AWS - 관리 및 거버넌스

AWS Organizations

여러 AWS계정을 중앙에서 관리하는 글로벌 서비스

• 전체 계정을 관리하는 계정을 관리계정(Master Account)라고 함
• 그 외의 계정은 멤버 계정
• 계정을 통합하면 결제를 통합하여 볼륨 가격 할인을 받을 수 있음
• 조직관리를 위해 OU(Organization Unit)이라는 조직 단위로 그룹화하여 관리
• 그룹마다 서비스 제어 정책(SCP)를 적용해서 액세스를 제한하는 서비스를 제어가능
• SCP(Service Controll Policy)
• 계정에 대한 AWS 서비스 액세스 제어정책
• 계정에 특정 AWS 서비스에 대한 액세스를 제한 할 수 있음
• SCP 정책은 계정 또는 OU단위에 적용할 수 있음
• OU에 적용하면 OU에 속한 계정과 OU는 동일한 정책이 적용됨(정책 상속) 

 

 

Cloud Watch

IT 관리자를 위해 구축된 모니터링 및 관찰 기능 서비스

• Cloud Watch의 4가지 기능
• 지표
• CPU사용량, 네트워크 사용량 등의 AWS 서비스에 대한 측정값 확인
• 대부분의 AWS 서비스는 지표를 가지고 있음
• 대시보드
• 주요 지표를 한눈에 볼 수 있는 대시보드 기능
• 로그
• 애플리케이션에 대한 로그를 수집하는 기능
• Lambda, CloudTrail, EC2, API Gateway 등의 AWS 서비스에 대한 로그를 수집
• AWS 서비스 외에도 Log Agent를 설치하여 로그를 수집가능
• 경보
• 지표값에 대한 알림을 생성하는 기능
• 생성된 알림을 SNS 알림, Auto Scaling, EC2 설정 작업으로 보낼 수 있음

 

 

CloudTrail

AWS 계정이 수행하는 작업에 대해 로그를 기록하는 서비스

• AWS내에서 수행되는 모든 활동에 대해 기록이 됨
• CloudTrail은 모든 계정에 기본으로 활성화 되어 있음
• AWS 계정의 거버넌스, 규정준수, 운영감사, 위험감사에 활용

 

 

 

Config

AWS 리소스 구성 변경 사항을 로그기록하는 기능

• 버킷 액세스 변경, 보안 그룹 설정 변경, ALB 설정 변경 등 모든 변경 사항에 대해 로그 수집 기능
• 수집된 로그는 분석, 보안감사를 위해 S3 버킷으로 저장가능
• 리소스 구성변경이 감지되면 알림을 SNS 주제로 전송 가능
• Config 규칙을 설정해서 AWS 리소스 구성이 규정준수를 하고 있는지 평가 가능