

AWS Audit Manager 는 더 이상 신규 고객에게 공개되지 않습니다. 기존 고객은 정상적으로 서비스를 계속 이용할 수 있습니다. 자세한 내용은 [AWS Audit Manager 가용성 변경](https://docs.aws.amazon.com/audit-manager/latest/userguide/audit-manager-availability-change.html)을 참조하세요.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 위임된 관리자 및 AWS Organizations 문제 해결
<a name="delegated-admin-issues"></a>


이 페이지의 정보를 사용하여 Audit Manager에서 흔히 발생하는 위임 관리자 문제를 해결할 수 있습니다.

**Topics**
+ [위임된 관리자 계정으로 Audit Manager를 설정하는 작업이 안 됩니다.](#delegated-admin-setup)
+ [평가를 생성할 때 *범위 내 계정*에서 내 조직의 계정을 볼 수 없습니다.](#cannot-see-accounts-from-organization)
+ [위임된 관리자 계정을 사용하여 평가 보고서를 생성하려고 하면 *액세스 거부* 오류가 발생합니다.](#delegated-admin-access-denied-error)
+ [조직에서 멤버 계정의 연결을 해제하면 Audit Manager는 어떻게 되나요?](#delegated-admin-unlink-account)
+ [회원 계정을 나의 조직에 다시 연결하면 어떻게 되나요?](#delegated-admin-relink-account)
+ [한 조직에서 다른 조직으로 구성원 계정을 마이그레이션하면 어떻게 되나요?](#delegated-admin-migrate-account)

## 위임된 관리자 계정으로 Audit Manager를 설정하는 작업이 안 됩니다.
<a name="delegated-admin-setup"></a>

여러 위임된 관리자가에서 지원되지만 AWS Organizations Audit Manager는 위임된 관리자 한 명만 허용합니다. Audit Manager에서 여러 위임된 관리자를 지정하려고 하면 다음 오류 메시지가 표시됩니다.
+ 콘솔: `You have exceeded the allowed number of delegated administrators for the delegated service`
+ CLI: `An error occurred (ValidationException) when calling the RegisterAccount operation: Cannot change delegated Admin for an active account 11111111111 from 2222222222222 to 333333333333`

Audit Manager에서 위임된 관리자로 사용할 개별 계정을 하나 선택합니다. 먼저 조직에서 위임된 관리자 계정을 등록한 다음 Audit Manager에서 [위임된 관리자와 동일한 계정을 추가](https://docs.aws.amazon.com/audit-manager/latest/userguide/add-delegated-admin.html)해야 합니다.

## 평가를 생성할 때 *범위 내 계정*에서 내 조직의 계정을 볼 수 없습니다.
<a name="cannot-see-accounts-from-organization"></a>

Audit Manager 평가에 귀하의 조직의 여러 계정을 포함하려면 위임된 관리자를 지정해야 합니다.

Audit Manager에 대한 위임된 관리자 계정을 구성했는지 확인하세요. 지침은 [위임된 관리자 추가](add-delegated-admin.md) 섹션을 참조하세요.

 다음과 같은 사항에 유의하세요.
+ Audit Manager에서는 AWS Organizations 관리 계정을 위임된 관리자로 사용할 수 없습니다.
+ 둘 이상의에서 Audit Manager를 활성화하려면 각 리전에서 위임된 관리자 계정을 별도로 지정 AWS 리전해야 합니다. 귀하의 Audit Manager 설정에서 모든 지역의 동일한 위임 관리자 계정을 지정합니다.
+ 위임된 관리자를 지정할 때는 위임된 관리자 계정에 Audit Manager를 설정할 때 제공한 KMS 키에 대한 액세스 권한이 있는지 확인하세요. 암호화 설정을 검토하고 변경하는 방법을 알아보려면 [데이터 암호화 설정 구성](settings-KMS.md) 섹션을 참조하세요.

## 위임된 관리자 계정을 사용하여 평가 보고서를 생성하려고 하면 *액세스 거부* 오류가 발생합니다.
<a name="delegated-admin-access-denied-error"></a>

Audit Manager 설정에 지정된 KMS 키가 속하지 않는 위임된 관리자 계정으로 평가를 생성한 경우 `access denied` 오류가 발생합니다. 이 오류를 방지하려면 Audit Manager에 위임된 관리자를 지정할 때 위임된 관리자 계정이 Audit Manager를 설정할 때 귀하가 제공한 KMS 키에 액세스할 수 있는지 확인하세요.

평가 보고서 대상으로 사용 중인 S3 버킷에 대한 쓰기 권한이 없는 경우에도 `access denied` 오류가 발생할 수 있습니다.

`access denied` 오류가 발생한 경우, 다음 요구 사항을 충족하였는지 확인하세요.
+ 귀하의 Audit Manager 설정 내 KMS 키는 위임된 관리자에게 권한을 부여합니다. *AWS Key Management Service 개발자 안내서*의 [다른 계정의 사용자에게 KMS 키 사용을 허용](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying-external-accounts.html)의 지침에 따라 이를 구성할 수 있습니다. Audit Manager에서 암호화 설정을 검토하고 변경하는 방법에 대한 지침은 [데이터 암호화 설정 구성](settings-KMS.md) 섹션을 참조하세요.
+ 평가 보고서 대상에 대한 쓰기 액세스 권한을 귀하에게 부여하는 권한 정책이 귀하에게 있습니다. 보다 구체적으로, 귀하의 권한 정책에는 `s3:PutObject` 작업이 포함되어 있고, S3 버킷의 ARN을 지정하고, 평가 보고서를 암호화하는 데 사용되는 KMS 키가 포함됩니다. 사용할 수 있는 정책 예제는 [예 2(평가 보고서 대상 권한)](security_iam_id-based-policy-examples.md#full-administrator-access-assessment-report-destination) 섹션을 참조하세요.

**참고**  
Audit Manager 데이터 암호화 설정을 변경하는 경우 이러한 변경 사항은 앞으로 새로 생성하는 평가에 적용됩니다. 여기에는 귀하의 새 평가에서 생성한 모든 평가 보고서가 포함됩니다.  
암호화 설정을 변경하기 전에 생성한 기존 평가에는 변경 내용이 적용되지 않습니다. 여기에는 기존 평가 보고서와 함께 기존 평가에서 생성한 새 평가 보고서가 포함됩니다. 기존 평가 및 모든 평가 보고서는 기존 KMS 키를 계속 사용합니다. 평가 보고서를 생성하는 IAM 자격 증명이 이전 KMS 키를 사용할 권한을 갖지 않는 경우, 귀하가 키 정책 수준에서 권한을 부여할 수 있습니다.

## 조직에서 멤버 계정의 연결을 해제하면 Audit Manager는 어떻게 되나요?
<a name="delegated-admin-unlink-account"></a>

조직에서 멤버 계정을 연결 해제하면 Audit Manager는 이 사건에 대한 알림을 받습니다. 그러면 Audit Manager는 귀하의 기존 평가의 *범위에 있는 계정* 목록에서 해당 AWS 계정 를 자동으로 제거합니다. 향후 새 평가의 범위를 지정하면 연결이 해제된 계정은 더 이상 적격 AWS 계정에 표시되지 않습니다. 

Audit Manager가 평가 *범위에 있는 계정* 목록에서 연결되지 않은 회원 계정을 제거해도 이 변경 사항에 대한 알림은 귀하에게 고지되지 않습니다. 또한 연결이 해제된 멤버 계정으로 해당 계정에서 Audit Manager가 더 이상 활성화되지 않았다는 통지가 가지 않습니다.

## 회원 계정을 나의 조직에 다시 연결하면 어떻게 되나요?
<a name="delegated-admin-relink-account"></a>

회원 계정을 귀하의 조직에 다시 연결해도 해당 계정은 기존 Audit Manager 평가 범위에 자동으로 추가되지 않습니다. 그러나 이제 평가 *범위에서* 계정을 지정 AWS 계정 하면 재연결된 멤버 계정이 적격으로 표시됩니다.
+ 기존 평가의 경우 평가 범위를 수동으로 편집하여 재연결된 회원 계정을 추가할 수 있습니다. 지침은 [2단계: AWS 계정 범위에서 편집](edit-assessment.md#edit-accounts) 섹션을 참조하세요.
+ 새 평가의 경우 평가 설정 중에 다시 연결된 계정을 추가할 수 있습니다. 지침은 [2단계: AWS 계정 범위에서 지정](create-assessments.md#specify-accounts) 섹션을 참조하세요.

## 한 조직에서 다른 조직으로 구성원 계정을 마이그레이션하면 어떻게 되나요?
<a name="delegated-admin-migrate-account"></a>

구성원 계정이 조직 1에서 Audit Manager를 활성화시킨 후 조직 2로 마이그레이션하면 결과적으로 Audit Manager는 조직 2에 대해 활성화되지 않습니다.