【레포트】개발과 운용의 민첩성을 해치지 않고, 복수의 AWS 계정을 효율적으로 통제하기 위해서는 어떻게 하는 것이 좋은가?(AWS-19) #AWSSummit

안녕하세요, 서은우입니다.

2022년 5월25 - 26일, 2일간 진행된 AWS Summit Online 2022 의 세션 리포트입니다. 일본에서 진행된 Summit Online은 어떤 세션이 있는지 한국분들과 공유하기 위해서 작성을 해보았습니다. 관련 세션은 링크를 통해 확인할 수 있기에 일본어로 진행되지만 관심이 있으신 분들은 보셔도 좋을 것 같습니다.

세션 개요

「개발이나 운용의 민첩성을 해치지 않고, 복수의 AWS 계정을 효율적으로 통제하려면 어떻게 해야 하는가?」라고 하는 질문을 자주 듣습니다.본 세션에서는, 멀티 어카운트에 있어서의 안전하고 스케일러블한 통제의 사고방식과 그 사례를 설명합니다. 그리고 AWS의 매니지드 서비스를 활용한 멀티 계정 통제의 시작 방법, 진행 방법에 대한 이해를 높입니다. 최신 동향 중 하나로 2021년 4월 도쿄 리전에서 이용 가능해져 국내 고객들로 도입이 가속화되고 있는 AWS Control Tower의 역할과 가치, 도입의 요점을 알려드립니다.

발표자

• AWS セキュリティソリューションアーキテクト　中島 智広

세션 레벨

Level 200: 초급자

세션의 목표

• AWS 계정 통제를 위한 사고방식과 최신 사례 소개
• 멀티 어카운트 통제의 효율적인 시작 방법, 진행 방법의 이해

아젠다

• 왜 AWS 계정을 분할하는 것인가?
• AWS 계정 통제를 위한 사고방식
• 통제 사례와 그것을 지원하는 AWS 매니지드 서비스
• 기존의 AWS 계정에 통제 메커니즘을 도입하기 위해서는

레포트

왜 AWS 계정을 분할하는 것인가?

• 현재는 멀티 어카운트 아키텍쳐가 모범 사례임
  • 작게 독립된 복수의 AWS 계정에서 시스탬을 구성
  • 마치 마이크로 서비스와 같다
  • 의존성이 줄어들고, 조직적, 인적은 조정과 장애가 줄어듦
  • 하지만 계정이 점점 늘어나기 때문에 이를 효율적으로 관리할 필요가 있음

멀티 어카운트 아키텍쳐를 사용하는 이유

• 명확한 환경 분리
  • 간단하고 강고한 환경 분리 단위로 명시적으로 허가를 추가하지 않는 한 디폴트로 분리 되어 있음
•  복잡성 회피
  • AWS 계정 구성이 간단해지고 가시성이 높아짐
• 권한 위양 단위
  • 권한 위양 단위로 다루기 쉽다
• 청구의 분리
  • AWS 비용을 나누기 쉬워진다
• 민첩성을 가짐
• AWS 계정 분리는 환경의 분리와도 같다
  • 개발 환경 / 프로덕트 환경에 따라 AWS 계정을 분리해서 다른 기능을 수행할 수 있도록 할 수 있음

AWS 계정을 분할하는 것으로 운용성을 향상 시킬 수 있고, 개발과 운용의 민첩성을 얻을 수 있는 통제 메커니즘이 되기 때문

AWS 계정 통제를 위한 사고방식

• AWS 계정의 구성(토대가 됨) -> AWS 계졍의 통제 메커니즘 -> 운용의 피라미드 형태
  • AWS 계정의 구성은 Organizing Your AWS Environment Using Multiple Accounts에서 확인 가능
• 통제 메커니즘의 방향성
  • 게이트 키퍼
    • 모든 처리를 사전 승인으로 하는 운용법
    • 게이터 키퍼의 관리 업무가 지장이 되며, 혁신이 저해됨
  •  가드레일 (AWS가 추천하는 방법)
    • 가능한 자유롭게 사용할 수 있지만 만일을 위해 대비
• 재구축보다 재이용
• AWS Control Tower를 사용
  • Landing Zone을 구성할 수 있는 서비스
  • AWS 계정 통제의 모범이 됨
• 커스터마이징 확장
  • • 소결합 구성으로 재이용성과 보수성을 높여야함
    • Baseline Environment on AWS (BLEA) 사용
      • 베이스 라인 템플릿을 커스텀하여서 사용할 수 있음

통제 사례와 그것을 지원하는 AWS 매니지드 서비스

• 보안 관리자가 요구하는 통제 사례
  • 일원 관리
    • AWS Single Sign-on
    • AWS CloudFormation StackSets
  • 증거의 보존
    • AWS CloudTrail + S3로 여러 계정의 로그를 한 번에 관리 가능
  • 가드레일
    • 예방적 통제
      • AWS Organizations의 Service Control Policy
    • 발견적 통제
      • AWS Config의 Config Rule

기존의 AWS 계정에 통제 메커니즘을 도입하기 위해서는

• 메커니즘을 이해하는 것이 가장 중요
• 기존의 워크로드에 영향을 미치는 서비스는 AWS Organizations뿐임
  • AWS Organizations Service Control Policy는 기존의 워크로드에 영향을 미칠 수 있음
• 예방적 통제 방식은 영향을 파악하기 힘들어서 추천하지 않음

마지막으로

AWS 계정을 효율적으로 다루는 방법에 대해 공부할 수 있어서 많은 도움이 되었습니다.

초급자 레벨의 세션인만큼 AWS 계정 관리에 대해 알고자 하는 분들에게는 많은 도움이 되는 세션이라고 생각합니다.