 기본 사항을 준비하고 설계, 구축하는 일련의 과정입니다.
Landing Zone 이란?
Multi Account 의 확장 가능하고 안전한 환경을 제공하는 AWS 솔루션
조직에서 보안 및 인프라 환경에 대한 확신을 가지고 워크로드와 애플리케이션을 시작하고 배포할 수 있는 출발점
랜딩존 구축에는 비즈니스 목표에 따라 계정 구조, 네트워킹, 보안 및 액세스 관리 전반에 걸쳐 기술 의사 결정이 필요
(참고)
AWS에서는 Control Tower 라는 Landing Zone 관리 서비스를 제공합니다.
단일계정으로는 충분하지 않은 이유 (Multi Account 설계 시 고려사항)
| 보안 컨트롤 | 워크로드를 호스팅하는 단일 계정을 가르키는 것이 더 쉬움 (SSO) |
| 격리 | 계정은 보안 보호 단위, 이슈가 미치는 영향 범위를 제한하기 위한 장치 |
| 데이터 분리 | 데이터 저장소에 액세스하는 사용자의 수가 제한되어 규정 준수 원활, 접근 제어 |
| 조직 구조 | 팀마다 각기 다른 책임과 자원을 요구 |
| 비즈니스 프로세스 | 비즈니스별 요구 사항을 충족하려면 서로 다른 계정 설정 |
| 결제 | 계정은 비용을 분리할 수 있는 유일한 방법. 여러 계정을 사용하면 업무 단위, 팀 간의 청구 분리 가능 |
| 제한 할당 | 워크로드를 서로 다른 계정으로 분리하면 다른 애플리케이션이 의도한 대로 작동하지 않도록 방지 가능 |
AWS 예시
AWS Organization 계정
- 랜딩존이 배포되는 계정
- 이 계정은 구성을 관리하고 랜딩존 관리 계정에 액세스하는데 사용
- 멤버 계정을 생성하고 재정적으로 관리하는 기능을 제공
- 랜딩존 구성 s3 버킷과 파이프라인, 계정 구성 StackSets, SCP, SSO 구성 포함
공유 서비스 계정
- 디렉토리 서비스와 같은 인프라 공유 서비스 계정
- Account Vending Machine (AVM)으로 생성된 새로운 AWS 계정과 자동으로 피어링 될 수 있는 공유된 VPC에서 AWS SSO 통합을 위한 AWS 관리형 Active Directory를 호스팅
로그 아카이브 계정
- 모든 CloudTrail 및 AWS Config 로그 파일의 사본을 저장하기 위한 중앙 Amazon S3 버킷이 있는 계정
보안 계정
- 모든 랜딩존 관리형 계정에 대한 감시자 및 관리자 교체 계정 역할
- 회사 보안 및 규정 준수 팀이 사건 발생 시 긴급 보안 작업을 감사하거나 수행하는 사용하는 것을 목적
- 또한, 마스터 Amazon GuardDuty 계정으로 지정
- 마스터 계정 사용자는 GuardDuty를 구성하고 자신의 계정 및 모든 멤버 계정에 대한 GuardDuty 결과 확인 가능