사전 조건: 관리 계정에 대한 자동 시작 전 검사 - AWS Control Tower
AWS IAM Identity Center(IAM Identity Center) 고객에 대한 고려 사항

사전 조건: 관리 계정에 대한 자동 시작 전 검사

AWS Control Tower가 랜딩 존을 설정하기 전에 계정에서 일련의 시작 전 검사가 자동으로 실행됩니다. 이러한 검사에 필요한 조치는 없습니다. 이를 통해 관리 계정이 랜딩 존을 설정하는 변경에 대한 준비가 완료되었는지 확인할 수 있습니다. 다음은 랜딩 존을 설정하기 전에 AWS Control Tower가 실행하는 검사입니다.

  • AWS 계정에 대한 기존 서비스 제한은 AWS Control Tower가 시작되기에 충분해야 합니다. 자세한 내용은 AWS Control Tower의 제한 사항 및 할당량 섹션을 참조하세요.

  • AWS 계정은 다음 AWS 서비스를 구독해야 합니다.

    • Amazon Simple Storage Service(S3)

    • Amazon Elastic Compute Cloud(Amazon EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud(VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • Amazon CloudWatch

    • AWS Config

    • AWS Identity and Access Management (IAM)

    • AWS Lambda

    참고

    기본적으로 모든 계정은 이러한 서비스를 구독합니다.

AWS IAM Identity Center(IAM Identity Center) 고객에 대한 고려 사항

  • AWS IAM Identity Center(IAM Identity Center)가 이미 설정된 경우 AWS Control Tower 홈 리전은 IAM Identity Center 리전과 동일해야 합니다.

  • IAM Identity Center는 조직의 관리 계정에만 설치할 수 있습니다.

  • 선택한 ID 소스에 따라 IAM Identity Center 디렉터리에 세 가지 옵션이 적용됩니다.

    • IAM Identity Center User Store: AWS Control Tower가 IAM Identity Center로 설정된 경우 AWS Control Tower는 IAM Identity Center 디렉터리에 그룹을 생성하고 선택한 사용자에 대해 멤버 계정에 대한 액세스를 이러한 그룹에 프로비저닝합니다.

    • Active Directory: AWS Control Tower용 IAM Identity Center가 Active Directory로 설정된 경우 AWS Control Tower는 IAM Identity Center 디렉터리를 관리하지 않습니다. 새 AWS 계정에 사용자 또는 그룹을 할당하지 않습니다.

    • 외부 ID 제공업체: AWS Control Tower용 IAM Identity Center가 외부 ID 제공업체(idP)로 설정된 경우 AWS Control Tower는 IAM Identity Center 디렉터리에 그룹을 생성하고 선택한 사용자에 대해 멤버 계정에 대한 액세스를 이러한 그룹에 프로비저닝합니다. 계정 생성 중에 Account Factory의 외부 IdP에서 기존 사용자를 지정할 수 있으며, AWS Control Tower는 IAM Identity Center와 외부 IdP 간에 동일한 이름의 사용자를 동기화할 때 새로 제공된 계정에 대한 액세스 권한을 이 사용자에게 부여합니다. AWS Control Tower의 기본 그룹 이름과 일치하도록 외부 IdP에 그룹을 생성할 수도 있습니다. 이러한 그룹에 사용자를 할당하면 이러한 사용자는 등록된 계정에 액세스할 수 있습니다.

    IAM Identity Center 및 AWS Control Tower 작업에 대한 자세한 내용은 IAM Identity Center 계정 및 AWS Control Tower에 대해 알아야 할 사항 섹션을 참조하세요.

AWS Config 및 AWS CloudTrail 고객에 대한 고려 사항

  • AWS 계정은 AWS Config 또는 CloudTrail의 조직 관리 계정에서 신뢰할 수 있는 액세스를 활성화할 수 없습니다. 신뢰할 수 있는 액세스를 비활성화하는 방법에 대한 자세한 내용은 신뢰할 수 있는 액세스를 활성화 또는 비활성화하는 방법에 대한 AWS Organizations 설명서를 참조하세요.

  • AWS Control Tower에 등록하려는 기존 계정에 기존 AWS Config 레코더, 전송 채널 또는 집계 설정이 있는 경우, 랜딩 존이 설정된 후 계정 등록을 시작하기 전에 이러한 구성을 수정하거나 제거해야 합니다. 이 사전 확인은 랜딩 존을 시작하는 동안 AWS Control Tower 관리 계정에 적용되지 않습니다. 자세한 내용은 기존 AWS Config 리소스가 있는 계정 등록 섹션을 참조하세요.

  • AWS Control Tower의 계정에서 임시 워크로드를 실행하는 경우 AWS Config와 관련된 비용이 증가할 수 있습니다. 이러한 비용 관리에 대한 구체적인 내용은 AWS 계정 담당자에게 문의하세요.

  • AWS Control Tower에 계정을 등록하면 해당 계정이 AWS Control Tower 조직의 AWS CloudTrail 추적에 의해 관리됩니다. 해당 계정에 기존에 배포된 CloudTrail 추적이 있는 경우 AWS Control Tower에 계정을 등록하기 전에 계정에 대한 기존 추적을 삭제하지 않으면 중복 요금이 부과될 수 있습니다. 조직 수준 추적 및 AWS Control Tower에 대한 자세한 내용은 요금 섹션을 참조하세요.

참고

시작할 때 AWS Control Tower에서 관리하는 모든 리전에 대해 관리 계정에서 AWS Security Token Service(STS) 엔드포인트를 활성화해야 합니다. 그렇지 않으면 중간에 구성 프로세스에서 시작이 실패할 수 있습니다.