기존 조직 단위를 AWS Control Tower에 등록

여러 기존 AWS 계정을 AWS Control Tower로 가져오는 효율적인 방법은 AWS Control Tower의 거버넌스를 전체 조직 단위 (OU) 로 확장하는 것입니다.

로 AWS Organizations생성된 기존 OU와 해당 계정에 대한 AWS Control Tower 거버넌스를 활성화하려면 OU를 AWS Control Tower 랜딩 존에 등록하십시오. 최대 300개의 계정을 포함하는 OU를 등록할 수 있습니다. OU에 포함된 계정이 300개가 넘는 경우 AWS Control Tower에 등록할 수 없습니다.

OU를 등록하면 OU의 멤버 계정이 AWS Control Tower 랜딩 존에 등록됩니다. OU에 적용되는 컨트롤에 의해 관리됩니다.

OU를 등록하면 내 계정은 어떻게 되나요?

AWS Control Tower에는 조직 내 계정에 스택을 자동으로 AWS CloudFormation 배포할 수 있도록 사용자 간에 AWS CloudFormation 또는 사용자를 대신하여 신뢰할 수 있는 액세스를 설정할 수 있는 권한이 필요합니다. AWS Organizations

OU를 등록한 후 계정을 부분적으로 등록합니다.

OU를 성공적으로 등록할 수는 있지만 일부 계정은 등록되지 않은 상태로 남아 있을 수 있습니다. 그렇다면 이러한 계정은 등록을 위한 사전 요구 사항 중 일부를 충족하지 못합니다. OU 등록 프로세스의 일부로 계정을 등록하지 못하면 계정 페이지의 계정 상태가 등록 실패로 표시됩니다. OU 페이지의 계정 필드에서 4/5와 같은 계정 정보를 볼 수도 있습니다.

예를 들어 5개 중 4개가 표시되면 OU에 총 5개의 계정이 있고 그 중 4개는 성공적으로 등록되었지만 한 개의 계정은 OU 등록 프로세스 중에 등록에 실패했음을 의미합니다. 계정이 등록 사전 요구 사항을 충족하는지 확인한 후 OU 재등록을 선택하여 계정을 등록할 수 있습니다.

OU 등록을 위한 IAM 사용자 사전 요구 사항

이미 권한이 Admin 있더라도 OU 등록 작업을 수행할 때 (IAM) ID (사용자 또는 역할) 또는 IAM Identity Center 사용자 ID가 적절한 Account Factory 포트폴리오에 포함되어야 합니다. AWS Identity and Access Management 그렇지 않으면 등록 중에 프로비저닝된 제품을 생성할 수 없습니다. AWS Control Tower가 OU를 등록할 때 IAM 사용자의 자격 증명 또는 IAM ID 센터 사용자 자격 증명을 사용하기 때문에 오류가 발생합니다.

관련 포트폴리오는 AWS 컨트롤 타워에서 만든 것으로, AWS 컨트롤 타워 어카운트 팩토리 포트폴리오라고 합니다. 서비스 카탈로그 > 어카운트 팩토리 > AWS Control Tower 어카운트 팩토리 포트폴리오를 선택하여 해당 페이지로 이동하십시오. 그런 다음 그룹, 역할 및 사용자라는 탭을 선택하여 IAM 또는 IAM ID 센터 ID를 확인하십시오. 액세스 권한을 부여하는 방법에 대한 자세한 내용은 설명서를 참조하십시오. AWS Service Catalog