

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Control Tower 작동 방식
<a name="how-control-tower-works"></a>

이 섹션에서는 AWS Control Tower의 작동 방식을 개략적으로 설명합니다. 랜딩 존은 모든 AWS 리소스를 위한 잘 설계된 다중 계정 환경입니다. 이 환경을 사용하여 모든 AWS 계정에 규정 준수 규정을 적용할 수 있습니다.

## AWS Control Tower 랜딩 존의 구조
<a name="landing-zone-structure"></a>

AWS Control Tower의 랜딩 존 구조는 다음과 같습니다.
+ **루트** – 랜딩 존의 다른 모든 OU를 포함하는 상위 항목입니다.
+ **보안 OU** – 이 OU에는 로그 아카이브 계정 및 감사 계정이 포함되어 있습니다. 이러한 계정을 *공유 계정*이라고도 합니다. 랜딩 존을 시작할 때 이러한 공유 계정의 사용자 지정 이름을 선택할 수 있으며 보안 및 로깅을 위해 기존 AWS 계정을 AWS Control Tower로 가져올 수 있습니다. 그러나 나중에 이름을 변경할 수 없으며, 처음 시작한 후에는 보안 및 로깅을 위해 기존 계정을 추가할 수 없습니다.
+ **샌드박스 OU** - 랜딩 존을 활성화한 경우 랜딩 존을 시작하면 샌드박스 OU가 생성됩니다. 이 OU와 기타 등록된 OU에는 사용자가 AWS 워크로드를 수행하기 위해 사용하는 등록된 계정이 포함되어 있습니다.
+ **IAM Identity Center 디렉터리** - 기본적으로 이 디렉터리에는 IAM Identity Center 사용자가 포함되어 있습니다. 각 IAM Identity Center 사용자에 대한 권한 범위를 정의합니다. 선택적으로 ID 및 액세스 제어를 자체 관리하도록 선택할 수 있습니다. 자세한 내용은 [AWS IAM Identity Center 및 AWS Control Tower 작업을](https://docs.aws.amazon.com/controltower/latest/userguide/sso.html) 참조하세요.
+ **IAM Identity Center 사용자** - 사용자가 랜딩 존에서 AWS 워크로드를 수행하기 위해 수임할 수 있는 자격 증명입니다.

## 랜딩 존 설정 시 발생하는 일
<a name="how-it-works-setup"></a>

랜딩 존을 설정하면 AWS Control Tower가 사용자 대신 관리 계정에서 다음 작업을 수행합니다.
+  AWS Organizations 조직 루트 구조에 포함된 보안 및 샌드박스(선택 사항)라는 두 개의 조직 단위(OUs)를 생성합니다.
+ 보안 OU에 로그 아카이브 계정과 감사 계정이라는 두 개의 공유 계정을 생성하거나 추가합니다.
+ 기본 AWS Control Tower 구성을 선택하거나 ID 공급자를 자체 관리할 수 있는 경우 IAM Identity Center에 사전 구성된 그룹 및 Single Sign-On 액세스 권한이 있는 클라우드 네이티브 디렉터리를 생성합니다.
+ 정책 적용을 위해 모든 필수 예방 제어를 적용합니다.
+ 구성 위반 탐지를 위해 모든 필수 탐지 제어를 적용합니다.
+ *예방 제어는 관리 계정에 적용되지 않습니다.*
+ 관리 계정을 제외하고 제어는 조직 전체에 적용됩니다.

**AWS Control Tower 랜딩 존 및 계정에서 안전하게 리소스 관리**
+ 랜딩 존을 생성하면 여러 AWS 리소스가 생성됩니다. AWS Control Tower를 사용할 때 이 설명서에서 설명하는 지원되는 방법 이외의 방법으로 이러한 AWS Control Tower 관리형 리소스를 수정하거나 삭제하면 안 됩니다. 이러한 리소스를 삭제하거나 수정하면 랜딩 존이 알 수 없는 상태로 전환됩니다. 자세한 내용은 [AWS Control Tower 리소스 생성 및 수정 지침](getting-started-guidance.md) 섹션을 참조하세요.
+ 선택적 제어(*권장되거나 선택적인 * 지침이 있는 제어)를 활성화하면 AWS Control Tower는 계정에서 관리하는 AWS 리소스를 생성합니다. AWS Control Tower에 의해 생성된 리소스를 수정하거나 삭제하지 마세요. 그러면 제어가 알 수 없는 상태가 될 수 있습니다.

## AWS Control Tower가 StackSets와 작동하는 방식
<a name="stacksets-how"></a>



AWS Control Tower는 기본적으로 CloudFormation StackSets를 사용하여 계정에 리소스를 설정합니다. 각 스택 세트에는 계정 및 계정 AWS 리전 당에 해당하는 StackInstances가 있습니다. AWS Control Tower는 계정 및 리전당 하나의 스택 세트 인스턴스를 배포합니다.

AWS Control Tower는 CloudFormation 파라미터에 따라 특정 계정에 업데이트를 AWS 리전 선택적으로 적용합니다. 일부 스택 인스턴스에 업데이트가 적용되면 다른 스택 인스턴스는 **오래됨** 상태로 남아있을 수 있습니다. 이는 예상된 정상 동작입니다.

스택 인스턴스가 **오래됨** 상태가 되면 일반적으로 그 스택 인스턴스에 해당하는 스택이 스택 세트의 최신 템플릿과 정렬되지 않음을 의미합니다. 스택은 이전 템플릿에 남아 있으므로 최신 리소스 또는 파라미터가 포함되지 않을 수 있습니다. 스택은 여전히 완전히 사용할 수 있습니다.

 다음은 업데이트 중에 지정된 CloudFormation 파라미터를 기반으로 예상되는 동작에 대한 간략한 요약입니다.

스택 세트 업데이트에 템플릿에 대한 변경 사항이 포함되거나(즉, `TemplateBody` 또는 `TemplateURL` 속성이 지정된 경우) `Parameters` 속성이 지정된 경우는 지정된 계정의 스택 인스턴스를 업데이트하기 전에 모든 스택 인스턴스를 **오래된** 상태로 CloudFormation 표시합니다 AWS 리전. 스택 세트 업데이트에 템플릿 또는 파라미터에 대한 변경 사항이 포함되지 않은 경우는 다른 모든 스택 인스턴스를 기존 스택 인스턴스 상태로 유지하면서 지정된 계정 및 리전의 스택 인스턴스를 CloudFormation 업데이트합니다. 스택 세트와 연결된 모든 스택 인스턴스를 업데이트하려면 `Accounts` 또는 `Regions` 속성을 지정하지 마세요.

자세한 내용은 CloudFormation 사용 설명서의 [스택 세트 업데이트를 참조하세요](https://docs.aws.amazon.com//AWSCloudFormation/latest/UserGuide/stacksets-update.html).