기존 OU 등록 - AWS Control Tower

기존 OU 등록

AWS Control Tower 콘솔의 조직 페이지에서 AWS Control Tower에 등록된 OU와 등록되지 않은 OU를 포함하여 계층 구조에 있는 조직의 모든 OU 및 계정을 볼 수 있습니다.

일반적으로 등록되지 않은 OU는 AWS Organizations에서 생성되며 다른 랜딩 존에서 관리되지 않습니다. 최대 1,000개의 계정이 포함된 기존 OU를 등록할 수 있습니다. OU에 포함된 계정의 수가 1,000개를 초과하는 경우 AWS Control Tower에 등록할 수 없습니다.

콘솔에서 기존 OU를 등록하는 방법

  1. AWS Control Tower 콘솔(https://console.aws.amazon.com/controltower)에 로그인합니다.

  2. 왼쪽 창 탐색 메뉴에서 조직을 선택합니다.

  3. 조직 페이지에서 등록할 OU 옆의 라디오 버튼을 선택한 다음 오른쪽 상단의 작업 드롭다운 메뉴에서 조직 단위 등록을 선택하거나 OU의 이름을 선택하여 해당 OU의 OU 세부 정보 페이지를 표시합니다.

  4. OU 세부 정보 페이지의 오른쪽 상단에 위치한 작업 드롭다운 메뉴에서 OU 등록을 선택할 수 있습니다.

등록 프로세스는 거버넌스를 OU로 확장하는 데 최소 10분이 걸리며, 각 추가 계정에 대해 최대 2분이 추가로 소요됩니다.

API로 기존 OU를 등록하는 방법

AWS Control Tower API로 기존 OU를 등록하려면 baselineIdentifier 필드의 AWSControlTowerBaseline을 사용하여 EnableBaseline API를 직접적으로 호출할 수 있습니다. 자세한 내용은 API로만 AWS Control Tower OU 등록을 참조하세요.

기존 OU 등록 결과

기존 OU를 등록한 후 AWSControlTowerExecution 역할을 사용하면 AWS Control Tower가 개별 계정으로 거버넌스를 확장할 수 있습니다. 가드레일이 적용되고 계정 활동에 대한 정보가 감사 및 로깅 계정에 보고됩니다.

기타 결과는 다음과 같습니다.

  • AWSControlTowerExecution을 통해 AWS Control Tower 감사 계정이 감사를 수행할 수 있습니다.

  • AWSControlTowerExecution을 통해 전체 계정의 모든 로그가 로깅 계정으로 전송되도록 조직의 로깅을 구성할 수 있습니다.

  • AWSControlTowerExecution은 선택한 AWS Control Tower 제어가 OU의 모든 개별 계정과 AWS Control Tower에서 생성한 모든 새 계정에 자동으로 적용되도록 합니다.

등록된 OU의 경우 AWS Control Tower 제어에 구현된 감사 및 로깅 기능을 기반으로 규정 준수 및 보안 보고서를 제공할 수 있습니다. 보안 및 규정 준수 팀은 모든 요구 사항이 충족되었는지 그리고 조직 드리프트가 발생하지 않았는지 확인할 수 있습니다. 드리프트에 대한 자세한 내용은 AWS Control Tower의 드리프트 감지 및 해결 섹션을 참조하세요.

참고

AWS Control Tower에서 OU와 해당 계정을 표시할 때 하나의 특이한 상황이 발생할 수 있습니다. 등록된 OU에서 계정을 생성한 다음 해당 등록된 계정을 등록되지 않은 다른 OU로 이동한 경우, 특히 AWS Organizations를 사용하여 계정을 이동하는 경우 OU 세부 정보 페이지에서 결과 “1/0” 계정을 볼 수 있습니다. 또한 등록되지 않은 OU에서 등록되지 않은 다른 계정을 생성할 수 있습니다. 등록되지 않은 계정이 있는 경우 콘솔에 OU에 대해 “1/1”이 표시될 수 있습니다. 단일(새로 생성된) 계정이 등록된 것 같지만 실제로는 그렇지 않습니다. 새 계정을 등록해야 합니다.