기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
조직 위임된 관리자
AWS Organizations 조직에서 CloudTrail을 사용하는 경우 조직 내 모든 계정을 할당하여 CloudTrail 위임된 관리자 역할을 하여 조직을 대신하여 조직의 추적 및 이벤트 데이터 스토어를 관리할 수 있습니다. 위임된 관리자는 CloudTrail에서 관리 계정과 동일한 관리 작업(명시된 경우는 제외)을 수행할 수 있는 조직의 멤버 계정입니다.
위임된 관리자를 선택하면 이 멤버 계정은 조직의 모든 조직 추적과 이벤트 데이터 스토어에 대한 관리자 권한을 갖습니다. 위임된 관리자를 추가해도 조직의 추적이나 이벤트 데이터 스토어의 관리 또는 운영이 변경되지 않습니다.
CloudTrail 콘솔에서 또는 AWS CLI CloudTrail API를 사용하여 위임된 관리자를 처음 추가할 때 CloudTrail은 조직의 관리 계정에 서비스 연결 역할이 있는지 확인합니다. 관리 계정에 서비스 연결 역할이 없는 경우 CloudTrail은 관리 계정에 서비스 연결 역할을 생성합니다. 서비스 연결 역할에 대한 자세한 내용은 에 대한 서비스 연결 역할 사용 AWS CloudTrail를 참조하세요.
참고
AWS Organizations CLI 또는 API 작업을 사용하여 위임된 관리자를 추가하면 서비스 연결 역할이 없으면 생성되지 않습니다. 서비스 연결 역할은 위임된 관리자를 추가하거나 CloudTrail 콘솔 AWS CLI 또는 CloudTrail API를 사용하여 조직 추적 또는 이벤트 데이터 스토어를 생성하는 경우와 같이 관리 계정에서 CloudTrail CloudTrail 서비스로 직접 호출하는 경우에만 생성됩니다.
CloudTrail에서 위임된 관리자의 운영 방식을 정의하는 다음 요소에 유의하세요.
- 관리 계정은 위임된 관리자가 생성하는 모든 CloudTrail 조직 리소스의 소유자로 남습니다.
-
조직의 관리 계정은 위임된 관리자가 생성하는 추적 및 이벤트 데이터 스토어와 같은 모든 CloudTrail 조직 리소스의 소유자로 남습니다. 이렇게 하면 위임된 관리자가 변경되는 경우에도 조직의 연속성을 유지할 수 있습니다.
- 위임된 관리자 계정을 제거해도 해당 관리자가 생성한 CloudTrail 조직 리소스는 삭제되지 않습니다.
-
위임된 관리자가 생성한 조직 추적 및 이벤트 데이터 스토어는 위임된 관리자를 제거해도 삭제되지 않습니다. 위임된 관리자가 리소스를 생성했는지 아니면 관리 계정이 생성했는지에 관계없이 관리 계정은 항상 CloudTrail 조직 리소스의 소유자 역할을 수행하기 때문입니다.
- 조직에는 최대 3명의 CloudTrail 위임된 관리자가 있을 수 있습니다.
-
조직당 최대 3명의 CloudTrail 위임된 관리자를 둘 수 있습니다. 위임된 관리자 계정 제거에 대한 자세한 내용은 CloudTrail 위임된 관리자 제거를 참조하세요.
다음 표에는 관리 계정, 위임된 관리자 계정 및 AWS Organizations 조직 내 멤버인 계정의 기능이 나와 있습니다.
| 기능 | 관리 계정 | 위임된 관리자 계정 | 멤버 계정 |
|---|---|---|---|
|
위임된 관리자 계정 추가 또는 제거 |
|
|
|
|
조직 추적 생성 |
|
|
|
|
조직 추적 목록 보기 |
|
|
|
|
조직 추적 업데이트 |
|
|
|
|
조직 추적 삭제 |
|
|
|
|
CloudTrail 이벤트 또는 AWS Config 구성 항목에 대한 조직 이벤트 데이터 스토어를 생성합니다. |
|
|
|
|
조직 이벤트 데이터 스토어에서 Insights 사용 |
|
|
|
|
조직 이벤트 데이터 스토어 업데이트 |
|
|
|
|
조직 이벤트 데이터 스토어에서 이벤트 수집을 시작하고 중지합니다. |
|
|
|
|
조직 이벤트 데이터 스토어에서 Lake 쿼리 페더레이션 활성화3 |
|
|
|
|
조직 이벤트 데이터 스토어에서 Lake 쿼리 페더레이션 비활성화 |
|
|
|
|
조직 이벤트 데이터 스토어 삭제 |
|
|
|
|
조직 이벤트 데이터 스토어에 추적 이벤트 복사 |
|
|
|
|
조직 이벤트 데이터 스토어에서 쿼리 실행 |
|
|
|
|
조직 이벤트 데이터 스토어의 관리형 대시보드를 봅니다. |
|
|
|
|
조직 이벤트 데이터 스토어에 대한 하이라이트 대시보드를 활성화합니다. |
|
|
|
|
조직 이벤트 데이터 스토어를 쿼리하는 사용자 지정 대시보드용 위젯을 생성합니다. |
|
|
|
1위임된 관리자는 AWS CLI 또는 CloudTrail 또는 API 작업을 통해서만 CloudWatch Logs 로그 그룹을 구성할 수 있습니다. CloudTrail CreateTrail UpdateTrail 호출 계정에는 CloudWatch Logs 로그 그룹과 로그 역할이 모두 존재해야 합니다.
2오직 관리 계정만 조직 추적 또는 이벤트 데이터 저장소를 계정 수준 추적 또는 이벤트 데이터 저장소로 변환하거나, 계정 수준 추적 또는 이벤트 데이터 저장소를 조직 추적 또는 이벤트 데이터 저장소로 변환할 수 있습니다. 조직 추적과 이벤트 데이터 스토어는 관리 계정에만 존재하므로 위임된 관리자는 이러한 작업을 수행할 수 없습니다. 조직 추적 또는 이벤트 데이터 저장소를 계정 수준 추적 또는 이벤트 데이터 저장소로 변환하면, 관리 계정만 추적 또는 이벤트 데이터 저장소에 액세스할 수 있습니다.
3위임된 단일 관리자 계정 또는 관리 계정만 조직 이벤트 데이터 스토어에서 페더레이션을 활성화할 수 있습니다. 위임된 다른 관리자 계정은 Lake Formation 데이터 공유 기능을 사용하여 정보를 쿼리하고 공유할 수 있습니다. 위임된 관리자 계정과 조직의 관리 계정은 페더레이션을 비활성화할 수 있습니다.
