요약 사전 조건 및 제한 사항 아키텍처 도구 에픽 문제 해결 관련 리소스

AWS Organizations에서 AWS Control Tower로 AWS 멤버 계정 마이그레이션

작성자: Rodolfo Jr. Cerrada(AWS)

환경: 프로덕션

기술: 관리 및 거버넌스, 현대화

AWS 서비스: AWS 조직, AWS Control Tower

요약

이 패턴은 관리 계정에 의해 관리되는 멤버 계정인 AWS Organizations에서 AWS Control Tower로 Amazon Web Services(AWS) 계정을 마이그레이션하는 방법을 설명합니다. AWS Control Tower에 계정을 등록하면 계정 거버넌스를 간소화하는 예방 및 탐지 가드레일 및 기능을 활용할 수 있습니다. AWS Organizations 관리 계정이 손상되어 Control AWS Tower에서 관리하는 새 조직으로 멤버 계정을 이동하려는 경우에도 멤버 계정을 마이그레이션할 수 있습니다.

AWS Control Tower는 AWS Organizations를 비롯한 여러 다른 AWS 서비스의 기능을 결합 및 통합하는 프레임워크를 제공하며 다중 계정 환경 전반에서 일관된 규정 준수 및 거버넌스를 보장합니다. AWS Control Tower를 사용하면 AWS Organizations의 기능을 확장하는 일련의 규정된 규칙 및 정의를 따를 수 있습니다. 예를 들어 가드레일을 사용하여 보안 로그와 필요한 크로스 계정 액세스 권한이 생성되고 변경되지 않도록 할 수 있습니다.

사전 조건 및 제한 사항

사전 조건

활성 AWS 계정
AWS AWS 조직 내 대상 조직에 설정된 Control Tower(지침은 AWS Control Tower 설명서의 설정 참조)
AWS Control Tower의 관리자 자격 증명(AWSControlTowerAdmins그룹 구성원)
소스 AWS 계정의 관리자 보안 인증 정보

제한 사항

AWS Organizations의 소스 관리 계정은 AWS Control Tower의 대상 관리 계정과 달라야 합니다.

제품 버전

AWS Control Tower 버전 2.3(2020년 2월) 이상( 릴리스 정보 참조)

아키텍처

다음 그림은 마이그레이션 프로세스와 참조 아키텍처를 보여 줍니다. 이 패턴은 AWS 계정을 소스 조직에서 AWS Control Tower에서 관리하는 대상 조직으로 마이그레이션합니다.

AWS 다른 조직으로 마이그레이션되고 등록된 OU로 이동된 AWS 계정에 대한 Control Tower 등록 프로세스입니다.

등록 프로세스는 세 단계로 구성됩니다.

계정은 소스 조직을 AWS Organizations에 남깁니다.
계정은 독립형 계정이 됩니다. 즉, 어떤 조직에도 속하지 않으므로 거버넌스와 청구는 계정 관리자가 독립적으로 관리합니다.
대상 조직은 해당 계정이 조직에 가입하도록 초대장을 보냅니다.
독립형 계정은 초대를 수락하고 대상 조직의 구성원이 됩니다.
계정이 AWS Control Tower에 등록되고 등록된 조직 단위(OU)로 이동합니다. (AWSControl Tower 대시보드에서 등록을 확인하는 것이 좋습니다.) 이때 등록된 OU에서 활성화된 모든 가드레일이 적용됩니다.

도구

AWS 서비스

AWS Organizations는 여러 계정을 생성하여 중앙에서 관리하는 단일 엔터티(조직)로 통합할 수 있는 AWS 계정 관리 서비스입니다.
AWS Control Tower는 AWS Organizations, AWS IAM Identity Center(AWSSingle Sign-On 후임자), AWS Service Catalog를 비롯한 다른 서비스의 기능을 통합하여 AWS 클라우드의 모든 조직 및 계정에서 보안, 운영 및 규정 준수에 대한 거버넌스 규칙을 대규모로 적용하고 관리하는 데 도움이 됩니다.

에픽

작업	설명	필요한 기술
멤버 계정을 독립형 계정으로 운영할 수 있는지 확인하십시오.	소스 조직을 탈퇴할 구성원 계정이 독립형 계정으로 작동하는 데 필요한 정보를 가지고 있는지 확인하십시오. 예를 들어 멤버 계정에 결제 정보가 없는 경우 는 결제 정보를 AWS 사용하여 계정이 조직에 연결되어 있지 않은 동안 발생하는 청구 가능한 AWS 활동에 대해 요금을 부과하므로 독립 실행형 계정으로 작동할 수 없습니다. 일반적으로 AWS Organizations 콘솔, API또는 AWS Command Line Interface(CLI) 명령을 사용하여 멤버 계정을 생성한 경우 독립 실행형 계정에 필요한 정보는 자동으로 수집되지 않습니다. 이 정보를 추가하려면 계정에 로그인하고 지원 계획, 연락처 정보, 결제 방법을 지정하십시오. 조직에서 계정을 제거하기 전에 알아야 할 사항에 대한 자세한 내용은 AWS Organizations 설명서의 조직에서 계정을 제거하기 전에를 참조하세요.	계정 관리자
소스 조직에서 멤버 계정을 제거합니다.	AWS 조직 설명서의 지침에 따라 조직에서 멤버 계정을 제거합니다. 조직의 관리 계정에 로그인하여 멤버 계정을 제거하거나, 멤버 계정에 로그인하여 조직을 탈퇴할 수 있습니다. 계정을 제거하거나 탈퇴할 수 있는 관리자 수준의 보안 인증이 없는 경우 조직 관리자에게 도움을 요청하십시오. 회원 계정에 지원 플랜, 연락처 정보 또는 결제 정보가 누락된 경우 해당 정보를 제공하고 확인하라는 메시지가 표시됩니다. 조직에서 나가면 AWS Organizations 콘솔의 시작하기 페이지로 리디렉션됩니다. 이 페이지에서 다른 조직에 가입하기 위한 계정 초대를 볼 수 있습니다. 중요: 현재 계정은 독립형 계정입니다. AWS 프리 티어에서 다루지 않는 워크로드를 실행하는 경우 계정에 제공한 결제 및 결제 정보에 따라 요금이 부과됩니다.	관리 계정 관리자 또는 계정 관리자
멤버 계정이 더 이상 소스 조직에 속하지 않는지 확인합니다.	AWS 조직 콘솔에는 더 이상 조직 나가기 버튼이 표시되지 않습니다. 대신 다른 조직에서 보류 중인 초대가 있는 경우 이를 확인할 수 있습니다.	계정 관리자
떠난 조직에서 계정에 대한 액세스 권한을 부여하는 IAM 역할을 제거합니다.	소스 조직에서 계정을 제거하면 AWS Organizations 또는 관리자가 생성한 AWS Identity and Access Management(IAM) 역할이 자동으로 삭제되지 않습니다. 소스 조직의 관리 계정에서 액세스를 종료하려면 IAM 역할을 수동으로 삭제해야 합니다. 자세한 내용은 IAM 설명서의 역할 또는 인스턴스 프로파일 삭제를 참조하세요. 멤버 계정이 조직을 나가면 계정에 연결된 모든 태그가 삭제됩니다. 독립형 계정은 태그를 지원하지 않습니다.	계정 관리자

작업	설명	필요한 기술
AWS Control Tower에 로그인합니다.	AWS Control Tower 콘솔에 관리자로 로그인합니다. 현재 Control AWS Tower에서 관리하는 OU의 조직으로 AWS 계정을 이동하는 직접적인 방법은 없습니다. 그러나 AWS Control Tower가 이미 관리하는 OU에 등록하면 AWS Control Tower 거버넌스를 기존 AWS 계정으로 확장할 수 있습니다. 따라서 이 단계에서 AWS Control Tower에 로그인해야 합니다.	AWS Control Tower 관리자
멤버 계정을 초대합니다.	AWS Organizations 콘솔에 로그인하고 AWS 계정 페이지로 이동합니다. AWS 계정 추가 페이지에서 기존 AWS 계정 초대를 선택합니다. 12자리 계정 번호(대시 제외)와 선택 사항으로 설명 및 태그를 포함한 계정 정보를 작성한 다음 초대 보내기를 선택합니다. 중요: 계정 이전으로 인해 애플리케이션 또는 네트워크 연결이 영향을 받지 않는지 확인하십시오. 이 작업을 수행하면 멤버 계정 링크가 포함된 초대 이메일이 전송됩니다. 계정 관리자가 링크를 따라 초대를 수락하면 계정 페이지에 멤버 AWS 계정이 나타납니다. 자세한 내용은 AWS Organizations 설명서의 조직에 가입하기 위한 AWS 계정 초대를 참조하세요.	AWS Control Tower 관리자
애플리케이션 및 연결성을 테스트합니다.	멤버 계정이 새 조직에 등록되면 루트 내 OU에 표시됩니다. AWS 또한 Control Tower 콘솔에도 계정이 아직 AWS Control Tower 등록 OU에 등록되지 않았기 때문에 계정에 등록되지 않은 것으로 플래그가 지정되어 나타납니다. 다음을 확인합니다. AWS Control Tower 대시보드에서 가드레일 위반이 있는지 확인합니다. 네트워크 연결(VPN 또는 AWS Direct Connect)을 확인하여 전송의 영향을 받지 않았는지 확인합니다. (애플리케이션 소유자) 이 계정과 연결된 애플리케이션을 테스트하여 예상대로 실행되는지, 계정 이전으로 인해 종속성이 영향을 받지 않았는지 확인합니다.	AWS Control Tower 관리자, 멤버 계정 관리자, 애플리케이션 소유자

작업

설명

필요한 기술

AWS Control Tower에 로그인합니다.

AWS Control Tower 콘솔에 관리자로 로그인합니다.

현재 Control AWS Tower에서 관리하는 OU의 조직으로 AWS 계정을 이동하는 직접적인 방법은 없습니다. 그러나 AWS Control Tower가 이미 관리하는 OU에 등록하면 AWS Control Tower 거버넌스를 기존 AWS 계정으로 확장할 수 있습니다. 따라서 이 단계에서 AWS Control Tower에 로그인해야 합니다.

AWS Control Tower 관리자

멤버 계정을 초대합니다.

AWS Organizations 콘솔에 로그인하고 AWS 계정 페이지로 이동합니다.
AWS 계정 추가 페이지에서 기존 AWS 계정 초대를 선택합니다.
12자리 계정 번호(대시 제외)와 선택 사항으로 설명 및 태그를 포함한 계정 정보를 작성한 다음 초대 보내기를 선택합니다.

중요: 계정 이전으로 인해 애플리케이션 또는 네트워크 연결이 영향을 받지 않는지 확인하십시오.

이 작업을 수행하면 멤버 계정 링크가 포함된 초대 이메일이 전송됩니다. 계정 관리자가 링크를 따라 초대를 수락하면 계정 페이지에 멤버 AWS 계정이 나타납니다. 자세한 내용은 AWS Organizations 설명서의 조직에 가입하기 위한 AWS 계정 초대를 참조하세요.

AWS Control Tower 관리자

애플리케이션 및 연결성을 테스트합니다.

멤버 계정이 새 조직에 등록되면 루트 내 OU에 표시됩니다. AWS 또한 Control Tower 콘솔에도 계정이 아직 AWS Control Tower 등록 OU에 등록되지 않았기 때문에 계정에 등록되지 않은 것으로 플래그가 지정되어 나타납니다.

다음을 확인합니다.

AWS Control Tower 대시보드에서 가드레일 위반이 있는지 확인합니다.
네트워크 연결(VPN 또는 AWS Direct Connect)을 확인하여 전송의 영향을 받지 않았는지 확인합니다.
(애플리케이션 소유자) 이 계정과 연결된 애플리케이션을 테스트하여 예상대로 실행되는지, 계정 이전으로 인해 종속성이 영향을 받지 않았는지 확인합니다.

AWS Control Tower 관리자, 멤버 계정 관리자, 애플리케이션 소유자

작업	설명	필요한 기술
가드레일을 검토하고 위반 사항을 수정하십시오.	대상 OU에 정의된 가드레일, 특히 예방적 가드레일을 검토하고 위반 사항을 수정하십시오. AWS Control Tower 랜딩 영역을 설정할 때 기본적으로 여러 가지 필수 예방 가드레일이 활성화됩니다. 비활성화할 수 없습니다. 계정을 등록하기 전에 이러한 필수 가드레일을 검토하고 멤버 계정을 (수동으로 또는 스크립트를 사용하여) 수정해야 합니다. 참고: 예방적 가드레일은 AWS Control Tower 등록 계정을 준수하고 정책 위반을 방지합니다. 예방 가드레일을 위반하면 등록에 영향을 미칠 수 있습니다. 탐지된 가드레일 위반은 등록 성공 후 탐지된 경우 AWS Control Tower 대시보드에 표시됩니다. 등록 프로세스에는 영향을 주지 않습니다. 자세한 내용은 AWS 설명서의 AWS Control Tower의 Guardrails를 참조하세요.	AWS Control Tower 관리자, 멤버 계정 관리자
가드레일 위반을 수정한 후 연결 문제를 확인하십시오.	가드레일 위반을 수정하기 위해 특정 포트를 닫거나 서비스를 비활성화해야 하는 경우도 있습니다. 계정을 등록하기 전에 해당 포트 및 서비스를 사용하는 애플리케이션을 수정해야 합니다.	애플리케이션 소유자

작업

설명

필요한 기술

가드레일을 검토하고 위반 사항을 수정하십시오.

대상 OU에 정의된 가드레일, 특히 예방적 가드레일을 검토하고 위반 사항을 수정하십시오.

AWS Control Tower 랜딩 영역을 설정할 때 기본적으로 여러 가지 필수 예방 가드레일이 활성화됩니다. 비활성화할 수 없습니다. 계정을 등록하기 전에 이러한 필수 가드레일을 검토하고 멤버 계정을 (수동으로 또는 스크립트를 사용하여) 수정해야 합니다.

참고: 예방적 가드레일은 AWS Control Tower 등록 계정을 준수하고 정책 위반을 방지합니다. 예방 가드레일을 위반하면 등록에 영향을 미칠 수 있습니다. 탐지된 가드레일 위반은 등록 성공 후 탐지된 경우 AWS Control Tower 대시보드에 표시됩니다. 등록 프로세스에는 영향을 주지 않습니다. 자세한 내용은 AWS 설명서의 AWS Control Tower의 Guardrails를 참조하세요.

AWS Control Tower 관리자, 멤버 계정 관리자

가드레일 위반을 수정한 후 연결 문제를 확인하십시오.

가드레일 위반을 수정하기 위해 특정 포트를 닫거나 서비스를 비활성화해야 하는 경우도 있습니다. 계정을 등록하기 전에 해당 포트 및 서비스를 사용하는 애플리케이션을 수정해야 합니다.

애플리케이션 소유자

작업	설명	필요한 기술
AWS Control Tower 콘솔에 로그인합니다.	AWS Control Tower에 대한 관리 권한이 있는 로그인 보안 인증 정보를 사용합니다. 루트 사용자(관리 계정) 자격 증명을 사용하여 AWS Organizations 계정을 등록하지 마십시오. 그러면 오류 메시지가 표시됩니다.	AWS Control Tower 관리자
계정을 등록하십시오.	AWS Control Tower의 Account Factory 페이지에서 계정 등록을 선택합니다. 등록하려는 계정과 연결된 이메일 주소, AWS Control Tower에 표시될 표시 이름, IAM Identity Center 이메일 주소, 계정 소유자의 이름과 성, 계정을 등록하려는 OU를 포함하여 세부 정보를 입력합니다. IAM Identity Center 이메일 주소는 선호하는 사용자 이메일 주소입니다. 계정 이메일과 동일한 이메일 주소를 사용할 수 있습니다. 계정 등록을 선택합니다. 자세한 내용은 AWS Control Tower 설명서의 기존 계정 등록을 참조하세요.	AWS Control Tower 관리자

작업	설명	필요한 기술
계정을 확인하십시오.	AWS Control Tower에서 계정 을 선택합니다. 방금 등록한 계정의 초기 상태는 등록 중입니다. 등록이 완료되면 상태가 등록됨으로 변경됩니다.	AWS Control Tower 관리자, 멤버 계정 관리자
가드레일 위반 여부를 확인하십시오.	OU에 정의된 가드레일은 등록된 멤버 계정에 자동으로 적용됩니다. AWS Control Tower 대시보드의 위반 여부를 모니터링하고 그에 따라 수정합니다. 자세한 내용은 AWS 설명서의 AWS Control Tower의 Guardrails를 참조하세요.	AWS Control Tower 관리자, 멤버 계정 관리자

문제 해결

문제	Solution
다음과 같은 오류 메시지가 나타납니다. 알 수 없는 오류가 발생했습니다. 나중에 다시 시도하거나 AWS 지원팀에 문의하세요.	이 오류는 AWS Control Tower에서 루트 사용자 자격 증명(관리 계정)을 사용하여 새 계정을 등록할 때 발생합니다. AWS 서비스 카탈로그는 계정 팩토리 포트폴리오 또는 제품을 루트 사용자에게 매핑할 수 없으므로 오류 메시지가 표시됩니다. 이 오류를 해결하려면 루트가 아닌 전체 액세스 권한을 가진 사용자(관리자) 보안 인증을 사용하여 새 계정을 등록하십시오. 관리 사용자에게 관리 액세스 권한을 할당하는 방법에 대한 자세한 내용은 AWS IAM Identity Center(AWSSingle Sign-On 후속) 설명서의 시작하기를 참조하세요.
AWS Control Tower 작업 페이지에는 재앙적 드리프트 가져오기 작업이 표시됩니다.	이 작업은 서비스의 드리프트 확인을 반영하며 AWS Control Tower 설정과 관련된 문제를 나타내지 않습니다. 아무 조치도 필요하지 않습니다.

문제

Solution

다음과 같은 오류 메시지가 나타납니다. 알 수 없는 오류가 발생했습니다. 나중에 다시 시도하거나 AWS 지원팀에 문의하세요.

이 오류는 AWS Control Tower에서 루트 사용자 자격 증명(관리 계정)을 사용하여 새 계정을 등록할 때 발생합니다. AWS 서비스 카탈로그는 계정 팩토리 포트폴리오 또는 제품을 루트 사용자에게 매핑할 수 없으므로 오류 메시지가 표시됩니다. 이 오류를 해결하려면 루트가 아닌 전체 액세스 권한을 가진 사용자(관리자) 보안 인증을 사용하여 새 계정을 등록하십시오. 관리 사용자에게 관리 액세스 권한을 할당하는 방법에 대한 자세한 내용은 AWS IAM Identity Center(AWSSingle Sign-On 후속) 설명서의 시작하기를 참조하세요.

AWS Control Tower 작업 페이지에는 재앙적 드리프트 가져오기 작업이 표시됩니다.

이 작업은 서비스의 드리프트 확인을 반영하며 AWS Control Tower 설정과 관련된 문제를 나타내지 않습니다. 아무 조치도 필요하지 않습니다.