기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # AWS Control Tower에 기존 조직 단위 등록 OU를 등록하여 여러 계정 등록 여러 기존 AWS 계정을 AWS Control Tower로 가져오는 효율적인 방법은 AWS Control Tower의 *거버넌스를 전체 조직 단위(OU)로 확장*하는 것입니다. AWS Organizations및 해당 계정으로 생성된 기존 OU에 대해 AWS Control Tower 거버넌스를 활성화하려면 AWS Control Tower 랜딩 존에 OU를 *등록*합니다. 최대 1,000개의 계정이 포함된 OU를 등록할 수 있습니다. OU에 포함된 계정의 수가 1,000개를 초과하는 경우 AWS Control Tower에 등록할 수 없습니다. OU를 등록하면 해당 멤버 계정이 AWS Control Tower 랜딩 존에 등록되고 OU에 적용되는 제어에 의해 관리됩니다. 랜딩 존 버전 4.0부터 OU에서 직접 제어를 활성화할 수 있습니다. 탐지 제어에는 OU를 등록하거나 OU에서 AWS Config 레코딩을 활성화하여 활성화할 수 있는 AWS Config 레코딩이 필요합니다. OU 등록은를 활성화합니다`AWSControlTowerBaseline`. AWS Config 레코딩을 활성화하면가 활성화됩니다`ConfigBaseline`. 자세한 내용은 [기준 유형](types-of-baselines.md) 및 [**AWS Control Tower 제어 참조 안내서**](link-to-new-guide.md) 섹션을 참조하세요. **참고** AWS Control Tower 랜딩 존이 아직 없는 경우 먼저 AWS Control Tower에서 생성한 새 조직 또는 기존 AWS Organizations 조직에서 랜딩 존을 설정합니다. 랜딩 존을 설정하는 방법에 대한 자세한 내용은 [AWS Control Tower 시작하기](getting-started-with-control-tower.md) 섹션을 참조하세요. **OU를 등록할 때 내 계정은 어떻게 되나요?** AWS Control Tower에는가 조직의 계정에 스택을 자동으로 배포할 수 있도록 AWS CloudFormation 와 간에 AWS Organizations 사용자를 대신하여 신뢰할 AWS CloudFormation 수 있는 액세스를 설정할 수 있는 권한이 필요합니다. + `AWSControlTowerExecution` 역할은 **등록되지 않음** 상태의 모든 계정에 추가됩니다. + 필수 제어는 OU를 등록할 때 기본적으로 OU 및 모든 해당 계정에서 활성화됩니다. **OU 등록 후 계정의 부분 등록** OU 등록이 성공한 후에도 특정 계정은 등록되지 않은 상태로 남아 있을 수 있습니다. 이러한 계정은 등록을 위한 일부 사전 조건을 충족하지 못한 것입니다. **OU 등록** 프로세스의 일부로 계정 등록이 성공하지 못하면 계정 페이지의 계정 상태에 **등록 실패**가 표시됩니다. 또한 OU 페이지의 계정 필드에 **4/5**와 같은 계정 정보가 표시될 수도 있습니다. 예를 들어 **4/5**가 표시되면 OU에 총 5개의 계정이 있고 이 중 4개가 성공적으로 등록되었지만 **OU 등록** 프로세스 중에 한 계정이 등록되지 않았음을 의미합니다. 계정이 등록 사전 조건을 충족하는지 확인한 후 **OU 재등록**을 선택하여 계정을 등록으로 가져올 수 있습니다. **OU 등록을 위한 IAM 사용자 사전 조건** 이미 `Admin` 권한이 있더라도 **OU 등록** 작업을 수행할 때 AWS Identity and Access Management (IAM) 자격 증명(사용자 또는 역할) 또는 IAM Identity Center 사용자 자격 증명이 적절한 Account Factory 포트폴리오에 포함되어야 합니다. 그렇지 않으면 등록 중에 프로비저닝된 제품의 생성이 실패합니다. 실패가 발생하는 이유는 AWS Control Tower가 OU를 등록할 때 IAM 사용자의 자격 증명 또는 IAM Identity Center 사용자 ID에 의존하기 때문입니다. 관련 포트폴리오는 **AWS Control Tower Account Factory 포트폴리오**라고 하는 AWS Control Tower에서 생성한 포트폴리오입니다. **Service Catalog > Account Factory > AWS Control Tower Account Factory 포트폴리오**를 선택하여 탐색합니다. 그런 다음 **그룹, 역할 및 사용자**라는 탭을 선택하여 IAM 또는 IAM Identity Center ID를 확인합니다. 액세스 권한 부여 방법에 대한 자세한 내용은 [AWS Service Catalog설명서](https://docs.aws.amazon.com//servicecatalog/latest/adminguide/catalogs_portfolios_users.html)를 참조하세요. # 기존 OU 등록 AWS Control Tower 콘솔의 **조직** 페이지에서 AWS Control Tower에 등록된 OU와 등록되지 않은 OU를 포함하여 계층 구조에 있는 조직의 모든 OU 및 계정을 볼 수 있습니다. 일반적으로 등록되지 않은 OUs AWS Organizations는에서 생성되었으며 다른 랜딩 존에서 관리하지 않습니다. 최대 1,000개의 계정이 포함된 기존 OU를 등록할 수 있습니다. OU에 포함된 계정의 수가 1,000개를 초과하는 경우 AWS Control Tower에 등록할 수 없습니다. **콘솔에서 기존 OU를 등록하는 방법** 1. AWS Control Tower 콘솔([https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower))에 로그인합니다. 1. 왼쪽 창 탐색 메뉴에서 **조직**을 선택합니다. 1. **조직** 페이지에서 등록할 OU 옆의 라디오 버튼을 선택한 다음 오른쪽 상단의 **작업** 드롭다운 메뉴에서 **조직 단위 등록**을 선택하거나 OU의 이름을 선택하여 해당 OU의 **OU 세부 정보** 페이지를 표시합니다. 1. **OU 세부 정보** 페이지의 오른쪽 상단에 위치한 **작업** 드롭다운 메뉴에서 **OU 등록**을 선택할 수 있습니다. 등록 프로세스는 거버넌스를 OU로 확장하는 데 최소 10분이 걸리며, 각 추가 계정에 대해 최대 2분이 추가로 소요됩니다. **API로 기존 OU를 등록하는 방법** AWS Control Tower API로 기존 OU를 등록하려면 `baselineIdentifier` 필드의 `AWSControlTowerBaseline`을 사용하여 `EnableBaseline` API를 직접적으로 호출할 수 있습니다. 자세한 내용은 [API로만 AWS Control Tower OU 등록](https://docs.aws.amazon.com//controltower/latest/userguide/walkthrough-baseline-steps.html)을 참조하세요. **기존 OU 등록 결과** 기존 OU를 등록한 후 `AWSControlTowerExecution` 역할을 사용하면 AWS Control Tower가 개별 계정으로 거버넌스를 확장할 수 있습니다. 가드레일이 적용되고 계정 활동에 대한 정보가 감사 및 로깅 계정에 보고됩니다. 기타 결과는 다음과 같습니다. + `AWSControlTowerExecution`을 통해 AWS Control Tower 감사 계정이 감사를 수행할 수 있습니다. + `AWSControlTowerExecution`을 통해 전체 계정의 모든 로그가 로깅 계정으로 전송되도록 조직의 로깅을 구성할 수 있습니다. + `AWSControlTowerExecution`은 선택한 AWS Control Tower 제어가 OU의 모든 개별 계정과 AWS Control Tower에서 생성한 모든 새 계정에 자동으로 적용되도록 합니다. 등록된 OU의 경우 AWS Control Tower 제어에 구현된 감사 및 로깅 기능을 기반으로 규정 준수 및 보안 보고서를 제공할 수 있습니다. 보안 및 규정 준수 팀은 모든 요구 사항이 충족되었는지 그리고 조직 드리프트가 발생하지 않았는지 확인할 수 있습니다. 드리프트에 대한 자세한 내용은 [AWS Control Tower의 드리프트 감지 및 해결](drift.md) 섹션을 참조하세요. **참고** AWS Control Tower에서 OU와 해당 계정을 표시할 때 하나의 특이한 상황이 발생할 수 있습니다. 등록된 OU에서 계정을 생성한 다음 해당 등록된 계정을 등록되지 않은 다른 OU로 이동한 경우, 특히 AWS Organizations 를 사용하여 계정을 이동하는 경우 OU 세부 정보 페이지에서 결과 “1/0” 계정을 볼 수 있습니다. 또한 등록되지 않은 OU에서 등록되지 않은 다른 계정을 생성할 수 있습니다. 등록되지 않은 계정이 있는 경우 콘솔에 OU에 대해 “1/1”이 표시될 수 있습니다. 단일(새로 생성된) 계정이 등록된 것 같지만 실제로는 그렇지 않습니다. 새 계정을 등록해야 합니다. # 새 OU 생성 AWS Control Tower에서 OU 또는 중첩된 OU를 생성하는 방법은 다음과 같습니다. **AWS Control Tower에서 새 OU를 생성하려면** 1. **조직** 페이지로 이동합니다. 1. 오른쪽 상단의 **리소스 생성** 드롭다운 메뉴에서 **조직 단위 생성**을 선택합니다. 1. **OU 이름** 필드에 이름을 지정합니다. 1. **상위 OU** 드롭다운에서 등록된 OU의 계층 구조를 볼 수 있습니다. 생성하려는 새 OU의 상위 OU를 선택합니다. 1. **추가**를 선택합니다. **작은 정보** 중첩된 OU를 더 적은 단계로 추가하려면 **조직** 페이지의 테이블에 표시된 상위 OU의 이름을 선택하고 해당 상위 OU의 **OU** 페이지를 확인한 다음 오른쪽 상단의 **작업** 드롭다운 메뉴에서 **OU 추가**를 선택합니다. 새 OU가 선택한 OU 아래에 중첩된 OU로 자동 생성됩니다. **참고** 랜딩 존이 최신 상태가 아닌 경우 드롭다운 메뉴에 계층 구조 대신 플랫 목록이 표시됩니다. 랜딩 존에 중첩된 OU가 포함되어 있더라도 L5 OU 아래에 새 OU를 생성할 수 없으므로 드롭다운에 L5 OU가 표시되지 않습니다. AWS Control Tower의 중첩된 OU에 대한 자세한 내용은 [AWS Control Tower의 중첩된 OU](nested-ous.md) 섹션을 참조하세요. # OU 제거 AWS Control Tower는 OU *등록을 취소*하고 OU를 *삭제*하기 위한 별도의 콘솔 작업을 지원합니다. OU 삭제는 최종적입니다. 실행 취소할 수 없습니다. **고려 사항** + **삭제** 및 **등록 취소** 작업이 성공하려면 OU에 계정이 없어야 합니다. + 모든 선택적 제어는 OU에서 제거해야 합니다. + OU를 삭제하려면 먼저 등록 취소해야 합니다. + OU를 삭제하지 않고 등록 취소하여 AWS Control Tower에서 OU를 제거할 수 있습니다. **AWS Control Tower에서 OU를 제거하는 방법** 1. AWS Control Tower 콘솔([https://console.aws.amazon.com/controltower](https://console.aws.amazon.com/controltower))에 로그인합니다. 1. **조직** 페이지로 이동합니다. 1. OU의 이름을 선택하여 **OU 세부 정보** 페이지를 보고 모든 계정이 OU에서 제거되었는지 확인합니다. 1. 또한 **OU 세부 정보** 페이지에서 모든 선택적 제어가 OU에서 제거되었는지 확인합니다. 1. **조직** 페이지로 돌아가서 OU 옆의 라디오 버튼을 선택합니다. 1. 오른쪽 상단의 **작업** 드롭다운 메뉴에서 **조직 단위 등록 취소**를 선택합니다. 1. OU를 완전히 삭제하지 않고 AWS Control Tower에서 등록 취소만 하려면 **여기서 멈춥니다**. OU를 완전히 삭제하려면 다음 단계를 계속합니다. 1. 계속하려면 오른쪽 상단의 **작업** 드롭다운 메뉴에서 **삭제**를 선택합니다. 다른 OU의 등록을 취소하려면 등록 취소 프로세스가 완료될 때까지 기다려야 합니다. **참고** AWS Control Tower에서 관리하는 계정을 제거하려면 AWS Control Tower 콘솔의 왼쪽 탐색 창에서 **Account Factory**로 이동할 수 있습니다. AWS Control Tower에서 관리하지 않는 OU의 계정을 제거하려면 AWS Organizations 콘솔로 이동합니다. 프로그래밍 방식으로 OU 등록을 취소하려면 [`DisableBaseline` API](https://docs.aws.amazon.com//controltower/latest/APIReference/API_DisableBaseline.html)를 직접적으로 호출합니다. # 등록 또는 재등록 중 발생하는 실패의 일반적 원인 일반적으로 OU를 등록하거나 재등록하면 해당 OU 내의 모든 계정이 AWS Control Tower에 등록됩니다. 그러나 OU 전체가 성공적으로 등록되더라도 일부 계정이 등록되지 않을 수 있습니다. 이러한 경우 계정과 관련된 사전 확인 실패를 해결한 다음 해당 계정 또는 OU를 재등록해야 합니다. OU 또는 멤버 계정의 등록(또는 재등록)이 실패하면 AWS Control Tower는 영향을 받는 멤버 계정에 대한 오류 메시지를 반환합니다. 사전 확인 및 계정 오류 메시지가 집계된 표가 있는 **OU 세부 정보** 페이지에서 오류 메시지를 볼 수 있습니다. **OU 등록** 작업이 실패하면 테이블에 해당 OU에 있는 모든 계정에 대한 모든 오류 메시지가 표시됩니다. 필요한 경우 각 계정의 **계정 세부 정보** 페이지에서 오류 메시지를 볼 수도 있습니다. 선택적으로 오프라인 분석을 위해 어떤 사전 확인이 통과되지 못했는지 보여주는 세부 보고서가 포함된 파일을 다운로드할 수 있습니다. 등록 영역의 오른쪽 상단에 나타나는 **다운로드** 버튼을 선택하여 다운로드를 완료할 수 있습니다. 이 섹션에서는 사전 확인이 실패할 경우 발생할 수 있는 오류 유형과 오류를 수정하는 방법에 대해 설명합니다. **랜딩 존 오류** + **랜딩 존이 준비되지 않음** 현재 랜딩 존을 재설정하거나 최신 버전으로 업데이트합니다. **OU 오류** + **최대 SCP 수 초과** OU당 서비스 제어 정책(SCP) 한도를 초과했거나 다른 할당량에 도달했을 수 있습니다. OU당 5개의 SCP 제한은 AWS Control Tower 랜딩 존의 모든 OU에 적용됩니다. 할당량에서 허용하는 것보다 많은 SCP가 있는 경우 SCP를 삭제하거나 결합해야 합니다. + **SCP 충돌** OU 또는 계정에 이미 적용되어 있는 기존 SCP로 인해 AWS Control Tower의 계정 등록이 방해받을 수 있습니다. 적용된 SCP에 AWS Control Tower의 작동을 방해하는 정책이 있는지 확인합니다. 계층 구조에서 더 상위인 OU에서 상속된 SCP를 확인해야 합니다. + **스택 세트 할당량 초과** 스택 세트 할당량이 초과되었을 수 있습니다. 할당량에서 허용하는 것보다 많은 인스턴스가 있는 경우 일부 스택 인스턴스를 삭제해야 합니다. 자세한 내용은, *AWS CloudFormation 사용 설명서*의 [AWS CloudFormation 할당량](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cloudformation-limits.html) 섹션을 참조하세요. + **계정 한도 초과** AWS Control Tower는 각 OU에 등록할 수 있는 계정의 수를 1,000개로 제한합니다. **계정 오류** + **계정에 대해 사전 확인을 할 수 없음** OU에 기존 SCP가 있으면 AWS Control Tower가 OU 멤버 계정에 대한 사전 확인을 수행하지 못합니다. 이 사전 확인 실패를 해결하려면 OU에서 SCP를 업데이트하거나 제거합니다. + **이메일 주소 오류** 계정에 지정한 이메일 주소가 이름 지정 표준을 준수하지 않습니다. 다음은 허용되는 문자를 지정하는 정규식(regex)입니다. `[A-Z0-9a-z._%+-]+@[A-Za-z0-9.-]+[.]+[A-Za-z]+` + **구성 레코더 또는 전송 채널 활성화됨** 계정에 기존 AWS Config 구성 레코더 또는 전송 채널이 있을 수 있습니다. 계정을 등록하려면 먼저 AWS Control Tower 관리 계정이 리소스를 관리하는 모든 AWS 리전 AWS CLI 에서를 통해 삭제하거나 수정해야 합니다. + **STS 비활성화됨** AWS Security Token Service 계정에서 (AWS STS)를 비활성화할 수 있습니다. AWS Control Tower에서 지원하는 모든 리전의 계정에서 AWS STS 엔드포인트를 활성화해야 합니다. + **IAM Identity Center 충돌** AWS Control Tower 홈 리전은 AWS IAM Identity Center (IAM Identity Center) 리전과 동일하지 않습니다. IAM Identity Center가 이미 설정된 경우 AWS Control Tower 홈 리전은 IAM Identity Center 리전과 동일해야 합니다. + **충돌하는 SNS 주제** 계정에는 AWS Control Tower가 사용해야 하는 Amazon Simple Notification Service(Amazon SNS) 주제 이름이 있습니다. AWS Control Tower는 특정 이름으로 리소스(예: SNS 주제)를 생성합니다. 이러한 이름을 이미 가져온 경우 AWS Control Tower 설정이 실패합니다. 이 상황은 이전에 AWS Control Tower에 등록한 계정을 재사용하는 경우 발생할 수 있습니다. + **일시 중지된 계정이 감지됨** 이 계정은 일시 중지되었습니다. AWS Control Tower에 등록할 수 없습니다. 이 OU에서 계정을 제거하고 다시 시도하세요. + **포트폴리오에 없는 IAM 사용자** OU를 등록하기 전에 Service Catalog 포트폴리오에 AWS Identity and Access Management (IAM) 사용자를 추가합니다. 이 오류는 관리 계정에만 해당됩니다. + **계정이 사전 조건을 충족하지 않음** 계정이 계정 등록을 위한 사전 조건을 충족하지 않습니다. 예를 들어 AWS Control Tower에 계정을 등록하는 데 필요한 역할 및 권한이 계정에 없을 수 있습니다. 역할을 추가하기 위한 지침은 [필요한 IAM 역할을 기존에 수동으로 추가 AWS 계정 하고 등록합니다.](enroll-manually.md)에서 확인할 수 있습니다. 참고로 AWS CloudTrail 는 AWS Control Tower에 계정을 등록할 때 모든 AWS 계정에서 자동으로 활성화됩니다. 등록 전에 계정에서 CloudTrail이 활성화된 경우 등록 프로세스를 시작하기 전에 CloudTrail을 비활성화하지 않으면 이중 청구가 발생할 수 있습니다.