기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 기존 계정 등록 정보
AWS Control Tower 거버넌스를 AWS Control Tower에서 이미 관리하는 조직 단위(OU)에 *등록할* AWS 계정 때 존재하는 개별 로 확장할 수 있습니다. 적격 계정은 AWS Control Tower *OUs와 동일한 AWS Organizations 조직의 일부인 등록되지 않은* OU에 존재합니다.
AWS Control Tower에 계정을 등록하는 몇 가지 방법이 있습니다. **이 페이지의 정보는 모든 등록 방법에 적용됩니다.**
**참고**
초기 랜딩 존 설정 중에만 기존 AWS 계정을 등록하여 감사 또는 로그 아카이브 계정으로 사용할 수 있습니다.
## 계정 등록 중에 발생하는 일
등록 프로세스 중에 AWS Control Tower는 다음 작업을 수행합니다.
+ 다음 스택 세트의 배포를 포함하여 계정에 기준을 설정합니다.
+ `AWSControlTowerBP-BASELINE-CLOUDTRAIL`
+ `AWSControlTowerBP-BASELINE-CLOUDWATCH`
+ `AWSControlTowerBP-BASELINE-CONFIG`
+ `AWSControlTowerBP-BASELINE-ROLES`
+ `AWSControlTowerBP-BASELINE-SERVICE-ROLES`
+ `AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLES`
+ `AWSControlTowerBP-VPC-ACCOUNT-FACTORY-V1`
이러한 스택 세트의 템플릿을 검토하고 기존 정책과 충돌하지 않도록 하는 것이 좋습니다.
+ AWS IAM Identity Center 또는를 통해 계정을 식별합니다 AWS Organizations.
+ 지정한 OU에 계정을 배치합니다. 보안 상태가 일관되게 유지되도록 현재 OU에 적용된 모든 SCP를 적용해야 합니다.
+ 선택한 OU 전체에 적용되는 SCP를 통해 계정에 필수 제어를 적용합니다.
+ 계정의 모든 리소스를 기록하도록 활성화 AWS Config 하고 구성합니다.
+ AWS Control Tower 탐지 제어를 계정에 적용하는 AWS Config 규칙을 추가합니다.
**계정 및 조직 수준 CloudTrail 추적**
랜딩 존 버전이 3.1 이상이고 랜딩 존 설정에서 선택적 AWS CloudTrail 통합을 선택한 경우:
OU의 모든 멤버 계정은 등록 여부에 관계없이 OU의 AWS CloudTrail 추적에 의해 관리됩니다.
AWS Control Tower에 계정을 등록하면 새 조직의 AWS CloudTrail 추적이 계정에 적용됩니다. 기존에 배포된 CloudTrail 추적이 있는 경우 AWS Control Tower에 계정을 등록하기 전에 계정에 대한 기존 추적을 삭제하지 않으면 중복 요금이 부과될 수 있습니다.
예를 들어 AWS Organizations 콘솔 또는 APIs를 사용하여 계정을 등록된 OU로 이동하는 경우 계정에 대한 나머지 계정 수준 추적을 제거할 수 있습니다. CloudTrail 추적을 기존에 배포한 경우 CloudTrail 요금이 중복 부과됩니다.
랜딩 존을 업데이트하고 조직 수준 추적을 옵트아웃하도록 선택하거나 랜딩 존이 버전 3.0보다 오래된 경우 조직 수준 CloudTrail 추적이 계정에 적용되지 않습니다.
## VPC에 기존 계정 등록
AWS Control Tower는 사용자가 Account Factory에서 새 계정을 프로비저닝할 때 기존 계정을 등록할 때와 다르게 VPC를 처리합니다.
+ 새 계정을 만들면 AWS Control Tower에서 자동으로 AWS 기본 VPC를 제거하고 해당 계정에 대한 새 VPC를 생성합니다.
+ 기존 계정을 등록하면 AWS Control Tower에서 해당 계정에 대한 새 VPC를 생성하지 않습니다.
+ 기존 계정을 등록할 때 AWS Control Tower는 계정과 연결된 기존 VPC 또는 AWS 기본 VPC를 제거하지 않습니다.
**작은 정보**
Account Factory를 구성하여 새 계정의 기본 동작을 변경할 수 있으므로, AWS Control Tower에서 조직의 계정에 대해 기본적으로 VPC가 설정되지 않습니다. 자세한 내용은 [AWS Control Tower에서 VPC 없이 계정 생성](configure-without-vpc.md#create-without-vpc) 단원을 참조하십시오.
## AWS Config 리소스에 계정 등록
등록할 계정에 기존 AWS Config 리소스가 없어야 합니다. [기존 AWS Config 리소스가 있는 계정 등록을](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html) 참조하세요.
다음은 구성 레코더 및 전송 채널과 같은 기존 계정 AWS Config 리소스의 상태를 확인하는 데 사용할 수 있는 몇 가지 AWS Config CLI 명령의 예입니다.
**보기 명령:**
+ `aws configservice describe-delivery-channels`
+ `aws configservice describe-delivery-channel-status`
+ `aws configservice describe-configuration-recorders`
일반적인 응답은 `"name": "default"`와 같습니다.
**삭제 명령:**
+ `aws configservice stop-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT`
+ `aws configservice delete-delivery-channel --delivery-channel-name NAME-FROM-DESCRIBE-OUTPUT`
+ `aws configservice delete-configuration-recorder --configuration-recorder-name NAME-FROM-DESCRIBE-OUTPUT`
# 등록을 위한 사전 조건
*이 섹션에서는 랜딩 존 **설정** 페이지에서 선택적 자동 등록 기능을 선택하지 않았거나 3.1 이전 랜딩 존 버전으로 작업하는 경우 기존 AWS 계정을 AWS Control Tower에 등록하는 방법을 설명합니다.*
AWS Control Tower AWS 계정 에 기존를 등록하려면 다음 사전 조건이 필요합니다.
**참고**
랜딩 존 **설정** 페이지에서 AWS Control Tower 자동 등록 기능을 활성화했거나 **OU** 등록 프로세스의 일부로 계정을 등록하는 경우 `AWSControlTowerExecution` 역할을 추가하기 위한 사전 조건은 필요하지 않습니다. 그러나 모든 경우에 등록할 계정에 기존 AWS Config 리소스가 없을 수 있습니다. [기존 AWS Config 리소스가 있는 계정 등록](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html)을 참조하세요.
1. 기존를 등록하려면 등록하려는 계정에 AWS 계정`AWSControlTowerExecution` 역할이 있어야 합니다. [계정 등록](https://docs.aws.amazon.com//controltower/latest/userguide/quick-account-provisioning.html)에서 세부 정보 및 지침을 확인할 수 있습니다.
1. `AWSControlTowerExecution` 역할 외에도 등록하려는 기존 AWS 계정 에는 다음과 같은 권한과 신뢰 관계가 있어야 합니다. 그러지 않으면 등록이 실패합니다.
역할 권한: `AdministratorAccess` (AWS 관리형 정책)
**역할 신뢰 관계:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. 계정에 AWS Config 구성 레코더 또는 전송 채널이 없어야 합니다. 계정을 등록하기 전에 AWS CLI 를 통해 삭제하거나 수정할 수 있습니다. 그렇지 않으면 [기존 AWS Config 리소스를 수정하는 방법에 대한 지침은 기존 리소스가 있는 계정 등록](https://docs.aws.amazon.com//controltower/latest/userguide/existing-config-resources.html)을 검토하세요.
1. 등록하려는 계정은 AWS Control Tower 관리 계정과 동일한 AWS Organizations 조직 내에 있어야 합니다. 존재하는 계정은 AWS Control Tower에 이미 등록된 OU의 AWS Control Tower 관리 계정과 동일한 *조직에만* 등록할 수 있습니다.
등록을 위한 다른 사전 조건을 확인하려면 [AWS Control Tower 시작하기](https://docs.aws.amazon.com//controltower/latest/userguide/getting-started-with-control-tower.html)를 참조하세요.
**참고**
AWS Control Tower에 계정을 등록하면 해당 계정이 AWS Control Tower 조직의 AWS CloudTrail 추적에 의해 관리됩니다. 기존에 배포된 CloudTrail 추적이 있는 경우 AWS Control Tower에 계정을 등록하기 전에 계정에 대한 기존 추적을 삭제하지 않으면 중복 요금이 부과될 수 있습니다.
**`AWSControTowerExecution` 역할을 사용한 신뢰할 수 있는 액세스 정보**
AWS Control Tower AWS 계정 에 기존를 등록하려면 먼저 AWS Control Tower가 계정을 관리하거나 *관리할* 수 있는 권한을 부여해야 합니다. 특히 AWS Control Tower는가 선택한 조직의 계정에 스택을 자동으로 배포할 수 있도록 AWS CloudFormation 와 간에 AWS Organizations 사용자를 대신하여 신뢰할 CloudFormation 수 있는 액세스를 설정할 수 있는 권한이 필요합니다. 이 신뢰할 수 있는 액세스를 통해 `AWSControlTowerExecution` 역할은 각 계정을 관리하는 데 필요한 활동을 수행합니다. 따라서 등록하기 전에 각 계정에 이 역할을 추가해야 합니다.
신뢰할 수 있는 액세스가 활성화되면는 단일 작업 AWS 리전 으로 여러 계정에서 스택을 생성, 업데이트 또는 삭제할 수 CloudFormation 있습니다. AWS Control Tower는 이러한 신뢰 기능을 활용하여 기존 계정에 역할과 권한을 적용한 후 계정을 등록된 조직 단위로 옮기고, 이를 통해 계정을 관리할 수 있습니다.
신뢰할 수 있는 액세스 및에 대한 자세한 내용은 [AWS CloudFormationStackSets 및 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) AWS CloudFormation StackSets섹션을 참조하세요.
# 자동 등록을 사용하여 계정 이동 및 등록
계정 자동 등록 기능은 버전 3.1 이상의 랜딩 존에서 사용할 수 있습니다.
선택적으로이 기능을 활성화하면 [https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html](https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html)를 생성하지 않고도 AWS Organizations APIs 및 콘솔을 사용하여 계정을 AWS Control Tower로 이동할 수 있습니다. 계정은 AWS Control Tower의 대상 조직 단위(OU)로부터 기준 리소스 및 제어 구성을 자동으로 수신합니다. 또한 이 선택적 기능을 사용하면 두 OU에 동일한 기준 구성이 있고 동일한 제어가 활성화된 경우 상속 드리프트를 생성하지 않고 AWS Control Tower 내의 OU 간에 계정을 이동할 수 있습니다.
**자동 등록 활성화:** AWS Control Tower 콘솔의 랜딩 존 **설정** 페이지에서 또는 AWS Control Tower `CreateLandingZone` 또는 `UpdateLandingZone` API를 직접적으로 호출하여 계정 자동 등록을 선택할 수 있으며 `RemediationType` 파라미터 값은 **상속 드리프트**로 설정됩니다.
**자동 등록 적용:** **설정** 페이지에서이 옵션을 선택한 후 AWS Organizations 콘솔 AWS Organizations `MoveAccount`, API 또는 AWS Control Tower 콘솔을 사용하여 계정을 이동할 수 있습니다.
**자동 등록으로 계정 등록 취소:** 계정이 등록된 OU 외부로 계정을 이동하는 경우 AWS Control Tower는 배포된 모든 기준 리소스를 자동으로 제거하고 제어합니다.
**참고**
AWS Control Tower의 소스 및 대상 OU 구성이 다른 경우 계정에 [이동된 멤버 계정](governance-drift.md#drift-account-moved) 드리프트가 표시될 수 있습니다.
## 사전 조건: 자동 등록을 위한 구성
+ AWS Control Tower 랜딩 존 버전 3.1 이상을 실행해야 합니다.
+ 콘솔의 랜딩 존 **설정** 페이지 또는 AWS Control Tower 랜딩 존 API를 통해 `RemediationTypes` 파라미터 값을 `Inheritance Drift`로 설정하여 AWS Control Tower 자동 등록 기능을 옵트인합니다. 옵트인하면 AWS Control Tower는에 대한 `move account` 이벤트에 응답 AWS Organizations하고 사용자를 대신하여 이동된 계정의 상속 드리프트를 즉시 해결합니다.
## 필수 권한
`CreateAccount` API 및 `MoveAccount` API를 AWS Organizations 사용하려면 특정 역할과 권한이 필요합니다. AWS Control Tower AWS Organizations 에서를 사용하는 방법에 대한 자세한 내용은 [AWS Control Tower 및 AWS Organizations](https://docs.aws.amazon.com//organizations/latest/userguide/services-that-can-integrate-CTower.html) 섹션을 참조하세요.
## API 사용 예제
이러한 API에 대한 자세한 내용과 예제는 *AWS Organizations API 참조*의 [https://docs.aws.amazon.com//organizations/latest/APIReference/API_CreateAccount.html](https://docs.aws.amazon.com//organizations/latest/APIReference/API_CreateAccount.html) 및 [https://docs.aws.amazon.com//organizations/latest/APIReference/API_MoveAccount.html](https://docs.aws.amazon.com//organizations/latest/APIReference/API_MoveAccount.html) 섹션을 참조하세요.
## 고려 사항
+ **등록 타임라인:** AWS Control Tower에 등록된 OU로 이동된 계정이 *최종 일관성* 모델에 등록됩니다. 이 프로세스는 이동 중인 계정 수에 따라 일반적으로 몇 분, 최대 몇 시간이 걸립니다.
+ **등록 취소 프로세스:** 동일한 프로세스를 사용하여 계정을 AWS Control Tower 외부의 OU로 이동하여 AWS Control Tower에서 계정을 등록 취소할 수 있습니다. 이 프로세스는 AWS Control Tower에서 배포한 모든 역할 및 리소스와 AWS Control Tower에서 활성화된 모든 제어를 제거합니다.
# AWS Control Tower 콘솔에서 기존 계정 등록
AWS Control Tower에 개인을 등록 AWS 계정 하는 두 가지 일반적인 방법이 있습니다.
1. **설정** 페이지에서 *자동 등록* 기능을 선택한 후 AWS Control Tower AWS 계정 외부에서를 생성하고 등록된 OU로 직접 이동할 수 있습니다. 자세한 내용은 [자동으로 계정 이동 및 등록](https://docs.aws.amazon.com//controltower/latest/userguide/account-auto-enroll.html)을 참조하세요. 이 옵션은 랜딩 존 버전 3.1 이상에서 사용할 수 있습니다.
1. AWS Control Tower 콘솔에서 기존 계정을 수동으로 등록할 수 있습니다.
다음 섹션에서는 AWS Control Tower 환경의 이전 구성이 필요 없는 **두 번째 옵션**에 대해 설명합니다. 는 필수 [사전 조건을](https://docs.aws.amazon.com//controltower/latest/userguide/enrollment-prerequisites.html) 충족해야 AWS 계정 합니다.
**콘솔에서 적격 계정 확인:**
1. AWS Control Tower의 **조직** 페이지로 이동합니다.
1. 등록하려는 계정의 이름을 찾습니다. 계정 이름을 찾으려면 오른쪽 상단의 드롭다운 메뉴에서 **계정만**을 선택한 다음 필터링된 표에서 찾으면 됩니다.
다음으로, [수동 계정 등록 단계](#enrollment-steps) 섹션에 표시된 대로 개별 계정을 등록하는 단계를 따릅니다.
## 콘솔에서 등록 시 고려 사항
+ AWS Control Tower 콘솔에서 사용할 수 있는 **계정 등록** 기능은 AWS Control Tower에서 관리 AWS 계정 하도록 기존를 등록하기 위한 것입니다. 자세한 내용은 [기존 AWS 계정등록](https://docs.aws.amazon.com/controltower/latest/userguide/enroll-account.html)을 참조하세요.
+ 콘솔 기반의 **계정 등록** 기능은 랜딩 존이 [드리프트](https://docs.aws.amazon.com//controltower/latest/userguide/drift.html) 상태가 아닐 때 사용할 수 있습니다. 랜딩 존이 드리프트 상태인 경우 **계정 등록** 기능을 사용하지 못할 수 있습니다. 랜딩 존 드리프트가 해결될 때까지 Account Factory 또는 다른 방법을 통해 새 계정을 프로비저닝해야 합니다.
+ AWS Control Tower 콘솔에서 계정을 등록할 때는 AWS Control Tower 콘솔을 사용할 수 있는 **관리자** 액세스 권한과 함께 `AWSServiceCatalogEndUserFullAccess` 정책이 활성화된 사용자로 계정에 로그인해야 하며, 루트 사용자로 로그인할 수 없습니다.
+ 등록하는 계정은 다른 계정과 마찬가지로 AWS Control Tower Account Factory를 통해 업데이트될 수 있습니다. 업데이트 절차는 [AWS Control Tower를 사용하여 계정 업데이트 및 이동](updating-account-factory-accounts.md) 섹션에 나와 있습니다.
**참고**
기존를 등록할 때는 기존 이메일 주소를 확인해야 AWS 계정합니다. 그러지 않으면 새 계정이 생성될 수 있습니다.
## 수동 계정 등록 단계
기존 AWS 계정 계정에 **AdministratorAccess** 액세스 권한(정책)이 적용되면 다음 단계에 따라 계정을 등록합니다.
**AWS Control Tower에 개별 계정을 등록하는 방법**
+ AWS Control Tower **조직** 페이지로 이동합니다.
+ **조직** 페이지에서 등록할 수 있는 계정의 경우 섹션 상단의 **작업** 드롭다운 메뉴에서 **등록**을 선택할 수 있습니다. 이러한 계정은 **계정 세부 정보 페이지에서 볼 때 계정 등록** 버튼도 표시합니다. ****
+ **계정 등록**을 선택하면 **계정 등록** 페이지가 나타나 계정에 `AWSControlTowerExecution` 역할을 추가하라는 메시지가 표시됩니다. 지침은 [필요한 IAM 역할을 기존에 수동으로 추가 AWS 계정 하고 등록합니다.](enroll-manually.md) 섹션을 참조하세요.
+ 그런 다음 드롭다운 목록에서 등록된 OU를 선택합니다. 계정이 이미 등록된 OU에 있는 경우 이 목록에 OU가 표시됩니다.
+ **계정 등록**을 선택합니다.
+ `AWSControlTowerExecution` 역할을 추가하고 작업을 확인하는 모달 알림이 표시됩니다.
+ **등록**을 선택합니다.
+ AWS Control Tower가 등록 프로세스를 시작하면 **계정 세부 정보** 페이지로 돌아갑니다.
## 등록 실패의 일반적인 원인
+ 기존 계정을 등록하려면 등록하려는 계정에 `AWSControlTowerExecution` 역할이 있어야 합니다.
+ IAM 위탁자에는 계정을 프로비저닝하는 데 필요한 권한이 부족할 수 있습니다.
+ AWS Security Token Service (AWS STS)는 홈 리전 또는 AWS Control Tower에서 지원하는 모든 리전의 AWS 계정 에서 비활성화됩니다.
+ AWS Service Catalog의 Account Factory 포트폴리오에 추가해야 하는 계정에 로그인되어 있을 수 있습니다. AWS Control Tower에서 계정을 만들거나 등록할 수 있도록 Account Factory에 액세스하려면 먼저 계정을 추가해야 합니다. 적절한 사용자 또는 역할이 Account Factory 포트폴리오에 추가되지 않은 경우, 계정을 추가하려고 하면 오류가 발생합니다. AWS Service Catalog 포트폴리오에 대한 액세스 권한을 부여하는 방법에 대한 지침은 [사용자에게 액세스 권한 부여를](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/catalogs_portfolios_users.html) 참조하세요.
+ 루트로 로그인되어 있을 수 있습니다.
+ 등록하려는 계정에 남은 AWS Config 설정이 있을 수 있습니다. 특히, 계정에는 구성 레코더 또는 전송 채널이 있을 수 있습니다. 계정을 등록 AWS CLI 하려면 먼저를 통해 삭제하거나 수정해야 합니다. 자세한 내용은 [기존 AWS Config 리소스가 있는 계정 등록](existing-config-resources.md) 및 [를AWS Control Tower통해와 상호 작용AWS CloudShell](cshell-examples.md) 섹션을 참조하세요.
+ 계정이 다른 AWS Control Tower OU를 포함하여 관리 계정이 있는 다른 OU에 속하는 경우 다른 OU에 조인하기 전에 현재 OU에서 계정을 종료해야 합니다. 기존 리소스는 원래 OU에서 제거해야 합니다. 그러지 않으면 등록이 실패합니다.
+ 대상 OU의 SCP에서 해당 계정에 필요한 모든 리소스를 생성할 수 없는 경우 계정 프로비저닝 및 등록이 실패합니다. 예를 들어, 대상 OU의 SCP는 특정 태그 없이 리소스 생성을 차단할 수 있습니다. 이 경우 AWS Control Tower는 리소스 태그 지정을 지원하지 않으므로, 계정 프로비저닝 또는 등록이 실패합니다. 도움이 필요하면 계정 담당자 또는 지원에 문의하세요.
새 계정을 만들거나 기존 계정을 등록할 때 AWS Control Tower에서 역할이 작동하는 방식에 대한 자세한 내용은 [역할 및 계정](https://docs.aws.amazon.com//controltower/latest/userguide/roles.html)을 참조하세요.
**작은 정보**
기존가 등록 사전 조건을 AWS 계정 충족하는지 확인할 수 없는 경우 **등록 OU**를 설정하고 해당 OU에 계정을 등록할 수 있습니다. 등록에 성공하면 계정을 원하는 OU로 이동할 수 있습니다. 등록이 실패해도 다른 계정이나 OU가 실패로 인해 영향을 받지 않습니다.
기존 계정 및 해당 구성이 AWS Control Tower와 호환되는지 확실하지 않은 경우 다음 섹션에서 권장하는 모범 사례를 따를 수 있습니다.
**권장 사항: 계정 등록에 대한 2단계 접근 방식을 설정할 수 있습니다.**
+ 먼저 AWS Config *적합성 팩*을 사용하여 계정이 일부 AWS Control Tower 제어의 영향을 받을 수 있는 방법을 평가합니다. AWS Control Tower 등록이 계정에 미치는 영향을 확인하려면 [AWS Config 적합성 팩을 사용하여 AWS Control Tower 거버넌스 확장](https://aws.amazon.com//blogs/mt/extend-aws-control-tower-governance-using-aws-config-conformance-packs/)을 참조하세요.
+ 그런 다음 계정을 등록할 수 있습니다. 규정 준수 결과가 만족스럽다면 예기치 않은 결과 없이 계정을 등록할 수 있으므로 마이그레이션 과정이 더 원활해집니다.
+ 평가를 완료한 후 AWS Control Tower 랜딩 존을 설정하기로 결정한 경우 평가를 위해 생성된 AWS Config 전송 채널 및 구성 레코더를 제거해야 할 수 있습니다. 그러면 AWS Control Tower를 성공적으로 설정할 수 있습니다.
**참고**
적합성 팩은 계정이 AWS Control Tower에 등록된 OUs에 있지만 워크로드가 AWS Control Tower가 지원되지 않는 AWS 리전 내에서 실행되는 경우에도 작동합니다. 적합성 팩을 사용하여 AWS Control Tower가 배포되지 않은 리전에 있는 계정의 리소스를 관리할 수 있습니다.
# 계정이 사전 조건을 충족하지 않는 경우
AWS Control Tower 거버넌스에 등록할 수 있는 계정은 동일한 전체 조직의 일부여야 한다는 사전 조건을 염두에 두세요. 계정 등록 시 이 사전 조건을 충족하려면 다음 준비 단계에 따라 계정을 AWS Control Tower와 동일한 조직으로 이동합니다.
**AWS Control Tower와 동일한 조직에 계정을 가져오는 준비 단계**
1. 기존 조직에서 계정을 삭제합니다. 이 접근 방식을 사용하는 경우 별도의 결제 방법을 제공해야 합니다.
1. 계정을 AWS Control Tower 조직에 조인하도록 초대합니다. 자세한 내용은 *AWS Organizations 사용 설명서*의 [조직에 가입하도록 AWS 계정 초대를 참조하세요](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_accounts_invites.html).
1. 초대를 수락합니다. 계정이 조직의 루트에 표시됩니다. 이 단계에서는 계정을 AWS Control Tower와 동일한 조직으로 이동하고 SCP 및 통합 결제를 설정합니다.
**작은 정보**
계정이 이전 조직에서 삭제되기 전에 새 조직에 대한 초대를 보낼 수 있습니다. 초대는 계정이 공식적으로 기존 조직에서 삭제될 때까지 기다립니다.
**나머지 사전 조건을 충족하는 단계:**
1. 필요한 `AWSControlTowerExecution` 역할을 만듭니다.
1. 기본 VPC를 지웁니다. (이 부분은 선택 사항입니다. AWS Control Tower는 기존 기본 VPC를 변경하지 않습니다.)
1. AWS CLI 또는를 통해 기존 AWS Config 구성 레코더 또는 전송 채널을 삭제하거나 수정합니다 AWS CloudShell. 자세한 내용은 [AWS Config 리소스에 계정 등록](enroll-account.md#example-config-cli-commands) 및 [기존 AWS Config 리소스가 있는 계정 등록](existing-config-resources.md) 섹션을 참조하세요.
이러한 준비 단계를 완료한 후 AWS Control Tower에 계정을 등록할 수 있습니다. 자세한 내용은 [수동 계정 등록 단계](quick-account-provisioning.md#enrollment-steps) 섹션을 참조하세요. 이 단계에서는 계정을 전체 AWS Control Tower 거버넌스로 가져옵니다.
**계정을 등록하고 스택을 유지할 수 있도록 계정 프로비저닝을 취소하는 선택적 단계**
1. 적용된 CloudFormation 스택을 유지하려면 스택 세트에서 스택 인스턴스를 삭제하고 인스턴스에 대한 **스택 유지**를 선택합니다.
1. AWS Service Catalog Account Factory에서 계정 프로비저닝된 제품을 종료합니다. (이 단계는 AWS Control Tower에서 프로비저닝된 제품만 제거합니다. 계정은 삭제되지 않습니다.)
1. 조직에 속하지 않은 모든 계정에 필요한 필수 결제 세부 정보로 계정을 설정합니다. 그런 다음 조직에서 계정을 제거합니다. (이 작업을 수행하면 계정이 AWS Organizations 할당량의 합계에 포함되지 않습니다.)
1. 리소스가 남아 있는 경우 계정을 정리한 다음 [계정 등록 취소](unmanage-account.md)의 계정 종료 단계에 따라 계정을 닫습니다.
1. 제어가 정의된 **일시 중지된** OU가 있는 경우 1단계를 수행하는 대신 해당 OU로 계정을 이동할 수 있습니다.
# 필요한 IAM 역할을 기존에 수동으로 추가 AWS 계정 하고 등록합니다.
AWS Control Tower 랜딩 존을 설정해 둔 경우 AWS Control Tower에 등록된 OU에 조직의 계정을 등록할 수 있습니다. 랜딩 존을 설정하지 않은 경우 *AWS Control Tower 사용 설명서*의 [Getting Started, 2단계](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html#step-two)에 설명된 단계를 따릅니다. 랜딩 존이 준비되면 다음 단계를 완료하여 AWS Control Tower에서 기존 계정을 거버넌스로 수동으로 가져옵니다.
**이 장의 앞부분에서 언급한 [등록을 위한 사전 조건](enrollment-prerequisites.md)를 반드시 검토하세요.**
AWS Control Tower에 계정을 등록하기 전에 AWS Control Tower에 해당 계정을 관리할 수 있는 권한을 부여해야 합니다. 이렇게 하려면 다음 단계에 표시된 대로 계정에 대한 전체 액세스 권한이 있는 역할을 추가해야 합니다. 등록하는 각 계정에 대해 이러한 단계를 수행해야 합니다.
**각 계정의 경우:**
**1단계: 현재 등록하려는 계정이 포함된 조직의 관리 계정에 대한 관리자 액세스 권한으로 로그인합니다.**
예를 들어에서이 계정을 생성하고 교차 계정 IAM 역할을 AWS Organizations 사용하여 로그인하는 경우 다음 단계를 수행할 수 있습니다.
1. 조직의 관리 계정에 로그인합니다.
1. **AWS Organizations**로 이동합니다.
1. **계정**에서 등록할 계정을 선택하고 계정 ID를 복사합니다.
1. 상단 탐색 모음에서 계정 드롭다운 메뉴를 열고 **역할 전환**을 선택합니다.
1. **역할 전환** 양식에서 다음 필드를 입력합니다.
+ **계정**에서 복사한 계정 ID를 입력합니다.
+ **역할**에서 이 계정에 대한 교차 계정 액세스를 활성화하는 IAM 역할의 이름을 입력합니다. 이 역할의 이름은 계정이 생성될 때 정의되었습니다. 계정을 만들 때 역할 이름을 지정하지 않은 경우 기본 역할 이름인 `OrganizationAccountAccessRole`을 입력합니다.
1. **역할 전환**을 선택합니다.
1. 이제 하위 계정으로 AWS Management Console 에 로그인해야 합니다.
1. 완료되면 절차의 다음 부분을 수행하기 위해 하위 계정을 그대로 사용합니다.
1. 다음 단계에서 입력해야 하므로 관리 계정 ID를 기록해 둡니다.
**2단계: AWS Control Tower에 계정을 관리할 수 있는 권한을 부여합니다.**
1. **IAM**으로 이동합니다.
1. **역할**로 이동합니다.
1. **역할 생성**을 선택합니다.
1. 역할이 어떤 서비스를 위한 것인지 선택하라는 메시지가 표시되면 **사용자 지정 신뢰 정책**을 선택합니다.
1. 여기에 표시된 코드 예제를 복사하여 정책 문서에 붙여넣습니다. *`Management Account ID`* 문자열을 관리 계정의 실제 관리 계정 ID로 바꿉니다. 붙여넣을 정책은 다음과 같습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::111122223333:root"
},
"Action": "sts:AssumeRole",
"Condition": {}
}
]
}
```
------
1. 정책을 연결하라는 메시지가 표시되면 **AdministratorAccess**를 선택합니다.
1. **다음: 태그**를 선택합니다.
1. **태그 추가**라는 선택적 화면이 표시될 수 있습니다. **다음:검토**를 선택하여 지금 이 화면을 건너뜁니다.
1. **검토** 화면에서 **역할 이름** 필드에 `AWSControlTowerExecution`을 입력합니다.
1. *등록을 위한 전체 계정 액세스 허용*과 같은 간단한 설명을 **설명** 상자에 입력합니다.
1. **역할 생성**을 선택합니다.
**3단계: 계정을 등록된 OU로 이동하여 계정을 등록하고 등록을 확인합니다.**
역할을 만들어 필요한 권한을 설정한 후 다음 단계에 따라 계정을 등록하고 등록을 확인합니다.
1. **관리자로 다시 로그인하고 AWS Control Tower로 이동합니다.**
1.
**계정을 등록하세요.**
+ AWS Control Tower의 **조직** 페이지에서 계정을 선택한 다음 오른쪽 상단의 **작업** 드롭다운 메뉴에서 **등록**을 선택합니다.
+ [수동 계정 등록 단계](quick-account-provisioning.md#enrollment-steps) 페이지에 표시된 대로 개별 계정을 등록하는 단계를 따릅니다.
1.
**등록을 확인합니다.**
+ AWS Control Tower에서 왼쪽 탐색 메뉴에 있는 **조직**을 선택합니다.
+ 최근에 등록한 계정을 찾습니다. 초기 상태는 **등록 중** 상태로 표시됩니다.
+ 상태가 **등록됨**으로 변경되면 이동이 성공한 것입니다.
이 프로세스를 계속하려면 AWS Control Tower에 등록하려는 조직의 각 계정에 로그인합니다. 각 계정에 대해 사전 조건 단계와 등록 단계를 반복합니다.
**`AWSControlTowerExecution` 역할을 추가하는 예**
다음 YAML 템플릿은 계정에서 필요한 역할을 만들어 프로그래밍 방식으로 등록할 수 있도록 지원합니다.
```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure the AWSControlTowerExecution role to enable use of your
account as a target account in AWS CloudFormation StackSets.
Parameters:
AdministratorAccountId:
Type: String
Description: AWS Account Id of the administrator account (the account in which
StackSets will be created).
MaxLength: 12
MinLength: 12
Resources:
ExecutionRole:
Type: AWS::IAM::Role
Properties:
RoleName: AWSControlTowerExecution
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
AWS:
- !Ref AdministratorAccountId
Action:
- sts:AssumeRole
Path: /
ManagedPolicyArns:
- !Sub arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess
```