【레포트】개발과 운용의 민첩성을 해치지 않고, 복수의 AWS 계정을 효율적으로 통제하기 위해서는 어떻게 하는 것이 좋은가?(AWS-19) #AWSSummit
안녕하세요, 서은우입니다.
2022년 5월25 - 26일, 2일간 진행된 AWS Summit Online 2022 의 세션 리포트입니다. 일본에서 진행된 Summit Online은 어떤 세션이 있는지 한국분들과 공유하기 위해서 작성을 해보았습니다. 관련 세션은 링크를 통해 확인할 수 있기에 일본어로 진행되지만 관심이 있으신 분들은 보셔도 좋을 것 같습니다.
세션 개요
「개발이나 운용의 민첩성을 해치지 않고, 복수의 AWS 계정을 효율적으로 통제하려면 어떻게 해야 하는가?」라고 하는 질문을 자주 듣습니다.본 세션에서는, 멀티 어카운트에 있어서의 안전하고 스케일러블한 통제의 사고방식과 그 사례를 설명합니다. 그리고 AWS의 매니지드 서비스를 활용한 멀티 계정 통제의 시작 방법, 진행 방법에 대한 이해를 높입니다. 최신 동향 중 하나로 2021년 4월 도쿄 리전에서 이용 가능해져 국내 고객들로 도입이 가속화되고 있는 AWS Control Tower의 역할과 가치, 도입의 요점을 알려드립니다.
발표자
- AWS セキュリティソリューションアーキテクト 中島 智広
세션 레벨
Level 200: 초급자
세션의 목표
- AWS 계정 통제를 위한 사고방식과 최신 사례 소개
- 멀티 어카운트 통제의 효율적인 시작 방법, 진행 방법의 이해
아젠다
- 왜 AWS 계정을 분할하는 것인가?
- AWS 계정 통제를 위한 사고방식
- 통제 사례와 그것을 지원하는 AWS 매니지드 서비스
- 기존의 AWS 계정에 통제 메커니즘을 도입하기 위해서는
레포트
왜 AWS 계정을 분할하는 것인가?
- 현재는 멀티 어카운트 아키텍쳐가 모범 사례임
- 작게 독립된 복수의 AWS 계정에서 시스탬을 구성
- 마치 마이크로 서비스와 같다
- 의존성이 줄어들고, 조직적, 인적은 조정과 장애가 줄어듦
- 하지만 계정이 점점 늘어나기 때문에 이를 효율적으로 관리할 필요가 있음
멀티 어카운트 아키텍쳐를 사용하는 이유
- 명확한 환경 분리
- 간단하고 강고한 환경 분리 단위로 명시적으로 허가를 추가하지 않는 한 디폴트로 분리 되어 있음
- 복잡성 회피
- AWS 계정 구성이 간단해지고 가시성이 높아짐
- 권한 위양 단위
- 권한 위양 단위로 다루기 쉽다
- 청구의 분리
- AWS 비용을 나누기 쉬워진다
- 민첩성을 가짐
- AWS 계정 분리는 환경의 분리와도 같다
- 개발 환경 / 프로덕트 환경에 따라 AWS 계정을 분리해서 다른 기능을 수행할 수 있도록 할 수 있음
AWS 계정을 분할하는 것으로 운용성을 향상 시킬 수 있고, 개발과 운용의 민첩성을 얻을 수 있는 통제 메커니즘이 되기 때문
AWS 계정 통제를 위한 사고방식
- AWS 계정의 구성(토대가 됨) -> AWS 계졍의 통제 메커니즘 -> 운용의 피라미드 형태
- AWS 계정의 구성은 Organizing Your AWS Environment Using Multiple Accounts에서 확인 가능
- 통제 메커니즘의 방향성
- 게이트 키퍼
- 모든 처리를 사전 승인으로 하는 운용법
- 게이터 키퍼의 관리 업무가 지장이 되며, 혁신이 저해됨
- 가드레일 (AWS가 추천하는 방법)
- 가능한 자유롭게 사용할 수 있지만 만일을 위해 대비
- 게이트 키퍼
- 재구축보다 재이용
- AWS Control Tower를 사용
- Landing Zone을 구성할 수 있는 서비스
- AWS 계정 통제의 모범이 됨
- 커스터마이징 확장
-
- 소결합 구성으로 재이용성과 보수성을 높여야함
- Baseline Environment on AWS (BLEA) 사용
- 베이스 라인 템플릿을 커스텀하여서 사용할 수 있음
-
통제 사례와 그것을 지원하는 AWS 매니지드 서비스
- 보안 관리자가 요구하는 통제 사례
- 일원 관리
- AWS Single Sign-on
- AWS CloudFormation StackSets
- 증거의 보존
- AWS CloudTrail + S3로 여러 계정의 로그를 한 번에 관리 가능
- 가드레일
- 예방적 통제
- AWS Organizations의 Service Control Policy
- 발견적 통제
- AWS Config의 Config Rule
- 예방적 통제
- 일원 관리
기존의 AWS 계정에 통제 메커니즘을 도입하기 위해서는
- 메커니즘을 이해하는 것이 가장 중요
- 기존의 워크로드에 영향을 미치는 서비스는 AWS Organizations뿐임
- AWS Organizations Service Control Policy는 기존의 워크로드에 영향을 미칠 수 있음
- 예방적 통제 방식은 영향을 파악하기 힘들어서 추천하지 않음
마지막으로
AWS 계정을 효율적으로 다루는 방법에 대해 공부할 수 있어서 많은 도움이 되었습니다.
초급자 레벨의 세션인만큼 AWS 계정 관리에 대해 알고자 하는 분들에게는 많은 도움이 되는 세션이라고 생각합니다.