의 구성 업데이트 관리 AWS Control Tower - AWS Control Tower

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

의 구성 업데이트 관리 AWS Control Tower

랜딩 존을 최신 상태로 유지하는 것은 중앙 클라우드 관리자 팀의 책임입니다. 랜딩 존을 업데이트하면 AWS Control Tower가 패치되고 업데이트됩니다. 또한 잠재적인 규정 준수 문제로부터 랜딩 존을 보호하기 위해 중앙 클라우드 관리자 팀 멤버는 드리프트 문제가 감지되고 보고되는 즉시 이를 해결해야 합니다.

참고

랜딩 존을 업데이트해야 할 경우 AWS Control Tower 콘솔에 표시됩니다. 업데이트 옵션이 표시되지 않으면 랜딩 존이 이미 최신 상태인 것입니다.

업데이트

거버넌스 드리프트를 수정하거나 AWS Control Tower의 새 버전으로 전환하려면 업데이트가 필요합니다. AWS Control Tower의 전체 업데이트를 수행하려면 먼저 랜딩 영역을 업데이트한 다음 등록된 계정을 개별적으로 업데이트해야 합니다. 경우에 따라 다음 세 가지 유형의 업데이트를 수행해야 할 수 있습니다.

  • 랜딩 존 업데이트: 이러한 유형의 업데이트는 대부분 다음을 선택하여 수행됩니다. 업데이트 에서 설정 페이지. 특정 유형의 드리프트를 복구하려면 랜딩 영역 업데이트를 수행해야 할 수 있으며 필요한 경우 Repair(복구)를 선택할 수 있습니다.

  • 하나 이상의 개별 계정 업데이트: 관련 정보가 변경되거나 특정 유형의 드리프트가 발생한 경우 계정을 업데이트해야 합니다. 수동 프로세스 또는 자동화된 접근 방식을 통해 계정을 업데이트할 수 있습니다. 두 가지 모두 이 페이지의 뒷부분에 설명되어 있습니다.

  • 전체 업데이트: 전체 업데이트에는 귀하의 랜딩 존 업데이트가 포함되며, 등록된 OU에 등록된 모든 계정의 업데이트가 포함됩니다. 2.3, 2.4 등과 같은 새 AWS Control Tower 릴리스에서 전체 업데이트가 필요합니다.

랜딩 영역 업데이트

AWS Control Tower 랜딩 존을 업데이트하는 가장 쉬운 방법은 설정 페이지를 사용하는 것입니다. 로 이동합니다. 설정 페이지 선택 설정 왼쪽 탐색 창에서 을 클릭합니다().

설정 페이지에는 랜딩 존의 현재 버전이 표시되며 사용 가능한 업데이트된 버전이 나열됩니다. 버전을 업데이트해야 하는 경우 업데이트 버튼을 이용할 수 있습니다. 업데이트 버튼이 회색으로 표시되면 업데이트할 필요가 없습니다.

참고

또는 랜딩 존을 수동으로 업데이트할 수 있습니다. 업데이트 버튼을 사용하든 수동 프로세스를 사용하든 업데이트에 소요되는 시간은 거의 동일합니다. 랜딩 영역의 수동 업데이트만 수행하려면 아래 1단계와 2단계를 참조하십시오.

다음 절차에서는 수동으로 AWS Control Tower의 전체 업데이트를 수행하는 단계를 안내합니다. 개별 계정을 업데이트하려면 3단계에서 시작합니다.

랜딩 존을 수동으로 업데이트하는 방법

  1. 웹 브라우저를 열고 https://us-west-2.console.aws.amazon.com/controltower/home/update의 AWS Control Tower 콘솔로 이동합니다.

  2. 마법사의 정보를 검토하고 업데이트를 선택합니다. 이렇게 하면 랜딩 존의 백엔드와 공유 계정이 업데이트됩니다. 이 과정은 한 시간 이상 걸릴 수 있습니다.

  3. 멤버 계정을 업데이트합니다. 탐색 창에서 계정을 선택합니다.

  4. Enroll account(계정 등록)를 선택하여 AWS Service Catalog 콘솔 및 Account Factory 제품을 엽니다.

  5. 탐색 창에서 Provisioned products list(프로비저닝된 제품 목록)를 선택합니다.

  6. 나열된 각 계정에 대해 다음 단계를 수행하여 모든 멤버 계정을 업데이트합니다.

    1. 계정의 메뉴에서 Provisioned product details(프로비저닝된 제품 세부 정보)를 선택합니다.

    2. 다음 파라미터를 기록해 둡니다.

      • SSOUserEmail (프로비저닝된 제품 세부 정보에서 사용 가능)

      • AccountEmail (프로비저닝된 제품 세부 정보에서 사용 가능)

      • SSOUserFirstName (SSO에서 사용 가능)

      • SSOUSerLastName (SSO에서 사용 가능)

      • AccountName (SSO에서 사용 가능)

    3. 작업에서 업데이트를 선택합니다.

    4. 다음 옆에 있는 라디오 버튼을 선택합니다. 버전 업데이트하려는 제품을 선택하고 다음.

    5. 앞서 언급한 파라미터 값을 제공합니다. ManagedOrganizationlUnit의 경우 계정이 위치한 OU를 선택합니다. 이 정보는 AWS Control Tower 콘솔의 계정에서 확인할 수 있습니다.

    6. 다음을 선택합니다.

    7. 변경 사항을 검토한 다음 업데이트를 선택합니다. 이 프로세스는 계정당 몇 분 정도 걸릴 수 있습니다.

드리프트 해결

을(를) 만들 때 AWS Control Tower 랜딩 존, 랜딩 존 그리고 모든 OUs, 계정 및 리소스는 필수 또는 선택 여부에 관계없이 가드레일에 의해 시행되는 모든 거버넌스 규칙을 준수합니다. 사용자 및 사용자 조직의 멤버가 랜딩 존을 사용할 때 규정 준수 상태가 변경될 수 있습니다. 일부 변경 사항은 실수일 수 있으며, 일부는 시간에 민감한 작업 이벤트에 의도적으로 응답하는 것일 수 있습니다. 그럼에도 불구하고 변경 사항은 규정 준수 스토리를 복잡하게 만들 수 있습니다.

드리프트를 해결하면 조직이 거버넌스 규정을 준수하도록 보장할 수 있습니다. 드리프트 해상도는 마스터 계정 관리자.

드리프트 감지는 AWS Control Tower에서 자동입니다. 드리프트 해결을 위해 수행해야 하는 변경 또는 구성 업데이트가 필요한 리소스를 식별하는 데 도움이 됩니다.

대부분의 드리프트 유형을 복구하려면 수리 에서 설정 페이지. 드리프트가 발생하면 복구 버튼을 선택할 수 있는 상태가 됩니다. 자세한 정보는 드리프트 감지 및 해결 AWS Control Tower 단원을 참조하십시오.

새 AWS 리전에 AWS Control Tower 배포

이 단원에서는 새 AWS 리전에 AWS Control Tower 랜딩 영역을 배포할 때 발생하는 동작에 대해 설명합니다. 일반적으로 이러한 유형의 배포는 업데이트 의 기능 AWS Control Tower 콘솔.

참고

따라서 워크로드를 실행할 필요가 없는 AWS 리전으로 AWS Control Tower 랜딩 존을 확장하지 않는 것이 좋습니다.

새 AWS 리전에 랜딩 영역을 배포하는 동안 AWS Control Tower는 랜딩 영역을 업데이트합니다. 즉, 랜딩 영역이 새 리전에서 활발하게 운영되도록 기준을 설정합니다. AWS Control Tower에서 관리하는 조직 단위(OU) 내의 개별 계정은 이 랜딩 영역 업데이트 프로세스의 일환으로 업데이트되지 않습니다. 따라서 계정에 업데이트를 개별적으로 적용해야 합니다.

새 AWS 리전에 배포한 결과로 AWS Control Tower 감지 가드레일의 일부 중요한 동작 변경이 발생합니다.

  • 기존 요소의 가드레일 동작은 동일하게 유지. 보호장치 행동, 탐지 및 예방은 기존 계좌, OUs, 기존 지역.

  • 기존의 OUs 업데이트되지 않은 계정을 포함하고 있습니다. 을(를) 배포한 경우 AWS Control Tower 새로운 지역에 착륙하는 경우(업데이트를 통해), 기존 지역의 기존 계정을 업데이트해야 합니다. OUs 새로운 탐지 가드레일을 활성화하기 전에 OUs 및 계정.

  • 계정을 업데이트하는 즉시 기존 감지 가드레일이 새 리전에서 작동하기 시작함. AWS Control Tower 랜딩 영역을 업데이트하여 새 리전에 배포한 다음 계정을 업데이트하면 OU에서 이미 활성화되어 있는 감지 가드레일이 새 리전의 해당 계정에서 작동하기 시작합니다.

  • 워크로드를 실행해야 하는 리전에 대해서만 업데이트. 여러분이 OUs 많은 회원 계정을 관리합니다. 확장을 피하는 것이 좋습니다. AWS Control Tower 를 실행할 필요가 없는 AWS 지역으로의 배포입니다.

자동화를 사용하여 계정 업데이트

새로운 지역으로의 배포 후 개별 계정을 업데이트하는 한 가지 방법은 AWS Service Catalog 및 AWS CLI 일괄처리 프로세스에서 계정을 업데이트합니다. 다음 번호로 전화하실 수 있습니다. UpdateProvisionedProduct API / AWS Service Catalog 각 계정당. 이 API를 사용하여 계정을 하나씩 업데이트하는 스크립트를 작성할 수 있습니다. 이 방법에 대한 자세한 내용은 블로그 게시물에서 확인할 수 있습니다.

각 계정 업데이트가 성공할 때까지 기다렸다가 다음 계정 업데이트를 시작해야 합니다. 따라서 계정이 많은 경우 프로세스가 오래 걸릴 수 있지만 복잡하지는 않습니다. 이 방법에 대한 자세한 내용은 워크스루: 의 자동 계정 프로비저닝 AWS Control Tower 단원을 참조하십시오.

참고

비디오 안내 는 자동화된 계정 프로비저닝을 위해 설계되었지만 이 단계는 계정 업데이트에도 적용됩니다. 사용 UpdateProvisionedProduct API 대신 ProvisionProduct API.

자동화의 추가 단계는 성공 의 상태 AWS Control Tower UpdateLandingZone 수명 주기 이벤트. 트리거로 사용하여 비디오에 설명된 대로 개별 계정 업데이트를 시작합니다. 수명 주기 이벤트는 일련의 활동이 완료되었음을 나타내므로 이 이벤트가 발생한다는 것은 랜딩 영역 업데이트가 완료되었음을 의미합니다. 계정 업데이트를 시작하기 전에 랜딩 영역 업데이트를 완료해야 합니다. 수명 주기 이벤트 작업에 대한 자세한 내용은 수명 주기 이벤트를 참조하십시오.