자동 등록을 사용하여 계정 이동 및 등록
계정 자동 등록 기능은 버전 3.1 이상의 랜딩 존에서 사용할 수 있습니다.
선택적으로 이 기능을 활성화하면 상속 드리프트를 생성하지 않고도 AWS Organizations API 및 콘솔을 사용하여 계정을 AWS Control Tower로 이동할 수 있습니다. 계정은 AWS Control Tower의 대상 조직 단위(OU)로부터 기준 리소스 및 제어 구성을 자동으로 수신합니다. 또한 이 선택적 기능을 사용하면 두 OU에 동일한 기준 구성이 있고 동일한 제어가 활성화된 경우 상속 드리프트를 생성하지 않고 AWS Control Tower 내의 OU 간에 계정을 이동할 수 있습니다.
자동 등록 활성화: AWS Control Tower 콘솔의 랜딩 존 설정 페이지에서 또는 AWS Control Tower CreateLandingZone 또는 UpdateLandingZone API를 직접적으로 호출하여 계정 자동 등록을 선택할 수 있으며 RemediationType 파라미터 값은 상속 드리프트로 설정됩니다.
자동 등록 적용: 설정 페이지에서 이 옵션을 선택한 후 AWS Organizations 콘솔, AWS Organizations MoveAccount API 또는 AWS Control Tower 콘솔을 사용하여 계정을 이동할 수 있습니다.
자동 등록으로 계정 등록 취소: 계정이 등록된 OU 외부로 계정을 이동하는 경우 AWS Control Tower는 배포된 모든 기준 리소스를 자동으로 제거하고 제어합니다.
참고
AWS Control Tower의 소스 및 대상 OU 구성이 다른 경우 계정에 이동된 멤버 계정 드리프트가 표시될 수 있습니다.
사전 조건: 자동 등록을 위한 구성
-
AWS Control Tower 랜딩 존 버전 3.1 이상을 실행해야 합니다.
-
콘솔의 랜딩 존 설정 페이지 또는 AWS Control Tower 랜딩 존 API를 통해
RemediationTypes파라미터 값을Inheritance Drift로 설정하여 AWS Control Tower 자동 등록 기능을 옵트인합니다. 옵트인하면 AWS Control Tower가 AWS Organizations에 대한move account이벤트에 반응하고 사용자를 대신하여 이동된 계정에 대한 상속 드리프트를 즉시 해결합니다.
필수 권한
AWS Organizations CreateAccount API 및 MoveAccount API를 사용하려면 특정 역할과 권한이 필요합니다. AWS Control Tower와 함께 AWS Organizations를 사용하는 방법에 대한 자세한 내용은 AWS Control Tower 및 AWS Organizations 섹션을 참조하세요.
API 사용 예제
이러한 API에 대한 자세한 내용과 예제는 AWS Organizations API 참조의 CreateAccount 및 MoveAccount 섹션을 참조하세요.
고려 사항
-
등록 타임라인: AWS Control Tower에 등록된 OU로 이동된 계정이 최종 일관성 모델에 등록됩니다. 이 프로세스는 이동 중인 계정 수에 따라 일반적으로 몇 분, 최대 몇 시간이 걸립니다.
-
등록 취소 프로세스: 동일한 프로세스를 사용하여 계정을 AWS Control Tower 외부의 OU로 이동하여 AWS Control Tower에서 계정을 등록 취소할 수 있습니다. 이 프로세스는 AWS Control Tower에서 배포한 모든 역할 및 리소스와 AWS Control Tower에서 활성화된 모든 제어를 제거합니다.
