기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 제어 작동 방식
<a name="how-controls-work"></a>

제어는 전반적인 AWS 환경에 대한 지속적인 거버넌스를 제공하는 상위 수준 규칙이며, 각 제어는 단일 규칙을 적용하고 일반적인 언어로 표현됩니다. 적용 중인 선택적 제어 또는 적극 권장 제어는 언제든지 AWS Control Tower 콘솔 또는 AWS Control Tower API에서 변경할 수 있습니다. 필수 제어는 항상 적용되며 변경할 수 없습니다.

예방 제어는 조치가 발생하지 않도록 방지합니다. 예를 들어 **Amazon S3 버킷에 대한 버킷 정책 변경 허용 안 함**(이전: **로그 아카이브에 대한 정책 변경 허용 안 함**)이라는 선택적 제어는 로그 아카이브 공유 계정 내의 IAM 정책 변경을 방지합니다. 방지된 작업을 수행하려고 하면 이 시도가 거부되고 CloudTrail에 기록됩니다. 리소스도 로그인됩니다 AWS Config.

탐지적 제어는 특정 이벤트가 발생할 때 이를 탐지하고 CloudTrail에 동작을 기록합니다. 예를 들어 **Amazon EC2 인스턴스에 연결된 Amazon EBS 볼륨에 암호화가 활성화되었는지 여부 탐지**라는 적극 권장 제어는 암호화되지 않은 Amazon EBS 볼륨이 랜딩 존의 EC2 인스턴스에 연결되었는지 여부를 탐지합니다.

선제적 제어는 리소스가 계정에 프로비저닝되기 전에 리소스가 회사 정책 및 목표를 준수하는지 확인합니다. 리소스가 규정을 준수하지 않으면 리소스는 프로비저닝되지 않습니다. 사전 예방적 제어는 CloudFormation 템플릿을 통해 계정에 배포되는 리소스를 모니터링합니다.

*익숙한 사용자의 경우 AWS:* AWS Control Tower에서 예방 제어는 서비스 제어 정책(SCPs) 및 리소스 제어 정책(RCPs. 탐지 제어는 AWS Config 규칙을 사용하여 구현됩니다. 사전 예방적 제어는 CloudFormation 후크로 구현됩니다.

## 관련 항목
<a name="how-controls-related"></a>
+ [AWS Control Tower의 드리프트 감지 및 해결](drift.md)