기존 등록 AWS 계정 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

기존 등록 AWS 계정

AWS Control Tower 거버넌스를 Control AWS Tower에서 이미 관리하는 조직 단위(OU)에 등록할 AWS 계정 때 존재하는 개인으로 확장할 수 있습니다. AWS Control Tower OU와 동일한 AWS Organizations 조직의 일부OUs인 등록되지 않은 에 적격 계정이 있습니다.

참고

초기 랜딩 존 설정 중에만 기존 계정을 등록하여 감사 또는 로그 아카이브 계정으로 사용할 수 있습니다.

먼저 신뢰할 수 있는 액세스 설정

기존 를 AWS Control Tower AWS 계정 에 등록하려면 먼저 AWS Control Tower가 계정을 관리하거나 관리할 수 있는 권한을 부여해야 합니다. 특히 AWS Control Tower는 가 선택한 조직의 계정에 스택을 자동으로 배포할 AWS Organizations 수 있도록 사용자를 대신하여 AWS CloudFormation 및 간에 신뢰할 AWS CloudFormation 수 있는 액세스를 설정할 수 있는 권한이 필요합니다. 이 신뢰할 수 있는 액세스를 통해 AWSControlTowerExecution 역할은 각 계정을 관리하는 데 필요한 활동을 수행합니다. 따라서 등록하기 전에 각 계정에 이 역할을 추가해야 합니다.

신뢰할 수 있는 액세스가 활성화되면 는 단일 작업 AWS 리전 으로 여러 계정에서 스택을 생성, 업데이트 또는 삭제할 수 AWS CloudFormation 있습니다. AWS Control Tower는 이 신뢰 기능을 사용하여 기존 계정이 등록된 조직 단위로 이동하기 전에 기존 계정에 역할 및 권한을 적용하여 이를 거버넌스에 적용할 수 있습니다.

신뢰할 수 있는 액세스 및 AWS CloudFormation StackSets, 참조 AWS CloudFormationStackSets 및 AWS Organizations.

계정 등록 중에 발생하는 일

등록 프로세스 중에 AWS Control Tower는 다음 작업을 수행합니다.

  • 다음 스택 세트의 배포를 포함하여 계정에 베이스라인을 설정합니다.

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    이러한 스택 세트의 템플릿을 검토하고 기존 정책과 충돌하지 않도록 하는 것이 좋습니다.

  • AWS IAM Identity Center 또는 를 통해 계정을 식별합니다 AWS Organizations.

  • 지정한 OU에 계정을 배치합니다. 보안 태세가 일관성을 유지하도록 현재 OU에 적용되는 모든 SCPs를 적용해야 합니다.

  • SCPs 선택한 OU 전체에 적용되는 를 사용하여 계정에 필수 제어를 적용합니다.

  • 계정의 모든 리소스를 기록하도록 활성화 AWS Config 하고 구성합니다.

  • AWS Control Tower 탐지 제어를 계정에 적용하는 AWS Config 규칙을 추가합니다.

계정 및 조직 수준 CloudTrail 추적

OU의 모든 멤버 계정은 OU에 대한 AWS CloudTrail 추적의 적용을 받으며 등록 여부에 따라 달라집니다.

  • AWS Control Tower에 계정을 등록하면 새 조직의 AWS CloudTrail 추적이 계정에 적용됩니다. CloudTrail 추적을 기존에 배포한 경우 AWS Control Tower에 등록하기 전에 계정에 대한 기존 추적을 삭제하지 않는 한 중복 요금이 발생할 수 있습니다.

  • 예를 들어 AWS Organizations 콘솔을 사용하여 계정을 등록된 OU로 이동하고 AWS Control Tower에 계정을 등록하지 않는 경우 계정에 대한 나머지 계정 수준 추적을 제거할 수 있습니다. 기존 CloudTrail 에 추적을 배포한 경우 중복 CloudTrail 요금이 발생합니다.

랜딩 존을 업데이트하고 조직 수준 추적을 옵트아웃하도록 선택하거나 랜딩 존이 버전 3.0보다 오래된 경우 조직 수준 CloudTrail 추적은 계정에 적용되지 않습니다.

에 기존 계정 등록 VPCs

AWS Control Tower는 계정 팩토리에서 새 계정을 프로비저닝할 때와 기존 계정을 등록할 때를 VPCs 다르게 처리합니다.

  • 새 계정을 생성하면 AWS Control Tower가 자동으로 AWS 기본값을 제거하고 해당 계정에 VPC 대한 새 를 VPC 생성합니다.

  • 기존 계정을 등록하면 AWS Control Tower는 해당 계정에 VPC 대한 새 를 생성하지 않습니다.

  • 기존 계정을 등록하면 AWS Control Tower는 계정과 VPC 연결된 기존 VPC 또는 AWS 기본값을 제거하지 않습니다.

작은 정보

Account Factory를 구성하여 새 계정의 기본 동작을 변경할 수 있으므로 AWS Control Tower에서 조직 내 계정에 대해 VPC 기본적으로 를 설정하지 않습니다. 자세한 내용은 VPC 없이 AWS Control Tower에서 계정 생성 단원을 참조하십시오.

리소스 상태에 대한 명령 예제 AWS Config CLI

다음은 구성 레코더 및 전송 채널의 상태를 결정하는 데 사용할 수 있는 몇 가지 예제 AWS Config CLI 명령입니다.

보기 명령:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

일반적인 응답은 다음과 같습니다. "name": "default"

삭제 명령:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

다음 YAML 템플릿은 프로그래밍 방식으로 등록할 수 있도록 계정에서 필요한 역할을 생성하는 데 도움이 될 수 있습니다.

AWSTemplateFormatVersion: 2010-09-09 Description: Configure the AWSControlTowerExecution role to enable use of your account as a target account in AWS CloudFormation StackSets. Parameters: AdministratorAccountId: Type: String Description: AWS Account Id of the administrator account (the account in which StackSets will be created). MaxLength: 12 MinLength: 12 Resources: ExecutionRole: Type: AWS::IAM::Role Properties: RoleName: AWSControlTowerExecution AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: AWS: - !Ref AdministratorAccountId Action: - sts:AssumeRole Path: / ManagedPolicyArns: - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess