AWS Control Tower Tower의 중첩 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Control Tower Tower의 중첩

이 장에서는 AWS Control Tower 에서 중첩된 OU를 사용할 때 고려해야 할 기대치와 고려 사항을 나열합니다. 대부분의 경우 중첩된 OU로 작업하는 것은 플랫 OU 구조로 작업하는 것과 같습니다. 이등록재등록 수피쳐는 이 장에서 설명한 변경된 동작을 제외하고 중첩된 OU에서 작동합니다.

비디오 안내

이 비디오 (4:46) 는 AWS Control Tower 타워에서 중첩된 OU 배포를 관리하는 방법에 대해 설명합니다. 동영상 오른쪽 하단에 있는 아이콘을 선택하여 전체 화면으로 확대하면 더 잘 보입니다. 자막을 사용할 수 있습니다.

중첩된 OU 및 landing zone 구역에 대한 모범 사례에 대한 지침은 블로그 게시물을 참조하십시오.중첩된 OU를 사용하여 AWS Control Tower landing zone 구성.

플랫 OU 구조에서 중첩된 OU 구조로 확장

플랫 OU 구조로 AWS Control Tower landing zone 생성한 경우 중첩된 OU 구조로 확장할 수 있습니다.

이 프로세스에는 네 가지 주요 단계가 있습니다.

  1. AWS Control Tower 타워에서 원하는 중첩된 OU 구조를 생성합니다.

  2. AWS Organizations 콘솔로 이동하여 대량 이동 기능을 사용하여 원본 OU (플랫) 에서 대상 OU (중첩) 로 계정을 이동합니다. 방법은 다음과 같습니다.

    1. 계정을 이동할 OU로 이동합니다.

    2. OU의 모든 계정을 선택합니다.

    3. 선택이동.

      참고

      이 단계는 AWS Control Tower 가 없기 때문에 AWS Organizations Organizations의 콘솔에서 수행해야 합니다.이동활성화합니다.

  3. AWS Control Tower 타워의 중첩된 OU로 이동하여등록또는재등록 수그것. 중첩된 OU의 모든 계정이 등록됩니다.

    • AWS Control Tower 타워에서 OU를 생성한 경우재등록 수OU.

    • AWS Organizations OU를 생성한 경우등록OU를 처음으로 사용할 수 있습니다.

  4. 계정을 이동 및 등록한 후 AWS Organization 콘솔 또는 AWS Control Tower 콘솔에서 빈 최상위 OU를 삭제합니다.

중첩 OU 등록 사전 확인

AWS Control Tower Tower는 중첩된 OU와 해당 구성원 계정을 성공적으로 등록할 수 있도록 일련의 사전 검사를 수행합니다. 최상위 OU 또는 중첩된 OU를 등록할 때 이와 동일한 사전 검사가 수행됩니다. 자세한 정보는 등록 또는 재등록 중 일반적인 실패 원인을 참조하십시오.

  • 모든 사전 확인이 통과되면 AWS Control Tower Tower에서 자동으로 OU 등록을 시작합니다.

  • 사전 확인이 실패하면 AWS Control Tower Tower는 등록 프로세스를 중지하고 OU를 등록하기 전에 수정해야 하는 항목 목록을 제공합니다.

중첩 OU 및 역할

AWS Control Tower는AWSControlTowerExecution대상 OU만 등록하려는 경우에도 대상 OU 아래의 계정 및 대상 OU 아래에 중첩된 모든 OU의 계정에 대한 역할 이 역할은 관리 계정의 모든 사용자에게 부여됩니다.Administrator가 있는 모든 계정에 대한 권한AWSControlTowerExecution역할 이 역할은 AWS Control Tower 가드레일에서 일반적으로 허용되지 않는 작업을 수행하는 데 사용할 수 있습니다.

등록하지 않으려는 등록되지 않은 계정에서 이 역할을 삭제할 수 있습니다. 이 역할을 삭제하면 계정을 계정에 복원하지 않는 한 AWS Control Tower 에 계정을 등록하거나 바로 상위 OU를 등록할 수 없습니다. 를 삭제하려면AWSControlTowerExecution계정의 역할인 경우 다음과 같이 로그인해야 합니다.AWSControlTowerExecution역할. 다른 IAM 보안 주체가 AWS Control Tower 에서 관리하는 역할을 삭제할 수 없기 때문입니다.

역할 액세스를 제한하는 방법에 대한 자세한 내용은 단원을 참조하십시오.역할 신뢰 관계에 대한 선택적 조건.

중첩된 OU 및 계정의 등록 및 재등록 중에 발생하는 상황

중첩된 OU를 등록하거나 다시 등록하면 AWS Control Tower Tower는 대상 OU의 등록되지 않은 모든 계정을 등록하고 등록된 모든 계정을 업데이트합니다. 예상되는 결과가 다음과 같습니다.

AWS Control Tower Tower는 다음과 같은 작업을

  • 추가AWSControlTowerExecution이 OU 아래의 등록되지 않은 모든 계정과 중첩된 OU의 모든 등록되지 않은 계정에 대한 역할

  • 등록되지 않은 구성원 계정을 등록합니다.

  • 등록된 멤버 계정을 다시 등록합니다.

  • 새로 등록된 구성원 계정에 대한 SSO 로그인을 생성합니다.

  • 기존 등록된 회원 계정을 업데이트하여 landing zone 변경 사항을 반영합니다.

  • 이 OU 및 해당 구성원 계정에 대해 구성된 가드레일을 업데이트합니다.

중첩 OU 등록에 대한 고려 사항

  • 핵심 OU (보안 OU) 아래에 OU를 등록할 수 없습니다.

  • 중첩 OU는 별도로 등록해야 합니다.

  • 상위 OU가 등록되어 있지 않으면 OU를 등록할 수 없습니다.

  • 트리의 상위 OU가 일정 시간에 성공적으로 등록되지 않은 경우 (일부는 삭제되었을 수 있음) OU를 등록할 수 없습니다.

  • 표류된 상위 OU 아래에 있는 OU를 등록할 수 있지만 해당 작업으로 인해 드리프트가 복구되지 않습니다.

중첩 OU 제한 사항

  • OU는 루트 아래에 최대 5개 레벨까지 중첩될 수 있습니다.

  • 대상 OU 아래에 중첩된 OU는 별도로 등록하거나 다시 등록해야 합니다.

  • 대상 OU가 계층 구조에서 레벨 2 이하인 경우, 즉 최상위 OU가 아닌 경우 상위 OU에서 활성화된 예방 가드레일이 이 OU와 그 아래의 모든 OU에 자동으로 적용됩니다.

  • OU 등록 실패는 계층 트리 위로 전파되지 않습니다. 상위 OU 세부 정보 페이지에서 중첩된 OU 상태에 대한 세부 정보를 볼 수 있습니다.

  • OU 등록 실패는 계층 트리 아래로 전파되지 않습니다.

  • AWS Control Tower 는 신규 또는 기존 계정에 대한 VPC 설정을 수정하지 않습니다.

중첩 OU 및 규정 준수

AWS Control Tower 콘솔에서 규정을 준수하지 않는 OU와 계정을 볼 수 있으므로 더 큰 규모로 규정 준수를 이해할 수 있습니다.

중첩된 OU 및 계정에 대한 규정 준수 고려 사항

  • OU의 규정 준수는 OU 아래에 중첩된 OU의 규정 준수에 따라 결정되지 않습니다.

  • 가드레일의 준수 상태는 내포된 OU를 포함하여 가드레일이 활성화된 모든 OU에 대해 계산됩니다.

  • OU는 OU가 OU 계층의 위치에 관계없이 비준수 계정이 있는 경우에만 비준수로 표시됩니다.

  • 중첩된 OU가 비호환인 경우 해당 상위 OU는 자동으로 비규격으로 간주되지 않습니다.

중첩 OU 및 드리프트

특정 상황에서는 드리프트가 중첩된 OU의 등록을 방지할 수 있습니다.

드리프트 및 중첩 OU에 대한 기대

  • 표류된 부모와 함께 OU에서 가드레일을 활성화할 수 있지만 표류된 OU에서는 직접 사용할 수 없습니다.

  • 최상위 표류 OU가 아닌 경우 표류된 OU 아래에서 탐정 가드레일을 활성화할 수 있습니다.

  • 필수 가드레일은 최상위 OU에서만 활성화됩니다. 중첩된 OU를 등록하면 필수 가드레일을 건너뜁니다.

  • 하나의 필수 가드레일은 AWS Config 리소스를 보호하므로 중첩된 OU를 등록하려면 해당 가드레일이 비드리프트 상태여야 합니다. 표류하는 경우 AWS Control Tower 타워는 중첩된 OU의 등록을 차단합니다.

  • 최상위 OU가 드리프트 상태인 경우 AWS Config 리소스를 보호하는 가드레일이 드리프트 상태일 수 있습니다. 이러한 상황에서 AWS Control Tower 는 탐정 가드레일 적용을 포함하여 AWS Config 리소스를 생성하거나 업데이트해야 하는 모든 작업을 차단합니다.

중첩된 OU 및 가드레일

등록된 OU에서 가드레일을 활성화하면 예방 및 탐정 가드레일의 동작이 다릅니다.

예방 가드레일

  • 중첩 OU에 예방 가드레일이 적용됩니다.

  • 필수 예방 가드레일은 OU 및 중첩된 OU 아래의 모든 계정에 적용됩니다.

  • 예방 가드레일은 해당 계정과 OU가 등록되지 않은 경우에도 대상 OU 아래에 중첩된 모든 계정과 OU에 영향을 미칩니다.

Detective 가드레일

  • 중첩된 OU는 탐정 가드레일을 자동으로 상속하지 않으며 별도로 활성화해야 합니다.

  • Detective 가드레일은 착륙 구역의 운영 지역에 등록된 계정에만 배포됩니다.

사용 가능한 가드레일 상태 및 상속

각 OU에 대해 상속된 가드레일을 볼 수 있습니다.OU 상세페이지.

상속되는 상태

  • 상태상속됩니다가드레일이 상속을 통해서만 활성화되고 OU에 직접 적용되지 않았음을 나타냅니다.

  • 상태활성화됨는 다른 OU의 상태에 관계없이 이 OU에 가드레일이 적용됨을 의미합니다.

  • 상태[Failed]는 다른 OU의 상태에 관계없이 이 OU에 가드레일이 적용되지 않음을 의미합니다.

참고

상태상속됩니다가드레일이 트리의 상위 OU에 적용되었으며 이 OU에 적용되었지만 이 OU에 직접 추가되지 않았음을 나타냅니다.

landing zone 구역이 현재 버전이 아닌 경우

의 각 행가드레일 사용 설정테이블은 하나의 개별 OU에서 하나의 활성화된 가드레일을 나타냅니다.

중첩된 OU 및 루트

루트는 OU가 아니며 등록하거나 다시 등록할 수 없습니다. 루트에서 직접 계정을 만들 수도 없습니다. 루트는 비준수 상태이거나 수명 주기 상태를 가질 수 없습니다 (예:등록되어 있습니다또는드리프트.

그러나 루트는 모든 계정과 OU의 최상위 컨테이너입니다. 중첩된 OU의 맥락에서 다른 모든 OU가 “중첩”되는 노드입니다.