기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
1단계: 랜딩 존 구성
AWS Control Tower 랜딩 존을 설정하는 프로세스에는 여러 단계가 있습니다. AWS Control Tower 랜딩 존의 특정 측면은 구성 가능하지만 설정 후에는 다른 선택 사항을 변경할 수 없습니다. 랜딩 존을 시작하기 전에 이러한 중요한 고려 사항에 대해 자세히 알아보려면 랜딩 존 구성에 대한 기대치를 검토하세요.
AWS Control Tower 랜딩 존 APIs를 사용하기 전에 먼저 다른AWS서비스의 APIs 호출하여 시작 전에 랜딩 존을 구성해야 합니다. 프로세스에는 세 가지 주요 단계가 있습니다.
새AWS Organizations 조직 생성
서비스 통합 계정 설정
및 랜딩 존 API를 직접적으로 호출하는 데 필요한 권한을 가진 IAM 역할 또는 IAM Identity Center 사용자 생성.
1단계. 랜딩 존을 포함할 조직을 생성합니다.
AWS Organizations CreateOrganization API를 호출하고 모든 기능을 활성화하여 기본 OU를 생성합니다. 또한 AWS Control Tower는 지정된 보안 OU를 생성할 것을 권장합니다. 이 보안 OU에는 모든 서비스 통합 계정이 포함되어야 합니다. 로그 아카이브 계정과 이전 랜딩 존 버전의 감사 계정입니다.
aws organizations create-organization --feature-set ALL
AWS Control Tower는 하나 이상의 추가 OU를 설정할 수 있습니다. 보안 OU 외에 랜딩 존에 하나 이상의 추가 OU를 프로비저닝하는 것이 좋습니다. 이 추가 OU가 개발 프로젝트용인 경우 AWS Control Tower 랜딩 존에 대한 AWS 다중 계정 전략에 명시된 대로 샌드박스 OU의 이름을 지정하는 것이 좋습니다.
2단계. 필요한 경우 서비스 통합 계정을 프로비저닝합니다.
랜딩 존을 설정하기 위해 AWS Control Tower를 사용하면 고객이 AWS 서비스 통합을 구성할 수 있습니다. 이러한 각 서비스 통합에는 하나 이상의 서비스 통합 중앙 계정이 필요할 수 있습니다. 랜딩 존 APIs 사용하여 AWS Control Tower를 처음 설정하는 경우 활성화된 각 AWS 서비스 통합에 대한 중앙 통합 계정을 제공해야 합니다. 기존 AWS 계정을 사용하거나 AWS Control Tower 콘솔 또는AWS Organizations APIs. 이러한 서비스 통합 계정이 조직의 루트 수준에 있는 지정된 보안 OU에 있는지 확인합니다.
-
AWS Organizations
CreateAccountAPI를 호출하여 보안 OU에서 로그 아카이브 계정 및 감사 계정을 생성합니다.aws organizations create-account --email mylog@example.com --account-name "Logging Account" aws organizations create-account --email mysecurity@example.com --account-name "Security Account"(선택 사항)AWS Organizations
DescribeAccountAPI를 사용하여CreateAccount작업 상태를 확인합니다. -
프로비저닝된 서비스 통합 계정을 지정된 보안 OU로 이동
aws organizations move-account --account-id 0123456789012 --source-parent-id r-examplerootid111 --destination-parent-id ou-examplerootid111-security
3단계. 필요한 서비스 역할 생성
AWS Control Tower가 랜딩 존을 설정하는 데 필요한 API 직접 호출을 수행할 수 있도록 지원하는 다음 IAM 서비스 역할을 /service-role/ IAM 경로에 생성합니다.
권한 및 정책에 대한 자세한 내용은 AWS Control Tower를 위한 ID 기반 정책(IAM 정책) 사용 섹션을 참조하세요.
IAM 역할을 생성하려면:
모든 랜딩 존 API를 직접적으로 호출하는 데 필요한 권한을 가진 IAM 역할을 생성합니다. 또는 IAM Identity Center 사용자를 생성하고 필요한 권한을 할당할 수 있습니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "backup:UpdateGlobalSettings", "controltower:CreateLandingZone", "controltower:UpdateLandingZone", "controltower:ResetLandingZone", "controltower:DeleteLandingZone", "controltower:GetLandingZoneOperation", "controltower:GetLandingZone", "controltower:ListLandingZones", "controltower:ListLandingZoneOperations", "controltower:ListTagsForResource", "controltower:TagResource", "controltower:UntagResource", "servicecatalog:*", "organizations:*", "organizations:RegisterDelegatedAdministrator", "organizations:EnableAWSServiceAccess", "organizations:DeregisterDelegatedAdministrator", "organizations:ListDelegatedAdministrators", "sso:*", "sso-directory:*", "logs:*", "cloudformation:*", "kms:*", "iam:GetRole", "iam:CreateRole", "iam:GetSAMLProvider", "iam:CreateSAMLProvider", "iam:CreateServiceLinkedRole", "iam:ListRolePolicies", "iam:PutRolePolicy", "iam:ListAttachedRolePolicies", "iam:AttachRolePolicy", "iam:DeleteRole", "iam:DeleteRolePolicy", "iam:DetachRolePolicy" ], "Resource": "*" } ] }
참고
Config 통합이 활성화된AWS랜딩 존 버전 4.0으로 업그레이드하는 경우 고객에게 organizations:ListDelegatedAdministrators 권한이 있어야 합니다.
