Amazon Macie에서의 조직 통합 및 구성 - Amazon Macie
1단계: 권한 확인2단계: 위임된 Macie 관리자 계정 지정3단계: 새 조직 계정을 자동으로 활성화하고 추가4단계: 기존 조직 계정을 활성화하고 추가

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Macie에서의 조직 통합 및 구성

Amazon Macie를 사용하여 시작하려면 조직의 AWS Organizations 관리 계정이 계정을 조직의 위임된 Macie 관리자 계정으로 지정합니다. AWS Organizations이를 통해 Macie는 에서 신뢰할 수 있는 서비스가 될 수 있습니다. AWS Organizations또한 현재 AWS 리전 에서 Macie는 지정된 관리자 계정을 사용할 수 있게 되며, 지정된 관리자 계정은 해당 리전의 조직 내 다른 계정에 대해 Macie를 활성화하고 관리할 수 있습니다. 이러한 권한이 부여되는 방법에 대한 자세한 내용은 사용 설명서의AWS Organizations 다른 AWS OrganizationsAWS 서비스사람과 함께 사용을 참조하십시오.

그런 다음, 위임된 Macie 관리자는 주로 조직의 계정을 해당 리전의 Macie 멤버 계정으로 추가하여 Macie에서 조직을 구성합니다. 그러면 관리자는 해당 리전의 해당 계정에 대한 특정 Macie 설정, 데이터 및 리소스에 액세스할 수 있습니다. 또한 민감한 데이터를 자동으로 검색하고 민감한 데이터 검색 작업을 실행하여 계정이 소유한 Amazon Simple Storage Service (Amazon S3) 버킷의 민감한 데이터를 탐지할 수 있습니다.

이 항목에서는 조직의 위임된 Macie 관리자를 지정하는 방법과 조직의 계정을 Macie 멤버 계정으로 추가하는 방법에 대해 설명합니다. 이러한 작업을 수행하기 전에 관리자 계정과 멤버 계정 간의 관계를 이해해야 합니다. Macie와 함께 사용할 때의 고려 사항 및 권장 사항을 검토하는 것도 좋습니다. AWS Organizations

조직을 여러 지역으로 통합하고 구성하려면 AWS Organizations 관리 계정과 위임된 Macie 관리자가 각 추가 지역에서 이 단계를 반복합니다.

1단계: 권한 확인

조직의 위임된 Macie 관리자 계정을 지정하기 전에 AWS Organizations 관리 계정의 사용자로서 다음과 같은 Macie 작업을 수행할 수 있는지 확인하십시오. macie2:EnableOrganizationAdminAccount 이 작업을 수행하면 Macie를 사용하여 조직의 위임된 Macie 관리자 계정을 지정할 수 있습니다.

또한 다음 작업을 수행할 수 있는지 확인하십시오. AWS Organizations

  • organizations:DescribeOrganization

  • organizations:EnableAWSServiceAccess

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:RegisterDelegatedAdministrator

이러한 작업을 통해 조직에 대한 정보를 검색하고, Macie를 통합하고, 통합한 정보를 검색하고, 조직에 위임된 Macie 관리자 계정을 지정할 수 있습니다 AWS Organizations. AWS Organizations AWS 서비스

이러한 권한을 부여하려면 계정의 AWS Identity and Access Management (IAM) 정책에 다음 내용을 포함하세요.

{
   "Sid": "Grant permissions to designate a delegated Macie administrator",
   "Effect": "Allow",
   "Action": [
      "macie2:EnableOrganizationAdminAccount",
      "organizations:DescribeOrganization",
      "organizations:EnableAWSServiceAccess",
      "organizations:ListAWSServiceAccessForOrganization",
      "organizations:RegisterDelegatedAdministrator"
   ],
   "Resource": "*"
}

AWS Organizations 관리 계정을 조직의 위임된 Macie 관리자 계정으로 지정하려면 계정에 다음과 같은 IAM 작업을 수행할 수 있는 권한도 필요합니다. CreateServiceLinkedRole 이 작업을 통해 관리 계정에 대해 Macie를 활성화할 수 있습니다. 하지만 AWS 보안 모범 사례와 최소 권한 원칙에 따라 이렇게 하지 않는 것이 좋습니다.

이 권한을 부여하려면 AWS Organizations 관리 계정의 IAM 정책에 다음 설명을 추가하세요.

{
   "Sid": "Grant permissions to enable Macie",
   "Effect": "Allow",
   "Action": [
      "iam:CreateServiceLinkedRole"
   ],
   "Resource": "arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie",
   "Condition": {
      "StringLike": {
         "iam:AWSServiceName": "macie.amazonaws.com"
      }
   }
}

명세서에서 111122223333을 관리 계정의 계정 ID로 바꿉니다.

옵트인 AWS 리전 (기본적으로 비활성화된 지역) 으로 Macie를 관리하려면 요소 및 조건의 Macie 서비스 보안 주체 값도 업데이트하십시오Resource. iam:AWSServiceName 값은 해당 리전의 리전 코드를 지정해야 합니다. 예를 들어, 리전 코드가 me-south-1인 중동(바레인) 리전에서 Macie를 관리하려면 다음과 같이 하세요.

  • Resource 요소의 경우 다음을 변경합니다.

    arn:aws:iam::111122223333:role/aws-service-role/macie.amazonaws.com/AWSServiceRoleForAmazonMacie

    with

    arn:aws:iam::111122223333:role/aws-service-role/macie.me-south-1.amazonaws.com/AWSServiceRoleForAmazonMacie

    여기서 111122223333은 관리 계정의 계정 ID를 지정하고 me-south-1은 해당 리전의 리전 코드를 지정합니다.

  • iam:AWSServiceName 조건에서 macie.amazonaws.commacie.me-south-1.amazonaws.com으로 바꿉니다. 여기서 me-south-1은 해당 리전의 리전 코드를 지정합니다.

현재 Macie를 사용할 수 있는 리전 목록 및 각 리전의 지역 코드는 AWS 일반 참조Amazon Macie 엔드포인트 및 할당량을 참조하세요. 옵트인 리전에 대한 자세한 내용은 AWS Account Management 참조 안내서에서 Specifying which AWS 리전 your account can use를 참조하세요.

2단계: 조직의 마스터 계정만 위임된 Macie 관리자 지정

권한을 확인한 후에는 AWS Organizations 관리 계정의 사용자로서 조직의 위임된 Macie 관리자 계정을 지정할 수 있습니다.

조직의 위임된 Macie 관리자 계정을 지정하려면

조직의 위임된 Macie 관리자 계정을 지정하려면 Amazon Macie 콘솔 또는 Amazon Macie API를 사용할 수 있습니다. AWS Organizations 관리 계정의 사용자만 이 작업을 수행할 수 있습니다.

Console

위임된 Macie 관리자를 지정하고 Amazon Macie 콘솔을 사용하여 멤버 계정을 추가하려면 다음 단계를 수행하세요.

위임된 Macie 관리자 계정을 지정하려면

  1. AWS Organizations 관리 계정을 AWS Management Console 사용하여 로그인합니다.

  2. 페이지 오른쪽 상단의 AWS 리전 선택기를 사용하여 조직의 위임된 Macie 관리자 계정을 지정할 지역을 선택합니다.

  3. https://console.aws.amazon.com/macie/에서 Amazon Macie 콘솔을 엽니다.

  4. 현재 리전의 관리 계정에 대해 Macie가 활성화되어 있는지 여부에 따라 다음 중 하나를 수행합니다.

    • Macie가 활성화되지 않은 경우 시작 페이지에서 시작하기를 선택합니다.

    • Macie가 활성화된 경우 탐색 창에서 설정을 선택합니다.

  5. 위임된 관리자에서 Macie 관리자 계정으로 AWS 계정 지정하려는 12자리 계정 ID를 입력합니다.

  6. 위임을 선택합니다.

조직을 Macie와 통합하려는 각각의 추가 리전에 대해 이전 단계를 반복합니다. 각 리전에서 동일한 Macie 관리자 계정을 지정해야 합니다.

API

위임된 Macie 관리자 계정을 프로그래밍 방식으로 지정하려면 Amazon Macie API의 EnableOrganizationAdminAccount작업을 사용하십시오. 계정을 여러 리전으로 지정하려면 조직을 Macie와 통합하려는 각 리전에 대해 계정을 지정하여 제출합니다. 각 리전에서 동일한 Macie 관리자 계정을 지정해야 합니다.

지정을 제출할 때는 필수 adminAccountId 매개 변수를 사용하여 조직의 Macie 관리자 계정으로 지정할 12자리 계정 ID를 지정하십시오. AWS 계정 또한 지정이 적용되는 리전을 지정해야 합니다.

AWS Command Line Interface (AWS CLI) 를 사용하여 Macie 관리자 계정을 지정하려면 명령을 실행합니다. enable-organization-admin-account admin-account-id매개 변수에 대해 지정할 12자리 계정 ID를 지정합니다. AWS 계정 region 파라미터를 사용하여 지정이 적용되는 리전을 지정합니다. 예:

C:\> aws macie2 enable-organization-admin-account --region us-east-1 --admin-account-id 111122223333

여기서 us-east-1은 지정이 적용되는 리전(미국 동부(버지니아 북부) 리전)이고 111122223333은 지정할 계정의 계정 ID입니다.

조직의 Macie 관리자 계정을 지정한 후, Macie 관리자는 Macie에서 조직 구성을 시작할 수 있습니다.

3단계: 새 조직 계정을 Macie 멤버 계정으로 자동으로 추가하고 활성화

기본적으로, Macie는 새 계정을 AWS Organizations의 조직에 추가할 때 새 계정이 자동으로 활성화되지 않습니다. 또한 계정은 Macie 멤버 계정으로 자동으로 추가되지 않습니다. 계정은 Macie 관리자의 계정 인벤토리에 표시됩니다. 하지만 Macie가 반드시 계정에 활성화되어 있는 것은 아니며 Macie 관리자가 계정의 Macie 설정, 데이터 및 리소스에 반드시 액세스할 수 있는 것도 아닙니다.

조직의 위임 Macie 관리자인 경우 이 구성 설정을 변경할 수 있습니다. 조직의 자동 활성화 기능을 켤 수 있습니다. 이렇게 하면 계정이 조직에 추가될 때 Macie가 새 계정을 자동으로 사용할 수 있게 되며 AWS Organizations, 해당 계정은 구성원 계정으로 Macie 관리자 계정에 자동으로 연결됩니다. 이 설정을 켜도 조직의 기존 계정에는 영향을 주지 않습니다. 기존 계정에 대해 Macie를 활성화하고 관리하려면 계정을 Macie 멤버 계정으로 수동으로 추가해야 합니다. 다음 단계에서는 이 작업을 수행하는 방법을 설명합니다.

참고

자동 활성화를 켜는 경우 다음 예외 사항에 유의하십시오.

  • 새 계정이 이미 다른 Macie 관리자 계정과 연결되어 있는 경우 Macie는 해당 계정을 조직의 멤버 계정으로 자동으로 추가하지 않습니다.

    계정을 현재 Macie 관리자 계정에서 분리해야 Macie에 있는 조직의 일부가 될 수 있습니다. 그런 다음, 계정을 수동으로 추가할 수 있습니다. 이러한 경우에 해당하는 계정을 식별하려면 조직의 계정 인벤토리를 검토하면 됩니다.

  • 조직의 Macie 구성원 계정 할당량이 10,000개에 도달하면 Macie는 AWS 리전해당 지역에서 이 설정을 자동으로 끕니다.

    이 경우 Macie 관리자 계정을 위한 Amazon CloudWatch 이벤트를 AWS Health 생성하여 알려드립니다. 또한 해당 계정과 연결된 주소로도 이메일을 보내 드립니다. 이후 총 계정 수가 10,000개 미만으로 줄어들면 Macie는 자동으로 설정을 다시 설정합니다.

새 조직 계정을 Macie 멤버 계정으로 자동으로 활성화하고 추가하려면

새 계정을 Macie 멤버 계정으로 자동으로 활성화하고 추가하려면 Amazon Macie 콘솔 또는 Amazon Macie API를 사용할 수 있습니다. 조직의 위임된 Macie 관리자만 이 작업을 수행할 수 있습니다.

Console

콘솔을 사용하여 이 작업을 수행하려면 다음 AWS Organizations organizations:ListAccounts 작업을 수행할 수 있어야 합니다. 이 작업을 통해 조직의 계정에 대한 정보를 검색하고 표시할 수 있습니다. 이러한 권한이 있는 경우 다음 단계에 따라 새 조직 계정을 Macie 멤버 계정으로 자동으로 활성화하고 추가합니다.

새 조직 계정을 자동으로 활성화하고 추가하려면

  1. https://console.aws.amazon.com/macie/에서 Amazon Macie 콘솔을 엽니다.

  2. 페이지 오른쪽 상단의 AWS 리전 선택기를 사용하여 자동으로 활성화하려는 지역을 선택하고 새 계정을 Macie 회원 계정으로 추가합니다.

  3. 탐색 창에서 Accounts(계정)를 선택합니다.

  4. 계정 페이지의 새 계정 섹션에서 편집을 선택합니다.

  5. 새 계정의 설정 편집 대화 상자에서 Macie 활성화를 선택합니다.

    또한 새 구성원 계정에 대해 민감한 데이터 자동 검색을 활성화하려면 민감한 데이터 자동 검색 활성화를 선택합니다. 계정에 이 기능을 활성화하면 Macie는 계속해서 계정의 S3 버킷에서 샘플 객체를 선택하고 객체를 분석하여 민감한 데이터가 포함되어 있는지 확인합니다. 자세한 정보는 민감한 데이터 자동 검색 수행을 참조하세요.

  6. 저장(Save)을 선택합니다.

Macie에서 조직을 구성하려는 각각의 추가 리전에 대해 이전 단계를 반복합니다.

이후에 이러한 설정을 변경하려면 이전 단계를 반복하고 각 설정의 확인란을 지우십시오.

API

프로그래밍 방식으로 새 Macie 회원 계정을 자동으로 활성화하고 추가하려면 Amazon Macie UpdateOrganizationConfigurationAPI의 작업을 사용하십시오. 요청을 제출할 때 autoEnable 파라미터 값을 true로 설정합니다. (기본값은 false입니다.) 또한 해당 요청이 적용되는 리전을 지정해야 합니다. 추가 리전에서 새 계정을 자동으로 활성화하고 추가하려면 각 추가 리전에 대한 요청을 제출하세요.

를 사용하여 요청을 AWS CLI 제출하는 경우, update-organization-configuration명령을 실행하고 새 계정을 자동으로 활성화하고 추가하는 auto-enable 파라미터를 지정합니다. 예:

$ aws macie2 update-organization-configuration --region us-east-1 --auto-enable

여기서 us-east-1은 새 계정을 자동으로 활성화하고 추가하는 리전, 즉 미국 동부(버지니아 북부) 리전을 나타냅니다.

이후에 이 설정을 변경하고 새 계정을 자동으로 활성화하거나 추가하는 것을 중지하려면 동일한 명령을 다시 실행하고 해당하는 각 리전에서 auto-enable 파라미터 대신 no-auto-enable 파라미터를 사용하세요.

새 회원 계정에 대해 민감한 데이터 자동 검색을 자동으로 활성화할 수도 있습니다. 계정에 이 기능을 활성화하면 Macie는 계속해서 계정의 S3 버킷에서 샘플 객체를 선택하고 객체를 분석하여 민감한 데이터가 포함되어 있는지 확인합니다. 자세한 정보는 민감한 데이터 자동 검색 수행을 참조하세요. 멤버 계정에 대해 이 기능을 자동으로 활성화하려면 UpdateAutomatedDiscoveryConfiguration작업을 사용하거나, 를 사용하는 경우 명령을 실행하십시오. AWS CLIupdate-automated-discovery-configuration

4단계: 기존 조직 계정을 Macie 멤버 계정으로 활성화하고 추가

Macie와 AWS Organizations통합할 때 Macie는 조직의 기존 계정 중 일부가 자동으로 활성화되지 않습니다. 또한 계정은 Macie 멤버 계정으로 위임된 Macie 관리자 계정에 자동으로 연결되지 않습니다. 따라서 Macie에서 조직을 통합하고 구성하는 마지막 단계는 기존 조직 계정을 Macie 멤버 계정으로 추가하는 것입니다. 기존 계정을 Macie 멤버 계정으로 추가하면 해당 계정이 자동으로 활성화되고 위임된 Macie 관리자인 사용자는 계정의 특정 Macie 설정, 데이터 및 리소스에 액세스할 수 있습니다.

현재 다른 Macie 관리자 계정과 연결되어 있는 계정은 추가할 수 없다는 점에 유의하세요. 계정을 추가하려면 먼저 계정 소유자와 협의해 현재 관리자 계정에서 계정 연결을 해제하세요. 또한 Macie가 현재 해당 계정에 대해 일시 중단 상태인 경우 기존 계정을 추가할 수 없습니다. 계정 소유자는 먼저 계정에 대해 Macie를 다시 활성화해야 합니다. 마지막으로, AWS Organizations 관리 계정을 멤버 계정으로 추가하려면 해당 계정의 사용자가 먼저 해당 계정에 대해 Macie를 활성화해야 합니다.

기존 조직 계정을 Macie 멤버 계정으로 활성화하고 추가하려면

기존 조직 계정을 Macie 멤버 계정으로 활성화하고 추가하려면 Amazon Macie 콘솔 또는 Amazon Macie API를 사용할 수 있습니다. 조직의 위임된 Macie 관리자만 이 작업을 수행할 수 있습니다.

Console

콘솔을 사용하여 이 작업을 수행하려면 다음 AWS Organizations 작업을 수행할 수 있어야 합니다. organizations:ListAccounts 이 작업을 통해 조직의 계정에 대한 정보를 검색하고 표시할 수 있습니다. 이러한 권한이 있는 경우 다음 단계에 따라 기존 계정을 Macie 멤버 계정으로 활성화하고 추가하세요.

기존 조직 계정을 활성화하고 추가하려면

  1. https://console.aws.amazon.com/macie/에서 Amazon Macie 콘솔을 엽니다.

  2. 페이지 오른쪽 상단의 AWS 리전 선택기를 사용하여 활성화하려는 지역을 선택하고 기존 계정을 Macie 회원 계정으로 추가합니다.

  3. 탐색 창에서 Accounts(계정)를 선택합니다.

    계정 페이지가 열리고 Macie 계정과 연결된 계정 테이블이 표시됩니다. 계정이 조직의 일부인 경우 유형은 AWS Organizations Via입니다. AWS Organizations 계정이 이미 Macie 회원 계정인 경우 상태는 활성화됨으로 표시됩니다.

  4. 계정 테이블에서, Macie 멤버 계정으로 추가하려는 각 계정의 확인란을 선택합니다.

  5. 작업 메뉴에서 멤버 추가를 선택합니다.

  6. 선택한 계정 수를 멤버 계정으로 추가할 것임을 확인합니다.

선택한 계정의 추가를 확인하면 계정 상태가 활성화 진행 중으로 변경되고 다시 활성화됨으로 변경됩니다. 멤버 계정을 추가한 후 계정에 대해 민감한 데이터 자동 검색을 활성화할 수도 있습니다. 계정 테이블에서 활성화할 각 계정의 확인란을 선택한 다음 작업 메뉴에서 민감한 데이터 자동 검색 활성화를 선택합니다. 계정에 대해 이 기능을 활성화하면 Macie는 계속해서 계정의 S3 버킷에서 샘플 객체를 선택하고 객체를 분석하여 민감한 데이터가 포함되어 있는지 확인합니다. 자세한 정보는 민감한 데이터 자동 검색 수행을 참조하세요.

Macie에서 조직을 구성하려는 각각의 추가 리전에 대해 이전 단계를 반복합니다.

API

하나 이상의 기존 계정을 프로그래밍 방식으로 활성화하고 Macie 멤버 계정으로 추가하려면 Amazon Macie CreateMemberAPI의 작업을 사용하십시오. 요청을 제출할 때 지원되는 매개 변수를 사용하여 활성화하고 AWS 계정 추가할 각 계정의 12자리 계정 ID와 이메일 주소를 지정합니다. 또한 요청이 적용되는 리전을 지정합니다. 추가 리전에서 기존 계정을 활성화하고 추가하려면 각 추가 리전에 대한 요청을 제출하세요.

활성화 및 추가할 계정 ID 및 이메일 주소를 검색하려면 선택적으로 Amazon Macie API ListMembers작업을 사용할 수 있습니다. AWS 계정 이 작업을 수행하면 Macie 멤버 계정이 아닌 계정을 포함하여 Macie 계정과 연결된 계정에 대한 세부 정보가 제공됩니다. 계정의 relationshipStatus 속성 값이 Enabled가 아닌 경우 해당 계정은 Macie 멤버 계정이 아닙니다.

를 사용하여 기존 계정을 하나 이상 활성화하고 추가하려면 create-member 명령을 실행합니다. AWS CLIregion 파라미터를 사용하여 계정을 활성화하고 추가할 리전을 지정합니다. account매개변수를 사용하여 추가할 각 AWS 계정 계정의 계정 ID와 이메일 주소를 지정합니다. 예:

C:\> aws macie2 create-member --region us-east-1 --account={\"accountId\":\"123456789012\",\"email\":\"janedoe@example.com\"}

여기서 us-east-1은 계정을 Macie 멤버 계정으로 활성화하고 추가할 수 있는 리전(미국 동부(버지니아 북부) 리전)이고, account 파라미터는 계정의 계정 ID(123456789012)와 이메일 주소(janedoe@example.com)를 지정합니다.

요청이 성공하면 지정된 계정의 상태(relationshipStatus)가 계정 인벤토리에서 Enabled로 변경됩니다.

또한 하나 이상의 계정에 대해 민감한 데이터 자동 검색을 활성화하려면 BatchUpdateAutomatedDiscoveryAccounts작업을 사용하거나, 를 사용하는 경우 batch-update-automated-discovery-accounts 명령을 실행하십시오. AWS CLI계정에 대해 이 기능을 활성화하면 Macie는 계속해서 계정의 S3 버킷에서 샘플 객체를 선택하고 객체를 분석하여 민감한 데이터가 포함되어 있는지 확인합니다. 자세한 내용은 민감한 데이터 자동 검색 수행을(를) 참조하세요.