Security Hub CSPM에서 여러 계정을 관리하기 위한 권장 사항 - AWS Security Hub
멤버 계정 최대 수관리자-회원 관계 생성서비스 전반에서 관리자 계정 조정하기

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Security Hub CSPM에서 여러 계정을 관리하기 위한 권장 사항

다음 섹션에서는 AWS Security Hub CSPM에서 멤버 계정을 관리할 때 유의해야 할 몇 가지 제한 및 권장 사항을 요약합니다.

멤버 계정 최대 수

와의 통합을 사용하는 경우 AWS Organizations Security Hub CSPM은 각에서 위임된 관리자 계정당 최대 10,000개의 멤버 계정을 지원합니다 AWS 리전. Security Hub CSPM을 수동으로 활성화하고 관리하는 경우 Security Hub CSPM은 각 리전의 관리자 계정당 최대 1,000개의 멤버 계정 초대를 지원합니다.

관리자-회원 관계 생성

참고

Security Hub CSPM 통합을 사용하고 멤버 계정을 수동으로 초대하지 AWS Organizations않은 경우이 섹션은 적용되지 않습니다.

한 계정이 관리자 계정과 멤버 계정을 겸할 수 없습니다.

멤버 계정은 한 번에 하나의 관리자 계정만 연결할 수 있습니다. Security Hub CSPM 관리자 계정에서 조직 계정을 활성화한 경우 해당 계정은 다른 계정의 초대를 수락할 수 없습니다. 계정이 이미 초대를 수락한 경우 조직의 Security Hub CSPM 관리자 계정에서 계정을 활성화할 수 없습니다. 또한, 다른 계정의 초대를 받을 수 없습니다.

수동 초대 프로세스의 경우, 멤버십 초대를 수락하는 것은 선택 사항입니다.

를 통한 멤버십 AWS Organizations

Security Hub CSPM을와 통합하는 경우 Organizations 관리 계정은 Security Hub CSPM AWS Organizations에 대한 위임된 관리자(DA) 계정을 지정할 수 있습니다. 조직 관리 계정은 Organizations에서 DA로 설정할 수 없습니다. 이는 Security Hub CSPM에서 허용되지만 Organizations 관리 계정은 DA가 아니어야 합니다.

모든 리전에 DA 계정을 동일하게 선택하는 것을 권장합니다. 중앙 구성을 사용하는 경우 Security Hub CSPM은 조직에 대해 Security Hub CSPM을 구성하는 모든 리전에서 동일한 DA 계정을 설정합니다.

또한 단일 창에서 AWS 보안 관련 문제를 관리하는 데 도움이 되도록 보안 및 규정 준수 서비스 전반에서 동일한 DA 계정을 선택하는 것이 좋습니다.

초대를 통한 멤버십

초대를 통해 생성된 멤버 계정의 경우, 초대를 보낸 리전에서만 관리자-멤버 계정 연결이 생성됩니다. 관리자 계정은 이를 사용하려는 각 리전에서 Security Hub CSPM을 활성화해야 합니다. 그러면 관리자 계정이 각 계정을 해당 리전의 멤버 계정이 되도록 초대합니다.

참고

Security Hub CSPM 초대 AWS Organizations 대신를 사용하여 멤버 계정을 관리하는 것이 좋습니다.

서비스 전반에서 관리자 계정 조정하기

Security Hub CSPM은 Amazon GuardDuty, Amazon Inspector, Amazon Macie와 같은 다양한 AWS 서비스의 결과를 집계합니다. 또한 Security Hub CSPM을 사용하면 GuardDuty 조사 결과에서 피벗하여 Amazon Detective에서 조사를 시작할 수 있습니다.

그러나 이러한 다른 서비스에서 설정한 관리자-멤버 관계는 Security Hub CSPM에 자동으로 적용되지 않습니다. Security Hub CSPM은 이러한 모든 서비스의 관리자 계정과 동일한 계정을 사용할 것을 권장합니다. 이 관리자 계정은 보안 도구를 담당하는 계정이어야 합니다. 또한, 동일한 계정이 AWS Config에 대한 집계 계정이어야 합니다.

예를 들어, GuardDuty 관리자 계정 A의 사용자는 GuardDuty 콘솔에서 GuardDuty 멤버 계정 B와 C에 대한 조사 결과를 볼 수 있습니다. 계정 A가 Security Hub CSPM을 활성화하면 계정 A의 사용자에게 Security Hub CSPM의 계정 B 및 C에 대한 GuardDuty 조사 결과가 자동으로 표시되지 않습니다. 이러한 계정에는 Security Hub CSPM 관리자-멤버 관계도 필요합니다.

이렇게 하려면 계정 A를 Security Hub CSPM 관리자 계정으로 설정하고 계정 B와 C를 Security Hub CSPM 멤버 계정으로 활성화합니다.