기존 항목 등록AWS계정 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

기존 항목 등록AWS계정

AWS Control Tower 거버넌스를 기존 개인으로 확장할 수 있습니다.AWS계정을 사용할 때등록하십시오이 데이터는 이미 AWS Control Tower에서 관리되는 조직 단위 (OU) 에 저장됩니다. 다음 위치에 적격 계정이 있음동일한 항목의 일부인 등록되지 않은 OUAWS Organizations조직AWS Control Tower OU입니다.

참고

초기 landing zone 설정 중에는 기존 계정을 감사 또는 로그 아카이브 계정으로 등록할 수 없습니다.

먼저 신뢰할 수 있는 액세스 설정

기존 항목을 등록하기 전에AWSAWS Control Tower 타워에 계정을 등록하려면 AWS Control Tower 타워가 관리할 수 있는 권한을 부여해야 합니다.지배합니다, 계정. 특히, AWS Control Tower Tower를 사용하려면 다음 항목 간에 신뢰할 수 있는 액세스를AWS CloudFormation과AWS Organizations자동으로AWS CloudFormation에서는 선택한 조직의 계정에 스택을 자동으로 배포할 수 있습니다. 이 신뢰할 수 있는 액세스를 통해AWSControlTowerExecutionrole은 각 계정을 관리하는 데 필요한 활동을 수행합니다. 따라서 등록하기 전에 각 계정에 이 역할을 추가해야 합니다.

신뢰할 수 있는 액세스가 활성화된 경우AWS CloudFormation여러 계정에서 스택을 생성, 업데이트 또는 삭제할 수 있습니다.AWS단일 작업으로 이루어지는 리전 AWS Control Tower Tower는 기존 계정을 등록된 조직 단위로 이동하여 관리하기 전에 역할 및 권한을 기존 계정에 적용하는 데 이 신뢰 기능을 사용합니다.

신뢰할 수 있는 액세스에 대해 알아볼 내용AWS CloudFormation StackSets, 참조AWS CloudFormation StackSets 과AWS Organizations.

계정 등록 중 발생하는 사항

등록 프로세스 중에 AWS Control Tower Tower는 다음 작업을 수행합니다.

  • 다음 스택 세트의 배포를 포함하여 계정에 베이스라인을 설정합니다.

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    이러한 스택 세트의 템플릿을 검토하고 기존 정책과 충돌하지 않도록 하는 것이 좋습니다.

  • AWS IAM Identity Center (successor to AWS Single Sign-On) 또는 AWS Organizations를 통해 계정을 식별합니다.

  • 지정한 OU에 계정을 배치합니다. 보안 상태가 일관되게 유지되도록 현재 OU에 적용된 모든 SCP를 적용해야 합니다.

  • 선택한 OU 전체에 적용되는 SCP를 통해 계정에 필수 가드레일을 적용합니다.

  • 활성화합니다AWS Config를 사용하여 계정의 모든 리소스를 기록하도록 구성합니다.

  • 을 추가합니다.AWS ConfigAWS Control Tower 탐지 가드레일을 계정에 적용하는 규칙

참고

AWS Control Tower 타워에 계정을 등록할 때 사용자의 계정은AWS CloudTrail새로운 조직을 위한 트레일. 의 기존 배포가 있는 경우 CloudTrail 추적의 경우 AWS Control Tower Tower에 등록하기 전에 계정에 대한 기존 추적을 삭제하지 않는 한 중복 요금이 표시될 수 있습니다.

VPC에 기존 계정 등록

AWS Control Tower Tower는 사용자가 계정 팩토리에서 새 계정을 프로비저닝할 때 기존 계정을 등록할 때와 다르게 VPC를 처리합니다.

  • 새 계정을 생성하면 AWS Control Tower Tower가 자동으로AWS기본 VPC 생성하고 해당 계정에 대한 새 VPC 생성합니다.

  • 기존 계정을 등록하면 AWS Control Tower Tower에서 해당 계정에 대한 새 VPC 생성하지 않습니다.

  • 기존 계정을 등록하면 AWS Control Tower Tower에서 기존 VPC 제거하지 않거나AWS계정에 연결된 기본 VPC입니다.

작은 정보

Account Factory를 구성하여 새 계정에 대한 기본 동작을 변경할 수 있습니다. 그러면 AWS Control Tower Tower에서 조직의 계정에 대해 기본적으로 VPC가 설정되지 않습니다. 자세한 정보는 AWS Control Tower에서 VPC 없이 계정 생성을 참조하세요.

계정이 필수 조건을 충족하지 않는 경우 어떻게 해야 합니까?

AWS Control Tower 거버넌스에 등록할 수 있는 계정은 전제 조건으로 동일한 전체 조직에 속해야 합니다. 계정 등록을 위한 이 사전 조건을 충족하려면 다음 준비 단계에 따라 계정을 AWS Control Tower Tower와 동일한 조직으로 이전할 수 있습니다.

AWS Control Tower 타워와 동일한 조직으로 계정을 가져오기 위한 준비 단계

  1. 기존 조직에서 계정을 삭제합니다. (이 방법을 사용하는 경우 별도의 결제 방법을 제공해야 합니다.)

  2. AWS Control Tower 조직에 계정을 초대합니다. 에서 제공한 다음 절차를 참조하십시오.AWS Organizations설명서,초대AWS조직에 가입하기 위한 계정 등록.

  3. 초대를 수락합니다. (계정은 조직의 루트에 표시됩니다.) 이 단계에서는 계정을 AWS Control Tower 타워와 동일한 조직으로 이동합니다. SCP 및 통합 결제를 설정합니다.

작은 정보

이전 조직에서 계정을 삭제하기 전에 새 조직에 대한 초대를 보낼 수 있습니다. 계정이 기존 조직에서 탈퇴하면 초대가 대기하게 됩니다.

이제 나머지 전제 조건을 충족해야 합니다.

  1. 필요한 항목 만들기AWSControlTowerExecution역할

  2. 기본 VPC 지웁니다. (이 부분은 선택 사항이므로 AWS 컨트롤 타워는 기존 기본 VPC 변경하지 않습니다.)

  3. 기존 항목 삭제 또는 수정AWS Config구성 레코더 또는 전달 채널AWS CLI또는AWS CloudShell. 예AWS Config리소스 상태에 대한 CLI 명령기존 계정이 있는 계정 등록AWS Config자원 섹션을 참조하세요.

  4. 필요에 따라 다른 모든 사전 요구 사항

이러한 준비 단계를 완료한 후 AWS Control Tower 타워에 계정을 등록할 수 있습니다. 계정 등록 단계을 참조하세요. 이 단계에서는 계정을 전체 AWS Control Tower 거버넌스로 전환합니다.

계정을 등록하고 스택을 유지할 수 있도록 계정을 프로비저닝 해제하는 선택적 단계

  1. 필요에 따라 적용된 항목을 유지하려면AWS CloudFormationstack, 스택 세트에서 stack 인스턴스를 삭제하고스택 보관에 대한 예를 들어

  2. 에서 계정 프로비저닝된 제품을 종료합니다.AWS Service CatalogAccount Factory (이 단계에서는 AWS Control Tower Tower에서 프로비저닝된 제품만 제거하며 실제로 계정을 삭제하지는 않습니다.)

  3. 필요한 경우 조직에 속하지 않는 계정에 필요한 결제 세부 정보를 사용하여 계정을 설정한 다음 조직에서 계정을 제거합니다. 이렇게 하면 계정이 총 계정에 포함되지 않도록 할 수 있습니다.AWS Organizations할당량.

  4. 리소스가 남아 있는 경우 계정을 정리하고 에 제공된 계정 폐쇄 단계에 따라 계정을 닫습니다.계정 관리 취소.

  5. 당신이 가지고 있는 경우일시 중지정의된 가드레일이 있는 OU의 경우 1단계를 수행하는 대신 계정을 해당 위치로 이동할 수 있습니다.

예AWS Config리소스 상태에 대한 CLI 명령

여기 몇 가지 예가 있습니다AWS Config구성 레코더 및 전송 채널의 상태를 확인하는 데 사용할 수 있는 CLI 명령입니다.

보기 명령:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

  • The normal response is something like "name": "default"

삭제 명령:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

자동 등록AWS Organizations계정

블로그 게시물에 설명된 등록 방법을 사용할 수 있습니다.기존 등록AWSAWS Control Tower Tower에 계정을등록하려면AWS Organizations프로그래밍 프로세스를 통해 AWS Control Tower 타워에 계정을 연결합니다.

다음 YAML 템플릿은 프로그래밍 방식으로 등록할 수 있도록 계정에서 필요한 역할을 만드는 데 도움이 될 수 있습니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure the AWSControlTowerExecution role to enable use of your account as a target account in AWS CloudFormation StackSets. ​ Parameters: AdministratorAccountId: Type: String Description: AWS Account Id of the administrator account (the account in which StackSets will be created). MaxLength: 12 MinLength: 12 ​ Resources: ExecutionRole: Type: AWS::IAM::Role Properties: RoleName: AWSControlTowerExecution AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: AWS: - !Ref AdministratorAccountId Action: - sts:AssumeRole Path: / ManagedPolicyArns: - arn:aws:iam::aws:policy/AdministratorAccess