2021년 1월 - 12월 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

2021년 1월 - 12월

2021년, AWS Control Tower는 다음과 같은 업데이트를 출시했습니다.

지역 거부 기능

2021년 11월 30일

(AWSControl Tower 랜딩 존은 업데이트가 필요하지 않습니다.)

AWSControl Tower는 이제 액세스를 제한하는 데 도움이 되는 지역 거부 기능을 제공합니다. AWS AWSControl Tower 환경에 등록된 계정을 위한 서비스 및 운영 지역 거부 기능은 Control AWS Tower의 기존 지역 선택 및 지역 선택 취소 기능을 보완합니다. 이러한 기능을 함께 사용하면 규정 준수 및 규제 문제를 해결하는 동시에 추가 지역으로의 확장과 관련된 비용의 균형을 맞출 수 있습니다.

예: AWS 독일 고객은 다음 항목에 대한 액세스를 거부할 수 있습니다. AWS 프랑크푸르트 지역 외 지역의 서비스. AWSControl Tower 설정 과정에서 또는 랜딩 존 설정 페이지에서 제한 지역을 선택할 수 있습니다. 지역 거부 기능은 AWS Control Tower 랜딩 존 버전을 업데이트할 때 사용할 수 있습니다. Select AWS 서비스는 지역 거부 기능에서 제외됩니다. 자세한 내용은 지역 거부 제어 구성을 참조하십시오.

데이터 레지던시 기능

2021년 11월 30일

(AWSControl Tower 랜딩 존은 업데이트 필요 없음)

AWSControl Tower는 이제 모든 고객 데이터를 업로드할 수 있도록 특별히 설계된 제어 기능을 제공합니다. AWS 서비스는 다음 지역에만 있습니다. AWS 지정한 지역. 다음을 선택할 수 있습니다. AWS 고객 데이터가 저장되고 처리되는 지역 또는 지역. 전체 목록은 다음과 같습니다. AWS AWSControl Tower를 사용할 수 있는 지역은 다음을 참조하십시오. AWS 지역 표.

세분화된 제어를 위해 Amazon 가상 사설망 (VPN) 연결 허용 안 함 또는 Amazon 인스턴스에 대한 인터넷 액세스 금지 등의 추가 제어를 적용할 수 있습니다. VPC AWSControl Tower 콘솔에서 제어의 규정 준수 상태를 볼 수 있습니다. 사용 가능한 컨트롤의 전체 목록은 AWSControl Tower 컨트롤 라이브러리를 참조하십시오.

AWSControl Tower는 Terraform 계정 프로비저닝 및 사용자 정의를 소개합니다.

2021년 11월 29일

(AWSControl Tower 랜딩 존에 대한 선택적 업데이트)

이제 Terraform을 사용하여 Control Tower Account Factory for Terraform () 과 함께 AWS 컨트롤 타워를 통해 사용자 지정 계정을 프로비저닝하고 업데이트할 수 있습니다. AWS AFT

AFTControl AWS Tower에서 관리하는 계정을 프로비저닝하는 단일 Terraform 인프라 (IaC) 파이프라인을 제공합니다. 프로비저닝 중에 사용자 지정하면 최종 사용자에게 계정을 제공하기 전에 비즈니스 및 보안 정책을 충족하는 데 도움이 됩니다.

AFT자동 계정 생성 파이프라인은 계정 프로비저닝이 완료될 때까지 모니터링한 다음 계속 진행하여 필요한 사용자 지정으로 계정을 향상시키는 추가 Terraform 모듈을 트리거합니다. 사용자 지정 프로세스의 추가 부분으로 사용자 지정 Terraform 모듈을 설치하도록 파이프라인을 구성하고 에서 제공하는 기능 옵션을 추가하도록 선택할 수 있습니다. AFT AWS 일반적인 사용자 지정용.

AWSControl Tower 사용 설명서에 제공된 단계를 따르고 Terraform 인스턴스용으로 다운로드하여 AFT Terraform용 AWS Control Tower Account Factory를 시작하세요. 테라폼용 AWS Control Tower Account Factory 배포하기 () AFT AFT테라폼 클라우드, 테라폼 엔터프라이즈, 테라폼 오픈소스 배포판을 지원합니다.

새로운 라이프사이클 이벤트 제공

2021년 11월 18일

(AWSControl Tower 랜딩 존은 업데이트 필요 없음)

PrecheckOrganizationalUnit이벤트는 OUs 중첩된 리소스를 포함하여 거버넌스 확장 작업의 성공을 가로막는 리소스가 있는지 여부를 기록합니다. 자세한 내용은 PrecheckOrganizationalUnit 단원을 참조하십시오.

AWSControl Tower는 중첩을 가능하게 합니다 OUs

2021년 11월 16일

(AWSControl Tower 랜딩 존은 업데이트 필요 없음)

AWS이제 Control Tower를 사용하여 중첩을 랜딩 존의 OUs 일부로 포함할 수 있습니다.

AWSControl Tower는 중첩된 조직 단위 (OUs) 를 지원하므로 계정을 여러 계층 수준으로 구성하고 예방 제어를 계층적으로 적용할 수 있습니다. 중첩된 OU를 OUs 포함하여 등록하고OUs, 상위 OUs OU에서 생성 및 등록하고OUs, 깊이에 관계없이 등록된 모든 OU에서 제어를 활성화할 수 있습니다. 이 기능을 지원하기 위해 콘솔에는 관리되는 계정 수와 가 표시됩니다. OUs

OUs중첩을 사용하면 AWS Control OUs Tower를 다음과 같이 정렬할 수 있습니다. AWS 다중 계정 전략을 사용하면 상위 OU 수준에서 제어를 적용함으로써 여러 OUs 계정에 대한 제어를 활성화하는 데 필요한 시간을 줄일 수 있습니다.

주요 고려 사항
  1. AWSControl Tower에는 최상위 OU부터 시작하여 트리 아래로 내려가는 방식으로 한 번에 한 OU씩 기존의 다중 레벨을 OUs 등록할 수 있습니다. 자세한 내용은 플랫 OU 구조에서 중첩된 OU 구조로 확장 단원을 참조하십시오.

  2. 등록된 OU 바로 아래에 있는 계정은 자동으로 등록됩니다. 트리 아래에 있는 계정은 직계 부모 OU를 등록하여 등록할 수 있습니다.

  3. 예방 제어 (SCPs) 는 자동으로 계층 아래로 상속되고, 부모에 SCPs 적용된 항목은 중첩된 모든 사람에게 상속됩니다. OUs

  4. Detective 컨트롤 (AWS Config 규칙) 은 자동으로 NOT 상속됩니다.

  5. 탐지 제어 규정 준수는 각 OU에서 보고합니다.

  6. SCPOU의 드리프트는 OU에 속한 모든 계정과 OUs OU에 영향을 미칩니다.

  7. 보안 OU (Core OU) OUs 아래에 새 중첩을 만들 수 없습니다.

Detective Control 동시성

2021년 11월 5일

(AWSControl Tower 랜딩 존에 대한 선택적 업데이트)

AWSControl Tower 탐정 제어는 이제 탐정 제어의 동시 운영을 지원하여 사용 편의성과 성능을 개선합니다. 개별 제어 작업이 완료될 때까지 기다릴 필요 없이 여러 탐정 제어를 활성화할 수 있습니다.

지원되는 기능:
  • 동일한 OU에서 다양한 탐지 제어를 활성화합니다 (예: 루트 사용자의 활성화 여부 감지 및 Amazon S3 버킷에 MFA 대한 공개 쓰기 액세스 허용 여부 감지).

  • 서로 다른 탐지 제어를 동시에 활성화하십시오. OUs

  • 지원되는 제어 동시 실행 작업에 대한 추가 지침을 제공하도록 가드레일 오류 메시지가 개선되었습니다.

이번 릴리즈에서는 지원되지 않음:
  • 여러 개의 탐정 제어를 동시에 활성화하는 것은 OUs 지원되지 않습니다.

  • 예방 제어 동시성은 지원되지 않습니다.

모든 버전의 AWS Control Tower에서 탐정 제어 동시성 개선을 경험할 수 있습니다. 현재 버전 2.7을 사용하지 않는 고객은 Landing Zone 업데이트를 수행하여 최신 버전에서 사용할 수 있는 지역 선택 및 선택 취소와 같은 다른 기능을 활용하는 것이 좋습니다.

두 개의 새 지역을 이용할 수 있습니다.

2021년 7월 29일

(AWSControl Tower 랜딩 존은 업데이트 필요)

AWS이제 Control Tower를 두 개에서 추가로 사용할 수 있습니다. AWS 지역: 남미 (상파울루), 유럽 (파리). 이 업데이트는 AWS Control Tower 가용성을 15개로 확장합니다. AWS 지역.

AWSControl Tower를 처음 사용하는 경우 지원되는 모든 지역에서 바로 실행할 수 있습니다. 출시 과정에서 AWS Control Tower가 다중 계정 환경을 구축하고 관리할 지역을 선택할 수 있습니다.

이미 AWS Control Tower 환경이 있고 하나 이상의 지원되는 지역에서 AWS Control Tower 거버넌스 기능을 확장하거나 제거하려면 AWS Control Tower 대시보드의 랜딩 존 설정 페이지로 이동한 다음 지역을 선택하세요. 랜딩 존을 업데이트한 후에는 AWS Control Tower가 관리하는 모든 계정을 업데이트해야 합니다.

지역 선택 취소

2021년 7월 29일

(AWSControl Tower 랜딩 존에 대한 선택적 업데이트)

AWSControl Tower 지역을 선택 취소하면 AWS Control Tower 리소스의 지리적 위치를 관리하는 능력이 향상됩니다. AWSControl Tower에서 더 이상 관리하지 않으려는 지역은 선택 취소할 수 있습니다. 이 기능을 사용하면 규정 준수 및 규제 문제를 해결하는 동시에 추가 지역으로의 확장과 관련된 비용의 균형을 맞출 수 있습니다.

지역 선택 취소는 AWS Control Tower 랜딩 존 버전을 업데이트할 때 사용할 수 있습니다.

Account Factory를 사용하여 새 계정을 만들거나 기존 구성원 계정을 등록하거나 Extend Governance (거버넌스 확장) 를 선택하여 기존 조직 단위에 계정을 등록하는 경우 Control Tower는 계정의 선택한 지역에 중앙 집중식 로깅, 모니터링 및 AWS 제어를 포함하는 거버넌스 기능을 배포합니다. 지역을 선택 취소하고 해당 지역에서 AWS Control Tower 거버넌스를 제거하면 해당 거버넌스 기능이 제거되지만 사용자의 배포 기능이 제한되지는 않습니다. AWS 해당 지역에 대한 리소스 또는 워크로드.

AWSControl Tower는 다음과 함께 작동합니다. AWS 키 관리 시스템

2021년 7월 28일

(AWSControl Tower 랜딩 존에 대한 선택적 업데이트)

AWSControl Tower는 다음을 사용할 수 있는 옵션을 제공합니다. AWS 키 관리 서비스 (AWS KMS) 키. AWSControl Tower가 배포하는 서비스를 보호하기 위해 사용자가 키를 제공하고 관리합니다. 여기에는 다음이 포함됩니다. AWS CloudTrail, AWS Config, 및 관련 Amazon S3 데이터 AWS KMS암호화는 AWS Control Tower가 기본적으로 사용하는 SSE -S3 암호화보다 향상된 수준의 암호화입니다.

통합: AWS KMSAWSControl Tower에 대한 지원은 다음과 같습니다. AWS 기본 보안 모범 사례: 민감한 로그 파일에 대한 추가 보안 계층을 권장합니다. 다음을 사용해야 합니다. AWS KMS—저장 시 암호화를 위한 관리 키 (SSE-KMS). AWS KMS암호화 지원은 새 랜딩 존을 설정하거나 기존 AWS Control Tower 랜딩 존을 업데이트할 때 사용할 수 있습니다.

이 기능을 구성하려면 초기 랜딩 존 설정 중에 KMS키 구성을 선택하면 됩니다. 기존 KMS 키를 선택하거나 다음으로 이동하도록 안내하는 버튼을 선택할 수 있습니다. AWS KMS콘솔을 사용하여 새 계정을 만드세요. 또한 기본 암호화에서 - 또는 다른 SSE SSE - KMS KMS 키로 유연하게 변경할 수 있습니다.

기존 AWS Control Tower 랜딩 존의 경우 업데이트를 수행하여 사용을 시작할 수 있습니다. AWS KMS키.

컨트롤 이름 변경, 기능 변경 없음

2021년 7월 26일

(AWSControl Tower 랜딩 존은 업데이트 필요 없음)

AWSControl Tower는 규제 기관의 정책 의도를 더 잘 반영하기 위해 특정 규제 명칭 및 설명을 수정하고 있습니다. 수정된 이름 및 설명을 통해 컨트롤이 계정의 정책을 구현하는 방식을 보다 직관적으로 이해할 수 있습니다. 예를 들어 탐정 제어 항목 자체가 특정 작업을 중지하지 않고 정책 위반만 탐지하고 대시보드를 통해 경고를 제공하기 때문에 탐정 제어 항목의 이름을 “Disallow”에서 “Detect”로 일부 변경했습니다.

제어 기능, 지침 및 구현은 변경되지 않았습니다. 컨트롤 이름과 설명만 수정되었습니다.

AWSControl Tower는 SCPs 매일 스캔하여 드리프트를 확인합니다.

2021년 5월 11일

(AWSControl Tower 랜딩 존은 업데이트 필요 없음)

AWS이제 Control Tower는 관리자에 대해 매일 자동 SCPs 스캔을 수행하여 해당 제어가 올바르게 적용되고 표류하지 않았는지 확인합니다. 스캔 결과 드리프트가 발견되면 알림을 받게 됩니다. AWSControl Tower는 드리프트 문제당 하나의 알림만 전송하므로, 랜딩 존이 이미 드리프트 상태에 있는 경우 새 드리프트 항목이 발견되지 않는 한 추가 알림을 받지 않습니다.

사용자 지정 이름 및 계정 OUs

2021년 4월 16일

(AWSControl Tower 랜딩 존은 업데이트 필요 없음)

AWS이제 Control Tower에서 랜딩 존 이름을 사용자 지정할 수 있습니다. AWSControl Tower가 조직 단위 (OUs) 및 핵심 계정에 대해 권장하는 이름을 그대로 유지하거나 초기 landing zone 설정 프로세스 중에 이러한 이름을 수정할 수 있습니다.

AWSControl Tower가 계정 OUs 및 핵심 계정에 제공하는 기본 이름은 다음과 같습니다. AWS 다중 계정 모범 사례 지침. 그러나 회사에 특정 이름 지정 정책이 있거나 동일한 권장 이름을 가진 기존 OU 또는 계정이 이미 있는 경우 새 OU 및 계정 이름 지정 기능을 사용하면 이러한 제약 조건을 유연하게 해결할 수 있습니다.

설치 중 워크플로가 변경되는 것과는 별도로 이전에 Core OU로 알려졌던 OU는 이제 보안 OU라고 하며, 이전에 사용자 지정 OU로 알려졌던 OU는 이제 샌드박스 OU라고 합니다. 전반적인 상황에 맞게 조정하기 위해 이러한 변경을 적용했습니다. AWS 네이밍 모범 사례 지침.

신규 고객에게는 이러한 새 OU 이름이 표시됩니다. 기존 고객에게는 이러한 원래 이름이 계속 표시됩니다OUs. 설명서를 새 이름으로 업데이트하는 동안 OU 이름 지정에 일부 불일치가 발생할 수 있습니다.

AWSControl Tower를 시작하려면 다음을 참조하십시오. AWS 관리 콘솔에서 AWS Control Tower 콘솔로 이동하여 오른쪽 상단에서 랜딩 존 설정을 선택합니다. 자세한 내용은 AWS Control Tower 랜딩 존 계획에 대해 읽어보세요.

AWSControl Tower 랜딩 존 버전 2.7

2021년 4월 8일

(AWSControl Tower landzone을 버전 2.7로 업데이트하려면 업데이트가 필요합니다. 자세한 내용은 을 참조하십시오랜딩 영역 업데이트.

AWSControl Tower 버전 2.7부터 AWS Control Tower에는 Control Tower 리소스에만 정책을 구현하는 네 가지 새로운 필수 예방적 로그 아카이브 AWS 제어 기능이 도입되었습니다. Control Tower 외부 리소스에 대한 정책을 설정하기 때문에 기존 Log Archive AWS 제어 항목 4개에 대한 지침을 필수 항목에서 선택 항목으로 조정했습니다. 이러한 제어 변경 및 확장은 Control Tower 내 리소스에 대한 Log Archive 거버넌스를 AWS Control Tower 외부의 리소스 거버넌스와 분리할 수 있는 기능을 제공합니다. AWS

변경된 네 가지 제어 항목을 새로운 필수 제어 항목과 함께 사용하여 더 광범위한 범위에 거버넌스를 제공할 수 있습니다. AWS 로그 아카이브. 기존 AWS Control Tower 환경에서는 환경 일관성을 위해 이러한 네 가지 변경된 제어 기능을 자동으로 활성화하지만 이제 이러한 선택적 제어를 비활성화할 수 있습니다. 새로운 AWS Control Tower 환경에서는 모든 선택적 제어가 가능해야 합니다. Control AWS Tower에서 배포하지 않은 Amazon S3 버킷에 암호화를 추가하기 전에 기존 환경에서는 이전의 필수 제어를 비활성화해야 합니다.

새로운 필수 제어 항목:
  • 로그 아카이브에 있는 AWS Control Tower 생성 S3 버킷의 암호화 구성 변경을 허용하지 않음

  • 로그 아카이브에서 AWS Control Tower에서 생성한 S3 버킷의 로깅 구성 변경을 허용하지 않음

  • 로그 아카이브에 있는 AWS Control Tower 생성 S3 버킷에 대한 버킷 정책 변경 금지

  • 로그 아카이브에 있는 AWS Control Tower 생성 S3 버킷의 수명 주기 구성 변경을 허용하지 않음

지침이 필수에서 선택으로 변경되었습니다.
  • 모든 Amazon S3 버킷의 암호화 구성 변경 금지 [이전: 로그 아카이브에 대해 저장 중 암호화 활성화]

  • 모든 Amazon S3 버킷의 로깅 구성 변경 금지 [이전: 로그 아카이브에 대한 액세스 로깅 활성화]

  • 모든 Amazon S3 버킷의 버킷 정책 변경 금지 [이전: 로그 아카이브에 대한 정책 변경 금지]

  • 모든 Amazon S3 버킷의 수명 주기 구성 변경 금지 [이전: 로그 아카이브에 대한 보존 정책 설정]

AWSControl Tower 버전 2.7에는 2.7로 업그레이드한 후 이전 버전과 호환되지 않을 수 있는 AWS Control Tower 랜딩 존 블루프린트의 변경 사항이 포함되어 있습니다.

  • 특히 AWS Control Tower 버전 2.7에서는 AWS Control Tower에서 배포한 S3 버킷에서 BlockPublicAccess 자동으로 사용할 수 있습니다. 워크로드에 계정 간 액세스가 필요한 경우 이 기본값을 끌 수 있습니다. BlockPublicaccess활성화된 상태에서 어떤 일이 발생하는지에 대한 자세한 내용은 Amazon S3 스토리지에 대한 퍼블릭 액세스 차단을 참조하십시오.

  • AWSControl Tower 버전 2.7에는 에 대한 HTTPS 요구 사항이 포함되어 있습니다. AWSControl Tower에서 배포한 S3 버킷으로 전송되는 모든 요청은 보안 소켓 계층 (SSL) 을 사용해야 합니다. HTTPS요청만 전달할 수 있습니다. 엔드포인트로 HTTP (사용하지 않고SSL) 요청을 보내는 경우 이 변경으로 인해 액세스 거부 오류가 발생하여 워크플로가 중단될 수 있습니다. 이 변경 사항은 landing Zone을 2.7로 업데이트한 후에는 되돌릴 수 없습니다.

    TLS대신 사용하도록 요청을 변경하는 것이 좋습니다. HTTP

세 가지 신규 AWS 사용 가능한 리전

2021년 4월 8일

(AWSControl Tower 랜딩 존은 업데이트 필요)

AWSControl Tower는 세 가지 추가 버전으로 제공됩니다. AWS 지역: 아시아 태평양 (도쿄) 지역, 아시아 태평양 (서울) 지역, 아시아 태평양 (뭄바이) 지역. 이러한 지역으로 거버넌스를 확장하려면 Landing Zone을 버전 2.7로 업데이트해야 합니다.

버전 2.7로 업데이트할 때 랜딩 존이 해당 지역으로 자동으로 확장되지 않으므로 포함하려면 Regions 테이블에서 랜딩 존을 확인하고 선택해야 합니다.

일부 지역만 관리하세요.

2021년 2월 19일

(AWSControl Tower 랜딩 존은 업데이트 필요 없음)

AWSControl Tower 지역 선택은 AWS Control Tower 리소스의 지리적 위치를 더 잘 관리할 수 있는 기능을 제공합니다. 호스팅하는 지역의 수를 늘리려면 AWS 리소스 또는 워크로드 (규정 준수, 규제, 비용 또는 기타 이유로) 이제 관리할 추가 지역을 선택할 수 있습니다.

새 랜딩 존을 설정하거나 AWS Control Tower 랜딩 존 버전을 업데이트할 때 지역을 선택할 수 있습니다. Account Factory를 사용하여 새 계정을 만들거나 기존 구성원 계정을 등록하거나 Extend Governance (Extend Governance) 를 사용하여 기존 조직 단위에 계정을 등록하는 경우 AWS Control Tower는 계정 내 선택한 지역에 중앙 집중식 로깅, 모니터링 및 제어 기능을 배포합니다. 지역 선택에 대한 자세한 내용은 을 참조하십시오. AWS Control Tower 리전 구성

AWSControl Tower는 이제 거버넌스를 기존 기업 내부로 확장합니다OUs. AWS organizations

2021년 1월 28일

(AWSControl Tower 랜딩 존은 업데이트 필요 없음)

Control Tower 콘솔 내에서 기존 조직 단위 (OUs) (AWSControl Tower에 없는 조직) 로 거버넌스를 확장하세요. AWS 이 기능을 사용하면 최상위 계정 OUs 및 포함된 계정을 AWS Control Tower 관리 하에 둘 수 있습니다. 거버넌스를 전체 OU로 확장하는 방법에 대한 자세한 내용은 을 참조하십시오. AWS Control Tower에 기존 조직 단위 등록

OU를 등록하면 AWS Control Tower는 OU 내에서 거버넌스를 성공적으로 확장하고 계정을 등록할 수 있도록 일련의 검사를 수행합니다. OU의 초기 등록과 관련된 일반적인 문제에 대한 자세한 내용은 을 참조하십시오. 등록 또는 재등록 중 장애의 일반적인 원인

AWSControl Tower 제품 웹 페이지를 방문하거나 Control YouTube Tower를 시작하는 AWS 방법에 대한 이 비디오를 방문하여 시청할 수도 있습니다. AWS Organizations.

AWSControl Tower는 대량 계정 업데이트를 제공합니다

2021년 1월 28일

(AWSControl Tower 랜딩 존은 업데이트 필요 없음)

대량 업데이트 기능을 사용하면 이제 등록된 계정의 모든 계정을 업데이트할 수 있습니다. AWS Organizations AWSControl Tower 대시보드에서 클릭 한 번으로 최대 300개의 계정을 포함하는 조직 구성 단위 (OU) 이는 AWS Control Tower 랜딩 존을 업데이트하고 등록된 계정을 현재 랜딩 존 버전에 맞게 업데이트해야 하는 경우에 특히 유용합니다.

또한 이 기능을 사용하면 Control Tower 랜딩 존을 업데이트하여 새 지역으로 확장하거나 OU를 재등록하여 해당 OU의 모든 계정에 최신 AWS 제어 기능이 적용되도록 할 때 계정을 최신 상태로 유지할 수 있습니다. 대량 계정 업데이트를 사용하면 한 번에 하나의 계정을 업데이트하거나 외부 스크립트를 사용하여 여러 계정에서 업데이트를 수행할 필요가 없습니다.

착륙 영역 업데이트에 대한 자세한 내용은 을 참조하십시오랜딩 영역 업데이트.

OU 등록 또는 재등록에 대한 자세한 내용은 을 참조하십시오AWS Control Tower에 기존 조직 단위 등록.