AWS Trusted Advisor에 대한 조직 보기

조직 보기를 사용하면 Trusted Advisor 검사를 AWS Organizations의 모든 계정에 대하여 검토할 수 있습니다. 이 기능을 활성화한 후 보고서를 만들어 기관의 모든 멤버 계정에 대한 검사 결과를 집계할 수 있습니다. 보고서에는 검사 결과 요약과 각 계정의 영향을 받는 자원에 대한 정보가 포함됩니다. 예를 들어 보고서를 사용하여 조직의 어떤 계정이 IAM 사용 검사에 AWS Identity and Access Management(IAM)를 사용 중인지 또는 Amazon S3 버킷 권한 검사에 권장되는 Amazon Simple Storage Service(Amazon S3) 버킷 작업이 있는지 식별할 수 있습니다.

주제

• 필수 조건
• 조직 보기 활성화
• Trusted Advisor 검사 새로 고침
• 조직 보기 보고서 생성
• 보고서 요약 보기
• 조직 보기 보고서 다운로드
• 조직 보기 비활성화
• IAM 정책을 사용하여 조직 보기에 대한 액세스 허용
• 다른 AWS 서비스를 사용하여 Trusted Advisor 보고서 보기

필수 조건

조직 보기를 사용하려면 다음 요구 사항을 충족해야 합니다.

• 귀하의 계정이 AWS 조직의 멤버여야 합니다.

• 조직에서 Organizations의 모든 기능을 활성화해야 합니다. 자세한 내용은 AWS Organizations 사용 설명서의 조직 내 모든 기능 활성화를 참조하세요.

• 조직의 관리 계정에 Business, Enterprise On-Ramp 또는 Enterprise Support 플랜이 있어야 합니다. 지원 플랜은 AWS Support 센터 또는 지원 플랜 페이지에서 찾을 수 있습니다. AWS Support 플랜 비교를 참조하세요.

• 관리 계정의 사용자(또는 동등하게 수임한 역할)로 로그인해야 합니다. IAM 사용자 또는 IAM 역할로 로그인하는 경우 필요한 권한을 가진 정책이 있어야 합니다. IAM 정책을 사용하여 조직 보기에 대한 액세스 허용 단원을 참조하세요.

조직 보기 활성화

사전 조건을 충족한 후에 조직 보기를 활성화하려면 다음 단계를 따르세요. 이 기능을 활성화하면 다음과 같이 진행됩니다.

• Trusted Advisor가 조직에서 신뢰할 수 있는 서비스로 활성화됩니다. 자세한 내용은 AWS Organizations 사용 설명서의 다른 AWS 서비스로 신뢰할 수 있는 액세스 활성화를 참조하세요.

• AWSServiceRoleForTrustedAdvisorReporting 서비스 연결 역할이 조직의 관리 계정에 생성됩니다. 이 역할에는 Trusted Advisor가 사용자를 대신하여 Organizations를 호출하는 데 필요한 권한이 포함되어 있습니다. 이 서비스 연결 역할은 잠겨 있으므로 수동으로 삭제할 수 없습니다. 자세한 내용은 Trusted Advisor의 서비스 링크 역할 사용 단원을 참조하세요.

Trusted Advisor 콘솔에서 조직 보기를 활성화합니다.

조직 보기를 활성화하려면

1. 조직의 관리 계정에 관리자로 로그인한 다음 https://console.aws.amazon.com/trustedadvisor의 AWS Trusted Advisor 콘솔을 엽니다.

2. 탐색 창의 Preferences(기본 설정)에서 Organization(조직)을 선택합니다.

3. Enable trusted access with AWS Organizations에서 Enabled(활성화됨)를 설정합니다.

참고

관리 계정에 대해 조직 보기를 사용하도록 설정하면 일부 멤버 계정에 대해 동일한 검사가 제공되지 않습니다. 예를 들어 멤버 계정이 모두 Basic Support가 있는 경우 해당 계정은 관리 계정과 동일한 검사를 사용할 수 없습니다. AWS Support 계획에 따라 계정이 사용할 수 있는 Trusted Advisor 검사가 결정됩니다.

Trusted Advisor 검사 새로 고침

조직에 대한 보고서를 만들기 전에 Trusted Advisor 검사의 상태를 새로 고치는 것이 좋습니다. Trusted Advisor 검사를 새로 고치지 않고 보고서를 다운로드할 수 있지만 보고서에 최신 정보가 없을 수 있습니다.

Business, Enterprise On-Ramp 또는 Enterprise Support 플랜을 보유한 경우 Trusted Advisor에서는 매주 계정의 검사 내용을 자동으로 새로 고칩니다.

참고

조직의 계정에 개발자(Developer) 또는 기본(Basic) 지원 플랜이 있는 경우 해당 계정의 사용자는 Trusted Advisor 콘솔에 로그인하여 검사를 새로 고쳐야 합니다. 조직의 관리 계정에서 모든 계정에 대한 검사를 새로 고칠 수는 없습니다.

Trusted Advisor 검사를 새로 고치려면

1. https://console.aws.amazon.com/trustedadvisor의 AWS Trusted Advisor콘솔로 이동합니다.

2. Trusted Advisor 권장 사항 페이지에서 모든 검사 새로 고침을 선택합니다. 이렇게 하면 계정에 속한 모든 검사를 새로 고칩니다.

다음과 같은 방법으로 특정 검사를 새로 고칠 수 있습니다.

• RefreshTrustedAdvisorCheck API 작업을 사용합니다.

• 개별 검사에 대해 새로 고침 아이콘( )을 선택합니다.

조직 보기 보고서 생성

조직 보기를 활성화한 후 보고서를 만들어 Trusted Advisor 조직에 대한 검사 결과를 검토할 수 있습니다.

최대 50개의 보고서를 생성할 수 있습니다. 이 할당량을 초과하는 보고서를 만드는 경우 Trusted Advisor가 가장 오래된 보고서를 삭제합니다. 삭제된 보고서는 복구할 수 없습니다.

조직 보기 보고서를 생성하려면

1. 조직의 관리 계정에 로그인한 다음 https://console.aws.amazon.com/trustedadvisor의 AWS Trusted Advisor 콘솔을 엽니다.

2. 탐색 창에서 조직 보기(Organizational View)를 선택합니다.

3. 보고서 생성(Create report)을 선택합니다.

4. 기본적으로 보고서에는 모든 AWS 리전, 검사 범주, 검사 및 리소스 상태가 포함되어 있습니다. 보고서 생성(Create report) 페이지에서 필터 옵션을 사용하여 보고서를 사용자 지정할 수 있습니다. 예를 들어, 리전(Region)에서 모두(All) 옵션을 지우고 개별 리전을 보고서에 포함할 수 있습니다.

   1. 보고서의 이름을 입력합니다.

   2. 형식(Format)에서 JSON 또는 CSV를 선택합니다.

   3. 리전(Region)에서 AWS 리전을 지정하거나 모두(All)를 선택합니다.

   4. 검사 범주(Check category)에서 검사 범주를 선택하거나 모두(All)를 선택합니다.

   5. 검사(Checks)에서 해당 범주에 대한 특정 검사를 선택하거나 모두(All)를 선택합니다.

      참고

      검사 범주(Check category) 필터는 검사(Checks) 필터를 재정의합니다. 예를 들어 보안(Security) 범주를 선택한 다음 특정 검사 이름을 선택하면 보고서에 해당 범주에 대한 모든 검사 결과가 포함됩니다. 특정 검사에 대해서만 보고서를 생성하려면 검사 범주(Check category)에서 모두(All)를 기본값으로 두고 검사 이름을 선택합니다.

   6. 리소스 상태(Resource status)에서 필터링할 상태(예: 경고(Warning))를 선택하거나 모두(All)를 선택합니다.

5. AWS 조직에서 보고서에 포함할 조직 단위(OU)를 선택합니다. OU에 대한 자세한 내용은 AWS Organizations사용 설명서의 조직 단위 관리를 참조하세요.

6. 보고서 생성(Create report)을 선택합니다.

예 : 보고서 필터 옵션 생성

다음 예제에서는 다음에 대한 JSON 보고서를 생성합니다.

• 3개의 AWS 리전

• 모든 보안 및 성능 검사

다음 예제에서 보고서에는 조직에 속하는 지원 팀(support-team) OU 및 1개의 AWS 계정이 포함되어 있습니다.

주의

• 보고서를 생성하는 데 걸리는 시간은 조직의 계정 수와 각 계정의 리소스 수에 따라 달라집니다.

• 현재 보고서가 6시간 넘게 실행 중인 경우가 아니라면 두 개 이상의 보고서를 동시에 생성할 수 없습니다.

• 페이지에 보고서가 표시되지 않으면 페이지를 새로 고치세요.

보고서 요약 보기

보고서가 준비되면 Trusted Advisor 콘솔에서 보고서 요약을 볼 수 있습니다.. 이렇게 하면 조직 전체의 검사 결과 요약을 빠르게 볼 수 있습니다.

보고서 요약을 보려면

1. 조직의 관리 계정에 로그인한 다음 https://console.aws.amazon.com/trustedadvisor에서 AWS Trusted Advisor 콘솔을 엽니다.

2. 탐색 창에서 조직 보기(Organizational View)를 선택합니다.

3. 보고서 이름을 선택합니다.

4. 요약(Summary) 페이지에서 각 범주의 검사 상태를 봅니다. 보고서 다운로드(Download report)를 선택할 수도 있습니다.

예 : 조직에 대한 보고서 요약

조직 보기 보고서 다운로드

보고서가 준비되면 Trusted Advisor 콘솔에서 다운로드합니다. 보고서는 다음 세 개의 파일을 포함하는 .zip 파일입니다.

• summary.json - 각 검사 범주의 검사 결과 요약을 포함합니다.

• schema.json - 보고서의 지정된 검사에 대한 스키마를 포함합니다.

• 리소스 파일 (.json 또는.csv) - 조직의 리소스에 관한 검사 상태에 대한 자세한 정보가 들어 있습니다.

조직 보기 보고서를 다운로드하려면

1. 조직의 관리 계정에 로그인한 다음 https://console.aws.amazon.com/trustedadvisor에서 AWS Trusted Advisor 콘솔을 엽니다.

2. 탐색 창에서 조직 보기(Organizational View)를 선택합니다.

   조직 보기(Organizational View 페이지에 다운로드할 수 있는 보고서가 표시됩니다.

3. 보고서를 선택하고 보고서 다운로드(Download report)를 선택한 다음 파일을 저장합니다. 한 번에 하나의 보고서만 다운로드할 수 있습니다.

   

4. 파일 압축을 풉니다.

5. 텍스트 편집기를 사용하여 .json 파일을 열거나 스프레드시트 애플리케이션을 사용하여 .csv 파일을 엽니다.

   참고

   보고서가 5MB 이상인 경우 여러 파일을 받을 수 있습니다.

예 : summary.json 파일

summary.json 파일에는 조직의 계정 수와 각 범주의 검사 상태가 표시됩니다.

Trusted Advisor는 검사 결과에 다음의 색상 코드를 사용합니다.

• Green – Trusted Advisor가 검사에서 문제를 감지하지 않습니다.

• Yellow – Trusted Advisor가 검사에서 가능한 문제를 감지합니다.

• Red – Trusted Advisor가 오류를 감지하고 검사에 대한 작업을 권장합니다.

• Blue – Trusted Advisor가 검사 상태를 확인할 수 없습니다.

다음 예제에서는 두 개의 검사가 Red이고, 하나가 Green이고, 하나가 Yellow입니다.

{
    "numAccounts": 3,
    "filtersApplied": {
        "accountIds": ["123456789012","111122223333","111111111111"],
        "checkIds": "All",
        "categories": [
            "security",
            "performance"
        ],
        "statuses": "All",
        "regions": [
            "us-west-1",
            "us-west-2",
            "us-east-1"
        ],
        "organizationalUnitIds": [
            "ou-xa9c-EXAMPLE1",
            "ou-xa9c-EXAMPLE2"
        ]
    },
    "categoryStatusMap": {
        "security": {
            "statusMap": {
                "ERROR": {
                    "name": "Red",
                    "count": 2
                },
                "OK": {
                    "name": "Green",
                    "count": 1
                },
                "WARN": {
                    "name": "Yellow",
                    "count": 1
                }
            },
            "name": "Security"
        }
    },
    "accountStatusMap": {
        "123456789012": {
            "security": {
                "statusMap": {
                    "ERROR": {
                        "name": "Red",
                        "count": 2
                    },
                    "OK": {
                        "name": "Green",
                        "count": 1
                    },
                    "WARN": {
                        "name": "Yellow",
                        "count": 1
                    }
                },
                "name": "Security"
            }
        }
    }
}

예 : schema.json 파일

schema.json 파일에는 보고서의 검사에 대한 스키마가 포함됩니다. 다음 예제에는 IAM 암호 정책(Yw2K9puPzl)과 IAM 키 교체(DqdJqYeRm5) 검사의 ID 및 속성이 포함되어 있습니다.

{
    "Yw2K9puPzl": [
        "Password Policy",
        "Uppercase",
        "Lowercase",
        "Number",
        "Non-alphanumeric",
        "Status",
        "Reason"
    ],
    "DqdJqYeRm5": [
        "Status",
        "IAM User",
        "Access Key",
        "Key Last Rotated",
        "Reason"
    ],
    ...
}

예 : resources.csv 파일

resources.csv 파일에는 조직의 리소스에 대한 정보가 포함됩니다. 이 예에서는 다음과 같이 보고서에 나타나는 일부 데이터 열을 보여 줍니다.

• 영향을 받는 계정의 계정 ID

• Trusted Advisor 검사 ID

• 리소스 ID

• 보고서의 타임스탬프

• Trusted Advisor 검사의 전체 이름

• Trusted Advisor 검사 범주

• 상위 조직 단위(OU) 또는 루트의 계정 ID

검사 결과가 리소스 수준에 있는 경우에만 리소스 파일에 항목이 포함됩니다. 다음과 같은 이유로 보고서에 검사가 표시되지 않을 수 있습니다.

• 루트 계정의 MFA 등의 일부 검사는 리소스가 없으므로 보고서에 나타나지 않습니다. 리소스가 없는 검사는 summary.json 파일에 대신 나타납니다.

• 일부 검사는 Red 또는 Yellow일 때만 리소스를 보여줍니다. 모든 리소스가 Green이면 보고서에 표시되지 않을 수 있습니다.

• 검사가 필요한 서비스에 대해 계정이 활성화되지 않은 경우 보고서에 검사가 나타나지 않을 수 있습니다. 예를 들어 조직에서 Amazon Elastic Compute Cloud 예약 인스턴스를 사용하지 않는 경우 보고서에 Amazon EC2 Reserved Instance Lease Expiration 검사가 보고서에 표시되지 않습니다.

• 계정이 검사 결과를 새로 고치지 않았습니다. 이런 일은 기본(Basic) 또는 개발자(Developer) 지원 플랜을 사용하는 사용자가 Trusted Advisor 콘솔에 처음으로 로그인할 때 발생할 수 있습니다 Business, Enterprise On-Ramp 또는 Enterprise Support 플랜을 보유한 경우 사용자가 검사 결과를 보려면 계정 등록 시점부터 최대 1주일이 걸릴 수 있습니다. 자세한 내용은 Trusted Advisor 검사 새로 고침 섹션을 참조하세요.

• 조직의 관리 계정에서만 검사에 대한 권장 사항을 활성화한 경우 보고서에 조직의 다른 계정에 대한 리소스가 포함되지 않습니다.

리소스 파일의 경우 Microsoft Excel과 같은 일반적인 소프트웨어를 사용하여.csv 파일 형식을 열 수 있습니다. .csv 파일을 사용하여 조직의 모든 계정에 걸쳐 모든 검사를 한 번에 분석할 수 있습니다. 애플리케이션에서 보고서를 사용하려면 보고서를.json 파일로 대신 다운로드할 수 있습니다.

.json 파일 형식은 여러 데이터 집합을 사용한 집계 및 고급 분석 등의 고급 사용 사례에서.csv 파일 형식보다 더 많은 유연성을 제공합니다. 예를 들어, .Amazon Athena와 같은 AWS 서비스에서 SQL 인터페이스를 사용하여 보고서에 대한 쿼리를 실행할 수 있습니다. Amazon QuickSight를 사용하여 대시보드를 만들고 데이터를 시각화할 수도 있습니다. 자세한 내용은 다른 AWS 서비스를 사용하여 Trusted Advisor 보고서 보기 단원을 참조하세요.

조직 보기 비활성화

이 절차에 따라 조직 보기를 비활성화합니다. 이 기능을 비활성화하려면 조직의 관리 계정에 로그인하거나 필요한 권한이 있는 역할을 수임해야 합니다. 조직의 다른 계정에서는 이 기능을 비활성화할 수 없습니다.

이 기능을 비활성화하면 다음과 같이 진행됩니다.

• Trusted Advisor가 Organizations의 신뢰할 수 있는 서비스로서 제거됩니다.

• 조직의 관리 계정에서 AWSServiceRoleForTrustedAdvisorReporting 서비스 연결 역할이 잠금 해제됩니다. 즉, 필요한 경우 수동으로 삭제할 수 있습니다.

• 조직에 대한 보고서를 만들거나 보거나 다운로드할 수 없습니다. 이전에 만든 보고서에 액세스하려면 Trusted Advisor 콘솔에서 조직 보기를 다시 활성화해야 합니다. 조직 보기 활성화 단원을 참조하세요.

Trusted Advisor에 대한 조직 보기를 비활성화하려면

1. 조직의 관리 계정에 로그인한 다음 https://console.aws.amazon.com/trustedadvisor에서 AWS Trusted Advisor 콘솔을 엽니다.

2. 탐색 창에서 Preferences(기본 설정)를 선택합니다.

3. 조직 보기(Organizational View)를 선택하고조직 보기 비활성화(Disable organizational view)를 선택합니다.

   

조직 보기를 비활성화하면 Trusted Advisor가 더 이상 조직의 다른 AWS 계정에서 검사를 집계하지 않습니다. 그러나 AWSServiceRoleForTrustedAdvisorReporting 서비스 연결 역할은 IAM 콘솔, IAM API 또는 AWS Command Line Interface(AWS CLI)를 통해 삭제할 때까지 조직의 관리 계정에 남아 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스에 연결 역할 삭제 단원을 참조하세요.

참고

다른 AWS 서비스를 사용하여 조직 보기 보고서에서 데이터를 쿼리하고 시각화할 수 있습니다. 자세한 정보는 다음 자료를 참조하세요.

• AWS 관리 및 거버넌스 블로그에서 규모에 따른 AWS Trusted Advisor 권장 사항AWS Organizations 보기

• 다른 AWS 서비스를 사용하여 Trusted Advisor 보고서 보기