Organizations에 대해 마지막으로 액세스한 정보 보기 - AWS Identity and Access Management

Organizations에 대해 마지막으로 액세스한 정보 보기

IAM 콘솔, AWS CLI 또는 AWS API를 사용하여 AWS Organizations에 대해 마지막으로 액세스한 서비스 정보를 볼 수 있습니다. 데이터, 필요 권한, 문제 해결, 지원되는 리전에 대한 중요 정보는 마지막으로 액세스한 정보를 사용하여 AWS에서의 권한 재정의 섹션을 참조하세요.

AWS Organizations 관리 계정 자격 증명을 사용하여 IAM 콘솔에 로그인하는 경우 조직의 모든 엔터티에 대한 정보를 볼 수 있습니다. Organizations 엔터티에는 조직 루트, 조직 단위(OU) 및 계정이 포함됩니다. 또한 IAM 콘솔을 사용하여 조직의 모든 서비스 제어 정책(SCP)에 대한 정보를 볼 수 있습니다. IAM에는 엔터티에 적용되는 SCP가 허용하는 서비스의 목록이 표시됩니다. 각 서비스에 대해 선택한 조직 엔터티 또는 엔터티 하위에 대한 가장 최근의 계정 활동 정보를 볼 수 있습니다.

관리 계정 자격 증명으로 AWS CLI 또는 AWS API를 사용하면 조직의 모든 엔터티 또는 정책에 대한 보고서를 생성할 수 있습니다. 엔터티에 대한 프로그래밍 방식 보고서는 SCP가 엔터티에 적용되도록 허용하는 서비스의 목록을 포함합니다. 각 서비스에 대해, 보고서는 지정된 조직 엔터티 또는 엔터티 하위 트리의 계정에 대한 가장 최근의 활동을 포함합니다.

정책에 대한 프로그래밍 방식 보고서를 생성할 때 조직 엔터티를 지정해야 합니다. 이 보고서는 지정된 SCP가 허용하는 서비스의 목록을 포함합니다. 각 서비스에 대해, 해당 정책이 권한을 부여한 엔터티 또는 엔터티 하위의 가장 최근 계정 활동이 포함됩니다. 자세한 내용은 aws iam generate-organizations-access-report 또는 GenerateOrganizationsAccessReport를 참조하세요.

보고서를 보려면 관리 계정 요건 및 정보, 보고 주기, 보고된 엔터티 및 평가된 정책 유형을 이해하고 있어야 합니다. 자세한 내용은 마지막으로 액세스한 정보에 대해 알아야 할 사항 단원을 참조하세요.

AWS Organizations 엔터티 경로 이해

AWS CLI 또는 AWS API를 사용하여 AWS Organizations 액세스 보고서를 생성하는 경우 엔터티 경로를 지정해야 합니다. 경로는 조직 엔터티 구조의 텍스트 표현입니다.

조직의 알려진 구조를 사용하여 엔터티 경로를 작성할 수 있습니다. 예를 들어 AWS Organizations에 다음과 같은 조직 구조가 있다고 가정합니다.


            조직 경로 구조

Dev Managers(개발자 관리자) OU의 경로는 조직의 ID, 루트 및 경로에 있는 모든 OU(해당 OU 포함)를 사용하여 작성됩니다.

o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/

프로덕션 OU의 계정 경로는 조직의 ID, 루트, OU 및 계정 번호를 사용하여 작성됩니다.

o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-abc0-awsaaaaa/111111111111/
참고

조직 ID는 전역적으로 고유하지만 OU ID와 루트 ID는 조직 내에서만 고유합니다. 즉, 두 조직이 동일한 조직 ID를 공유하지 않습니다. 그러나 다른 조직에는 사용자 ID와 동일한 OU 또는 루트가 있을 수 있습니다. OU 또는 루트를 지정할 때는 항상 조직 ID를 포함하는 것이 좋습니다.

Organizations에 대한 정보 보기(콘솔)

IAM 콘솔을 사용하여 루트, OU, 계정 또는 정책에 대해 마지막으로 액세스한 서비스 정보를 볼 수 있습니다.

루트에 대한 정보를 보려면(콘솔)
  1. Organizations 관리 계정 자격 증명을 사용해 AWS Management Console에 로그인한 다음 https://console.aws.amazon.com/iam에서 IAM 콘솔을 엽니다.

  2. Access reports(보고서 액세스) 섹션 아래의 탐색 창에서 Organization activity(조직 활동)를 선택합니다.

  3. 조직 활동 페이지에서 루트를 선택합니다.

  4. Details and activity(세부 정보 및 활동) 탭에서 Service access report(서비스 액세스 보고서) 섹션을 봅니다. 정보에는 루트에 직접 연결된 정책이 허용하는 서비스의 목록이 포함됩니다. 이 정보는 서비스에 마지막으로 액세스한 계정 및 그 시간을 보여줍니다. 서비스에 액세스한 보안 주체에 대한 세부 정보를 보려면 해당 계정의 관리자로 로그인하고 IAM에서 마지막으로 액세스한 서비스 정보를 봅니다.

  5. 연결된 SCP(Attached SCPs) 탭을 선택하여 루트에 연결된 서비스 제어 정책(SCP)의 목록을 봅니다. IAM으로 각 정책이 연결된 대상 엔터티의 수를 볼 수 있습니다. 이 정보를 사용하여 어느 SCP를 검토할지 결정할 수 있습니다.

  6. SCP의 이름을 선택하여 해당 정책이 허용하는 모든 서비스를 봅니다. 각 서비스에 대해, 서비스에 마지막으로 액세스한 계정 및 그 시간을 봅니다.

  7. AWS Organizations에서 편집을 선택하여 추가 세부 정보를 보고 조직 콘솔에서 SCP를 편집합니다. 자세한 내용은 AWS Organizations 사용 설명서SCP 업데이트를 참조하세요.

OU 또는 계정에 대한 정보를 보려면(콘솔)
  1. Organizations 관리 계정 자격 증명을 사용해 AWS Management Console에 로그인한 다음 https://console.aws.amazon.com/iam에서 IAM 콘솔을 엽니다.

  2. Access reports(보고서 액세스) 섹션 아래의 탐색 창에서 Organization activity(조직 활동)를 선택합니다.

  3. 조직 활동 페이지에서 조직의 구조를 확장합니다. 그런 다음 OU의 이름 또는 관리 계정을 제외하고 보려는 임의의 계정의 이름을 선택합니다.

  4. Details and activity(세부 정보 및 활동) 탭에서 Service access report(서비스 액세스 보고서) 섹션을 봅니다. 정보에는 OU 또는 계정 모든 해당 상위 항목에 연결된 SCP가 허용하는 서비스의 목록이 포함됩니다. 이 정보는 서비스에 마지막으로 액세스한 계정 및 그 시간을 보여줍니다. 서비스에 액세스한 보안 주체에 대한 세부 정보를 보려면 해당 계정의 관리자로 로그인하고 IAM에서 마지막으로 액세스한 서비스 정보를 봅니다.

  5. 연결된 SCP(Attached SCPs) 탭을 선택하여 OU 또는 계정에 직접 연결된 서비스 제어 정책(SCP)의 목록을 봅니다. IAM으로 각 정책이 연결된 대상 엔터티의 수를 볼 수 있습니다. 이 정보를 사용하여 어느 SCP를 검토할지 결정할 수 있습니다.

  6. SCP의 이름을 선택하여 해당 정책이 허용하는 모든 서비스를 봅니다. 각 서비스에 대해, 서비스에 마지막으로 액세스한 계정 및 그 시간을 봅니다.

  7. AWS Organizations에서 편집을 선택하여 추가 세부 정보를 보고 조직 콘솔에서 SCP를 편집합니다. 자세한 내용은 AWS Organizations 사용 설명서SCP 업데이트를 참조하세요.

관리 계정에 대한 정보를 보려면(콘솔)
  1. Organizations 관리 계정 자격 증명을 사용해 AWS Management Console에 로그인한 다음 https://console.aws.amazon.com/iam에서 IAM 콘솔을 엽니다.

  2. Access reports(보고서 액세스) 섹션 아래의 탐색 창에서 Organization activity(조직 활동)를 선택합니다.

  3. 조직 활동 페이지에서 조직의 구조를 확장하고 관리 계정의 이름을 선택합니다.

  4. Details and activity(세부 정보 및 활동) 탭에서 Service access report(서비스 액세스 보고서) 섹션을 봅니다. 정보에는 모든 AWS 서비스 목록이 포함됩니다. 관리 계정은 SCP에 의해 제한되지 않습니다. 이 정보는 계정이 서비스에 액세스했는지 여부와 마지막으로 액세스한 시간을 보여줍니다. 서비스에 액세스한 보안 주체에 대한 세부 정보를 보려면 해당 계정의 관리자로 로그인하고 IAM에서 마지막으로 액세스한 서비스 정보를 봅니다.

  5. 연결된 SCP(Attached SCPs) 탭을 선택하여 연결된 SCP가 없음을 확인합니다(해당 계정이 관리 계정이기 때문).

정책에 대한 정보를 보려면(콘솔)
  1. Organizations 관리 계정 자격 증명을 사용해 AWS Management Console에 로그인한 다음 https://console.aws.amazon.com/iam에서 IAM 콘솔을 엽니다.

  2. Access reports(보고서 액세스) 섹션 아래의 탐색 창에서 Service control policies (SCPs)(서비스 제어 정책(SCP))를 선택합니다.

  3. 서비스 제어 정책(SCP) 페이지에서 조직의 정책 목록을 봅니다. 각 정책이 연결된 대상 엔터티의 수를 볼 수 있습니다.

  4. SCP의 이름을 선택하여 해당 정책이 허용하는 모든 서비스를 봅니다. 각 서비스에 대해, 서비스에 마지막으로 액세스한 계정 및 그 시간을 봅니다.

  5. AWS Organizations에서 편집을 선택하여 추가 세부 정보를 보고 조직 콘솔에서 SCP를 편집합니다. 자세한 내용은 AWS Organizations 사용 설명서SCP 업데이트를 참조하세요.

Organizations에 대한 정보 보기(AWS CLI)

AWS CLI를 사용하여 조직 루트, OU, 계정 또는 정책에 대해 마지막으로 액세스한 서비스 정보를 검색할 수 있습니다.

조직에서 마지막으로 액세스한 서비스 정보를 보려면(AWS CLI)
  1. 필요한 IAM 및 조직 권한이 있는 조직 관리 계정 자격 증명을 사용하여 루트에 대해 SCP가 활성화되어 있는지 확인합니다. 자세한 내용은 마지막으로 액세스한 정보에 대해 알아야 할 사항 섹션을 참조하세요.

  2. 보고서를 생성합니다. 요청은 보고서를 작성할 조직 엔터티(루트, OU 또는 계정)의 경로를 포함해야 합니다. 선택적으로 organization-policy-id 파라미터를 포함하여 특정 정책에 대한 보고서를 볼 수 있습니다. 이 명령은 작업이 완료될 때까지 get-organizations-access-report 명령에 사용하여 job-status를 모니터링하기 위해 사용할 수 있는 job-id를 반환합니다.

  3. 이전 단계의 job-id 파라미터를 사용하여 보고서에 대한 세부 정보를 검색합니다.

    이 명령은 엔터티 멤버가 액세스할 수 있는 서비스의 목록을 반환합니다. 각 서비스에 대해, 계정 멤버에 의한 마지막 시도의 날짜 및 시간과 계정의 엔터티 경로가 반환됩니다. 또한 액세스 가능한 서비스의 총 개수와 액세스되지 않은 서비스의 수도 반환됩니다. 선택적으로 organizations-policy-id 파라미터를 지정한 경우 액세스 가능한 서비스는 지정된 정책이 허용하는 서비스입니다.

Organizations에 대한 정보 보기(AWS API)

AWS API를 사용하여 조직 루트, OU, 계정 또는 정책에 대해 마지막으로 액세스한 서비스 정보를 검색할 수 있습니다.

조직에서 마지막으로 액세스한 서비스 정보를 보려면(AWS API)
  1. 필요한 IAM 및 조직 권한이 있는 조직 관리 계정 자격 증명을 사용하여 루트에 대해 SCP가 활성화되어 있는지 확인합니다. 자세한 내용은 마지막으로 액세스한 정보에 대해 알아야 할 사항 섹션을 참조하세요.

  2. 보고서를 생성합니다. 요청은 보고서를 작성할 조직 엔터티(루트, OU 또는 계정)의 경로를 포함해야 합니다. 선택적으로 OrganizationsPolicyId 파라미터를 포함하여 특정 정책에 대한 보고서를 볼 수 있습니다. 이 작업은 작업이 완료될 때까지 GetOrganizationsAccessReport 작업에서 JobStatus를 모니터링하기 위해 사용할 수 있는 JobId를 반환합니다.

  3. 이전 단계의 JobId 파라미터를 사용하여 보고서에 대한 세부 정보를 검색합니다.

    이 작업은 엔터티 멤버가 액세스할 수 있는 서비스의 목록을 반환합니다. 각 서비스에 대해, 계정 멤버에 의한 마지막 시도의 날짜 및 시간과 계정의 엔터티 경로가 반환됩니다. 또한 액세스 가능한 서비스의 총 개수와 액세스되지 않은 서비스의 수도 반환됩니다. 선택적으로 OrganizationsPolicyId 파라미터를 지정한 경우 액세스 가능한 서비스는 지정된 정책이 허용하는 서비스입니다.