아마존 디텍티브 앤 AWS Organizations

Amazon Detective는 로그 데이터를 사용하여 시각화를 생성하며, 이 시각화를 사용하여 보안 결과 또는 의심스러운 활동의 근본 원인을 분석, 조사 및 식별할 수 있습니다.

를 AWS Organizations 사용하면 Detective 행동 그래프를 통해 모든 조직 계정의 활동을 파악할 수 있습니다.

Detective 에 신뢰할 수 있는 액세스 권한을 부여하면 Detective 서비스가 조직 멤버십의 변화에 자동으로 대응할 수 있습니다. 위임된 관리자는 동작 그래프에서 모든 조직 계정을 멤버 계정으로 활성화할 수 있습니다. 또한 Detective는 자동으로 새 조직 계정을 멤버 계정으로 활성화할 수 있습니다. 조직 계정은 동작 그래프에서 자신을 연결 해제할 수 없습니다.

자세한 내용은 Amazon Detective 관리 안내서의 조직에서 Amazon Detective 사용을 참조하세요.

다음 정보를 사용하면 Amazon Detective와 통합하는 데 도움이 될 수 있습니다. AWS Organizations

통합 활성화 시 서비스 연결 역할 생성

신뢰할 수 있는 액세스를 활성화하면 다음 서비스 연결 역할이 조직의 관리 계정에 자동으로 생성됩니다. 이 역할을 통해 Detective는 조직의 계정 내에서 지원되는 작업을 수행할 수 있습니다.

Detective와 Organizations 간의 신뢰할 수 있는 액세스를 비활성화하거나 조직에서 멤버 계정을 제거한 경우에만 이 역할을 삭제하거나 수정할 수 있습니다.

• AWSServiceRoleForDetective

서비스 연결 역할이 사용하는 서비스 보안 주체

앞 부분에서 다룬 서비스 연결 역할은 역할에 대해 정의된 신뢰 관계에 의해 권한이 부여되는 서비스 보안 주체만 맡을 수 있습니다. Detective가 사용하는 서비스 연결 역할은 다음 서비스 보안 주체에 대한 액세스 권한을 부여합니다.

• detective.amazonaws.com

Detective에서 신뢰할 수 있는 액세스를 활성화하려면

신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한에 관한 내용은 신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한 단원을 참조하세요.

참고

Amazon Detective에 대해 위임된 관리자를 지정하면 조직의 Detective에 대해 신뢰할 수 있는 액세스를 자동으로 활성화합니다.

Detective를 사용하려면 AWS Organizations 먼저 신뢰할 수 있는 액세스 권한이 있어야 조직의 이 서비스에 대한 위임 관리자로 멤버 계정을 지정할 수 있습니다.

신뢰할 수 있는 액세스는 Organizations 도구로만 활성화할 수 있습니다.

콘솔을 사용하여 신뢰할 수 있는 액세스를 활성화할 수 있습니다. AWS Organizations

AWS Management Console

Organizations 콘솔을 사용하여 신뢰할 수 있는 서비스 액세스를 활성화하려면

1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

2. 탐색 창에서 서비스를 선택합니다.

3. 서비스 목록에서 Amazon Detective를 선택합니다.

4. 신뢰할 수 있는 액세스 활성화를 선택합니다.

5. Amazon Detective의 신뢰할 수 있는 액세스 활성화 대화 상자에 enable을 입력하여 확인한 다음 신뢰할 수 있는 액세스 활성화를 선택합니다.

6. 만 AWS Organizations관리자인 경우 Amazon Detective 관리자에게 이제 콘솔을 사용하여 해당 서비스를 사용할 수 있도록 설정할 수 있다고 알리십시오. AWS Organizations

Detective에서 신뢰할 수 있는 액세스를 비활성화하려면

신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한에 관한 내용은 신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한 단원을 참조하세요.

AWS Organizations 관리 계정의 관리자만 Amazon Detective를 통한 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.

신뢰할 수 있는 액세스는 Organizations 도구로만 비활성화할 수 있습니다.

AWS Organizations 콘솔을 사용하여 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.

AWS Management Console

Organizations 콘솔을 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화하려면

1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

2. 탐색 창에서 서비스를 선택합니다.

3. 서비스 목록에서 Amazon Detective를 선택합니다.

4. 신뢰할 수 있는 액세스 비활성화를 선택합니다.

5. Amazon Detective의 신뢰할 수 있는 액세스 비활성화 대화 상자에서 disable을 입력하여 확인한 다음 신뢰할 수 있는 액세스 비활성화를 선택합니다.

6. only AWS Organizations관리자인 경우 Amazon Detective 관리자에게 이제 콘솔 또는 도구를 사용하여 해당 서비스가 작동하지 않도록 설정할 수 있다고 알리십시오. AWS Organizations

Detective에 대한 위임된 관리자 계정 활성화

Detective에 대한 위임된 관리자 계정은 Detective 동작 그래프의 관리자 계정입니다. 위임된 관리자는 동작 그래프에서 멤버 계정으로 활성화하거나 비활성화할 조직 계정을 결정합니다. 위임된 관리자는 새 조직 계정이 조직에 추가될 때 자동으로 새 조직 계정을 멤버 계정으로 활성화하도록 Detective를 구성할 수 있습니다. 위임된 관리자가 조직 계정을 관리하는 방법에 대한 자세한 내용은 Amazon Detective 관리 안내서의 조직 계정을 멤버 계정으로 관리를 참조하세요.

조직 관리 계정의 관리자만 Detective에 대해 위임된 관리자를 구성할 수 있습니다.

Detective 콘솔이나 API에서 또는 Organizations CLI 또는 SDK 작업을 사용하여 위임된 관리자 계정을 지정할 수 있습니다.

최소 권한

Organizations 관리 계정의 사용자 또는 역할만 멤버 계정을 조직의 Detective에 대한 위임된 관리자로 구성할 수 있습니다

Detective 콘솔 또는 API를 사용하여 위임된 관리자를 구성하려면 Amazon Detective 관리 안내서의 조직의 Detective 관리자 계정 지정을 참조하세요.

AWS CLI, AWS API

AWS CLI 또는 SDK 중 AWS 하나를 사용하여 위임된 관리자 계정을 구성하려는 경우 다음 명령을 사용할 수 있습니다.

• AWS CLI:

  $ aws organizations register-delegated-administrator \
      --account-id 123456789012 \
      --service-principal detective.amazonaws.com

• AWS SDK: Organizations RegisterDelegatedAdministrator 오퍼레이션과 회원 계정의 ID 번호를 호출하고 계정 서비스 주체를 account.amazonaws.com 매개변수로 식별합니다.

Detective에 대해 위임된 관리자를 비활성화

Detective 콘솔이나 API에서 또는 Organizations DeregisterDelegatedAdministrator CLI 또는 SDK 작업을 사용하여 위임된 관리자를 제거할 수 있습니다. Detective 콘솔 또는 API를 사용하거나 Organizations API를 사용하여 위임된 관리자를 제거하는 방법에 대한 자세한 내용은 Amazon Detective 관리 안내서의 조직의 Detective 관리자 계정 지정을 참조하세요.