기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Control TowerOUs에 중첩됨
이 장에서는 OUs AWS Control Tower에 중첩된 작업을 수행할 때 알아야 할 기대치와 고려 사항을 나열합니다. 대부분의 경우 중첩 작업OUs과 플랫 OU 구조 작업은 동일합니다. 등록 및 재등록 기능은이 장에서 설명하는 변경된 동작을 OUs제외하고 중첩된에서 작동합니다.
비디오 안내
이 비디오(4:46)에서는 AWS Control Tower에서 중첩된 OU 배포를 관리하는 방법을 설명합니다. 동영상 오른쪽 하단에 있는 아이콘을 선택하여 전체 화면으로 확대하면 더 잘 보입니다. 자막을 사용할 수 있습니다.
중첩 영역 OUs 및 랜딩 영역의 모범 사례에 대한 지침은 블로그 게시물 중첩된 로 AWS Control Tower 랜딩 영역 구성을 참조하세요OUs
플랫 OU 구조에서 중첩된 OU 구조로 확장
플랫 OU 구조로 AWS Control Tower 랜딩 영역을 생성한 경우 중첩된 OU 구조로 확장할 수 있습니다.
이 프로세스에는 4가지 주요 단계가 있습니다.
-
AWS Control Tower에서 원하는 중첩 OU 구조를 생성합니다.
-
AWS Organizations 콘솔로 이동하여 대량 이동 기능을 사용하여 계정을 소스 OU(플랫)에서 대상 OU(중첩)로 이동합니다. 그 방법은 다음과 같습니다.
-
이동하려는 계정이 포함되어 있는 OU로 이동합니다.
-
OU의 모든 계정을 선택합니다.
-
이동을 선택합니다.
참고
AWS Control Tower에는 이동 기능이 없으므로 AWS Organizations 콘솔의에서이 단계를 수행해야 합니다.
-
-
AWS Control Tower에서 중첩된 OU로 이동하여 등록하거나 다시 등록합니다. 중첩된 OU의 모든 계정이 등록됩니다.
-
AWS Control Tower에서 OU를 생성한 경우 OU를 다시 등록합니다.
-
에서 OU를 생성한 경우 OU를 처음 AWS Organizations등록합니다.
-
-
계정을 이동하고 등록한 후 AWS Organizations 콘솔 또는 AWS Control Tower 콘솔에서 빈 최상위 OU를 삭제합니다.
중첩된 OU 등록 사전 확인
중첩 계정OUs과 해당 멤버 계정의 성공적인 등록을 지원하기 위해 AWS Control Tower는 일련의 사전 확인을 수행합니다. 최상위 OU 또는 중첩된 OU를 등록할 때 동일한 사전 확인이 수행됩니다. 자세한 내용은 등록 또는 재등록 중 실패의 일반적인 원인을 참조하세요.
-
모든 사전 확인이 통과하면 AWS Control Tower가 자동으로 OU 등록을 시작합니다.
-
사전 확인이 실패하면 AWS Control Tower는 등록 프로세스를 중지하고 OU를 등록하기 전에 수정해야 하는 항목 목록을 제공합니다.
중첩 OUs 및 역할
AWS Control Tower는 대상 OU만 등록하려는 경우에도 대상 OU 아래의 계정과 대상 OU 아래에 OUs 중첩된 모든 계정에 AWSControlTowerExecution
역할을 배포합니다. 이 역할은 AWSControlTowerExecution
역할이 있는 모든 계정에 대한 관리자 권한을 관리 계정의 모든 사용자에게 부여합니다. 이 역할은 AWS Control Tower 제어에서 일반적으로 허용되지 않는 작업을 수행하는 데 사용할 수 있습니다.
아직 등록되지 않았고 등록하지 않을 계정에서 이 역할을 삭제할 수 있습니다. 이 역할을 삭제하면 해당 역할을 계정으로 복원하지 OUs않는 한 AWS Control Tower에 계정을 등록하거나 직계 상위를 등록할 수 없습니다. 계정에서 AWSControlTowerExecution
역할을 삭제하려면 다른 IAM 보안 주체가 AWS Control Tower에서 관리하는 역할을 삭제할 수 없으므로 AWSControlTowerExecution
역할로 로그인해야 합니다.
역할 액세스를 제한하는 방법에 대한 자세한 내용은 역할 신뢰 관계를 위한 선택적 조건을 참조하세요.
중첩 및 계정의 등록 OUs 및 재등록 중에 발생하는 일
중첩된 OU를 등록하거나 다시 등록하면 AWS Control Tower는 대상 OU의 등록되지 않은 모든 계정을 등록하고 등록된 모든 계정을 업데이트합니다. 예상되는 결과는 다음과 같습니다.
AWS Control Tower는 다음 작업을 수행합니다.
-
이 OU에 따라 등록되지 않은 모든 계정과 중첩된의 등록되지 않은 모든 계정에
AWSControlTowerExecution
역할을 추가합니다OUs. -
등록되지 않은 멤버 계정을 등록합니다.
-
등록된 멤버 계정을 재등록합니다.
-
새로 등록된 멤버 계정에 대한 IAM Identity Center 로그인을 생성합니다.
-
랜딩 존 변경 사항을 반영하도록 기존 등록 멤버 계정을 업데이트합니다.
-
이 OU 및 해당 멤버 계정에 대해 구성된 제어를 업데이트합니다.
중첩된 OU 등록에 대한 고려 사항
-
코어 OU(보안 OU)에 OU를 등록할 수 없습니다.
-
중첩은 별도로 등록해야 OUs 합니다.
-
해당 상위 OU가 등록된 경우가 아니면 OU를 등록할 수 없습니다.
-
트리의 모든 OUs 상위 항목이 한 번에 성공적으로 등록되지 않은 한(일부는 삭제되었을 수 있음) OU를 등록할 수 없습니다.
-
드리프트된 상위 OU 아래에 있는 OU를 등록할 수는 있지만 해당 작업으로 드리프트가 복구되지는 않습니다.
중첩된 OU 제한 사항
-
OUs는 루트 아래 최대 5개 수준까지 중첩될 수 있습니다.
-
대상 OU OUs 아래에 중첩된는 별도로 등록하거나 다시 등록해야 합니다.
-
대상 OU가 계층 구조에서 레벨 2 이하인 경우, 즉 최상위 OU가 아닌 경우 상위에서 활성화된 예방 제어OUs가이 OU 및 그 OUs 아래에 모두 자동으로 적용됩니다.
-
OU 등록 실패는 계층 구조 트리 위로 전파되지 않습니다. 상위 OU 세부 정보 OUs 페이지에서 중첩 상태에 대한 세부 정보를 볼 수 있습니다.
-
OU 등록 실패는 계층 구조 트리 아래로 전파되지 않습니다.
-
AWS Control Tower는 신규 또는 기존 계정에 대한 VPC 설정을 수정하지 않습니다.
중첩 OUs 및 규정 준수
AWS Control Tower 콘솔에서 조직 페이지에서 규정을 준수하지 않는 OUs 및 계정을 볼 수 있으므로 규정 준수를 더 크게 이해할 수 있습니다.
중첩 OUs 및 계정의 규정 준수 고려 사항
-
OU의 규정 준수는 그 아래에 OUs 중첩된의 규정 준수에 따라 결정되지 않습니다.
-
제어의 규정 준수 상태는 중첩된를 포함하여 제어가 활성화된 모든 OUs에 대해 계산됩니다OUs. AWS OUs 및 계정에 대한 Control Tower 규정 준수 상태를 참조하세요.
-
OU는 OU 계층 구조상에서의 위치에 관계없이 규정 미준수 계정이 있는 경우에만 규정 미준수로 표시됩니다.
-
중첩된 OU가 규정 미준수 상태라고 하더라도 그 상위 OU가 자동으로 규정 미준수로 간주되지는 않습니다.
-
OU 세부 정보 또는 계정 세부 정보 페이지에서 OUs 또는 계정에 규정 미준수 상태가 표시될 수 있는 규정 미준수 리소스 목록을 볼 수 있습니다.
중첩 OUs 및 드리프트
특정 상황에서는 드리프트로 인해 중첩된의 등록이 차단될 수 있습니다OUs.
드리프트 및 중첩에 대한 기대치 OUs
-
드리프트된 상위 항목OUs에서는에서 제어를 활성화할 수 있지만 OUs 직접 드리프트된 에서는 활성화할 수 없습니다.
-
드리프트된 OU가 최상위가 아니라면 드리프트된 OU에서 탐지 제어를 활성화할 수 있습니다.
-
필수 제어는 최상위 수준에서OUs만 활성화됩니다. 중첩된 OU를 등록할 때에는 필수 제어는 건너뜁니다.
-
하나의 필수 제어는 AWS Config 리소스를 보호하므로 중첩된를 등록하려면 해당 제어가 드리프트되지 않은 상태여야 합니다OUs. 드리프트된 경우 AWS Control Tower는 중첩된의 등록을 차단합니다OUs.
-
최상위 OU가 드리프트 상태인 경우 AWS Config 리소스를 보호하는 제어가 드리프트 상태일 수 있습니다. 이 경우 AWS Control Tower는 탐지 제어의 적용을 포함하여 AWS Config 리소스 생성 또는 업데이트가 필요한 모든 작업을 차단합니다.
중첩 OUs 및 제어
등록된 OU에서 제어를 활성화하면 예방 및 탐지 제어의 동작이 달라집니다. 중첩된 OUs의 경우 사전 예방적 제어는 탐지 제어와 유사하게 작동합니다.
예방 제어
-
예방 제어는 중첩된에 적용됩니다OUs.
-
필수 예방 제어는 OU 및 중첩된의 모든 계정에 적용됩니다OUs.
-
예방적 제어OUs는 모든 계정 및 OUs가 등록되지 않은 경우에도 대상 OU에 중첩된 모든 계정에 영향을 미칩니다.
탐지 및 선제적 제어
-
중첩은 탐지 또는 사전 예방적 제어를 자동으로 상속하지 OUs 않으므로 별도로 활성화해야 합니다.
-
탐지 및 선제적 제어는 랜딩 존의 운영 리전에 등록된 계정에만 배포됩니다.
활성화된 제어 상태 및 상속
OU 세부 정보 페이지에서 각 OU에 대한 상속된 제어를 볼 수 있습니다.
작은 정보
제어 상속을 사용하여 OU의 SCP 할당량 내에서 유지할 수 있습니다. 예를 들어 중첩된 OU에 대해 직접 제어를 활성화하는 대신 OU 계층 구조의 최상위 OU에서 제어를 활성화할 수 있습니다.
상속됨 상태
-
상속됨 상태는 제어가 상속에 의해서만 활성화되고 OU에 직접 적용되지 않았음을 나타냅니다.
-
활성화됨 상태는 다른의 상태와 관계없이이 OU에 제어가 적용됨을 의미합니다OUs.
-
실패 상태는 다른의 상태와 관계없이이 OU에 제어가 적용되지 않음을 의미합니다OUs.
참고
상속됨 상태는 제어가 트리의 상위 OU에 적용되어 이 OU에 적용되었지만 이 OU에 직접 추가되지는 않았음을 나타냅니다.
랜딩 존이 현재 버전이 아닌 경우
활성화된 제어 테이블의 각 행은 하나의 개별 OU에서 활성화된 제어 하나를 나타냅니다.
중첩 OUs 및 루트
루트는 OU가 아니며 등록하거나 재등록할 수 없습니다. 루트에서 직접 계정을 생성할 수도 없습니다. 루트는 규정 미준수일 수 없으며 등록됨 또는 드리프트와 같은 수명 주기 상태를 가질 수 없습니다.
그러나 루트는 모든 계정 및에 대한 최상위 컨테이너입니다OUs. 중첩된의 맥락에서OUs는 다른 모든가 OUs 중첩되는 노드입니다.