를 통한 GuardDuty 계정 관리 AWS Organizations

조직에서 사용하는 GuardDuty 경우 해당 AWS 조직의 관리 계정은 조직 내 모든 계정을 GuardDuty 위임된 관리자 계정으로 지정할 수 있습니다. 이 관리자 계정의 경우 지정된 계정에서만 자동으로 GuardDuty 활성화됩니다. AWS 리전또한 이 계정에는 해당 지역 내 조직의 모든 계정을 활성화하고 관리할 GuardDuty 수 있는 권한이 있습니다. 관리자 계정은 이 AWS 기관의 구성원을 보고 구성원을 추가할 수 있습니다.

초대를 통해 연결된 구성원 계정이 있는 GuardDuty 관리자 계정을 이미 설정했고 구성원 계정이 같은 조직에 속해 있는 경우, 조직에 위임된 GuardDuty 관리자 계정을 설정하면 계정 유형이 초대의에서 Via Organizations로 변경됩니다. 위임된 GuardDuty 관리자 계정이 이전에 초대를 통해 동일한 조직에 속하지 않은 구성원을 추가한 경우, 해당 유형은 초대를 통해 유지됩니다. 두 경우 모두 이전에 추가된 계정은 조직의 위임된 GuardDuty 관리자 계정과 연결된 구성원 계정입니다.

조직 외부에 있는 경우에도 계정을 계속 멤버로 추가할 수 있습니다. 자세한 내용은 초대를 통한 계정 추가 및 관리 또는 콘솔을 사용하여 위임된 GuardDuty 관리자 계정을 지정하고 구성원을 관리합니다. GuardDuty 을 참조하세요.

내용

• GuardDuty 위임된 관리자 계정을 지정할 때의 고려 사항 및 권장 사항
• 위임된 GuardDuty 관리자 계정을 지정하는 데 필요한 권한
• 콘솔을 사용하여 위임된 GuardDuty 관리자 계정을 지정하고 구성원을 관리합니다. GuardDuty
• API를 사용하여 GuardDuty 위임된 GuardDuty 관리자 계정을 지정하고 구성원을 관리합니다.
• 조직 내에서 조직 유지 관리 GuardDuty
• 위임된 GuardDuty 관리자 계정 변경

GuardDuty 위임된 관리자 계정을 지정할 때의 고려 사항 및 권장 사항

다음 고려 사항 및 권장 사항은 위임된 GuardDuty 관리자 계정이 어떻게 운영되는지 이해하는 데 도움이 될 수 있습니다. GuardDuty

위임된 GuardDuty 관리자 계정은 최대 50,000명의 구성원을 관리할 수 있습니다.

위임된 GuardDuty 관리자 계정당 회원 계정은 50,000개로 제한됩니다. 여기에는 통해 추가된 구성원 계정 AWS Organizations 또는 GuardDuty 관리자 계정의 기관 가입 초대를 수락한 사용자가 포함됩니다. 하지만 AWS 조직에 50,000개 이상의 계정이 있을 수 있습니다.

50,000개의 멤버 계정 한도를 초과하는 경우 지정된 위임된 GuardDuty 관리자 계정으로부터 CloudWatch 알림 및 이메일을 받게 됩니다. AWS Health Dashboard

위임된 GuardDuty 관리자 계정은 지역별 계정입니다.

반면 AWS Organizations, GuardDuty 은 지역 서비스입니다. 위임된 GuardDuty 관리자 계정과 해당 구성원 계정을 GuardDuty 활성화한 각 원하는 지역을 통해 AWS Organizations 추가해야 합니다. 조직 관리 계정이 미국 동부 (버지니아 북부) 에서만 위임된 GuardDuty 관리자 계정을 지정하는 경우 위임된 GuardDuty 관리자 계정은 해당 지역의 조직에 추가된 구성원 계정만 관리합니다. 사용 가능한 지역의 기능 패리티에 대한 자세한 내용은 을 참조하십시오. GuardDuty 리전 및 엔드포인트

옵트인 지역의 특수 사례

• 위임된 GuardDuty 관리자 계정이 옵트인 지역에서 옵트아웃하는 경우, 조직의 GuardDuty 자동 활성화 구성이 새 멤버 계정만 (NEW) 또는 모든 멤버 계정 () 으로 설정되어 있더라도 조직의 현재 비활성화된 멤버 계정에 대해서는 GuardDuty 활성화할 수 없습니다. ALL GuardDuty 멤버 계정 구성에 대한 자세한 내용을 보려면 GuardDuty 콘솔 탐색 창에서 계정을 열거나 API를 사용하십시오. ListMembers

• GuardDuty 자동 활성화 구성을 로 NEW 설정한 상태에서 작업할 때는 다음 순서가 충족되는지 확인하십시오.

  1. 멤버 계정은 옵트인 지역을 선택합니다.

  2. 에서 회원 계정을 조직에 추가합니다. AWS Organizations

  이러한 단계의 순서를 변경하면 특정 옵트인 지역에서 GuardDuty 자동 활성화 설정이 작동하지 않습니다. 이는 해당 구성원 계정이 조직에 더 이상 처음 추가되지 않기 때문입니다. NEW GuardDuty 다음과 같은 두 가지 대체 솔루션을 제공합니다.

  • GuardDuty 자동 활성화 구성을 신규 및 기존 회원 계정을 포함하는 로 ALL 설정합니다. 이 경우 이러한 단계의 순서는 중요하지 않습니다.

  • 구성원 계정이 이미 조직에 속해 있는 경우 GuardDuty 콘솔 또는 API를 사용하여 특정 옵트인 지역에서 이 계정의 GuardDuty 구성을 개별적으로 관리하십시오.

모든 AWS 조직에서 동일한 위임 GuardDuty 관리자 계정을 사용하는 것이 좋습니다. AWS 리전

활성화한 모든 AWS 리전 위치에서 조직에 동일한 위임 GuardDuty 관리자 계정을 지정하는 것이 좋습니다. GuardDuty 한 지역에서 계정을 위임된 GuardDuty 관리자 계정으로 지정하는 경우 다른 모든 지역의 위임된 GuardDuty 관리자 계정과 동일한 계정을 사용하는 것이 좋습니다.

언제든지 새 위임된 GuardDuty 관리자 계정을 지정할 수 있습니다. 기존의 위임된 GuardDuty 관리자 계정을 제거하는 방법에 대한 자세한 내용은 을 참조하십시오. 위임된 GuardDuty 관리자 계정 변경

조직의 관리 계정을 위임된 GuardDuty 관리자 계정으로 설정하는 것은 권장되지 않습니다.

조직의 관리 계정은 위임된 GuardDuty 관리자 계정일 수 있습니다. 하지만 AWS 보안 모범 사례는 최소 권한 원칙을 따르므로 이 구성을 권장하지 않습니다.

위임된 GuardDuty 관리자 계정을 변경해도 구성원 계정은 GuardDuty 비활성화되지 않습니다.

위임된 GuardDuty 관리자 계정을 제거하면 이 GuardDuty 위임된 관리자 계정과 연결된 모든 구성원 계정이 GuardDuty 제거됩니다. GuardDuty 이 모든 회원 계정에는 여전히 활성화되어 있습니다.