크로스 리전 집계 활성화 - AWS Security Hub
크로스 리전 집계 활성화 작동 방법관리자 및 구성원 계정 집계

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

크로스 리전 집계 활성화

크로스 리전 집계 활성화를 사용하면 여러 리전의 조사 결과, 조사 결과 업데이트, 인사이트, 제어 규정 준수 상태 및 보안 점수를 단일 집계 영역으로 집계할 수 있습니다. 그러면 집계 영역에서 이 모든 데이터를 관리할 수 있습니다.

참고

에서는 AWS GovCloud (US)지역 간 집계가 검색 결과, 업데이트 찾기 및 전체 인사이트에 대해서만 지원됩니다. AWS GovCloud (US)특히 AWS GovCloud (미국 동부) 와 (미국 서부) 간의 결과, 업데이트 검색 결과 및 인사이트만 집계할 수 있습니다. AWS GovCloud 중국 리전에서는 중국 리전 전반의 조사 결과, 조사 결과 업데이트 및 인사이트에 대해서만 크로스 리전 집계 활성화가 지원됩니다. 특히 중국(베이징) 및 중국(닝샤) 간에는 조사 결과, 조사 결과 업데이트, 인사이트만 집계할 수 있습니다.

미국 동부(버지니아 북부)를 집계 영역으로 설정하고 미국 서부(오레곤) 및 미국 서부(캘리포니아 북부)를 연결 리전으로 설정한다고 가정해 보겠습니다. 미국 동부(버지니아 북부) 의 조사 결과 페이지를 보면 세 리전 모두의 조사 결과를 볼 수 있습니다. 이러한 조사 결과에 대한 업데이트도 세 리전 모두에 반영됩니다.

제어의 활성화 상태는 각 리전에서 수정해야 합니다. 연결된 리전에서는 제어가 활성화되었지만 집계 영역에서는 비활성화된 경우 집계 영역에서 제어의 규정 준수 상태를 볼 수 있지만 집계 영역에서는 해당 제어를 활성화하거나 비활성화할 수 없습니다.

리전 간 보안 점수 및 규정 준수 상태를 보려면 Security Hub를 사용하는 IAM 역할에 다음 권한을 추가하십시오.

크로스 리전 집계 활성화 작동 방법

지역 간 집계가 활성화된 경우 Security Hub는 연결된 지역의 다음 데이터를 집계 지역으로 복제합니다. 이는 지역 간 집계가 활성화된 모든 계정에서 발생합니다.

  • 조사 결과

  • 인사이트

  • 제어 규정 준수 상태

  • 보안 점수

이전 목록의 새 데이터 외에 Security Hub는 연결된 리전과 집계 영역 간에 이 데이터에 대한 업데이트를 복제합니다. 연결된 리전에서 발생한 업데이트는 집계 영역에 복제됩니다. 집계 영역에서 발생한 업데이트는 연결된 리전에 다시 복제됩니다.

예를 들어, 이 다이어그램은 새 조사 결과가 연결된 리전에서 집계 영역으로 복제되는 방식과 조사 결과 업데이트가 연결된 리전 및 집계 영역 간에 복제되는 방식을 보여줍니다.

집계 영역과 연결 리전의 업데이트가 충돌하는 경우 가장 최근 업데이트가 사용됩니다.

크로스 리전 집계 활성화는 Security Hub 비용에 추가되지 않습니다. Security Hub에서 새 데이터나 업데이트를 복제할 때는 요금이 부과되지 않습니다.

집계 영역의 요약 페이지에서는 연결된 리전 전반의 활성 조사 결과를 볼 수 있습니다. 자세한 내용은 심각도별 결과에 대한 크로스 리전 요약 보기를 참조하세요. 조사 결과를 분석하는 기타 요약 페이지 패널에는 연결된 리전 전반의 정보도 표시됩니다.

집계 영역의 보안 점수는 전달된 제어의 수를 연결된 모든 리전에서 활성화된 제어의 수와 비교하여 계산됩니다. 또한 하나 이상의 연결된 리전에서 제어가 활성화된 경우 집계 영역의 보안 표준 세부 정보 페이지에서 해당 제어를 볼 수 있습니다. 표준 세부 정보 페이지의 규제 준수 상태는 연결 리전 전반의 조사 결과를 반영합니다. 하나 이상의 연결된 리전에서 제어와 관련된 보안 검사에 실패하는 경우 집계 영역의 표준 세부 정보 페이지에 해당 제어의 규정 준수 상태가 실패로 표시됩니다. 보안 검사 수에는 연결된 모든 리전의 조사 결과가 포함됩니다.

Security Hub는 계정에 Security Hub가 활성화된 리전의 데이터만 집계합니다. Security Hub는 크로스 리전 집계 활성화 구성을 기반으로 하는 계정에 대해 자동으로 활성화되지 않습니다.

관리자 및 구성원 계정 집계

독립형 계정, 구성원 계정, 관리자 계정은 지역 간 집계를 구성할 수 있습니다. 관리자가 구성한 경우 관리자 계정에서 지역 간 집계가 작동하려면 관리자 계정이 있어야 합니다. 관리자 계정이 제거되거나 구성원 계정과의 연결이 끊어지면 해당 구성원 계정의 지역 간 집계가 중지됩니다. 관리자-구성원 관계가 시작되기 전에 계정에 지역 간 집계가 활성화된 경우에도 마찬가지입니다.

관리자 계정이 지역 간 집계를 활성화하면 Security Hub는 관리자 계정이 연결된 모든 지역에서 생성한 데이터를 집계 지역에 복제합니다. 또한 Security Hub는 해당 관리자와 연결된 구성원 계정을 식별하며 각 구성원 계정은 관리자의 지역 간 집계 설정을 상속합니다. Security Hub는 멤버 계정이 모든 연결 지역에서 생성하는 데이터를 집계 지역에 복제합니다.

관리자는 관리 지역 내의 모든 구성원 계정에서 보안 결과에 액세스하고 이를 관리할 수 있습니다. 하지만 Security Hub 관리자는 집계 지역에 로그인해야 모든 구성원 계정 및 연결된 지역의 집계된 데이터를 볼 수 있습니다.

Security Hub 회원 계정으로서 모든 연결 지역의 계정에서 집계된 데이터를 보려면 집계 지역에 로그인해야 합니다. 멤버 계정에는 다른 멤버 계정의 데이터를 볼 권한이 없습니다.

관리자 계정은 구성원 계정을 수동으로 초대하거나 통합된 AWS Organizations조직의 위임 관리자 역할을 할 수 있습니다. 수동으로 초대된 회원 계정의 경우 관리자가 통합 지역 및 모든 연결 지역에서 계정을 초대해야 지역 간 집계가 제대로 작동할 수 있습니다. 또한 관리자가 구성원 계정의 조사 결과를 볼 수 있도록 하려면 구성원 계정의 집계 지역 및 모든 연결 지역에서 Security Hub를 활성화해야 합니다. 집계 지역을 다른 용도로 사용하지 않는 경우 해당 지역의 Security Hub 표준 및 통합을 비활성화하여 요금이 부과되지 않도록 할 수 있습니다.

지역 간 집계를 사용할 계획이고 관리자 계정이 여러 명인 경우 다음 모범 사례를 따르는 것이 좋습니다.

  • 각 관리자 계정에는 서로 다른 구성원 계정이 있습니다.

  • 각 관리자 계정은 여러 리전에서 동일한 구성원 계정을 가집니다.

  • 각 관리자 계정은 서로 다른 집계 영역을 사용합니다.

참고

지역 간 집계가 중앙 구성에 미치는 영향을 이해하려면 을 참조하십시오. 중앙 구성 및 크로스 리전 집계 활성화