OU 수준에서 적용되는 기준 유형 랜딩 존 설정 중에 공유 계정에 적용할 수 있는 기준 유형 활성화된 기준 및 멤버 계정 기준 및 버전 관리 기본값

기준 유형

AWS Control Tower의 기준은 대상에 적용할 수 있는 리소스 및 특정 구성의 그룹입니다. 가장 일반적인 기준 대상은 조직 단위(OU)일 수 있습니다. 예를 들어 OU가 대상으로 선택된 기준을 활성화하여 해당 OU를 AWS Control Tower에 등록할 수 있습니다.

랜딩 존 설정 중에 공유 계정에서 일부 기준이 자동으로 활성화될 수 있습니다. 랜딩 존 설정 및 구성에 따라 특정 기준을 활성화하고 업데이트할 수 있습니다. AWS Control Tower는 기준에서 지정하는 방식으로 리소스를 생성하고 대상에 배포합니다.

대상에서 기준을 활성화하면 기준이 리소스라고 하는 AWS EnabledBaseline 리소스로 표시됩니다.

AWS Control Tower에는 다음과 같은 2가지 일반 기준 유형이 포함되어 있습니다.

OU에서 활성화할 수 있는 기준입니다.
랜딩 존 설정 중에 공유 계정에서 활성화할 수 있는 기준입니다.

OU 수준에서 적용되는 기준 유형

참고

OU 수준에서 적용되는 기준만 EnableBaseline API를 통해 직접 활성화할 수 있습니다.

이름: AWSControlTowerBaseline

설명: AWS Control Tower 거버넌스에 필요한 대상 OU 내의 멤버 계정에 대해 리소스 및 필수 제어를 설정합니다.

고려 사항: 이 기준은 랜딩 존 리전 거부 제어의 설정을 유지합니다. 즉, 특정 리전이 랜딩 존 수준에서 허용되지 않는 경우 EnableBaseline API를 직접 호출하여 OU를 등록할 때 해당 리전은 이 OU에 허용되지 않습니다.

참고
OU 수준 리전 거부 제어는 랜딩 존 리전 거부 제어가 허용하지 않는 리전을 허용할 수 없습니다.

자세한 내용은AWS Organizations설명서의 SCPs 거부와 함께 작동하는 방식을 참조하세요.

권장 사항: OU에 대해 EnableBaseline API를 직접 호출하기 전에 대상 OU가 워크로드를 실행하고 있을 수 있는 리전을 확인하고 그 결과를 랜딩 존 리전 거부 제어와 비교하여 확인하는 것이 좋습니다. 그러지 않으면 특정 리전의 리소스에 대한 액세스 권한이 손실될 수 있습니다.
이름: ConfigBaseline

설명:이 기준은 Detective Controls 활성화에 필요한 대상 OU 내의 멤버 계정에 대한 AWS Config 관련 리소스를 설정합니다. 설정된 리소스는 AWSControlTowerBaseline의 리소스 하위 집합입니다.

고려 사항:이 기준은 랜딩 존 리전 거부 제어의 설정을 유지하지 않습니다. 리전 거부 제어는 ConfigBaseline 활성화의 일부로 활성화되지 않습니다.

제한: 동일한 OU에서 AWSControlTowerBaseline 및 ConfigBaseline을 활성화할 수 없습니다. 이 중 하나만 OU에 허용됩니다.
이름: BackupBaseline

설명: 이 기준은 대상 OU 내의 멤버 계정에 대한 리소스 및 제어를 설정합니다. 이는 와의 통합이 데이터 백업을 자동화AWS 서비스하고 백업 정책 관리를 중앙 집중화할AWS Backup수 있도록 하기 위해 필요합니다.

고려 사항: 대상 OU에서 BackupBaseline을 활성화하기 전에 대상 OU에서 AWSControlTowerBaseline이 활성화되어 있는지 확인합니다. 즉, 대상 OU가 AWS Control Tower에 등록되어 있어야 합니다.
- AWS Control Tower 랜딩 존을 생성하는AWS Backup프로세스 중에 또는 랜딩 존 업데이트 프로세스 중에를 활성화하도록 선택할 수 있습니다.
- BackupBaseline은 랜딩 존 버전 3.1 이상과 호환됩니다.
- BackupBaseline은 관리 계정에 적용되지 않습니다.

랜딩 존 설정 중에 공유 계정에 적용할 수 있는 기준 유형

AWS Control Tower는 랜딩 존 설정 및 업데이트 프로세스의 일부로 공유 계정에서 특정 기준을 활성화합니다. 랜딩 존 설정을 변경하면 랜딩 존의 기준이 변경될 수 있습니다. 예를 들어, IAM Identity Center를 옵트인하면 AWS Control Tower가 랜딩 존에서 IdentityCenterBaseline 기준의 최신 버전을 활성화할 수 있습니다.

ListEnabledBaselines API 직접 호출을 통해 랜딩 존에 대해 활성화된 기준을 볼 수 있습니다.

참고

랜딩 존 버전 4.0부터 AuditBaseline은 CentralSecurityRolesBaseline 및 라는 두 가지 개별 기준으로 대체됩니다CentralConfigBaseline.

이름: CentralConfigBaseline

설명: AWS Config를 사용하여 조직 내에서 규정 준수 모니터링 및 감사를 위한 중앙 리소스를 설정합니다.
이름: CentralSecurityRolesBaseline

설명: 조직 내에서 보안 모니터링을 위한 중앙 리소스를 설정합니다.
이름: AuditBaseline

설명: 조직 내 계정의 보안 및 규정 준수를 모니터링하는 리소스를 설정합니다.
이름: LogArchiveBaseline

설명: 조직 내 계정의 API 활동 및 리소스 구성의 로그를 위한 중앙 리포지토리를 설정합니다.
이름: IdentityCenterBaseline

설명: 계정에 대한 Identity Center 액세스를 설정하기 위해 AWSControlTowerBaseline을 준비하는 IAM Identity Center에 대한 공유 리소스를 설정합니다.

고려 사항: 이 기준은 랜딩 존을 처음 설정할 때 IAM Identity Center를 ID 공급자로 선택한 경우 또는 이후 랜딩 존 설정을 변경하여 랜딩 존에 대해 IAM Identity Center를 활성화한 경우에만 작동합니다. 다른 ID 제공업체를 사용하는 경우 이 기준을 활성화할 수 있는 액세스 권한이 없습니다.
이름: BackupCentralVaultBaseline

설명: 조직의 중앙AWS Backup볼트를 설정합니다.
이름: BackupAdminBaseline

설명: 위임된 관리자와AWS Backup Audit Manager를 설정합니다.

활성화된 기준 및 멤버 계정

OU에서 기준을 활성화하면 해당 구성은 OU의 멤버 계정에 의해 상속됩니다. 상속의 사실로 인해 계정을 언급할 때 이를 하위 활성화 기준이라고 합니다. OU에 적용되는 기준을 상위 활성화 기준이라고 합니다. 상위 활성화 기준은 하위 활성화 기준의 구성을 제어합니다. OU에서 제어를 활성화하면 해당 제어가 OU 내의 모든 계정에 적용되는 방식과 비슷합니다.

계정의 기준 상태 보기

AWS Control Tower에서는 기준과 함께 계정을 직접 대상으로 지정할 수 없습니다. 그러나 상속된 하위 활성화 기준을 사용하여 각 멤버 계정의 활성화 및 드리프트 상태를 추적할 수 있습니다. 계정 상태를 보려면 includeChildren 기능 플래그를 사용하여 ListEnabledBaselines API를 직접적으로 호출하면 됩니다.

계정의 기준 비활성화

AWS Control Tower는 상위 활성화 기준에 연결된 하위 활성화 기준을 비활성화하도록 허용하지 않습니다. 상속이 드리프트되어 상위 활성화 기준에 더 이상 연결되지 않는 경우 하위 활성화 기준을 비활성화할 수 있습니다.

기준 및 버전 관리 기본값

AWS Control Tower 랜딩 존이 이미 설정되어 있고 랜딩 존 기준을 활성화하기로 선택한 경우 AWS Control Tower는 랜딩 존 버전과 호환되는 최신 버전의 기준을 활성화합니다. AWS Control Tower에 아직 등록되지 않은 OU에 대해 기준을 활성화하도록 선택하는 경우 AWS Control Tower는 해당 OU에 대해 호환되는 최신 버전의 기준을 자동으로 제공합니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

문제 해결

부분 등록