조직 자동 활성화 기본 설정 지정 - Amazon GuardDuty

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

조직 자동 활성화 기본 설정 지정

의 조직 자동 활성화 기능을 GuardDuty 사용하면 조직의 ALL 기존 계정 또는 NEW 멤버 계정에 대해 동일한 GuardDuty 및 보호 계획 상태를 한 번에 설정할 수 있습니다. 마찬가지로 를 선택하여 멤버 계정에 대해 어떤 작업도 수행하지 않을 시기를 지정할 수도 있습니다NONE. 다음 단계에서는 이러한 설정을 설명하고 특정 설정을 사용할 시기도 나타냅니다.

조직의 자동 활성화 기본 설정을 업데이트하려면 선호하는 액세스 방법을 선택합니다.

Console

  1. 에서 GuardDuty 콘솔을 엽니다https://console.aws.amazon.com/guardduty/.

    로그인하려면 GuardDuty 관리자 계정 자격 증명을 사용합니다.

  2. 탐색 창에서 Accounts(계정)를 선택합니다.

    계정 페이지에서는 GuardDuty 관리자 계정에 구성 옵션을 제공하여 자동 활성화 GuardDuty 하고 조직에 속한 멤버 계정을 대신하여 선택적 보호 계획을 제공합니다.

  3. 기존 자동 활성화 설정을 업데이트하려면 편집을 선택합니다.

    위임된 GuardDuty 관리자 계정은 조직의 멤버 계정을 대신하여 GuardDuty 및 전용 보호 계획에 대한 자동 활성화 기본 설정을 관리합니다.

    이 지원은 GuardDuty 및 에서 지원되는 모든 선택적 보호 계획을 구성하는 데 사용할 수 있습니다 AWS 리전. 멤버 계정을 GuardDuty 대신하여 에 대해 다음 구성 옵션 중 하나를 선택할 수 있습니다.

    • 모든 계정에 대해 활성화(ALL) - 조직의 모든 계정에 대해 해당 옵션을 활성화하려면 선택합니다. 여기에는 조직에 가입하는 새 계정과 조직에서 일시 중지되거나 제거되었을 수 있는 계정이 포함됩니다. 여기에는 위임된 GuardDuty 관리자 계정도 포함됩니다.

      참고

      모든 멤버 계정의 구성을 업데이트하는 데 최대 24시간이 걸릴 수 있습니다.

    • 새 계정에 대해 자동 활성화(NEW) - 조직에 가입할 때 새 멤버 계정에 대해서만 GuardDuty 또는 선택적 보호 계획을 자동으로 활성화하려면 선택합니다.

    • 활성화하지 않음(NONE) - 조직의 새 계정에 대해 해당 옵션을 활성화하지 않도록 하려면 선택합니다. 이 경우 GuardDuty 관리자 계정은 각 계정을 개별적으로 관리합니다.

      ALL 또는 에서 NEW로 자동 활성화 설정을 업데이트해도 NONE이 작업은 기존 계정에 해당하는 옵션을 비활성화하지 않습니다. 이 구성은 조직에 가입한 새 계정에 적용됩니다. 자동 활성화 설정을 업데이트한 후에는 새 계정에 해당 옵션이 활성화되지 않습니다.

    참고

    위임된 GuardDuty 관리자 계정이 옵트인 리전을 옵트아웃하는 경우 조직에 새 멤버 계정만(NEW) 또는 모든 멤버 GuardDuty 계정()으로 GuardDuty 자동 활성화 구성이 설정되어 있더라도 현재 GuardDuty 비활성화된 조직의 멤버 계정에는 를 활성화할 수 ALL없습니다. 멤버 계정 구성에 대한 자세한 내용은 GuardDuty 콘솔 탐색 창에서 계정을 열거나 ListMembers 를 사용합니다API.

  4. Save changes(변경 사항 저장)를 선택합니다.

  5. (선택 사항) 각 리전에서 동일한 기본 설정을 사용하려면 지원되는 각 리전에서 기본 설정을 별도로 업데이트합니다.

    일부 선택적 보호 플랜은 를 사용할 수 AWS 리전 있는 모든 에서 사용하지 못할 수 GuardDuty 있습니다. 자세한 내용은 리전 및 엔드포인트 단원을 참조하십시오.

API/CLI

  1. 실행UpdateOrganizationConfiguration 위임된 GuardDuty 관리자 계정의 자격 증명을 사용하여 해당 리전에서 조직의 GuardDuty 및 선택적 보호 계획을 자동으로 구성합니다. 다양한 자동 활성화 구성에 대한 자세한 내용은 autoEnableOrganization멤버 섹션을 참조하세요.

    계정 및 현재 리전에 detectorId 대한 를 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectors API.

    해당 리전에서 지원되는 선택적 보호 플랜에 대한 자동 활성화 기본 설정을 지정하려면 각 보호 플랜의 해당 설명서 섹션에 제공된 단계를 따르세요.

  2. 현재 리전에서 조직의 기본 설정을 검증할 수 있습니다. 실행describeOrganizationConfiguration. 위임된 GuardDuty 관리자 계정의 탐지기 ID를 지정해야 합니다.

    참고

    모든 멤버 계정의 구성을 업데이트하는 데 최대 24시간이 걸릴 수 있습니다.

  3. 또는 다음 AWS CLI 명령을 실행하여 조직에 가입한 새 계정(NEW), 모든 계정() 또는 조직의 계정(NONE)에 대해 해당 리전 GuardDuty 에서 자동으로 활성화 ALL또는 비활성화하도록 기본 설정을 설정합니다. 자세한 내용은 autoEnableOrganization멤버 섹션을 참조하세요. 기본 설정에 따라 NEWALL 또는 NONE으로 바꿔야 할 수 있습니다. 로 보호 계획을 구성하면 위임된 GuardDuty 관리자 계정에 대해서도 ALL보호 계획이 활성화됩니다. 조직 구성을 관리하는 위임된 GuardDuty 관리자 계정의 탐지기 ID를 지정해야 합니다.

    계정 및 현재 리전에 detectorId 대한 를 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectors API.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW

  4. 현재 리전에서 조직의 기본 설정을 검증할 수 있습니다. 위임된 GuardDuty 관리자 계정의 탐지기 ID를 사용하여 다음 AWS CLI 명령을 실행합니다.

    aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0

(권장) 위임된 GuardDuty 관리자 계정 탐지기 ID를 사용하여 각 리전에서 이전 단계를 반복합니다.

참고

위임된 GuardDuty 관리자 계정이 옵트인 리전을 옵트아웃하는 경우 조직에 새 멤버 계정만(NEW) 또는 모든 멤버 GuardDuty 계정()으로 GuardDuty 자동 활성화 구성이 설정되어 있더라도 현재 GuardDuty 비활성화된 조직의 멤버 계정에는 를 활성화할 수 ALL없습니다. 멤버 계정 구성에 대한 자세한 내용은 GuardDuty 콘솔 탐색 창에서 계정을 열거나 ListMembers 를 사용합니다API.