예제: API만 사용하여 AWS Control Tower OU 등록 - AWS Control Tower란

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

예제: API만 사용하여 AWS Control Tower OU 등록

이 예제 연습은 보조 문서입니다. 설명, 주의 사항 및 자세한 내용은 기준 유형 섹션을 참조하세요.

사전 조건

AWS Control Tower에 등록할 기존 OU(아직 등록되지 않은 상태여야 함)가 있어야 합니다. 또는 업데이트를 위해 재등록하려는 등록된 OU가 있어야 합니다.

OU 등록

  1. IdentityCenterBaseline이 랜딩 존에 활성화되어 있는지 확인합니다. 그렇다면 Identity Center 활성화 기준 식별자를 가져옵니다.

    aws controltower list-baselines --query 'baselines[?name==`IdentityCenterBaseline`].[arn]'
    aws controltower list-enabled-baselines --query 'enabledBaselines[?baselineIdentifier==`<Identity Center Baseline Arn>`].[arn]'

  2. 대상 OU의 ARN을 가져옵니다.

    aws organizations describe-organizational-unit --organizational-unit-id <Organizational Unit ID> --query 'OrganizationalUnit.[Arn]'

  3. AWSControlTowerBaseline 기준의 ARN을 가져옵니다.

    aws controltower list-baselines --query 'baselines[?name==`AWSControlTowerBaseline`].[arn]'

  4. 대상 OU에 AWSControlTowerBaseline 기준을 생성합니다.

    Identity Center 기준이 활성화된 경우:

    aws controltower enable-baseline --baseline-identifier <AWSControlTowerBaseline ARN> --baseline-version <BASELINE VERSION> --target-identifier <OU ARN> --parameters '[{"key":"IdentityCenterEnabledBaselineArn","value":"<Identity Center Enabled Baseline ARN>"}]'

    Identity Center 기준이 활성화되지 않은 경우 다음과 같이 parameters 플래그를 생략합니다.

    
aws controltower enable-baseline --baseline-identifier <AWSControlTowerBaseline ARN> --baseline-version <BASELINE VERSION> --target-identifier <OU ARN>

OU 재등록

랜딩 존 설정을 업데이트하거나 랜딩 존 버전을 업데이트한 후에는 OU를 재등록하여 최신 변경 사항을 제공해야 합니다. 다음 단계에 따라 연결된 EnabledBaseline 리소스와 연결된 리소스를 재설정하여 프로그래밍 방식으로 OU를 다시 등록합니다EnabledControl.

중요

OU에 선택적 제어가 활성화된 경우 기준을 재설정한 후 활성화된 각 선택적 제어에 대해 ResetEnabledControl API도 호출해야 합니다. 이 단계를 통해 선택적 제어가 최신 랜딩 존 구성과 일관되게 유지됩니다. 이 단계를 건너뛰면 OU의 선택적 제어에 최신 랜딩 존 변경 사항이 반영되지 않을 수 있습니다. 선택적 제어를 활성화하지 않은 경우이 단계는 필요하지 않습니다.

  1. 대상 OU의 ARN을 가져와 재등록합니다.

    aws organizations describe-organizational-unit --organizational-unit-id <OU ID> --query 'OrganizationalUnit.[Arn]'

  2. 대상 OU에 대한 EnabledBaseline 리소스의 ARN을 가져옵니다.

    aws controltower list-enabled-baselines --query 'enabledBaselines[?targetIdentifier==`<OUARN>`].[arn]'

  3. 활성화된 기준을 재설정합니다.

    aws controltower reset-enabled-baseline --enabled-baseline-identifier <EnabledBaselineArn>

  4. OU에 선택적 제어가 활성화된 경우 OU에 대해 활성화된 제어를 나열하고 최신 랜딩 존 구성과 일치하도록 각 제어를 재설정합니다.

    대상 OU에서 활성화된 컨트롤을 나열합니다.

    aws controltower list-enabled-controls --target-identifier <OU ARN>

    활성화된 선택적 제어가 반환될 때마다 다음을 호출하여 재설정합니다.

    aws controltower reset-enabled-control --enabled-control-identifier <EnabledControlArn>

    자세한 내용은 AWS Control Tower API 참조의 ResetEnabledControl을 참조하세요.