기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
기존 AWS 계정 등록
AWS Control Tower 거버넌스를 기존의 개별 AWS 계정으로 확장할 수 있습니다.싸다는 이미 AWS Control Tower Tower가 관리하는 조직 단위 (OU) 로 구성됩니다. 적격 계정이 다음 위치에 있음등록되지 않은 OU (동일) 의 일부인AWS Organizations조직AWS Control Tower OU로 사용할 수 있습니다.
먼저 신뢰할 수 있는 액세스 설정
기존 AWS 계정을 AWS Control Tower 타워에 등록하려면 먼저 AWS Control Tower 타워에서 관리할 수 있는 권한을 부여해야 합니다.지배합니다, 계정. 특히 AWS Control Tower 는 AWS 간에 신뢰할 수 있는 액세스를 설정할 권한이 필요합니다.CloudFormation과AWS Organizations사용자를 대신하여 AWS를 대신하여CloudFormation선택한 조직의 계정에 스택을 자동으로 배포할 수 있습니다.
신뢰할 수 있는 액세스 및 AWS에 대한 자세한 내용은CloudFormation StackSets을 참조하십시오.AWSCloudFormation StackSets및 AWS Organizations. 신뢰할 수 있는 액세스가 활성화되면 AWSCloudFormation는 단일 작업으로 여러 계정 및 AWS 리전에 대해 스택을 생성, 업데이트 또는 삭제할 수 있습니다. AWS Control Tower 는 기존 계정을 등록된 조직 단위로 이동하여 관리하기 전에 역할 및 권한을 기존 계정에 적용하는 데 이 신뢰 기능을 사용합니다.
계정 등록 중에 발생하는 일
등록 프로세스 중에 AWS Control Tower Tower는 다음 작업을 수행합니다.
-
다음 스택 세트의 배포를 포함하여 계정에 베이스라인을 설정합니다.
-
AWSControlTowerBP-BASELINE-CLOUDTRAIL
-
AWSControlTowerBP-BASELINE-CLOUDWATCH
-
AWSControlTowerBP-BASELINE-CONFIG
-
AWSControlTowerBP-BASELINE-ROLES
-
AWSControlTowerBP-BASELINE-SERVICE-ROLES
-
AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1
이러한 스택 세트의 템플릿을 검토하고 기존 정책과 충돌하지 않도록 하는 것이 좋습니다.
-
-
AWS Single Sign-On 또는 AWS Organizations를 통해 계정을 식별합니다.
-
지정한 OU에 계정을 배치합니다. 보안 상태가 일관되게 유지되도록 현재 OU에 적용된 모든 SCP를 적용해야 합니다.
-
선택한 OU 전체에 적용되는 SCP를 통해 계정에 필수 가드레일을 적용합니다.
-
AWS Control Tower 탐지 가드레일을 계정에 적용하는 AWS Config 규칙을 추가합니다.
AWS Control Tower 에 계정을 등록하면 해당 계정은 AWS에 의해 관리됩니다.CloudTrail새로운 조직을 위한 트레일 기존 배포가 있는 경우CloudTrail추적, AWS Control Tower 에 등록하기 전에 계정에 대한 기존 추적을 삭제하지 않는 한 중복 요금이 발생할 수 있습니다.
VPC에 기존 계정 등록
AWS Control Tower 는 사용자가 Account Factory에서 새 계정을 프로비저닝할 때 기존 계정을 등록할 때와 다르게 VPC를 처리합니다.
-
새 계정을 생성하면 AWS Control Tower 가 자동으로 AWS 기본 VPC 제거하고 해당 계정에 대한 새 VPC 생성합니다.
-
기존 계정을 등록할 때는 AWS Control Tower 에서 해당 계정에 대한 새 VPC 생성하지 않습니다.
-
기존 계정을 등록할 때는 AWS Control Tower Tower가 계정과 연결된 기존 VPC 또는 AWS 기본 VPC 제거하지 않습니다.
권장 사항: 계정 등록에 대한 2단계 접근 방식을 설정할 수 있습니다.
-
먼저 AWS Config 사용하십시오.적합성 팩에서 일부 AWS Control Tower 가드레일에 의해 계정이 어떤 영향을 받는지 평가합니다. AWS Control Tower 등록이 계정에 미칠 수 있는 영향을 알아보려면 단원을 참조하십시오.AWS Config 적합성 팩을 사용하여 AWS Control Tower 거버넌스 확장
. -
그런 다음 계정을 등록할 수 있습니다. 규정 준수 결과가 만족스럽다면 예기치 않은 결과 없이 계정을 등록할 수 있으므로 마이그레이션 과정이 더 원활해집니다.
-
평가를 완료한 후 AWS Control Tower landing zone 존을 설정하기로 결정한 경우, 평가를 위해 생성된 AWS Config 전송 채널 및 구성 레코더를 제거해야 할 수 있습니다. 그런 다음 AWS Control Tower Tower를 성공적으로 설정할 수 있습니다.
적합성 팩은 계정이 AWS Control Tower 에서 등록된 OU에 있지만 에서 AWS Control Tower 가 지원되지 않는 AWS 리전 내에서 워크로드가 실행되는 경우에도 작동합니다. 적합성 팩을 사용하여 AWS Control Tower 가 배포되지 않은 리전에 있는 계정의 리소스를 관리할 수 있습니다.
계정이 전제 조건을 충족하지 못하면 어떻게 해야 합니까?
계정 등록의 전제 조건을 충족하려면 다음 준비 단계에 따라 계정을 AWS Control Tower 와 동일한 조직으로 이전할 수 있습니다.
AWS Control Tower 와 동일한 조직에 계정을 가져오는 준비 단계
-
기존 조직에서 계정을 삭제합니다. (이 방법을 사용하는 경우 별도의 결제 방법을 제공해야 합니다.)
-
계정을 AWS Control Tower 조직에 초대합니다. 다음 절차에 대한 다음 절차를 참조하십시오.AWS Organizations설명서,초대AWS조직에 가입할 계정.
-
초대를 수락합니다. (계정이 조직의 루트에 표시됩니다.) 이 단계에서는 계정을 AWS Control Tower 와 동일한 조직으로 이동합니다. SCP와 통합 청구를 수립합니다.
-
이제 나머지 등록 전제 조건을 충족해야 합니다.
-
필요한 역할을 만듭니다.
-
기본 VPC 지웁니다. (이 부분은 선택 사항입니다. AWS Control Tower 는 기존 기본 VPC 변경하지 않습니다.)
-
기존 항목 삭제 또는 수정AWSConfig 구성 레코더 또는 전송 채널AWS CLI또는AWS CloudShell.
-
필요에 따라 다른 모든 필수 구성 요소
-
-
AWS Control Tower 에 계정을 등록합니다. 이 단계에서는 AWS Control Tower 거버넌스의 전체 계정을 만듭니다.
다음은 구성 레코더 및 전송 채널의 상태를 확인하는 데 사용할 수 있는 몇 가지 AWS Config CLI 명령의 예입니다.
보기 명령:
-
aws configservice describe-delivery-channels
-
aws configservice describe-delivery-channel-status
-
aws configservice describe-configuration-recorders
-
The normal response is something like "name": "default"
삭제 명령:
-
aws configservice stop-configuration-recorder --configuration-recorder-name
NAME-FROM-DESCRIBE-OUTPUT
-
aws configservice delete-delivery-channel --delivery-channel-name
NAME-FROM-DESCRIBE-OUTPUT
-
aws configservice delete-configuration-recorder --configuration-recorder-name
NAME-FROM-DESCRIBE-OUTPUT
계정이 이전 조직에서 제외되기 전에 새 조직에 대한 초대를 보낼 수 있습니다. 계정이 기존 조직에서 제외되면 초대가 대기 중입니다.
계정을 등록하고 스택을 유지할 수 있도록 계정 프로비저닝 해제를 위한 선택적 단계
-
선택적으로 적용된 CFN을 유지하려면 스택 세트에서 스택 인스턴스를 삭제하여 선택해야 합니다.스택 보관인스턴스의 경우 입니다.
-
AWS Service Catalog 계정 팩토리에서 계정 프로비저닝 제품을 종료합니다. (이 단계에서는 AWS Control Tower Tower에서만 프로비저닝된 제품을 제거하지만 실제로 계정을 삭제하지는 않습니다.)
-
필요에 따라 조직에 속하지 않는 계정에 필요한 대로 필요한 결제 세부 정보로 계정을 설정한 다음 조직에서 계정을 제거합니다. 이렇게 하면 계정이 AWS Organizations Organizations의 총 할당량에 포함되지 않도록 할 수 있습니다.
-
에 제공된 계정 폐쇄 단계에 따라 리소스가 남아 있는 경우 계정을 정리하고 닫습니다.멤버 계정 관리 해제.
-
만약 당신이일시 중지정의된 가드레일이 있는 OU에서는 1단계를 수행하는 대신 계정을 이동할 수 있습니다.
자동 AWS Organizations 계정 등록
블로그 게시물에 설명된 등록 방법을 사용할 수 있습니다.AWS 컨트롤 타워에 기존 AWS 계정 등록
다음 YAML 템플릿은 등록할 수 있도록 계정에 필요한 역할을 만드는 데 도움이 될 수 있습니다.
AWSTemplateFormatVersion: 2010-09-09 Description: Configure the AWSControlTowerExecution role to enable use of your account as a target account in AWS CloudFormation StackSets. Parameters: AdministratorAccountId: Type: String Description: AWS Account Id of the administrator account (the account in which StackSets will be created). MaxLength: 12 MinLength: 12 Resources: ExecutionRole: Type: AWS::IAM::Role Properties: RoleName: AWSControlTowerExecution AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: AWS: - !Ref AdministratorAccountId Action: - sts:AssumeRole Path: / ManagedPolicyArns: - arn:aws:iam::aws:policy/AdministratorAccess