Control Tower 간단 설명

Control Tower란?

Landing Zone

Control Tower 생성 시 Security, Logging Account가 생성된다.
OU Full feature를 사용하게 되며, AWS SSO가 생성된다.

Guardrail(Control)

전체 AWS 환경에 대한 지속적인 거버넌스를 제공하는 높은 수준의 규칙이다.
Plain language로 표현된다.

Control 종류: preventive(예방), detective(탐지), proactive(사전예방)
Control Gudiance 범주: mandatory(필수), strongly recommended(적극 권장), elective(선택)

[예방 가드레일]
항상 지켜야하는 규칙
SCP로 강력한 정책을 통해 규칙을 항상 준수하도록 함
ex) Cloutrail 설정 변경 금지

[탐지 가드레일]
반드시 지켜야하는 규칙은 아니지만, 규칙을 어겼을 때 위반 사실을 알려줌.
Config Rule을 통해 규정 준수를 권고하고, 준수 여부를 확인할 수 있게 함.
ex) 감사 로그를 저장하는 S3 Bucket의 외부 공개 여부

Account Factory

복잡한 Account 생성 및 일련의 설정 작업들을 자동화
구성 가능한 템플릿을 통해 Account 생성 절차를 표준화
Account에 구성될 기본적인 보안 및 네트워크 요구사항들을 사전에 설정(Account Baseline)하여 반영할 수 있음.

Account Factory는 사전 승인된 계정 구성으로 새 계정 프로비저닝을 표준화하는 데 도움이 되는 구성 가능한 계정 템플릿.
Control Tower는 조직의 계정 프로비저닝 워크플로를 자동화하는 데 도움이 되는 내장 Account Factory를 제공한다.

Control Tower로 새로운 계정을 생성할 때 자동으로 VPC가 생성되지 않도록 구성할 수 있음.
계정 등록 기능 제공: 신규 계정을 생성하여 OU 및 SSO에 자동 등록

Dashboard

랜딩존을 관리할 수 있는 대시보드가 생성된다.

참고

Control Tower를 사용한다고해서 Management Account의 모든 OU가 Control Tower에서 사용되는 OU는 아님.
OU를 생성한 후 Control Tower에서 사용하겠다고 설정을 해줘야함.

Hands On

AWS Console > Control Tower
1. 랜딩 존 설정
- 홈 리전: 공유 계정의 리소스가 프로비저닝되는 기본 리전(랜딩존을 설정한 후에는 변경할 수 없음.)
- 거버넌스를 위한 추가 리전 선택=====>????
- 리전 거부 설정
- 기본 OU: Log archive 및 Audit account가 포함된 OU
- 추가 OU: Provisioned accounts가 포함될 OU
- 관리 계정(Management account)
- Log archive account: 새로 생성 또는 기존 계정 사용
- Audit account: 새로 생성 또는 기존 계정 사용
- AWS 계정 액세스 구성: IAM Identity Center 사용 여부
- AWS CloudTril 구성: 조직 수준 CloudTrails를 활성화 여부
- S3에 대한 로그 구성: 로깅 및 액세스 로깅을 위한 보존 기간
- KMS 암호화

참고

https://www.lgcns.com/blog/cns-tech/aws-ambassador/41234/
https://www.youtube.com/watch?v=kejz9aXXOPI