기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon Security Lake 및 AWS Organizations
Amazon Security Lake는 클라우드, 온프레미스 및 사용자 지정 소스의 보안 데이터를 계정에 저장된 데이터 레이크로 중앙 집중화합니다. Organizations와 통합하면 계정 전체에서 로그와 이벤트를 수집하는 데이터 레이크를 생성할 수 있습니다. 자세한 내용은 Amazon Security Lake User Guide의 Managing multiple accounts with AWS Organizations를 참조하세요.
다음 정보를 사용하면 Amazon Security Lake와 통합하는 데 도움이 AWS Organizations됩니다.
통합 활성화 시 서비스 연결 역할 생성
신뢰할 수 있는 액세스를 활성화하면 다음 서비스 연결 역할이 조직의 관리 계정에 자동으로 생성됩니다. 이 역할을 통해 Amazon Security Lake는 조직 내 조직 계정 내에서 지원되는 작업을 수행할 수 있습니다.
Amazon Security Lake와 Organizations 간의 신뢰할 수 있는 액세스를 비활성화하거나 조직에서 구성원 계정을 제거한 경우에만 이 역할을 삭제하거나 수정할 수 있습니다.
-
AWSServiceRoleForSecurityLake
서비스 연결 역할이 사용하는 서비스 보안 주체
앞 부분에서 다룬 서비스 연결 역할은 역할에 대해 정의된 신뢰 관계에 의해 권한이 부여되는 서비스 보안 주체만 맡을 수 있습니다. Amazon Security Lake에서 사용하는 서비스 연결 역할은 다음 서비스 주체에 대한 액세스 권한을 부여합니다.
-
securitylake.amazonaws.com
Amazon Security Lake를 통한 신뢰할 수 있는 액세스 지원
Security Lake와 상호 신뢰할 수 있는 액세스를 활성화하면 Security Lake가 조직 멤버십의 변경 사항에 자동으로 대응할 수 있습니다. 위임된 관리자는 모든 조직 계정의 지원되는 서비스에서 AWS 로그 수집을 활성화할 수 있습니다. 자세한 내용은 Amazon Security Lake User Guide의 Service-linked role for Amazon Security Lake를 참조하세요.
신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한에 관한 내용은 신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한 단원을 참조하세요.
신뢰할 수 있는 액세스는 Organizations 도구로만 활성화할 수 있습니다.
AWS Organizations 콘솔을 사용하거나, AWS CLI 명령을 실행하거나, AWS SDK 중 하나에서 API 작업을 호출하여 신뢰할 수 있는 액세스를 활성화할 수 있습니다.
Amazon Security Lake를 통한 신뢰할 수 있는 액세스 비활성화
Organizations 관리 계정의 관리자만 Amazon Security Lake를 통한 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.
신뢰할 수 있는 액세스는 Organizations 도구로만 비활성화할 수 있습니다.
AWS Organizations 콘솔을 사용하거나 Organizations AWS CLI 명령을 실행하거나 AWS SDK 중 하나에서 Organizations API 작업을 호출하여 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.
아마존 시큐리티 레이크에 위임된 관리자 계정 활성화
Amazon Security Lake의 위임 관리자는 조직의 다른 계정을 구성원 계정으로 추가합니다. 위임된 관리자는 Amazon Security Lake를 활성화하고 멤버 계정에 대한 Amazon Security Lake 설정을 구성할 수 있습니다. 위임된 관리자는 Amazon Security Lake가 활성화된 모든 AWS 지역의 조직 전체에서 로그를 수집할 수 있습니다 (현재 사용 중인 지역 엔드포인트와 관계 없음).
위임된 관리자가 조직의 새 계정을 멤버로 자동 추가하도록 설정할 수도 있습니다. Amazon Security Lake의 위임 관리자는 관련 멤버 계정의 로그 및 이벤트에 액세스할 수 있습니다. 따라서 Amazon Security Lake를 설정하여 관련 회원 계정이 소유한 데이터를 수집할 수 있습니다. 연결된 멤버 계정이 소유한 데이터를 사용할 수 있는 권한을 구독자에게 부여할 수도 있습니다.
자세한 내용은 Amazon Security Lake User Guide의 Managing multiple accounts with AWS Organizations를 참조하세요.
최소 권한
조직 관리 계정의 관리자만 조직 내 Amazon Security Lake의 위임 관리자로 멤버 계정을 구성할 수 있습니다.
Amazon Security Lake 콘솔, Amazon Security Lake CreateDatalakeDelegatedAdmin
API 작업 또는 create-datalake-delegated-admin
CLI 명령을 사용하여 위임된 관리자 계정을 지정할 수 있습니다. Organizations RegisterDelegatedAdministrator
CLI 또는 SDK 작업을 사용할 수도 있습니다. Amazon Security Lake에서 위임된 관리자 계정을 활성화하는 방법에 대한 지침은 Amazon Security Lake 사용 설명서의 위임된 Security Lake 관리자 지정 및 구성원 계정 추가를 참조하십시오.
Amazon Security Lake의 위임 관리자 비활성화
Organizations 관리 계정 또는 Amazon Security Lake의 위임 관리자 계정의 관리자만 조직에서 위임된 관리자 계정을 제거할 수 있습니다.
Amazon Security Lake DeleteDatalakeDelegatedAdmin
API 작업, CLI 명령을 사용하거나 DeregisterDelegatedAdministrator
Organizations의 delete-datalake-delegated-admin
CLI 또는 SDK 작업을 사용하여 위임된 관리자 계정을 제거할 수 있습니다. Amazon Security Lake를 사용하여 위임된 관리자를 제거하려면 Amazon Security Lake 사용 설명서의 Amazon Security Lake 위임 관리자 제거를 참조하십시오.