기존 AWS 계정에 필요한 IAM 역할을 수동으로 추가하고 등록하십시오. - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

기존 AWS 계정에 필요한 IAM 역할을 수동으로 추가하고 등록하십시오.

AWS Control Tower landing zone 이미 설정한 경우 AWS Control Tower 에 등록된 OU에 조직의 계정을 등록할 수 있습니다. landing zone 존을 설정하지 않은 경우 의 AWS Control Tower 사용 설명서에 설명된 단계를 따르십시오.시작하기, 2단계. landing zone 구역이 준비되면 다음 단계를 완료하여 AWS Control Tower 에서 기존 계정을 수동으로 거버넌스로 전환합니다.

반드시 다음을 검토하십시오.등록을 위한 사전 조건이 장에서 언급했습니다.

AWS Control Tower 타워에 계정을 등록하기 전에 AWS Control Tower 타워에 해당 계정을 관리할 수 있는 권한을 부여해야 합니다. 이렇게 하려면 다음 단계에 표시된 대로 계정에 대한 전체 액세스 권한이 있는 역할을 추가합니다. 등록한 각 계정에 대해 이러한 단계를 수행해야 합니다.

각 계정에 대해 다음을 수행합니다.

단계 1: 현재 등록하려는 계정이 포함된 조직의 관리 계정에 대한 관리자 액세스 권한으로 로그인합니다.

예를 들어 AWS Organizations Organizations에서 이 계정을 생성하고 교차 계정 IAM 역할을 사용하여 로그인하는 경우 다음 단계를 수행할 수 있습니다.

  1. 조직의 관리 계정에 로그인합니다.

  2. 이동AWS Organizations.

  3. Under계정를 클릭하여 등록할 계정을 선택하고 계정 ID를 복사합니다.

  4. 상단 탐색 모음에서 계정 드롭다운 메뉴를 열고스위치 역할.

  5. 스위치 역할다음 필드를 입력합니다.

    • UnderAccount에서 복사한 계정 ID를 입력합니다.

    • UnderRole에서 이 계정에 대한 교차 계정 액세스를 허용하는 IAM 역할의 이름을 입력합니다. 이 역할의 이름은 계정을 만들 때 정의되었습니다. 계정을 생성할 때 역할 이름을 지정하지 않았다면 기본 역할 이름을 입력합니다.OrganizationAccountAccessRole.

  6. [Switch Role]을 선택합니다.

  7. 이제 에 로그인해야 합니다.AWS관리 콘솔을 하위 계정으로 사용합니다.

  8. 작업을 마치면 절차의 다음 부분을 위해 자녀 계정을 유지하십시오.

  9. 다음 단계에서 사용해야 하므로 관리 계정 ID를 기록해 둡니다.

단계 2: AWS Control Tower 타워에 계정 관리 권한을 부여합니다.

  1. 이동IAM.

  2. 이동Roles.

  3. 역할 생성을 선택합니다.

  4. 역할이 사용할 서비스를 선택하라는 메시지가 표시되면EC2선택하고다음: 권한. 나중에 “AWS Control Tower”로 변경합니다.

  5. 정책을 연결하라는 메시지가 표시되면AdministratorAccess.

  6. 다음: 태그를 선택합니다.

  7. 선택적 화면이라는 제목이 표시될 수 있습니다.태그 추가. 를 선택하여 지금 이 화면 건너뛰기다음: 검토

  8. 검토화면,역할 이름필드, 입력AWSControlTowerExecution.

  9. 에 간략한 설명을 입력합니다.설명상자, 예:등록에 대한 전체 계정 액세스를 허용합니다.

  10. 역할 생성을 선택합니다.

  11. 방금 생성한 역할을 탐색합니다. 선택Roles왼쪽에 있습니다. Select AWSControlTowerExecution.

  12. Under신뢰 관계, 선택신뢰 관계 편집.

  13. 여기에 표시된 코드 예제를 복사하여 정책 문서에 붙여 넣습니다. 문자열 대체를 참조하십시오.Management Account ID관리 계정의 실제 관리 계정 ID를 사용합니다. 붙여넣기 정책은 다음과 같습니다.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::Management Account ID:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }

단계 3: 계정을 등록된 OU로 이동하여 등록하고 등록을 확인합니다.

역할을 만들어 필요한 권한을 설정한 후 다음 단계에 따라 계정을 등록하고 등록을 확인합니다.

  1. 관리자로 다시 로그인하고 AWS Control Tower 타워로 이동합니다.

  2. 계정을 등록하십시오.

    • AWS Control Tower 타워의 Account Factory 페이지에서Enroll account. 필수 필드를 입력합니다. 방금 업데이트한 계정과 연결된 이메일 주소를 사용합니다.

      • AWS Control Tower 에 등록하려는 기존 계정의 현재 이메일 주소를 지정합니다.

      • 계정 소유자의 이름과 성을 지정합니다.

      • 계정을 등록할 조직 단위(OU)를 지정합니다.

    • Enroll account(계정 등록)를 선택합니다.

  3. 등록을 확인합니다.

    • AWS Control Tower 에서 다음계정.

    • 최근에 등록한 계정을 찾습니다. 초기 상태에는 다음과 같은 상태가 표시됩니다.등록.

    • 다음 상태 변경 시등록됨이동이 성공했습니다.

이 프로세스를 계속하려면 AWS Control Tower 에 등록하려는 조직의 각 계정에 로그인합니다. 각 계정에 대해 전제 조건 단계와 등록 단계를 반복합니다.