[AWS] AWS Organizations 관련 서비스

AWS Organizations 관련 서비스

이번 장에서는 성공적으로 AWS Organizations를 구성하기 위한 SaaS들에 대해서 알아본다.

각 서비스들이 필수적으로 사용되는 것은 아니며 다른 서비스로 대체될 수 있다.

---

AWS CloudFormation

• AWS CloudFormation을 사용하면 인프라를 코드로 처리하여 AWS 및 서드 파티 리소스를 모델링, 프로비저닝 및 관리할 수 있다.

• 일관된 방식으로 간단히 프로비저닝하고, 수명 주기 전반에 걸쳐 관리할 수 있다.
• CloudFormation 템플릿에는 원하는 리소스와 종속성이 설명되어 있으므로 이를 모두 하나의 스택으로 구성하고 시작할 수 있다.
• 리소스를 개별적으로 관리하는 대신 템플릿을 통해 전체 스택을 단일 단위로 처리하여 필요한 만큼 자주 생성 및 업데이트하고 삭제할 수 있으며, 스택은 여러 AWS 계정 및 AWS 리전에 걸쳐 관리 및 프로비저닝할 수 있다.
• 확장성
  • “AWS CloudFormation 레지스트리”를 사용하면 AWS 파트너 네트워크(APN) 파트너 및 개발자 커뮤니티에서 게시한 서드 파티 리소스 및 모듈을 모델링하고 프로비저닝할 수 있다.
  • 서드 파티 리소스의 예로는, MongoDB, Datadog, Atlassian Opsgenie, JFrog와 같은 AWS 파트너의 리소스와 함께 모니터링, 팀 생산성, 인시던트 관리 및 버전 제어 도구가 해당된다.
  • 오픈 소스 도구인 AWS CloudFormation CLI를 사용하여 리소스 공급자를 직접 구축할 수 있다.
• 교차 계정 및 교차 리전 관리
  • “CloudFormation StackSets”를 사용하면 단일 CloudFormation 템플릿으로 여러 계정과 리전에 걸쳐 공통된 AWS 리소스 세트를 프로비저닝할 수 있다.
  • “StackSets”에서는 위치에 관계없이 스택을 자동으로 안전하게 프로비저닝, 업데이트 또는 삭제할 수 있다.
• JSON/YAML로 작성
  • CloudFormation을 사용하면 오픈 소스 언어인 JSON 또는 YAML으로 이루어진 텍스트 파일로 전체 클라우드 환경을 모델링할 수 있다.
  • GUI 환경에서 설계하려면 “AWS CloudFormation Designer”를 통해 AWS CloudFormation 템플릿을 시작하면 된다.
• 친숙한 프로그래밍 언어로 작성
  • AWS Cloud Development Kit(AWS CDK)에서 TypeScript, Python, Java, .NET을 사용하여 클라우드 환경을 정의할 수 있기 떄문에, 사용자 IDE에서 직접 CloudFormation을 사용하여 인프라를 프로비저닝할 수 있다.
• SAM을 통해 서버리스 애플리케이션 구축
  • 간편 구문을 통해 함수, API, 데이터베이스 및 이벤트 원본 매핑을 표현하는 오픈 소스 프레임워크인 AWS Serverless Application Model(SAM)을 활용하면 서버리스 애플리케이션을 더 빠른 속도로 구축할 수 있다.
  • 리소스당 몇 줄만 있으면 원하는 애플리케이션을 정의하고 YAML을 사용하여 모델링할 수 있으며, 배포 중에 SAM 구문이 CloudFormation 구문으로 변환 및 확장된다.
• 안전 제어
  • CloudFormation은 안전하고 제어된 방식으로 인프라 프로비저닝 및 업데이트를 자동화하며, 오류로 이어질 수 있는 수동 단계 또는 제어 항목이 없다.
  • 롤백 트리거를 사용하여 CloudFormation을 모니터링 하는 CloudWatch 경보를 지정하고, 경보가 발생하는 경우 이전 배포된 상태로 롤백한다.
  • “ChangeSets”을 사용하면 CloudFormation이 인프라 및 애플리케이션 리소스에서 변경하도록 제안하는 내용을 실행 전에 미리 볼 수 있으므로 배포가 계획한 대로 정확하게 진행된다.
  • “드리프트 감지”를 사용하면 CloudFormation 외부에 있는 리소스의 변경 사항을 추적하여 인프라를 항상 최신 상태로 유지할 수 있다.
• 환경의 변경 사항 미리 보기
  • AWS CloudFormation 변경 세트를 사용하면 스택에 대해 제안된 변경 사항이 실행 중인 리소스에 어떤 영향을 미칠 수 있는지 미리 확인하여 변경 사항으로 인해 중요한 리소스가 삭제되거나 교체될지 여부 등을 살펴볼 수 있다.
• 종속성 관리
  • AWS CloudFormation은 스택 관리 작업 중에 리소스 간 종속성을 자동으로 관리한다. 리소스의 생성, 업데이트 또는 삭제 순서를 지정하기 위해 고민할 필요가 없다.

---

IAM Identity Center

• “AWS Single Sign-On“의 후속 서비스로 여러 AWS 계정과 비즈니스 애플리케이션에 대한 SSO 액세스를 중앙에서 손쉽게 관리할 수 있다.
• 인력은 단일 위치에서 할당된 모든 계정과 애플리케이션에 “Single SIgn-On”으로 액세스할 수 있다.
• “IAM Identity Center”를 사용하면 “AWS Organizations”의 모든 계정에 대한 액세스와 사용자 권한을 중앙에서 손쉽게 관리할 수 있다.
• 계정에 필요한 모든 권한을 자동으로 구성하고 관리하므로 각 계정에서 추가로 설정할 필요가 없다.
• 일반적인 직무를 기반으로 사용자 권한을 할당하고 특정 보안 요구 사항에 맞춰 해당 권한을 사용자 지정할 수 있다.
• “IAM Identity Center”는 Amazon SageMakerStudio, AWS Systems Manager Change Manager, AWS IoT SiteWise와 같은 AWS 애플리케이션과 Salesforce, Microsoft 365와 같은 많은 비즈니스 애플리케이션과 기본적으로 통합된다.
• “ID 스토어”에서 사용자 ID를 생성 및 관리하거나 Microsoft Active Directy, Azure Active Directory(Azure AD)를 비롯한 기존 ID 소스에 쉽게 연결할 수 있다.
• “ID 소스”에서 비용 센터에서 비용 센터, 직책 또는 Locale과 같은 사용자 속성을 선택하고 AWS에서 속성 기반 액세스 제어(ABAC)에 사용할 수 있다.
• “IAM Identity Center Management Console”에서 클릭 몇 번으로 기존 ID 소스에 연결할 수 있고, “AWS Organizations”의 할당된 계정과 수백 개의 미리 구성된 클라우드 애플리케이션에 대한 액세스 권한을 사용자에게 부여하는 권한을 단일 사용자 포털에서 구성할 수 있다.

ID 관리의 중앙 집중화

• IAM Identity Center에서 사용자를 생성하고 관리
  • 기본적으로 제공하는 “ID 스토어”를 사용하여 사용자를 생성하고 IAM Identity Center 내의 그룹으로 구성할 수 있다.
  • 짧은 시간동안 사용자 및 그룹에게 모든 AWS 계정 뿐만 아니라 다수의 비즈니스 애플리케이션에 대한 권한을 부여하게 되고, 사용자는 포털에 로그인하여 할당된 모든 계정과 애플리케이션을 한 곳에서 액세스 하게 된다.
• 표준 기반 ID 제공업체의 사용자를 연결하고 자동으로 프로비저닝
  • “Security Assertion Markup Language(SAML) 2.0”을 통해 IAM Identity Center를 Azure AD와 같은 ID 제공업체(IdP)에 연결할 수 있으므로 사용자가 보안 인증 정보로 로그인할 수 있다.
  • “IdP”에서 사용자를 관리하고, 사용자를 AWS로 신속하게 가져와 모든 AWS 계정 및 비즈니스 애플리케이션에 대한 사용자 액세스를 중앙에서 관리할 수 있다.
  • “IAM Identity Center”에서는 “Okta Universal Directory”에서 비용 센터, 직책 또는 Locale과 같은 여러 사용자 속성을 선택하고 “ABAC”에 대해 사용하여 액세스 관리를 간소화 및 중앙화할 수 있다.
• Microsoft Active DIrectory에 연결
  • “IAM Identity Center”를 사용하면 “Microsoft Active Directory Domain Services(AD DS)”의 기존 회사 ID를 사용하여 계정과 애플리케이션에 대한 “Single Sign-On(SSO)” 액세스를 관리할 수 있다.
  • “IAM Identity Center”는 “AWS Directory Service”를 통해 “AD DA”에 연결하며, 사용자를 적절한 AD 그룹에 추가하기만 하면 계정과 애플리케이션에 대한 액세스 권한을 부여할 수 있다. 예를 들어, 애플리케이션 작업을 하는 개발자 팀 그룹을 만들어 이 그룹에 해당 애플리케이션의 AWS 계정에 대한 액세스 권한을 부여할 수 있다.
  • 팀에 합류하는 새 개발자를 AD 그룹에 추가하면 애플리케이션의 모든 AWS 계정에 대한 액세스 권한이 자동으로 부여된다.
• 다중 인증
  • “IAM Identity Center”에서는 로그인 중에 사용자가 MFA 디바이스를 설정해야 하는 요구 사항을 포함하여 모든 사용자에 대한 MFA를 시행할 수 있다.
  • FIDO 사용 보안 키 및 기본 제공 생체 인증을 통해 AWS 계정 및 비즈니스 애플리케이션에 대한 사용자의 액세스를 보호하는 데 도움이 되는 웹 인증 사양을 지원하며, 시간 기반 1회성 암호인 OTP를 사용할 수도 있다.
• 다중 계정 권한
  • “IAM Identity Center”는 “AWS Organization”의 모든 AWS 계정에서 액세스를 중앙에서 관리할 수 있도록 IAM 역할 및 정책을 구축한다. IAM Identity Center는 하나 이상의 IAM 정책 모음인 권한 세트를 사용한다.
• 애플리케이션 할당
  • “IAM Identity Center” 콘솔 안에서 “애플리케이션 할당”을 사용하여 Salesforce, Microsoft 365와 같은 많은 SAML 2.0 애플리케이션에 대한 Single Sign-On(SSO) 액세스를 제공할 수 있다.
• 속성 기반 액세스 제어
  • “IAM Identity Center”를 사용하면 IAM Identity Center ID 소스에 정의된 사용자 속성에 기반하여 인력의 세분화된 권한을 생성하고 사용할 수 있다.
  • “IAM Identity Center”에서는 비용 센터, 직책 또는 Locale과 같은 여러 속성을 선택하고 속성 기반 제어(ABAC)에 대해 사용하여 액세스 관리를 간소화 및 중앙화할 수 있다.
• 멤버 계정에서 관리 위임
  • “IAM Identity Center”는 조직의 모든 멤버 계정에 대해 AWS Organizations 위임 관리자 계정에서 중앙 집중식 관리 및 API 액세스를 지원한다.
• 보안 표준 및 규정 준수 인증 지원
  • “PCI DSS”, “ISO”와 같은 표준 및 규정 준수 요구 사항을 지원한다.
• AWS Organizations 통합
  • “IAM Identity Center”를 AWS Organizations와 통합하면 조직에서 하나 이상의 계정을 선택하고, 이러한 계정에 대한 액세스 권한을 사용자에게 부여할 수 있다.
• SAML 사용 애플리케이션 구성 마법사
  • “IAM Identity Center 애플리케이션 할당 구성 마법사”를 사용하여 SAML 2.0 지원 애플리케이션에 대한 Single Sign-On(SSO) 통합을 만들 수 있다.
• 여러 애플리케이션 및 AWS 계정의 액세스 이벤트 감사
  • 모든 관리 활동과 다중 계정 활동이 “AWS CloudTrail”에 기록되므로 중앙에서 IAM Identity Center 활동을 감사하는 데 필요한 가시성이 확보된다.
  • “CloudTrail”을 통해 로그인 시도, 애플리케이션 할당, 디렉터리 통합 변경과 같은 활동을 파악할 수 있다.

---

AWS Resource Access Manager(RAM)

• “AWS Resource Access Manager(AWS RAM)”는 하나의 AWS 계정에서 생성한 AWS 리소스를 다른 AWS 계정과 안전하게 공유하는 데 도움이 된다.
• 여러 AWS 계정이 있는 경우 리소스를 한 번 생성하고 AWS RAM을 사용하여 다른 계정에서 해당 리소스를 사용할 수 있도록 설정할 수 있다.
• 계정이 AWS Organizations에서 관리되는 경우 조직의 다른 모든 계정 또는 하나 이상의 지정된 조직 단위(OU)에 포함된 계정과만 리소스를 공유할 수 있다.

이익

• 운용 오버헤드 감소: 리소스를 한 번 생성한 다음 다른 계정과 공유하기 때문에, 중복으로 리소스를 프로비저닝할 필요가 없어서 운영 오버헤드가 줄어든다.
• 보안 및 일관성 제공: 단일 정책 및 권한 집합을 사용하여 공유 리소스에 대한 보안 관리를 간소화한다. AWS RAM 리소스 공유의 모든 사용자는 단일 정책 및 권한 집합으로 관리된다.
• 가시성 및 감사 기능 제공: AWS RAM과 Amazon CloudWatch 및 AWS CloudTrail의 통합을 통해 공유 리소스에 대한 사용 세부 정보를 확인하고, 공유 리소스 및 계정에 대한 포괄적인 가시성을 제공한다.

리소스 기반 정책을 사용한 교차 계정 액세스

• AWS 계정 외부의 보안 주체를 식별하는 “리소스 기반 권한 정책”을 연결하여 일부 유형의 AWS 리소스를 다른 AWS 계정과 공유할 수 있다.
• AWS RAM을 사용하면 아래와 같은 기능을 얻을 수 있다.
  • 모든 AWS 계정 ID를 열거하지 않고 조직 또는 OU와 공유할 수 있다.
  • 사용자는 해당 리소스가 사용자 계정에 직접 있는 것처럼 원래 AWS 서비스 콘솔 및 API 작업에서 직접 자신과 공유된 리소스를 볼 수 있다.
  • 리소스 소유자는 자신이 공유한 각 개별 리소스에 액세스할 수 있는 보안 주체를 확인할 수 있다.
  • 조직에 속하지 않은 계정과 리소스를 공유하는 경우 AWS RAM이 초대 프로세스를 시작한다.

리소스 공유 작동 방식

• 리소스를 다른 AWS 계정과 공유하면 해당 계정의 보안 주체에게 공유 리소스에 대한 액세스 권한이 부여된다.
• 리소스를 공유한 계정에 적용되는 모든 정책 및 권한은 공유 리소스에도 적용된다.
• “전역 리소스”와 “리전 리소스”를 모두 공유할 수 있다.

공유 리소스 사용

• 리소스 소유자가 리소스를 공유하면, 공유 받은 사용자는 리소스를 자신이 소유한 것처럼 액세스할 수 있다.
• 계정의 보안 주체가 수행할 수 있는 API 작업은 리소스 유형에 따라 다르며 리소스 공유에 연결된 AWS RAM 권한으로 지정된다.
• 계정에 구성된 모든 IAM 정책 및 서비스 제어 정책도 계속 적용되므로 보안 및 거버넌스 제어에 대한 기존 리소스를 활용할 수 있다.

서비스 할당량

• AWS 계정에는 AWS RAM과 관련하여 “기본 한도”가 있으며 한도를 넘도록 요청할 수 없다.
• 한도를 증가시키기 위해서는 “AWS Support”에 문의해야 한다.

AWS RAM에 액세스

• 아래와 같은 방법으로 AWS RAM을 사용할 수 있다.
  • AWS RAM 콘솔: AWS RAM은 웹 기반 사용자 인터페이스인 AWS RAM 콘솔을 제공한다.
  • Windows PowerShell용 AWS CLI 및 도구: AWS CLI 및 PowerShell용 도구는 AWS RAM 퍼블릭 API 작업에 대한 직접 액세스를 제공한다.
  • AWS SDK: AWS는 광범위한 프로그래밍 언어 세트에 대한 API 명령을 제공한다.
  • 쿼리 API: “AWS RAMP HTTPS 쿼리 API”는 AWS RAM 및 AWS에 대한 프로그래밍 방식 액세스를 제공한다.

가격

• AWS RAM 사용 또는 리소스 공유 생성 및 계정 간 리소스 공유에 대한 추가 요금은 없다.

---

AWS License Manager

• “AWS License Manager”를 사용하면 AWS 및 온프레미스 환경에서 Microsoft, Oracle과 같은 공급업체의 소프트웨어 라이선스를 쉽게 관리할 수 있다.
• 라이선스에 대한 체계적인 제어 및 가시성을 제공하여 라이선스 초과를 제한하고, 비준수 및 잘못된 보고를 줄이는 데 도움이 된다.

라이선스 추적 실행

• EC2 인스턴스가 실행되면 “License Manager”로 생성된 규칙이 콘솔, CLI 또는 API를 사용하여 연결된다.
• 규칙이 연결되면 조직의 최종 사용자가 인스턴스를 시작할 수 있으며, 이는 “License Manager” 콘솔의 대시보드에서 추적할 수 있다. 라이선스 및 사용량은 인스턴스 수명 주기 전체에서 추적 가능하다.

비준수를 사전에 제한

• 라이선스 사용을 제어하고 규정을 준수하지 않는 새 인스턴스의 시작을 방지하기 위해 하드 제한 또는 소프트 제한을 설정하여, 규정을 준수하지 않는 인스턴스의 시작을 차단한다.
• “License Manager”는 인스턴스를 시작하거나 기존 인스턴스에 라이선스 규칙을 연결하는 동안 이러한 제한을 평가한다.
• 라이선스 사용량이 소프트 제한을 초과하면 “License Manager”는 “Amazon SNS”를 통해 라이선스 관리자와 최종 사용자에게 알림을 보낸다.
• 하드 제한의 경우 “License Manager가 내장된 Amazon EC2 통합”을 사용하여 새 인스턴스가 시작되는 것을 차단한다.

기존 라이선스 검색 자동화

• “AWS Systems Manager”를 사용하여 기존 EC2 인스턴스에서 실행 중인 소프트웨어를 자동으로 검색하는 메커니즘을 제공한다.
• EC2 인스턴스에서 규칙을 연결하고 검증할 수 있으며 “License Manager”의 중앙 대시보드를 사용하여 라이선스를 추적할 수 있다.

더 쉽게 라이선스 전환

• “Microsoft Windows Server” 및 “SQL Server” 워크로드에 대한 EC2 인스턴스의 라이선스 유형을 쉽게 변경할 수 있다. 여기서 “쉽게”의 의미는 애플리케이션, 인스턴스 및 네트워킹 구성을 유지할 수 있다는 것을 의미한다.
• 라이선스 전환은 AWS 제공 라이선스와 자체 라이선스 미디어가 있는 BYOL(Bring-Your-Own-License) 간에 전환하고 기존 정보를 활용하는 데 도움이 된다.

사용자 기반 라이선스 구독 관리

• “License Manager”를 사용하여 “Visual Studio” 및 “Microsoft Office” 사용자 기반 라이선스 구독을 관리한다.
• Microsoft Office LTSC Professional Plus 2021, Visual Studio Professional 2022 머신 이미지(AMI)에 대한 완벽하게 호환되는 Amazon 제공 라이선스가 제공된다.

라이선스 관리 및 보고 중앙 집중화

• 라이선스 규칙에 따라 AWS 및 온프레미스 환경에서 라이선스 사용량을 중앙 집중식으로 확인할 수 있다.
• 중앙 집중식으로 확인하는 경우 조직 전체에서 증분 라이선스 구매, 규정 준수 및 공급업체 감사 등을 보다 쉽게 관리할 수 있다.

전용 호스트가 필요한 라이선스에 대한 관리 작업 자동화

• “License Manager”는 관리자가 호스트 할당 및 호스트 용량 활용에 대한 전용 호스트 관리 기본 설정을 지정하여 전용 호스트가 필요한 라이선스 관리를 단순화할 수 있다.
• “License Manager”가 사용자를 대신하여 이러한 작업을 처리하기 때문에 개발자는 사전 호스트 할당을 수행하거나 용량 활용도를 따로 관리하지 않아도 된다.

관리 권한을 사용하여 여러 조직에서 라이선스 추적

• “License Manager 관리 권한”은 관리자가 최종 사용자 및 워크로드를 위해 여러 AWS 계정에 걸쳐 AWS Marketplace에서 조달한 타사 소프트웨어를 배포, 활성화 및 추적하는 데 도움이 된다.
• ISV(Independent Software Vendor) 및 관리자가 승인된 사용자 및 워크로드에 라이선스를 할당할 수 있도록 기본 제공 컨트롤도 제공한다.

기본 제공 AWS 통합

• AWS 리소스의 수명 주기 동안 라이선스 사용량을 원활하게 추적한다.
• “License Manager”는 EC2, System Manager, AWS Organizations, AWS Service Catalog, AWS Marketplace와 통합된다.

대시보드를 사용하여 사용량 추적

• “License Manager”를 사용하면 중앙 대시보드에서 AWS 및 온프레미스 환경에서 사용되는 라이선스를 추적할 수 있다.

---

AWS Service Catalog

• “AWS Service Catalog”를 사용하면 배포된 IT 서비스, 애플리케이션, 리소스 및 메타데이터를 중앙에서 관리하여 코드형 인프라(IaC) 템플릿에 일관된 거버넌스를 적용할 수 있다.
• 규정 준수 요구 사항을 충족하는 동시에 승인된 IT 서비스를 고객에게 제공하여 필요한 서비스를 빠르게 배포하도록 지원할 수 있다.

제품

• “제품”은 AWS에서 배포할 수 있도록 제공하려는 IT 서비스로 EC2 인스턴스, 스토리지 볼륨, 데이터베이스, 모니터링 구성 및 네트워킹 구성 요소 또는 패키지화된 AWS Marketplace 제품 등 하나 이상의 AWS 리소스로 구성될 수 있다.
• “AWS CloudFormation” 템플릿을 가져와 제품을 생성하며 이러한 템플릿은 제품에 필요한 AWS 리소스, 리소스 간의 관계 및 최종 사용자가 제품을 시작할 때 보안 그룹을 구성하기 위해 플러그인할 수 있는 파라미터를 정의하고 키페어를 생성하고 다른 사용자 정의 작업을 수행한다.

포트폴리오

• “포트폴리오”는 제품의 모음과 구성 정보로, 제품 구성과 특정 제품을 사용할 수 있는 사람과 사용할 수 있는 방법을 관리하는 데 도움이 된다.
• “AWS Service Catalog”를 사용하면 조직에서 각 유형의 사용자에 대해 사용자 정의된 포트폴리오를 생성하고 적절한 포트폴리오에 대한 액세스를 선택적으로 허용할 수 있다.

버전 관리

• 카탈로그의 여러 제품 버전을 관리하여, 소프트웨어 업데이트 구성 또는 구성 변경 사항에 따라 새 템플릿 버전과 연결된 리소스를 추가할 수 있다.

세분화된 액세스 제어

• 포트폴리오에 대한 사용자 액세스를 허용하면 해당 사용자가 포트폴리오를 검색하고 그 포트폴리오의 제품을 시작할 수 있다.
• IAM 권한을 적용하여 제품과 포트폴리오를 Read, Update할 수 있는 사람을 제어한다.

제약

• “제약”은 제품에 대해 특정 AWS 리소스를 배포하는 방식을 제한하여 거버넌스와 비용 관리를 위해 제품에 제한을 적용할 수 있다.
• “템플릿 제약”은 제품을 시작할 때 사용자에게 제공하는 EC2 인스턴스 유형 또는 IP 범위와 같은 구성 파라미터를 제한한다.
• “시작 제약”을 사용하면 포트폴리오의 제품에 대해 역할을 지정할 수 있다. 시작 시 리소스를 프로비저닝할 수 있기 때문에 사용자가 카탈로그에서 제품을 프로비저닝할 수 있는 능력에 영향을 주지 않고 사용자 권한을 제한할 수 있다.

스택

• 모든 “AWS Service Catalog” 제품은 제품의 해당 인스턴스에 대해 프로비저닝된 리소스의 집합인 “AWS CloudFormation” 스택으로 시작된다.
• “AWS CloudFormation 스택”을 사용하면 단일 단위로 제품 인스턴스를 프로비저닝, 태그 지정, 업데이트와 같은 작업을 할 수 있기 때문에, 제품의 수명 주기를 편하게 관리할 수 있다.

서비스 작업

• 서비스 작업을 사용해서 AWS 서비스에 대한 완전한 액세스를 최종 사용자에게 부여하지 않고도 사용자가 운영 작업을 수행하고 문제를 해결하며, 허용된 명령을 수행하거나, 프로비저닝한 제품에 대해 “AWS Service Catalog” 내 승인을 요청할 수 있다.

AWS Service Catalog AppRegistry 기능

애플리케이션

• 빌더는 이름, 설명, 애플리케이션 메타데이터에 대한 연결 및 CloudFormation 스택에 대한 연결을 제공함으로써 “Service Catalog AppRegistry” 내에서 애플리케이션을 정의한다.
• “관련 속성 그룹”은 기업이 애플리케이션용으로 생성 및 관리하는 메타데이터를 보여준다.
• “관련 CloudFormation 스택”은 애플리케이션 관련 AWS 리소스를 보여주며, 단일 환경 내에서 필요한 인프라일 수 있고 전체 환경 전반의 애플리케이션을 지원하는 코드 저장소 및 파이프라인을 포함할 수 있다.

속성 그룹

• 애플리케이션 속성은 오픈 JSON 계획을 지원하며, 기업 메타데이터 분류의 복합성을 보여주는 유연성을 제공한다.
• 애플리케이션 속성은 애플리케이션 보안 분류, 조직 소유권, 애플리케이션 유형, 비용 센터 및 지원 정보를 포함한다.

---

AWS CloudTrail

• “AWS CloudTrail”은 AWS 인프라 전체의 계정 활동을 모니터링하고 기록하여 스토리지, 분석 및 해결 작업을 제어할 수 있도록 한다.

• “CloudTrail”은 AWS 서비스 전반에서 사용자 활동 및 API 호출을 이벤트로 기록하여, “누가, 무엇을, 어디서, 언제”의 기록을 확인할 수 있다.
• “CloudTrail”은 아래와 같이 두 가지 유형의 이벤트를 기록한다.
  • 관리 이벤트(Management events): 버킷 생성 또는 삭제와 같은 리소스에 대한 제어 플레인 작업을 캡처.
  • 데이터 이벤트(Data events): S3 객체 읽기 또는 쓰기와 같은 리소스 내에서 데이터 평면 작업을 캡처.
• “CloudTrail”은 AWS Config의 구성 항목, AWS Audit Manager의 감사 증거등 다른 AWS 서비스와의 통합을 통해서 데이터를 수집할 수 있다.
• “CloudTrail”은 아래 세 가지 기능에서 이러한 이벤트 소스를 사용한다.
  • 이벤트 기록은 추가 비용없이 90일간의 컨트롤 플레인 작업 기록을 제공하며, 핵심 감사 기능으로 불변성을 지원하는 암호화 및 로그 파일 검증을 위한 고객 관리형 키를 제공한다. 유료 기능을 사용한 만큼만 비용을 지불하면 된다.
  • “AWS CloudTrail Lake”는 감사 및 보안 목적으로 AWS에서 사용자 및 API 활동을 캡처, 저장, 액세스 및 분석하기 위한 관리형 데이터 레이크다. 최대 7년 동안 활동 로그를 집계하고 저장할 수 있으며, 검색 및 분석을 위해 쿼리를 사용할 수 있다.
  • “추적(Trails)”은 AWS 계정 활동 기록을 캡처하여 이러한 이벤트를 S3에 전달하고 저장하며 선택적으로 “Amazon CloudWatch Logs”, “Amazon EventBridge”로 전달한다. 이러한 이벤트는 보안 모니터링 솔루션에 제공될 수 있다.

항상 사용(Always on)

• “CloudTrail”은 모든 AWS 계정에서 활성화되며 수동 설정 없이도 AWS 서비스 전반에 걸쳐 관리 이벤트를 기록한다.

저장 및 모니터링

• “추적(Trails)”를 생성하여 진행 중인 관리 및 데이터 이벤트를 S3 및 선택적으로 CloudWatch Logs에 전달할 수 있다.
• “CloudTrail Lake”는 관리형 감사 및 보안 레이크이므로 이벤트가 레이크 내에 자동으로 저장된다.

변경할 수 없는 암호화된 활동 로그

• S3 버킷에 저장된 CloudTrail 로그 파일의 무결성을 검증하고 CloudTrail이 로그 파일을 S3 버킷에 전달한 이후 로그 파일이 변경, 수정 또는 삭제되었는지 감지할 수 있다.
• IT 보안 및 감사 프로세스에서 “로그 파일 무결성 검증”을 사용할 수 있으며, CloudTrail Lake는 모든 로그를 자동으로 암호화한다.

인사이트 및 분석

• “CloudTrail Lake”를 사용하면 Lake내 감사를 위해 활동 로그에서 SQL 기반 쿼리를 실행할 수 있다.
• “CloudTrail Insights”를 활성화하여 AWS 계정의 비정상적인 활동을 식별할 수 있다.

다중 지역

• 단일 위치에서 여러 AWS 리전의 이벤트를 캡처하고 저장하도록 CloudTrail을 구성할 수 있으며, 이러한 구성은 모든 설정이 기존 리전과 새로 시작된 리전에 일관되게 적용됨을 인증한다.

다중 계정

• 단일 위치에서 여러 AWS 계정의 이벤트를 캡처하고 저장하도록 CloudTrail을 구성할 수 있으며, 이러한 구성은 모든 설정이 모든 기존 및 새로 생성된 계정에 일관되게 적용되었는지 확인한다.

---

AWS Backup

• “AWS Bakcup”은 정책을 기반으로 대규모 데이터를 간편하고 비용 효율적으로 보호할 수 있는 완전관리형 서비스다.

중앙 집중식 백업 관리

• “AWS Backup”은 S3, EBS, FSx 등 애플리케이션이 실행되는 AWS 서비스, 온프레미스 및 VMware Cloud on AWS에서 실행되는 워크로드 전체의 백업을 중앙 집중식 관리할 수 있다.
• “AWS Backup”을 사용하면 백업 요구 사항을 충족하는 백업 정책을 중앙에서 관리하고 이를 AWS 서비스 및 하이브리드 클라우드 워크로드 전반의 AWS 리소스에 적용할 수 있으므로, 규정 준수 노력과 일치하는 일관된 방식으로 애플리케이션 데이터를 백업할 수 있다.

정책 기반 백업 솔루션

• “AWS Backup”에서는 백업 플랜이라는 백업 정책을 생성하여 백업 요구 사항을 정의한 후 이를 백업하려는 AWS 리소스에 적용할 수 있다.
• 특정 비즈니스 및 규제 준수 요구 사항에 맞춰 별도의 백업 플랜을 생성할 수 있으므로, 각 AWS 리소스를 백업하고 보호하는 데 도움이 된다.

태그 기반 백업 정책

• “AWS Backup”에서는 AWS 리소스에 태그를 지정하여 간단하게 백업 정책을 적용할 수 있으므로, 모든 애플리케이션에 걸쳐 백업 전략을 손쉽게 구현하고 모든 AWS 리소스가 백업되고 보호되도록 할 수 있다.

자동화된 백업 일정 관리

• “AWS Backup”을 사용하면 비즈니스 및 규제상의 백업 요구 사항에 맞춰 사용자 지정할 수 있는 백업 일정을 생성할 수 있다.
• 일반 모범 사례를 기반으로 사전에 정의된 백업 일정에서 선택 & 사용하여, AWS 리소스를 자동으로 백업할 수 있다.

자동화된 보존 관리

• “백업 보존 정책”을 설정하여 비즈니스 및 규제상의 백업 준수 요구 사항에 따라 백업이 자동으로 유지 및 만료되도록 할 수 있다.
• 필요한 기간 동안의 데이터를 저장하도록 설정하여 백업 스토리지 비용을 최소화할 수 있다.

백업 활동 모니터링

• 대시보드를 활용하여 서비스 전체에서 백업 및 복원 활동을 간단하게 모니터링할 수 있다.
• “CloudTrail”과 통합되어 백업 활동 로그에 대한 통합 보기를 확인하고, 백업되는 리소스와 백업 방식을 빠르게 감시할 수 있다.
• “Simple Notification Service(SNS)”와 통합되어 백업의 결과 및 활동을 사용자에게 알릴 수 있다.

AWS Backup Audit Manager

• “AWS Backup Audit Manager”를 사용하면 비즈니스 및 규제 요구 사항을 충족하는 데 도움이 되는 데이터 보호 정책의 준수를 감사하고 보고할 수 있다.
• “AWS Backup Audit Manager”는 내장 규정 준수 제어를 제공하고 이러한 제어를 사용자 지정하여 데이터 보호 정책을 정의할 수 있다.

AWS Backup 저장소 잠금

• “저장소 잠금” 기능을 통해 우발적인 변경 또는 악의적인 변경으로 부터 백업 데이터를 보호할 수 있다.
• “저장소 잠금” 보존 기간, 콜드 스토리지 전환, 교차 계정 및 교체 리전 복사와 같은 백업 정책과 원활하게 함께 작동하여 추가적인 보호 계층을 제공하고 규정 준수 요구 사항을 충족하도록 지원한다.

수명 주기 관리 정책

• 정의한 일정에 따라 백업을 웜 → 콜드 스토리지로 자동 전환하도록 하여 백업 스토리지 비용을 절감하는 동시에 규정 준수 요구 사항을 충족할 수 있다.

증분 백업

• “AWS Backup”은 정기 백업을 증분식으로 효율적으로 저장한다.
• AWS 리소스의 첫 번째 백업에서는 전체 데이터 사본을 백업하고, 이후에 이루어지는 각 증분 백업에서는 변경된 부분만 백업한다.

백업 데이터 암호화

• 전송 및 저장 시 백업 데이터를 암호화하여 백업 데이터를 보호하고 규정 준수 요구 사항을 충족하는 포괄적인 암호화 솔루션을 제공한다.
• AWS Key Management Service(KMS)에서 관리하는 암호화 키를 사용하여 암호화하기 때문에, 키 관리 인프라를 따로 구축할 필요가 없다.

백업 액세스 정책

• “백업 저장소”에 대해 리소스 기반 액세스 정책을 설정할 수 있다.
• “백업 저장소”는 백업을 구성하는 데 사용되는 컨테이너다.
• 리소스 기반 액세스 정책을 통해 사용자별로 권한을 정의하는 대신, 모든 사용자에 대해 백업 저장소의 백업에 대한 액세스를 제어할 수 있다.

교차 리전 백업

• 다수의 AWS 서비스의 백업을 중앙 콘솔에서 여러 리전으로 복사하여 규정 준수와 재해 복구 요구 사항을 충족시킬 수 있다.
• 새 리전의 백업에서 복구할 수 있으므로 위험 또는 가동 중단 시간을 줄이고 재해 복구 및 비즈니스 연속성 요구 사항을 확실하게 충족할 수 있다.

교차 계정 백업

• “교차 계정 백업”을 지원하기 때문에 “AWS Organizations” 내 AWS 계정에서 안전하게 복사할 수 있다.
• “교차 계정 백업” 기능은 사용자에게 소스 계정이 우발적인 삭제 또는 악의적인 삭제, 재해 또는 랜섬웨어로 인한 중단을 경험하지 않도록 보호 계층을 제공한다.

---

AWS Cost Explorer

• “AWS Cost Explorer”는 시간에 따른 AWS 비용과 사용량을 시각화한 간편한 인터페이스를 제공한다.
• 데이터를 높은 수준으로 분석하거나 비용 및 사용량 데이터를 분석하여 이상을 탐지한다.

AWS 서비스 월별 비용

• 비용 발생 상위 5개의 AWS 서비스와 관련된 비용 및 사용량을 시각화하는 데 도움이 되는 기본 보고서가 포함된다.

연결된 계정의 월별 지출

• “AWS Organizations”의 지불 계정에 대해 연결된 계정별로 그룹화된 월별 지출을 확인한다.

시간별 및 리소스 수준 세분성

• 일별 또는 월별 단위로 비용 및 사용량을 시각화하여 관리하는 데 도움을 준다.
• 세분화된 필터링 및 사용 유형 및 태그와 같은 그룹화 차원을 사용하여 더 자세한 정보를 확인할 수 있다.

저축 계획 보고서

• “Savings Plans” 구매 및 절감 기회를 분석하는 데 도움이 되는 “Savings Plans 활용 보고서”와 “Savings Plans 적용 보고서”를 제공한다.
• “Saving plans utilization report”는 총 Saving Plans 사용률을 시각화하고 사용자 지정 Savings Plans 사용률 목표를 설정할 수 있도록 한다.
• “Saving Plans coverage report”는 전체 Saving Plans 적용 범위를 시각화하고 사용자 지정 Savings Plans 적용 범위 목표를 설정할 수 있도록 한다.

예약 보고서

• “AWS Cost Explorer”는 RI 구매 및 절약 기회를 분석하는 데 도움이 되는 두 가지 보고서인 예약 활용 보고서 및 예약 범위 보고서를 제공한다.
• “Reservation utilization report”는 총 예약 사용률을 시각화하고 사용자 지정 예약 사용률 목표를 설정할 수 있도록 하여 리소스를 얼마나 잘 사용하고 있는지 이해하는 데 도움이 된다.
• “Reservation coverage report”는 전체 예약 범위를 시각화하고 사용자 지정 예약 범위 목표를 설정할 수 있도록 하여 절감 기회를 식별하는 데 도움이 된다.

---

AWS Compute Optimizer

• “AWS Compute Optimizer”는 사용량 데이터를 기반으로 EC2 인스턴스, EBS 볼륨, AWS Lambda 함수 등 리소스에 대한 과다 프로비저닝 또는 과소 프로비저닝을 방지하는 데 도움을 준다.

• 기계 학습을 사용하여 과거 사용률 지표를 분석하여 비용 절감, 성능 개선을 위해 워크로드에 최적의 리소스를 권장한다.
• Compute Optimizer 기본 버전을 사용하면 애플리케이션 실행에 필요한 리소스 비용과 CloudWatch 모니터링 비용만 지불하면 된다.
• 분석 시점의 지난 14일간의 CloudWatch 지표를 분석하여 권장 사항을 제공한다.
• “향상된 인프라 지표”를 활성화하여 월별 또는 분기별 사용 패턴을 캡처하여 EC2 또는 Auto Scaling 그룹 권장 사항을 제공받을 수 있다.
• “향상된 인프라 지표”기능을 활성화하면 기본 옵션보다 6배 많은 사용률 지표를 수집하고 분석한다.

---

AWS Config

• “AWS Config”는 리소스의 구성 및 관계에 대한 지속적인 진단, 감사 및 평가를 수행한다.

AWS 리소스의 구성 기록

• AWS 리소스에 대한 변경 세부 정보를 기록하여 구성 기록을 제공한다.
• 지정한 S3 버킷에 구성 기록 파일을 자동으로 전달하여, 과거 어느 시점에서 리소스가 어떻게 구성되었는지에 대한 세부 정보를 얻을 수 있다.

소프트웨어 구성 기록

• 운영 체제 구성, 시스템 수준 업데이트, 애플리케이션, 네트워크 구성 등에 대한 가시성을 얻을 수 있다.
• EC2 인스턴스에 대해 기록된 인프라 구성 변경과 함께 OS 및 시스템 수준 구성 변경 기록을 제공한다.

리소스 관계 추적

• 계정에서 AWS 리소스 관계를 검색, 매핑 및 추적한다.
• EC2 보안 그룹이 EC2 인스턴스와 연결된 경우 AWS Config는 EC2 보안 그룹과 EC2 인스턴스 모두의 업데이트된 구성을 기록한다.

구성 및 사용자 지정 가능한 규칙

• 프로비저닝 전후에 실행되는 인스턴스 및 서버를 포함하여 관리형 인스턴스 내의 소프트웨어, 클라우드 리소스의 구성을 평가하는 사전 구축된 규칙을 제공한다.
• 규칙을 생성할 때 모범 사례 및 지침을 정의하는 AWS Lambda에 대한 사용자 지정 규칙을 사용할 수 있다.
• 기본 제공 또는 사용자 지정 규칙에 대한 규정 준수를 위해 리소스 구성 및 리소스 변경 사항을 평가할 수 있다.

적합성 팩

• “AWS Organizations”와 통합되어 프레임워크 및 패키징 모델을 사용하여 정책 정의에서 감사 및 집계 보고까지 AWS 리소스 구성의 규정 준수를 관리하는 데 도움이 된다.
• 조직의 여러 계정에 걸쳐 리소스 구성 정책 및 모범 사례에 대한 공통 기준을 설정할 때 유용하게 사용된다.

다중 계정, 다중 리전 데이터 집계

• 다중 계정, 다중 리전 데이터 집계는 중앙 집중식 감사 및 거버넌스를 지원하는 기능으로 규칙 준수 상태에 대한 전사적 보기를 제공하고 AWS 조직을 연결하여 계정을 빠르게 추가할 수 있다.
• 대시보드를 활용하여 항목별 상위 5개의 AWS 계정이 표시되고, 규칙을 위반하는 리소스에 대한 세부 정보와 계정에서 위반하는 규칙 목록을 확인할 수 있다.

확장성

• AWS 리소스와 마찬가지로 GitHub, Microsoft Active Directory와 같은 타사 리소스의 구성 기록을 모니터링할 수 있다.

구성 스냅샷

• 모든 리소스와 해당 구성의 특정 시점을 캡처한 스냅샷을 제공할 수 있고 생성된 스냅샷은 S3 버킷에 저장된다.

통합

• AWS Organization: AWS Config의 다중 계정, 다중 리전 데이터 집계 기능에 사용할 계정을 정의할 수 있다.
• AWS CloudTrail: 구성 변경 사항을 계정의 특정 이벤트와 연관시키고, CloudTrail 로그를 사용하여 요청한 사람, 시간 및 IP주소를 포함하여 변경을 호출한 이벤트의 세부 정보를 얻을 수 있다.
• ITSM/ITOM 소프트웨어와 연결: “Jira”와 같은 ITSM(IT 서비스 관리 도구)를 연결하여 ITSM 사용자가 AWS 서비스 및 리소스를 쉽게 관리할 수 있도록 한다.
• AWS Security Hub: AWS Config 규칙을 포함하여 다른 AWS 서비스의 보안 검사를 중앙 집중화하여 리소스 구성이 모범 사례에 부합하는지 확인한다.
• AWS Audit Manager: AWS 사용량을 감사하여 규제 및 산업에 대한 위험 및 규정 준수를 평가하는 방법을 간소화한다. Audit Manager는 증거 수집을 자동화하므로 자동화된 증거를 수집하도록 AWS Config와 같은 제어 데이터 소스를 구성할 수 있다.
• AWS Systems Manger: 온프레미스 환경의 EC2 인스턴스 및 서버에서 소프트웨어에 대한 구성 변경 사항을 기록한다. 통합을 통해 운영 체제, 시스템 수준 업데이트, 네트워크 구성 등에 대한 가시성을 확보할 수 있다.
• Amazon EC2 전용 호스트: AWS Config는 EC2 전용 호스트와 통합되어 라이선스 규정 준수를 평가한다. AWS Config는 인스턴스가 전용 호스트에서 시작, 중지 또는 종료될 때를 기록한다.
• Elastic Load Balancing: ALB(Application Load Balancer)에 대한 구성 변경 사항을 기록할 수 있다. 연결된 EC2 보안 그룹, VPC 및 서브넷과의 관계도 포함된다.

---

참고 자료

• AWS Organizations(Document)
• Multi-Account Management Using AWS Organizations
• AWS CloudFormation(Document)
• AWS IAM Identity Center(Document)
• AWS Resource Access Manager(Document)
• AWS License Manager(Document)
• AWS Service Catalog(Document)
• AWS CloudTrail(Document)
• AWS Backup(Document)
• AWS Cost Explorer(Document)
• AWS Compute Optimizer(Document)
• AWS Config(Document)