랜딩 존 설정을 위한 관리 팁

• 가장 많은 작업을 수행하는 AWS 리전은 홈 리전이어야 합니다.

• 랜딩 존을 설정하고 홈 리전 내에서 Account Factory 계정을 배포합니다.

• 여러 AWS 리전에 투자하는 경우 클라우드 리소스가 대부분의 클라우드 관리 작업을 수행하고 워크로드를 실행할 리전에 있는지 확인합니다.

• 워크로드와 로그를 동일한 AWS 리전에 유지하면 리전 간 로그 정보 이동 및 검색과 관련된 비용을 줄일 수 있습니다.

• 감사 및 기타 Amazon S3 버킷은 AWS Control Tower를 시작한 리전과 동일한 AWS 리전에 생성됩니다. 이러한 버킷은 이동하지 않는 것이 좋습니다.

• 로그 아카이브 계정에서 자체 로그 버킷을 만들 수 있지만 권장하지는 않습니다. AWS Control Tower에서 생성한 버킷을 그대로 두어야 합니다.

• Amazon S3 액세스 로그는 소스 버킷과 동일한 AWS 리전에 있어야 합니다.

• 시작할 때 AWS Control Tower에서 지원하는 모든 리전에 대해 관리 계정에서 AWS 보안 토큰 서비스(STS) 엔드포인트를 활성화해야 합니다. 그렇지 않으면 중간에 구성 프로세스에서 시작이 실패할 수 있습니다.

• AWS Control Tower는 활성화된 제어에 대해서만 태그 지정을 지원합니다. 자세한 내용은 AWS Control Tower가 활성화된 제어에 대해 태그 지정을 지원함 단원을 참조하십시오.

• AWS Control Tower가 관리하는 모든 계정에 대해 다중 인증(MFA)을 활성화하는 것이 좋습니다.

VPC에 대한 고려 사항

• AWS Control Tower에서 생성한 VPC는 AWS Control Tower를 사용할 수 있는 AWS 리전 로 제한됩니다. 해당 워크로드가 지원되지 않는 리전에서 실행되는 일부 고객은 Account Factory 계정으로 생성된 VPC를 비활성화할 수 있습니다. Service Catalog 포트폴리오를 사용하여 새 VPC를 생성하거나 필요한 리전에서만 실행되는 사용자 지정 VPC를 생성할 수 있습니다.

• AWS Control Tower에서 생성된 VPC는 모든 AWS 계정에 대해 생성된 기본 VPC와 다릅니다. AWS Control Tower가 지원되는 리전에서는 AWS Control Tower가 AWS Control Tower VPC를 생성할 때 기본 VPC를 삭제합니다.

• 홈 AWS 리전에서 기본 VPC를 삭제하는 경우 다른 모든 AWS 리전에서 삭제하는 것이 가장 좋습니다.