AWS Control Tower는 AWS에서 멀티 계정 환경을 쉽고 안전하게 설정하고 관리할 수 있도록 도와주는 서비스이다. 대기업이나 조직에서 계정을 여러 개로 나눠 운영할 때 표준화된 구조를 만들고, 거버넌스(통제)를 유지하면서도 효율적인 운영이 가능하게 해준다.
---
✅ 핵심 개념
| 용어 | 설명 |
|---|---|
| OU (Organizational Unit) | AWS Organizations의 논리적 그룹으로, 계정을 계층 구조로 구성 |
| Landing Zone | 보안, 네트워크, 계정 설정이 사전 정의된 AWS 계정 구조 |
| Account Factory | 새로운 계정을 생성할 수 있는 셀프서비스 포털 기능 |
| Guardrails | 서비스 제어 정책(SCP)과 AWS Config 규칙을 이용한 정책 제약 및 감사 |
| Drift Detection | 계정이 정책이나 구조에서 벗어났는지 감지하는 기능 |
🔍 주요 기능
1. OU 기반 계층 구조 관리
- AWS Control Tower는 OU 기반 계층 구조를 정의하고 관리할 수 있게 해준다.
- 조직 변경 감지를 통해 계정이 어느 OU에 속하는지, 변경되었는지를 확인할 수 있음.
2. 계정 드리프트(Drift) 감지
- 조직 계층 구조나 Guardrails 정책에서 벗어난 계정을 자동 감지.
- 예: 보안 규칙이 빠진 계정, 잘못된 OU에 속한 계정 등.
3. Landing Zone 구성
- 표준 보안 정책, 네트워크 아키텍처, 감사 기능을 갖춘 기본 계정 구조 제공.
- 빠르고 안전한 멀티 계정 구성의 시작점 역할.
4. Account Factory
- 템플릿 기반으로 쉽게 새 계정 생성 가능.
- 자동으로 OU에 배치되고 Guardrail이 적용됨.
🛡️ Guardrails (가드레일)
Control Tower의 정책 강제 수단으로, 두 가지 유형이 있다.
| Guardrail 유형 | 설명 |
|---|---|
| 제한형(Preventive) | 계정 수준에서 행위를 차단 (ex. S3 공개 차단) |
| 탐지형(Detective) | 모니터링 및 경고 (ex. 루트 사용자 로그인 감지) |
🔔 알림 기능: 계정 드리프트 탐지
- AWS Control Tower는 "계정 드리프트 감지(Drift Detection)" 기능을 통해 OU 구조나 가드레일 정책의 일관성 여부를 모니터링한다.
- 예를 들어, OU에서 계정이 다른 OU로 이동되었을 때 알림을 받을 수 있다.
- 이는 보안 및 조직 구조 변경 감시에 유용하다.
☁️ 언제 사용하면 좋은가?
- 복수의 AWS 계정을 사용하는 기업
- 보안, 감사, 계정 생성 등을 표준화된 방식으로 자동화하고 싶은 조직
- OU 구조 기반의 조직별 거버넌스 관리가 필요한 환경
💡 정리
AWS Control Tower는 조직 내 다수의 AWS 계정을 안전하고 일관되게 관리하기 위한 중앙 통제 플랫폼이다.
- Landing Zone을 통해 시작 환경을 빠르게 구성
- OU와 계정 관리 자동화
- Guardrail과 Drift Detection으로 보안 및 규정 준수 강화
- Account Factory로 계정 생성을 표준화
Backend Developer / Cloud Engineer