AWS Control Tower에 기존 조직 단위 등록

여러 기존 AWS 계정을 AWS Control Tower로 가져오는 효율적인 방법은 AWS Control Tower의 거버넌스를 전체 조직 단위(OU)로 확장하는 것입니다.

AWS Organizations및 해당 계정으로 생성된 기존 OU에 대해 AWS Control Tower 거버넌스를 활성화하려면 OU를 AWS Control Tower 랜딩 영역에 등록합니다. 최대 1,000OUs개의 계정이 포함된를 등록할 수 있습니다. OU에 1,000개 이상의 계정이 포함된 경우 AWS Control Tower에 등록할 수 없습니다.

OU를 등록하면 해당 멤버 계정이 AWS Control Tower 랜딩 영역에 등록됩니다. OU에 적용되는 제어에 의해 관리됩니다.

OU를 등록할 때 내 계정은 어떻게 되나요?

AWS Control Tower에는가 조직의 계정에 스택을 자동으로 배포할 수 있도록 AWS CloudFormation 와 간에 AWS Organizations 사용자를 대신하여 신뢰할 AWS CloudFormation 수 있는 액세스를 설정할 수 있는 권한이 필요합니다.

OU 등록 후 계정의 부분 등록

OU 등록이 성공한 후에도 특정 계정은 등록되지 않은 상태로 남아 있을 수 있습니다. 이러한 계정은 등록을 위한 일부 사전 조건을 충족하지 못한 것입니다. OU 등록 프로세스의 일부로 계정 등록이 성공하지 못하면 계정 페이지의 계정 상태에 등록 실패가 표시됩니다. 또한 OU 페이지의 계정 필드에 4/5와 같은 계정 정보가 표시될 수도 있습니다.

예를 들어 4/5가 표시되면 OU에 총 5개의 계정이 있고 이 중 4개가 성공적으로 등록되었지만 OU 등록 프로세스 중에 한 계정이 등록되지 않았음을 의미합니다. 계정이 등록 사전 조건을 충족하는지 확인한 후 OU 재등록을 선택하여 계정을 등록으로 가져올 수 있습니다.

IAM OU 등록을 위한 사용자 사전 조건

이미 Admin 권한이 있더라도 OU 등록 작업을 수행할 때 적절한 Account Factory 포트폴리오에 AWS Identity and Access Management (IAM) 자격 증명(사용자 또는 역할) 또는 IAM Identity Center 사용자 자격 증명을 포함해야 합니다. 그렇지 않으면 등록 중에 프로비저닝된 제품의 생성이 실패합니다. AWS Control Tower는 OU를 등록할 때 IAM 사용자 또는 IAM Identity Center 사용자 자격 증명에 의존하기 때문에 오류가 발생합니다.

관련 포트폴리오는 AWS Control Tower AWS Account Factory Portfolio라고 하는 Control Tower에서 생성한 포트폴리오입니다. 서비스 카탈로그 > 계정 팩토리 > AWS Control Tower 계정 팩토리 포트폴리오를 선택하여 해당 페이지로 이동합니다. 그런 다음 그룹, 역할 및 사용자라는 탭을 선택하여 IAM 또는 IAM Identity Center 자격 증명을 확인합니다. 액세스 권한 부여 방법에 대한 자세한 내용은 AWS Service Catalog설명서를 참조하세요.