기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Control Tower의 중첩된 OU
이 장에서는 AWS Control Tower에서 중첩된 OU로 작업할 때 알아야 할 기대 사항과 고려 사항에 대해 설명합니다. 대부분의 경우 중첩된 OU로 작업하는 것은 플랫 OU 구조로 작업하는 것과 동일합니다. **등록** 및 **재등록** 기능은 이 장에 설명하는 변경된 동작을 제외하고 중첩된 OU에서 작동합니다.
## 비디오 안내
이 비디오(4:46)에서는 AWS Control Tower에서 중첩된 OU 배포를 관리하는 방법을 설명합니다. 비디오의 오른쪽 하단 모서리에 있는 아이콘을 선택하여 전체 화면으로 확대하면 더 잘 보입니다. 자막을 사용할 수 있습니다.
[](http://www.youtube.com/watch?v=zisI5ZNO2kk)
중첩된 OU 및 랜딩 존의 모범 사례에 대한 지침은 블로그 게시물 [Organizing your AWS Control Tower landing zone with nested OUs](https://aws.amazon.com/blogs//mt/organizing-your-aws-control-tower-landing-zone-with-nested-ous/)를 참조하세요.
## 플랫 OU 구조에서 중첩된 OU 구조로 확장
플랫 OU 구조로 AWS Control Tower 랜딩 존을 생성한 경우 중첩된 OU 구조로 확장할 수 있습니다.
**이 프로세스에는 4가지 주요 단계가 있습니다.**
1. AWS Control Tower에서 원하는 중첩된 OU 구조를 생성합니다.
1. AWS Organizations 콘솔로 이동하여 대량 이동 기능을 사용하여 계정을 소스 OU(플랫)에서 대상 OU(중첩)로 이동합니다. 그 방법은 다음과 같습니다.
1. 이동하려는 계정이 포함되어 있는 OU로 이동합니다.
1. OU의 모든 계정을 선택합니다.
1. **이동**을 선택합니다.
**참고**
AWS Control Tower에는 **이동** 기능이 없으므로 AWS Organizations 콘솔의에서이 단계를 수행해야 합니다.
1. AWS Control Tower에서 중첩된 OU로 이동하여 **등록**하거나 **재등록**합니다. 중첩된 OU의 모든 계정이 등록됩니다.
+ AWS Control Tower에서 OU를 생성한 경우 OU를 **재등록**합니다.
+ 에서 OU를 생성한 경우 OU를 처음 AWS Organizations**등록**합니다.
1. 계정을 이동하고 등록한 후 AWS Organizations 콘솔 또는 AWS Control Tower 콘솔에서 빈 최상위 OU를 삭제합니다.
## 중첩된 OU 등록 사전 확인
중첩된 OU 및 해당 멤버 계정의 성공적인 등록을 지원하기 위해 AWS Control Tower는 일련의 사전 확인을 수행합니다. 최상위 OU 또는 중첩된 OU를 등록할 때 동일한 사전 확인이 수행됩니다. 자세한 내용은 [Common causes of failure during registration or re-registration](https://docs.aws.amazon.com//controltower/latest/userguide/common-eg-failures.html)을 참조하세요.
+ 모든 사전 확인이 통과하면 AWS Control Tower가 자동으로 OU 등록을 시작합니다.
+ 사전 확인이 실패하면 AWS Control Tower는 등록 프로세스를 중지하고 OU를 등록하기 전에 수정해야 하는 항목의 목록을 제공합니다.
## 중첩된 OU 및 역할
AWS Control Tower는 대상 OU만 등록하려는 경우에도 대상 OU의 계정과 대상 OU에 중첩된 모든 OU의 계정에 `AWSControlTowerExecution` 역할을 배포합니다. 이 역할은 `AWSControlTowerExecution` 역할이 있는 모든 계정에 대한 **관리자** 권한을 관리 계정의 모든 사용자에게 부여합니다. 이 역할은 AWS Control Tower 제어에서 일반적으로 허용되지 않는 작업을 수행하는 데 사용할 수 있습니다.
아직 등록되지 않았고 등록하지 않을 계정에서 이 역할을 삭제할 수 있습니다. 이 역할을 삭제하면 해당 역할을 계정으로 복원하지 않는 한 AWS Control Tower에 계정을 등록하거나 직계 상위 OU를 등록할 수 없습니다. 다른 IAM 주체는 AWS Control Tower에서 관리하는 역할을 삭제할 수 없으므로 계정에서 `AWSControlTowerExecution` 역할을 삭제하려면 `AWSControlTowerExecution` 역할로 로그인해야 합니다.
역할 액세스를 제한하는 방법에 대한 자세한 내용은 [Optional conditions for your role trust relationships](https://docs.aws.amazon.com/controltower/latest/userguide/conditions-for-role-trust.html)를 참조하세요.
## 중첩된 OU 및 계정의 등록 및 재등록 중에 발생하는 일
중첩된 OU를 등록하거나 재등록하면 AWS Control Tower는 대상 OU의 등록되지 않은 모든 계정을 등록하고 등록된 모든 계정을 업데이트합니다. 예상되는 결과는 다음과 같습니다.
**AWS Control Tower는 다음 작업을 수행합니다.**
+ 이 OU의 등록되지 않은 모든 계정과 해당 중첩된 OU의 등록되지 않은 모든 계정에 `AWSControlTowerExecution` 역할을 추가합니다.
+ 등록되지 않은 멤버 계정을 등록합니다.
+ 등록된 멤버 계정을 재등록합니다.
+ 새로 등록된 멤버 계정에 대한 IAM Identity Center 로그인을 생성합니다.
+ 랜딩 존 변경 사항을 반영하도록 기존 등록 멤버 계정을 업데이트합니다.
+ 이 OU 및 해당 멤버 계정에 대해 구성된 제어를 업데이트합니다.
## 중첩된 OU 등록에 대한 고려 사항
+ 코어 OU(보안 OU)에 OU를 등록할 수 없습니다.
+ 중첩된 OU를 별도로 등록해야 합니다.
+ 해당 상위 OU가 등록된 경우가 아니면 OU를 등록할 수 없습니다.
+ 트리에서 상위의 모든 OU가 성공적으로 등록된 경우가 아니면(일부는 삭제되었을 수 있음) OU를 등록할 수 없습니다.
+ 드리프트된 상위 OU 아래에 있는 OU를 등록할 수는 있지만 해당 작업으로 드리프트가 복구되지는 않습니다.
## 중첩된 OU 제한 사항
+ OU 루트 아래에 최대 5개 수준까지 중첩될 수 있습니다.
+ 대상 OU 아래에 중첩된 OU는 별도로 등록하거나 재등록해야 합니다.
+ 대상 OU가 계층 구조에서 수준 2 이하인 경우, 즉 최상위 OU가 아닌 경우 상위 OU에 대해 활성화된 예방적 제어가 이 OU 및 그 아래의 모든 OU에 자동으로 적용됩니다.
+ OU 등록 실패는 계층 구조 트리 위로 전파되지 않습니다. 상위 OU 페이지에서 중첩된 OU의 상태에 대한 세부 정보를 볼 수 있습니다.
+ OU 등록 실패는 계층 구조 트리 아래로 전파되지 않습니다.
+ AWS Control Tower는 신규 또는 기존 계정에 대한 VPC 설정을 수정하지 않습니다.
## 중첩된 OU 및 규정 준수
AWS Control Tower 콘솔의 **조직** 페이지에서 규정을 준수하지 않는 OU 및 계정을 볼 수 있으므로 규정 준수 상태를 한눈에 파악할 수 있습니다.
**중첩된 OU 및 계정의 규정 준수 고려 사항**
+ OU의 규정 준수는 그 아래 중첩된 OU의 규정 준수에 따라 결정되지 않습니다.
+ 제어의 규정 준수 상태는 중첩된 OU를 포함하여 해당 제어가 활성화된 모든 OU에 대해 계산됩니다. [OU 및 계정에 대한 AWS Control Tower 규정 준수 상태](https://docs.aws.amazon.com//controltower/latest/userguide/compliance-statuses.html)를 참조하세요.
+ OU는 OU 계층 구조상의 위치에 관계없이 규정 미준수 계정이 있는 경우에만 규정 미준수로 표시됩니다.
+ 중첩된 OU가 규정 미준수 상태라고 하더라도 그 상위 OU가 자동으로 규정 미준수로 간주되지는 않습니다.
+ **OU 세부 정보** 또는 **계정 세부 정보** 페이지에서 OU 또는 계정에 규정 미준수 상태가 표시될 수 있는 규정 미준수 리소스 목록을 볼 수 있습니다.
## 중첩된 OU 및 드리프트
특정 상황에서는 드리프트가 중첩된 OU의 등록을 방해할 수 있습니다.
**드리프트 및 중첩된 OU에 대한 기대 사항**
+ 드리프트된 상위가 있는 OU에 대해서는 제어를 활성화할 수 있지만 드리프트된 OU 자체에 대해서는 제어를 직접 활성화할 수 없습니다.
+ 드리프트된 OU가 최상위가 아니라면 드리프트된 OU에서 탐지 제어를 활성화할 수 있습니다.
+ 필수 제어는 최상위 OU에서만 활성화됩니다. 중첩된 OU를 등록할 때에는 필수 제어는 건너뜁니다.
+ 하나의 필수 제어는 AWS Config 리소스를 보호하므로 중첩된 OUs를 등록하려면 해당 제어가 드리프트되지 않은 상태여야 합니다. 드리프트된 경우 AWS Control Tower는 중첩된 OU의 등록을 차단합니다.
+ 최상위 OU가 드리프트 상태인 경우 AWS Config 리소스를 보호하는 제어가 드리프트 상태일 수 있습니다. 이 경우 AWS Control Tower는 탐지 제어의 적용을 포함하여 AWS Config 리소스 생성 또는 업데이트가 필요한 모든 작업을 차단합니다.
## 중첩된 OU 및 제어
등록된 OU에서 제어를 활성화하면 예방 및 탐지 제어의 동작이 달라집니다. 중첩된 OU 경우 선제적 제어는 탐지 제어와 유사하게 작동합니다.
**예방적 제어**
+ 중첩된 OU에 예방적 제어가 적용됩니다.
+ 필수 예방적 제어는 OU 및 중첩된 OU의 모든 계정에 적용됩니다.
+ 예방적 제어는 대상 OU에 중첩된 모든 계정 및 OU에 영향을 미치며, 이는 해당 계정 및 OU가 등록되지 않은 경우에도 마찬가지입니다.
**탐지 및 선제적 제어**
+ 중첩된 OU는 탐지 또는 선제적 제어를 자동으로 상속하지 않으므로 별도로 활성화해야 합니다.
+ 탐지 및 선제적 제어는 랜딩 존의 운영 리전에 등록된 계정에만 배포됩니다.
**활성화된 제어 상태 및 상속**
**OU 세부 정보** 페이지에서 각 OU에 대한 상속된 제어를 볼 수 있습니다.
**작은 정보**
제어 상속을 사용하여 OU의 SCP 할당량을 유지할 수 있습니다. 예를 들어 중첩된 OU에 대해 직접 제어를 활성화하는 대신 OU 계층 구조의 최상위 OU에서 제어를 활성화할 수 있습니다.
**상속됨 상태**
+ **상속됨** 상태는 제어가 상속에 의해서만 활성화되고 OU에 직접 적용되지 않았음을 나타냅니다.
+ **활성화됨** 상태는 다른 OU의 상태와 관계없이 이 OU에 제어가 적용됨을 의미합니다.
+ **실패** 상태는 다른 OU의 상태와 관계없이 이 OU에 제어가 적용되지 않음을 의미합니다.
**참고**
**상속됨** 상태는 제어가 트리의 상위 OU에 적용되어 이 OU에 적용되었지만 이 OU에 직접 추가되지는 않았음을 나타냅니다.
**랜딩 존이 현재 버전이 아닌 경우**
**활성화된 제어** 테이블의 각 행은 하나의 개별 OU에서 활성화된 제어 하나를 나타냅니다.
## 중첩된 OU 및 루트
루트는 OU가 아니며 등록하거나 재등록할 수 없습니다. 루트에서 직접 계정을 생성할 수도 없습니다. 루트는 규정 미준수일 수 없으며 *등록됨* 또는 *드리프트*와 같은 수명 주기 상태를 가질 수 없습니다.
그러나 루트는 모든 계정과 OU의 최상위 컨테이너입니다. 중첩된 OU의 컨텍스트에서 이 노드는 다른 모든 OU가 중첩된 노드입니다.