를 사용하여 GuardDuty 계정 관리 AWS Organizations - Amazon GuardDuty
사용 고려 사항 및 권장 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

를 사용하여 GuardDuty 계정 관리 AWS Organizations

AWS 조직에서 관리 계정은이 조직 내의 모든 계정을 위임된 GuardDuty 관리자 계정으로 지정할 수 있습니다. 이 관리자 계정의 경우 GuardDuty 는 현재 에서만 자동으로 활성화됩니다 AWS 리전. 기본적으로 관리자 계정은 해당 리전 내 조직의 모든 멤버 계정에 GuardDuty 대해를 활성화하고 관리할 수 있습니다. 관리자 계정은 멤버를 보고이 AWS 조직에 추가할 수 있습니다.

다음 섹션에서는 위임된 GuardDuty 관리자 계정으로 수행할 수 있는 다양한 작업을 안내합니다.

내용

GuardDuty 와 함께를 사용하기 위한 고려 사항 및 권장 사항 AWS Organizations

다음 고려 사항 및 권장 사항은 위임된 GuardDuty 관리자 계정이 어떻게 운영되는지 이해하는 데 도움이 될 수 있습니다 GuardDuty.

위임된 GuardDuty 관리자 계정은 최대 50,000명의 멤버를 관리할 수 있습니다.

위임된 GuardDuty 관리자 계정당 멤버 계정은 50,000개로 제한됩니다. 여기에는를 통해 추가된 멤버 계정 AWS Organizations 또는 GuardDuty 관리자 계정의 조직 가입 초대를 수락한 멤버 계정이 포함됩니다. 그러나 AWS 조직에 50,000개 이상의 계정이 있을 수 있습니다.

멤버 계정 한도 50,000개를 초과하면에서 알림 CloudWatch AWS Health Dashboard과 지정된 위임된 GuardDuty 관리자 계정으로의 이메일을 받게 됩니다.

위임된 GuardDuty 관리자 계정은 리전입니다.

이와 달리 AWS Organizations GuardDuty 는 리전 서비스입니다. 위임된 GuardDuty 관리자 계정과 해당 멤버 계정은 GuardDuty 활성화한 각 원하는 리전 AWS Organizations 에서를 통해 추가해야 합니다. 조직 관리 계정이 미국 동부(버지니아 북부)에서만 위임된 GuardDuty 관리자 계정을 지정하는 경우 위임된 GuardDuty 관리자 계정은 해당 리전의 조직에 추가된 멤버 계정만 관리합니다. GuardDuty 를 사용할 수 있는 리전의 기능 패리티에 대한 자세한 내용은 섹션을 참조하세요리전 및 엔드포인트.

옵트인 리전에 대한 특수 사례

  • 위임된 GuardDuty 관리자 계정이 옵트인 리전에서 옵트아웃하는 경우 조직에 새 멤버 계정만(NEW) 또는 모든 멤버 GuardDuty 계정()으로 GuardDuty 자동 활성화 구성이 설정되어 있더라도 현재 GuardDuty 비활성화된 조직의 멤버 계정에는를 활성화할 수 ALL없습니다. 멤버 계정 구성에 대한 자세한 내용은 GuardDuty 콘솔 탐색 창에서 계정을 열거나 ListMembers를 사용합니다API.

  • 로 설정된 GuardDuty 자동 활성화 구성으로 작업할 때는 다음 시퀀스가 충족되어야 NEW합니다.

    1. 멤버는 옵트인 리전에 옵트인합니다.

    2. AWS Organizations에서 조직에 구성원 계정을 추가합니다.

    이러한 단계의 순서를 변경하면 멤버 계정이 더 이상 조직에 신규가 아니므로의 GuardDuty 자동 활성화 설정이 특정 옵트인 리전에서 작동하지 NEW 않습니다.는 두 가지 대체 솔루션을 GuardDuty 제공합니다.

    • GuardDuty 자동 활성화 구성을 신규 및 기존 멤버 계정이 ALL포함된 로 설정합니다. 이 경우 이러한 단계의 순서는 중요하지 않습니다.

    • 멤버 계정이 이미 조직의 일부인 경우 GuardDuty 콘솔 또는를 사용하여 특정 옵트인 리전에서이 계정에 대한 GuardDuty 구성을 개별적으로 관리합니다API.

AWS 조직이 모든에서 동일한 위임된 GuardDuty 관리자 계정을 보유하는 데 필요합니다 AWS 리전.

AWS 리전 GuardDuty 가 활성화된 모든에서 하나의 멤버 계정을 위임된 GuardDuty 관리자 계정으로 지정해야 합니다. 예를 들어 111122223333에서 멤버 계정을 지정하는 경우 555555555555에서 다른 멤버 계정을 지정할 Europe (Ireland)수 없습니다Canada (Central). 다른 모든 리전에서는 위임된 GuardDuty 관리자 계정과 동일한 계정을 사용해야 합니다.

언제든지 위임된 새 GuardDuty 관리자 계정을 지정할 수 있습니다. 기존 위임된 GuardDuty 관리자 계정 제거에 대한 자세한 내용은 섹션을 참조하세요위임된 GuardDuty 관리자 계정 변경.

조직의 관리 계정을 위임된 GuardDuty 관리자 계정으로 설정하는 것은 권장되지 않습니다.

조직의 관리 계정은 위임된 GuardDuty 관리자 계정일 수 있습니다. 하지만 AWS 보안 모범 사례는 최소 권한 원칙을 따르므로 이 구성을 권장하지 않습니다.

위임된 GuardDuty 관리자 계정을 변경해도 멤버 계정에 GuardDuty 대해서는 비활성화되지 않습니다.

위임된 GuardDuty 관리자 계정을 제거하면는이 위임된 GuardDuty 관리자 계정과 연결된 모든 멤버 계정을 GuardDuty 제거합니다. 이러한 모든 멤버 계정은 GuardDuty 여전히 활성화된 상태로 유지됩니다.