필요한 IAM 역할을 기존에 수동으로 추가 AWS 계정 하고 등록합니다. - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

필요한 IAM 역할을 기존에 수동으로 추가 AWS 계정 하고 등록합니다.

AWS Control Tower 랜딩 영역을 이미 설정한 경우 조직의 계정을 AWS Control Tower에 등록된 OU에 등록하기 시작할 수 있습니다. 랜딩 영역을 설정하지 않은 경우 시작하기, 2단계의 AWS Control Tower 사용 설명서에 설명된 단계를 따릅니다. 랜딩 영역이 준비되면 다음 단계를 완료하여 AWS Control Tower에서 기존 계정을 수동으로 거버넌스로 전환합니다.

이 장의 앞부분에서 언급한 등록을 위한 사전 조건를 반드시 검토하세요.

AWS Control Tower에 계정을 등록하기 전에 AWS Control Tower에 해당 계정을 관리할 수 있는 권한을 부여해야 합니다. 이렇게 하려면 다음 단계에 표시된 대로 계정에 대한 전체 액세스 권한이 있는 역할을 추가해야 합니다. 등록하는 각 계정에 대해 이러한 단계를 수행해야 합니다.

각 계정의 경우:

1단계: 현재 등록하려는 계정이 포함된 조직의 관리 계정에 대한 관리자 액세스 권한으로 로그인합니다.

예를 들어에서이 계정을 생성하고 교차 계정 IAM 역할을 AWS Organizations 사용하여 로그인하는 경우 다음 단계를 수행할 수 있습니다.

  1. 조직의 관리 계정에 로그인합니다.

  2. AWS Organizations로 이동합니다.

  3. 계정에서 등록할 계정을 선택하고 계정 ID를 복사합니다.

  4. 상단 탐색 모음에서 계정 드롭다운 메뉴를 열고 역할 전환을 선택합니다.

  5. 역할 전환 양식에서 다음 필드를 입력합니다.

    • 계정에서 복사한 계정 ID를 입력합니다.

    • 역할에서이 계정에 대한 교차 계정 액세스를 활성화하는 IAM 역할의 이름을 입력합니다. 이 역할의 이름은 계정이 생성될 때 정의되었습니다. 계정을 만들 때 역할 이름을 지정하지 않은 경우 기본 역할 이름인 OrganizationAccountAccessRole을 입력합니다.

  6. 역할 전환을 선택합니다.

  7. 이제에 AWS Management Console 하위 계정으로 로그인해야 합니다.

  8. 완료되면 절차의 다음 부분을 수행하기 위해 하위 계정을 그대로 사용합니다.

  9. 다음 단계에서 입력해야 하므로 관리 계정 ID를 기록해 둡니다.

2단계: AWS Control Tower에 계정을 관리할 수 있는 권한을 부여합니다.

  1. IAM로 이동합니다.

  2. 역할로 이동합니다.

  3. 역할 생성을 선택합니다.

  4. 역할이 어떤 서비스를 위한 것인지 선택하라는 메시지가 표시되면 사용자 지정 신뢰 정책을 선택합니다.

  5. 여기에 표시된 코드 예제를 복사하여 정책 문서에 붙여넣습니다. Management Account ID 문자열을 관리 계정의 실제 관리 계정 ID로 바꿉니다. 붙여넣을 정책은 다음과 같습니다.

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS": "arn:aws:iam::Management Account ID:root" }, "Action": "sts:AssumeRole", "Condition": {} } ] }
  6. 정책을 연결하라는 메시지가 표시되면를 선택합니다AdministratorAccess.

  7. 다음: 태그를 선택합니다.

  8. 태그 추가라는 선택적 화면이 표시될 수 있습니다. 다음:검토를 선택하여 지금 이 화면을 건너뜁니다.

  9. 검토 화면에서 역할 이름 필드에 AWSControlTowerExecution을 입력합니다.

  10. 등록을 위한 전체 계정 액세스 허용과 같은 간단한 설명을 설명 상자에 입력합니다.

  11. 역할 생성을 선택합니다.

3단계: 계정을 등록된 OU로 이동하여 계정을 등록하고 등록을 확인합니다.

역할을 만들어 필요한 권한을 설정한 후 다음 단계에 따라 계정을 등록하고 등록을 확인합니다.

  1. Admin으로 다시 로그인하고 AWS Control Tower로 이동합니다.

  2. 계정을 등록하십시오.
    • AWS Control Tower의 조직 페이지에서 계정을 선택한 다음 오른쪽 상단의 작업 드롭다운 메뉴에서 등록을 선택합니다.

    • 계정 등록 단계 페이지에 표시된 대로 개별 계정을 등록하는 단계를 따릅니다.

  3. 등록을 확인합니다.
    • AWS Control Tower에서 왼쪽 탐색 창에서 조직을 선택합니다.

    • 최근에 등록한 계정을 찾습니다. 초기 상태는 등록 중 상태로 표시됩니다.

    • 상태가 등록됨으로 변경되면 이동이 성공한 것입니다.

이 프로세스를 계속하려면 AWS Control Tower에 등록하려는 조직의 각 계정에 로그인합니다. 각 계정에 대해 사전 조건 단계와 등록 단계를 반복합니다.