AWS 리전이 AWS Control Tower와 작동하는 방식 - AWS Control Tower
AWS Control Tower 리전 구성OU 수준 리전 거부 제어에 대한 고려 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS 리전이 AWS Control Tower와 작동하는 방식

현재 AWS Control Tower는 다음 AWS 리전에서 지원됩니다.

  • 미국 동부(버지니아 북부)

  • 미국 동부(오하이오)

  • 미국 서부(오레곤)

  • 캐나다(중부)

  • 아시아 태평양(시드니)

  • 아시아 태평양(싱가포르)

  • 유럽(프랑크푸르트)

  • 유럽(아일랜드)

  • Europe (London)

  • 유럽(스톡홀름)

  • 아시아 태평양(뭄바이)

  • 아시아 태평양(서울)

  • 아시아 태평양(도쿄)

  • 유럽(파리)

  • 남아메리카(상파울루)

  • 미국 서부(캘리포니아 북부)

  • 아시아 태평양(홍콩)

  • 아시아 태평양(자카르타)

  • 아시아 태평양(오사카)

  • 유럽(밀라노)

  • 아프리카(케이프타운)

  • 중동(바레인)

  • 이스라엘(텔아비브)

  • 중동(UAE)

  • 유럽(스페인)

  • 아시아 태평양(하이데라바드)

  • 유럽(취리히)

  • 아시아 태평양(멜버른)

  • 캐나다 서부(캘거리)

홈 리전 정보

랜딩 영역을 생성하면 AWS 관리 콘솔에 액세스하는 데 사용 중인 리전이 AWS Control Tower의 홈 AWS 리전이 됩니다. 생성 프로세스 중에 일부 리소스가 홈 리전에 프로비저닝됩니다. OUs 및 AWS 계정과 같은 기타 리소스는 글로벌입니다.

홈 리전을 선택한 후에는 변경할 수 없습니다.

컨트롤 및 리전

현재 모든 예방 제어는 전 세계적으로 작동합니다. 그러나 탐지 및 사전 예방적 제어는 AWS Control Tower가 지원되는 리전에서만 작동합니다. 새 리전에서 Control Tower를 활성화할 때의 AWS 제어 동작에 대한 자세한 내용은 섹션을 참조하세요AWS Control Tower 리전 구성.

AWS Control Tower 리전 구성

이 섹션에서는 AWS Control Tower 랜딩 존을 새 AWS 리전으로 확장하거나 랜딩 존 구성에서 리전을 제거할 때 예상할 수 있는 동작을 설명합니다. 일반적으로 이 작업은 AWS Control Tower 콘솔의 업데이트 함수를 통해 수행됩니다.

참고

워크로드를 실행할 필요가 없는 AWS 리전으로 AWS Control Tower 랜딩 영역을 확장하지 않는 것이 좋습니다. 리전에서 옵트아웃해도 해당 리전에 리소스를 배포할 수 없지만 해당 리소스는 AWS Control Tower 거버넌스 외부에 유지됩니다.

새 리전을 구성하는 동안 AWS Control Tower는 랜딩 존을 업데이트합니다. 즉, 랜딩 존을 기준으로 합니다.

  • 새로 선택한 모든 리전에서 적극적으로 작동하려면

  • 선택 취소된 리전의 리소스 관리를 중지합니다.

AWS Control Tower에서 관리하는 조직 단위(OUs) 내의 개별 계정은 이 랜딩 존 업데이트 프로세스의 일부로 업데이트되지 않습니다. 따라서 를 다시 등록하여 계정을 업데이트해야 합니다OUs.

AWS Control Tower 리전을 구성할 때는 다음 권장 사항 및 제한 사항에 유의하세요.

  • AWS 리소스 또는 워크로드를 호스팅하려는 리전을 선택합니다.

  • 리전에서 옵트아웃해도 해당 리전에 리소스를 배포할 수 없지만 해당 리소스는 AWS Control Tower 거버넌스 외부에 유지됩니다.

새 리전에 대해 랜딩 존을 구성할 때 AWS Control Tower 탐지 제어는 다음 규칙을 준수합니다.

  • 기존 요소의 가드레일 동작은 동일하게 유지. 탐지 및 예방 제어 동작은 기존 OUs리전의 기존 계정에 대해 변경되지 않습니다.

  • 업데이트되지 않은 기존 OUs 포함 계정에는 새 탐지 제어를 적용할 수 없습니다. AWS Control Tower 랜딩 존을 새 리전으로 구성한 경우(랜딩 존을 업데이트하여) 기존 계정의 기존 계정을 업데이트해야 해당 OUs 및 계정에 대해 새 탐지 제어를 활성화할 OUs 수 있습니다.

  • 계정을 업데이트하는 즉시 기존 탐지 제어가 새로 구성된 리전에서 작동하기 시작합니다. AWS Control Tower 랜딩 영역을 업데이트하여 새 리전을 구성한 다음 계정을 업데이트하면 OU에서 이미 활성화된 탐지 제어가 새로 구성된 리전의 해당 계정에서 작업을 시작합니다.

AWS Control Tower 리전 구성

  1. 에서 AWS Control Tower 콘솔에 로그인 https://console.aws.amazon.com/controltower

  2. 왼쪽 창 탐색 메뉴에서 랜딩 영역 설정 을 선택합니다.

  3. 랜딩 영역 설정 페이지의 세부 정보 섹션에서 오른쪽 상단의 설정 수정 버튼을 선택합니다. 새 리전을 관리하거나 거버넌스에서 리전을 제거하려면 최신 랜딩 영역 버전으로 업데이트해야 하므로 랜딩 영역 업데이트 워크플로로 이동합니다.

  4. 거버넌스 에 대한 추가 AWS 리전에서 관리하려는 리전을 검색합니다(또는 관리 중지). 상태 열은 현재 관리하는 리전과 관리하지 않는 리전을 나타냅니다.

  5. 관리할 각 추가 리전의 확인란을 선택합니다. 거버넌스를 제거하는 각 리전의 확인란을 선택 취소합니다.

    참고

    리전을 관리하지 않기로 선택하는 경우에도 해당 리전에 리소스를 배포할 수 있지만 해당 리소스는 AWS Control Tower 거버넌스 외부에 유지됩니다.

  6. 워크플로의 나머지 부분을 완료한 다음 랜딩 영역 업데이트를 선택합니다.

  7. 랜딩 영역 설정이 완료되면 를 다시 등록OUs하여 새 리전의 계정을 업데이트합니다. 자세한 내용은 AWS Control Tower OUs 및 계정을 업데이트해야 하는 경우 단원을 참조하십시오.

새 리전을 구성한 후 개별 계정을 프로비저닝하거나 업데이트하는 다른 방법은 Service Catalog 및 의 API 프레임워크를 사용하여 배치 프로세스에서 계정을 업데이트하는 것입니다. AWS CLI 자세한 내용은 자동화를 사용하여 계정 프로비저닝 및 업데이트 단원을 참조하십시오.

OU 수준 리전 거부 제어에 대한 고려 사항

OU 수준 리전 거부 제어의 주요 고려 사항은 둘 다 활성화되면 랜딩 존 리전 거부 제어와 상호 작용하는 방식을 결정하는 것입니다. 자세한 내용은 OU에 적용된 리전 거부 제어를 참조하세요.

리전 거부 제어 구성 을 검토할 수도 있습니다.