기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
GuardDuty 관리자 계정과 구성원 계정 간의 관계 이해
다중 계정 GuardDuty 환경에서 사용하는 경우 관리자 계정이 구성원 계정을 GuardDuty 대신하여 특정 측면을 관리할 수 있습니다. 관리자 계정이 수행할 수 있는 기본 기능은 다음과 같습니다.
-
연결된 멤버 계정을 추가 및 제거할 수 있습니다. 이러한 작업이 수행되는 프로세스는 계정이 조직을 통해 연결되었는지 또는 초대를 통해 연결되었는지에 따라 다릅니다.
-
활성화 및 일시 중지를 포함하여 연결된 구성원 계정 GuardDuty 내의 상태를 관리합니다. GuardDuty
참고
구성원으로 추가된 GuardDuty 계정에서 AWS Organizations 자동으로 활성화되도록 관리되는 위임 관리자 계정.
-
억제 규칙, 신뢰할 수 있는 IP 목록 및 위협 목록을 만들고 관리하여 GuardDuty 네트워크 내 탐지 결과를 사용자 지정합니다. 멤버 계정은 여러 계정 환경에서 이러한 기능에 액세스할 수 없습니다.
다음 표에는 GuardDuty 관리자 계정과 구성원 계정 간의 관계가 자세히 설명되어 있습니다.
이 표에서
Self - 계정은 자신의 계정에 대해서만 나열된 작업을 수행할 수 있습니다.
임의 — 계정은 모든 관련 계정에 대해 나열된 작업을 수행할 수 있습니다.
모두 — 계정은 나열된 작업을 수행할 수 있으며 이는 모든 관련 계정에 적용됩니다. 일반적으로 이 작업을 수행하는 계정은 지정된 GuardDuty 관리자 계정입니다.
대시 (-) 가 있는 표 셀은 해당 계정이 나열된 작업을 수행할 수 없음을 나타냅니다.
| 작업 | 를 통해 AWS Organizations | 초대장별 | ||
|---|---|---|---|---|
| 위임된 GuardDuty 관리자 계정 | 관련 회원 계정 | 위임된 GuardDuty 관리자 계정 | 관련 회원 계정 | |
| Enable GuardDuty | Any | – | Self | Self |
Enable GuardDuty automatically for the entire organization (ALL, NEW, NONE) |
All | – | – | – |
| View all Organizations member accounts regardless of GuardDuty status | Any | – | – | – |
| Generate sample findings | Self | Self | Self | Self |
| View all GuardDuty findings | Any | Self | Any | Self |
| Archive GuardDuty findings | Any | – | Any | – |
| Apply suppression rules | All | – | All | – |
| Create trusted IP list or threat lists | All | – | All | – |
| Update trusted IP list or threat lists | All | – | All | – |
| Delete trusted IP list or threat lists | All | – | All | – |
| Set EventBridge notification frequency | All | – | All | Self |
| Set Amazon S3 location for exporting findings | All | – | All | Self |
Enable one or more optional protection plans for the entire organization (ALL, NEW, NONE) |
All | – | – | – |
| Enable any GuardDuty protection plan for individual accounts | Any | – | Any | Self |
| Disassociate a member account | Any | – | Any | – |
| Disassociate from an administrator account account | – | Self# | – | Self |
| Delete a disassociated member account | Any | – | Any | – |
| Suspend GuardDuty | Any* | – | Any* | – |
| Disable GuardDuty | Any* | – | Any* | – |
# 위임된 GuardDuty 관리자 계정이 기관 구성원에 대한 자동 활성화 기본 설정을 지정하지 않은 경우에만 계정에서 이 작업을 수행할 수 있음을 나타냅니다.
ALL* 이 계정을 사용하기 전에 모든 관련 계정에 대해 이 작업을 수행해야 함을 나타냅니다. 이러한 계정을 분리한 후에는 해당 계정을 삭제해야 합니다. 조직에서 이러한 작업을 수행하는 방법에 대한 자세한 내용은 을 참조하십시오조직 내에서 조직 유지 관리 GuardDuty.
