기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 에서 AWS Control Tower 계정과 상호 작용 AWS Service Catalog
이 섹션에서는의 기능을 사용하여 AWS Control Tower 계정을 처리하는 방법을 설명합니다 AWS Service Catalog.
**Topics**
+ [Account Factory를 사용하여 Service Catalog 콘솔에서 계정 프로비저닝](provision-as-end-user.md)
+ [Service Catalog API를 통해 AWS Control Tower에서 계정 프로비저닝 자동화](automated-provisioning-walkthrough.md)
+ [Service Catalog에서 프로비저닝된 제품 업데이트](update-provisioned-product.md)
+ [Service Catalog에서 계정 등록 취소](unenroll-with-sc.md)
# Account Factory를 사용하여 Service Catalog 콘솔에서 계정 프로비저닝
다음 절차에서는를 통해 IAM Identity Center에서 사용자로 계정을 생성하고 프로비저닝하는 방법을 설명합니다 AWS Service Catalog. 이 절차를 *고급 계정 프로비저닝* 또는 *수동 계정 프로비저닝*이라고도 합니다. 선택적으로 AWS CLI, Service Catalog APIs 또는 AWS Control Tower Account Factory for Terraform(AFT)을 사용하여 프로그래밍 방식으로 AWS Control Tower 계정을 프로비저닝할 수 있습니다. 이전에 사용자 지정 블루프린트를 설정한 경우 콘솔에서 사용자 지정 계정을 프로비저닝할 수 있습니다. 사용자 지정에 대한 자세한 내용은 [Account Factory 사용자 지정(AFC)을 사용하여 계정 사용자 지정](af-customization-page.md)을 참조하세요.
**Account Factory에서 사용자로 계정을 개별적으로 프로비저닝하려면**
1. 사용자 포털 URL에서 로그인합니다.
1. **애플리케이션**에서 **AWS 계정**을 선택합니다.
1. 계정 목록에서 관리 계정의 계정 ID를 선택합니다. 이 ID에는 **(관리)**와 같은 레이블이 있을 수도 있습니다.
1. **AWSServiceCatalogEndUserAccess**에서 **관리 콘솔**을 선택합니다. 그러면이 계정의이 사용자에 AWS Management Console 대한가 열립니다.
1. AWS Control Tower 리전이어야 하는 프로비저닝 계정에 AWS 리전 대해 올바른를 선택했는지 확인합니다.
1. **Service Catalog**를 검색하고 선택하여 Service Catalog 콘솔을 엽니다.
1. 탐색 창에서 **제품**을 선택합니다.
1. **AWS Control Tower Account Factory**를 선택한 다음 **제품 시작** 버튼을 선택합니다. 선택하면 마법사가 시작되어 새 계정을 프로비저닝합니다.
1. 정보를 입력합니다. 이때 다음 사항에 유의하세요.
+ **SSOUerEmail**은 새 이메일 주소이거나 기존 IAM Identity Center 사용자와 연결된 이메일 주소일 수 있습니다. 어떤 주소를 선택하든 이 사용자는 프로비저닝 중인 계정에 대한 관리 액세스 권한을 갖습니다.
+ **AccountEmail**은 기존에 AWS 계정에 연결되지 않은 이메일 주소여야 합니다. **SSOUserEmail**에서 새 이메일 주소를 사용한 경우 여기에서 해당 이메일 주소를 사용할 수 있습니다.
1. **TagOptions**를 정의하지 말고 **알림**을 활성화하지 마세요. 계정 프로비저닝에 실패할 수 있습니다. 작업을 마쳤으면 **제품 시작**을 선택합니다.
1. 계정 설정을 검토한 다음 **시작**을 선택합니다. 리소스 계획을 생성하지 마세요. 생성하면 계정 프로비저닝에 실패합니다.
1. 이제 계정이 프로비저닝됩니다. 이 작업은 완료하는 데 몇 분 정도 걸릴 수 있습니다. 페이지를 새로 고쳐 표시된 상태 정보를 업데이트할 수 있습니다.
**참고**
한 번에 최대 5개의 계정을 프로비저닝할 수 있습니다.
# Service Catalog API를 통해 AWS Control Tower에서 계정 프로비저닝 자동화
AWS Control Tower는와 같은 여러 다른 AWS 서비스와 통합됩니다 AWS Service Catalog. APIs를 사용하여 AWS Control Tower에서 멤버 계정을 생성 및 프로비저닝하거나 기존 멤버 계정을 등록할 수 있습니다.
**참고**
랜딩 존 설정에서 IAM Identity Center를 옵트아웃한 경우 AWS Service Catalog APIs 또는 콘솔을 사용하여 계정을 프로비저닝하는 동안 제공하는 값은 사용되지 않습니다.
이 비디오에서는 AWS Service Catalog API를 직접 호출하여 자동화된 배치 방식으로 계정을 프로비저닝하는 방법을 보여줍니다. 프로비저닝의 경우 AWS 명령줄 인터페이스(CLI)에서 [https://docs.aws.amazon.com//servicecatalog/latest/dg/API_ProvisionProduct.html](https://docs.aws.amazon.com//servicecatalog/latest/dg/API_ProvisionProduct.html) API를 호출하고 설정하려는 각 계정에 대한 파라미터가 포함된 JSON 파일을 지정합니다. 이 비디오에서는 [AWS Cloud9](https://docs.aws.amazon.com//cloud9/latest/user-guide/welcome.html) 개발 환경을 설치하고 사용하여 이 작업을 수행하는 방법을 보여줍니다. AWS Cloud9 대신 AWS Cloudshell을 사용하는 경우 CLI 명령은 동일합니다.
**참고**
또한 각 계정에 대해의 [https://docs.aws.amazon.com//servicecatalog/latest/dg/API_UpdateProvisionedProduct.html](https://docs.aws.amazon.com//servicecatalog/latest/dg/API_UpdateProvisionedProduct.html) API를 호출하여 계정 업데이트를 자동화하기 AWS Service Catalog 위해이 접근 방식을 조정할 수 있습니다. 계정을 하나씩 업데이트하는 스크립트를 작성할 수 있습니다.
완전히 다른 자동화 방법으로, Terraform에 익숙하다면 [AWS Control Tower Account Factory for Terraform(AFT)을 사용하여 계정을 프로비저닝](taf-account-provisioning.md)할 수 있습니다.
**샘플 자동화 관리 역할**
다음은 관리 계정에서 자동화 관리 역할을 구성하는 데 사용할 수 있는 샘플 템플릿입니다. 관리 계정에서 이 역할을 구성하여 대상 계정에서 관리자 액세스 권한으로 자동화를 수행할 수 있습니다.
```
AWSTemplateFormatVersion: 2010-09-09
Description: Configure the SampleAutoAdminRole
Resources:
AdministrationRole:
Type: AWS::IAM::Role
Properties:
RoleName: SampleAutoAdminRole
AssumeRolePolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Principal:
Service: cloudformation.amazonaws.com
Action:
- sts:AssumeRole
Path: /
Policies:
- PolicyName: AssumeSampleAutoAdminRole
PolicyDocument:
Version: 2012-10-17
Statement:
- Effect: Allow
Action:
- sts:AssumeRole
Resource:
- "arn:aws:iam::*:role/SampleAutomationExecutionRole"
```
**샘플 자동화 실행 역할**
다음은 자동화 실행 역할을 설정하는 데 사용할 수 있는 샘플 템플릿입니다. 대상 계정에서 이 역할을 구성합니다.
```
AWSTemplateFormatVersion: "2010-09-09"
Description: "Create automation execution role for creating Sample Additional Role."
Parameters:
AdminAccountId:
Type: "String"
Description: "Account ID for the administrator account (typically management, security or shared services)."
AdminRoleName:
Type: "String"
Description: "Role name for automation administrator access."
Default: "SampleAutomationAdministrationRole"
ExecutionRoleName:
Type: "String"
Description: "Role name for automation execution."
Default: "SampleAutomationExecutionRole"
SessionDurationInSecs:
Type: "Number"
Description: "Maximum session duration in seconds."
Default: 14400
Resources:
# This needs to run after AdminRoleName exists.
ExecutionRole:
Type: "AWS::IAM::Role"
Properties:
RoleName: !Ref ExecutionRoleName
MaxSessionDuration: !Ref SessionDurationInSecs
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: "Allow"
Principal:
AWS:
- !Sub "arn:aws:iam::${AdminAccountId}:role/${AdminRoleName}"
Action:
- "sts:AssumeRole"
Path: "/"
ManagedPolicyArns:
- "arn:aws:iam::aws:policy/AdministratorAccess"
```
이러한 역할을 구성한 후 AWS Service Catalog APIs를 호출하여 자동화된 작업을 수행합니다. CLI 명령은 비디오에서 제공됩니다.
## Service Catalog API에 대한 샘플 프로비저닝 입력
다음은 `ProvisionProduct` API를 사용하여 새 AWS Control Tower 계정을 프로비저닝하거나 기존 멤버 계정을 등록하는 경우 Service Catalog API에 제공할 수 있는 입력의 샘플입니다.
**참고**
`ProvisionProduct` API를 사용하여 기존 멤버 계정을 등록하려면 API를 호출하기 전에 대상 계정에 `AWSControlTowerExecution` IAM 역할이 있어야 합니다. 새 계정 프로비저닝과 기존 계정 등록 모두에 대해 다음 예제에 표시된 것과 동일한 입력 파라미터를 사용할 수 있습니다.
```
{
pathId: "lpv2-7n2o3nudljh4e",
productId: "prod-y422ydgjge2rs",
provisionedProductName: "Example product 1",
provisioningArtifactId: "pa-2mmz36cfpj2p4",
provisioningParameters: [
{
key: "AccountEmail",
value: "abc@amazon.com"
},
{
key: "AccountName",
value: "ABC"
},
{
key: "ManagedOrganizationalUnit",
value: "Custom (ou-xfe5-a8hb8ml8)"
},
{
key: "SSOUserEmail",
value: "abc@amazon.com"
},
{
key: "SSOUserFirstName",
value: "John"
},
{
key: "SSOUserLastName",
value: "Smith"
}
],
provisionToken: "c3c795a1-9824-4fb2-a4c2-4b1841be4068"
}
```
자세한 내용은 [Service Catalog API 참조](https://docs.aws.amazon.com//servicecatalog/latest/dg/API_ProvisionProduct.html)를 확인하세요.
**참고**
`ManagedOrganizationalUnit` 값의 입력 문자열 형식이 `OU_NAME`에서 `OU_NAME (OU_ID)`으로 변경되었습니다. 다음 비디오에서는 이 변경 사항을 언급하지 않습니다.
## 비디오 안내
이 비디오(6:58)에서는 AWS Control Tower에서 계정 배포를 자동화하는 방법을 설명합니다. 비디오의 오른쪽 하단 모서리에 있는 아이콘을 선택하여 전체 화면으로 확대하면 더 잘 보입니다. 자막을 사용할 수 있습니다.
[](http://www.youtube.com/watch?v=LxxQTPdSFgw)
# Service Catalog에서 프로비저닝된 제품 업데이트
다음 절차는 Service Catalog에서 계정의 프로비저닝된 제품을 업데이트하여 Account Factory에서 계정을 업데이트하거나 계정을 새 OU로 이동하는 방법을 안내합니다.
**참고**
랜딩 존 설정에서 IAM Identity Center를 옵트아웃한 경우 AWS Service Catalog APIs 또는 콘솔을 사용하여 계정을 프로비저닝하는 동안 제공하는 값은 사용되지 않습니다.
**Service Catalog를 통해 Account Factory 계정을 업데이트하거나 해당 OU를 변경하는 방법**
1. AWS Management Console에 로그인하고 [https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/) AWS Service Catalog 콘솔을 엽니다.
**참고**
Service Catalog에서 새 제품을 프로비저닝할 권한이 있는 사용자(예: `AWSAccountFactory` 또는 `AWSServiceCatalogAdmins` 그룹의 IAM Identity Center 사용자)로 로그인해야 합니다.
1. 탐색 창에서 **프로비저닝**을 선택한 다음 **프로비저닝된 제품**을 선택합니다.
1. 나열된 각 멤버 계정에 대해 다음 단계를 수행하여 모든 멤버 계정을 업데이트합니다.
1. 멤버 계정을 선택합니다. 해당 계정에 대한 *프로비저닝된 제품 세부 정보* 페이지로 이동합니다.
1. *프로비저닝된 제품 세부 정보* 페이지에서 **이벤트** 탭을 선택합니다.
1. 다음 파라미터를 기록해 둡니다.
+ **SSOUserEmail**(프로비저닝된 제품 세부 정보에서 사용 가능)
+ **AccountEmail**(프로비저닝된 제품 세부 정보에서 사용 가능)
+ **SSOUerFirstName**(IAM Identity Center에서 사용 가능)
+ **SSOUSerLastName**(IAM Identity Center에서 사용 가능)
+ **AccountName**(IAM Identity Center에서 사용 가능)
1. **작업**에서 **업데이트**를 선택합니다.
1. 업데이트하려는 제품의 **버전** 옆에 있는 버튼을 선택하고 **다음**을 선택합니다.
1. 앞서 언급한 파라미터 값을 제공합니다.
+ 기존 OU를 유지하려면 **ManagedOrganizationalUnit**에서 계정이 이미 배치되어 있던 OU를 선택합니다.
+ 계정을 새 OU로 마이그레이션하려면 **ManagedOrganizationalUnit**에서 계정의 새 OU를 선택합니다.
중앙 클라우드 관리자는 AWS Control Tower 콘솔의 **조직** 페이지에서 이 정보를 찾을 수 있습니다.
1. **다음**을 선택합니다.
1. 변경 사항을 검토한 다음 **업데이트**를 선택합니다. 이 프로세스는 계정당 몇 분 정도 걸릴 수 있습니다.
# Service Catalog에서 계정 등록 취소
프로비저닝된 제품을 종료하여 `AWSAccountFactory` 그룹의 IAM Identity Center 사용자가 Service Catalog 콘솔에서 계정 등록을 취소할 수 있습니다. IAM Identity Center 사용자 또는 그룹에 대한 자세한 내용은 [사용자 관리 및를 통한 액세스를 AWS IAM Identity Center](https://docs.aws.amazon.com/controltower/latest/userguide/unmanage-account.html) 참조하세요. 다음 절차에서는 Service Catalog에서 멤버 계정의 등록을 취소하는 방법을 설명합니다.
**Service Catalog를 통해 등록된 계정의 등록을 취소하는 방법**
1. 웹 브라우저에서 Service Catalog 콘솔([https://console.aws.amazon.com/servicecatalog](https://console.aws.amazon.com/servicecatalog))을 엽니다.
1. 왼쪽 탐색 창에서 **프로비저닝된 제품 목록**을 선택합니다.
1. 프로비저닝된 계정 목록에서 AWS Control Tower에서 더 이상 관리하지 않을 계정의 이름을 선택합니다.
1. **프로비저닝된 제품 세부 정보** 페이지의 **작업** 메뉴에서 **종료**를 선택합니다.
1. 나타나는 대화 상자에서 **종료**를 선택합니다.
**중요**
*종료*라는 단어는 Service Catalog에만 한정된 것입니다. Service Catalog Account Factory에서 계정을 종료하면 계정이 해지되지 않습니다. 이 작업은 해당 OU 및 랜딩 존에서 계정을 제거합니다.
1. 계정의 등록이 취소되면 해당 상태가 **등록되지 않음**으로 변경됩니다.
1. 계정이 더 이상 필요하지 않은 경우 계정을 해지합니다. AWS 계정 해지에 대한 자세한 내용은 *AWS Billing 사용 설명서*의 [계정 해지를](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html) 참조하세요.
**참고**
계정 상태가 **등록되지 않음**으로 표시될 때까지 기다립니다.