관리자 및 구성원 계정 관리

AWS 환경에 계정이 여러 개 있는 경우 AWS Security Hub를 사용하는 계정을 구성원 계정으로 취급하여 단일 관리자 계정에 연결할 수 있습니다. 관리자는 전반적인 보안 태세를 모니터링하고 구성원 계정에 대해 허용된 작업을 수행할 수 있습니다. 또한 관리자는 예상 사용 비용 모니터링 및 계정 할당량 평가와 같은 다양한 계정 관리 및 관리 작업을 대규모로 수행할 수 있습니다.

Security Hub를 AWS Organizations와 통합하거나 Security Hub에서 구성원 초대를 수동으로 보내고 수락하는 두 가지 방법으로 구성원 계정을 관리자와 연결할 수 있습니다.

AWS Organizations를 사용하여 계정 관리

AWS Organizations는 AWS 관리자가 여러 AWS 계정을 통합하고 관리할 수 있는 글로벌 계정 관리 서비스입니다. 예산, 보안 및 규정 준수 요구 사항을 지원하도록 설계된 계정 관리 및 통합 결제 기능을 제공합니다. 추가 비용 없이 제공되며 AWS Security Hub, Amazon Macie 및 Amazon GuardDuty를 포함한 여러 AWS 서비스와 통합됩니다. 자세한 내용은 AWS Organizations 사용 설명서를 참조하세요.

Security Hub를 AWS Organizations와 통합할 때 Organizations 관리 계정은 Security Hub 위임된 관리자를 지정합니다. Security Hub는 지정된 AWS 리전의 위임된 관리자 계정에서 자동으로 활성화됩니다.

위임된 관리자를 지정한 후에는 중앙 구성을 사용하여 Security Hub에서 계정을 관리하는 것이 좋습니다. 이는 Security Hub를 사용자 지정하고 조직에 적절한 보안 범위를 보장하는 가장 효율적인 방법입니다.

중앙 구성을 사용하면 위임된 관리자가 리전별로 구성하는 대신 여러 조직 계정 및 리전에서 Security Hub를 사용자 지정할 수 있습니다. 전체 조직에 대한 구성 정책을 만들거나 계정 및 OU별로 다른 구성 정책을 만들 수 있습니다. 정책은 관련 계정에서 Security Hub를 활성화 또는 비활성화할지 여부와 활성화되는 보안 표준 및 제어를 지정합니다.

위임된 관리자는 계정을 중앙 관리형 계정 또는 자체 관리형 계정으로 지정할 수 있습니다. 중앙 관리형 계정은 위임된 관리자만 구성할 수 있습니다. 자체 관리형 계정은 자체 설정을 지정할 수 있습니다.

중앙 구성을 선택하지 않으면 위임된 관리자가 Security Hub를 구성할 수 있는 권한이 더 제한되며, 이를 로컬 구성이라고 합니다. 로컬 구성에서 위임된 관리자는 현재 리전의 새 조직 계정에서 Security Hub 및 기본 보안 표준을 자동으로 활성화할 수 있습니다. 하지만 기존 계정에서는 이러한 설정을 사용하지 않으므로 계정이 조직에 가입한 후에 구성 드리프트가 발생할 수 있습니다.

이러한 새 계정 설정 외에도 로컬 구성은 계정별 및 리전별로 다릅니다. 각 조직 계정은 각 리전에서 Security Hub 서비스, 표준 및 제어를 개별적으로 구성해야 합니다. 또한 로컬 구성에서는 구성 정책 사용을 지원하지 않습니다.

초대를 통한 수동 계정 관리

독립형 계정이 있는 경우 또는 Organizations와 통합하지 않는 경우 Security Hub에서 초대를 받아 구성원 계정을 수동으로 관리해야 합니다. 독립형 계정은 Organizations와 통합할 수 없으므로 수동으로 관리해야 합니다. 나중에 계정을 추가할 경우 AWS Organizations와 통합하고 중앙 구성을 사용하는 것이 좋습니다.

수동 계정 관리를 사용하는 경우 계정을 Security Hub 관리자로 지정합니다. 관리자 계정은 구성원 계정의 데이터를 보고 구성원 계정 결과에 대해 특정 작업을 수행할 수 있습니다. Security Hub 관리자는 다른 계정을 구성원 계정으로 초대하며, 예비 구성원 계정이 초대를 수락하면 관리자-구성원 관계가 성립됩니다.

수동 계정 관리는 구성 정책 사용을 지원하지 않습니다. 구성 정책이 없으면 관리자는 여러 계정에 대한 변수 설정을 구성하여 Security Hub를 중앙에서 사용자 지정할 수 없습니다. 대신 각 조직 계정은 각 리전에서 개별적으로 Security Hub를 활성화하고 구성해야 합니다. 이로 인해 Security Hub를 사용하는 모든 계정 및 리전에서 적절한 보안 범위를 보장하는 것이 더 어려워지고 시간이 많이 소요될 수 있습니다. 또한 구성원 계정이 관리자의 입력 없이 자체 설정을 지정할 수 있기 때문에 구성 드리프트가 발생할 수 있습니다.

초대를 통해 계정을 관리하려면 초대를 통한 계정 관리 섹션을 참조하세요.