위임된 관리자 및 AWS Organizations 문제 해결 - AWS Audit Manager
위임된 관리자 계정으로 Audit Manager를 설정하는 작업이 안 됩니다.평가를 생성할 때 범위 내 계정에서 내 조직의 계정을 볼 수 없습니다.위임된 관리자 계정을 사용하여 평가 보고서를 생성하려고 하면 액세스 거부 오류가 발생합니다.조직에서 멤버 계정의 연결을 해제하면 Audit Manager는 어떻게 되나요?회원 계정을 나의 조직에 다시 연결하면 어떻게 되나요?한 조직에서 다른 조직으로 구성원 계정을 마이그레이션하면 어떻게 되나요?

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

위임된 관리자 및 AWS Organizations 문제 해결

이 페이지의 정보를 사용하여 Audit Manager에서 흔히 발생하는 위임 관리자 문제를 해결할 수 있습니다.

위임된 관리자 계정으로 Audit Manager를 설정하는 작업이 안 됩니다.

에서는 여러 명의 위임된 관리자가 지원되지만 Audit AWS Organizations Manager에서는 한 명의 위임된 관리자만 허용합니다. Audit Manager에서 여러 위임된 관리자를 지정하려고 하면 다음 오류 메시지가 표시됩니다.

  • 콘솔: You have exceeded the allowed number of delegated administrators for the delegated service

  • CLI: An error occurred (ValidationException) when calling the RegisterAccount operation: Cannot change delegated Admin for an active account 11111111111 from 2222222222222 to 333333333333

Audit Manager에서 위임된 관리자로 사용할 개별 계정을 하나 선택합니다. 먼저 조직에서 위임된 관리자 계정을 등록한 다음 Audit Manager에서 위임된 관리자와 동일한 계정을 추가해야 합니다.

평가를 생성할 때 범위 내 계정에서 내 조직의 계정을 볼 수 없습니다.

Audit Manager 평가에 귀하의 조직의 여러 계정을 포함하려면 위임된 관리자를 지정해야 합니다.

Audit Manager에 대한 위임된 관리자 계정을 구성했는지 확인하세요. 지침은 위임된 관리자 추가 단원을 참조하십시오.

다음과 같은 사항에 유의하세요.

  • Audit Manager에서는 AWS Organizations 관리 계정을 위임된 관리자로 사용할 수 없습니다.

  • 둘 AWS 리전이상의 지역에서 Audit Manager를 활성화하려면 각 지역에서 위임된 관리자 계정을 별도로 지정해야 합니다. 귀하의 Audit Manager 설정에서 모든 지역의 동일한 위임 관리자 계정을 지정합니다.

  • 위임된 관리자를 지정할 때는 위임된 관리자 계정에 Audit Manager를 설정할 때 제공한 KMS 키에 대한 액세스 권한이 있는지 확인하십시오. 암호화 설정을 검토하고 변경하는 방법을 알아보려면 을 참조하십시오. 데이터 암호화 설정 구성

위임된 관리자 계정을 사용하여 평가 보고서를 생성하려고 하면 액세스 거부 오류가 발생합니다.

Audit Manager 설정에 지정된 KMS 키가 속하지 않는 위임된 관리자 계정으로 평가를 생성한 경우 access denied 오류가 발생합니다. 이 오류를 방지하려면 Audit Manager에 위임된 관리자를 지정할 때 위임된 관리자 계정에 Audit Manager를 설정할 때 제공한 KMS 키에 대한 액세스 권한이 있는지 확인하십시오.

평가 보고서 대상으로 사용 중인 S3 버킷에 대한 쓰기 권한이 없는 경우에도 access denied 오류가 발생할 수 있습니다.

access denied 오류가 발생한 경우, 다음 요구 사항을 충족하였는지 확인하세요.

  • Audit Manager 설정의 KMS 키는 위임된 관리자에게 권한을 부여합니다. AWS Key Management Service 개발자 안내서의 다른 계정의 사용자에게 KMS 키 사용 허용의 지침에 따라 이를 구성할 수 있습니다. Audit Manager에서 암호화 설정을 검토하고 변경하는 방법에 대한 지침은 을 참조하십시오데이터 암호화 설정 구성.

  • 평가 보고서 대상에 대한 쓰기 액세스 권한을 귀하에게 부여하는 권한 정책이 귀하에게 있습니다. 보다 구체적으로, 권한 정책에는 s3:PutObject 작업이 포함되어 있고, S3 버킷을 지정하고, 평가 보고서를 암호화하는 데 사용되는 KMS 키가 포함됩니다. ARN 사용할 수 있는 예제 정책은 을 참조하십시오예 2(평가 보고서 대상 권한).

참고

Audit Manager 데이터 암호화 설정을 변경하는 경우 이러한 변경 사항은 앞으로 새로 생성하는 평가에 적용됩니다. 여기에는 귀하의 새 평가에서 생성한 모든 평가 보고서가 포함됩니다.

암호화 설정을 변경하기 전에 생성한 기존 평가에는 변경 내용이 적용되지 않습니다. 여기에는 기존 평가 보고서와 함께 기존 평가에서 생성한 새 평가 보고서가 포함됩니다. 기존 평가 및 모든 평가 보고서는 이전 키를 계속 사용합니다. KMS 평가 보고서를 생성하는 IAM ID에 이전 KMS 키를 사용할 권한이 없는 경우 키 정책 수준에서 권한을 부여할 수 있습니다.

조직에서 멤버 계정을 연결 해제하면 Audit Manager는 이 사건에 대한 알림을 받습니다. 그러면 Audit Manager는 귀하의 기존 평가의 범위에 있는 계정 목록에서 해당 AWS 계정 를 자동으로 제거합니다. 향후 새 평가의 범위를 지정하면 연결이 해제된 계정은 더 이상 적격 AWS 계정에 표시되지 않습니다.

Audit Manager가 평가 범위에 있는 계정 목록에서 연결되지 않은 회원 계정을 제거해도 이 변경 사항에 대한 알림은 귀하에게 고지되지 않습니다. 또한 연결이 해제된 멤버 계정으로 해당 계정에서 Audit Manager가 더 이상 활성화되지 않았다는 통지가 가지 않습니다.

회원 계정을 귀하의 조직에 다시 연결해도 해당 계정은 기존 Audit Manager 평가 범위에 자동으로 추가되지 않습니다. 하지만 이제 평가 범위에 포함되는 계정을 AWS 계정 지정하면 다시 연결된 회원 계정이 자격이 있는 것으로 표시됩니다.

  • 기존 평가의 경우 평가 범위를 수동으로 편집하여 재연결된 회원 계정을 추가할 수 있습니다. 지침은 2단계: 범위 AWS 계정 내 편집 단원을 참조하십시오.

  • 새 평가의 경우 평가 설정 중에 다시 연결된 계정을 추가할 수 있습니다. 지침은 2단계: 범위 지정 AWS 계정 단원을 참조하십시오.

한 조직에서 다른 조직으로 구성원 계정을 마이그레이션하면 어떻게 되나요?

구성원 계정이 조직 1에서 Audit Manager를 활성화시킨 후 조직 2로 마이그레이션하면 결과적으로 Audit Manager는 조직 2에 대해 활성화되지 않습니다.