키 변경 사항 - AWS Control Tower란

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

키 변경 사항

참고

  • 이 새 버전의 AWS Control Tower에서는 “등록됨” 및 “등록됨”의 정의가 바뀌었습니다. 계정/OU에 활성화된 AWS Control Tower 리소스(예: 제어 또는 기준)가 있는 경우 해당 리소스는 관리형 리소스로 간주됩니다. 정의는 더 이상 AWSControlTowerBaseline 기준의 존재에 의해 구동되지 않습니다.

  • 서비스 연결 역할은 모든 랜딩 존 버전에서 유지되며 OUs될 때 더 이상 삭제되지 않습니다.

  • 서비스 연결 역할은 랜딩 존 폐기 후 고객이 수동으로만 삭제할 수 있습니다.

  • 랜딩 영역 4.0의 사전 조건: API를 통해 버전 4.0으로 업그레이드할 때 AWSControlTowerCloudTrailRole 서비스 역할이 기존 인라인 정책 AWSControlTowerCloudTrailRolePolicy 대신 새 관리형 정책을 사용하는지 확인합니다. 설명서에 설명된 대로 현재 인라인 정책을 분리하고 새 관리형 정책을 연결합니다.

  • 선택적 매니페스트: 랜딩 존 API의 매니페스트 필드는 이제 선택 사항입니다. 고객은 서비스 통합 없이 랜딩 존을 생성할 수 있습니다. 이미 매니페스트 필드를 사용하고 있는 기존 고객에게는 영향이 없습니다.

  • 선택적 조직 구조: AWS Control Tower는 더 이상 보안 OU 생성을 적용하거나 관리하지 않으므로 고객이 자체 조직 구조를 정의하고 관리할 수 있습니다. 그러나 AWS Control Tower에서는 각 AWS 서비스 통합에 대해 구성된 모든 계정이 동일한 상위 OU에 있어야 합니다. AWS Control Tower를 이미 설정하고 보안 OU가 있는 고객에게는 영향이 없습니다. AWS Control Tower는 보안 OU에서 서비스 통합 계정을 관리하는 데 필요한 리소스와 제어를 자동으로 배포합니다. 예를 들어 AWS Config 통합이 활성화되면 모든 서비스 통합 계정에서 AWS Config 기록이 활성화됩니다. AWS Control Tower 기준 및 AWS Config 기준은 보안 OU 및 통합 계정에 적용되지 않습니다. 서비스 통합을 변경하려면 랜딩 존 설정을 업데이트합니다.

    참고

    • AWS Control Tower 랜딩 존 4.0에 대한 조직 구조 설정이 이전 랜딩 존 버전에서 변경되었습니다. AWS Control Tower는 더 이상 지정된 보안 OU를 생성하지 않습니다. 서비스 통합 계정이 있는 OU는 지정된 보안 OU입니다.

    • 멤버 계정이 각 통합의 계정이 있는 OU로 이동하는 경우 자동 등록이 켜져 있는지 여부에 관계없이 해당 OU에서 활성화된 제어가 드리프트됩니다.

  • 드리프트 알림: AWS Control Tower는 AWSControlTowerBaseline 활성화되지 않은 상태에서 랜딩 존 4.0의 모든 고객에 대해 SNS 주제로 드리프트 알림 전송을 중지하고 대신 관리 계정의 EventBridge로 드리프트 알림 전송을 시작합니다. EventBridge를 통해 드리프트 알림을 수신하는 방법에 대한 샘플 이벤트 및 지침을 검토하려면 이 가이드를 확인하세요.

  • 선택적 서비스 통합: 이제 AWS CloudTrail AWS Config, SecurityRoles 및를 포함한 모든 AWS Control Tower 통합을 활성화/비활성화할 수 있습니다 AWS Backup. 이제 이러한 통합에는 API에 선택적으로 필요한 enabled 플래그도 있습니다. 랜딩 존 또는 공유 계정에 적용될 수 있는 기준은 이제 서로 종속됩니다. 통합별 종속성은 다음과 같습니다.

    • 활성화:

      • CentralSecurityRolesBaselineCentralConfigBaseline를 활성화해야 함

      • IdentityCenterBaselineCentralSecurityRolesBaseline를 활성화해야 함

      • BackupCentralVaultBaselineCentralSecurityRolesBaseline를 활성화해야 함

      • BackupAdminBaselineCentralSecurityRolesBaseline를 활성화해야 함

      • LogArchiveBaseline → 독립(종속성 없음)

      • CentralConfigBaseline → 독립(종속성 없음)

    • 비활성화:

      • CentralConfigBaseline CentralSecurityRolesBaseline, IdentityCenterBaseline BackupAdminBaselineBackupCentralVaultBaseline 기준을 먼저 비활성화한 경우에만를 비활성화할 수 있습니다.

      • CentralSecurityRolesBaseline IdentityCenterBaseline, BackupAdminBaselineBackupCentralVaultBaseline 기준이 먼저 비활성화된 경우에만를 비활성화할 수 있습니다.

      • IdentityCenterBaseline는 독립적으로 비활성화할 수 있습니다.

      • BackupAdminBaselineBackupCentralVaultBaseline 기준을 독립적으로 비활성화할 수 있습니다.

      • LogArchiveBaseline 독립적으로 비활성화할 수 있음