시작하기AWS Control Tower - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

시작하기AWS Control Tower

이 시작하기 절차는 AWS Control Tower 중앙 클라우드 관리자를 위한 것입니다. 을 설정할 준비가 되면 이 절차를 사용하십시오.랜딩 존. 이 절차를 완료하는 데는 약 1시간 정도 소요됩니다. 이 절차에는 사전 조건과 두 단계가 있습니다.

사전 조건: 관리 계정에 대한 자동 사전 검사

AWS Control Tower가 랜딩 존 설정 작업을 수행하기 전에 계정에서 일련의 사전 검사가 자동 실행됩니다. 이러한 점검을 위해 사용자가 수행해야 할 작업은 없습니다. 이 작업을 수행하면 관리 계정를 설정하는 변경에 대해 랜딩 존가 준비됩니다. 다음은 AWS Control Tower가 랜딩 존: 설정 작업을 수행하기 전에 실행하는 검사입니다.

  • AWS 계정에 대한 기존 서비스 제한은 AWS Control Tower가 실행되기에 충분해야 합니다. 자세한 내용은 단원을 참조하십시오.의 제한 사항 및 할당량 AWS Control Tower.

  • AWS 계정은 다음 AWS 제품을 구독해야 합니다.

    • Amazon Simple Storage Service (Amazon S3)

    • Amazon Elastic Compute Cloud (Amazon EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud (Amazon VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazon CloudWatch

    • AWS Config

    • AWS Identity and Access Management (IAM)

    • AWS Lambda

    참고

    기본적으로 모든 계정은 이러한 서비스를 구독합니다.

  • AWS Single Sign-OnAWS SSO)가 이미 설정되어 있는 경우 AWS Control Tower 홈 리전은 AWS SSO 리전과 동일해야 합니다.

AWS Config AWS Config 고객에 대한 고려 사항CloudTrail

  • AWS 계정은 관리 계정AWS Config AWS Config 에 대한 조직 CloudTrail에서 신뢰할 수 있는 액세스를 활성화할 수 없습니다.

  • AWS Config를 해제하여 AWS Control Tower를 설정하고 다시 켜지 않는 것이 좋습니다. 이렇게 하면 추가 요금이 발생합니다.

  • 의 계정에서 임시 워크로드를 실행하는 경우 AWS Control TowerAWS Config AWS Config 이러한 비용 관리에 대한 자세한 내용은 AWS 계정 담당자에게 문의하십시오.

  • 계정을 AWS Control Tower에 등록할 때 계정은 CloudTrail 조직의 AWS AWS Control Tower 추적에 의해 관리됩니다. 추적의 기존 배포가 있는 경우 CloudTrail에 등록하기 전에 계정에 대한 기존 추적을 삭제하지 않으면 중복 요금이 표시될 수 있습니다.AWS Control Tower

1단계: 공유 계정 이메일 주소 생성

새 AWS 계정에서 랜딩 존를 설정하는 경우 계정 생성과 IAM 관리자에 대한 자세한 내용은 설정. 단원을 참조하십시오.

랜딩 존을 설정하려면 AWS Control Tower에 AWS 계정과 아직 연결되지 않은 두 개의 고유 이메일 주소가 필요합니다. 이러한 이메일 주소는 각각 와 관련된 특정 작업을 수행하는 엔터프라이즈에서 여러 사용자를 위한 공유 이메일 계정인 협업 수신함이어야 합니다.AWS Control Tower. 이메일 주소는 다음과 같습니다.

  • 감사 계정 – 이 계정은 AWS Control Tower.에서 사용 가능한 감사 정보에 액세스해야 하는 사용자 팀에게 적합합니다. 이 계정을 환경의 프로그래밍 방식 감사를 수행하여 규정 준수를 위해 감사하는 데 도움이 되는 타사 도구의 액세스 지점으로 사용할 수도 있습니다.

  • 로그 아카이브 계정 – 이 계정은 OUs의 관리형 랜딩 존 내에 있는 모든 관리형 계정의 모든 로깅 정보에 액세스해야 하는 사용자 팀에게 적합합니다.

이러한 계정은 랜딩 영역을 생성할 때 코어 OU에서 생성됩니다. 이러한 계정에서 몇 가지 작업을 수행해야 하는 경우 적절한 범위의 권한이 있는 AWS SSO 사용자를 사용하는 것이 좋습니다.

2단계: 랜딩 영역 설정

AWS Control Tower랜딩 존을 설정하기 전에 가장 적합한 홈 리전을 결정합니다. 자세한 내용은 단원을 참조하십시오.랜딩 존 설정을 위한 관리 팁.

AWS Control Tower에는 APIs 또는 프로그래밍 방식의 액세스 권한이 없습니다. 랜딩 존을 설정하려면 다음 절차를 수행하십시오.

을 설정하려면랜딩 존

  1. 웹 브라우저를 열고 AWS Control Towerhttps://console.aws.amazon.com/controltower 콘솔로 이동합니다.

  2. 콘솔에서 에 대해 원하는 홈 리전에서 작업하고 있는지 확인합니다.AWS Control Tower. Set up your 랜딩 존(랜딩 존 설정).을 선택합니다.

  3. 로그 아카이브 및 감사 계정에 대한 이메일 주소를 제공합니다. 이메일 주소는 사전에 AWS 계정에 연결되지 않아야 합니다.

  4. 서비스 권한을 검토하고, 준비가 되면 I understand the permissions AWS Control Tower will use to administer AWS resources and enforce rules on my behalf(AWS Control Tower에서 사용자 대신 AWS 리소스를 관리하고 규칙을 적용하는 데 사용하는 권한 이해).를 선택합니다.

  5. Launch your AWS Control Tower(AWS Control Tower 시작).를 선택합니다.

그러면 랜딩 존을 설정하는 프로세스가 시작되고, 완료하는 데 약 1시간이 소요될 수 있습니다. 설정 중에 코어 계정이 생성되고 루트 및 코어 OUs가 생성되며 AWS 리소스가 생성, 수정 또는 삭제됩니다.

중요

에서 지원하는 모든 AWS 리전에서 감사 계정에 제공한 이메일 주소로 AWS Notification - Subscription Confirmation(AWS 알림 - 구독 확인) 이메일이 발송됩니다.AWS Control Tower 감사 계정에서 규정 준수 이메일을 수신하려면 에서 지원하는 각 AWS 리전의 각 이메일에서 구독 확인AWS Control Tower 링크를 선택해야 합니다.

다음 단계

이제 랜딩 존을 설정했으므로 사용할 준비가 되었습니다.

AWS Control Tower 사용 방법에 대한 자세한 내용은 다음 주제를 참조하십시오.

  • 권장되는 관리 방법은 모범 사례.를 참조하십시오.

  • 특정 역할 및 권한을 가진 AWS SSO 사용자 및 그룹을 설정할 수 있습니다. 권장 사항은 단원을 참조하십시오.그룹, 역할 및 정책 설정에 대한 권장 사항.

  • 최종 사용자는 랜딩 존를 사용하여 Account Factory.에서 자체 AWS 계정을 프로비저닝할 수 있습니다. 자세한 내용은 단원을 참조하십시오.계정 구성 및 프로비저닝을 위한 권한.

  • AWS Control Tower 규정 준수 확인를 보장하기 위해 중앙 클라우드 관리자는 로그 아카이브 계정의 로그 아카이브를 검토할 수 있으며 지정된 타사 감사자는 감사 공유 계정의 감사 정보를 검토할 수 있습니다.

  • 최신 백엔드 업데이트, 최신 가드레일을 얻고 랜딩 존을 최신 상태로 유지하려면 랜딩 영역을 수시로 업데이트해야 할 수도 있습니다. 자세한 내용은 단원을 참조하십시오.의 구성 업데이트 관리 AWS Control Tower.

  • AWS Control Tower 사용 중에 문제가 발생하면 Troubleshooting. 단원을 참조하십시오.