AWS Control Tower 리소스 생성 및 수정 지침

관리 계정, 공유 계정, 멤버 계정의 리소스를 포함하여 AWS Control Tower에서 생성한 리소스를 수정하거나 삭제하지 마세요. 이러한 리소스를 수정하면 랜딩 영역을 업데이트하거나 OU를 다시 등록해야 할 수 있으며, 수정하면 규정 준수 보고가 부정확해질 수 있습니다.

특히:

SCPs 또는 AWS Security Token Service ()를 AWS 리전 통해 의 사용을 허용하지 마십시오AWS STS. 이렇게 하면 AWS Control Tower가 정의되지 않은 상태로 전환됩니다. 에서 리전을 허용하지 않으면 해당 리전에서 인증이 불가능하기 때문에 해당 리전에서 AWS STS기능이 실패합니다. 대신 제어에 표시된 대로 AWS Control Tower 리전 거부 기능, 랜딩 존 수준에서 작동하는 요청된 를 AWS 기반으로 한 에 대한 액세스 거부 AWS 리전 또는 OU 수준에서 작동하여 리전에 대한 액세스를 제한하는 OU 에 적용된 제어 리전 거부 제어에 의존합니다.

를 AWS Organizations FullAWSAccess SCP 적용해야 하며 다른 와 병합해서는 안 됩니다SCPs. 이 변경 사항은 드리프트로 보고되지 SCP 않지만, 일부 변경 사항은 특정 리소스에 대한 액세스가 거부되는 경우 예측할 수 없는 방식으로 AWS Control Tower 기능에 영향을 미칠 수 있습니다. 예를 들어 SCP가 분리되거나 수정되면 계정이 레코더에 대한 AWS Config 액세스 권한을 잃거나 CloudTrail 로깅에 공백을 생성할 수 있습니다.

API 를 AWS Organizations DisableAWSServiceAccess 사용하여 랜딩 존을 설정한 조직에 대한 AWS Control Tower 서비스 액세스를 끄지 마세요. 이렇게 하면 의 메시징 지원 없이는 특정 AWS Control Tower 드리프트 감지 기능이 제대로 작동하지 않을 수 있습니다 AWS Organizations. 이러한 드리프트 감지 기능은 AWS Control Tower가 조직 내 조직 단위, 계정 및 제어의 규정 준수 상태를 정확하게 보고할 수 있도록 보장하는 데 도움이 됩니다. 자세한 내용은 단원을 참조하세요.API_DisableAWSServiceAccess 참조 의 AWS Organizations API .

일반적으로 AWS Control Tower는 한 번에 단일 작업을 수행하며, 이는 다른 작업을 시작하기 전에 완료해야 합니다. 예를 들어 제어를 활성화하는 프로세스가 이미 작동 중인 동안 계정을 프로비저닝하려고 하면 계정 프로비저닝이 실패합니다.

예외:

거버넌스를 위해 새 리전을 구성하는 경우와 같이 계정 업데이트가 필요할 때마다 OU 다시 등록 기능을 사용하여 해당 계정을 업데이트할 수 있도록 등록된 각 OU를 최대 1000개의 계정으로 유지하는 것이 좋습니다.

OU를 등록할 때 필요한 시간을 줄이려면 한도가 OU당 1000개 계정인 경우에도 OU당 계정 수를 약 680개로 유지하는 것이 좋습니다. 일반적으로 OU를 등록하는 데 필요한 시간은 OU가 운영 중인 리전 수에 OU의 계정 수를 곱한 값에 따라 증가합니다.

예상대로 계정이 680개인 OU는 컨트롤을 등록하고 활성화하는 데 최대 2시간이 걸리고 다시 등록하는 데 최대 1시간이 걸릴 수 있습니다. 또한 제어가 많은 OU는 제어가 거의 없는 OU보다 등록하는 데 더 오래 걸립니다.

OU 등록 기간을 연장하는 것에 대한 한 가지 우려 사항은 이 프로세스가 다른 작업을 차단한다는 것입니다. 일부 고객은 각 OU에서 더 많은 계정을 허용하는 것을 선호하기 때문에 OU를 등록하거나 다시 등록하는 데 더 긴 시간을 허용하는 것이 좋습니다.