Blog

AWS Control Tower & Account Factory란?

Tags: , ,

1. 들어가면서

AWS에서 개발과 운영을 하다 보면, 목적에 따라 Account를 여러 개 사용해야 하는 경우가 많아집니다. 예를 들면 Dev, Stage, Production 별로 분리 하거나, 프로젝트 별로 분리하거나 등, 여러가지 이유로 Account를 생성하게 됩니다. 이와 같이 클라우드 환경을 관리할 때 각 프로젝트 또는 사업 단위로 IT 자원에 맞춰 계정을 생성하다 보면, 멀티 계정에 대한 통합적 관리의 필요성이 발생합니다.

AWS는 이러한 요구사항으로 Multi-Account에서 Multi-Region을 효과적으로 관리할 수 있는 체계를 제공하고 있습니다. 흔히들 Landing-Zone이라 부르며, 이 Landing-Zone을 구성하게끔 하는 서비스가 AWS Control Tower입니다.

1.1. AWS Landing-Zone, AWS Control Tower, Account Factory 개요

AWS Landing-Zone은 AWS 환경에서 다중 계정 아키텍처를 설정하고 관리하는 데 필요한 기본 프레임워크를 제공하는 랜딩존 컨셉을 구현한 솔루션입니다.

AWS Control Tower는 AWS 랜딩존 솔루션을 고객들이 쉽게 사용할 수 있도록 서비스화 한 상품으로, 다중 계정 환경을 손쉽게 설정, 관리, 모니터링할 수 있도록 도와줍니다.

AWS Account Factory는 AWS Control Tower의 핵심 기능 중 하나로, 새로운 AWS 계정을 손쉽게 생성하고 관리할 수 있는 자동화된 프로세스를 제공합니다.

본격적으로 들어가기 앞서, Account Factory의 완벽 이해를 위해 AWS Control Tower의 작동 원리에 대해 설명해 드리겠습니다.

  1. AWS Control Tower를 관리하는 Management 계정에 AWS Service Catalog라는 서비스를 통해 Account Factory가 구성됩니다.Account Factory는 계정 생성 과정을 셀프 서비스로 자동화 하는 컨트롤 타워의 핵심 요소입니다.Account Factory는 다중 계정을 생성하는 기능으로, 정리하면 다음과 같습니다.
    • AWS Service Catalog를 통해 작동
    • 미리 사전 정의된 baseline들을 카탈로그처럼 만들어 두면, 사용자는 새로운 어카운트가 필요할 때 마다 셀프 서비스로 어카운트 생성을 자동화할 수 있게 된다.
    • 이를 통해 생성되는 어카운트에는 자동으로 가드레일이 적용되고 요구사항에 맞는 baseline도 가질 수 있다.
  2. AWS OrganizationsAWS 환경에서 다중 계정 환경을 관리하기 위한 것으로, OU 단위로 조직 구조를 설계할 수 있습니다.OU의 단위는 SCP와 같은 조직 별 정책이 각각 적용되는 단위입니다. ** 실제 회사의 조직 구조를 반영하는 개념이 아님
  3. AWS SSO다수의 어카운트의 자격 증명 관리를 위한 서비스 또한 기본적으로 통합되어 제공됩니다.
  4. Log Archive보안 감사 로그를 통합 저장, 수 많은 계정들의 접근 로그와 같은 audit 정보들을 한 곳에 모으는 역할을 합니다.
  5. Audit 어카운트security 및 compliance 감사 목적으로 사용되는 제한된 계정입니다.

각 계정에는 Account baseline이 설정이 되어 있는데, 어카운트가 기본적으로 가지게 되는 속성을 가전에 정의해두면 Account Factory가 Account 생성 시점에 자동으로 설정해 주는 개념입니다.

1.2. AWS Control Tower

AWS Control Tower는 AWS 환경에서 다중 계정 관리와 거버넌스를 자동화하는 관리형 서비스로, 이를 통해 보안, 규정 준수, 비용 관리 등의 복잡한 작업을 쉽게 처리할 수 있습니다.

  1. Landing-Zone 설정Control Tower를 활성화하게 되면, Management, Security, Logging Account를 생성합니다. 이 계정들을 통해 보안 계층과 로그 관리를 설정하고, 이를 통해 모든 계정 활동을 중앙에서 모니터링하게 됩니다. 이로 인해 각 계정의 보안 상태를 일관되게 유지할 수 있으며, 규정 준수를 위한 감사 로그를 확보할 수 있습니다. 또한, Control Tower는 계정 간의 네트워크 설정과 리소스 공유를 간편하게 만들어주어, 각 계정이 독립적으로 운영되면서도 필요한 경우 자원을 효율적으로 공유할 수 있도록 합니다.
  2. Account Factory를 통한 계정 프로비저닝Control Tower의 핵심 기능 중 하나인 Account Factory는 신규 AWS 계정을 생성하고 구성할 수 있도록 합니다. 이 프로세스는 다음과 같이 작동합니다.
    • 계정 생성 요청
    • 템플릿 적용
    • 자동화된 가드레일 적용
  3. Guardrails를 통한 지속적인 거버넌스Guardrails는 AWS 계정에서 반드시 지켜야 할 규칙이나 권장사항을 정의한 것으로, 방지와 감지 두 가지의 종류가 있습니다. 방지는 SCP를 통해, 감지는 AWS Config의 규칙을 통해 구현됩니다.
  4. 중앙 집중식 관리와 모니터링Control Tower는 중앙 대시보드를 제공하여 모든 계정을 일괄적으로 관리하고 모니터링할 수 있도록 합니다. 계정 상태를 모니터링하거나, 알림 및 결고, 통합된 보고서를 제공합니다.
  5. 확장성과 유연성마지막으로 Control Tower는 비즈니스의 요구에 따라 새로운 계정을 신속하게 추가하거나, 기존 계정을 재구성할 수 있습니다. 또한 개발/검증용으로 Sandbox 계정을 프로비저닝할 수 있습니다.

1.3. AWS Control Tower 주요 기능

Control Tower의 주요 기능으로는 다음과 같습니다.

  • 자동화된 Landing-Zone 구현
  • AWS 모범 사례 기반 Guardrails
  • Account Factory
  • 대시보드 기능
  • 사전 정의된 Audit Log
  • 모니터링 및 Alert 기능
  • AWS Marketplace를 통한 3rd-party 솔루션 확장 기능

특히, Guardrails은 클라우드의 거버넌스에서 중요한 개념인데, Guardrails이란 규칙 경계 내에서는 최대한의 자유를 보장해 준다는 개념입니다.

Control Tower에서의 Guardrails은 다음과 같이 정리할 수 있습니다.

  • 예방 가드레일
    • 항상 지켜야 하는 규칙
      • ex) AWS CloudTril의 설정 변경을 금지하는 문구
    • SCP를 통해 규칙을 항상 준수하도록 함
  • 탐지 가드레일
    • 규칙을 어겼을 때, 위반 사실을 알림
      • ex) S3 버킷이 외부로 공개되어 있는지 확인
    • Config Rule을 통해 규정 준수를 권고

2. Account Factory의 특징

2.1. 계정 관리의 효율성 증대

Account Factory를 사용하면 여러 AWS 계정을 효율적으로 관리할 수 있습니다. 표준화된 계정 생성과 자동화된 프로비저닝은 관리자가 일일이 계정을 설정하는 시간을 절약하게 해주며, 각 계정이 동일한 설정을 따르게 하여 관리 부담을 줄입니다. 또한, 계정 생성이 체계적으로 이루어지기 때문에, 대규모 조직에서도 수많은 계정을 쉽게 관리할 수 있습니다.

2.2. 보안 및 거버넌스 강화

Account Factory는 각 계정에 일관된 보안 정책과 규정 준수 요구사항이 자동으로 적용되어, 계정 간의 보안 상태가 균일하게 유지됩니다. Guardrails를 통해 규정을 자동으로 적용하고, 계정에서 발생하는 보안 위협이나 규정 위반을 사전에 방지할 수 있습니다. 이는 기업의 전반적인 보안 태세를 강화하고, 규정 준수 리스크를 줄이는 데 기여합니다.

3. 마무리

이제, Landing Zone과 Control Tower 그리고 Account Factory에 대해 알아봤습니다.

멀티 계정에 대한 통합 관리를 위해 AWS Control Tower, Account Factory 서비스의 도입을 추천드립니다.

마지막으로 Control Tower의 전환 옵션으로는 다음과 같습니다.

  1. 컨트롤 타워 최초 도입
  2. AWS Organizations에서 컨트롤 타워
  3. AWS 랜딩존 솔루션에서 컨트롤 타워
  4. 커스텀 랜딩존에서 컨트롤 타워

NDS는 많은 클라우드 경험을 통해 서비스 도입에 도움을 드릴 수 있습니다. 관련하여 문의 사항이나 기술 지원이 필요하신 경우 NDS Sales팀으로 연락주시길 바랍니다.

다음 시간에는 Control Tower의 기능 중 하나인 Account Factory Hands-On을 통하여 유연한 계정 관리와 자동화된 계정 관리 사이클에 대해 자세히 알아보겠습니다.

4. 참고