기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 랜딩 존 v4.0 마이그레이션 가이드
AWS Control Tower 랜딩 존 4.0은 랜딩 존 아키텍처의 주요 점검을 도입하여 유연한 전용 제어 환경과 완전한 선택적 서비스 통합을 제공합니다. 주요 개선 사항에는 격리 개선을 위해 및 AWS Config AWS CloudTrail 전용 리소스를 사용하여 , AWS CloudTrail, SecurityRoles AWS Config 및 AWS Backup 통합을 선택적으로 활성화하는 기능이 포함됩니다.
릴리스는 필수 조직 구조 요구 사항을 제거하여 고객이 자체적으로 정의할 수 있도록 하는 동시에 포괄적인가 필요 없는 탐지 제어 지원을 `ConfigBaseline` 위한 새로운를 도입합니다`AWSControlTowerBaseline`. 서비스 연결 Config Aggregator는 이전 집계 방법을 대체하여 규정 준수 데이터 수집을 간소화합니다.
또한 매니페스트 필드는 선택 사항이 되어 통합 및 제어 활성화에만 AWS Organizations 초점을 맞춘 미니멀한 랜딩 존 배포가 가능합니다. 이러한 변경 사항은 강력한 거버넌스 기능을 유지하면서 더 큰 사용자 지정 옵션을 제공하므로 고객은 AWS Control Tower를 특정 요구 사항에 맞게 보다 효과적으로 조정할 수 있습니다.
**Topics**
+ [주요 변경 사항](key-changes-lz-v4.md)
+ [AWS Config 업데이트](config-updates-v4.md)
# 주요 변경 사항
**참고**
이 새 버전의 AWS Control Tower에서는 “등록됨” 및 “등록됨”의 정의가 바뀌었습니다. 계정/OU에 AWS Control Tower 리소스가 활성화된 경우(예: 제어 또는 기준) 관리형 리소스로 간주됩니다. 정의는 더 이상 `AWSControlTowerBaseline` 기준의 존재에 의해 구동되지 않습니다.
서비스 연결 역할은 모든 랜딩 존 버전에서 유지되며 OUs될 때 더 이상 삭제되지 않습니다.
서비스 연결 역할은 랜딩 존 폐기 후 고객이 수동으로만 삭제할 수 있습니다.
+ **랜딩 영역 4.0의 사전 조건: **API를 통해 버전 4.0으로 업그레이드할 때 `AWSControlTowerCloudTrailRole` 서비스 역할이 기존 인라인 정책 `AWSControlTowerCloudTrailRolePolicy` 대신 새 관리형 정책을 사용하는지 확인합니다. [설명서에](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSControlTowerCloudTrailRolePolicy) 설명된 대로 현재 인라인 정책을 분리하고 새 관리형 정책을 연결합니다.
+ **선택적 매니페스트:** 랜딩 존 API의 매니페스트 필드는 이제 선택 사항입니다. 고객은 서비스 통합 없이 랜딩 존을 생성할 수 있습니다. 이미 매니페스트 필드를 사용하고 있는 기존 고객에게는 영향이 없습니다.
+ **선택적 조직 구조:** AWS Control Tower는 더 이상 보안 OU 생성을 적용하거나 관리하지 않으므로 고객이 자체 조직 구조를 정의하고 관리할 수 있습니다. 그러나 AWS Control Tower에서는 각 AWS 서비스 통합에 대해 구성된 모든 계정이 동일한 상위 OU에 있어야 합니다. AWS Control Tower를 이미 설정하고 보안 OU가 있는 고객에게는 영향이 없습니다. AWS Control Tower는 보안 OU에서 서비스 통합 계정을 관리하는 데 필요한 리소스와 제어를 자동으로 배포합니다. 예를 들어 AWS Config 통합이 활성화되면 모든 서비스 통합 계정에서 AWS Config 기록이 활성화됩니다. AWS Control Tower 기준 및 AWS Config 기준은 보안 OU 및 통합 계정에 적용되지 않습니다. 서비스 통합을 변경하려면 랜딩 존 설정을 업데이트합니다.
**참고**
AWS Control Tower 랜딩 존 4.0에 대한 조직 구조 설정이 이전 랜딩 존 버전에서 변경되었습니다. AWS Control Tower는 더 이상 지정된 보안 OU를 생성하지 않습니다. 서비스 통합 계정이 있는 OU는 지정된 보안 OU입니다.
멤버 계정이 각 통합의 계정이 있는 OU로 이동하는 경우 자동 등록이 켜져 있는지 여부에 관계없이 해당 OU에서 활성화된 제어가 드리프트됩니다.
+ **드리프트 알림:** AWS Control Tower는 `AWSControlTowerBaseline` 활성화되지 않은 상태에서 랜딩 존 4.0의 모든 고객에 대해 SNS 주제로 드리프트 알림 전송을 중지하고 대신 관리 계정의 EventBridge로 드리프트 알림 전송을 시작합니다. EventBridge를 통해 드리프트 알림을 수신하는 방법에 대한 샘플 이벤트 및 지침을 검토하려면 [이 가이드를](https://docs.aws.amazon.com/controltower/latest/userguide/governance-drift.html) 확인하세요.
+ **선택적 서비스 통합: **이제 AWS CloudTrail AWS Config, SecurityRoles 및를 포함한 모든 AWS Control Tower 통합을 활성화/비활성화할 수 있습니다 AWS Backup. 이제 이러한 통합에는 API에 선택적으로 필요한 `enabled` 플래그도 있습니다. 랜딩 존 또는 공유 계정에 적용될 수 있는 기준은 이제 서로 종속됩니다. 통합별 종속성은 다음과 같습니다.
+ 활성화:
+ `CentralSecurityRolesBaseline` → `CentralConfigBaseline`를 활성화해야 함
+ `IdentityCenterBaseline` → `CentralSecurityRolesBaseline`를 활성화해야 함
+ `BackupCentralVaultBaseline` → `CentralSecurityRolesBaseline`를 활성화해야 함
+ `BackupAdminBaseline` → `CentralSecurityRolesBaseline`를 활성화해야 함
+ `LogArchiveBaseline` → 독립(종속성 없음)
+ `CentralConfigBaseline` → 독립(종속성 없음)
+ 비활성화:
+ `CentralConfigBaseline` `CentralSecurityRolesBaseline`, `IdentityCenterBaseline` `BackupAdminBaseline` 및 `BackupCentralVaultBaseline` 기준을 먼저 비활성화한 경우에만를 비활성화할 수 있습니다.
+ `CentralSecurityRolesBaseline` `IdentityCenterBaseline`, `BackupAdminBaseline` 및 `BackupCentralVaultBaseline` 기준이 먼저 비활성화된 경우에만를 비활성화할 수 있습니다.
+ `IdentityCenterBaseline`는 독립적으로 비활성화할 수 있습니다.
+ `BackupAdminBaseline` 및 `BackupCentralVaultBaseline` 기준을 독립적으로 비활성화할 수 있습니다.
+ `LogArchiveBaseline` 독립적으로 비활성화할 수 있음
# AWS Config 업데이트
+ ** AWS Config 및 AWS CloudTrail 전용 리소스: ** AWS Config 및 AWS CloudTrail은 이제 공유 리소스 대신 별도의 전용 S3 버킷 및 SNS 주제를 사용합니다. 고객은 여러 통합에 단일 또는 개별 계정을 사용할 수 있는 유연성이 제한됩니다.
+ AWS Control Tower 랜딩 존 버전 4.0으로 업그레이드할 때 기존 데이터와 S3 버킷은 이동되지 않습니다. AWS CloudTrail 통합은 접두사가 인 기존 S3 버킷을 계속 사용합니다`aws-controltower-logs`. 업데이트 작업 후 새 AWS Config 데이터는 AWS Control Tower`aws-controltower-config`가 CentralConfigBaseline에 지정된 계정에 생성하는 접두사가 있는 새 S3 버킷에 저장됩니다.
**참고**
랜딩 존 4.0에서 AWS CloudTrail 통합을 처음 활성화하면 접두사가 붙을 때마다 새 S3 버킷이 생성됩니다. `aws-controltower-cloudtrail`
+ 데이터 위치 변경: 이전에 공유된에서 전용 리소스로 업그레이드하는 기존 고객은 서로 다른 S3 버킷에 AWS Config 및 AWS CloudTrail 데이터를 갖게 됩니다. 설정된 고객 워크플로 및 도구에서 새 버킷 위치의 데이터에 액세스하려면 업데이트가 필요할 수 있습니다.
+ AWS CloudTrail은 동일한 기존 버킷에 계속 남아 있지만 AWS Config 데이터는 AWS Control Tower에서 생성한 새 S3 버킷에 있습니다.
+ 고객은 서로 다른 로그를 단일 버킷으로 중앙 집중화하려는 경우 교차 버킷 복제를 설정할 수 있습니다. 자세한 내용은 [ S3 설명서를 ](https://docs.aws.amazon.com//AmazonS3/latest/userguide/replication.html) 참조하세요.
+ AWS Control Tower에서 관리하는 리전에서 AWS Control Tower에서 생성하지 않은 기존 AWS Config 전송 채널이 있는 계정을 등록한 경우 랜딩 존 4.0의 AWS Control Tower 구성과 일치하도록 전송 채널의 S3 버킷 이름을 AWS Config 통합 계정`aws-controltower-config-logs-`의 접두사가 있는 새 S3 버킷으로 업데이트합니다. 자세한 내용은 [기존 AWS Config 리소스가 있는 계정 등록](existing-config-resources.md) 단원을 참조하십시오.
+ **AWS Config 랜딩 존 버전 4.0의 통합: ** AWS Config 통합이 활성화된 상태에서 랜딩 존 4.0으로 마이그레이션하면 고객에게 다음과 같은 변경 사항이 표시됩니다.
1. 기존 감사 계정은에 대한 위임된 관리자로 등록됩니다 AWS Config.
1. 서비스 연결 Config 집계자는 감사 계정(신규 고객의 경우AWS Config 중앙 집계자 계정, 기존 고객의 경우 감사 계정)에 배포됩니다. 새 집계자는 비Control Tower 관리형 계정을 포함하여 조직의 모든 AWS Config 레코더에서 데이터를 집계할 수 있습니다.
1. 기존 집계자가 삭제됩니다 - 관리 계정의 조직 집계자(`aws-controltower-ConfigAggregatorForOrganizations`)와 감사 계정의 계정 집계자(`aws-controltower-GuardRailsComplianceAggregator`)가 삭제됩니다.
1. 구성 집계자는 서비스 연결이므로 삭제된 집계자와 연결된 제어가 자동으로 제거됩니다.
1. [AWS Config 리소스에 대해 AWS Control Tower에서 생성한 태그에 대한 변경 허용 안 함](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#cloudwatch-disallow-config-changes)
1. [AWS Control Tower에서 생성한 AWS Config 집계 권한 부여 삭제 허용 안 함](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#config-aggregation-authorization-policy)
+ **새로운 `ConfigBaseline` 기준: ** 이제 포괄적인를 요구하지 않고 탐지 제어 지원을 위한 별도의 OU가 OU `ConfigBaseline` 수준에서 제공됩니다`AWSControlTowerBaseline`. 자세한 내용은 [ OU 수준의 기준 유형](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types) 목록을 참조하세요. 기본 랜딩 존을 사용하는 기존 고객의 경우 이제 모든 서비스 통합은 선택 사항이며에 설명된 종속성 요구 사항에 유의해야 합니다[주요 변경 사항](key-changes-lz-v4.md).
+ **서비스 연결 Config 애그리게이터: ** AWS Config 중앙 애그리게이터 계정의 조직 및 계정 애그리게이터를 대체합니다.
+ AWS Config 통합이 활성화된 랜딩 존 4.0으로 업그레이드하는 경우 고객에게 `organizations:ListDelegatedAdministrators` 권한이 있어야 합니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"backup:UpdateGlobalSettings",
"controltower:CreateLandingZone",
"controltower:UpdateLandingZone",
"controltower:ResetLandingZone",
"controltower:DeleteLandingZone",
"controltower:GetLandingZoneOperation",
"controltower:GetLandingZone",
"controltower:ListLandingZones",
"controltower:ListLandingZoneOperations",
"controltower:ListTagsForResource",
"controltower:TagResource",
"controltower:UntagResource",
"servicecatalog:*",
"organizations:*",
"organizations:RegisterDelegatedAdministrator",
"organizations:EnableAWSServiceAccess",
"organizations:DeregisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"sso:*",
"sso-directory:*",
"logs:*",
"cloudformation:*",
"kms:*",
"iam:GetRole",
"iam:CreateRole",
"iam:GetSAMLProvider",
"iam:CreateSAMLProvider",
"iam:CreateServiceLinkedRole",
"iam:ListRolePolicies",
"iam:PutRolePolicy",
"iam:ListAttachedRolePolicies",
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy"
],
"Resource": "*"
}
]
}
```