기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
GuardDuty 관리자 계정과 멤버 계정 간의 관계 이해
다중 계정 환경에서 GuardDuty 를 사용하는 경우 관리자 계정은 멤버 계정을 GuardDuty 대신하여 의 특정 측면을 관리할 수 있습니다. 관리자 계정은 다음과 같은 기본 함수를 수행할 수 있습니다.
-
연결된 멤버 계정 추가 및 제거 - 관리자 계정이 이렇게 할 수 있는 프로세스는 AWS Organizations 또는 GuardDuty 초대 방법을 통해 계정을 관리하는 방법에 따라 다릅니다.
GuardDuty 에서는 를 통해 멤버 계정을 관리할 것을 권장합니다 AWS Organizations.
-
관리 계정 GuardDuty 에서 위임된 GuardDuty 관리자 계정 활성화 - AWS Organizations 관리 계정이 를 비활성화한 경우 위임된 GuardDuty 관리자 계정 GuardDuty은 관리 계정 GuardDuty 에서 활성화할 수 있습니다. 그러나 관리 계정이 를 명시적으로 삭제하지 않았어야 합니다에 대한 서비스 연결 역할 권한 GuardDuty.
-
멤버 계정 상태 구성 - 관리자 계정은 GuardDuty 보호 계획 상태를 활성화 또는 비활성화하고 연결된 멤버 계정을 GuardDuty 대신하여 의 상태를 활성화, 일시 중지 또는 비활성화할 수 있습니다.
로 관리되는 위임된 GuardDuty 관리자 계정은 AWS 계정 가 멤버로 추가될 GuardDuty 때 를 자동으로 활성화할 AWS Organizations 수 있습니다.
-
조사 결과 생성 시기 사용자 지정 - 관리자 계정은 금지 규칙, 신뢰할 수 있는 IP 목록 및 위협 목록을 생성하고 관리하여 GuardDuty 네트워크 내에서 조사 결과를 사용자 지정할 수 있습니다. 다중 계정 환경에서는 위임된 GuardDuty 관리자 계정에서만 이러한 기능을 구성할 수 있습니다. 멤버 계정은 이 구성을 업데이트할 수 없습니다.
다음 표에서는 GuardDuty 관리자 계정과 멤버 계정 간의 관계를 자세히 설명합니다.
테이블의 키
-
자체 - 계정은 자신의 계정에 대해서만 나열된 작업을 수행할 수 있습니다.
-
임의 - 계정은 연결된 계정에 대해 나열된 작업을 수행할 수 있습니다.
-
모두 - 계정이 나열된 작업을 수행할 수 있으며 연결된 모든 계정에 적용됩니다. 일반적으로 이 작업을 수행하는 계정은 지정된 GuardDuty 관리자 계정입니다.
-
대시(-)가 있는 셀 - 대시(-)가 있는 테이블 셀은 계정이 나열된 작업을 수행할 수 없음을 나타냅니다.
| 작업 | 를 통해 AWS Organizations | 초대장별 | ||
|---|---|---|---|---|
| 위임된 GuardDuty 관리자 계정 | 연결된 멤버 계정 | 위임된 GuardDuty 관리자 계정 | 연결된 멤버 계정 | |
| 활성화 GuardDuty | 모두 | – | 본인 | 본인 |
전체 조직에 대해 GuardDuty 자동으로 활성화(ALL, NEW, NONE) |
모두 | – | – | – |
| GuardDuty 상태에 관계없이 모든 Organizations 멤버 계정 보기 | 모두 | – | – | – |
| 샘플 결과 생성 | 본인 | 본인 | 본인 | 본인 |
| 모든 GuardDuty 조사 결과 보기 | 모두 | 본인 | 모두 | 본인 |
| GuardDuty 결과 아카이브 | 모두 | – | 모두 | – |
| 억제 규칙 적용 | 모두 | – | 모두 | – |
| 신뢰할 수 있는 IP 목록 또는 위협 목록 생성 | 모두 | – | 모두 | – |
| 신뢰할 수 있는 IP 목록 또는 위협 목록 업데이트 | 모두 | – | 모두 | – |
| 신뢰할 수 있는 IP 목록 또는 위협 목록 삭제 | 모두 | – | 모두 | – |
| EventBridge 알림 빈도 설정 | 모두 | – | 모두 | – |
| 결과를 내보낼 Amazon S3 위치 설정 | 모두 | 본인 | 모두 | 본인 |
|
전체 조직에 대해 하나 이상의 선택적 보호 계획 활성화( 여기에는 S3용 맬웨어 보호는 포함되지 않습니다. |
모두 | – | – | – |
개별 계정에 대한 GuardDuty 모든 보호 계획 활성화 여기에는 용 맬웨어 보호 EC2 및 S3용 맬웨어 보호는 포함되지 않습니다. |
모두 | – | 모두 | – |
|
에 대한 맬웨어 보호 EC2 |
모두 | – | 본인 | 본인 |
|
S3에 대한 맬웨어 방지 |
– | 본인 | – | 본인 |
| 멤버 계정 연결 해제 | 모두 | – | 모두 | – |
| 관리자 계정 계정에서 연결 해제 | – | 셀프+ | – | 본인 |
| 연결 해제된 멤버 계정 삭제 | 모두 | – | 모두 | – |
| 일시 중지 GuardDuty | 모두* | – | 모두* | – |
| 비활성화 GuardDuty | 모두* | – | 모두* | – |
+위임된 GuardDuty 관리자 계정이 ALL 조직 구성원에게 자동 활성화 기본 설정을 설정하지 않은 경우에만 계정이 이 작업을 수행할 수 있음을 나타냅니다.
*위임된 GuardDuty 관리자 계정이 멤버 계정 GuardDuty 에서 직접 비활성화할 수 없음을 나타냅니다. 위임된 GuardDuty 관리자 계정은 먼저 멤버 계정의 연결을 해제한 다음 삭제해야 합니다. 그 후 각 멤버 계정은 자신의 계정 GuardDuty 에서 비활성화할 수 있습니다. 조직에서 이러한 작업을 수행하는 방법에 대한 자세한 내용은 섹션을 참조하세요내에서 멤버 계정의 지속적인 관리 GuardDuty.
