기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 기준 유형
<a name="types-of-baselines"></a>

AWS Control Tower의 *기준*은 대상에 적용할 수 있는 리소스 및 특정 구성의 그룹입니다. 가장 일반적인 기준 대상은 조직 단위(OU)일 수 있습니다. 예를 들어 OU가 대상으로 선택된 기준을 활성화하여 해당 OU를 AWS Control Tower에 등록할 수 있습니다.

랜딩 존 설정 중에 공유 계정에서 일부 기준이 자동으로 활성화될 수 있습니다. 랜딩 존 설정 및 구성에 따라 특정 기준을 활성화하고 업데이트할 수 있습니다. AWS Control Tower는 기준에서 지정하는 방식으로 리소스를 생성하고 대상에 배포합니다.

대상에서 기준을 활성화하면 기준이 리소스라고 하는 AWS `EnabledBaseline` 리소스로 표시됩니다.

AWS Control Tower에는 다음과 같은 2가지 일반 기준 유형이 포함되어 있습니다.
+ OU에서 활성화할 수 있는 기준입니다.
+ 랜딩 존 설정 중에 공유 계정에서 활성화할 수 있는 기준입니다.

## OU 수준에서 적용되는 기준 유형
<a name="ou-baseline-types"></a>

**참고**  
OU 수준에서 적용되는 기준만 `EnableBaseline` API를 통해 직접 활성화할 수 있습니다.
+ **이름**: `AWSControlTowerBaseline`

  **설명**:이 기준은 규정 준수 모니터링, 감사, 보안 모니터링 및 선택적으로 액세스 관리에 필요한 대상 OU 내의 멤버 계정에 대한 리소스 및 제어를 설정합니다. 이 기준은 AWS Control Tower에 OU를 등록할 때 활성화됩니다.

  **사전 조건**: AWS Control Tower 랜딩 존에서 AWS Config 통합을 활성화해야 합니다.

  **고려 사항**: 이 기준은 랜딩 존 **리전 거부** 제어의 설정을 유지합니다. 즉, 특정 리전이 랜딩 존 수준에서 허용되지 않는 경우 `EnableBaseline` API를 직접 호출하여 OU를 등록할 때 해당 리전은 이 OU에 허용되지 않습니다.
**참고**  
OU 수준 리전 거부 제어는 랜딩 존 리전 거부 제어가 허용하지 않는 리전을 허용할 수 없습니다.

   자세한 내용은 AWS Organizations 설명서의 [ SCPs 거부와 함께 작동하는 방법을](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html#how_scps_deny) 참조하세요.

  **권장 사항**: OU에 대해 `EnableBaseline` API를 직접 호출하기 전에 대상 OU가 워크로드를 실행하고 있을 수 있는 리전을 확인하고 그 결과를 랜딩 존 리전 거부 제어와 비교하여 확인하는 것이 좋습니다. 그러지 않으면 특정 리전의 리소스에 대한 액세스 권한이 손실될 수 있습니다.
+  **이름**: `ConfigBaseline`

  **설명**:이 기준은 Detective Controls 활성화에 필요한 대상 OU 내의 멤버 계정에 대한 AWS Config 관련 리소스를 설정합니다. 설정된 리소스는 AWSControlTowerBaseline의 리소스 하위 집합입니다.

  **사전 조건**: AWS Control Tower 랜딩 존에서 AWS Config 통합을 활성화해야 합니다.

  **고려 사항**:이 기준은 랜딩 존 리전 거부 제어의 설정을 유지하지 않습니다. 리전 거부 제어는 ConfigBaseline 활성화의 일부로 활성화되지 않습니다.

  **제한**: 동일한 OU에서 AWSControlTowerBaseline 및 ConfigBaseline을 활성화할 수 없습니다. 이 중 하나만 OU에 허용됩니다.
+  **이름**: `BackupBaseline`

  **설명**: 이 기준은 대상 OU 내의 멤버 계정에 대한 리소스 및 제어를 설정합니다. 이는 와의 통합이 데이터 백업을 자동화 AWS 서비스하고 백업 정책 관리를 중앙 집중화할 AWS Backup 수 있도록 하기 위해 필요합니다.

  **사전 조건**:
  + AWS Control Tower 랜딩 존에서 AWS Backup 통합을 활성화해야 합니다.
  + AWS Control Tower 랜딩 존에서 AWS Config 통합을 활성화해야 합니다.
  + `AWSControlTowerBaseline`는 대상 OU에서 활성화되어야 합니다.

  **고려 사항**: 대상 OU에서 `BackupBaseline`을 활성화하기 전에 대상 OU에서 `AWSControlTowerBaseline`이 활성화되어 있는지 확인합니다. 즉, 대상 OU가 AWS Control Tower에 등록되어 있어야 합니다.
  + AWS Control Tower 랜딩 존을 생성하는 AWS Backup 프로세스 중에 또는 랜딩 존 업데이트 프로세스 중에를 활성화하도록 선택할 수 있습니다.
  + `BackupBaseline`은 랜딩 존 버전 3.1 이상과 호환됩니다.
  + `BackupBaseline`은 관리 계정에 적용되지 않습니다.

## 랜딩 존 설정 중에 공유 계정에 적용될 수 있는 기준 유형
<a name="lz-baseline-types"></a>

AWS Control Tower는 랜딩 존 설정 및 업데이트 프로세스의 일부로 공유 계정에서 특정 기준을 활성화합니다. 랜딩 존 설정을 변경하면 랜딩 존의 기준이 변경될 수 있습니다. 예를 들어, IAM Identity Center를 옵트인하면 AWS Control Tower가 랜딩 존에서 `IdentityCenterBaseline` 기준의 최신 버전을 활성화할 수 있습니다.

 `ListEnabledBaselines` API 직접 호출을 통해 랜딩 존에 대해 활성화된 기준을 볼 수 있습니다.

**참고**  
 랜딩 존 버전 4.0부터 AuditBaseline은 `CentralSecurityRolesBaseline` 및 라는 두 가지 개별 기준으로 대체됩니다`CentralConfigBaseline`.
+ **이름**: `CentralConfigBaseline`

  **설명**: AWS Config를 사용하여 조직 내에서 규정 준수 모니터링 및 감사를 위한 중앙 리소스를 설정합니다.
+ **이름**: `CentralSecurityRolesBaseline`

  **설명**: 조직 내에서 보안 모니터링을 위한 중앙 리소스를 설정합니다.
+ **이름**: `AuditBaseline`

  **설명**: 조직 내 계정의 보안 및 규정 준수를 모니터링하는 리소스를 설정합니다.
+ **이름**: `LogArchiveBaseline`

  **설명**: 조직 내 계정의 API 활동 및 리소스 구성의 로그를 위한 중앙 리포지토리를 설정합니다.
+ **이름**: `IdentityCenterBaseline`

  **설명**: 계정에 대한 Identity Center 액세스를 설정하기 위해 `AWSControlTowerBaseline`을 준비하는 IAM Identity Center에 대한 공유 리소스를 설정합니다.

  **고려 사항**: 이 기준은 랜딩 존을 처음 설정할 때 IAM Identity Center를 ID 공급자로 선택한 경우 또는 이후 랜딩 존 설정을 변경하여 랜딩 존에 대해 IAM Identity Center를 활성화한 경우에만 작동합니다. 다른 ID 제공업체를 사용하는 경우 이 기준을 활성화할 수 있는 액세스 권한이 없습니다.
+ **이름**: `BackupCentralVaultBaseline`

  **설명**: 조직의 중앙 AWS Backup 볼트를 설정합니다.
+ **이름**: `BackupAdminBaseline`

  **설명**: 위임된 관리자와 AWS Backup Audit Manager를 설정합니다.

## 활성화된 기준 및 멤버 계정
<a name="baselines-and-member-accounts"></a>

OU에서 기준을 활성화하면 해당 구성은 OU의 멤버 계정에 의해 상속됩니다. 상속의 사실로 인해 계정을 언급할 때 이를 *하위 활성화 기준*이라고 합니다. OU에 적용되는 기준을 *상위 활성화 기준*이라고 합니다. 상위 활성화 기준은 하위 활성화 기준의 구성을 제어합니다. OU에서 제어를 활성화하면 해당 제어가 OU 내의 모든 계정에 적용되는 방식과 비슷합니다.

**계정의 기준 상태 보기**

AWS Control Tower에서는 기준과 함께 계정을 직접 대상으로 지정할 수 없습니다. 그러나 상속된 하위 활성화 기준을 사용하여 각 멤버 계정의 활성화 및 드리프트 상태를 추적할 수 있습니다. 계정 상태를 보려면 `includeChildren` 기능 플래그를 사용하여 [https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html](https://docs.aws.amazon.com//controltower/latest/APIReference/API_ListEnabledBaselines.html) API를 직접적으로 호출하면 됩니다.

**계정의 기준 비활성화**

AWS Control Tower는 상위 활성화 기준에 연결된 하위 활성화 기준을 비활성화하도록 허용하지 않습니다. 하위 활성화 기준은 상속이 드리프트되어 상위 활성화 기준에 더 이상 연결되지 않는 경우 비활성화할 수 있습니다.

## 기준 및 버전 관리 기본값
<a name="baselines-and-versioning"></a>

AWS Control Tower 랜딩 존이 이미 설정되어 있고 랜딩 존 기준을 활성화하기로 선택한 경우 AWS Control Tower는 랜딩 존 버전과 호환되는 최신 버전의 기준을 활성화합니다. AWS Control Tower에 아직 등록되지 않은 OU에 대해 기준을 활성화하도록 선택하는 경우 AWS Control Tower는 해당 OU에 대해 호환되는 최신 버전의 기준을 자동으로 제공합니다.