BLOG
AWS와 함께 일하는 많은 고객은 컴플라이언스를 관리하고 중앙 위치에서 AWS의 다중 계정 조직 전반에 걸쳐 추가적인 통찰력을 얻을 수 있는 방법을 모색하고 있습니다. 이 때 AWS는 종종 AWS Control Tower와 논의를 시작합니다. 이는 잘 설계된 다중 계정 AWS 환경의 생성을 자동화하는 AWS 관리 서비스로, 다중 계정의 AWS 환경을 설정하고 제어하는 가장 쉬운 방법을 제공합니다. 해당 서비스를 통해 AWS Organization의 새로운 계정 프로비저닝 및 중앙 집중식 컴플라이언스를 단순화할 수 있으며, 빌더는 클릭 몇 번으로 귀사의 전체 정책을 준수하는 새로운 AWS 계정을 프로비저닝할 수 있습니다.
그런 다음 대화는 AWS Identity 및 Access Management (IAM) Access Analyzer와 같이 가시성과 보안 상태를 개선하는 다른 AWS 서비스 및 기능으로 이어집니다. IAM Access Analyzer를 사용하면 보안 팀과 관리자가 자신의 정책이 리소스에 대해 의도된 액세스만 제공하는지 보다 쉽게 확인할 수 있습니다. 또한 정책을 통해 부여된 권한을 분석하여 누가 리소스에 액세스할 수 있는지 알 수 있게 해 줍니다. AWS에서는 이러한 분석 결과를 입증 가능한 보안이라 하며, 클라우드 보안을 위한 더 높은 수준의 보장이라 부릅니다.
오늘 블로그 포스팅으론 이 AWS Control Tower 다중 계정 환경에서 IAM Access Analyzer 결과를 활성화하고 중앙 집중화하여 조직 보안 가시성을 향상시키는 단계를 다루어 보겠습니다.
솔루션 개요
마스터 계정은 전체 조직에 대해 IAM 액세스 분석기를 제어합니다. 그러나 대부분의 고객은 특정 구성원 계정을 보안 마스터로 지정합니다. 기본적으로 AWS Control Tower는 계정 간 감사 및 중앙 집중식 보안 작업을 위한 보안 감사 계정을 생성합니다. AWS는 감사 계정을 IAM Access Analyzer 위임 관리자로 사용합니다. 여기에는 2단계 과정이 수반됩니다. 먼저 감사 계정에 권한을 위임하고, 전체 조직을 신뢰 영역으로 하여 IAM Access Analyzer를 활성화합니다. 활성화가 되면 모든 회원 계정의 IAM Access Analyzer 결과가 감사 계정으로 집계됩니다. 이를 통해 하나의 중앙 위치에서 조직 전체의 중요한 보안 이벤트를 효과적으로 모니터링할 수 있게 됩니다.
전제조건
이 솔루션은 사용자가 이미 AWS Control Tower를 배포했으며, 관리 자격 증명이 있는 AWS Control Tower 마스터 계정에 액세스할 수 있다고 가정합니다.
조직 전체에서 IAM Access Analyzer를 활성화하기 전에 다음 정보가 필요합니다.
- IAM Access Analyzer 위임 관리자 계정의 계정 AWS Control Tower 마스터 계정의 AWS Organizations 콘솔에서 감사 계정 번호를 찾을 수 있습니다. 계정 ID는 12자리 숫자 형식입니다.
IAM Access Analyzer 위임하기
마스터 계정만 IAM Access Analyzer에 대해 위임된 관리자를 추가, 제거 또는 변경할 수 있습니다. AWS Control Tower 마스터 계정에서 IAM 콘솔로 이동하여 Access Analyzer Settings(액세스 분석기 설정)을 선택합니다. 여기서 위임된 관리자를 추가할 수 있습니다. 이전에 수집한 감사 계정의 12자리 계정 ID를 추가하고 변경사항을 저장합니다.
Audit 계정에서 Access Analyzer 활성화하기
Access Analyzer를 활성화하려면 감사 계정에 분석기를 생성합니다. 이 예에서는 전체 조직을 신뢰 구역으로 하여 분석기를 만듭니다.
IAM Access Analyzer는 자신이 활성화된 동일한 AWS 영역의 리소스에 연결된 정책만 분석합니다. 모든 리전의 커버리지를 용이하게 하기 위해 AWS CloudFormation StackSet를 사용하여 모든 리전에서 분석기를 활성화합니다.
첫 번째 단계는 즐겨찾는 텍스트 편집기를 사용하여 AWS CloudFormation 템플릿을 만드는 것입니다.
AWSTemplateFormatVersion: 2010-09-09
Description: Enables IAM Access Analyzer
Resources:
Analyzer:
Type: ‘AWS::AccessAnalyzer::Analyzer’
Properties:
AnalyzerName: !Sub ‘AccessAnalyzer-${AWS::Region}-${AWS::AccountId}’
Type: ORGANIZATION
다음으로, AWS Control Tower 마스터 계정에서 AWS CloudFormation StackSet를 시작합니다.
- AWS Management Console에서 AWS CloudFormation으로 이동합니다.
- StackSets를 선택하고 Create StackSet을 선택합니다.
- 템플릿 준비를 선택하고 이전에 만든 템플릿 파일을 업로드합니다.
- 스택 세부 정보 지정 페이지에서 스택에 “IAMAccess”와 같은 이름을 지정합니다.
- 3단계에서 StackSet 옵션을 구성합니다. 셀프 서비스 권한을 선택하고 IAM 관리자 역할 이름이 AWSControlTowerStackSetRole이고 IAM 실행 역할 이름이 AWSControlTowerExecution인지 확인합니다.
- 계정에 스택을 배포하려면 선택하고 감사 계정의 12자리 계정 ID를 입력합니다. 스택을 배포할 영역도 지정합니다. 우리는 모든 지역에 배치하기로 결정했습니다.
그런 다음 StackSet의 Operations 탭을 통해 프로세스를 모니터링하고 배포 상태를 볼 수 있습니다. 배포가 완료되면 다음 단계로 이동합니다.
확인하기
StackSet 배포가 완료되면 audit 계정에 로그인하여 IAM 콘솔에서 결과를 확인합니다.
추가적으로 Security Hub를 활성화한 경우 IAM Access Analyzer 결과도 자동으로 전송됩니다.
정리하기
IAM Access Analyzer는 AWS 계정의 기능이며 추가 비용 없이 제공됩니다. Access Analyzer를 사용하지 않으려면 AWS CloudFormation Users guide의 지침에 따라 스택을 삭제하고 마스터 계정에서 위임된 관리자를 제거해 주시기 바랍니다.
글을 마치며…
본 게시물에서는 AWS Control Tower 조직 전반에 걸쳐 IAM Access Analyzer를 활성화하는 방법을 시연하며, IAM Access Analyzer를 AWS Control Tower 감사 계정으로 위임하고 모든 영역에서 분석기를 활성화하는 방법을 보여드렸습니다. 조직 수준에서 IAM Access Analyzer를 구현하면 조직의 보안 상태를 향상시키는 AWS 조직 외부에서 액세스할 수 있는 리소스를 신속하게 식별할 수 있습니다.
추가 정보
** 메가존 클라우드 TechBlog는 AWS BLOG 영문 게재 글 중에서 한국 사용자들에게 유용한 정보 및 콘텐츠를 우선적으로 번역하여 내부 엔지니어 검수를 받아서, 정기적으로 게재하고 있습니다. 추가로 번역 및 게재를 희망하는 글에 대해서 관리자에게 메일 또는 SNS 페이지에 댓글을 남겨주시면, 우선적으로 번역해서 전달해드리도록 하겠습니다.