계정 팩토리로 계정 제공 및 관리 - AWS Control Tower

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

계정 팩토리로 계정 제공 및 관리

이 장에서는 AWS Control Tower 랜딩 존에서 새 계정을 프로비저닝하는 방법에 대한 개요와 절차를 설명합니다. AWS Control Tower에서는 다음 3가지 방법으로 멤버 계정을 생성할 수 있습니다.

  • AWS Service Catalog의 일부인 Account Factory 콘솔 사용

  • AWS Control Tower에서 계정 등록 기능 사용

  • AWS Control Tower 랜딩 영역의 마스터 계정에서 Lambda 코드와 적절한 IAM 역할 사용

계정을 프로비저닝하는 표준 방법은 AWS Service Catalog의 일부인 콘솔 기반의 제품 Account Factory를 사용하는 것입니다. 랜딩 영역이 드리프트 상태가 아닌 경우 계정 등록을 사용할 수 있습니다. 또한 일부 고객은 IAM 역할 및 Lambda 함수를 사용하여 프로그래밍 방식으로 새 계정을 구성하는 것을 선호할 수 있습니다.

프로비저닝 담당자는 적절한 사용자 그룹 권한을 사용하여 조직의 모든 계정에 대해 표준화된 기준 및 네트워크 구성을 지정할 수 있습니다.

계정 구성 및 프로비저닝을 위한 권한

AWS Control Tower Account Factory를 사용하면 클라우드 관리자와 AWS Single Sign-On 최종 사용자가 랜딩 존에서 계정을 프로비저닝할 수 있습니다. 기본적으로 계정을 프로비저닝하는 AWS SSO 사용자가 AWSAccountFactory 그룹 또는 마스터 그룹에 있어야 합니다.

참고

조직에서 충분한 권한이 있는 계정을 사용할 때와 마찬가지로 마스터 계정에서 작업할 때는 주의해야 합니다.

AWS Control Tower 마스터 계정은 AWSControlTowerExecution 역할과 신뢰 관계가 있으며, 이를 통해 일부 자동 계정 설정을 포함하여 마스터 계정에서 계정을 설정할 수 있습니다. AWSControlTowerExecution 역할에 대한 자세한 내용은 AWS Control Tower가 역할을 사용하여 계정을 생성 및 관리하는 방식 단원을 참조하십시오.

기존 AWS 계정을 AWS Control Tower에 등록하려면 해당 계정에 AWSControlTowerExecution 역할이 활성화되어 있어야 합니다. 기존 계정을 등록하는 방법에 대한 자세한 내용은 기존 AWS 계정 등록 단원을 참조하십시오.

IAM 역할을 사용한 자동화된 계정 프로비저닝

보다 자동화된 방식으로 Account Factory 계정을 구성하려면 AWS Control Tower 마스터 계정에서 Lambda 함수를 만들면 됩니다. 이 함수는 멤버 계정에서 AWSControlTowerExecution 역할을 맡습니다. 그런 다음 마스터 계정은 역할을 사용하여 각 멤버 계정에서 원하는 구성 단계를 수행합니다.

Lambda 함수를 사용하여 계정을 프로비저닝하는 경우 이 작업을 수행할 자격 증명에는 AWSServiceCatalogEndUserFullAccess 외에도 다음 IAM 권한 정책이 있어야 합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSControlTowerAccountFactoryAccess", "Effect": "Allow", "Action": [ "sso:GetProfile", "sso:CreateProfile", "sso:UpdateProfile", "sso:AssociateProfile", "sso:CreateApplicationInstance", "sso:GetSSOStatus", "sso:GetTrust", "sso:CreateTrust", "sso:UpdateTrust", "sso:GetPeregrineStatus", "sso:GetApplicationInstance", "sso:ListDirectoryAssociations", "sso:ListPermissionSets", "sso:GetPermissionSet", "sso:ProvisionApplicationInstanceForAWSAccount", "sso:ProvisionApplicationProfileForAWSAccountInstance", "sso:ProvisionSAMLProvider", "sso:ListProfileAssociations", "sso-directory:ListMembersInGroup", "sso-directory:AddMemberToGroup", "sso-directory:SearchGroups", "sso-directory:SearchGroupsWithGroupName", "sso-directory:SearchUsers", "sso-directory:CreateUser", "sso-directory:DescribeGroups", "sso-directory:DescribeDirectory", "sso-directory:GetUserPoolInfo", "controltower:CreateManagedAccount", "controltower:DescribeManagedAccount", "controltower:DeregisterManagedAccount", "s3:GetObject", "organizations:describeOrganization", "sso:DescribeRegisteredRegions" ], "Resource": "*" } ] }

개별 계정 생성 또는 등록

랜딩 영역에서 새 계정을 프로비저닝하고 AWS Control Tower를 통해 관리되도록 기존 AWS 계정을 등록하는 경우 AWS Control Tower에서 계정 등록 기능을 사용할 수 있습니다.

계정 등록 이 기능은 랜딩 존이 드리프트. 이 기능을 표시하려면 다음과 같이 하십시오.

  • AWS Control Tower의 Account Factory 페이지로 이동합니다.

  • 페이지 상단에서 Enroll account(계정 등록) 항목을 선택합니다.

  • Create account(계정 생성) 섹션이 표시되면 account email(계정 이메일), account name(계정 이름), SSO user name(SSO 사용자 이름), organizational unit(조직 단위)을 포함한 필수 필드를 작성할 수 있습니다.

  • 정보를 입력했으면 Enroll account(계정 등록)를 선택합니다.

계정 등록 프로세스가 성공적으로 제출되었음을 확인하는 플래시바가 표시됩니다. 오류가 발생한 경우 AWS Control Tower에서 해결을 요청할 수 있습니다. 계정 프로비저닝 프로세스는 몇 분 정도 걸릴 수 있습니다.

참고

기존 AWS 계정을 등록하는 경우 기존 이메일 주소를 올바르게 입력해야 합니다. 그렇지 않으면 새 계정이 생성됩니다.

특정 오류가 발생하면 페이지를 새로 고치고 다시 시도해야 할 수 있습니다. 랜딩 영역이 드리프트 상태인 경우 계정 등록 기능을 사용하지 못할 수 있습니다. 랜딩 영역 드리프트가 해결될 때까지 AWS Service Catalog를 통해 새 계정을 프로비저닝해야 합니다.

계정을 등록할 때 AWSServiceCatalogEndUserFullAccess 정책이 활성화된 IAM 사용자로 계정에 로그인해야 하며 루트로 로그인할 수 없습니다.

등록한 계정은 다른 계정을 업데이트하듯이 AWS Service Catalog 및 AWS Control Tower Account Factory를 사용하여 업데이트해야 합니다. 업데이트 절차는 AWS 서비스 카탈로그로 계정 공장 계정 업데이트 및 이동 단원에 나와 있습니다.

AWS Service Catalog를 사용한 Account Factory 계정 프로비저닝

다음 절차에서는 AWS Service Catalog를 통해 AWS SSO 최종 사용자로 계정을 프로비저닝하는 방법에 대해 설명합니다. 이 절차를 고급 계정 프로비저닝이라고도 합니다. 다음 제품을 사용하는 것이 좋습니다. 계정 등록 기능을 제공합니다.

Account Factory에서 계정을 최종 사용자로 프로비저닝하려면

  1. 사용자 포털 URL에서 로그인합니다.

  2. Your applications(사용자 애플리케이션)에서 AWS 계정을 선택합니다.

  3. 계정 목록에서 마스터 계정의 계정 ID를 선택합니다. 이 ID에는 (마스터)와 같은 레이블이 있을 수도 있습니다.

  4. AWSServiceCatalogEndUserAccess에서 Management console(관리 콘솔)을 선택합니다. 이 계정에 있는 이 사용자의 AWS Management 콘솔이 열립니다.

  5. 계정 프로비저닝에 대해 올바른 AWS 지역을 선택했는지 확인합니다. 이 경우 AWS Control Tower 홈 지역이어야 합니다.

  6. Service Catalog를 검색하고 선택하여 AWS Service Catalog 콘솔을 엽니다.

  7. 탐색 창에서 Products list(제품 목록)를 선택합니다.

  8. AWS Control Tower Account Factory를 선택한 다음 시작 버튼을 선택합니다. 선택하면 마법사가 시작되어 새 계정을 프로비저닝합니다.

  9. 정보를 입력합니다. 이때 다음 사항에 유의하십시오.

    • SSOUserEmail은 새 이메일 주소이거나 기존 AWS SSO 사용자와 관련된 이메일 주소일 수 있습니다. 어떤 주소를 선택하든 이 사용자는 프로비저닝 중인 계정에 대한 관리 액세스 권한을 갖습니다.

    • AccountEmail은 기존에 AWS 계정에 연결되지 않은 이메일 주소여야 합니다. SSOUserEmail에서 새 이메일 주소를 사용한 경우 여기에서 해당 이메일 주소를 사용할 수 있습니다.

  10. 작업을 마치면 다음을 선택하여 마법사의 검토페이지로 돌아갑니다. TagOptions 정의 및 알림은 사용하지 마십시오. 계정의 프로비저닝에 실패할 수 있습니다.

  11. 계정 설정을 검토한 다음 시작을 선택합니다. 리소스 플랜을 생성하지 마십시오. 계정의 피로비저닝에 실패할 수 있습니다.

  12. 계정이 프로비저닝 중입니다. 이 작업은 완료하는 데 몇 분 정도 걸릴 수 있습니다. 페이지를 새로 고쳐 표시된 상태 정보를 업데이트할 수 있습니다.

    참고

    한 번에 한 개의 계정만 프로비저닝할 수 있습니다.

Account Factory 계정 관리 팁

AWS Control Tower Account Factory를 통해 프로비저닝하는 계정은 업데이트할 수 있으며, 종료하거나 용도 변경할 수 있습니다. 예를 들어 계정의 이메일 주소와 사용자 파라미터를 업데이트하여 다른 워크로드 및 다른 사용자에 대한 기존 계정을 용도 변경할 수 있습니다.

Account Factory에서 판매한 계정과 연결된 프로비저닝된 제품을 업데이트할 때 새 SSO 사용자 이메일 주소를 지정하면 AWS Control Tower에서 새 SSO 사용자 계정을 생성합니다. 이전에 만든 사용자 계정은 제거되지 않습니다. AWS SSO에서 이전 SSO 사용자 이메일을 제거하려면 사용자 비활성화를 참조하십시오.

Account Factory를 사용하면 이 장의 절차에 따라 계정의 조직 단위(OU)를 변경하거나 계정 관리를 취소할 수도 있습니다. 계정 관리 취소에 대한 자세한 내용은 멤버 계정 관리 취소 단원을 참조하십시오. 특정 업데이트를 수행하려면 적절한 권한을 얻기 위해 사용자 또는 관리자가 계정에 루트 사용자로 로그인해야 합니다.

AWS 서비스 카탈로그로 계정 공장 계정 업데이트 및 이동

다음 절차에서는 Account Factory AWS Service Catalog를 통해 새 OU로 이동할 수 있습니다. 계정을 업데이트 할 수 있습니다. 계정 등록 기능 AWS Control Tower. 다음 제품을 사용하는 것이 좋습니다. 계정 등록 기능을 제공합니다.

Account Factory 계정을 업데이트하거나 해당 OU를 변경하려면

  1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/singlesignon/에서 AWS Single Sign-On 콘솔을 엽니다.

    또는 AWS Control Tower 마스터 계정.

    참고

    AWS Service Catalog에서 새 제품을 프로비저닝할 권한이 있는 사용자로 로그인해야 합니다. 예를 들어 AWSAccountFactory 또는 AWSServiceCatalogAdmins 그룹의 AWS SSO 사용자로 로그인합니다.

  2. 의 계정 공장 페이지에서 AWS Control Tower, 선택 계정 등록 을 클릭하여 AWS Service Catalog 콘솔 및 Account Factory 제품.

  3. 탐색 창에서 Provisioned products list(프로비저닝된 제품 목록)를 선택합니다.

  4. 나열된 각 계정에 대해 다음 단계를 수행하여 모든 멤버 계정을 업데이트합니다.

    1. 계정의 드롭다운 메뉴에서 Provisioned product details(프로비저닝된 제품 세부 정보)를 선택합니다.

    2. 다음 파라미터를 기록해 둡니다.

      • SSOUserEmail (프로비저닝된 제품 세부 정보에서 사용 가능)

      • AccountEmail (프로비저닝된 제품 세부 정보에서 사용 가능)

      • SSOUserFirstName (SSO에서 사용 가능)

      • SSOUSerLastName (SSO에서 사용 가능)

      • AccountName (SSO에서 사용 가능)

    3. 작업에서 업데이트를 선택합니다.

    4. 업데이트하려는 제품의 버전 옆에 있는 버튼을 선택하고 다음을 선택합니다.

    5. 앞서 언급한 파라미터 값을 제공합니다.

      • 기존 OU를 유지하려면 ManagedOrganizationalUnit에서 계정이 이미 배치되어 있던 OU를 선택합니다.

      • 계정을 새 OU로 마이그레이션하려면 ManagedOrganizationalUnit에서 계정의 새 OU를 선택합니다.

      중앙 클라우드 관리자는 이 정보를 AWS Control Tower 콘솔의 계정에서 찾을 수 있습니다.

    6. 다음을 선택합니다.

    7. 변경 사항을 검토한 다음 업데이트를 선택합니다. 이 프로세스는 계정당 몇 분 정도 걸릴 수 있습니다.

Amazon Virtual Private Cloud 설정으로 Account Factory 구성

Account Factory를 사용하면 조직의 계정에 대해 미리 승인된 기준과 구성 옵션을 만들 수 있습니다. AWS Service Catalog를 통해 새 계정을 구성 및 프로비저닝할 수 있습니다.

Account Factory 페이지에서 OU(조직 단위)의 목록 및 해당 허용 목록 상태를 볼 수 있습니다. 기본적으로 모든 OU는 허용 목록에 있으므로 계정이 해당 계정 아래 프로비저닝될 수 있습니다. AWS Service Catalog를 통한 계정 프로비저닝을 위해 특정 OU를 비활성화할 수 있습니다.

최종 사용자가 새 계정을 프로비저닝할 때 사용할 수 있는 Amazon VPC 구성 옵션을 볼 수 있습니다.

Account Factory에서 Amazon VPC 설정을 구성하려면

  1. 중앙 클라우드 관리자는 마스터 계정에서 관리자 권한으로 AWS Control Tower 콘솔에 로그인합니다.

  2. 대시보드의 왼쪽에서 Account Factory를 선택하여 Account Factory 네트워크 구성 페이지로 이동합니다. 여기에 기본 네트워크 설정이 표시됩니다. 편집하려면 편집을 선택하고 Account Factory 네트워크 구성 설정의 편집 가능한 버전을 확인합니다.

  3. 필요에 따라 기본 설정의 각 필드를 수정할 수 있습니다. 최종 사용자가 생성할 수 있는 모든 새로운 Account Factory 계정에 대해 설정하려는 VPC 구성 옵션을 선택하고 다음 설정을 필드에 입력합니다.

  • Amazon VPC에서 퍼블릭 서브넷을 생성하려면 비활성화 또는 활성화를 선택합니다. 기본적으로 인터넷 액세스가 가능한 서브넷은 허용되지 않습니다.

    참고

    새 계정을 프로비저닝할 때 퍼블릭 서브넷이 활성화되도록 Account Factory VPC 구성을 설정하면 Account Factory에서 NAT 게이트웨이를 생성하도록 Amazon VPC가 구성됩니다. 따라서 Amazon VPC에서 사용량에 대한 요금이 청구됩니다. 자세한 내용은 VPC 요금을 참조하십시오.

  • 목록에서 Amazon VPC에 있는 프라이빗 서브넷의 최대 수를 선택합니다. 기본적으로 1이 선택됩니다. 프라이빗 서브넷에 허용된 최대 수는 2입니다.

  • 계정 VPC를 생성하기 위한 IP 주소 범위를 입력합니다. 이 값은 CIDR(Classless Inter-Domain Routing) 블록 형식이어야 합니다(기본값 172.31.0.0/16). 이 CIDR 블록은 Account Factory가 계정에 대해 생성하는 VPC의 전체 서브넷 IP 주소 범위를 제공합니다. VPC 내에서 서브넷은 지정한 범위에서 자동으로 할당되고 크기는 동일합니다. 기본적으로 VPC 내의 서브넷은 중첩되지 않습니다. 그러나 프로비저닝한 모든 계정의 VPC에서 서브넷 IP 주소 범위는 중첩될 수 있습니다.

  • 계정이 프로비저닝될 때 VPC를 생성하기 위해 한 리전 또는 모든 리전을 선택합니다. 사용 가능한 모든 리전이 기본적으로 선택되어 있습니다.

  • 목록에서 각 VPC의 서브넷을 구성할 가용 영역 수를 선택합니다. 기본값으로 권장되는 수는 3개입니다.

  • Save를 선택합니다.

또한 이러한 구성 옵션을 설정하여 VPC가 포함되지 않은 새 계정을 만들 수도 있습니다. 시연을 참조하십시오.

멤버 계정 관리 취소

Account Factory에서 더 이상 랜딩 존의 AWS Control Tower로 관리하지 않으려는 계정을 만든 경우 계정의 관리를 취소할 수 있습니다. 이 작업은 AWS Service Catalog 콘솔 기준 AWS SSO 사용자 AWS계정공장 그룹. AWS SSO 사용자 또는 그룹에 대한 자세한 내용은 AWS Single Sign-On을 통해 사용자 및 액세스 관리 단원을 참조하십시오. 다음 절차에서는 멤버 계정의 관리를 취소하는 방법에 대해 설명합니다.

멤버 계정의 관리를 취소하려면

  1. 웹 브라우저(https://console.aws.amazon.com/servicecatalog)에서 AWS Service Catalog 콘솔을 엽니다.

  2. 왼쪽 탐색 창에서 Provisioned products list(프로비저닝된 제품 목록)를 선택합니다.

  3. 프로비저닝된 계정 목록에서 AWS Control Tower가 더 이상 관리하지 않을 계정의 이름을 선택합니다.

  4. Provisioned product details(프로비저닝된 제품 세부 정보) 페이지의 작업 메뉴에서 종료를 선택합니다.

  5. 나타나는 대화 상자에서 종료를 선택합니다.

    중요

    종료라는 단어는 AWS Service Catalog에만 한정된 것입니다. AWS Service Catalog에서 Account Factory 계정을 종료하면 계정이 닫히지 않습니다. 이 작업은 해당 OU 및 랜딩 존에서 계정을 제거합니다.

  6. Deregistering Managed Account(관리 계정 등록 취소)라는 메시지가 표시됩니다.

  7. 표시된 계정 상태를 업데이트하려면 페이지를 새로 고칩니다. 계정의 관리가 취소되면 상태가 종료됨으로 변경됩니다.

  8. 종료된 계정이 더 이상 필요하지 않은 경우 닫습니다. AWS 계정 닫기에 대한 자세한 내용은 다음을 참조하십시오. 계좌 폐쇄 에서 AWS Billing and Cost Management 사용 설명서

참고

비관리형(종료된) 계정은 닫히거나 삭제되지 않습니다. 계정의 관리가 취소되는 경우에도 Account Factory에서 계정을 생성할 때 선택한 AWS SSO 사용자는 여전히 계정에 대한 관리 액세스 권한을 가집니다. 이 사용자에게 관리 액세스 권한을 부여하지 않으려면 Account Factory에서 계정을 업데이트하고 계정의 AWS SSO 사용자 이메일 주소를 변경하여 AWS SSO에서 이 설정을 변경해야 합니다. 자세한 정보는 AWS 서비스 카탈로그로 계정 공장 계정 업데이트 및 이동 단원을 참조하십시오.

Account Factory에서 생성된 계정 닫기

Account Factory에서 생성된 계정은 AWS 계정입니다. AWS 계정 닫기에 대한 자세한 내용은 다음을 참조하십시오. 계좌 폐쇄 에서 AWS Billing and Cost Management 사용 설명서.

Account Factory에 대한 리소스 고려 사항

Account Factory를 통해 계정이 프로비저닝되면 계정 내에 다음과 같은 AWS 리소스가 생성됩니다.

AWS 제품 리소스 유형 리소스 이름
AWS CloudFormation 스택

StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-*

StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-*

StackSet-AWSControlTowerBP-BASELINE-CONFIG-*

StackSet-AWSControlTowerBP-BASELINE-ROLES-*

StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-*

AWS CloudTrail 추적 aws-controltower-BaselineCloudTrail
Amazon CloudWatch CloudWatch 이벤트 규칙 aws-controltower-ConfigComplianceChangeEventRule
Amazon CloudWatch CloudWatch Logs

aws-controltower/CloudTrailLogs

/aws/lambda/aws-controltower-NotificationForwarder

AWS Identity and Access Management Roles

aws-controltower-AdministratorExecutionRole

aws-controltower-CloudWatchLogsRole

aws-controltower-ConfigRecorderRole

aws-controltower-ForwardSnsNotificationRole

aws-controltower-ReadOnlyExecutionRole

AWSControlTowerExecution

AWS Identity and Access Management 정책:

AWSControlTowerServiceRolePolicy

Amazon Simple Notification Service 주제: aws-controltower-SecurityNotifications
AWS Lambda : 애플리케이션 StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-*
AWS Lambda 함수 aws-controltower-NotificationForwarder

가드레일 및 계정 리소스

AWS Control Tower에서 Account Factory를 통해 만든 계정은 상위 OU의 가드레일을 상속하며, 연결된 리소스가 생성됩니다.

참고

AWS Control Tower 외부에서 생성된 계정은 AWS Control Tower의 상위 OU에서 가드레일을 상속하지 않습니다. 그러나 이 미등록 계좌들은 은(는) 표시 위치 AWS Control Tower.

매우 권장되는 지침에 따라 가드레일을 활성화하면 AWS Control Tower가 계정에서 특정 추가 AWS 리소스를 생성하고 관리합니다. AWS Control Tower에 의해 생성된 리소스를 수정하거나 삭제하지 마십시오. 수정하거나 삭제하면 가드레일이 알 수 없는 상태가 될 수 있습니다. 자세한 정보는 가드레일 참조 단원을 참조하십시오.