AWS Audit Manager에 대한 서비스 링크 역할 권한 AWS Audit Manager 서비스 연결 역할 생성 AWS Audit Manager 서비스 연결 역할 편집 AWS Audit Manager 서비스 연결 역할 삭제 AWS Audit Manager 서비스 링크 역할이 지원되는 리전

AWS Audit Manager의 서비스 링크 역할 사용

AWS Audit Manager은(는) AWS Identity and Access Management(IAM) service-linked roles(서비스 링크 역할)을 사용합니다. 서비스 연결 역할은 Audit Manager에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 Audit Manager에서 사전 정의하며 서비스에서 다른 AWS 서비스를 자동으로 호출하기 위해 필요한 모든 권한을 포함합니다.

필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할은 AWS Audit Manager를 더 쉽게 설정할 수 있습니다. Audit Manager에서 서비스 연결 역할의 권한을 정의하므로 다르게 정의되지 않은 한, Audit Manager만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.

서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 IAM으로 작업하는 AWS 서비스를 참조하고 서비스 연결 역할(Service-Linked Role) 열에 예(Yes)가 표시된 서비스를 찾으십시오. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 링크가 있는 예를 선택합니다.

AWS Audit Manager에 대한 서비스 링크 역할 권한

Audit Manager는 AWSServiceRoleForAuditManager로 이름이 지정된 서비스 연결 역할을 사용합니다. 이 역할이 있으면 AWS Audit Manager가 사용하거나 관리하는 AWS 서비스 및 리소스에 액세스할 수 있습니다.

AWSServiceRoleForAuditManager 서비스 연결 역할은 역할을 수임하기 위해 auditmanager.amazonaws.com 서비스를 신뢰합니다.

역할 권한 정책 AWSAuditManagerServiceRolePolicy을 통해 Audit Manager는 사용자의 AWS 사용에 대한 자동 증거를 수집할 수 있습니다. 보다 구체적으로 사용자를 대신하여 다음 작업을 수행할 수 있습니다.

Audit Manager는 규정 준수 확인 증거를 수집하는 데 AWS Security Hub을 사용할 수 있습니다. 이 경우 Audit Manager는 다음 권한을 사용하여 보안 검사 결과를 AWS Security Hub에서 직접 보고합니다. 그런 다음 결과를 관련 평가 관리에 증거로 첨부합니다.
- securityhub:DescribeStandards
참고
Audit Manager가 설명할 수 있는 특정 Security Hub 컨트롤에 대한 자세한 내용은 AWS Audit Manager이 지원하는 AWS Security Hub제어를 참조하세요.
Audit Manager는 규정 준수 확인 증거를 수집하는 데 AWS Config을 사용할 수 있습니다. 이 경우 Audit Manager는 다음 권한을 사용하여 AWS Config 규칙 평가 결과를 AWS Config에서 직접 보고합니다. 그런 다음 결과를 관련 평가 관리에 증거로 첨부합니다.
- config:DescribeConfigRules
- config:DescribeDeliveryChannels
- config:ListDiscoveredResources
참고
Audit Manager에서 설명할 수 있는 특정 AWS Config 규칙에 대한 자세한 내용은 AWS Audit Manager가 지원하는 AWS Config 규칙을 참조하세요.
Audit Manager는 사용자 활동 증거를 수집하는 데 AWS CloudTrail을 사용할 수 있습니다. 이 경우 Audit Manager는 다음 권한을 사용하여 CloudTrail 로그에서 사용자 활동을 캡처합니다. 그런 다음 활동을 관련 평가 제어에 증거로 첨부합니다.
- cloudtrail:DescribeTrails
- cloudtrail:LookupEvents
참고
Audit Manager가 설명할 수 있는 특정 CloudTrail 이벤트에 대한 자세한 내용은 AWS Audit Manager이 지원하는 AWS CloudTrail 이벤트 이름을 참조하세요.
Audit Manager는 AWS API 직접 호출을 사용하여 리소스 구성 증거를 수집할 수 있습니다. 이 경우 Audit Manager는 다음 권한을 사용하여 다음에 AWS 서비스에 대한 리소스 구성을 설명하는 읽기 전용 API를 호출합니다. 그런 다음 API 응답을 관련 평가 제어 항목에 증거로 첨부합니다.
- acm:GetAccountConfiguration
- acm:ListCertificates
- apigateway:GET
- autoscaling:DescribeAutoScalingGroups
- backup:ListBackupPlans
- backup:ListRecoveryPointsByResource
- bedrock:GetCustomModel
- bedrock:GetFoundationModel
- bedrock:GetModelCustomizationJob
- bedrock:GetModelInvocationLoggingConfiguration
- bedrock:ListCustomModels
- bedrock:ListFoundationModels
- bedrock:ListGuardrails
- bedrock:ListModelCustomizationJobs
- cloudfront:GetDistribution
- cloudfront:GetDistributionConfig
- cloudfront:ListDistributions
- cloudtrail:DescribeTrails
- cloudtrail:GetTrail
- cloudtrail:ListTrails
- cloudtrail:LookupEvents
- cloudwatch:DescribeAlarms
- cloudwatch:DescribeAlarmsForMetric
- cloudwatch:GetMetricStatistics
- cloudwatch:ListMetrics
- cognito-idp:DescribeUserPool
- config:DescribeConfigRules
- config:DescribeDeliveryChannels
- config:ListDiscoveredResources
- directconnect:DescribeDirectConnectGateways
- directconnect:DescribeVirtualGateways
- dynamodb:DescribeBackup
- dynamodb:DescribeContinuousBackups
- dynamodb:DescribeTable
- dynamodb:DescribeTableReplicaAutoScaling
- dynamodb:ListBackups
- dynamodb:ListGlobalTables
- dynamodb:ListTables
- ec2:DescribeAddresses
- ec2:DescribeCustomerGateways
- ec2:DescribeEgressOnlyInternetGateways
- ec2:DescribeFlowLogs
- ec2:DescribeInstanceCreditSpecifications
- ec2:DescribeInstanceAttribute
- ec2:DescribeInstances
- ec2:DescribeInternetGateways
- ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations
- ec2:DescribeLocalGateways
- ec2:DescribeLocalGatewayVirtualInterfaces
- ec2:DescribeNatGateways
- ec2:DescribeNetworkAcls
- ec2:DescribeRouteTables
- ec2:DescribeSecurityGroups
- ec2:DescribeSecurityGroupRules
- ec2:DescribeSnapshots
- ec2:DescribeTransitGateways
- ec2:DescribeVolumes
- ec2:DescribeVpcEndpoints
- ec2:DescribeVpcEndpointConnections
- ec2:DescribeVpcEndpointServiceConfigurations
- ec2:DescribeVpcPeeringConnections
- ec2:DescribeVpcs
- ec2:DescribeVpnConnections
- ec2:DescribeVpnGateways
- ec2:GetEbsDefaultKmsKeyId
- ec2:GetEbsEncryptionByDefault
- ec2:GetLaunchTemplateData
- ecs:DescribeClusters
- eks:DescribeAddonVersions
- elasticache:DescribeCacheClusters
- elasticache:DescribeServiceUpdates
- elasticfilesystem:DescribeAccessPoints
- elasticfilesystem:DescribeFileSystems
- elasticloadbalancing:DescribeLoadBalancers
- elasticloadbalancing:DescribeSslPolicies
- elasticloadbalancing:DescribeTargetGroups
- elasticmapreduce:ListClusters
- elasticmapreduce:ListSecurityConfigurations
- es:DescribeDomains
- es:DescribeDomain
- es:DescribeDomainConfig
- es:ListDomainNames
- events:DeleteRule
- events:DescribeRule
- events:DisableRule
- events:EnableRule
- events:ListConnections
- events:ListEventBuses
- events:ListEventSources
- events:ListRules
- events:ListTargetsByRule
- events:PutRule
- events:PutTargets
- events:RemoveTargets
- firehose:ListDeliveryStreams
- fsx:DescribeFileSystems
- guardduty:ListDetectors
- iam:GenerateCredentialReport
- iam:GetAccessKeyLastUsed
- iam:GetAccountAuthorizationDetails
- iam:GetAccountPasswordPolicy
- iam:GetAccountSummary
- iam:GetCredentialReport
- iam:GetGroupPolicy
- iam:GetPolicy
- iam:GetPolicyVersion
- iam:GetRolePolicy
- iam:GetUser
- iam:GetUserPolicy
- iam:ListAccessKeys
- iam:ListAttachedGroupPolicies
- iam:ListAttachedRolePolicies
- iam:ListAttachedUserPolicies
- iam:ListEntitiesForPolicy
- iam:ListGroupPolicies
- iam:ListGroups
- iam:ListGroupsForUser
- iam:ListMfaDeviceTags
- iam:ListMfaDevices
- iam:ListOpenIdConnectProviders
- iam:ListPolicies
- iam:ListPolicyVersions
- iam:ListRolePolicies
- iam:ListRoles
- iam:ListSamlProviders
- iam:ListUserPolicies
- iam:ListUsers
- iam:ListVirtualMFADevices
- kafka:ListClusters
- kafka:ListKafkaVersions
- kinesis:ListStreams
- kms:DescribeKey
- kms:GetKeyPolicy
- kms:GetKeyRotationStatus
- kms:ListGrants
- kms:ListKeyPolicies
- kms:ListKeys
- lambda:ListFunctions
- license-manager:ListAssociationsForLicenseConfiguration
- license-manager:ListLicenseConfigurations
- license-manager:ListUsageForLicenseConfiguration
- logs:DescribeDestinations
- logs:DescribeExportTasks
- logs:DescribeLogGroups
- logs:DescribeMetricFilters
- logs:DescribeResourcePolicies
- logs:FilterLogEvents
- logs:GetDataProtectionPolicy
- organizations:DescribeOrganization
- organizations:DescribePolicy
- rds:DescribeCertificates
- rds:DescribeDBClusterEndpoints
- rds:DescribeDBClusterParameterGroups
- rds:DescribeDBClusters
- rds:DescribeDBInstances
- rds:DescribeDBInstanceAutomatedBackups
- rds:DescribeDBSecurityGroups
- redshift:DescribeClusters
- redshift:DescribeClusterSnapshots
- redshift:DescribeLoggingStatus
- route53:GetQueryLoggingConfig
- s3:GetBucketAcl
- s3:GetBucketLogging
- s3:GetBucketOwnershipControls
- s3:GetBucketPolicy
  - 이 API 작업은 서비스 연결 역할을 사용할 수 AWS 계정의 범위 내에서 작동합니다. 크로스 계정 버킷 정책에는 액세스할 수 없습니다.
- s3:GetBucketPublicAccessBlock
- s3:GetBucketTagging
- s3:GetBucketVersioning
- s3:GetEncryptionConfiguration
- s3:GetLifecycleConfiguration
- s3:ListAllMyBuckets
- sagemaker:DescribeAlgorithm
- sagemaker:DescribeDomain
- sagemaker:DescribeEndpoint
- sagemaker:DescribeEndpointConfig
- sagemaker:DescribeFlowDefinition
- sagemaker:DescribeHumanTaskUi
- sagemaker:DescribeLabelingJob
- sagemaker:DescribeModel
- sagemaker:DescribeModelBiasJobDefinition
- sagemaker:DescribeModelCard
- sagemaker:DescribeModelQualityJobDefinition
- sagemaker:DescribeTrainingJob
- sagemaker:DescribeUserProfile
- sagemaker:ListAlgorithms
- sagemaker:ListDomains
- sagemaker:ListEndpointConfigs
- sagemaker:ListEndpoints
- sagemaker:ListFlowDefinitions
- sagemaker:ListHumanTaskUis
- sagemaker:ListLabelingJobs
- sagemaker:ListModels
- sagemaker:ListModelBiasJobDefinitions
- sagemaker:ListModelCards
- sagemaker:ListModelQualityJobDefinitions
- sagemaker:ListMonitoringAlerts
- sagemaker:ListMonitoringSchedules
- sagemaker:ListTrainingJobs
- sagemaker:ListUserProfiles
- securityhub:DescribeStandards
- secretsmanager:DescribeSecret
- secretsmanager:ListSecrets
- sns:ListTagsForResource
- sns:ListTopics
- sqs:ListQueues
- waf-regional:GetLoggingConfiguration
- waf-regional:GetRule
- waf-regional:GetWebAcl
- waf-regional:ListRuleGroups
- waf-regional:ListRules
- waf-regional:ListSubscribedRuleGroups
- waf-regional:ListWebACLs
- waf:GetRule
- waf:GetRuleGroup
- waf:ListActivatedRulesInRuleGroup
- waf:ListRuleGroups
- waf:ListRules
- waf:ListWebAcls
- wafv2:ListWebAcls
참고
Audit Manager가 설명할 수 있는 특정 API 직접 호출에 대한 자세한 내용은 섹션 사용자 지정 컨트롤 데이터 소스를 지원하는 API 직접 호출을 참조하세요.

서비스 연결 역할 AWSServiceRoleForAuditManager의 전체 권한 세부 정보를 보려면 AWS 관리형 정책 참조 가이드의 AWSAuditManagerServiceRolePolicy을 참조하세요.

IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 링크 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 권한을 참조하십시오.

AWS Audit Manager 서비스 연결 역할 생성

서비스 링크 역할은 수동으로 생성할 필요가 없습니다. AWS Audit Manager을 활성화하면 서비스는 자동으로 서비스 연결 역할을 생성합니다. AWS Management Console의 온보딩 페이지 또는 API 또는 AWS CLI 를 통해 Audit Manager를 활성화할 수 있습니다. 자세한 내용은 사용자 가이드의 AWS Audit Manager 활성화을 참조하세요.

이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다.

AWS Audit Manager 서비스 연결 역할 편집

AWS Audit Manager에서는 AWSServiceRoleForAuditManager 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 편집을 참조하십시오.

IAM 엔터티가 `AWSServiceRoleForAuditManager` 서비스 연결 역할의 설명을 편집할 수 있도록 허용하려면

서비스 연결 역할의 설명을 편집해야 하는 IAM 개체의 권한 정책에 다음 명령문을 추가합니다.


{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/auditmanager.amazonaws.com/AWSServiceRoleForAuditManager*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "auditmanager.amazonaws.com"}}
}

AWS Audit Manager 서비스 연결 역할 삭제

Audit Manager을 더 이상 사용하지 않을 경우에는 AWSServiceRoleForAuditManager 서비스 연결 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔티티가 없도록 합니다. 단, 삭제 전에 서비스 연결 역할을 반드시 정리해야 합니다.

서비스 연결 역할 정리

IAM을 사용하여 Audit Manager 서비스 연결 역할을 삭제하기 전에 먼저 역할에 활성 세션이 없는지 확인하고 역할에서 사용되는 리소스를 모두 제거해야 합니다. 이렇게 하려면 Audit Manager가 모든 AWS 리전의 등록이 취소되었는지 확인하세요. 등록을 취소하면 Audit Manager는 더 이상 서비스 연결 역할을 사용하지 않습니다.

Audit Manager 등록 취소 방법에 대한 지침은 다음 리소스를 참조하세요.

이 가이드의 AWS Audit Manager 비활성화
AWS Audit Manager API 참조에서 DeregisterAccount
AWS Audit Manager의 AWS CLI 참조에서 deregister-account

Audit Manager 리소스를 수동으로 삭제하는 방법에 대한 지침은 이 가이드의 Audit Manager 데이터 삭제를 참조하세요.

서비스 연결 역할 삭제

IAM 콘솔, AWS Command Line Interface(AWS CLI) 또는 IAM API를 사용하여 서비스 연결 역할을 삭제할 수 있습니다.

IAM console

IAM 콘솔에서 서비스 연결 역할을 삭제하려면 다음 단계를 따릅니다.

서비스 연결 역할을 삭제하는 방법(콘솔)

AWS Management Console에 로그인하여 https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.
IAM 콘솔의 탐색 창에서 역할(Roles)을 선택합니다. 이름이나 행 자체가 아닌 AWSServiceRoleForAuditManager 옆의 확인란을 선택합니다.
페이지 상단의 역할 작업에서 삭제를 선택합니다.
확인 대화 상자가 나타나면 마지막으로 액세스한 정보를 검토합니다. 이 정보는 선택한 각 역할이 AWS 서비스를 마지막으로 액세스한 일시를 보여줍니다. 이를 통해 역할이 현재 활동 중인지를 확인할 수 있습니다. 계속 진행하려면 텍스트 입력 필드에 AWSServiceRoleForAuditManager를 입력하고 삭제를 선택하여 삭제할 서비스 연결 역할을 제출합니다.
IAM 콘솔 알림을 보고 서비스 연결 역할 삭제 진행 상황을 모니터링합니다. IAM 서비스 연결 역할 삭제는 비동기이므로 삭제할 역할을 제출한 후에 삭제 태스크가 성공하거나 실패할 수 있습니다. 태스크에 성공하면 목록에서 역할이 제거되고 성공 메시지가 페이지 상단에 나타납니다.

AWS CLI

AWS CLI에서 IAM 명령을 사용하여 서비스 연결 역할을 삭제할 수 있습니다.

서비스 연결 역할을 삭제하려면(AWS CLI)

다음 명령을 입력하여 계정의 역할을 나열합니다.
```
aws iam get-role --role-name AWSServiceRoleForAuditManager
```
서비스 연결 역할이 사용되거나 연결된 리소스가 있는 경우에는 서비스 연결 역할을 삭제할 수 없으므로 삭제 요청을 제출해야 합니다. 이러한 조건이 충족되지 않으면 요청이 거부될 수 있습니다. 삭제 태스크 상태를 확인하려면 응답의 deletion-task-id(을)를 캡처해야 합니다.

다음 명령을 입력하여 서비스 연결 역할 삭제 요청을 제출합니다.
```
aws iam delete-service-linked-role --role-name AWSServiceRoleForAuditManager
```
다음 명령을 사용하여 삭제 태스크의 상태를 확인합니다.
```
aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
삭제 태스크는 NOT_STARTED, IN_PROGRESS, SUCCEEDED 또는 FAILED 상태일 수 있습니다. 삭제에 실패할 경우 문제를 해결할 수 있도록 실패 이유가 호출에 반환됩니다.

IAM API

IAM API를 사용하여 서비스 연결 역할을 삭제할 수 있습니다.

서비스 연결 역할(API)을 삭제하는 방법

GetRole을 호출하여 계정 내 역할을 나열합니다. 요청에서 AWSServiceRoleForAuditManager를 RoleName로 지정합니다.
서비스 연결 역할이 사용되거나 연결된 리소스가 있는 경우에는 서비스 연결 역할을 삭제할 수 없으므로 삭제 요청을 제출해야 합니다. 이러한 조건이 충족되지 않으면 요청이 거부될 수 있습니다. 삭제 태스크 상태를 확인하려면 응답의 DeletionTaskId(을)를 캡처해야 합니다.

서비스 연결 역할 삭제 요청을 제출하려면 DeleteServiceLinkedRole을 호출합니다. 요청에서 AWSServiceRoleForAuditManager를 RoleName로 지정합니다.
삭제 상태를 확인하려면 GetServiceLinkedRoleDeletionStatus를 호출합니다. 요청에 DeletionTaskId(을)를 지정합니다.

삭제 태스크는 NOT_STARTED, IN_PROGRESS, SUCCEEDED 또는 FAILED 상태일 수 있습니다. 삭제에 실패할 경우 문제를 해결할 수 있도록 실패 이유가 호출에 반환됩니다.

Audit Manager 서비스 연결 역할 삭제 관련 팁

Audit Manager에서 역할을 사용 중이거나 연결된 리소스가 있는 경우 Audit Manager 서비스 연결 역할을 삭제하는 프로세스가 실패할 수 있습니다. 다음 시나리오에서 실패가 발생할 수 있습니다.

계정이 하나 이상의 AWS 리전에서 Audit Manager에 여전히 등록되어 있습니다.
계정이 AWS 조직의 일부이며 관리 계정 또는 위임된 관리자 계정이 Audit Manager에 여전히 온보딩되어 있습니다.

삭제 실패 문제를 해결하려면 먼저 AWS 계정가 조직의 일부인지 확인합니다. DescribeOrganization API 작업을 직접적으로 호출하거나 AWS Organizations 콘솔로 이동하여 이 작업을 수행할 수 있습니다.

AWS 계정가 조직의 일부인 경우

관리 계정을 사용하여 위임된 관리자를 추가한 모든 AWS 리전의 Audit Manager에서 위임된 관리자를 제거합니다.
관리 계정을 사용하여 서비스를 사용한 모든 AWS 리전에서 Audit Manager 등록을 취소합니다.
이전 절차의 단계에 따라 서비스 연결 역할을 삭제하려면 다시 시도하세요.

AWS 계정가 조직의 일부가 아닌 경우

서비스를 사용한 모든 AWS 리전에서 Audit Manager의 등록을 취소했는지 확인합니다.
이전 절차의 단계에 따라 서비스 연결 역할을 삭제하려면 다시 시도하세요.

Audit Manager에서 등록을 취소하면 서비스는 서비스 연결 역할을 사용을 중지합니다. 그런 다음 역할을 성공적으로 삭제할 수 있습니다.

AWS Audit Manager 서비스 링크 역할이 지원되는 리전

AWS Audit Manager에서는 서비스를 사용할 수 있는 모든 AWS 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 AWS 서비스 엔드포인트를 참조하세요.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

문제 해결

규정 준수 확인