AWS Control Tower 외부에서 리소스를 관리하는 경우 - AWS Control Tower
AWS Control Tower 외부의 리소스 참조외부 AWS Control Tower 리소스 이름 변경보안 OU 삭제보안 OU에서 계정 제거자동으로 업데이트되는 외부 변경 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Control Tower 외부에서 리소스를 관리하는 경우

AWS Control Tower는 사용자를 대신하여 계정, 조직 단위 및 기타 리소스를 설정하지만 이러한 리소스의 소유자는 사용자입니다. 이러한 리소스는 AWS Control Tower 내부 또는 외부에서 변경할 수 있습니다. AWS Control Tower 외부에서 리소스를 변경하는 가장 일반적인 장소는 AWS Organizations 콘솔입니다. 이 주제에서는 AWS Control Tower 외부에서 변경을 수행할 때 AWS Control Tower 리소스에 대한 변경 사항을 조정하는 방법을 설명합니다.

리소스의 이름을 바꾸고, 리소스를 삭제하고, AWS Control Tower 콘솔 외부로 이동하면 콘솔이 동기화되지 않습니다. 많은 변경 사항이 자동으로 조정될 수 있습니다. 특정 변경 사항의 경우 AWS Control Tower 콘솔에 표시되는 정보를 업데이트하려면 착륙 지대를 재설정해야 합니다.

일반적으로 AWS Control Tower 콘솔 외부에서 AWS Control Tower 리소스를 변경하면 착륙 지대에 해결 가능한 드리프트 상태가 발생합니다. 이러한 변경에 대한 내용은 리소스에 대한 수정 가능한 변경 사항 섹션을 참조하세요.

Landing Zone 재설정이 필요한 작업

  • 보안 OU 삭제 (간단한 작업이 아닌 특별한 경우)

  • 보안 OU에서 공유 계정 제거 (권장하지 않음)

  • 보안 OU와 연결된 SCP 업데이트, 연결 또는 분리

AWS Control Tower에서 자동으로 업데이트하는 변경 사항

  • 등록된 계정의 이메일 주소 변경

  • 등록된 계정 이름 변경

  • 새로운 최상위 조직 단위 (OU) 생성

  • 등록된 OU 이름 변경

  • 등록된 OU 삭제 (업데이트가 필요한 보안 OU 제외)

  • 등록된 계정 삭제 (보안 OU의 공유 계정 제외)

참고

AWS Service Catalog 변경 사항을 AWS Control Tower와 다르게 처리합니다. AWS Service Catalog 변경 사항을 조정할 때 거버넌스 태세에 변화가 생길 수 있습니다. 프로비전된 제품 업데이트에 대한 자세한 내용은 설명서의 프로비저닝된 제품 업데이트를 참조하십시오. AWS Service Catalog

AWS Control Tower 외부의 리소스 참조

AWS Control Tower 외부에서 새 OU와 계정을 생성하는 경우, 해당 OU와 계정이 표시될 수는 있지만 AWS Control Tower의 규제를 받지 않습니다.

OU 만들기

AWS Control Tower 외부에서 생성된 조직 단위 (OU) 를 미등록이라고 합니다. 조직 페이지에 표시되지만 AWS Control Tower 컨트롤의 적용을 받지는 않습니다.

계정 생성

AWS Control Tower 외부에서 생성된 계정을 등록 취소라고 합니다. AWS Control Tower에 등록된 OU에 속하는 등록 및 미등록 계정이 조직 페이지에 표시됩니다. 등록된 OU에 속하지 않는 계정은 콘솔을 사용하여 초대할 수 있습니다. AWS Organizations 이 가입 초대를 받았다고 해서 계정이 AWS Control Tower에 등록되거나 AWS Control Tower 거버넌스가 해당 계정으로 확장되는 것은 아닙니다. 계정을 등록하여 거버넌스를 확장하려면 AWS Control Tower의 조직 페이지 또는 계정 세부 정보 페이지로 이동하여 계정 등록을 선택하십시오.

외부 AWS Control Tower 리소스 이름 변경

AWS Control Tower 콘솔 외부에서 조직 단위 (OU) 및 계정의 이름을 변경할 수 있으며, 콘솔은 이러한 변경 사항을 반영하도록 자동으로 업데이트됩니다.

OU 이름 변경

AWS Organizations에서는 AWS Organizations API 또는 콘솔을 사용하여 OU 이름을 변경할 수 있습니다. AWS Control Tower 외부에서 OU 이름을 변경하면 AWS Control Tower 콘솔에 이름 변경이 자동으로 반영됩니다. 하지만 를 사용하여 AWS Service Catalog계정을 프로비저닝하는 경우 AWS Control Tower가 일관성을 유지할 수 있도록 랜딩 존도 재설정해야 AWS Organizations합니다. 재설정 워크플로는 기본 OU와 추가 OU에 대한 서비스 전반의 일관성을 보장합니다. 랜딩 존 설정 페이지에서 이러한 유형의 드리프트를 해결할 수 있습니다. 의 “드리프트 해결” 섹션을 참조하십시오. AWS Control Tower의 드리프트 감지 및 해결

AWS Control Tower는 AWS 컨트롤 타워 대시보드의 조직 페이지에 OU 이름을 표시합니다. landing zone 재설정 작업이 성공했는지 확인할 수 있습니다.

등록된 계정 이름 변경

각 AWS 계정에는 AWS Billing and Cost Management 콘솔에서 계정의 루트 사용자가 변경할 수 있는 표시 이름이 있습니다. AWS Control Tower에 등록된 계정의 이름을 변경하면 이름 변경 내용이 AWS Control Tower에 자동으로 반영됩니다. 계정 이름 변경에 대한 자세한 내용은 AWS 결제 사용 설명서의 AWS 계정 관리를 참조하십시오.

보안 OU 삭제

이 유형의 드리프트는 특수한 경우입니다. Security OU를 삭제하면 착륙 영역을 재설정하라는 오류 메시지 페이지가 표시됩니다. AWS Control Tower에서 다른 작업을 수행하려면 먼저 랜딩 존을 재설정해야 합니다.

  • 재설정이 완료되기 AWS Service Catalog 전까지는 AWS Control Tower 콘솔에서 어떤 작업도 수행할 수 없으며 새 계정을 생성할 수 없습니다.

  • 랜딩 존 설정 페이지에서 재설정 버튼을 볼 수 없습니다.

이 경우, landing zone 재설정 프로세스는 새 보안 OU를 만들고 두 공유 계정을 새 보안 OU로 이동합니다. AWS Control Tower는 로그 아카이브 및 감사 계정을 드리프트된 것으로 표시합니다. 동일한 프로세스를 통해 이러한 계정의 편차가 해결됩니다.

보안 OU를 삭제해야 한다고 판단되면 다음 사항을 알아두어야 합니다.

보안 OU를 삭제하려면 먼저 보안 OU에 계정이 없는지 확인해야 합니다. 특히 OU에서 로그 아카이브 및 감사 계정을 제거해야 합니다. 이러한 계정을 다른 OU로 이동하는 것이 좋습니다.

참고

보안 OU를 삭제하는 작업은 적절한 고려 없이 수행해서는 안 됩니다. 이 작업을 수행하면 로깅이 일시적으로 중단되고 일부 제어 기능이 적용되지 않을 수 있으므로 규정 준수 문제가 발생할 수 있습니다.

드리프트에 대한 일반적인 정보는 AWS Control Tower의 드리프트 감지 및 해결의 “드리프트 해결”을 참조하십시오.

보안 OU에서 계정 제거

공유 계정을 조직에서 제거하거나 보안 OU 외부로 옮기는 것은 권장하지 않습니다. 실수로 공유 계정을 제거한 경우 이 섹션의 수정 단계에 따라 계정을 복원할 수 있습니다.

  • AWS Control Tower 콘솔 내에서: 수정 프로세스를 시작하려면 반수동 수정 단계를 따르십시오. AWS Control Tower 콘솔에 액세스하는 데 사용하는 사용자 또는 역할이 실행 권한을 가지고 있는지 확인하십시오organizations:InviteAccountToOrganization. 이러한 권한이 없는 경우, AWS Control Tower 콘솔과 콘솔을 모두 사용하는 수동 수정 단계를 따르십시오. AWS Organizations

  • AWS Organizations 콘솔에서 시작: 이 수정 프로세스는 약간 더 긴 완전 수동 절차입니다. 수동 수정 단계를 수행하면 콘솔과 AWS Control Tower AWS Organizations 콘솔 사이를 전환하게 됩니다. 에서 AWS Organizations작업하려면 AWSOrganizationsFullAccess 관리형 정책 또는 이에 상응하는 사용자 또는 역할이 필요합니다. AWS Control Tower 콘솔에서 작업할 때는 AWSControlTowerServiceRolePolicy 관리형 정책 또는 이에 상응하는 정책을 가진 사용자 또는 역할, 그리고 모든 AWS Control Tower 작업 (controltower: *) 을 실행할 수 있는 권한이 필요합니다.

  • 수정 단계를 수행해도 계정이 복원되지 않는 경우 문의해 주십시오. AWS Support

다음을 통해 AWS Organizations공유 계정을 제거한 결과:

  • 이 계정은 더 이상 서비스 제어 정책 (SCP) 을 통한 AWS Control Tower 필수 제어에 의해 보호되지 않습니다. 결과: 계정에서 AWS Control Tower가 생성한 리소스는 수정되거나 삭제될 수 있습니다.

  • 계정은 더 이상 AWS Organizations 관리 계정에 속하지 않습니다. 결과: AWS Organizations 관리 계정 관리자는 더 이상 계정의 지출을 확인할 수 없습니다.

  • 해당 계정은 더 이상 모니터링이 보장되지 않습니다 AWS Config. 결과: AWS Organizations 관리 계정 관리자가 리소스 변경을 감지하지 못할 수 있습니다.

  • 계정이 더 이상 조직에 없습니다. 결과: AWS Control Tower 업데이트 및 재설정이 실패합니다.

AWS Control Tower 콘솔을 사용하여 공유 계정을 복원하려면 (반수동 절차)

  1. https://console.aws.amazon.com/controltower 에서 AWS 컨트롤 타워 콘솔에 로그인합니다. IAM 사용자, IAM ID 센터의 사용자 또는 실행 권한이 있는 역할로 로그인해야 합니다. organizations:InviteAccountToOrganization 이러한 권한이 없는 경우 이 주제 뒷부분에서 설명하는 수동 수정 절차를 사용하십시오.

  2. 랜딩 존 드리프트 감지 페이지에서 Re-Invite를 선택하여 공유 계정을 조직에 다시 초대하여 공유 계정 제거 문제를 해결합니다. 자동으로 생성된 이메일이 해당 계정의 이메일 주소로 전송됩니다.

  3. 초대를 수락하여 공유 계정을 다시 조직으로 가져오세요. 다음 중 하나를 수행하십시오.

    • 제거된 공유 계정에 로그인한 다음 https://console.aws.amazon.com/organizations/home#/invites 으로 이동합니다.

    • 계정을 다시 초대했을 때 보낸 이메일 메시지에 액세스할 수 있는 경우 제거된 계정에 로그인한 다음 메시지의 링크를 클릭하여 계정 초대로 바로 이동하십시오.

    • 제거된 공유 계정이 다른 조직에 속하지 않는 경우 해당 계정에 로그인하고 AWS Organizations 콘솔을 연 다음 초대로 이동합니다.

  4. 관리 계정에 다시 로그인하거나, 이미 열려 있는 경우 AWS Control Tower 콘솔을 다시 로드하십시오. 랜딩 존 드리프트 페이지가 표시됩니다. Reset을 선택하여 랜딩 존을 복구하십시오.

  5. 재설정 프로세스가 완료될 때까지 기다리세요.

수정이 성공하면 공유 계정이 정상 상태 및 규정 준수 상태로 나타납니다.

수정 단계를 수행해도 계정이 복원되지 않으면 문의하세요. AWS Support

AWS AWS Organizations Control Tower 및 콘솔을 사용하여 공유 계정을 복원하려면 (수동 수정)

  1. 에서 콘솔에 로그인하십시오. AWS Organizations https://console.aws.amazon.com/organizations/ IAM 사용자, IAM Identity Center의 사용자 또는 AWSOrganizationsFullAccess 관리형 정책 또는 이와 동등한 역할을 사용하는 역할로 로그인해야 합니다.

  2. 공유 계정을 다시 조직에 초대하십시오. 계정을 초대하기 AWS Organizations위한 요구 사항, 전제 조건 및 절차에 대한 자세한 내용은 사용 설명서의 조직에 AWS 계정 초대를 참조하십시오.AWS Organizations

  3. 제거된 공유 계정에 로그인한 다음 https://console.aws.amazon.com/organizations/home#/invites 으로 이동하여 초대를 수락하십시오.

  4. 관리 계정에 다시 로그인합니다.

  5. AWSControlTowerServiceRolePolicy관리형 정책 또는 이에 상응하는 정책을 사용하는 사용자 또는 역할로 AWS Control Tower 콘솔에 로그인하고 모든 AWS Control Tower 작업 (controltower: *) 을 실행할 수 있는 권한을 갖습니다.

  6. 랜딩 존을 재설정하는 옵션이 있는 랜딩 존 드리프트 페이지가 표시됩니다. Reset을 선택하여 랜딩 존을 복구하십시오.

  7. 재설정 프로세스가 완료될 때까지 기다리세요.

수정이 성공하면 공유 계정이 정상 상태 및 규정 준수 상태로 나타납니다.

수정 단계를 수행해도 계정이 복원되지 않으면 문의하세요. AWS Support

자동으로 업데이트되는 외부 변경 사항

계정 이메일 주소를 변경하면 AWS Control Tower에서 자동으로 업데이트되지만 Account Factory는 이를 자동으로 업데이트하지 않습니다.

관리되는 계정의 이메일 주소 변경

AWS Control Tower는 콘솔 환경에 필요한 대로 이메일 주소를 검색하고 표시합니다. 따라서 공유 및 기타 계정 이메일 주소는 변경 후 AWS Control Tower에 지속적으로 업데이트되고 표시됩니다.

참고

에서 AWS Service Catalog Account Factory는 프로비저닝된 제품을 생성할 때 콘솔에 지정된 매개변수를 표시합니다. 그러나 계정 이메일 주소가 변경되는 경우 원래 계정 이메일 주소가 자동으로 업데이트되지 않습니다. 계정이 프로비저닝된 제품 내에 개념적으로 포함되어 있고 프로비저닝된 제품과 동일하지 않기 때문입니다. 이 값을 업데이트하려면 프로비저닝된 제품을 업데이트해야 하며, 그 결과로 관리 상태가 바뀔 수 있습니다.

외부 규칙 적용 AWS Config

AWS Control Tower는 AWS Control Tower 콘솔 외부에서 활성화된 AWS Config 규칙을 포함하여 AWS Control Tower에 등록된 조직 단위에 배포된 모든 규칙의 규정 준수 상태를 표시합니다.

AWS 컨트롤 타워 외부의 AWS 컨트롤 타워 리소스 삭제

AWS Control Tower에서 OU 및 계정을 삭제할 수 있으며 업데이트를 확인하기 위해 추가 조치를 취할 필요가 없습니다. Account Factory는 OU를 삭제하면 자동으로 업데이트되지만 계정을 삭제할 때는 업데이트되지 않습니다.

등록된 OU 삭제 (보안 OU 제외)

내에서 AWS Organizations API 또는 콘솔을 사용하여 빈 OU (조직 구성 단위) 를 제거할 수 있습니다. 계정이 포함된 OU는 삭제할 수 없습니다.

AWS Control Tower는 OU가 AWS Organizations 삭제되면 알림을 받습니다. 등록된 OU 목록이 일관되게 유지되도록 Account Factory의 OU 목록을 업데이트합니다.

참고

AWS Service Catalog에서는 계정을 프로비저닝할 수 있는 사용 가능한 OU 목록에서 삭제된 OU가 제거되도록 Account Factory가 업데이트되었습니다.

OU에서 등록된 계정 삭제

등록된 계정을 삭제하면 AWS Control Tower가 알림을 수신하고 정보를 업데이트하여 정보의 일관성을 유지합니다.

참고

에서 AWS Service Catalog관리 계정을 나타내는 Account Factory에서 제공하는 제품은 계정을 삭제하도록 업데이트되지 않습니다. 대신 프로비저닝된 제품이 TAINTED 및 오류 상태로 표시됩니다. 정리하려면 AWS Service Catalog로 이동하여 프로비저닝된 제품을 선택한 다음 종료를 선택합니다.