외부에서 리소스 관리AWS Control Tower - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

외부에서 리소스 관리AWS Control Tower

AWS Control Tower는 사용자를 대신하여 계정, 조직 단위 및 기타 리소스를 설정하지만, 사용자가 이러한 리소스의 소유자로서 AWS Control Tower 내부 또는 외부에서 이러한 리소스를 변경할 수 있습니다. AWS Control Tower 외부에서 리소스를 변경하는 가장 일반적인 위치는 AWS Organizations 콘솔입니다. 이 주제에서는 AWS Control Tower 외부에서 AWS Control Tower 리소스를 변경하는 경우 리소스에 대한 변경 사항을 조정하는 방법을 설명합니다.

콘솔 외부에서 리소스의 이름을 바꾸거나 리소스를 삭제 또는 이동하면 콘솔이 동기화되지 않습니다.AWS Control Tower 많은 변경 사항이 자동으로 조정될 수 있습니다. 콘솔에 표시되는 정보를 업데이트하려면 랜딩 영역을 복구해야 합니다.AWS Control Tower

일반적으로 AWS Control Tower 콘솔 외부에서 AWS Control Tower 리소스를 변경하면 랜딩 영역에서 복구 가능한 드리프트 상태가 생성됩니다. 이러한 변경에 대한 내용은 리소스에 대한 복구 가능한 변경을 참조하십시오.

랜딩 영역 복구가 필요한 작업

  • 코어 OU 삭제(특수한 경우에만, 주의 필요)

  • 코어 OU에서 공유 계정 제거(권장되지 않음, AWS Support의 도움이 필요함)

에 의해 자동으로 업데이트되는 변경 사항 AWS Control Tower

  • 등록된 계정의 이메일 주소 변경

  • 등록된 OU 삭제(업데이트가 필요한 코어 OU 제외)

  • 등록된 계정 삭제(코어 OU에서 공유 계정 제외)

  • 등록된 조직 단위(OU) 이름 변경

  • 등록된 계정 이름 변경

참고

AWS Service Catalog는 변경 사항을 AWS Control Tower와 다르게 처리합니다. AWS Service Catalog는 변경 사항을 조정할 때 관리 상태를 변화시킬 수 있습니다. 프로비저닝된 제품 업데이트에 대한 자세한 내용은 AWS Service Catalog 설명서의 프로비저닝된 제품 업데이트를 참조하십시오.

AWS Control Tower 외부 리소스 참조

외부에서 새 OUs 및 계정을 생성하면 표시되더라도 AWS Control Tower에서 관리하지 않습니다.AWS Control Tower

OU 만들기

AWS Control Tower 외부에서 생성된 조직 단위(OU)를 미등록 OU라고 합니다. 이는 OU 목록 페이지에 표시되지만 AWS Control Tower 가드레일에 의해 관리되지 않습니다.

계정 생성

AWS Control Tower 외부에서 생성된 계정을 미등록 계정이라고 합니다. AWS Control Tower에 등록된 조직에 속한 계정은 계정 목록 페이지에 표시됩니다. 등록된 조직에 속하지 않은 계정은 AWS Organizations 콘솔을 사용하여 초대할 수 있습니다. 이 가입 초대는 계정을 AWS Control Tower에 등록하거나 계정으로 AWS Control Tower 관리를 확대하지 않습니다. 계정을 등록하여 관리를 확대하려면 AWS Control Tower의 Account Factory 페이지로 이동하여 계정 등록을 선택합니다.

AWS Control Tower 리소스 이름 변경

AWS Control Tower 콘솔 외부에서 조직 단위(OU) 및 계정의 이름을 변경할 수 있지만 해당 업데이트를 보려면 랜딩 영역을 복구해야 합니다.

OU 이름 변경

AWS Organizations에서는 API 또는 콘솔을 사용하여 OU의 이름을 변경할 수 있습니다. AWS Control Tower 외부에서 OU 이름을 변경하는 경우 랜딩 영역을 복구하여 AWS Control Tower를 AWS Organizations와 일관되게 유지해야 합니다. 복구 워크플로우를 사용하면 코어 및 비 코어(워크로드) OU 이름에 대한 서비스 간 일관성이 유지됩니다. 이 유형의 드리프트는 설정 페이지에서 복구할 수 있습니다. 드리프트 감지 및 해결 AWS Control Tower의 “드리프트 해결”을 참조하십시오.

는 콘솔과 AWS Control Tower에 OUs의 이름을 표시하며 랜딩 영역 복구가 성공한 시간을 확인할 수 있습니다.Account Factory

등록된 계정 이름 변경

각 AWS 계정에는 표시 이름이 있으며, AWS Billing and Cost Management 콘솔에서 이를 변경할 수 있습니다. 계정 이름을 변경하는 경우 코어 및 비 코어(워크로드) 계정 이름에 대한 서비스 간 데이터 일관성을 유지하기 위해 AWS Control Tower 랜딩 영역을 복구해야 합니다.

참고

AWS Control Tower에서 프로비저닝된 제품 이름은 계정이 프로비저닝될 때 AWS 계정 이름으로 설정됩니다. 이 값을 변경하는 경우 AWS Service Catalog에서 프로비저닝된 제품도 업데이트해야 합니다. 이 AWS Service Catalog 변경으로 인해 계정에 대한 관리 상태가 바뀔 수 있습니다.

코어 OU 삭제

코어 OU를 삭제하려는 경우 먼저 해당 OU에 계정이 없는지 확인해야 합니다. 특히 OU에서 로그 아카이브 및 감사 계정을 제거해야 합니다. 이러한 계정을 다른 OU로 이동하는 것이 좋습니다. 복구 기능을 실행하면 AWS Control Tower가 새 코어 OU를 생성하고 이러한 계정을 새 코어 OU로 다시 이동합니다. AWS Control Tower는 이러한 계정을 드리프트된 것으로 표시합니다.

참고

코어 OU를 삭제하는 작업은 신중하게 고려하여 수행해야 합니다. 로깅이 일시적으로 일시 중단되고 일부 가드레일이 적용되지 않을 수 있으므로 이 작업으로 인해 규정 준수 문제가 발생할 수 있습니다.

코어 OU를 삭제하면 랜딩 영역을 복구하라는 오류 메시지가 표시됩니다. AWS Control Tower에서 다른 작업을 수행하려면 먼저 랜딩 구역을 복구해야 합니다. 복구가 완료될 때까지 AWS Control Tower 콘솔에서 어떤 작업도 수행할 수 없으며 AWS Service Catalog에서 새 계정을 생성할 수 없습니다.

이 유형의 드리프트는 특수한 경우입니다. 설정 페이지에 복구 버튼이 표시되지 않습니다. 이 경우 랜딩 영역 복구 프로세스에서 새 코어 OU가 생성되고 두 공유 계정이 새 코어 OU로 이동됩니다. 동일한 프로세스를 통해 로그 아카이브 및 감사 계정의 드리프트가 복구됩니다.

드리프트에 대한 일반적인 정보는 드리프트 감지 및 해결 AWS Control Tower의 “드리프트 해결”을 참조하십시오.

코어 OU에서 계정 제거

코어 OU에서 공유 계정을 제거하지 않는 것이 좋습니다. 공유 계정을 실수로 제거한 경우 AWS Support에 문의하십시오.

코어 계정 제거 결과:

  • 이 계정은 더 이상 AWS Control Tower 필수 SCPs로 보호되지 않습니다.

    Result: 계정에서 AWS Control Tower에 의해 생성된 리소스는 수정 또는 삭제될 수 있습니다.

  • 계정이 더 이상 AWS Organizations 관리 계정에 속하지 않습니다.

    Result: AWS Organizations의 관리자는 계정의 지출을 더 이상 볼 수 없습니다.관리 계정

  • AWS Config에서 계정을 더 이상 모니터링하지 않습니다.

    Result: AWS Organizations의 관리자가 리소스 변경을 감지할 수 있는 방법은 없습니다.관리 계정

  • 계정이 더 이상 조직에 없습니다.

    결과: AWS Control Tower 업데이트 및 복구가 실패합니다.

자동으로 업데이트되는 변경 사항

계정 이메일 주소에 대한 변경 사항은 AWS Control Tower에서 자동으로 업데이트되지만 Account Factory에서는 자동으로 업데이트되지 않습니다.

관리되는 계정의 이메일 주소 변경

AWS Control Tower는 콘솔 환경에 필요한 대로 이메일 주소를 검색하고 표시합니다. 따라서 코어 및 비 코어 계정 이메일 주소는 변경 후 AWS Control Tower에서 일관되게 업데이트되고 표시됩니다.

참고

AWS Service Catalog에서 Account Factory는 프로비저닝된 제품 생성 시 콘솔에서 지정된 파라미터를 표시합니다. 그러나 계정 이메일 주소가 변경되는 경우 원래 계정 이메일 주소가 자동으로 업데이트되지 않습니다. 계정이 프로비저닝된 제품 내에 개념적으로 포함되어 있고 프로비저닝된 제품과 동일하지 않기 때문입니다. 이 값을 업데이트하려면 프로비저닝된 제품을 업데이트해야 하며, 그 결과로 관리 상태가 바뀔 수 있습니다.

리소스 삭제

에서 OUs 및 계정을 삭제할 수 있으며 업데이트를 보기 위해 추가 작업을 수행할 필요가 없습니다. AWS Control Tower는 OU를 삭제할 때 자동으로 업데이트되지만 계정을 삭제할 때는 업데이트되지 않습니다.Account Factory

등록된 OU 삭제(코어 OU 제외)

AWS Organizations 내에서 API 또는 콘솔을 사용하여 빈 조직 단위(OU)를 제거할 수 있습니다. 계정이 포함된 OUs는 삭제할 수 없습니다.

AWS Control Tower는 OU가 삭제될 때 AWS Organizations에서 알림을 받으며, 에서 OU 목록을 업데이트하여 등록된 Account Factory의 목록을 일관되게 유지합니다.OUs

AWS Control Tower 콘솔에 삭제된 OU가 표시되는 경우 랜딩 영역을 복구하여 오래된 항목을 제거합니다.

참고

에서 AWS Service Catalog는 계정을 프로비저닝할 수 있는 사용 가능한 Account Factory 목록에서 삭제된 OU를 제거하도록 업데이트됩니다.OUs

OU에서 등록된 계정 삭제

등록된 비 코어 계정을 제거하면 AWS Control Tower에서 알림을 수신하고 업데이트를 수행하므로 정보가 일관되게 유지됩니다.

AWS Control Tower 콘솔에 삭제된 계정이 표시되면 랜딩 영역을 복구하여 오래된 항목을 제거합니다.

참고

AWS Service Catalog에서는 관리되는 계정을 나타내는 Account Factory 프로비저닝 제품이 계정을 제거하며 업데이트되지 않습니다. 대신 프로비저닝된 제품이 TAINTED 및 오류 상태로 표시됩니다. 정리하려면 AWS Service Catalog로 이동하여 프로비저닝된 제품을 선택한 다음 종료를 선택합니다.