Control Tower Account Factory는 AWS Control Tower 환경에서 새로운 계정을 생성하고 관리하는 데 사용되는 핵심 기능입니다. AWS Organizations와 통합되어 자동화된 방식으로 계정을 프로비저닝하고, 초기 설정을 구성하며, 지속적인 관리를 수행할 수 있도록 돕습니다.

Control Tower Account Factory의 주요 기능 및 특징:

• 자동화된 계정 프로비저닝: 새로운 AWS 계정을 생성할 때 필요한 복잡한 수동 작업들을 자동화합니다. 계정 이름, 이메일 주소, 조직 단위(OU) 등 필요한 정보를 입력하면 Account Factory가 자동으로 계정을 생성하고, Control Tower의 관리 하에 둡니다.
• 표준화된 계정 구성: Account Factory를 통해 생성되는 모든 계정은 미리 정의된 “블루프린트”를 기반으로 구성됩니다. 이 블루프린트는 AWS Config 규칙, AWS CloudTrail 로깅, IAM 역할 등과 같은 보안 및 규정 준수 설정을 포함하여 조직의 정책에 맞게 커스터마이징할 수 있습니다.
• 지속적인 계정 관리: Account Factory는 계정 생성 이후에도 지속적인 관리를 지원합니다. 예를 들어, 계정 설정을 업데이트하거나, 새로운 블루프린트 버전을 적용하는 등의 작업을 자동화할 수 있습니다.
• 서비스 카탈로그 통합 (선택 사항): AWS Service Catalog와 통합하여 Account Factory를 “제품”으로 게시할 수 있습니다. 이를 통해 최종 사용자는 셀프 서비스 방식으로 필요한 계정을 요청하고 프로비저닝할 수 있습니다.

Account Factory 사용 방법:

1. AWS Control Tower 콘솔: Control Tower 콘솔의 “Account Factory” 섹션에서 새로운 계정을 생성하고, 기존 계정을 관리할 수 있습니다.
2. Account Factory Customization (AFC): Terraform을 사용하여 Account Factory를 구성하고, 계정 프로비저닝 프로세스를 커스터마이징할 수 있습니다. 이를 통해 더욱 세밀한 제어와 자동화가 가능합니다.
3. API 및 SDK: AWS API 및 SDK를 사용하여 프로그래밍 방식으로 Account Factory를 제어할 수 있습니다.

Account Factory 사용 시 고려 사항:

• Account Factory Customization (AFC)은 Terraform을 사용하기 때문에 Terraform에 대한 기본 지식이 필요합니다.
• 잘못된 블루프린트 구성은 보안 및 규정 준수 문제를 야기할 수 있으므로 신중하게 설계해야 합니다.

Account Factory의 이점:

• 계정 생성 및 관리 효율성 향상: 수동 작업 감소 및 자동화를 통해 시간과 노력을 절약합니다.
• 일관성 및 표준화 보장: 모든 계정이 동일한 보안 및 규정 준수 설정을 따르도록 합니다.
• 확장성: 새로운 계정을 쉽고 빠르게 추가하여 조직의 성장에 대응할 수 있습니다.
• 셀프 서비스 기능 (Service Catalog 통합 시): 최종 사용자가 필요한 리소스를 직접 프로비저닝할 수 있도록 하여 IT 부서의 부담을 줄입니다.

간단히 요약하면, Control Tower Account Factory는 AWS 환경에서 계정 생성 및 관리를 자동화하고 표준화하여, 조직의 보안, 규정 준수 및 운영 효율성을 향상시키는 데 도움을 주는 강력한 도구입니다.

• https://repost.aws/ko/knowledge-center/control-tower-account-root-user-access

Provision accounts with AWS Service Catalog Account Factory

다음 절차는 IAM Identity Center에서 사용자가 AWS Service Catalog를 통해 계정을 생성하고 프로비저닝하는 방법을 설명합니다. 이 절차는 고급 계정 프로비저닝 또는 수동 계정 프로비저닝이라고도 합니다. 선택적으로 AWS CLI 또는 AWS Control Tower Account Factory for Terraform (AFT)을 사용하여 프로그래밍 방식으로 계정을 프로비저닝할 수 있습니다. 이전에 사용자 지정 블루프린트를 설정한 경우 콘솔에서 사용자 지정된 계정을 프로비저닝할 수 있습니다. 사용자 지정에 대한 자세한 내용은 Account Factory Customization (AFC)으로 계정 사용자 지정을 참조하십시오.

Account Factory에서 개별적으로 계정을 프로비저닝하려면(사용자):

1. 사용자 포털 URL에서 로그인합니다.
2. 애플리케이션에서 AWS 계정을 선택합니다.
3. 계정 목록에서 관리 계정의 계정 ID를 선택합니다. 이 ID에는 (예: (관리))와 같은 레이블이 있을 수도 있습니다.
4. AWSServiceCatalogEndUserAccess에서 관리 콘솔을 선택합니다. 그러면 이 계정에서 이 사용자에 대한 AWS Management Console이 열립니다.
5. 계정을 프로비저닝할 올바른 AWS 리전(AWS Control Tower 리전)을 선택했는지 확인합니다.
6. Service Catalog를 검색하고 선택하여 Service Catalog 콘솔을 엽니다.
7. 탐색 창에서 제품을 선택합니다.
8. AWS Control Tower Account Factory를 선택한 다음 제품 시작 버튼을 선택합니다. 이 선택은 새 계정을 프로비저닝하는 마법사를 시작합니다.
9. 정보를 입력하고 다음 사항에 유의하십시오.
   • SSOUserEmail은 새 이메일 주소이거나 기존 IAM Identity Center 사용자와 연결된 이메일 주소일 수 있습니다. 어느 것을 선택하든 이 사용자는 프로비저닝 중인 계정에 대한 관리 액세스 권한을 갖습니다.
   • AccountEmail은 이미 AWS 계정과 연결되지 않은 이메일 주소여야 합니다. SSOUserEmail에서 새 이메일 주소를 사용한 경우 여기에 해당 이메일 주소를 사용할 수 있습니다.
   • TagOptions를 정의하지 말고 알림을 활성화하지 마십시오. 그렇지 않으면 계정이 프로비저닝되지 않을 수 있습니다. 완료되면 제품 시작을 선택합니다.
10. 계정 설정을 검토한 다음 시작을 선택합니다. 리소스 계획을 생성하지 마십시오. 그렇지 않으면 계정이 프로비저닝되지 않습니다.
11. 이제 계정이 프로비저닝됩니다. 완료하는 데 몇 분 정도 걸릴 수 있습니다. 페이지를 새로 고쳐 표시된 상태 정보를 업데이트할 수 있습니다.