기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
기존 AWS Config 리소스가 있는 계정 등록
이 항목에서는 기존 AWS Config 리소스가 있는 계정을 등록하는 방법에 대한 step-by-step 접근 방법을 제공합니다. 기존 리소스를 확인하는 방법의 예는 을 참조하십시오리소스 상태에 대한 예제 AWS Config CLI 명령.
참고
기존 AWS 계정을 감사 및 로그 보관 계정으로 AWS Control Tower에 가져오고 해당 계정에 기존 AWS Config 리소스가 있는 경우, 기존 AWS Config 리소스를 완전히 삭제해야 이러한 계정을 AWS Control Tower에 등록할 수 있습니다. 감사 및 로그 보관 계정이 아닌 계정의 경우 기존 Config 리소스를 수정할 수 있습니다.
리소스의 AWS Config 예
계정에 이미 있을 수 있는 몇 가지 유형의 AWS Config 리소스는 다음과 같습니다. 계정을 AWS Control Tower에 등록하려면 이러한 리소스를 수정해야 할 수 있습니다.
-
AWS Config 레코더
-
AWS Config 딜리버리 채널
-
AWS Config 어그리게이션 권한 부여
가정
-
AWS 컨트롤 타워 랜딩 존을 배포했습니다.
-
계정이 아직 AWS Control Tower에 등록되어 있지 않습니다.
-
계정에는 관리 계정이 관리하는 AWS Control Tower 지역 중 하나 이상에 있는 기존 AWS Config 리소스가 하나 이상 있습니다.
-
귀하의 계정은 AWS Control Tower 관리 계정이 아닙니다.
-
귀하의 계정은 거버넌스 드리프트에 속하지 않습니다.
기존 리소스로 계정을 등록하는 자동화된 접근 방식을 설명하는 블로그는 기존 AWS Config
리소스를 사용하여 AWS Control Tower에 계정을 자동으로 등록하는
제한 사항
-
계정은 거버넌스 확장을 위한 AWS Control Tower 워크플로를 사용해야만 등록할 수 있습니다.
-
리소스가 수정되어 계정에 드리프트가 발생하는 경우, AWS Control Tower는 리소스를 업데이트하지 않습니다.
-
AWS Config AWS Control Tower의 적용을 받지 않는 지역의 리소스는 변경되지 않습니다.
참고
허용 목록에 계정을 추가하지 않고 기존 Config 리소스가 있는 계정을 등록하려고 하면 등록이 실패합니다. 이후 동일한 계정을 허용 목록에 추가하려고 하면 AWS Control Tower는 계정이 올바르게 프로비저닝되었는지 검증할 수 없습니다. 허용 목록을 요청하고 등록하려면 먼저 AWS Control Tower에서 계정 프로비저닝을 해제해야 합니다. 계정을 다른 AWS Control Tower OU로만 이동하는 경우 거버넌스 드리프트가 발생하여 계정이 허용 목록에 추가되지 못하게 됩니다.
이 프로세스에는 5가지 주요 단계가 있습니다.
-
계정을 AWS Control Tower 허용 목록에 추가합니다.
-
계정에 새 IAM 역할을 생성합니다.
-
기존 AWS Config 리소스를 수정합니다.
-
AWS Config 리소스가 존재하지 않는 AWS 지역에 리소스를 생성하세요.
-
AWS Control Tower에 계정을 등록하십시오.
진행하기 전에 이 프로세스에 대한 다음 기대치를 고려하십시오.
-
AWS Control Tower는 이 계정에서 AWS Config 리소스를 생성하지 않습니다.
-
등록 후에는 AWS Control Tower 컨트롤이 새 IAM 역할을 포함하여 사용자가 생성한 AWS Config 리소스를 자동으로 보호합니다.
-
등록 후 AWS Config 리소스가 변경된 경우 계정을 재등록하려면 먼저 해당 리소스를 AWS Control Tower 설정에 맞게 업데이트해야 합니다.
1단계: 티켓을 가지고 고객 지원 팀에 문의하여 계정을 AWS Control Tower 허용 목록에 추가합니다.
티켓 제목에 다음 문구를 포함하세요.
기존 AWS Config 리소스가 있는 계정을 AWS Control Tower에 등록
티켓 본문에 다음 세부 정보를 포함하십시오.
-
관리 계좌 번호
-
기존 AWS Config 리소스가 있는 회원 계정의 계정 번호
-
AWS Control Tower 설정을 위해 선택한 홈 지역
참고
계정을 허용 목록에 추가하는 데 필요한 시간은 영업일 기준 2일입니다.
2단계: 멤버 계정에 새 IAM 역할 생성
-
멤버 계정의 AWS CloudFormation 콘솔을 엽니다.
-
다음 템플릿을 사용하여 새 스택을 생성합니다.
AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config Resources: CustomerCreatedConfigRecorderRole: Type: AWS::IAM::Role Properties: RoleName: aws-controltower-ConfigRecorderRole-customer-created AssumeRolePolicyDocument: Version: 2012-10-17 Statement: - Effect: Allow Principal: Service: - config.amazonaws.com Action: - sts:AssumeRole Path: / ManagedPolicyArns: - arn:aws:iam::aws:policy/service-role/AWS_ConfigRole - arn:aws:iam::aws:policy/ReadOnlyAccess -
스택 이름을 CustomerCreatedConfigRecorderRoleForControlTower로 입력합니다.
-
스택을 생성합니다.
참고
생성하는 모든 SCP는 aws-controltower-ConfigRecorderRole* 역할을 제외해야 합니다. AWS Config 규칙의 평가 수행 능력을 제한하는 권한을 수정하지 마십시오.
Config 호출을 aws-controltower-ConfigRecorderRole* 차단하는 SCP가 AccessDeniedException 있을 때 알림을 받지 않도록 다음 지침을 따르세요.
3단계: 기존 리소스가 있는 AWS 지역 식별
계정의 각 관리 지역 (AWS Control Tower 관리) 에 대해 이전에 표시된 기존 AWS Config 리소스 예제 유형 중 하나 이상이 있는 지역을 식별하여 기록해 둡니다.
4단계: 리소스가 전혀 없는 AWS 지역을 식별하십시오. AWS Config
계정의 각 관리 지역 (AWS Control Tower 관리) 에 대해 이전에 표시된 예제 유형의 AWS Config 리소스가 없는 지역을 식별하여 기록해 둡니다.
5단계: 각 지역의 기존 리소스 수정 AWS
이 단계를 수행하려면 AWS Control Tower 설정에 대한 다음 정보가 필요합니다.
-
LOGGING_ACCOUNT- 로깅 계정 ID -
AUDIT_ACCOUNT- 감사 계정 ID -
IAM_ROLE_ARN- 1단계에서 생성한 IAM 역할 ARN -
ORGANIZATION_ID- 관리 계정의 조직 ID -
MEMBER_ACCOUNT_NUMBER- 수정 중인 멤버 계정 -
HOME_REGION- AWS Control Tower 설정을 위한 홈 지역.
다음 섹션 5a~5c에 나와 있는 지침에 따라 기존 리소스를 각각 수정하십시오.
5a단계. AWS Config 레코더 리소스
AWS 지역당 하나의 AWS Config 레코더만 존재할 수 있습니다. 존재하는 경우 다음과 같이 설정을 수정하십시오. 거주 지역의 항목을 GLOBAL_RESOURCE_RECORDING true로 바꾸십시오. AWS Config 레코더가 있는 다른 지역의 경우 항목을 false로 바꾸십시오.
-
이름: 변경하지 마세요
-
RoLearn:
IAM_ROLE_ARN-
RecordingGroup:
-
AllSupported: 맞아요
-
IncludeGlobalResourceTypes:
GLOBAL_RESOURCE_RECORDING -
ResourceTypes: 비어 있음
-
이 수정은 다음 명령을 사용하여 AWS CLI를 통해 수행할 수 있습니다. 문자열을 RECORDER_NAME 기존 AWS Config 레코더 이름으로 바꿉니다.
aws configservice put-configuration-recorder --configuration-recorder name=RECORDER_NAME,roleARN=arn:aws:iam::MEMBER_ACCOUNT_NUMBER:role/aws-controltower-ConfigRecorderRole-customer-created --recording-group allSupported=true,includeGlobalResourceTypes=GLOBAL_RESOURCE_RECORDING--regionCURRENT_REGION
5b단계. AWS Config 전송 채널 리소스 수정
지역당 하나의 AWS Config 전송 채널만 존재할 수 있습니다. 다른 것이 있는 경우 다음과 같이 설정을 수정하십시오.
-
이름: 변경하지 마세요
-
ConfigSnapshotDeliveryProperties: TwentyFour _시간
-
S3BucketName: AWS Control Tower 로깅 계정의 로깅 버킷 이름
aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGION -
S3KeyPrefix:
조직_ID -
SnsTopicARN: 감사 계정의 SNS 주제 ARN으로, 다음 형식입니다.
arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications
이 수정은 다음 명령을 사용하여 AWS CLI를 통해 수행할 수 있습니다. 문자열을 DELIVERY_CHANNEL_NAME
aws configservice put-delivery-channel --delivery-channel name=DELIVERY_CHANNEL_NAME,s3BucketName=aws-controltower-logs-LOGGING_ACCOUNT_ID-HOME_REGION,s3KeyPrefix="ORGANIZATION_ID",configSnapshotDeliveryProperties={deliveryFrequency=TwentyFour_Hours},snsTopicARN=arn:aws:sns:CURRENT_REGION:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications --regionCURRENT_REGION
5c단계. AWS Config 집계 권한 부여 리소스 수정
지역별로 여러 집계 승인이 존재할 수 있습니다. AWS Control Tower에는 감사 계정을 승인된 계정으로 지정하고 AWS Control Tower의 홈 지역을 권한 있는 지역으로 지정하는 집계 권한이 필요합니다. 계정이 없는 경우 다음 설정을 사용하여 새 계정을 생성하십시오.
-
AuthorizedAccountId: 감사 계정 ID
-
AuthorizedAwsRegion: AWS Control Tower 설정을 위한 홈 지역
이 수정은 다음 명령을 사용하여 AWS CLI를 통해 수행할 수 있습니다.
aws configservice put-aggregation-authorization --authorized-account-id
AUDIT_ACCOUNT_ID --authorized-aws-region
HOME_REGION --region
CURRENT_REGION
6단계: AWS Control Tower가 관리하는 지역에서 리소스가 존재하지 않는 곳에 리소스 생성
다음 예와 같이 홈 리전의 IncludeGlobalResourcesTypes파라미터에 값이 GLOBAL_RESOURCE_RECORDING 포함되도록 AWS CloudFormation 템플릿을 수정하십시오. 또한 이 섹션에 지정된 대로 템플릿의 필수 필드를 업데이트하십시오.
거주 지역의 항목을 GLOBAL_RESOURCE_RECORDING true로 바꾸십시오. AWS Config 레코더가 있는 다른 지역의 경우 항목을 false로 바꾸십시오.
-
관리 계정의 AWS CloudFormation 콘솔로 이동합니다.
-
이름을 StackSet 사용하여 새 계정을 만드십시오 CustomerCreatedConfigResourcesForControlTower.
-
다음 템플릿을 복사하고 업데이트하십시오.
AWSTemplateFormatVersion: 2010-09-09 Description: Configure AWS Config Resources: CustomerCreatedConfigRecorder: Type: AWS::Config::ConfigurationRecorder Properties: Name: aws-controltower-BaselineConfigRecorder-customer-created RoleARN: !Sub arn:aws:iam::${AWS::AccountId}:role/aws-controltower-ConfigRecorderRole-customer-created RecordingGroup: AllSupported: true IncludeGlobalResourceTypes:GLOBAL_RESOURCE_RECORDINGResourceTypes: [] CustomerCreatedConfigDeliveryChannel: Type: AWS::Config::DeliveryChannel Properties: Name: aws-controltower-BaselineConfigDeliveryChannel-customer-created ConfigSnapshotDeliveryProperties: DeliveryFrequency: TwentyFour_Hours S3BucketName: aws-controltower-logs-LOGGING_ACCOUNT-HOME_REGIONS3KeyPrefix:ORGANIZATION_IDSnsTopicARN: !Sub arn:aws:sns:${AWS::Region}:AUDIT_ACCOUNT:aws-controltower-AllConfigNotifications CustomerCreatedAggregationAuthorization: Type: "AWS::Config::AggregationAuthorization" Properties: AuthorizedAccountId:AUDIT_ACCOUNTAuthorizedAwsRegion:HOME_REGION필수 필드로 템플릿을 업데이트하십시오.
-
S3 BucketName
필드에서로깅_계정_ID와홈_지역을 대체합니다. -
S3 KeyPrefix 필드에서
조직_ID를교체합니다. -
SnsTopicARN
필드에서 AUDIT_ACCOUNT를 대체합니다. -
AuthorizedAccountId
필드에서 AUDIT_ACCOUNT를 교체하십시오. -
AuthorizedAwsRegion
필드에서 HOME_REGION을 교체하십시오.
-
-
AWS CloudFormation 콘솔에 배포하는 동안 회원 계정 번호를 추가합니다.
-
4단계에서 식별된 AWS 지역을 추가합니다.
-
스택 세트를 배포합니다.
7단계: AWS 컨트롤 타워에 OU 등록
AWS Control Tower 대시보드에서 OU를 등록합니다.
참고
계정 등록 워크플로는 이 작업에 성공하지 못합니다. OU 등록 또는 OU 재등록을 선택해야 합니다.
