조직 생성 위임된 Security Hub 관리자 선택을 위한 권장 사항 위임된 Security Hub 관리자를 구성할 수 있는 권한을 확인합니다.위임된 Security Hub 관리자 지정 위임된 Security Hub 관리자 제거

Security Hub와 통합 AWS Organizations

AWS Security Hub 통합하려면 AWS OrganizationsOrganizations에서 조직을 만들고 조직 관리 계정을 사용하여 위임된 Security Hub 관리자 계정을 지정합니다. 그러면 위임된 관리자는 구성원 계정에 대해 Security Hub를 활성화하고, 구성원 계정의 데이터를 보고, 구성원 계정에 대해 기타 허용된 작업을 수행할 수 있습니다.

중앙 구성을 사용하는 경우 위임된 관리자는 Security Hub 서비스, 표준 및 제어를 조직 계정에서 어떻게 구성하는지 지정하는 Security Hub 구성 정책을 만들 수도 있습니다.

조직 생성

조직은 단일 단위로 관리할 수 AWS 계정 있도록 통합하기 위해 만든 엔티티입니다.

AWS Organizations 콘솔을 사용하거나 SDK API 중 하나 AWS CLI 또는 하나의 명령을 사용하여 조직을 만들 수 있습니다. 자세한 지침은 AWS Organizations 사용 설명서의 조직 생성을 참조하세요.

를 AWS Organizations 사용하여 조직 내 모든 계정을 중앙에서 보고 관리할 수 있습니다. 조직은 관리 계정 하나와 0개 이상의 구성원 계정을 갖습니다. 위에는 루트, 아래에는 조직 단위(OU)가 있는 나무형 계층 구조로 계정을 조직할 수 있습니다. 각 계정은 루트 아래 바로 배치하거나, 계층 구조 내의 OU 중 하나에 배치할 수 있습니다. OU는 특정 계정을 담는 컨테이너입니다. 예를 들어 재무 운영과 관련된 모든 계정이 포함된 재무 OU를 만들 수 있습니다.

위임된 Security Hub 관리자 선택을 위한 권장 사항

수동 초대 프로세스에서 관리자 계정을 사용하고 계정 관리로 AWS Organizations전환하려는 경우 Security Hub는 해당 계정을 위임된 Security Hub 관리자로 지정할 것을 권장합니다.

조직 관리 계정을 위임된 Security Hub 관리자로 지정해서는 안 됩니다. 이를 권장하는 이유는 청구 내용을 관리하기 위해 조직 관리 계정에 액세스할 수 있는 사용자는 보안 관리를 위해 Security Hub에 액세스해야 하는 사용자와 다를 수 있기 때문입니다.

여러 리전에서 동일한 위임된 관리자를 사용하는 것이 좋습니다. 중앙 구성을 선택하는 경우 Security Hub는 홈 리전 및 연결된 모든 리전에서 동일한 위임된 관리자를 자동으로 지정합니다.

위임된 Security Hub 관리자를 구성할 수 있는 권한을 확인합니다.

위임된 Security Hub 관리자 계정을 지정하고 제거하려면 조직 관리 계정에 Security Hub에서의 DisableOrganizationAdminAccount 작업 EnableOrganizationAdminAccount 및 작업에 대한 권한이 있어야 합니다. Organizations 관리 계정은 Organizations에 대한 관리자 권한도 가지고 있어야 합니다.

필요한 모든 권한을 부여하려면 다음 Security Hub 관리형 정책을 조직 관리 계정의 IAM 보안 주체에 연결하십시오.

위임된 Security Hub 관리자 지정

위임된 Security Hub 관리자 계정을 지정하려면 Security Hub 콘솔, Security Hub API 또는 을 사용할 수 있습니다. AWS CLISecurity Hub는 위임된 관리자를 현재 AWS 리전 관리자로만 설정하므로 다른 지역에서도 이 작업을 반복해야 합니다. 중앙 구성을 사용하기 시작하면 Security Hub는 홈 리전 및 연결된 리전에 동일한 위임된 관리자를 자동으로 설정합니다.

조직 관리 계정에서 Security Hub를 활성화하지 않아도 위임된 Security Hub 관리자 계정을 지정할 수 있습니다.

조직 관리 계정은 위임된 Security Hub 관리자 계정이 아닌 것이 좋습니다. 하지만 조직 관리 계정을 Security Hub 위임 관리자로 선택하는 경우 관리 계정에 Security Hub가 활성화되어 있어야 합니다. 관리 계정에 Security Hub가 활성화되어 있지 않은 경우 Security Hub를 수동으로 활성화해야 합니다. Security Hub는 조직 관리 계정에 자동으로 사용하도록 설정할 수 없습니다.

참고

다음 방법 중 하나를 사용하여 위임된 Security Hub 관리자를 지정해야 합니다. Organizations API를 사용하여 위임된 Security Hub 관리자를 지정하는 것은 Security Hub에 반영되지 않습니다.

원하는 방법을 선택하고 단계에 따라 위임된 Security Hub 관리자 계정을 지정합니다.

Security Hub console

온보딩 중에 위임된 Security Hub 관리자를 지정하려면

https://console.aws.amazon.com/securityhub/ 에서 AWS Security Hub 콘솔을 엽니다.
Security Hub로 이동하기를 선택합니다. 조직 관리 계정에 로그인하라는 메시지가 표시됩니다.
위임된 관리자 지정 페이지의 위임된 관리자 계정 섹션에서 위임된 관리자 계정을 지정합니다. 다른 AWS 보안 및 규정 준수 서비스에 설정한 것과 동일한 위임된 관리자를 선택하는 것이 좋습니다.
위임된 관리자 설정을 선택합니다. 중앙 구성으로 온보딩을 계속하려면 위임된 관리자 계정(아직 로그인하지 않은 경우)에 로그인하라는 메시지가 표시됩니다. 중앙 구성을 시작하지 않으려는 경우 취소를 선택하세요. 위임된 관리자가 설정되었지만 아직 중앙 구성을 사용하고 있지 않습니다.

설정 페이지에서 위임된 Security Hub 관리자를 지정하려면

https://console.aws.amazon.com/securityhub/ 에서 AWS Security Hub 콘솔을 엽니다.
Security Hub 탐색 창에서 설정을 선택합니다. 그리고 일반을 선택합니다.
Security Hub 관리자 계정이 현재 할당되어 있는 경우 새 계정을 지정하려면 먼저 현재 계정을 제거해야 합니다.

현재 계정을 제거하려면 위임된 관리자에서 제거를 선택합니다.
Security Hub 관리자 계정으로 지정할 계정의 계정 ID를 입력합니다.

모든 리전에 동일한 Security Hub 관리자 계정을 지정해야 합니다. 다른 리전에서 지정된 계정과 다른 계정을 지정하는 경우 콘솔이 오류를 반환합니다.
위임을 선택합니다.

Security Hub API

조직 관리 계정에서 EnableOrganizationAdminAccountAPI를 호출합니다. 위임된 Security Hub 관리자 계정의 AWS 계정 ID를 입력합니다.

AWS CLI

조직 관리 계정에서 enable-organization-admin-account명령을 실행합니다. 위임된 Security Hub 관리자 계정의 AWS 계정 ID를 입력합니다.

명령 예시:


aws securityhub enable-organization-admin-account --admin-account-id 777788889999

위임된 Security Hub 관리자 제거

주의

중앙 구성을 사용하는 경우 Security Hub 콘솔 또는 Security Hub API를 사용하여 위임된 관리자 계정을 변경하거나 제거할 수 없습니다. 조직 관리 계정이 AWS Organizations 콘솔 또는 AWS Organizations API를 사용하여 위임된 Security Hub 관리자를 변경하거나 제거하는 경우 Security Hub는 자동으로 중앙 구성을 중지하고 구성 정책 및 정책 연결을 삭제합니다. 구성원 계정은 위임된 관리자가 변경되거나 제거되기 전의 구성을 유지합니다.

조직 관리 계정만 위임된 Security Hub 관리자 계정을 제거할 수 있습니다.

위임된 Security Hub 관리자를 변경하려면 먼저 현재 위임된 관리자 계정을 제거한 다음 새 계정을 지정해야 합니다.

Security Hub 콘솔을 사용하여 한 리전에서 위임된 관리자를 제거하면 모든 리전에서 자동으로 제거됩니다.

Security Hub API는 API 호출 또는 명령이 실행된 지역에서 위임된 Security Hub 관리자 계정만 제거합니다. 다른 리전에서도 이 작업을 반복해야 합니다.

Organizations API를 사용하여 위임된 Security Hub 관리자 계정을 제거하는 경우 모든 지역에서 자동으로 제거됩니다.

위임된 Security Hub 관리자 제거 (조직 API, AWS CLI)

Organizations를 사용하여 모든 지역에서 위임된 Security Hub 관리자를 제거할 수 있습니다.

중앙 구성을 사용하여 계정을 관리하는 경우 위임된 관리자 계정을 제거하면 구성 정책과 정책 연결이 삭제됩니다. 구성원 계정은 위임된 관리자가 변경되거나 제거되기 전의 구성을 유지합니다. 하지만 제거된 위임된 관리자 계정으로는 더 이상 이러한 계정을 관리할 수 없습니다. 이러한 계정은 각 리전에서 별도로 구성해야 하는 자체 관리형 계정이 됩니다.

원하는 방법을 선택하고 지침에 따라 위임된 Security Hub 관리자 계정을 제거합니다. AWS Organizations

위임된 Security Hub 관리자 제거 (Security Hub 콘솔)

Security Hub 콘솔을 사용하여 모든 지역에서 위임된 Security Hub 관리자를 제거할 수 있습니다.

위임된 Security Hub 관리자 계정이 제거되면 구성원 계정과 제거된 위임된 Security Hub 관리자 계정의 연결이 끊어집니다.

구성원 계정에는 여전히 Security Hub가 활성화되어 있습니다. 새 Security Hub 관리자가 구성원 계정으로 활성화하기 전까지는 독립형 계정이 됩니다.

조직 관리 계정이 Security Hub에서 사용하도록 설정된 계정이 아닌 경우 Security Hub 시작 페이지의 옵션을 사용하십시오.

Security Hub 시작 페이지에서 위임된 Security Hub 관리자 계정을 제거하려면

https://console.aws.amazon.com/securityhub/ 에서 AWS Security Hub 콘솔을 엽니다.
Security Hub로 이동하기를 선택합니다.
위임된 관리자에서 제거를 선택합니다.

조직 관리 계정이 Security Hub에서 사용하도록 설정된 계정인 경우 설정 페이지의 일반 탭에 있는 옵션을 사용하십시오.

설정 페이지에서 위임된 Security Hub 관리자 계정을 제거하려면

https://console.aws.amazon.com/securityhub/ 에서 AWS Security Hub 콘솔을 엽니다.
Security Hub 탐색 창에서 설정을 선택합니다. 그리고 일반을 선택합니다.
위임된 관리자에서 제거를 선택합니다.

위임된 Security Hub 관리자 제거 (Security Hub API, AWS CLI)

Security Hub API 또는 Security Hub 작업을 사용하여 위임된 Security Hub 관리자를 제거할 수 있습니다. AWS CLI 이러한 방법 중 하나를 사용하여 위임된 관리자를 제거하면 API 호출 또는 명령이 실행된 리전에서만 제거됩니다. Security Hub는 다른 지역을 업데이트하지 않으며, 에서 AWS Organizations위임된 관리자 계정을 제거하지도 않습니다.

원하는 방법을 선택하고 다음 단계에 따라 Security Hub에서 위임된 Security Hub 관리자 계정을 제거하십시오.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

를 통한 계정 관리 AWS Organizations

새 계정에서 Security Hub 자동 활성화