devops

AWS Control Tower 4.0: Landing Zones에 대한 새로운 시각

발행: (2025년 12월 24일 오전 03:02 GMT+9)
13 min read
원문: Dev.to

Source: Dev.to

위에 제공된 소스 링크 외에 번역할 텍스트가 포함되어 있지 않습니다. 번역을 원하는 본문을 제공해 주시면 한국어로 번역해 드리겠습니다.

개요

AWS Control Tower는 오랫동안 AWS 모범 사례에 기반한 거버넌스를 구현하기 위한 대표 솔루션이었지만, SRE 및 플랫폼 엔지니어 사이에서는 논란이 되기도 했습니다. Landing Zone 4.0이 출시되면서 Control Tower는 한 단계 진화하여 계정 및 조직 단위(OU)를 관리하는 데 더 큰 유연성을 제공합니다. 이를 통해 그린필드와 브라운필드 배포 모두가 더 쉽게 도입·운영될 수 있습니다. 전반적으로 AWS Control Tower에 긍정적인 발전이지만, 여전히 몇 가지 과제와 개선이 필요한 영역이 남아 있습니다.

Note: 이 블로그 포스트는 4.0 릴리스의 구체적인 내용보다는 AWS Control Tower가 나아가고 있는 방향에 초점을 맞추고 있습니다.

배경 및 동기

  • 이상적으로는 3.34.0 모두가 새로운 배포를 위해 더 긴 겹치는 기간 동안 제공되었어야 합니다.
  • AWS Control Tower는 API를 통한 배포를 지원하는 것을 목표로 하지만, 이번 롤아웃을 통해 보다 체계적인 릴리스 프로세스가 아직 완전히 마련되지 않았음이 드러났으며, 이는 많은 사용자들을 놀라게 했습니다.

Control Tower 4.0의 주요 개선 사항

1. AWS Organizations 중심 모델로 전환

  • 4.0 이전:

    • Control Tower는 배포 시 보안 OU 이름을 지정하도록 요구했습니다.
    • Control Tower는 해당 OU를 생성하고 그 안의 모든 계정을 관리했습니다.

  • 현재 (4.0):

    • Control Tower에서 기존 OU를 직접 활용할 수 있습니다.
    • 조직은 OU 구조에 대한 제어권을 유지하고, 기존 계층 구조를 통합하며, 명명 규칙 및 내부 거버넌스 관행을 유지할 수 있습니다.

왜 중요한가:

  • 이미 다중 계정 모범 사례가 존재하는 brownfield 배포에 특히 유리합니다.
  • 기존 OU와 계정을 전통적인 Control Tower 매니페스트 및 Account Factory 모델을 재구성하지 않고도 원활하게 통합할 수 있습니다.

2. 자동 등록 기능

  • 기능 설명:

    • 계정이 Control Tower에 등록된 OU(Control Tower Baseline 사용)로 이동하면 자동으로 등록되고 필요한 리소스가 프로비저닝됩니다.

  • 이점:

    • 가드레일 적용을 위한 수동 워크플로우나 일회성 프로세스를 없앱니다.
    • 기본 보안, 로깅 및 규정 준수 제어가 첫날부터 적용되어 구성 드리프트를 감소시킵니다.
    • 환경이 성장함에 따라(새 계정, 인수합병) 거버넌스가 간소화됩니다.

  • 사용 방법:

    1. AWS 계정을 Control Tower에 등록된 OU로 이동 → 자동 등록됩니다.
    2. 등록 해제하려면, 계정을 Control Tower에 등록되지 않은 OU로 이동합니다.

참고: 자동 등록은 Landing Zone 3.3에서도 제공됩니다. 사용을 위해 4.0으로 업그레이드할 필요가 없으며, Control Tower 설정에서 활성화하기만 하면 됩니다.

경고: 자동 등록은 비동기 프로세스입니다. 웹 콘솔에서 계정을 이동할 때, Control Tower가 등록/해제 처리를 할 시간을 주세요. 아직 완벽하지는 않지만 개선되고 있으니 인내심을 가지고 기다리세요.

3. Account Factory 의존도 감소

  • 자동 등록 및 전체 OU를 등록/재등록할 수 있게 되면서, Control Tower는 모든 AWS 계정을 Account Factory를 통해 프로비저닝할 필요가 없어졌습니다.
  • 이는 각 계정에 대한 Service Catalog 제품 관리를 없애고 워크플로우를 간소화합니다.

참고: AWS Config는 여전히 Control Tower에서 생성해야 합니다. 계정을 Control Tower로 이동할 경우, 이미 Config가 설정되어 있지 않은지 확인하세요.

4. AWS Organizations 를 통한 보다 자연스러운 워크플로우

단계설명
1️⃣AWS Organizations에서 계정을 네이티브하게 생성합니다.
2️⃣계정을 Control Tower의 적절한 등록된 OU로 이동합니다.
3️⃣계정이 자동으로 등록되고, Control Tower 가드레일 및 베이스라인에 따라 리소스가 프로비저닝됩니다.

참고: 자동화 팀은 OU를 등록/재등록할 때 Service Catalog 포트폴리오 접근을 여전히 고려해야 합니다. Account Factory를 사용하지 않더라도, Control Tower는 IAM 역할/사용자에 대한 권한 검사를 수행하여 Service Catalog 포트폴리오 접근을 검증합니다.

  • 이 접근 방식은 CloudFormation StackSets, EventBridge 규칙 및 AWS Organizations와 연계된 기타 서비스를 활용하여 여러 계정에 걸친 리소스를 배포·관리할 수 있게 하며, 다중 계정 설정을 보다 원활하고 수동 작업을 줄여줍니다.

설정 프로세스 변경 사항

  1. 조직 리소스 사전 배치가 이제 배포 전에 필요합니다.
  2. 로깅 아키텍처가 변경되었습니다:
    • Landing Zone 4.0은 로그 아카이브 계정에서 두 개의 별도 버킷을 사용합니다—하나는 CloudTrail, 다른 하나는 AWS Config용입니다.
    • 이전 버전(3.3 이하)은 단일 버킷을 사용했습니다.
    • 고객은 로그를 참조하는 모든 도구 또는 파이프라인을 이 분할을 반영하도록 업데이트해야 합니다.
    • 원래 버킷은 계속해서 CloudTrail에 사용됩니다.

최종 생각

이러한 개선 사항은 계정 자동 제공을 향한 운영 철학의 지속적인 전환을 나타냅니다. 자동 등록 및 OU 등록을 수용함으로써 Control Tower는 유연성을 높이고 Service Catalog와 Account Factory에 대한 의존도를 낮춥니다.

변경 사항이 많은 이점을 제공하는 동시에 새로운 고려 사항(리소스 사전 배치, 로그 버킷 분할, 권한 검사)을 도입합니다. 이러한 사항을 이해하고 계획하면 AWS Control Tower 4.0 및 향후 릴리스를 최대한 활용할 수 있습니다.

Upgrade Overview

Control Tower 3.3에서 4.0으로 업그레이드하는 것은 아래에 나열된 모든 변경 사항을 고려한다면 일반적으로 원활합니다. 여러 비동기 작업이 완료되어야 하므로 프로비저닝 및 등록 작업에서 잠재적인 지연을 계획하십시오.

Source:

주요 변경 사항

  • IAM 역할 업데이트

    • AWSControlTowerCloudTrailRole이 인라인 정책 대신 AWS 관리형 정책을 사용하도록 변경되었습니다.
    • 권한이 동일하더라도 관리형 정책이 연결되지 않으면 역할이 실패합니다.

  • 매니페스트 구조

    • Control Tower가 새로운 데이터 구조를 매니페스트 파일에 도입했습니다.
    • 매니페스트는 이제 선택 사항입니다.
    • API를 사용해 업데이트할 때는 매니페스트를 검토하고 기존 구성을 새로운 구조에 맞게 재매핑해야 합니다.

  • 로깅 변경 사항

    • 로깅이 매니페스트에서 두 개의 별도 객체로 분리되었습니다.
    • CloudTrail은 업그레이드 중에도 log‑archive 계정에 기존 버킷을 유지합니다.
    • AWS Configlog‑archive 계정새로운 별도 버킷을 받습니다.

  • 조직 단위(OU) 가정

    • 이제 Security OU 이름을 지정해서 생성하지 않습니다.
    • log‑archiveaudit 계정이 같은 OU에 존재한다고 가정합니다.

  • AWS Config Aggregator

    • Aggregator는 AWS Organizations에 대한 **신뢰 위임(trusted delegation)**을 사용해 설정됩니다.

  • 베이스라인 버전 관리

    • 업그레이드 후 많은 베이스라인이 버전 4.0에서 5.0으로 이동합니다. 이는 혼란을 줄 수 있습니다.
    • 필요에 따라 베이스라인을 업데이트해야 할 수 있습니다.

  • API 기반 업그레이드

    • 업그레이드 프로세스가 Control Tower API를 통해 완전히 지원되어, 업그레이드, 등록 및 프로비저닝 작업을 프로그래밍 방식으로 조정할 때 복잡성을 줄이고 시간을 절약할 수 있습니다.
    • API를 사용할 경우 매니페스트를 검토하고 새로운 구조에 맞게 재매핑하는 것을 잊지 마세요.

Source:

Control Tower 4.0의 장점

  • 조직 단위(OU) 및 계정 구조에 대한 더 큰 유연성.
  • Brownfield 배포에 대한 쉬운 통합.
  • AWS Organizations 기본 기능과 향상된 정렬.
  • 다음을 통한 운영 및 보안 자동화 강화:
    • StackSets
    • EventBridge
    • Controls Catalog
    • 기타 조직 대상 서비스

오해하지 마세요—배포 과정에서 몇 가지 문제와 아직 해결해야 할 작은 난관이 있었지만, 전반적으로 Control Tower 4.0은 올바른 방향으로 나아가고 있습니다.

추가 자료

  • 변경 사항에 대한 자세한 내용은 **여기**에서 확인할 수 있습니다. (실제 링크로 #를 교체하세요.)
Back to Blog

관련 글

더 보기 »