[AWS] Control Tower

1. 개념

 
안전하고 규정을 준수하는 AWS 멀티 계정 환경을 쉽게 설정하고 관리하는 서비스
멀티 계정 관리를 자동화하는 서비스
 
 

2. 특징

 
1) 몇 번의 클릭으로 환경 설정을 자동화할 수 있다. 
2) 가드레일(Guardrail)을 사용하여 지속적인 정책 관리를 할 수 있다. 
3) 정책 위반을 탐지하고 자동으로 수정하도록 할 수 있다. 
4) 대화형 대시보드를 통해 규정 준수를 모니터링할 수 있다. 
5) 조직(Organization) 위에서 동작하며, 조직을 설정하고 계정을 구성한 후에 필요한 SCP를 자동으로 구현할 수 있다. 
 
 

3. Accout Factory

 
1) 계정 생성과 배포를 자동화한다. 
2) 조직의 모든 계정에 사전 승인된 기준 및 구성 옵션을 생성한다. ex) 리전, 디폴트 VPC, 서브넷 등 
3) 계정은 AWS Service Catalog 서비스를 이용하여 생성한다.  
 
ex) Account Factory 사용 사례 - 계정 생성 기능 
 

Account Factory

① 클라우드와 회사 IDC 간 VPN(또는 DX) 연결이 되어 있고, IDC 내 ADFS를 통해서 사용자 인증을 하는 환경이다. 
② 클라우드에는 컨트롤타워 랜딩존이 있으며, 랜딩존에 있는 SSO Directory는 AD Connector를 통해 회사 IDC의 ADFS와 양방향 트러스트 관계를 맺고 인증을 처리한다. 
③ Account Factory를 사용하여 랜딩존 안에 멤버 계정들을 생성하면 자동으로 계정을 구성하고 SSO 인증을 처리하게 된다. 
 
 

4. Guardrails

 
컨트롤타워 가드레일은 정책 위반을 탐지하고 수정하는 역할을 한다. 
 
1) Preventive Guardrail
- SCP를 기반으로 동작한다.
- SCP를 사용하여 루트 사용자의 액세스 키 생성을 비허용 또는 비활성화하는 행위 등을 할 수 있다. 
 
2) Detective Guardrail
- AWS Config를 기반으로 동작한다.
- AWS Config를 사용하여 루트 사용자로 로그인하기 위한 MFA 인증이 활성화 상태인지 여부 등을 탐지할 수 있다. 
- AWS Config는 리소스에 대한 규정 준수/비준수를 구별하는데 유용하다.  
 
ex)  사용 예시 - 태그가 달리지 않은 리소스를 식별하기
 
컨트롤타워의 Detective Guardrail은 AWS Config를 사용하여 조직 내 멤버 계정을 모니터링하다가 태그가 달리지 않은 리소스를 탐지하면 SNS 주제를 통해 관리자에게 알림을 보낼 수 있고, 람다함수를 호출하여 필요한 태그를 추가할 수 있다. 
 

Detective Guardrail

 
 

5. Guardrail Levels
 

1) Mandatory
- 컨트롤타워에 의해 자동으로 활성화되고 동작하는 레벨 
- 예를 들어, 로그 아카이브용 계정에 대해 공개 읽기 접근을 비허용하고자 하는 경우에 해당한다. 
 
2) Strongly Recommended
- AWS 사례를 기반으로 한다. 
- 예를 들어, EC2 인스턴스에 연결된 EBS 볼륨을 활성화하고자 하는 경우에 해당한다. 
 
3) Elective
- 보통 엔터프라이즈 기업에 적용하는 레벨 
- 예를 들어, MFA 인증없이 S3 버킷의 Delete Action을 비허용하고자 하는 경우에 해당한다. 
 
 
 

---

 [출처]
1) Udemy 강의, "Ultimate AWS Certified Solutions Architect Professional 2023", https://www.udemy.com/course/aws-solutions-architect-professional

 

2) https://docs.aws.amazon.com/ko_kr/controltower/latest/userguide/account-factory.html

어카운트 팩토리를 통한 계정 프로비전 및 관리 - AWS Control Tower