기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 공유 계정 정보
<a name="special-accounts"></a>

관리 계정, **감사** 계정 및 **로그 아카이브** 계정이라는 세 가지 특수 AWS 계정 가 AWS Control Tower와 연결됩니다. 이러한 계정을 일반적으로 *공유 계정*이라고 하며, 때때로 *코어 계정*이라고도 합니다.
+  랜딩 존을 설정할 때 감사 및 로그 아카이브 계정의 사용자 지정 이름을 선택할 수 있습니다. 계정 이름 변경에 대한 자세한 내용은 [외부에서 AWS Control Tower 리소스 이름 변경](https://docs.aws.amazon.com/controltower/latest/userguide/external-resources.html#changing-names)을 참조하세요.
+ 초기 랜딩 존 설정 프로세스 중에 기존 AWS 계정 를 AWS Control Tower 보안 또는 로깅 계정으로 지정할 수도 있습니다. 이 옵션을 사용하면 AWS Control Tower에서 새 공유 계정을 생성할 필요가 없습니다. (이는 일회성 선택입니다.)

공유 계정 및 연결된 리소스에 대한 자세한 내용은 [공유 계정에서 생성된 리소스](shared-account-resources.md) 섹션을 참조하세요.

## 관리 계정
<a name="mgmt-account"></a>

그러면 AWS Control Tower가 AWS 계정 시작됩니다. 기본적으로 이 계정의 루트 사용자와 이 계정의 IAM 사용자 또는 IAM 관리자 사용자는 랜딩 존 내의 모든 리소스에 대한 전체 액세스 권한을 갖습니다.

**참고**  
AWS Control Tower 콘솔 내에서 관리 기능을 수행할 때는 이 계정의 루트 사용자 또는 IAM 관리자 사용자로 로그인하는 대신 **관리자** 권한이 있는 IAM Identity Center 사용자로 로그인하는 것이 좋습니다.

관리 계정에서 사용할 수 있는 역할 및 리소스에 대한 자세한 내용은 [공유 계정에서 생성된 리소스](shared-account-resources.md) 섹션을 참조하세요.

## 로그 아카이브 계정
<a name="log-archive-account"></a>

다른 계정을 특별히 가져오지 않으면 랜딩 존을 생성할 때 로그 아카이브 공유 AWS 계정이 자동으로 설정됩니다.

이 계정에는 랜딩 존의 다른 모든 계정에 대한 모든 AWS CloudTrail 및 AWS Config 로그 파일의 사본을 저장하기 위한 중앙 Amazon S3 버킷이 포함되어 있습니다. 모범 사례로, 로그 아카이브 계정에 대한 액세스를 규정 준수 및 조사를 담당하는 팀과 이와 관련된 보안 또는 감사 도구로 제한하는 것이 좋습니다. 이 계정은 자동 보안 감사에 사용하거나 Lambda 함수 AWS Config 규칙와 같은 사용자 지정를 호스팅하여 문제 해결 작업을 수행하는 데 사용할 수 있습니다.

**Amazon S3 버킷 정책**  
AWS Control Tower 랜딩 존 버전 3.3 이상의 경우 계정은 감사 버킷에 대한 모든 쓰기 권한에 대해 `aws:SourceOrgID` 조건을 충족해야 합니다. 이 조건은 CloudTrail만 조직 내 계정을 대신하여 S3 버킷에 로그를 쓸 수 있도록 보장하며, 조직 외부의 CloudTrail 로그가 AWS Control Tower S3 버킷에 기록되지 않도록 방지합니다. 자세한 내용은 [AWS Control Tower 랜딩 존 버전 3.3](2023-all.md#lz-3-3) 단원을 참조하십시오.

로그 아카이브 계정에서 사용할 수 있는 역할 및 리소스에 대한 자세한 내용은 [로그 아카이브 계정 리소스](shared-account-resources.md#log-archive-resources) 섹션을 참조하세요.

**참고**  
이러한 로그는 변경할 수 없습니다. 모든 로그는 계정 활동과 관련된 감사 및 규정 준수 조사를 위해 저장됩니다.

## 감사 계정
<a name="audit-account"></a>

구체적으로 또 다른 계정을 가져오지 않는 한, 이 공유 계정은 랜딩 존을 생성할 때 자동으로 설정됩니다.

감사 계정은 랜딩 존의 모든 계정에 대한 감사자(읽기 전용) 및 관리자(전체 액세스) 교차 계정 역할이 있는 보안 및 규정 준수 팀으로 제한되어야 합니다. 이러한 역할은 보안 및 규정 준수 팀이 다음 작업을 수행할 수 있도록 하기 위한 것입니다.
+ 사용자 지정 AWS Config 규칙 Lambda 함수 호스팅과 같은 AWS 메커니즘을 통해 감사를 수행합니다.
+ 문제 해결 작업과 같은 자동 보안 작업을 수행합니다.

또한 감사 계정은 Amazon Simple Notification Service(Amazon SNS) 서비스를 통해 알림을 수신합니다. 세 가지 범주의 알림을 수신할 수 있습니다.
+ **모든 구성 이벤트** -이 주제에서는 랜딩 존의 모든 계정에서 모든 CloudTrail 및 AWS Config 알림을 집계합니다.
+ **보안 알림 집계** - 이 주제는 특정 CloudWatch 이벤트, AWS Config 규칙 규정 준수 상태 변경 이벤트 및 GuardDuty 조사 결과의 모든 보안 알림을 집계합니다.
+ **드리프트 알림** - 이 주제는 랜딩 존의 모든 계정, 사용자, OU 및 SCP에서 검색된 모든 드리프트 경고를 집계합니다. 드리프트에 대한 자세한 내용은 [AWS Control Tower의 드리프트 감지 및 해결](drift.md) 섹션을 참조하세요.

멤버 계정 내에서 트리거되는 감사 알림도 로컬 Amazon SNS 주제에 알림을 보낼 수 있습니다. 이 기능을 사용하면 계정 관리자가 개별 멤버 계정과 관련된 감사 알림을 구독할 수 있습니다. 따라서 관리자는 중앙 집중식 감사 계정에 대한 모든 계정 알림을 집계하면서 개별 계정에 영향을 미치는 문제를 해결할 수 있습니다. 자세한 내용은 [Amazon Simple Notification Service 개발자 안내서](https://docs.aws.amazon.com/sns/latest/dg/)를 참조하세요.

감사 계정에서 사용할 수 있는 역할 및 리소스에 대한 자세한 내용은 [계정 리소스 감사](shared-account-resources.md#audit-account-resources) 섹션을 참조하세요.

프로그래밍 방식 감사에 대한 자세한 내용은 [AWS Control Tower 감사 계정에 대한 프로그래밍 방식 역할 및 신뢰 관계](https://docs.aws.amazon.com//controltower/latest/userguide/roles-how.html#stacksets-and-roles)를 참조하세요.

**중요**  
감사 계정에 제공한 이메일 주소는 AWS Control Tower에서 지원하는 모든 AWS 리전 에서 **AWS 알림 - 구독 확인** 이메일을 수신합니다. 감사 계정에서 규정 준수 이메일을 수신하려면 AWS Control Tower에서 AWS 리전 지원하는 각의 각 이메일 내에서 **구독 확인** 링크를 선택해야 합니다.