AWS Control Tower 랜딩 영역 사용자 지정 - AWS Control Tower
AWS Control Tower 콘솔에서 사용자 지정AWS Control Tower 콘솔 외부에서 사용자 지정 자동화AWS Control Tower 사용자 지정(CfCT)의 이점추가 CfCT 예제

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Control Tower 랜딩 영역 사용자 지정

리전 선택 및 선택적 제어와 같은 AWS Control Tower 랜딩 영역의 특정 측면은 콘솔에서 구성할 수 있습니다. 다른 변경은 자동화를 통해 콘솔 외부에서 수행하면 됩니다.

예를 들어 AWS CloudFormation 템플릿 및 AWS Control Tower 수명 주기 이벤트와 함께 작동하는 스타일 사용자 지정 프레임워크인 Customizations for AWS Control Tower 기능을 사용하여 랜딩 존을 보다 광범위하게 사용자 지정할 수 있습니다. GitOps

AWS Control Tower 콘솔에서 사용자 지정

이러한 사용자 지정을 랜딩 영역에 적용하려면 AWS Control Tower 콘솔에서 제공하는 단계를 따릅니다.

설정 중 사용자 지정 이름 선택

  • 설정 중에 최상위 OU 이름을 선택할 수 있습니다. AWS Organizations 콘솔을 사용하여 OUs 언제든지의 이름을 변경할 수 있지만 OUs의를 변경하면 복구 가능한 드리프트가 발생할 AWS Organizations 수 있습니다.

  • 공유 감사로그 아카이브 계정의 이름을 선택할 수 있지만, 설정 후에는 이름을 변경할 수 없습니다. (이는 일회성 선택입니다.)

도움말

에서 OU 이름을 변경해도 Account Factory에서 해당 프로비저닝된 제품이 업데이트되지 AWS Organizations 않습니다. 프로비저닝된 제품을 자동으로 업데이트(및 드리프트 방지)하려면 OU 생성, 삭제 또는 재등록을 포함하여 AWS Control Tower를 통해 OU 작업을 수행해야 합니다.

AWS 리전 선택

  • 거버넌스를 위한 특정 AWS 리전을 선택하여 랜딩 영역을 사용자 지정할 수 있습니다. AWS Control Tower 콘솔의 단계를 따릅니다.

  • 랜딩 영역을 업데이트할 때 거버넌스를 위한 AWS 리전을 선택하고 선택 취소할 수 있습니다.

  • 리전 거부 제어를 활성화됨 또는 활성화되지 않음으로 설정하고 관리되지 않는 AWS 리전의 대부분의 AWS 서비스에 대한 사용자 액세스를 제어할 수 있습니다.

CfCT에 배포 제한이 AWS 리전 있는 위치에 대한 자세한 내용은 섹션을 참조하세요제어 제한 사항.

선택적 제어를 추가하여 사용자 지정

  • 권장 제어 및 선택적 제어는 필요에 따라 지정하면 됩니다. 따라서 무엇을 활성화할지 선택하여 랜딩 존의 적용 수준을 사용자 지정할 수 있습니다. 선택 사항인 제어는 기본적으로 비활성 상태입니다.

  • 선택적 데이터 레지던시 제어를 사용하면 데이터를 저장하고 데이터에 대한 액세스를 허용하는 리전을 사용자 지정할 수 있습니다.

  • 통합 Security Hub 표준의 일부인 선택적 제어를 사용하면 AWS Control Tower 환경을 스캔하여 보안 위험을 확인할 수 있습니다.

  • 선택적 사전 예방적 제어를 사용하면 프로비저닝 전에 AWS CloudFormation 리소스를 확인하여 새 리소스가 환경의 제어 목표를 준수하는지 확인할 수 있습니다.

AWS CloudTrail 추적 사용자 지정

  • 랜딩 영역을 버전 3.0 이상으로 업데이트할 때 AWS Control Tower에서 관리하는 조직 수준 CloudTrail 추적을 옵트인하거나 옵트아웃하도록 선택할 수 있습니다. 랜딩 영역을 업데이트할 때마다이 선택을 변경할 수 있습니다. AWS Control Tower는 관리 계정에 조직 수준 추적을 생성하며, 해당 추적은 선택에 따라 활성 또는 비활성 상태로 전환됩니다. 랜딩 영역 3.0은 계정 수준 CloudTrail 추적을 지원하지 않지만 필요한 경우 자체 추적을 구성하고 관리할 수 있습니다. 중복 추적 시 추가 비용이 발생할 수 있습니다.

콘솔에서 사용자 지정 멤버 계정 생성

AWS Control Tower 콘솔 외부에서 사용자 지정 자동화

일부 사용자 지정은 AWS Control Tower 콘솔을 통해 사용할 수 없지만 다른 방식으로 구현할 수 있습니다. 예시:

  • Terraform용 Account Factory(AFT)를 사용하여 프로비저닝 중에 a GitOps스타일 워크플로에서 계정을 사용자 지정할 수 있습니다.

    AFT는 AFT리포지토리에서 사용할 수 있는 Terraform 모듈과 함께 배포됩니다.

  • AWS CloudFormation 템플릿 및 서비스 AWS 제어 정책()을 기반으로 구축된 기능 패키지인 Customizations for AWS Control Tower(CfCT)를 사용하여 Control Tower 랜딩 영역을 사용자 지정할 수 있습니다SCPs.CfCT 사용자 지정 템플릿 및 정책을 조직 내 개별 계정 및 조직 단위(OUs)에 배포할 수 있습니다.

    CfCT의 소스 코드는 GitHub 리포지토리에서 사용할 수 있습니다.

  • Landing Zone Accelerator(LZA)를 켜면 AWS Control Tower 랜딩 영역을 사용자 지정할 수 있습니다 AWS. 이 LZA 솔루션은 AWS 모범 사례에 부합하고 여러 글로벌 규정 준수 프레임워크를 준수하도록 설계되었습니다. AWS Control Tower를 기본 랜딩 영역으로 배포한 다음 필요에 LZA따라를 사용하여 랜딩 영역 기능을 개선하는 것이 좋습니다. 자세한 내용은 AWS Control Tower 및 랜딩 영역 액셀러레이터를 참조하세요.

AWS Control Tower 사용자 지정(CfCT)의 이점

CfCT(Customizations for AWS Control Tower)라고 하는 기능 패키지는 AWS Control Tower 콘솔에서 생성할 수 있는 것보다 랜딩 영역에 대해 더 광범위한 사용자 지정을 생성하는 데 도움이 됩니다. 이는 자동화된 GitOpsA-스타일 프로세스를 제공합니다. 비즈니스 요구 사항에 맞게 랜딩 존을 재구성할 수 있습니다.

infrastructure-as-code 사용자 지정 프로세스는 AWS CloudFormation 템플릿을 AWS 서비스 제어 정책(SCPs) 및 AWS Control Tower 수명 주기 이벤트와 통합하여 리소스 배포가 랜딩 영역과 동기화된 상태로 유지됩니다. 예를 들어, Account Factory로 새 계정을 만들면 계정에 연결된 리소스와 OU를 자동으로 배포할 수 있습니다.

참고

Account Factory 및와 달리 AFT CfCT는 새 계정을 생성하기 위한 것이 아니라 지정한 리소스를 배포하여 랜딩 존OUs에서 계정 및를 사용자 지정하기 위한 것입니다.

이점

  • 사용자 지정되고 안전한 AWS 환경 확장 - 다중 계정 AWS Control Tower 환경을 더 빠르게 확장하고 AWS 모범 사례를 반복 가능한 사용자 지정 워크플로에 통합할 수 있습니다.

  • 요구 사항 인스턴스화 - 정책 의도를 나타내는 AWS CloudFormation 템플릿 및 서비스 제어 정책을 사용하여 비즈니스 요구 사항에 맞게 AWS Control Tower 랜딩 영역을 사용자 지정할 수 있습니다.

  • AWS Control Tower 수명 주기 이벤트로 더 자동화 - 수명 주기 이벤트를 사용하면 이전 일련의 이벤트 완료를 기반으로 리소스를 배포할 수 있습니다. 수명 주기 이벤트에 의존하여 리소스를 계정 및에 OUs자동으로 배포할 수 있습니다.

  • 네트워크 아키텍처 확장 - 전송 게이트웨이와 같이 연결을 개선하고 보호하는 사용자 지정 네트워크 아키텍처를 배포할 수 있습니다.

추가 CfCT 예제

AWS 보안 참조 아키텍처에 대한 자세한 내용은 AWS 규범적 지침 페이지를 참조하세요.