AWS Control Tower 타워에 기존 조직 단위 등록 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Control Tower 타워에 기존 조직 단위 등록

기존 여러 개를 가져올 수 있는 효율적인 방법AWSAWS Control Tower 타워에 대한 계정은거버넌스 확장AWS Control Tower (전체 조직 단위) 로 이동할 수 있습니다.

로 생성된 기존 OU에 대해 AWS Control Tower 거버넌스를 활성화하려면AWS Organizations, 그리고 그 계정,등록하십시오AWS Control Tower landing zone 존을 사용하는 OU. 최대 300개의 계정을 포함하는 OU를 등록할 수 있습니다. OU에 300개 이상의 계정이 있는 경우 AWS Control Tower 에 등록할 수 없습니다.

OU를 등록하면 해당 구성원 계정이 AWS Control Tower landing zone 등록됩니다. 그들은 OU에 적용되는 가드레일에 의해 관리됩니다.

참고

AWS Control Tower landing zone 존이 아직 없는 경우 먼저 AWS Control Tower 에서 생성한 새 조직 또는 기존 조직에 landing zone 존을 설정합니다.AWS Organizations조직. landing zone 존을 설정하는 방법에 대한 자세한 내용은AWS Control Tower 시작하기.

OU를 등록하면 내 계정은 어떻게 됩니까?

AWS Control Tower (AWS Control Tower)AWS CloudFormation과AWS Organizations귀하를 대신하여AWS CloudFormation은 (는) 조직의 계정에 스택을 자동으로 배포할 수 있습니다.

  • AWSControlTowerExecution상태가 있는 모든 계정에 역할이 추가됩니다.등록되지 않음.

  • 필수 가드레일은 OU 및 OU 등록 시 OU 및 모든 해당 계정에 기본적으로 활성화됩니다.

OU 등록 후 계정 부분 등록

OU를 성공적으로 등록할 수 있지만 특정 계정은 등록 취소된 상태로 남아있을 수 있습니다. 이 경우 이러한 계정이 등록 필수 구성 요소 중 일부를 충족하지 못합니다. 계정 등록의 일부로 등록하는 경우OU 등록프로세스가 성공하지 못합니다. 계정 페이지의 계정 상태가 표시됩니다.등록 실패. OU 페이지에는 다음과 같은 계정 정보가 표시될 수도 있습니다.5개 중 4개을 (를) 계정 필드에 입력합니다.

예를 들어 표시되는 경우5개 중 4개즉, OU에 총 5개의 계정이 있고 그 중 4개가 성공적으로 등록되었지만 하나의 계정이 등록되지 못했음을 의미합니다.OU 등록프로세스. 선택할 수 있습니다.OU 다시 등록계정이 등록 필수 조건을 충족하는지 확인한 후 계정을 등록으로 가져올 수 있습니다.

OU 등록을 위한 IAM 사용자 전제 조건

귀하AWS Identity and Access Management(IAM) 자격 증명 (사용자 또는 역할) 을 수행할 때 해당 Account Factory 포트폴리오에 포함되어야 합니다.OU 등록작업, 이미 가지고 있더라도Admin권한. 그렇지 않으면 등록 중에 프로비저닝된 제품의 생성이 실패합니다. OU를 등록할 때 AWS Control Tower 가 IAM 자격 증명에 의존하기 때문에 실패가 발생합니다.

관련 포트폴리오는 AWS Control Tower 타워에서 만든 포트폴리오입니다.AWS Control Tower Account Factory 포트폴리오. 다음을 선택하여 탐색합니다.Service Catalog > Account Factory > AWS Control Tower Account Factory 포트폴리오. 그런 다음 라는 탭을 선택합니다.그룹, 역할 및 사용자IAM 자격 증명을 볼 수 있습니다. 액세스 권한을 부여하는 방법에 대한 자세한 내용은 를 참조하십시오.AWS Service Catalog Catalog에 사용되는 설명서.

등록 또는 재등록 중 일반적인 실패 원인

OU 또는 해당 구성원 계정의 등록 (또는 재등록) 이 실패하면파일어떤 사전 검사가 통과되지 않았는지 보여주는 세부 보고서가 포함되어 있습니다. 이 섹션에는 사전 검사가 실패할 경우 발생할 수 있는 오류 유형과 오류 수정 방법이 나와 있습니다.

일반적으로 OU를 등록하거나 다시 등록하면 해당 OU 내의 모든 계정이 AWS Control Tower 에 등록됩니다. 그러나 OU 전체가 성공적으로 등록되더라도 일부 계정이 등록되지 않을 수 있습니다. 이러한 경우 계정과 관련된 사전 확인 실패를 해결한 다음 해당 계정을 다시 등록해야 합니다.계정 등록AWS Control Tower 콘솔에서 양식을 작성하십시오.

랜딩 영역 오류

  • 랜딩 영역이 준비되지 않음

    현재 landing zone 구역을 수리하거나 최신 버전으로 업데이트하십시오.

OU 오류

  • SCP 최대 개수를 초과합니다.

    OU당 SCP (서비스 제어 정책) 제한을 초과하거나 다른 할당량에 도달했을 수 있습니다. OU당 5개의 SCP 제한은 AWS Control Tower landing zone 존의 모든 OU에 적용됩니다. 할당량이 허용하는 것보다 많은 SCP가 있는 경우 SCP를 삭제하거나 결합해야 합니다.

  • SCP 충돌하는

    기존 SCP가 OU 또는 계정에 적용되어 AWS Control Tower Tower가 계정을 등록하지 못하게 할 수 있습니다. 적용된 SCP에서 AWS Control Tower Tower가 작동하지 않을 수 있는 정책을 확인하십시오. 계층 구조에서 상위 OU에서 상속된 SCP를 확인하십시오.

  • 스택 집합 할당량 초과

    스택 집합 할당량이 초과되었을 수 있습니다. 할당량이 허용하는 것보다 많은 인스턴스가 있는 경우 일부 스택 인스턴스를 삭제해야 합니다. 자세한 내용은 단원을 참조하십시오.AWS CloudFormation할당량AWS CloudFormation사용 설명서.

  • 계정 한도 초과

    AWS Control Tower 타워는 등록 중에 각 OU를 298개 계정으로 제한합니다.

계정 오류

  • 계정에 대한 사전 확인 방지

    OU의 기존 SCP는 AWS Control Tower Tower가 OU 회원 계정에 대한 사전 확인을 수행하지 못하게 합니다. 이 사전 확인 실패를 해결하려면 OU에서 SCP를 업데이트하거나 제거하십시오.

  • 이메일 주소 오류

    계정에 지정한 이메일 주소가 이름 지정 표준을 준수하지 않습니다. 다음은 허용되는 문자를 지정하는 정규 표현식 (regex) 입니다.[A-Z0-9a-z._%+-]+@[A-Za-z0-9.-]+[.]+[A-Za-z]+

  • Config 레코더 또는 전송 채널 사용

    기존 계정을 보유할 수도 있습니다.AWS Config구성 레코더 또는 전송 채널입니다. 이러한 항목은 다음을 통해 삭제해야 합니다.AWS CLIallAWS계정을 등록하기 전에 AWS Control Tower 관리 계정이 리소스를 관리하는 리전입니다.

  • STS 비활성화

    AWS Security Token Service(AWS STS) 이 계정에서 비활성화될 수 있습니다. AWS Control Tower 지원 모든 리전의 계정에서 AWS STS 엔드포인트를 활성화해야 합니다.

  • SSO 충돌

    AWS Control Tower 홈 리전은AWS Single Sign-On(AWS SSO) 지역. 다음의 경우,AWS SSO이미 설정되어 있는 경우 AWS Control Tower 홈 리전은AWS SSO리전.

  • 충돌하는 SNS 주제

    계정에는 AWS Control Tower Simple Notification Service (Amazon SNS) 주제 이름이 있습니다. AWS Control Tower 타워는 특정 이름의 리소스 (예: SNS 주제) 를 생성합니다. 이러한 이름이 이미 사용된 경우 AWS Control Tower 설정이 실패합니다. 이 상황은 이전에 AWS Control Tower 에 등록한 계정을 재사용하는 경우 발생할 수 있습니다.

  • 일시 중단된 계정 감지

    이 계정이 일시 중지된 경우 AWS Control Tower 에 등록할 수 없습니다. 이 OU에서 계정을 제거한 후 다시 시도하십시오.

  • 포트폴리오에 없는 IAM 사용자

    를 추가합니다.AWS Identity and Access Management(IAM) 사용자를AWS Service CatalogOU를 등록하기 전에 포트폴리오를 사용하십시오 이 오류는 관리 계정에만 해당됩니다.

  • 계정이 전제 조건을 충족하지 않음

    계정이 계정 등록의 전제 조건을 충족하지 않습니다. 예를 들어 계정에 AWS Control Tower 등록에 필요한 역할과 권한이 누락되었을 수 있습니다. 역할 추가 지침은 에서 확인할 수 있습니다.기존 AWS 계정에 필요한 IAM 역할을 수동으로 추가하고 등록하십시오..

상기시켜서,AWS CloudTrail모든 사용자에 대해 자동 활성화됨AWSAWS Control Tower 타워에 등록할 때 계정을 사용합니다. 다음의 경우,CloudTrail등록 이전 계정에서 활성화됩니다. 비활성화하지 않으면 이중 청구가 발생할 수 있습니다.CloudTrail등록 프로세스를 시작하기 전에