를 통한 GuardDuty 계정 관리 AWS Organizations - 아마존 GuardDuty
사용 고려 사항 및 권장 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 통한 GuardDuty 계정 관리 AWS Organizations

AWS 조직의 관리 계정은 이 조직 내 모든 계정을 위임된 관리자 계정으로 지정할 수 있습니다. GuardDuty 이 관리자 계정의 경우 현재 계정에서만 자동으로 GuardDuty 활성화됩니다. AWS 리전기본적으로 관리자 계정은 해당 지역 내 조직의 모든 구성원 계정을 활성화하고 관리할 GuardDuty 수 있습니다. 관리자 계정은 이 AWS 조직을 보고 구성원을 추가할 수 있습니다.

다음 섹션에서는 위임된 GuardDuty 관리자 계정으로 수행할 수 있는 다양한 작업을 안내합니다.

와 함께 사용하기 GuardDuty 위한 고려 사항 및 권장 사항 AWS Organizations

다음 고려 사항 및 권장 사항은 위임된 GuardDuty 관리자 계정이 작동하는 방식을 이해하는 데 도움이 될 수 있습니다. GuardDuty

위임된 GuardDuty 관리자 계정은 최대 50,000명의 구성원을 관리할 수 있습니다.

위임된 GuardDuty 관리자 계정당 회원 계정은 50,000개로 제한됩니다. 여기에는 통해 추가된 구성원 계정 AWS Organizations 또는 GuardDuty 관리자 계정의 기관 가입 초대를 수락한 사용자가 포함됩니다. 하지만 AWS 조직에 50,000개 이상의 계정이 있을 수 있습니다.

50,000개의 멤버 계정 한도를 초과하는 경우 지정된 위임된 GuardDuty 관리자 계정으로부터 CloudWatch 알림 및 이메일을 받게 됩니다. AWS Health Dashboard

위임된 GuardDuty 관리자 계정은 지역별 계정입니다.

반면 AWS Organizations, GuardDuty 은 지역 서비스입니다. 위임된 GuardDuty 관리자 계정과 해당 구성원 계정을 GuardDuty 활성화한 각 원하는 지역을 통해 AWS Organizations 추가해야 합니다. 조직 관리 계정이 미국 동부 (버지니아 북부) 에서만 위임된 GuardDuty 관리자 계정을 지정하는 경우 위임된 GuardDuty 관리자 계정은 해당 지역의 조직에 추가된 구성원 계정만 관리합니다. 사용 가능한 지역의 기능 패리티에 대한 자세한 내용은 을 참조하십시오. GuardDuty 리전 및 엔드포인트

옵트인 지역의 특수 사례

  • 위임된 GuardDuty 관리자 계정이 옵트인 지역에서 옵트아웃하는 경우, 조직의 GuardDuty 자동 활성화 구성이 새 멤버 계정만 (NEW) 또는 모든 멤버 계정 () 으로 설정되어 있더라도 조직의 현재 비활성화된 멤버 계정에 대해서는 GuardDuty 활성화할 수 없습니다. ALL GuardDuty 멤버 계정 구성에 대한 자세한 내용을 보려면 GuardDuty 콘솔 탐색 창에서 계정을 열거나 를 사용하십시오. ListMembersAPI

  • GuardDuty 자동 활성화 구성을 로 NEW 설정한 상태에서 작업할 때는 다음 순서가 충족되는지 확인하십시오.

    1. 멤버 계정은 옵트인 지역을 선택합니다.

    2. 에서 회원 계정을 조직에 추가합니다. AWS Organizations

    이러한 단계의 순서를 변경하면 특정 옵트인 지역에서 GuardDuty 자동 활성화 설정이 작동하지 않습니다. 이는 해당 구성원 계정이 조직에 더 이상 처음 추가되지 않기 때문입니다. NEW GuardDuty 두 가지 대체 솔루션을 제공합니다.

    • GuardDuty 자동 활성화 구성을 신규 및 기존 회원 계정을 포함하는 로 ALL 설정합니다. 이 경우 이러한 단계의 순서는 중요하지 않습니다.

    • 구성원 계정이 이미 조직에 속해 있는 경우 GuardDuty 콘솔 또는 를 사용하여 특정 옵트인 지역에서 이 계정의 GuardDuty 구성을 개별적으로 관리하십시오. API

AWS 조직 전체에 걸쳐 동일한 위임 GuardDuty 관리자 계정을 보유하는 데 필요합니다. AWS 리전

활성화된 모든 AWS 리전 위치에서 GuardDuty 구성원 계정 하나를 위임된 GuardDuty 관리자 계정으로 지정해야 합니다. 예를 들어, 멤버 계정을 지정하는 경우 111122223333Europe (Ireland), 다른 회원 계정을 지정할 수 없습니다.555555555555Canada (Central). 다른 모든 지역의 위임된 GuardDuty 관리자 계정과 동일한 계정을 사용해야 합니다.

언제든지 새 위임된 GuardDuty 관리자 계정을 지정할 수 있습니다. 기존의 위임된 GuardDuty 관리자 계정을 제거하는 방법에 대한 자세한 내용은 을 참조하십시오. 위임된 GuardDuty 관리자 계정 변경

조직의 관리 계정을 위임된 GuardDuty 관리자 계정으로 설정하는 것은 권장되지 않습니다.

조직의 관리 계정은 위임된 GuardDuty 관리자 계정일 수 있습니다. 하지만 AWS 보안 모범 사례는 최소 권한 원칙을 따르므로 이 구성을 권장하지 않습니다.

위임된 GuardDuty 관리자 계정을 변경해도 구성원 계정은 GuardDuty 비활성화되지 않습니다.

위임된 GuardDuty 관리자 계정을 제거하면 이 GuardDuty 위임된 관리자 계정과 연결된 모든 구성원 계정이 GuardDuty 제거됩니다. GuardDuty 이 모든 회원 계정에는 여전히 활성화되어 있습니다.