AWS Control Tower 에서 드리프트 감지 및 해결 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Control Tower 에서 드리프트 감지 및 해결

드리프트를 식별하고 해결하는 것은 AWS Control Tower 관리 계정 관리자의 일반적인 운영 작업입니다.

랜딩 영역을 생성하면 랜딩 영역과 모든 조직 단위 (OU), 계정 및 리소스가 선택한 가드레일에서 적용되는 거버넌스 규칙을 준수합니다. 사용자 및 사용자 조직의 멤버가 landing zone 사용할 때 이 규정 준수 상태가 변경될 수 있습니다. 일부 변경 사항은 실수일 수 있으며, 일부는 시간에 민감한 작업 이벤트에 의도적으로 응답하는 것일 수 있습니다.

변경 사항은 규정 준수 스토리를 복잡하게 만들 수 있습니다. 드리프트 감지로 드리프트를 해결하기 위해 변경 또는 구성 업데이트가 필요한 리소스를 식별할 수 있습니다. 드리프트를 해결하면 거버넌스 규정 준수를 보장할 수 있습니다.

드리프트 감지

AWS Control Tower 가 자동으로 표류를 감지합니다. 드리프트를 감지하기 위해AWSControlTowerAdmin역할에는 AWS Control Tower 조직에 읽기 전용 API를 호출할 수 있도록 관리 계정에 대한 지속적인 액세스가 필요합니다. 이러한 API 호출은 AWS CloudTrail 이벤트로 표시됩니다.

드리프트는 감사 계정에 집계되는 Simple Notification Service (Amazon SNS) 알림에 표시됩니다. 각 멤버 계정의 알림은 로컬 Amazon SNS 주제 및 Lambda 함수에 경고를 보냅니다.

멤버 계정 관리자는 특정 계정에 대한 SNS 드리프트 알림을 구독할 수 있습니다(모범 사례로서 권장됨). 예를 들어aws-controltower-AggregateSecurityNotificationsSNS 주제는 드리프트 알림을 제공합니다. AWS Control Tower 콘솔은 드리프트가 발생했을 때 관리 계정 관리자에게 알려줍니다.

드리프트 해결

감지는 자동으로 수행되지만 드리프트를 해결하는 단계는 콘솔을 통해 수행해야 합니다. 다양한 유형의 드리프트는 설정 페이지를 통해 해결할 수 있습니다. 경우복구버전섹션을 선택할 수 있습니다, 당신은 선택할 수 있습니다복구드리프트의 일부 유형을 복구 할 수 있습니다. 드리프트가 발생하지 않으면 복구 버튼이 회색으로 표시됩니다.

대부분의 드리프트 유형은 관리자가 해결할 수 있습니다. AWS Control Tower landing zone 필요한 조직 단위의 삭제를 포함하여 몇 가지 드리프트 유형은 즉시 복구해야 합니다. 다음은 주요 드리프트의 몇 가지 예입니다.

  • 원래 이름이 지정된 조직 구성 단위보안AWS Control Tower 에 의한 landing zone 설정 시 삭제해서는 안 됩니다. 삭제하면 랜딩 영역을 즉시 복구하라는 오류 메시지가 표시됩니다. 복구가 완료될 때까지 AWS Control Tower 에서 다른 작업을 수행할 수 없습니다.

  • AWS Control Tower 는 사용자가 콘솔에 로그인할 때 특정 AWS Identity and Access Management (IAM) 역할을 확인합니다.IAM 역할 드리프트를 선택합니다. 이러한 역할이 없거나 액세스할 수 없는 경우, 랜딩 영역을 복구하라는 오류 페이지가 표시됩니다. 이러한 역할은AWSControlTowerAdmin, AWSControlTowerCloudTrailRoleAWSControlTowerStackSetRole입니다.

  • 원래 이름이 지정된 조직 구성 단위를 삭제하는 경우샌드박스를 사용하는 경우, landing zone 은 드리프트 상태가 되지만 AWS Control Tower 를 계속 사용할 수 있습니다. AWS Control Tower 가 작동하려면 하나 이상의 추가 OU가 필요하지만샌드박스 OU.

리소스에 대한 복구 가능한 변경

다음은 복구 가능한 드리프트를 생성하지만 AWS Control Tower 리소스에 대해 허용되는 변경 목록입니다. 이러한 허용된 작업의 결과는 AWS Control Tower 콘솔에서 볼 수 있지만 새로 고침이 필요할 수 있습니다.

생성되는 드리프트를 해결하는 방법에 대한 자세한 내용은AWS Control Tower 외부의 리소스 관리를 선택합니다.

AWS Control Tower 콘솔 외부에서 허용되는 변경

  • 등록된 OU의 이름을 변경합니다.

  • 보안 OU의 이름을 변경합니다.

  • 기본이 아닌 OU에서 구성원 계정의 이름을 변경합니다.

  • 보안 OU에서 AWS Control Tower 공유 계정의 이름을 변경합니다.

  • 비 기본 OU를 삭제합니다.

  • 기본이 아닌 OU에서 등록된 계정을 삭제합니다.

  • 보안 OU에서 공유 계정의 이메일 주소 변경

  • 등록된 OU에서 멤버 계정의 이메일 주소 변경

참고

OU 간의 계정 이동은 드리프트로 간주되므로 복구해야 합니다.

드리프트 및 새 계정 프로비저닝

landing zone 드리프트 상태인 경우Enroll account기능은 AWS Control Tower 않습니다. 이 경우 AWS Service Catalog를 통해 새 계정을 프로비저닝해야 합니다. 지침은 AWS Service Catalog 사용한 프로비저닝 Account Factory을 참조하십시오.

특히 AWS Service Catalog를 사용하여 계정에 특정 변경을 수행한 경우(예: 포트폴리오 이름 변경) 계정 등록 기능이 작동하지 않습니다.

거버넌스 드리프트 유형

조직 및 멤버 계정이 변경 및 업데이트될 때 거버넌스 드리프트가 발생합니다. AWS Control Tower 에서 감지할 수 있는 거버넌스 드리프트 유형은 다음과 같습니다.

이동된 멤버 계정

이러한 유형의 드리프트는 멤버 계정, 감사 계정 또는 로그 아카이브 계정이 한 AWS Control Tower OU로 이동할 때 발생할 수 있습니다. 다음은 이러한 유형의 드리프트가 감지된 경우 Amazon SNS 알림의 예입니다.

{ "Message" : "AWS Control Tower has detected that your managed account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Custom (ou-0123-eEXAMPLE)' to 'Core (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "AccountMovedBetweenOrganizationalUnits", "RemediationStep" : "Update Account Factory Provisioned Product", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }

Resolutions

이러한 유형의 드리프트가 발생하면 다음과 같이 해결할 수 있습니다.

추가된 멤버 계정

계정을 추가하는 것은 기술적으로 표류하는 것은 아니지만 AWS Control Tower 회원 계정이 AWS Control Tower 조직에 추가되면 AWS 컨트롤 타워에서 경고를 보냅니다. 예를 들어 감사 계정 또는 로그 아카이브 계정과 같은 공유 계정이 제거되어 교체되어야 하는 경우 드리프트 수정 프로세스의 일부로 구성원 계정이 AWS Control Tower 조직에 추가될 수 있습니다. 다음 예는 이러한 유형의 이벤트가 감지될 때 수신할 수 있는 Amazon SNS 알림을 보여 줍니다.

{ "Message" : "AWS Control Tower has detected that the managed account 'account-email@amazon.com (012345678909)' has been added to organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/add-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "AccountAddedToOrganization", "RemediationStep" : "Update Account Factory Provisioned Product", "AccountId" : "012345678909" }

Resolution

Account Factory 계정을 업데이트하여 이 메시지를 해결할 수 있습니다. 자세한 내용은 AWS Service Catalog를 사용하여 Account Factory 계정 업데이트 단원을 참조하세요.

제거된 멤버 계정

이러한 유형의 드리프트는 AWS Control Tower 멤버 계정이 제거될 때 발생할 수 있습니다. 다음은 이러한 유형의 드리프트가 감지된 경우 Amazon SNS 알림의 예입니다.

{ "Message" : "AWS Control Tower has detected that the managed account 012345678909 has been removed from organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "AccountRemovedFromOrganization", "RemediationStep" : "Add account to Organization and update Account Factory provisioned product", "AccountId" : "012345678909" }

Resolution

이러한 유형의 드리프트가 발생하면 AWS Control Tower 가 알림을 수신하여 자동 업데이트를 수행합니다. 삭제된 멤버 계정이 계속 표시될 경우 landing zone 복구하여 드리프트를 해결할 수 있습니다. 또한 Account Factory 계정을 업데이트하고 Account Factory 업데이트 마법사에서 등록된 다른 OU에 계정을 추가하여 드리프트를 해결할 수도 있습니다. 자세한 내용은 AWS Service Catalog를 사용하여 Account Factory 계정 업데이트 단원을 참조하세요.

계정 및 OU 드리프트 해결에 대한 자세한 내용은 AWS Control Tower 외부의 리소스 관리 단원을 참조하십시오.

참고

AWS Service Catalog에서는 계정을 나타내는 Account Factory 프로비저닝 제품이 계정을 제거하며 업데이트되지 않습니다. 대신 프로비저닝된 제품이 TAINTED 및 오류 상태로 표시됩니다. 정리하려면 AWS Service Catalog로 이동하여 프로비저닝된 제품을 선택한 다음 종료를 선택합니다.

관리형 SCP에 대한 계획되지 않은 업데이트

이러한 유형의 드리프트는 가드레일용 SCP가 AWS Organizations 콘솔에서 업데이트되거나 AWS CLI 또는 AWS SDK 중 하나를 사용하여 프로그래밍 방식으로 업데이트될 때 발생할 수 있습니다. 다음은 이러한 유형의 드리프트가 감지된 경우 Amazon SNS 알림의 예입니다.

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)', attached to the managed organizational unit 'Core (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ServiceControlPolicyUpdated", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }

Resolution

이러한 유형의 드리프트가 최대 300개의 계정이 있는 OU에서 발생하면 다음을 통해 해결할 수 있습니다.

300개 이상의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하면 landing zone 업데이트하여 문제를 해결하십시오. 자세한 내용은 랜딩 영역 업데이트 단원을 참조하세요.

관리형 OU에 연결된 SCP

이러한 유형의 드리프트는 SCP가 AWS Control Tower 콘솔 외부의 OU에 연결될 때 발생할 수 있습니다. 다음은 이러한 유형의 드리프트가 감지된 경우 Amazon SNS 알림의 예입니다.

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the managed organizational unit 'Custom (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ServiceControlPolicyAttachedToOrganizationalUnit", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }

Resolution

이러한 유형의 드리프트가 최대 300개의 계정이 있는 OU에서 발생하면 다음을 통해 해결할 수 있습니다.

300개 이상의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하면 landing zone 업데이트하여 문제를 해결하십시오. 자세한 내용은 랜딩 영역 업데이트 단원을 참조하세요.

관리형 OU에서 분리된 SCP

이러한 유형의 드리프트는 SCP가 AWS Control Tower 콘솔 외부의 OU에서 분리될 때 발생할 수 있습니다. 다음은 이러한 유형의 드리프트가 감지된 경우 Amazon SNS 알림의 예입니다.

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been detached from the managed organizational unit 'Custom (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ServiceControlPolicyDetachedFromOrganizationalUnit", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }

Resolution

이러한 유형의 드리프트가 최대 300개의 계정이 있는 OU에서 발생하면 다음을 통해 해결할 수 있습니다.

  • AWS Control Tower 콘솔에서 OU로 이동하여 OU를 다시 등록합니다 (가장 빠른 옵션). 자세한 내용은 AWS Control Tower 에 기존 조직 구성 단위 등록 단원을 참조하세요.

  • landing zone 업데이트 (느린 옵션). 드리프트가 필수 가드레일에 영향을 주는 경우 업데이트 프로세스는 새 SCP (서비스 제어 정책) 를 만들고 이를 OU에 연결하여 드리프트를 복구합니다. landing zone 업데이트하는 방법에 대한 자세한 내용은랜딩 영역 업데이트를 선택합니다.

300개 이상의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하면 landing zone 업데이트하여 문제를 해결하십시오. 드리프트가 필수 가드레일에 영향을 주는 경우 업데이트 프로세스는 새 SCP (서비스 제어 정책) 를 만들고 이를 OU에 연결하여 드리프트를 복구합니다. landing zone 업데이트하는 방법에 대한 자세한 내용은랜딩 영역 업데이트를 선택합니다.

멤버 계정에 연결된 SCP

이러한 유형의 드리프트는 SCP가 Organizations 콘솔의 계정에 연결될 때 발생할 수 있습니다. 가드레일 및 해당 SCP는 AWS Control Tower 콘솔을 통해 OU 및 모든 OU의 멤버 계정에서 활성화될 수 있습니다. 다음은 이러한 유형의 드리프트가 감지된 경우 Amazon SNS 알림의 예입니다.

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the managed account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ServiceControlPolicyAttachedToAccount", "RemediationStep" : "Update Control Tower Setup", "AccountId" : "012345678909", "PolicyId" : "p-tEXAMPLE" }

Resolution

이러한 유형의 드리프트가 최대 300개의 계정이 있는 OU에서 발생하면 다음을 통해 해결할 수 있습니다.

300개 이상의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하면 landing zone 업데이트하여 문제를 해결하십시오. 자세한 내용은 랜딩 영역 업데이트 단원을 참조하세요.

삭제된 관리형 OU

이러한 유형의 드리프트는 AWS Control Tower 콘솔 외부에서 삭제된 경우 발생할 수 있습니다. 다음은 이러한 유형의 드리프트가 감지된 경우 Amazon SNS 알림의 예입니다.

{ "Message" : "AWS Control Tower has detected that the managed organizational unit 'Custom (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "OrganizationalUnitDeleted", "RemediationStep" : "Delete managed organizational unit in Control Tower", "OrganizationalUnitId" : "ou-0123-1EXAMPLE" }

Resolution

이러한 유형의 드리프트가 발생하면 일반적으로 AWS Control Tower 가 등록된 OU 목록을 자동으로 업데이트할 수 있습니다. 삭제된 OU가 표시되면 중앙 클라우드 관리자가 AWS Control Tower 콘솔에 로그인하여조직 단위를 선택합니다.

계정 및 OU 드리프트 해결에 대한 자세한 내용은 AWS Control Tower 외부의 리소스 관리 단원을 참조하십시오.