[AWS] Control Tower란?

1. AWS Control Tower란?

AWS Control Tower는 규범적인 모범 사례에 따라 AWS 다중 계정 환경을 설정하고 관리하는 간단한 방법을 제공 하는 서비스 입니다.

1.1 AWS Control Tower Architecture

 

2. AWS Control Tower의 기능

랜딩 존: 랜딩 존은 보안 및 규정 준수 모범 사례를 기반으로하는 잘 설계된 다중 계정 기반 AWS 서비스 환경

가드레일: 가드 레일은 보안, 운영 및 규정 준수를 위한 사전 패키지 된 거버넌스 규칙

Account Factory: 사내에서 사용할 새로운 AWS 계정 생성을 자동화

대시보드: Control Tower 대시 보드는 AWS 환경에 대한 지속적인 가시성을 제공

Organizational Units(OU): 여기서 State가 Registered 라면 OU가 Control Tower의 체계에 포함되어 있다는것을 뜻함.

 

2.1 랜딩존이란?

Multi Account 의 확장 가능하고 안전한 환경을 제공하는 AWS 솔루션

 

2.3 Account Factory이란?

미리 승인된 계정 구성으로 새 계정의 프로비저닝을 표준화하는 구성 가능한 계정 템플릿

Account Factory는 새 계정을 프로비저닝하고 기존에 소유하고 있는 계정을 등록할 수 있으며 보안 구성 및 네트워크 구성을 표준화할 수 있습니다.

AWS Control Tower 조직의 계정 프로비저닝 워크플로우를 자동화하는 데 도움이 되는 기본 제공 계정 팩토리를 제공

 

3. AWS Control Tower Architecture

AWS Organizations를 사용하여 다중 계정 관리

AWS CloudFormation StackSets를 활용하여 멤버 계정들에 landing zone 설정

AWS SSO를 사용하여 신원 인증 및 Federated Access 관리

AWS CloudTrail과 AWS Config를 사용한 중앙 집중식 Log Archive

AWS SSO와 AWS IAM를 사용하여 계정 간 감사 액세스

AWS Service Catalog를 통해 최종 사용자 계정 프로비저닝

Amazone CloudWatch와 Amazon SNS를 사용한 중앙집중식 모니터링 및 알림

 

3.1 SNS를 통한 Notification 설정

이벤트 처리를 위한 필요한 작업 순서

• Amazon Simple Notification Service (Amazon SNS) 에서 보안팀이 수신받을 알림 설정
• Amazon EventBridge 에서 이벤트 Rule을 설정
• 이벤트 발생

AWS 서비스 콘솔에서 Simple Notification Service 로 이동 합니다. 좌측의 Topics 메뉴를 클릭하고, Create Topic을 수행 합니다. 실습에서는 이메일로 이벤트 내용을 확인하려고 합니다. Topic Type은 Standard를 선택 합니다. Topic Name에 적절한 값을 입력 합니다. (ct-event)

 

 

Topic이 생성 되면, Subscription Tab에서 Create Subscription 버튼을 클릭하여, 테스트할 이메일 주소를 등록 합니다. 입력 항목에서 Protocol은 Email 을 선택하고 EndPoint는 수신이 가능한 이메일 주소를 입력합니다.

 

 

아래와 같이 입력한 이메일로 컨펌메일이 오게 되면 SNS Topic 상세 화면에서 Subscription이 Confirmed 상태로 변경 됩니다.

 

 

Amazone EventBridge에서 이벤트 Rule 설정

AWS 서비스 콘솔에서 EventBridge Service로 이동 합니다.

 

좌측 메뉴에서 Rules를 선택하고 Create Rule 버튼을 클릭 합니다.

• Name : ct-event-test
• Description : ct-event-test

Define pattern

• Event Pattern : 체크
• Event matching pattern : Pre-defined pattern by service 체크
• Service provider : AWS
• Service Name : Control Tower
• Event Type : AWS Service Event via CloudTrail
• Specific event(s) : 체크 , EnableGuardrail

Select targets

• Target : SNS topic
• Topic : ct-event

 

이벤트 발생 시나리오

• AWS Console에서 Control Tower 서비스로 이동 합니다. 좌측 Guardrails메뉴를 클릭하고, Detect whether public access to Amazone RDS database instances is enable GuardRails rule을 검색합니다.

 

Guardrail Detail 화면의 하단에서 Enable guardrail on OU를 클릭 하여 RDS관련한 보안 룰을 Enable 합니다. Enable 하게 되는 OU는 이전에 구성한 custom OU를 선택 합니다.

 

 

Guardrails 정책이 변경되었다고 메일로 전달 받을 수 있습니다.

 

 

 

4. Customizations for AWS Control Tower(CFCT)

CFCT는 AWS Control Tower 및 기타 고가용성, 신뢰할 수 있는 AWS를 결합하여 고객이 AWS 모범 사례를 사용하여 안전한 다중 계정 AWS 환경을 운영 할 수 있도록 합니다.

CFCT는 신규 계정을 생성하는 것이 아니라 사용자가 지정한 리소스를 배포하여 landing zone 계정과 OU를 사용자 정의하기 위해 사용됩니다.

 

장점

맞춤형 보안 확장AWS환경: 다중 계정 AWS Control Tower 환경을 보다 빠르게 확장하고 통합할 수 있음

요구 사항 인스턴스화:  정책 의도를 나타내는 AWS CloudFormation 템플릿 및 서비스 제어 정책을 사용하여 비즈니스 요구사항에 맞게 AWS Control Tower 랜딩 존을 사용자 지정할 수 있습니다.

AWS Control Tower 수명 주기 이벤트를 통한 추가 자동화: 수명 주기 이벤트를 사용하면 이전 일련의 이벤트 완료를 기반으로 리소스를 배포할 수 있습니다. 수명 주기 이벤트를 통해 계정 및 OU에 리소스를 자동으로 배포할 수 있습니다.

네트워크 아키텍처 확장: Transit Gateway와 같은 연결을 개선하고 보호하는 맞춤형 네트워크 아키텍처를 배포할 수 있습니다.

 

 

아키텍쳐 내 서비스 역활 설명

• Amazon S3
• custom-control-tower-configuration--_custom-control-tower-configuration.zip파일 저장
• AWS CodeCommit
• CloudFormation 템플릿의 고객 입력을 기반으로 솔루션은 AWS CodeCommit을 생성
• Amazon Simple Queue Service
• Amazon EventBridge에서 수명주기 이벤트를 캡처하고 AWS Lambda 함수를 트리거하여 AWS CodePipeline을 호출하여 AWS CloudFormation StackSets 또는 AWS Organizations SCP 를 배포
• AWS CodePipeline
• Amazon S3 버킷 또는 AWS CodeCommit 리포지토리를 사용하여 구성 패키지 업데이트를 기반으로 변경 사항을 검증, 테스트 및 구현
• AWS KMS
• Custom Control Tower KMSKey암호화 키. Amazon S3 구성 버킷, Amazon SQS 대기열의 객체 및 AWS Systems Manager Parameter Store의 민감한 파라미터를 암호화하는 데 사용
• AWS Lambda
• AWS Control Tower 수명주기 이벤트 동안 AWS CloudFormation StackSets 또는 AWS Organizations SCP의 초기 설치 및 배포 중에 설치 구성 요소를 트리거
• AWS Systems Manager Parameter Store
• 솔루션의 구성 파라미터를 저장하는 데 사용 ( 예. AWS CloudTrail 데이터를 중앙 집중식 Amazon S3 버킷에 기록하도록 각 계정을 구성하는 등 관련 구성 템플릿을 통합 )
• Amazon Simple Notification Service
• 파이프 라인 승인과 같은 워크 플로 중에 알림을 게시하기위한 주제. Amazon SNS는 파이프 라인 승인 알림 수신을 선택한 경우에만 시작