AWS Control Tower AWS 계정 의 정보

AWS 계정 는 소유한 모든 리소스의 컨테이너입니다. 이러한 리소스에는 계정에서 수락한 AWS Identity and Access Management (IAM) 자격 증명이 포함되며,이 자격 증명은 해당 계정에 액세스할 수 있는 사용자를 결정합니다. IAM 자격 증명은 사용자, 그룹, 역할 등을 포함할 수 있습니다. AWS Control Tower에서 IAM, 사용자, 역할 및 정책을 사용하는 방법에 대한 자세한 내용은 Identity and access management in AWS Control Tower를 참조하세요.

리소스 및 계정 생성 시간

AWS Control Tower는 계정을 생성하거나 등록할 때 계정에 필요한 최소 리소스 구성을 배포합니다. 예를 들어 Account Factory 템플릿 형태의 리소스와 IAM 역할, AWS CloudTrail 트레일, Service Catalog 프로비저닝 제품, IAM Identity Center 사용자와 같은 랜딩 존의 기타 리소스가 포함될 수 있습니다. 또한 AWS Control Tower는 새 계정이 멤버 계정이 될 조직 단위(OU)에 대해 제어 구성에 필요한 대로 리소스를 배포합니다.

AWS Control Tower는 사용자를 대신하여 이러한 리소스의 배포를 오케스트레이션합니다. 배포를 완료하는 데 리소스당 몇 분 정도 걸릴 수 있으므로 계정을 생성하거나 등록하기 전에 총 시간을 고려하세요. 계정의 리소스 관리에 대한 자세한 내용은 AWS Control Tower 리소스 생성 및 수정 지침 섹션을 참조하세요.

AWS Control Tower가 계정을 생성할 때 발생하는 상황

AWS Control Tower의 새 계정은 AWS Control Tower, AWS Organizations및 간의 상호 작용에 의해 생성 및 프로비저닝됩니다 AWS Service Catalog. AWS Control Tower 콘솔에서 계정을 생성하고 기존 계정을 등록할 수 있습니다. AWS Control Tower 콘솔을 AWS 계정 사용하여 기존를 등록하는 자세한 단계는 섹션을 참조하세요AWS Control Tower 콘솔에서 기존 계정 등록.

기존 보안 또는 로깅 계정을 가져올 때의 고려 사항

를 AWS 계정 보안(기본 이름: 감사) 또는 로깅(기본 이름: 로그 아카이브) 계정으로 수락하기 전에 AWS Control Tower는 계정에 AWS Control Tower 요구 사항과 충돌하는 리소스가 있는지 확인합니다. 예를 들어 AWS Control Tower에서 요구하는 것과 동일한 이름의 로깅 버킷이 있을 수 있습니다. 또한 AWS Control Tower는 계정이 리소스를 프로비저닝할 수 있는지 확인합니다. 예를 들어, AWS Security Token Service (AWS STS)가 활성화되어 있고, 계정이 일시 중지되지 않았으며, AWS Control Tower가 계정 내에서 리소스를 프로비저닝할 수 있는 권한이 있는지 확인합니다.

AWS Control Tower는 사용자가 제공하는 로깅 및 보안 계정에서 기존 리소스를 제거하지 않습니다. 그러나 제거하도록 선택하면 AWS Control Tower 리전 거부 제어가 거부된 리전의 리소스에 대한 액세스를 차단합니다.