동작 그래프에 멤버 계정 초대 - Amazon Detective
동작 그래프에 개별 계정 초대(콘솔)멤버 계정 목록을 동작 그래프에 초대(콘솔)행동 그래프에 회원 계정 초대하기 (Detective API,) AWS CLI지역 간 회원 계정 목록 추가 (Python 스크립트 사용 GitHub)

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

동작 그래프에 멤버 계정 초대

관리자 계정은 계정을 초대하여 동작 그래프에 제공할 수 있습니다. 동작 그래프에는 최대 1,200개의 멤버 계정이 포함될 수 있습니다.

상위 수준에서 동작 그래프에 제공하도록 계정을 초대하는 프로세스는 다음과 같습니다.

  1. 추가할 각 구성원 계정에 대해 관리자 계정은 AWS 계정 식별자와 루트 사용자 이메일 주소를 제공합니다.

  2. Detective는 이메일 주소가 계정의 루트 사용자 이메일 주소인지 확인합니다.

    Detective는 AWS GovCloud (미국 동부) 또는 AWS GovCloud (미국 서부) 지역에서는 이 검증을 수행하지 않습니다.

  3. 계정 정보가 유효하면 Detective는 멤버 계정으로 초대를 보냅니다.

    Detective는 AWS GovCloud (미국 동부) 또는 AWS GovCloud (미국 서부) 지역의 회원 계정에 이메일 초대장을 보내지 않습니다.

    다른 리전의 경우 Detective API에는 멤버 계정에 초대를 보내지 않는 옵션이 포함되어 있습니다.

    이 옵션은 중앙에서 관리되는 계정에 유용합니다.

  4. 멤버 계정은 초대를 수락 또는 거부합니다.

    관리자 계정이 초대 이메일을 보내지 않더라도 멤버 계정은 초대에 응답해야 합니다.

  5. 멤버 계정이 초대를 수락하면 Detective는 멤버 계정이 최소 48시간 동안 Amazon GuardDuty 고객이었는지 확인합니다.

    그럴 경우 Detective는 멤버 계정 데이터로 인해 동작 그래프의 데이터 속도가 할당량을 초과하는지 여부를 확인합니다.

    이러한 확인에는 24~48시간이 소요될 수 있습니다.

    Detective가 데이터 속도를 확인하는 동안 멤버 계정 상태는 활성화되지 않음이 됩니다.

  6. 멤버 계정이 두 가지 확인을 모두 통과하면 멤버 계정 상태가 자동으로 활성화됨으로 업데이트됩니다. Detective는 멤버 계정의 데이터를 동작 그래프로 수집하기 시작합니다.

    두 확인 중 하나라도 실패하면 멤버 계정 상태는 활성화되지 않음 상태로 유지됩니다. 멤버 계정은 동작 그래프에 데이터를 제공하지 않습니다.

  7. 멤버 계정을 활성화할 수 있게 되면 Detective는 자동으로 멤버 계정 상태를 활성화됨으로 변경합니다.

    예를 들어 멤버 계정이 GuardDuty 활성화되고 Detective에서 데이터 볼륨이 너무 크지 않음을 확인하거나 관리자 계정이 계정을 위한 공간을 확보하기 위해 다른 멤버 계정을 제거하면 멤버 계정 상태가 활성화됨으로 변경됩니다.

    둘 이상의 계정이 활성화되지 않음 상태인 경우 Detective는 초대된 순서대로 계정을 활성화합니다. 활성화되지 않음 상태의 계정을 활성화할지 여부를 확인하는 프로세스가 1시간마다 실행됩니다.

    또한 관리자 계정은 자동 프로세스를 기다리지 않고 수동으로 계정을 활성화할 수 있습니다. 예를 들어 관리자 계정은 활성화할 계정을 선택하려고 할 수 있습니다. 활성화되지 않은 멤버 계정 활성화 섹션을 참조하십시오.

    참고로 Detective는 2021년 5월 12일부터 활성화되지 않음 상태의 계정을 자동으로 활성화하기 시작했습니다. 이전에 활성화되지 않음 상태의 계정은 자동으로 활성화되지 않습니다. 관리자 계정이 수동으로 활성화해야 합니다.

동작 그래프에 개별 계정 초대(콘솔)

동작 그래프에 데이터를 제공하도록 초대할 멤버 계정을 수동으로 지정할 수 있습니다.

초대할 멤버 계정 수동으로 선택(콘솔)

  1. https://console.aws.amazon.com/detective/에서 Amazon Detective 콘솔을 엽니다.

  2. Detective 탐색 창에서 계정 관리를 선택합니다.

  3. 작업을 선택합니다. 그런 당므 계정 초대를 선택합니다.

  4. 계정 추가에서 개별 계정 추가를 선택합니다.

  5. 초대 목록에 멤버 계정을 추가하려면 다음 단계를 수행합니다.

    1. 계정 추가를 선택합니다.

    2. AWS 계정 ID에는 계정 ID를 입력합니다. AWS

    3. 이메일 주소에 계정의 루트 사용자 이메일 주소를 입력합니다.

  6. 목록에서 계정을 제거하려면 해당 계정에 대해 제거를 선택합니다.

  7. 초대 이메일 개인화에서 초대 이메일에 포함할 사용자 지정 콘텐츠를 추가합니다.

    예를 들어 이 영역을 사용하여 연락처 정보를 제공할 수 있습니다. 또는 이를 사용하여 멤버 계정에 필요한 IAM 정책을 사용자 또는 역할에 연결해야 초대를 수락할 수 있음을 알릴 수 있습니다.

  8. 멤버 계정 IAM 정책에는 멤버 계정에 필요한 IAM 정책 텍스트가 포함되어 있습니다. 이메일 초대에는 이 정책 텍스트가 포함되어 있습니다. 정책 텍스트를 복사하려면 복사를 선택합니다.

  9. [Invite]를 선택합니다.

멤버 계정 목록을 동작 그래프에 초대(콘솔)

Detective 콘솔에서 동작 그래프에 초대할 멤버 계정 목록이 포함된 .csv 파일을 제공할 수 있습니다.

파일의 첫 번째 행은 헤더 행입니다. 그러면 각 계정이 별도의 행에 나열됩니다. 각 구성원 계정 항목에는 AWS 계정 ID와 계정의 루트 사용자 이메일 주소가 포함됩니다.

예제

Account ID,Email address
111122223333,srodriguez@example.com
444455556666,rroe@example.com

계정 상태가 확인 실패가 아닌 한 Detective는 파일을 처리할 때 이미 초대된 계정을 무시합니다. 이 상태는 계정에 제공된 이메일 주소가 계정의 루트 사용자 이메일 주소와 일치하지 않았음을 나타냅니다. 이 경우 Detective는 원래 초대장을 삭제하고 이메일 주소를 확인하고 초대장을 보내려고 다시 시도합니다.

이 옵션은 계정 목록을 생성하는 데 사용할 수 있는 템플릿도 제공합니다.

.csv 목록에서 멤버 계정 초대(콘솔)

  1. https://console.aws.amazon.com/detective/에서 Amazon Detective 콘솔을 엽니다.

  2. Detective 탐색 창에서 계정 관리를 선택합니다.

  3. 작업을 선택합니다. 그런 당므 계정 초대를 선택합니다.

  4. 계정 추가에서 .csv에서 추가를 선택합니다.

  5. 작업할 템플릿 파일을 다운로드하려면 .csv 템플릿 다운로드를 선택합니다.

  6. 계정 목록이 포함된 파일을 선택하려면 .csv 파일 선택을 선택합니다.

  7. 멤버 계정 검토에서 Detective가 파일에서 찾은 멤버 계정 목록을 확인합니다.

  8. 초대 이메일 개인화에서 초대 이메일에 포함할 사용자 지정 콘텐츠를 추가합니다.

    예를 들어 연락처 정보를 제공하거나 멤버 계정에 필요한 IAM 정책을 상기시킬 수 있습니다.

  9. 멤버 계정 IAM 정책에는 멤버 계정에 필요한 IAM 정책 텍스트가 포함되어 있습니다. 이메일 초대에는 이 정책 텍스트가 포함되어 있습니다. 정책 텍스트를 복사하려면 복사를 선택합니다.

  10. [Invite]를 선택합니다.

행동 그래프에 회원 계정 초대하기 (Detective API,) AWS CLI

Detective API 또는 를 사용하여 회원 계정을 초대하여 행동 그래프에 데이터를 제공할 수 있습니다. AWS Command Line Interface 요청에 사용할 동작 그래프의 ARN을 가져오려면 ListGraphs 작업을 사용합니다.

회원 계정을 행동 그래프에 초대하려면 (Detective API,) AWS CLI

  • Detective API: CreateMembers 작업을 사용합니다. 그래프 ARN을 제공해야 합니다. 각 계정에 대해 계정 식별자와 루트 사용자 이메일 주소를 지정합니다.

    멤버 계정에 초대 이메일을 보내지 않으려면 DisableEmailNotification을 true로 설정합니다. 기본적으로 DisableEmailNotification은 false입니다.

    초대 이메일을 보내는 경우 초대 이메일에 추가할 사용자 지정 텍스트를 선택적으로 제공할 수 있습니다.

  • AWS CLI: 명령줄에서 create-members 명령을 실행합니다.

    aws detective create-members --accounts AccountId=<AWS account ID>,EmailAddress=<root user email address> --graph-arn <behavior graph ARN> --message "<Custom message text>"

    aws detective create-members --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --message "This is Paul Santos. I need to add your account to the data we use for security investigation in Amazon Detective. If you have any questions, contact me at psantos@example.com."

    멤버 계정에 초대 이메일을 보내지 않도록 지정하려면 --disable-email-notification을 포함합니다.

    aws detective create-members --accounts AccountId=<AWS account ID>,EmailAddress=<root user email address> --graph-arn <behavior graph ARN> --disable-email-notification

    aws detective create-members --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --disable-email-notification

지역 간 회원 계정 목록 추가 (Python 스크립트 사용 GitHub)

Detective는 다음과 같은 작업을 수행할 수 GitHub 있는 오픈 소스 스크립트를 제공합니다.

  • 지정된 리전 목록 전반에서 관리자 계정의 동작 그래프에 지정된 멤버 계정 목록을 추가합니다.

  • 관리자 계정의 리전에 동작 그래프가 없는 경우 스크립트는 또한 Detective를 활성화하고 해당 리전에 동작 그래프를 생성합니다.

  • 멤버 계정에 초대 이메일을 전송합니다.

  • 멤버 계정에 대한 초대를 자동으로 수락합니다.

GitHub 스크립트 구성 및 사용 방법에 대한 자세한 내용은 을 참조하십시오. Amazon Detective Python 스크립트를 사용하여 계정을 관리하는 방법