기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

중앙 관리형 및 자체 관리형 대상 비교

중앙 구성을 활성화하면 위임된 AWS Security Hub 관리자가 각 조직 계정, 조직 단위(OU) 및 루트를 중앙 관리형 또는 자체 관리형으로 지정할 수 있습니다. 대상의 관리 유형에 따라 Security Hub 설정을 지정하고 변경하는 방법이 결정됩니다.

중앙 구성의 이점과 작동 방식에 대한 배경 정보는 Security Hub의 중앙 구성에 대한 이해 섹션을 참조하세요.

이 섹션에서는 중앙 관리형 지정과 자체 관리형 지정의 차이점과 계정, OU 또는 루트의 관리 유형을 선택하는 방법을 설명합니다.

위임된 관리자는 계정이나 중앙 관리 사이의 대상 상태를 전환할 수 있습니다. 기본적으로 Security Hub를 통해 중앙 구성을 시작하면 모든 계정과 OU가 자체 관리됩니다API. 콘솔에서 관리 유형은 첫 번째 구성 정책에 따라 달라집니다. 첫 번째 정책과 OUs 연결된 계정 및는 중앙에서 관리됩니다. 다른 계정 및 OUs는 기본적으로 자체 관리됩니다.

구성 정책을 이전에 자체 관리형 계정과 연결하면 정책 설정이 자체 관리형 지정을 재정의합니다. 계정이 중앙에서 관리되고 구성 정책에 반영된 설정을 채택합니다.

중앙 관리형 계정을 자체 관리형 계정으로 변경하면 이전에 구성 정책을 통해 계정에 적용된 설정이 그대로 유지됩니다. 예를 들어 중앙 관리형 계정은 처음에 Security Hub를 활성화하고 AWS , Foundational Security Best Practices v1.0.0을 활성화하고,를 비활성화하는 정책과 연결될 수 있습니다 CloudTrail.1. 그런 다음 계정을 자체 관리형으로 지정하면 모든 설정이 변경되지 않습니다. 그러나 계정 소유자는 앞으로 계정의 설정을 독립적으로 변경할 수 있습니다.

하위 계정 및 OUs는 하위 계정과 동일한 방식으로 자체 관리형 상위 계정에서 자체 관리형 동작을 상속할 수 있으며 중앙 관리형 상위 계정에서 구성 정책을 상속할 OUs 수 있습니다. 자세한 내용은 적용 및 상속을 통한 정책 연결 단원을 참조하십시오.

자체 관리형 계정 또는 OU는 상위 노드 또는 루트에서 구성 정책을 상속할 수 없습니다. 예를 들어 조직의 모든 계정과 OUs가 루트에서 구성 정책을 상속하도록 하려면 자체 관리형 노드의 관리 유형을 중앙 관리형으로 변경해야 합니다.

자체 관리형 계정에서 설정을 구성하는 옵션

자체 관리형 계정은 각 리전에서 개별적으로 자체 설정을 구성해야 합니다.

자체 관리형 계정의 소유자는 각 리전API에서 Security Hub의 다음 작업을 호출하여 설정을 구성할 수 있습니다.

자체 관리형 계정은 *Invitations 및 *Members 작업을 사용할 수도 있습니다. 그러나 자체 관리형 계정은 이러한 작업을 사용하지 않는 것을 권장합니다. 멤버 계정에 위임된 관리자와 다른 조직의 일부인 자체 멤버가 있는 경우, 정책 연결이 실패할 수 있습니다.

Security Hub API 작업에 대한 설명은 AWS Security Hub API 참조를 참조하세요.

자체 관리형 계정은 Security Hub 콘솔 또는를 사용하여 각 리전에서 설정을 AWS CLI 구성할 수도 있습니다.

자체 관리형 계정은 Security Hub 구성 정책 및 정책 연결APIs과 관련된 어떤 것도 호출할 수 없습니다. 위임된 관리자만 중앙 구성을 호출APIs하고 구성 정책을 사용하여 중앙 관리형 계정을 구성할 수 있습니다.

대상의 관리 유형 선택

원하는 방법을 선택하고, 단계에 따라 AWS Security Hub에서 계정 또는 OU를 중앙 관리형 또는 자체 관리형으로 지정합니다.

Security Hub console

계정 또는 OU의 관리 유형을 선택하려면

1. 에서 AWS Security Hub 콘솔을 엽니다https://console.aws.amazon.com/securityhub/.

   홈 리전에서 위임된 Security Hub 관리자 계정의 보안 인증 정보를 사용하여 로그인합니다.

2. 구성을 선택합니다.

3. 조직 탭에서 대상 계정 또는 OU를 선택합니다. 편집을 선택합니다.

4. 위임된 관리자가 대상 계정 또는 OU를 구성하도록 하려면 구성 정의 페이지의 관리 유형에서 중앙 관리형을 선택합니다. 그런 다음 기존 구성 정책을 대상과 연결하려면 특정 정책 적용을 선택합니다. 대상이 가장 가까운 상위 항목의 구성을 상속하도록 하려면 나의 조직에서 상속을 선택합니다. 계정이나 OU에서 자체 설정을 구성하도록 하려면 자체 관리형을 선택합니다.

5. 다음을 선택합니다. 변경 사항을 검토하고 저장을 선택합니다.

Security Hub API

계정 또는 OU의 관리 유형을 선택하려면

1. 호출 StartConfigurationPolicyAssociation API 홈 리전의 Security Hub 위임된 관리자 계정에서.

2. ConfigurationPolicyIdentifier 필드에서 계정 또는 OU가 자체 설정을 제어하도록 하려면 SELF_MANAGED_SECURITY_HUB을(를) 입력합니다. 위임된 관리자가 계정 또는 OU에 대한 설정을 제어하도록 하려면 관련 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다.

3. Target 필드에 관리 유형을 변경하려는 대상의 AWS 계정 ID, OU ID 또는 루트 ID를 입력합니다. 그러면 자체 관리형 동작 또는 지정된 구성 정책이 대상과 연결됩니다. 대상의 하위 계정은 자체 관리형 동작 또는 구성 정책을 상속할 수 있습니다.

자체 관리형 계정을 지정하기 위한 API 요청의 예:

{
    "ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
    "Target": {"AccountId": "123456789012"}
}
                

AWS CLI

계정 또는 OU의 관리 유형을 선택하려면

1. 실행 start-configuration-policy-association 홈 리전의 Security Hub 위임된 관리자 계정에서 명령을 실행합니다.

2. configuration-policy-identifier 필드에서 계정 또는 OU가 자체 설정을 제어하도록 하려면 SELF_MANAGED_SECURITY_HUB을(를) 입력합니다. 위임된 관리자가 계정 또는 OU에 대한 설정을 제어하도록 하려면 관련 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다.

3. target 필드에 관리 유형을 변경하려는 대상의 AWS 계정 ID, OU ID 또는 루트 ID를 입력합니다. 그러면 자체 관리형 동작 또는 지정된 구성 정책이 대상과 연결됩니다. 대상의 하위 계정은 자체 관리형 동작 또는 구성 정책을 상속할 수 있습니다.

자체 관리형 계정을 지정하기 위한 명령 예제:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'