개요
Account Assessment for AWS Organizations를 사용하면 AWS Organizations 내의 모든 AWS 계정을 중앙에서 관리하고 평가할 수 있습니다. 따라서 AWS Organizations의 종속성을 이해하고 탐색하는 데 도움이 됩니다. AWS Organizations의 종속성을 수동으로 평가하려면 시간이 많이 걸릴 수 있습니다. 개별 계정의 AWS 리소스를 수십 또는 수백 개까지 검토해야 할 수도 있습니다. 이제 간단한 UI에서 세 가지 유형의 스캔을 실행하여 위임된 관리자 계정, ID 기반 및 리소스 기반 정책, AWS Organizations에 대해 신뢰할 수 있는 액세스를 활성화한 AWS 서비스를 찾을 수 있습니다.
이점
직관적인 웹 UI에서 스캔 결과를 보고 검사하고 문제를 해결할 수 있습니다.
신뢰할 수 있는 액세스 권한이 지원되는 25개 이상의 AWS 서비스를 사용하여 AWS Organizations의 모든 AWS 계정에서 작업을 수행할 수 있습니다.
웹 UI를 통해 리소스 기반 정책, 위임된 관리자 계정, 신뢰할 수 있는 액세스를 스캔할 수 있습니다.
기술 세부 정보
구현 가이드 및 함께 제공되는 AWS CloudFormation 템플릿을 사용하여 이 아키텍처를 자동으로 배포할 수 있습니다.
1단계
사용자는 웹 UI를 사용하여 허브 계정에 로그인하고 Amazon Cognito 사용자 풀이 각 사용자를 인증합니다. Amazon CloudFront가 Amazon Simple Storage Service(S3) 버킷에서 웹 UI 콘텐츠를 제공합니다.
2단계
S3 버킷에서 웹 UI가 호스팅됩니다.
3단계
스캔을 시작하면 웹 UI가 Amazon Cognito로부터 토큰을 받아 Amazon API Gateway로 요청을 보냅니다. AWS WAF가 공격으로부터 애플리케이션 프로그래밍 인터페이스(API)를 보호합니다.
이 솔루션은 구성 가능한 사용자 정의 웹 보안 규칙 및 조건에 따라 웹 요청을 허용 또는 차단하거나 웹 요청의 개수를 세는 웹 액세스 제어 목록(ACL)이라는 일련의 규칙을 구성합니다.
참고: 각 스캔 유형에 대해 3~6단계가 반복됩니다.
4단계
API Gateway가 솔루션의 API 계층을 제공합니다.
참고: 각 스캔 유형에 대해 3~6단계가 반복됩니다.
5단계
Amazon Cognito가 API 요청의 헤더에 있는 토큰을 인증합니다.
참고: 각 스캔 유형에 대해 3~6단계가 반복됩니다.
6단계
AWS Lambda가 마이크로 서비스를 제공하고 API 요청을 각 마이크로 서비스로 라우팅합니다. 작업 관리 마이크로 서비스가 웹 UI에서 사용자가 시작한 각 스캔 작업의 생성, 삭제 및 기록을 처리합니다.
참고: 각 스캔 유형에 대해 3~6단계가 반복됩니다.
위임된 관리자 계정 스캔
7단계
위임된 관리자 계정 스캔 마이크로 서비스가 활성화된 모든 AWS 서비스에 대한 위임된 관리자 계정 정보를 찾아 Amazon DynamoDB 테이블에 저장합니다. 이러한 계정은 조직 내 다른 구성원 계정에 대한 AWS 계정 관리 API 작업을 호출할 수 있습니다.
위임된 관리자 계정 스캔
8단계
이 마이크로 서비스는 Organizations 관리 계정에서 정보를 가져옵니다.
신뢰할 수 있는 액세스 스캔
9단계
신뢰할 수 있는 스캔 마이크로 서비스는 신뢰할 수 있는 액세스 권한이 있는 AWS Organizations에서 서비스를 찾아 저장하므로 서비스가 사용자를 대신하여 조직 및 해당 계정에서 작업을 수행할 수 있습니다. 이 마이크로 서비스는 서비스 주체를 DynamoDB 테이블에 저장합니다.
신뢰할 수 있는 액세스 스캔
10단계
이 마이크로 서비스는 AWS Organizations 관리 계정에서 정보를 가져옵니다.
리소스 기반 정책 스캔
11단계
리소스 기반 정책 스캔 마이크로 서비스는 Lambda 함수를 사용하여 비동기식 작업을 시작하고 AWS Step Functions를 간접적으로 호출합니다.
리소스 기반 정책 스캔
12단계
Step Functions 상태 머신은 여러 계정과 AWS 리전을 동시에 스캔하여 리소스 세부 정보를 찾아 DynamoDB 테이블에서 저장합니다. 이 마이크로 서비스는 조직 내 계정 전체에서 최대 25개의 AWS 서비스를 스캔하고 리소스 종속성을 식별할 수 있습니다.
리소스 기반 정책 스캔
13단계
매 회 상태 머신에서 반복이 일어날 때마다 Lambda 함수를 간접적으로 호출하여 각 스포크 계정에서 역할을 수임합니다. 이 마이크로 서비스는 조직 ID 또는 조직 단위 ID를 포함하고 있을 수 있는 정책의 조건을 확인합니다.
1단계
사용자는 웹 UI를 사용하여 허브 계정에 로그인하고 Amazon Cognito 사용자 풀이 각 사용자를 인증합니다. Amazon CloudFront가 Amazon Simple Storage Service(S3) 버킷에서 웹 UI 콘텐츠를 제공합니다.
2단계
S3 버킷에서 웹 UI가 호스팅됩니다.
3단계
스캔을 시작하면 웹 UI가 Amazon Cognito로부터 토큰을 받아 Amazon API Gateway로 요청을 보냅니다. AWS WAF가 공격으로부터 애플리케이션 프로그래밍 인터페이스(API)를 보호합니다.
이 솔루션은 구성 가능한 사용자 정의 웹 보안 규칙 및 조건에 따라 웹 요청을 허용 또는 차단하거나 웹 요청의 개수를 세는 웹 액세스 제어 목록(ACL)이라는 일련의 규칙을 구성합니다.
참고: 각 스캔 유형에 대해 3~6단계가 반복됩니다.
4단계
API Gateway가 솔루션의 API 계층을 제공합니다.
참고: 각 스캔 유형에 대해 3~6단계가 반복됩니다.
5단계
Amazon Cognito가 API 요청의 헤더에 있는 토큰을 인증합니다.
참고: 각 스캔 유형에 대해 3~6단계가 반복됩니다.
6단계
AWS Lambda가 마이크로 서비스를 제공하고 API 요청을 각 마이크로 서비스로 라우팅합니다. 작업 관리 마이크로 서비스가 웹 UI에서 사용자가 시작한 각 스캔 작업의 생성, 삭제 및 기록을 처리합니다.
참고: 각 스캔 유형에 대해 3~6단계가 반복됩니다.
위임된 관리자 계정 스캔
7단계
위임된 관리자 계정 스캔 마이크로 서비스가 활성화된 모든 AWS 서비스에 대한 위임된 관리자 계정 정보를 찾아 Amazon DynamoDB 테이블에 저장합니다. 이러한 계정은 조직 내 다른 구성원 계정에 대한 AWS 계정 관리 API 작업을 호출할 수 있습니다.
위임된 관리자 계정 스캔
8단계
이 마이크로 서비스는 Organizations 관리 계정에서 정보를 가져옵니다.
신뢰할 수 있는 액세스 스캔
9단계
신뢰할 수 있는 스캔 마이크로 서비스는 신뢰할 수 있는 액세스 권한이 있는 AWS Organizations에서 서비스를 찾아 저장하므로 서비스가 사용자를 대신하여 조직 및 해당 계정에서 작업을 수행할 수 있습니다. 이 마이크로 서비스는 서비스 주체를 DynamoDB 테이블에 저장합니다.
신뢰할 수 있는 액세스 스캔
10단계
이 마이크로 서비스는 AWS Organizations 관리 계정에서 정보를 가져옵니다.
리소스 기반 정책 스캔
11단계
리소스 기반 정책 스캔 마이크로 서비스는 Lambda 함수를 사용하여 비동기식 작업을 시작하고 AWS Step Functions를 간접적으로 호출합니다.
리소스 기반 정책 스캔
12단계
Step Functions 상태 머신은 여러 계정과 AWS 리전을 동시에 스캔하여 리소스 세부 정보를 찾아 DynamoDB 테이블에서 저장합니다. 이 마이크로 서비스는 조직 내 계정 전체에서 최대 25개의 AWS 서비스를 스캔하고 리소스 종속성을 식별할 수 있습니다.
리소스 기반 정책 스캔
13단계
매 회 상태 머신에서 반복이 일어날 때마다 Lambda 함수를 간접적으로 호출하여 각 스포크 계정에서 역할을 수임합니다. 이 마이크로 서비스는 조직 ID 또는 조직 단위 ID를 포함하고 있을 수 있는 정책의 조건을 확인합니다.