Account Factory로 계정 프로비저닝 및 관리 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Account Factory로 계정 프로비저닝 및 관리

이 장에서는 AWS Control Tower 랜딩 존에서 새 계정을 프로비저닝하는 방법에 대한 개요와 절차를 설명합니다. AWS Control Tower에서는 다음 3가지 방법으로 멤버 계정을 생성할 수 있습니다.

  • Account Factory의 일부인 AWS Service Catalog. 콘솔 사용

  • 에 있는 계정 등록 기능을 통해 액세스하십시오.AWS Control Tower

  • 랜딩 영역의 AWS Control Tower에서 Lambda 코드와 적절한 IAM 역할 사용관리 계정

계정을 프로비저닝하는 표준 방법은 Account Factory의 일부인 콘솔 기반의 제품 AWS Service Catalog.를 사용하는 것입니다. 랜딩 영역이 드리프트 상태가 아닌 경우 계정 등록.을 사용할 수 있습니다. 또한 일부 고객은 IAM 역할 및 Lambda 함수를 사용하여 프로그래밍 방식으로 새 계정을 구성하는 것을 선호할 수 있습니다.

프로비저닝 담당자는 적절한 사용자 그룹 권한을 사용하여 조직의 모든 계정에 대해 표준화된 기준 및 네트워크 구성을 지정할 수 있습니다.

계정 구성 및 프로비저닝을 위한 권한

AWS Control Tower Account Factory를 사용하면 클라우드 관리자와 AWS Single Sign-On 최종 사용자가 랜딩 존.에서 계정을 프로비저닝할 수 있습니다. 기본적으로 계정을 프로비저닝하는 AWS SSO 사용자는 AWSAccountFactory 그룹 또는 관리 그룹에 있어야 합니다.

참고

조직에서 충분한 권한이 있는 계정을 사용할 때와 마찬가지로 관리 계정에서 작업할 때는 주의해야 합니다.

AWS Control Tower는 관리 계정AWSControlTowerExecution 역할과 신뢰 관계가 있으며, 이를 통해 일부 자동 계정 설정을 포함하여 에서 계정 설정을 활성화할 수 있습니다.관리 계정 AWSControlTowerExecution 역할에 대한 자세한 내용은 단원을 참조하십시오.AWS Control Tower가 역할을 사용하여 계정을 생성 및 관리하는 방식

기존 AWS 계정을 AWS Control Tower에 등록하려면 해당 계정에 AWSControlTowerExecution 역할이 활성화되어 있어야 합니다. 기존 계정을 등록하는 방법에 대한 자세한 내용은 단원을 참조하십시오.기존 AWS 계정 등록.

IAM 역할을 사용한 자동화된 계정 프로비저닝

보다 자동화된 방식으로 Account Factory 계정을 구성하려면 AWS Control Tower 관리 계정에서 Lambda 함수를 생성할 수 있습니다. 이 함수는 멤버 계정에서 AWSControlTowerExecution 역할 를 가정합니다. 그런 다음 관리 계정는 역할을 사용하여 각 멤버 계정에서 원하는 구성 단계를 수행합니다.

Lambda 함수를 사용하여 계정을 프로비저닝하는 경우 이 작업을 수행할 자격 증명에는 IAM 외에도 다음 AWSServiceCatalogEndUserFullAccess. 권한 정책이 있어야 합니다.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "AWSControlTowerAccountFactoryAccess", "Effect": "Allow", "Action": [ "sso:GetProfile", "sso:CreateProfile", "sso:UpdateProfile", "sso:AssociateProfile", "sso:CreateApplicationInstance", "sso:GetSSOStatus", "sso:GetTrust", "sso:CreateTrust", "sso:UpdateTrust", "sso:GetPeregrineStatus", "sso:GetApplicationInstance", "sso:ListDirectoryAssociations", "sso:ListPermissionSets", "sso:GetPermissionSet", "sso:ProvisionApplicationInstanceForAWSAccount", "sso:ProvisionApplicationProfileForAWSAccountInstance", "sso:ProvisionSAMLProvider", "sso:ListProfileAssociations", "sso-directory:ListMembersInGroup", "sso-directory:AddMemberToGroup", "sso-directory:SearchGroups", "sso-directory:SearchGroupsWithGroupName", "sso-directory:SearchUsers", "sso-directory:CreateUser", "sso-directory:DescribeGroups", "sso-directory:DescribeDirectory", "sso-directory:GetUserPoolInfo", "controltower:CreateManagedAccount", "controltower:DescribeManagedAccount", "controltower:DeregisterManagedAccount", "s3:GetObject", "organizations:describeOrganization", "sso:DescribeRegisteredRegions" ], "Resource": "*" } ] }

개별 계정 생성 또는 등록

랜딩 영역에서 새 계정을 프로비저닝하고 에서 관리하도록 기존 AWS 계정을 등록하는 경우 에서 AWS Control Tower계정 등록AWS Control Tower 기능을 사용할 수 있습니다.

랜딩 영역이 드리프트 상태가 아닌 경우 계정 등록 기능을 사용할 수 있습니다. 이 기능을 표시하려면 다음과 같이 하십시오.

  • Account Factory 페이지로 이동합니다.AWS Control Tower

  • 페이지 상단에서 Enroll account(계정 등록) 항목을 선택합니다.

  • Create account(계정 생성) 섹션이 표시되면 account email(계정 이메일), account name(계정 이름), SSO user name(SSO 사용자 이름), organizational unit(조직 단위).을 포함한 필수 필드를 작성할 수 있습니다.

  • 정보를 입력했으면 Enroll account(계정 등록).를 선택합니다.

계정 등록 프로세스가 성공적으로 제출되었음을 확인하는 플래시바가 표시됩니다. 오류가 발생한 경우 AWS Control Tower에서 해결을 요청할 수 있습니다. 계정 프로비저닝 프로세스는 몇 분 정도 걸릴 수 있습니다.

참고

기존 AWS 계정을 등록하는 경우 기존 이메일 주소를 올바르게 입력해야 합니다. 그렇지 않으면 새 계정이 생성됩니다.

특정 오류가 발생하면 페이지를 새로 고치고 다시 시도해야 할 수 있습니다. 랜딩 영역이 드리프트 상태인 경우 계정 등록 기능을 사용하지 못할 수 있습니다. 랜딩 영역 드리프트가 해결될 때까지 AWS Service Catalog를 통해 새 계정을 프로비저닝해야 합니다.

계정을 등록할 때 AWSServiceCatalogEndUserFullAccess 정책이 활성화된 IAM 사용자로 계정에 로그인해야 하며 루트.로 로그인할 수 없습니다.

등록한 계정은 다른 계정을 업데이트하듯이 AWS Service Catalog 및 AWS Control Tower Account Factory를 사용하여 업데이트해야 합니다. 업데이트 절차는 단원에 나와 있습니다.AWS Service Catalog AWS Service Catalog.

AWS Service Catalog를 사용한 Account Factory 계정 프로비저닝

다음 절차에서는 AWS Service Catalog를 통해 AWS SSO 최종 사용자로 계정을 프로비저닝하는 방법에 대해 설명합니다. 이 절차를 고급 계정 프로비저닝.이라고도 합니다. 가능하면 항상 계정 등록 기능을 사용하는 것이 좋습니다.

Account Factory에서 계정을 최종 사용자로 프로비저닝하려면

  1. 사용자 포털 URL에서 로그인합니다.

  2. Your applications(사용자 애플리케이션)에서 AWS 계정.을 선택합니다.

  3. 계정 목록에서 관리 계정의 계정 ID를 선택합니다. 이 ID에는 (관리)와 같은 레이블도 있을 수 있습니다.

  4. AWSServiceCatalogEndUserAccess에서 Management console(관리 콘솔)을 선택합니다. 이 계정에 있는 이 사용자의 AWS Management 콘솔이 열립니다.

  5. 계정 프로비저닝에 대해 올바른 AWS 지역을 선택했는지 확인합니다. 이 경우 AWS Control Tower 홈 지역이어야 합니다.

  6. Service Catalog를 검색하고 선택하여 콘솔을 엽니다.AWS Service Catalog

  7. 탐색 창에서 Products list(제품 목록).를 선택합니다.

  8. AWS Control Tower Account Factory를 선택한 다음 시작 버튼을 선택합니다. 선택하면 마법사가 시작되어 새 계정을 프로비저닝합니다.

  9. 정보를 입력합니다. 이때 다음 사항에 유의하십시오.

    • SSOUserEmail은 새 이메일 주소 또는 기존 사용자와 연결된 이메일 주소일 수 있습니다.AWS SSO 어떤 주소를 선택하든 이 사용자는 프로비저닝 중인 계정에 대한 관리 액세스 권한을 갖습니다.

    • AccountEmail는 AWS 계정과 아직 연결되지 않은 이메일 주소여야 합니다. SSOUserEmail에서 새 이메일 주소를 사용한 경우 여기에서 해당 이메일 주소를 사용할 수 있습니다.

  10. 작업이 완료되면 마법사의 검토 페이지로 이동할 때까지 다음을 선택합니다. TagOptions을 정의하지 않고 알림을 활성화하지 마십시오. 그렇지 않으면 계정이 프로비저닝되지 않을 수 있습니다.

  11. 계정 설정을 검토한 다음 시작.을 선택합니다. 리소스 플랜을 생성하지 마십시오. 계정의 피로비저닝에 실패할 수 있습니다.

  12. 계정이 프로비저닝 중입니다. 이 작업은 완료하는 데 몇 분 정도 걸릴 수 있습니다. 페이지를 새로 고쳐 표시된 상태 정보를 업데이트할 수 있습니다.

    참고

    한 번에 한 개의 계정만 프로비저닝할 수 있습니다.

Account Factory 계정 관리 팁

AWS Control Tower Account Factory를 통해 프로비저닝하는 계정은 업데이트할 수 있으며, 종료하거나 용도 변경할 수 있습니다. 예를 들어 계정의 이메일 주소와 사용자 파라미터를 업데이트하여 다른 워크로드 및 다른 사용자에 대한 기존 계정을 용도 변경할 수 있습니다.

Account Factory에서 판매한 계정과 연결된 프로비저닝된 제품을 업데이트할 때 새 SSO 사용자 이메일 주소를 지정하면 AWS Control Tower에서 새 SSO 사용자 계정을 생성합니다. 이전에 만든 사용자 계정은 제거되지 않습니다. AWS SSO에서 이전 SSO 사용자 이메일을 제거하려면 사용자 비활성화.를 참조하십시오.

Account Factory를 사용하면 이 장의 절차에 따라 계정의 조직 단위(OU)를 변경하거나 계정 관리를 취소할 수도 있습니다. 계정 관리 취소에 대한 자세한 내용은 단원을 참조하십시오.멤버 계정 관리 취소. 특정 업데이트를 수행하려면 적절한 권한을 얻기 위해 사용자 또는 관리자가 계정에 루트 사용자로 로그인해야 합니다.

AWS Service Catalog AWS Service Catalog

다음 절차는 프로비저닝된 제품을 업데이트하여 Account FactoryAWS Service Catalog AWS Service Catalog 계정을 업데이트하거나 새 OU로 이동하는 방법을 안내합니다. 에서 계정 등록 함수를 사용하여 계정을 업데이트할 수 있습니다.AWS Control Tower 가능하면 항상 계정 등록 기능을 사용하는 것이 좋습니다.

Account Factory 계정을 업데이트하거나 해당 OU를 변경하려면

  1. AWS Management 콘솔에 로그인한 다음 https://console.aws.amazon.com/singlesignon/에서 AWS Single Sign-On 콘솔을 엽니다.

    또는 AWS Control Tower 관리 계정에 로그인할 수 있습니다.

    참고

    에서 새 제품을 프로비저닝할 권한이 있는 사용자로 로그인해야 합니다(예: AWS Service CatalogAWS SSO 또는 AWSAccountFactory 그룹의 AWSServiceCatalogAdmins 사용자).

  2. 의 Account Factory 페이지에서 AWS Control Tower계정 등록을 선택하여 콘솔 및 AWS Service Catalog 제품을 엽니다.Account Factory

  3. 탐색 창에서 Provisioned products list(프로비저닝된 제품 목록).를 선택합니다.

  4. 나열된 각 계정에 대해 다음 단계를 수행하여 모든 멤버 계정을 업데이트합니다.

    1. 계정의 드롭다운 메뉴에서 Provisioned product details(프로비저닝된 제품 세부 정보).를 선택합니다.

    2. 다음 파라미터를 기록해 둡니다.

      • SSOUserEmail (프로비저닝된 제품 세부 정보에서 사용 가능)

      • AccountEmail (프로비저닝된 제품 세부 정보에서 사용 가능)

      • SSOUserFirstName (SSO에서 사용 가능)

      • SSOUSerLastName (SSO에서 사용 가능)

      • AccountName (SSO에서 사용 가능)

    3. 작업에서 업데이트.를 선택합니다.

    4. 업데이트하려는 제품의 버전 옆에 있는 버튼을 선택하고 다음.을 선택합니다.

    5. 앞서 언급한 파라미터 값을 제공합니다.

      • 기존 OU를 유지하려면 ManagedOrganizationalUnit에서 계정이 이미 있는 OU를 선택합니다.

      • 계정을 새 OU로 마이그레이션하려면 ManagedOrganizationalUnit에서 계정의 새 OU를 선택합니다.

      중앙 클라우드 관리자는 이 정보를 AWS Control Tower 콘솔의 계정.에서 찾을 수 있습니다.

    6. Next.]를 선택합니다.

    7. 변경 사항을 검토한 다음 업데이트.를 선택합니다. 이 프로세스는 계정당 몇 분 정도 걸릴 수 있습니다.

Account Factory 설정으로 Amazon Virtual Private Cloud 구성

Account Factory를 사용하면 조직의 계정에 대해 미리 승인된 기준과 구성 옵션을 만들 수 있습니다. 를 통해 새 계정을 구성 및 프로비저닝할 수 있습니다.AWS Service Catalog.

페이지에서 조직 단위(Account FactoryOUOUs허용 목록 상태를 볼 수 있습니다. 기본적으로 모든 OUs는 허용 목록에 있으므로 해당 계정 아래 계정을 프로비저닝할 수 있습니다. 를 통한 계정 프로비저닝을 위해 특정 OUs를 비활성화할 수 있습니다.AWS Service Catalog

최종 사용자가 새 계정을 프로비저닝할 때 사용할 수 있는 Amazon VPC 구성 옵션을 볼 수 있습니다.

Amazon VPC에서 Account Factory 설정을 구성하려면

  1. 중앙 클라우드 관리자는 AWS Control Tower에서 관리자 권한으로 관리 계정 콘솔에 로그인합니다.

  2. 대시보드의 왼쪽에서 Account Factory를 선택하여 Account Factory 네트워크 구성 페이지로 이동합니다. 여기에 기본 네트워크 설정이 표시됩니다. 편집하려면 편집을 선택하고 Account Factory 네트워크 구성 설정의 편집 가능한 버전을 봅니다.

  3. 필요에 따라 기본 설정의 각 필드를 수정할 수 있습니다. 최종 사용자가 생성할 수 있는 모든 새로운 Account Factory 계정에 대해 설정하려는 VPC 구성 옵션을 선택하고 다음 설정을 필드에 입력합니다.

  • 에서 퍼블릭 서브넷을 생성하려면 비활성화 또는 활성화를 선택합니다.Amazon VPC 기본적으로 인터넷 액세스가 가능한 서브넷은 허용되지 않습니다.

    참고

    새 계정을 프로비저닝할 때 퍼블릭 서브넷이 활성화되도록 Account Factory VPC 구성을 설정하면 Account Factory에서 NAT 게이트웨이.를 생성하도록 Amazon VPC가 구성됩니다. 따라서 Amazon VPC에서 사용량에 대한 요금이 청구됩니다. 자세한 내용은 VPC 요금을 참조하십시오.

  • 목록에서 Amazon VPC에 있는 프라이빗 서브넷의 최대 수를 선택합니다. 기본적으로 1이 선택됩니다. 프라이빗 서브넷에 허용된 최대 수는 2입니다.

  • 계정을 생성하기 위한 IP 주소 범위를 입력합니다.VPCs 이 값은 CIDR(Classless Inter-Domain Routing) 블록 형식이어야 합니다(예: 기본값은 172.31.0.0/16). 이 CIDR 블록은 Account Factory가 계정에 대해 생성하는 VPC의 전체 서브넷 IP 주소 범위를 제공합니다. VPC 내에서 서브넷은 지정한 범위에서 자동으로 할당되고 크기는 동일합니다. 기본적으로 VPC 내의 서브넷은 중첩되지 않습니다. 그러나 프로비저닝된 모든 계정의 VPCs에 있는 서브넷 IP 주소 범위는 중첩될 수 있습니다.

  • 계정이 프로비저닝될 때 VPC를 생성하기 위해 한 리전 또는 모든 리전을 선택합니다. 사용 가능한 모든 리전이 기본적으로 선택되어 있습니다.

  • 목록에서 각 VPC의 서브넷을 구성할 가용 영역 수를 선택합니다. 기본값으로 권장되는 수는 3개입니다.

  • 저장.을 선택합니다.

또한 이러한 구성 옵션을 설정하여 VPC가 포함되지 않은 새 계정을 만들 수도 있습니다. 시연.을 참조하십시오.

멤버 계정 관리 취소

Account Factory에서 더 이상 AWS Control Tower의 랜딩 존로 관리하지 않으려는 계정을 만든 경우 계정의 관리를 취소할 수 있습니다. 이 작업은 AWS Service Catalog 콘솔의 AWS SSOAWSAccountFactory 그룹에서 수행할 수 있습니다. AWS SSO 사용자 또는 그룹에 대한 자세한 내용은 을 통해 사용자 및 액세스 관리AWS Single Sign-On. 단원을 참조하십시오. 다음 절차에서는 멤버 계정의 관리를 취소하는 방법에 대해 설명합니다.

멤버 계정의 관리를 취소하려면

  1. 의 웹 브라우저에서 AWS Service Catalog 콘솔을 엽니다.https://console.aws.amazon.com/servicecatalog

  2. 왼쪽 탐색 창에서 Provisioned products list(프로비저닝된 제품 목록).를 선택합니다.

  3. 프로비저닝된 계정 목록에서 AWS Control Tower가 더 이상 관리하지 않을 계정의 이름을 선택합니다.

  4. Provisioned product details(프로비저닝된 제품 세부 정보) 페이지의 작업 메뉴에서 종료.를 선택합니다.

  5. 나타나는 대화 상자에서 종료.를 선택합니다.

    중요

    종료라는 단어는 AWS Service Catalog.에만 한정된 것입니다. Account Factory에서 AWS Service Catalog 계정을 종료하면 계정이 닫히지 않습니다. 이 작업은 해당 OU 및 에서 계정을 제거합니다.랜딩 존.

  6. Deregistering Managed Account(관리 계정 등록 취소) 메시지가 표시됩니다.

  7. 표시된 계정 상태를 업데이트하려면 페이지를 새로 고칩니다. 계정의 관리가 취소되면 상태가 종료됨.으로 변경됩니다.

  8. 종료된 계정이 더 이상 필요하지 않은 경우 닫습니다. AWS 계정 닫기에 대한 자세한 내용은 https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html계정 닫기AWS Billing and Cost Management 사용 설명서를 참조하십시오.

참고

비관리형(종료된) 계정은 닫히거나 삭제되지 않습니다. 계정의 관리가 취소되는 경우에도 AWS SSO에서 계정을 생성할 때 선택한 Account Factory 사용자는 여전히 계정에 대한 관리 액세스 권한을 가집니다. 이 사용자에게 관리 액세스 권한을 부여하지 않으려면 AWS SSO에서 계정을 업데이트하고 계정의 Account Factory 사용자 이메일 주소를 변경하여 AWS SSO에서 이 설정을 변경해야 합니다. 자세한 내용은 단원을 참조하십시오.AWS Service Catalog AWS Service Catalog.

에서 생성된 계정 닫기Account Factory

Account Factory에서 생성된 계정은 AWS 계정입니다. AWS 계정 닫기에 대한 자세한 내용은 https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html계정 닫기AWS Billing and Cost Management 사용 설명서를 참조하십시오.

에 대한 리소스 고려 사항Account Factory

Account Factory를 통해 계정이 프로비저닝되면 계정 내에 다음과 같은 AWS 리소스가 생성됩니다.

AWS 제품 리소스 유형 리소스 이름
AWS CloudFormation 스택

StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-*

StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-*

StackSet-AWSControlTowerBP-BASELINE-CONFIG-*

StackSet-AWSControlTowerBP-BASELINE-ROLES-*

StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-*

AWS CloudTrail 추적 aws-controltower-BaselineCloudTrail
Amazon CloudWatch CloudWatch 이벤트 규칙 aws-controltower-ConfigComplianceChangeEventRule
Amazon CloudWatch CloudWatch Logs

aws-controltower/CloudTrailLogs

/aws/lambda/aws-controltower-NotificationForwarder

AWS Identity and Access Management Roles

aws-controltower-AdministratorExecutionRole

aws-controltower-CloudWatchLogsRole

aws-controltower-ConfigRecorderRole

aws-controltower-ForwardSnsNotificationRole

aws-controltower-ReadOnlyExecutionRole

AWSControlTowerExecution

AWS Identity and Access Management 정책

AWSControlTowerServiceRolePolicy

Amazon Simple Notification Service 항목 aws-controltower-SecurityNotifications
AWS Lambda 애플리케이션 StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-*
AWS Lambda 함수 aws-controltower-NotificationForwarder

가드레일 및 계정 리소스

Account Factory에서 AWS Control Tower를 통해 만든 계정은 상위 OU의 가드레일을 상속하며, 연결된 리소스가 생성됩니다.

참고

AWS Control Tower 외부에서 생성된 계정은 AWS Control Tower.의 상위 OU에서 가드레일을 상속하지 않습니다. 하지만 이러한 등록되지 않은 계정은 표시AWS Control Tower됩니다.

매우 권장되는 지침에 따라 가드레일을 활성화하면 AWS Control Tower가 계정에서 특정 추가 AWS 리소스를 생성하고 관리합니다. 에 의해 생성된 리소스를 수정하거나 삭제하지 마십시오.AWS Control Tower. 수정하거나 삭제하면 가드레일이 알 수 없는 상태가 될 수 있습니다. 자세한 내용은 단원을 참조하십시오.가드레일 참조.