기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 에 대한 서비스 연결 역할 AWS Security Hub CSPM
AWS Security Hub CSPM 는 라는 AWS Identity and Access Management (IAM) [서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다`AWSServiceRoleForSecurityHub`. 이 서비스 연결 역할은 Security Hub CSPM에 직접 연결된 IAM 역할입니다. Security Hub CSPM에서 사전 정의하며, Security Hub CSPM이 사용자를 대신하여 다른를 호출 AWS 서비스 하고 AWS 리소스를 모니터링하는 데 필요한 모든 권한을 포함합니다. Security Hub CSPM은 Security Hub CSPM을 사용할 수 AWS 리전 있는 모든에서이 서비스 연결 역할을 사용합니다.
서비스 연결 역할을 사용하면 필요한 권한을 수동으로 추가할 필요가 없으므로 Security Hub CSPM을 더 쉽게 설정할 수 있습니다. Security Hub CSPM은 서비스 연결 역할의 권한을 정의하며, 달리 정의되지 않은 한 Security Hub CSPM만 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며, 이 권한 정책은 다른 IAM 개체에 연결할 수 없습니다.
Security Hub CSPM 콘솔을 사용하여 서비스 연결 역할의 세부 정보를 검토할 수 있습니다. 탐색 창의 **설정** 아래에서 **일반**을 선택합니다. 그런 다음 **서비스 권한** 섹션에서 **서비스 권한 보기**를 선택합니다.
Security Hub CSPM이 활성화된 모든 리전에서 Security Hub CSPM을 비활성화한 후에만 Security Hub CSPM 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 액세스 권한을 실수로 제거할 수 없기 때문에 Security Hub CSPM 리소스가 보호됩니다.
서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 *IAM 사용자 설명서*에서 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 살펴보고 **서비스 연결 역할** 열이 **예**인 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예(Yes)** 링크를 선택합니다.
**Topics**
+ [Security Hub CSPM에 대한 서비스 연결 역할 권한](#slr-permissions)
+ [Security Hub CSPM에 대한 서비스 연결 역할 생성](#create-slr)
+ [Security Hub CSPM에 대한 서비스 연결 역할 편집](#edit-slr)
+ [Security Hub CSPM에 대한 서비스 연결 역할 삭제](#delete-slr)
+ [AWS Security Hub V2의 서비스 연결 역할](#slr-permissions-v2)
## Security Hub CSPM에 대한 서비스 연결 역할 권한
Security Hub CSPM은 라는 서비스 연결 역할을 사용합니다`AWSServiceRoleForSecurityHub`. 가 리소스에 액세스하는 AWS Security Hub CSPM 데 필요한 서비스 연결 역할입니다. 이 서비스 연결 역할을 통해 Security Hub CSPM은 다른의 조사 결과를 수신 AWS 서비스 하고 제어에 대한 보안 검사를 실행하는 데 필요한 AWS Config 인프라를 구성하는 등의 작업을 수행할 수 있습니다. `AWSServiceRoleForSecurityHub` 서비스 연결 역할은 역할을 수임하기 위해 `securityhub.amazonaws.com`서비스를 신뢰합니다.
`AWSServiceRoleForSecurityHub` 서비스 연결 역할은 관리형 정책 [`AWSSecurityHubServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubservicerolepolicy)을(를) 사용합니다.
IAM ID(역할, 그룹, 사용자 등)가 서비스 연결 역할을 작성하고 편집하거나 삭제할 수 있도록 권한을 부여해야 합니다. `AWSServiceRoleForSecurityHub` 서비스 연결 역할을 성공적으로 생성하려면 Security Hub CSPM에 액세스하는 데 사용하는 IAM 자격 증명에 필요한 권한이 있어야 합니다. 필수 권한을 부여하려면 다음 정책을 IAM ID에 연결하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "securityhub.amazonaws.com"
}
}
}
]
}
```
------
## Security Hub CSPM에 대한 서비스 연결 역할 생성
`AWSServiceRoleForSecurityHub` 서비스 연결 역할은 Security Hub CSPM을 처음 활성화하거나 이전에 활성화하지 않은 리전에서 Security Hub CSPM을 활성화할 때 자동으로 생성됩니다. 또한 IAM 콘솔, IAM CLI 또는 IAM API를 사용하여 `AWSServiceRoleForSecurityHub` 서비스 연결 역할을 수동으로 생성할 수 있습니다. 수동 서비스 역할 생성에 대한 자세한 내용은 IAM 사용자 설명서**의 [서비스에 대한 역할 만들기](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)를 참조하세요.
**중요**
Security Hub CSPM 관리자 계정에 대해 생성된 서비스 연결 역할은 연결된 Security Hub CSPM 멤버 계정에 적용되지 않습니다.
## Security Hub CSPM에 대한 서비스 연결 역할 편집
Security Hub CSPM에서는 `AWSServiceRoleForSecurityHub` 서비스 연결 역할을 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 그러나 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.
## Security Hub CSPM에 대한 서비스 연결 역할 삭제
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔티티가 없도록 합니다.
Security Hub CSPM을 비활성화해도 Security Hub CSPM은 `AWSServiceRoleForSecurityHub` 서비스 연결 역할을 자동으로 삭제하지 않습니다. Security Hub CSPM을 다시 활성화하면 서비스가 기존 서비스 연결 역할을 다시 사용하기 시작할 수 있습니다. Security Hub CSPM을 더 이상 사용할 필요가 없는 경우 서비스 연결 역할을 수동으로 삭제할 수 있습니다.
**중요**
`AWSServiceRoleForSecurityHub` 서비스 연결 역할을 삭제하기 전에 먼저 서비스 연결 역할이 활성화된 모든 리전에서 Security Hub CSPM을 비활성화해야 합니다. 자세한 내용은 [Security Hub CSPM 비활성화](securityhub-disable.md) 단원을 참조하십시오. 서비스 연결 역할을 삭제하려고 할 때 Security Hub CSPM이 비활성화되지 않으면 삭제가 실패합니다.
`AWSServiceRoleForSecurityHub` 서비스 연결 역할을 삭제하려면 IAM 콘솔, IAM CLI 또는 IAM API를 사용할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)**를 참조하십시오.
## AWS Security Hub V2의 서비스 연결 역할
는 라는 서비스 연결 역할을 사용합니다`AWSServiceRoleForSecurityHubV2`. 이 서비스 연결 역할을 사용하면가 조직 및 사용자를 대신하여 AWS Config 규칙과 리소스를 관리할 수 있습니다. `AWSServiceRoleForSecurityHubV2` 서비스 연결 역할은 역할을 수임하기 위해 `securityhub.amazonaws.com`서비스를 신뢰합니다.
`AWSServiceRoleForSecurityHubV2` 서비스 연결 역할은 관리형 정책 [`AWSSecurityHubV2ServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-awssecurityhubv2servicerolepolicy)을(를) 사용합니다.
**권한 세부 정보**
이 정책에는 다음 권한이 포함되어 있습니다.
+ `cloudwatch` - 역할이 지표 데이터를 검색하여 리소스에 대한 측정 기능을 지원할 수 있도록 허용합니다.
+ `config` - 역할이 글로벌 레코더에 대한 지원을 포함하여 리소스에 대한 서비스 연결 구성 AWS Config 레코더를 관리할 수 있도록 허용합니다.
+ `ecr` - 역할이 Amazon Elastic Container Registry 이미지 및 리포지토리에 대한 정보를 검색하여 측정 기능을 지원할 수 있도록 허용합니다.
+ `iam` - 역할이에 대한 서비스 연결 역할을 생성하고 계정 정보를 AWS Config 검색하여 측정 기능을 지원할 수 있도록 허용합니다.
+ `lambda` - 역할이 측정 기능을 지원하는 AWS Lambda 함수 정보를 검색할 수 있도록 허용합니다.
+ `organizations` - 역할이 조직의 계정 및 조직 단위(OU) 정보를 검색할 수 있도록 허용합니다.
+ `securityhub` - 역할이 구성을 관리할 수 있도록 허용합니다.
+ `tag` - 역할이 리소스 태그에 대한 정보를 검색할 수 있도록 허용합니다.
IAM ID(역할, 그룹, 사용자 등)가 서비스 연결 역할을 작성하고 편집하거나 삭제할 수 있도록 권한을 부여해야 합니다. `AWSServiceRoleForSecurityHubV2` 서비스 연결 역할을 성공적으로 생성하려면에 액세스하는 데 사용하는 IAM 자격 증명에 필요한 권한이 있어야 합니다. 필수 권한을 부여하려면 다음 정책을 IAM ID에 연결하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "securityhub:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "securityhub.amazonaws.com"
}
}
}
]
}
```
------
### AWS Security Hub V2에 대한 서비스 연결 역할 생성
`AWSServiceRoleForSecurityHubV2` 서비스 연결 역할은를 처음 활성화하거나 이전에 활성화하지 않은 리전에서를 활성화하면 자동으로 생성됩니다. 또한 IAM 콘솔, IAM CLI 또는 IAM API를 사용하여 `AWSServiceRoleForSecurityHubV2` 서비스 연결 역할을 수동으로 생성할 수 있습니다. 수동 서비스 역할 생성에 대한 자세한 내용은 IAM 사용자 설명서**의 [서비스에 대한 역할 만들기](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)를 참조하세요.
**중요**
관리자 계정에 대해 생성된 서비스 연결 역할은 연결된 멤버 계정에 적용되지 않습니다.
### AWS Security Hub V2에 대한 서비스 연결 역할 편집
에서는 `AWSServiceRoleForSecurityHubV2` 서비스 연결 역할을 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 그러나 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.
### AWS Security Hub V2에 대한 서비스 연결 역할 삭제
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔티티가 없도록 합니다.
를 비활성화하면가 `AWSServiceRoleForSecurityHubV2` 서비스 연결 역할을 자동으로 삭제하지 않습니다. 를 다시 활성화하면 서비스가 기존 서비스 연결 역할을 다시 사용하기 시작할 수 있습니다. 더 이상를 사용할 필요가 없는 경우 서비스 연결 역할을 수동으로 삭제할 수 있습니다.
**중요**
`AWSServiceRoleForSecurityHubV2` 서비스 연결 역할을 삭제하기 전에 먼저 서비스 연결 역할이 활성화된 모든 리전에서를 비활성화해야 합니다. 자세한 내용은 [Security Hub CSPM 비활성화](securityhub-disable.md) 단원을 참조하십시오. 서비스 연결 역할을 삭제하려고 할 때 가 비활성화되지 않는 경우 삭제에 실패합니다.
`AWSServiceRoleForSecurityHubV2` 서비스 연결 역할을 삭제하려면 IAM 콘솔, IAM CLI 또는 IAM API를 사용할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)**를 참조하십시오.