AWS Control Tower 시작하기 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Control Tower 시작하기

이 시작 절차는 AWS Control Tower 중앙 클라우드 관리자. 랜딩 존을 설정할 준비가 되면 이 절차를 사용하십시오. 이 절차를 완료하는 데는 약 1시간 정도 소요됩니다. 이 절차에는 사전 조건과 두 단계가 있습니다.

사전 조건: 마스터 계정에 대한 자동 사전 검사

AWS Control Tower가 랜딩 존 설정 작업을 수행하기 전에 계정에서 일련의 사전 검사가 자동 실행됩니다. 이 수표에 대해 귀하가 취해야 할 조치는 없으며, 이를 통해 귀하의 관리 계정 은(는) 귀하의 랜딩 존. 다음은 AWS Control Tower가 랜딩 존 설정 작업을 수행하기 전에 실행하는 검사입니다.

  • AWS 계정에 대한 기존 서비스 제한은 AWS Control Tower가 실행되기에 충분해야 합니다. 자세한 정보는 제한 사항 및 할당량 AWS Control Tower 단원을 참조하십시오.

  • AWS 계정은 다음 AWS 제품을 구독해야 합니다.

    • Amazon Simple Storage Service (Amazon S3)

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud (Amazon VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazon CloudWatch

    • AWS Config

    • AWS Identity and Access Management (IAM)

    • AWS Lambda

    참고

    기본적으로 모든 계정은 이러한 서비스를 구독합니다.

  • AWS Single Sign-On(AWS SSO)가 이미 설정되어 있는 경우 AWS Control Tower 홈 리전은 AWS SSO 리전과 동일해야 합니다.

AWS 구성 및 AWS에 대한 고려 사항 CloudTrail 고객

  • AWS 계정은 조직에서 신뢰할 수 있는 액세스를 사용할 수 없습니다. 관리 계정 AWS 구성 또는 AWS용 CloudTrail.

  • AWS Config를 해제하여 AWS Control Tower를 설정하고 다시 켜지 않는 것이 좋습니다. 이렇게 하면 추가 요금이 발생합니다.

  • 의 계정에서 임시 워크로드를 실행하는 경우 AWS Control TowerAWS Config 과(와) 관련된 비용이 증가합니다. 이러한 비용 관리에 대한 자세한 내용은 AWS 계정 담당자에게 문의하십시오.

  • 계정 등록 시 AWS Control Tower귀하의 계정에는 AWS가 적용됩니다. CloudTrail 의 트레일 AWS Control Tower 기관. 기존에 배포한 CloudTrail 등록하기 전에 계정에 대한 기존 추적을 삭제하지 않으면 중복 요금이 표시될 수 있습니다. AWS Control Tower.

1단계: 공유 계정 이메일 주소 생성

새 AWS 계정에서 랜딩 존를 설정하는 경우 계정 생성과 IAM 관리자에 대한 자세한 내용은 설정 단원을 참조하십시오.

랜딩 존을 설정하려면 AWS Control Tower에 AWS 계정과 아직 연결되지 않은 두 개의 고유 이메일 주소가 필요합니다. 이러한 이메일 주소는 각각 AWS Control Tower와 관련된 특정 작업을 수행하는 엔터프라이즈에서 여러 사용자를 위한 공유 이메일 계정인 협업 수신함이어야 합니다. 이메일 주소는 다음과 같습니다.

  • 감사 계정 – 이 계정은 AWS Control Tower에서 사용 가능한 감사 정보에 액세스해야 하는 사용자 팀에게 적합합니다. 이 계정을 환경의 프로그래밍 방식 감사를 수행하여 규정 준수를 위해 감사하는 데 도움이 되는 타사 도구의 액세스 지점으로 사용할 수도 있습니다.

  • 로그 보관 계정 – 이 계정은 관리 계정 내의 모든 관리 계정에 대한 모든 로깅 정보에 액세스해야 하는 사용자 팀을 위한 것입니다. OUs 에서 랜딩 존.

이러한 계정은 코어 랜딩 존을 만들 때 OU. 모범 사례로서, 이러한 계정에서 어떤 조치를 취해야 할 경우, AWS SSO 적절한 범위의 권한을 가진 사용자.

2단계: 랜딩 존 설정

AWS Control Tower 랜딩 존을 설정하기 전에 가장 적합한 홈 리전을 결정합니다. 자세한 정보는 랜딩 존 설정을 위한 관리 팁 단원을 참조하십시오.

AWS Control Tower 은(는) 없습니다. APIs 또는 프로그래밍 액세스. 랜딩 존을 설정하려면 다음 절차를 수행하십시오.

랜딩 존을 설정하려면

  1. 웹 브라우저를 열고 https://console.aws.amazon.com/controltower의 AWS Control Tower 콘솔로 이동합니다.

  2. 콘솔에서 AWS Control Tower에 대해 원하는 홈 리전에서 작업하고 있는지 확인합니다. Set up your 랜딩 존(랜딩 존 설정)을 선택합니다.

  3. 로그 아카이브 및 감사 계정에 대한 이메일 주소를 제공합니다. 이메일 주소는 사전에 AWS 계정에 연결되지 않아야 합니다.

  4. 서비스 권한을 검토하고, 준비가 되면 I understand the permissions AWS Control Tower will use to administer AWS resources and enforce rules on my behalf(AWS Control Tower에서 사용자 대신 AWS 리소스를 관리하고 규칙을 적용하는 데 사용하는 권한 이해)를 선택합니다.

  5. Launch your AWS Control Tower(AWS Control Tower 시작)를 선택합니다.

그러면 랜딩 존을 설정하는 프로세스가 시작되고, 완료하는 데 약 1시간이 소요될 수 있습니다. 설치 중에 핵심 계정, 루트 및 코어가 생성됩니다. OUs 생성되고 AWS 리소스가 생성, 수정 또는 삭제됩니다.

중요

AWS Control Tower가 지원하는 모든 AWS 리전은 감사 계정을 위해 제공한 이메일 주소로 AWS Notification - Subscription Confirmation(AWS 알림 - 구독 확인) 이메일을 전송합니다. 감사 계정에 규정 준수 이메일을 받으려면 AWS Control Tower가 지원하는 모든 AWS 리전에서 전송한 각 이메일의 구독 확인 링크를 선택해야 합니다.

다음 단계

이제 랜딩 존을 설정했으므로 사용할 준비가 되었습니다.

AWS Control Tower 사용 방법에 대한 자세한 내용은 다음 주제를 참조하십시오.

  • 권장되는 관리 방법은 모범 사례를 참조하십시오.

  • 특정 역할 및 권한을 가진 AWS SSO 사용자 및 그룹을 설정할 수 있습니다. 권장 사항은 그룹, 역할 및 정책 설정에 대한 권장 사항 단원을 참조하십시오.

  • 최종 사용자는 Account Factory를 사용하여 랜딩 존에서 자체 AWS 계정을 프로비저닝할 수 있습니다. 자세한 정보는 계정 구성 및 프로비저닝을 위한 권한 단원을 참조하십시오.

  • AWS Control Tower 규정 준수 확인를 보장하기 위해 중앙 클라우드 관리자는 로그 아카이브 계정의 로그 아카이브를 검토할 수 있으며 지정된 타사 감사자는 감사 공유 계정의 감사 정보를 검토할 수 있습니다.

  • 최신 백엔드 업데이트, 최신 가드레일을 얻고 랜딩 존을 최신 상태로 유지하려면 랜딩 영역을 수시로 업데이트해야 할 수도 있습니다. 자세한 정보는 의 구성 업데이트 관리 AWS Control Tower 단원을 참조하십시오.

  • AWS Control Tower 사용 중에 문제가 발생하면 Troubleshooting 단원을 참조하십시오.