AWS 컨트롤 타워의 중첩된 OU - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 컨트롤 타워의 중첩된 OU

이 장에서는 AWS Control Tower에서 중첩된 OU를 사용할 때 알아두어야 할 기대치와 고려 사항을 나열합니다. 대부분의 측면에서 중첩된 OU를 사용하는 것은 플랫 OU 구조를 사용하는 것과 같습니다. 등록재등록 기능은 이 장에 설명된 변경된 동작을 제외하고 중첩된 OU에서 작동합니다.

비디오 안내

이 동영상 (4:46) 은 AWS Control Tower에서 중첩된 OU 배포를 관리하는 방법을 설명합니다. 동영상 오른쪽 하단에 있는 아이콘을 선택하여 전체 화면으로 확대하면 더 잘 보입니다. 자막을 사용할 수 있습니다.

중첩된 OU 및 랜딩 존의 모범 사례에 대한 지침은 AWS Control Tower 랜딩 존을 중첩된 OU로 구성하기 블로그 게시물을 참조하십시오.

플랫 OU 구조에서 중첩된 OU 구조로 확장

플랫 OU 구조로 AWS Control Tower 랜딩 존을 생성한 경우, 이를 중첩된 OU 구조로 확장할 수 있습니다.

이 프로세스에는 네 가지 주요 단계가 있습니다.
  1. AWS Control Tower에서 원하는 중첩된 OU 구조를 생성합니다.

  2. AWS Organizations 콘솔로 이동하여 대량 이동 기능을 사용하여 계정을 원본 OU (플랫) 에서 대상 OU (중첩) 로 이동합니다. 방법은 다음과 같습니다.

    1. 계정을 옮기려는 OU로 이동합니다.

    2. OU의 모든 계정을 선택합니다.

    3. 이동을 선택합니다.

      참고

      AWS Control Tower에는 Move 기능이 없으므로 이 단계는 AWS Organizations 콘솔에서 수행해야 합니다.

  3. AWS Control Tower의 중첩된 OU로 이동하여 등록하거나 재등록하십시오. 중첩된 OU의 모든 계정이 등록됩니다.

    • AWS Control Tower에서 OU를 생성한 경우 OU를 다시 등록하십시오.

    • 에서 AWS OrganizationsOU를 생성한 경우 처음으로 OU를 등록하십시오.

  4. 계정을 이동하고 등록한 후에는 AWS Organizations 콘솔이나 AWS Control Tower 콘솔에서 비어 있는 최상위 OU를 삭제합니다.

중첩된 OU 등록 사전 검사

중첩된 OU와 해당 멤버 계정을 성공적으로 등록할 수 있도록 AWS Control Tower는 일련의 사전 검사를 수행합니다. 최상위 OU 또는 중첩된 OU를 등록할 때도 이와 동일한 사전 검사가 수행됩니다. 자세한 설명은 등록 또는 재등록 시 발생하는 일반적인 실패 원인 섹션을 참조하세요.

  • 모든 사전 점검을 통과하면 AWS Control Tower가 자동으로 OU 등록을 시작합니다.

  • 사전 검사에 실패할 경우, AWS Control Tower는 등록 프로세스를 중단하고 OU를 등록하기 전에 수정해야 하는 항목 목록을 제공합니다.

중첩된 OU 및 역할

AWS Control Tower는 대상 OU의 계정과 대상 OU 아래에 중첩된 모든 OU의 계정에 AWSControlTowerExecution 역할을 배포합니다. 대상 OU만 등록하려는 경우에도 마찬가지입니다. 이 역할은 관리 계정 관리자의 모든 사용자에게 해당 역할이 있는 모든 계정에 대한 권한을 부여합니다AWSControlTowerExecution. 이 역할은 일반적으로 AWS Control Tower 컨트롤에서 허용되지 않는 작업을 수행하는 데 사용할 수 있습니다.

등록할 계획이 없는 미등록 계정에서 이 역할을 삭제할 수 있습니다. 이 역할을 삭제하면 역할을 계정에 복원하지 않는 한 AWS Control Tower에 계정을 등록하거나 직계 상위 OU를 등록할 수 없습니다. 다른 IAM 보안 AWSControlTowerExecution 주체는 AWS Control Tower에서 관리하는 AWSControlTowerExecution 역할을 삭제할 수 없으므로 계정에서 역할을 삭제하려면 해당 역할로 로그인해야 합니다.

역할 액세스를 제한하는 방법에 대한 자세한 내용은 을 참조하십시오. 역할 신뢰 관계를 위한 선택적 조건

중첩된 OU 및 계정을 등록하고 재등록하면 어떻게 되나요?

중첩된 OU를 등록하거나 재등록하면 AWS Control Tower는 대상 OU의 모든 미등록 계정을 등록하고 등록된 모든 계정을 업데이트합니다. 예상 사항은 다음과 같습니다.

AWS Control Tower는 다음과 같은 작업을 수행합니다.
  • 이 OU에 등록되지 않은 모든 계정과 중첩된 OU의 모든 미등록 계정에 AWSControlTowerExecution 역할을 추가합니다.

  • 등록되지 않은 구성원 계정을 등록합니다.

  • 등록된 회원 계정을 재등록합니다.

  • 새로 등록한 회원 계정을 위한 IAM ID 센터 로그인을 생성합니다.

  • 기존 등록 회원 계정을 업데이트하여 landding Zone 변경 사항을 반영합니다.

  • 이 OU 및 해당 구성원 계정에 대해 구성된 컨트롤을 업데이트합니다.

중첩된 OU 등록 고려 사항

  • 핵심 OU (보안 OU) 에서는 OU를 등록할 수 없습니다.

  • 중첩된 OU는 별도로 등록해야 합니다.

  • 상위 OU가 등록되어 있지 않으면 OU를 등록할 수 없습니다.

  • 트리의 상위에 있는 모든 OU가 일정 시점에 성공적으로 등록되지 않으면 (일부는 삭제되었을 수 있음) OU를 등록할 수 없습니다.

  • 드리프트된 상위 OU에 속하는 OU를 등록할 수는 있지만 해당 작업으로 인한 편차는 복구되지 않습니다.

중첩된 OU 제한

  • OU는 루트 아래에 최대 5단계까지 중첩될 수 있습니다.

  • 대상 OU 아래의 중첩된 OU는 별도로 등록하거나 다시 등록해야 합니다.

  • 대상 OU가 계층 구조에서 레벨 2 이하인 경우, 즉 최상위 OU가 아닌 경우 상위 OU에 설정된 예방 제어가 이 OU와 그 아래의 모든 OU에 자동으로 적용됩니다.

  • OU 등록 실패는 계층 트리 위로 전파되지 않습니다. 상위 OU 세부 정보 페이지에서 중첩된 OU 상태에 대한 세부 정보를 볼 수 있습니다.

  • OU 등록 실패는 계층 구조 트리 아래로 전파되지 않습니다.

  • AWS Control Tower는 신규 또는 기존 계정의 VPC 설정을 수정하지 않습니다.

중첩된 OU 및 규정 준수

AWS Control Tower 콘솔에서는 조직 페이지에서 규정을 준수하지 않는 OU 및 계정을 볼 수 있으므로 규정 준수를 더 큰 규모로 이해할 수 있습니다.

중첩된 OU 및 계정의 규정 준수에 대한 고려 사항
  • OU의 규정 준수는 OU 아래에 중첩된 OU의 규정 준수를 기반으로 결정되지 않습니다.

  • 컨트롤의 규정 준수 상태는 중첩된 OU를 포함하여 컨트롤이 활성화된 모든 OU에서 계산됩니다. OU 및 계정의 AWS Control Tower 규정 준수 상태 섹션을 참조하십시오.

  • OU가 OU 계층의 어느 위치에 있든 관계없이 OU에 비규격 계정이 있는 경우에만 OU가 비준수로 표시됩니다.

  • 중첩된 OU가 규정을 준수하지 않는 경우 상위 OU는 자동으로 비규격으로 간주되지 않습니다.

  • OU 세부 정보 또는 계정 세부 정보 페이지에서 OU 또는 계정이 비준수 상태로 표시되는 원인이 될 수 있는 비준수 리소스 목록을 볼 수 있습니다.

중첩된 OU 및 드리프트

특정 상황에서는 드리프트로 인해 중첩된 OU가 등록되지 않을 수 있습니다.

드리프트 및 중첩된 OU에 대한 기대
  • 상위 항목이 드리프트된 OU에서는 제어를 활성화할 수 있지만 드리프트된 OU에서는 직접 제어할 수 없습니다.

  • 최상위 드리프트된 OU가 아닌 한, 드리프트된 OU에서 탐지 제어를 활성화할 수 있습니다.

  • 필수 제어는 최상위 OU에서만 사용할 수 있습니다. 중첩된 OU를 등록할 때는 필수 컨트롤이 생략됩니다.

  • 하나의 필수 컨트롤은 AWS Config 리소스를 보호합니다. 따라서 중첩된 OU를 등록하려면 해당 컨트롤이 비드리프트 상태여야 합니다. 표류하는 경우 AWS Control Tower는 중첩된 OU의 등록을 차단합니다.

  • 최상위 OU가 드리프트 상태인 경우 AWS Config 리소스를 보호하는 제어가 유동적일 수 있습니다. 이 상황에서 AWS Control Tower는 탐정 제어 적용을 포함하여 AWS Config 리소스 생성 또는 업데이트가 필요한 모든 작업을 차단합니다.

중첩된 OU 및 제어

등록된 OU에서 컨트롤을 활성화하면 예방 컨트롤과 탐지 컨트롤의 동작이 다릅니다. 중첩된 OU의 경우 사전 예방적 제어는 탐지 제어와 유사하게 작동합니다.

예방적 통제
  • 예방적 통제는 중첩된 OU에 적용됩니다.

  • 필수 예방 통제는 OU 및 중첩된 OU의 모든 계정에 적용됩니다.

  • 예방 통제는 대상 OU에 중첩된 모든 계정과 OU에 영향을 미치며, 해당 계정과 OU가 등록되지 않았더라도 마찬가지입니다.

Detective 및 사전 예방적 제어
  • 중첩된 OU는 탐지 제어 또는 사전 예방 제어를 자동으로 상속하지 않으므로 별도로 활성화해야 합니다.

  • Detective 및 사전 예방적 제어는 랜딩 존의 운영 지역에 등록된 계정에만 배포됩니다.

제어 상태 및 상속을 활성화했습니다.

OU 세부 정보 페이지에서 각 OU에 대해 상속된 컨트롤을 볼 수 있습니다.

작은 정보

제어 상속을 활용하여 OU의 SCP 할당량을 넘지 않도록 할 수 있습니다. 예를 들어 중첩된 OU에 직접 사용하도록 설정하는 대신 OU 계층 구조의 최상위 OU에서 컨트롤을 사용하도록 설정할 수 있습니다.

상속된 상태

  • 상속 상태는 컨트롤이 상속을 통해서만 활성화되고 OU에 직접 적용되지는 않았음을 나타냅니다.

  • Enabled 상태는 다른 OU의 상태에 관계없이 이 OU에 제어가 적용됨을 의미합니다.

  • 실패 상태는 다른 OU의 상태와 상관없이 이 OU에 제어가 적용되지 않음을 의미합니다.

참고

상속 상태는 컨트롤이 트리의 상위에 있는 OU에 적용되어 이 OU에 적용되었지만 이 OU에 직접 추가되지는 않았음을 나타냅니다.

랜딩 존이 최신 버전이 아닌 경우

사용 가능 컨트롤 표의 각 행은 개별 OU 하나에 대해 활성화된 컨트롤 하나를 나타냅니다.

중첩된 OU 및 루트

루트는 OU가 아니므로 등록하거나 다시 등록할 수 없습니다. 또한 루트에서 직접 계정을 만들 수 없습니다. 루트는 규정을 준수하지 않거나 등록 또는 변경 중과 같은 수명 주기 상태를 가질 수 없습니다.

하지만 루트는 모든 계정과 OU의 최상위 컨테이너입니다. 중첩된 OU의 경우 이 노드는 다른 모든 OU가 중첩되는 노드입니다.