전제 조건: 관리 계정에 대한 자동화된 사전 출시 확인 - AWS Control Tower
AWS IAM Identity Center (IAM ID 센터) 고객을 위한 고려 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

전제 조건: 관리 계정에 대한 자동화된 사전 출시 확인

AWS Control Tower는 랜딩 존을 설정하기 전에 계정에서 일련의 사전 시작 검사를 자동으로 실행합니다. 이러한 점검에는 별도의 조치가 필요하지 않으므로 Management Account가 landing Zone을 설정하는 변경 사항에 대비할 수 있습니다. 랜딩 존을 설정하기 전에 AWS Control Tower가 실행하는 검사는 다음과 같습니다.

  • 에 대한 기존 서비스 한도는 AWS Control Tower를 시작하기에 AWS 계정 충분해야 합니다. 자세한 설명은 AWS Control Tower의 한도 및 할당량 섹션을 참조하세요.

  • 다음 AWS 서비스에 AWS 계정 가입해야 합니다.

    • Amazon Simple Storage Service(S3)

    • Amazon Elastic Compute Cloud(Amazon EC2)

    • Amazon SNS

    • Amazon Virtual Private Cloud(VPC)

    • AWS CloudFormation

    • AWS CloudTrail

    • 아마존 CloudWatch

    • AWS Config

    • AWS Identity and Access Management (IAM)

    • AWS Lambda

    참고

    기본적으로 모든 계정은 이러한 서비스를 구독합니다.

AWS IAM Identity Center (IAM ID 센터) 고객을 위한 고려 사항

  • AWS IAM Identity Center (IAM ID 센터) 가 이미 설정되어 있는 경우, AWS Control Tower 홈 지역은 IAM 자격 증명 센터 지역과 동일해야 합니다.

  • IAM ID 센터는 조직의 관리 계정에만 설치할 수 있습니다.

  • 선택한 ID 소스에 따라 IAM ID 센터 디렉터리에는 세 가지 옵션이 적용됩니다.

    • IAM ID 센터 사용자 스토어: AWS Control Tower에 IAM 자격 증명 센터를 설치한 경우, AWS Control Tower는 IAM ID 센터 디렉터리에 그룹을 생성하고, 선택한 사용자에 대해 멤버 계정으로 이러한 그룹에 대한 액세스 권한을 제공합니다.

    • Active Directory: AWS Control Tower용 IAM ID 센터가 Active Directory와 함께 설정된 경우, AWS Control Tower는 IAM ID 센터 디렉터리를 관리하지 않습니다. 새 AWS 계정에 사용자나 그룹을 배정하지 않습니다.

    • 외부 ID 공급자: AWS Control Tower용 IAM ID 센터를 외부 ID 공급자 (IdP) 로 설정한 경우, AWS Control Tower는 IAM ID 센터 디렉터리에 그룹을 생성하고 멤버 계정으로 선택한 사용자에게 이러한 그룹에 대한 액세스 권한을 제공합니다. 계정 생성 시 Account Factory에서 외부 IdP의 기존 사용자를 지정할 수 있으며, AWS Control Tower는 IAM Identity Center와 외부 IdP 간에 동일한 이름의 사용자를 동기화할 때 이 사용자에게 새로 벤딩된 계정에 대한 액세스 권한을 부여합니다. 또한 외부 IdP에 그룹을 생성하여 AWS Control Tower의 기본 그룹 이름과 일치하도록 할 수 있습니다. 이러한 그룹에 사용자를 할당하면 해당 사용자는 등록된 계정에 액세스할 수 있습니다.

    IAM ID 센터 및 AWS Control Tower와의 작업에 대한 자세한 내용은 을 참조하십시오. IAM 자격 증명 센터 계정 및 AWS Control Tower에 대해 알아야 할 사항

AWS Config 및 AWS CloudTrail 고객에 대한 고려 사항

  • AWS Config 또는 에 대해서는 조직 관리 계정에서 신뢰할 수 있는 액세스를 활성화할 수 AWS 계정 없습니다 CloudTrail. 신뢰할 수 있는 액세스를 사용하지 않도록 설정하는 방법에 대한 자세한 내용은 신뢰할 수 있는 액세스를 사용하거나 사용하지 않도록 설정하는 방법에 대한 AWS Organizations 설명서를 참조하십시오.

  • AWS Control Tower에 등록하려는 기존 계정에 기존 AWS Config 레코더, 전송 채널 또는 집계 설정이 있는 경우, 계정을 등록하기 전, 즉 랜딩 존이 설정된 후에 이러한 구성을 수정하거나 제거해야 합니다. 이 사전 점검은 랜딩 존 출시 시 AWS Control Tower 관리 계정에는 적용되지 않습니다. 자세한 설명은 기존 AWS Config 리소스가 있는 계정 등록 섹션을 참조하세요.

  • AWS Control Tower의 계정에서 임시 워크로드를 실행하는 경우 Config와 관련된 비용이 증가할 수 있습니다. AWS 이러한 비용 관리에 대한 자세한 내용은 AWS 계정 담당자에게 문의하십시오.

  • 계정을 AWS Control Tower에 등록하면 해당 계정은 AWS Control Tower 조직의 AWS CloudTrail 트레일에 따라 관리됩니다. 계정에 CloudTrail 트레일을 기존에 배포한 경우, AWS Control Tower에 등록하기 전에 해당 계정의 기존 트레일을 삭제하지 않는 한 요금이 중복될 수 있습니다. 조직 수준의 트레일 및 AWS Control Tower에 대한 자세한 내용은 을 참조하십시오. 요금

참고

시작 시 AWS Control Tower가 관리하는 모든 지역의 관리 계정에서 AWS 보안 토큰 서비스 (STS) 엔드포인트를 활성화해야 합니다. 그렇지 않으면 중간에 구성 프로세스에서 시작이 실패할 수 있습니다.