기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 기존 계정 등록 정보
AWS Control Tower 거버넌스를 AWS Control Tower에서 이미 관리하는 조직 단위(OU)에 *등록할* AWS 계정 때 존재하는 개별 로 확장할 수 있습니다. 적격 계정은 AWS Control Tower *OUs와 동일한 AWS Organizations 조직의 일부인 등록되지 않은* OU에 존재합니다.
AWS Control Tower에 계정을 등록하는 몇 가지 방법이 있습니다. **이 페이지의 정보는 모든 등록 방법에 적용됩니다.**
**참고**
초기 랜딩 존 설정 중에만 기존 AWS 계정을 등록하여 감사 또는 로그 아카이브 계정으로 사용할 수 있습니다.
## 계정 등록 중에 발생하는 일
등록 프로세스 중에 AWS Control Tower는 다음 작업을 수행합니다.
+ 다음 스택 세트의 배포를 포함하여 계정에 기준을 설정합니다.
+ `AWSControlTowerBP-BASELINE-CLOUDTRAIL`
+ `AWSControlTowerBP-BASELINE-CLOUDWATCH`
+ `AWSControlTowerBP-BASELINE-CONFIG`
+ `AWSControlTowerBP-BASELINE-ROLES`
+ `AWSControlTowerBP-BASELINE-SERVICE-ROLES`
+ `AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES`
+ `AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1`
이러한 스택 세트의 템플릿을 검토하고 기존 정책과 충돌하지 않도록 하는 것이 좋습니다.
+ AWS IAM Identity Center 또는를 통해 계정을 식별합니다 AWS Organizations.
+ 지정한 OU에 계정을 배치합니다. 보안 상태가 일관되게 유지되도록 현재 OU에 적용된 모든 SCP를 적용해야 합니다.
+ 선택한 OU 전체에 적용되는 SCP를 통해 계정에 필수 제어를 적용합니다.
+ 계정의 모든 리소스를 기록하도록 활성화 AWS Config 하고 구성합니다.
+ AWS Control Tower 탐지 제어를 계정에 적용하는 AWS Config 규칙을 추가합니다.
**계정 및 조직 수준 CloudTrail 추적**
랜딩 존 버전이 3.1 이상이고 랜딩 존 설정에서 선택적 AWS CloudTrail 통합을 선택한 경우:
OU의 모든 멤버 계정은 등록 여부에 관계없이 OU의 AWS CloudTrail 추적에 의해 관리됩니다.
AWS Control Tower에 계정을 등록하면 새 조직의 AWS CloudTrail 추적이 계정에 적용됩니다. 기존에 배포된 CloudTrail 추적이 있는 경우 AWS Control Tower에 계정을 등록하기 전에 계정에 대한 기존 추적을 삭제하지 않으면 중복 요금이 부과될 수 있습니다.
예를 들어 AWS Organizations 콘솔 또는 APIs를 사용하여 계정을 등록된 OU로 이동하는 경우 계정에 대한 나머지 계정 수준 추적을 제거할 수 있습니다. CloudTrail 추적을 기존에 배포한 경우 CloudTrail 요금이 중복 부과됩니다.
랜딩 존을 업데이트하고 조직 수준 추적을 옵트아웃하도록 선택하거나 랜딩 존이 버전 3.0보다 오래된 경우 조직 수준 CloudTrail 추적이 계정에 적용되지 않습니다.
## VPC에 기존 계정 등록
AWS Control Tower는 사용자가 Account Factory에서 새 계정을 프로비저닝할 때 기존 계정을 등록할 때와 다르게 VPC를 처리합니다.
+ 새 계정을 만들면 AWS Control Tower에서 자동으로 AWS 기본 VPC를 제거하고 해당 계정에 대한 새 VPC를 생성합니다.
+ 기존 계정을 등록하면 AWS Control Tower에서 해당 계정에 대한 새 VPC를 생성하지 않습니다.
+ 기존 계정을 등록할 때 AWS Control Tower는 계정과 연결된 기존 VPC 또는 AWS 기본 VPC를 제거하지 않습니다.
**작은 정보**
Account Factory를 구성하여 새 계정의 기본 동작을 변경할 수 있으므로, AWS Control Tower에서 조직의 계정에 대해 기본적으로 VPC가 설정되지 않습니다. 자세한 내용은 [AWS Control Tower에서 VPC 없이 계정 생성](configure-without-vpc.md#create-without-vpc) 단원을 참조하십시오.
## AWS Config 리소스에 계정 등록
등록할 계정에 기존 AWS Config 리소스가 없어야 합니다. [기존 AWS Config 리소스가 있는 계정 등록을](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html) 참조하세요.
다음은 구성 레코더 및 전송 채널과 같은 기존 계정 AWS Config 리소스의 상태를 확인하는 데 사용할 수 있는 몇 가지 AWS Config CLI 명령의 예입니다.
**보기 명령:**
+ `aws configservice describe-delivery-channels`
+ `aws configservice describe-delivery-channel-status`
+ `aws configservice describe-configuration-recorders`
일반적인 응답은 `"name": "default"`와 같습니다.
**삭제 명령:**
+ `aws configservice stop-configuration-recorder --configuration-recorder-name {{NAME-FROM-DESCRIBE-OUTPUT}}`
+ `aws configservice delete-delivery-channel --delivery-channel-name {{NAME-FROM-DESCRIBE-OUTPUT}}`
+ `aws configservice delete-configuration-recorder --configuration-recorder-name {{NAME-FROM-DESCRIBE-OUTPUT}}`
**`AWSControlTowerExecution` 역할을 추가하는 예**
다음 YAML 템플릿은 계정에서 필요한 역할을 만들어 프로그래밍 방식으로 등록할 수 있도록 지원합니다.
```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
account as a target account in AWS CloudFormation StackSets.
Parameters:
AdministratorAccountId:
Type: String
Description: AWS Account Id of the administrator account (the account in which
StackSets will be created).
MaxLength: 12
MinLength: 12
Resources:
ExecutionRole:
Type: AWS::IAM::Role
Properties:
RoleName: AWSControlTowerExecution
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
AWS:
- !Ref AdministratorAccountId
Action:
- sts:AssumeRole
Path: /
ManagedPolicyArns:
- !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess
```