Amazon Security Lake 및 AWS Organizations - AWS Organizations
서비스 연결 역할서비스 보안 주체신뢰할 수 있는 액세스 활성화신뢰할 수 있는 액세스 비활성화Amazon Security Lake에 대한 위임된 관리자 계정 활성화Amazon Security Lake에 대해 위임된 관리자 비활성화

Amazon Security Lake 및 AWS Organizations

Amazon Security Lake는 클라우드, 온프레미스 및 사용자 지정 소스의 보안 데이터를 계정에 저장된 데이터 레이크로 중앙 집중화합니다. Organizations와 통합하면 계정 전체에서 로그와 이벤트를 수집하는 데이터 레이크를 생성할 수 있습니다. 자세한 내용은 Amazon Security Lake User Guide의 Managing multiple accounts with AWS Organizations를 참조하세요.

다음 정보는 Amazon Security Lake와 AWS Organizations를 통합하는 데 도움이 됩니다.

통합 활성화 시 서비스 연결 역할 생성

RegisterDataLakeDelegatedAdministrator API를 호출하면 조직의 관리 계정에 다음 서비스 연결 역할이 자동으로 생성됩니다. 이 역할을 통해 Amazon Security Lake는 조직의 계정 내에서 지원되는 작업을 수행할 수 있습니다.

Amazon Security Lake와 Organizations 간의 신뢰할 수 있는 액세스를 비활성화하거나 조직에서 멤버 계정을 제거한 경우에만 이 역할을 삭제하거나 수정할 수 있습니다.

  • AWSServiceRoleForSecurityLake

권장 사항: Security Lake의 RegisterDataLakeDelegatedAdministrator API를 사용하여 Security Lake가 조직에 액세스하도록 허용하고 조직의 위임된 관리자 등록

Organizations의 API를 사용하여 위임된 관리자를 등록하는 경우 Organizations에 대한 서비스 연결 역할이 성공적으로 생성되지 않을 수 있습니다. 전체 기능을 보장하려면 Security Lake API를 사용합니다.

서비스 연결 역할이 사용하는 서비스 보안 주체

앞 부분에서 다룬 서비스 연결 역할은 역할에 대해 정의된 신뢰 관계에 의해 권한이 부여되는 서비스 보안 주체만 맡을 수 있습니다. Amazon Security Lake가 사용하는 서비스 연결 역할은 다음 서비스 위탁자에 대한 액세스 권한을 부여합니다.

  • securitylake.amazonaws.com

Amazon Security Lake를 사용하여 신뢰할 수 있는 액세스 활성화

Security Lake와 상호 신뢰할 수 있는 액세스를 활성화하면 Security Lake가 조직 멤버십의 변경 사항에 자동으로 대응할 수 있습니다. 위임된 관리자는 모든 조직 계정에서 지원되는 서비스의 AWS 로그 수집을 활성화할 수 있습니다. 자세한 내용은 Amazon Security Lake User Guide의 Service-linked role for Amazon Security Lake를 참조하세요.

신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한에 관한 내용은 신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한 단원을 참조하세요.

신뢰할 수 있는 액세스는 Organizations 도구로만 활성화할 수 있습니다.

AWS Organizations 콘솔을 사용하거나, AWS CLI 명령을 실행하거나, AWS SDK 중 하나에서 API 작업을 호출하여 신뢰할 수 있는 액세스를 활성화할 수 있습니다.

AWS Management Console
Organizations 콘솔을 사용하여 신뢰할 수 있는 서비스 액세스를 활성화하려면

  1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

  2. 탐색 창에서 서비스를 선택합니다.

  3. 서비스 목록에서 Amazon Security Lake를 선택합니다.

  4. 신뢰할 수 있는 액세스 활성화를 선택합니다.

  5. Amazon Security Lake에 대한 신뢰할 수 있는 액세스 활성화 대화 상자에서 활성화를 입력하여 확인한 다음 신뢰할 수 있는 액세스 활성화를 선택합니다.

  6. 본인이 AWS Organizations에서만 관리자인 경우 Amazon Security Lake의 관리자에게 콘솔에서 해당 서비스를 활성화하여 AWS Organizations와 연동할 수 있다고 알립니다.

AWS CLI, AWS API
Organizations CLI/SDK를 사용하여 신뢰할 수 있는 서비스 액세스를 활성화하려면

다음 AWS CLI 명령 또는 API 작업을 사용하면 신뢰할 수 있는 서비스 액세스를 활성화할 수 있습니다.

  • AWS CLI: enable-aws-service-access

    다음 명령을 실행하면 Organizations에서 신뢰할 수 있는 서비스로 Amazon Security Lake를 활성화할 수 있습니다.

    $ aws organizations enable-aws-service-access \ 
    --service-principal securitylake.amazonaws.com

    이 명령은 성공 시 출력을 생성하지 않습니다.

  • AWS API: EnableAWSServiceAccess

Amazon Security Lake를 사용하여 신뢰할 수 있는 액세스 비활성화

Organizations 관리 계정의 관리자만 Amazon Security Lake를 사용하여 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.

신뢰할 수 있는 액세스는 Organizations 도구로만 비활성화할 수 있습니다.

AWS Organizations 콘솔을 사용하거나, Organizations AWS CLI 명령을 실행하거나, AWS SDK 중 하나에서 Organizations API 작업을 호출하여 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.

AWS Management Console
Organizations 콘솔을 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화하려면

  1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

  2. 탐색 창에서 서비스를 선택합니다.

  3. 서비스 목록에서 Amazon Security Lake를 선택합니다.

  4. 신뢰할 수 있는 액세스 비활성화를 선택합니다.

  5. Amazon Security Lake에 대한 신뢰할 수 있는 액세스 비활성화 대화 상자에서 비활성화를 입력하여 확인한 다음 신뢰할 수 있는 액세스 비활성화를 선택합니다.

  6. 본인이 AWS Organizations에서만 관리자인 경우 Amazon Security Lake의 관리자에게 콘솔 또는 도구에서 해당 서비스를 비활성화하여 AWS Organizations와 연동할 수 없다고 알립니다.

AWS CLI, AWS API
Organizations CLI/SDK를 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화하려면

다음 AWS CLI 명령 또는 API 작업을 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화할 수 있습니다.

  • AWS CLI: disable-aws-service-access

    다음 명령을 실행하면 Organizations에서 신뢰할 수 있는 서비스로 Amazon Security Lake를 비활성화할 수 있습니다.

    $ aws organizations disable-aws-service-access \
    --service-principal securitylake.amazonaws.com

    이 명령은 성공 시 출력을 생성하지 않습니다.

  • AWS API: DisableAWSServiceAccess

Amazon Security Lake에 대한 위임된 관리자 계정 활성화

Amazon Security Lake의 위임된 관리자는 조직의 다른 계정을 멤버 계정으로 추가합니다. 위임된 관리자는 Amazon Security Lake를 활성화하고 멤버 계정에 대한 Amazon Security Lake 설정을 구성할 수 있습니다. 위임된 관리자는 현재 사용 중인 리전 엔드포인트에 관계없이 Amazon Security Lake가 활성화된 모든 AWS 리전의 조직 전체에서 로그를 수집할 수 있습니다.

위임된 관리자가 조직의 새 계정을 멤버로 자동 추가하도록 설정할 수도 있습니다. Amazon Security Lake의 위임된 관리자는 연결된 멤버 계정의 로그 및 이벤트에 액세스할 수 있습니다. 따라서 연결된 멤버 계정이 소유한 데이터를 수집하도록 Amazon Security Lake를 설정할 수 있습니다. 연결된 멤버 계정이 소유한 데이터를 사용할 수 있는 권한을 구독자에게 부여할 수도 있습니다.

자세한 내용은 Amazon Security Lake User Guide의 Managing multiple accounts with AWS Organizations를 참조하세요.

최소 권한

Organizations 관리 계정의 관리자만 멤버 계정을 조직의 Amazon Security Lake에 대해 위임된 관리자로 구성할 수 있습니다.

Amazon Security Lake 콘솔, Amazon Security Lake CreateDatalakeDelegatedAdmin API 작업 또는 create-datalake-delegated-admin CLI 명령을 사용하여 위임된 관리자 계정을 지정할 수 있습니다. Organizations RegisterDelegatedAdministrator CLI 또는 SDK 작업을 사용할 수도 있습니다. Amazon Security Lake에 대해 위임된 관리자 계정을 활성화하는 방법은 Amazon Security Lake 사용 설명서위임된 Security Lake 관리자 지정 및 멤버 계정 추가를 참조하세요.

AWS CLI, AWS API

AWS CLI 또는 AWS SDK 중 하나를 사용하여 위임된 관리자 계정을 구성하려면 다음 명령을 사용할 수 있습니다.

  • AWS CLI: 

    $  aws organizations register-delegated-administrator \
    --account-id 123456789012 \ --service-principal securitylake.amazonaws.com

  • AWS SDK: Organizations RegisterDelegatedAdministrator 작업과 멤버 계정의 ID 번호를 호출하고 계정 서비스 보안 주체 account.amazonaws.com을 파라미터로 식별합니다.

Amazon Security Lake에 대해 위임된 관리자 비활성화

Organizations 관리 계정 또는 Amazon Security Lake 위임된 관리자 계정의 관리자만 조직에서 위임된 관리자 계정을 제거할 수 있습니다.

Amazon Security Lake DeregisterDataLakeDelegatedAdministrator API 작업, deregister-data-lake-delegated-administrator CLI 명령, Organizations DeregisterDelegatedAdministrator CLI 또는 SDK 작업을 사용하여 위임된 관리자를 제거할 수 있습니다. Amazon Security Lake를 사용하여 위임된 관리자를 제거하려면 Amazon Security Lake 사용 설명서Security Lake 위임된 관리자 제거를 참조하세요.