의 구성 업데이트 관리 AWS Control Tower - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

의 구성 업데이트 관리 AWS Control Tower

랜딩 존을 최신 상태로 유지하는 것은 중앙 클라우드 관리자 팀의 책임입니다. 랜딩 존을 업데이트하면 AWS Control Tower가 패치되고 업데이트됩니다. 또한 잠재적인 규정 준수 문제로부터 랜딩 존을 보호하기 위해 중앙 클라우드 관리자 팀 멤버는 드리프트 문제가 감지되고 보고되는 즉시 이를 해결해야 합니다.

참고

AWS Control Tower을 업데이트해야 할 경우 랜딩 존 콘솔에 표시됩니다. 업데이트 옵션이 표시되지 않으면 랜딩 존이 이미 최신 상태인 것입니다.

업데이트

거버넌스 드리프트를 수정하거나 의 새 버전으로 전환하려면 업데이트가 필요합니다.AWS Control Tower. 의 전체 업데이트를 수행하려면 AWS Control Tower 먼저 를 업데이트한 다음 등록된 계정을 개별적으로 업데이트해야 랜딩 존합니다. 경우에 따라 다음 세 가지 유형의 업데이트를 수행해야 할 수 있습니다.

  • 랜딩 영역 업데이트: 랜딩 영역 설정 페이지에서 업데이트를 선택하여 이러한 유형의 업데이트를 수행하는 경우가 많습니다. 특정 유형의 드리프트를 복구하려면 랜딩 존 업데이트를 수행해야 할 수 있으며, 필요한 경우 Repair(복구)를 선택할 수 있습니다.

  • 하나 이상의 개별 계정 업데이트: 연결된 정보가 변경되거나 특정 유형의 드리프트가 발생한 경우 계정을 업데이트해야 합니다. 수동 프로세스 또는 자동화된 접근 방식을 통해 계정을 업데이트할 수 있습니다. 두 가지 모두 이 페이지의 뒷부분에 설명되어 있습니다.

  • 전체 업데이트: 전체 업데이트에는 의 업데이트랜딩 존와 등록된 OU의 등록된 모든 계정에 대한 업데이트가 포함됩니다. 2.3, 2.4 등과 같은 새 AWS Control Tower 릴리스에서 전체 업데이트가 필요합니다.

랜딩 영역 업데이트

를 업데이트하는 가장 쉬운 AWS Control Tower 랜딩 존 방법은 왼쪽 탐색 창에서 랜딩 영역 설정을 선택하여 액세스할 수 있는 랜딩 영역 설정 페이지를 거치는 것입니다.

랜딩 영역 설정 페이지에는 의 현재 버전이 표시되고 사용 가능한 업데이트된 버전이 랜딩 존나열됩니다. 버전을 업데이트해야 하는 경우 업데이트 버튼을 선택할 수 있습니다. 업데이트 버튼이 회색으로 표시되면 업데이트할 필요가 없습니다.

참고

또는 를 랜딩 존 수동으로 업데이트할 수 있습니다. 업데이트 버튼을 사용하든 수동 프로세스를 사용하든 업데이트에 소요되는 시간은 거의 동일합니다. 의 수동 업데이트랜딩 존만 수행하려면 다음 1 및 2단계를 참조하십시오.

다음 절차에서는 수동으로 AWS Control Tower의 전체 업데이트를 수행하는 단계를 안내합니다. 개별 계정을 업데이트하려면 3단계에서 시작합니다.

랜딩 존을 수동으로 업데이트하는 방법

  1. 웹 브라우저를 열고 AWS Control Towerhttps://us-west-2.console.aws.amazon.com/controltower/home/update 콘솔로 이동합니다.

  2. 마법사의 정보를 검토하고 업데이트.를 선택합니다. 이렇게 하면 랜딩 존의 백엔드와 공유 계정이 업데이트됩니다. 이 과정은 한 시간 이상 걸릴 수 있습니다.

  3. 멤버 계정을 업데이트합니다. 탐색 창에서 계정.을 선택합니다.

  4. Enroll account(계정 등록)를 선택하여 AWS Service Catalog 콘솔과 Account Factory 제품을 엽니다.

  5. 탐색 창에서 Provisioned products list(프로비저닝된 제품 목록).를 선택합니다.

  6. 나열된 각 계정에 대해 다음 단계를 수행하여 모든 멤버 계정을 업데이트합니다.

    1. 계정의 메뉴에서 Provisioned product details(프로비저닝된 제품 세부 정보).를 선택합니다.

    2. 다음 파라미터를 기록해 둡니다.

      • SSOUserEmail (프로비저닝된 제품 세부 정보에서 사용 가능)

      • AccountEmail (프로비저닝된 제품 세부 정보에서 사용 가능)

      • SSOUserFirstName (SSO에서 사용 가능)

      • SSOUSerLastName (SSO에서 사용 가능)

      • AccountName (SSO에서 사용 가능)

    3. 작업에서 업데이트.를 선택합니다.

    4. 업데이트할 제품의 버전 옆에 있는 라디오 버튼을 선택하고 다음을 선택합니다.

    5. 앞서 언급한 파라미터 값을 제공합니다. 에서 계정이 있는 OU를 ManagedOrganizationalUnit 선택합니다. 이 정보는 AWS Control Tower 콘솔의 계정.에서 확인할 수 있습니다.

    6. Next.]를 선택합니다.

    7. 변경 사항을 검토한 다음 업데이트.를 선택합니다. 이 프로세스는 계정당 몇 분 정도 걸릴 수 있습니다.

드리프트 해결

를 생성할 때 AWS Control Tower 랜딩 존 랜딩 존 와 모든 , OUs계정 및 리소스는 필수 또는 선택 여부에 관계없이 가드레일에서 적용되는 모든 거버넌스 규칙을 준수합니다. 사용자 및 사용자 조직의 멤버가 랜딩 존을 사용할 때 규정 준수 상태가 변경될 수 있습니다. 일부 변경 사항은 실수일 수 있으며, 일부는 시간에 민감한 작업 이벤트에 의도적으로 응답하는 것일 수 있습니다. 그럼에도 불구하고 변경 사항은 규정 준수 스토리를 복잡하게 만들 수 있습니다.

드리프트를 해결하면 조직이 거버넌스 규정을 준수하도록 보장할 수 있습니다. 드리프트 해결은 관리 계정 관리자를 위한 일반 작업입니다.

드리프트 감지는 에서 자동입니다.AWS Control Tower. 드리프트 해결을 위해 수행해야 하는 변경 또는 구성 업데이트가 필요한 리소스를 식별하는 데 도움이 됩니다.

대부분의 드리프트 유형을 복구하려면 설정 페이지에서 복구를 선택합니다. 드리프트가 발생하면 복구 버튼을 선택할 수 있는 상태가 됩니다. 자세한 정보는 을 참조하십시오.에서 드리프트 감지 및 해결 AWS Control Tower.

새 AWS 리전AWS Control Tower에 배포

이 단원에서는 새 AWS 리전에 AWS Control Tower 랜딩 영역을 배포할 때 발생하는 동작에 대해 설명합니다. 일반적으로 이러한 유형의 배포는 콘솔의 업데이트AWS Control Tower 함수를 통해 수행됩니다.

참고

따라서 워크로드를 실행할 필요가 없는 AWS 리전으로 AWS Control Tower 랜딩 존을 확장하지 않는 것이 좋습니다. 리전을 옵트아웃해도 해당 리전에 리소스를 배포할 수는 없지만 해당 리소스는 AWS Control Tower 거버넌스를 벗어나지 않습니다.

새 AWS 리전에 배포하는 동안 는AWS Control Tower 랜딩 영역을 업데이트합니다. 즉, 랜딩 영역이 새 리전에서 활발하게 작동하도록 기준을 지정합니다. AWS Control Tower에서 관리하는 조직 단위(OU) 내의 개별 계정은 이 랜딩 영역 업데이트 프로세스의 일환으로 업데이트되지 않습니다. 따라서 를 다시 등록하여 계정을 OUs업데이트해야 합니다.

새 리전AWS Control Tower에 배포하는 경우 다음 권장 사항 및 제한 사항에 유의하십시오.

  • AWS 리소스 또는 워크로드를 호스팅할 리전을 선택합니다. Well-Architected 랜딩 영역에 대해 최소 3개의 리전을 추가합니다.

  • 리전을 옵트아웃해도 해당 리전에 리소스를 배포할 수는 없지만 해당 리소스는 AWS Control Tower 거버넌스를 벗어나지 않습니다.

  • 관리하는 리전을 옵트아웃할 수 없습니다.

새 리전에 배포하는 경우 AWS Control Tower 감지 가드레일은 다음 규칙을 준수합니다.

  • 기존 요소의 가드레일 동작은 동일하게 유지. 기존 OUs리전의 기존 계정에서는 탐지 및 예방 가드레일 동작이 변경되지 않습니다.

  • 업데이트되지 않은 기존 OUs 포함 계정에는 새 감지 가드레일을 적용할 수 없습니다. AWS Control Tower 랜딩 영역을 업데이트하여 새 리전에 배포한 경우 기존 리전에서 새 감지 가드레일OUs을 활성화OUs하기 전에 기존 계정을 업데이트해야 합니다.

  • 계정을 업데이트하는 즉시 기존 감지 가드레일이 새 리전에서 작동하기 시작함. AWS Control Tower 랜딩 영역을 업데이트하여 새 리전에 배포한 다음 계정을 업데이트하면 OU에서 이미 활성화되어 있는 감지 가드레일이 새 리전의 해당 계정에서 작동하기 시작합니다.

새 리전에 배포

  1. 에서 AWS Control Tower 콘솔에 로그인합니다. https://console.aws.amazon.com/https://console.aws.amazon.com/controltower

  2. 왼쪽 창 탐색 메뉴에서 랜딩 영역 설정을 선택합니다.

  3. 랜딩 영역 설정 페이지에서 리전 탭을 선택합니다.

  4. 리전 테이블에서 리전 업데이트를 선택합니다. 새 리전에 를 관리하려면 최신 버전으로 업데이트해야 하므로 랜딩 영역 업데이트 워크플로로 이동합니다.

  5. 거버넌스를 위한 추가 AWS 리전에서 관리할 리전을 검색합니다. 상태 열은 현재 가 관리하는 리전과 그렇지 않은 리전을 나타냅니다.

  6. 관리할 추가 리전의 확인란을 선택합니다.

    참고

    리전에 거버넌스를 추가하면 랜딩 영역 설정이 완료된 후에는 거버넌스를 제거할 수 없습니다. 리전에 관리하지 않도록 선택한 경우에도 해당 리전에 리소스를 배포할 수 있지만 해당 리소스는 AWS Control Tower 거버넌스 외부에 남아 있습니다.

  7. 워크플로우의 나머지 부분을 완료한 다음 Update landing zone(랜딩 영역 업데이트)을 선택합니다.

  8. 랜딩 영역 설정이 완료되면 를 다시 등록OUs하여 새 리전의 계정을 업데이트합니다. 자세한 정보는 을 참조하십시오.기존 OUs 및 계정 업데이트.

자동화를 사용하여 계정 업데이트

새 리전에 배포 후 개별 계정을 업데이트하는 한 가지 방법은 의 API 프레임워크AWS Service Catalog와 를 사용하여 배치 프로세스에서 계정을 AWS CLI 업데이트하는 것입니다. 각 계정에 대해 의 UpdateProvisionedProductAWS Service Catalog API를 호출합니다. 이 API를 사용하여 계정을 하나씩 업데이트하는 스크립트를 작성할 수 있습니다. 이 방법에 대한 자세한 내용은 블로그 게시물.에서 확인할 수 있습니다.

각 계정 업데이트가 성공할 때까지 기다렸다가 다음 계정 업데이트를 시작해야 합니다. 따라서 계정이 많은 경우 프로세스가 오래 걸릴 수 있지만 복잡하지는 않습니다. 이 방법에 대한 자세한 내용은 단원을 참조하십시오.연습: 의 계정 자동 프로비저닝AWS Control Tower.

참고

비디오 안내 는 자동화된 계정 프로비저닝을 위해 설계되었지만, 이 단계는 계정 업데이트에도 적용됩니다. UpdateProvisionedProduct API 대신 ProvisionProduct API를 사용합니다.

자동화의 추가 단계는 수명 주기 이벤트의 AWS Control Tower성공UpdateLandingZone 상태를 확인하는 것입니다. 트리거로 사용하여 비디오에 설명된 대로 개별 계정 업데이트를 시작합니다. 수명 주기 이벤트는 일련의 활동이 완료되었음을 나타내므로 이 이벤트가 발생한다는 것은 랜딩 영역 업데이트가 완료되었음을 의미합니다. 계정 업데이트를 시작하기 전에 랜딩 영역 업데이트를 완료해야 합니다. 수명 주기 이벤트 작업에 대한 자세한 내용은 수명 주기 이벤트.를 참조하십시오.