Landding Zone 구성에 대한 기대치

AWS Control Tower 랜딩 존을 설정하는 프로세스는 여러 단계로 이루어집니다. AWS Control Tower 랜딩 존의 특정 측면을 구성할 수 있습니다. 설정 후에는 다른 선택 사항을 변경할 수 없습니다.

설정 중에 구성할 주요 항목

• 설치 중에 최상위 OU 이름을 선택할 수 있으며, 랜딩 존을 설정한 후에 OU 이름을 변경할 수도 있습니다. 기본적으로 최상위 OU의 이름은 보안 및 샌드박스로 지정됩니다. 자세한 정보는 잘 설계된 환경을 설정하기 위한 지침을 참조하세요.

• 설정 중에 AWS Control Tower가 생성하는 공유 계정의 사용자 지정 이름 (기본적으로 로그 아카이브 및 감사라고 함) 을 선택할 수 있지만, 설정 후에는 이러한 이름을 변경할 수 없습니다. (이는 일회성 선택입니다.)

• 설정 중에 감사 및 로그 아카이브 AWS 계정으로 사용할 AWS Control Tower의 기존 계정을 선택적으로 지정할 수 있습니다. 기존 AWS 계정을 지정하려는 경우 해당 계정에 기존 AWS Config 리소스가 있는 경우, 계정을 AWS Control Tower에 등록하려면 먼저 기존 AWS Config 리소스를 삭제해야 합니다. (이는 일회성 선택입니다.)

• 처음으로 설정하거나 landing zone 버전 3.0으로 업그레이드하는 경우, AWS Control Tower가 조직에 맞게 조직 수준의 AWS CloudTrail 트레일을 설정하도록 허용할지 또는 AWS Control Tower에서 관리하는 트레일을 옵트아웃하고 자체 트레일을 관리할 수 있습니다. CloudTrail 랜딩 존을 업데이트할 때마다 AWS Control Tower에서 관리하는 조직 수준의 트레일을 옵트인하거나 옵트아웃할 수 있습니다.

• 랜딩 존을 설정하거나 업데이트할 때 Amazon S3 로그 버킷 및 로그 액세스 버킷에 대한 사용자 지정 보존 정책을 선택적으로 설정할 수 있습니다.

• 필요에 따라 AWS Control Tower 콘솔에서 사용자 지정 멤버 계정을 프로비저닝하는 데 사용할 이전에 정의된 블루프린트를 지정할 수 있습니다. 청사진을 사용할 수 없는 경우 나중에 계정을 사용자 지정할 수 있습니다. AFC (Account Factory Customize) 로 계정을 사용자 지정하세요 섹션을 참조하십시오.

취소할 수 없는 구성 선택

• landing Zone을 설정한 후에는 거주 지역을 변경할 수 없습니다.

• Account Factory 계정을 VPC로 프로비저닝하는 경우 VPC CIDR은 생성된 후에는 변경할 수 없습니다.