기존 AWS 계정 등록 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

기존 AWS 계정 등록

AWS Control Tower 거버넌스를 기존의 개별 AWS 계정으로 확장할 수 있습니다.싸다는 이미 AWS Control Tower Tower가 관리하는 조직 단위 (OU) 로 구성됩니다. 적격 계정이 다음 위치에 있음등록되지 않은 OU (동일) 의 일부인AWS Organizations조직AWS Control Tower OU로 사용할 수 있습니다.

먼저 신뢰할 수 있는 액세스 설정

기존 AWS 계정을 AWS Control Tower 타워에 등록하려면 먼저 AWS Control Tower 타워에서 관리할 수 있는 권한을 부여해야 합니다.지배합니다, 계정. 특히 AWS Control Tower 는 AWS 간에 신뢰할 수 있는 액세스를 설정할 권한이 필요합니다.CloudFormation과AWS Organizations사용자를 대신하여 AWS를 대신하여CloudFormation선택한 조직의 계정에 스택을 자동으로 배포할 수 있습니다.

신뢰할 수 있는 액세스 및 AWS에 대한 자세한 내용은CloudFormation StackSets을 참조하십시오.AWSCloudFormation StackSets및 AWS Organizations. 신뢰할 수 있는 액세스가 활성화되면 AWSCloudFormation는 단일 작업으로 여러 계정 및 AWS 리전에 대해 스택을 생성, 업데이트 또는 삭제할 수 있습니다. AWS Control Tower 는 기존 계정을 등록된 조직 단위로 이동하여 관리하기 전에 역할 및 권한을 기존 계정에 적용하는 데 이 신뢰 기능을 사용합니다.

계정 등록 중에 발생하는 일

등록 프로세스 중에 AWS Control Tower Tower는 다음 작업을 수행합니다.

  • 다음 스택 세트의 배포를 포함하여 계정에 베이스라인을 설정합니다.

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    이러한 스택 세트의 템플릿을 검토하고 기존 정책과 충돌하지 않도록 하는 것이 좋습니다.

  • AWS Single Sign-On 또는 AWS Organizations를 통해 계정을 식별합니다.

  • 지정한 OU에 계정을 배치합니다. 보안 상태가 일관되게 유지되도록 현재 OU에 적용된 모든 SCP를 적용해야 합니다.

  • 선택한 OU 전체에 적용되는 SCP를 통해 계정에 필수 가드레일을 적용합니다.

  • AWS Control Tower 탐지 가드레일을 계정에 적용하는 AWS Config 규칙을 추가합니다.

참고

AWS Control Tower 에 계정을 등록하면 해당 계정은 AWS에 의해 관리됩니다.CloudTrail새로운 조직을 위한 트레일 기존 배포가 있는 경우CloudTrail추적, AWS Control Tower 에 등록하기 전에 계정에 대한 기존 추적을 삭제하지 않는 한 중복 요금이 발생할 수 있습니다.

VPC에 기존 계정 등록

AWS Control Tower 는 사용자가 Account Factory에서 새 계정을 프로비저닝할 때 기존 계정을 등록할 때와 다르게 VPC를 처리합니다.

  • 새 계정을 생성하면 AWS Control Tower 가 자동으로 AWS 기본 VPC 제거하고 해당 계정에 대한 새 VPC 생성합니다.

  • 기존 계정을 등록할 때는 AWS Control Tower 에서 해당 계정에 대한 새 VPC 생성하지 않습니다.

  • 기존 계정을 등록할 때는 AWS Control Tower Tower가 계정과 연결된 기존 VPC 또는 AWS 기본 VPC 제거하지 않습니다.

권장 사항: 계정 등록에 대한 2단계 접근 방식을 설정할 수 있습니다.

  • 먼저 AWS Config 사용하십시오.적합성 팩에서 일부 AWS Control Tower 가드레일에 의해 계정이 어떤 영향을 받는지 평가합니다. AWS Control Tower 등록이 계정에 미칠 수 있는 영향을 알아보려면 단원을 참조하십시오.AWS Config 적합성 팩을 사용하여 AWS Control Tower 거버넌스 확장.

  • 그런 다음 계정을 등록할 수 있습니다. 규정 준수 결과가 만족스럽다면 예기치 않은 결과 없이 계정을 등록할 수 있으므로 마이그레이션 과정이 더 원활해집니다.

  • 평가를 완료한 후 AWS Control Tower landing zone 존을 설정하기로 결정한 경우, 평가를 위해 생성된 AWS Config 전송 채널 및 구성 레코더를 제거해야 할 수 있습니다. 그런 다음 AWS Control Tower Tower를 성공적으로 설정할 수 있습니다.

참고

적합성 팩은 계정이 AWS Control Tower 에서 등록된 OU에 있지만 에서 AWS Control Tower 가 지원되지 않는 AWS 리전 내에서 워크로드가 실행되는 경우에도 작동합니다. 적합성 팩을 사용하여 AWS Control Tower 가 배포되지 않은 리전에 있는 계정의 리소스를 관리할 수 있습니다.

계정이 전제 조건을 충족하지 못하면 어떻게 해야 합니까?

계정 등록의 전제 조건을 충족하려면 다음 준비 단계에 따라 계정을 AWS Control Tower 와 동일한 조직으로 이전할 수 있습니다.

AWS Control Tower 와 동일한 조직에 계정을 가져오는 준비 단계

  1. 기존 조직에서 계정을 삭제합니다. (이 방법을 사용하는 경우 별도의 결제 방법을 제공해야 합니다.)

  2. 계정을 AWS Control Tower 조직에 초대합니다. 다음 절차에 대한 다음 절차를 참조하십시오.AWS Organizations설명서,초대AWS조직에 가입할 계정.

  3. 초대를 수락합니다. (계정이 조직의 루트에 표시됩니다.) 이 단계에서는 계정을 AWS Control Tower 와 동일한 조직으로 이동합니다. SCP와 통합 청구를 수립합니다.

  4. 이제 나머지 등록 전제 조건을 충족해야 합니다.

    • 필요한 역할을 만듭니다.

    • 기본 VPC 지웁니다. (이 부분은 선택 사항입니다. AWS Control Tower 는 기존 기본 VPC 변경하지 않습니다.)

    • 기존 항목 삭제 또는 수정AWSConfig 구성 레코더 또는 전송 채널AWS CLI또는AWS CloudShell.

    • 필요에 따라 다른 모든 필수 구성 요소

  5. AWS Control Tower 에 계정을 등록합니다. 이 단계에서는 AWS Control Tower 거버넌스의 전체 계정을 만듭니다.

다음은 구성 레코더 및 전송 채널의 상태를 확인하는 데 사용할 수 있는 몇 가지 AWS Config CLI 명령의 예입니다.

보기 명령:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

  • The normal response is something like "name": "default"

삭제 명령:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

참고

계정이 이전 조직에서 제외되기 전에 새 조직에 대한 초대를 보낼 수 있습니다. 계정이 기존 조직에서 제외되면 초대가 대기 중입니다.

계정을 등록하고 스택을 유지할 수 있도록 계정 프로비저닝 해제를 위한 선택적 단계

  1. 선택적으로 적용된 CFN을 유지하려면 스택 세트에서 스택 인스턴스를 삭제하여 선택해야 합니다.스택 보관인스턴스의 경우 입니다.

  2. AWS Service Catalog 계정 팩토리에서 계정 프로비저닝 제품을 종료합니다. (이 단계에서는 AWS Control Tower Tower에서만 프로비저닝된 제품을 제거하지만 실제로 계정을 삭제하지는 않습니다.)

  3. 필요에 따라 조직에 속하지 않는 계정에 필요한 대로 필요한 결제 세부 정보로 계정을 설정한 다음 조직에서 계정을 제거합니다. 이렇게 하면 계정이 AWS Organizations Organizations의 총 할당량에 포함되지 않도록 할 수 있습니다.

  4. 에 제공된 계정 폐쇄 단계에 따라 리소스가 남아 있는 경우 계정을 정리하고 닫습니다.멤버 계정 관리 해제.

  5. 만약 당신이일시 중지정의된 가드레일이 있는 OU에서는 1단계를 수행하는 대신 계정을 이동할 수 있습니다.

자동 AWS Organizations 계정 등록

블로그 게시물에 설명된 등록 방법을 사용할 수 있습니다.AWS 컨트롤 타워에 기존 AWS 계정 등록등록하려면AWS Organizations프로그래밍 방식의 프로세스를 통해 AWS Control Tower 에 설명됩니다.

다음 YAML 템플릿은 등록할 수 있도록 계정에 필요한 역할을 만드는 데 도움이 될 수 있습니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure the AWSControlTowerExecution role to enable use of your account as a target account in AWS CloudFormation StackSets. ​ Parameters: AdministratorAccountId: Type: String Description: AWS Account Id of the administrator account (the account in which StackSets will be created). MaxLength: 12 MinLength: 12 ​ Resources: ExecutionRole: Type: AWS::IAM::Role Properties: RoleName: AWSControlTowerExecution AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: AWS: - !Ref AdministratorAccountId Action: - sts:AssumeRole Path: / ManagedPolicyArns: - arn:aws:iam::aws:policy/AdministratorAccess