AWS Control Tower 외부에서 리소스를 관리하는 경우 - AWS Control Tower
AWS Control Tower 외부 리소스 참조AWS Control Tower 리소스 이름 외부 변경보안 OU 삭제보안 OU에서 계정 제거자동으로 업데이트되는 외부 변경 사항

AWS Control Tower 외부에서 리소스를 관리하는 경우

AWS Control Tower는 사용자를 대신하여 계정, 조직 단위 및 기타 리소스를 설정하지만, 이러한 리소스의 소유자는 사용자입니다. AWS Control Tower 내부 또는 외부에서 이러한 리소스를 변경할 수 있습니다. AWS Control Tower 외부에서 리소스를 변경하는 가장 일반적인 위치는 AWS Organizations 콘솔입니다. 이 주제에서는 AWS Control Tower 외부에서 AWS Control Tower 리소스를 변경하는 경우 리소스에 대한 변경 사항을 조정하는 방법을 설명합니다.

AWS Control Tower 콘솔 외부에서 리소스의 이름을 바꾸거나 리소스를 삭제 또는 이동하면 콘솔이 동기화되지 않고 오래된 정보가 표시될 수 있습니다. 일부 변경 사항은 자동으로 조정될 수 있습니다. 다른 일부 변경 사항의 경우 AWS Control Tower 콘솔에 표시되는 정보를 업데이트하려면 랜딩 존을 복구해야 합니다.

일반적으로 AWS Control Tower 콘솔 외부에서 AWS Control Tower 리소스를 변경하면 랜딩 존에서 복구 가능한 드리프트 상태가 생성됩니다. 이러한 변경에 대한 내용은 리소스에 대한 복구 가능한 변경 섹션을 참조하세요.

랜딩 존 재설정이 필요한 작업

  • 보안 OU 삭제(특수한 경우에만, 주의 필요)

  • 보안 OU에서 공유 계정 제거(권장되지 않음)

  • 보안 OU와 연결된 SCP 업데이트, 연결 또는 분리

AWS Control Tower에 의해 자동으로 업데이트되는 변경 사항

  • 등록된 계정의 이메일 주소 변경

  • 등록된 계정 이름 변경

  • 새로운 최상위 조직 단위(OU) 생성

  • 등록된 OU 이름 바꾸기

  • 등록된 OU 삭제(업데이트가 필요한 보안 OU 제외)

  • 등록된 계정 삭제(보안 OU의 공유 계정 제외)

참고

AWS Service Catalog는 변경 사항을 AWS Control Tower와 다르게 처리합니다. 는 변경 사항을 조정할 때 관리 상태를 변화시킬 수 있습니다. 프로비저닝된 제품 업데이트에 대한 자세한 내용은 AWS Service Catalog 설명서의 Updating Provisioned Products를 참조하세요.

AWS Control Tower 외부 리소스 참조

AWS Control Tower 외부에서 새로 생성하는 OU 및 계정은 표시되더라도 AWS Control Tower에 의해 관리되지 않습니다.

OU 생성

AWS Control Tower 외부에서 생성된 조직 단위(OU)를 미등록 OU라고 합니다. 조직 페이지에 표시되지만 AWS Control Tower 제어에 의해 관리되지 않습니다.

계정 생성

AWS Control Tower 외부에서 생성된 계정을 미등록 계정이라고 합니다. AWS Control Tower에 등록된 OU에 속하는 등록 및 미등록 계정은 조직 페이지에 표시됩니다. 등록된 OU에 속하지 않은 계정은 AWS Organizations 콘솔을 사용하여 초대할 수 있습니다. 이 가입 초대는 계정을 AWS Control Tower에 등록하거나 계정으로 AWS Control Tower 관리를 확대하지 않습니다. 계정을 등록하여 관리를 확대하려면 조직 페이지 또는 AWS Control Tower의 계정 세부 정보 페이지로 이동하여 계정 등록을 선택합니다.

AWS Control Tower 리소스 이름 외부 변경

AWS Control Tower 콘솔 외부에서 조직 단위(OU) 및 계정의 이름을 변경할 수 있으며 콘솔은 이러한 변경 사항을 반영하도록 자동으로 업데이트됩니다.

OU 이름 변경

AWS Organizations에서는 AWS Organizations API 또는 콘솔을 사용하여 OU의 이름을 변경할 수 있습니다. AWS Control Tower 외부에서 OU 이름을 변경하면 AWS Control Tower 콘솔에 이름 변경 사항이 자동으로 반영됩니다. 그러나 AWS Service Catalog를 사용하여 계정을 프로비저닝하는 경우 AWS Control Tower가 AWS Organizations와 일관성을 유지하도록 랜딩 존도 재설정해야 합니다. 재설정 워크플로는 기본 및 추가 OU에 대한 서비스 간 일관성을 보장합니다. 이 유형의 드리프트는 랜딩 존 설정 페이지에서 해결할 수 있습니다. AWS Control Tower의 드리프트 감지 및 해결의 ‘드리프트 해결’ 섹션을 참조하세요.

AWS Control Tower 대시보드의 조직 페이지에 OU의 이름이 표시됩니다. 랜딩 존 재설정 작업이 성공한 시점을 확인할 수 있습니다.

등록된 계정 이름 변경

각 AWS 계정에는 표시 이름이 있으며, AWS Billing and Cost Management 콘솔에서 계정의 루트 사용자를 통해 이를 변경할 수 있습니다. AWS Control Tower에 등록된 계정의 이름을 바꾸면 이름 변경이 AWS Control Tower에 자동으로 반영됩니다. 계정 이름 변경에 대한 자세한 내용은 AWS 결제 사용자 설명서AWS 계정 관리를 참조하세요.

보안 OU 삭제

이 유형의 드리프트는 특수한 경우입니다. 보안 OU를 삭제하면 랜딩 존을 재설정하라는 오류 메시지 페이지가 표시됩니다. AWS Control Tower에서 다른 작업을 수행하려면 먼저 랜딩 구역을 재설정해야 합니다.

  • 재설정이 완료될 때까지 AWS Control Tower 콘솔에서 어떤 작업도 수행할 수 없으며 AWS Service Catalog에서 새 계정을 생성할 수 없습니다.

  • 랜딩 존 설정 페이지에 재설정 버튼이 표시되지 않습니다.

이 경우 랜딩 존 재설정 프로세스에서 새 보안 OU가 생성되고 두 공유 계정이 새 보안 OU로 이동됩니다. AWS Control Tower는 로그 아카이브 및 감사 계정을 드리프트로 표시합니다. 동일한 프로세스가 이러한 계정의 드리프트를 해결합니다.

보안 OU를 삭제해야 한다고 결정한 경우 알아야 할 사항은 다음과 같습니다.

보안 OU를 삭제하려는 경우 먼저 해당 OU에 계정이 없는지 확인해야 합니다. 특히 OU에서 로그 아카이브 및 감사 계정을 제거해야 합니다. 이러한 계정을 다른 OU로 이동하는 것이 좋습니다.

참고

보안 OU를 삭제하는 작업은 신중하게 고려하여 수행해야 합니다. 로깅이 일시적으로 일시 중단되고 일부 제어가 적용되지 않을 수 있으므로 이 작업으로 인해 규정 준수 문제가 발생할 수 있습니다.

드리프트에 대한 일반적인 정보는 AWS Control Tower의 드리프트 감지 및 해결의 ‘드리프트 해결’을 참조하세요.

보안 OU에서 계정 제거

조직에서 공유 계정을 제거하거나 보안 OU 밖으로 옮기는 것은 권장하지 않습니다. 공유 계정을 실수로 제거한 경우 이 섹션의 수정 단계에 따라 계정을 복원할 수 있습니다.

  • AWS Control Tower 콘솔 내에서: 수정 프로세스를 시작하려면 반수동 수정 단계를 따릅니다. AWS Control Tower 콘솔에 액세스하는 데 사용하는 사용자 또는 역할에 organizations:InviteAccountToOrganization을 실행할 권한이 있는지 확인합니다. 이러한 권한이 없는 경우 AWS Control Tower 콘솔과 AWS Organizations 콘솔을 모두 사용하는 수동 수정 단계를 따르세요.

  • AWS Organizations 콘솔에서 시작: 이 수정 프로세스는 약간 더 길고 완전한 수동 절차입니다. 수동 수정 단계를 따르면 AWS Organizations 콘솔과 AWS Control Tower 콘솔 간에 전환됩니다. AWS Organizations에서 작업할 때는 AWSOrganizationsFullAccess 관리형 정책 또는 이에 상응하는 정책이 있는 사용자 또는 역할이 필요합니다. AWS Control Tower 콘솔에서 작업할 때는 AWSControlTowerServiceRolePolicy 관리형 정책 또는 이와 동등한 정책이 있는 사용자 또는 역할과 모든 AWS Control Tower 작업(Controltower:*)을 실행할 수 있는 권한이 필요합니다.

  • 수정 단계에서 계정을 복원하지 않는 경우 AWS Support에 문의하세요.

AWS Organizations를 통해 공유 계정을 제거한 결과:

  • 계정은 더 이상 서비스 제어 정책(SCP)을 통해 AWS Control Tower 필수 제어로 보호되지 않습니다. 결과: 계정에서 AWS Control Tower가 생성한 리소스를 수정하거나 삭제할 수 있습니다.

  • 계정이 더 이상 AWS Organizations 관리 계정 아래에 있지 않습니다. 결과: AWS Organizations 관리 계정의 관리자는 더 이상 계정의 지출을 볼 수 없습니다.

  • 계정은 더 이상 AWS Config에서 모니터링되지 않습니다. 결과: AWS Organizations 관리 계정의 관리자가 리소스 변경을 감지하지 못할 수 있습니다.

  • 계정은 더 이상 조직에 있지 않습니다. 결과: AWS Control Tower 업데이트 및 재설정이 실패합니다.

AWS Control Tower 콘솔을 사용하여 공유 계정을 복원하려면(반수동 절차)

  1. AWS Control Tower 콘솔(https://console.aws.amazon.com/controltower)에 로그인합니다. IAM 사용자, IAM Identity Center의 사용자 또는 organizations:InviteAccountToOrganization을 실행할 권한이 있는 역할로 로그인해야 합니다. 이러한 권한이 없는 경우 이 주제의 뒷부분에 설명된 수동 수정 절차를 사용합니다.

  2. 랜딩 존 드리프트 감지됨 페이지에서 다시 초대를 선택하여 공유 계정을 조직에 다시 초대하여 공유 계정 제거를 수정합니다. 자동으로 생성된 이메일이 계정의 이메일 주소로 전송됩니다.

  3. 공유 계정을 조직으로 다시 가져오라는 초대를 수락합니다. 다음 중 하나를 수행합니다.

    • 제거된 공유 계정에 로그인한 다음 https://console.aws.amazon.com/organizations/home#/invites로 이동합니다.

    • 계정을 다시 초대할 때 전송된 이메일 메시지에 액세스할 수 있는 경우 제거된 계정에 로그인한 다음 메시지의 링크를 클릭하여 계정 초대로 직접 이동합니다.

    • 제거된 공유 계정이 다른 조직에 없는 경우 계정에 로그인하고 AWS Organizations 콘솔을 열고 초대로 이동합니다.

  4. 관리 계정에 다시 로그인하거나 AWS Control Tower 콘솔이 이미 열려 있는 경우 다시 로드합니다. 랜딩 존 드리프트 페이지가 표시됩니다. 재설정을 선택하여 랜딩 존을 복구합니다.

  5. 재설정 프로세스가 완료될 때까지 기다립니다.

수정에 성공하면 공유 계정이 정상 상태 및 규정 준수로 표시됩니다.

수정 단계에서 계정을 복원하지 않는 경우 AWS Support에 문의하세요.

AWS Control Tower 및 AWS Organizations 콘솔을 사용하여 공유 계정 복원(수동 수정)

  1. https://console.aws.amazon.com/organizations/에서 AWS Organizations 콘솔에 로그인합니다. AWSOrganizationsFullAccess 관리형 정책 또는 이에 상응하는 정책으로 IAM 사용자, IAM Identity Center의 사용자 또는 역할로 로그인해야 합니다.

  2. 공유 계정을 조직에 다시 초대합니다. AWS Organizations에 계정을 초대하기 위한 요구 사항, 사전 조건 및 절차에 대한 자세한 내용은 AWS Organizations 사용 설명서조직에 AWS 계정 초대를 참조하세요.

  3. 초대를 수락하려면 제거된 공유 계정에 로그인한 다음 https://console.aws.amazon.com/organizations/home#/invites로 이동합니다.

  4. 관리 계정에 다시 로그인합니다.

  5. AWSControlTowerServiceRolePolicy 관리형 정책 또는 이에 상응하는 정책 및 모든 AWS Control Tower 작업을 실행할 수 있는 권한(Controltower:*)을 사용하여 AWS Control Tower 콘솔에 사용자 또는 역할로 로그인합니다.

  6. 랜딩 존을 재설정하는 옵션이 있는 랜딩 존 드리프트 페이지가 표시됩니다. 재설정을 선택하여 랜딩 존을 복구합니다.

  7. 재설정 프로세스가 완료될 때까지 기다립니다.

수정에 성공하면 공유 계정이 정상 상태 및 규정 준수로 표시됩니다.

수정 단계에서 계정을 복원하지 않는 경우 AWS Support에 문의하세요.

자동으로 업데이트되는 외부 변경 사항

계정 이메일 주소에 대한 변경 사항은 AWS Control Tower에서 자동으로 업데이트되지만 Account Factory에서는 자동으로 업데이트되지 않습니다.

관리되는 계정의 이메일 주소 변경

AWS Control Tower는 콘솔 환경에 필요한 대로 이메일 주소를 검색하고 표시합니다. 따라서 공유 및 기타 계정 이메일 주소는 변경 후 AWS Control Tower에서 일관되게 업데이트되고 표시됩니다.

참고

AWS Service Catalog에서 Account Factory는 프로비저닝된 제품 생성 시 콘솔에서 지정된 파라미터를 표시합니다. 그러나 계정 이메일 주소가 변경되는 경우 원래 계정 이메일 주소가 자동으로 업데이트되지 않습니다. 계정이 프로비저닝된 제품 내에 개념적으로 포함되어 있고 프로비저닝된 제품과 동일하지 않기 때문입니다. 이 값을 업데이트하려면 프로비저닝된 제품을 업데이트해야 하며, 그 결과로 관리 상태가 바뀔 수 있습니다.

외부 AWS Config 규칙 적용

AWS Control Tower는 AWS Control Tower 콘솔 외부에서 활성화된 규칙을 포함하여 AWS Control Tower에 등록된 조직 단위에 배포된 모든 AWS Config 규칙의 규정 준수 상태를 표시합니다.

AWS Control Tower 외부에서 AWS Control Tower 리소스 삭제

AWS Control Tower에서 OU 및 계정을 삭제할 수 있으며 업데이트를 확인하기 위해 추가 조치를 취할 필요가 없습니다. Account Factory는 OU를 삭제하면 자동으로 업데이트되지만 계정을 삭제하면 자동으로 업데이트되지 않습니다.

등록된 OU 삭제(보안 OU 제외)

AWS Organizations 내에서 API 또는 콘솔을 사용하여 빈 조직 단위(OU)를 제거할 수 있습니다. 계정이 포함된 OU는 삭제할 수 없습니다.

AWS Control Tower는 OU가 삭제될 때 AWS Organizations에서 알림을 받습니다. Account Factory에서 OU 목록을 업데이트하여 등록된 OU 목록을 일관되게 유지합니다.

참고

AWS Service Catalog에서 Account Factory가 계정을 프로비저닝할 수 있는 사용 가능한 OU 목록에서 삭제된 OU를 제거하며 업데이트됩니다.

OU에서 등록된 계정 삭제

등록된 계정을 제거하면 AWS Control Tower에서 알림을 수신하고 업데이트를 수행하므로 정보가 일관되게 유지됩니다.

참고

AWS Service Catalog에서는 관리되는 계정을 나타내는 Account Factory 프로비저닝 제품이 계정을 삭제하도록 업데이트되지 않습니다. 대신 프로비저닝된 제품이 TAINTED 및 오류 상태로 표시됩니다. 정리하려면 AWS Service Catalog로 이동하여 프로비저닝된 제품을 선택한 다음 종료를 선택합니다.