AWS Control TowerOUs에 중첩됨 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Control TowerOUs에 중첩됨

이 장에서는 OUs AWS Control Tower에 중첩된 작업을 수행할 때 알아야 할 기대치와 고려 사항을 나열합니다. 대부분의 경우 중첩 작업OUs과 플랫 OU 구조 작업은 동일합니다. 등록재등록 기능은이 장에서 설명하는 변경된 동작을 OUs제외하고 중첩된에서 작동합니다.

비디오 안내

이 비디오(4:46)에서는 AWS Control Tower에서 중첩된 OU 배포를 관리하는 방법을 설명합니다. 동영상 오른쪽 하단에 있는 아이콘을 선택하여 전체 화면으로 확대하면 더 잘 보입니다. 자막을 사용할 수 있습니다.

중첩 영역 OUs 및 랜딩 영역의 모범 사례에 대한 지침은 블로그 게시물 중첩된 로 AWS Control Tower 랜딩 영역 구성을 참조하세요OUs.

플랫 OU 구조에서 중첩된 OU 구조로 확장

플랫 OU 구조로 AWS Control Tower 랜딩 영역을 생성한 경우 중첩된 OU 구조로 확장할 수 있습니다.

이 프로세스에는 4가지 주요 단계가 있습니다.
  1. AWS Control Tower에서 원하는 중첩 OU 구조를 생성합니다.

  2. AWS Organizations 콘솔로 이동하여 대량 이동 기능을 사용하여 계정을 소스 OU(플랫)에서 대상 OU(중첩)로 이동합니다. 그 방법은 다음과 같습니다.

    1. 이동하려는 계정이 포함되어 있는 OU로 이동합니다.

    2. OU의 모든 계정을 선택합니다.

    3. 이동을 선택합니다.

      참고

      AWS Control Tower에는 이동 기능이 없으므로 AWS Organizations 콘솔의에서이 단계를 수행해야 합니다.

  3. AWS Control Tower에서 중첩된 OU로 이동하여 등록하거나 다시 등록합니다. 중첩된 OU의 모든 계정이 등록됩니다.

    • AWS Control Tower에서 OU를 생성한 경우 OU를 다시 등록합니다.

    • 에서 OU를 생성한 경우 OU를 처음 AWS Organizations등록합니다.

  4. 계정을 이동하고 등록한 후 AWS Organizations 콘솔 또는 AWS Control Tower 콘솔에서 빈 최상위 OU를 삭제합니다.

중첩된 OU 등록 사전 확인

중첩 계정OUs과 해당 멤버 계정의 성공적인 등록을 지원하기 위해 AWS Control Tower는 일련의 사전 확인을 수행합니다. 최상위 OU 또는 중첩된 OU를 등록할 때 동일한 사전 확인이 수행됩니다. 자세한 내용은 등록 또는 재등록 중 실패의 일반적인 원인을 참조하세요.

  • 모든 사전 확인이 통과하면 AWS Control Tower가 자동으로 OU 등록을 시작합니다.

  • 사전 확인이 실패하면 AWS Control Tower는 등록 프로세스를 중지하고 OU를 등록하기 전에 수정해야 하는 항목 목록을 제공합니다.

중첩 OUs 및 역할

AWS Control Tower는 대상 OU만 등록하려는 경우에도 대상 OU 아래의 계정과 대상 OU 아래에 OUs 중첩된 모든 계정에 AWSControlTowerExecution 역할을 배포합니다. 이 역할은 AWSControlTowerExecution 역할이 있는 모든 계정에 대한 관리자 권한을 관리 계정의 모든 사용자에게 부여합니다. 이 역할은 AWS Control Tower 제어에서 일반적으로 허용되지 않는 작업을 수행하는 데 사용할 수 있습니다.

아직 등록되지 않았고 등록하지 않을 계정에서 이 역할을 삭제할 수 있습니다. 이 역할을 삭제하면 해당 역할을 계정으로 복원하지 OUs않는 한 AWS Control Tower에 계정을 등록하거나 직계 상위를 등록할 수 없습니다. 계정에서 AWSControlTowerExecution 역할을 삭제하려면 다른 IAM 보안 주체가 AWS Control Tower에서 관리하는 역할을 삭제할 수 없으므로 AWSControlTowerExecution 역할로 로그인해야 합니다.

역할 액세스를 제한하는 방법에 대한 자세한 내용은 역할 신뢰 관계를 위한 선택적 조건을 참조하세요.

중첩 및 계정의 등록 OUs 및 재등록 중에 발생하는 일

중첩된 OU를 등록하거나 다시 등록하면 AWS Control Tower는 대상 OU의 등록되지 않은 모든 계정을 등록하고 등록된 모든 계정을 업데이트합니다. 예상되는 결과는 다음과 같습니다.

AWS Control Tower는 다음 작업을 수행합니다.
  • 이 OU에 따라 등록되지 않은 모든 계정과 중첩된의 등록되지 않은 모든 계정에 AWSControlTowerExecution 역할을 추가합니다OUs.

  • 등록되지 않은 멤버 계정을 등록합니다.

  • 등록된 멤버 계정을 재등록합니다.

  • 새로 등록된 멤버 계정에 대한 IAM Identity Center 로그인을 생성합니다.

  • 랜딩 존 변경 사항을 반영하도록 기존 등록 멤버 계정을 업데이트합니다.

  • 이 OU 및 해당 멤버 계정에 대해 구성된 제어를 업데이트합니다.

중첩된 OU 등록에 대한 고려 사항

  • 코어 OU(보안 OU)에 OU를 등록할 수 없습니다.

  • 중첩은 별도로 등록해야 OUs 합니다.

  • 해당 상위 OU가 등록된 경우가 아니면 OU를 등록할 수 없습니다.

  • 트리의 모든 OUs 상위 항목이 한 번에 성공적으로 등록되지 않은 한(일부는 삭제되었을 수 있음) OU를 등록할 수 없습니다.

  • 드리프트된 상위 OU 아래에 있는 OU를 등록할 수는 있지만 해당 작업으로 드리프트가 복구되지는 않습니다.

중첩된 OU 제한 사항

  • OUs는 루트 아래 최대 5개 수준까지 중첩될 수 있습니다.

  • 대상 OU OUs 아래에 중첩된는 별도로 등록하거나 다시 등록해야 합니다.

  • 대상 OU가 계층 구조에서 레벨 2 이하인 경우, 즉 최상위 OU가 아닌 경우 상위에서 활성화된 예방 제어OUs가이 OU 및 그 OUs 아래에 모두 자동으로 적용됩니다.

  • OU 등록 실패는 계층 구조 트리 위로 전파되지 않습니다. 상위 OU 세부 정보 OUs 페이지에서 중첩 상태에 대한 세부 정보를 볼 수 있습니다.

  • OU 등록 실패는 계층 구조 트리 아래로 전파되지 않습니다.

  • AWS Control Tower는 신규 또는 기존 계정에 대한 VPC 설정을 수정하지 않습니다.

중첩 OUs 및 규정 준수

AWS Control Tower 콘솔에서 조직 페이지에서 규정을 준수하지 않는 OUs 및 계정을 볼 수 있으므로 규정 준수를 더 크게 이해할 수 있습니다.

중첩 OUs 및 계정의 규정 준수 고려 사항
  • OU의 규정 준수는 그 아래에 OUs 중첩된의 규정 준수에 따라 결정되지 않습니다.

  • 제어의 규정 준수 상태는 중첩된를 포함하여 제어가 활성화된 모든 OUs에 대해 계산됩니다OUs. AWS OUs 및 계정에 대한 Control Tower 규정 준수 상태를 참조하세요.

  • OU는 OU 계층 구조상에서의 위치에 관계없이 규정 미준수 계정이 있는 경우에만 규정 미준수로 표시됩니다.

  • 중첩된 OU가 규정 미준수 상태라고 하더라도 그 상위 OU가 자동으로 규정 미준수로 간주되지는 않습니다.

  • OU 세부 정보 또는 계정 세부 정보 페이지에서 OUs 또는 계정에 규정 미준수 상태가 표시될 수 있는 규정 미준수 리소스 목록을 볼 수 있습니다.

중첩 OUs 및 드리프트

특정 상황에서는 드리프트로 인해 중첩된의 등록이 차단될 수 있습니다OUs.

드리프트 및 중첩에 대한 기대치 OUs
  • 드리프트된 상위 항목OUs에서는에서 제어를 활성화할 수 있지만 OUs 직접 드리프트된 에서는 활성화할 수 없습니다.

  • 드리프트된 OU가 최상위가 아니라면 드리프트된 OU에서 탐지 제어를 활성화할 수 있습니다.

  • 필수 제어는 최상위 수준에서OUs만 활성화됩니다. 중첩된 OU를 등록할 때에는 필수 제어는 건너뜁니다.

  • 하나의 필수 제어는 AWS Config 리소스를 보호하므로 중첩된를 등록하려면 해당 제어가 드리프트되지 않은 상태여야 합니다OUs. 드리프트된 경우 AWS Control Tower는 중첩된의 등록을 차단합니다OUs.

  • 최상위 OU가 드리프트 상태인 경우 AWS Config 리소스를 보호하는 제어가 드리프트 상태일 수 있습니다. 이 경우 AWS Control Tower는 탐지 제어의 적용을 포함하여 AWS Config 리소스 생성 또는 업데이트가 필요한 모든 작업을 차단합니다.

중첩 OUs 및 제어

등록된 OU에서 제어를 활성화하면 예방 및 탐지 제어의 동작이 달라집니다. 중첩된 OUs의 경우 사전 예방적 제어는 탐지 제어와 유사하게 작동합니다.

예방 제어
  • 예방 제어는 중첩된에 적용됩니다OUs.

  • 필수 예방 제어는 OU 및 중첩된의 모든 계정에 적용됩니다OUs.

  • 예방적 제어OUs는 모든 계정 및 OUs가 등록되지 않은 경우에도 대상 OU에 중첩된 모든 계정에 영향을 미칩니다.

탐지 및 선제적 제어
  • 중첩은 탐지 또는 사전 예방적 제어를 자동으로 상속하지 OUs 않으므로 별도로 활성화해야 합니다.

  • 탐지 및 선제적 제어는 랜딩 존의 운영 리전에 등록된 계정에만 배포됩니다.

활성화된 제어 상태 및 상속

OU 세부 정보 페이지에서 각 OU에 대한 상속된 제어를 볼 수 있습니다.

작은 정보

제어 상속을 사용하여 OU의 SCP 할당량 내에서 유지할 수 있습니다. 예를 들어 중첩된 OU에 대해 직접 제어를 활성화하는 대신 OU 계층 구조의 최상위 OU에서 제어를 활성화할 수 있습니다.

상속됨 상태

  • 상속됨 상태는 제어가 상속에 의해서만 활성화되고 OU에 직접 적용되지 않았음을 나타냅니다.

  • 활성화됨 상태는 다른의 상태와 관계없이이 OU에 제어가 적용됨을 의미합니다OUs.

  • 실패 상태는 다른의 상태와 관계없이이 OU에 제어가 적용되지 않음을 의미합니다OUs.

참고

상속됨 상태는 제어가 트리의 상위 OU에 적용되어 이 OU에 적용되었지만 이 OU에 직접 추가되지는 않았음을 나타냅니다.

랜딩 존이 현재 버전이 아닌 경우

활성화된 제어 테이블의 각 행은 하나의 개별 OU에서 활성화된 제어 하나를 나타냅니다.

중첩 OUs 및 루트

루트는 OU가 아니며 등록하거나 재등록할 수 없습니다. 루트에서 직접 계정을 생성할 수도 없습니다. 루트는 규정 미준수일 수 없으며 등록됨 또는 드리프트와 같은 수명 주기 상태를 가질 수 없습니다.

그러나 루트는 모든 계정 및에 대한 최상위 컨테이너입니다OUs. 중첩된의 맥락에서OUs는 다른 모든가 OUs 중첩되는 노드입니다.