AWS Control Tower Landing Zone

AWS Control Tower는 AWS에서 멀티 어카운트 환경을 관리하고 보안 및 규정 준수를 강화하는 서비스입니다. 이 서비스는 AWS 리소스를 구축, 구성 및 관리하는 프로비저닝 프로세스를 자동화하여 보안 및 규정 준수를 달성하고 유지하는 데 도움이 됩니다.

Control Tower의 "Landing Zone(랜딩존)"은 AWS 클라우드 환경을 구성하고 시작하는 초기 단계를 가리킵니다. 랜딩존은 AWS 계정 및 리소스 구조를 설정하고 AWS 기본 서비스의 보안 및 규정 준수를 강화하기 위한 설정을 포함합니다.

간단히 말해, Control Tower의 랜딩존은 다음을 포함할 수 있습니다:

1. AWS 계정 구성: 필요한 AWS 계정을 생성하고 구성합니다.
2. AWS 서비스 설정: 보안 및 규정 준수를 강화하기 위해 AWS 서비스(예: AWS Identity and Access Management, AWS Config, AWS CloudTrail 등)를 구성합니다.
3. 보안 기준 적용: 보안 규정 및 모범 사례를 준수하기 위한 보안 설정을 구성합니다.
4. 네트워킹 및 인프라 구성: VPC(Virtual Private Cloud) 구성, 서브넷 설정 등과 같은 네트워킹 및 인프라 구성을 포함할 수 있습니다.
5. 일반적인 사용자 계정 설정: 사용자 및 그룹, 권한 및 역할을 설정하여 리소스 액세스를 관리합니다.

이러한 설정을 통해 AWS Control Tower의 랜딩존은 새로운 AWS 환경을 빠르게 구축하고 보안 및 규정 준수 요구 사항을 충족시킬 수 있습니다.

 

 

 

Control Tower의 랜딩존에서 Organizational Unit(OU)를 만들고, 승인된 지역 외부에서 서비스를 실행하기 위한 액세스를 거부하는 SCP(Service Control Policies)를 연결하는 과정을 그림으로 표현한 것입니다.

 

1. AWS Control Tower: AWS의 중앙 집중식 보안 및 규정 준수 서비스.
2. Landing Zone (LZ): AWS Control Tower에서 시작하는 초기 AWS 환경 구축 단계.
3. Organizational Units (OU): 조직 단위를 나타내며, AWS 계정을 그룹화하여 효율적인 리소스 관리를 가능하게 합니다.
4. Service Control Policies (SCP): AWS Organizations의 기능 중 하나로, 특정 조직 단위에 대한 규정 준수 및 보안 정책을 설정합니다.
5. Blocked Services and Forbidden Regions: SCP를 통해 특정 서비스의 사용이나 특정 지역에서의 리소스 배포를 차단하는 정책을 설정합니다.

이 그림은 Control Tower의 랜딩존에서 조직 단위(OU)를 구성하고, SCP를 사용하여 특정 지역이나 서비스에 대한 액세스를 제한하는 방법을 나타냅니다.