조직 생성 위임된 Security Hub 관리자 선택에 대한 권장 사항 위임된 관리자를 구성하기 위한 권한 확인 위임 관리자 지정

Security Hub와 통합 AWS Organizations

AWS Security Hub 및를 통합하려면 Organizations에서 조직을 AWS Organizations생성하고 조직 관리 계정을 사용하여 위임된 Security Hub 관리자 계정을 지정합니다. 이렇게 하면 Security Hub가 Organizations에서 신뢰할 수 있는 서비스로 활성화됩니다. 또한 위임된 관리자 계정에 대해 현재 AWS 리전 에서 Security Hub를 활성화하고, 위임된 관리자가 멤버 계정에 대해 Security Hub를 활성화하며, 멤버 계정의 데이터를 보고, 멤버 계정에서 다른 허용된 작업을 수행할 수 있습니다.

중앙 구성을 사용하는 경우, 위임된 관리자는 Security Hub 서비스, 표준 및 제어를 조직 계정에서 어떻게 구성하는지 지정하는 Security Hub 구성 정책을 만들 수도 있습니다.

조직 생성

조직은 단일 단위로 관리할 수 AWS 계정 있도록를 통합하기 위해 생성하는 엔터티입니다.

AWS Organizations 콘솔을 사용하거나 또는 중 AWS CLI 하나의 명령을 사용하여 조직을 생성할 수 있습니다SDKAPIs. 자세한 지침은 AWS Organizations 사용 설명서의 조직 생성을 참조하세요.

AWS Organizations 를 사용하여 조직 내 모든 계정을 중앙에서 보고 관리할 수 있습니다. 조직은 관리 계정 하나와 0개 이상의 멤버 계정을 갖습니다. 상단의 루트와 루트 아래에 중첩된 조직 단위(OUs)를 사용하여 계층적 트리형 구조로 계정을 구성할 수 있습니다. 각 계정은 루트 바로 아래에 있거나 계층 구조의 중 하나에 배치할 수 OUs 있습니다. OU는 특정 계정을 담는 컨테이너입니다. 예를 들어, 재무 운영과 관련된 모든 계정이 포함된 재무 OU를 만들 수 있습니다.

위임된 Security Hub 관리자 선택에 대한 권장 사항

수동 초대 프로세스에서 관리자 계정이 있고를 사용하여 계정 관리로 전환하는 경우 해당 계정을 위임된 Security Hub 관리자로 지정하는 AWS Organizations것이 좋습니다.

Security HubAPIs와 콘솔은 조직 관리 계정이 위임된 Security Hub 관리자가 되도록 허용하지만 서로 다른 두 계정을 선택하는 것이 좋습니다. 이를 권장하는 이유는 청구 내용을 관리하기 위해 조직 관리 계정에 액세스할 수 있는 사용자는 보안 관리를 위해 Security Hub에 액세스해야 하는 사용자와 다를 수 있기 때문입니다.

여러 리전에서 동일한 위임된 관리자를 사용하는 것이 좋습니다. 중앙 구성을 선택하는 경우, Security Hub는 홈 리전 및 연결된 모든 리전에서 동일한 위임된 관리자를 자동으로 지정합니다.

위임된 관리자를 구성하기 위한 권한 확인

위임된 Security Hub 관리자 계정을 지정 및 제거하려면 조직 관리 계정은 Security Hub에서 EnableOrganizationAdminAccount 및 DisableOrganizationAdminAccount 작업에 대한 권한이 필요합니다. Organizations 관리 계정은 Organizations에 대한 관리자 권한도 가지고 있어야 합니다.

필요한 모든 권한을 부여하려면 조직 관리 계정의 IAM 보안 주체에 다음 Security Hub 관리형 정책을 연결합니다.

위임 관리자 지정

위임된 Security Hub 관리자 계정을 지정하려면 Security Hub 콘솔, Security Hub API또는를 사용할 수 있습니다 AWS CLI. Security Hub는 현재 AWS 리전 에서만 위임된 관리자를 설정하므로 다른 리전에서 작업을 반복해야 합니다. 중앙 구성을 사용하기 시작하면 Security Hub는 홈 리전 및 연결된 리전에 동일한 위임된 관리자를 자동으로 설정합니다.

조직 관리 계정은 위임된 Security Hub 관리자 계정을 지정하기 위해 Security Hub를 활성화하지 않아도 됩니다.

조직 관리 계정은 Security Hub 관리자 계정이 아닌 것을 권장합니다. 하지만, 조직 관리 계정을 Security Hub 위임된 관리자로 선택하는 경우, 관리 계정에 Security Hub가 활성화되어 있어야 합니다. 관리 계정에 Security Hub가 활성화되어 있지 않은 경우, Security Hub를 수동으로 활성화해야 합니다. 조직 관리 계정에서는 Security Hub를 자동으로 활성화할 수 없습니다.

다음 방법 중 하나를 사용하여 위임된 Security Hub 관리자를 지정해야 합니다. 위임된 Security Hub 관리자를 Organizations로 지정하는 APIs 것은 Security Hub에 반영되지 않습니다.

원하는 방법을 선택하고 단계에 따라 Security Hub 위임된 관리자 계정을 지정합니다.

Security Hub console

온보딩 중에 Security Hub 위임된 관리자를 지정하려면

에서 AWS Security Hub 콘솔을 엽니다https://console.aws.amazon.com/securityhub/.
Security Hub로 이동을 선택합니다. 조직 관리 계정에 로그인하라는 메시지가 표시됩니다.
위임된 관리자 지정 페이지의 위임된 관리자 계정 섹션에서 위임된 관리자 계정을 지정합니다. 다른 AWS 보안 및 규정 준수 서비스에 설정한 것과 동일한 위임된 관리자를 선택하는 것이 좋습니다.
위임된 관리자 설정을 선택합니다. 중앙 구성으로 온보딩을 계속하려면 위임된 관리자 계정(아직 로그인하지 않은 경우)에 로그인하라는 메시지가 표시됩니다. 중앙 구성을 시작하지 않으려는 경우, 취소를 선택하세요. 위임된 관리자가 설정되었지만 아직 중앙 구성을 사용하고 있지 않습니다.

설정 페이지에서 위임된 Security Hub 관리자를 지정하려면

에서 AWS Security Hub 콘솔을 엽니다https://console.aws.amazon.com/securityhub/.
Security Hub 탐색 창에서 설정을 선택합니다. 그리고 일반을 선택합니다.
Security Hub 관리자 계정이 현재 할당되어 있는 경우, 새로운 계정을 지정하려면 먼저 현재 계정을 제거해야 합니다.

현재 계정을 제거하려면 위임된 관리자에서 제거를 선택합니다.
Security Hub 관리자 계정으로 지정할 계정의 계정 ID를 입력합니다.

모든 리전에 동일한 Security Hub 관리자 계정을 지정해야 합니다. 다른 리전에서 지정된 계정과 다른 계정을 지정하는 경우, 콘솔이 오류를 반환합니다.
위임을 선택합니다.

Security Hub API, AWS CLI

조직 관리 계정에서 EnableOrganizationAdminAccount Security Hub의 작업입니다API. 를 사용하는 경우를 AWS CLI실행합니다. enable-organization-admin-account 명령. 위임된 Security Hub 관리자 계정의 AWS 계정 ID를 입력합니다.

다음 예제에서는 위임된 Security Hub 관리자를 지정합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\) 줄 연속 문자를 사용합니다.


$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

Organizations에서 계정 관리

위임된 관리자 제거 또는 변경