AWS Control Tower Enable 하기(2)

🕰️ 작성일 : 2024.06.19

Management 계정 :
- Cloudtrail :
  - org cloudtrail 및 상응하는 cloudwatch log group 이 management 계정에 생성됨 활용성을 위해 cloudtrail 을 audit 계정에 delegate 하여 구성해도 되는지?
    - 원칙적으로 Audit 계정은 제한된 용도로만 사용할 것을 권고합니다.The audit account should be restricted to security and compliance teams with auditor (read-only) and administrator (full-access) cross-account roles to all accounts in the landing zone.
    - 다만, 현실에서는 Audit용도를 다른 용도로 사용하는 케이스도 많이 있긴 합니다. 삼성생명의 경우도 Audit계정을 Master계정 성격으로 사용하고 있긴 합니다.
    - Organization Trail을 Audit계정의 CloudWatch Logs로 보내기 위해서는, Console에서는 작업이 불가능하고, AWS CLI (aws cloudtrail create-trail —name 'trail name' —s3-bucket-name 's3 bucket name' —is-multi-region-trail —is-organization-trail —cloud-watch-logs-log-group-arn 'log group arn' —cloud-watch-logs-role-arn 'role arn')를 통해서는 가능합니다.
    - (번외) Drift 감지 및 해결, 알람설정 방법 등: https://docs.aws.amazon.com/ko_kr/controltower/latest/userguide/drift.html
  - 기존 계정의 cloudtrail 에 대해 landing zone 에 포함되지 않은 계정에 대한 org cloudtrail logging 이 opt out 되는지
    - Control Tower에 속하지 않은 계정의 Event에 대해서는 기록되지 않음. 아래는 Control Tower에 속하지 않은 계정으로 EC2를 생성 한 직후 CloudTrail을 CT-MGT 계정에서 이벤트 확인 결과
  - 기존계정 enroll 24시간 이후 기존 trail 정리되지 않음
    - [미팅 중 내용 확인]
Config :
- aws-controltower-ConfigAggregatorForOrganizations Aggregator 의 용도
  - Organization 내에서 Control Tower가 관리하지 않는 계정 또는 Config를 관리하기 위한 용도.
  - 관련 링크 : https://repost.aws/ko/questions/QU-sDOJjcrRDyCh7rS-VLFlQ/aws-control-tower-3-0-creates-two-config-aggregators-why
  - Aggregator는 Individual accounts aggregator와 Organization aggregator가 있는데, 문의주신 것은 Organization aggregator입니다. Orgnization서비스와 통합되어 있습니다.
Log Archive 계정 :
- S3 Buckets :
  - ‘aws-controltower-logs-*‘ cloudformation의 MoveToGlacier 파라메터 변경해서 재배포해도 되는지 or 직접 RetentionRule 추가해도 되는지
    - RetionRule을 ControlTower 설정에도 업데이트 할 수 있음. Control Tower 셋업시 별도로 설정하지 않으면 아래와 같이 logging은 1년, Access logging은 10년으로 설정됨.
    - Mandatory Control중에 [AWS-GR_CT_AUDIT_BUCKET_LIFECYCLE_CONFIGURATION_CHANGES_PROHIBITED] Disallow changes to lifecycle configuration for AWS Control Tower created Amazon S3 buckets in log archive 항목으로 인하여, lifecycle 변경은 금지되어 있음.
    - AWSControlTowerExecution Role로는 lifecycle변경이 가능하므로, Management계정의 root에서 Logging계정의 AWSControlTowerExecution Role로 Switching하여 작업은 가능
    - 다만, Intelligent-Tiering Archive configurations는 일반적으로 설정 가능함.
  - aws-controltower-s3-access-logs- 삭제해도 되는지*
    - 답변 : AWS는 Security BP 보장을 위해 해당 로그를 생성함. 만약 삭제할 경우 고객이 다른 Access를 탐지하고 차단하는 정책을 세워야 함.
    - 관련 링크 : https://repost.aws/ko/questions/QUeaj_e99ATqSpl7qxrVV8Bw/why-does-aws-control-tower-enable-access-logging-on-the-access-logging-bucket
    - 이 Bucket 역시 Mandatory SCP인 [AWS-GR_AUDIT_BUCKET_DELETION_PROHIBITED] Disallow deletion of log archive로 삭제가 Deny되어 있음. 다만, AWSControlTowerExecution으로 삭제가 가능하긴 함.
    - 만약, 삭제를 원한다면. aws-controltower-logs-[AccountID]-[region] 버킷의 서버 액세스 로깅이 자동으로 aws-controltower-s3-access-logs-*로 쌓이게끔 설정되어 있으므로, 이것부터 비활성화시키고 삭제해야 함. 다만, 이 작업 또한 AWSControlTowerExecution으로만 가능함.
Audit 계정 :
- Config :
  - aws-controltower-GuardrailsComplianceAggregator 의 Authentication 설정에 대해 :
    - landing zone 에 포함된 다른 계정에 대한 aggregation fail 이유
      - 답변 : 다른 계정의 Account의 Config를 가져오기 위해서는 별도의 Authorization 작업이 필요함.
      - REGION Deny가 구성되어있는지 확인. 되도록 Region Deny를 사용하지 않는것으로 가이드.
      - 관련 링크 : https://repost.aws/knowledge-center/config-aggregator-accounts
    - 해당 aggregator 를 org aggregator 로 전환 가능한지
      - aws-controltower-GuardrailsComplianceAggregator 삭제 가능은 하나 (이것도 AWSControlTowerExecution으로만...), Org Aggregator의 이름도 동일하게 지어야함. 그렇지 않으면 ControlTower에서 Drift발생하여 강제원복됨.
- SNS Topic :
  - aws-controltower-AllConfigNotifications 삭제하여도 되는지
    - 답변 : 불가함, CloudTrail Log Delivery에 대한 Notification을 전달받으며, Trail 구성 상 SNS 토픽이 Subscription 되어야 함.
    - 참고자료 : https://docs.aws.amazon.com/ko_kr/controltower/latest/controlreference/receive-notifications.html
    - 만약, 삭제를 원한다면. aws-controltower-logs-[AccountID]-[region] 버킷의 서버 액세스 로깅이 자동으로 aws-controltower-s3-access-logs-*로 쌓이게끔 설정되어 있으므로, 이것부터 비활성화시키고 삭제해야 함. 다만, 이 작업 또한 AWSControlTowerExecution으로만 가능함.