기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Control Tower란?
<a name="what-is-control-tower"></a>

AWS Control Tower는 규범적 모범 사례에 따라AWS다중 계정 환경을 설정하고 관리하는 간단한 방법을 제공합니다. AWS Control Tower*는 , 및 등 다른 여러 서비스의 기능을 오케스트*레이션AWS IAM Identity Center하여 1시간 이내에 랜딩 존을 구축합니다. [AWS](https://docs.aws.amazon.com//controltower/latest/userguide/integrated-services.html)AWS OrganizationsAWS Service Catalog리소스는 사용자를 대신하여 설정 및 관리됩니다.

AWS Control Tower 오케스트레이션은의 기능을 확장합니다AWS Organizations. AWS Control Tower는 조직과 계정이 모범 사례에서 벗어나는 *드리프트* 상태가 되지 않도록 제어(종종 *가드레일*이라고도 함)를 적용합니다. 예를 들어 제어를 사용하여 보안 로그와 필요한 교차 계정 액세스 권한이 생성되고 변경되지 않도록 할 수 있습니다.

여러 개의 계정을 호스팅하는 경우 계정 배포 및 계정 거버넌스가 용이하도록 오케스트레이션 계층이 있는 것이 좋습니다. AWS Control Tower를 계정 및 인프라를 프로비저닝하는 기본 방법으로 채택할 수 있습니다. AWS Control Tower를 사용하면 기업 표준을 더 쉽게 준수하고, 규제 요구 사항을 충족하고, 모범 사례를 따를 수 있습니다.

AWS Control Tower를 사용하면 분산 팀의 최종 사용자가 Account Factory에서 구성 가능한AWS계정 템플릿을 사용하여 새 계정을 빠르게 프로비저닝할 수 있습니다. 그러는 동안 중앙 클라우드 관리자는 모든 계정이 회사 전체의 규정 준수 정책에 부합하는지 모니터링할 수 있습니다.

간단히 말해서 AWS Control Tower는 수천 개의 기업과 협력하여 수립된 모범 사례를 기반으로 안전하고 규정을 준수하는 다중 계정AWS환경을 설정하고 관리하는 가장 쉬운 방법을 제공합니다. AWS Control Tower 작업에 대한 자세한 내용과AWS다중 계정 전략에 설명된 모범 사례는 섹션을 참조하세요[AWS 다중 계정 전략: 모범 사례 지침](aws-multi-account-landing-zone.md#multi-account-guidance).

## 특성
<a name="features"></a>

AWS Control Tower에는 다음과 같은 기능이 있습니다.
+ **랜딩 존** – 랜딩 존은 보안 및 규정 준수 모범 사례를 기반으로 잘 설계된 [다중 계정 환경](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/appendix-e-establish-multi-account.html#example-workloads-flat-structure)입니다. 또한 규정 준수 규칙이 적용되는 조직 단위(OU), 계정, 사용자 및 기타 리소스를 모두 포함하는 전사적 컨테이너입니다. 랜딩 존은 모든 규모의 기업 요구 사항에 맞게 확장할 수 있습니다.
+ **제어** - 제어(가*드레일*이라고도 함)는 전체AWS환경에 대한 지속적인 거버넌스를 제공하는 상위 수준 규칙입니다. 일반적인 언어로 표현됩니다. 제어에는 *예방*, *탐지* 및 *사전*의 세 가지 종류가 있습니다. 제어에는 *필수*, *적극 권장* 및 *선택적*이라는 세 가지 범주의 지침이 적용됩니다. 제어에 대한 자세한 내용은 [제어 작동 방식](how-controls-work.md)을 참조하세요.
+ **Account Factory** – Account Factory는 사전 승인된 계정 구성으로 새 계정의 프로비저닝을 표준화하는 데 도움이 되는 구성 가능한 계정 템플릿입니다. AWS Control Tower는 조직의 계정 프로비저닝 워크플로를 자동화하는 데 도움이 되는 기본 제공 Account Factory를 제공합니다. 자세한 내용은 [Account Factory로 계정 프로비저닝 및 관리](account-factory.md) 섹션을 참조하세요.
+ **대시보드** – 중앙 클라우드 관리자 팀은 대시보드를 사용하여 랜딩 존을 지속적으로 감독할 수 있습니다. 대시보드를 사용하여 기업 전체에서 프로비저닝된 계정, 정책 시행을 위한 제어, 정책 미준수에 대한 지속적 감지를 위한 제어, 계정 및 OU별로 구성된 규정 미준수 리소스를 볼 수 있습니다.

## AWS Control Tower가 다른AWS서비스와 상호 작용하는 방법
<a name="related-services"></a>

AWS Control Tower는AWS Service CatalogAWS IAM Identity Center및를 포함하여 신뢰할 수 있고 신뢰할 수 있는AWS서비스를 기반으로 구축되었습니다AWS Organizations. 자세한 내용은 [통합 서비스](integrated-services.md) 단원을 참조하십시오.

기존 워크로드를 마이그레이션하는 데 도움이 되는 솔루션에 AWS Control Tower를 다른AWS서비스와 통합할 수 있습니다AWS. 자세한 내용은 [AWS Control Tower 및 CloudEndure를 활용하여AWS로 워크로드를 마이그레이션하는 방법](https://aws.amazon.com//blogs/mt/how-to-take-advantage-of-aws-control-tower-and-cloudendure-to-migrate-workloads-to-aws/)을 참조하세요.

**구성, 거버넌스 및 확장성**
+ *자동 계정 구성:* AWS Control Tower는AWS Service Catalog에서 프로비저닝된 제품 외에도 추상화로 구축된 Account Factory(또는 "Vending Machine")를 사용하여 계정 배포 및 등록을 자동화합니다. Account Factory는AWS계정을 생성하고 등록할 수 있으며, 해당 계정에 제어 및 정책을 적용하는 프로세스를 자동화합니다. 계정 생성 및 프로비저닝에 대한 자세한 내용은 [프로비저닝 방법](https://docs.aws.amazon.com//controltower/latest/userguide/methods-of-provisioning.html)을 참조하세요.
+ *중앙 집중식 거버넌스:*AWS Organizations AWS Control Tower는의 기능을 활용하여 다중 계정 환경 전반에서 일관된 규정 준수 및 거버넌스를 보장하는 프레임워크를 설정합니다. 이AWS Organizations서비스는 계정의 중앙 거버넌스 및 관리,AWS Organizations APIs에서 계정 생성, 서비스 제어 정책(SCPs) 및 리소스 제어 정책(RCPs)을 포함하여 다중 계정 환경을 관리하기 위한 필수 기능을 제공합니다.

  
+ *확장성:* AWS Control Tower 콘솔AWS Organizations뿐만 아니라에서 직접 작업하여 자체 AWS Control Tower 환경을 구축하거나 확장할 수 있습니다. 기존 조직을 등록하고 기존 계정을 AWS Control Tower에 등록한 후 AWS Control Tower에 변경 사항이 반영된 것을 확인할 수 있습니다. AWS Control Tower 랜딩 존을 업데이트하여 변경 사항을 반영할 수 있습니다. 워크로드에 추가 고급 기능이 필요한 경우 AWS Control Tower와 함께 다른AWS파트너 솔루션을 활용할 수 있습니다.

  

## AWS Control Tower 사용이 처음이신가요?
<a name="first-time-user"></a>

이 서비스를 처음 사용하는 경우 다음을 읽어 보는 것이 좋습니다.

1. 랜딩 존을 계획하고 구성하는 방법에 대한 자세한 내용은 [AWS Control Tower 랜딩 존 계획](planning-your-deployment.md) 및 [AWS AWS Control Tower 랜딩 존에 대한 다중 계정 전략](aws-multi-account-landing-zone.md) 섹션을 참조하세요.

1. 첫 번째 랜딩 존을 만들 준비가 되면 [AWS Control Tower 시작하기](getting-started-with-control-tower.md) 섹션을 참조하세요.

1. 드리프트 탐지 및 방지에 대한 자세한 내용은 [AWS Control Tower의 드리프트 감지 및 해결](drift.md) 섹션을 참조하세요.

1. 보안 세부 사항은 [AWS Control Tower의 보안](security.md) 섹션을 참조하세요.

1. 랜딩 존 및 멤버 계정 업데이트에 대한 자세한 내용은 [AWS Control Tower의 구성 업데이트 관리](configuration-updates.md) 섹션을 참조하세요.

# AWS Control Tower 작동 방식
<a name="how-control-tower-works"></a>

이 섹션에서는 AWS Control Tower의 작동 방식을 개략적으로 설명합니다. 랜딩 존은 모든 AWS 리소스를 위한 잘 설계된 다중 계정 환경입니다. 이 환경을 사용하여 모든 AWS 계정에 규정 준수 규정을 적용할 수 있습니다.

## AWS Control Tower 랜딩 존의 구조
<a name="landing-zone-structure"></a>

AWS Control Tower의 랜딩 존 구조는 다음과 같습니다.
+ **루트** – 랜딩 존의 다른 모든 OU를 포함하는 상위 항목입니다.
+ **보안 OU** – 이 OU에는 로그 아카이브 계정 및 감사 계정이 포함되어 있습니다. 이러한 계정을 *공유 계정*이라고도 합니다. 랜딩 존을 시작할 때 이러한 공유 계정의 사용자 지정 이름을 선택할 수 있으며 보안 및 로깅을 위해 기존 AWS 계정을 AWS Control Tower로 가져올 수 있습니다. 그러나 나중에 이름을 변경할 수 없으며, 처음 시작한 후에는 보안 및 로깅을 위해 기존 계정을 추가할 수 없습니다.
+ **샌드박스 OU** - 랜딩 존을 활성화한 경우 랜딩 존을 시작하면 샌드박스 OU가 생성됩니다. 이 OU와 기타 등록된 OU에는 사용자가 AWS 워크로드를 수행하기 위해 사용하는 등록된 계정이 포함되어 있습니다.
+ **IAM Identity Center 디렉터리** - 기본적으로 이 디렉터리에는 IAM Identity Center 사용자가 포함되어 있습니다. 각 IAM Identity Center 사용자에 대한 권한 범위를 정의합니다. 선택적으로 ID 및 액세스 제어를 자체 관리하도록 선택할 수 있습니다. 자세한 내용은 [AWS IAM Identity Center 및 AWS Control Tower 작업을](https://docs.aws.amazon.com/controltower/latest/userguide/sso.html) 참조하세요.
+ **IAM Identity Center 사용자** - 사용자가 랜딩 존에서 AWS 워크로드를 수행하기 위해 수임할 수 있는 자격 증명입니다.

## 랜딩 존 설정 시 발생하는 일
<a name="how-it-works-setup"></a>

랜딩 존을 설정하면 AWS Control Tower가 사용자 대신 관리 계정에서 다음 작업을 수행합니다.
+  AWS Organizations 조직 루트 구조에 포함된 보안 및 샌드박스(선택 사항)라는 두 개의 조직 단위(OUs)를 생성합니다.
+ 보안 OU에 로그 아카이브 계정과 감사 계정이라는 두 개의 공유 계정을 생성하거나 추가합니다.
+ 기본 AWS Control Tower 구성을 선택하거나 ID 공급자를 자체 관리할 수 있는 경우 IAM Identity Center에 사전 구성된 그룹 및 Single Sign-On 액세스 권한이 있는 클라우드 네이티브 디렉터리를 생성합니다.
+ 정책 적용을 위해 모든 필수 예방 제어를 적용합니다.
+ 구성 위반 탐지를 위해 모든 필수 탐지 제어를 적용합니다.
+ *예방 제어는 관리 계정에 적용되지 않습니다.*
+ 관리 계정을 제외하고 제어는 조직 전체에 적용됩니다.

**AWS Control Tower 랜딩 존 및 계정에서 안전하게 리소스 관리**
+ 랜딩 존을 생성하면 여러 AWS 리소스가 생성됩니다. AWS Control Tower를 사용할 때 이 설명서에서 설명하는 지원되는 방법 이외의 방법으로 이러한 AWS Control Tower 관리형 리소스를 수정하거나 삭제하면 안 됩니다. 이러한 리소스를 삭제하거나 수정하면 랜딩 존이 알 수 없는 상태로 전환됩니다. 자세한 내용은 [AWS Control Tower 리소스 생성 및 수정 지침](getting-started-guidance.md) 섹션을 참조하세요.
+ 선택적 제어(*권장되거나 선택적인 * 지침이 있는 제어)를 활성화하면 AWS Control Tower는 계정에서 관리하는 AWS 리소스를 생성합니다. AWS Control Tower에 의해 생성된 리소스를 수정하거나 삭제하지 마세요. 그러면 제어가 알 수 없는 상태가 될 수 있습니다.

# 공유 계정이란?
<a name="what-shared"></a>

AWS Control Tower에서는 설정 중에 랜딩 존의 공유 계정인 관리 계정, 로그 아카이브 계정 및 감사 계정이 프로비저닝됩니다.

## 관리 계정이란?
<a name="what-is-mgmt"></a>

이 계정은 랜딩 존을 위해 특별히 생성한 계정입니다. 이 계정은 랜딩 존의 모든 항목에 대한 결제에 사용됩니다. OU 및 제어 관리는 물론 계정에 대한 Account Factory 프로비저닝에도 사용됩니다.

**참고**  
AWS Control Tower 관리 계정에서는 어떤 유형의 프로덕션 워크로드도 실행하지 않는 것이 좋습니다. 워크로드를 실행할 별도의 AWS Control Tower 계정을 만드세요.

자세한 내용은 [관리 계정](special-accounts.md#mgmt-account) 섹션을 참조하세요.

## 로그 아카이브 계정이란?
<a name="what-is-log-archive"></a>

이 계정은 랜딩 존의 모든 계정에서 API 활동 및 리소스 구성 로그의 리포지토리로 사용됩니다.

자세한 내용은 [로그 아카이브 계정](special-accounts.md#log-archive-account) 섹션을 참조하세요.

## 감사 계정이란?
<a name="what-is-audit"></a>

감사 계정은 보안 및 규정 준수 팀에 랜딩 존의 모든 계정에 대한 읽기 및 쓰기 액세스 권한을 부여하도록 설계된 제한된 계정입니다. 감사 계정에서, Lambda 함수에만 부여된 역할을 통해 프로그래밍 방식으로 액세스하여 계정을 검토할 수 있습니다. 감사 계정을 이용해 다른 계정에 수동으로 로그인할 수 없습니다. Lambda 함수 및 역할에 대한 자세한 내용은 [다른 AWS 계정에서 역할을 맡도록 Lambda 함수 구성](https://aws.amazon.com/premiumsupport/knowledge-center/lambda-function-assume-iam-role)을 참조하세요.

자세한 내용은 [감사 계정](special-accounts.md#audit-account) 단원을 참조하십시오.

# 제어 작동 방식
<a name="how-controls-work"></a>

제어는 전반적인 AWS 환경에 대한 지속적인 거버넌스를 제공하는 상위 수준 규칙이며, 각 제어는 단일 규칙을 적용하고 일반적인 언어로 표현됩니다. 적용 중인 선택적 제어 또는 적극 권장 제어는 언제든지 AWS Control Tower 콘솔 또는 AWS Control Tower API에서 변경할 수 있습니다. 필수 제어는 항상 적용되며 변경할 수 없습니다.

예방 제어는 조치가 발생하지 않도록 방지합니다. 예를 들어 **Amazon S3 버킷에 대한 버킷 정책 변경 허용 안 함**(이전: **로그 아카이브에 대한 정책 변경 허용 안 함**)이라는 선택적 제어는 로그 아카이브 공유 계정 내의 IAM 정책 변경을 방지합니다. 방지된 작업을 수행하려고 하면 이 시도가 거부되고 CloudTrail에 기록됩니다. 리소스도 로그인됩니다 AWS Config.

탐지적 제어는 특정 이벤트가 발생할 때 이를 탐지하고 CloudTrail에 동작을 기록합니다. 예를 들어 **Amazon EC2 인스턴스에 연결된 Amazon EBS 볼륨에 암호화가 활성화되었는지 여부 탐지**라는 적극 권장 제어는 암호화되지 않은 Amazon EBS 볼륨이 랜딩 존의 EC2 인스턴스에 연결되었는지 여부를 탐지합니다.

선제적 제어는 리소스가 계정에 프로비저닝되기 전에 리소스가 회사 정책 및 목표를 준수하는지 확인합니다. 리소스가 규정을 준수하지 않으면 리소스는 프로비저닝되지 않습니다. 사전 예방적 제어는 CloudFormation 템플릿을 통해 계정에 배포되는 리소스를 모니터링합니다.

*익숙한 사용자의 경우 AWS:* AWS Control Tower에서 예방 제어는 서비스 제어 정책(SCPs) 및 리소스 제어 정책(RCPs. 탐지 제어는 AWS Config 규칙을 사용하여 구현됩니다. 사전 예방적 제어는 CloudFormation 후크로 구현됩니다.

## 관련 항목
<a name="how-controls-related"></a>
+ [AWS Control Tower의 드리프트 감지 및 해결](drift.md)

## AWS Control Tower가 StackSets와 작동하는 방식
<a name="stacksets-how"></a>



AWS Control Tower는 기본적으로 CloudFormation StackSets를 사용하여 계정에 리소스를 설정합니다. 각 스택 세트에는 계정 및 계정 AWS 리전 당에 해당하는 StackInstances가 있습니다. AWS Control Tower는 계정 및 리전당 하나의 스택 세트 인스턴스를 배포합니다.

AWS Control Tower는 CloudFormation 파라미터에 따라 특정 계정에 업데이트를 AWS 리전 선택적으로 적용합니다. 일부 스택 인스턴스에 업데이트가 적용되면 다른 스택 인스턴스는 **오래됨** 상태로 남아있을 수 있습니다. 이는 예상된 정상 동작입니다.

스택 인스턴스가 **오래됨** 상태가 되면 일반적으로 그 스택 인스턴스에 해당하는 스택이 스택 세트의 최신 템플릿과 정렬되지 않음을 의미합니다. 스택은 이전 템플릿에 남아 있으므로 최신 리소스 또는 파라미터가 포함되지 않을 수 있습니다. 스택은 여전히 완전히 사용할 수 있습니다.

 다음은 업데이트 중에 지정된 CloudFormation 파라미터를 기반으로 예상되는 동작에 대한 간략한 요약입니다.

스택 세트 업데이트에 템플릿에 대한 변경 사항이 포함되거나(즉, `TemplateBody` 또는 `TemplateURL` 속성이 지정된 경우) `Parameters` 속성이 지정된 경우는 지정된 계정의 스택 인스턴스를 업데이트하기 전에 모든 스택 인스턴스를 **오래된** 상태로 CloudFormation 표시합니다 AWS 리전. 스택 세트 업데이트에 템플릿 또는 파라미터에 대한 변경 사항이 포함되지 않은 경우는 다른 모든 스택 인스턴스를 기존 스택 인스턴스 상태로 유지하면서 지정된 계정 및 리전의 스택 인스턴스를 CloudFormation 업데이트합니다. 스택 세트와 연결된 모든 스택 인스턴스를 업데이트하려면 `Accounts` 또는 `Regions` 속성을 지정하지 마세요.

자세한 내용은 CloudFormation 사용 설명서의 [스택 세트 업데이트를 참조하세요](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/stacksets-update.html).