계정 등록 중에는 어떻게 되나요?기존 계정을 VPC에 등록 계정이 사전 요구 사항을 충족하지 않으면 어떻게 됩니까?리소스 상태에 대한 예제 AWS Config CLI 명령 계정 자동 등록 AWS Organizations

기존 등록 AWS 계정

이미 AWS Control Tower에서 관리하는 조직 단위 (OU) 에 AWS 계정 등록하면 기존 개인까지 AWS Control Tower 거버넌스를 확장할 수 있습니다. 적격 계정은 AWS Control Tower OU와 동일한 AWS Organizations 조직에 속하는 미등록 OU에 있습니다.

참고

초기 landing Zone 설정 중일 때를 제외하고는 기존 계정을 감사 또는 로그 아카이브 계정으로 등록할 수 없습니다.

먼저 신뢰할 수 있는 액세스를 설정하십시오.

기존 계정을 AWS Control AWS 계정 Tower에 등록하려면 먼저 AWS Control Tower가 계정을 관리하거나 관리할 수 있는 권한을 부여해야 합니다. 특히, AWS Control Tower에는 선택한 조직의 계정에 스택을 자동으로 AWS CloudFormation 배포할 수 있도록 사용자 간에 AWS CloudFormation 또는 사용자를 대신하여 신뢰할 수 있는 액세스를 설정할 수 있는 권한이 필요합니다. AWS Organizations 이 신뢰할 수 있는 액세스를 통해 AWSControlTowerExecution 역할은 각 계정을 관리하는 데 필요한 활동을 수행합니다. 따라서 등록하기 전에 각 계정에 이 역할을 추가해야 합니다.

신뢰할 AWS CloudFormation 수 있는 액세스를 활성화하면 한 번의 작업으로 여러 계정에서 스택을 생성, 업데이트 또는 삭제할 수 있습니다. AWS 리전 AWS Control Tower는 이러한 신뢰 기능을 사용하여 기존 계정을 등록된 조직 단위로 이전하기 전에 역할과 권한을 적용하여 거버넌스 하에 둘 수 있습니다.

신뢰할 수 있는 액세스에 대해 자세히 AWS CloudFormationStackSets 알아보려면 및 을 참조하십시오AWS CloudFormationStackSets. AWS Organizations

계정 등록 중에는 어떻게 되나요?

등록 프로세스 중에 AWS Control Tower는 다음과 같은 작업을 수행합니다.

다음 스택 세트의 배포를 포함하여 계정에 베이스라인을 설정합니다.
- AWSControlTowerBP-BASELINE-CLOUDTRAIL
- AWSControlTowerBP-BASELINE-CLOUDWATCH
- AWSControlTowerBP-BASELINE-CONFIG
- AWSControlTowerBP-BASELINE-ROLES
- AWSControlTowerBP-BASELINE-SERVICE-ROLES
- AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES
- AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1
이러한 스택 세트의 템플릿을 검토하고 기존 정책과 충돌하지 않도록 하는 것이 좋습니다.
또는 를 통해 계정을 식별합니다. AWS IAM Identity Center AWS Organizations
지정한 OU에 계정을 배치합니다. 보안 상태가 일관되게 유지되도록 현재 OU에 적용된 모든 SCP를 적용해야 합니다.
선택한 OU 전체에 적용되는 SCP를 통해 계정에 필수 제어를 적용합니다.
계정의 AWS Config 모든 리소스를 기록하도록 설정하고 설정합니다.
계정에 AWS Control Tower 탐지 제어를 적용하는 AWS Config 규칙을 추가합니다.

계정 및 조직 수준 CloudTrail 트레일

OU의 모든 구성원 계정은 등록 여부에 관계없이 OU의 AWS CloudTrail 트레일에 의해 관리됩니다.

계정을 AWS Control Tower에 등록하면 새 조직의 AWS CloudTrail 트레일이 계정에 적용됩니다. 기존 CloudTrail 트레일을 배포한 경우, AWS Control Tower에 등록하기 전에 해당 계정의 기존 트레일을 삭제하지 않는 한 요금이 중복될 수 있습니다.
예를 들어 콘솔을 통해 계정을 등록된 OU로 AWS Organizations 이전하고 AWS Control Tower에 계정을 등록하지 않는 경우, 계정에 남아 있는 계정 수준 트레일을 모두 제거해야 할 수 있습니다. 기존에 트레일을 배포한 경우 요금이 중복되어 발생합니다. CloudTrail CloudTrail

랜딩 존을 업데이트하고 조직 수준 트레일을 옵트아웃하거나 랜딩 존이 버전 3.0 이전인 경우, 조직 수준 CloudTrail 트레일은 계정에 적용되지 않습니다.

기존 계정을 VPC에 등록

AWS Control Tower는 Account Factory에서 새 계정을 프로비저닝할 때와 기존 계정을 등록할 때 VPC를 다르게 처리합니다.

새 계정을 생성하면 AWS Control Tower는 자동으로 AWS 기본 VPC를 제거하고 해당 계정에 대한 새 VPC를 생성합니다.
기존 계정을 등록할 때 AWS Control Tower는 해당 계정에 대한 새 VPC를 생성하지 않습니다.
기존 계정을 등록할 때 AWS Control Tower는 계정과 연결된 기존 VPC 또는 AWS 기본 VPC를 제거하지 않습니다.

작은 정보

Account Factory를 구성하여 새 계정의 기본 동작을 변경할 수 있습니다. 이렇게 하면 AWS Control Tower에 속한 조직의 계정에 대해 기본적으로 VPC가 설정되지 않습니다. 자세한 정보는 VPC 없이 AWS Control Tower에서 계정 생성을 참조하세요.

계정이 사전 요구 사항을 충족하지 않으면 어떻게 됩니까?

전제 조건으로 AWS Control Tower 거버넌스에 등록할 수 있는 계정이 동일한 전체 조직에 속해야 한다는 점을 기억하십시오. 계정 등록을 위한 이 사전 요구 사항을 충족하려면 다음 준비 단계에 따라 계정을 AWS Control Tower와 동일한 조직으로 이동할 수 있습니다.

계정을 AWS Control Tower와 동일한 조직에 통합하기 위한 준비 단계

기존 조직에서 계정을 삭제하십시오. 이 방법을 사용할 경우 별도의 결제 방법을 제공해야 합니다.
계정을 초대하여 AWS Control Tower 조직에 가입하십시오. 자세한 내용은 AWS Organizations 사용 설명서의 조직 가입을 위한 AWS 계정 초대를 참조하십시오.
초대를 수락하십시오. 계정이 조직의 루트에 표시됩니다. 이 단계에서는 계정을 AWS Control Tower와 동일한 조직으로 이전하고 SCP와 통합 결제를 설정합니다.

작은 정보

계정이 기존 조직에서 탈퇴하기 전에 새 조직에 대한 초대를 보낼 수 있습니다. 계정이 기존 조직에서 공식적으로 탈퇴할 때까지 초대는 대기하게 됩니다.

나머지 사전 요구 사항을 충족하기 위한 단계:

필요한 AWSControlTowerExecution 역할을 생성합니다.
기본 VPC를 지우십시오. (이 부분은 선택 사항입니다. AWS Control Tower는 기존 기본 VPC를 변경하지 않습니다.)
OR를 통해 기존 AWS Config 구성 레코더 또는 전송 채널을 AWS CLI 삭제하거나 AWS CloudShell수정하십시오. 자세한 내용은 리소스 상태에 대한 예제 AWS Config CLI 명령 및 기존 AWS Config 리소스가 있는 계정 등록 섹션을 참조하세요.

이러한 준비 단계를 완료한 후 계정을 AWS Control Tower에 등록할 수 있습니다. 자세한 정보는 계정 등록 단계을 참조하세요. 이 단계는 계정을 완전한 AWS Control Tower 거버넌스로 전환합니다.

계정을 등록하고 스택을 유지할 수 있도록 계정 프로비저닝을 해제하는 선택적 단계

적용된 AWS CloudFormation 스택을 유지하려면 스택 세트에서 스택 인스턴스를 삭제하고 해당 인스턴스에 대해 Retain stacks를 선택합니다.
Account Factory에서 AWS Service Catalog 계정 프로비저닝된 제품을 종료합니다. (이 단계는 프로비저닝된 제품만 AWS Control Tower에서 제거합니다. 계정은 삭제되지 않습니다.
조직에 속하지 않는 계정의 경우 필요에 따라 필요한 결제 세부 정보를 사용하여 계정을 설정합니다. 그런 다음 조직에서 계정을 제거합니다. (이렇게 하면 계정이 AWS Organizations 할당량 총액에 포함되지 않습니다.)
리소스가 남아 있는 경우 계정을 정리한 다음, 의 계정 폐쇄 단계에 따라 계정을 폐쇄하세요계정 관리 취소.
컨트롤이 정의되어 있는 일시 중단된 OU가 있는 경우 1단계를 수행하는 대신 계정을 해당 OU로 이동할 수 있습니다.

리소스 상태에 대한 예제 AWS Config CLI 명령

다음은 컨피그레이션 레코더 및 전송 채널의 상태를 확인하는 데 사용할 수 있는 몇 가지 예제 AWS Config CLI 명령입니다.

보기 명령:

aws configservice describe-delivery-channels
aws configservice describe-delivery-channel-status
aws configservice describe-configuration-recorders

일반적인 응답은 다음과 같습니다. "name": "default"

삭제 명령:

aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT
aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT
aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

계정 자동 등록 AWS Organizations

기존 AWS 계정을 AWS Control Tower에 등록이라는 블로그 게시물에 설명된 등록 방법을 사용하여 프로그래밍 프로세스를 통해 계정을 AWS Control Tower에 등록할 수 있습니다 AWS Organizations .

다음 YAML 템플릿은 프로그래밍 방식으로 등록할 수 있도록 계정에 필요한 역할을 생성하는 데 도움이 될 수 있습니다.


AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

회원 계정 정보

등록을 위한 사전 요구 사항