옵트인 지역 활성화 AWS 고려 사항 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

옵트인 지역 활성화 AWS 고려 사항

AWS 리전 대부분은 기본적으로 AWS 계정활성화되지만 특정 지역은 수동으로 선택한 경우에만 활성화됩니다. 이 문서에서는 이러한 지역을 옵트인 지역이라고 합니다. 반면, 계정을 AWS 계정 만들자마자 기본적으로 활성화되는 지역은 상업 지역 또는 간단히 말해 지역이라고 합니다.

옵트인이라는 용어는 역사적 근거를 가지고 있습니다. 2019년 3월 20일 이후에 AWS 리전 도입된 모든 지역은 옵트인 지역으로 간주됩니다. 옵트인 지역은 옵트인 지역에서 활성화된 계정을 통한 IAM 데이터 공유와 관련하여 상업 지역보다 보안 요구 사항이 더 높습니다. 사용자, 그룹, 역할, 정책, ID 공급자, 관련 데이터 (예: X.509 서명 인증서 또는 컨텍스트별 자격 증명), 암호 정책 및 계정 별칭과 같은 기타 계정 수준 설정을 포함하여 IAM 서비스를 통해 관리되는 모든 데이터는 ID 데이터로 간주됩니다.

랜딩 존 설정 중에 옵트인 지역을 선택하여 자동으로 활성화할 수 있습니다. 선택한 모든 지역에서 Landing Zone이 활성화됩니다.

옵트인 지역을 AWS Control Tower 홈 지역으로 선택하려면 먼저 AWS Management Console에 로그인한 후 지역 활성화의 단계에 따라 활성화하십시오. 옵트인 지역에서 기존 로그 아카이브 및 감사 계정을 가져오려면 먼저 해당 지역을 수동으로 활성화하십시오.

AWS 옵트인 지역에는 AWS Control Tower를 사용할 수 있는 여러 지역이 포함됩니다.

  • 아시아 태평양 (홍콩) 지역, ap-east-1

  • 아시아 태평양 (자카르타) 지역, ap-southeast-3

  • 유럽 (밀라노) 지역, eu-south-1

  • 아프리카 (케이프타운) 지역, af-south-1

  • 중동 (바레인) 지역, me-south-1

  • 이스라엘 (텔아비브), il-central-1

  • 중동 (UAE) 지역, me-central-1

  • 유럽 (스페인) 지역, eu-south-2

  • 아시아 태평양 (하이데라바드) 지역, ap-south-2

  • 유럽 (취리히) 지역, eu-central-2

  • 아시아 태평양 (멜버른) 지역, ap-southeast-4

  • 캐나다 서부 (캘거리) 지역, ca-west-1

AWS Control Tower에는 옵트인 리전과 상용 리전에서 다르게 작동하는 일부 컨트롤이 있습니다. 자세한 정보는 관리 제한을 참조하세요. 다음은 옵트인 지역에 워크로드를 배포할 때 염두에 두어야 할 몇 가지 고려 사항입니다.

관리 또는 활성화?

지역 관리는 AWS Control Tower 콘솔에서 선택할 수 있는 작업이므로 해당 지역에 제어를 적용할 수 있다는 점을 기억하십시오. 옵트인 지역을 활성화하거나 비활성화하는 것은 AWS 콘솔에서 선택할 수 있는 다른 작업이며, 이렇게 하면 계정에 해당 지역이 열리고 리전에 리소스와 워크로드를 배포할 수 있습니다.

동작 고려 사항

  • 옵트인 지역을 관리하기로 선택한 경우 워크로드에 장애가 발생할 수 있으므로 관리되는 옵트인 지역을 비활성화 (옵트아웃) 하지 않는 것이 좋습니다. AWS Control Tower에서는 AWS Control Tower 콘솔 내에서 규제 지역을 비활성화할 수 없지만, AWS Billing 콘솔 또는 SDK와 같은 AWS Control Tower 외부 소스에서 규제 지역을 비활성화하지 않도록 주의하십시오. AWS

  • AWS Control Tower가 거버넌스를 옵트인 지역으로 확장하면 모든 멤버 계정에서 해당 리전에 대한 옵트인 (옵트인) 이 활성화됩니다. 거버넌스에서 지역을 제거해도 AWS Control Tower는 멤버 계정에서 해당 지역을 비활성화 (옵트아웃) 하지 않습니다.

  • 지역 선택 취소 시 AWS Control Tower는 옵트인 지역 (예: AWS Billing Console 또는 SDK) 의 AWS Control Tower 외부 소스의 계정에 대해 해당 지역을 수동으로 비활성화한 경우 옵트인 지역에서 리소스를 제거하지 않습니다. AWS 비활성화한 지역에서 리소스를 제거하는 것이 좋습니다. 그렇지 않으면 해당 리소스에 대해 예상치 못한 청구 요금이 부과될 수 있습니다.

  • 랜딩 존이 사용 중지되면 AWS Control Tower는 옵트인 지역을 포함하여 모든 관리 대상 지역의 리소스를 정리합니다. 하지만 AWS Control Tower는 옵트인 지역을 비활성화하지 않습니다. 서비스 해제 후 추가 단계로 옵트인 지역을 비활성화할 수 있습니다.

  • 홈 지역이 옵트인 지역이고 기존 계정을 로그 아카이브 및 감사 계정으로 등록하려는 경우 먼저 옵트인 지역을 수동으로 활성화해야 랜딩 존의 홈 지역으로 선택할 수 있습니다. 지역 활성화를 참조하십시오.

  • 옵트인 지역을 홈 리전으로 설정하여 AWS AWS Control Tower를 설정하고 다른 리전의 콘솔에서 AWS Control Tower 서비스를 방문해도 콘솔은 자동으로 홈 리전으로 리디렉션하지 않습니다.

  • 기본 API에는 용량 제한이 있어 지역, 계정 및 서비스 부하 수에 따라 지연 시간이 몇 분에서 몇 시간까지 늘어날 수 있습니다. 가장 좋은 방법은 워크로드를 실행할 AWS 리전 지역에만 옵트인하고 한 번에 한 지역씩 옵트인하는 것입니다.

거버넌스 및 통제에 대한 중요한 제한사항

  • 옵트인 리전에서 지원되지 않는 AWS Control Tower 컨트롤을 현재 활성화한 경우, 해당 리전에서 컨트롤이 지원되기 전까지는 해당 옵트인 리전으로 AWS Control Tower 거버넌스를 확장할 수 없습니다. 자세한 내용은 관리 제한단원을 참조하세요.

  • AWS Control Tower 거버넌스를 특정 컨트롤이 지원되지 않는 옵트인 리전으로 확장하는 경우, AWS Control Tower로 규제하는 모든 리전에서 컨트롤이 지원되기 전까지는 어느 지역에서도 제어를 활성화할 수 없습니다. 자세한 내용은 을 참조하십시오. 관리 제한

  • 옵트인 지역을 포함하여 AWS Control Tower를 사용할 수 있는 22개 상업 지역이 모두 활성화되면 거버넌스를 OU로 확장할 때 조직 단위 (OU) 당 계정 수의 상한선이 줄어듭니다. 한도는 계정 300개가 아닌 220개입니다. 이러한 감소는 StackSet 제한으로 인한 것입니다. 계정이 220개가 넘는 OU로 거버넌스를 확장해야 하는 경우 활성화된 지역 수를 줄이십시오.