AWS Control Tower FAQs

이전 글: AWS Control Tower

관련 글: AWS Control Tower Pricing

 

원문: https://aws.amazon.com/ko/controltower/faqs/

 

글쓰는 배경: Learning ACT for me and posting it for someone else

 

일반사항

AWS Control Tower (ACT)란 무엇인가요?

한줄요약: AWS multi-accounts 환경에서 바람직한 보안 및 규정을 준수하도록, 쉽게 설정하고 관리할 수 있는 솔루션입니다.  

ACT는 보안적으로 안전한 (secure), 여러 accounts를 가진 AWS 환경을 쉽게 만들고 관리(govern)할 수 있도록 해 줍니다. 일반적으로 최적으로 알려진 설계(blueprints)에 기반한 landing zone을 생성해 주며, 이리 모아 엮어 놓은 guardrails을 이용해 관리(govern) 할 수 있게 해 줍니다. landing zone은 AWS best practice를 이용하는 잘 설계된 다중 accounts 기반/기준선입니다. Guardrail은 보안, 규정, 운영을 위한 관리 규칙을 포함하고 있습니다. 

누가 ACT를 사용해야 하나요?

여러 account를 가지는 AWS 환경을, best practice에 기반하여, 생성하고 관리하고 싶은 고객이 ACT를 이용하면 됩니다. 점점 커져가는 AWS 환경을 관리할 수 있는 지침을 제공해 줍니다. AWS가 제공하는 장점 즉 스피드와 민첩성을 잃지 않고도 AWS 환경을 제어할 수 있게 해 줍니다. 새로운 AWS 환경을 만들거나, AWS를 이용하기 시작하거나, 또는 AWS에 대해 초보자거나, 또는 여러 accounts를 가지고 있는 경우 AWS가 제공하는 청사진이나 guardrail을 써보기 원한다면 ACT를 이용하면 여러 잇점을 얻을 수 있습니다. 

ACT를 이용하면 어떤 장점이 있나요?

여러 팀이 AWS accounts를 신속하게 생성할 수 있습니다. 반면 cloud IT team은 생성되는 accounts가 정해진 규칙에 따라 생성된다는 것을 알기 때문에 안심할 수 있습니다. ACT는 잘 설계된 AWS account를 생성하고, 그 안에 있는 자원을 보안, 운영, 규정에 따라 관리할 수 있는 기반을 제공합니다. multi account 구조, ID 관리, access 관리, account 생성 플로우를 위한 업계에서 최적화된 설계 청사진을 제공합니다. 운영을 하면서 미리 엮어 놓은 정책을 전체 또는 특정 account 그룹에 적용할 수 있습니다. 

ACT가 제공하는 기능은 무엇인가요? 

ACT Landing zone을 생성하는 것을 자동화해 줍니다.

업계에서 권장할만한 기초설계를 제공합니다. Multi Accounts 환경을 지원합니다. AWS SSO Directory 기반 ID 관리를 제공합니다. AWS SSO 기반 federated access를 지원합니다. AWS CloudTrail과 AWS Config를 이용하여 중앙집중형식으로 log를 저장합니다.  보안 감사를 할 수 있습니다. Amazon VPC 기반 네트웍 설정을 할 수 있습니다. AWS Service Catalog 기반 account를 생성하는 workflow를 정의할 수 있습니다. 

AWS 환경을 관리(governance)할 수 있는 Guardrail을 제공해 줍니다. 

Gaurdrail은 선택한 정책을 따르지 않는 새로운 자원을 생성하는 것을 방지하거나, 이미 생성해 놓은 자원이 준수사항을 따르지 않는 것을 탐지하여 줍니다. Guardrail을 만들 때 AWS CloudFormation, AWS Org SCP (service control policy), AWS Config 등을 활용합니다. CloudFormation은 기반을 만들고, SCP는 설정 변경을 방지하고, Config는 규정을 지키지 않는 것을 탐지합니다. 

ACT는 Dashboard를 제공해 줍니다. 

Dashboard를 이용해 AWS 환경을 계속 지켜볼 수 있습니다. Account를 들여다 볼 수 있습니다. 설정한 Detective/Preventive guardrail에 대한 보고서를 받을 수 있습니다. guardrail에서 제시한 정책을 따르지 않는 자원 상태를 알아낼 수 있습니다. 

ACT를 이용하면 산업계 규정 인증을 받을 수 있나요? HIPAA, PCI, SOC-1, SOC-2

ACT가 제공하는 Guardrail은 그러한 산업 규정 인증을 위한 것은 아닙니다. ACT guardrail은 산업계에서 보편타당한 최적의 정책을 제공합니다. 그것을 통해 log 저장소 관련 설정 변경을 차단하거나, account 활동 내역을 로그에 저장하게 하는 등 AWS 환경을 관리할 수 있게 합니다. 시간이 지남에 따라, ACT는 추가 기능을 제공하여 고객이 고객에게 적합한 guardrail을 생성하여 산업계 규정 인증을 획득할 수 있도록 할 예정입니다. 

Availability

ACT는 어떤 AWS region에서 이용할 수 있나요? 

여기 AWS Regional Table 를 확인하면 됩니다. 

ACT 비용은 얼마나 되나요?

추가 비용은 없습니다. 그러나 ACT가 이용하는 Service Catalog, CloudTrail, Config rules에 대해서는 비용을 내야합니다. 

현재 인증시스템(Directory)을  ACT와 함께 이용할 수 있나요? 

ACT는 기본 디렉토리를 이용해 AWS SSO를 설정합니다. (뭔 말인지...???). landing zone을 설정하고, AWS Managed Microsoft AD와 같은 것을 이용해 AWS SSO를 설정할 수 있습니다. (원문: AWS Control Tower sets up AWS SSO with a native default directory. After the landing zone setup, you can configure AWS SSO with a supported directory such as AWS Managed Microsoft AD.) 

ACT 관련 API가 있나요? 

없습니다. management console을 이용해야 합니다. 

 

AWS Solution 또는 서비스와 비교

ACT는 Landing zone하고 뭐가 다른가요?

ACT는 미리 정의/준비해 놓은 청사진(설계도)와 Guardrail 세트를 고객에게 제공해 주고 그것을 이용해 AWS accounts를 위한 Landing zone을 만들수 있게 해 줍니다. AWS Landing Zone은 AWS Solution Architect, Professional Services, AWS Partner Network Partners를 통해 제공되는 솔루션입니다. 고객은 Landing zone이나 ACT를 이용해 업계에서 추천할 만한 설계도/청사진에 따라 AWS 환경을 만들 수 있습니다. 설계도/청사진은 AWS Service Catalog를 이용해 만든 것입니다. 

ACT는 가드레일을 이용해 관리할 수 있는 쉽고, 스스로 설정할 수 있는, 그리고 상호반응하는 UI를 제공할 수 있습니다. ACT는 미리 정의해 놓은 설계에 따른 Landing Zone을 생성할 수 있게 해 주지만, Landing Zone 솔루션은 운영자가 여러 가지를 선택해 가며 설정할 수 있도록 해 줍니다. 

내가 Infra를 운영할 때 ACT를 이용해 도움을 받을 수 있나요?

ACT는 best practice를 따르는 multi-account AWS 환경을 구성하는 것을 도와줍니다. 그렇지만 고객은 매일 운영하고 규정을 준수하는지 점검하는 책임을 집니다. 클라우드에서 (regulated) 인프라를 운영할 때 도움을 받아야 한다면 인증받은 MSP partner나 AWS Managed Service (AMS)를 이용하는 것을 고려해야 합니다. AMS는 regulated workload를 클라우드로 빨리 이전해야 하거나, 규정을 준수하며 운영하는데 필요한 기술이 없거나, AWS 전문가들이 인프라를 들어 옮기는 부담을 지는 대신 application 이전이나 업그레이드에 집중하게 할 때 매우 적합한 솔루션입니다. 

ACT는 AWS Org와 어떻게 상호 작용(운영)하나요? 

ACT는 AWS Org 위에 추상화된, 자동화된, 규범적인 경험(experience)를 제공합니다. (무슨뜻이지?) ACT는 AWS Org를 자동 설정(set up)합니다. 그렇게 함으로써 account를 조직하고 SCP를 이용하는 preventive guardrail을 만들수 있습니다. AWS Org를 이용함으로써, custom SCP를 생성하거나 연결하여 multi AWS accounts에서 서비스를 이용하거나 자원을 생성하는 것을 중앙에서 제어할 수 있게 합니다.  

이미 있는 AWS Org master account를 함께 이용할 수 있습니다. 그리고 새로운 또는 이미 있는 OU와 account에 Landing zone을 설정할 수 있습니다. ACT를 이용해 생성한 OU나 account는 이미 존재하는 AWS Org 및 과금에 포함시킵니다. AWS Org에 의해 관리되는 이미 있는 AWS accounts를 ACT를 사용하며 생성된 새로운 OU에, 개별적으로 또는 script를 이용해 등록할 수 있습니다. 

ACT는 AWS Security Hub와 무엇이 다른가요? 

Security Hub는 보안/규정 전문가를 위한 것입니다. AWS 환경에 대해 보안 및 규정 준수 상태를 보여주며, 필요한 조치를 할 수 있게 해 줍니다. ACT는 cloud 관리자를 위한 것입니다. Security Hub는 본질적으로 탐지 및 감사하는 기능입니다. 즉 보안 및 규정을 준수하는지 평가하고 보고서를 작성해 줍니다. ACT는 본질적으로 예방하는 기능입니다. ACT는 새로운 AWS Landing zone을 만들고 규정을 따르지 않는 자원을 생성하지 못하도록 제어합니다. 

ACT는 AWS Service Catalog와 어떻게 상호 작용(운영)하나요? 

ACT는 AWS Service Catalog를 자동 생성/설정하며, account factory를 통해서 새로운 account를 만들어 줍니다. ACT는 account level에서 중앙 관리를 제공하지만, Service Catalog는 resource level에서 보다 섬세하게 관리할 수 있게 해 줍니다. Service Catalog는 미리 승인 받은 Infra 및 application을 생성할 수 있게 해 줍니다. 

ACT는 AWS System Manager와 어떻게 상호 작용(운영)하나요?

ACT는 AWS 환경을 설정하고 관리(지배)할 수 있게 해 줍니다. 그리고 나서 AWS System Manager를 매일 반복되는 운영업무에 이용하면 됩니다. System Manager는 일원화된 UI를 제공합니다. 이 UI를 이용해, 여러 AWS service 운영 데이타를 보고, 운영업무를 자동화할 수 있습니다. System Manager를 이용해 자원을 Application별로 그루핑할 수 있으며, 모니터링 및 장애처리를 위한 데이터를 볼 수 있으며, 또한 자원 그룹별로 운영 및 조치를 할 수 있습니다.