기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 를 사용하여 여러 계정에 대한 Security Hub CSPM 관리 AWS Organizations
<a name="securityhub-accounts-orgs"></a>

 AWS Security Hub CSPM을와 통합 AWS Organizations한 다음 조직의 계정에 대해 Security Hub CSPM을 관리할 수 있습니다.

Security Hub CSPM을와 통합하려면에서 조직을 AWS Organizations생성합니다 AWS Organizations. Organizations 관리 계정은 계정 하나를 해당 조직에 대해 Security Hub CSPM 위임된 관리자로 지정합니다. 그러면 위임된 관리자는 조직의 다른 계정에 대해 Security Hub CSPM을 활성화하고, 해당 계정을 Security Hub CSPM 멤버 계정으로 추가하고, 멤버 계정에 대해 허용된 작업을 수행할 수 있습니다. Security Hub CSPM 위임된 관리자는 최대 10,000개의 멤버 계정에 대해 Security Hub CSPM을 활성화하고 관리할 수 있습니다.

위임된 관리자의 구성 기능 범위는 [중앙 구성](central-configuration-intro.md)을 사용하는지 여부에 따라 달라집니다. 중앙 구성을 사용하면 각 멤버 계정 및 AWS 리전에서 개별적으로 Security Hub CSPM을 구성할 필요가 없습니다. 위임된 관리자는 여러 리전의 지정된 멤버 계정 및 조직 단위(OU)에서 특정 Security Hub CSPM 설정을 적용할 수 있습니다.

Security Hub CSPM 관리자 계정은 멤버 계정에 대해 다음 작업을 수행할 수 있습니다.
+ 중앙 구성을 사용하는 경우, Security Hub CSPM 구성 정책을 생성하여 중앙에서 멤버 계정 및 OU에 대한 Security Hub CSPM을 구성합니다. 구성 정책을 사용하여 Security Hub CSPM을 활성화 및 비활성화하고, 표준을 활성화 및 비활성화하고, 제어를 활성화 및 비활성화할 수 있습니다.
+ *새로운* 계정이 조직에 추가될 때 자동으로 해당 계정을 Security Hub CSPM 멤버 계정으로 취급합니다. 중앙 구성을 사용하는 경우, OU와 관련된 구성 정책에는 OU에 속한 기존 계정 및 새로운 계정이 포함됩니다.
+ *기존* 조직 계정을 Security Hub CSPM 멤버 계정으로 취급합니다. 이는 중앙 구성을 사용하면 자동으로 이루어집니다.
+ 조직에 속한 멤버 계정을 연결 해제하세요. 중앙 구성을 사용하는 경우, 멤버 계정을 자체 관리형으로 지정한 후에만 멤버 계정을 연결 해제할 수 있습니다. 또는 Security Hub CSPM을 비활성화하는 구성 정책을 특정한 중앙 관리형 멤버 계정과 연결할 수 있습니다.

중앙 구성에 옵트인하지 않으면 조직에서 로컬 구성이라는 기본 구성 유형을 사용합니다. 로컬 구성에서 위임된 관리자에게는 멤버 계정에서 설정을 적용할 수 있는 기능이 더 제한됩니다. 자세한 내용은 [Security Hub CSPM의 로컬 구성 이해](local-configuration.md) 섹션을 참조하세요.

위임된 관리자가 멤버 계정에 대해 수행할 수 있는 전체 작업 목록은 [Security Hub CSPM에서 관리자 및 멤버 계정별로 허용된 작업](securityhub-accounts-allowed-actions.md) 섹션을 참조하세요.

이 섹션의 주제에서는 Security Hub CSPM을 AWS Organizations 와 통합하는 방법과 조직의 계정에 대해 Security Hub CSPM을 관리하는 방법을 설명합니다. 관련된 경우, 각 섹션에서는 중앙 구성 사용자를 위한 관리상의 이점과 차이점을 설명합니다.

**Topics**
+ [Security Hub CSPM과 통합 AWS Organizations](designate-orgs-admin-account.md)
+ [새로운 조직 계정에서 Security Hub CSPM 자동 활성화](accounts-orgs-auto-enable.md)
+ [새로운 조직 계정에서 Security Hub CSPM 수동 활성화](orgs-accounts-enable.md)
+ [조직에서 Security Hub CSPM 멤버 계정 연결 해제](accounts-orgs-disassociate.md)

# Security Hub CSPM과 통합 AWS Organizations
<a name="designate-orgs-admin-account"></a>

 AWS Security Hub CSPM과를 통합하려면 Organizations에서 조직을 AWS Organizations생성하고 조직 관리 계정을 사용하여 위임된 Security Hub CSPM 관리자 계정을 지정합니다. 이렇게 하면 Security Hub CSPM이 Organizations에서 신뢰할 수 있는 서비스로 활성화됩니다. 또한 현재 AWS 리전 에서 위임된 관리자 계정에 대해 Security Hub CSPM을 활성화하고, 위임된 관리자가 멤버 계정에 대해 Security Hub CSPM을 활성화하며, 멤버 계정의 데이터를 보고, 멤버 계정에서 다른 [허용된 작업](securityhub-accounts-allowed-actions.md)을 수행할 수 있습니다.

[중앙 구성](central-configuration-intro.md)을 사용하는 경우, 위임된 관리자는 Security Hub CSPM 서비스, 표준 및 제어를 조직 계정에서 어떻게 구성하는지 지정하는 Security Hub CSPM 구성 정책을 만들 수도 있습니다.

## 조직 생성
<a name="create-organization"></a>

조직은 단일 단위로 관리할 수 AWS 계정 있도록를 통합하기 위해 생성하는 엔터티입니다.

 AWS Organizations 콘솔을 사용하거나 또는 SDK API 중 AWS CLI 하나의 명령을 사용하여 조직을 생성할 수 있습니다. APIs 자세한 지침은 [AWS Organizations 사용 설명서](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_create.html)의 *조직 생성*을 참조하세요.

 AWS Organizations 를 사용하여 조직 내 모든 계정을 중앙에서 보고 관리할 수 있습니다. 조직은 관리 계정 하나와 0개 이상의 멤버 계정을 갖습니다. 위에는 루트, 아래에는 조직 단위(OU)가 있는 나무형 계층 구조로 계정을 조직할 수 있습니다. 각 계정은 루트 아래 바로 배치하거나, 계층 구조 내의 OU 중 하나에 배치할 수 있습니다. OU는 특정 계정을 담는 컨테이너입니다. 예를 들어, 재무 운영과 관련된 모든 계정이 포함된 재무 OU를 만들 수 있습니다.

## 위임된 Security Hub CSPM 관리자 선택에 대한 권장 사항
<a name="designate-admin-recommendations"></a>

수동 초대 프로세스에서 관리자 계정이 있고 계정 관리로 전환하는 경우 해당 계정을 위임된 Security Hub CSPM 관리자로 지정하는 AWS Organizations것이 좋습니다.

Security Hub CSPM API와 콘솔은 조직 관리 계정을 위임된 Security Hub CSPM 관리자가 되도록 허용하지만 두 개의 다른 계정을 선택하는 것이 좋습니다. 이를 권장하는 이유는 청구 내용을 관리하기 위해 조직 관리 계정에 액세스할 수 있는 사용자는 보안 관리를 위해 Security Hub CSPM에 액세스해야 하는 사용자와 다를 수 있기 때문입니다.

여러 리전에서 동일한 위임된 관리자를 사용하는 것이 좋습니다. 중앙 구성을 선택하는 경우, Security Hub CSPM은 홈 리전 및 연결된 모든 리전에서 동일한 위임된 관리자를 자동으로 지정합니다.

## 위임된 관리자를 구성하기 위한 권한 확인
<a name="designate-admin-permissions"></a>

위임된 Security Hub CSPM 관리자 계정을 지정 및 제거하려면 조직 관리 계정은 Security Hub CSPM에서 `EnableOrganizationAdminAccount` 및 `DisableOrganizationAdminAccount` 작업에 대한 권한이 필요합니다. Organizations 관리 계정은 Organizations에 대한 관리자 권한도 가지고 있어야 합니다.

필요한 모든 권한을 부여하려면 다음과 같은 Security Hub CSPM 관리형 정책을 조직 관리 계정의 IAM 위탁자에 연결하세요.
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubfullaccess)
+ [https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess](https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess)

## 위임 관리자 지정
<a name="designate-admin-instructions"></a>

위임된 Security Hub CSPM 관리자 계정을 지정하려면 Security Hub CSPM 콘솔, Security Hub CSPM API 또는 AWS CLI를 사용할 수 있습니다. Security Hub CSPM은 현재 AWS 리전 에서만 위임된 관리자를 설정하고 다른 리전에서는 작업을 반복해야 합니다. 중앙 구성을 사용하기 시작하면 Security Hub CSPM은 홈 리전 및 연결된 리전에 동일한 위임된 관리자를 자동으로 설정합니다.

조직 관리 계정은 위임된 Security Hub CSPM 관리자 계정을 지정하기 위해 Security Hub CSPM을 활성화하지 않아도 됩니다.

조직 관리 계정은 Security Hub CSPM 관리자 계정이 아닌 것이 좋습니다. 하지만, 조직 관리 계정을 Security Hub CSPM 위임된 관리자로 선택하는 경우, 관리 계정에 Security Hub CSPM이 활성화되어 있어야 합니다. 관리 계정에 Security Hub CSPM이 활성화되어 있지 않은 경우, Security Hub CSPM을 수동으로 활성화해야 합니다. 조직 관리 계정에서는 Security Hub CSPM을 자동으로 활성화할 수 없습니다.

다음 방법 중 하나를 사용하여 위임된 Security Hub CSPM 관리자를 지정해야 합니다. Organizations API를 사용하여 Security Hub CSPM 위임된 관리자를 지정하면 Security Hub CSPM에 반영되지 않습니다.

원하는 방법을 선택하고 단계에 따라 Security Hub CSPM 위임된 관리자 계정을 지정합니다.

------
#### [ Security Hub CSPM console ]

**온보딩 중에 Security Hub 위임된 관리자를 지정하려면**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

1. **Security Hub CSPM으로 이동**을 선택합니다. 조직 관리 계정에 로그인하라는 메시지가 표시됩니다.

1. **위임된 관리자 지정** 페이지의 **위임된 관리자 계정** 섹션에서 위임된 관리자 계정을 지정합니다. 다른 AWS 보안 및 규정 준수 서비스에 설정한 것과 동일한 위임된 관리자를 선택하는 것이 좋습니다.

1. **위임된 관리자 설정**을 선택합니다. 중앙 구성으로 온보딩을 계속하려면 위임된 관리자 계정(아직 로그인하지 않은 경우)에 로그인하라는 메시지가 표시됩니다. 중앙 구성을 시작하지 않으려는 경우, **취소**를 선택하세요. 위임된 관리자가 설정되었지만 아직 중앙 구성을 사용하고 있지 않습니다.

****설정** 페이지에서 위임된 Security Hub 관리자를 지정하려면**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

1. Security Hub CSPM 탐색 창에서 **설정**을 선택합니다. 그리고 **일반**을 선택합니다.

1. Security Hub CSPM 관리자 계정이 현재 할당되어 있는 경우, 새로운 계정을 지정하려면 먼저 현재 계정을 제거해야 합니다.

   현재 계정을 제거하려면 **위임된 관리자**에서 **제거**를 선택합니다.

1. **Security Hub CSPM** 관리자 계정으로 지정할 계정의 계정 ID를 입력합니다.

   모든 리전에 동일한 Security Hub CSPM 관리자 계정을 지정해야 합니다. 다른 리전에서 지정된 계정과 다른 계정을 지정하는 경우, 콘솔이 오류를 반환합니다.

1. **위임**을 선택합니다.

------
#### [ Security Hub CSPM API, AWS CLI ]

조직 관리 계정에서 Security Hub CSPM API의 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html) 작업을 사용합니다. AWS CLI을(를) 사용하는 경우, [https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html) 명령을 실행합니다. 위임된 Security Hub CSPM 관리자의 AWS 계정 ID를 입력합니다.

다음 예제에서는 위임된 Security Hub CSPM 관리자를 지정합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.

```
$ aws securityhub enable-organization-admin-account --admin-account-id 123456789012
```

------

# 위임된 관리자 제거 또는 변경
<a name="remove-admin-overview"></a>

조직 관리 계정만 위임된 Security Hub CSPM 관리자 계정을 제거할 수 있습니다.

위임된 Security Hub CSPM 관리자 계정을 변경하려면 먼저 현재 위임된 관리자 계정을 제거하고 새로운 관리자 계정을 지정해야 합니다.

**주의**  
[중앙 구성](central-configuration-intro.md)을 사용하는 경우, Security Hub CSPM 콘솔 또는 Security Hub CSPM API를 사용하여 위임된 관리자 계정을 변경하거나 제거할 수 없습니다. 조직 관리 계정이 AWS Organizations 콘솔 또는 AWS Organizations APIs를 사용하여 위임된 Security Hub CSPM 관리자를 변경하거나 제거하는 경우 Security Hub CSPM은 자동으로 중앙 구성을 중지하고 구성 정책 및 정책 연결을 삭제합니다. 멤버 계정은 위임된 관리자가 변경되거나 제거되기 전의 구성을 유지합니다.

Security Hub CSPM 콘솔을 사용하여 한 리전에서 위임된 관리자를 제거하면 모든 리전에서 자동으로 제거됩니다.

Security Hub CSPM API는 API 직접 호출 또는 명령이 실행된 리전에서만 위임된 Security Hub CSPM 관리자 계정을 제거합니다. 다른 리전에서도 이 작업을 반복해야 합니다.

Organizations API를 사용하여 위임된 Security Hub CSPM 관리자 계정을 제거하는 경우 모든 리전에서 자동으로 제거됩니다.

## 위임된 관리자 제거(조직 API, AWS CLI)
<a name="remove-admin-orgs"></a>

Organizations를 사용하여 모든 리전에서 Security Hub CSPM 위임된 관리자를 제거할 수 있습니다.

중앙 구성을 사용하여 계정을 관리하는 경우, 위임된 관리자 계정을 제거하면 구성 정책과 정책 연결이 삭제됩니다. 멤버 계정은 위임된 관리자가 변경되거나 제거되기 전의 구성을 유지합니다. 하지만 제거된 위임된 관리자 계정으로는 더 이상 이러한 계정을 관리할 수 없습니다. 이러한 계정은 각 리전에서 별도로 구성해야 하는 자체 관리형 계정이 됩니다.

원하는 방법을 선택하고 지침에 따라 위임된 Security Hub CSPM 관리자 계정을 제거합니다 AWS Organizations.

------
#### [ Organizations API, AWS CLI ]

**Security Hub CSPM 위임된 관리자를 제거하려면**

조직 관리 계정에서 Organizations API의 [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) 작업을 사용합니다. AWS CLI을(를) 사용하는 경우, [deregister-delegated-administrator](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html) 명령을 실행합니다. 위임된 관리자 계정의 계정 ID와 Security Hub CSPM의 서비스 위탁자인 `securityhub.amazonaws.com`을 입력합니다.

다음 예제는 위임된 Security Hub CSPM 관리자를 제거합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.

```
$ aws organizations deregister-delegated-administrator --account-id 123456789012 --service-principal securityhub.amazonaws.com
```

------

## 위임된 관리자 제거(Security Hub CSPM 콘솔)
<a name="remove-admin-console"></a>

Security Hub CSPM 콘솔을 사용하여 모든 리전에서 위임된 Security Hub CSPM 관리자를 제거할 수 있습니다.

Security Hub CSPM 위임된 관리자 계정이 제거되면 멤버 계정이 제거된 Security Hub CSPM 위임된 관리자 계정에서 연결 해제됩니다.

멤버 계정에는 여전히 Security Hub CSPM이 활성화되어 있습니다. 이러한 계정은 새로운 Security Hub CSPM 관리자가 멤버 계정으로 활성화하기 전까지는 독립형 계정이 됩니다.

조직 관리 계정이 Security Hub CSPM에서 활성화된 계정이 아닌 경우, **Security Hub CSPM에 오신 것을 환영합니다** 페이지의 옵션을 사용하세요.

****Security Hub CSPM에 오신 것을 환영합니다** 페이지에서 위임된 Security Hub CSPM 관리자 계정을 제거하려면**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

1. **Security Hub로 이동**을 선택합니다.

1. **위임된 관리자**에서 **제거**를 선택합니다.

조직 관리 계정이 **Security Hub**에서 활성화된 계정인 경우, **설정** 페이지의 **일반** 탭에 있는 옵션을 사용하세요.

****설정** 페이지에서 Security Hub CSPM 위임된 관리자를 제거하려면**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

1. Security Hub CSPM 탐색 창에서 **설정**을 선택합니다. 그리고 **일반**을 선택합니다.

1. **위임된 관리자**에서 **제거**를 선택합니다.

## 위임된 관리자 제거(Security Hub CSPM API, AWS CLI)
<a name="remove-admin-api"></a>

에 대한 Security Hub CSPM API 또는 Security Hub CSPM 작업을 사용하여 위임된 Security Hub CSPM 관리자를 AWS CLI 제거할 수 있습니다. 이러한 방법 중 하나를 사용하여 위임된 관리자를 제거하면 API 호출 또는 명령이 실행된 리전에서만 제거됩니다. Security Hub CSPM은 다른 리전을 업데이트하지 않으며에서 위임된 관리자 계정을 제거하지 않습니다 AWS Organizations.

원하는 방법을 선택하고 다음 단계에 따라 Security Hub CSPM으로 위임된Security Hub CSPM 관리자 계정을 제거하세요.

------
#### [ Security Hub CSPM API, AWS CLI ]

**Security Hub CSPM 위임된 관리자를 제거하려면**

조직 관리 계정에서 Security Hub CSPM API의 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html) 작업을 사용합니다. 를 사용하는 경우 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-account.html) 명령을 AWS CLI실행합니다. 위임된 Security Hub CSPM 관리자의 계정 ID를 입력합니다.

다음 예제는 위임된 Security Hub CSPM 관리자를 제거합니다. 이 예제는 Linux, macOS 또는 Unix용으로 형식이 지정되며, 가독성을 높이기 위해 백슬래시(\$1) 줄 연속 문자를 사용합니다.

```
$ aws securityhub disable-organization-admin-account --admin-account-id 123456789012
```

------

# 와의 Security Hub CSPM 통합 비활성화 AWS Organizations
<a name="disable-orgs-integration"></a>

 AWS Organizations 조직이 AWS Security Hub CSPM과 통합되면 Organizations 관리 계정은 나중에 통합을 비활성화할 수 있습니다. Organizations 관리 계정의 사용자는 AWS Organizations에서 Security Hub CSPM에 대한 신뢰할 수 있는 액세스를 비활성화하여 이를 수행할 수 있습니다.

Security Hub CSPM에 대한 신뢰할 수 있는 액세스를 비활성화하면 다음과 같은 결과가 발생합니다.
+ Security Hub CSPM은 신뢰할 수 있는 서비스로서 상태를 잃습니다 AWS Organizations.
+ Security Hub CSPM 위임된 관리자 계정은 모든 AWS 리전에서 모든 Security Hub CSPM 멤버 계정의 Security Hub CSPM 설정, 데이터 및 리소스에 대한 액세스 권한을 상실합니다.
+ [중앙 구성](central-configuration-intro.md)을 사용하고 있었다면 Security Hub CSPM은 조직에서 중앙 구성 사용을 자동으로 중지합니다. 구성 정책 및 정책 연결이 삭제됩니다. 계정은 신뢰할 수 있는 액세스를 비활성화하기 전에 사용했던 구성을 유지합니다.
+ 모든 Security Hub CSPM 멤버 계정은 독립형 계정이 되며 현재 설정을 유지합니다. Security Hub CSPM이 하나 이상의 리전에서 멤버 계정에 대해 활성화된 경우, Security Hub CSPM은 해당 리전에서 해당 계정을 계속 사용할 수 있습니다. 활성화된 표준 및 제어 역시 변경되지 않습니다. 이러한 설정은 각 계정 및 리전에서 개별적으로 변경할 수 있습니다. 하지만 계정은 더 이상 어떤 리전의 위임된 관리자와도 연결되지 않습니다.

신뢰할 수 있는 서비스 액세스를 비활성화한 결과에 대한 자세한 내용은 *AWS Organizations 사용 설명서*의 [다른 AWS Organizations 와 함께 사용을 AWS 서비스](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) 참조하세요.

신뢰할 수 있는 액세스를 비활성화하려면 AWS Organizations 콘솔, Organizations API 또는를 사용할 수 있습니다 AWS CLI. Organizations 관리 계정의 사용자만 Security Hub CSPM에 대한 신뢰할 수 있는 서비스 액세스를 비활성화할 수 있습니다. 필요한 권한에 대한 자세한 내용은 *AWS Organizations 사용 설명서*의 [신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_trusted_access_disable_perms)을 참조하세요.

신뢰할 수 있는 액세스를 비활성화하기 전에 조직의 위임된 관리자와 협력하여 멤버 계정에서 Security Hub CSPM을 비활성화하고 해당 계정에서 Security Hub CSPM 리소스를 정리하는 것이 좋습니다.

원하는 방법을 선택하고 단계에 따라 Security Hub CSPM에 대한 신뢰할 수 있는 액세스를 비활성화하세요.

------
#### [ Organizations console ]

**Security Hub CSPM에 대한 신뢰할 수 있는 액세스를 비활성화하려면**

1.  AWS Organizations 관리 계정의 자격 증명을 AWS Management Console 사용하여에 로그인합니다.

1. [https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/)에서 Organizations 콘솔을 엽니다.

1. 탐색 창에서 **서비스**를 선택합니다.

1. **통합 서비스**에서 **AWS Security Hub CSPM**을 선택합니다.

1. **신뢰할 수 있는 액세스 비활성화**를 선택합니다.

1. 신뢰할 수 있는 액세스를 비활성화할지 확인합니다.

------
#### [ Organizations API ]

**Security Hub CSPM에 대한 신뢰할 수 있는 액세스를 비활성화하려면**

 AWS Organizations API의 [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html) 작업을 호출합니다. `ServicePrincipal` 파라미터에서 Security Hub CSPM 서비스 위탁자(`securityhub.amazonaws.com`)를 지정합니다.

------
#### [ AWS CLI ]

**Security Hub CSPM에 대한 신뢰할 수 있는 액세스를 비활성화하려면**

 AWS Organizations API의 [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html) 명령을 실행합니다. `service-principal` 파라미터에서 Security Hub CSPM 서비스 위탁자(`securityhub.amazonaws.com`)를 지정합니다.

**예:**

```
aws organizations disable-aws-service-access --service-principal securityhub.amazonaws.com
```

------

# 새로운 조직 계정에서 Security Hub CSPM 자동 활성화
<a name="accounts-orgs-auto-enable"></a>

새 계정이 조직에 가입하면 AWS Security Hub CSPM 콘솔의 **계정** 페이지에 있는 목록에 추가됩니다. 조직 계정의 경우, **유형**은 **조직별**입니다. 기본적으로 새로운 계정은 조직에 가입할 때 Security Hub CSPM 멤버가 되지 않습니다. 해당 멤버의 상태는 **멤버가 아님**입니다. 위임된 관리자 계정은 새로운 계정을 자동으로 추가하고 조직에 가입할 때 Security Hub CSPM을 이 계정에 멤버로 활성화할 수 있습니다.

**참고**  
많은 AWS 리전 가 기본적으로에 대해 활성화되어 있지만 특정 리전을 수동으로 활성화 AWS 계정해야 합니다. 이 문서에서는 이러한 리전을 옵트인 리전이라고 합니다. 옵트인 리전의 새로운 계정에서 Security Hub CSPM을 자동 활성화하려면 계정에 해당 리전이 먼저 활성화되어 있어야 합니다. 계정 소유자만 옵트인 리전을 활성화할 수 있습니다. 옵트인 리전에 대한 자세한 내용은 [계정에서 사용할 수 있는 지정을 참조 AWS 리전 하세요](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html).

이 프로세스는 중앙 구성(권장)을 사용하는지 로컬 구성을 사용하는지에 따라 달라집니다.

## 새로운 조직 계정 자동 활성화(중앙 구성)
<a name="central-configuration-auto-enable"></a>

[중앙 구성](central-configuration-intro.md)을 사용하는 경우, Security Hub CSPM이 활성화된 구성 정책을 생성하여 새로운 조직 계정과 기존 조직 계정에서 Security Hub CSPM을 자동으로 활성화할 수 있습니다. 그런 다음 구성 정책을 특정 계정 및 OU(조직 단위) 또는 루트와 연결할 수 있습니다.

Security Hub CSPM이 활성화된 구성 정책을 특정 OU와 연결하면 해당 OU에 속하는 모든 계정(기존 및 신규)에서 Security Hub CSPM이 자동으로 활성화됩니다. OU에 속하지 않는 새로운 계정은 자체 관리되며 Security Hub CSPM이 자동으로 활성화되지 않습니다. Security Hub CSPM이 활성화된 구성 정책을 루트와 연결하면 조직에 가입한 모든 계정(기존 및 새로운)에서 Security Hub CSPM이 자동으로 활성화됩니다. 단, 계정이 적용 또는 상속을 통해 다른 정책을 사용하거나 자체 관리하는 경우는 예외입니다.

구성 정책에서는 OU에서 활성화해야 하는 보안 표준 및 제어를 정의할 수도 있습니다. 활성화된 표준에 대한 제어 조사 결과를 생성하려면 OU의 계정이 필요한 리소스를 기록하도록 AWS Config 활성화하고 구성해야 합니다. AWS Config 녹음에 대한 자세한 내용은 [활성화 및 구성을 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html) 참조하세요.

구성 정책 생성에 대한 지침은 [구성 정책 생성 및 연결](create-associate-policy.md) 섹션을 참조하세요.

## 새로운 조직 계정 자동 활성화(로컬 구성)
<a name="limited-configuration-auto-enable"></a>

로컬 구성을 사용하고 자동 활성화를 켜면 Security Hub CSPM은 *새로운* 조직 계정을 멤버로 추가하고 현재 리전의 해당 계정에서 Security Hub CSPM을 활성화합니다. 다른 리전은 영향을 받지 않습니다. 또한 자동 활성화 기능을 켜도 이미 멤버 계정으로 추가된 경우를 제외하고 *기존* 조직 계정에서 Security Hub CSPM은 활성화되지 않습니다.

자동 활성화 기능을 켜면, 조직에 가입할 때 현재 리전의 새로운 계정의 기본 보안 표준이 자동으로 활성화됩니다. 기본 표준은 AWS Foundational Security Best Practices(FSBP) 및 Center for Internet Security(CIS) AWS Foundations Benchmark v1.2.0입니다. 기본 표준은 변경할 수 없습니다. 조직 전체에서 다른 표준을 사용하거나 일부 계정 및 OU에 표준을 적용하려면 중앙 구성을 사용하는 것이 좋습니다.

기본 표준(및 기타 활성화된 표준)에 대한 제어 조사 결과를 생성하려면 조직의 계정에서 필요한 리소스를 기록하도록 AWS Config 활성화하고 구성해야 합니다. AWS Config 녹음에 대한 자세한 내용은 [활성화 및 구성을 AWS Config](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html) 참조하세요.

원하는 방법을 선택하고 단계에 따라 새로운 조직 계정에서 Security Hub CSPM을 자동으로 활성화합니다. 이 지침은 로컬 구성을 사용하는 경우에만 적용됩니다.

------
#### [ Security Hub CSPM console ]

**새로운 조직 계정을 Security Hub CSPM 멤버로 자동으로 활성화하려면**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

   위임된 관리자 계정의 보안 인증 정보를 사용하여 로그인합니다.

1. Security Hub CSPM 탐색 창의 **설정**에서 **구성**을 선택합니다.

1. **계정** 섹션에서 **계정 자동 활성화**를 켭니다.

------
#### [ Security Hub CSPM API ]

**새로운 조직 계정을 Security Hub CSPM 멤버로 자동으로 활성화하려면**

위임된 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) API를 호출합니다. 새로운 조직 계정에서 Security Hub CSPM을 자동으로 활성화하려면 `AutoEnable` 필드를 `true`로 설정합니다.

------
#### [ AWS CLI ]

**새로운 조직 계정을 Security Hub CSPM 멤버로 자동으로 활성화하려면**

위임된 관리자 계정에서 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) 명령을 실행합니다. 새로운 조직 계정에서 Security Hub CSPM을 자동으로 활성화하는 `auto-enable` 파라미터를 포함합니다.

```
aws securityhub update-organization-configuration --auto-enable
```

------

# 새로운 조직 계정에서 Security Hub CSPM 수동 활성화
<a name="orgs-accounts-enable"></a>

새로운 조직 계정이 조직에 가입할 때 자동으로 Security Hub CSPM을 활성화하지 않은 경우, 조직에 가입한 후 해당 계정에서 Security Hub CSPM을 수동으로 활성화할 수 있습니다. 또한 이전에 조직에서 연결 해제 AWS 계정 한에서 Security Hub CSPM을 수동으로 활성화해야 합니다.

**참고**  
[중앙 구성](central-configuration-intro.md)을 사용하는 경우, 이 섹션이 적용되지 않습니다. 중앙 구성을 사용하는 경우, 지정된 멤버 계정 및 조직 단위(OU)에서 Security Hub CSPM을 활성화하는 구성 정책을 만들 수 있습니다. 또한 해당 계정과 OU에서 특정 표준 및 제어를 활성화할 수 있습니다.

이미 다른 조직의 멤버 계정인 경우, 해당 계정에서 Security Hub CSPM을 활성화할 수 없습니다.

또한 현재 일시 중지된 계정에서는 Security Hub CSPM을 활성화할 수 없습니다. 일시 중지된 계정의 서비스를 활성화하려고 하면 계정 상태가 **계정 일시 중단됨**으로 변경됩니다.
+ 계정에 Security Hub CSPM이 활성화되지 않은 경우, 해당 계정에서 Security Hub CSPM이 활성화됩니다. 기본 보안 표준을 끄지 않는 한 AWS 기본 보안 모범 사례(FSBP) 표준 및 CIS AWS Foundations Benchmark v1.2.0도 계정에서 활성화됩니다.

  이에 대한 예외는 Organizations 관리 계정입니다. Organizations 관리 계정에서는 Security Hub CSPM을 자동으로 활성화할 수 없습니다. Organizations 관리 계정을 멤버 계정으로 활성화하려면 먼저 Organizations 관리 계정에서 수동으로 Security Hub CSPM을 활성화해야 합니다.
+ 계정에 이미 Security Hub CSPM이 활성화되어 있는 경우, Security Hub CSPM은 계정에 다른 변경 사항을 적용하지 않습니다. 멤버십만 활성화합니다.

Security Hub CSPM이 제어 조사 결과를 생성하려면 멤버 계정이 필요한 리소스를 기록하도록 AWS Config 활성화하고 구성해야 합니다. 자세한 내용은 [AWS Config설정 및 구성](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)을 참조하세요.

원하는 방법을 선택하고 단계에 따라 조직 계정을 Security Hub CSPM 멤버 계정으로 활성화합니다.

------
#### [ Security Hub CSPM console ]

**조직 계정을 Security Hub CSPM 멤버로 수동으로 활성화하려면**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

   위임된 관리자 계정의 보안 인증 정보를 사용하여 로그인합니다.

1. Security Hub CSPM 탐색 창의 **설정**에서 **구성**을 선택합니다.

1. **계정** 목록에서 활성화할 각 조직 계정을 선택합니다.

1. **작업**을 선택하고 **멤버 추가**를 선택합니다.

------
#### [ Security Hub CSPM API ]

**조직 계정을 Security Hub CSPM 멤버로 수동으로 활성화하려면**

위임된 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html) API를 호출합니다. 활성화할 각 계정의 계정 ID를 입력합니다.

수동 초대 프로세스와 달리 조직 계정을 활성화하는 데 `CreateMembers`을(를) 호출하는 경우, 초대를 보낼 필요가 없습니다.

------
#### [ AWS CLI ]

**조직 계정을 Security Hub CSPM 멤버로 수동으로 활성화하려면**

위임된 관리자 계정에서 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html) 명령을 실행합니다. 활성화할 각 계정의 계정 ID를 입력합니다.

수동 초대 프로세스와 달리 조직 계정을 활성화하는 데 `create-members`을(를) 실행하는 경우, 초대를 보낼 필요가 없습니다.

```
aws securityhub create-members --account-details '[{"AccountId": "<accountId>"}]'
```

**예제**

```
aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'
```

------

# 조직에서 Security Hub CSPM 멤버 계정 연결 해제
<a name="accounts-orgs-disassociate"></a>

 AWS Security Hub CSPM 멤버 계정의 조사 결과 수신 및 보기를 중지하려면 조직에서 멤버 계정의 연결을 해제하면 됩니다.

**참고**  
[중앙 구성](central-configuration-intro.md)을 사용하는 경우, 연결 해제가 다르게 작동합니다. 중앙에서 관리되는 하나 이상의 멤버 계정에서 Security Hub CSPM을 비활성화하는 구성 정책을 만들 수 있습니다. 그 이후에도 이러한 계정은 여전히 조직의 일부이지만 Security Hub CSPM 조사 결과를 생성하지는 않습니다. 중앙 구성을 사용하지만 수동으로 초대된 멤버 계정이 있는 경우, 수동으로 초대된 계정을 하나 이상 연결 해제할 수 있습니다.

를 사용하여 관리되는 멤버 계정은 관리자 계정에서 계정의 연결을 해제할 AWS Organizations 수 없습니다. 관리자 계정만 멤버 계정 연결을 해제할 수 있습니다.

멤버 계정을 연결 해제해도 계정은 해지되지 않습니다. 대신 조직에서 멤버 계정을 제거합니다. 연결 해제된 멤버 계정은 더 이상 Security Hub CSPM 통합에서 관리하지 AWS 계정 않는 독립 실행형 계정이 됩니다 AWS Organizations.

원하는 방법을 선택하고 단계에 따라 조직에서 멤버 계정을 연결 해제하세요.

------
#### [ Security Hub CSPM console ]

**조직에서 멤버 계정을 연결 해제하려면**

1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.

   위임된 관리자 계정의 보안 인증 정보를 사용하여 로그인합니다.

1. 탐색 창의 **설정**에서 **구성**을 선택합니다.

1. **계정** 섹션에서 연결을 해제하려는 계정을 선택합니다. 중앙 구성을 사용하는 경우, 수동으로 초대된 계정을 선택하여 `Invitation accounts` 탭에서 연결을 해제할 수 있습니다. 이 탭은 중앙 구성을 사용하는 경우에만 표시됩니다.

1. **작업**을 선택한 다음 **계정 연결 해제**를 선택합니다.

------
#### [ Security Hub CSPM API ]

**조직에서 멤버 계정을 연결 해제하려면**

위임된 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html) API를 호출합니다. 멤버 계정의 연결을 해제하려면 AWS 계정 IDs를 제공해야 합니다. 멤버 계정 목록을 보려면 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html) API를 호출합니다.

------
#### [ AWS CLI ]

**조직에서 멤버 계정을 연결 해제하려면**

위임된 관리자 계정에서 [ >`disassociate-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html) 명령을 실행합니다. 멤버 계정의 연결을 해제하려면 AWS 계정 IDs를 제공해야 합니다. 멤버 계정 목록을 보려면 [ >`list-members`](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-members.html) 명령을 실행합니다.

```
aws securityhub disassociate-members --account-ids "<accountIds>"
```

**예제**

```
aws securityhub disassociate-members --account-ids "123456789111" "123456789222"
```

------

 AWS Organizations 콘솔 AWS CLI, 또는 AWS SDKs를 사용하여 조직에서 멤버 계정의 연결을 해제할 수도 있습니다. 자세한 내용은 *AWS Organizations 사용 설명서*의 [조직에서 멤버 계정 제거](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html)를 참조하세요.