Landing Zone 설정을 위한 관리 팁

• 일을 가장 많이 하는 AWS 지역은 홈 지역이어야 합니다.

• 랜딩 존을 설정하고 거주 지역 내에서 Account Factory 계정을 배포하세요.

• 여러 AWS 지역에 투자하는 경우 클라우드 리소스가 대부분의 클라우드 관리 작업을 수행하고 워크로드를 실행할 지역에 있는지 확인하세요.

• 워크로드와 로그를 동일한 AWS 지역에 보관하면 지역 간에 로그 정보를 이동하고 검색하는 데 드는 비용을 줄일 수 있습니다.

• 감사 및 기타 Amazon S3 버킷은 AWS Control Tower를 시작한 AWS 지역과 동일한 지역에 생성됩니다. 이러한 버킷은 이동하지 않는 것이 좋습니다.

• Log Archive 계정에서 자체 로그 버킷을 만들 수 있지만 권장하지는 않습니다. AWS Control Tower에서 생성한 버킷은 그대로 두어야 합니다.

• Amazon S3 액세스 로그는 원본 버킷과 동일한 AWS 지역에 있어야 합니다.

• 시작 시 AWS Control Tower에서 지원하는 모든 지역의 관리 계정에서 AWS 보안 토큰 서비스 (STS) 엔드포인트를 활성화해야 합니다. 그렇지 않으면 중간에 구성 프로세스에서 시작이 실패할 수 있습니다.

• AWS Control Tower는 활성화된 컨트롤에 대한 태깅만 지원합니다. 자세한 정보는 AWS Control Tower는 활성화된 컨트롤에 대한 태그 지정을 지원합니다.을 참조하세요.

• AWS Control Tower가 관리하는 모든 계정에 대해 멀티 팩터 인증 (MFA) 을 활성화하는 것이 좋습니다.

VPC에 대한 고려 사항

• AWS 컨트롤 AWS 리전 타워에서 생성한 VPC는 AWS 컨트롤 타워를 사용할 수 있는 곳으로 제한됩니다. 지원되지 않는 지역에서 워크로드를 실행하는 일부 고객은 Account Factory 계정으로 생성된 VPC를 비활성화하고자 할 수 있습니다. 고객은 Service Catalog 포트폴리오를 사용하여 새 VPC를 만들거나 필요한 지역에서만 실행되는 사용자 지정 VPC를 만드는 것을 선호할 수 있습니다.

• AWS Control Tower에서 생성한 VPC는 모두를 위해 생성되는 기본 VPC와 다릅니다. AWS 계정 AWS 컨트롤 타워가 지원되는 지역의 경우, AWS 컨트롤 타워는 AWS 컨트롤 타워 VPC를 생성할 때 기본 VPC를 삭제합니다.

• 홈 리전에서 기본 VPC를 삭제하는 경우 다른 AWS 모든 AWS 리전에서 삭제하는 것이 가장 좋습니다.