기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 랜딩 존 업데이트 모범 사례 이 섹션에서는 AWS Control Tower에서 랜딩 존 버전 업그레이드를 고려할 때 염두에 두어야 할 몇 가지 고려 사항과 모범 사례를 제공합니다. 2.0 랜딩 존 버전 시리즈에서 3.0 랜딩 존 버전 시리즈로 변경하는 것이 특히 중요합니다. 랜딩 존을 업그레이드하면 AWS Control Tower가 자동으로 사용 가능한 최신 버전으로 사용자를 안내합니다. **참고** 랜딩 존의 최신 버전으로 업데이트하는 것이 좋습니다. **이 섹션에 설명된 모범 사례 요약** + **모범 사례:** 보안 및 감사를 위해 모든 계정에 대해 전체적으로 로깅을 활성화하고 로깅 정보를 중앙 위치로 보내는 것이 좋습니다. AWS Control Tower에서 이 중앙 위치는 Amazon S3 로깅 버킷을 제공하는 **로그 아카이브** 계정입니다. + **모범 사례:** AWS Control Tower에서 조직 수준 CloudTrail 추적을 옵트아웃하는 경우 자체 추적을 설정하고 관리합니다. + **모범 사례:** AWS Control Tower 환경을 운영할 때 테스트 환경을 설정합니다. **2.x 랜딩 존 버전에서 3.x 랜딩 존 버전으로 이동 시의 이점** + 홈 리전에만 AWS Config 리소스를 기록하여 글로벌 리소스를 관리할 때 비용 절감 + 자체 KMS 키로 AWS CloudTrail 추적 암호화 + 로그 보존 기간 사용자 지정 + 향상된 필수 제어 + 사용 가능한 제어 수 증가 + 와 통합 AWS Security Hub CSPM + Python 런타임 업데이트 **2.x 랜딩 존 버전에서 3.x 랜딩 존 버전으로 이동 시의 경고 사항** + 랜딩 존 3.0 이상에서는 AWS Control Tower가를 AWS 관리하는 계정 수준 AWS CloudTrail 추적을 더 이상 지원하지 않습니다. + AWS Control Tower에서 관리하는 조직 수준 추적을 선택하거나 이를 옵트아웃하고 자체 CloudTrail 추적을 관리할 수 있습니다. + 특히 OU 내의 일부 계정이 AWS Control Tower에 등록되어 있지 않고 유지하려는 자체 계정 수준 추적이 있는 경우 중복 비용의 가능성이 있습니다. **조직 수준의 CloudTrail 추적 선택에 대한 고려 사항** + 3.0 이상으로 업그레이드하면 AWS Control Tower는 24시간 후에 처음에 생성했던 계정 수준 추적을 삭제합니다. [[예외]](https://docs.aws.amazon.com//controltower/latest/userguide/retain-account-trails.html) + 이러한 추적의 데이터는 손실되지 않습니다. 추적이 제거되더라도 기존 로그는 보존됩니다. + AWS Control Tower는 동일한 Amazon S3 버킷에 추적을 위한 새 경로를 생성하여 계정 수준 추적을 조직 수준 추적과 구분합니다. + 계정 추적 로그 경로 형식: `/orgId/AWSLogs/...` + 조직 추적 로그 경로 형식: `/orgId/AWSLogs/orgId/...` + AWS Control Tower에서 배포하지 않은, 사용자가 추가로 배포한 CloudTrail 추적은 변경되지 않습니다. + 등록되지 않은 계정이 등록된 OU의 일부인 경우 AWS Control Tower에 등록되지 않은 계정을 포함하여 모든 계정이 조직 수준 추적에 포함됩니다. + 연결된 계정의 Amazon CloudWatch 경보는 트리거되지 않습니다. + 조직 수준 추적을 옵트아웃해도 AWS Control Tower는 여전히 추적을 생성하지만 상태는 **꺼짐**으로 설정됩니다. + 가장 좋은 방법은, AWS Control Tower의 조직 수준 추적을 옵트아웃하는 경우 자체 CloudTrail 추적을 설정하고 관리하는 것입니다. **조직 수준 추적의 이점** + 조직 추적은 OU의 모든 계정에서 작동합니다. + 로깅된 항목은 표준화되며 계정 사용자가 수정할 수 없습니다. **테스트 환경 고려** 랜딩 존을 업그레이드하면 AWS Control Tower는 공유 계정과 기본 OU만 변경합니다. 워크로드 계정 또는 OU는 변경되지 않습니다. *하지만 AWS Control Tower 환경을 운영할 때에는 테스트 환경을 설정하는 것이 좋습니다.* 격리된 테스트 환경 내에서 AWS Control Tower 랜딩 존 업그레이드와 서비스 제어 정책(SCP)에 적용된 변경 사항을 테스트할 수 있으며 환경에 적용하려는 제어를 테스트할 수 있습니다. 이 권장 사항은 규제 대상 산업에서 운영하는 경우 특히 유용합니다. **업데이트 시 일반적인 오류 체크리스트** 다음은 AWS Control Tower 랜딩 존을 2.x 버전에서 3.x 버전으로 업데이트할 때 발생하는 일반적인 오류를 방지하기 위해 수행할 수 있는 간단한 작업 목록입니다. **기본 업데이트 체크리스트** + 랜딩 존을 확인합니다. - AWS Control Tower 서비스로 이동하여 **조직 단위** 및 **계정** 페이지를 검토한 다음 계정 상태가 **등록됨******으로 설정되어 있는지 확인합니다. - 해당하는 경우 사용자 지정 파이프라인의 마지막 실행이 성공했는지 확인합니다. - 이전에 버킷 정책에 적용된 변경 사항이 덮어쓰기 되므로 **감사** 계정에서 Amazon S3 중앙 집중식 로깅 버킷을 확인합니다. + 업데이트를 수행하는 관리 역할에 대해 멤버 계정의 작업 또는 관리 계정의 작업을 `AWSControlTowerExecution` 역할이 수행하지 못하도록 AWS Control Tower에 소유되지 않은 SCP가 제한하지 않는지 확인합니다.