기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
리전 구성 시 혼합 거버넌스 방지
AWS Control Tower 거버넌스를 새 로 확장한 후 AWS 리전, 그리고 리전에서 AWS Control Tower 거버넌스를 제거한 후에는 OU의 모든 계정을 업데이트하는 것이 중요합니다.
혼합 거버넌스는 OU를 관리하는 제어가 OU 내의 각 계정을 관리하는 제어와 완전히 일치하지 않는 경우 발생할 수 있는 바람직하지 않은 상황입니다. AWS Control Tower가 거버넌스를 새로운 로 확장 AWS 리전하거나 거버넌스를 제거한 후 계정이 업데이트되지 않으면 OU에서 혼합 거버넌스가 발생합니다.
이 경우 OU 내의 특정 계정은 OU의 다른 계정과 비교할 때 또는 랜딩존의 전체 거버넌스 상태와 비교할 때 리전마다 서로 다른 제어가 적용될 수 있습니다.
혼합 거버넌스가 있는 OU에서 새 계정을 프로비저닝하는 경우 새 계정은 랜딩 존과 동일한(업데이트된) 리전 및 OU 거버넌스 상태를 수신합니다. 그러나 아직 업데이트되지 않은 기존 계정은 업데이트된 리전 거버넌스 상태를 수신하지 않습니다.
일반적으로 혼합 거버넌스는 AWS Control Tower 콘솔에서 모순되거나 부정확한 상태 표시기를 생성할 수 있습니다. 예를 들어, 혼합 거버넌스 동안에는 등록된 OU에서 아직 업데이트되지 않은 계정의 옵트인 리전이 비관리형 상태로 표시됩니다.
참고
AWS Control Tower는 혼합 거버넌스 상태에서 제어를 활성화하는 것을 허용하지 않습니다.
혼합 거버넌스 중 제어 동작
-
OU의 일부 계정이 업데이트되지 않았기 때문에 혼합 거버넌스 중에 AWS Control Tower는 OU가 이미 관리된 것으로 표시된 리전에서 AWS Config 규칙(즉, 탐지 제어)을 기반으로 하는 제어를 일관되게 배포할 수 없습니다.
FAILED_TO_ENABLE
오류 메시지가 표시될 수 있습니다. -
혼합 거버넌스 중에 OU의 계정이 아직 업데이트되지 않은 상태에서 랜딩 존의 거버넌스를 옵트인 리전으로 확장하면 탐지 및 선제적 제어를 위해 OU의
EnableControl
API 작업이 실패합니다. OU 내의 업데이트되지 않은 멤버 계정이 아직 해당 리전에 옵트인되지 않았기 때문에FAILED_TO_ENABLE
오류 메시지가 수신됩니다. -
혼합 거버넌스 중에 Security Hub 서비스 관리형 표준: AWS Control Tower의 일부인 제어는 랜딩 존 구성과 업데이트되지 않은 계정 간에 불일치가 있는 리전에서 규정 준수를 정확하게 보고할 수 없습니다.
-
혼합 거버넌스는 SCP 기반 제어(예방 제어)의 동작을 변경하지 않으며, 이는 모든 관리형 리전의 OU에 있는 모든 계정에 균일하게 적용됩니다.
참고
혼합 거버넌스는 드리프트와 동일하지 않으며 드리프트로 보고되지 않습니다.
혼합 거버넌스를 해결하려면
-
콘솔의 조직 페이지에서 업데이트 사용 가능 상태를 표시하는 OU의 각 계정에 대해 계정 업데이트를 선택합니다.
-
조직 페이지에서 OU 재등록을 선택하면 계정이 1,000개 미만인 OU의 경우 OU의 모든 계정이 자동으로 업데이트됩니다.