AWS Control Tower 랜딩 존을 사용자 지정하십시오 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Control Tower 랜딩 존을 사용자 지정하십시오

지역 선택 및 선택적 제어와 같은 AWS Control Tower 랜딩 존의 특정 측면은 콘솔에서 구성할 수 있습니다. 자동화를 통해 콘솔 외부에서 기타 변경 사항을 적용할 수 있습니다.

예를 들어, AWS CloudFormation 템플릿 및 AWS Control Tower 수명 주기 이벤트와 함께 작동하는 GitOps 스타일 사용자 지정 프레임워크인 AWS Control Tower 사용자 지정 기능을 사용하여 랜딩 존을 보다 광범위하게 사용자 지정할 수 있습니다.

AWS Control Tower 콘솔에서 사용자 지정

랜딩 존을 사용자 지정하려면 AWS Control Tower 콘솔에서 제공하는 단계를 따르십시오.

설정 중에 사용자 지정된 이름을 선택합니다.
도움말

에서 OU 이름을 변경해도 Account Factory에 프로비저닝된 해당 제품이 업데이트되지는 AWS Organizations 않는다는 점을 기억하십시오. 프로비저닝된 제품을 자동으로 업데이트하고 드리프트를 방지하려면 AWS Control Tower를 통해 OU 생성, 삭제 또는 재등록을 포함한 OU 작업을 수행해야 합니다.

지역 AWS 선택
  • 거버넌스를 위한 특정 AWS 지역을 선택하여 랜딩 존을 사용자 지정할 수 있습니다. AWS Control Tower 콘솔의 단계를 따르십시오.

  • 랜딩 존을 업데이트할 때 거버넌스 대상 AWS 지역을 선택하거나 선택 취소할 수 있습니다.

  • 지역 거부 제어를 사용 또는 사용 안 함으로 설정하고 관리되지 않는 지역의 대부분의 AWS 서비스에 대한 사용자 액세스를 제어할 수 있습니다. AWS

cFCT에 배포 제한이 AWS 리전 있는 위치에 대한 자세한 내용은 을 참조하십시오. 제어 한계

선택적 컨트롤을 추가하여 사용자 지정하십시오.
  • 강력히 권장되는 컨트롤과 선택적 컨트롤은 선택 사항이므로 어느 것을 활성화할지 선택하여 랜딩 존의 적용 수준을 사용자 지정할 수 있습니다. 옵션 컨트롤기본적으로 활성화되어 있지 않습니다.

  • 선택 항목을 데이터 레지던시 보호를 강화하는 제어 사용하면 데이터를 저장하는 지역을 사용자 지정하고 데이터에 대한 액세스를 허용할 수 있습니다.

  • 통합 Security Hub 표준에 속하는 선택적 제어를 사용하면 AWS Control Tower 환경을 스캔하여 보안 위험을 확인할 수 있습니다.

  • 선택적 사전 제어를 사용하면 리소스가 프로비저닝되기 전에 AWS CloudFormation 리소스를 확인하여 새 리소스가 환경의 제어 목표를 준수하는지 확인할 수 있습니다.

트레일을 사용자 지정하세요. AWS CloudTrail
  • 랜딩 존을 버전 3.0 이상으로 업데이트하면 AWS Control Tower에서 관리하는 조직 수준 CloudTrail 트레일을 옵트인하거나 옵트아웃할 수 있습니다. landing Zone을 업데이트할 때마다 이 선택을 변경할 수 있습니다. AWS Control Tower는 관리 계정에 조직 수준의 트레일을 생성하며, 이 트레일은 선택에 따라 활성 또는 비활성 상태로 전환됩니다. 랜딩 존 3.0은 계정 수준 CloudTrail 트레일을 지원하지 않지만, 필요한 경우 자체 트레일을 구성하고 관리할 수 있습니다. 트레일이 중복되면 추가 비용이 발생할 수 있습니다.

콘솔에서 사용자 지정 멤버 계정을 만드세요.

AWS Control Tower 콘솔 외부에서 사용자 지정 자동화

일부 사용자 지정은 AWS Control Tower 콘솔을 통해 사용할 수 없지만 다른 방법으로 구현할 수 있습니다. 예:

AWS Control Tower (cFCT) 에 대한 사용자 지정의 이점

AWS Control Tower 사용자 지정 (cFCT) 이라고 하는 기능 패키지를 사용하면 AWS Control Tower 콘솔에서 생성할 수 있는 것보다 더 광범위한 랜딩 존 사용자 지정을 생성할 수 있습니다. A GitOps 스타일의 자동화된 프로세스를 제공합니다. 비즈니스 요구 사항에 맞게 landing Zone을 재구성할 수 있습니다.

infrastructure-as-code사용자 지정 프로세스는 AWS CloudFormation 템플릿을 AWS 서비스 제어 정책 (SCP) 및 AWS Control Tower 수명 주기 이벤트와 통합하여 리소스 배포가 랜딩 존과 동기화된 상태를 유지하도록 합니다. 예를 들어 Account Factory를 사용하여 새 계정을 생성하면 계정과 OU에 연결된 리소스를 자동으로 배포할 수 있습니다.

참고

Account Factory 및 AFT와 달리 CFCT는 특별히 새 계정을 생성하기 위한 것이 아니라 지정한 리소스를 배포하여 랜딩 존의 계정 및 OU를 사용자 지정하기 위한 것입니다.

이점
  • 사용자 지정되고 안전한 AWS 환경 확장 — 다중 계정 AWS Control Tower 환경을 더 빠르게 확장하고 AWS 모범 사례를 반복 가능한 사용자 지정 워크플로에 통합할 수 있습니다.

  • 요구 사항 인스턴스화 — 정책 의도를 표현하는 AWS CloudFormation 템플릿 및 서비스 제어 정책을 사용하여 비즈니스 요구 사항에 맞게 AWS Control Tower 랜딩 존을 사용자 지정할 수 있습니다.

  • AWS Control Tower 수명 주기 이벤트로 추가 자동화 — 수명 주기 이벤트를 사용하면 이전 일련의 이벤트 완료를 기반으로 리소스를 배포할 수 있습니다. 수명 주기 이벤트를 사용하면 리소스를 계정과 OU에 자동으로 배포할 수 있습니다.

  • 네트워크 아키텍처 확장 — 트랜짓 게이트웨이와 같이 연결성을 개선하고 보호하는 맞춤형 네트워크 아키텍처를 배포할 수 있습니다.

추가 cFCT 예제

AWS 보안 참조 아키텍처에 대한 자세한 내용은 AWS 규범적 지침 페이지를 참조하십시오.