기존 계정 등록 - AWS Control Tower
계정 등록 단계등록 실패의 일반적인 원인

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

기존 계정 등록

계정 등록 기능은 AWS Control Tower 콘솔에서 사용할 수 있으며, 기존 콘솔을 등록하여 AWS Control Tower의 적용을 AWS 계정 받도록 할 수 있습니다. 자세한 내용은 기존 등록 섹션을 참조하십시오. AWS 계정

등록 계정 기능은 랜딩 존이 드리프트 상태에 있지 않을 때 사용할 수 있습니다. 콘솔에서 이 기능을 보려면:

  • AWS Control Tower의 조직 페이지로 이동합니다.

  • 등록하려는 계정의 이름을 찾으십시오. 계정을 찾으려면 오른쪽 상단의 드롭다운 메뉴에서 계정만을 선택한 다음 필터링된 표에서 계정 이름을 찾으십시오.

  • 섹션에 표시된 대로 개별 계정을 등록하는 단계를 따르십시오. 계정 등록 단계

참고

기존 이메일 주소를 등록할 AWS 계정때는 기존 이메일 주소를 확인하십시오. 그렇지 않으면 새 계정이 생성될 수 있습니다.

특정 오류가 발생하면 페이지를 새로 고치고 다시 시도해야 할 수 있습니다. 랜딩 영역이 드리프트 상태인 경우 계정 등록 기능을 사용하지 못할 수 있습니다. 랜딩 존 드리프트가 해결될 때까지 Account Factory를 통해 새 계정을 프로비저닝해야 합니다.

AWS Control Tower 콘솔에서 계정을 등록할 때는 AWS Control Tower 콘솔을 사용하기 위한 관리자 액세스 권한과 함께 AWSServiceCatalogEndUserFullAccess 정책이 활성화된 사용자 계정으로 로그인해야 하며, 루트 사용자로 로그인할 수 없습니다.

등록한 계정은 다른 계정을 업데이트하는 것과 마찬가지로 AWS Control Tower 계정 팩토리를 통해 업데이트할 수 있습니다. AWS Service Catalog 업데이트 절차는 AWS Control Tower 또는 다음을 통해 계정 팩토리 계정을 업데이트하고 이전하십시오. AWS Service Catalog 단원에 나와 있습니다.

계정 등록 단계

기존 계정에 AdministratorAccess권한 (정책) 이 적용된 후 다음 단계에 따라 계정을 등록하십시오.

AWS Control Tower에 개인 계정을 등록하려면

  • AWS Control Tower 조직 페이지로 이동합니다.

  • 조직 페이지에서 등록할 자격이 있는 계정을 통해 섹션 상단의 작업 드롭다운 메뉴에서 등록을 선택할 수 있습니다. 또한 이러한 계정을 계정 세부 정보 페이지에서 볼 때 계정 등록 버튼이 표시됩니다.

  • 계정 등록을 선택하면 계정 등록 페이지가 나타나고 계정에 AWSControlTowerExecution 역할을 추가하라는 메시지가 표시됩니다. 일부 지침은 을 참조하십시오. 필요한 IAM 역할을 기존 역할에 수동으로 AWS 계정 추가하고 등록하십시오.

  • 그런 다음 드롭다운 목록에서 등록된 OU를 선택합니다. 계정이 이미 등록된 OU에 있는 경우 이 목록에 OU가 표시됩니다.

  • 계정 등록을 선택합니다.

  • AWSControlTowerExecution역할을 추가하고 작업을 확인하라는 양식 알림이 표시됩니다.

  • [등록] 을 선택합니다.

  • AWS Control Tower가 등록 프로세스를 시작하고 계정 세부 정보 페이지로 돌아가게 됩니다.

등록 실패의 일반적인 원인

  • 기존 계정을 등록하려면 등록 중인 계정에 해당 AWSControlTowerExecution 역할이 있어야 합니다.

  • IAM 보안 주체에는 계정을 프로비저닝하는 데 필요한 권한이 부족할 수 있습니다.

  • AWS Security Token Service (AWS STS) 는 사용자 AWS 계정 거주 지역 또는 AWS Control Tower에서 지원하는 모든 지역에서 비활성화됩니다.

  • 의 Account Factory 포트폴리오에 추가해야 하는 계정에 로그인되어 있을 수 AWS Service Catalog있습니다. 계정을 추가해야 Account Factory에 액세스하여 AWS Control Tower에서 계정을 만들거나 등록할 수 있습니다. Account Factory 포트폴리오에 적절한 사용자 또는 역할을 추가하지 않은 경우 계정을 추가하려고 하면 오류 메시지가 표시됩니다. AWS Service Catalog 포트폴리오에 대한 액세스 권한을 부여하는 방법에 대한 지침은 사용자에게 액세스 권한 부여를 참조하십시오.

  • 루트로 로그인되어 있을 수 있습니다.

  • 등록하려는 계정의 AWS Config 설정이 남아 있을 수 있습니다. 특히 계정에는 구성 레코더 또는 전송 채널이 있을 수 있습니다. 계정을 등록하려면 AWS CLI 먼저 를 통해 삭제하거나 수정해야 합니다. 자세한 내용은 기존 AWS Config 리소스가 있는 계정 등록사용과 상호 작용하기 AWS Control TowerAWS CloudShell 섹션을 참조하세요.

  • 계정이 다른 AWS Control Tower OU를 포함하여 관리 계정을 가진 다른 OU에 속하는 경우, 다른 OU에 가입하려면 먼저 현재 OU에서 계정을 해지해야 합니다. 원래 OU에서 기존 리소스를 제거해야 합니다. 그렇지 않으면 등록이 실패합니다.

  • 대상 OU의 SCP에서 해당 계정에 필요한 모든 리소스를 생성할 수 없는 경우 계정 공급 및 등록이 실패합니다. 예를 들어 대상 OU의 SCP가 특정 태그가 없으면 리소스 생성을 차단할 수 있습니다. 이 경우 AWS Control Tower가 리소스 태그 지정을 지원하지 않기 때문에 계정 프로비저닝 또는 등록이 실패합니다. 도움이 필요하면 계정 담당자에게 문의하거나. AWS Support

새 계정을 만들거나 기존 계정을 등록할 때 AWS Control Tower가 역할을 처리하는 방법에 대한 자세한 내용은 역할 및 계정을 참조하십시오.

작은 정보

기존 계정이 등록 사전 요구 AWS 계정 사항을 충족하는지 확인할 수 없는 경우 등록 OU를 설정하고 해당 OU에 계정을 등록할 수 있습니다. 등록이 성공적으로 완료되면 계정을 원하는 OU로 이동할 수 있습니다. 등록이 실패할 경우 다른 계정이나 OU는 실패의 영향을 받지 않습니다.

기존 계정 및 해당 구성이 AWS Control Tower와 호환되는지 의심스러운 경우 다음 섹션에서 권장하는 모범 사례를 따를 수 있습니다.

권장 사항: 계정 등록에 대한 2단계 접근 방식을 설정할 수 있습니다.

  • 먼저, 규정 AWS Config 준수 팩을 사용하여 일부 AWS Control Tower 제어 항목이 계정에 어떤 영향을 미칠 수 있는지 평가하십시오. AWS Control Tower 등록이 계정에 어떤 영향을 미칠 수 있는지 알아보려면 적합성 팩을 사용한 AWS AWS Config Control Tower 거버넌스 확장을 참조하십시오.

  • 그런 다음 계정을 등록할 수 있습니다. 규정 준수 결과가 만족스럽다면 예기치 않은 결과 없이 계정을 등록할 수 있으므로 마이그레이션 과정이 더 원활해집니다.

  • 평가를 완료한 후 AWS Control Tower 랜딩 존을 설정하기로 결정했다면 평가를 위해 생성된 AWS Config 전송 채널 및 구성 레코더를 제거해야 할 수 있습니다. 그러면 AWS Control Tower를 성공적으로 설정할 수 있습니다.

참고

적합성 팩은 계정이 AWS Control Tower에서 등록한 OU에 위치하지만 워크로드는 AWS Control Tower가 지원하지 않는 AWS 지역 내에서 실행되는 상황에서도 사용할 수 있습니다. 적합성 팩을 사용하여 AWS Control Tower가 배포되지 않은 지역에 있는 계정의 리소스를 관리할 수 있습니다.