연습: VPC 없이 AWS Control Tower 구성 - AWS Control Tower
AWS Control Tower VPC 삭제 AWS Control Tower에서 VPC 없이 계정 생성

연습: VPC 없이 AWS Control Tower 구성

이 주제는 VPC 없이 AWS Control Tower 계정을 구성하는 방법을 안내합니다.

워크로드에 VPC가 필요하지 않은 경우 다음을 수행할 수 있습니다.

  • AWS Control Tower 가상 프라이빗 클라우드(VPC)를 삭제할 수 있습니다. 이 VPC는 랜딩 존을 설정할 때 생성됩니다.

  • 새 AWS Control Tower 계정이 연결된 VPC 없이 생성되도록 Account Factory 설정을 변경할 수 있습니다.

중요

VPC 인터넷 액세스 설정이 활성화된 Account Factory 계정을 프로비저닝하면 해당 Account Factory 설정이 고객이 관리하는 Amazon VPC 인스턴스에 대한 인터넷 액세스 허용 안 함 제어를 재정의합니다. 새로 프로비저닝된 계정에 대한 인터넷 액세스를 활성화하지 않으려면 Account Factory에서 설정을 변경해야 합니다.

AWS Control Tower VPC 삭제

AWS Control Tower 외부의 모든 AWS 고객에게는 https://console.aws.amazon.com/vpc/에서 Amazon Virtual Private Cloud(Amazon VPC) 콘솔에서 볼 수 있는 기본 VPC가 있습니다. 기본 VPC의 이름에는 이름 끝 부분에 항상 (default)라는 단어가 포함되므로 기본 VPC를 인식할 수 있습니다.

AWS Control Tower 랜딩 존을 설정하면, AWS Control Tower가 AWS 기본 VPC를 삭제하고 새 AWS Control Tower 기본 VPC를 생성합니다. 새 VPC는 AWS Control Tower 관리 계정과 연결됩니다. 이 주제에서는 이 새 VPC를 Control Tower VPC라고 부릅니다.

Amazon VPC 콘솔에서 AWS Control Tower VPC를 볼 때 이름 끝에 단어(기본값)이 표시되지 않습니다. VPC가 둘 이상 있는 경우 할당된 CIDR 범위를 사용하여 올바른 AWS Control Tower VPC를 식별해야 합니다.

AWS Control Tower VPC를 삭제할 수 있지만 나중에 AWS Control Tower에서 VPC가 필요한 경우 직접 생성해야 합니다.

AWS Control Tower VPC를 삭제하려면

  1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

  2. Service Catalog 옵션에서 VPC를 검색하거나 VPC를 선택합니다. 그러면 VPC 대시보드가 표시됩니다.

  3. 왼쪽 메뉴에서 VPC를 선택합니다. 그러면 모든 VPC가 나와 있는 목록이 표시됩니다.

  4. CIDR 범위로 AWS Control Tower VPC를 식별합니다.

  5. VPC를 삭제하려면 작업을 선택한 다음 VPC 삭제를 선택합니다.

모든 리전에 AWS Control Tower 관리 계정에 대한 AWS(기본값) VPC가 이미 있습니다. AWS Control Tower VPC 삭제를 선택한 경우, 보안 모범 사례를 따르려면 모든 AWS 리전의 관리 계정과 연결된 AWS 기본 VPC도 삭제하는 것이 좋습니다. 따라서 관리 계정을 보호하려면 각 리전의 기본 VPC뿐만 아니라 AWS Control Tower 홈 리전에서 Control Tower가 생성한 VPC도 제거해야 합니다.

AWS Control Tower에서 VPC 없이 계정 생성

최종 사용자 워크로드에 VPC가 필요하지 않은 경우, 이 방법을 사용하여 VPC가 자동으로 생성되지 않는 최종 사용자 계정을 설정할 수 있습니다.

AWS Control Tower 대시보드에서 네트워크 구성 설정을 보고 편집할 수 있습니다. 연결된 VPC 없이 AWS Control Tower 계정이 생성되도록 설정을 변경하면, 설정을 다시 변경할 때까지 모든 새 계정이 VPC 없이 생성됩니다.

VPC 없이 계정을 생성하도록 Account Factory를 구성하려면

  1. 웹 브라우저를 열고 AWS Control Tower 콘솔(https://console.aws.amazon.com/controltower)로 이동합니다.

  2. 왼쪽 메뉴에서 Account Factory를 선택합니다.

  3. 그러면 네트워크 구성 섹션이 있는 Account Factory 페이지가 표시됩니다.

  4. 나중에 복원하려는 경우 현재 설정을 기록해 두십시오.

  5. 네트워크 구성 섹션에서 편집 버튼을 선택합니다.

  6. Account Factory 네트워크 구성 편집 페이지에서 VPC Configuration options for new accounts 섹션으로 이동합니다.

    옵션 1 또는 옵션 2 또는 둘 다를 따라 AWS Control Tower가 계정을 프로비저닝할 때 VPC를 생성하지 않도록 할 수 있습니다.

    1. 옵션 1 - 서브넷 제거

      • Internet-accessible subnet 토글 스위치를 끕니다.

      • Maximum number of private subnets 값을 0으로 설정합니다.

    2. 옵션 2 - AWS 리전 제거

      • Regions for VPC creation 열의 모든 확인란을 선택 취소합니다.

  7. Save(저장)를 선택합니다.

가능한 오류

AWS Control Tower VPC를 삭제하거나 VPC 없이 계정을 생성하도록 Account Factory를 재구성할 때 발생할 수 있는 다음과 같은 가능한 오류에 주의하세요.

  • 기존 관리 계정의 AWS Control Tower VPC에는 종속 항목 또는 리소스가 있을 수 있으며 이로 인해 삭제 실패 오류가 발생할 수 있습니다.

  • VPC 없이 새 계정을 시작하도록 설정할 때 기본 CIDR을 그대로 두면 요청이 실패하고 CIDR이 유효하지 않습니다 오류가 표시됩니다.