기존 계정 등록 - AWS Control Tower
계정 등록 단계등록 실패의 일반적인 원인

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

기존 계정 등록

계정 등록 기능은 AWS Control Tower 콘솔에서 AWS Control Tower에 의해 관리 AWS 계정 되도록 기존 를 등록하는 데 사용할 수 있습니다. 자세한 내용은 기존 등록을 AWS 계정 참조하세요.

계정 등록 기능은 랜딩 영역이 드리프트 상태가 아닐 때 사용할 수 있습니다. 콘솔에서 이 기능을 보려면:

  • AWS Control Tower의 조직 페이지로 이동합니다.

  • 등록하려는 계정의 이름을 찾습니다. 찾으려면 오른쪽 상단의 드롭다운 메뉴에서 계정만 선택한 다음 필터링된 테이블에서 계정 이름을 찾습니다.

  • 계정 등록 단계 섹션에 표시된 대로 개별 계정을 등록하는 단계를 따릅니다.

참고

기존 를 등록할 때는 기존 이메일 주소를 확인해야 AWS 계정합니다. 그렇지 않으면 새 계정이 생성될 수 있습니다.

특정 오류가 발생하면 페이지를 새로 고치고 다시 시도해야 할 수 있습니다. 랜딩 영역이 드리프트 상태인 경우 계정 등록 기능을 사용하지 못할 수 있습니다. 랜딩 영역 드리프트가 해결될 때까지 Account Factory를 통해 새 계정을 프로비저닝해야 합니다.

AWS Control Tower 콘솔에서 계정을 등록할 때는 AWS Control Tower 콘솔을 사용할 수 있는 관리자 액세스 권한과 함께 AWSServiceCatalogEndUserFullAccess 정책이 활성화된 사용자로 계정에 로그인해야 하며 루트 사용자로 로그인할 수 없습니다.

등록하는 계정은 다른 계정을 업데이트하는 것과 마찬가지로 AWS Service Catalog 및 AWS Control Tower 계정 팩토리를 통해 업데이트될 수 있습니다. 업데이트 절차는 AWS Control Tower 또는 를 사용하여 계정 공장 계정 업데이트 및 이동 AWS Service Catalog 단원에 나와 있습니다.

계정 등록 단계

기존 계정에 AdministratorAccess 권한(정책)이 적용되면 다음 단계에 따라 계정을 등록합니다.

AWS Control Tower에서 개별 계정을 등록하려면

  • AWS Control Tower 조직 페이지로 이동합니다.

  • 조직 페이지에서 등록할 수 있는 계정을 사용하면 섹션 상단의 작업 드롭다운 메뉴에서 등록을 선택할 수 있습니다. 이러한 계정은 계정 세부 정보 페이지에서 계정 등록 버튼을 볼 때도 표시됩니다.

  • 계정 등록을 선택하면 계정에 AWSControlTowerExecution 역할을 추가하라는 메시지가 표시되는 계정 등록 페이지가 표시됩니다. 몇 가지 지침은 섹션을 참조하세요필요한 IAM 역할을 기존 에 수동으로 추가 AWS 계정 하고 등록합니다..

  • 그런 다음 드롭다운 목록에서 등록된 OU를 선택합니다. 계정이 이미 등록된 OU에 있는 경우 이 목록에 OU가 표시됩니다.

  • 계정 등록을 선택합니다.

  • AWSControlTowerExecution 역할을 추가하고 작업을 확인하는 모달 알림이 표시됩니다.

  • 등록을 선택합니다.

  • AWS Control Tower가 등록 프로세스를 시작하면 계정 세부 정보 페이지로 돌아갑니다.

등록 실패의 일반적인 원인

  • 기존 계정을 등록하려면 등록하려는 계정에 AWSControlTowerExecution 역할이 있어야 합니다.

  • 보안 IAM 주체가 계정을 프로비저닝하는 데 필요한 권한이 부족할 수 있습니다.

  • AWS Security Token Service (AWS STS)는 홈 리전 또는 AWS Control Tower에서 지원하는 모든 리전의 AWS 계정 에서 비활성화됩니다.

  • 에서 계정 팩토리 포트폴리오에 추가해야 하는 계정에 로그인할 수 있습니다 AWS Service Catalog. AWS Control Tower에서 계정을 생성하거나 등록할 수 있도록 Account Factory에 액세스하려면 먼저 계정을 추가해야 합니다. 계정 팩토리 포트폴리오에 적절한 사용자 또는 역할이 추가되지 않은 경우 계정 추가를 시도할 때 오류가 발생합니다. AWS Service Catalog 포트폴리오에 대한 액세스 권한을 부여하는 방법에 대한 지침은 사용자에게 액세스 권한 부여를 참조하세요.

  • 루트로 로그인되어 있을 수 있습니다.

  • 등록하려는 계정에 잔여 AWS Config 설정이 있을 수 있습니다. 특히, 계정에는 구성 레코더 또는 전송 채널이 있을 수 있습니다. 계정을 등록 AWS CLI 하려면 먼저 를 통해 삭제하거나 수정해야 합니다. 자세한 내용은 기존 AWS Config 리소스가 있는 계정 등록를 AWS Control Tower 통해 와 상호 작용 AWS CloudShell 단원을 참조하세요.

  • 계정이 다른 AWS Control Tower OU를 포함하여 관리 계정이 있는 다른 OU에 속하는 경우 다른 OU에 가입하기 전에 현재 OU에서 계정을 종료해야 합니다. 기존 리소스는 원래 OU에서 제거해야 합니다. 그렇지 않으면 등록이 실패합니다.

  • 대상 OU에서 해당 계정에 필요한 모든 리소스를 생성할 수 SCPs 없는 경우 계정 프로비저닝 및 등록이 실패합니다. 예를 들어 대상 OUSCP의 는 특정 태그 없이 리소스 생성을 차단할 수 있습니다. 이 경우 AWS Control Tower는 리소스 태그 지정을 지원하지 않으므로 계정 프로비저닝 또는 등록이 실패합니다. 도움이 필요하면 계정 담당자 또는 에 문의하세요 AWS Support.

새 계정을 생성하거나 기존 계정을 등록할 때 AWS Control Tower가 역할을 사용하는 방법에 대한 자세한 내용은 역할 및 계정 섹션을 참조하세요.

작은 정보

기존 가 등록 사전 조건을 AWS 계정 충족하는지 확인할 수 없는 경우 등록 OU를 설정하고 해당 OU에 계정을 등록할 수 있습니다. 등록에 성공하면 계정을 원하는 OU로 이동할 수 있습니다. 등록이 실패하면 다른 계정이 없거나 실패의 OUs 영향을 받습니다.

기존 계정과 해당 구성이 AWS Control Tower와 호환되는지 확실하지 않은 경우 다음 섹션에서 권장하는 모범 사례를 따를 수 있습니다.

권장 사항: 계정 등록에 대한 2단계 접근 방식을 설정할 수 있습니다.

  • 먼저 AWS Config 적합성 팩을 사용하여 계정이 일부 AWS Control Tower 제어의 영향을 받을 수 있는 방법을 평가합니다. AWS Control Tower에 대한 등록이 계정에 미치는 영향을 확인하려면 AWS Config 적합성 팩을 사용하여 AWS Control Tower 거버넌스 확장을 참조하세요.

  • 그런 다음 계정을 등록할 수 있습니다. 규정 준수 결과가 만족스럽다면 예기치 않은 결과 없이 계정을 등록할 수 있으므로 마이그레이션 과정이 더 원활해집니다.

  • 평가를 완료한 후 AWS Control Tower 랜딩 존을 설정하기로 결정한 경우 평가를 위해 생성된 AWS Config 전송 채널 및 구성 레코더를 제거해야 할 수 있습니다. 그러면 AWS Control Tower를 성공적으로 설정할 수 있습니다.

참고

적합성 팩은 계정이 AWS Control Tower에 의해 OUs 등록된 에 있지만 워크로드가 AWS Control Tower를 지원하지 않는 AWS 리전 내에서 실행되는 상황에서도 작동합니다. 적합성 팩을 사용하여 AWS Control Tower가 배포되지 않은 리전에 있는 계정의 리소스를 관리할 수 있습니다.