🕰️ 작성일 : 2024.04.30

AWS Control Tower Enable 하기(2)

AWS Control Tower Enable 하기(3)

Organization Unit Best Practice

1. 기존 Account Enroll 시 주의 사항

Control Tower를 활성화하면 Audit/Log Account만 생성하게 되므로, 기존의 Account에는 영향을 주지 않습니다. 기존의 Account를 Control Tower의 OU에 등록할 경우 수동으로 등록하므로, Control Tower만을 활성화한다고하여 기존 Account의 리소스에는 영향을 주지 않습니다. 기존 Account를 Enroll시 아래의 사항을 체크해야합니다.

1. Region Deny를 설정하면 컨트롤 타워에 등록된 Account는 해당 Region에 대한 액세스 권한을 잃게 됩니다. Region Deny를 설정하기 이전에 각 Account에 배포된 Workload들의 Region을 확인하고 설정합니다.
2. Control Tower에서 org trail을 사용하기로 선택한 경우 추가 요금이 부과되지 않도록 account/org trail을 동시에 로깅하고 있지 않은지 확인이 필요합니다.
3. Enroll 하는 Account에 AWSControlTowerExecution Role이 생성되어 있는지 확인한 후에 Enroll 작업을 진행합니다. 해당 Role이 생성되어 있지 않으면 Enroll에 실패합니다.
4. 기존 계정의 AWS Config 리소스가 있을 경우 Enroll에 실패 할 수 있습니다. 이 경우 AWS Config를 수정 후 Enroll해야하며, ‘3. AWS Config / CloudTrail에 대한 재사용’에 명시한 대로 기존의 Config를 수정하여 Enroll 작업을 진행합니다.
5. 자주 발생하는 이슈에 대한 Trouble-shooting은 해당 링크에서 확인 할 수 있습니다.

2. 기존 Log / Security Account를 Control Tower로 이관

기존의 Landing Zone을 구성해두었고 Log Account와 Security Account가 구성되어 있다면, Control Tower를 활성화 할 때 기존의 계정을 Control Tower의 Log 및 Audit Account로 선택할 수 있습니다. 기존의 보안 및 로깅 계정을 Control Tower로 이관하기 위해서는 해당 링크에 나열된 고려 사항을 참고시면 됩니다.

Log 및 Security Account를 Control Tower에 등록한다고해서 기존 계정에 생성되어 있는 리소스를 제거하지 않습니다. 그러나 Control Tower에서 리전 접근 정책이 적용되어 있다면, 거부된 리전의 액세스를 차단할 수 있으니 Control Tower Set-up 시 사용 할 리전을 충분히 체크해야합니다.

아래는 기존의 Account 들을 Log / Audit Account에 등록했을때의 예시 스크린샷입니다

기존 Log 계정을 Control Tower로 이관한다면 기존 Trail은 유지되어있고, Control Tower에서 새로운 Trail을 프로비저닝합니다.