AWS 컨트롤 타워의 AWS 계정 정보 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 컨트롤 타워의 AWS 계정 정보

원래 요청 ping에 대한AWS 계정는 소유한 모든 리소스의 컨테이너입니다. 이러한 리소스에는AWS Identity and Access Management(IAM) 계정에서 수락한 자격 증명으로, 해당 계정에 대한 액세스 권한이 있는 사용자를 결정합니다. IAM 자격 증명에는 사용자, 그룹, 역할 등이 포함될 수 있습니다. AWS Control Tower Tower에서 IAM, 사용자, 역할 및 정책 작업에 대한 자세한 내용은 단원을 참조하십시오.AWS Control Tower Tower의 Identity and Access Management.

리소스 및 계정 생성 시간

AWS Control Tower 계정을 생성하거나 등록하면 다음과 같은 형식의 리소스를 포함하여 계정에 필요한 최소 리소스 구성을 배포합니다.Account Factory 템플릿및 landing zone 구역의 기타 리소스. 이러한 리소스는 IAM 역할을 포함할 수 있습니다.AWS CloudTrail산책로,AWS Service Catalog프로비저닝된 제품및 SSO 사용자 AWS Control Tower Tower는 가드 레일 구성에서 요구하는 대로 새 계정이 회원 계정이 될 목적지의 OU에 대한 리소스도 배포합니다.

AWS Control Tower 는 사용자를 대신하여 이러한 리소스의 배포를 조율합니다. 배포를 완료하는 데 리소스당 몇 분이 소요될 수 있으므로 계정을 만들거나 등록하기 전에 총 시간을 고려하십시오. 계정의 리소스 관리에 대한 자세한 내용은 단원을 참조하십시오.AWS Control Tower 리소스 생성 및 수정을 위한 지침.

계정 보기

계정페이지에는 OU 또는 AWS Control Tower 등록 상태와 상관없이 조직의 모든 계정이 나열됩니다. 각 계정이 등록 필수 조건을 충족하는 경우 개별 또는 OU 그룹별로 AWS Control Tower 에 회원 계정을 보고 등록할 수 있습니다.

계정페이지에서 계정을 확인할 수 있습니다.상태다음 중 하나입니다.

  • 등록되지 않음— 이 계정은 상위 OU의 구성원이지만 AWS Control Tower 에서 완전히 관리하지는 않습니다. 상위 OU가 등록되어 있으면 등록된 상위 OU에 대해 구성된 예방 가드레일이 계정에 적용되지만 OU의 탐정 가드레일은 이 계정에 적용되지 않습니다. 상위 OU가 등록되지 않은 경우 이 계정에 가드레일이 적용되지 않습니다.

  • 등록— AWS Control Tower Tower에서 계정을 거버넌스로 가져오고 있습니다. 상위 OU의 가드레일 구성에 따라 계정을 정렬하고 있습니다. 이 프로세스는 계정 리소스당 몇 분이 소요될 수 있습니다.

  • 등록됨— 계정은 상위 OU에 대해 구성된 가드레일에 의해 관리됩니다. AWS Control Tower Tower에서 완전히 관리됩니다.

  • 등록 실패— AWS Control Tower 타워에서 계정을 등록할 수 없습니다. 자세한 정보는 등록 실패의 일반적인 원인을 참조하십시오.

  • 사용 가능한 업데이트— 이 계정은 업데이트할 수 있습니다. 이 상태의 계정은 여전히등록됨하지만 사용자 환경에 대한 최근 변경 사항을 반영하도록 계정을 업데이트해야 합니다. 단일 계정을 업데이트하려면 계정 세부 정보 페이지로 이동하여계정 업데이트.

    단일 OU에 이 상태의 계정이 여러 개 있는 경우 다음을 선택할 수 있습니다.재등록OU를 사용하여 해당 계정을 함께 업데이트합니다.

공유 계정

세 개의 특별 AWS 계정이 AWS Control Tower 타워와 연결되어 있습니다. 관리 계정인심사계정 및로그 아카이브계정. 이러한 계정은 일반적으로공유 계정, 또는 때때로코어 계정.

landing zone 구역을 설정할 때 감사 및 로그 보관 계정의 사용자 지정 이름을 선택할 수 있지만 설정 후에는 이름을 변경할 수 없습니다. 이는 일회성 선택입니다.

공유 계정 및 관련 리소스에 대한 자세한 내용은 단원을 참조하십시오.공유 계정이란 무엇입니까?

관리 계정

이AWS 계정AWS Control Tower 시작합니다. 기본적으로 이 계정의 루트 사용자와 이 계정의 IAM 관리자 사용자는 landing zone 내의 모든 리소스에 대한 전체 액세스 권한을 갖습니다.

참고

모범 사례로, 로 로그인하는 것이 좋습니다.AWS SSO사용자Administrator이 계정에 대한 루트 또는 IAM 관리자 사용자로 로그인하는 대신 AWS Control Tower 관리 콘솔에서 관리 기능을 수행할 때 권한을 부여합니다.

관리 계정에서 사용할 수 있는 역할 및 리소스에 대한 자세한 내용은 단원을 참조하십시오.관리 계정이란 무엇입니까?

로그 아카이브 계정

이 공유 계정은 landing zone 존을 만들 때 자동으로 생성됩니다. 이메일 주소는 아직 연결되지 않아야 합니다.AWS 계정.

이 계정에는 모든 복제본을 저장하기 위한 중앙 Amazon S3 버킷이 포함되어 있습니다.AWS CloudTrail과AWS Configlanding zone 존의 다른 모든 계정에 대한 로그 파일입니다. 모범 사례로 규정 준수 및 조사를 담당하는 팀과 관련 보안 또는 감사 도구로 로그 아카이브 계정 액세스를 제한하는 것이 좋습니다. 이 계정은 자동화된 보안 감사 또는 사용자 지정 호스팅에 사용할 수 있습니다.AWS Config RulesLambda 함수와 같이 업데이트 적용 작업을 수행합니다.

로그 아카이브 계정에서 사용할 수 있는 역할 및 리소스에 대한 자세한 내용은 단원을 참조하십시오.로그 아카이브 계정이란 무엇입니까?

참고

이러한 로그는 변경할 수 없습니다. 모든 로그는 계정 활동과 관련된 감사 및 규정 준수 조사를 위해 저장됩니다.

감사 계정

이 공유 계정은 landing zone 존을 만들 때 자동으로 생성됩니다. 이메일 주소는 아직 연결되지 않아야 합니다.AWS 계정.

감사 계정은 landing zone 존의 모든 계정에 대한 감사자 (읽기 전용) 및 관리자 (전체 액세스) 교차 계정 역할이 있는 보안 및 규정 준수 팀으로 제한되어야 합니다. 이러한 역할은 보안 및 규정 준수 팀에서 다음과 같은 용도로 사용됩니다.

  • 사용자 지정 호스팅과 같은 AWS 메커니즘을 통해 감사 수행AWS Config규칙 Lambda 함수.

  • 수정 작업과 같은 자동화된 보안 작업을 수행합니다.

감사 계정은 Amazon Simple Notification Service (Amazon SNS) 서비스를 통해 알림을 받습니다. 다음 세 가지 범주의 알림을 받을 수 있습니다.

  • 모든 구성 이벤트— 이 항목에서는 모두 집계합니다. CloudTrail 과AWS Configlanding zone 존의 모든 계정에서 보내는 알림

  • 집계 보안 알림— 이 항목에서는 특정 보안 알림을 모두 집계합니다. CloudWatch 이벤트,AWS Config Rules규정 준수 상태 변경 이벤트 GuardDuty 결과.

  • 드리프트 알림— 이 항목에서는 landing zone 구역의 모든 계정, 사용자, OU 및 SCP에서 발견된 모든 드리프트 경고를 집계합니다. 드리프트 자세한 내용은 단원을 참조하십시오.AWS Control Tower 타워에서 드리프트 감지 및 해결.

관리형 계정 내에서 트리거되는 감사 알림은 로컬 Amazon SNS 주제로 알림을 보낼 수도 있습니다. 이 기능을 통해 계정 관리자는 개별 관리 계정과 관련된 감사 알림을 구독할 수 있습니다. 따라서 관리자는 개별 계정에 영향을 주는 문제를 해결하면서도 모든 계정 알림을 중앙 집중식 감사 계정에 집계할 수 있습니다. 자세한 내용은 Amazon Simple Notification Service 개발자 안내서를 참조하세요.

감사 계정에서 사용할 수 있는 역할 및 리소스에 대한 자세한 내용은 단원을 참조하십시오.감사 계정이란 무엇입니까?또한 도 참조하십시오.AWS Control Tower 감사 계정에 대한 프로그래밍 역할 및 신뢰 관계.

중요

감사 계정에 대해 제공한 이메일 주소가 수신됩니다.AWS Notification — 구독 확인AWS Control Tower에서 지원하는 모든 AWS 리전의 이메일 감사 계정에서 규정 준수 이메일을 수신하려면 다음을 선택해야 합니다.구독 확인AWS AWS Control Tower 타워에서 지원하는 각 AWS 리전의 각 이메일 내에 링크합니다.

멤버 계정 정보

멤버 계정은 사용자가 AWS 워크로드를 수행하는 계정입니다. 이러한 구성원 계정은 SSO 사용자가 Account Factory 팩토리에서 만들 수 있습니다.관리자의 권한AWS Service Catalog콘솔 또는 자동화 된 방법을 사용합니다. 이러한 구성원 계정이 생성되면 AWS Control Tower 콘솔에서 생성되었거나 AWS Control Tower 에 등록된 OU에 존재합니다. 자세한 내용은 다음 관련 주제를 참조하십시오.

테라폼용 AWS Control Tower Account Factory 팩토리를 사용하여 계정 프로비저닝 단원도 참조하세요.

계정 및 가드레일

멤버 계정은 다음과 같습니다.등록AWS Control Tower 타워에서, 또는등록되지 않은. 가드레일은 등록된 계정과 등록되지 않은 계정마다 다르게 적용되며, 상속을 기준으로 중첩된 OU의 계정에는 가드레일이 적용될 수 있습니다.