기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Account Factory로 계정 프로비저닝 및 관리
<a name="account-factory"></a>

**참고**  
단일 계정 프로비저닝, 업데이트 및 사용자 지정은 AWSControlTowerBaseline이 활성화된 조직 단위(OU)를 대상으로 해야 합니다. OU에 AWSControlTowerBaseline이 활성화되어 있지 않은 경우 계정 자동 등록을 활성화하거나 해당 OU의 EnabledBaselines 및 EnabledControls에서 ResetEnabledBaseline 및 ResetEnabledControl EnabledControls APIs를 사용하여 계정을 등록할 수 있습니다. EnabledBaselines AWSControlTowerBaseline에 대한 자세한 내용은 섹션을 참조하세요[OU 수준에서 적용되는 기준 유형](types-of-baselines.md#ou-baseline-types).

 이 장에서는 Account Factory를 사용하여 AWS Control Tower 랜딩 존에서 새 멤버 계정을 프로비저닝하는 방법에 대한 개요와 절차를 설명합니다.

## 계정 구성 및 프로비저닝을 위한 권한
<a name="configure-provision-new-account"></a>

AWS Control Tower Account Factory를 사용하면의 클라우드 관리자와 사용자가 랜딩 존에서 계정을 프로비저닝 AWS IAM Identity Center 할 수 있습니다. 기본적으로 계정을 프로비저닝하는 IAM Identity Center 사용자는 `AWSAccountFactory` 그룹 또는 관리 그룹에 있어야 합니다.

**참고**  
조직에서 권한이 있는 계정을 사용할 때와 마찬가지로 관리 계정에서 작업할 때는 주의해야 합니다.

AWS Control Tower 관리 계정은 `AWSControlTowerExecution` 역할과 신뢰 관계가 있으며, 이를 통해 일부 자동화된 계정 설정을 포함하여 관리 계정에서 계정을 설정할 수 있습니다. `AWSControlTowerExecution` 역할에 대한 자세한 내용은 [역할 및 계정](https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html) 섹션을 참조하세요.

**참고**  
기존를 AWS Control Tower AWS 계정 에 등록하려면 해당 계정에 `AWSControlTowerExecution` 역할이 활성화되어 있어야 합니다. 기존 계정을 등록하는 방법에 대한 자세한 내용은 [기존 계정 등록 정보](enroll-account.md) 섹션을 참조하세요.

권한에 대한 자세한 내용은 [계정 프로비저닝에 필요한 권한](provision-and-manage-accounts.md#permissions) 섹션을 참조하세요.

## Account Factory에서 계정을 관리하기 위한 고려 사항
<a name="closing-and-repurposing"></a>

 Account Factory를 통해 생성하고 프로비저닝하는 계정을 업데이트, 등록 취소 및 해지할 수 있습니다. 용도를 변경하려는 계정의 사용자 파라미터를 업데이트하여 계정을 재활용할 수 있습니다. 계정의 조직 단위(OU)를 변경할 수도 있습니다.

**참고**  
 Account Factory가 제공하는 계정과 연결된 프로비저닝된 제품을 업데이트할 때 새 사용자 이메일 주소를 지정하면 AWS IAM Identity Center AWS Control Tower가 IAM Identity Center에 새 사용자를 생성합니다. 이전에 생성된 계정은 제거되지 않습니다. IAM Identity Center에서 이전 IAM Identity Center 사용자 이메일 주소를 제거하는 방법에 대한 자세한 내용은 [사용자 비활성화](https://docs.aws.amazon.com//singlesignon/latest/userguide/disableuser.html)를 참조하세요.

# AWS Control Tower를 사용하여 계정 업데이트 및 이동
<a name="updating-account-factory-accounts"></a>

등록된 계정을 업데이트하는 가장 쉬운 방법은 AWS Control Tower 콘솔을 사용하는 것입니다. 개별 계정 업데이트는 [이동된 멤버 계정](governance-drift.md#drift-account-moved)과 같은 드리프트를 해결하는 데 유용합니다. 또한 계정 업데이트는 전체 랜딩 존 업데이트의 일부로도 필요합니다.

## 콘솔에서 계정 업데이트
<a name="update-account-in-console"></a>

**AWS Control Tower 콘솔에서 계정을 업데이트하려면**

1. AWS Control Tower에 로그인하면 **조직** 페이지로 이동합니다.

1. OU 및 계정 목록에서 업데이트하려는 계정의 이름을 선택합니다. 업데이트할 수 있는 계정에는 **업데이트 사용 가능** 상태가 표시됩니다.

1. 다음으로 선택한 계정의 **계정 세부 정보** 페이지가 표시됩니다.

1. 오른쪽 상단에서 **계정 업데이트**를 선택합니다.

한 조직 단위(OU)에서 다른 조직 단위로 계정을 이동하는 경우 새 OU에서 적용되는 제어가 이전 OU에서의 제어와 다를 수 있다는 점을 기억해야 합니다. 새 OU의 제어가 계정에 대한 정책 요구 사항을 충족하는지 확인합니다.

AWS Control Tower 계정은 계정 자동 등록을 옵트인했는지 여부에 따라 다르게 수정됩니다. 자동 등록에 대한 자세한 내용은 [선택적으로 자동 계정 등록 구성](configure-auto-enroll.md) 섹션을 참조하세요.

**자동 등록이 활성화된 상태에서 OU 간 계정 이동 시 제어 동작**

계정을 새 OU로 이동하면 AWS Control Tower는 OU의 활성화된 기준 및 제어를 계정에 적용합니다. 이전 OU의 제어 및 기준이 제거됩니다. 등록된 OU 외부로 계정을 이동하면 AWS Control Tower는 배포된 모든 기준 및 제어를 제거합니다.

**자동 등록이 비활성화된 상태에서 OU 간 계정 이동 시 제어 동작**

OU 간에 계정을 이동하면 대상 OU에 대한 제어가 계정에 적용됩니다. 하지만 이전 OU에서 계정에 적용된 제어는 제거되지 않습니다. 제어의 정확한 동작은 이전 OU와 대상 OU에서 활성화된 제어의 구현에 따라 다릅니다.
+  * AWS Config 규칙으로 구현된 제어의 경우:* 이전 OU의 제어
 는 제거되지 않습니다. 이러한 제어는 수동으로 제거해야 합니다.
+ *SCP로 구현된 제어의 경우:* 이전 OU의 SCP 기반 제어가 제거됩니다. 대상 OU에 대한 SCP 기반 제어가 이 계정에 적용됩니다.
+ * CloudFormation 후크로 구현된 제어의 경우:* 이 동작은 새 OU의 제어 상태에 따라 달라집니다.
  + *대상 OU에 활성화된 후크 기반 제어가 없는 경우:* 이전 제어는 수동으로 제거하지 않는 한 이동한 계정에 대해 활성 상태로 유지됩니다.
  + *대상 OU에 활성화된 후크 제어가 있는 경우:* 이전 제어가 제거되고 대상 OU의 제어가 계정에 적용됩니다.

# 등록된 계정의 이메일 주소 변경
<a name="change-account-email"></a>

 AWS Control Tower에서 등록된 멤버 계정의 이메일 주소를 변경하려면 이 섹션의 절차를 따르세요.

**참고**  
 다음 절차에서는 **관리 계정,** **로그 아카이브 계정** 또는 **감사 계정**의 이메일 주소를 변경할 수 없습니다. 이에 대한 자세한 내용은 [내 AWS 계정과 연결된 이메일 주소를 변경하려면 어떻게 해야 합니까?를 참조](https://aws.amazon.com//premiumsupport/knowledge-center/change-email-address/)하거나 Support에 문의 AWS 하세요.

**AWS Control Tower에서 생성되는 계정의 이메일 주소를 변경하려면**

1.  계정의 루트 사용자 암호를 복구합니다. [분실했거나 잊어버린 AWS 암호를 복구하려면 어떻게 해야 합니까?](https://aws.amazon.com//premiumsupport/knowledge-center/recover-aws-password/) 문서의 단계를 따를 수 있습니다.

1.  루트 사용자 암호로 계정에 로그인합니다.

1.  다른 이메일 주소와 마찬가지로 이메일 주소를 변경 AWS 계정하고 변경 사항이 반영될 때까지 기다립니다 AWS Organizations. 이메일 주소 변경에 따른 업데이트가 완료될 때까지 지연이 발생할 수 있습니다.

1.  이전에 계정에 속해 있던 이메일 주소를 사용하여 Service Catalog에서 프로비저닝된 제품을 업데이트합니다. 프로비저닝된 제품을 업데이트하는 프로세스에는 새 이메일 주소를 프로비저닝된 제품과 연결하는 작업이 포함됩니다. 이렇게 하면 이메일 주소 변경이 AWS Control Tower에 적용됩니다. 이후에 프로비저닝된 제품에 대한 업데이트에는 새 이메일 주소를 사용합니다.

 AWS Organizations으로 생성한 멤버 계정의 암호 또는 이메일 주소를 변경하려면 *AWS Organizations 사용자 안내서*에서 [루트 사용자로 멤버 계정 액세스](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_access-as-root)를 참조하세요.

또는 루트 사용자로 로그인하지 않고 AWS Organizations 콘솔에서 Account Factory 또는 기타 멤버 계정의 이메일 주소를 업데이트할 수 있습니다. 자세한 내용은 *AWS Organizations 사용자 안내서*에서 [AWS Organizations를 사용하여 멤버 계정의 루트 사용자 이메일 주소 업데이트](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_update_primary_email.html)를 참조하세요.

# 등록된 계정의 이름 변경
<a name="change-account-name"></a>

이 섹션의 절차에 따라 등록된 AWS Control Tower 계정의 이름을 변경합니다.

**참고**  
 AWS *관리자* 계정의 이름을 변경하려면 관리자 권한이 있어야 하며 계정의 루트 사용자로 로그인해야 합니다.

**AWS Organizations 콘솔 또는 APIs를 사용하여 AWS Control Tower에서 생성한 계정의 이름을 변경하려면**
+ *AWS 계정 관리 참조 안내서*의 [지침을](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-update-acct-name.html#update-account-name-orgs) 따릅니다.

**AWS Control Tower에서 생성된 계정의 이름을 변경하는 또 다른 방법**

1. 계정의 루트 암호를 복구합니다. 이 문서의 [분실하거나 잊어버린 AWS 암호를 복구하려면 어떻게 해야 합니까?](https://aws.amazon.com//premiumsupport/knowledge-center/recover-aws-password/)에 설명된 단계를 따를 수 있습니다.

1. 루트 암호로 계정에 로그인합니다.

1.  AWS Billing 콘솔에서 **계정 설정** 페이지로 이동합니다.

1. 다른 AWS 계정의 경우와 마찬가지로 **계정 설정**에서 이름을 변경합니다.

1. AWS Control Tower는 이름 변경을 반영하도록 자동으로 업데이트됩니다. 이 업데이트는 AWS Service Catalog의 프로비저닝된 제품에는 반영되지 않습니다.

# Amazon Virtual Private Cloud 설정을 사용하여 Account Factory 구성
<a name="configuring-account-factory-with-VPC-settings"></a>

Account Factory를 사용하면 조직의 계정에 대해 미리 승인된 기준과 구성 옵션을 생성할 수 있습니다. AWS Service Catalog를 통해 새 계정을 구성 및 프로비저닝할 수 있습니다.

Account Factory 페이지에서 조직 단위(OU)의 목록 및 해당 **허용 목록** 상태를 볼 수 있습니다. 기본적으로 모든 OU는 허용 목록에 있으므로 해당 OU 아래에서 계정을 프로비저닝할 수 있습니다. 를 통한 계정 프로비저닝을 위해 특정 OUs를 비활성화할 수 있습니다 AWS Service Catalog.

최종 사용자가 새 계정을 프로비저닝할 때 사용할 수 있는 Amazon VPC 구성 옵션을 볼 수 있습니다.

**Account Factory에서 Amazon VPC 설정을 구성하려면**

1. 중앙 클라우드 관리자는 관리 계정에서 관리자 권한으로 AWS Control Tower 콘솔에 로그인합니다.

1. 대시보드의 왼쪽에서 **Account Factory**를 선택하여 Account Factory 네트워크 구성 페이지로 이동합니다. 여기에 기본 네트워크 설정이 표시됩니다. 편집하려면 **편집**을 선택하고 Account Factory 네트워크 구성 설정의 편집 가능한 버전을 확인합니다.

1. 필요에 따라 기본 설정의 각 필드를 수정할 수 있습니다. 최종 사용자가 생성할 수 있는 모든 새로운 Account Factory 계정에 대해 설정하려는 VPC 구성 옵션을 선택하고 다음 설정을 필드에 입력합니다.
+ Amazon VPC에서 퍼블릭 서브넷을 생성하려면 **비활성화됨** 또는 **활성화됨**을 선택합니다. 기본적으로 인터넷 액세스가 가능한 서브넷은 허용되지 않습니다.
**참고**  
새 계정을 프로비저닝할 때 퍼블릭 서브넷이 **활성화**되도록 Account Factory VPC 구성을 설정하면 Account Factory에서 Amazon VPC를 구성하여 [NAT 게이트웨이](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-nat-gateway.html)를 생성합니다. 따라서 Amazon VPC 사용에 대한 요금이 청구됩니다. 자세한 내용은 [VPC 요금](https://aws.amazon.com//vpc/pricing/)을 참조하세요.
+ 목록에서 Amazon VPC에 있는 프라이빗 서브넷의 최대 수를 선택합니다. 기본적으로 1이 선택됩니다. 허용된 프라이빗 서브넷의 최대 수는 가용 영역당 2개입니다.
+  계정 VPC를 생성하기 위한 IP 주소 범위를 입력합니다. 이 값은 CIDR(Classless Inter-Domain Routing) 블록 형식이어야 합니다(기본값 `172.31.0.0/16`). 이 CIDR 블록은 Account Factory가 계정에 대해 생성하는 VPC의 전체 서브넷 IP 주소 범위를 제공합니다. VPC 내에서 서브넷은 지정한 범위에서 자동으로 할당되고 크기는 동일합니다. 기본적으로 VPC 내의 서브넷은 중첩되지 않습니다. 그러나 프로비저닝한 모든 계정의 VPC에서 서브넷 IP 주소 범위는 중첩될 수 있습니다.
+ 계정이 프로비저닝될 때 VPC를 생성하기 위해 한 리전 또는 모든 리전을 선택합니다. 사용 가능한 모든 리전이 기본적으로 선택되어 있습니다.
+ 목록에서 각 VPC의 서브넷을 구성할 가용 영역 수를 선택합니다. 기본값으로 권장되는 수는 3개입니다.
+ **저장**을 선택합니다.

 또한 이러한 구성 옵션을 설정하여 VPC가 포함되지 않은 새 계정을 만들 수도 있습니다. [시연](https://docs.aws.amazon.com//controltower/latest/userguide/configure-without-vpc.html)을 참조하세요.

# 계정 등록 취소
<a name="unmanage-account"></a>

Account Factory에서 계정을 생성했거나를 등록했는데 AWS 계정더 이상 랜딩 존의 AWS Control Tower에서 계정을 관리하지 않으려면 AWS Control Tower 콘솔에서 계정을 *등록 취소할* 수 있습니다.

AWS Control Tower 계정의 등록을 취소하면 제어 및 블루프린트를 포함하여 AWS Control Tower에서 프로비저닝된 모든 리소스가 제거됩니다. 계정이 AWS Control Tower OU에서 **루트** 영역으로 이동됩니다. 계정은 더 이상 등록된 OU의 일부가 아니며 더 이상 AWS Control Tower SCP의 적용을 받지 않습니다. 계정을 해지할 수 있습니다 AWS Organizations.

**AWS Control Tower 콘솔에서 등록된 계정의 등록을 취소하는 방법**

1. [https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower)로 이동해 웹 브라우저에서 AWS Control Tower 콘솔을 엽니다.

1. 왼쪽 창 탐색 메뉴에서 **조직**을 선택합니다.

1. **조직** 페이지에서 OU 근처의 **\$1** 버튼을 선택하여 계정이 포함된 OU를 펼칩니다.

1. 계정을 선택한 다음 **관리 취소**를 선택합니다.

**참고**  
계정 상태가 **등록되지 않음**으로 표시될 때까지 기다립니다.

계정이 더 이상 필요하지 않은 경우 계정을 해지합니다. AWS 계정 해지에 대한 자세한 내용은 *AWS Billing 사용자 안내서*에서 [계정 해지](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html)를 참조하세요.

**자동 등록이 활성화된 경우 계정 등록 취소**  
**설정** 페이지에서 자동 등록 기능이 활성화된 경우 AWS Control Tower에 등록되지 않은 OU로 계정을 이동하여 계정 등록을 취소할 수도 있습니다. 취소하면 모든 AWS Control Tower 리소스가 제거됩니다. 이때 계정을 실수로 등록 취소하지 않도록 하세요. 물론 계정을 OU로 되돌려서 다시 등록할 수 있습니다.

사용자 지정 계정의 등록을 취소하면 AWS Control Tower는 랜딩 존이 배포한 리소스와 계정 내에서 AWS Control Tower가 생성한 기타 리소스를 제거합니다. 또한 AWS Control Tower는 수동으로 추가된 **AWSControlTowerExecution** 역할도 제거합니다. 서비스 실행 역할이 관리되지 않는 계정에 남아서는 안 되므로 이 역할을 제거하는 것이 최소 권한 원칙에 부합합니다.

계정을 등록 취소한 후 계정을 해지할 수 있습니다 AWS Organizations.

**참고**  
계정을 등록 취소해도 해지되거나 삭제되지 않습니다. 계정이 등록 취소된 경우에도 Account Factory에서 계정을 생성할 때 선택한 IAM Identity Center 사용자는 여전히 계정에 대한 관리 액세스 권한을 가집니다. 이 사용자에게 관리 액세스 권한을 부여하지 않으려면 Account Factory에서 계정을 업데이트하고 계정의 IAM Identity Center 사용자 이메일 주소를 변경하여 IAM Identity Center에서 이 설정을 변경해야 합니다. 자세한 내용은 [AWS Control Tower를 사용하여 계정 업데이트 및 이동](updating-account-factory-accounts.md) 단원을 참조하십시오.

## 비디오 시연
<a name="unmanage-account-video"></a>

이 비디오(3:25)에서는 AWS Control Tower에서 계정을 제거하고, 계정에 대한 루트 액세스 권한을 얻고, 마지막으로 AWS 계정을 해지하는 방법을 설명합니다. [AWS Organizations API](https://docs.aws.amazon.com//controltower/latest/userguide/delete-account.html)를 사용하여 계정을 해지할 수도 있습니다. 비디오의 오른쪽 하단 모서리에 있는 아이콘을 선택하여 전체 화면으로 확대하면 더 잘 보입니다. 자막을 사용할 수 있습니다.

[![AWS Videos](http://img.youtube.com/vi/n3eALEKZaHc/0.jpg)](http://www.youtube.com/watch?v=n3eALEKZaHc)


AWS Control Tower의 일반적인 작업을 설명하는 AWS [YouTube 비디오](https://www.youtube.com/playlist?list=PLhr1KZpdzukdS9skEXbY0z67F-wrcpbjm) 목록을 볼 수 있습니다.

# Account Factory에서 생성된 계정 해지
<a name="delete-account"></a>

Account Factory에서 생성된 계정은 입니다 AWS 계정. AWS 계정해지에 대한 자세한 내용은 [https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-closing.html ](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-closing.html )에서 [계정 해지](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html)를 참조하세요.

**참고**  
 를 닫 AWS 계정 는 것은 AWS Control Tower에서 계정을 등록 취소하는 것과 같지 않습니다. 이는 별도의 작업입니다. 계정을 해지하려면 우선 등록을 취소해야 합니다.

## 를 통해 AWS Control Tower 멤버 계정 닫기 AWS Organizations
<a name="close-account-with-orgs-api"></a>

루트 자격 증명으로 각 멤버 계정에 개별적으로 로그인할 필요 없이 조직의 관리 계정에서 AWS Control Tower 멤버 계정을 해지할 수 있습니다 AWS Organizations. 하지만 관리 계정은 이러한 방식으로 해지할 수 없습니다.

 AWS Organizations [CloseAccount API](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CloseAccount.html)를 호출하거나 AWS Organizations 콘솔에서 계정을 닫으면 멤버 계정이 AWS 계정 90일 동안 격리됩니다. 계정은 AWS Control Tower 및 AWS Organizations에서 **일시 중지됨** 상태를 표시합니다. 이 90일 동안 계정에 대한 작업을 시도하면 AWS Control Tower에서 오류 메시지를 표시합니다.

**참고**  
OU에 계정이 일시 중지된 경우 대상에 대한 리전별 제어에 대해 EnabledControl 작업이 실패합니다.

90일이 만료되기 전에 멤버 계정을 복원할 수 있습니다 AWS 계정. 90일이 지나면 계정의 레코드가 제거됩니다.

가장 좋은 방법은 계정을 해지하기 전에 멤버 계정의 등록을 취소하는 것입니다. 멤버 계정을 먼저 관리 해제하지 않은 상태에서 해지하면 AWS Control Tower에서 계정의 상태를 **일시 중지됨**으로 표시하는 동시에 **등록됨**으로도 표시합니다. 따라서 해당 90일 동안 계정의 OU를 **재등록**하려고 하면 AWS Control Tower가 오류 메시지를 생성합니다. 일시 중지된 계정은 기본적으로 사전 확인 실패와 함께 재등록 작업을 차단합니다. OU에서 계정을 제거하면 OU를 **다시 등록할** 수 있지만 계정에 대한 결제 방법이 누락되어 오류가 발생할 AWS 수 있습니다. 이 제약 조건을 해결하려면 재등록하기 전에 다른 OU를 생성하고 계정을 해당 OU로 이동합니다. 이 OU의 이름을 **일시 중지된** OU로 지정하는 것이 좋습니다.

**참고**  
계정을 해지하기 전에 등록을 취소하지 않으면 해당 90일이 완료된 AWS Service Catalog 후에서 계정의 프로비저닝된 제품을 삭제해야 합니다.

자세한 내용은 [CloseAccount API](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CloseAccount.html)에 대한 AWS Organizations 설명서를 참조하세요.

# Account Factory에 대한 리소스 고려 사항
<a name="account-factory-considerations"></a>

Account Factory로 계정을 프로비저닝하면 계정 내에 다음 AWS 리소스가 생성됩니다.


| AWS 서비스 | 리소스 유형 | 리소스 이름 | 
| --- | --- | --- | 
| AWS CloudFormation | 스택 |  StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-\$1 StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-\$1 StackSet-AWSControlTowerBP-BASELINE-CONFIG-\$1 StackSet-AWSControlTowerBP-BASELINE-ROLES-\$1 StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-\$1  | 
| AWS CloudTrail | 추적 | aws-controltower-BaselineCloudTrail | 
| Amazon CloudWatch | CloudWatch Events 규칙 | aws-controltower-ConfigComplianceChangeEventRule | 
| Amazon CloudWatch | CloudWatch Logs | aws-controltower/CloudTrailLogs /aws/lambda/aws-controltower-NotificationForwarder | 
| AWS Identity and Access Management | 역할 | aws-controltower-AdministratorExecutionRole aws-controltower-CloudWatchLogsRole aws-controltower-ConfigRecorderRole aws-controltower-ForwardSnsNotificationRole aws-controltower-ReadOnlyExecutionRole  AWSControlTowerExecution | 
| AWS Identity and Access Management | 정책 | AWSControlTowerServiceRolePolicy  | 
|  Amazon Simple Notification Service | 주제 | aws-controltower-SecurityNotifications | 
| AWS Lambda | 애플리케이션 | StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-\$1 | 
| AWS Lambda | 함수 | aws-controltower-NotificationForwarder | 
| Amazon EventBridge | 규칙 | AWSControlTowerManagedRule | 
| Amazon EventBridge | 규칙 | aws-controltower-ConfigComplianceChangeEventRule |