Amazon Security Lake 및  AWS Organizations - AWS Organizations
서비스 연결 역할서비스 보안 주체신뢰할 수 있는 액세스 활성화신뢰할 수 있는 액세스 비활성화아마존 시큐리티 레이크에 위임된 관리자 계정 활성화Amazon Security Lake의 위임 관리자 비활성화

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Security Lake 및  AWS Organizations

Amazon Security Lake는 클라우드, 온프레미스 및 사용자 지정 소스의 보안 데이터를 계정에 저장된 데이터 레이크로 중앙 집중화합니다. Organizations와 통합하면 계정 전체에서 로그와 이벤트를 수집하는 데이터 레이크를 생성할 수 있습니다. 자세한 내용은 Amazon Security Lake User Guide의 Managing multiple accounts with AWS Organizations를 참조하세요.

다음 정보를 사용하면 Amazon Security Lake와 통합하는 데 도움이 AWS Organizations됩니다.

통합 활성화 시 서비스 연결 역할 생성

신뢰할 수 있는 액세스를 활성화하면 다음 서비스 연결 역할이 조직의 관리 계정에 자동으로 생성됩니다. 이 역할을 통해 Amazon Security Lake는 조직 내 조직 계정 내에서 지원되는 작업을 수행할 수 있습니다.

Amazon Security Lake와 Organizations 간의 신뢰할 수 있는 액세스를 비활성화하거나 조직에서 구성원 계정을 제거한 경우에만 이 역할을 삭제하거나 수정할 수 있습니다.

  • AWSServiceRoleForSecurityLake

서비스 연결 역할이 사용하는 서비스 보안 주체

앞 부분에서 다룬 서비스 연결 역할은 역할에 대해 정의된 신뢰 관계에 의해 권한이 부여되는 서비스 보안 주체만 맡을 수 있습니다. Amazon Security Lake에서 사용하는 서비스 연결 역할은 다음 서비스 주체에 대한 액세스 권한을 부여합니다.

  • securitylake.amazonaws.com

Amazon Security Lake를 통한 신뢰할 수 있는 액세스 지원

Security Lake와 상호 신뢰할 수 있는 액세스를 활성화하면 Security Lake가 조직 멤버십의 변경 사항에 자동으로 대응할 수 있습니다. 위임된 관리자는 모든 조직 계정의 지원되는 서비스에서 AWS 로그 수집을 활성화할 수 있습니다. 자세한 내용은 Amazon Security Lake User Guide의 Service-linked role for Amazon Security Lake를 참조하세요.

신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한에 관한 내용은 신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한 단원을 참조하세요.

신뢰할 수 있는 액세스는 Organizations 도구로만 활성화할 수 있습니다.

AWS Organizations 콘솔을 사용하거나, AWS CLI 명령을 실행하거나, AWS SDK 중 하나에서 API 작업을 호출하여 신뢰할 수 있는 액세스를 활성화할 수 있습니다.

AWS Management Console
Organizations 콘솔을 사용하여 신뢰할 수 있는 서비스 액세스를 활성화하려면

  1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

  2. 서비스 페이지에서 Amazon Security Lake의 행을 찾고 서비스의 이름을 선택한 다음 신뢰할 수 있는 액세스 활성화를 선택합니다.

  3. 확인 대화 상자에서 신뢰할 수 있는 액세스를 활성화하는 옵션 표시(Show the option to enable trusted access)를 사용하도록 설정하고, 상자에 enable을 입력한 다음 신뢰할 수 있는 액세스 활성화(Enable trusted access)를 선택합니다.

  4. only AWS Organizations관리자인 경우 Amazon Security Lake 관리자에게 이제 콘솔을 사용하여 해당 서비스를 사용할 수 있도록 설정할 수 있다고 알려주십시오 AWS Organizations.

AWS CLI, AWS API
Organizations CLI/SDK를 사용하여 신뢰할 수 있는 서비스 액세스를 활성화하려면

다음 AWS CLI 명령 또는 API 작업을 사용하여 신뢰할 수 있는 서비스 액세스를 활성화할 수 있습니다.

  • AWS CLI: enable-aws-service-access

    다음 명령을 실행하면 Organizations에서 신뢰할 수 있는 서비스로 Amazon Security Lake를 활성화할 수 있습니다.

    $ aws organizations enable-aws-service-access \ 
    --service-principal securitylake.amazonaws.com

    이 명령은 성공 시 출력을 생성하지 않습니다.

  • AWS API: 활성화 AWSServiceAccess

Amazon Security Lake를 통한 신뢰할 수 있는 액세스 비활성화

Organizations 관리 계정의 관리자만 Amazon Security Lake를 통한 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.

신뢰할 수 있는 액세스는 Organizations 도구로만 비활성화할 수 있습니다.

AWS Organizations 콘솔을 사용하거나 Organizations AWS CLI 명령을 실행하거나 AWS SDK 중 하나에서 Organizations API 작업을 호출하여 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.

AWS Management Console
Organizations 콘솔을 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화하려면

  1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

  2. 서비스 페이지에서 Amazon Security Lake의 행을 찾은 다음 서비스의 이름을 선택합니다.

  3. 신뢰할 수 있는 액세스 비활성화(Disable trusted access)를 선택합니다.

  4. 확인 대화 상자에서 disable을 입력한 다음 신뢰할 수 있는 액세스 비활성화(Disable trusted access)를 선택합니다.

  5. only AWS Organizations관리자인 경우 Amazon Security Lake 관리자에게 이제 콘솔이나 도구를 사용하여 해당 서비스를 사용하지 않도록 설정할 수 있다고 알려주십시오 AWS Organizations.

AWS CLI, AWS API
Organizations CLI/SDK를 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화하려면

다음 AWS CLI 명령 또는 API 작업을 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화할 수 있습니다.

  • AWS CLI: disable-aws-service-access

    다음 명령을 실행하면 Organizations에서 신뢰할 수 있는 서비스로 Amazon Security Lake를 비활성화할 수 있습니다.

    $ aws organizations disable-aws-service-access \
    --service-principal securitylake.amazonaws.com

    이 명령은 성공 시 출력을 생성하지 않습니다.

  • AWS API: 비활성화 AWSServiceAccess

아마존 시큐리티 레이크에 위임된 관리자 계정 활성화

Amazon Security Lake의 위임 관리자는 조직의 다른 계정을 구성원 계정으로 추가합니다. 위임된 관리자는 Amazon Security Lake를 활성화하고 멤버 계정에 대한 Amazon Security Lake 설정을 구성할 수 있습니다. 위임된 관리자는 Amazon Security Lake가 활성화된 모든 AWS 지역의 조직 전체에서 로그를 수집할 수 있습니다 (현재 사용 중인 지역 엔드포인트와 관계 없음).

위임된 관리자가 조직의 새 계정을 멤버로 자동 추가하도록 설정할 수도 있습니다. Amazon Security Lake의 위임 관리자는 관련 멤버 계정의 로그 및 이벤트에 액세스할 수 있습니다. 따라서 Amazon Security Lake를 설정하여 관련 회원 계정이 소유한 데이터를 수집할 수 있습니다. 연결된 멤버 계정이 소유한 데이터를 사용할 수 있는 권한을 구독자에게 부여할 수도 있습니다.

자세한 내용은 Amazon Security Lake User Guide의 Managing multiple accounts with AWS Organizations를 참조하세요.

최소 권한

조직 관리 계정의 관리자만 조직 내 Amazon Security Lake의 위임 관리자로 멤버 계정을 구성할 수 있습니다.

Amazon Security Lake 콘솔, Amazon Security Lake CreateDatalakeDelegatedAdmin API 작업 또는 create-datalake-delegated-admin CLI 명령을 사용하여 위임된 관리자 계정을 지정할 수 있습니다. Organizations RegisterDelegatedAdministrator CLI 또는 SDK 작업을 사용할 수도 있습니다. Amazon Security Lake에서 위임된 관리자 계정을 활성화하는 방법에 대한 지침은 Amazon Security Lake 사용 설명서의 위임된 Security Lake 관리자 지정 및 구성원 계정 추가를 참조하십시오.

AWS CLI, AWS API

AWS CLI 또는 SDK 중 AWS 하나를 사용하여 위임된 관리자 계정을 구성하려는 경우 다음 명령을 사용할 수 있습니다.

  • AWS CLI: 

    $  aws organizations register-delegated-administrator \
    --account-id 123456789012 \ --service-principal securitylake.amazonaws.com

  • AWS SDK: Organizations RegisterDelegatedAdministrator 오퍼레이션과 회원 계정의 ID 번호를 호출하고 계정 서비스 주체를 account.amazonaws.com 매개변수로 식별합니다.

Amazon Security Lake의 위임 관리자 비활성화

Organizations 관리 계정 또는 Amazon Security Lake의 위임 관리자 계정의 관리자만 조직에서 위임된 관리자 계정을 제거할 수 있습니다.

Amazon Security Lake DeleteDatalakeDelegatedAdmin API 작업, CLI 명령을 사용하거나 DeregisterDelegatedAdministrator Organizations의 delete-datalake-delegated-admin CLI 또는 SDK 작업을 사용하여 위임된 관리자 계정을 제거할 수 있습니다. Amazon Security Lake를 사용하여 위임된 관리자를 제거하려면 Amazon Security Lake 사용 설명서의 Amazon Security Lake 위임 관리자 제거를 참조하십시오.