# SEC01-BP02 AWS 계정 보안
<a name="sec_securely_operate_aws_account"></a>

AWS 계정을 보호하는 데는 [루트 사용자](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)를 사용하지 않고 보안을 확보하는 등 여러 가지 측면이 있습니다. 전용 인프라에서 [AWS Organizations](https://aws.amazon.com/organizations/) 를 사용하면 AWS에서 워크로드가 증가하고 이를 확장함에 따라 계정을 중앙에서 관리할 수 있습니다. AWS Organizations는 계정을 관리하고 제어를 설정하며 여러 계정에 걸쳐 서비스를 구성하는 데 도움을 줍니다. 

 **이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 높음

## 구현 가이드
<a name="implementation-guidance"></a>
+  AWS Organizations 사용: AWS Organizations를 사용하여 여러 AWS 계정을 정책 기반으로 관리하는 방식을 중앙 집중식으로 적용합니다. 
  +  [AWS Organizations 시작하기](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started.html) 
  +  [AWS Organization의 여러 계정에서 서비스 제어 정책을 사용해 권한 가드레일을 설정하는 방법 ](https://aws.amazon.com/blogs/security/how-to-use-service-control-policies-to-set-permission-guardrails-across-accounts-in-your-aws-organization/)
+  AWS 루트 사용자의 사용 제한: 루트 사용자가 꼭 필요한 태스크를 수행할 때만 루트 사용자를 사용합니다. 
  + [AWS 계정 루트 사용자 보안 인증 정보가 필요한 AWS 작업 ](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)
+  루트 사용자에 다중 인증(MFA) 사용: AWS Organizations가 루트 사용자를 관리하지 않는 경우 AWS 계정 루트 사용자에 MFA를 사용합니다. 
  +  [루트 사용자 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa)
+  주기적으로 루트 사용자 암호 변경: 루트 사용자 암호를 변경하면 저장된 암호가 사용될 위험이 줄어듭니다. AWS Organizations를 사용하지 않고 누구나 물리적으로 액세스할 수 있는 경우 이는 특히 중요합니다. 
  + [AWS 계정 루트 사용자 암호 변경 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html)
+  AWS 계정 루트 사용자를 사용할 때 알림 사용: 알림을 자동으로 받으면 위험이 줄어듭니다. 
  + [AWS 계정의 루트 액세스 키가 사용될 때 알림을 받는 방법 ](https://aws.amazon.com/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/)
+  새로 추가된 리전에 액세스 제한: 새 AWS 리전의 경우 사용자 및 역할과 같은 IAM 리소스는 활성화된 리전으로만 전파됩니다. 
  + [ 이후에 사용할 AWS 리전에 계정을 활성화하는 권한 설정 ](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/)
+  AWS CloudFormation StackSets 고려: CloudFormation StackSets를 사용하여 IAM 정책, 역할 및 그룹을 포함한 리소스를 승인된 템플릿에서 다양한 AWS 계정과 리전에 배포할 수 있습니다. 
  + [ CloudFormation StackSets 사용 ](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/)

## 리소스
<a name="resources"></a>

 **관련 문서:** 
+ [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS 보안 감사 지침 ](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
+ [ IAM 모범 사례 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+  [보안 공지 ](https://aws.amazon.com/security/security-bulletins/)

 **관련 동영상:** 
+ [ 자동화 및 거버넌스를 통해 대규모 AWS 도입 지원 ](https://youtu.be/GUMSgdB-l6s)
+ [ Well-Architected 방식의 보안 모범 사례 ](https://youtu.be/u6BCVkXkPnM)

 **관련 예시:** 
+ [ 실습: AWS 계정 및 루트 사용자 ](https://youtu.be/u6BCVkXkPnM)