AWS CloudTrail 및 AWS Organizations - AWS Organizations
서비스 연결 역할서비스 보안 주체신뢰할 수 있는 액세스 활성화신뢰할 수 있는 액세스 비활성화위임된 관리자 활성화CloudTrail에 대해 위임된 관리자 비활성화

AWS CloudTrail 및 AWS Organizations

AWS CloudTrail은 AWS 계정에 대한 거버넌스, 규정 준수, 운영 및 위험 감사를 활성화하는 데 도움을 주는 AWS 서비스입니다. AWS CloudTrail을 사용하면, 관리 계정의 사용자가 해당 조직의 모든 AWS 계정에 대한 모든 이벤트를 로깅하는 조직 추적 기록을 생성할 수 있습니다. 조직 추적 기록은 조직 내 모든 구성원 계정에 자동으로 적용됩니다. 구성원 계정은 조직 추적 기록을 볼 수 있지만 수정하거나 삭제할 수는 없습니다. 기본적으로 멤버 계정은 Amazon S3 버킷에 있는 조직 추적 기록에 대한 로그 파일에 액세스할 수 있는 권한이 없습니다. 이는 조직 내 계정에 걸쳐 이벤트 로깅 방식을 일관적으로 적용 및 시행하는 데 도움이 됩니다.

자세한 내용은 AWS CloudTrail 사용 설명서에서 조직에 대한 추적 생성을 참조하세요.

다음 정보는 AWS CloudTrail와 AWS Organizations를 통합하는 데 도움을 줍니다.

통합 활성화 시 서비스 연결 역할 생성

신뢰할 수 있는 액세스를 활성화하면 다음 서비스 연결 역할이 조직의 관리 계정에 자동으로 생성됩니다. 이 역할을 통해 CloudTrail은 조직의 계정 내에서 지원되는 작업을 수행할 수 있습니다.

CloudTrail와 Organizations 간의 신뢰할 수 있는 액세스를 비활성화하거나 조직에서 멤버 계정을 제거한 경우에만 이 역할을 삭제하거나 수정할 수 있습니다.

  • AWSServiceRoleForCloudTrail

서비스 연결 역할이 사용하는 서비스 보안 주체

앞 부분에서 다룬 서비스 연결 역할은 역할에 대해 정의된 신뢰 관계에 의해 권한이 부여되는 서비스 보안 주체만 맡을 수 있습니다. CloudTrail이 사용하는 서비스 연결 역할은 다음 서비스 보안 주체에 대한 액세스 권한을 부여합니다.

  • cloudtrail.amazonaws.com

CloudTrail과 상호 신뢰할 수 있는 액세스 활성화

신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한에 관한 내용은 신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한 단원을 참조하세요.

AWS CloudTrail 콘솔에서 추적 기록을 생성하여 신뢰할 수 있는 액세스를 활성화하는 경우 신뢰할 수 있는 액세스가 자동으로 구성됩니다(권장). 또한 AWS Organizations 콘솔을 사용하여 신뢰할 수 있는 액세스를 활성화할 수도 있습니다. 조직 추적을 생성하려면 AWS Organizations 관리 계정으로 로그인해야 합니다.

AWS CLI 또는 AWS API를 사용하여 조직 추적 기록을 생성할 경우에는 신뢰할 수 있는 액세스를 직접 구성해야 합니다. 자세한 내용은 AWS CloudTrail 사용 설명서AWS Organizations에서 CloudTrail을 신뢰할 수 있는 서비스로 활성화를 참조하세요.

중요

가능하면 항상 AWS CloudTrail 콘솔 또는 도구를 사용하여 Organizations 통합을 활성화할 것을 적극 권장합니다.

Organizations AWS CLI 명령을 실행하거나, AWS SDK 중 하나에서 Organizations API 작업을 호출하여 신뢰할 수 있는 액세스를 활성화할 수 있습니다.

AWS CLI, AWS API
Organizations CLI/SDK를 사용하여 신뢰할 수 있는 서비스 액세스를 활성화하려면

다음 AWS CLI 명령 또는 API 작업을 사용하면 신뢰할 수 있는 서비스 액세스를 활성화할 수 있습니다.

  • AWS CLI: enable-aws-service-access

    다음 명령을 실행하면 Organizations와 상호 신뢰할 수 있는 서비스로 AWS CloudTrail를 활성화할 수 있습니다.

    $ aws organizations enable-aws-service-access \
    --service-principal cloudtrail.amazonaws.com

    이 명령은 성공 시 출력을 생성하지 않습니다.

  • AWS API: EnableAWSServiceAccess

CloudTrail과 상호 신뢰할 수 있는 액세스 비활성화

신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한에 관한 내용은 신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한 단원을 참조하세요.

AWS CloudTrail은 조직 추적 및 조직 이벤트 데이터 스토어와 연동되려면 AWS Organizations를 사용한 신뢰할 수 있는 액세스가 필요합니다. AWS CloudTrail을 사용하는 중에 AWS Organizations를 사용하여 신뢰할 수 있는 액세스를 비활성화하면 CloudTrail이 조직에 액세스할 수 없기 때문에 멤버 계정에 대한 모든 조직 추적이 삭제됩니다. 모든 관리 계정 조직 추적 및 조직 이벤트 데이터 스토어는 계정 수준 추적 및 이벤트 데이터 스토어로 변환됩니다. CloudTrail과 AWS Organizations 간의 통합을 위해 생성된 AWSServiceRoleForCloudTrail 역할은 계정에 유지됩니다. 신뢰할 수 있는 액세스를 다시 활성화하면 CloudTrail은 기존 추적 및 이벤트 데이터 스토어에 대해 조치를 취하지 않습니다. 관리 계정은 모든 계정 수준 추적 및 이벤트 데이터 스토어를 업데이트하여 조직에 적용해야 합니다.

계정 수준 추적 또는 이벤트 데이터 스토어를 조직 추적 또는 조직 이벤트 데이터 스토어로 변환하려면 다음을 수행합니다.

  • CloudTrail 콘솔에서 추적 또는 이벤트 데이터 스토어를 업데이트하고 조직의 모든 계정에 대해 활성화 옵션을 선택합니다.

  • AWS CLI에서 다음을 수행합니다.

    • 추적을 업데이트하려면 update-trail 명령을 실행하고 --is-organization-trail 파라미터를 포함합니다.

    • 이벤트 데이터 스토어를 업데이트하려면 update-event-data-store 명령을 실행하고 --organization-enabled 파라미터를 포함합니다.

AWS Organizations 관리 계정의 관리자만 AWS CloudTrail와 상호 신뢰할 수 있는 액세스를 비활성화할 수 있습니다. AWS Organizations 콘솔을 사용하거나, Organizations AWS CLI 명령을 실행하거나, AWS SDK 중 하나에서 Organizations API 작업을 호출하여 Organizations 도구에서만 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.

AWS Organizations 콘솔을 사용하거나, Organizations AWS CLI 명령을 실행하거나, AWS SDK 중 하나에서 Organizations API 작업을 호출하여 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.

AWS Management Console
Organizations 콘솔을 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화하려면

  1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

  2. 탐색 창에서 서비스를 선택합니다.

  3. 서비스 목록에서 AWS CloudTrail를 선택합니다.

  4. 신뢰할 수 있는 액세스 비활성화를 선택합니다.

  5. AWS CloudTrail에 대한 신뢰할 수 있는 액세스 비활성화 대화 상자에서 비활성화를 입력하여 확인한 다음 신뢰할 수 있는 액세스 비활성화를 선택합니다.

  6. 본인이 AWS Organizations에서만 관리자인 경우 AWS CloudTrail의 관리자에게 콘솔 또는 도구에서 해당 서비스를 비활성화하여 AWS Organizations와 연동할 수 없다고 알립니다.

AWS CLI, AWS API
Organizations CLI/SDK를 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화하려면

다음 AWS CLI 명령 또는 API 작업을 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화할 수 있습니다.

  • AWS CLI: disable-aws-service-access

    다음 명령을 실행하면 Organizations와 상호 신뢰할 수 있는 서비스로서 AWS CloudTrail를 비활성화할 수 있습니다.

    $ aws organizations disable-aws-service-access \
    --service-principal cloudtrail.amazonaws.com

    이 명령은 성공 시 출력을 생성하지 않습니다.

  • AWS API: DisableAWSServiceAccess

CloudTrail에 대해 위임된 관리자 계정 활성화

CloudTrail을 Organizations와 함께 사용하는 경우, 조직 내의 어떤 계정이든 CloudTrail 위임된 관리자 역할을 하도록 등록할 수 있습니다. 이 위임된 관리자는 조직을 대신하여 조직의 추적 및 이벤트 데이터 스토어를 관리합니다. 위임된 관리자는 CloudTrail에서 관리 계정과 동일한 관리 작업을 수행할 수 있는 조직의 멤버 계정입니다.

최소 권한

Organizations 관리 계정의 관리자만 CloudTrail의 위임된 관리자를 등록할 수 있습니다.

CloudTrail 콘솔을 사용하거나 Organizations RegisterDelegatedAdministrator CLI 또는 SDK 작업을 사용하여 위임된 관리자 계정을 등록할 수 있습니다. CloudTrail 콘솔을 사용하여 위임된 관리자를 등록하려면 CloudTrail 위임된 관리자 추가를 참조하세요.

CloudTrail에 대해 위임된 관리자 비활성화

Organizations 관리 계정의 관리자만 CloudTrail의 위임된 관리자를 제거할 수 있습니다. CloudTrail 콘솔을 사용하거나 Organizations DeregisterDelegatedAdministrator CLI 또는 SDK 작업을 사용하여 위임된 관리자를 제거할 수 있습니다. CloudTrail 콘솔을 사용하여 위임된 관리자를 제거하는 방법은 CloudTrail 위임된 관리자 제거를 참조하세요.