기존 계정 등록 정보 - AWS Control Tower
계정 등록 중에 발생하는 일VPC에 기존 계정 등록AWS Config 리소스가 있는 계정 등록

기존 계정 등록 정보

이미 AWS Control Tower가 관리하는 조직 단위(OU)에 등록하면 개별 기존 AWS 계정로 AWS Control Tower 거버넌스를 확장할 수 있습니다. AWS Control Tower OU와 동일한 AWS Organizations 조직에 속한 등록되지 않은 OU에 적격 계정이 있습니다.

AWS Control Tower에 계정을 등록하는 몇 가지 방법이 있습니다. 이 페이지의 정보는 모든 등록 방법에 적용됩니다.

참고

초기 랜딩 존 설정 중에만 감사 또는 로그 아카이브 계정의 역할을 수행하도록 기존 AWS 계정을 등록할 수 있습니다.

계정 등록 중에 발생하는 일

등록 프로세스 중에 AWS Control Tower는 다음 작업을 수행합니다.

  • 다음 스택 세트의 배포를 포함하여 계정에 기준을 설정합니다.

    • AWSControlTowerBP-BASELINE-CLOUDTRAIL

    • AWSControlTowerBP-BASELINE-CLOUDWATCH

    • AWSControlTowerBP-BASELINE-CONFIG

    • AWSControlTowerBP-BASELINE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-ROLES

    • AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES

    • AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1

    이러한 스택 세트의 템플릿을 검토하고 기존 정책과 충돌하지 않도록 하는 것이 좋습니다.

  • AWS IAM Identity Center 또는 AWS Organizations를 통해 계정을 식별합니다.

  • 지정한 OU에 계정을 배치합니다. 보안 상태가 일관되게 유지되도록 현재 OU에 적용된 모든 SCP를 적용해야 합니다.

  • 선택한 OU 전체에 적용되는 SCP를 통해 계정에 필수 제어를 적용합니다.

  • AWS Config를 활성화하고 계정의 모든 리소스를 기록하도록 구성합니다.

  • 계정에 AWS Control Tower 탐지 제어를 적용하는 AWS Config 규칙을 추가합니다.

계정 및 조직 수준 CloudTrail 추적

랜딩 존 버전이 3.1 이상이고 랜딩 존 설정에서 선택적 AWS CloudTrail 통합을 선택한 경우:

  • OU의 모든 멤버 계정은 등록 여부에 관계없이 OU의 AWS CloudTrail 추적에 의해 관리됩니다.

  • AWS Control Tower에 계정을 등록하면 새 조직의 AWS CloudTrail 추적이 계정에 적용됩니다. 기존에 배포된 CloudTrail 추적이 있는 경우 AWS Control Tower에 계정을 등록하기 전에 계정에 대한 기존 추적을 삭제하지 않으면 중복 요금이 부과될 수 있습니다.

  • 예를 들어, AWS Organizations 콘솔 또는 API를 사용하여 계정을 등록된 OU로 이동하는 경우 계정에 대한 나머지 계정 수준 추적을 제거할 수 있습니다. CloudTrail 추적을 기존에 배포한 경우 CloudTrail 요금이 중복 부과됩니다.

랜딩 존을 업데이트하고 조직 수준 추적을 옵트아웃하도록 선택하거나 랜딩 존이 버전 3.0보다 오래된 경우 조직 수준 CloudTrail 추적이 계정에 적용되지 않습니다.

VPC에 기존 계정 등록

AWS Control Tower는 사용자가 Account Factory에서 새 계정을 프로비저닝할 때 기존 계정을 등록할 때와 다르게 VPC를 처리합니다.

  • 새 계정을 만들면 AWS Control Tower에서 자동으로 AWS 기본 VPC를 제거하고 해당 계정에 대한 새 VPC를 생성합니다.

  • 기존 계정을 등록하면 AWS Control Tower에서 해당 계정에 대한 새 VPC를 생성하지 않습니다.

  • 기존 계정을 등록할 때는 AWS Control Tower에서 계정과 연결된 기존 VPC 또는 AWS 기본 VPC를 제거하지 않습니다.

작은 정보

Account Factory를 구성하여 새 계정의 기본 동작을 변경할 수 있으므로, AWS Control Tower에서 조직의 계정에 대해 기본적으로 VPC가 설정되지 않습니다. 자세한 내용은 AWS Control Tower에서 VPC 없이 계정 생성 섹션을 참조하세요.

AWS Config 리소스가 있는 계정 등록

등록할 계정에 기존 AWS Config 리소스가 없어야 합니다. 기존 AWS Config 리소스가 있는 계정 등록을 참조하세요.

다음은 구성 레코더 및 전송 채널 등 기존 계정의 AWS Config 리소스 상태를 확인하는 데 사용할 수 있는 몇 가지 AWS Config CLI 명령의 예입니다.

보기 명령:

  • aws configservice describe-delivery-channels

  • aws configservice describe-delivery-channel-status

  • aws configservice describe-configuration-recorders

일반적인 응답은 "name": "default"와 같습니다.

삭제 명령:

  • aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT

  • aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT

AWSControlTowerExecution 역할을 추가하는 예

다음 YAML 템플릿은 계정에서 필요한 역할을 만들어 프로그래밍 방식으로 등록할 수 있도록 지원합니다.

AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
  account as a target account in AWS CloudFormation StackSets.
Parameters:
  AdministratorAccountId:
    Type: String
    Description: AWS Account Id of the administrator account (the account in which
      StackSets will be created).
    MaxLength: 12
    MinLength: 12
Resources:
  ExecutionRole:
    Type: AWS::IAM::Role
    Properties:
      RoleName: AWSControlTowerExecution
      AssumeRolePolicyDocument:
        Version: 2012-10-17		 	 	 
        Statement:
          - Effect: Allow
            Principal:
              AWS:
                - !Ref AdministratorAccountId
            Action:
              - sts:AssumeRole
      Path: /
      ManagedPolicyArns:
        - !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess