View a markdown version of this page

계정을 다른 조직으로 이전 - AWS Control Tower란
사전 조건1단계: AWS Control Tower에서 계정 등록 취소2단계: 대상 조직으로 계정 이전3단계: 대상 조직에 계정 등록추가 고려 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

계정을 다른 조직으로 이전

AWS Control Tower에 등록된 멤버 계정을 다른 AWS Organizations 조직으로 이전할 수 있습니다.

사전 조건

  • 계정은 소스 조직의 AWS Control Tower에 등록되어야 합니다. 즉, 계정에는 기준, 사전 예방적 제어 또는 탐지 제어가 적용됩니다.

  • 이전하기 최소 4일 전에 계정이 생성되어야 합니다.

  • 소스 및 대상 조직 모두의 관리 계정에 액세스할 수 있어야 합니다.

1단계: AWS Control Tower에서 계정 등록 취소

계정을 이전하기 전에 계정에 직접 적용된 모든 AWS Control Tower 리소스를 비활성화해야 합니다. 계정은 예방 제어를 계속 상속할 수 있습니다.

자동 등록을 사용하는 경우

계정을 다음 위치 중 하나로 이동합니다.

  • 조직의 루트

  • 비관리형 OU

  • 랜딩 존 4.0 이상에서는 예방 제어만 활성화된 OU

자동 등록을 사용하지 않는 경우

자동 등록을 사용하는 경우 아래 방법도 사용할 수 있습니다.

  • AWS Control Tower 및 백업 기준이 있는 계정의 경우 AWS Control Tower 콘솔에서 관리 취소를 선택합니다. AWS Service Catalog APIs.

  • AWS Config 기준이 있는 계정의 경우 OU에서 AWS Config 기준을 비활성화하거나 계정을 루트로 이동하고 DisableBaseline API를 사용합니다.

2단계: 대상 조직으로 계정 이전

예방 제어 이외의 계정에 적용된 모든 AWS Control Tower 기준 및 제어가 비활성화된 후 전송을 완료합니다.

  1. 대상 조직의 관리 계정에서 멤버 계정으로 초대를 보냅니다.

  2. 멤버 계정의 초대를 수락합니다.

  3. 대상 조직의 관리 계정에서 계정을 원하는 OU로 이동합니다.

마이그레이션 프로세스에 대한 지침은 AWS Organizations 사용 설명서다른 조직으로 AWS 계정 마이그레이션을 참조하세요.

3단계: 대상 조직에 계정 등록

계정이 대상 조직에 속해 있으면 AWS Control Tower에 등록합니다.

  • 대상 조직을 관리하는 AWS Control Tower 랜딩 존에서 자동 등록이 활성화된 경우 AWS Control Tower는 계정에 기준 및 제어를 자동으로 적용합니다.

  • 대상 조직에서 자동 등록을 사용하지 않는 경우 AWS Control Tower에 계정을 수동으로 등록합니다. 자세한 내용은 기존 계정 등록 정보 단원을 참조하십시오.

추가 고려 사항

대기 기간

AWS Organizations 또는 Account Factory를 통해 생성된 계정은 이전하거나 조직에서 제거하려면 최소 4일 이전이어야 합니다. 자세한 내용은 AWS Organizations 사용 설명서조직에서 멤버 계정 제거를 참조하세요.

AWS Config 애그리게이터 제한

여러 계정을 이전할 때 모든 집계자(1,000)에 대해 매주 추가되거나 삭제되는 최대 계정 수에 대한 AWS Config 한도에 도달할 수 있습니다. 한도 증가를 요청하려면 AWS 구성 서비스 한도를 참조하세요. 서비스 연결 Config 애그리게이터를 사용하는 랜딩 존 버전 4.0으로 업그레이드할 수도 있습니다. 자세한 내용은 AWS 랜딩 존 버전 4.0의 Config 업데이트를 참조하세요.

멤버 계정 액세스

등록되지 않은 계정에는 AWSControlTowerExecution 역할이 없습니다. Config 또는 AWS Control Tower 기준을 비활성화하면 AWS Control Tower가 실행 역할을 삭제하고를 추가합니다OrganizationsAccountAccessRole. 이 역할을 사용하여 대상 조직에 대한 초대를 수락할 수 있습니다.

계정이 대상 조직에 등록되면 AWSControlTowerExecution 역할이 생성됩니다. 이 역할은를 대체OrganizationsAccountAccessRole하고 새 관리 계정을 신뢰합니다.

AWS 서비스 카탈로그 및 자동 등록

자동 등록은 AWS Service Catalog의 리소스에 대해 작동하지 않습니다. Account Factory 프로비저닝 제품은 기본 계정이 등록되지 않은 경우에도 관리 계정에 남아 있습니다. 관리 계정에서 이러한 프로비저닝된 제품을 종료하려면 AWS Service Catalog 사용 설명서프로비저닝된 제품 삭제를 참조하세요. 모든 Account Factory Customization(AFC) 블루프린트는 계정에 남아 있습니다.