AWS 리전이 AWS Control Tower에서 작동하는 방식 - AWS Control Tower
AWS Control Tower 리전 구성OU 수준 리전 거부 제어에 대한 고려 사항

AWS 리전이 AWS Control Tower에서 작동하는 방식

현재 AWS Control Tower는 다음 AWS 리전에서 지원됩니다.

  • 미국 동부(버지니아 북부)

  • 미국 동부(오하이오)

  • 미국 서부(오레곤)

  • 캐나다(중부)

  • 아시아 태평양(시드니)

  • 아시아 태평양(싱가포르)

  • 유럽(프랑크푸르트)

  • 유럽(아일랜드)

  • Europe (London)

  • 유럽(스톡홀름)

  • 아시아 태평양(뭄바이)

  • 아시아 태평양(서울)

  • 아시아 태평양(도쿄)

  • 유럽(파리)

  • 남아메리카(상파울루)

  • 미국 서부(캘리포니아 북부)

  • 아시아 태평양(홍콩)

  • 아시아 태평양(자카르타)

  • 아시아 태평양(오사카)

  • 유럽(밀라노)

  • 아프리카(케이프타운)

  • 중동(바레인)

  • 이스라엘(텔아비브)

  • 중동(UAE)

  • 유럽(스페인)

  • 아시아 태평양(하이데라바드)

  • 유럽(취리히)

  • 아시아 태평양(멜버른)

  • 캐나다 서부(캘거리)

  • 말레이시아(쿠알라룸푸르)

홈 리전 정보

랜딩 존을 만들면 AWS Management Console에 액세스하는 데 사용하는 리전이 AWS Control Tower의 홈 AWS 리전이 됩니다. 생성 프로세스 중에 일부 리소스가 홈 리전에 프로비저닝됩니다. OU 및 AWS 계정과 같은 기타 리소스는 글로벌 리소스입니다.

홈 리전을 선택한 후에는 변경할 수 없습니다.

제어 및 리전

현재 모든 예방 제어는 전역적으로 작동합니다. 그러나 탐지 제어와 선제적 제어는 AWS Control Tower가 지원되는 리전에서만 작동합니다. 새 리전에서 AWS Control Tower를 활성화할 때 제어의 동작에 대한 자세한 내용은 AWS Control Tower 리전 구성 섹션을 참조하세요.

AWS Control Tower 리전 구성

이 섹션에서는 AWS Control Tower 랜딩 존을 새 AWS 리전으로 확장하거나 랜딩 존 구성에서 리전을 제거할 때 예상할 수 있는 동작을 설명합니다. 일반적으로 이 작업은 AWS Control Tower 콘솔의 업데이트 기능을 통해 수행됩니다.

참고

따라서 워크로드를 실행할 필요가 없는 AWS 리전으로 AWS Control Tower 랜딩 존을 확장하지 않는 것이 좋습니다. 특정 리전을 옵트아웃한다고 해서 해당 리전에 리소스를 배포할 수 없는 것은 아니지만 해당 리소스는 AWS Control Tower 거버넌스 밖에 유지됩니다.

새 리전을 구성하는 동안 AWS Control Tower는 랜딩 존을 업데이트합니다. 즉, 해당 랜딩 존을 기준으로 설정하여 다음을 수행합니다.

  • 새로 선택한 모든 리전에서 랜딩 존이 정상적으로 작동하도록 합니다.

  • 선택 취소된 리전의 리소스 관리를 중지합니다.

AWS Control Tower에서 관리하는 조직 단위(OU) 내의 개별 계정은 이 랜딩 존 업데이트 프로세스의 일부로 업데이트되지 않습니다. 따라서 OU 재등록을 통해 계정을 업데이트해야 합니다.

AWS Control Tower 리전을 구성할 때는 다음 권장 사항 및 제한 사항에 유의하세요.

  • AWS 리소스 또는 워크로드를 호스팅하려는 리전을 선택합니다.

  • 특정 리전을 옵트아웃한다고 해서 해당 리전에 리소스를 배포할 수 없는 것은 아니지만 해당 리소스는 AWS Control Tower 거버넌스 밖에 유지됩니다.

새 리전에 대해 랜딩 존을 구성할 때 AWS Control Tower 탐지 제어는 다음 규칙을 준수합니다.

  • 기존 요소의 가드레일 동작은 동일하게 유지. 기존 계정, 기존 OU 및 기존 리전의 탐지 및 예방 제어 동작은 변경되지 않습니다.

  • 업데이트되지 않은 계정이 포함된 기존 OU에는 새 탐지 제어를 적용할 수 없음. 랜딩 존을 업데이트하여 AWS Control Tower 랜딩 존을 새 리전으로 구성한 경우 기존 OU의 기존 계정을 업데이트해야 해당 OU와 계정에 새 탐지 제어를 활성화할 수 있습니다.

  • 계정을 업데이트하는 즉시 기존 탐지 제어가 새로 구성된 리전에서 작동하기 시작함. AWS Control Tower 랜딩 존을 업데이트하여 새 리전을 구성한 다음 계정을 업데이트하면 OU에서 이미 활성화되어 있는 탐지 제어가 새로 구성된 리전의 해당 계정에서 작동하기 시작합니다.

AWS Control Tower 리전 구성

  1. AWS Control Tower 콘솔(https://console.aws.amazon.com/controltower)에 로그인합니다.

  2. 왼쪽 창 탐색 메뉴에서 랜딩 존 설정을 선택합니다.

  3. 랜딩 존 설정 페이지의 세부 정보 섹션에서 오른쪽 상단의 설정 수정 버튼을 선택합니다. 새 리전을 관리하거나 거버넌스에서 리전을 제거하려면 최신 랜딩 존 버전으로 업데이트해야 하므로 랜딩 존 업데이트 워크플로로 이동합니다.

  4. 거버넌스를 위한 추가 AWS 리전에서 관리(또는 관리 중지)하려는 리전을 검색합니다. 상태 열에는 현재 관리하는 리전과 관리하지 않는 리전이 표시됩니다.

  5. 관리할 각 추가 리전의 확인란을 선택합니다. 거버넌스를 제거하려는 각 리전의 확인란을 선택 취소합니다.

    참고

    리전을 관리하지 않기로 선택하는 경우에도 해당 리전에 리소스를 배포할 수 있지만 해당 리소스는 AWS Control Tower 거버넌스 밖에 유지됩니다.

  6. 워크플로의 나머지 부분을 완료한 다음 랜딩 존 업데이트를 선택합니다.

  7. 랜딩 존 설정이 완료되면 OU를 재등록하여 새 리전의 계정을 업데이트합니다. 자세한 내용은 AWS Control Tower OU 및 계정을 업데이트해야 하는 경우 섹션을 참조하세요.

새 리전을 구성한 후 개별 계정을 프로비저닝하거나 업데이트하는 다른 방법은 Service Catalog의 API 프레임워크AWS CLI를 사용하여 배치 프로세스에서 계정을 업데이트하는 것입니다. 자세한 내용은 자동화를 사용하여 계정 프로비저닝 및 업데이트 섹션을 참조하세요.

OU 수준 리전 거부 제어에 대한 고려 사항

OU 수준 리전 거부 제어의 주요 고려 사항은 두 제어가 모두 활성화되는 경우 랜딩 존 리전 거부 제어와 상호 작용하는 방식을 결정하는 것입니다. 자세한 내용은 OU에 적용된 리전 거부 제어를 참조하세요.

리전 거부 제어 구성을 검토할 수도 있습니다.