AWS Cloud/SAP
AWS Control Tower
애드팍
2025. 4. 7. 17:09
728x90
1. Control Tower란?
"조직 전체의 계정 생성을 자동화하고, **보안/거버넌스 정책(SCP 포함)**을 쉽게 관리할 수 있게 도와주는 AWS 관리형 서비스"
| 구성 요소 | 설명 |
| Landing Zone | Control Tower가 설정하는 표준 조직 구조 |
| Account Factory | 자동화된 계정 생성 도구 (Service Catalog 기반) |
| Guardrails | 사전 정의된 SCP + Config 규칙 |
| Audit 계정 | 로그 및 모니터링 전용 계정 |
| Log Archive 계정 | CloudTrail 로그 저장소 역할 |
| Management Account | Organizations 루트 계정 |
🔹 2. 자주 등장하는 시험 포인트
| 주제 | 출제 유형 |
| ✅ Control Tower가 자동으로 OU, SCP 구성 | 어떤 SCP가 언제 적용되는가? |
| ✅ 계정 생성 자동화 | Account Factory 설정 흐름 |
| ✅ Guardrails 작동 방식 | Preventive vs Detective |
| ✅ 로그 계정 구성 | 로그 저장 + CloudTrail 통합 여부 |
| ✅ 계정 프로비저닝 실패 원인 분석 | 권한 부족, SCP 충돌 등 |
🔐 Guardrail 종류 정리
| 유형 | 설명 | 예시 |
| Preventive (예방적) | SCP로 실행 자체를 막음 | “S3 퍼블릭 액세스 차단” |
| Detective (탐지형) | AWS Config로 감지/알림 | “비암호화 EBS 사용 여부 감시” |
🔄 통합되는 서비스
- AWS Organizations
- AWS Service Catalog (Account Factory)
- AWS IAM Identity Center (SSO)
- AWS CloudTrail (Audit 계정)
- AWS Config (Detective Guardrails)
728x90