쿠키 기본 설정 선택

당사는 사이트와 서비스를 제공하는 데 필요한 필수 쿠키 및 유사한 도구를 사용합니다. 고객이 사이트를 어떻게 사용하는지 파악하고 개선할 수 있도록 성능 쿠키를 사용해 익명의 통계를 수집합니다. 필수 쿠키는 비활성화할 수 없지만 '사용자 지정' 또는 ‘거부’를 클릭하여 성능 쿠키를 거부할 수 있습니다.

사용자가 동의하는 경우 AWS와 승인된 제3자도 쿠키를 사용하여 유용한 사이트 기능을 제공하고, 사용자의 기본 설정을 기억하고, 관련 광고를 비롯한 관련 콘텐츠를 표시합니다. 필수가 아닌 모든 쿠키를 수락하거나 거부하려면 ‘수락’ 또는 ‘거부’를 클릭하세요. 더 자세한 내용을 선택하려면 ‘사용자 정의’를 클릭하세요.

설정
문의하기
피드백
AWS Documentation
AWS 계정 생성

랜딩 존 업데이트 모범 사례

PDF
RSS
포커스 모드
랜딩 존 업데이트 모범 사례 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

이 섹션에서는 AWS Control Tower에서 랜딩 존 버전 업그레이드를 고려할 때 염두에 두어야 할 몇 가지 고려 사항과 모범 사례를 제공합니다. 2.0 랜딩 존 버전 시리즈에서 3.0 랜딩 존 버전 시리즈로 변경하는 것이 특히 중요합니다. 랜딩 존을 업그레이드하면 AWS Control Tower가 자동으로 사용 가능한 최신 버전으로 사용자를 안내합니다.

참고

랜딩 존의 최신 버전으로 업데이트하는 것이 좋습니다.

이 섹션에 설명된 모범 사례 요약

  • 모범 사례: 보안 및 감사를 위해 모든 계정에 대해 전체적으로 로깅을 활성화하고 로깅 정보를 중앙 위치로 보내는 것이 좋습니다. AWS Control Tower에서이 중앙 위치는 Amazon S3 로깅 버킷을 제공하는 로그 아카이브 계정입니다.

  • 모범 사례: AWS Control Tower에서 조직 수준 CloudTrail 추적을 옵트아웃하는 경우 자체 추적을 설정하고 관리합니다.

  • 모범 사례: AWS Control Tower 환경을 운영할 때 테스트 환경을 설정합니다.

2.x 랜딩 존 버전에서 3.x 랜딩 존 버전으로 이동 시의 이점

  • 홈 리전에서만 AWS Config 리소스를 기록하여 글로벌 리소스를 관리할 때 비용 절감

  • 자체 KMS 키로 AWS CloudTrail 추적 암호화

  • 로그 보존 기간 사용자 지정

  • 향상된 필수 제어

  • 사용 가능한 제어 수 증가

  • 와 통합 AWS Security Hub

  • Python 런타임 업데이트

2.x 랜딩 존 버전에서 3.x 랜딩 존 버전으로 이동 시의 경고 사항

  • 랜딩 존 3.0 이상에서는 AWS Control Tower가를 AWS 관리하는 계정 수준 AWS CloudTrail 추적을 더 이상 지원하지 않습니다.

  • AWS Control Tower에서 관리하는 조직 수준 추적을 선택하거나 이를 옵트아웃하고 자체 CloudTrail 추적을 관리할 수 있습니다.

  • 특히 OU 내의 일부 계정이 AWS Control Tower에 등록되어 있지 않고 유지하려는 자체 계정 수준 추적이 있는 경우 중복 비용의 가능성이 있습니다.

조직 수준의 CloudTrail 추적 선택에 대한 고려 사항

  • 3.0 이상으로 업그레이드하면 AWS Control Tower는 24시간 후에 처음에 생성했던 계정 수준 추적을 삭제합니다. [예외]

  • 이러한 추적의 데이터는 손실되지 않습니다. 추적이 제거되더라도 기존 로그는 보존됩니다.

  • AWS Control Tower는 동일한 Amazon S3 버킷에 추적을 위한 새 경로를 생성하여 계정 수준 추적을 조직 수준 추적과 구분합니다.

    • 계정 추적 로그 경로 형식: /orgId/AWSLogs/...

    • 조직 추적 로그 경로 형식: /orgId/AWSLogs/orgId/...

  • AWS Control Tower에서 배포하지 않은, 사용자가 추가로 배포한 CloudTrail 추적은 변경되지 않습니다.

  • 등록되지 않은 계정이 등록된 OU의 일부인 경우 AWS Control Tower에 등록되지 않은 계정을 포함하여 모든 계정이 조직 수준 추적에 포함됩니다.

  • 연결된 계정의 Amazon CloudWatch 경보는 트리거되지 않습니다.

  • 조직 수준 추적을 옵트아웃해도 AWS Control Tower는 여전히 추적을 생성하지만 상태는 꺼짐으로 설정됩니다.

  • 가장 좋은 방법은, AWS Control Tower의 조직 수준 추적을 옵트아웃하는 경우 자체 CloudTrail 추적을 설정하고 관리하는 것입니다.

조직 수준 추적의 이점

  • 조직 추적은 OU의 모든 계정에서 작동합니다.

  • 로깅된 항목은 표준화되며 계정 사용자가 수정할 수 없습니다.

테스트 환경 고려

랜딩 존을 업그레이드하면 AWS Control Tower는 공유 계정과 기본 OU만 변경합니다. 워크로드 계정 또는 OU는 변경되지 않습니다. 하지만 AWS Control Tower 환경을 운영할 때에는 테스트 환경을 설정하는 것이 좋습니다. 격리된 테스트 환경 내에서 AWS Control Tower 랜딩 존 업그레이드와 서비스 제어 정책(SCP)에 대한 변경 사항을 테스트할 수 있으며 환경에 적용하려는 제어를 테스트할 수 있습니다. 이 권장 사항은 규제 산업에서 운영하는 경우 특히 유용합니다.

업데이트 시 일반적인 오류에 대한 체크리스트

다음은 AWS Control Tower 랜딩 존을 2.x 버전에서 3.x 버전으로 업데이트할 때 발생하는 일반적인 오류를 방지하기 위해 수행할 수 있는 작업의 간략한 목록입니다.

기본 업데이트 체크리스트

  • 랜딩 존을 확인합니다.

    - AWS Control Tower 서비스로 이동하여 조직 단위계정 페이지를 검토한 다음 계정 상태가 등록됨 및 등록됨으로 설정되어 있는지 확인합니다.

    - 해당하는 경우 사용자 지정 파이프라인의 마지막 실행이 성공했는지 확인하고 확인합니다.

    - 이전에 버킷 정책에 변경한 내용을 덮어쓰게 되므로 감사 계정에서 Amazon S3 중앙 집중식 로깅 버킷을 확인합니다.

  • AWS Control Tower가 소유하지 않은 SCPs가 업데이트를 수행하는 관리 AWSControlTowerExecution 역할에 대해 역할이 멤버 계정에서 작업 또는 관리 계정에서 작업을 수행하는 것을 제한하지 않는지 확인합니다.

프라이버시사이트 이용 약관쿠키 기본 설정
© 2025, Amazon Web Services, Inc. 또는 계열사. All rights reserved.