기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 1단계: 랜딩 존 구성
<a name="lz-api-prereques"></a>

 AWS Control Tower 랜딩 존을 설정하는 프로세스에는 여러 단계가 있습니다. AWS Control Tower 랜딩 존의 특정 측면은 구성 가능하지만 설정 후에는 다른 선택 사항을 변경할 수 없습니다. 랜딩 존을 시작하기 전에 이러한 중요한 고려 사항에 대해 자세히 알아보려면 [랜딩 존 구성에 대한 기대치를](getting-started-configure.md) 검토하세요.

 AWS Control Tower 랜딩 존 APIs를 사용하기 전에 먼저 다른 AWS 서비스의 APIs 호출하여 시작 전에 랜딩 존을 구성해야 합니다. 프로세스에는 세 가지 주요 단계가 있습니다.

1. 새 AWS Organizations 조직 생성

1. 서비스 통합 계정 설정

1. 및 랜딩 존 API를 직접적으로 호출하는 데 필요한 권한을 가진 IAM 역할 또는 IAM Identity Center 사용자 생성.

## 1단계. 랜딩 존을 포함할 조직을 생성합니다.
<a name="w2aac15c17c15b9"></a>

 AWS Organizations `CreateOrganization` API를 호출하고 모든 기능을 활성화하여 **기본 OU**를 생성합니다. 또한 AWS Control Tower는 지정된 **보안 OU**를 생성할 것을 권장합니다. 이 보안 OU에는 모든 서비스 통합 계정이 포함되어야 합니다. 로그 **아카이브** 계정과 이전 랜딩 존 버전의 **감사** 계정입니다.

```
aws organizations create-organization --feature-set ALL
```

 AWS Control Tower는 하나 이상의 **추가 OU**를 설정할 수 있습니다. 보안 OU 외에 랜딩 존에 하나 이상의 추가 OU를 프로비저닝하는 것이 좋습니다. 이 추가 OU가 개발 프로젝트용인 경우 AWS [Control Tower 랜딩 존에 대한 AWS 다중 계정 전략에](aws-multi-account-landing-zone.md) 명시된 대로 **샌드박스 OU**의 이름을 지정하는 것이 좋습니다.

## 2단계. 필요한 경우 서비스 통합 계정을 프로비저닝합니다.
<a name="w2aac15c17c15c11"></a>

 랜딩 존을 설정하기 위해 AWS Control Tower를 사용하면 고객이 AWS 서비스 통합을 구성할 수 있습니다. 이러한 각 서비스 통합에는 하나 이상의 서비스 통합 중앙 계정이 필요할 수 있습니다. 랜딩 존 APIs 사용하여 AWS Control Tower를 처음 설정하는 경우 활성화된 각 AWS 서비스 통합에 대한 중앙 통합 계정을 제공해야 합니다. 기존 AWS 계정을 사용하거나 AWS Control Tower 콘솔 또는 AWS Organizations APIs. **이러한 서비스 통합 계정이 조직의 루트 수준에 있는 지정된 보안 OU에 있는지 확인합니다.**

1. AWS Organizations `CreateAccount` API를 호출하여 **보안 OU**에서 **로그 아카이브** 계정 및 **감사** 계정을 생성합니다.

   ```
                               aws organizations create-account --email mylog@example.com --account-name "Logging Account"
                               aws organizations create-account --email mysecurity@example.com --account-name "Security Account"
   ```

    (선택 사항) AWS Organizations `DescribeAccount` API를 사용하여 `CreateAccount` 작업 상태를 확인합니다.

1. 프로비저닝된 서비스 통합 계정을 지정된 **보안 OU**로 이동

   ```
                               aws organizations move-account --account-id 0123456789012 --source-parent-id r-examplerootid111 --destination-parent-id ou-examplerootid111-security
   ```

## 3단계. 필요한 서비스 역할 생성
<a name="w2aac15c17c15c13"></a>

 AWS Control Tower가 랜딩 존을 설정하는 데 필요한 API 직접 호출을 수행할 수 있도록 지원하는 다음 IAM 서비스 역할을 `/service-role/` IAM 경로에 생성합니다.
+  [https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerAdmin](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerAdmin) 
+  [https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerCloudTrailRole](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerCloudTrailRole) 
+  [https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerStackSetRole](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerStackSetRole) 
+  [https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html#config-role-for-organizations](https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html#config-role-for-organizations) 

 권한 및 정책에 대한 자세한 내용은 [AWS Control Tower를 위한 ID 기반 정책(IAM 정책) 사용](access-control-managing-permissions.md) 섹션을 참조하세요.

### IAM 역할을 생성하려면:
<a name="w2aac15c17c15c13b9"></a>

 모든 랜딩 존 API를 직접적으로 호출하는 데 필요한 권한을 가진 IAM 역할을 생성합니다. 또는 IAM Identity Center 사용자를 생성하고 필요한 권한을 할당할 수 있습니다.

```
{
    "Version": "2012-10-17",		 	 	                    
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup:UpdateGlobalSettings",
                "controltower:CreateLandingZone",
                "controltower:UpdateLandingZone",
                "controltower:ResetLandingZone",
                "controltower:DeleteLandingZone",
                "controltower:GetLandingZoneOperation",
                "controltower:GetLandingZone",
                "controltower:ListLandingZones",
                "controltower:ListLandingZoneOperations",
                "controltower:ListTagsForResource",
                "controltower:TagResource",
                "controltower:UntagResource",
                "servicecatalog:*",
                "organizations:*",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:EnableAWSServiceAccess",
                "organizations:DeregisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "sso:*",
                "sso-directory:*",
                "logs:*",
                "cloudformation:*",
                "kms:*",
                "iam:GetRole",
                "iam:CreateRole",
                "iam:GetSAMLProvider",
                "iam:CreateSAMLProvider",
                "iam:CreateServiceLinkedRole",
                "iam:ListRolePolicies",
                "iam:PutRolePolicy",
                "iam:ListAttachedRolePolicies",
                "iam:AttachRolePolicy",
                "iam:DeleteRole",
                "iam:DeleteRolePolicy",
                "iam:DetachRolePolicy"
            ],
            "Resource": "*"
        }
    ]
}
```

**참고**  
 Config 통합이 활성화된 AWS 랜딩 존 버전 4.0으로 업그레이드하는 경우 고객에게 `organizations:ListDelegatedAdministrators` 권한이 있어야 합니다.