AWS Organizations 지침

AWS Organizations 설명서에서 AWS Control Tower 관리 계정 및 멤버 계정의 보안을 보호하기 위한 모범 사례에 대한 지침을 찾을 수 있습니다.

AWS Control Tower에 등록된 OU에 연결된 기존 서비스 제어 정책(SCPs)을 업데이트하지 마십시오. 사용하는 경우 제어가 알 수 없는 상태로 전환되어 랜딩 존을 재설정하거나 AWS Control Tower에 OU를 재등록해야 할 수 있습니다. 대신 AWS Organizations 를 사용하여 AWS Control Tower가 생성한 SCPs를 편집하는 대신 새 SCPs를 생성하고 OUs에 연결할 수 있습니다.

이미 등록된 개별 계정을 등록된 OU 외부에서 AWS Control Tower로 이동하면 해결이 필요한 드리프트가 발생합니다. 거버넌스 드리프트 유형을 참조하세요.

AWS Organizations 를 사용하여 AWS Control Tower에 등록된 조직 내에서 계정을 생성, 초대 또는 이동하는 경우 해당 계정은 AWS Control Tower에 등록되지 않으며 이러한 변경 사항은 기록되지 않습니다. SSO를 통해 이러한 계정에 액세스해야 하는 경우 멤버 계정 액세스를 참조하세요.

AWS Organizations 를 사용하여 AWS Control Tower에서 생성한 조직으로 OU를 이동하는 경우 외부 OU는 AWS Control Tower에 등록되지 않습니다.

AWS Control Tower는 권한 필터링을 AWS Organizations 처리하는 것과 다르게 처리합니다. 계정이 AWS Control Tower 계정 팩토리로 프로비저닝된 경우 최종 사용자는 AWS Control Tower 콘솔에서 모든 OUs의 이름과 상위를 볼 수 있습니다. 이러한 이름과 상위를에서 AWS Organizations 직접 검색할 권한이 없더라도 마찬가지입니다.

AWS Control Tower는 조직에 대한 혼합 권한(예: OU의 상위는 볼 수 있지만 OU 이름은 볼 수 없는 권한)을 지원하지 않습니다. 이러한 이유로 AWS Control Tower 관리자에게는 전체 권한이 있어야 합니다.

SCP를 AWS Organizations FullAWSAccess 적용해야 하며 다른 SCPs. 이 SCP에 대한 변경 사항은 드리프트로 보고되지 않지만 일부 변경 사항은 특정 리소스에 대한 액세스가 거부되는 경우 예측할 수 없는 방식으로 AWS Control Tower 기능에 영향을 미칠 수 있습니다. 예를 들어 SCP가 분리되거나 수정되는 경우 계정이 AWS Config 레코더에 대한 액세스 권한을 잃거나 CloudTrail 로깅에 누락이 발생할 수 있습니다.

API를 AWS Organizations DisableAWSServiceAccess 사용하여 랜딩 존을 설정한 조직에 대한 AWS Control Tower 서비스 액세스를 끄지 마세요. 이렇게 하면 AWS Organizations의 메시징 지원 없이는 특정 AWS Control Tower 드리프트 탐지 기능이 제대로 작동하지 않을 수 있습니다. 이러한 드리프트 탐지 기능은 AWS Control Tower가 조직 내 조직 단위, 계정 및 제어의 규정 준수 상태를 정확하게 보고할 수 있도록 보장하는 데 도움이 됩니다. 자세한 내용은 API_DisableAWSServiceAccessAWS Organizations API 참조의 섹션을 참조하세요.