거버넌스 드리프트 유형 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

거버넌스 드리프트 유형

거버넌스 드리프트, 라고도 함조직 드리프트OU, SCP 및 멤버 계정이 변경 또는 업데이트될 때 발생합니다. AWS Control Tower 에서 감지할 수 있는 거버넌스 드리프트 유형은 다음과 같습니다.

또 다른 유형의 드리프트는landing zone 드리프트관리 계정을 통해 찾을 수 있습니다. 랜딩 존 드리프트는 IAM 역할 드리프트 또는 기본 OU 및 공유 계정에 특히 영향을 미치는 모든 유형의 조직 드리프트로 구성됩니다.

AWS Control Tower 는 다음을 포함하여 관리 계정과 함께 작동하는 다른 서비스에 대한 드리프트를 찾지 않습니다.CloudTrail,CloudWatch,AWS SSO,AWS CloudFormation,AWS Config등. 자녀 계정에는 드리프트 감지가 제공되지 않습니다. 이러한 계정은 예방 필수 가드레일로 보호되기 때문입니다.

이동된 멤버 계정

이러한 유형의 드리프트는 OU가 아닌 계정에서 발생합니다. 이러한 유형의 드리프트는 AWS Control Tower 멤버 계정, 감사 계정 또는 로그 아카이브 계정이 등록된 AWS Control Tower OU에서 다른 OU로 이동할 때 발생할 수 있습니다. 다음은 이러한 유형의 드리프트가 감지된 경우 Amazon SNS 알림의 예입니다.

{ "Message" : "AWS Control Tower has detected that your member account 'account-email@amazon.com (012345678909)' has been moved from organizational unit 'Sandbox (ou-0123-eEXAMPLE)' to 'Security (ou-3210-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/move-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_MOVED_BETWEEN_OUS", "RemediationStep" : "Re-register this organizational unit (OU), or if the OU has more than 300 accounts, you must update the provisioned product in Account Factory.", "AccountId" : "012345678909", "SourceId" : "012345678909", "DestinationId" : "ou-3210-1EXAMPLE" }

해결 방법

최대 300개의 계정이 있는 OU의 Account Factory 프로비저닝된 계정에 대해 이러한 유형의 드리프트가 발생하면 다음을 통해 이를 해결할 수 있습니다.

  • AWS Control Tower 콘솔에서 OU로 이동하여 OU를 다시 등록합니다 (가장 빠른 옵션). 자세한 정보는 AWS Control Tower 타워에 기존 조직 단위 등록을 참조하십시오.

  • Account Factory 팩토리에서 프로비저닝된 제품 업데이트 자세한 정보는 계정 팩토리 계정 업데이트 및 이동AWS Service Catalog을 참조하십시오.

  • landing zone 업데이트 (느린 옵션). 자세한 정보는 랜딩 영역 업데이트을 참조하십시오.

    참고

    업데이트할 개별 계정이 여러 개인 경우 스크립트를 사용하여 업데이트하기 위한 다음 방법도 참조하십시오.스크립트 자동화를 사용하여 계정 프로비저닝 및 업데이트.

  • 이 유형의 드리프트가 300개 이상의 계정을 가진 OU에서 발생하는 경우 다음 단락에서 설명한 것처럼 드리프트 해상도는 이동된 계정 유형에 따라 달라질 수 있습니다. 자세한 정보는 랜딩 영역 업데이트을 참조하십시오.

    • Account Factory 프로비저닝된 계정이 이동된 경우— 계정이 300개 미만인 OU에서는 계정 팩토리에서 프로비저닝된 제품을 업데이트하거나, OU를 다시 등록하거나, landing zone 존을 업데이트하여 계정 드리프트를 해결할 수 있습니다.

      300개 이상의 계정이 있는 OU에서는해야 합니다재등록 OU는 업데이트를 수행하지 않으므로 이동된 각 계정에 대해 프로비저닝된 제품을 업데이트하여 드리프트를 해결합니다. 자세한 정보는 계정 팩토리 계정 업데이트 및 이동AWS Service Catalog을 참조하십시오.

    • 공유 계정이 이동된 경우— landing zone 업데이트하여 감사 또는 로그 아카이브 계정을 이동할 때 발생하는 드리프트를 해결할 수 있습니다. 자세한 정보는 랜딩 영역 업데이트을 참조하십시오.

사용되지 않는 필드 이름

필드 이름MasterAccountID가 로 변경되었습니다.ManagementAccountIDAWS 가이드라인을 준수합니다. 이전 이름은 다음과 같습니다.헐뜯다. 2022년부터는 더 이상 사용되지 않는 필드 이름을 포함하는 스크립트가 더 이상 작동하지 않습니다.

추가된 멤버 계정

계정 추가는 기술적으로 드리프트되지 않습니다. 그러나 AWS Control Tower 계정이 AWS Control Tower 조직에 추가되면 AWS Control Tower 타워에 경고가 표시됩니다. 예를 들어 감사 계정 또는 로그 아카이브 계정과 같은 공유 계정이 제거되어 교체해야 하는 경우 드리프트 수정 프로세스의 일부로 AWS Control Tower 조직에 계정이 추가될 수 있습니다. 다음 예에서는 이러한 유형의 이벤트가 감지될 때 수신할 수 있는 Amazon SNS 알림을 보여 줍니다.

{ "Message" : "AWS Control Tower has detected that the account 'account-email@amazon.com (012345678909)' has been added to organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/add-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "AccountAddedToOrganization", "RemediationStep" : "Update Account Factory Provisioned Product", "AccountId" : "012345678909" }

해결

OU에 회원 계정을 추가하거나 Account Factory 계정을 등록해도 드리프트가 발생하지 않으므로 해결이 필요하지 않습니다. 공유 계정이 제거되고 다시 추가된 경우에는 특별한 경우이므로 해당 공유 계정 또는 보안 OU를 업데이트해야 할 수 있습니다. Account Factory 계정 업데이트에 대한 자세한 내용은 을 참조하십시오.계정 팩토리 계정 업데이트 및 이동AWS Service Catalog.

제거된 멤버 계정

이러한 유형의 드리프트는 멤버 계정이 등록된 AWS Control Tower 조직 단위에서 제거될 때 발생할 수 있습니다. 다음 예는 이러한 유형의 드리프트가 감지된 경우 Amazon SNS 알림을 보여줍니다.

{ "Message" : "AWS Control Tower has detected that the member account 012345678909 has been removed from organization o-123EXAMPLE. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/remove-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ACCOUNT_REMOVED_FROM_ORGANIZATION", "RemediationStep" : "Add account to Organization and update Account Factory provisioned product", "AccountId" : "012345678909" }

해결

  • 이러한 유형의 드리프트가 멤버 계정에서 발생하면 Account Factory 에서 계정을 업데이트하여 드리프트를 해결할 수 있습니다. 예를 들어 Account Factory 업데이트 마법사에서 등록된 다른 OU에 계정을 추가할 수 있습니다. 자세한 정보는 계정 팩토리 계정 업데이트 및 이동AWS Service Catalog을 참조하십시오.

  • 공유 계정이 기본 OU에서 제거된 경우 landing zone 존을 수리하여 드리프트를 해결해야 합니다. 이 드리프트가 해결될 때까지 AWS Control Tower 콘솔을 사용할 수 없습니다.

  • 계정 및 OU 드리프트 해결에 대한 자세한 내용은 AWS Control Tower 외부에서 리소스를 관리하는 경우 단원을 참조하십시오.

참고

InAWS Service Catalog을 나타내는 Account Factory 프로비저닝 제품이 계정을 제거하며 업데이트되지 않습니다. 대신 프로비저닝된 제품이 TAINTED 및 오류 상태로 표시됩니다. 청소하려면 다음 페이지로 이동하십시오.AWS Service Catalog를 선택하고 프로비저닝된 제품을 선택한 후Terminate.

관리형 SCP에 대한 계획되지 않은 업데이트

이러한 유형의 드리프트는 가드레일용 SCP가 에서 업데이트될 때 발생할 수 있습니다.AWS Organizations콘솔 또는 프로그래밍 방식으로AWS CLI또는 AWS SDK 중 하나를 사용할 수 있습니다. 다음은 이러한 유형의 드리프트가 감지된 경우 Amazon SNS 알림의 예입니다.

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)', attached to the registered organizational unit 'Security (ou-0123-1EXAMPLE)', has been modified. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/update-scp'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ServiceControlPolicyUpdated", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }

해결

이러한 유형의 드리프트가 최대 300개의 계정이 있는 OU에서 발생하는 경우 다음과 같이 해결할 수 있습니다.

300개 이상의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하면 landing zone 존을 업데이트하여 이를 해결하십시오. 자세한 정보는 랜딩 영역 업데이트을 참조하십시오.

관리형 OU에 연결된 SCP

이러한 유형의 드리프트는 가드레일용 SCP가 다른 OU에 연결될 때 발생할 수 있습니다. 이 문제는 AWS Control Tower 콘솔 외부에서 OU를 작업할 때 특히 일반적입니다. 다음은 이러한 유형의 드리프트가 감지된 경우 Amazon SNS 알림의 예입니다.

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_ATTACHED_TO_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }

해결

이러한 유형의 드리프트가 최대 300개의 계정이 있는 OU에서 발생하는 경우 다음을 통해 해결할 수 있습니다.

300개 이상의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하면 landing zone 존을 업데이트하여 이를 해결하십시오. 자세한 정보는 랜딩 영역 업데이트을 참조하십시오.

관리형 OU에서 분리된 SCP

이러한 유형의 드리프트는 가드레일용 SCP가 AWS Control Tower 에서 관리되는 OU에서 분리될 때 발생할 수 있습니다. 이러한 발생은 AWS Control Tower 콘솔 외부에서 작업할 때 특히 일반적입니다. 다음은 이러한 유형의 드리프트가 감지된 경우 Amazon SNS 알림의 예입니다.

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been detached from the registered organizational unit 'Sandbox (ou-0123-1EXAMPLE)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "SCP_DETACHED_FROM_OU", "RemediationStep" : "Update Control Tower Setup", "OrganizationalUnitId" : "ou-0123-1EXAMPLE", "PolicyId" : "p-tEXAMPLE" }

해결

이러한 유형의 드리프트가 최대 300개의 계정이 있는 OU에서 발생하는 경우 다음을 통해 해결할 수 있습니다.

  • AWS Control Tower 콘솔에서 OU로 이동하여 OU를 다시 등록합니다 (가장 빠른 옵션). 자세한 정보는 AWS Control Tower 타워에 기존 조직 단위 등록을 참조하십시오.

  • landing zone 업데이트 (느린 옵션). 드리프트가 필수 가드레일에 영향을 미치는 경우 업데이트 프로세스에서 새 SCP (서비스 제어 정책) 를 만들고 이를 OU에 연결하여 드리프트를 복구합니다. landing zone 업데이트하는 방법에 대한 자세한 내용은랜딩 영역 업데이트.

300개 이상의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하면 landing zone 존을 업데이트하여 이를 해결하십시오. 드리프트가 필수 가드레일에 영향을 미치는 경우 업데이트 프로세스에서 새 SCP (서비스 제어 정책) 를 만들고 이를 OU에 연결하여 드리프트를 복구합니다. landing zone 업데이트하는 방법에 대한 자세한 내용은랜딩 영역 업데이트.

멤버 계정에 연결된 SCP

이러한 유형의 드리프트는 가드레일용 SCP가 Organizations 콘솔의 계정에 연결될 때 발생할 수 있습니다. 가드레일 및 해당 SCP는 AWS Control Tower 콘솔을 통해 OU에서 활성화될 수 있습니다 (따라서 OU의 등록된 모든 계정에 적용). 다음은 이러한 유형의 드리프트가 감지된 경우 Amazon SNS 알림의 예입니다.

{ "Message" : "AWS Control Tower has detected that the managed service control policy 'aws-guardrails-012345 (p-tEXAMPLE)' has been attached to the member account 'account-email@amazon.com (012345678909)'. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/scp-detached-account'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "ServiceControlPolicyAttachedToAccount", "RemediationStep" : "Re-register this organizational unit (OU)", "AccountId" : "012345678909", "PolicyId" : "p-tEXAMPLE" }

해결

이러한 유형의 드리프트는 OU가 아닌 계정에서 발생합니다.

보안 OU와 같은 기본 OU의 계정에 대해 이러한 유형의 드리프트가 발생하는 경우 해결 방법은 landing zone 존을 업데이트하는 것입니다. 자세한 정보는 랜딩 영역 업데이트을 참조하십시오.

이 유형의 드리프트가 최대 300개의 계정이 있는 비기본 OU에서 발생하는 경우 다음과 같은 방법으로 이를 해결할 수 있습니다.

  • 계정 팩토리 계정에서 AWS Control Tower SCP를 분리합니다.

  • AWS Control Tower 콘솔에서 OU로 이동하여 OU를 다시 등록합니다 (가장 빠른 옵션). 자세한 정보는 AWS Control Tower 타워에 기존 조직 단위 등록을 참조하십시오.

300개 이상의 계정이 있는 OU에서 이러한 유형의 드리프트가 발생하면 계정에 대한 계정 팩토리 구성을 업데이트하여 이를 해결할 수 있습니다. 이 문제를 성공적으로 해결하지 못할 수도 있습니다. 자세한 정보는 랜딩 영역 업데이트을 참조하십시오.

삭제된 기초 OU

이러한 유형의 드리프트는 보안 OU와 같은 AWS Control Tower 기본 OU에만 적용됩니다. AWS Control Tower 콘솔 외부에서 삭제된 경우 발생할 수 있습니다. 기본 OU는 이러한 유형의 드리프트를 만들지 않고는 이동할 수 없습니다. OU를 이동하는 것은 OU를 삭제한 다음 다른 위치에 추가하는 것과 동일하기 때문입니다. landing zone 존을 업데이트하여 드리프트를 해결하면 AWS Control Tower 가 원래 위치의 기초 OU를 대체합니다. 다음 예는 이러한 유형의 드리프트가 감지된 경우 발생할 수 있는 Amazon SNS 알림을 보여줍니다.

{ "Message" : "AWS Control Tower has detected that the registered organizational unit 'Security (ou-0123-1EXAMPLE)' has been deleted. For more information, including steps to resolve this issue, see 'https://docs.aws.amazon.com/console/controltower/delete-ou'", "ManagementAccountId" : "012345678912", "OrganizationId" : "o-123EXAMPLE", "DriftType" : "OrganizationalUnitDeleted", "RemediationStep" : "Delete organizational unit in Control Tower", "OrganizationalUnitId" : "ou-0123-1EXAMPLE" }

해결

이 드리프트는 기초 OU에 대해서만 발생하기 때문에 해상도는 landing zone 구역을 업데이트하는 것입니다. 다른 유형의 OU가 삭제되면 AWS Control Tower 타워가 자동으로 업데이트됩니다.

계정 및 OU 드리프트 해결에 대한 자세한 내용은 AWS Control Tower 외부에서 리소스를 관리하는 경우 단원을 참조하십시오.