기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS CloudTrail 및 AWS Organizations
AWS CloudTrail 기업의 거버넌스, 규정 준수, 운영 및 위험 감사를 가능하게 하는 AWS 서비스입니다. AWS 계정를 사용하여 AWS CloudTrail관리 계정의 사용자는 조직 내 모든 사용자에 대한 모든 AWS 계정 이벤트를 기록하는 조직 내역을 만들 수 있습니다. 조직 추적 기록은 조직 내 모든 구성원 계정에 자동으로 적용됩니다. 구성원 계정은 조직 추적 기록을 볼 수 있지만 수정하거나 삭제할 수는 없습니다. 기본적으로 멤버 계정은 Amazon S3 버킷에 있는 조직 추적 기록에 대한 로그 파일에 액세스할 수 있는 권한이 없습니다. 이는 조직 내 계정에 걸쳐 이벤트 로깅 방식을 일관적으로 적용 및 시행하는 데 도움이 됩니다.
자세한 내용은 AWS CloudTrail 사용 설명서에서 조직에 대한 추적 생성을 참조하세요.
다음 정보를 활용하면 AWS CloudTrail 통합에 도움이 AWS Organizations됩니다.
통합 활성화 시 서비스 연결 역할 생성
신뢰할 수 있는 액세스를 활성화하면 다음 서비스 연결 역할이 조직의 관리 계정에 자동으로 생성됩니다. 이 역할을 통해 CloudTrail 조직의 조직 계정 내에서 지원되는 작업을 수행할 수 있습니다.
CloudTrail 와 Organizations 간의 신뢰할 수 있는 액세스를 비활성화하거나 조직에서 멤버 계정을 제거한 경우에만 이 역할을 삭제하거나 수정할 수 있습니다.
-
AWSServiceRoleForCloudTrail
서비스 연결 역할이 사용하는 서비스 보안 주체
앞 부분에서 다룬 서비스 연결 역할은 역할에 대해 정의된 신뢰 관계에 의해 권한이 부여되는 서비스 보안 주체만 맡을 수 있습니다. 에서 사용하는 서비스 연결 역할은 다음 서비스 주체에게 액세스 CloudTrail 권한을 부여합니다.
-
cloudtrail.amazonaws.com
CloudTrail와 상호 신뢰할 수 있는 액세스 활성화
신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한에 관한 내용은 신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한 단원을 참조하세요.
AWS CloudTrail 콘솔에서 트레일을 만들어 신뢰할 수 있는 액세스를 활성화하면 신뢰할 수 있는 액세스가 자동으로 구성됩니다 (권장). AWS Organizations 콘솔을 사용하여 신뢰할 수 있는 액세스를 활성화할 수도 있습니다. 조직 내역을 만들려면 AWS Organizations 관리 계정으로 로그인해야 합니다.
AWS CLI 또는 AWS API를 사용하여 조직 트레일을 생성하기로 선택한 경우 신뢰할 수 있는 액세스를 수동으로 구성해야 합니다. 자세한 내용은 사용 AWS CloudTrail 설명서의 신뢰할 수 AWS Organizations있는 CloudTrail 서비스로 활성화를 참조하십시오.
중요
가능하면 AWS CloudTrail 콘솔이나 도구를 사용하여 Organizations와의 통합을 활성화하는 것이 좋습니다.
Organizations AWS CLI 명령을 실행하거나 AWS SDK 중 하나에서 Organizations API 작업을 호출하여 신뢰할 수 있는 액세스를 활성화할 수 있습니다.
CloudTrail와 상호 신뢰할 수 있는 액세스 비활성화
신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한에 관한 내용은 신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한 단원을 참조하세요.
AWS CloudTrail 조직 트레일 및 조직 이벤트 데이터 저장소를 사용하려면 신뢰할 수 있는 AWS Organizations 액세스가 필요합니다. 사용 AWS Organizations 중에 을 사용하여 신뢰할 수 있는 액세스를 비활성화하면 기관에 접근할 CloudTrail 수 없으므로 구성원 계정의 조직 트레일이 모두 삭제됩니다. AWS CloudTrail모든 관리 계정 조직 트레일 및 조직 이벤트 데이터 저장소는 계정 수준 트레일 및 이벤트 데이터 저장소로 변환됩니다. 계정 간의 CloudTrail 통합을 위해 생성된 AWSServiceRoleForCloudTrail 역할은 계정 내에서 AWS Organizations 유지됩니다. 신뢰할 수 있는 액세스를 다시 CloudTrail 활성화하면 기존 트레일 및 이벤트 데이터 저장소에 대해 조치를 취하지 않습니다. 관리 계정은 모든 계정 수준의 트레일 및 이벤트 데이터 저장소를 업데이트하여 조직에 적용해야 합니다.
계정 수준의 트레일 또는 이벤트 데이터 저장소를 조직 트레일 또는 조직 이벤트 데이터 저장소로 변환하려면 다음을 수행하십시오.
-
CloudTrail 콘솔에서 트레일 또는 이벤트 데이터 저장소를 업데이트하고 내 조직의 모든 계정에 대해 활성화 옵션을 선택합니다.
-
에서 AWS CLI다음을 수행하십시오.
-
트레일을 업데이트하려면 update-trail명령을 실행하고
--is-organization-trail파라미터를 포함시키십시오. -
이벤트 데이터 저장소를 업데이트하려면 update-event-data-store명령을 실행하고
--organization-enabled파라미터를 포함시키십시오.
-
AWS Organizations 관리 계정의 관리자만 신뢰할 수 있는 액세스를 비활성화할 수 AWS CloudTrail있습니다. AWS Organizations 콘솔을 사용하거나 Organizations AWS CLI 명령을 실행하거나 SDK 중 하나에서 Organizations API 작업을 호출하여 Organizations 도구를 통해서만 신뢰할 수 있는 액세스를 비활성화할 수 있습니다. AWS
AWS Organizations 콘솔을 사용하거나 Organizations AWS CLI 명령을 실행하거나 AWS SDK 중 하나에서 Organizations API 작업을 호출하여 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.
다음에 대해 위임된 관리자 계정을 활성화합니다. CloudTrail
CloudTrail Organizations와 함께 사용하면 조직 내 모든 계정을 등록하여 조직을 대신하여 조직의 트레일 및 이벤트 데이터 저장소를 관리하는 CloudTrail 위임된 관리자 역할을 할 수 있습니다. 위임된 관리자는 관리 계정과 동일한 관리 작업을 수행할 수 있는 조직의 구성원 계정입니다. CloudTrail
최소 권한
Organizations 관리 계정의 관리자만 위임된 관리자를 등록할 수 있습니다. CloudTrail
CloudTrail 콘솔을 사용하거나 Organizations RegisterDelegatedAdministrator CLI 또는 SDK 작업을 사용하여 위임된 관리자 계정을 등록할 수 있습니다. CloudTrail 콘솔을 사용하여 위임된 관리자를 등록하려면 위임된 관리자 추가를 참조하십시오. CloudTrail
에 대해 위임된 관리자를 비활성화할 수 있습니다. CloudTrail
Organizations 관리 계정의 관리자만 의 위임된 관리자를 제거할 수 있습니다. CloudTrail CloudTrail 콘솔을 사용하거나 Organizations DeregisterDelegatedAdministrator CLI 또는 SDK 작업을 사용하여 위임된 관리자를 제거할 수 있습니다. CloudTrail 콘솔을 사용하여 위임된 관리자를 제거하는 방법에 대한 자세한 내용은 위임된 관리자 제거를 참조하십시오. CloudTrail
