기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 공유 계정에서 생성된 리소스
<a name="shared-account-resources"></a>

이 섹션에서는 랜딩 존을 설정할 때 AWS Control Tower가 공유 계정에서 생성하는 리소스를 보여줍니다.

멤버 계정 리소스에 대한 자세한 내용은 [Account Factory에 대한 리소스 고려 사항](account-factory-considerations.md) 섹션을 참조하세요.

## 관리 계정 리소스
<a name="mgmt-account-resouces"></a>

랜딩 존을 설정하면 관리 계정 내에 다음 AWS 리소스가 생성됩니다.


| AWS 서비스 | 리소스 유형 | 리소스 이름 | 
| --- | --- | --- | 
| AWS Organizations | 계정 | audit<br />log archive | 
| AWS Organizations | OU | Security<br />Sandbox | 
| AWS Organizations | 서비스 제어 정책 | aws-guardrails-\* | 
| AWS CloudFormation | 스택 | AWSControlTowerBP-BASELINE-CLOUDTRAIL-MASTER<br />AWSControlTowerBP-BASELINE-CONFIG-MASTER (버전 2.6 이상, 4.0 이상에는 배포되지 않음) | 
| AWS CloudFormation | StackSets | AWSControlTowerBP-BASELINE-CLOUDTRAIL(3.0 이상에는 배포되지 않음)<br />AWSControlTowerBP\_BASELINE\_SERVICE\_LINKED\_ROLE (Deployed in 3.2 and later)<br />AWSControlTowerBP-BASELINE-CLOUDWATCH<br />AWSControlTowerBP-BASELINE-CONFIG<br />AWSControlTowerBP-BASELINE-ROLES<br />AWSControlTowerBP-BASELINE-SERVICE-ROLES<br />AWSControlTowerBP-SECURITY-TOPICS<br />AWSControlTowerLoggingResources<br />AWSControlTowerSecurityResources<br />AWSControlTowerExecutionRole<br />AWSControlTowerBP-CONFIG-CENTRAL-S3-BUCKET (4.0 이상에서 배포됨) | 
| AWS Service Catalog | 제품 | AWS Control Tower Account Factory | 
| AWS Config | 애그리게이터 | aws-controltower-ConfigAggregatorForOrganizations (4.0 이상에서는 배포되지 않음) | 
| AWS CloudTrail | 추적 | aws-controltower-BaselineCloudTrail | 
| Amazon CloudWatch | CloudWatch Logs | aws-controltower/CloudTrailLogs | 
| AWS Identity and Access Management | 역할 | AWSControlTowerAdmin<br />AWSControlTowerStackSetRole<br />AWSControlTowerCloudTrailRolePolicy | 
| AWS Identity and Access Management | 정책 | AWSControlTowerServiceRolePolicy<br />AWSControlTowerAdminPolicy<br />AWSControlTowerCloudTrailRolePolicy<br />AWSControlTowerStackSetRolePolicy | 
| AWS IAM Identity Center | 디렉터리 그룹 | AWSAccountFactory<br />AWSAuditAccountAdmins<br />AWSControlTowerAdmins<br />AWSLogArchiveAdmins<br />AWSLogArchiveViewers<br />AWSSecurityAuditors<br />AWSSecurityAuditPowerUsers<br />AWSServiceCatalogAdmins | 
| AWS IAM Identity Center | 권한 세트 | AWSAdministratorAccess<br />AWSPowerUserAccess<br />AWSServiceCatalogAdminFullAccess<br />AWSServiceCatalogEndUserAccess<br />AWSReadOnlyAccess<br />AWSOrganizationsFullAccess | 

**참고**  
 CloudFormation StackSet`BP_BASELINE_CLOUDTRAIL`는 랜딩 존 버전 3.0 이상에 배포되지 않습니다. 그러나 랜딩 존을 업데이트할 때까지 이전 버전의 랜딩 존에는 계속 존재합니다.  
2025년 6월부터 AWS Control Tower는 viaStackSets 대신 등록된 계정에 직접 탐지 제어를 서비스 연결 AWS Config 규칙으로 배포합니다. CloudFormation StackSets StackSets `AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-READ-PROHIBITED` `AWSControlTowerGuardrailAWS-GR-AUDIT-BUCKET-PUBLIC-WRITE-PROHIBITED` 및 관련 스택 인스턴스는 더 이상 배포되지 않습니다. 자세한 내용은 [서비스 연결 AWS Config 규칙으로 배포된 탐지 제어 지원을 참조하세요](https://docs.aws.amazon.com/controltower/latest/userguide/2025-all.html#managed-config-controls).

## 로그 아카이브 계정 리소스
<a name="log-archive-resources"></a>

랜딩 존을 설정하면 로그 아카이브 계정 내에 다음 AWS 리소스가 생성됩니다.


| AWS 서비스 | 리소스 유형 | 리소스 이름 | 
| --- | --- | --- | 
| AWS CloudFormation | 스택 | StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-<br />StackSet-AWSControlTowerBP-BASELINE-CONFIG-<br />StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-<br />StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-<br />StackSet-AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE-(In 3.2 and later)<br />StackSet-AWSControlTowerBP-BASELINE-ROLES-<br />StackSet-AWSControlTowerLoggingResources- | 
| AWS Config | AWS Config 규칙 | AWSControlTower\_AWS-GR\_AUDIT\_BUCKET\_PUBLIC\_READ\_PROHIBITED<br />AWSControlTower\_AWS-GR\_AUDIT\_BUCKET\_PUBLIC\_WRITE\_PROHIBIT | 
| AWS CloudTrail | 추적 | aws-controltower-BaselineCloudTrail | 
| Amazon CloudWatch | CloudWatch Events 규칙 | aws-controltower-ConfigComplianceChangeEventRule | 
| Amazon CloudWatch | CloudWatch Logs | /aws/lambda/aws-controltower-NotificationForwarder | 
| AWS Identity and Access Management | 역할 | aws-controltower-AdministratorExecutionRole<br />aws-controltower-CloudWatchLogsRole<br />aws-controltower-ConfigRecorderRole<br />aws-controltower-ForwardSnsNotificationRole<br />aws-controltower-ReadOnlyExecutionRole<br />AWSControlTowerExecution | 
| AWS Identity and Access Management | 정책 | AWSControlTowerServiceRolePolicy | 
|  Amazon Simple Notification Service | 주제 | aws-controltower-SecurityNotifications | 
| AWS Lambda | 애플리케이션 | StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-\* | 
| AWS Lambda | 함수 | aws-controltower-NotificationForwarder | 
| Amazon Simple Storage Service | 버킷 | aws-controltower-logs-\*<br />aws-controltower-s3-access-logs-\* | 

## 계정 리소스 감사
<a name="audit-account-resources"></a>

랜딩 존을 설정하면 감사 계정 내에 다음 AWS 리소스가 생성됩니다.


| AWS 서비스 | 리소스 유형 | 리소스 이름 | 
| --- | --- | --- | 
| AWS CloudFormation | 스택 | StackSet-AWSControlTowerBP-BASELINE-CLOUDWATCH-<br />StackSet-AWSControlTowerBP-BASELINE-CONFIG-<br />StackSet-AWSControlTowerBP-BASELINE-CLOUDTRAIL-<br />StackSet-AWSControlTowerBP-BASELINE-SERVICE-ROLES-<br />StackSet-AWSControlTowerBP-BASELINE-SERVICE-LINKED-ROLE-(In 3.2 and later)<br />StackSet-AWSControlTowerBP-SECURITY-TOPICS-<br />StackSet-AWSControlTowerBP-BASELINE-ROLES-<br />StackSet-AWSControlTowerSecurityResources-\*<br />StackSet-AWSControlTowerBP-CONFIG-CENTRAL-S3-BUCKET- (4.0 이상에서 배포됨) | 
| AWS Config | 애그리게이터 | aws-controltower-GuardrailsComplianceAggregator (4.0 이상에서는 배포되지 않음) | 
| AWS Config | 애그리게이터 | aws-controltower-ConfigAggregatorForOrganizations (4.0 이상에서 배포됨) | 
| AWS Config | AWS Config 규칙 | AWSControlTower\_AWS-GR\_AUDIT\_BUCKET\_PUBLIC\_READ\_PROHIBITED<br />AWSControlTower\_AWS-GR\_AUDIT\_BUCKET\_PUBLIC\_WRITE\_PROHIBITED | 
| AWS CloudTrail | 추적 | aws-controltower-BaselineCloudTrail | 
| Amazon CloudWatch | CloudWatch Events 규칙 | aws-controltower-ConfigComplianceChangeEventRule | 
| Amazon CloudWatch | CloudWatch Logs | /aws/lambda/aws-controltower-NotificationForwarder | 
| AWS Identity and Access Management | 역할 | aws-controltower-AdministratorExecutionRole<br />aws-controltower-CloudWatchLogsRole<br />aws-controltower-ConfigRecorderRole<br />aws-controltower-ForwardSnsNotificationRole<br />aws-controltower-ReadOnlyExecutionRole<br />aws-controltower-AuditAdministratorRole<br />aws-controltower-AuditReadOnlyRole<br />AWSControlTowerExecution | 
| AWS Identity and Access Management | 정책 | AWSControlTowerServiceRolePolicy | 
|  Amazon Simple Notification Service | 주제 | aws-controltower-AggregateSecurityNotifications<br />aws-controltower-AllConfigNotifications<br />aws-controltower-SecurityNotifications | 
| AWS Lambda | 함수 | aws-controltower-NotificationForwarder | 
| Amazon Simple Storage Service | 버킷 | aws-controltower-config-logs-\* (4.0 이상에서 배포됨)<br />aws-controltower-config-access-logs-\* (4.0 이상에서 배포됨) |