계정 부분 등록 AWS Control Tower 콘솔과 기준 API 간의 작업 차이 기준 및 버전 관리 기본값

기준 유형

AWS Control Tower의 기준은 대상에 적용할 수 있는 리소스 및 특정 구성의 그룹입니다. 가장 일반적인 기준 대상은 조직 단위(OU)일 수 있습니다. 예를 들어 OU가 대상으로 선택된 기준을 활성화하여 해당 OU를 AWS Control Tower에 등록할 수 있습니다.

랜딩 존 설정 시 기준 대상은 공유 계정 또는 랜딩 존 전체가 될 수 있습니다. 랜딩 존 설정 및 구성에 따라 특정 기준을 활성화하고 업데이트할 수 있습니다. AWS Control Tower는 기준에서 지정하는 방식으로 리소스를 생성하고 대상에 배포합니다.

대상에 대해 기준을 활성화하면 기준은 EnabledBaseline 리소스라는 AWS CloudFormation 리소스로 표시됩니다.

AWS Control Tower에는 4가지 필수 기준 유형이 포함되어 있습니다.

AWS Control Tower에 등록된 OU 또는 기준을 적용하여 등록하려는 OU에 한 가지 유형을 적용할 수 있습니다.
초기 설정 또는 랜딩 존 업데이트 중에 랜딩 존 또는 공유 계정에 3가지 기준 유형을 적용할 수 있습니다.

OU 등록 및 업데이트를 위해 OU 수준에서 적용되는 기준 유형

이름: AWSControlTowerBaseline

설명: AWS Control Tower 거버넌스에 필요한 대상 OU 내의 멤버 계정에 대해 리소스 및 필수 제어를 설정합니다.

고려 사항: 이 기준은 랜딩 존 리전 거부 제어의 설정을 유지합니다. 즉, 특정 리전이 랜딩 존 수준에서 허용되지 않는 경우 EnableBaseline API를 직접 호출하여 OU를 등록할 때 해당 리전은 이 OU에 허용되지 않습니다.

참고
OU 수준 리전 거부 제어는 랜딩 존 리전 거부 제어가 허용하지 않는 리전을 허용할 수 없습니다.

자세한 내용은 AWS Organizations 설명서의 SCP가 거부와 함께 작동하는 방식을 참조하세요.

권장 사항: OU에 대해 EnableBaseline API를 직접 호출하기 전에 대상 OU가 워크로드를 실행하고 있는 리전을 확인하고 그 결과를 랜딩 존 리전 거부 제어와 비교하여 확인하는 것이 좋습니다. 그러지 않으면 특정 리전의 리소스에 대한 액세스 권한이 손실될 수 있습니다.

참고

랜딩 존 기준은 OU 수준 기준과 다르게 작동합니다.

AWS Control Tower는 랜딩 존 설정 및 업데이트 프로세스의 일부로 랜딩 존 수준에서 자동으로 적용되는 기준을 활성화합니다. 랜딩 존 설정을 변경하면 랜딩 존의 기준이 변경될 수 있습니다. 예를 들어, IAM Identity Center를 옵트인하면 AWS Control Tower가 랜딩 존에서 IdentityCenterBaseline 기준의 최신 버전을 활성화할 수 있습니다.

ListEnabledBaselines API 직접 호출을 통해 랜딩 존에 대해 활성화된 기준을 볼 수 있습니다.

랜딩 존 또는 공유 계정에 적용될 수 있는 기준 유형

이름: AuditBaseline

설명: 조직 내 계정의 보안 및 규정 준수를 모니터링하는 리소스를 설정합니다. 이 기준은 AWS Control Tower에서 배포하므로 변경할 수 없습니다.
이름: LogArchiveBaseline

설명: 조직 내 계정의 API 활동 및 리소스 구성의 로그를 위한 중앙 리포지토리를 설정합니다. 이 기준은 AWS Control Tower에서 배포하므로 변경할 수 없습니다.
이름: IdentityCenterBaseline

설명: 계정에 대한 Identity Center 액세스를 설정하기 위해 AWSControlTowerBaseline을 준비하는 IAM Identity Center에 대한 공유 리소스를 설정합니다.

고려 사항: 이 기준은 랜딩 존을 처음 설정할 때 IAM Identity Center를 ID 공급자로 선택한 경우 또는 이후 랜딩 존 설정을 변경하여 랜딩 존에 대해 IAM Identity Center를 활성화한 경우에만 작동합니다. 다른 ID 공급자를 사용하는 경우 이 기준을 활성화할 수 있는 액세스 권한이 없습니다.

계정 부분 등록

기준으로 작업할 때 계정을 부분적으로 등록됨 상태로 설정할 수 있습니다.

AWS Control Tower는 대상 OU의 계정에 필수 리소스만 적용하므로 ResetEnabledBaseline API를 직접 호출하여 OU를 재등록하면 이 상태가 발생할 수 있습니다. 상위 OU에 대한 선택적 리소스(제어)가 없는 계정은 부분적으로 등록됨으로 표시됩니다.

등록되지 않은 계정을 등록된 OU로 이동한 다음 OU에서 ResetEnabledBaseline API를 직접 호출하여 해당 계정을 등록하는 경우 AWS Control Tower는 AWSControlTowerBaseline과 연결된 리소스를 새로 등록된 계정에 적용합니다. 그러나 이 OU에 대해 활성화된 선택적 제어는 계정에 적용되지 않습니다. 계정은 부분적으로 등록됨 상태로 유지됩니다.

계정을 완전히 등록하려면 콘솔에서 계정 재등록 또는 업데이트를 선택합니다. 콘솔에서 이러한 작업을 선택하면 AWS Control Tower는 해당 OU에 대해 활성화된 선택적 제어를 포함하여 해당 OU의 모든 리소스를 새로 등록된 계정에 적용합니다.

AWS Control Tower 콘솔과 기준 API 간의 작업 차이

OU의 거버넌스 상태를 변경하면 기준 API를 통해 거버넌스를 변경하는 것보다 AWS Control Tower 콘솔이 더 많은 작업을 자동으로 수행합니다.

차이

등록 및 프로비저닝된 제품

콘솔을 통해 OU를 등록하면 AWS Control Tower는 각 계정 등록의 일부로 OU의 멤버 계정에 대한 Service Catalog 제품을 생성합니다. EnableBaseline API와 AWSControlTowerBaseline을 사용하여 OU를 등록할 때 AWS Control Tower는 OU의 멤버 계정에 대해 프로비저닝된 제품을 생성하지 않습니다.
OU 등록 취소

OU 등록을 취소할 때마다 먼저 모든 멤버 계정과 중첩된 OU를 제거해야 합니다. 그러면 AWS Control Tower가 OU에 적용되는 모든 제어를 제거합니다.
- 콘솔에서 OU 삭제를 선택하면 AWS Control Tower가 등록 취소를 진행한 다음 조직에서 OU를 삭제합니다.
- 그러나 DisableBaseline API를 직접 호출하여 OU에서 AWSControlTowerBaseline을 제거하는 방식으로 OU의 등록을 취소하는 경우 AWS Control Tower는 조직에서 OU를 삭제하지 않으며, 해당 OU는 등록되지 않은 상태로 계속 조직에 존재하게 됩니다.

기준 및 버전 관리 기본값

AWS Control Tower 랜딩 존이 이미 설정되어 있고 랜딩 존 기준을 활성화하기로 선택한 경우 AWS Control Tower는 랜딩 존 버전과 호환되는 최신 버전의 기준을 활성화합니다. AWS Control Tower에 아직 등록되지 않은 OU에 대해 기준을 활성화하도록 선택하는 경우 AWS Control Tower는 해당 OU에 대해 호환되는 최신 버전의 기준을 자동으로 제공합니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

문제 해결

AWSControlTowerBaseline 테이블