기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
등록된 모든 계정에 AWSControlTowerExecution 역할이 있어야 합니다. 이를 사용하면 AWS Control Tower에서 개별 계정을 관리하고 해당 계정에 대한 정보를 감사 및 로그 아카이브 계정에 보고할 수 있습니다.
AWSControlTowerExecution 역할은 다음과 같이 여러 가지 방법으로 계정에 추가할 수 있습니다.
-
보안 OU의 계정(코어 계정이라고도 함)인 경우 AWS Control Tower는 초기 AWS Control Tower 설정 시 역할을 생성합니다.
-
AWS Control Tower 콘솔을 통해 생성된 Account Factory 계정의 경우 AWS Control Tower는 계정 생성 시 이 역할을 생성합니다.
-
단일 계정 등록의 경우 고객에게 역할을 수동으로 생성한 다음 AWS Control Tower에 계정을 등록하도록 요청합니다.
-
거버넌스를 OU로 확장할 때 AWS Control Tower는 StackSet -AWSControlTowerExecutionRole을 사용하여 해당 OU의 모든 계정에 역할을 생성합니다.
AWSControlTowerExecution 역할의 목적:
-
AWSControlTowerExecution을 사용하면 스크립트 및 Lambda 함수를 사용하여 계정을 자동으로 생성하고 등록할 수 있습니다. -
AWSControlTowerExecution을 통해 전체 계정의 모든 로그가 로깅 계정으로 전송되도록 조직의 로깅을 구성할 수 있습니다. -
AWSControlTowerExecution을 사용하면 AWS Control Tower에 개별 계정을 등록할 수 있습니다. 먼저 해당 계정에AWSControlTowerExecution역할을 추가해야 합니다. 역할을 추가하는 방법에 대한 단계는 필요한 IAM 역할을 기존 AWS 계정 에 수동으로 추가하고 등록합니다. 섹션을 참조하세요.
AWSControlTowerExecution 역할이 OU와 작동하는 방식:
이 AWSControlTowerExecution 역할은 선택한 AWS Control Tower 제어가 조직의 각 OU의 모든 개별 계정과 AWS Control Tower에서 생성한 모든 새 계정에 자동으로 적용되도록 합니다. 결과:
-
AWS Control Tower 제어에서 구현한 감사 및 로깅 기능을 기반으로 규정 준수 및 보안 보고서를 더 쉽게 제공할 수 있습니다.
-
보안 및 규정 준수 팀은 모든 요구 사항이 충족되었는지 그리고 조직 드리프트가 발생하지 않았는지 확인할 수 있습니다.
드리프트에 대한 자세한 내용은 AWS Control Tower의 드리프트 탐지 및 해결을 참조하세요.
요약하면 AWSControlTowerExecution 역할 및 관련 정책을 통해 조직 전체에서 보안 및 규정 준수를 유연하게 제어할 수 있습니다. 따라서 보안 또는 프로토콜 침해가 발생할 가능성이 낮아집니다.
