AWS Organizations의 AWS 멤버 계정을 AWS Control Tower로 마이그레이션

멤버 계정을 독립형 계정으로 운영할 수 있는지 확인하십시오.

소스 조직을 탈퇴할 구성원 계정이 독립형 계정으로 작동하는 데 필요한 정보를 가지고 있는지 확인하십시오. 예를 들어, 회원 계정에 결제 정보가 없으면 독립형 계정으로 운영할 수 없습니다. 계정이 조직에 연결되어 있지 않을 때 발생하는 청구 가능한 AWS activity에 대해 AWS는 결제 정보를 사용하여 요금을 청구하기 때문입니다.

일반적으로 AWS Organizations 콘솔, API 또는 AWS 명령줄 인터페이스(CLI) 명령을 사용하여 멤버 계정을 생성한 경우 독립형 계정에 필요한 정보는 자동으로 수집되지 않습니다. 이 정보를 추가하려면 계정에 로그인하고 지원 계획, 연락처 정보, 결제 방법을 지정하십시오.

조직에서 계정을 제거하기 전에 알아야 할 사항에 대한 자세한 내용은 AWS Organizations 설명서의 조직에서 계정을 제거하기 전에를 참조하십시오.

소스 조직에서 멤버 계정을 제거합니다.

AWS Organizations 설명서의 지침에 따라 조직에서 멤버 계정을 제거합니다. 조직의 관리 계정에 로그인하여 멤버 계정을 제거하거나, 멤버 계정에 로그인하여 조직을 탈퇴할 수 있습니다.

계정을 제거하거나 탈퇴할 수 있는 관리자 수준의 보안 인증이 없는 경우 조직 관리자에게 도움을 요청하십시오.

회원 계정에 지원 플랜, 연락처 정보 또는 결제 정보가 누락된 경우 해당 정보를 제공하고 확인하라는 메시지가 표시됩니다.

조직을 탈퇴하는 경우 AWS Organizations 콘솔의 시작하기 페이지로 리디렉션되어 다른 조직에 대한 계정 가입 초대를 확인할 수 있습니다.

중요: 현재 계정은 독립형 계정입니다. AWS 프리 티어가 적용되지 않는 워크로드를 실행하는 경우 계정에 제공한 결제 및 청구 정보에 따라 요금이 부과됩니다.

멤버 계정이 더 이상 소스 조직에 속하지 않는지 확인합니다.

AWS Organizations 콘솔에 더 이상 조직 탈퇴 버튼이 표시되지 않을 것입니다. 대신 다른 조직에서 보류 중인 초대가 있는 경우 이를 확인할 수 있습니다.

계정에 대한 액세스 권한을 부여하는 IAM 역할을 탈퇴하는 조직에서 제거합니다.

소스 조직에서 계정을 제거해도 AWS Organizations나 관리자가 생성한 AWS Identity and Access Management(IAM) 역할은 자동으로 삭제되지 않습니다. 소스 조직의 관리 계정에서 이 액세스를 종료하려면 IAM 역할을 수동으로 삭제해야 합니다. 자세한 내용은 IAM 사용 설명서에서 역할 또는 인스턴스 프로파일 삭제를 참조하십시오.

멤버 계정이 조직을 나가면 계정에 연결된 모든 태그가 삭제됩니다. 독립형 계정은 태그를 지원하지 않습니다.

AWS Control Tower에 로그인합니다.

AWS Control Tower 콘솔에 관리자로 로그인합니다. 

현재 AWS 계정을 소스 조직에서 AWS Control Tower가 관리하는 OU의 조직으로 직접 이동할 수 있는 방법은 없습니다. 하지만 이미 AWS Control Tower에서 관리하는 OU에 계정을 등록하면 기존 AWS 계정으로 AWS Control Tower 거버넌스를 확장할 수 있습니다. 따라서 이 단계를 수행하려면 AWS Control Tower에 로그인해야 합니다.

멤버 계정을 초대합니다.

중요: 계정 이전으로 인해 애플리케이션 또는 네트워크 연결이 영향을 받지 않는지 확인하십시오.

이 작업을 수행하면 멤버 계정 링크가 포함된 초대 이메일이 전송됩니다. 계정 관리자가 링크를 따라 초대를 수락하면 멤버 계정이 AWS 계정 페이지에 나타납니다. 더 자세한 내용은 AWS Organizations 설명서의 조직에 가입할 AWS 계정 초대를 참조하십시오.

애플리케이션 및 연결성을 테스트합니다.

멤버 계정이 새 조직에 등록되면 루트 내 OU에 표시됩니다. 또한 아직 OU에 등록된 AWS Control Tower에 등록되지 않았으므로 계정에 등록되지 않은 것으로 플래그가 지정되어 AWS Control Tower 콘솔에도 나타납니다.

다음을 확인합니다.

가드레일을 검토하고 위반 사항을 수정하십시오.

대상 OU에 정의된 가드레일, 특히 예방적 가드레일을 검토하고 위반 사항을 수정하십시오. 

AWS Control Tower 랜딩 존을 설정할 때 여러 필수 예방 가드레일이 기본적으로 활성화됩니다. 비활성화할 수 없습니다. 계정을 등록하기 전에 이러한 필수 가드레일을 검토하고 멤버 계정을 (수동으로 또는 스크립트를 사용하여) 수정해야 합니다.

참고: 예방적 가드레일은 AWS Control Tower 등록 계정이 규정을 준수하도록 유지하고 정책 위반을 방지합니다. 예방 가드레일을 위반하면 등록에 영향을 미칠 수 있습니다. 등록이 성공적으로 완료된 후 탐지 가드레일 위반이 감지되면 AWS Control Tower 대시보드에 표시됩니다. 등록 프로세스에는 영향을 주지 않습니다. 자세한 내용은 AWS 설명서의 AWS Control Tower의 가드레일을 참조하십시오.

가드레일 위반을 수정한 후 연결 문제를 확인하십시오.

가드레일 위반을 수정하기 위해 특정 포트를 닫거나 서비스를 비활성화해야 하는 경우도 있습니다. 계정을 등록하기 전에 해당 포트 및 서비스를 사용하는 애플리케이션을 수정해야 합니다.

AWS Control Tower 콘솔에 로그인합니다.

AWS Control Tower에 대한 관리 권한이 있는 로그인 보안 인증을 사용하십시오. 루트 사용자(관리 계정) 보안 인증을 사용하여 AWS Organizations 계정을 등록하지 마십시오. 그러면 오류 메시지가 표시됩니다.

계정을 등록하십시오.

자세한 내용은 AWS Control Tower 설명서의 기존 계정 등록을 참조하십시오.

계정을 확인하십시오.

AWS Control Tower에서 계정을 선택합니다. 방금 등록한 계정의 초기 상태는 등록 중입니다. 등록이 완료되면 상태가 등록됨으로 변경됩니다.

가드레일 위반 여부를 확인하십시오.

OU에 정의된 가드레일은 등록된 멤버 계정에 자동으로 적용됩니다. AWS Control Tower 대시보드에서 위반 사항을 모니터링하고 그에 따라 수정하십시오. 자세한 내용은 AWS 설명서의 AWS Control Tower의 가드레일을 참조하십시오.