기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Control Tower 릴리스 정보
다음 섹션에서는 서비스 시작 이후 AWS Control Tower 릴리스에 대한 세부 정보를 보여줍니다. 일부 릴리스는 AWS Control Tower 랜딩 존에 대한 업데이트가 필요하며, 다른 릴리스는 서비스에 자동으로 통합됩니다.
기능 및 릴리스는 공식적으로 발표된 날짜를 기준으로 역순으로 나열되어 있습니다(최신 항목을 처음에 표시).
**Topics**
+ [2026년 1월 - 현재](2026-all.md)
+ [2025년 1월\$12025년 12월](2025-all.md)
+ [2024년 1월\$112월](2024-all.md)
+ [2023년 1월\$112월](2023-all.md)
+ [2022년 1월\$112월](2022-all.md)
+ [2021년 1월\$112월](2021-all.md)
+ [2020년 1월\$112월](2020-all.md)
+ [2019년 6월\$112월](2019-all.md)
# 2026년 1월 - 현재
2026년 1월부터 AWS Control Tower는 다음 업데이트를 릴리스했습니다.
+ [European Sovereign Cloud에서 AWS Control Tower 사용 가능](#eusc-region)
## European Sovereign Cloud에서 AWS Control Tower 사용 가능
**2026년 1월 13일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이제 European Sovereign Cloud에서 AWS Control Tower를 사용할 수 있습니다. European Sovereign Cloud의 AWS Control Tower에 대한 자세한 내용은 [European Sovereign Cloud용 AWS Control Tower 사용 설명서를 참조하세요](https://docs.aws.eu/esc/latest/userguide/controltower.html).
# 2025년 1월\$12025년 12월
2025년 1월부터 AWS Control Tower는 다음과 같은 업데이트를 릴리스했습니다.
+ [AWS Control Tower 랜딩 존 버전 4.0](#lz-40)
+ [AWS Control Tower가 Control Catalog에 279개의 AWS Config 컨트롤 추가](#additional-config-controls)
+ [아시아 태평양(뉴질랜드) 리전에서 AWS Control Tower 사용 가능](#akl-region)
+ [AWS Control Tower에서 자동 계정 등록 지원](#auto-enroll)
+ [AWS Control Tower에서 Python 버전 업데이트](#updated-python)
+ [AWS Control Tower에서 IPv6 주소 지원](#ct-ipv6)
+ [AWS Control Tower에서 드리프트 감소](#no-attached-scp-drift)
[Account Factory for Terraform 버전 1.15.0 사용 가능](#aft-1-15)
+ [Nitro 인스턴스 유형 관련 제어 업데이트](#nitro-updates)
+ [아시아 태평양(타이베이) 리전에서 AWS Control Tower 사용 가능](#new-region-tpe)
+ [AWS Control Tower에서 PrivateLink 지원](#ct-privatelink)
+ [추가 산업 프레임워크, 업데이트된 메타데이터 지원](#hg-1-5)
+ [서비스 연결 AWS Config 제어](#managed-config-controls)
+ [활성화된 제어 콘솔 보기로 중앙 집중식 가시성 제공](#enabled-controls-page)
+ [Account Factory for Terraform(AFT)은 배포 시 새 구성을 지원합니다.](#aft-configurations)
+ [AWS Control Tower에 기준 API에 대한 계정 수준 보고 도입](#enabled-baseline-drift)
+ [AWS 아시아 태평양(태국) 및 멕시코(중부) 리전에서 AWS Control Tower 사용 가능](#new-regions-bkk-qro)
+ [사용 가능한 추가 AWS Config 제어](#new-config-controls)
+ [OU에 대한 작업 등록 취소 및 삭제](#deregister-and-delete)
+ [제어 카탈로그에서 IPv6 주소 지원](#ipv6)
## AWS Control Tower 랜딩 존 버전 4.0
**2025년 11월 17일**
(AWS Control Tower 랜딩 존을 버전 4.0으로 업데이트해야 합니다. 자세한 내용은 섹션을 참조하세요[랜딩 존 업데이트](update-controltower.md).
AWS Control Tower 랜딩 존 4.0은 유연한 제어 전용 환경을 도입하는 주요 업데이트로, 고객은 AWS 다중 계정 환경을 구현하고 관리하는 방법을 사용자 지정할 수 있습니다. 이 릴리스는 AWS Control Tower가 AWS 서비스와 통합되고 조직 리소스를 관리하는 방법을 크게 변경합니다. 키 변경에 대한 자세한 내용은 섹션을 참조하세요[랜딩 존 v4.0 마이그레이션 가이드](landing-zone-v4-migration-guide.md).
**주요 변경 사항 및 기능**
+ 선택적 서비스 통합 - 랜딩 존 4.0을 사용하면 환경에서 활성화할 서비스 통합을 선택할 수 있습니다. 통합을 비활성화하면 관리형 계정 및 서비스 통합 중앙 계정에서 해당 통합과 관련된 AWS Control Tower 배포 리소스가 정리됩니다. 이제 서비스 통합을 선택적으로 활성화하거나 비활성화할 수 있습니다.
+ AWS Config
+ AWS CloudTrail
+ 보안 역할
+ AWS Backup
*중요: AWS Config 통합을 비활성화하려면 보안 역할, IAM Identity Center 및 AWS Backup 통합도 비활성화해야 합니다.*
+ 공유 리소스를 사용하는 대신 전용 리소스 - 랜딩 존 4.0은 이제 주요 서비스를 위한 전용 리소스를 생성합니다. 이러한 분리를 통해 리소스 격리를 개선하고 서비스별 리소스를 보다 세밀하게 제어할 수 있습니다.
+ AWS Config를 위한 별도의 S3 버킷
+ AWS CloudTrail용 별도의 S3 버킷
+ 각 서비스에 대한 개별 SNS 주제
+ 유연한 조직 구조 - 랜딩 존 4.0은 이전 조직 구조 요구 사항을 제거합니다.
+ 더 이상 보안 OU를 사용할 필요가 없습니다.
+ 자체 조직 구조를 정의할 수 있습니다.
+ 유일한 요구 사항은 모든 허브 계정이 동일한 OU에 있어야 한다는 것입니다.
+ 전용 제어 환경 - 이제 다음을 포함하는 최소 랜딩 존 설정을 생성할 수 있습니다.
+ 기본 AWS Organizations 통합
+ `AWSControlTowerBaseline` 기준을 활성화하지 않고 제어를 활성화할 수 있는 기능
+ 필요에 따른 사용자 지정 거버넌스 구성
+ AWS Config 변경 사항 - 랜딩 존 4.0은 AWS Config 통합 구현을 몇 가지 개선했습니다.
+ 탐지 제어를 위한 새로운 Config 스포크 기준
+ Config 허브 계정의 서비스 연결 Config 애그리게이터(SLCA)
+ 기존 조직 및 계정 집계자 교체
+ 선택적 매니페스트:
+ 매니페스트 필드는 이제 선택 사항이므로 다음을 수행할 수 있습니다.
+ 서비스 통합 없이 랜딩 존 생성
+ 초기 설정의 유연성 향상
+ 사용자 지정 배포 옵션
## AWS Control Tower가 Control Catalog에 279개의 AWS Config 컨트롤 추가
**2025년 11월 14일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이제 AWS Control Tower에 컨트롤 카탈로그의 AWS Config 일부로 추가 279개의 컨트롤이 포함됩니다. AWS Control Tower 콘솔과 APIs.
특정 컨트롤은 다른 컨트롤과 관계가 있습니다. 이러한 관계는 AWS Control Tower 콘솔 및 APIs. 관계 유형에는 **보완**, **상호 배**타 및 **대안**이 포함됩니다.
## 아시아 태평양(뉴질랜드) 리전에서 AWS Control Tower 사용 가능
**2025년 10월 28일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이제 아시아 태평양(뉴질랜드) 리전에서 AWS Control Tower를 사용할 수 있습니다.
AWS Control Tower를 사용할 수 있는 리전의 전체 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## AWS Control Tower에서 자동 계정 등록 지원
**2025년 10월 15일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower 랜딩 존 버전 3.1 이상을 사용하는 고객의 경우 AWS Control Tower는 이제 OU에 계정을 자동 등록할 수 있도록 지원합니다. 계정 자동 등록을 옵트인하면 새 OU로 계정을 이동할 때 AWS Control Tower가 OU의 활성화된 기준 리소스 및 제어를 계정에 적용합니다. 이전 OU의 제어 및 기준이 제거됩니다. 대부분의 경우 이 작업으로 인해 드리프트가 생성되지 않습니다.
**자동 등록 활성화:** AWS Control Tower 콘솔의 랜딩 존 **설정** 페이지에서 또는 AWS Control Tower `CreateLandingZone` 또는 `UpdateLandingZone` API를 직접적으로 호출하여 계정 자동 등록을 선택할 수 있으며 `RemediationType` 파라미터 값은 **상속 드리프트**로 설정됩니다.
**자동 등록 적용:** **설정** 페이지에서이 옵션을 선택한 후 AWS Organizations 콘솔 AWS Organizations `MoveAccount`, API 또는 AWS Control Tower 콘솔을 사용하여 계정을 이동할 수 있습니다.
**자동 등록으로 계정 등록 취소:** 계정이 등록된 OU 외부로 계정을 이동하는 경우 AWS Control Tower는 배포된 모든 기준 리소스를 자동으로 제거하고 제어합니다.
자동 등록에 대한 자세한 내용은 [선택적으로 자동 계정 등록 구성](configure-auto-enroll.md) 섹션을 참조하세요.
이 릴리스에는 관리형 정책에 대한 업데이트와 새 관리형 정책도 포함되어 있습니다. [AWS ControlTowerServiceRolePolicy](https://docs.aws.amazon.com//controltower/latest/userguide/managed-policies-table.html)를 업데이트하고 새로운 [AWS ControlTowerIdentityCenterManagementPolicy](https://docs.aws.amazon.com//controltower/latest/userguide/managed-policies-table.html)를 추가했습니다.
AWS Control Tower `CreateLandingZone` 및 `UpdateLandingZone` API를 업데이트하여 `Inheritance Drift`이라는 새 `RemediationType`를 추가했습니다.
## AWS Control Tower에서 Python 버전 업데이트
**2025년 9월 3일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
Python 버전 3.9는 더 이상 사용되지 않습니다. AWS Control Tower 환경에서 Python 버전이 업데이트되었습니다. 별도의 작업이 필요하지 않으며 이 업데이트는 기존 워크로드에 영향을 주지 않습니다.
## AWS Control Tower에서 드리프트 감소
**2025년 8월 20일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 서비스 제어 정책(SCP) 드리프트의 기능을 업데이트했습니다. 이번 릴리스에서는 AWS Control Tower에서 두 가지 유형의 거버넌스 드리프트를 직접 처리하므로 더 이상 환경에서 드리프트가 발생하지 않습니다.
**두 가지 유형의 거버넌스 드리프트 제거**
+ **관리형 OU에 연결된 SCP** - 이 유형의 드리프트는 제어용 SCP가 다른 OU에 연결되었을 때 발생했습니다. 이는 특히 AWS Control Tower 콘솔 외부에서 OU를 업데이트했을 때 흔히 일어납니다.
+ **멤버 계정에 연결된 SCP** - 이 유형의 드리프트는 제어용 SCP가 AWS Control Tower 콘솔 외부에서 계정에 연결되었을 때 흔히 발생합니다.
드리프트에 대한 자세한 내용은 [AWS Control Tower의 드리프트 감지 및 해결](https://docs.aws.amazon.com/controltower/latest/userguide/drift.html)을 참조하세요.
## AWS Control Tower에서 IPv6 주소 지원
**2025년 8월 18일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower API는 이제 새로운 듀얼 스택 엔드포인트를 통해 인터넷 프로토콜 버전 6(IPv6) 주소를 지원합니다. IPv4를 지원하는 기존 엔드포인트는 이전 버전과의 호환성을 위해 계속 사용할 수 있습니다. 새로운 듀얼 스택 도메인은 [인터넷에서](https://docs.aws.amazon.com/general/latest/gr/controlcatalog.html) 또는 [AWS PrivateLink](https://aws.amazon.com/privatelink/)를 사용하는 [Amazon 가상 프라이빗 클라우드(VPC) 내에서](https://docs.aws.amazon.com/controlcatalog/latest/userguide/vpc-interface-endpoints.html) 사용할 수 있습니다*.*
## Account Factory for Terraform 버전 1.15.0 사용 가능
**2025년 7월 28일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower Account Factory for Terraform(AFT) 버전 1.15.0을 사용할 수 있습니다. 자세한 내용은 [AFT GitHub 리포지토리](https://github.com/aws-ia/terraform-aws-control_tower_account_factory/releases/tag/1.15.0)를 참조하세요.
## Nitro 인스턴스 유형 관련 제어 업데이트
**2025년 7월 24일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 Amazon EC2 인스턴스 유형을 적용하는 Control Catalog(이전에는 Control Library라고 함)의 여덟 가지 선제적 제어를 업데이트했습니다. 이 업데이트를 통해 일부 새로운 Nitro 인스턴스 유형을 인스턴스화할 수 있으며, 더 이상 사용되지 않는 일부 *U 시리즈* 인스턴스 유형을 제거합니다.
**업데이트된 제어**
+ [https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-10-description](https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-10-description)
+ [https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-11-description](https://docs.aws.amazon.com/controltower/latest/controlreference/ec2-auto-scaling-rules.html#ct-autoscaling-pr-11-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-15-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-15-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-16-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-16-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-17-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-17-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-18-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-18-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-19-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-19-description)
+ [https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-20-description](https://docs.aws.amazon.com//controltower/latest/controlreference/ec2-rules.html#ct-ec2-pr-20-description)
**사용 가능한 새로운 인스턴스 유형**
+ `c8gd`
+ `c8gn`
+ `i7i`
+ `m8gd`
+ `p6-b200`
+ `r8gd`
**인스턴스 유형이 제거됨**
+ `u-12tb1`
+ `u-18tb1`
+ `u-24tb1`
+ `u-9tb1`
업데이트된 제어는 AWS Control Tower를 사용할 수 AWS 리전 있는 모든에서 사용할 수 있습니다. AWS Control Tower를 사용할 수 있는 리전의 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## 아시아 태평양(타이베이) 리전에서 AWS Control Tower 사용 가능
**2025년 7월 23일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower를 아시아 태평양(타이베이) 리전에서 사용할 수 있습니다.
AWS Control Tower를 사용할 수 있는 리전의 전체 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## AWS Control Tower에서 PrivateLink 지원
**2025년 6월 30일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 [AWS PrivateLink](https://aws.amazon.com/privatelink/)**를 지원합니다. 퍼블릭 인터넷을 통과하지 않고도 Amazon Virtual Private Cloud(VPC) 내에서 AWS Control Tower 및 Control Catalog APIs를 호출할 수 있습니다. AWS PrivateLink 는 Virtual Private Cloud(VPCs), 지원되는 서비스 및 리소스, 온프레미스 네트워크 간에 프라이빗 연결을 제공합니다. AWS Control Tower AWS PrivateLink 지원은 AWS Control Tower를 사용할 수 AWS 리전 있는 모든에서 사용할 수 있습니다.
## 추가 산업 프레임워크, 업데이트된 메타데이터 지원
**2025년 6월 12일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이번 릴리스에서 AWS Control Tower는 10개의 산업 프레임워크에 대한 지원을 포함하도록 확장되었습니다. 프레임워크 목록은 [지원되는 프레임워크](https://docs.aws.amazon.com//controltower/latest/controlreference/frameworks-supported.html)를 참조하세요.
예를 들어 AWS Control Tower 콘솔의 Control Catalog 페이지로 이동해 **PCI-DSS-v4.0**과 같은 프레임워크를 검색하여 해당 프레임워크와 관련된 모든 제어를 볼 수 있습니다. 또는 새 [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControlMappings.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControlMappings.html) API를 직접적으로 호출하여 프로그래밍 방식으로 제어 및 프레임워크를 검사할 수 있습니다.
제어와 관련된 메타데이터 정의는 이러한 추가 산업 프레임워크를 더 효과적으로 지원하기 위해 변경되고 있습니다. 메타데이터 변경 사항은 활성화에 대한 제어를 평가하는 방식에 영향을 미칠 수 있습니다. 예를 들어 NIST, PCI 및 CIS 메타데이터의 값이 변경되었을 수 있습니다. 콘솔의 **제어 세부 정보** 페이지에서 활성화된 제어에 대한 *매핑을 검토*하는 것이 좋습니다.
콘솔과 API에는 3개의 새로운 메타데이터 필드가 도입되었습니다. 이러한 필드는 모두 제어를 분류하고 활성화하는 방법을 이해하는 데 도움이 되는 계층 구조를 설명합니다. 필드는 **Domain**, **Objective** 및 [https://docs.aws.amazon.com//controltower/latest/controlreference/common-controls-list.html](https://docs.aws.amazon.com//controltower/latest/controlreference/common-controls-list.html)입니다. 사용 가능한 광범위한 산업 프레임워크에 더 부합하도록 [제어 목표](https://docs.aws.amazon.com/controltower/latest/controlreference/control-catalog-objectives.html)를 재정의했습니다. 이 계층 구조에 대한 자세한 내용은 [온톨로지 개요](https://docs.aws.amazon.com/controlcatalog/latest/userguide/ontology-overview.html)를 참조하세요.
+ 이러한 메타데이터 변경 사항은 AWS Control Tower 콘솔에 반영되며 콘솔 환경은 AWS Control Tower 및 AWS Config 콘솔에서 일관됩니다.
+ AWS Control Tower 콘솔에서 제어 정보를 보려면 IAM 정책에 `controlcatalog` 권한을 추가해야 합니다. 자세한 내용은 [AWS Control Tower 콘솔을 사용하는 데 필요한 권한](https://docs.aws.amazon.com/controltower/latest/userguide/additional-console-required-permissions.html)을 참조하세요.
+ 이제 각 제어에는 제어가 관리하는 리소스 유형을 보여주는 `GovernedResources`라는 새 필드가 있습니다. 경우에 따라 이 필드에 리소스의 서비스 접두사가 표시되며, 다른 경우에는 비어 있을 수 있습니다. 자세한 내용은 [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html) 및 [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_ListControls.html) 섹션을 참조하세요.
이번 릴리스에서는 다른 용어와의 일관성을 위해 *제어 라이브러리*의 이름을 *제어 카탈로그*로 변경했습니다.
## 서비스 연결 AWS Config 제어
**2025년 6월 12일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 AWS Control Tower 탐지 제어를 서비스 연결 AWS Config 규칙으로 배포할 수 있도록 지원을 발표했습니다.
이번 릴리스에서는 AWS Control Tower가 등록된 계정에 서비스 연결 Config 규칙을 직접 배포하여 이전 배포 방법을 AWS CloudFormation 스택 세트로 대체합니다. 이러한 변경으로 배포 속도가 크게 향상됩니다. 또한 이러한 서비스 연결 Config 규칙은 CloudFormation 스택 세트 또는 Config 규칙의 수동 변경으로 인해 발생할 수 있는 의도하지 않은 구성 드리프트를 방지하기 때문에 리소스의 일관된 거버넌스를 보장하는 데 도움이 됩니다.
**앞으로 AWS Config 규칙에 의해 구현된 모든 AWS Control Tower 제어는 AWS Config APIs를 직접 호출하는이 메커니즘과 함께 배포됩니다.**
**중요**
AWS Control Tower 외부의 Config 규칙에 적용된 문제 해결과 같은 기존 사용자 지정은 전환 중에 제거되기 때문에 서비스에 연결된 Config 규칙을 채택하기 전에 이러한 사용자 지정을 검토합니다. AWS Config APIs는 서비스 연결 AWS Config 규칙에 대한 문제 해결 구성 추가를 지원하지 않습니다. [https://docs.aws.amazon.com/config/latest/APIReference/API_PutRemediationConfigurations.html](https://docs.aws.amazon.com/config/latest/APIReference/API_PutRemediationConfigurations.html)을(를) 참조하세요.
**세부 정보 및 필요한 작업**
+ 랜딩 존을 **업데이트**하거나 **재설정**하면 AWS Control Tower는 보안 OU를 관리하는 **필수** 제어를 업데이트합니다. 업그레이드를 완료하려면 AWS Config 규칙으로 구현된 각 탐지 제어를 **재설정**하거나 OU를 **다시 등록**해야 합니다.
+ AWS Control Tower 랜딩 존 버전이 3.2 이상인 경우 이 업그레이드의 전체 범위가 적용됩니다. 이 업데이트를 적용하면 새 배포 방법과 함께 기존 AWS Config 규칙이 서비스 관리형 Config 규칙으로 변경됩니다.
+ 랜딩 존이 버전 3.1 이하인 경우 새 Config 규칙은 더 이상 스택 세트가 아닌 새 메서드로 배포됩니다. 기존 Config 규칙은 서비스 관리형 Config 규칙으로 업데이트되지 않습니다. 표준 유형으로 유지됩니다.
+ 다음과 같은 형식의 리소스 ARN으로 서비스에 연결된 Config 규칙을 식별할 수 있습니다.
```
arn:aws:config:*:*:config-rule/aws-service-rule/controltower.*/*
```
서비스 연결 AWS Config 규칙에 의해 구현될 때 제어의 의도된 기능은 변경되지 않았습니다. AWS Control Tower에서 서비스에 연결된 탐지 Config 규칙은 정책 위반과 같은 계정 내 규정 미준수 리소스를 식별하고 대시보드를 통해 알림을 제공할 수 있습니다. 일관성을 유지하고 구성 드리프트를 방지하며 전체 사용자 경험을 단순화하기 위해 이제 이러한 규칙을 AWS Control Tower를 통해서만 수정할 수 있습니다.
이번 릴리스에서는 등록된 계정에 대한 서비스 연결 AWS Config 규칙을 활성화 및 비활성화할 수 [https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSServiceRoleForAWSControlTower](https://docs.aws.amazon.com//controltower/latest/userguide/access-control-managing-permissions.html#AWSServiceRoleForAWSControlTower)있도록 서비스 연결 역할(SLR)에 대한 정책에 네 가지 새로운 권한을 추가했습니다.
```
config:DescribeConfigRules
config:TagResource
config:PutConfigRule
config:DeleteConfigRule
```
## 활성화된 제어 콘솔 보기로 중앙 집중식 가시성 제공
**2025년 5월 21일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 활성화된 모든 제어를 중앙 집중식 단일 보기로 표시하는 새 페이지를 콘솔에 추가했습니다. 이전에는 제어가 활성화된 계정 또는 OU에서만 제어를 볼 수 있었습니다. 통합 보기를 사용하면 제어 거버넌스의 격차를 대규모로 더 쉽게 식별할 수 있습니다.
**활성화된 제어** 페이지에서 예방적, 탐지 또는 선제적 동작에 따라 제어를 필터링할 수 있습니다. SCP와 같은 제어 구현에 따라 필터링할 수도 있습니다. 제어마다 해당 제어가 활성화되어 있는 OU의 수를 확인할 수 있습니다.
**활성화된 제어** 페이지를 보려면 AWS Control Tower 콘솔에서 **제어** 섹션으로 이동합니다.
## Account Factory for Terraform(AFT)은 배포 시 새 구성을 지원합니다.
**2025년 5월 13일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower 계정 사용자 지정 프레임워크인 Account Factory for Terraform(AFT)은 이제 배포 시 세 가지 추가 선택적 구성을 지원합니다. 사용자 지정 가상 프라이빗 클라우드(VPC)에 AFT를 배포하고, AFT 배포의 Terraform 프로젝트 이름을 지정하고, AFT가 생성하는 리소스에 태그를 지정할 수 있습니다.
AFT에 대한 자세한 내용은 [AWS Control Tower Account Factory for Terraform(AFT) 개요](https://docs.aws.amazon.com/controltower/latest/userguide/aft-getting-started.html)를 참조하세요.
## AWS Control Tower에 기준 API에 대한 계정 수준 보고 도입
**2025년 5월 12일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이제 기준 API를 직접적으로 호출하여 관리되는 계정에 대한 *드리프트* 및 *계정 등록* 상태를 프로그래밍 방식으로 볼 수 있습니다. 이 기능을 사용하면 계정 및 OU 기준 구성이 *드리프트*되거나 동기화되지 않는 시점을 식별할 수 있습니다. 프로그래밍 방식으로 드리프트 상태를 보려면 활성화된 기준에 대해 [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html) API를 직접 호출하면 됩니다. `ListEnabledBaselines` API를 사용하여 프로그래밍 방식으로 개별 계정의 상태를 보려면 `includeChildren` 플래그를 사용합니다. 이러한 상태를 기준으로 필터링하고 주의가 필요한 계정 및 OU만 볼 수 있습니다.
[https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html#ou-baseline-types)은 거버넌스에 필요한 모범 사례 구성, 제어 및 리소스를 설정합니다. 조직 단위(OU)에서 이 기준을 활성화하면 OU 내의 멤버 계정이 AWS Control Tower에 자동으로 등록됩니다. AWS Control Tower 기준 APIs에는 코드형 인프라(IaC)를 사용하여 OUs 및 계정을 관리하는 자동화를 구축할 수 있는 CloudFormation 지원이 포함되어 있습니다.
이러한 API에 대해 자세히 알아보려면 *AWS Control Tower 사용자 안내서*의 [기준](https://docs.aws.amazon.com//controltower/latest/userguide/types-of-baselines.html)을 검토하세요. *드리프트* 및 *계정 등록* 상태에 대한 기본 APIs와 새로 시작된 보고 기능은 AWS Control Tower를 사용할 수 AWS 리전 있는 모든에서 사용할 수 있습니다. AWS Control Tower를 사용할 수 AWS 리전 있는 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## AWS 아시아 태평양(태국) 및 멕시코(중부) 리전에서 AWS Control Tower 사용 가능
**2025년 5월 9일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이제 AWS Control Tower를 다음 AWS 리전에서 사용할 수 있습니다.
+ 아시아 태평양(태국)
+ 멕시코(중부)
AWS Control Tower를 사용할 수 있는 리전의 전체 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## 사용 가능한 추가 AWS Config 제어
**2025년 4월 11일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 보안, 비용, 내구성 및 운영과 같은 다양한 사용 사례에 대해 223개의 관리형 AWS Config 규칙을 추가로 지원합니다. 이번 출시를 통해 이제 AWS Control Tower를 사용하여 다중 계정 환경을 관리하는 데 필요한 AWS Config 규칙을 검색하고 검색한 다음 AWS Control Tower에서 직접 제어를 활성화하고 관리할 수 있습니다.
AWS Control Tower 콘솔에서 시작하려면 제어 카탈로그로 이동해 구현 필터 AWS Config을 사용하여 제어를 검색합니다. AWS Control Tower 콘솔에서 직접 제어를 활성화할 수 있습니다.
자세한 내용은 [AWS Control Tower에서 사용 가능한 통합 AWS Config 제어를](https://docs.aws.amazon.com/controltower/latest/controlreference/config-controls.html) 참조하세요.
이번 출시에서는 제어 카탈로그에서 제어를 검색할 때 사용할 수 있는 **CreateTime**, **Severity** 및 **Implementation**이라는 세 가지 새 필드를 지원하도록 `ListControls` 및 `GetControl` API를 업데이트했습니다. 예를 들어 이제 마지막 평가 후 생성된 심각도가 높은 AWS Config 규칙을 프로그래밍 방식으로 찾을 수 있습니다.
AWS Control Tower를 사용할 수 AWS 리전 있는 모든에서 새 AWS Config 규칙을 검색할 수 있습니다. 규칙을 배포하려면 해당 규칙에 AWS 리전 지원되는 목록을 참조하여 활성화할 수 있는 위치를 확인합니다.
## OU에 대한 작업 등록 취소 및 삭제
**2025년 4월 8일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 OU 등록을 취소하고 OU를 삭제하기 위한 별도의 콘솔 작업을 지원합니다. OU를 삭제하려면 먼저 등록 취소해야 합니다. AWS Control Tower에서 OU를 등록 취소하여 제거할 수 있습니다.
자세한 내용은 [OU 제거](remove-ou.md) 단원을 참조하십시오.
## 제어 카탈로그에서 IPv6 주소 지원
**2025년 4월 2일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower 제어 카탈로그 API는 이제 새로운 듀얼 스택 엔드포인트를 통해 인터넷 프로토콜 버전 6(IPv6) 주소를 지원합니다. IPv4를 지원하는 기존 제어 카탈로그 엔드포인트는 이전 버전과의 호환성을 위해 계속 사용할 수 있습니다. 새로운 듀얼 스택 도메인은 [인터넷에서](https://docs.aws.amazon.com/general/latest/gr/controlcatalog.html) 또는 [AWS PrivateLink](https://aws.amazon.com/privatelink/)를 사용하는 [Amazon 가상 프라이빗 클라우드(VPC) 내에서](https://docs.aws.amazon.com/controlcatalog/latest/userguide/vpc-interface-endpoints.html) 사용할 수 있습니다*.*
# 2024년 1월\$112월
2024년에 AWS Control Tower는 다음 업데이트를 릴리스했습니다.
+ [AWS Control Tower CfCT에서 GitHub 및 RCP 지원](#cfct-github-support)
+ [AWS Control Tower에 선언적 정책이 포함된 예방적 제어 추가](#declarative-policies)
+ [AWS Control Tower에 권장 백업 계획 옵션 추가](#aws-backup)
+ [AWS Control Tower에서 AWS Config 제어 통합](#config-controls)
+ [AWS Control Tower는 후크 관리를 개선하고 선제적 제어 리전을 추가합니다.](#hook-management)
+ [AWS Control Tower에서 관리형 리소스 제어 정책 시작](#rcp-controls)
+ [AWS Control Tower에서 제어 정책 드리프트 보고](#policy-drift)
+ [새로운 `ResetEnabledControl` API](#reset-enabled-control-api)
+ [제어 카탈로그 업데이트 `GetControl` API](#getcontrol-api-update)
+ [AWS Control Tower AFT의 GitLab 지원](#aft-gitlab-support)
+ [AWS 아시아 태평양(말레이시아) 리전에서 AWS Control Tower 사용 가능](#kul-region)
+ [AWS Control Tower에서 OU당 최대 1,000개의 계정 지원](#1000-accounts)
+ [AWS Control Tower에 랜딩 존 버전 선택 기능 추가](#lz-version-select)
+ [설명형 제어 API 사용 가능, 리전 및 제어에 대한 확장된 액세스](#get-and-list-controls)
+ [AWS Control Tower에서 옵트인 리전에 AFT 및 CfCT 지원](#aft-cfct-regions)
+ [AWS Control Tower에서 `ListLandingZoneOperations` API 추가](#lz-operations-api)
+ [AWS Control Tower에서 최대 100개의 동시 제어 작업 지원](#multiple-controls)
+ [AWS 캐나다 서부(캘거리)에서 AWS Control Tower 사용 가능](#yyc-available)
+ [AWS Control Tower에서 셀프 서비스 할당량 조정 지원](#service-quotas)
+ [AWS Control Tower에서 *제어 참조 가이드* 릴리스](#controls-reference-guide)
+ [AWS Control Tower는 두 가지 선제적 제어를 업데이트하고 이름을 바꿉니다.](#update-2-proactive-controls)
+ [사용 중단된 제어를 더 이상 사용할 수 없음](#deprecated-controls)
+ [AWS Control Tower는에서 `EnabledControl` 리소스 태그 지정을 지원합니다. CloudFormation](#cfn-tagging)
+ [AWS Control Tower는 OU 등록 및 기준 설정 구성을 위한 API를 지원함](#baseline-apis)
## AWS Control Tower CfCT에서 GitHub 및 RCP 지원
**2024년 12월 9일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이제 AWS Control Tower는 타사 버전 관리 시스템(VCS) 및 AWS Control Tower용 사용자 지정(CFCT)을 위한 구성 소스의 옵션으로 GitHubTM를 지원합니다. 자세한 내용은 [구성 소스로 GitHub 설정](cfct-github-configuration-source.md) 섹션을 참조하세요.
AWS Control Tower는 이제 AWS Control Tower용 사용자 지정(CFCT)을 위한 리소스 제어 정책(RCP)을 지원합니다. 자세한 내용은 [CfCT 사용자 지정 가이드](cfct-customizations-dev-guide.md) 단원을 참조하십시오.
## AWS Control Tower에 선언적 정책이 포함된 예방적 제어 추가
**2024년 12월 1일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 선언적 정책에 의해 구현되는 예방 제어를 지원합니다 AWS Organizations. 선언적 정책은 서비스 수준에서 바로 적용됩니다. 이 접근 방식은 새 기능 또는 API가 서비스에 도입된 경우에도 지정된 구성이 적용되도록 합니다. 자세한 내용은 [선언적 정책으로 구현된 제어](https://docs.aws.amazon.com//controltower/latest/controlreference/declarative-controls.html)를 참조하세요.
## AWS Control Tower에 권장 백업 계획 옵션 추가
**2024년 11월 25일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 데이터 백업 및 복구 워크플로를 랜딩 존에 직접 통합할 수 있는 규범적 AWS Backup 계획을 지원합니다. 백업 계획에는 보존 일수, 백업 빈도 및 백업 발생 기간과 같은 사전 정의된 규칙이 포함됩니다. 이러한 규칙은 모든 관리되는 멤버 계정에서 AWS 리소스를 백업하는 방법을 정의합니다. 랜딩 존에 백업 계획을 적용하면 AWS Control Tower는 모든 멤버 계정에 대해 계획이 일관되고 AWS Backup의 모범 사례 권장 사항에 맞게 조정되도록 합니다.
자세한 내용은 [AWS Backup 및 AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/backup.html)를 참조하세요.
## AWS Control Tower에서 AWS Config 제어 통합
**2024년 11월 21일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower에는 선택한 AWS Config 컨트롤이 통합되어 있으므로 AWS Control Tower에서 해당 컨트롤을 보고 관리할 수 있습니다.
자세한 내용은 [AWS Control Tower에서 사용 가능한 통합된 AWS Config 제어](https://docs.aws.amazon.com//controltower/latest/controlreference/config-controls.html)를 참조하세요.
## AWS Control Tower는 후크 관리를 개선하고 선제적 제어 리전을 추가합니다.
**2024년 11월 20일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이번 릴리스에서는 AWS Control Tower의 제한 없이 CloudFormation 후크의 전체 용량을 활용할 수 있습니다. 또한 캐나다 서부(캘거리) 리전 및 아시아 태평양(말레이시아) 리전에서도 선제적 제어를 사용할 수 있습니다.
이전에는 AWS Control Tower만 수정할 수 있도록 환경의 모든 CloudFormation 후크를 **CT.CLOUDFORMATION.PR.1** 제어로 보호해야 했습니다. 이번 릴리스에서는 AWS Control Tower 서비스에 이전에 필요했던 제한 없이 CloudFormation 후크를 배포하고 이러한 후크를 수정할 수 있습니다.
현재 선제적 제어를 배포하는 경우 이 향상된 후크 기능으로 옮길 수 있습니다. OU에서 모든 선제적 제어를 재설정하려면 해당 OU에서 활성화된 선제적 제어를 모두 재설정합니다. `ResetEnabledControl` API를 직접적으로 호출하거나 **재설정** 기능을 사용하여 콘솔에서 제어를 업데이트하여 재설정을 수행할 수 있습니다. 모든 선제적 제어에 대해 이 재설정 작업을 완료하면 AWS Control Tower는 OU의 모든 선제적 제어 후크를 새 기능으로 이동합니다. 선제적 제어를 배포하는 각 OU에 대해 이 프로세스를 반복합니다.
선제적 제어를 재설정한 후 다른 목적으로 해당 제어를 활성화하지 않는 한 AWS Control Tower OU에서 **CT.CLOUDFORMATION.PR.1** 제어를 제거합니다. **CT.CLOUDFORMATION.PR.1** 컨트롤을 끄지 않으면 다른 CloudFormation 후크를 생성하고 수정할 수 없습니다.
자세한 내용은 [선제적 제어 후크 업데이트](https://docs.aws.amazon.com//controltower/latest/controlreference/get-new-hooks.html)를 참조하세요.
## AWS Control Tower에서 관리형 리소스 제어 정책 시작
**2024년 11월 15일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 리소스 제어 정책(RCP)으로 구현된 새로운 유형의 예방적 제어를 제공합니다. 이러한 제어를 통해 AWS Control Tower 환경 전체에 데이터 경계를 설정하여 의도하지 않은 액세스로부터 리소스를 보호할 수 있습니다.
예를 들어 Amazon S3, AWS Security Token Service,, Amazon AWS Key Management Service Amazon SQS 및 AWS Secrets Manager 서비스에 대해 RCP 기반 제어를 활성화할 수 있습니다. RCP 기반 제어는 개별 버킷 정책에 부여된 권한과 관계없이 "조직의 Amazon S3 리소스에 조직에 속한 IAM 보안 주체 또는 AWS 서비스에서만 액세스할 수 있어야 함"과 같은 요구 사항을 적용할 수 있습니다.
보안 주체 및 리소스에 대한 AWS IAM 공제를 지정하도록 새로운 RCP 기반 제어 및 특정 기존 SCP 기반 예방 제어를 구성할 수 있습니다. 위탁자 또는 리소스가 제어에 의해 관리되지 않도록 하려면 면제를 구성할 수 있습니다.
AWS Control Tower에서 예방, 예방 및 탐지 제어를 결합하여 [AWS 기본 보안 모범 사례 표준](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp.html)과 같은 모범 사례에 따라 다중 계정 AWS 환경이 안전하고 관리되는지 모니터링할 수 있습니다.
이러한 새로운 RCP 기반 예방 제어는 AWS Control Tower를 사용할 수 AWS 리전 있는에서 사용할 수 있습니다. AWS Control Tower를 사용할 수 AWS 리전 있는 전체 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## AWS Control Tower에서 제어 정책 드리프트 보고
**2024년 11월 15일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 리소스 제어 정책(RCPs)으로 구현된 제어 및 **Security Hub CSPM 서비스 관리형 표준: AWS Control Tower**의 일부인 제어에 대한 제어 정책 드리프트를 보고합니다. 이러한 유형의 드리프트는 새 `ResetEnabledControl` API를 통해 수정할 수 있습니다. 자세한 내용은 [거버넌스 드리프트 유형](https://docs.aws.amazon.com/controltower/latest/userguide/governance-drift.html)을 참조하세요.
## 새로운 `ResetEnabledControl` API
**2024년 11월 14일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 프로그래밍 방식으로 제어 드리프트를 관리하는 데 도움이 되는 새로운 API를 발표했습니다. 제어 드리프트를 복구하고 제어를 의도한 구성으로 재설정할 수 있습니다. `ResetEnabledControl` API는 **적극 권장** 및 **선택** 제어를 포함한 선택적 AWS Control Tower 제어와 함께 작동합니다.
**제어 예외**
+ 서비스 제어 정책(SCP)으로 구현된 제어는 이 API로 재설정할 수 없습니다. 자세한 내용은 [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ResetEnabledControl.html) 섹션을 참조하세요.
+ 필수 제어는 AWS Control Tower 리소스를 보호하므로 재설정할 수 없습니다.
+ 랜딩 존에 대한 **리전 거부** 제어는 콘솔을 통해 재설정해야 합니다.
제어 드리프트는 AWS Control Tower 제어가 AWS Organizations 콘솔에서와 같이 AWS Control Tower 외부에서 수정될 때 발생합니다. 드리프트를 해결하면 거버넌스 요건 준수를 보장할 수 있습니다.
## 제어 카탈로그 업데이트 `GetControl` API
**2024년 11월 8일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 모든 제어의 `Implementation` 유형과 구성할 수 있는 특정 제어의 `Parameters`라는 두 가지 새로운 필드가 포함된 업데이트된 `GetControl` API를 지원합니다.
`GetControl` API는 AWS Control Tower의 `controlcatalog` 네임스페이스의 일부입니다.
자세한 내용은 *Control Catalog API 참조*의 [`GetControl` API](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html)를 참조하세요.
**이 릴리스에는 AWS Control Tower 콘솔에 표시되는 관련 변경 사항이 포함되어 있습니다.**
+ 모든 기존 AWS Security Hub CSPM 컨트롤의 `Implementation` 파라미터 값이 AWS Config 규칙에서 규칙으로 변경되었습니다 AWS Security Hub CSPM. 이 변경 사항을 반영하도록 해당 콘솔의 도움말 패널이 수정되었습니다.
+ 모든 기존 후크 컨트롤의 `Implementation` 파라미터 값이 CloudFormation 가드 규칙에서 CloudFormation 후크로 변경되었습니다. 이 변경 사항을 반영하도록 해당 콘솔의 도움말 패널이 수정되었습니다.
## AWS Control Tower AFT의 GitLab 지원
**2024년 10월 23일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 GitLab TM 및 GitLab 자체 관리형을 타사 버전 관리 시스템(VCS) 및 Account Factory for Terraform(AFT)의 구성 소스에 대한 옵션으로 지원합니다.
## AWS 아시아 태평양(말레이시아) 리전에서 AWS Control Tower 사용 가능
**2024년 10월 21일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower를 AWS 아시아 태평양(말레이시아) 리전에서 사용할 수 있습니다.
AWS Control Tower를 사용할 수 있는 리전의 전체 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## AWS Control Tower에서 OU당 최대 1,000개의 계정 지원
**2024년 8월 30일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 조직 단위(OU)당 허용되는 최대 계정 수를 300개에서 1,000개로 늘렸습니다. 이제 OU 구조를 변경하지 않고도 AWS Control Tower 거버넌스 AWS 계정 에 한 번에 최대 1,000개까지 등록할 수 있습니다. OU 등록 및 재등록 프로세스의 효율성도 개선되어 AWS Control Tower 기준 리소스를 계정에 배포하는 데 걸리는 시간을 크게 줄일 수 있습니다.
사용 가능한 CloudFormation 스택 세트 수의 제한으로 인해 일부 계정 제한 사항은 계속 적용됩니다. 특히 OU에 등록할 수 있는 최대 계정 수는 거버넌스 아래에 있는 리전 수에 따라 달라질 수 있습니다. 자세한 내용은 [https://docs.aws.amazon.com//controltower/latest/userguide/what-is-control-tower.html](https://docs.aws.amazon.com//controltower/latest/userguide/what-is-control-tower.html)의 [기본 AWS 서비스에 기반한 제한 사항을](https://docs.aws.amazon.com//controltower/latest/userguide/region-stackset-limitations.html) 참조하세요. AWS Control Tower를 사용할 수 있는 AWS 리전 의 전체 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## AWS Control Tower에 랜딩 존 버전 선택 기능 추가
**2024년 8월 15일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower 랜딩 존 버전 3.1 이상을 실행하는 경우 현재 버전에서 랜딩 존을 업데이트 또는 복구하거나 원하는 버전으로 업그레이드할 수 있습니다. 이전에는 랜딩 존을 업데이트하거나 복구하려면 최신 랜딩 존 버전으로 업그레이드해야 했습니다.
랜딩 존 버전 선택 기능을 사용하면 환경에 대한 잠재적 변경 사항을 평가하는 동안 버전 업그레이드를 계획할 수 있는 유연성이 향상됩니다. 규정 준수를 위한 드리프트 복구, 랜딩 존 구성 업데이트 또는 최신 랜딩 존 버전으로 업그레이드 중에서 하나를 선택할 필요가 없습니다. 랜딩 존 버전 3.1 이상을 실행하는 경우 랜딩 존 구성을 업데이트하거나 재설정할 때 선택에 따라 현재 버전을 유지하거나 최신 버전으로 업그레이드할 수 있습니다.
## 설명형 제어 API 사용 가능, 리전 및 제어에 대한 확장된 액세스
**2024년 8월 6일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 프로그래밍 방식으로 사용 가능한 제어에 대한 자세한 정보를 찾는 데 도움이 되는 두 가지 새로운 API 작업을 추가했습니다. 이 기능을 사용하면 자동화를 통해 제어를 더 쉽게 배포할 수 있습니다.
+ [https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/API_GetControl.html) API는 대상 식별자, 제어 정보 요약, 대상 리전 목록 및 드리프트 상태를 포함하여 활성화된 제어에 대한 세부 정보를 반환합니다.
+ [https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html](https://docs.aws.amazon.com/controlcatalog/latest/APIReference/API_ListControls.html) API는 AWS Control Tower 제어 라이브러리에서 사용 가능한 모든 제어의 페이지가 매겨진 목록을 반환합니다.
이러한 API는 [AWS Control Catalog 네임스페이스](https://docs.aws.amazon.com//controlcatalog/latest/userguide/what-is-controlcatalog.html)를 통해 연결됩니다. AWS Control Catalog는 AWS Control Tower의 일부이며, 여기에는 AWS Control Tower뿐만 아니라 다른 AWS 서비스를 관리하는 데 도움이 되는 제어가 포함되어 있습니다. 이 확장된 카탈로그는 여러 AWS 서비스의 제어를 통합하여 보안, 비용, 내구성 및 운영과 같은 몇 가지 일반적인 사용 사례에 따라 AWS 제어를 볼 수 있습니다. 자세한 내용은 [Control Catalog API 참조](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/Welcome.html)를 확인하세요.
**확장된 리전 가용성**
이번 릴리스부터 이미 활성화된 일부 제어를 사용할 수 없는 AWS 리전 으로 AWS Control Tower 거버넌스를 확장할 수 있습니다. 또한 제어가 모든 관리형 리전에서 지원되지 않더라도 더 많은 리전에서 특정 제어를 활성화할 수 있습니다.
이전에는 활성화된 모든 제어 및 관리형 리전에서 일관성이 제공되지 않으면 AWS Control Tower에서 거버넌스를 리전으로 확장하거나 제어를 활성화하지 못했습니다. 이 릴리스에서는 더 많은 유연성과 함께 활성화된 모든 제어 및 모든 관리형 리전에 대해 구성이 올바른지 확인할 책임이 더 커졌습니다. [AWS Control Tower 제어 APIs](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html) 및 [제어 카탈로그 APIs](https://docs.aws.amazon.com//controlcatalog/latest/APIReference/Welcome.html)를 사용하면 활성화된 제어로 보호되는 AWS 리전과 추가 제어가 배포될 수 있는 리전에 대한 정보를 얻을 수 있습니다. 리전 및 제어 정보는 AWS Control Tower 콘솔에서도 사용할 수 있습니다.
## AWS Control Tower에서 옵트인 리전에 AFT 및 CfCT 지원
**2024년 7월 18일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
현재 AWS Control Tower 사용자 지정 프레임워크 Account Factory for Terraform(AFT) 및 Customizations for AWS Control Tower(CfCT)는 아시아 태평양(하이데라바드, 자카르타, 오사카), 이스라엘(텔아비브), 중동(UAE) AWS 리전의 다섯 가지 추가에서 사용할 수 있습니다.
Account Factory for Terraform(AFT)은 AWS Control Tower에서 계정을 프로비저닝하고 사용자 지정하는 데 도움이 되는 Terraform 파이프라인을 설정합니다. Customizations for AWS Control Tower(CfCT)를 사용하면 CloudFormation 템플릿 및 서비스 제어 정책(SCPs.
자세한 내용은 AWS Control Tower 사용 설명서의 Account Factory for Terraform 및 Customizations for AWS Control Tower 페이지를 참조하세요. AFT Github 페이지와 CfCT Github 페이지의 릴리스 정보를 검토할 수도 있습니다. AFT 및 CfCT는 일부 예외를 제외하고 모든 AWS 리전에서 지원됩니다. 자세한 내용은 [리전 제한 사항](https://docs.aws.amazon.com//controltower/latest/userguide/limits.html)을 참조하세요.
## AWS Control Tower에서 `ListLandingZoneOperations` API 추가
**2024년 6월 26일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 최근에 랜딩 존에 적용된 작업 목록과 현재 진행 중인 작업을 검색할 수 있는 API를 추가했습니다. 이 API는 최대 90일 동안 랜딩 존 작업 기록과 해당 식별자를 반환할 수 있습니다. 사용 예제는 [랜딩 존 작업 상태 보기](https://docs.aws.amazon.com//controltower/latest/userguide/lz-api-examples-short.html)를 참조하세요.
`ListLandingZoneOperations` API에 대한 자세한 내용은 *AWS Control Tower API 참조*에서 [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListLandingZoneOperations.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListLandingZoneOperations.html)를 참조하세요.
## AWS Control Tower에서 최대 100개의 동시 제어 작업 지원
**2024년 5월 20일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 동시성이 더 높은 여러 제어 작업을 지원합니다. 콘솔에서 또는 API를 통해 여러 조직 단위(OU)에 걸쳐 최대 100개의 AWS Control Tower 제어 작업을 동시에 제출할 수 있습니다. 최대 10개의 작업을 동시에 실행할 수 있으며 추가 작업은 대기열에 대기합니다. 이러한 방식으로 반복적인 제어 작업의 운영 부담 AWS 계정없이 여러에서 보다 표준화된 구성을 설정할 수 있습니다.
진행 중인 제어 작업과 대기열에 있는 제어 작업의 상태를 모니터링하려는 경우 AWS Control Tower 콘솔에서 새 **최근 작업** 페이지로 이동하거나 새 [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListControlOperations.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListControlOperations.html) API를 호출할 수 있습니다.
AWS Control Tower 라이브러리에는 다양한 제어 목표, 프레임워크 및 서비스에 매핑되는 500개 이상의 제어가 포함되어 있습니다. **저장 데이터 암호화**와 같은 특정 제어 목표의 경우 단일 제어 작업으로 여러 제어를 활성화하여 목표를 달성하는 데 도움이 될 수 있습니다. 이 기능은 개발을 가속화하고 모범 사례 제어를 더 빠르게 채택할 수 있도록 지원하며 운영의 복잡성을 완화합니다.
## AWS 캐나다 서부(캘거리)에서 AWS Control Tower 사용 가능
**2024년 5월 3일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이제 캐나다 서부(캘거리) 리전에서 AWS Control Tower를 활성화할 수 있습니다. AWS Control Tower를 이미 배포했고 거버넌스 기능을 이 리전으로 확장하려는 경우 AWS Control Tower [랜딩 존 API](https://docs.aws.amazon.com//controltower/latest/APIReference/Welcome.html)를 사용하여 확장할 수 있습니다. 또는 콘솔에서 AWS Control Tower 대시보드의 **설정** 페이지로 이동하여 리전을 선택한 다음 랜딩 존을 업데이트합니다.
캐나다 서부(캘거리) 리전은 AWS Service Catalog를 지원하지 않습니다. 따라서 AWS Control Tower의 일부 기능이 다릅니다. 가장 주목할 만한 기능 변경 사항은 Account Factory를 사용할 수 없다는 것입니다. 캐나다 서부(캘거리)를 홈 리전으로 선택하는 경우 계정 업데이트, 계정 자동화 설정 및 Service Catalog와 관련된 기타 프로세스를 위한 절차는 다른 리전과 다릅니다.
**계정 프로비저닝**
캐나다 서부(캘거리) 리전에서 새 계정을 생성하고 프로비저닝하려면 AWS Control Tower 외부에서 계정을 생성한 다음 등록된 OU에 등록하는 것이 좋습니다. 자세한 내용은 [기존 계정 등록](https://docs.aws.amazon.com//controltower/latest/userguide/quick-account-provisioning.html) 및 [계정 등록 단계](https://docs.aws.amazon.com//controltower/latest/userguide/quick-account-provisioning.html#enrollment-steps)를 참조하세요.
캐나다 서부(캘거리) 리전에서는 Service Catalog API를 사용할 수 없습니다. [Service Catalog API로 AWS Control Tower에서 계정 프로비저닝 자동화](https://docs.aws.amazon.com//controltower/latest/userguide/automated-provisioning-walkthrough.html)에 표시된 예제 스크립트는 사용할 수 없습니다.
AWS Control Tower에 대한 기타 필수적인 기반 요소가 없기 때문에 캐나다 서부(캘거리)에서는 Account Factory 사용자 지정(AFC), Account Factory for Terraform(AFT) 및 Customizations for AWS Control Tower(CfCT)를 사용할 수 없습니다. 거버넌스를 캐나다 서부(캘거리) 리전으로 확장하는 경우 AWS Control Tower가 지원하는 모든 리전에서 AFC 블루프린트를 계속 관리할 수 있습니다. 단, 홈 리전에서 Service Catalog를 사용할 수 있어야 합니다.
**제어**
**AWS Security Hub CSPM 서비스 관리형 표준: AWS Control Tower**에 대한 선제적 제어 및 제어는 캐나다 서부(캘거리) 리전에서는 사용할 수 없습니다. 예방적 제어 `CT.CLOUDFORMATION.PR.1`은 후크 기반 선제적 제어를 활성화하는 데만 필요하므로 캐나다 서부(캘거리)에서는 사용할 수 없습니다. 를 기반으로 하는 특정 탐지 제어 AWS Config 는 사용할 수 없습니다. 자세한 내용은 [제어 제한 사항](control-limitations.md)을 참조하세요.
**ID 공급자**
캐나다 서부(캘거리)에서는 IAM Identity Center를 사용할 수 없습니다. IAM Identity Center를 사용할 수 있는 리전에 랜딩 존을 설정하는 것이 좋습니다. 또는 캐나다 서부(캘거리)에서 외부 ID 공급자를 사용하는 경우 계정 액세스 구성을 자체 관리할 수 있습니다.
캐나다 서부(캘거리) 리전에서 Service Catalog를 사용할 수 없어도 AWS Control Tower에서 지원하는 다른 리전에는 영향을 미치지 않습니다. 이러한 차이점은 홈 리전이 캐나다 서부(캘거리)인 경우에만 적용됩니다.
AWS Control Tower를 사용할 수 있는 리전의 전체 목록은 [AWS 리전 테이블]( https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## AWS Control Tower에서 셀프 서비스 할당량 조정 지원
**2024년 4월 25일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 Service Quotas 콘솔을 통해 셀프 서비스 할당량 조정을 지원합니다. 자세한 내용은 [할당량 증가 요청](request-an-increase.md) 섹션을 참조하세요.
## AWS Control Tower에서 *제어 참조 가이드* 릴리스
**2024년 4월 21일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower에서 AWS Control Tower 환경과 관련된 제어에 대한 자세한 정보를 확인할 수 있는 새로운 문서인 *제어 참조 가이드*가 릴리스되었습니다. 이전에는 이 자료가 *AWS Control Tower 사용 설명서*에 포함되어 있었습니다. *제어 참조 가이드*에서는 확장된 형식의 제어를 다룹니다. 자세한 내용은 [AWS Control Tower 제어 참조 가이드](https://docs.aws.amazon.com//controltower/latest/controlreference/introduction.html)를 참조하세요.
## AWS Control Tower는 두 가지 선제적 제어를 업데이트하고 이름을 바꿉니다.
**2024년 3월 26일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 Amazon OpenSearch Service에 대한 업데이트와 일치하도록 두 가지 선제적 제어의 이름을 변경했습니다.
+ [**[CT.OPENSEARCH.PR.8]** Elasticsearch Service 도메인이 TLSv1.2를 사용해야 함](https://docs.aws.amazon.com//controltower/latest/controlreference/opensearch-rules.html#ct-opensearch-pr-8-description)
+ [**[CT.OPENSEARCH.PR.16 ]** Amazon OpenSearch Service 도메인이 TLSv1.2를 사용해야 함](https://docs.aws.amazon.com//controltower/latest/controlreference/opensearch-rules.html#ct-opensearch-pr-16-description)
도메인 엔드포인트 보안을 위한 전송 보안 옵션 중 [Transport Layer Security(TLS) 버전 1.3](https://aws.amazon.com/about-aws/whats-new/2024/01/amazon-opensearch-service-tls-1-3-perfect-forward-secrecy)을 지원하는 Amazon OpenSearch Service의 최신 릴리스에 맞춰 이 두 제어의 제어 이름과 아티팩트를 업데이트했습니다.
이러한 제어에 대한 TLSv1.3 지원을 추가하기 위해 제어의 의도를 반영하여 제어의 아티팩트와 이름을 업데이트했습니다. 이제 서비스 도메인의 최소 TLS 버전을 평가합니다. 환경에서 이 업데이트를 수행하려면 최신 아티팩트를 배포하기 위한 제어 기능을 **비활성화** 및 **활성화**해야 합니다.
이 변경으로 인해 영향을 받는 다른 선제적 제어는 없습니다. 이러한 제어가 제어 목표를 충족하는지 검토하는 것이 좋습니다.
질문이나 우려 사항이 있는 경우 [AWS Support](https://aws.amazon.com/support)에 문의하세요.
## 사용 중단된 제어를 더 이상 사용할 수 없음
**2024년 3월 12일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 일부 제어에 대한 사용을 중단했습니다. 이러한 제어는 더 이상 사용할 수 없습니다.
+ CT.ATHENA.PR.1
+ CT.CODEBUILD.PR.4
+ CT.AUTOSCALING.PR.3
+ SH.Athena.1
+ SH.Codebuild.5
+ SH.AutoScaling.4
+ SH.SNS.1
+ SH.SNS.2
## AWS Control Tower는에서 `EnabledControl` 리소스 태그 지정을 지원합니다. CloudFormation
**2024년 2월 22일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이번 AWS Control Tower 릴리스에서는 `EnabledControl` 리소스의 동작을 업데이트하여 구성 가능한 제어와의 정합성을 개선하고 자동화를 통해 AWS Control Tower 환경에 대한 관리 기능을 개선했습니다. 이번 릴리스에서는 CloudFormation 템플릿을 사용하여 구성 가능한 `EnabledControl` 리소스에 태그를 추가할 수 있습니다. 이전에는 AWS Control Tower 콘솔 및 API를 통해서만 태그를 추가할 수 있었습니다.
AWS Control Tower `GetEnabledControl`, `EnableControl` 및 `ListTagsforResource` API 작업은 `EnabledControl` 리소스 기능에 의존하기 때문에 이 릴리스로 업데이트됩니다.
자세한 내용은 *CloudFormation 사용 설명서*의 [Tagging `EnabledControl` resources in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/controlreference/tagging.html) 및 [https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/aws-resource-controltower-enabledcontrol.html](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/aws-resource-controltower-enabledcontrol.html) 섹션을 참조하세요.
## AWS Control Tower는 OU 등록 및 기준 설정 구성을 위한 API를 지원함
**2024년 2월 14일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이러한 API는 `EnableBaseline` 호출을 통한 프로그래밍 방식의 OU 등록을 지원합니다. OU에서 기준을 활성화하면 OU 내의 멤버 계정이 AWS Control Tower 거버넌스에 등록됩니다. 특정 주의 사항이 적용될 수 있습니다. 예를 들어 AWS Control Tower 콘솔을 통한 OU 등록은 선택적 제어와 필수 제어를 활성화합니다. API를 직접 호출할 때 선택적 제어가 활성화되도록 추가 단계를 완료해야 할 수 있습니다.
AWS Control Tower *기준*은 OU 및 멤버 계정의 AWS Control Tower 거버넌스에 대한 모범 사례를 구현합니다. 예를 들어 OU에서 기준을 활성화하면 OU 내의 멤버 계정은 ,, AWS CloudTrail AWS Config IAM Identity Center 및 필수 AWS IAM 역할을 포함한 정의된 리소스 그룹을 받습니다.
특정 기준은 특정 AWS Control Tower 랜딩 존 버전과 호환됩니다. AWS Control Tower는 랜딩 존 설정을 변경할 때 랜딩 존에 최신 호환 기준을 적용할 수 있습니다. 자세한 내용은 [OU 기준 및 랜딩 존 버전의 호환성](table-of-baselines.md) 섹션을 참조하세요.
**이번 릴리스에는 다음과 같은 4가지 필수 [기준 유형](types-of-baselines.md)이 포함되어 있습니다.**
+ `AWSControlTowerBaseline`
+ `AuditBaseline`
+ `LogArchiveBaseline`
+ `IdentityCenterBaseline`
새로운 API와 정의된 기준을 사용하면 OU를 등록하고 OU 프로비저닝 워크플로를 자동화할 수 있습니다. 또한 API는 AWS Control Tower 거버넌스에 이미 있는 OU를 관리할 수 있으므로 랜딩 존 업데이트 후 OU를 재등록할 수 있습니다. APIs에는 리소스에 대한 CloudFormation `EnabledBaseline` 지원이 포함되어 있으므로 코드형 인프라(IaC)로 OUs를 관리할 수 있습니다.
**기본 API**
+ **EnableBaseline**, **UpdateEnabledBaseline**, **DisableBaseline**: OU의 기준에 대한 조치를 취합니다.
+ **GetEnabledBaseline**, **ListEnabledBaselines**: 활성화된 기준에 대한 구성을 검색합니다.
+ **GetBaselineOperation**: 특정 기준 작업의 상태를 확인합니다.
+ **ResetEnabledBaseline**: 활성화된 기준(중첩된 OU 및 필수 제어 드리프트 포함)이 있는 OU에서 리소스 드리프트를 해결합니다. 또한 랜딩 존 수준 리전 거부 제어에 대한 드리프트를 해결합니다.
+ **GetBaseline**, **ListBaselines**: AWS Control Tower 기준의 콘텐츠를 검색합니다.
이러한 API에 대해 자세히 알아보려면 AWS Control Tower 사용 설명서의 [기준](https://docs.aws.amazon.com//controltower/latest/userguide/table-of-baselines.html) 및 [API 참조](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html)를 검토하세요. GovCloud(미국) 리전을 제외하고 AWS Control Tower를 사용할 수 AWS 리전 있는에서 새 APIs를 사용할 수 있습니다. AWS Control Tower를 사용할 수 AWS 리전 있는 목록은 AWS 리전 테이블을 참조하세요.
# 2023년 1월\$112월
2023년에 AWS Control Tower는 다음 업데이트를 릴리스했습니다.
+ [새 AWS Service Catalog 외부 제품 유형으로 전환(3단계)](#phase-3-tos-external)
+ [AWS Control Tower 랜딩 존 버전 3.3](#lz-3-3)
+ [새 AWS Service Catalog 외부 제품 유형으로 전환(2단계)](#phase-2-tos-external)
+ [AWS Control Tower에서 디지털 주권을 지원하기 위한 제어 발표](#digital-sovereignty)
+ [AWS Control Tower의 랜딩 존 API](#landing-zone-apis)
+ [AWS Control Tower의 제어 태그 지정 API](#control-tagging-apis)
+ [AWS 아시아 태평양(멜버른)에서 AWS Control Tower 사용 가능](#mel-region)
+ [새 AWS Service Catalog 외부 제품 유형으로 전환(1단계)](#transition-sc-tos-external)
+ [AWS Control Tower에 새 제어 API 추가](#new-control-api)
+ [AWS Control Tower에 새 제어 추가](#q3-new-controls)
+ [AWS Control Tower에서 신뢰할 수 있는 액세스 드리프트 감지](#trust-access-drift)
+ [4개의 추가에서 AWS Control Tower 사용 가능 AWS 리전](#four-regions)
+ [이 AWS 스라엘(텔아비브)에서 AWS Control Tower 사용 가능](#new-tlv-region)
+ [AWS Control Tower에 28개의 새로운 선제적 제어 추가](#28-proactive-controls)
+ [AWS Control Tower에서 두 가지 제어 사용 중단](#deprecate-2controls)
+ [AWS Control Tower 랜딩 존 버전 3.2](#lz-3-2)
+ [AWS Control Tower에 IAM Identity Center에 대한 email-to-ID 매핑 추가](#email-to-id)
+ [AWS Control Tower에 더 많은 AWS Security Hub CSPM 제어 추가](#more-sh-controls)
+ [AWS Control Tower는 AWS Security Hub CSPM 제어를 위한 메타데이터를 게시합니다.](#publish-metadata)
+ [AWS Control Tower에 Terraform용 Account Factory 사용자 지정(AFC) 추가](#afc-terraform)
+ [AWS Control Tower에 자체 관리형 IAM Identity Center 추가](#iam-self-manage)
+ [AWS Control Tower에 혼합 거버넌스 정보 추가](#mixed-governance-note)
+ [AWS Control Tower에 새로운 선제적 제어 추가](#new-proactive-controls)
+ [AWS Control Tower에서 Amazon EC2 제어 업데이트](#updated-ec2-controls)
+ [7개의 추가에서 AWS Control Tower 사용 가능 AWS 리전](#seven-regions)
+ [AWS Control Tower Account Factory 사용자 지정(AFC) 및 요청 추적 정식 출시](#account-customization-request-tracing-ga)
+ [AWS Control Tower 랜딩 존 버전 3.1](#lz-3-1)
+ [AWS Control Tower 선제적 제어 정식 출시](#proactive-control-ga)
## 새 AWS Service Catalog 외부 제품 유형으로 전환(3단계)
**2023년 12월 14일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 새로 생성할 때 더 이상 *Terraform Open Source*를 제품 유형(블루프린트)으로 지원하지 않습니다 AWS 계정. 계정 블루프린트 업데이트에 대한 자세한 내용과 지침은 [AWS Service Catalog 외부 제품 유형으로 전환을](https://docs.aws.amazon.com//controltower/latest/userguide/service-catalog.html) 참조하세요.
*외부* 제품 유형을 사용하도록 계정 블루프린트를 업데이트하지 않는 경우 Terraform 오픈 소스 블루프린트를 사용하여 프로비저닝한 계정만 업데이트하거나 종료할 수 있습니다.
## AWS Control Tower 랜딩 존 버전 3.3
**2023년 12월 14일**
(AWS Control Tower 랜딩 존을 버전 3.3으로 업데이트해야 합니다. 자세한 내용은 [랜딩 존 업데이트](update-controltower.md) 섹션을 참조하세요.)
**AWS Control Tower 감사 계정의 S3 버킷 정책 업데이트**
모든 쓰기 권한에 대해 `aws:SourceOrgID` 조건을 충족하도록 AWS Control Tower가 계정에 배포하는 Amazon S3 감사 버킷 정책을 수정했습니다. 이번 릴리스에서는 요청이 조직 또는 조직 단위(OU)에서 시작된 경우에만 AWS 서비스가 리소스에 액세스할 수 있습니다.
`aws:SourceOrgID` 조건 키를 사용하고 S3 버킷 정책의 조건 요소에서 값을 **조직 ID**로 설정할 수 있습니다. 이 조건은 CloudTrail만 조직 내 계정을 대신하여 S3 버킷에 로그를 쓸 수 있도록 보장하며, 조직 외부의 CloudTrail 로그가 AWS Control Tower S3 버킷에 기록되지 않도록 방지합니다.
기존 워크로드의 기능에 영향을 주지 않고 잠재적인 보안 취약성을 해결하기 위해 이 변경을 수행했습니다. 업데이트된 정책을 보려면 [감사 계정의 Amazon S3 버킷 정책](logging-s3-audit-bucket.md) 섹션을 참조하세요.
새 조건 키에 대한 자세한 내용은 IAM 설명서와 "*리소스에 액세스하는 AWS 서비스에 확장 가능한 제어 사용"이라는 IAM 블로그 게시물을 참조하세요*.
** AWS Config SNS 주제의 정책 업데이트**
AWS Config SNS topic.To 정책에 새 `aws:SourceOrgID` 조건 키를 추가했습니다. 업데이트된 정책을 확인합니다. [AWS Config SNS 주제 정책을](https://docs.aws.amazon.com//controltower/latest/userguide/receive-notifications.html#config-sns-policy) 참조하세요.
**랜딩 존 리전 거부 제어 업데이트**
+ `discovery-marketplace:`가 제거되었습니다. 이 작업은 `aws-marketplace:*` 면제의 적용을 받습니다.
+ `quicksight:DescribeAccountSubscription`이 추가되었습니다.
**업데이트된 CloudFormation 템플릿**
AWS KMS 암호화를 사용하지 않을 때가 드리프트를 표시하지 `BASELINE-CLOUDTRAIL-MASTER` 않도록 라는 스택의 CloudFormation 템플릿을 업데이트했습니다.
## 새 AWS Service Catalog 외부 제품 유형으로 전환(2단계)
**2023년 12월 7일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
HashiCorp에서 Terraform 라이선싱을 업데이트했습니다. 따라서 *Terraform Open Source* 제품 및 프로비저닝된 제품에 대한 지원이 *외부*라는 새 제품 유형으로 AWS Service Catalog 변경되었습니다.
계정의 기존 워크로드 및 AWS 리소스에 대한 중단을 방지하려면 2023년 12월 14일까지 [AWS Service Catalog 외부 제품 유형으로](af-customization-page.md#service-catalog-external-product-type) 전환의 AWS Control Tower 전환 단계를 따르세요.
## AWS Control Tower에서 디지털 주권을 지원하기 위한 제어 발표
**2023년 11월 27일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 디지털 주권 요구 사항을 충족하는 데 도움이 되는 65개의 새로운 AWS관리형 제어를 발표했습니다. 이번 릴리스에서는 AWS Control Tower 콘솔의 새 *디지털 주권 그룹*에서 이러한 제어를 찾을 수 있습니다. 이러한 제어를 사용하여 *데이터 레지던시*, *세분화된 액세스 제한*, *암호화* 및 *복원력* 기능과 관련된 작업을 방지하고 리소스 변경을 감지할 수 있습니다. 이러한 제어는 대규모 요구 사항을 보다 간편하게 처리할 수 있도록 설계되었습니다. 디지털 주권 제어에 대한 자세한 내용은 [디지털 주권 보호를 강화하는 제어](https://docs.aws.amazon.com//controltower/latest/controlreference/digital-sovereignty-controls.html)를 참조하세요.
예를 들어 ** AWS AppSync API 캐시에 전송 중 암호화를 활성화해야 함 또는 네트워크 방화벽을 여러 가용 영역에 배포해야 함과 같은 암호화** **및 복원력 전략을 적용하는 데 도움이 되는 제어를 활성화하도록 선택할 수 있습니다 AWS **. 또한 AWS Control Tower 리전 거부 제어를 사용자 지정하여 고유한 비즈니스 요구 사항에 가장 적합한 리전 제한을 적용할 수도 있습니다.
이 릴리스는 향상된 AWS Control Tower 리전 거부 기능을 제공합니다. OU 수준에서 파라미터화된 새로운 리전 거부 제어를 적용하여 거버넌스의 세밀성을 높이는 동시에 랜딩 존 수준에서 추가 리전 거버넌스를 유지할 수 있습니다. 이 사용자 지정 가능한 리전 거부 제어를 사용하면 고유한 비즈니스 요구 사항에 가장 적합한 리전 제한을 적용할 수 있습니다. 구성 가능한 새로운 리전 거부 제어에 대한 자세한 내용은 [OU에 적용된 리전 거부 제어](https://docs.aws.amazon.com//controltower/latest/controlreference/ou-region-deny.html)를 참조하세요.
이번 릴리스에는 새로운 리전 거부 개선을 위한 새 도구로, 활성화된 제어를 기본 설정으로 재설정할 수 있는 새 API인 `UpdateEnabledControl`이 포함되어 있습니다. 이 API는 드리프트를 빠르게 해결해야 하거나 제어가 드리프트 상태가 아님을 프로그래밍 방식으로 보장해야 하는 사용 사례에 특히 유용합니다. 새 API에 대한 자세한 내용은 [AWS Control Tower API 참조](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html)를 참조하세요.
**새로운 선제적 제어**
+ CT.APIGATEWAY.PR.6: Amazon API Gateway REST 도메인이 TLSv1.2의 최소 TLS 프로토콜 버전을 지정하는 보안 정책을 사용해야 함
+ CT.APPSYNC.PR.2: 프라이빗 가시성으로 an AWS AppSync GraphQL API를 구성해야 함
+ CT.APPSYNC.PR.3: API 키로 an AWS AppSync GraphQL API가 인증되지 않아야 함
+ CT.APPSYNC.PR.4: 전송 중 암호화를 활성화하려면 AWS AppSync GraphQL API 캐시가 필요합니다.
+ CT.APPSYNC.PR.5: 저장 시 암호화를 활성화하려면 AWS AppSync GraphQL API 캐시가 필요합니다.
+ CT.AUTOSCALING.PR.9: Amazon EC2 Auto Scaling 시작 구성을 통해 구성된 Amazon EBS 볼륨이 저장 데이터를 암호화해야 함
+ CT.AUTOSCALING.PR.10: Amazon EC2 Auto Scaling 그룹이 시작 템플릿을 재정의할 때 AWS Nitro 인스턴스 유형만 사용해야 함
+ CT.AUTOSCALING.PR.11: 시작 템플릿을 재정의할 때 인스턴스 간 네트워크 트래픽 암호화를 지원하는 AWS Nitro 인스턴스 유형만 Amazon EC2 Auto Scaling 그룹에 추가하도록 요구
+ CT.DAX.PR.3: DynamoDB Accelerator 클러스터가 전송 중 데이터를 Transport Layer Security(TLS)로 암호화해야 함
+ CT.DMS.PR.2: AWS 데이터베이스 마이그레이션 서비스(DMS) 엔드포인트가 소스 및 대상 엔드포인트에 대한 연결을 암호화해야 함
+ CT.EC2.PR.15: Amazon EC2 인스턴스가 `AWS::EC2::LaunchTemplate` 리소스 유형을 사용하여 생성할 때 AWS Nitro 인스턴스 유형을 사용해야 함
+ CT.EC2.PR.16: Amazon EC2 인스턴스가 `AWS::EC2::Instance` 리소스 유형을 사용하여 생성될 때 AWS Nitro 인스턴스 유형을 사용해야 함
+ CT.EC2.PR.17: Amazon EC2 전용 호스트가 AWS Nitro 인스턴스 유형을 사용해야 함
+ CT.EC2.PR.18: Amazon EC2 플릿이 AWS Nitro 인스턴스 유형으로 해당 시작 템플릿만 재정의하도록 요구
+ CT.EC2.PR.19: Amazon EC2 인스턴스가 `AWS::EC2::Instance` 리소스 유형을 사용하여 생성될 때 인스턴스 간 전송 중 암호화를 지원하는 Nitro 인스턴스 유형을 사용해야 함
+ CT.EC2.PR.20: Amazon EC2 플릿이 인스턴스 간 전송 중 암호화를 지원하는 AWS Nitro 인스턴스 유형으로 시작 템플릿만 재정의하도록 요구
+ CT.ELASTICACHE.PR.8: 최신 Redis 버전의 Amazon ElastiCache 복제 그룹이 RBAC 인증을 활성화해야 함
+ CT.MQ.PR.1: Amazon MQ ActiveMQ 브로커가 고가용성을 위해 활성/대기 배포 모드를 사용해야 함
+ CT.MQ.PR.2: Amazon MQ Rabbit MQ 브로커가 고가용성을 위해 다중 AZ 클러스터 모드를 사용해야 함
+ CT.MSK.PR.1: Amazon Managed Streaming for Apache Kafka(MSK) 클러스터가 클러스터 브로커 노드 간 전송 중 암호화를 강제해야 함
+ CT.MSK.PR.2: Amazon Managed Streaming for Apache Kafka(MSK) 클러스터가 PublicAccess를 비활성화하도록 구성되어야 함
+ CT.NETWORK-FIREWALL.PR.5: AWS Network Firewall 방화벽을 여러 가용 영역에 배포해야 함
+ CT.RDS.PR.26: Amazon RDS DB 프록시가 Transport Layer Security(TLS) 연결을 요구해야 함
+ CT.RDS.PR.27: Amazon RDS DB 클러스터 파라미터 그룹이 지원되는 엔진 유형에 대해 Transport Layer Security(TLS) 연결을 요구해야 함
+ CT.RDS.PR.28: Amazon RDS DB 파라미터 그룹이 지원되는 엔진 유형에 대해 Transport Layer Security(TLS) 연결을 요구해야 함
+ CT.RDS.PR.29: Amazon RDS 클러스터가 'PubliclyAccessible' 속성을 통해 퍼블릭 액세스가 가능하도록 구성되지 않아야 함
+ CT.RDS.PR.30: Amazon RDS 데이터베이스 인스턴스가 지원되는 엔진 유형에 대해 지정된 KMS 키를 사용하여 저장 중 암호화를 구성해야 함
+ CT.S3.PR.12: Amazon S3 Access Points가 모든 옵션이 true로 설정된 Block Public Access(BPA) 구성을 가져야 함
**새로운 예방 제어**
+ CT.APPSYNC.PV.1 프라이빗 가시성으로 an AWS AppSync GraphQL API를 구성해야 함
+ CT.EC2.PV.1 Amazon EBS 스냅샷이 암호화된 EC2 볼륨에서 생성되어야 함
+ CT.EC2.PV.2 연결된 Amazon EBS 볼륨이 저장 데이터를 암호화하도록 구성되어야 함
+ CT.EC2.PV.3 Amazon EBS 스냅샷이 공개적으로 복원 가능하지 않아야 함
+ CT.EC2.PV.4 Amazon EBS 다이렉트 API가 호출되지 않아야 함
+ CT.EC2.PV.5 Amazon EC2 VM 가져오기 및 내보내기 사용 허용 안 함
+ CT.EC2.PV.6 사용 중단된 Amazon EC2 RequestSpotFleet 및 RequestSpotInstances API 작업 사용 허용 안 함
+ CT.KMS.PV.1 AWS KMS 키 정책에 AWS 서비스에 대한 AWS KMS 권한 부여 생성을 제한하는 문이 있어야 합니다.
+ CT.KMS.PV.2 암호화에 사용되는 RSA 키 구성 요소가 있는 AWS KMS 비대칭 키의 키 길이가 2048비트가 아니어야 함
+ CT.KMS.PV.3 우회 정책 잠금 안전 검사가 활성화된 상태로 AWS KMS 키를 구성해야 합니다.
+ CT.KMS.PV.4 AWS KMS 고객 관리형 키(CMK)가 AWS CloudHSM에서 시작된 키 구성 요소로 구성되어야 합니다.
+ CT.KMS.PV.5 AWS KMS 고객 관리형 키(CMK)가 가져온 키 구성 요소로 구성되어야 합니다.
+ CT.KMS.PV.6 AWS KMS 고객 관리형 키(CMK)가 외부 키 스토어(XKS)에서 시작된 키 구성 요소로 구성되어야 합니다.
+ CT.LAMBDA.PV.1 AWS IAM 기반 인증을 사용하려면 AWS Lambda 함수 URL 필요
+ CT.LAMBDA.PV.2 내 보안 주체만 액세스할 수 있도록 AWS Lambda 함수 URL을 구성해야 합니다. AWS 계정
## AWS Control Tower의 랜딩 존 API
**2023년 11월 26일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 랜딩 존을 프로그래밍 방식으로 관리하는 데 도움이 되는 API를 제공합니다. 이러한 API를 사용하면 랜딩 존을 생성, 업데이트 및 재설정하고 랜딩 존 구성 및 작업에 대한 정보를 검색할 수 있습니다. 자세한 내용은 [랜딩 존 API 예제](https://docs.aws.amazon.com//controltower/latest/userguide/lz-api-examples-short.html)를 참조하세요.
랜딩 존 APIs는 GovCloud(미국) 리전을 제외하고 AWS Control Tower를 사용할 수 AWS 리전 있는 모든에서 사용할 수 있습니다. AWS Control Tower를 사용할 수 AWS 리전 있는 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## AWS Control Tower의 제어 태그 지정 API
**2023년 11월 10일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 활성화된 제어에 프로그래밍 방식으로 태그를 지정하는 데 도움이 되는 API를 제공합니다. 이러한 API를 사용하면 활성화된 제어에 대한 태그를 추가, 제거 및 나열할 수 있습니다. 자세한 내용은 [AWS Control Tower 리소스 태그 지정](https://docs.aws.amazon.com//controltower/latest/userguide/tagging-resources.html)을 참조하세요.
제어 태그 지정 APIs는 GovCloud(미국) 리전을 제외하고 AWS Control Tower를 사용할 수 AWS 리전 있는 모든에서 사용할 수 있습니다. AWS Control Tower를 사용할 수 AWS 리전 있는 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## AWS 아시아 태평양(멜버른)에서 AWS Control Tower 사용 가능
**2023년 11월 3일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
아시아 태평양(멜버른)에서 AWS Control Tower를 사용할 수 있습니다. AWS Control Tower를 사용할 수 있는 리전의 전체 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## 새 AWS Service Catalog 외부 제품 유형으로 전환(1단계)
**2023년 10월 31일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
HashiCorp에서 Terraform 라이선싱을 업데이트했습니다. 따라서 *Terraform Open Source* 제품 및 프로비저닝된 제품에 대한 지원이 *외부*라는 새 제품 유형으로 AWS Service Catalog 변경되었습니다.
계정의 기존 워크로드 및 AWS 리소스에 대한 중단을 방지하려면 2023년 12월 14일까지 [AWS Service Catalog 외부 제품 유형으로](af-customization-page.md#service-catalog-external-product-type) 전환의 AWS Control Tower 전환 단계를 따르세요.
## AWS Control Tower에 새 제어 API 추가
**2023년 10월 27일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 활성화된 제어를 업데이트할 수 있는 새로운 API인 `UpdateEnabledControl`을 제공합니다. 이 API는 드리프트를 빠르게 해결해야 하거나 제어가 드리프트 상태가 아님을 프로그래밍 방식으로 보장해야 하는 경우에 특히 유용합니다. 새 API에 대한 자세한 내용은 [AWS Control Tower API 참조](https://docs.aws.amazon.com//controltower/latest/APIReference/API_Operations.html)를 참조하세요.
`UpdateEnabledControl` API는 GovCloud(미국) 리전을 제외하고 AWS Control Tower를 사용할 수 AWS 리전 있는 모든에서 사용할 수 있습니다. AWS Control Tower를 사용할 수 있는 AWS 리전 의 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## AWS Control Tower에 새 제어 추가
**2023년 10월 20일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower 제어 라이브러리에 22개의 새로운 제어가 추가되었습니다. 이러한 제어는 AWS 리소스에 대한 모범 사례를 적용하는 데 도움이 됩니다. 새 제어에 대한 자세한 내용은 [제어 범주](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)를 참조하세요.
AWS Control Tower를 사용할 수 AWS 리전 있는 모든에서 새 컨트롤을 사용할 수 있습니다. AWS Control Tower를 사용할 수 AWS 리전 있는 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## AWS Control Tower에서 신뢰할 수 있는 액세스 드리프트 감지
**2023년 10월 13일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 신뢰할 수 있는 액세스 설정에 대한 드리프트를 감지하고 보고합니다. 신뢰할 수 있는 액세스 설정을 사용하면 AWS Control Tower가 사용자를 대신하여 다른 AWS 서비스와 상호 작용할 수 있습니다. 이러한 설정이 AWS Control Tower 외부에서 변경되면 AWS Control Tower는 드리프트를 감지하여 AWS Control Tower 콘솔에 보고합니다. 신뢰할 수 있는 액세스 드리프트에 대한 자세한 내용은 [거버넌스 드리프트 유형](https://docs.aws.amazon.com//controltower/latest/userguide/governance-drift.html)을 참조하세요.
신뢰할 수 있는 액세스 드리프트 감지는 AWS Control Tower를 사용할 수 AWS 리전 있는 모든에서 사용할 수 있습니다. AWS Control Tower를 사용할 수 AWS 리전 있는 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## 4개의 추가에서 AWS Control Tower 사용 가능 AWS 리전
**2023년 9월 29일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 아시아 태평양(하이데라바드), 아시아 태평양(자카르타), 유럽(스페인), 유럽(취리히) AWS 리전의 네 가지 추가 버전으로 제공됩니다. AWS Control Tower를 사용할 수 있는 리전의 전체 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## 이 AWS 스라엘(텔아비브)에서 AWS Control Tower 사용 가능
**2023년 8월 1일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이스라엘(텔아비브)에서 사용할 수 있습니다. AWS Control Tower를 사용할 수 있는 리전의 전체 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## AWS Control Tower에 28개의 새로운 선제적 제어 추가
**2023년 7월 27일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower 제어 라이브러리에 28개의 새로운 선제적 제어가 추가되었습니다. 이러한 제어는 AWS 리소스에 대한 모범 사례를 적용하는 데 도움이 됩니다. 새 제어에 대한 자세한 내용은 [제어 범주](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)를 참조하세요.
AWS Control Tower를 사용할 수 AWS 리전 있는 모든에서 새 컨트롤을 사용할 수 있습니다. AWS Control Tower를 사용할 수 AWS 리전 있는 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## AWS Control Tower에서 두 가지 제어 사용 중단
**2023년 7월 27일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 CT.CLOUDFORMATION.PR.2 및 CT.CLOUDFORMATION.PR.3의 두 가지 제어를 사용 중단했습니다. 이러한 제어는 더 이상 AWS Control Tower 제어 라이브러리에서 사용할 수 없습니다. 사용 중단된 제어에 대한 자세한 내용은 [제어 범주](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)를 참조하세요.
더 이상 사용되지 않는 컨트롤은에서 더 이상 사용할 수 없습니다 AWS 리전.
## AWS Control Tower 랜딩 존 버전 3.2
**2023년 6월 16일**
(AWS Control Tower 랜딩 존을 버전 3.2로 업데이트해야 합니다. 자세한 내용은 [랜딩 존 업데이트](update-controltower.md) 섹션을 참조하세요.)
AWS Control Tower 랜딩 존 버전 3.2는 AWS Security Hub CSPM **서비스 관리형 표준: AWS Control Tower**의 일부인 제어를 정식 버전으로 제공합니다. AWS Control Tower 콘솔에서 이 표준의 일부인 제어의 드리프트 상태를 볼 수 있는 기능이 추가되었습니다.
이 업데이트에는 **AWSServiceRoleForAWSControlTower**라는 새로운 서비스 연결 역할(SLR)이 포함되어 있습니다. 이 역할은 각 멤버 계정에서 **AWSControlTowerManagedRule**이라는 EventBridge 관리형 규칙을 생성하여 AWS Control Tower를 지원합니다. 이 관리형 규칙은 AWS Control Tower를 사용하여에서 AWS Security Hub CSPM **검색** 이벤트를 수집하여 제어 드리프트를 결정할 수 있습니다.
이 규칙은 AWS Control Tower에서 생성하는 첫 번째 관리형 규칙입니다. 이 규칙은 스택에 의해 배포되지 않고 EventBridge API에서 직접 배포됩니다. EventBridge 콘솔에서 또는 EventBridge API를 통해 규칙을 확인할 수 있습니다. `managed-by` 필드가 채워지면 AWS Control Tower 서비스 위탁자가 표시됩니다.
이전에 AWS Control Tower는 멤버 계정에서 작업을 수행하기 위해 **AWSControlTowerExecution** 역할을 수임했습니다. 이 새로운 역할과 규칙은 다중 계정 AWS 환경에서 작업을 수행할 때 최소 권한을 허용하는 모범 사례 원칙에 더 잘 부합합니다. 새 역할은 멤버 계정에서 관리형 규칙 생성, 관리형 규칙 유지 관리, SNS를 통한 보안 알림 게시, 드리프트 확인 등 특별히 허용하는 범위 축소 권한을 제공합니다. 자세한 내용은 [AWSServiceRoleForAWSControlTower](access-control-managing-permissions.md#AWSServiceRoleForAWSControlTower) 섹션을 참조하세요.
랜딩 존 3.2 업데이트에는 관리 계정 `BP_BASELINE_SERVICE_LINKED_ROLE`에 서비스 연결 역할을 처음 배포하는 새 StackSet 리소스도 포함되어 있습니다.
Security Hub CSPM 제어 드리프트(랜딩 존 3.2 이상)를 보고할 때 AWS Control Tower는 Security Hub CSPM으로부터 일일 상태 업데이트를 받습니다. 제어는 모든 관리 리전에서 활성화되지만 AWS Control Tower는 AWS Security Hub CSPM **AWS Control Tower 홈 리전으로만 결과** 이벤트를 전송합니다. 자세한 내용은 [Security Hub control drift reporting](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html#sh-drift) 섹션을 참조하세요.
**리전 거부 제어 업데이트**
이 랜딩 존 버전에는 리전 거부 제어에 대한 업데이트도 포함되어 있습니다.
**글로벌 서비스 및 API 추가됨**
+ AWS 결제 및 비용 관리 (`billing:*`)
+ AWS CloudTrail (`cloudtrail:LookupEvents`)를 사용하여 멤버 계정의 글로벌 이벤트를 볼 수 있습니다.
+ AWS 통합 결제(`consolidatedbilling:*`)
+ AWS Management Console 모바일 애플리케이션(`consoleapp:*`)
+ AWS 프리 티어(`freetier:*`)
+ AWS 인보이스 발행 (`invoicing:*`)
+ AWS IQ(`iq:*`)
+ AWS 사용자 알림(`notifications:*`)
+ AWS 사용자 알림 연락처(`notifications-contacts:*`)
+ Amazon 결제(`payments:*`)
+ AWS 세금 설정(`tax:*`)
**글로벌 서비스 및 API 제거됨**
+ 유효한 작업이 아니므로 `s3:GetAccountPublic`이 제거되었습니다.
+ 유효한 작업이 아니므로 `s3:PutAccountPublic`이 제거되었습니다.
## AWS Control Tower에 IAM Identity Center에 대한 email-to-ID 매핑 추가
**2023년 7월 13일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 IAM Identity Center에 대한 email-to-ID 매핑을 지원합니다. 이 기능을 사용하면 이메일 주소를 IAM Identity Center 사용자 ID에 매핑할 수 있으므로 AWS Control Tower 환경에 대한 사용자 액세스를 더 쉽게 관리할 수 있습니다. email-to-ID 매핑에 대한 자세한 내용은 [IAM Identity Center와의 통합](https://docs.aws.amazon.com//controltower/latest/userguide/sso-integration.html)을 참조하세요.
AWS Control Tower를 사용할 수 AWS 리전 있는 모든에서 Email-to-ID 매핑을 사용할 수 있습니다. AWS Control Tower를 사용할 수 AWS 리전 있는 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## AWS Control Tower에 더 많은 AWS Security Hub CSPM 제어 추가
**2023년 6월 29일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 AWS Control Tower AWS Security Hub CSPM 제어 라이브러리에 더 많은 제어를 추가했습니다. 이러한 제어는 AWS 리소스에 대한 모범 사례를 적용하는 데 도움이 됩니다. 새 제어에 대한 자세한 내용은 [제어 범주](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)를 참조하세요.
AWS Control Tower를 사용할 수 AWS 리전 있는 모든에서 새 컨트롤을 사용할 수 있습니다. AWS Control Tower를 사용할 수 AWS 리전 있는 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## AWS Control Tower는 AWS Security Hub CSPM 제어를 위한 메타데이터를 게시합니다.
**2023년 6월 22일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 AWS Security Hub CSPM 제어를 위한 메타데이터를 게시합니다. 이 메타데이터에는 제어 ID, 제어 제목 및 제어 설명과 같은 제어에 대한 정보가 포함됩니다. 메타데이터에 대한 자세한 내용은 [제어 메타데이터](https://docs.aws.amazon.com//controltower/latest/userguide/control-metadata.html)를 참조하세요.
제어 메타데이터는 AWS Control Tower를 사용할 수 AWS 리전 있는 모든에서 사용할 수 있습니다. AWS Control Tower를 사용할 수 AWS 리전 있는 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## AWS Control Tower에 Terraform용 Account Factory 사용자 지정(AFC) 추가
**2023년 6월 15일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 Terraform용 Account Factory 사용자 지정(AFC)을 지원합니다. 이 기능을 사용하면 Terraform을 사용하여 AWS Control Tower 계정을 사용자 지정할 수 있습니다. Terraform용 AFC에 대한 자세한 내용은 [Terraform용 Account Factory 사용자 지정](https://docs.aws.amazon.com//controltower/latest/userguide/afc-terraform.html)을 참조하세요.
Terraform용 AFC는 AWS Control Tower를 사용할 수 AWS 리전 있는 모든에서 사용할 수 있습니다. AWS Control Tower를 사용할 수 AWS 리전 있는 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## AWS Control Tower에 자체 관리형 IAM Identity Center 추가
**2023년 6월 8일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 자체 관리형 IAM Identity Center를 지원합니다. 이 기능을 사용하면 AWS Control Tower에서 자체 ID 제공업체를 사용할 수 있습니다. 자체 관리형 IAM Identity Center에 대한 자세한 내용은 [IAM Identity Center](https://docs.aws.amazon.com//controltower/latest/userguide/iam-identity-center.html)를 참조하세요.
AWS Control Tower를 사용할 수 AWS 리전 있는 모든에서 자체 관리형 IAM 자격 증명 센터를 사용할 수 있습니다. AWS Control Tower를 사용할 수 AWS 리전 있는 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## AWS Control Tower에 혼합 거버넌스 정보 추가
**2023년 6월 1일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이제 AWS Control Tower에 혼합 거버넌스에 대한 정보가 포함됩니다. 이 노트에서는 AWS Control Tower가 다른 AWS 서비스와 협력하여 리소스에 대한 AWS 거버넌스를 제공하는 방법을 설명합니다. 혼합 거버넌스에 대한 자세한 내용은 [혼합 거버넌스](https://docs.aws.amazon.com//controltower/latest/userguide/mixed-governance.html)를 참조하세요.
혼합 거버넌스 노트는 AWS Control Tower를 사용할 수 AWS 리전 있는 모든에서 사용할 수 있습니다. AWS Control Tower를 사용할 수 AWS 리전 있는 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## AWS Control Tower에 새로운 선제적 제어 추가
**2023년 5월 25일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower 제어 라이브러리에 새로운 선제적 제어가 추가되었습니다. 이러한 제어는 AWS 리소스에 대한 모범 사례를 적용하는 데 도움이 됩니다. 새 제어에 대한 자세한 내용은 [제어 범주](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)를 참조하세요.
AWS Control Tower를 사용할 수 AWS 리전 있는 모든에서 새 컨트롤을 사용할 수 있습니다. AWS Control Tower를 사용할 수 AWS 리전 있는 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## AWS Control Tower에서 Amazon EC2 제어 업데이트
**2023년 5월 18일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 AWS Control Tower 제어 라이브러리에서 Amazon EC2 제어를 업데이트했습니다. 이러한 업데이트는 AWS Control Tower 환경의 보안과 신뢰성을 개선합니다. 업데이트된 제어에 대한 자세한 내용은 [제어 범주](https://docs.aws.amazon.com//controltower/latest/userguide/control-categories.html)를 참조하세요.
업데이트된 제어는 AWS Control Tower를 사용할 수 AWS 리전 있는 모든에서 사용할 수 있습니다. AWS Control Tower를 사용할 수 AWS 리전 있는 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## 7개의 추가에서 AWS Control Tower 사용 가능 AWS 리전
**2023년 5월 11일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 AWS 리전아시아 태평양(오사카), 캐나다(중부), 유럽(밀라노), 유럽(스톡홀름), 중동(바레인), 중동(UAE) 및 남아메리카(상파울루)의 7개 추가에서 사용할 수 있습니다. AWS Control Tower를 사용할 수 있는 리전의 전체 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## AWS Control Tower Account Factory 사용자 지정(AFC) 및 요청 추적 정식 출시
**2023년 4월 27일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이제 AWS Control Tower Account Factory 사용자 지정(AFC) 및 요청 추적이 정식 출시되었습니다. AFC를 사용하면 AWS Control Tower 계정을 사용자 지정할 수 있고 요청 추적을 사용하면 AWS Control Tower 요청의 상태를 추적할 수 있습니다. AFC 및 요청 추적에 대한 자세한 내용은 [Account Factory 사용자 지정](https://docs.aws.amazon.com//controltower/latest/userguide/account-factory-customization.html) 및 [요청 추적](https://docs.aws.amazon.com//controltower/latest/userguide/request-tracing.html)을 참조하세요.
AFC 및 요청 추적은 AWS Control Tower를 사용할 수 AWS 리전 있는 모든에서 사용할 수 있습니다. AWS Control Tower를 사용할 수 AWS 리전 있는 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
## AWS Control Tower 랜딩 존 버전 3.1
2023년 2월 9일
(AWS Control Tower 랜딩 존을 버전 3.1로 업데이트해야 합니다. 자세한 내용은 [랜딩 존 업데이트](update-controltower.md) 섹션을 참조하세요.)
AWS Control Tower 랜딩 존 버전 3.1에는 다음과 같은 업데이트가 포함되어 있습니다.
+ 이번 릴리스에서 AWS Control Tower는 로그 아카이브 계정에 액세스 로그가 저장되는 Amazon S3 버킷인 *액세스 로깅 버킷*에 대한 불필요한 액세스 로깅을 비활성화하는 반면, S3 버킷에 대한 서버 액세스 로깅은 계속 활성화합니다. 이 릴리스에는 지원 Plans 및와 같은 글로벌 서비스에 대한 추가 작업을 허용하는 리전 거부 제어에 대한 업데이트도 포함되어 있습니다 AWS Artifact.
+ AWS Control Tower 액세스 로깅 버킷에 대한 서버 액세스 로깅을 비활성화하면 AWS Security Hub CSPM 규칙으로 인해 Security Hub CSPM이 로그 아카이브 계정의 *액세스 로깅 버킷*에 대한 결과를 생성합니다. [[S3.9] S3 버킷 서버 액세스 로깅을 활성화해야 합니다](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-s3-9). Security Hub CSPM에 따라이 규칙의 Security Hub CSPM 설명에 명시된 대로이 특정 결과를 숨기는 것이 좋습니다. 자세한 내용은 [억제된 조사 결과에 대한 정보](https://docs.aws.amazon.com//securityhub/latest/userguide/finding-workflow-status.html)를 참조하세요.
+ 로그 아카이브 계정의 (일반) 로깅 버킷에 대한 액세스 로깅은 버전 3.1에서 변경되지 않았습니다. 모범 사례에 따라 해당 버킷에 대한 액세스 이벤트는 *액세스 로깅 버킷* 에 로그 항목으로 기록됩니다. 액세스 로깅에 대한 자세한 내용은 Amazon S3 설명서의 [서버 액세스 로깅을 사용한 요청 로깅](https://docs.aws.amazon.com//AmazonS3/latest/userguide/ServerLogs.html)을 참조하세요.
+ 리전 거부 제어를 업데이트했습니다. 이 업데이트를 통해 더 많은 글로벌 서비스의 작업을 수행할 수 있습니다. 이 SCP에 대한 자세한 내용은 [요청된 및 데이터 레지던시 보호를 강화하는 제어를 AWS 기반으로에 대한 액세스 거부 AWS 리전](https://docs.aws.amazon.com//controltower/latest/controlreference/primary-region-deny-policy.html)를 참조하세요. [https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html](https://docs.aws.amazon.com//controltower/latest/controlreference/data-residency-controls.html)
**글로벌 서비스 추가:**
+ AWS Account Management (`account:*`)
+ AWS 활성화(`activate:*`)
+ AWS Artifact (`artifact:*`)
+ AWS Billing Conductor (`billingconductor:*`)
+ AWS Compute Optimizer (`compute-optimizer:*`)
+ AWS Data Pipeline (`datapipeline:GetAccountLimits`)
+ AWS Device Farm(`devicefarm:*`)
+ AWS Marketplace (`discovery-marketplace:*`)
+ Amazon ECR(`ecr-public:*`)
+ AWS License Manager (`license-manager:ListReceivedLicenses`)
+ AWS Lightsail (`lightsail:Get*`)
+ AWS Resource Explorer (`resource-explorer-2:*`)
+ Amazon S3(`s3:CreateMultiRegionAccessPoint`, `s3:GetBucketPolicyStatus`, `s3:PutMultiRegionAccessPointPolicy`)
+ AWS Savings Plans(`savingsplans:*`)
+ IAM Identity Center(`sso:*`)
+ AWS Support App (`supportapp:*`)
+ 지원 플랜(`supportplans:*`)
+ AWS 지속 가능성(`sustainability:*`)
+ AWS Resource Groups Tagging API (`tag:GetResources`)
+ AWS Marketplace Vendor Insights(`vendor-insights:ListEntitledSecurityProfiles`)
## AWS Control Tower 선제적 제어 정식 출시
**2023년 4월 13일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이제 AWS Control Tower 선제적 제어가 정식 출시되었습니다. 사전 예방적 제어는 AWS 리소스에 대한 모범 사례를 적용하는 데 도움이 됩니다. 선제적 제어에 대한 자세한 내용은 [선제적 제어](https://docs.aws.amazon.com//controltower/latest/userguide/proactive-controls.html)를 참조하세요.
AWS Control Tower를 사용할 수 AWS 리전 있는 모든에서 사전 예방적 제어를 사용할 수 있습니다. AWS Control Tower를 사용할 수 AWS 리전 있는 목록은 [AWS 리전 테이블](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)을 참조하세요.
# 2022년 1월\$112월
2022년에 AWS Control Tower는 다음 업데이트를 릴리스했습니다.
+ [동시 계정 작업](#concurrent-account-operations)
+ [Account Factory 사용자 지정(AFC)](#af-customization)
+ [포괄적인 제어를 통해 AWS 리소스 프로비저닝 및 관리 지원](#proactive-controls-notes)
+ [모든 AWS Config 규칙에 대해 확인 가능한 규정 준수 상태](#config-compliance-status)
+ [제어 및 새 CloudFormation 리소스를 위한 API](#control-control-api)
+ [CfCT에서 스택 세트 삭제 지원](#stack-set-deletion-cfct)
+ [사용자 지정 로그 보존](#log-retention)
+ [역할 드리프트 복구 사용 가능](#role-drift-repair)
+ [AWS Control Tower 랜딩 존 버전 3.0](#version-3.0)
+ [조직 페이지에 OU 및 계정에 대한 보기 결합](#ou-hierarchy-page)
+ [간소화된 계정 생성 및 등록](#simple-create-and-enroll)
+ [AFT에서 공유 AWS Control Tower 계정에 대한 자동 사용자 지정 지원](#aft-supports-shared-accounts)
+ [모든 선택적 제어를 위한 동시 작업](#concurrent-preventive-controls)
+ [기존 보안 및 로깅 계정](#existing-security-and-logging-accounts)
+ [AWS Control Tower 랜딩 존 버전 2.9](#version-2.9)
+ [AWS Control Tower 랜딩 존 버전 2.8](#version-2.8)
## 동시 계정 작업
**2022년 12월 16일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 Account Factory에서 동시 작업을 지원합니다. 한 번에 최대 5개의 계정을 만들거나, 업데이트하거나, 등록할 수 있습니다. 최대 5개의 작업을 연속으로 제출하고 계정의 백그라운드 구축이 완료되는 동안 각 요청의 완료 상태를 확인합니다. 예를 들어, 다른 계정을 업데이트하거나 전체 조직 단위(OU)를 다시 등록하기 전에 각 프로세스가 완료될 때까지 더 이상 기다릴 필요가 없습니다.
## Account Factory 사용자 지정(AFC)
**2022년 11월 28일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
Account Factory 사용자 지정을 사용하면 AWS Control Tower 콘솔 내에서 신규 및 기존 계정을 사용자 지정할 수 있습니다. 이러한 새로운 사용자 지정 기능을 사용하면 특수 Service Catalog 제품에 포함된 CloudFormation 템플릿인 계정 블루프린트를 유연하게 정의할 수 있습니다. 블루프린트는 완전히 사용자 지정된 리소스 및 구성을 프로비저닝합니다. 또한 특정 사용 사례에 맞게 계정을 사용자 지정하는 데 도움이 되는, AWS 파트너가 빌드하고 관리하는 사전 정의된 블루프린트를 사용하도록 선택할 수도 있습니다.
이전에 AWS Control Tower Account Factory는 콘솔에서 계정 사용자 지정을 지원하지 않았습니다. 이 Account Factory 업데이트를 사용하면 계정 요구 사항을 미리 정의하고 잘 정의된 워크플로의 일부로 이러한 요구 사항을 구현할 수 있습니다. 블루프린트를 적용하여 새 계정을 생성하고, 다른 AWS 계정을 AWS Control Tower에 등록하고, 기존 AWS Control Tower 계정을 업데이트할 수 있습니다.
Account Factory에서 계정을 프로비저닝, 등록 또는 업데이트할 때 배포할 블루프린트를 선택합니다. 블루프린트에 지정된 리소스는 계정에 프로비저닝됩니다. 계정 구축이 완료되면 모든 사용자 지정 구성을 즉시 사용할 수 있습니다.
계정 사용자 지정을 시작하려는 경우 Service Catalog 제품에서 의도한 사용 사례에 대한 리소스를 정의할 수 있습니다. AWS 시작하기 라이브러리에서 파트너 관리형 솔루션을 선택할 수도 있습니다. 자세한 내용은 [Account Factory 사용자 지정(AFC)을 사용하여 계정 사용자 지정](af-customization-page.md) 단원을 참조하십시오.
## 포괄적인 제어를 통해 AWS 리소스 프로비저닝 및 관리 지원
**2022년 11월 28일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 CloudFormation 후크를 통해 구현된 새로운 선택적 선제적 제어를 포함한 포괄적인 제어 관리를 지원합니다. 이러한 제어는 리소스를 배포하기 전에 리소스를 확인하여 새 리소스가 환경에서 활성화된 제어 기능을 준수하는지 여부를 확인하기 때문에 선제적 제어라고 합니다.
130개 이상의 새로운 사전 예방적 제어는 AWS Control Tower 환경의 특정 정책 목표를 충족하고, 업계 표준 규정 준수 프레임워크의 요구 사항을 충족하고, 20개 이상의 다른 AWS 서비스에서 AWS Control Tower 상호 작용을 관리하는 데 도움이 됩니다.
AWS Control Tower 제어 라이브러리는 연결된 AWS 서비스 및 리소스에 따라 이러한 제어를 분류합니다. 자세한 내용은 [선제적 제어](https://docs.aws.amazon.com//controltower/latest/controlreference/proactive-controls.html)를 참조하세요.
이 릴리스에서는 AWS 기본 보안 모범 사례(FSBP) 표준을 지원하는 새로운 Security Hub CSPM **서비스 관리형 표준: AWS Control Tower** AWS Security Hub CSPM를 통해 AWS Control Tower도 통합됩니다. 콘솔에서 AWS Control Tower 제어와 함께 160개 이상의 Security Hub CSPM 제어를 볼 수 있으며 AWS Control Tower 환경에 대한 Security Hub CSPM 보안 점수를 얻을 수 있습니다. 자세한 내용은 [Security Hub 제어](https://docs.aws.amazon.com//controltower/latest/controlreference/security-hub-controls.html)를 참조하세요.
## 모든 AWS Config 규칙에 대해 확인 가능한 규정 준수 상태
**2022년 11월 18일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이제 AWS Control Tower에 AWS Control Tower에 등록된 조직 단위에 배포된 모든 AWS Config 규칙의 규정 준수 상태가 표시됩니다. AWS Control Tower 콘솔 외부로 이동하지 않고도 등록되거나 등록되지 않은 AWS Control Tower의 계정에 영향을 미치는 모든 AWS Config 규칙의 규정 준수 상태를 볼 수 있습니다. 고객은 AWS Control Tower에서 탐지 제어라고 하는 Config 규칙을 설정하거나 AWS Config 서비스를 통해 직접 설정할 수 있습니다. AWS Control Tower에서 배포한 규칙과 함께에서 배포한 규칙 AWS Config 이 표시됩니다.
이전에는 AWS Config 서비스를 통해 배포된 AWS Config 규칙이 AWS Control Tower 콘솔에 표시되지 않았습니다. 고객은 비준수 AWS Config 규칙을 식별하기 위해 AWS Config 서비스로 이동해야 했습니다. 이제 AWS Control Tower 콘솔에서 규정 미준수 AWS Config 규칙을 식별할 수 있습니다. 모든 Config 규칙의 규정 준수 상태를 보려면 AWS Control Tower 콘솔에서 **계정 세부 정보** 페이지로 이동합니다. AWS Control Tower에서 관리하는 제어 및 AWS Control Tower 외부에 배포된 Config 규칙의 규정 준수 상태를 보여주는 목록이 표시됩니다.
## 제어 및 새 CloudFormation 리소스를 위한 API
**2022년 9월 1일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 일련의 API 직접 호출을 통해 *가드레일*이라고도 하는 제어의 프로그래밍 방식 관리를 지원합니다. 새 CloudFormation 리소스는 제어를 위한 API 기능을 지원합니다. 자세한 내용은 [AWS Control Tower에서 작업 자동화](automating-tasks.md) 및 [를 사용하여 AWS Control Tower 리소스 생성 AWS CloudFormation](creating-resources-with-cloudformation.md) 섹션을 참조하세요.
이러한 API를 사용하면 AWS Control Tower 라이브러리에서 제어의 애플리케이션 상태를 활성화 또는 비활성화하거나 볼 수 있습니다. APIs에는에 대한 지원이 포함되어 CloudFormation있으므로 AWS 리소스를 infrastructure-as-code(IaC)로 관리할 수 있습니다. AWS Control Tower는 전체 조직 단위(OU) 및 OU 내의 모든 AWS 계정에 대한 정책 의도를 표현하는 선택적 예방 및 탐지 제어를 제공합니다. 이러한 규칙은 새 계정을 생성하거나 기존 계정을 변경할 때에도 유효합니다.
**이 릴리스에 포함된 API**
+ **EnableControl** – 이 API 직접 호출은 제어를 활성화합니다. 지정된 조직 단위 및 이를 포함하는 계정에서 AWS 리소스를 생성하는 비동기 작업을 시작합니다.
+ **DisableControl** – 이 API 직접 호출은 제어를 비활성화합니다. 지정된 조직 단위 및 이를 포함하는 계정에서 AWS 리소스를 삭제하는 비동기 작업을 시작합니다.
+ **GetControlOperation**– 특정 **EnableControl** 또는 **DisableControl** 작업의 상태를 반환합니다.
+ **ListEnabledControls** - 지정된 조직 단위와 여기에 포함된 계정에 대해 AWS Control Tower가 활성화한 제어를 나열합니다.
선택적 제어에 대한 제어 이름 목록을 보려면 *AWS Control Tower 사용 설명서*의 [API 및 제어에 대한 리소스 식별자](https://docs.aws.amazon.com//controltower/latest/userguide/control-identifiers.html)를 참조하세요.
## CfCT에서 스택 세트 삭제 지원
**2022년 8월 26일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
Customizations for AWS Control Tower(CfCT)는 이제 `manifest.yaml` 파일에 파라미터를 설정하여 스택 세트 삭제를 지원합니다. 자세한 내용은 [스택 세트 삭제](cfct-delete-stack.md) 섹션을 참조하세요.
**중요**
`enable_stack_set_deletion`의 값을 `true`로 처음 설정하면 다음에 CfCT를 간접 호출할 때 연결된 키 태그 `Key:AWS_Solutions, Value: CustomControlTowerStackSet`가 있고 매니페스트 파일에 선언되지 않은, 접두사 `CustomControlTower-`로 시작하는 **모든** 리소스가 삭제를 위해 준비됩니다.
## 사용자 지정 로그 보존
**2022년 8월 15일**
(AWS Control Tower 랜딩 존을 업데이트해야 합니다. 자세한 내용은 [랜딩 존 업데이트](update-controltower.md) 섹션을 참조하세요.)
이제 AWS Control Tower는 AWS Control Tower CloudTrail 로그를 저장하는 Amazon S3 버킷에 대한 보존 정책을 사용자 지정할 수 있는 기능을 제공합니다. 일 또는 년 단위로 최대 15년까지 Amazon S3 로그 보존 정책을 사용자 지정할 수 있습니다.
로그 보존을 사용자 지정하지 않도록 선택하면 기본 설정은 표준 계정 로깅의 경우 1년, 액세스 로깅의 경우 10년입니다.
기존 고객의 경우 랜딩 존을 업데이트하거나 복구할 때 AWS Control Tower를 통해 이 기능을 사용할 수 있으며 새 고객의 경우에는 AWS Control Tower 설정을 통해 사용할 수 있습니다.
## 역할 드리프트 복구 사용 가능
**2022년 8월 11일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 역할 드리프트에 대한 복구를 지원합니다. 랜딩 존을 완전히 복구하지 않고도 필요한 역할을 복원할 수 있습니다. 이러한 유형의 드리프트 복구가 필요한 경우 콘솔 오류 페이지에는 랜딩 존을 다시 사용할 수 있도록 역할을 복원하는 단계가 나와 있습니다.
## AWS Control Tower 랜딩 존 버전 3.0
**2022년 7월 29일**
(AWS Control Tower 랜딩 존을 버전 3.0으로 업데이트해야 합니다. 자세한 내용은 [랜딩 존 업데이트](update-controltower.md) 섹션을 참조하세요.)
AWS Control Tower 랜딩 존 버전 3.0에는 다음과 같은 업데이트가 포함되어 있습니다.
+ 조직 수준 AWS CloudTrail 추적을 선택하거나 AWS Control Tower에서 관리하는 CloudTrail 추적을 옵트아웃하는 옵션입니다.
+ AWS CloudTrail 가 계정에서 활동을 로깅하는지 여부를 확인하기 위한 두 가지 새로운 탐지 제어입니다.
+ 홈 리전의 글로벌 리소스에 대한 AWS Config 정보만 집계하는 옵션입니다.
+ 리전 거부 제어에 대한 업데이트입니다.
+ 관리형 정책인 **AWSControlTowerServiceRolePolicy**에 대한 업데이트입니다.
+ 등록된 각 계정에서 IAM 역할 `aws-controltower-CloudWatchLogsRole` 및 CloudWatch 로그 그룹 `aws-controltower/CloudTrailLogs`를 더 이상 생성하지 않습니다. 이전에는 계정 추적을 위해 각 계정에서 이러한 항목을 생성했습니다. 조직 추적에서는 관리 계정에 하나만 생성합니다.
다음 섹션에서는 새로운 각 기능에 대한 자세한 내용이 제공됩니다.
**AWS Control Tower의 조직 수준 CloudTrail 추적**
랜딩 존 버전 3.0에서 AWS Control Tower는 이제 조직 수준 AWS CloudTrail 추적을 지원합니다.
AWS Control Tower 랜딩 존을 버전 3.0으로 업데이트하면 조직 수준 AWS CloudTrail 추적을 로깅 기본 설정으로 선택하거나 AWS Control Tower에서 관리하는 CloudTrail 추적을 옵트아웃할 수 있습니다. 버전 3.0으로 업데이트하면 AWS Control Tower는 24시간 대기 기간 후 *등록된 계정에 대한 기존 계정 수준 추적*을 삭제합니다. AWS Control Tower는 등록되지 않은 계정에 대한 계정 수준 추적은 삭제하지 않습니다. 드물지만 랜딩 존 업데이트가 성공하지 못했지만 AWS Control Tower가 이미 조직 수준 추적을 생성한 후 장애가 발생하는 경우 업데이트 작업이 성공적으로 완료될 때까지 조직 수준 및 계정 수준 추적에 대해 중복 요금이 발생할 수 있습니다.
랜딩 존 3.0부터 AWS Control Tower는가 AWS 관리하는 계정 수준 추적을 더 이상 지원하지 않습니다. 대신 AWS Control Tower는 선택한 항목에 따라 활성 또는 비활성 상태인 조직 수준 추적을 생성합니다.
**참고**
버전 3.0 이상으로 업데이트한 후에는 AWS Control Tower에서 관리하는 계정 수준 CloudTrail 추적을 계속할 수 있는 옵션이 없습니다.
로그가 저장된 기존 Amazon S3 버킷에 남아 있기 때문에 집계된 계정 로그에서 로깅 데이터가 손실되지 않습니다. 기존 로그가 아닌 추적만 삭제됩니다. 조직 수준 추적을 추가하는 옵션을 선택하면 AWS Control Tower는 Amazon S3 버킷 내의 새 폴더에 대한 새 경로를 열고 해당 위치로 로깅 정보를 계속 전송합니다. AWS Control Tower에서 관리하는 추적을 옵트아웃하도록 선택하면 기존 로그는 변경 없이 버킷에 남아 있습니다.
**로그 스토리지의 경로 이름 지정 규칙**
+ 계정 추적 로그는 이 양식의 경로와 함께 저장됩니다. `/org id/AWSLogs/… `
+ 조직 추적 로그는 이 양식의 경로와 함께 저장됩니다. `/org id/AWSLogs/org id/… `
AWS Control Tower가 조직 수준 CloudTrail 추적을 위해 생성하는 경로는 수동으로 생성된 조직 수준 추적의 기본 경로와 다릅니다. 이 경로의 형식은 다음과 같습니다.
+ `/AWSLogs/org id/… `
CloudTrail 경로 이름 지정에 대한 자세한 내용은 [CloudTrail 로그 파일 찾기](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-find-log-files.html )를 참조하세요.
**작은 정보**
자체 계정 수준 추적을 생성하고 관리하려는 경우 AWS Control Tower 랜딩 존 버전 3.0으로 업데이트를 완료하기 전에 새 추적을 생성하여 즉시 로깅을 시작하는 것이 좋습니다.
언제든지 새 계정 수준 또는 조직 수준 CloudTrail 추적을 생성하고 직접 관리할 수 있습니다. AWS Control Tower에서 관리하는 조직 수준의 CloudTrail 추적을 선택하는 옵션은 버전 3.0 이상으로 랜딩 존을 업데이트할 때 사용할 수 있습니다. 랜딩 존을 업데이트할 때마다 조직 수준 추적을 *옵트인* 또는 *옵트아웃*할 수 있습니다.
타사 서비스를 통해 로그를 관리하는 경우 서비스에 새 경로 이름을 지정해야 합니다.
**참고**
버전 3.0 이상의 랜딩 존의 경우 AWS Control Tower에서 계정 수준 AWS CloudTrail 추적을 지원하지 않습니다. 언제든지 자체 계정 수준 추적을 생성 및 유지 관리하거나 AWS Control Tower에서 관리하는 조직 수준 추적을 옵트인할 수 있습니다.
**홈 리전에서만 AWS Config 리소스 기록**
랜딩 존 버전 3.0에서 AWS Control Tower는 홈 리전에서만 글로벌 리소스를 기록하도록 AWS Config 에 대한 기준 구성을 업데이트했습니다. 버전 3.0으로 업데이트한 후에는 홈 리전에서만 글로벌 리소스에 대한 리소스 기록이 활성화됩니다.
이 구성은 모범 사례로 간주됩니다. AWS Security Hub CSPM 및에서 권장하며 AWS Config, 글로벌 리소스가 생성, 수정 또는 삭제될 때 생성되는 구성 항목 수를 줄여 비용을 절감합니다. 이전에는 고객이나 AWS 서비스에서 글로벌 리소스를 생성, 업데이트 또는 삭제할 때마다 각 관리형 리전의 각 항목에 대해 구성 항목이 생성되었습니다.
** AWS CloudTrail 로깅을 위한 두 가지 새로운 탐지 제어**
조직 수준 AWS CloudTrail 추적 변경의 일환으로 AWS Control Tower는 CloudTrail이 활성화되었는지 확인하는 두 가지 새로운 탐지 제어를 도입합니다. 첫 번째 제어에는 **필수** 지침이 있으며, 3.0 이상의 설정 또는 랜딩 존 업데이트 시 보안 OU에서 활성화됩니다. 두 번째 제어에는 **적극 권장** 지침이 있으며, 이미 필수 제어 보호가 적용된 보안 OU 이외의 모든 OU에 선택적으로 적용됩니다.
**필수 제어:** [보안 조직 단위의 공유 계정에 AWS CloudTrail 또는 CloudTrail Lake가 활성화되어 있는지 여부를 감지](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#ensure-cloudtrail-enabled-mandatory)합니다.
**적극 권장 제어:** [계정에 AWS CloudTrail 또는 CloudTrail Lake가 활성화되어 있는지 여부 탐지](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#ensure-cloudtrail-enabled-recommended)
새 제어에 대한 자세한 내용은 [AWS Control Tower 제어 라이브러리](https://docs.aws.amazon.com//controltower/latest/controlreference/controls-reference.html)를 참조하세요.
**리전 거부 제어에 대한 업데이트**
아래에 나열된 일부 추가 서비스의 작업을 포함하도록 리전 거부 제어의 **NotAction** 목록을 업데이트했습니다.
```
"chatbot:*",
"s3:GetAccountPublic",
"s3:DeleteMultiRegionAccessPoint",
"s3:DescribeMultiRegionAccessPointOperation",
"s3:GetMultiRegionAccessPoint",
"s3:GetMultiRegionAccessPointPolicy",
"s3:GetMultiRegionAccessPointPolicyStatus",
"s3:ListMultiRegionAccessPoints",
"s3:GetStorageLensConfiguration",
"s3:GetStorageLensDashboard",
"s3:ListStorageLensConfigurations"
"s3:GetAccountPublicAccessBlock",
"s3:PutAccountPublic",
"s3:PutAccountPublicAccessBlock",
```
### 비디오 안내
이 비디오(3:07)에서는 기존 AWS Control Tower 랜딩 존을 버전 3으로 업데이트하는 방법을 설명합니다. 비디오의 오른쪽 하단 모서리에 있는 아이콘을 선택하여 전체 화면으로 확대하면 더 잘 보입니다. 자막을 사용할 수 있습니다.
[](http://www.youtube.com/watch?v=zf-dJ6_joTw)
## 조직 페이지에 OU 및 계정에 대한 보기 결합
**2022년 7월 18일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower의 새 **조직** 페이지에는 모든 조직 단위(OU) 및 계정에 대한 계층적(계층 트리) 보기가 표시됩니다. 이전에 존재했던 **OU** 및 **계정** 페이지의 정보가 결합되어 있습니다.
새 페이지에서 상위 OU와 중첩된 OU 및 계정 간의 관계를 볼 수 있습니다. 리소스 그룹화에 대한 작업을 수행할 수 있습니다. 페이지 보기를 구성할 수 있습니다. 예를 들어 계층적 보기를 확장 또는 축소하거나, 보기를 필터링하여 계정 또는 OU만 보거나, 등록된 계정 및 등록된 OU만 보거나, 관련 리소스 그룹을 볼 수 있습니다. 전체 조직이 제대로 업데이트되었는지 더 쉽게 확인할 수 있습니다.
## 간소화된 계정 생성 및 등록
**2022년 6월 30일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 계정 생성 및 등록을 위한 간소화된 워크플로를 제공합니다. Service Catalog 콘솔로 이동하지 않고도 단일 워크플로에서 새 계정을 생성하거나 기존 계정을 등록할 수 있습니다. 자세한 내용은 [AWS Control Tower 콘솔에서 기존 계정 등록](quick-account-provisioning.md) 단원을 참조하십시오.
## AFT에서 공유 AWS Control Tower 계정에 대한 자동 사용자 지정 지원
**2022년 5월 27일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이제 Account Factory for Terraform(AFT)은 등록된 계정과 함께 관리 계정, 감사 계정, 로그 아카이브 계정을 포함하여 AWS Control Tower에서 관리하는 모든 계정을 프로그래밍 방식으로 사용자 지정하고 업데이트할 수 있습니다. 작업을 수행하는 역할의 범위를 지정하기 때문에 계정 구성의 보안을 보호하면서 계정 사용자 지정 및 업데이트 관리를 중앙 집중화할 수 있습니다.
기존 **AWSAFTExecution** 역할은 이제 모든 계정에 사용자 지정을 배포합니다. 비즈니스 및 보안 요구 사항에 따라 **AWSAFTExecution** 역할의 액세스를 제한하는 경계가 있는 IAM 권한을 설정할 수 있습니다. 또한 신뢰할 수 있는 사용자에 대해 해당 역할에서 승인된 사용자 지정 권한을 프로그래밍 방식으로 위임할 수 있습니다. 모범 사례로 필요한 사용자 지정을 배포하는 데 필요한 권한으로 권한을 제한하는 것이 좋습니다.
이제 AFT는 공유 계정 및 관리 계정을 포함한 모든 관리형 계정에 AFT 리소스를 배포하는 새 **AWSAFTService** 역할을 생성합니다. 이전에는 **AWSAFTExecution** 역할에서 리소스를 배포했습니다.
AWS Control Tower 공유 및 관리 계정은 Account Factory를 통해 프로비저닝되지 않으므로 해당 프로비저닝된 제품이 없습니다 AWS Service Catalog. 따라서 Service Catalog에서 공유 및 관리 계정을 업데이트할 수 없습니다.
## 모든 선택적 제어를 위한 동시 작업
**2022년 5월 18일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 예방 제어 및 탐지 제어를 위한 동시 작업을 지원합니다.
이 새로운 기능을 사용하면 이제 선택적 제어를 동시에 적용하거나 제거할 수 있으므로 모든 선택적 제어의 사용 편의성과 성능이 향상됩니다. 개별 제어 작업이 완료될 때까지 기다리지 않고 여러 선택적 제어를 활성화할 수 있습니다. 제한되는 유일한 시간은 AWS Control Tower가 랜딩 존을 설정하는 중이거나 거버넌스를 새 조직으로 확장하는 동안입니다.
**예방 제어에 지원되는 기능:**
+ 동일한 OU에 서로 다른 예방 제어를 적용하고 제거합니다.
+ 다른 OU에 서로 다른 예방 제어를 동시에 적용하고 제거합니다.
+ 여러 OU에 동일한 예방 제어를 동시에 적용하고 제거합니다.
+ 예방 및 탐지 제어를 동시에 적용하고 제거할 수 있습니다.
AWS Control Tower의 릴리스된 모든 버전에서 이러한 제어 동시성 개선을 경험할 수 있습니다.
중첩된 OU에 예방 제어를 적용하면, 해당 계정과 OU가 AWS Control Tower에 등록되어 있지 않더라도 예방 제어는 대상 OU 아래에 중첩된 모든 계정과 OU에 영향을 미칩니다. 예방 제어는의 일부인 서비스 제어 정책(SCPs 사용하여 구현됩니다 AWS Organizations. 탐지 제어는 AWS Config 규칙을 사용하여 구현됩니다. 새 계정을 생성하거나 기존 계정을 변경할 때 가드레일은 계속 유효하며, AWS Control Tower는 각 계정이 활성화된 정책을 어떻게 준수하는지에 대한 요약 보고서를 제공합니다. 사용 가능한 제어의 전체 목록은 [AWS Control Tower 제어 라이브러리](https://docs.aws.amazon.com//controltower/latest/controlreference/controls-reference.html)를 참조하세요.
## 기존 보안 및 로깅 계정
**2022년 5월 16일**
(초기 설정 중에 사용할 수 있습니다.)
이제 AWS Control Tower는 초기 랜딩 존 설정 프로세스 중에 기존 AWS 계정을 AWS Control Tower 보안 또는 로깅 계정으로 지정할 수 있는 옵션을 제공합니다. 이 옵션을 사용하면 AWS Control Tower에서 새 공유 계정을 생성할 필요가 없습니다. 기본적으로 **감사** 계정이라고 하는 보안 계정은 보안 및 규정 준수 팀이 랜딩 존의 모든 계정에 액세스할 수 있는 제한된 계정입니다. **로그 아카이브** 계정이라고 하는 로깅 계정은 기본적으로 리포지토리로 작동합니다. 랜딩 존의 모든 계정에서 API 활동 및 리소스 구성의 로그를 저장합니다.
기존 보안 및 로깅 계정을 가져오면 AWS Control Tower 거버넌스를 기존 조직으로 확장하거나 대체 랜딩 존에서 AWS Control Tower로 이동하기가 더 쉬워집니다. 기존 계정을 사용할 수 있는 옵션은 초기 랜딩 존 설정 중에 표시됩니다. 여기에는 성공적인 배포를 보장하는 설정 프로세스 중 검사가 포함되어 있습니다. AWS Control Tower는 기존 계정에 필요한 역할과 제어를 구현합니다. 이러한 계정에 존재하는 기존 리소스 또는 데이터는 제거하거나 병합하지 않습니다.
제한: 기존 AWS 계정을 감사 및 로그 아카이브 계정으로 AWS Control Tower로 가져오려는 경우 해당 계정에 기존 AWS Config 리소스가 있는 경우 AWS Control Tower에 계정을 등록하기 전에 기존 AWS Config 리소스를 삭제해야 합니다.
## AWS Control Tower 랜딩 존 버전 2.9
**2022년 4월 22일**
(AWS Control Tower 랜딩 존을 버전 2.9로 업데이트해야 합니다. 자세한 내용은 [랜딩 존 업데이트](update-controltower.md) 섹션을 참조하세요.)
AWS Control Tower 랜딩 존 버전 2.9는 Python 버전 3.9 런타임을 사용하도록 알림 전달자 Lambda를 업데이트합니다. 이 업데이트는 2022년 7월에 계획되었던 Python 버전 3.6의 사용 중단을 다룹니다. 최신 정보는 [Python 사용 중단 페이지](https://docs.aws.amazon.com//lambda/latest/dg/runtime-support-policy.html)를 참조하세요.
## AWS Control Tower 랜딩 존 버전 2.8
**2022년 2월 10일**
(AWS Control Tower 랜딩 존을 버전 2.8로 업데이트해야 합니다. 자세한 내용은 [랜딩 존 업데이트](update-controltower.md) 섹션을 참조하세요.)
AWS Control Tower 랜딩 존 버전 2.8은 [AWS Foundational Security Best Practices](https://docs.aws.amazon.com//securityhub/latest/userguide/securityhub-standards-fsbp.html)에 대한 최신 업데이트와 일치하는 기능을 추가합니다.
**이 릴리스에 대한 정보:**
+ 기존 S3 액세스 로그 버킷에 대한 액세스를 추적하기 위해 로그 아카이브 계정의 액세스 로그 버킷에 대해 액세스 로깅이 구성됩니다.
+ 수명 주기 정책에 대한 지원이 추가되었습니다. 기존 S3 액세스 로그 버킷의 액세스 로그는 기본 보존 기간인 10년으로 설정됩니다.
+ 또한이 릴리스는 모든 관리형 계정(관리 계정 제외) AWS Config에서에서 제공하는 AWS 서비스 연결 역할(SLR)을 사용하도록 AWS Control Tower를 업데이트하므로 AWS Config 모범 사례에 맞게 Config 규칙을 설정하고 관리할 수 있습니다. 업그레이드하지 않는 고객은 기존 역할을 계속 사용하게 됩니다.
+ 이 릴리스는 AWS Config 데이터 암호화를 위한 AWS Control Tower KMS 구성 프로세스를 간소화하고 CloudTrail의 관련 상태 메시징을 개선합니다.
+ 이 릴리스에는 `us-west-2`에서 `route53-application-recovery` 기능을 허용하도록 리전 거부 제어에 대한 업데이트가 포함되어 있습니다.
+ 업데이트: 2022년 2월 15일에 AWS Lambda 함수에 대한 Dead Letter Queue(DLQ)가 제거되었습니다.
**추가 세부 정보:**
+ 랜딩 존 서비스를 해제해도 AWS Control Tower는 AWS Config 서비스 연결 역할을 제거하지 않습니다.
+ Account Factory 계정에 대한 프로비저닝을 해제해도 AWS Control Tower는 AWS Config 서비스 연결 역할을 제거하지 않습니다.
랜딩 존을 2.8로 업데이트하려면 **랜딩 존 설정** 페이지로 이동하여 2.8 버전을 선택한 다음 **업데이트**를 선택합니다. 랜딩 존을 업데이트한 후에는 [AWS Control Tower의 구성 업데이트 관리](configuration-updates.md)에 나와 있는 대로 AWS Control Tower에서 관리하는 모든 계정을 업데이트해야 합니다.
# 2021년 1월\$112월
2021년에 AWS Control Tower는 다음 업데이트를 릴리스했습니다.
+ [리전 거부 기능](#region-deny-control)
+ [데이터 레지던시 기능](#data-residency-feature)
+ [AWS Control Tower, Terraform 계정 프로비저닝 및 사용자 지정 도입](#aft-available)
+ [새 수명 주기 이벤트 사용 가능](#precheck-organizational-unit-event)
+ [AWS Control Tower에서 중첩된 OU 활성화](#nested-ou)
+ [탐지 제어 동시성](#detective-control-concurrency)
+ [2개의 새로운 리전 사용 가능](#paris-and-sao-paulo)
+ [리전 선택 취소](#region-deselect)
+ [AWS Control Tower는 AWS 키 관리 시스템에서 작동합니다.](#kms-keys)
+ [제어 이름 변경됨, 기능 변경 없음](#control-renaming)
+ [AWS Control Tower에서 드리프트 확인을 위해 매일 SCP 스캔](#daily-scp-scans)
+ [OU 및 계정의 사용자 지정 이름](#rename-core-ous-and-accounts)
+ [AWS Control Tower 랜딩 존 버전 2.7](#version-2.7)
+ [세 개의 새 AWS 리전 사용 가능](#three-new-regions)
+ [선택한 리전만 관리](#region-select)
+ [이제 AWS Control Tower가 AWS 조직의 기존 OUs로 거버넌스를 확장합니다.](#extended-governance)
+ [AWS Control Tower에서 대량 계정 업데이트 제공](#bulk-update)
## 리전 거부 기능
**2021년 11월 30일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 AWS Control Tower 환경에 등록된 계정의 AWS 서비스 및 작업에 대한 액세스를 제한하는 데 도움이 되는 리전 거부 기능을 제공합니다. 리전 거부 기능은 AWS Control Tower의 기존 리전 선택 및 리전 선택 취소 기능을 보완합니다. 이러한 기능을 함께 사용하면 규정 준수 및 규제 문제를 해결하는 동시에 추가 리전으로 확장하는 데 드는 비용의 균형을 맞출 수 있습니다.
예를 들어 독일의 AWS 고객은 프랑크푸르트 리전 외부의 리전에 있는 AWS 서비스에 대한 액세스를 거부할 수 있습니다. AWS Control Tower 설정 프로세스 동안 또는 **랜딩 존 설정** 페이지에서 제한된 리전을 선택할 수 있습니다. 리전 거부 기능은 AWS Control Tower 랜딩 존 버전을 업데이트할 때 사용할 수 있습니다. 일부 AWS 서비스는 리전 거부 기능에서 제외됩니다. 자세한 내용은 [리전 거부 제어 구성](https://docs.aws.amazon.com//controltower/latest/userguide/region-deny.html)을 참조하세요.
## 데이터 레지던시 기능
**2021년 11월 30일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower는 이제 AWS 서비스에 업로드하는 모든 고객 데이터가 지정한 AWS 리전에만 위치하도록 특별히 설계된 제어를 제공합니다. 고객 데이터가 저장되고 처리되는 리전 AWS 을 선택할 수 있습니다. AWS Control Tower를 사용할 수 있는 전체 AWS 리전 목록은 [AWS 리전 표를](https://aws.amazon.com//about-aws/global-infrastructure/regional-product-services/) 참조하세요.
세분화된 제어를 위해 **Amazon 가상 프라이빗 네트워크(VPN) 연결 허용 안 함** 또는 **Amazon VPC 인스턴스에 대한 인터넷 액세스 허용 안 함**과 같은 추가 제어를 적용할 수 있습니다. AWS Control Tower 콘솔에서 제어의 규정 준수 상태를 볼 수 있습니다. 사용 가능한 제어의 전체 목록은 [AWS Control Tower 제어 라이브러리](https://docs.aws.amazon.com//controltower/latest/controlreference/controls-reference.html)를 참조하세요.
## AWS Control Tower, Terraform 계정 프로비저닝 및 사용자 지정 도입
**2021년 11월 29일**
(AWS Control Tower 랜딩 존에 대한 선택적 업데이트)
이제 Terraform을 사용하여 *AWS Control Tower Account Factory for Terraform(AFT)*을 통해 AWS Control Tower에서 사용자 지정 계정을 프로비저닝하고 업데이트할 수 있습니다.
AFT는 AWS Control Tower에서 관리하는 계정을 프로비저닝하는 단일 Terraform 코드형 인프라(IaC) 파이프라인을 제공합니다. 프로비저닝 중 사용자 지정은 최종 사용자에게 계정을 제공하기 전에 비즈니스 및 보안 정책을 충족하는 데 도움이 됩니다.
AFT 자동 계정 생성 파이프라인은 계정 프로비저닝이 완료될 때까지 모니터링한 다음, 필요한 사용자 지정으로 계정을 강화하는 추가 Terraform 모듈을 트리거하여 계속 진행합니다. 사용자 지정 프로세스의 추가 부분으로 자체 사용자 지정 Terraform 모듈을 설치하도록 파이프라인을 구성하고 AWS 일반적인 사용자 지정을 위해에서 제공하는 AFT 기능 옵션을 추가하도록 선택할 수 있습니다.
* AWS Control Tower 사용 설명서*, [AWS Control Tower Account Factory for Terraform(AFT) 배포](aft-getting-started.md)에 제공된 단계를 수행하고 Terraform 인스턴스에 대한 AFT를 다운로드하여 AWS Control Tower Account Factory for Terraform을 시작합니다. AFT는 Terraform Cloud, Terraform Enterprise 및 Terraform 오픈 소스 배포를 지원합니다.
## 새 수명 주기 이벤트 사용 가능
**2021년 11월 18일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이 `PrecheckOrganizationalUnit` 이벤트는 중첩된 OU의 리소스를 포함하여 리소스가 **거버넌스 확장** 작업의 성공을 차단하는지 여부를 로깅합니다. 자세한 내용은 [`PrecheckOrganizationalUnit`](lifecycle-events.md#precheck-organizational-unit) 섹션을 참조하세요.
## AWS Control Tower에서 중첩된 OU 활성화
**2021년 11월 16일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이제 AWS Control Tower를 사용하면 중첩된 OU를 랜딩 존의 일부로 포함할 수 있습니다.
AWS Control Tower는 중첩된 조직 단위(OU)에 대한 지원을 제공하여 계정을 여러 계층 수준으로 구성하고 예방 제어를 계층적으로 적용할 수 있습니다. 중첩된 OU를 포함하는 OU를 등록하고, 상위 OU 아래에 OU를 생성하여 등록할 수 있으며, 등록된 모든 OU에 대해 깊이에 관계없이 제어를 활성화할 수 있습니다. 이 기능을 지원하기 위해 콘솔에는 관리형 계정 및 OU의 수가 표시됩니다.
중첩된 OUs를 사용하면 AWS Control Tower OUs AWS 다중 계정 전략에 맞게 조정할 수 있으며 상위 OUs 수준에서 제어를 적용하여 여러 OU에서 제어를 활성화하는 데 필요한 시간을 줄일 수 있습니다.
**주요 고려 사항**
1. 최상위 OU를 시작으로 트리를 따라 내려가면서 기존의 다중 수준 OU를 한 번에 하나씩 AWS Control Tower에 등록할 수 있습니다. 자세한 내용은 [플랫 OU 구조에서 중첩된 OU 구조로 확장](nested-ous.md#flat-to-nested) 섹션을 참조하세요.
1. 등록된 OU 바로 아래에 있는 계정은 자동으로 등록됩니다. 트리 아래쪽의 계정은 직계 상위 OU를 등록하여 등록할 수 있습니다.
1. 예방 제어(SCP)는 계층 구조에서 자동으로 상속됩니다. 상위에 적용된 SCP는 중첩된 모든 OU에 의해 상속됩니다.
1. 탐지 제어(AWS Config 규칙)는 자동으로 상속되지 않습니다.
1. 탐지 제어 준수 여부는 각 OU에서 보고됩니다.
1. OU의 SCP 드리프트는 OU의 모든 계정과 그 하위 OU에 영향을 미칩니다.
1. 보안 OU(코어 OU) 아래에는 중첩된 OU를 새로 생성할 수 없습니다.
## 탐지 제어 동시성
**2021년 11월 5일**
(AWS Control Tower 랜딩 존에 대한 선택적 업데이트)
AWS Control Tower 탐지 제어는 이제 탐지 제어를 위한 동시 작업을 지원하여 사용 편의성과 성능을 개선합니다. 개별 제어 작업이 완료될 때까지 기다리지 않고 여러 탐지 제어를 활성화할 수 있습니다.
**지원되는 기능:**
+ 동일한 OU에서 서로 다른 탐지 제어를 활성화합니다(예: **루트 사용자에 대한 MFA 활성화 여부 탐지** 및 **Amazon S3 버킷에 대한 퍼블릭 쓰기 액세스 허용 여부 탐지).**
+ 서로 다른 OU에서 서로 다른 탐지 제어를 동시에 활성화합니다.
+ 지원되는 제어 동시성 작업에 대한 추가 지침을 제공하기 위해 가드레일 오류 메시징이 개선되었습니다.
**이 릴리스에서 지원되지 않는 기능:**
+ 여러 OU에서 동시에 동일한 탐지 제어를 활성화하는 것은 지원되지 않습니다.
+ *예방* 제어 동시성은 지원되지 않습니다.
AWS Control Tower의 모든 버전에서 탐지 제어 동시성 개선을 경험할 수 있습니다. 현재 버전 2.7을 사용하지 않는 고객은 최신 버전에서 사용할 수 있는 리전 선택 및 선택 취소와 같은 다른 기능을 활용하기 위해 랜딩 존 업데이트를 수행하는 것이 좋습니다.
## 2개의 새로운 리전 사용 가능
**2021년 7월 29일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요합니다.)
이제 남아메리카(상파울루)와 유럽(파리)이라는 두 개의 추가 AWS 리전에서 AWS Control Tower를 사용할 수 있습니다. 이 업데이트는 AWS Control Tower 가용성을 15개 AWS 리전으로 확장합니다.
AWS Control Tower를 처음 사용하는 경우 지원되는 모든 리전에서 즉시 시작할 수 있습니다. 시작 중에 AWS Control Tower를 통해 다중 계정 환경을 구축하고 관리하려는 리전을 선택할 수 있습니다.
AWS Control Tower 환경이 이미 있고 지원되는 하나 이상의 리전에서 AWS Control Tower 거버넌스 기능을 확장하거나 제거하려는 경우 AWS Control Tower 대시보드의 **랜딩 존 설정** 페이지로 이동한 다음 리전을 선택합니다. 랜딩 존을 업데이트한 후 [AWS Control Tower 에서 관리하는 모든 계정을 업데이트](https://docs.aws.amazon.com//controltower/latest/userguide/configuration-updates.html#deploying-to-new-region)해야 합니다.
## 리전 선택 취소
**2021년 7월 29일**
(AWS Control Tower 랜딩 존에 대한 선택적 업데이트)
AWS Control Tower 리전 선택 취소를 통해 AWS Control Tower 리소스의 지리적 공간을 더 효과적으로 관리할 수 있습니다. AWS Control Tower에서 더 이상 관리하지 않는 리전을 선택 취소할 수 있습니다. 이 기능을 사용하면 규정 준수 및 규제 문제를 해결하는 동시에 추가 리전으로 확장하는 데 드는 비용의 균형을 맞출 수 있습니다.
리전 선택 취소는 AWS Control Tower 랜딩 존 버전을 업데이트할 때 사용할 수 있습니다.
Account Factory를 사용하여 새 계정을 생성하거나 기존 멤버 계정을 등록하는 경우, 또는 **거버넌스 확장**을 선택하여 기존 조직 단위에 계정을 등록하는 경우 AWS Control Tower는 중앙 집중식 로깅, 모니터링 및 제어를 포함한 거버넌스 기능을 계정의 선택된 리전에 배포합니다. 리전을 선택 취소하고 해당 리전에서 AWS Control Tower 거버넌스를 제거하도록 선택하면 해당 거버넌스 기능이 제거되지만 AWS 리소스 또는 워크로드를 해당 리전에 배포하는 사용자의 기능이 제한되지는 않습니다.
## AWS Control Tower는 AWS 키 관리 시스템에서 작동합니다.
**2021년 7월 28일**
(AWS Control Tower 랜딩 존에 대한 선택적 업데이트)
AWS Control Tower는 AWS Key Management Service(AWS KMS) 키를 사용할 수 있는 옵션을 제공합니다. 키는 AWS CloudTrail AWS Config및 관련 Amazon S3 데이터를 포함하여 AWS Control Tower가 배포하는 서비스를 보호하기 위해 사용자가 제공하고 관리합니다. AWS KMS 암호화는 AWS Control Tower가 기본적으로 사용하는 SSE-S3 암호화에 대한 향상된 암호화 수준입니다.
AWS KMS 지원을 AWS Control Tower에 통합하는 것은 민감한 로그 파일에 대한 추가 보안 계층을 권장하는 **AWS 기본 보안 모범 사례에** 부합합니다. 저장 시 암호화에는 AWS KMS 관리형 키(SSE-KMS)를 사용해야 합니다. AWS KMS 암호화 지원은 새 랜딩 존을 설정하거나 기존 AWS Control Tower 랜딩 존을 업데이트할 때 사용할 수 있습니다.
이 기능을 구성하려는 경우 초기 랜딩 존 설정 중에 **KMS 키 구성**을 선택할 수 있습니다. 기존 KMS 키를 선택하거나 AWS KMS 콘솔로 이동하여 새 KMS 키를 생성하도록 안내하는 버튼을 선택할 수 있습니다. 또한 기본 암호화에서 SSE-KMS 또는 다른 SSE-KMS 키로 유연하게 변경할 수 있습니다.
기존 AWS Control Tower 랜딩 존의 경우 업데이트를 수행하여 AWS KMS 키 사용을 시작할 수 있습니다.
## 제어 이름 변경됨, 기능 변경 없음
**2021년 7월 26일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
제어의 정책 의도를 더 잘 반영하기 위해 AWS Control Tower의 특정 제어 이름과 설명이 수정되었습니다. 수정된 이름과 설명은 제어가 계정 정책을 구현하는 방식을 보다 직관적으로 이해하는 데 도움이 됩니다. 예를 들어, 탐지 제어 자체는 특정 행위를 중지하는 것이 아니라 정책 위반을 탐지하여 대시보드를 통해 경고를 제공하는 것이므로 탐지 제어의 이름 중 일부를 '허용 안 함'에서 '탐지'로 변경했습니다.
제어 기능, 지침 및 구현은 변경되지 않았습니다. 제어 이름과 설명만 수정되었습니다.
## AWS Control Tower에서 드리프트 확인을 위해 매일 SCP 스캔
**2021년 5월 11일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이제 AWS Control Tower는 관리형 SCP에 대한 일일 자동 스캔을 수행하여 해당 제어가 올바르게 적용되고 드리프트되지 않았는지 확인합니다. 스캔에서 드리프트가 발견되면 알림을 받게 됩니다. AWS Control Tower는 드리프트 문제당 하나의 알림만 전송하므로 랜딩 존이 이미 드리프트 상태라면 새 드리프트 항목이 발견되는 경우를 제외하고 추가 알림을 받지 못합니다.
## OU 및 계정의 사용자 지정 이름
**2021년 4월 16일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이제 AWS Control Tower를 사용하여 랜딩 존 이름을 사용자 지정할 수 있습니다. AWS Control Tower가 조직 단위(OU) 및 코어 계정에 대해 권장하는 이름을 유지하거나 초기 랜딩존 설정 프로세스 중에 이러한 이름을 수정할 수 있습니다.
AWS Control Tower가 OU 및 코어 계정에 제공하는 기본 이름은 AWS 다중 계정 모범 사례 지침과 일치합니다. 그러나 회사에 특정 이름 지정 정책이 있거나 이름이 동일한 기존 OU 또는 계정이 이미 있는 경우 새 OU 및 계정 이름 지정 기능을 사용하면 이러한 제약 조건을 유연하게 해결할 수 있습니다.
설정 중 워크플로 변경과는 별개로, 이전에 코어 OU로 알려졌던 OU는 이제 보안 OU로, 사용자 지정 OU로 알려졌던 OU는 이제 샌드박스 OU로 불립니다. 명명에 대한 전반적인 AWS 모범 사례 지침에 맞게 조정을 개선하기 위해 이 변경을 수행했습니다.
새 고객은 이러한 새 OU 이름을 볼 수 있습니다. 기존 고객은 이러한 OU의 원래 이름을 계속 볼 수 있습니다. 문서를 새 이름으로 업데이트하는 동안 OU 이름 지정에 일부 불일치가 발생할 수 있습니다.
AWS 관리 콘솔에서 AWS Control Tower를 시작하려면 AWS Control Tower 콘솔로 이동하여 오른쪽 상단의 **랜딩 존 설정을** 선택합니다. 자세한 내용은 AWS Control Tower 랜딩 존 계획에 대해 읽어보세요.
## AWS Control Tower 랜딩 존 버전 2.7
**2021년 4월 8일**
(AWS Control Tower 랜딩 존을 버전 2.7로 업데이트해야 합니다. 자세한 내용은 [랜딩 존 업데이트](update-controltower.md) 섹션을 참조하세요.)
AWS Control Tower 버전 2.7에서는 AWS Control Tower가 AWS Control Tower 리소스에만 정책을 구현하는 4개의 새로운 필수 예방적 로그 아카이브 제어를 도입합니다. AWS Control Tower 외부의 리소스에 대한 정책을 설정하기 때문에 4개의 기존 로그 아카이브 제어에 대한 지침을 필수에서 선택으로 조정했습니다. 이 제어 변경 및 확장을 통해 AWS Control Tower 내의 리소스에 대한 로그 아카이브 거버넌스를 AWS Control Tower 외부의 리소스 거버넌스와 분리할 수 있습니다.
변경된 제어 4개를 새로운 필수 제어와 함께 사용하여 더 광범위한 AWS 로그 아카이브 세트에 거버넌스를 제공할 수 있습니다. 기존 AWS Control Tower 환경에서는 환경 일관성을 위해 이러한 네 가지 변경된 제어가 자동으로 활성화되지만 이제 이러한 선택적 제어를 비활성화할 수 있습니다. 새로운 AWS Control Tower 환경에서는 모든 선택적 제어를 활성화해야 합니다. **기존 환경에서는 AWS Control Tower에서 배포하지 않은 Amazon S3 버킷에 암호화를 추가하기 전에 이전 필수 제어를 비활성화해야 합니다.**
**새로운 필수 제어:**
+ 로그 아카이브에서 AWS Control Tower 생성 S3 버킷에 대한 암호화 구성 변경 허용 안 함
+ 로그 아카이브에서 AWS Control Tower 생성 S3 버킷에 대한 로깅 구성 변경 허용 안 함
+ 로그 아카이브에서 AWS Control Tower 생성 S3 버킷에 대한 버킷 정책 변경 허용 안 함
+ 로그 아카이브에서 AWS Control Tower 생성 S3 버킷의 수명 주기 구성 변경 허용 안 함
**지침이 필수에서 선택으로 변경됨:**
+ 모든 Amazon S3 버킷에 대한 암호화 구성 변경 허용 안 함 [이전: 로그 아카이브에 대한 저장 시 암호화 활성화]
+ 모든 Amazon S3 버킷에 대한 로깅 구성 변경 허용 안 함 [이전: 로그 아카이브에 대한 액세스 로깅 활성화]
+ 모든 Amazon S3 버킷에 대한 버킷 정책 변경 허용 안 함 [이전: 로그 아카이브에 대한 정책 변경 허용 안 함]
+ 모든 Amazon S3 버킷에 대한 수명 주기 구성 변경 허용 안 함 [이전: 로그 아카이브에 대한 보존 정책 설정]
AWS Control Tower 버전 2.7에는 2.7로 업그레이드한 후 이전 버전과 호환되지 않을 수 있는 AWS Control Tower 랜딩 존 블루프린트에 대한 변경 사항이 포함되어 있습니다.
+ 특히 AWS Control Tower 버전 2.7은 AWS Control Tower에서 배포한 S3 버킷에서 자동으로 `BlockPublicAccess`를 활성화합니다. 워크로드에 계정 간 액세스가 필요한 경우 이 기본값을 해제할 수 있습니다. `BlockPublicaccess`가 활성화되었을 때 발생하는 상황에 대한 자세한 내용은 [Amazon S3 스토리지에 대한 퍼블릭 액세스 차단](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-control-block-public-access.html)을 참조하세요.
+ AWS Control Tower 버전 2.7에는 HTTPS에 대한 요구 사항이 포함되어 있습니다. AWS Control Tower에서 배포한 S3 버킷으로 전송되는 모든 요청은 보안 소켓 계층(SSL)을 사용해야 합니다. HTTPS 요청만 통과할 수 있습니다. HTTP(SSL 제외)를 엔드포인트로 사용하여 요청을 전송하는 경우 이 변경으로 인해 액세스 거부 오류가 발생하여 워크플로가 중단될 수 있습니다. **이 변경 사항은 랜딩 존에 대한 2.7 업데이트 후에는 되돌릴 수 없습니다.**
*HTTP 대신 TLS를 사용하도록 요청을 변경하는 것이 좋습니다.*
## 세 개의 새 AWS 리전 사용 가능
**2021년 4월 8일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요합니다.)
AWS Control Tower는 아시아 태평양(도쿄) AWS 리전, 아시아 태평양(서울) 리전, 아시아 태평양(뭄바이) 리전의 세 가지 추가 리전에서 사용할 수 있습니다. 이러한 리전으로 거버넌스를 확장하려면 버전 2.7에 대한 랜딩 존 업데이트가 필요합니다.
버전 2.7로 업데이트를 수행할 때 랜딩 존이 이러한 리전으로 자동으로 확장되지 않으므로 포함하려면 리전 테이블에서 랜딩 존을 보고 선택해야 합니다.
## 선택한 리전만 관리
**2021년 2월 19일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower 리전 선택을 통해 AWS Control Tower 리소스의 지리적 공간을 더 잘 관리할 수 있습니다. 규정 준수, 규제, 비용 또는 기타 이유로 AWS 리소스 또는 워크로드를 호스팅하는 리전 수를 확장하기 위해 이제 관리할 추가 리전을 선택할 수 있습니다.
리전 선택은 새 랜딩 존을 설정하거나 AWS Control Tower 랜딩 존 버전을 업데이트할 때 사용할 수 있습니다. Account Factory를 사용하여 새 계정을 생성하거나 기존 멤버 계정을 등록하는 경우, 또는 **거버넌스 확장**을 사용하여 기존 조직 단위에 계정을 등록하는 경우 AWS Control Tower는 중앙 집중식 로깅, 모니터링 및 제어의 거버넌스 기능을 계정의 선택된 리전에 배포합니다. 리전 선택에 대한 자세한 내용은 [AWS Control Tower 리전 구성](region-how.md#deploying-to-new-region) 섹션을 참조하세요.
## 이제 AWS Control Tower가 AWS 조직의 기존 OUs로 거버넌스를 확장합니다.
**2021년 1월 28일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower 콘솔 내에서 거버넌스를 기존 조직 단위(OU)(AWS Control Tower에 없는 조직 단위)로 확장합니다. 이 기능을 사용하면 AWS Control Tower 거버넌스 아래에 최상위 OU와 포함된 계정을 가져올 수 있습니다. 거버넌스를 전체 OU로 확장하는 방법에 대한 자세한 내용은 [AWS Control Tower에 기존 조직 단위 등록](importing-existing.md) 섹션을 참조하세요.
OU를 등록하면 AWS Control Tower는 거버넌스를 성공적으로 확장하고 OU 내에서 계정을 등록하기 위해 일련의 검사를 수행합니다. OU의 초기 등록과 관련된 일반적인 문제에 대한 자세한 내용은 [등록 또는 재등록 중 발생하는 실패의 일반적 원인](common-eg-failures.md) 섹션을 참조하세요.
또한 AWS Control Tower [제품 웹 페이지](https://aws.amazon.com/controltower/)를 방문하거나 YouTube를 방문하여 [AWS Organizations을 위한 용 AWS Control Tower 시작하기](https://www.youtube.com/watch?v=CwRy0t8nfgM)에 대한 비디오를 시청할 수 있습니다.
## AWS Control Tower에서 대량 계정 업데이트 제공
**2021년 1월 28일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이제 대량 업데이트 기능을 사용하여 AWS Control Tower 대시보드에서 한 번의 클릭으로 최대 300개의 계정이 포함된 등록된 AWS Organizations 조직 단위(OU)의 모든 계정을 업데이트할 수 있습니다. 이 기능은 AWS Control Tower 랜딩 존을 업데이트할 때 등록된 계정도 현재 랜딩 존 버전에 맞게 업데이트해야 하는 경우에 특히 유용합니다.
또한 이 기능을 사용하면 AWS Control Tower 랜딩 존을 업데이트하여 새 리전으로 확장하거나 해당 OU의 모든 계정에 최신 제어가 적용되도록 OU를 재등록하려는 경우에도 계정을 최신 상태로 유지할 수 있습니다. 대량 계정 업데이트를 사용하면 한 번에 하나의 계정을 업데이트하거나 외부 스크립트를 사용하여 여러 계정에 대한 업데이트를 수행할 필요가 없습니다.
랜딩 존 업데이트에 대한 자세한 내용은 [랜딩 존 업데이트](update-controltower.md) 섹션을 참조하세요.
OU 등록 또는 재등록에 대한 자세한 내용은 [AWS Control Tower에 기존 조직 단위 등록](importing-existing.md) 섹션을 참조하세요.
# 2020년 1월\$112월
2020년에 AWS Control Tower는 다음 업데이트를 릴리스했습니다.
+ [이제 AWS Control Tower 콘솔이 외부 AWS Config 규칙으로 연결됩니다.](#config-aggregator-12-2020)
+ [이제 AWS Control Tower를 추가 리전에서 사용할 수 있음](#region-expansion-11-19-20)
+ [가드레일 업데이트](#control-update)
+ [AWS Control Tower 콘솔에서 OU 및 계정에 대한 자세한 내용 표시](#OU-account-detail)
+ [AWS Control Tower를 사용하여에서 새 다중 계정 AWS 환경 설정 AWS Organizations](#multiaccount-environments)
+ [AWS Control Tower 솔루션 사용자 지정](#Customizations)
+ [AWS Control Tower 버전 2.3의 일반 가용성](#Available_in_Sydney)
+ [AWS Control Tower의 단일 단계 계정 프로비저닝](#Single-step-provisioning)
+ [AWS Control Tower 서비스 해제 도구](#Decommissioning-tool)
+ [AWS Control Tower 수명 주기 이벤트 알림](#Lifecycle-event-notifications)
## 이제 AWS Control Tower 콘솔이 외부 AWS Config 규칙으로 연결됩니다.
**2020년 12월 29일**
(AWS Control Tower 랜딩 존을 버전 2.6으로 업데이트해야 합니다. 자세한 내용은 [랜딩 존 업데이트](update-controltower.md) 섹션을 참조하세요.)
AWS Control Tower에는 이제 외부 Config 규칙을 감지하는 데 도움이 AWS 되는 조직 수준 집계자가 포함되어 있습니다. 이를 통해 AWS Control Tower 콘솔에서 AWS Control Tower에서 생성한 AWS Config 규칙 외에도 외부에서 생성된 AWS Config 규칙의 존재 여부를 확인할 수 있습니다. 애그리게이터를 사용하면 AWS Control Tower가 관리되지 않는 계정에 액세스할 필요 없이 외부 규칙을 감지하고 AWS Config 콘솔에 대한 링크를 제공할 수 있습니다.
이 기능을 사용하면 이제 계정에 적용되는 탐지 제어에 대한 통합 보기를 통해 규정 준수를 추적하고 계정에 대한 추가 제어가 필요한지 확인할 수 있습니다. 자세한 내용은 [AWS Control Tower가 비관리형 OU 및 계정의 AWS Config 규칙을 집계하는 방법을 참조하세요 OUs](https://docs.aws.amazon.com/controltower/latest/userguide/roles-how.html#config-role-for-organizations).
## 이제 AWS Control Tower를 추가 리전에서 사용할 수 있음
**2020년 11월 18일**
(AWS Control Tower 랜딩 존을 버전 2.5로 업데이트해야 합니다. 자세한 내용은 [랜딩 존 업데이트](update-controltower.md) 섹션을 참조하세요.)
이제 5개의 추가 AWS 리전에서 AWS Control Tower를 사용할 수 있습니다.
+ 아시아 태평양(싱가포르) 리전
+ 유럽(프랑크푸르트) 리전
+ 유럽(런던) 리전
+ 유럽(스톡홀름) 리전
+ 캐나다(중부) 리전
이러한 5개 AWS 리전의 추가는 AWS Control Tower 버전 2.5에 도입된 유일한 변경 사항입니다.
AWS Control Tower를 미국 동부(버지니아 북부) 리전, 미국 동부(오하이오) 리전, 미국 서부(오리건) 리전, 유럽(아일랜드) 리전 및 아시아 태평양(시드니) 리전에서도 사용할 수 있습니다. 이번 출시를 통해 이제 10개 리전에서 AWS Control Tower를 사용할 수 AWS 있습니다.
이 랜딩 존 업데이트에는 나열된 모든 리전이 포함되며 실행 취소할 수 없습니다. 랜딩 존을 버전 2.5로 업데이트한 후에는 AWS Control Tower에 등록된 모든 계정을 지원되는 10개 AWS 리전에서 관리하도록 수동으로 업데이트해야 합니다. 자세한 내용은 [AWS Control Tower 리전 구성](region-how.md#deploying-to-new-region) 단원을 참조하세요.
## 가드레일 업데이트
**2020년 10월 8일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
필수 제어 `AWS-GR_IAM_ROLE_CHANGE_PROHIBITED`에 대한 업데이트된 버전이 릴리스되었습니다.
AWS Control Tower에 자동으로 등록되는 계정에는 `AWSControlTowerExecution` 역할이 활성화되어 있어야 하므로 제어에 대한 이러한 변경이 필요합니다. 이전 버전의 제어에서는 이 역할을 생성할 수 없습니다.
자세한 내용은 [AWS Control Tower에서 설정한 AWS IAM 역할에 대한 변경 허용 안 함 및 AWS Control Tower 컨트롤 참조 안내서 CloudFormation](https://docs.aws.amazon.com/controltower/latest/controlreference/mandatory-controls.html#iam-disallow-changes)를 참조하세요.
## AWS Control Tower 콘솔에서 OU 및 계정에 대한 자세한 내용 표시
**2020년 7월 22일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower에 등록된 조직 및 계정과 함께 등록되지 않은 조직 및 계정을 볼 수 있습니다.
AWS Control Tower 콘솔에서 AWS 계정 및 조직 단위(OUs)에 대한 자세한 내용을 볼 수 있습니다. 이제 **계정** 페이지에는 AWS Control Tower의 OU 또는 등록 상태에 관계없이 조직의 모든 계정이 나열됩니다. 이제 모든 표에서 검색, 정렬 및 필터링할 수 있습니다.
## AWS Control Tower를 사용하여에서 새 다중 계정 AWS 환경 설정 AWS Organizations
**2020년 4월 22일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Organizations 이제 고객은 AWS Control Tower를 사용하여 다음과 같은 새로운 기능을 활용하여 새로 생성된 조직 단위(OUs) 및 계정을 관리할 수 있습니다.
+ 이제 기존 AWS Organizations 고객은 기존 관리 계정에서 새 조직 단위(OUs)에 대한 새 랜딩 존을 설정할 수 있습니다. AWS Control Tower에서 새 OU를 생성하고 AWS Control Tower 거버넌스를 사용하여 해당 OU에서 새 계정을 생성할 수 있습니다.
+ AWS Organizations 고객은 계정 등록 프로세스 또는 스크립팅을 통해 기존 계정을 등록할 수 있습니다.
AWS Control Tower는 다른 서비스를 사용하는 오케스트레이션 AWS 서비스를 제공합니다. 신규 또는 기존 다중 계정 AWS 환경을 설정하고 대규모로 관리하는 가장 쉬운 방법을 찾고 있는 여러 계정과 팀이 있는 조직을 위해 설계되었습니다. AWS Control Tower에서 관리하는 조직의 경우 클라우드 관리자는 조직의 계정에서 설정된 정책을 준수하고 있는지 알 수 있습니다. 빌더는 규정 준수에 대한 과도한 걱정 없이 새 AWS 계정을 빠르게 프로비저닝할 수 있으므로 이점을 누릴 수 있습니다.
랜딩 존 설정에 관한 자세한 내용은 [AWS Control Tower 랜딩 존 계획](planning-your-deployment.md) 섹션을 참조하세요. 또한 AWS Control Tower [제품 웹 페이지](https://aws.amazon.com/controltower/)를 방문하거나 YouTube를 방문하여 [AWS Organizations을 위한 용 AWS Control Tower 시작하기](https://www.youtube.com/watch?v=-n65I4M8cas)에 대한 비디오를 시청할 수 있습니다.
이 변경 외에도 AWS Control Tower의 **빠른 계정 프로비저닝** 기능의 이름이 **계정 등록**으로 변경되었습니다. 이제 기존 AWS 계정 등록과 새 계정 생성을 허용합니다. 자세한 내용은 [AWS Control Tower 콘솔에서 기존 계정 등록](quick-account-provisioning.md) 단원을 참조하십시오.
## AWS Control Tower 솔루션 사용자 지정
**2020년 3월 17일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이제 AWS Control Tower에는 사용자 지정 템플릿과 정책을 AWS Control Tower 랜딩 존에 쉽게 적용할 수 있는 새로운 참조 구현이 포함되어 있습니다.
AWS Control Tower에 대한 사용자 지정을 통해 CloudFormation 템플릿을 사용하여 조직 내 기존 및 새 계정에 새 리소스를 배포할 수 있습니다. AWS Control Tower에서 이미 제공한 SCP 외에도 해당 계정에 사용자 지정 서비스 제어 정책(SCP)을 적용할 수도 있습니다. AWS Control Tower 파이프라인에 대한 사용자 지정은 AWS Control Tower 수명 주기 이벤트 및 알림([AWS Control Tower의 수명 주기 이벤트](lifecycle-events.md))과 통합되어 리소스 배포가 랜딩 존과 동기화되도록 합니다.
이 AWS Control Tower 솔루션 아키텍처에 대한 배포 설명서는 [AWS 솔루션 웹 페이지](https://aws.amazon.com/solutions/implementations/customizations-for-aws-control-tower/)를 통해 확인할 수 있습니다.
## AWS Control Tower 버전 2.3의 일반 가용성
**2020년 3월 5일**
(AWS Control Tower 랜딩 존을 업데이트해야 합니다. 자세한 내용은 [랜딩 존 업데이트](update-controltower.md) 섹션을 참조하세요.)
AWS Control Tower는 이제 미국 동부(오하이오), 미국 동부(버지니아 북부), 미국 서부(오레곤) 및 유럽(아일랜드) AWS 리전 외에도 아시아 태평양(시드니) 리전에서 사용할 수 있습니다. 아시아 태평양(시드니) 리전의 추가는 AWS Control Tower 버전 2.3에 도입된 유일한 변경 사항입니다.
이전에 AWS Control Tower를 사용한 적이 없는 경우 지원되는 모든 리전에서 바로 시작할 수 있습니다. AWS Control Tower를 이미 사용하고 있고 계정의 아시아 태평양(시드니) 리전으로 거버넌스 기능을 확장하려면 AWS Control Tower 대시보드의 **설정** 페이지로 이동합니다. 여기에서 랜딩 존을 최신 릴리스로 업데이트합니다. 그런 다음 계정을 개별적으로 업데이트합니다.
**참고**
랜딩 존을 업데이트해도 계정은 자동으로 업데이트되지 않습니다. 계정이 여러 개인 경우 필수 업데이트에 많은 시간이 소요될 수 있습니다. 이러한 이유로 워크로드를 실행할 필요가 없는 리전으로 AWS Control Tower 랜딩 존을 확장하지 않는 것이 좋습니다.
새 리전으로의 배포에 따른 탐지 제어의 예상 동작에 대한 자세한 내용은 [AWS Control Tower 리전 구성](https://docs.aws.amazon.com//controltower/latest/userguide/region-how.html#deploying-to-new-region)을 참조하세요.
## AWS Control Tower의 단일 단계 계정 프로비저닝
**2020년 3월 2일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이제 AWS Control Tower는 AWS Control Tower 콘솔을 통한 단일 단계 계정 프로비저닝을 지원합니다. 이 기능을 사용하면 AWS Control Tower 콘솔 내에서 새 계정을 프로비저닝할 수 있습니다.
간소화된 양식을 사용하려면 AWS Control Tower 콘솔에서 **Account Factory**로 이동한 다음 **빠른 계정 프로비저닝**을 선택합니다. AWS Control Tower는 프로비저닝된 계정과 해당 계정에 대해 생성된 Single Sign-On(IAM Identity Center) 사용자에게 동일한 이메일 주소를 할당합니다. 이 두 이메일 주소가 서로 달라야 하는 경우 Service Catalog를 통해 계정을 프로비저닝해야 합니다.
빠른 계정 프로비저닝을 통해 생성한 계정은 다른 계정에 대한 업데이트와 마찬가지로 Service Catalog 및 AWS Control Tower Account Factory를 사용하여 업데이트할 수 있습니다.
**참고**
2020년 4월, **빠른 계정 프로비저닝** 기능의 이름이 **계정 등록**으로 변경되었습니다. 2022년 6월에 AWS Control Tower 콘솔에서 계정을 생성하고 업데이트하는 기능은 AWS 계정 등록 기능과 분리되었습니다. 자세한 내용은 [AWS Control Tower 콘솔에서 기존 계정 등록](quick-account-provisioning.md) 단원을 참조하십시오.
## AWS Control Tower 서비스 해제 도구
**2020년 2월 28일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이제 AWS Control Tower는 AWS Control Tower에서 할당한 리소스를 정리하는 데 도움이 되는 자동 서비스 해제 도구를 지원합니다. 엔터프라이즈에 더 이상 AWS Control Tower를 사용하지 않으려는 경우 또는 조직 리소스의 대규모 재배포가 필요한 경우 랜딩 존을 처음 설정할 때 생성된 리소스를 정리할 수 있습니다.
대부분 자동화된 프로세스를 사용하여 랜딩 존을 폐기하려면 AWS Support 에 문의하여 필요한 추가 단계에 대한 지원을 받으세요. 서비스 해제에 대한 자세한 내용은 [AWS Control Tower 랜딩 존 폐기](decommission-landing-zone.md) 섹션을 참조하세요.
## AWS Control Tower 수명 주기 이벤트 알림
**2020년 1월 22일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower에서 수명 주기 이벤트 알림을 사용할 수 있습니다. [수명 주기 이벤트](lifecycle-events.md)는 AWS Control Tower에서 생성 및 관리하는 조직 단위(OU), 계정 및 제어와 같은 리소스의 상태를 변경할 수 있는 AWS Control Tower 작업이 완료되었음을 나타냅니다. 수명 주기 이벤트는 AWS CloudTrail 이벤트로 기록되고 Amazon EventBridge에 이벤트로 전달됩니다.
AWS Control Tower는 서비스를 사용하여 수행할 수 있는 다음 작업이 완료되면 수명 주기 이벤트를 기록합니다. 랜딩 존 생성 또는 업데이트, OU 생성 또는 삭제, OU에 대한 제어 활성화 또는 비활성화, Account Factory를 사용하여 새 계정을 생성하거나 계정을 다른 OU로 이동하는 작업이 여기에 포함됩니다.
AWS Control Tower는 여러 AWS 서비스를 사용하여 모범 사례 다중 계정 AWS 환경을 구축하고 관리합니다. AWS Control Tower 작업을 완료하는 데 몇 분 정도 걸릴 수 있습니다. CloudTrail 로그에서 수명 주기 이벤트를 추적하여 원래 AWS Control Tower 작업이 성공적으로 완료되었는지 확인할 수 있습니다. EventBridge 규칙을 생성하여 CloudTrail이 수명 주기 이벤트를 기록할 때 알림을 보내거나 자동화 워크플로의 다음 단계를 자동으로 트리거할 수 있습니다.
# 2019년 6월\$112월
2019년 6월 24일부터 12월 31일까지 AWS Control Tower는 다음 업데이트를 릴리스했습니다.
+ [AWS Control Tower 버전 2.2의 일반 가용성](#Version-2-2)
+ [AWS Control Tower의 새로운 선택적 제어](#Elective-gaurdrails)
+ [AWS Control Tower의 새로운 탐지 제어](#New-controls)
+ [AWS Control Tower에서 관리 계정과 도메인이 다른 공유 계정의 이메일 주소 수락](#Email-address-shared-accounts)
+ [AWS Control Tower 버전 2.1의 일반 가용성](#Version-2-1)
## AWS Control Tower 버전 2.2의 일반 가용성
**2019년 11월 13일**
(AWS Control Tower 랜딩 존을 업데이트해야 합니다. 자세한 내용은 [랜딩 존 업데이트](update-controltower.md) 섹션을 참조하세요.)
AWS Control Tower 버전 2.2는 계정의 드리프트를 방지하는 세 가지 새로운 예방 제어를 제공합니다.
+ [AWS Control Tower에서 설정한 Amazon CloudWatch Logs 로그 그룹에 대한 변경 허용 안 함](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#log-group-deletion-policy)
+ [AWS Control Tower에서 생성한 AWS Config 집계 권한 부여 삭제 허용 안 함](https://docs.aws.amazon.com//controltower/latest/controlreference/mandatory-controls.html#config-aggregation-authorization-policy)
+ [로그 아카이브 삭제 허용 안 함](https://docs.aws.amazon.com/controltower/latest/controlreference/mandatory-controls.html#disallow-audit-bucket-deletion)
제어는 전반적인 AWS 환경에 대한 지속적인 거버넌스를 제공하는 상위 수준 규칙이며, AWS Control Tower 랜딩 존을 생성할 때 랜딩 존과 모든 조직 단위(OU), 계정 및 리소스는 선택한 제어에서 적용되는 거버넌스 규칙을 준수합니다. 사용자 및 사용자 조직의 멤버가 랜딩 존을 사용할 때 우발적 또는 의도적으로 이 규정 준수 상태가 변경될 수 있습니다. 드리프트 탐지로 드리프트를 해결하기 위해 변경 또는 구성 업데이트가 필요한 리소스를 식별할 수 있습니다. 자세한 내용은 [AWS Control Tower의 드리프트 감지 및 해결](drift.md) 섹션을 참조하세요.
## AWS Control Tower의 새로운 선택적 제어
**2019년 9월 5일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower에는 이제 다음과 같은 4가지의 새로운 선택적 제어가 포함됩니다.
+ [MFA가 없는 Amazon S3 버킷의 삭제 작업 허용 안 함](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-s3-delete-mfa)
+ [Amazon S3 버킷에 대한 복제 구성 변경 허용 안 함](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-s3-ccr)
+ [루트 사용자 자격으로 작업 허용 안 함](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-root-auser-actions)
+ [루트 사용자를 위한 액세스 키 생성 허용 안 함](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-root-access-keys)
제어는 전반적인 AWS 환경에 대한 지속적인 거버넌스를 제공하는 상위 수준 규칙이며, 가드레일을 사용하면 정책 의도를 표현할 수 있습니다. 자세한 내용은 [AWS Control Tower의 제어 정보](https://docs.aws.amazon.com//controltower/latest/controlreference/controls.html)를 참조하세요.
## AWS Control Tower의 새로운 탐지 제어
**2019년 8월 25일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
AWS Control Tower에는 이제 다음과 같은 8개의 새로운 탐지 제어가 포함됩니다.
+ [Amazon S3 버킷에 대한 버전 관리 활성화 여부 탐지](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-s3-no-versioning)
+ [AWS 콘솔의 IAM 사용자에 대해 MFA가 활성화되었는지 여부를 감지합니다.](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-console-access-mfa)
+ [IAM 사용자에 대한 MFA 활성화 여부 탐지](https://docs.aws.amazon.com//controltower/latest/controlreference/elective-controls.html#disallow-access-mfa)
+ [Amazon EC2 인스턴스에 대한 Amazon EBS 최적화 활성화 여부 탐지](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-not-ebs-optimized)
+ [Amazon EBS 볼륨이 Amazon EC2 인스턴스에 연결되었는지 여부 탐지](https://docs.aws.amazon.com//controltower/latest/userguide/strongly-recommended-controls.html#disallow-unattached-ebs)
+ [Amazon RDS 데이터베이스 인스턴스에 대한 퍼블릭 액세스 활성화 여부 탐지](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-rds-public-access)
+ [Amazon RDS 데이터베이스 스냅샷에 대한 퍼블릭 액세스 활성화 여부 탐지](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-rds-snapshot-public-access)
+ [Amazon RDS 데이터베이스 인스턴스에 대한 스토리지 암호화 활성화 여부 탐지](https://docs.aws.amazon.com//controltower/latest/controlreference/strongly-recommended-controls.html#disallow-rds-storage-unencrypted)
제어는 전반적인 AWS 환경에 대한 지속적인 거버넌스를 제공하는 상위 수준 규칙이며, 탐지 제어는 정책 위반과 같이 계정에 있는 리소스의 규정 미준수를 감지하고 대시보드를 통해 경고를 제공합니다. 자세한 내용은 [AWS Control Tower의 제어 정보](https://docs.aws.amazon.com//controltower/latest/controlreference/controls.html)를 참조하세요.
## AWS Control Tower에서 관리 계정과 도메인이 다른 공유 계정의 이메일 주소 수락
**2019년 8월 1일**
(AWS Control Tower 랜딩 존에 대한 업데이트가 필요하지 않습니다.)
이제 AWS Control Tower에서 도메인이 관리 계정의 이메일 주소와 다른 공유 계정(로그 아카이브 및 감사 멤버) 및 하위 계정(Account Factory를 사용하여 제공)의 이메일 주소를 제출할 수 있습니다. 이 기능은 새 랜딩 존을 생성하고 새 하위 계정을 프로비저닝할 때만 사용할 수 있습니다.
## AWS Control Tower 버전 2.1의 일반 가용성
**2019년 6월 24일**
(AWS Control Tower 랜딩 존을 업데이트해야 합니다. 자세한 내용은 [랜딩 존 업데이트](https://docs.aws.amazon.com/controltower/latest/userguide/update-controltower.html)를 참조하세요.)
이제 AWS Control Tower를 프로덕션용으로 사용할 수 있으며 지원됩니다. AWS Control Tower는 새로운 다중 계정 AWS 환경을 설정하고 대규모로 관리하는 가장 쉬운 방법을 찾고 있는 여러 계정과 팀을 보유한 조직을 위한 것입니다. AWS Control Tower를 사용하면 조직의 계정이 설정된 정책을 준수하는지 확인할 수 있습니다. 분산된 팀의 최종 사용자는 새 AWS 계정을 빠르게 프로비저닝할 수 있습니다.
AWS Control Tower를 사용하면를 사용하여 [다중 계정 구조](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html) 구성,를 사용한 사용자 ID 및 페더레이션 액세스 AWS Organizations관리 AWS IAM Identity Center, Service Catalog를 통한 계정 프로비저닝 활성화, AWS CloudTrail 및를 사용하여 중앙 집중식 로그 아카이브 생성과 같은 모범 사례를 채택하는 [랜딩 존을 설정할](getting-started-with-control-tower.md) 수 있습니다 AWS Config.
지속적인 거버넌스를 위해 보안, 운영 및 규정 준수에 대해 명확하게 정의된 규칙인 사전 구성된 제어를 활성화할 수 있습니다. 가드레일은 정책을 준수하지 않는 리소스의 배포를 방지하고 배포된 리소스의 규정 미준수 여부를 지속적으로 모니터링하는 데 도움이 됩니다. AWS Control Tower 대시보드는 프로비저닝된 계정, 활성화된 제어, 계정의 규정 준수 상태 등 AWS 환경에 대한 중앙 집중식 가시성을 제공합니다.
AWS Control Tower 콘솔에서 클릭 한 번으로 새로운 다중 계정 환경을 설정할 수 있습니다. AWS Control Tower를 사용하기 위한 추가 요금이나 선결제 약정은 없습니다. 랜딩 존을 설정하고 선택한 제어를 구현하기 위해 활성화한 AWS 서비스에 대해서만 비용을 지불합니다.