기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
GuardDuty 관리자 계정 및 멤버 계정 간의 관계 이해
다중 계정 환경에서 GuardDuty를 사용하는 경우 관리자 계정은 멤버 계정을 대신하여 GuardDuty의 특정 측면을 관리할 수 있습니다. 관리자 계정은 다음과 같은 주요 기능을 수행할 수 있습니다.
-
연결된 멤버 계정 추가 및 제거 - 관리자 계정이 이를 수행할 수 있는 프로세스는 AWS Organizations 또는 GuardDuty 초대 방법을 통해 계정을 관리하는 방법에 따라 다릅니다.
GuardDuty는를 통해 멤버 계정을 관리할 것을 권장합니다 AWS Organizations.
-
관리 계정에서 GuardDuty를 활성화하는 위임된 GuardDuty 관리자 계정 - AWS Organizations 관리 계정이 GuardDuty를 비활성화한 경우 위임된 GuardDuty 관리자 계정은 관리 계정에서 GuardDuty를 활성화할 수 있습니다. 그러나 관리 계정에서 GuardDuty에 대한 서비스 연결 역할 권한를 명시적으로 삭제하지 않았어야 합니다.
-
멤버 계정의 상태 구성 - 관리자 계정은 GuardDuty 보호 요금제의 상태를 활성화 또는 비활성화하고, 연결된 멤버 계정을 대신하여 GuardDuty의 상태를 활성화, 일시 중지 또는 비활성화할 수 있습니다.
로 관리되는 위임된 GuardDuty 관리자 계정 AWS 계정 은가 멤버로 추가될 때 GuardDuty를 자동으로 활성화할 AWS Organizations 수 있습니다.
-
조사 결과 생성 시기 사용자 지정 - 관리자 계정은 금지 규칙, 신뢰할 수 있는 IP 목록 및 위협 목록을 생성하고 관리하여 GuardDuty 네트워크 내에서 조사 결과를 사용자 지정할 수 있습니다. 다중 계정 환경에서 이러한 기능을 구성하는 지원은 위임된 GuardDuty 관리자 계정에서만 사용할 수 있습니다. 멤버 계정에서는 이 구성을 업데이트할 수 없습니다.
다음 표에는 GuardDuty 관리자 계정 및 멤버 계정 간의 관계에 대해 자세히 설명되어 있습니다.
테이블의 키
-
본인 - 계정은 자신의 계정에 대해서만 나열된 작업을 수행할 수 있습니다.
-
모두 - 계정은 연결된 계정에 대해 나열된 작업을 수행할 수 있습니다.
-
모두 - 계정이 나열된 작업을 수행할 수 있으며 연결된 모든 계정에 적용됩니다. 일반적으로 이 작업을 수행하는 계정은 지정된 GuardDuty 관리자 계정입니다.
-
대시(-)가 있는 셀 - 대시(-)가 있는 테이블 셀은 계정이 나열된 작업을 수행할 수 없음을 나타냅니다.
| 작업 | 를 통해 AWS Organizations | 초대장별 | ||
|---|---|---|---|---|
| 위임된 GuardDuty 관리자 계정 | 연결된 멤버 계정 | GuardDuty 관리자 계정 | 연결된 멤버 계정 | |
| Enable GuardDuty | Any | – | Self | Self |
Enable GuardDuty automatically for the entire organization
(ALL, NEW, NONE) |
All | – | – | – |
| View all Organizations member accounts regardless of GuardDuty status | Any | – | – | – |
| Generate sample findings | Self | Self | Self | Self |
| View all GuardDuty findings | Any | Self | Any | Self |
| Archive GuardDuty findings | Any | – | Any | – |
| Apply suppression rules | All | – | All | – |
| Create trusted IP list or threat lists | All | – | All | – |
| Update trusted IP list or threat lists | All | – | All | – |
| Delete trusted IP list or threat lists | All | – | All | – |
| Set EventBridge notification frequency | All | – | All | – |
| Set Amazon S3 location for exporting findings | All | Self | All | Self |
|
전체 조직에 대해 하나 이상의 선택적 보호 계획 활성화( 여기에는 S3용 맬웨어 보호는 포함되지 않습니다. |
All | – | – | – |
개별 계정에 대한 GuardDuty 보호 계획 활성화 여기에는 EC2용 멀웨어 보호 및 S3용 멀웨어 보호는 포함되지 않습니다. |
Any | – | Any | – |
|
EC2에 대한 맬웨어 방지 |
Any | – | Self | Self |
|
S3에 대한 맬웨어 방지 |
– | Self | – | Self |
| Disassociate a member account | Any+ | – | Any | – |
| Disassociate from an administrator account | – | – | – | Self |
| Delete a disassociated member account | Any | – | Any | – |
| Suspend GuardDuty | Any* | – | Any* | – |
| Disable GuardDuty | Any* | – | Any* | – |
+위임된 GuardDuty 관리자 계정이 ALL 조직 구성원에게 자동 활성화 기본 설정을 지정하지 않은 경우에만이 작업을 수행할 수 있음을 나타냅니다.
* 위임된 GuardDuty 관리자 계정이 멤버 계정에서 GuardDuty를 직접 비활성화할 수 없음을 나타냅니다. 위임받은 GuardDuty 관리자 계정은 먼저 멤버 계정과의 연결을 해제하고 멤버를 삭제해야 합니다. 그 후 각 멤버 계정은 각자의 계정에서 GuardDuty를 비활성화할 수 있습니다. 조직에서 이러한 작업을 수행하는 방법에 대한 자세한 내용은 GuardDuty 내에서 멤버 계정을 지속적으로 관리합니다.을 참조하세요.
