베이스라인 유형 - AWS Control Tower
계정의 부분 등록AWS Control Tower 콘솔과 기준 API 간의 운영 차이기준 및 버전 관리 기본값

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

베이스라인 유형

AWS Control Tower의 기준은 대상에 적용할 수 있는 리소스 및 특정 구성 그룹입니다. 가장 일반적인 기준 대상은 조직 단위 (OU) 일 수 있습니다. 예를 들어 OU를 대상으로 선택한 베이스라인을 활성화하여 해당 OU를 AWS Control Tower에 등록할 수 있습니다.

랜딩 존 설정 시 기준 타겟은 공유 계정 또는 랜딩 존 전체가 될 수 있습니다. 특정 베이스라인은 사용자의 landing zone 설정 및 구성에 따라 활성화 및 업데이트될 수 있습니다. AWS Control Tower는 베이스라인에서 지정하는 방식으로 리소스를 생성하여 대상에 배포합니다.

대상에 대한 베이스라인을 활성화하면 베이스라인은 리소스라고 하는 AWS CloudFormation 리소스로 표시됩니다. EnabledBaseline

AWS Control Tower에는 네 가지 필수 유형의 기준이 있습니다.

  • 한 가지 유형은 AWS Control Tower에 등록된 OU 또는 기준을 적용하여 등록하려는 OU에 적용할 수 있습니다.

  • 초기 설정 또는 랜딩 존 업데이트 중에 Landing Zone 또는 공유 계정에 세 가지 기본 유형을 적용할 수 있습니다.

OU 등록 및 업데이트를 위해 OU 수준에서 적용되는 기준 유형

  • 이름: AWSControlTowerBaseline

    설명: AWS Control Tower 거버넌스에 필요한 대상 OU 내 멤버 계정에 대한 리소스 및 필수 제어를 설정합니다.

    고려 사항: 이 베이스라인은 landing zone 지역 거부 제어의 설정을 유지합니다. 즉, 랜딩 영역 수준에서 지역이 허용되지 않는 경우 EnableBaseline API를 호출하여 OU를 등록할 때 해당 지역은 해당 OU에 허용되지 않습니다.

    참고

    OU 수준 지역 거부 제어는 landding zone 지역 거부 제어에서 허용하지 않는 지역을 허용할 방법이 없습니다.

    자세한 내용은 문서의 SCP가 거부를 처리하는 방법을 참조하십시오. AWS Organizations

    권장 사항: OU용 EnableBaseline API를 호출하기 전에 대상 OU에서 워크로드를 실행할 수 있는 지역을 확인하고, 랜딩 존 지역 거부 제어와 비교하여 결과를 확인하는 것이 좋습니다. 그렇지 않으면 특정 지역의 리소스에 액세스할 수 없게 될 수 있습니다.

참고

랜딩 존 기준선은 OU 수준 기준선과 다르게 작동합니다.

AWS Control Tower는 랜딩 존 설정 및 업데이트 프로세스의 일환으로 랜딩 존 수준에서 자동으로 적용되는 기준을 활성화합니다. 랜딩 존 설정을 변경하면 랜딩 존의 베이스라인이 변경될 수 있습니다. 예를 들어, IAM Identity Center를 옵트인하면 AWS Control Tower는 랜딩 존에서 IdentityCenterBaseline 베이스라인의 최신 버전을 활성화할 수 있습니다.

ListEnabledBaselinesAPI 호출을 통해 landing zone에 대해 활성화된 베이스라인을 볼 수 있습니다.

Landing Zone 또는 공유 계정에 적용할 수 있는 기준 유형

  • 이름: AuditBaseline

    설명: 조직 내 계정의 보안 및 규정 준수를 모니터링하기 위한 리소스를 설정합니다. 이 기준은 AWS Control Tower에서 배포하므로 변경할 수 없습니다.

  • 이름: LogArchiveBaseline

    설명: 조직 내 계정의 API 활동 및 리소스 구성 로그를 저장할 중앙 리포지토리를 설정합니다. 이 기준은 AWS Control Tower에서 배포하므로 변경할 수 없습니다.

  • 이름: IdentityCenterBaseline

    설명: IAM Identity Center의 공유 리소스를 설정하여 계정에 대한 ID 센터 AWSControlTowerBaseline 액세스를 설정할 수 있도록 준비합니다.

    고려 사항: 이 기준은 처음 랜딩 존을 설정할 때 IAM Identity Center를 ID 공급자로 선택한 경우 또는 이후에 랜딩 존에 IAM Identity Center를 활성화하도록 랜딩 존 설정을 변경하는 경우에만 유효합니다. 다른 ID 공급자를 사용하는 경우 이 기준을 활성화할 수 있는 액세스 권한이 없습니다.

계정의 부분 등록

베이스라인에 따라 작업할 때는 계정을 부분 등록이라는 상태로 만들 수 있습니다.

AWS Control Tower는 대상 OU의 계정에 필수 리소스만 적용하기 때문에 ResetEnabledBaseline API를 호출하여 OU를 재등록하는 경우 이 상태가 발생할 수 있습니다. 상위 OU의 선택적 리소스 (컨트롤) 가 누락된 계정은 부분 등록으로 표시됩니다.

등록되지 않은 계정을 등록된 OU로 이동한 다음 OU의 ResetEnabledBaseline API를 호출하여 해당 계정을 등록하면, AWS Control Tower는 계정과 연결된 리소스를 새로 등록된 계정에 적용합니다. AWSControlTowerBaseline 하지만 이 OU에 대해 활성화된 선택적 컨트롤은 계정에 적용되지 않습니다. 계정은 부분 등록 상태로 유지됩니다.

계정을 완전히 등록하려면 콘솔에서 계정 재등록 또는 업데이트를 선택합니다. 콘솔에서 이러한 작업을 선택하면 AWS Control Tower는 해당 OU에 대해 활성화된 선택적 제어를 포함하여 해당 OU의 모든 리소스를 새로 등록한 계정에 적용합니다.

AWS Control Tower 콘솔과 기준 API 간의 운영 차이

OU의 거버넌스 상태를 변경하면 기준선 API를 통해 거버넌스를 변경하는 것에 비해 AWS Control Tower 콘솔이 자동으로 더 많은 작업을 수행합니다.

차이

  • 제품 등록 및 프로비저닝

    콘솔을 통해 OU를 등록하면 AWS Control Tower는 각 계정 등록의 일환으로 OU 멤버 계정에 대한 Service Catalog 제품을 생성합니다. EnableBaselineAPI와 를 사용하여 OU를 등록하는 경우AWSControlTowerBaseline, AWS Control Tower는 OU의 멤버 계정에 대해 프로비저닝된 제품을 생성하지 않습니다.

  • OU 등록 취소

    OU 등록을 취소할 때마다 먼저 모든 구성원 계정과 중첩된 OU를 제거해야 합니다. 그러면 AWS Control Tower는 OU에 적용되는 모든 제어를 제거합니다.

    • 콘솔에서 OU 삭제를 선택하면 AWS Control Tower가 등록을 취소한 다음 조직에서 OU를 삭제합니다.

    • 하지만 DisableBaseline API를 호출하여 OU를 AWSControlTowerBaseline OU에서 제거하여 OU를 등록 취소하는 경우, AWS Control Tower는 조직에서 OU를 삭제하지 않으며, OU는 여전히 조직에 존재하며 등록되지 않은 상태로 남아 있습니다.

기준 및 버전 관리 기본값

AWS Control Tower 랜딩 존이 이미 설정되어 있고 랜딩 존 베이스라인을 활성화하기로 선택한 경우, AWS Control Tower는 랜딩 존 버전과 호환되는 최신 버전의 베이스라인을 활성화합니다. AWS Control Tower에 아직 등록되지 않은 OU에 베이스라인을 활성화하기로 선택한 경우, AWS Control Tower는 해당 OU에 호환되는 최신 버전의 베이스라인을 자동으로 제공합니다.