AWS Control Tower 시작하기 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Control Tower 시작하기

이 시작하기 절차는 AWS Control Tower 중앙 클라우드 관리자를 위한 절차입니다. landing zone 설정할 준비가 되면 다음 절차를 따르십시오. 이 절차를 완료하는 데는 약 30 분이 소요됩니다. 이 절차에는 사전 조건과 네 단계가 있습니다.

사전 조건: 관리 계정에 대한 자동 사전 시작 확인

AWS Control Tower (AWS Control Tower) 가 landing zone 존을 설정하기 전에 계정에서 일련의 사전 검사가 자동으로 실행됩니다. 이러한 검사에 필요한 조치는 없습니다. 이를 통해 관리 계정이 landing zone 존을 설정하는 변경에 대한 준비가 완료되었는지 확인할 수 있습니다. 다음은 landing zone 존을 설정하기 전에 AWS Control Tower Tower에서 실행되는지 확인하는 것입니다.

  • 기존 서비스 제한은AWS 계정AWS Control Tower 타워가 출시되기에 충분해야 합니다. 자세한 정보는 AWS Control Tower 타워의 제한 사항 및 할당량을 참조하십시오.

  • 이AWS 계정다음 AWS 서비스를 구독해야 합니다.

    • Amazon Simple Storage Service(Amazon S3)

    • Amazon Elastic Compute Cloud(Amazon EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud(Amazon VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazon CloudWatch

    • AWS Config

    • AWS Identity and Access Management(IAM)

    • AWS Lambda

    참고

    기본적으로 모든 계정은 이러한 서비스를 구독합니다.

에 대한 고려 사항AWS Single Sign-On(AWS SSO) 고객

  • 다음의 경우,AWS Single Sign-On(AWS SSO) 가 이미 설정되어 있는 경우 AWS Control Tower 홈 리전은 와 동일해야 합니다.AWS SSO리전.

  • AWS SSO는 조직의 관리 계정에만 설치할 수 있습니다.

  • SSO에서 선택한 ID 소스에 따라 SSO 디렉터리에 세 가지 옵션이 적용됩니다.

    • AWS SSO사용자 스토어: AWS Control Tower 타워용 SSO가 다음과 같이 설정된 경우AWS SSOAWS Control Tower 는 SSO 디렉터리에 그룹을 생성하고 선택한 사용자, 구성원 계정에 대해 이러한 그룹에 대한 액세스 권한을 프로비저닝합니다.

    • Active Directory: AWS Control Tower 타워용 SSO가 Active Directory로 설정된 경우 AWS Control Tower 타워는 SSO 디렉터리를 관리하지 않습니다. 새 사용자에게 사용자나 그룹을 할당하지 않습니다.AWS계정.

    • 외부 자격 증명 공급자: 다음의 경우,AWS SSOAWS Control Tower 가 외부 자격 증명 공급자 (IdP) 로 설정되어 있는 경우, AWS Control Tower 는 SSO 디렉터리에 그룹을 생성하고 멤버 계정에 대해 선택한 사용자에 대해 이러한 그룹에 대한 액세스 권한을 프로비저닝합니다. 계정 생성 중에 Account Factory 팩토리의 외부 IdP에서 기존 사용자를 지정할 수 있으며, AWS Control Tower Tower는 SSO와 외부 IdP 간에 동일한 이름의 사용자를 동기화할 때 이 사용자에게 새로 벤딩된 계정에 대한 액세스 권한을 부여합니다. 외부 IdP에서 AWS Control Tower 의 기본 그룹 이름과 일치하도록 그룹을 생성할 수도 있습니다. 이러한 그룹에 사용자를 할당하면 이러한 사용자는 등록된 계정에 액세스할 수 있습니다.

    작업에 대한 자세한 내용은AWS SSOAWS Control Tower 참조SSO 계정 및 AWS Control Tower Tower에 대해 알아야 할 사항

에 대한 고려 사항AWS Config과AWS CloudTrail고객

  • 이AWS 계정조직 관리 계정에서 신뢰할 수 있는 액세스를 활성화할 수 없습니다.AWS Config또는AWS CloudTrail. 신뢰할 수 있는 액세스를 비활성화하는 방법에 대한 자세한 내용은 단원을 참조하십시오.그AWS Organizations신뢰할 수 있는 액세스를 활성화 또는 비활성화하는 방법에 대한 설명서.

  • 기존 항목이 있는 경우AWS ConfigAWS Control Tower 에 등록하려는 기존 계정의 레코더, 전송 채널 또는 집계 설정은 landing zone 설정한 후 계정을 등록하기 전에 이러한 구성을 수정하거나 제거해야 합니다. 이 사전 확인은 landing zone 출시 중에는 AWS Control Tower 관리 계정에는 적용되지 않습니다. 자세한 정보는 기존 계정이 있는 계정 등록AWS Config자원을 참조하십시오.

  • AWS Control Tower 계정에서 임시 워크로드를 실행하는 경우 다음과 관련된 비용이 증가할 수 있습니다.AWSConfig. 문의하기AWS이러한 비용 관리에 대한 자세한 내용은 계정 담당자에게 문의하십시오.

  • AWS Control Tower 에 계정을 등록하면 계정에AWS CloudTrailAWS Control Tower 조직을 위한 트레일. 기존 배포가 있는 경우CloudTrail계정에서 추적하면 AWS Control Tower 에 등록하기 전에 계정에 대한 기존 추적을 삭제하지 않는 한 중복 요금이 표시될 수 있습니다. 조직 수준의 트레일 및 AWS Control Tower 에 대한 자세한 내용은 단원을 참조하십시오.요금.

참고

시작할 때 AWS Control Tower에서 지원하는 모든 리전의 관리 계정에서 AWS Security Token Service (STS) 엔드포인트를 활성화해야 합니다. 그렇지 않으면 중간에 구성 프로세스에서 시작이 실패할 수 있습니다.

공유 계정 이메일 주소에 대한 요구 사항

새로운 곳에서 landing zone 존을 설정하는 경우AWS 계정계정 및 IAM 관리자를 생성하는 방법에 대한 자세한 내용은 단원을 참조하십시오.설정.

landing zone 설정하려면 AWS Control Tower Tower에서 에 연결되지 않은 두 개의 고유 이메일 주소가 필요합니다.AWS 계정. 이러한 각 이메일 주소는 AWS Control Tower 관련 특정 작업을 수행하는 엔터프라이즈에서 다양한 사용자를 위한 협업 수신함 (공유 이메일 계정) 으로 사용됩니다. 이메일 주소는 다음 경우에 필요합니다.

  • 감사 계정— 이 계정은 AWS Control Tower Tower에서 제공하는 감사 정보에 액세스해야 하는 사용자 팀에게 적합합니다. 이 계정을 환경의 프로그래밍 방식 감사를 수행하여 규정 준수를 위해 감사하는 데 도움이 되는 타사 도구의 액세스 지점으로 사용할 수도 있습니다.

  • 로그 아카이브 계정— 이 계정은 landing zone 존에 등록된 OU 내에 있는 모든 계정의 모든 로깅 정보에 액세스해야 하는 사용자 팀에게 적합합니다.

이러한 계정은보안landing zone 구역을 만들 때 OU입니다. 이러한 계정에서 작업을 수행할 때 를 사용하는 것이 가장 좋습니다.AWS SSO적절한 범위가 지정된 권한을 가진 사용자입니다.

명확성을 위해 이 사용 설명서는 항상 공유 계정을 기본 이름으로 참조합니다.로그 아카이브심사. 이 문서를 읽으면서 사용자 지정하기로 선택한 경우 처음에 이 계정에 부여한 사용자 정의 이름을 대체해야 합니다. 사용자 정의 이름으로 계정을 볼 수 있습니다.계정 세부 정보페이지.

참고

AWS 다중 계정 전략에 맞게 일부 AWS Control Tower 조직 단위 (OU) 의 기본 이름과 관련된 용어를 변경하고 있습니다. 이러한 이름의 명확성을 높이기 위해 전환하는 동안 일부 불일치가 발생할 수 있습니다. 보안 OU는 이전에는 코어 OU라고 불렀습니다. 샌드박스 OU는 이전에는 사용자 지정 OU라고 했습니다.

landing zone 구성에 대한 기대치

AWS Control Tower landing zone 존을 설정하는 프로세스에는 여러 단계가 있습니다. AWS Control Tower landing zone 존의 특정 측면을 구성할 수 있습니다. 다른 선택 사항은 설정 후 변경할 수 없는 “단방향 문”입니다.

설정 중에 구성할 주요 항목

  • 설정 중에 최상위 OU 이름을 선택할 수 있으며 landing zone 구역을 설정한 후 OU 이름을 변경할 수도 있습니다. 기본적으로 최상위 OU 이름은 지정됩니다.보안샌드박스. 자세한 정보는 잘 설계된 환경을 설정하기 위한 지침을 참조하십시오.

  • 설정 중에 다음과 같은 공유 계정의 사용자 정의 이름을 선택할 수 있습니다.로그 아카이브심사기본적으로 설정 후에는 이러한 이름을 변경할 수 없습니다. 이는 일회성 선택입니다.

실행 취소할 수 없는 구성 선택

  • landing zone 존을 설정한 후에는 홈 리전을 변경할 수 없습니다.

  • VPC로 Account Factory 계정을 프로비저닝하는 경우 VPC CIDR을 생성한 후에는 변경할 수 없습니다.

landing zone 구성 및 실행

AWS Control Tower landing zone 존을 시작하기 전에 가장 적합한 홈 리전을 결정합니다. 자세한 정보는 landing zone 설정을 위한 관리 팁을 참조하십시오.

중요

AWS Control Tower landing zone 존을 배포한 후 홈 리전을 변경하려면 다음과 같은 지원을 해체해야 합니다.AWSSupport. 이 연습은 권장되지 않습니다.

AWS Control Tower에는 API 또는 프로그래밍 액세스가 없습니다. landing zone 구역을 구성하고 시작하려면 다음 일련의 단계를 수행하십시오.

준비: AWS Control Tower 콘솔로 이동합니다.

  1. 웹 브라우저를 열고 에서 AWS Control Tower 콘솔로 이동합니다.https://console.aws.amazon.com/controltower.

  2. 콘솔에서 원하는 홈 리전에서 AWS Control Tower에 대해 원하는 홈 리전에서 작업하고 있는지 확인합니다. 그런 다음 선택landing zone 설정.

1단계. 요금 검토 및 AWS 리전 선택

홈 리전에 대해 선택한 AWS 리전을 올바르게 지정했는지 확인하십시오. AWS Control Tower Tower를 배포한 후에는 홈 리전을 변경할 수 없습니다.

설치 프로세스의 이 섹션에서는 필요한 추가 AWS 리전을 추가할 수 있습니다. 필요한 경우 나중에 리전을 더 추가하고 거버넌스에서 리전을 제거할 수 있습니다.

관리할 추가 AWS 리전을 선택하려면

  1. 패널에 현재 영역 선택이 표시됩니다. 드롭다운 메뉴를 열어 거버넌스에 사용할 수 있는 추가 리전 목록을 확인합니다.

  2. AWS Control Tower Tower에서 거버넌스를 시작하려면 각 리전 옆의 확인란을 선택합니다. 홈 지역 선택은 편집할 수 없습니다.

2단계. OU (조직 단위) 구성

이러한 OU의 기본 이름을 사용하는 경우 설정을 계속하기 위해 수행해야 하는 작업이 없습니다. OU의 이름을 변경하려면 양식 필드에 직접 새 이름을 입력합니다.

  • 파운데이셔널 OU— AWS Control Tower 타워는파운데이셔널 OU처음에 이름이 지정되었습니다.보안 OU. 초기 설정 및 이후 OU 세부 정보 페이지에서 이 OU 이름을 변경할 수 있습니다. 이보안 OU두 개의 공유 계정을 포함합니다. 이 계정은 기본적으로로그 아카이브계정 및심사계정.

  • OU 추가— AWS Control Tower 1개 이상 설정OU 추가당신을 위해서요. 최소한 한 개 이상의 프로비저닝하는 것이 좋습니다.OU 추가당신의 landing zone, 게다가보안 OU. 이 추가 OU가 개발 프로젝트를 위한 것이라면 이름을 지정하는 것이 좋습니다.OU 샌드박스, 에 주어진 대로잘 설계된 환경을 설정하기 위한 지침. AWS Organizations에 기존 OU가 이미 있는 경우 AWS Control Tower 에서 추가 OU 설정을 건너뛰는 옵션이 표시될 수 있습니다.

3단계. 공유 계정 및 암호화 구성

설정 프로세스의 이 섹션에서는 공유 AWS Control Tower 계정의 이름에 대한 기본 선택 항목이 패널에 표시됩니다. 이러한 계정은 landing zone 구역의 필수 부분입니다. 이러한 공유 계정을 이동하거나 삭제하지 마십시오.설정 중에 사용자 지정된 이름을 선택할 수 있습니다.

로그 보관 및 감사 계정에 고유한 이메일 주소를 제공해야 하며 이전에 관리 계정에 제공한 이메일 주소를 확인할 수 있습니다. 다음을 선택합니다.Edit버튼을 눌러 편집 가능한 기본값을 변경합니다.

공유 계정 정보

  • 관리 계정— AWS Control Tower 관리 계정은 루트 레벨의 일부입니다. 관리 계정에서는 AWS Control Tower 결제를 허용합니다. 계정에는 landing zone 구역에 대한 관리자 권한도 있습니다. AWS Control Tower 에서는 결제 및 관리자 권한에 대해 별도의 계정을 생성할 수 없습니다.

    이 설정 단계에서는 관리 계정에 표시된 이메일 주소를 편집할 수 없습니다. 확인으로 표시되므로 계정이 여러 개인 경우 올바른 관리 계정을 편집하고 있는지 확인할 수 있습니다.

  • 공유 계정— 이 두 계정의 사용자 지정 이름을 선택할 수 있으며 각 계정에 고유한 이메일 주소를 제공해야 합니다. 이메일 주소는 사전에 AWS 계정이 연결되지 않아야 합니다.

공유 계정을 구성하려면 요청한 정보를 입력합니다.

  1. 콘솔에서 처음 라는 계정의 이름을 선택합니다.로그 아카이브계정. 많은 고객이 이 계정의 기본 이름을 유지하기로 결정합니다.

  2. 이 계정의 고유한 이메일 주소를 입력합니다.

  3. 처음에 라는 계정의 이름을 선택합니다.심사계정. 많은 고객들이 이 전화를 선택합니다.보안계정.

  4. 이 계정의 고유한 이메일 주소를 입력합니다.

선택적으로 구성AWS KMS keys

AWS KMS 암호화 키를 사용하여 리소스를 암호화하고 해독하려면 확인란을 선택합니다. 기존 키가 있는 경우 드롭다운 메뉴에 표시된 식별자에서 키를 선택할 수 있습니다. 다음을 선택하여 새 키를 생성할 수 있습니다.키 생성. landing zone 존을 업데이트할 때마다 KMS 키를 추가하거나 변경할 수 있습니다.

선택한 경우landing zone 설정, AWS Control Tower Tower는 사전 확인을 수행하여 KMS 키의 유효성을 검사합니다. 이 키는 다음 요구 사항을 충족해야 합니다.

  • 활성화됨

  • 대칭

  • 다중 리전 키가 아님

  • 정책에 올바른 권한이 추가됨

  • 키는 관리 계정에 있습니다.

키가 이러한 요구 사항을 충족하지 않으면 오류 배너가 표시될 수 있습니다. 이 경우 다른 키를 선택하거나 키를 생성합니다. 다음 단원에 설명된 대로 키의 권한 정책을 편집해야 합니다.

키의 정책을 업데이트하려면

AWS Control Tower 에서 KMS 키를 사용하려면 키에 대한 특정 정책을 업데이트해야 합니다. 최소한 KMS 키에는 AWS를 허용하는 권한이 있어야 합니다.CloudTrail및 AWS Config를 사용하여 선택한 KMS 키를 사용합니다.

필요한 정책 업데이트

  1. 에서 AWS KMS 콘솔로 이동합니다.https://console.aws.amazon.com/kms

  2. Select고객 관리형 키왼쪽에 있음

  3. 테이블에서 편집할 키를 선택하거나키 생성오른쪽 상단에서

  4. 라는 섹션 아래키 정책정책을 확인하고 편집할 수 있는지 확인합니다. 선택해야 할 경우가 있을 수 있습니다.정책 보기로 전환오른쪽에 있습니다.

다음 정책 설명 예시를 복사하여 붙여넣을 수 있습니다. 또는 기존 키의 경우 KMS 키를 기존 정책에 추가하여 이러한 최소 권한을 갖도록 할 수 있습니다. 이러한 줄을 단일 JSON 문에 그룹으로 추가하거나 원하는 경우 정책의 다른 명령문에 한 줄씩 통합할 수 있습니다.

{ "Sid": "Allow CloudTrail and AWS Config to encrypt/decrypt logs", "Effect": "Allow", "Principal": { "Service": [ "cloudtrail.amazonaws.com", "config.amazonaws.com" ] }, "Action": [ "kms:GenerateDataKey", "kms:Decrypt" ], "Resource": "*" }

AWS Key Management Service (KMS) 를 사용하면 다중 리전 KMS 키와 비대칭 키를 생성할 수 있지만 AWS Control Tower 에서는 다중 리전 키 또는 비대칭 키를 지원하지 않습니다. AWS Control Tower Tower는 기존 키에 대한 사전 검사를 수행합니다. 다중 리전 키 또는 비대칭 키를 선택하면 오류 메시지가 표시될 수 있습니다. 이 경우 AWS Control Tower 리소스와 함께 사용할 다른 키를 생성합니다.

AWS KMS에 대한 자세한 내용은 단원을 참조하십시오.AWS KMS 개발자 안내서입니다.

AWS Control Tower 의 고객 데이터는 기본적으로 SSE-S3 을 사용하여 유휴 상태로 암호화됩니다.

4단계. landing zone 검토 및 설정

설정의 다음 섹션에서는 AWS Control Tower 가 landing zone 존에 필요한 권한을 보여 줍니다. 확인란을 선택하여 각 주제를 확장합니다. 여러 계정에 영향을 줄 수 있는 이러한 권한에 동의하고 전반적으로 동의하라는 메시지가 표시됩니다.서비스 약관.

마무리하기

  1. 콘솔에서 다음을 검토합니다.서비스 권한준비가 됐으면 를 선택합니다.AWS Control Tower Tower에서 사용자 대신 AWS 리소스를 관리하고 규칙을 적용하는 데 사용하는 권한 이해.

  2. 선택을 완료하고 시작을 초기화하려면 다음을 선택합니다.landing zone 설정.

이 일련의 단계는 landing zone 존을 설정하는 프로세스를 시작합니다. 완료하는 데 약 30분이 소요될 수 있습니다. 설치하는 동안 AWS Control Tower 는 루트 수준, 보안 OU 및 공유 계정을 생성합니다. 기타 AWS 리소스는 생성, 수정 또는 삭제됩니다.

SNS 구독 확인

감사 계정에 제공한 이메일 주소가 수신됩니다.AWS 알림 — 구독 확인AWS Control Tower에서 지원하는 모든 AWS 리전에서 발송하는 이메일 감사 계정에서 규정 준수 이메일을 수신하려면 다음을 선택해야 합니다.구독 확인AWS AWS Control Tower 타워에서 지원하는 각 AWS 리전의 각 이메일 내에 링크합니다.

다음 단계

landing zone 존이 설정되었으므로 사용할 준비가 되었습니다.

AWS Control Tower 사용 방법에 대한 자세한 내용은 다음 주제를 참조하십시오.

  • 권장되는 관리 방법은 모범 사례를 참조하십시오.

  • 특정 역할 및 권한을 가진 AWS SSO 사용자 및 그룹을 설정할 수 있습니다. 권장 사항은 그룹, 역할 및 정책 설정을 위한 권장 사항 단원을 참조하십시오.

  • AWS Organization 배포에서 조직 및 계정 등록을 시작하려면 단원을 참조하십시오.기존 조직 및 계정 관리.

  • 최종 사용자는 계정 팩토리를 사용하여 landing zone 자체 AWS 계정을 프로비저닝할 수 있습니다. 자세한 정보는 계정 구성 및 프로비저닝을 위한 권한을 참조하십시오.

  • 확신하기 위해AWS Control Tower 규정 준수 확인를 선택하면 중앙 클라우드 관리자는 로그 아카이브 계정의 로그 아카이브를 검토할 수 있으며 지정된 타사 감사자는 보안 OU의 구성원인 감사 (공유) 계정의 감사 정보를 검토할 수 있습니다.

  • AWS Control Tower Tower의 기능에 대한 자세한 내용은 단원을 참조하십시오.관련 정보.

  • a를 방문해 보기선별된 목록YouTube비디오AWS Control Tower 기능을 사용하는 방법에 대해 자세히 설명합니다.

  • 최신 백엔드 업데이트, 최신 가드레일을 얻고 landing zone 존을 유지하려면 landing zone 수시로 업데이트해야 할 수도 있습니다.up-to-date. 자세한 정보는 AWS Control Tower 타워의 구성 업데이트 관리을 참조하십시오.

  • AWS Control Tower 사용 중에 문제가 발생하는 경우 단원을 참조하십시오.문제 해결.