기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
조직 위임된 관리자
를 AWS Organizations 조직과 CloudTrail 함께 사용하는 경우 조직 내 모든 계정을 위임 CloudTrail 된 관리자로 할당하여 조직을 대신하여 조직의 추적 및 이벤트 데이터 스토어를 관리할 수 있습니다. 위임된 관리자는에서 관리 계정 CloudTrail 과 동일한 관리 작업(명시된 경우 제외)을 수행할 수 있는 조직의 멤버 계정입니다.
위임된 관리자를 선택하면 이 멤버 계정은 조직의 모든 조직 추적과 이벤트 데이터 스토어에 대한 관리자 권한을 갖습니다. 위임된 관리자를 추가해도 조직의 추적이나 이벤트 데이터 스토어의 관리 또는 운영이 변경되지 않습니다.
CloudTrail 콘솔에 위임된 관리자를 처음 추가하거나 AWS CLI 또는를 사용하여 조직의 관리 계정에 서비스 연결 역할이 있는지 CloudTrail API CloudTrail 확인합니다. 관리 계정에 서비스 연결 역할이 없는 경우는 관리 계정에 대한 서비스 연결 역할을 CloudTrail 생성합니다. 서비스 연결 역할에 대한 자세한 내용은 AWS CloudTrail에 서비스 연결 역할 사용를 참조하세요.
참고
또는 API 작업을 사용하여 위임된 관리자를 AWS Organizations CLI 추가하면 서비스 연결 역할이 없으면 생성되지 않습니다. 서비스 연결 역할은 위임된 관리자를 추가하거나 CloudTrail 콘솔 AWS CLI 을 사용하여 조직 추적 또는 이벤트 데이터 스토어를 생성하는 경우와 같이 관리 계정에서 CloudTrail 서비스로 직접 호출하는 경우에만 생성됩니다 CloudTrail API.
위임된 관리자가 작동하는 방식을 정의하는 다음 요인에 유의하세요 CloudTrail.
- 관리 계정은 위임된 관리자가 생성하는 조직 CloudTrail 리소스의 소유자로 유지됩니다.
-
조직의 관리 계정은 추적 및 이벤트 데이터 스토어와 같이 위임된 관리자가 생성하는 모든 CloudTrail 조직 리소스의 소유자로 유지됩니다. 이렇게 하면 위임된 관리자가 변경되는 경우에도 조직의 연속성을 유지할 수 있습니다.
- 위임된 관리자 계정을 제거해도 자신이 생성한 CloudTrail 조직 리소스는 삭제되지 않습니다.
-
위임된 관리자가 생성한 조직 추적 및 이벤트 데이터 스토어는 위임된 관리자를 제거할 때 삭제되지 않습니다. 관리 계정은 위임된 관리자가 생성했는지 관리 계정에서 생성했는지에 관계없이 항상 CloudTrail 조직 리소스의 소유자 역할을 하기 때문입니다.
- 조직은 최대 3명의 CloudTrail 위임된 관리자를 보유할 수 있습니다.
-
조직당 최대 3명의 CloudTrail 위임된 관리자를 보유할 수 있습니다. 위임된 관리자 계정 제거에 대한 자세한 내용은 CloudTrail 위임된 관리자 제거를 참조하세요.
다음 표에는 관리 계정, 위임된 관리자 계정 및 AWS Organizations 조직 내 멤버인 계정의 기능이 나와 있습니다.
기능 | 관리 계정 | 위임된 관리자 계정 | 멤버 계정 |
---|---|---|---|
위임된 관리자 계정 추가 또는 제거 |
|
|
|
조직 추적 생성 |
|
|
|
조직 추적 목록 보기 |
|
|
|
조직 추적 업데이트 |
|
|
|
조직 추적 삭제 |
|
|
|
이벤트 또는 AWS Config 구성 항목에 대한 조직 CloudTrail 이벤트 데이터 스토어를 생성합니다. |
|
|
|
조직 이벤트 데이터 스토어에서 Insights 사용 |
|
|
|
조직 이벤트 데이터 스토어 업데이트 |
|
|
|
조직 이벤트 데이터 스토어에서 이벤트 수집을 시작하고 중지합니다. |
|
|
|
조직 이벤트 데이터 스토어에서 Lake 쿼리 페더레이션 활성화3 |
|
|
|
조직 이벤트 데이터 스토어에서 Lake 쿼리 페더레이션 비활성화 |
|
|
|
조직 이벤트 데이터 스토어 삭제 |
|
|
|
조직 이벤트 데이터 스토어에 추적 이벤트 복사 |
|
|
|
조직 이벤트 데이터 스토어에서 쿼리 실행 |
|
|
|
조직 이벤트 데이터 스토어의 관리형 대시보드를 봅니다. |
|
|
|
조직 이벤트 데이터 스토어에 대한 하이라이트 대시보드를 활성화합니다. |
|
|
|
조직 이벤트 데이터 스토어를 쿼리하는 사용자 지정 대시보드용 위젯을 생성합니다. |
|
|
|
1위임된 관리자는 AWS CLI 또는 CloudTrail CreateTrail
또는 UpdateTrail
API 작업만 사용하여 CloudWatch 로그 로그 그룹을 구성할 수 있습니다. CloudWatch Logs 로그 그룹과 로그 역할이 모두 호출 계정에 있어야 합니다.
2오직 관리 계정만 조직 추적 또는 이벤트 데이터 저장소를 계정 수준 추적 또는 이벤트 데이터 저장소로 변환하거나, 계정 수준 추적 또는 이벤트 데이터 저장소를 조직 추적 또는 이벤트 데이터 저장소로 변환할 수 있습니다. 조직 추적과 이벤트 데이터 스토어는 관리 계정에만 존재하므로 위임된 관리자는 이러한 작업을 수행할 수 없습니다. 조직 추적 또는 이벤트 데이터 저장소를 계정 수준 추적 또는 이벤트 데이터 저장소로 변환하면, 관리 계정만 추적 또는 이벤트 데이터 저장소에 액세스할 수 있습니다.
3위임된 단일 관리자 계정 또는 관리 계정만 조직 이벤트 데이터 스토어에서 페더레이션을 활성화할 수 있습니다. 위임된 다른 관리자 계정은 Lake Formation 데이터 공유 기능을 사용하여 정보를 쿼리하고 공유할 수 있습니다. 위임된 관리자 계정과 조직의 관리 계정은 페더레이션을 비활성화할 수 있습니다.