조직 자동 활성화 기본 설정 지정 - Amazon GuardDuty

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

조직 자동 활성화 기본 설정 지정

의 조직 자동 활성화 기능을 GuardDuty 사용하면 조직의 ALL 기존 계정 또는 NEW 멤버 계정에 대해 동일한 GuardDuty 및 보호 플랜 상태를 한 번에 설정할 수 있습니다. 마찬가지로 NONE를 선택하여 멤버 계정에 대해 어떤 작업도 수행하지 않을 시기를 지정할 수도 있습니다. 다음 단계에서는 이러한 설정에 대해 설명하고 특정 설정을 사용할 수 있는 시기를 알려드립니다.

선호하는 액세스 방법을 선택하여 조직의 자동 활성화 환경설정을 업데이트합니다.

Console

  1. 에서 GuardDuty 콘솔을 엽니다https://console.aws.amazon.com/guardduty/.

    로그인하려면 GuardDuty 관리자 계정 자격 증명을 사용합니다.

  2. 탐색 창에서 Accounts(계정)를 선택합니다.

    계정 페이지는 GuardDuty 관리자 계정에 구성 옵션을 제공하여 조직에 속한 멤버 계정을 대신하여 자동 활성화 GuardDuty 하고 선택적 보호 계획을 제공합니다.

  3. 기존 자동 활성화 설정을 업데이트하려면 편집을 선택합니다.

    조직의 멤버 계정을 대신하여 자동 활성화 기본 설정을 업데이트하려면 편집을 선택합니다.

    이 지원은 GuardDuty 및에서 지원되는 모든 선택적 보호 플랜을 구성하는 데 사용할 수 있습니다 AWS 리전. 멤버 계정을 GuardDuty 대신하여에 대한 다음 구성 옵션 중 하나를 선택할 수 있습니다.

    • 모든 계정에 사용(ALL) - 조직의 모든 계정에 대해 해당 옵션을 사용하도록 설정하려면 선택합니다. 여기에는 조직에 가입하는 새 계정과 조직에서 일시 중지되거나 제거되었을 수 있는 계정이 포함됩니다. 여기에는 위임된 GuardDuty 관리자 계정도 포함됩니다.

      참고

      모든 멤버 계정의 구성을 업데이트하는 데 최대 24시간이 걸릴 수 있습니다.

    • 새 계정에 대해 자동 활성화(NEW) - 조직에 가입할 때 새 멤버 계정에 대해서만 GuardDuty 또는 선택적 보호 계획을 자동으로 활성화하려면 선택합니다.

    • 활성화하지 않음(NONE) - 조직의 새 계정에 대해 해당 옵션을 활성화하지 않으려면 선택합니다. 이 경우 GuardDuty 관리자 계정은 각 계정을 개별적으로 관리합니다.

      자동 활성화 설정을 ALL 또는 NEW에서 NONE로 업데이트해도 기존 계정에 대한 해당 옵션은 비활성화되지 않습니다. 이 구성은 조직에 가입하는 새 계정에 적용됩니다. 자동 활성화 설정을 업데이트하면 새 계정에는 해당 옵션이 활성화되지 않습니다.

    참고

    위임된 GuardDuty 관리자 계정이 옵트인 리전을 옵트아웃하는 경우 조직에 새 멤버 계정만(NEW) 또는 모든 멤버 GuardDuty 계정()으로 자동 GuardDuty 활성화 구성이 설정되어 있더라도 현재 GuardDuty 비활성화된 조직의 멤버 계정에는를 활성화할 수 ALL없습니다. 멤버 계정 구성에 대한 자세한 내용은 GuardDuty 콘솔 탐색 창에서 계정을 열거나 ListMembers를 사용합니다API.

  4. Save changes(변경 사항 저장)를 선택합니다.

  5. (선택 사항) 각 지역에서 동일한 환경설정을 사용하려면 지원되는 각 지역에서 환경설정을 개별적으로 업데이트하세요.

    일부 선택적 보호 플랜은를 사용할 수 AWS 리전 있는 모든에서 사용하지 못할 수 GuardDuty 있습니다. 자세한 내용은 리전 및 엔드포인트 단원을 참조하십시오.

API/CLI

  1. 실행UpdateOrganizationConfiguration 위임된 GuardDuty 관리자 계정의 자격 증명을 사용하여가 조직에 맞게 해당 리전에서 GuardDuty 및 선택적 보호 계획을 자동으로 구성합니다. 다양한 자동 활성화 구성에 대한 자세한 내용은 autoEnableOrganization멤버를 참조하세요.

    계정 및 현재 리전detectorId의를 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나를 실행합니다. ListDetectors API.

    해당 리전에서 지원되는 선택적 보호 플랜에 대한 자동 활성화 기본 설정을 지정하려면 각 보호 플랜의 해당 설명서 섹션에 제공된 단계를 따르세요.

  2. 현재 리전에서 조직의 기본 설정을 검증할 수 있습니다. 실행describeOrganizationConfiguration. 위임된 GuardDuty 관리자 계정의 탐지기 ID를 지정해야 합니다.

    참고

    모든 멤버 계정의 구성을 업데이트하는 데 최대 24시간이 걸릴 수 있습니다.

  3. 또는 다음 AWS CLI 명령을 실행하여 조직에 가입한 새 계정(NEW), 모든 계정() 또는 조직의 계정(NONE)에 대해 해당 리전 GuardDuty 에서 자동으로 활성화 ALL또는 비활성화하도록 기본 설정을 지정합니다. 자세한 내용은 autoEnableOrganization멤버를 참조하세요. 기본 설정에 따라 NEWALL 또는 NONE으로 바꿔야 할 수 있습니다. 로 보호 계획을 구성하면 위임된 GuardDuty 관리자 계정에 대해서도 ALL보호 계획이 활성화됩니다. 조직 구성을 관리하는 위임된 GuardDuty 관리자 계정의 탐지기 ID를 지정해야 합니다.

    계정 및 현재 리전detectorId의를 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나를 실행합니다. ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW

  4. 현재 리전에서 조직의 기본 설정을 검증할 수 있습니다. 위임된 GuardDuty 관리자 계정의 감지기 ID를 사용하여 다음 AWS CLI 명령을 실행합니다.

    aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0

(권장) 위임된 GuardDuty 관리자 계정 감지기 ID를 사용하여 각 리전에서 이전 단계를 반복합니다.

참고

위임된 GuardDuty 관리자 계정이 옵트인 리전을 옵트아웃하는 경우 조직에 새 멤버 계정만(NEW) 또는 모든 멤버 GuardDuty 계정()으로 자동 GuardDuty 활성화 구성이 설정되어 있더라도 현재 GuardDuty 비활성화된 조직의 멤버 계정에는를 활성화할 수 ALL없습니다. 멤버 계정 구성에 대한 자세한 내용은 GuardDuty 콘솔 탐색 창에서 계정을 열거나 ListMembers를 사용합니다API.