1단계: 랜딩 영역 구성 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

1단계: 랜딩 영역 구성

AWS Control Tower 랜딩 존을 설정하는 프로세스에는 여러 단계가 있습니다. AWS Control Tower 랜딩 존의 특정 측면은 구성 가능하지만 설정 후에는 다른 선택을 변경할 수 없습니다. 랜딩 존을 시작하기 전에 이러한 중요한 고려 사항에 대해 자세히 알아보려면 를 검토하세요랜딩 존 구성에 대한 기대 사항 .

AWS Control Tower 랜딩 영역 를 사용하기 전에 먼저 다른 AWS 서비스APIs에서 를 호출하여 시작 전에 랜딩 영역을 구성APIs해야 합니다. 이 프로세스에는 세 가지 주요 단계가 있습니다.

  • 새 AWS Organizations 조직 생성,

  • 공유 계정 이메일 주소 설정,

  • 및 랜딩 영역 을 호출하는 데 필요한 권한을 가진 IAM 역할 또는 IAM Identity Center 사용자 생성APIs.

단계 1. 랜딩 영역을 포함할 조직을 생성합니다.

  1. 를 AWS Organizations CreateOrganization 호출API하고 모든 기능을 활성화하여 기본 OU를 생성합니다. AWS Control Tower는 처음에 이를 보안 OU 로 명명합니다. 이 보안 OU에는 기본적으로 로그 아카이브 계정과 감사 계정이라고 하는 두 개의 공유 계정이 포함되어 있습니다.

    aws organizations create-organization --feature-set ALL

    AWS Control Tower는 하나 이상의 추가 OUs를 설정할 수 있습니다. 보안 OU 외에 랜딩 영역에 하나 이상의 추가 OU를 프로비저닝하는 것이 좋습니다. 이 추가 OU가 개발 프로젝트용인 경우 에 나와 있는 대로 Sandbox OU 라는 이름을 지정하는 것이 좋습니다AWS AWS Control Tower 랜딩 존에 대한 다중 계정 전략.

단계 2. 필요한 경우 공유 계정 프로비저닝:

랜딩 영역을 설정하려면 AWS Control Tower에 두 개의 이메일 주소가 필요합니다. 랜딩 영역을 사용하여 AWS Control TowerAPIs를 처음 설정하는 경우 기존 보안 및 로그 아카이브 AWS 계정을 사용해야 합니다. 기존 의 현재 이메일 주소를 사용할 수 있습니다 AWS 계정. 이러한 각 이메일 주소는 AWS Control Tower와 관련된 특정 작업을 수행할 엔터프라이즈의 다양한 사용자를 위한 공동 작업 받은 편지함인 공유 이메일 계정의 역할을 합니다.

새 랜딩 영역 설정을 시작하려면 기존 AWS 계정이 없는 경우 를 사용하여 보안 및 로그 아카이브 AWS 계정을 프로비저닝할 수 있습니다 AWS Organizations APIs.

  1. 를 AWS Organizations CreateAccount 호출API하여 보안 OU에서 로그 아카이브 계정 및 감사 계정을 생성합니다.

    aws organizations create-account --email mylog@example.com --account-name "Logging Account"
    aws organizations create-account --email mysecurity@example.com --account-name "Security Account"
  2. (선택 사항) DescribeAccount 를 사용하여 CreateAccount AWS Organizations 작업 상태를 확인합니다API.

단계 3. 필요한 서비스 역할 생성

AWS Control Tower가 랜딩 존을 설정하는 데 필요한 API 호출을 수행할 수 있도록 지원하는 다음 IAM 서비스 역할을 생성합니다.

이러한 역할 및 정책에 대한 자세한 내용은 섹션을 참조하세요AWS Control Tower에 대한 자격 증명 기반 정책 (IAM 정책) 사용.

IAM 역할 생성 방법:

  1. 모든 랜딩 영역 를 호출하는 데 필요한 권한이 있는 IAM 역할을 생성합니다APIs. 또는 IAM Identity Center 사용자를 생성하고 필요한 권한을 할당할 수 있습니다.

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "controltower:CreateLandingZone", "controltower:UpdateLandingZone", "controltower:ResetLandingZone", "controltower:DeleteLandingZone", "controltower:GetLandingZoneOperation", "controltower:GetLandingZone", "controltower:ListLandingZones", "controltower:ListLandingZoneOperations", "controltower:ListTagsForResource", "controltower:TagResource", "controltower:UntagResource", "servicecatalog:*", "organizations:*", "sso:*", "sso-directory:*", "logs:*", "cloudformation:*", "kms:*", "iam:GetRole", "iam:CreateRole", "iam:GetSAMLProvider", "iam:CreateSAMLProvider", "iam:CreateServiceLinkedRole", "iam:ListRolePolicies", "iam:PutRolePolicy", "iam:ListAttachedRolePolicies", "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy" ], "Resource": "*" } ] }