위임된 관리자 변경 - AWS Audit Manager
사전 조건절차다음 단계추가 리소스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

위임된 관리자 변경

에서 위임된 관리자를 변경하는 AWS Audit Manager 것은 2단계 프로세스입니다. 먼저 현재 위임된 관리자 계정을 제거해야 합니다. 그런 다음 새 계정을 위임된 관리자로 추가할 수 있습니다.

이 페이지의 단계에 따라 위임된 관리자를 변경합니다.

사전 조건

현재 계정을 제거하기 전에

현재 위임된 관리자 계정을 제거하기 전에 다음 고려 사항에 유의하세요.

  • 증거 찾기 정리 태스크 - 현재 위임된 관리자(계정 A)가 증거 찾기를 활성화한 경우 계정 B를 새 위임된 관리자로 할당하기 전에 정리 태스크를 수행해야 합니다.

    관리 계정을 사용하여 계정 A를 제거하기 전에 계정 A가 Audit Manager에 로그인하고 증거 찾기를 비활성화하는지 확인합니다. 증거 찾기를 비활성화하면 증거 찾기가 활성화되었을 때 계정에 생성된 이벤트 데이터 저장소가 자동으로 삭제됩니다.

    이 태스크를 완료되지 않으면 이벤트 데이터 스토어는 계정 A에 남아 있습니다. 이 경우 원래 위임된 관리자가 CloudTrail Lake를 사용하여 이벤트 데이터 스토어를 수동으로 삭제하는 것이 좋습니다.

    이 정리 작업은 이벤트 데이터 저장소가 여러 개 생성되지 않도록 하는 데 필요합니다. Audit Manager는 위임된 관리자 계정을 제거하거나 변경한 후 사용하지 않는 이벤트 데이터 저장소를 무시합니다. 하지만 사용하지 않는 이벤트 데이터 스토어를 삭제하지 않으면 이벤트 데이터 스토어에 CloudTrail Lake의 스토리지 비용이 계속 발생합니다.

  • 데이터 삭제 - Audit Manager의 위임된 관리자 계정을 제거해도 해당 계정의 데이터는 삭제되지 않습니다. 위임된 관리자 계정의 자원 데이터를 삭제하려면 계정을 제거하기 전에 해당 작업을 별도로 수행해야 합니다. 어느 쪽이든 Audit Manager 콘솔에서 이 작업을 수행할 수 있습니다. 또는 Audit Manager에서 제공하는 삭제 API 작업 중 하나를 사용할 수 있습니다. 사용 가능한 삭제 작업 목록은 Audit Manager 데이터 삭제를 참조하세요.

    현재 Audit Manager는 위임된 특정 관리자의 증거를 삭제하는 옵션을 제공하지 않습니다. 대신 관리 계정이 Audit Manager의 등록을 취소하면 등록 취소 시 현재 위임된 관리자 계정을 정리합니다.

새 계정을 추가하기 전에

새 위임된 관리자 계정을 추가하기 전에 다음 고려 사항에 유의하세요.

  • 새 계정이 조직의 일원이어야 합니다.

  • 새로운 위임된 관리자를 지정하려면 먼저 조직의 모든 기능을 활성화해야 합니다. 또한 조직의 Security Hub 설정을 구성해야 합니다. 이렇게 하면 Audit Manager가 회원 계정에서 Security Hub 증거를 수집할 수 있습니다.

  • 위임된 관리자 계정에는 Audit Manager를 설정할 때 제공한 KMS 키에 대한 액세스 권한이 있어야 합니다.

  • Audit Manager에서는 AWS Organizations 관리 계정을 위임된 관리자로 사용할 수 없습니다.

절차

Audit Manager 콘솔, AWS Command Line Interface (AWS CLI) 또는 Audit Manager API를 사용하여 위임된 관리자를 변경할 수 있습니다.

주의

위임된 관리자를 변경해도 이전의 위임된 관리자 계정으로 이전에 수집한 증거에 계속 액세스할 수 있습니다. 하지만 Audit Manager는 이전의 위임된 관리자 계정에 대한 증거 수집 및 첨부를 중단합니다.

Audit Manager console
Audit Manager 콘솔에서 현재 위임된 관리자를 변경하려면

  1. (선택 사항) 현재 위임된 관리자(계정 A)가 증거 찾기를 활성화한 경우 다음 정리 작업을 수행하세요.

    1. 계정 B를 새로 위임된 관리자로 할당하기 전에 계정 A가 Audit Manager에 로그인하고 증거 찾기를 비활성화했는지 확인하세요.

      증거 찾기를 비활성화하면 계정 A가 증거 찾기를 활성화했을 때 생성된 이벤트 데이터 저장소가 자동으로 삭제됩니다. 이 단계를 완료하지 않으면 계정 A는 CloudTrail Lake로 이동하여 이벤트 데이터 스토어를 수동으로 삭제해야 합니다. 그렇지 않으면 이벤트 데이터 스토어가 계정 A에 남아 있으며 CloudTrail Lake 스토리지 요금이 계속 발생합니다.

  2. 일반 설정 탭에서 위임된 관리자 섹션으로 이동하여 제거를 선택합니다.

  3. 표시되는 팝업 창에서 제거를 선택하여 확인합니다.

  4. 위임된 관리자 계정 ID에 새로 위임된 관리자 계정의 ID를 입력합니다.

  5. 위임을 선택합니다.

AWS CLI
AWS CLI에서 현재 위임된 관리자를 변경하려면

먼저 --admin-account-id 매개 변수를 사용하여 deregister-organization-admin-account 명령을 실행하여 현재 위임된 관리자의 계정 ID를 지정합니다.

다음 예에서는 각 자리 표시자 텍스트를 자신의 정보로 바꿉니다.

aws auditmanager deregister-organization-admin-account --admin-account-id 111122223333

그런 다음 --admin-account-id 매개 변수를 사용하여 register-organization-admin-account 명령을 실행하여 새로 위임된 관리자의 계정 ID를 지정합니다.

다음 예에서는 각 자리 표시자 텍스트를 자신의 정보로 바꿉니다.

aws auditmanager register-organization-admin-account --admin-account-id 444455556666
Audit Manager API
API를 사용하여 현재 위임된 관리자를 변경하려면

먼저 DeregisterOrganizationAdminAccount 작업을 호출하고 AdminAccountId 매개 변수를 사용하여 현재 위임된 관리자의 계정 ID를 지정합니다.

그런 다음 RegisterOrganizationAdminAccount 작업을 호출하고 adminAccountId 매개 변수를 사용하여 위임된 새 관리자의 계정 ID를 지정합니다.

자세한 내용은 Audit Manager API 참조에서 이전 링크를 선택하여 자세한 내용을 읽어보세요. 여기에는 언어별 AWS SDKs 중 하나에서이 작업 및 파라미터를 사용하는 방법에 대한 정보가 포함됩니다.

다음 단계

위임된 관리자를 제거하려면 위임 관리자 제거 섹션을 참조하세요.

추가 리소스