OU 기준 및 랜딩 존 버전의 호환성 - AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

OU 기준 및 랜딩 존 버전의 호환성

AWS Control Tower 기준을 사용하면 비즈니스에 필요한 경우 랜딩 존 수준이 아닌 OU 수준에서 거버넌스 표준을 설정할 수 있습니다. AWSControlTowerBaseline라는 기준을 사용하여 OU를 AWS Control Tower에 등록하는 데 도움이 됩니다.

참고

기준선은 랜딩 존 내에 안정적인 거버넌스 환경을 구축하기 위해 함께 작동하는 제어 및 리소스 그룹입니다.

OU에 베이스라인을 활성화하려면 AWS Control Tower에서 EnableBaseline API를 호출하여 현재 AWS Control Tower 랜딩 존 버전과 호환되는 기준 버전을 지정해야 합니다. 기준을 지정한 후에는 OU의 모든 구성원 계정이 OU에 대해 지정된 기준을 따릅니다. 즉, 새 계정에는 업데이트된 기준선이 제공되고 기존 구성원 계정은 새 기준선에 따라 관리됩니다.

기존 OU 및 계정에 대한 기준을 선택하지 않은 경우 기본적으로 landing Zone 버전에 따라 전체 거버넌스 상태가 결정됩니다. 하지만 랜딩 존에 등록된 각 OU에는 기본 버전이 할당되며, 이는 현재 랜딩 존 버전과 호환되는 최신 베이스라인입니다. 따라서 기준선을 구체적으로 할당하지 않았더라도 각 OU와 등록된 구성원 계정에는 관련 기준선이 있습니다.

OU 수준 기준의 경우 다음 표는 기준선과 AWS Control Tower 랜딩 존 버전의 호환성을 보여줍니다. AWSControlTowerBaseline

베이스라인 버전 랜딩 존 버전 포함된 청사진 포함된 컨트롤 이전 베이스라인과의 변경

1.0

2.0에서 2.7로

BP_베이스라인_클라우드트레일, BP_베이스라인_클라우드워치, BP_베이스라인_구성, BP_베이스라인_역할, BP_베이스라인_서비스_역할, IAM 리소스

모든 필수 제어

None

2.0

2.8 - 2.9

BP_BASELINE_CLOUDTRAIL, BP_BASELINE_CLOUDWATCH, BP_베이스라인_구성, BP_베이스라인_역할, BP_BASELINE_SERVICE_ROLES, 구성 SLR, IAM 리소스

모든 필수 제어

SLR을 AWS Config 사용하기 위한 서비스 연결 역할 (SLR) 및 새로운 Config 블루프린트가 추가되었습니다.

3.0

3.0에서 3.1까지

BP_BASELINE_CLOUDWATCH, BP_베이스라인_구성, BP_베이스라인_역할, BP_BASELINE_SERVICE_ROLES, 구성 SLR, IAM 리소스

모든 필수 제어

새 AWS Config 청사진. 글로벌 리소스를 홈 지역에만 기록하도록 변경하십시오. CloudTrail 블루프린트가 삭제되었습니다.

4.0

3.2에서 3.3까지

BP_BASELINE_CLOUDWATCH, BP_BASELINE_CONFIG, BP_BASELINE_SERVICE_ROLE, BP_BASELINE_SERVICE_ROLE, 구성 SLR, IAM 리소스

모든 필수 제어

새로운 SLR 블루프린트

landing Zone을 설정할 때 계정에서 생성되는 특정 리소스에 대한 자세한 내용은 공유 계정에서 생성되는 리소스를 참조하십시오.

새로운 기본 버전을 지원하는 버전으로 랜딩 존을 업데이트하고 새 랜딩 존 버전이 기존 AWSControlTowerBaseline 기본 버전과 호환되는 경우 OU 상태가 업데이트 가능으로 변경됩니다.

  • 2.x에서 3.x로 landing Zone을 업데이트하는 경우를 제외하고 OU 기준을 즉시 업데이트하지 않고도 어카운트 팩토리 및 기타 기능을 계속 사용할 수 있습니다.

  • 이 OU에 등록된 새 계정은 기본 버전이 업데이트될 때까지 (콘솔의 관리 확장 기능 또는 API를 통해) 기존 기준 버전을 기반으로 리소스를 받습니다. UpdateEnabledBaseline

  • 기본 버전을 업데이트하면 해당 OU 내의 모든 계정에 새 기본 버전에 기반한 리소스가 제공됩니다.

참고

AWS Control Tower 랜딩 존을 버전 2.X에서 원하는 버전 3.X로 업데이트하는 경우, 계정 수준에서 조직 수준 트레일로 변경되었으므로 OU의 기본 버전도 업데이트해야 합니다. AWS CloudTrail 콘솔에서 OU에는 업데이트 필요 상태가 표시됩니다.

기준 고려 사항

  • OU에 기본 업데이트가 필요한 경우 새 계정을 프로비전하거나 기존 계정을 해당 OU에 등록할 수 없습니다.

  • Landing Zone 업데이트 후 OU 기준선도 업데이트하려는 경우 OU를 다시 등록하거나 프로그래밍 방식으로 OU 기준 버전을 업데이트해야 합니다.

  • 사용 중인 랜딩 존 버전에서 호환되는 가장 높은 베이스라인으로 업데이트하여 랜딩 존과 베이스라인을 결합하여 제공하는 모든 이점을 얻을 수 있도록 하는 것이 좋습니다. 예를 들어, landing zone 버전 3.3으로 업데이트하면 기본 3.0을 계속 사용할 수 있지만 기본 4.0으로 업데이트하지 않는 한 landing Zone 버전 3.3의 모든 이점을 얻을 수는 없습니다.

  • 베이스라인 업데이트는 롤백할 수 없습니다.

  • 기본 활성화는 한 번에 하나의 OU를 대상으로 합니다. 따라서 부모 OU가 업데이트될 때 중첩된 OU는 자동으로 업데이트되지 않습니다. 중첩된 OU를 업데이트하기 전에 상위 OU를 업데이트하는 것이 좋습니다.

  • UpdateEnabledBaselineAPI를 호출하거나 콘솔에서 OU를 재등록하는 경우 OU는 기본 업데이트 이전에 활성화된 모든 컨트롤을 유지합니다.

  • 여러 베이스라인 버전이 랜딩 존 버전과 호환되는 경우, 관리되지 않는 OU에서 베이스라인을 활성화하는 경우 최신 베이스라인 버전을 사용해야 합니다.