AWS Control Tower landing zone 사용자 지정 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Control Tower landing zone 사용자 지정

AWS Control Tower landing zone 존의 특정 측면을 콘솔에서 구성할 수 있습니다 (예: 리전 선택 및 가드레일 옵션). 자동화를 통해 콘솔 외부에서 다른 변경 사항을 적용할 수 있습니다.

예를 들어 를 사용하여 landing zone 구역의 보다 광범위한 사용자 지정을 작성할 수 있습니다.AWS Control Tower의 사용자 지정기능, Gitops 스타일 사용자 지정 프레임워크AWS CloudFormation템플릿 및 AWS Control Tower 수명 주기 이벤트.

AWS Control Tower 콘솔에서 사용자 지정

landing zone 존에 이러한 사용자 지정을 수행하려면 AWS Control Tower 콘솔에서 제공하는 단계를 따르십시오.

설정 중에 사용자 정의 이름 선택

  • 설정 중에 최상위 OU 이름을 선택할 수 있습니다. 를 사용하여 언제든지 OU의 이름을 바꿀 수 있습니다.AWS Organizations콘솔을 사용하지만 OU를 변경합니다.AWS Organizations수리 가능한 원인이 될 수 있음경향.

  • 공유 이름을 선택할 수 있습니다.감사로그 아카이브계정이지만 설정 후에는 이름을 변경할 수 없습니다. (이는 일회성 선택 사항입니다.)

도움말

에서 OU 이름 바꾸기를 기억하십시오.AWS Organizations는 Account Factory에서 프로비저닝된 제품을 업데이트하지 않습니다. 프로비저닝된 제품을 자동으로 업데이트하고 드리프트를 방지하려면 OU 생성, 삭제 또는 재등록을 포함하여 AWS Control Tower 를 통해 OU 작업을 수행해야 합니다.

SelectAWS리전

  • 특정 항목을 선택하여 landing zone 구역을 사용자 정의할 수 있습니다.AWS거버넌스 리전. AWS Control Tower의 단계를 따릅니다.

  • 선택 및 선택 취소할 수 있습니다.AWS랜딩 구역을 업데이트할 때 거버넌스 지역입니다.

  • 영역 거부 가드레일을 로 설정할 수 있습니다.활성화됨또는활성화되지 않음및 대부분의 사용자 액세스 제어AWS비관리 서비스AWS지역.

가드레일 (옵션) 을 추가하여 사용자 정의

  • 권장 및 선택 가드레일은 선택 사항입니다. 따라서 무엇을 활성화할지 선택하여 landing zone 구역의 적용 수준을 사용자 지정할 수 있습니다.가드레일 선택기본적으로 활성화되어 있지 않습니다.

  • 선택 사항데이터 상주 보호를 강화하는 가드레일저장한 리전을 사용자 정의하고 데이터에 대한 액세스를 허용할 수 있습니다.

AWS Control Tower 콘솔 외부에서 사용자 지정 자동화

일부 사용자 지정은 AWS Control Tower 콘솔을 통해 사용할 수 없지만 다른 방법으로 구현할 수 있습니다. 예:

  • Gitops 스타일 워크플로에서 프로비저닝 중에 계정을 사용자 지정할 수 있습니다.테라폼 Account Factory (AFT).

    AFT는 Terraform 모듈과 함께 배포되며AFT 저장소.

  • 다음과 같이 AWS Control Tower landing zone 사용자 지정할 수 있습니다.AWS Control Tower의 사용자 지정(CFCT), 내장된 기능 패키지AWS CloudFormation템플릿 및 서비스 제어 정책 (SCP) 사용자 지정 템플릿과 정책을 조직 내의 개별 계정 및 OU (조직 단위) 에 배포할 수 있습니다.

    CFCT의 소스 코드는 다음과 같이 사용할 수 있습니다.GitHub 리포지토리.

AWS Control Tower (CFCT) 사용자 지정의 이점

우리가 참조하는 기능 패키지AWS Control Tower의 사용자 지정(CFCT) 를 사용하면 AWS Control Tower 콘솔에서 생성할 수 있는 것보다 landing zone 대해 보다 광범위한 사용자 지정을 생성할 수 있습니다. Gitops 스타일의 자동화된 프로세스를 제공합니다. 비즈니스 요구 사항에 맞게 landing zone 구역을 변경할 수 있습니다.

코드로서의 인프라사용자 지정 프로세스 통합AWS CloudFormation를 사용하는 템플릿AWS서비스 제어 정책 (SCP) 및 AWS Control Tower수명 주기 이벤트리소스 배포가 landing zone 구역과 동기화된 상태를 유지할 수 있도록 합니다. 예를 들어 계정 팩토리를 사용하여 새 계정을 만들면 계정에 연결된 리소스와 OU가 자동으로 배포될 수 있습니다.

참고

Account Factory 및 AFT와 달리 CFCT는 신규 계정을 생성하는 것이 아니라 사용자가 지정한 리소스를 배포하여 landing zone 계정과 OU를 사용자 정의하기 위한 것입니다.

장점

  • 맞춤형 보안 확장AWS환경— 다중 계정 AWS Control Tower 환경을 보다 빠르게 확장하고 통합할 수 있습니다.AWS반복 가능한 사용자 지정 워크플로우에 대한 모범 사례.

  • 요구 사항 인스턴스화— 다음과 같이 비즈니스 요구 사항에 맞게 AWS Control Tower landing zone 존을 사용자 지정할 수 있습니다.AWS CloudFormation정책 의도를 나타내는 템플릿 및 서비스 제어 정책

  • AWS Control Tower 수명 주기 이벤트를 통한 추가 자동화— 수명 주기 이벤트를 사용하면 이전 일련의 이벤트 완료를 기반으로 리소스를 배포할 수 있습니다. 수명 주기 이벤트를 통해 계정 및 OU에 리소스를 자동으로 배포할 수 있습니다.

  • 네트워크 아키텍처 확장— 전송 게이트웨이와 같은 연결을 개선하고 보호하는 맞춤형 네트워크 아키텍처를 배포할 수 있습니다.

추가 CFCT 예제

에 대한 자세한 내용AWS보안 참조 아키텍처, 참조AWS규범적 지침 페이지.