AWS Control Tower 시작하기 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Control Tower 시작하기

AWS Control Tower 중앙 클라우드 관리자를 위한 시작하기 절차입니다. landing zone 을 설정할 준비가 되면 이 절차를 사용하십시오. 처음부터 끝까지 약 30 분이 소요됩니다. 이 절차에는 사전 조건과 네 단계가 있습니다.

사전 조건: 관리 계정에 대한 자동화된 사전 실행 확인

AWS Control Tower 는 landing zone 설정하기 전에 계정에서 일련의 사전 검사가 자동 실행됩니다. 이러한 검사에 필요한 조치는 없습니다. 이를 통해 관리 계정이 landing zone 설정하는 변경에 대한 준비가 완료되었는지 확인할 수 있습니다. 다음은 landing zone 설정하기 전에 실행하는 검사입니다.

  • AWS 계정에 대한 기존 서비스 제한은 AWS Control Tower 에서 실행되기에 충분해야 합니다. 자세한 내용은 AWS Control Tower 의 제한 사항 및 할당량 단원을 참조하세요.

  • AWS 계정은 다음 AWS 제품을 구독해야 합니다.

    • Amazon Simple Storage Service(Amazon S3)

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud (VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazon CloudWatch

    • AWS Config

    • AWS Identity and Access Management(IAM)

    • AWS Lambda

    참고

    기본적으로 모든 계정은 이러한 서비스를 구독합니다.

AWS Single Sign On (SSO) 고객을 위한 고려 사항

  • AWS Single Sign-On (AWS SSO) 이 이미 설정되어 있는 경우 AWS Control Tower 의 홈 리전은 AWS SSO 리전과 동일해야 합니다.

  • 외부 자격 증명 공급자와 SSO가 설정된 경우 AWS Control Tower 는 SSO 디렉터리를 관리하지 않습니다.

  • AWS SSO는 조직의 관리 계정에만 설치할 수 있습니다.

AWS Config 및 AWS CloudTrail 고객에 대한 고려 사항

  • AWS 계정이 AWS Config 또는 AWS CloudTrail 에 대한 조직 관리 계정에서 신뢰할 수 있는 액세스를 활성화할 수 없습니다.

  • 기존 AWS Config Recorder, 전송 채널 또는 집계 설정이 있는 경우, AWS 컨트롤 타워가 landing zone 시작 시 AWS Config를 대신 구성할 수 있도록 이러한 구성을 제거해야 합니다. AWS CloudFormation 을 사용하여 이러한 AWS Config 리소스를 생성한 경우 CloudFormation 을 사용하여 리소스를 제거해야 합니다.

  • AWS 컨트롤 타워의 계정에서 임시 워크로드를 실행하는 경우 AWS Config 와 관련된 비용이 증가합니다. 이러한 비용 관리에 대한 자세한 내용은 AWS 계정 담당자에게 문의하십시오.

  • AWS 컨트롤 타워에 계정을 등록하면 AWS Control Tower 조직의 AWS CloudTrail 추적에 따라 계정이 관리됩니다. CloudTrail 트레일의 기존 배포가 있는 경우 AWS Control Tower 에 등록하기 전에 계정에 대한 기존 추적을 삭제하지 않는 한 중복 요금이 표시될 수 있습니다.

공유 계정 이메일 주소 요구 사항

새 AWS 계정에서 landing zone 설정하는 경우 계정 생성과 IAM 관리자에 대한 자세한 내용은 단원을 참조하십시오.설정를 선택합니다.

landing zone 설정하려면 AWS Control Tower 에서 아직 AWS 계정과 연결되지 않은 두 개의 고유 이메일 주소가 필요합니다. 이러한 이메일 주소는 각각 AWS Control Tower 와 관련된 특정 작업을 수행하는 엔터프라이즈에서 다양한 사용자를 위한 협업 수신함인 공유 이메일 계정으로 사용됩니다. 이메일 주소는 다음과 같은 경우에 필요합니다.

  • 감사 계정— 이 계정은 AWS Control Tower 에서 제공하는 감사 정보에 액세스해야 하는 사용자 팀에게 적합합니다. 이 계정을 환경의 프로그래밍 방식 감사를 수행하여 규정 준수를 위해 감사하는 데 도움이 되는 타사 도구의 액세스 지점으로 사용할 수도 있습니다.

  • 로그 아카이브 계정— landing zone 등록된 OU 내에 있는 모든 등록된 계정의 모든 로깅 정보에 액세스해야 하는 사용자 팀에게 적합합니다.

이러한 계정은보안landing zone 만들 때 OU. 이러한 계정에서 일부 작업을 수행해야 하는 경우 적절한 범위가 지정된 권한을 가진 AWS SSO 사용자를 사용하는 것이 좋습니다.

명확성을 위해 이 사용자 안내서는 항상 기본 이름으로 공유 계정을 참조합니다.로그 아카이브감사를 선택합니다. 이 문서를 읽을 때 사용자 정의하도록 선택한 경우 처음에 이러한 계정에 부여한 사용자 정의 이름을 대체해야 합니다. 사용자 정의 이름으로 계정을 볼 수 있습니다.계정 세부 정보페이지를 참조하십시오.

참고

AWS 다중 계정 전략에 맞게 일부 AWS Control Tower 조직 구성 단위 (OU) 의 기본 이름에 대한 용어를 변경하고 있습니다. 이러한 이름의 명확성을 높이기 위해 전환하는 동안 일부 불일치가 발생할 수 있습니다. 이전에는 보안 OU를 핵심 OU라고 했습니다. 샌드박스 OU는 이전에 사용자 지정 OU라고 했습니다.

landing zone 구성에 대한 기대치

AWS Control Tower landing zone 설정하는 프로세스에는 여러 단계가 있습니다. AWS Control Tower landing zone 특정 측면을 구성할 수 있습니다. 다른 선택 사항은 설정 후에 변경할 수 없는 “단방향 문”입니다.

설치 중에 구성할 주요 항목

  • 설치 중에 최상위 OU 이름을 선택할 수 있으며, landing zone 설정한 후 OU 이름을 변경할 수도 있습니다. 기본적으로 최상위 OU 이름은보안샌드박스를 선택합니다. 자세한 내용은 잘 설계된 환경을 설정하기 위한 지침 단원을 참조하세요.

  • 설정 중에 공유 계정의 사용자 지정 이름을 선택할 수 있습니다.로그 아카이브감사로 설정되지만 설정 후에는 이러한 이름을 변경할 수 없습니다. 이는 일회성 선택입니다.

실행 취소할 수 없는 구성 선택

  • landing zone 을 설정한 후에는 홈 지역을 변경할 수 없습니다.

  • AWS Control Tower 의 거버넌스를 위해 리전을 선택한 후에는 리전의 선택을 취소하여 거버넌스에서 제거할 수 없습니다.

  • VPC로 Account Factory 계정을 프로비저닝하는 경우 VPC CIDR은 생성된 후에는 변경할 수 없습니다.

landing zone 구성 및 실행

AWS Control Tower landing zone 시작하기 전에 가장 적합한 홈 리전을 결정합니다. 자세한 내용은 랜딩 존 설정을 위한 관리 팁 단원을 참조하세요.

중요

AWS Control Tower landing zone 을 배포한 후 홈 리전을 변경하려면 AWS Support 의 지원이 필요합니다. 이 방법은 권장되지 않습니다.

AWS Control Tower 에는 API 또는 프로그래밍 액세스가 없습니다. landing zone 을 구성하고 시작하려면 다음과 같은 일련의 단계를 수행하십시오.

준비: AWS Control Tower 콘솔로 이동합니다.

  1. 웹 브라우저를 열고 AWS Control Tower 콘솔 (https://console.aws.amazon.com/controltower를 선택합니다.

  2. 콘솔에서 AWS Control Tower에 대해 원하는 홈 리전에서 작업하고 있는지 확인합니다. 그런 다음landing zone 설정를 선택합니다.

단계 1. 요금을 검토하고 AWS 리전을 선택합니다.

홈 리전으로 선택한 AWS 리전을 올바르게 지정했는지 확인합니다. AWS Control Tower (AWS Control Tower 배포) 는 홈 지역을 변경할 수 없습니다.

설정 프로세스의 이 섹션에서는 필요한 AWS 리전을 추가할 수 있습니다. 필요한 경우 나중에 지역을 추가할 수 있습니다. AWS Control Tower 의 거버넌스에 리전을 추가한 후에는 거버넌스에서 제거할 수 없습니다.

관리할 추가 AWS 리전을 선택하려면

  • 패널에 현재 영역 선택 항목이 표시됩니다. 드롭다운 메뉴를 열어 거버넌스에 사용할 수 있는 추가 지역 목록을 확인합니다. AWS Control Tower 에서 거버넌스를 적용하려면 각 리전 옆에 있는 확인란을 선택합니다. 홈 지역 선택은 편집할 수 없습니다.

단계 2. 조직 단위 (OU) 를 구성합니다.

이러한 OU의 기본 이름을 수락하면 설치를 계속하기 위해 수행할 작업이 없습니다. OU의 이름을 변경하려면 양식 필드에 직접 새 이름을 입력합니다.

  • 기본 OU— AWS Control Tower 는기본 OU라는 이름의 처음에OU 보안를 선택합니다. 초기 설치 중에 OU 세부 정보 페이지에서 이 OU의 이름을 변경할 수 있습니다. 이OU 보안에는 두 개의 공유 계정이 포함되어 있습니다. 이 계정은 기본적으로로그 아카이브계정 및감사계정.

  • 추가 OU— AWS Control Tower (AWS Control Tower추가 OU를 선택합니다. 하나 이상의 프로비저닝을 권장합니다.추가 OU당신의 landing zone 외에,OU 보안를 선택합니다. 이 추가 OU 개발 프로젝트에 대 한 의도 된 경우 이름을 지정 하는 것이 좋습니다샌드박스 OU에 주어진 바와 같이잘 설계된 환경을 설정하기 위한 지침를 선택합니다. AWS 조직에 기존 OU가 이미 있는 경우 AWS Control Tower 에서 추가 OU 설정을 건너뛸 수 있는 옵션이 표시될 수 있습니다.

단계 3. 공유 계정을 구성합니다.

설정 프로세스의 이 섹션에서는 패널에 공유 AWS Control Tower 계정의 이름에 대한 기본 선택 항목이 표시됩니다. 이러한 계정은 landing zone 의 필수적인 부분입니다. 이러한 공유 계정을 이동하거나 삭제하지 마십시오.에 대한 사용자 정의 이름을 선택할 수 있지만 설치 중에 사용자 정의 이름을 선택할 수 있습니다.

로그 보관 및 감사 계정에 대해 고유한 전자 메일 주소를 제공해야 하며 관리 계정에 대해 이전에 제공한 전자 메일 주소를 확인할 수 있습니다. 선택을 선택합니다.Edit버튼을 클릭하여 편집 가능한 기본값을 변경합니다.

공유 응답에 대해

  • 관리 계정— AWS Control Tower 관리 계정은 루트 수준의 일부입니다. 관리 계정은 AWS Control Tower 결제를 허용합니다. 계정에는 landing zone 대한 관리자 권한도 있습니다. AWS Control Tower 에서는 청구 및 관리자 권한에 대해 별도의 계정을 생성할 수 없습니다.

    관리 계정에 대해 표시된 이메일 주소는 이 설정 중에 편집할 수 없습니다. 확인으로 표시되므로 계정이 여러 개인 경우 올바른 관리 계정을 편집하고 있는지 확인할 수 있습니다.

  • 공유 계정— 이 두 계정의 사용자 지정 이름을 선택할 수 있으며 각 계정에 대해 고유한 이메일 주소를 제공해야 합니다. 이메일 주소는 사전에 AWS 계정에 연결되지 않아야 합니다.

공유 계정을 구성하려면 요청된 정보를 입력합니다.

  1. 콘솔에서 처음에 호출된 계정의 이름을 선택합니다.로그 아카이브계정. 많은 고객이 이 계정의 기본 이름을 유지하기로 결정합니다.

  2. 이 계정에 대한 고유한 전자 메일 주소를 제공합니다.

  3. 처음에 호출된 계정의 이름을 선택합니다.감사계정. 많은 고객들이 그것을보안계정.

  4. 이 계정에 대한 고유한 전자 메일 주소를 제공합니다.

단계 4. landing zone 검토 및 설정

설정의 다음 섹션에서는 AWS Control Tower 가 landing zone 필요한 권한을 보여 줍니다. 확인란을 선택하여 각 항목을 확장합니다. 여러 계정에 영향을 줄 수 있는 이러한 사용 권한에 동의하고 전체서비스 약관를 선택합니다.

마무리하려면

  1. 콘솔에서서비스 권한을 선택하고 준비가 되면AWS Control Tower 에서 사용자 대신 AWS 리소스를 관리하고 규칙을 적용하는 데 사용하는 권한 이해를 선택합니다.

  2. 선택을 완료하고 시작을 초기화하려면landing zone 설정를 선택합니다.

이 일련의 단계는 landing zone 설정하는 프로세스를 시작합니다. 완료하는 데 약 30분이 소요될 수 있습니다. 설치 중에 AWS Control Tower 는 루트 수준, 보안 OU 및 공유 계정을 생성합니다. 다른 AWS 리소스는 생성, 수정 또는 삭제됩니다.

중요

감사 계정에 제공한 이메일 주소가 수신됩니다.AWS 알림 — 구독 확인AWS 컨트롤 타워에서 지원하는 모든 AWS 리전에서 보내는 이메일 감사 계정에서 규정 준수 이메일을 수신하려면구독 확인링크를 통해 AWS 컨트롤 타워에서 지원하는 각 AWS 리전의 각 이메일에 액세스할 수 있습니다.

다음 단계

이제 landing zone 을 설정했으므로 사용할 준비가 되었습니다.

AWS Control Tower 를 사용하는 방법에 대한 자세한 내용은 다음 주제를 참조하십시오.

  • 권장되는 관리 방법은 모범 사례를 참조하십시오.

  • 특정 역할 및 권한을 가진 AWS SSO 사용자 및 그룹을 설정할 수 있습니다. 권장 사항은 그룹, 역할 및 정책 설정에 대한 권장 사항 단원을 참조하십시오.

  • AWS Organizations 배포에서 조직 및 계정 등록을 시작하려면기존 조직 및 계정 관리를 선택합니다.

  • 최종 사용자는 Account Factory를 사용하여 landing zone 자체 AWS 계정을 프로비저닝할 수 있습니다. 자세한 내용은 계정 구성 및 프로비저닝을 위한 권한 단원을 참조하세요.

  • 확신을 위해AWS Control Tower 규정 준수 확인를 보장하기 위해 중앙 클라우드 관리자는 로그 아카이브 계정의 로그 아카이브를 검토할 수 있으며 지정된 타사 감사자는 Security OU 구성원인 감사 (공유) 계정의 감사 정보를 검토할 수 있습니다.

  • AWS Control Tower 기능에 대해 자세히 알아보려면 단원을 참조하십시오.관련 정보를 선택합니다.

  • 최신 백엔드 업데이트, 최신 가드레일을 얻고 landing zone 최신 상태로 유지하려면 랜딩 영역을 수시로 업데이트해야 할 수도 있습니다. 자세한 내용은 AWS Control Tower 의 구성 업데이트 관리 단원을 참조하세요.

  • AWS Control Tower 사용 중에 문제가 발생하면 단원을 참조하십시오.Troubleshooting를 선택합니다.