기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
조직 위임된 관리자
조직에서 사용하는 CloudTrail 경우 AWS Organizations 조직 내 모든 계정에 조직을 대신하여 조직의 트레일 및 이벤트 데이터 저장소를 관리하는 CloudTrail 위임된 관리자 역할을 하도록 할당할 수 있습니다. 위임된 관리자는 관리 계정과 동일한 관리 작업 (명시된 경우를 제외하고) 을 수행할 수 있는 조직의 구성원 계정입니다. CloudTrail
위임된 관리자를 선택하면 이 멤버 계정은 조직의 모든 조직 추적과 이벤트 데이터 스토어에 대한 관리자 권한을 갖습니다. 위임된 관리자를 추가해도 조직의 추적이나 이벤트 데이터 스토어의 관리 또는 운영이 변경되지 않습니다.
CloudTrail 콘솔에서 AWS CLI 또는 CloudTrail API를 사용하여 위임된 관리자를 처음 추가하면 조직의 관리 계정에 서비스 연결 역할이 있는지 CloudTrail 확인할 수 있습니다. 관리 계정에 서비스 연결 역할이 없는 경우, 관리 계정에 대한 서비스 연결 역할을 CloudTrail 생성합니다. 서비스 연결 역할에 대한 자세한 내용은 AWS CloudTrail에 서비스 연결 역할 사용를 참조하세요.
참고
AWS Organizations CLI 또는 API 작업을 사용하여 위임된 관리자를 추가할 때 서비스 연결 역할이 없으면 해당 역할이 생성되지 않습니다. 서비스 연결 역할은 위임된 관리자를 추가하거나 콘솔 또는 API를 사용하여 조직 트레일 또는 이벤트 데이터 저장소를 생성하는 경우와 같이 관리 계정에서 CloudTrail 서비스로 직접 호출하는 경우에만 생성됩니다. CloudTrail AWS CLI CloudTrail
위임된 관리자의 운영 방식을 정의하는 다음 요소를 참고하세요. CloudTrail
- 관리 계정은 위임된 관리자가 생성하는 모든 CloudTrail 조직 리소스의 소유자로 남아 있습니다.
-
조직의 관리 계정은 트레일 및 이벤트 데이터 저장소와 같이 위임된 관리자가 생성하는 모든 CloudTrail 조직 리소스의 소유자로 유지됩니다. 이렇게 하면 위임된 관리자가 변경되는 경우에도 조직의 연속성을 유지할 수 있습니다.
- 위임된 관리자 계정을 제거해도 해당 계정이 만든 CloudTrail 조직 리소스는 삭제되지 않습니다.
-
위임된 관리자가 생성한 조직 트레일과 이벤트 데이터 저장소는 위임된 관리자를 제거해도 삭제되지 않습니다. 위임된 관리자가 생성했는지 관리 계정을 생성했는지에 관계없이 관리 계정은 항상 CloudTrail 조직 리소스의 소유자 역할을 하기 때문입니다.
- 조직에는 최대 3명의 위임된 관리자가 있을 수 있습니다. CloudTrail
-
조직당 최대 3명의 CloudTrail 위임 관리자를 둘 수 있습니다. 위임된 관리자 계정 제거에 대한 자세한 내용은 CloudTrail 위임된 관리자 제거를 참조하세요.
다음 표에는 관리 계정, 위임된 관리자 계정, 조직 내 구성원인 계정의 기능이 나와 있습니다. AWS Organizations
| 기능 | 관리 계정 | 위임된 관리자 계정 | 멤버 계정 |
|---|---|---|---|
|
위임된 관리자 계정 추가 또는 제거 |
예 |
아니요 |
아니요 |
|
조직 추적 생성 |
예 |
예1 |
아니요 |
|
조직 추적 목록 보기 |
예 |
예 |
예 |
|
조직 추적 업데이트 |
예 |
예1, 2 |
아니요 |
|
조직 추적 삭제 |
예 |
예 |
아니요 |
|
이벤트 또는 AWS Config 구성 항목에 대한 조직 CloudTrail 이벤트 데이터 저장소를 생성합니다. |
예 |
예 |
아니요 |
|
조직 이벤트 데이터 스토어에서 Insights 사용 |
예 |
아니요 |
아니요 |
|
조직 이벤트 데이터 스토어 업데이트 |
예 |
예2 |
아니요 |
|
조직 이벤트 데이터 스토어에서 Lake 쿼리 페더레이션 활성화3 |
예 |
예 |
아니요 |
|
조직 이벤트 데이터 스토어에서 Lake 쿼리 페더레이션 비활성화 |
예 |
예 |
아니요 |
|
조직 이벤트 데이터 스토어 삭제 |
예 |
예 |
아니요 |
|
조직 이벤트 데이터 스토어에 추적 이벤트 복사 |
예 |
아니요 |
아니요 |
|
조직 이벤트 데이터 스토어에서 쿼리 실행 |
예 |
예 |
아니요 |
|
조직 이벤트 데이터 스토어의 Lake 대시보드 보기 |
예 |
예 |
아니요 |
1 위임된 관리자는 AWS CLI CloudTrail CreateTrail 또는 UpdateTrail API 작업을 사용하여 CloudWatch 로그 로그 그룹만 구성할 수 있습니다. 로그 CloudWatch 로그 그룹과 로그 역할 모두 호출 계정에 있어야 합니다.
2 관리 계정만 조직 트레일 또는 이벤트 데이터 저장소를 계정 수준의 트레일 또는 이벤트 데이터 저장소로 변환하거나 계정 수준의 트레일 또는 이벤트 데이터 저장소를 조직 트레일 또는 이벤트 데이터 저장소로 변환할 수 있습니다. 조직 추적과 이벤트 데이터 스토어는 관리 계정에만 존재하므로 위임된 관리자는 이러한 작업을 수행할 수 없습니다. 조직 트레일 또는 이벤트 데이터 저장소를 계정 수준의 트레일 또는 이벤트 데이터 스토어로 변환하면 관리 계정만 트레일 또는 이벤트 데이터 스토어에 접근할 수 있습니다.
3위임된 단일 관리자 계정 또는 관리 계정만 조직 이벤트 데이터 스토어에서 페더레이션을 활성화할 수 있습니다. 위임된 다른 관리자 계정은 Lake Formation 데이터 공유 기능을 사용하여 정보를 쿼리하고 공유할 수 있습니다. 위임된 관리자 계정과 조직의 관리 계정은 페더레이션을 비활성화할 수 있습니다.
