기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 관리 계정의 모범 사례
<a name="orgs_best-practices_mgmt-acct"></a>

 AWS Organizations의 관리 계정을 안전하게 보호하려면 다음 권장 사항을 따르는 것이 좋습니다. 이러한 권장 사항에서는 [루트 사용자가 실제로 필요한 작업에만 루트 사용자를 사용하는 모범 사례 또한 준수한다고](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html) 가정합니다.

**Topics**
+ [관리 계정에 액세스할 수 있는 사용자 제한](#bp_mgmt-acct_limit-access)
+ [액세스 권한이 있는 사람에 대한 검토 및 추적](#bp_mgmt-acct_review-access)
+ [관리 계정이 ***필요***한 작업에 대해서만 관리 계정 사용](#bp_mgmt-acct_use-mgmt)
+ [조직의 관리 계정에 워크로드를 배포하지 않기](#bp_mgmt-acct_avoid-deploying)
+ [탈중앙화를 위해 관리 계정 외부에 책임 위임하기](#bp_mgmt-acct_)

## 관리 계정에 액세스할 수 있는 사용자 제한
<a name="bp_mgmt-acct_limit-access"></a>

관리 계정은 계정 관리, 정책, 다른 AWS 서비스와의 통합, 통합 결제 등과 같은 언급된 모든 관리 작업의 핵심입니다. 따라서 조직을 변경할 권한이 필요한 관리자만 관리 계정에 액세스할 수 있도록 제한하십시오.

## 액세스 권한이 있는 사람에 대한 검토 및 추적
<a name="bp_mgmt-acct_review-access"></a>

관리 계정에 대한 액세스 권한이 관리되고 있는지 확인하기 위해 해당 계정에 연결된 이메일 주소, 암호, MFA 및 전화번호에 액세스할 수 있는 회사 직원을 정기적으로 검토합니다. 기존의 회사 절차에 맞게 검토를 수행합니다. 적절한 사람만 액세스할 수 있도록 이 정보에 대한 월별 또는 분기별 검토를 추가합니다. 루트 사용자 자격 증명에 대한 액세스를 복구하거나 재설정하는 프로세스가 특정 개인에 의존하여 완료되지 않도록 합니다. 모든 프로세스는 당사자가 없을 가능성을 고려해야 합니다.

## 관리 계정이 ***필요***한 작업에 대해서만 관리 계정 사용
<a name="bp_mgmt-acct_use-mgmt"></a>

관리 계정과 그 사용자 및 역할은 해당 계정으로 수행해야 하는 작업에 대해서만 사용하는 것이 좋습니다. 모든 AWS 리소스를 AWS 계정 조직의 다른에 저장하고 관리 계정에서 제외합니다. 리소스를 다른 계정에 보관하는 것이 중요한 한 가지 이유는 Organizations 서비스 제어 정책(SCP)의 작동상 관리 계정의 사용자 또는 역할을 제한하지 않기 때문입니다. 관리 계정에서 리소스를 분리하면 인보이스의 요금을 파악하는 데도 도움이 됩니다.

관리 계정에서 호출해야 하는 작업 목록은 [조직의 관리 계정에서만 호출할 수 있는 작업](https://docs.aws.amazon.com/organizations/latest/APIReference/action-reference.html#actions-management-account)을 참조하세요.

## 조직의 관리 계정에 워크로드를 배포하지 않기
<a name="bp_mgmt-acct_avoid-deploying"></a>

권한 있는 작업은 조직의 관리 계정 내에서 수행할 수 있으며 SCP는 관리 계정에는 적용되지 않습니다. 그러므로 관리 계정에 포함된 클라우드 리소스와 데이터는 관리 계정에서 관리해야 하는 항목으로만 제한해야 합니다.

## 탈중앙화를 위해 관리 계정 외부에 책임 위임하기
<a name="bp_mgmt-acct_"></a>

가능하면 관리 계정 외부에 책임과 서비스를 위임하는 것이 좋습니다. 관리 계정에 액세스하지 않고도 조직의 요구 사항을 관리할 수 있도록 팀에 자체 계정 권한을 부여합니다. 또한 조직 전체의 소프트웨어 AWS Service Catalog 공유 또는 스택 작성 및 배포를 위한 CloudFormation StackSets와 같이이 기능을 지원하는 서비스에 여러 위임된 관리자를 등록할 수 있습니다.

자세한 내용은 [보안 참조 아키텍처](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/security-tooling.html), [여러 계정을 사용하여 AWS 환경 구성](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) 및 멤버 계정을 다양한 AWS 서비스의 위임된 관리자로 등록하는 방법에 대한 [AWS 서비스 와 함께 사용할 수 있는 AWS Organizations](orgs_integrate_services_list.md) 제안을 참조하세요.

위임된 관리자 설정에 대한 자세한 내용은 [AWS Account Management에 대해 위임된 관리자 계정 활성화](https://docs.aws.amazon.com/accounts/latest/reference/using-orgs-delegated-admin.html) 및 [에 대한 위임된 관리자 AWS Organizations](orgs_delegate_policies.md)을(를) 참조하십시오.