조직 자동 활성화 기본 설정 지정 - Amazon GuardDuty

조직 자동 활성화 기본 설정 지정

GuardDuty의 조직 자동 활성화 기능을 사용하면 조직의 ALL 기존 또는 NEW 멤버 계정에 대해 한 번에 동일한 GuardDuty 및 보호 계획 상태를 설정할 수 있습니다. 마찬가지로 NONE를 선택하여 멤버 계정에 대해 어떤 작업도 수행하지 않을 시기를 지정할 수도 있습니다. 다음 단계에서는 이러한 설정에 대해 설명하고 특정 설정을 사용할 수 있는 시기를 알려드립니다.

참고

S3에 대한 맬웨어 방지를 제외한 모든 보호 플랜에 대해 자동 활성화 기본 설정을 지정할 수 있습니다.

선호하는 액세스 방법을 선택하여 조직의 자동 활성화 환경설정을 업데이트합니다.

Console

  1. https://console.aws.amazon.com/guardduty/에서 GuardDuty 콘솔을 엽니다.

    로그인하려면 GuardDuty 관리자 계정 보안 인증 정보를 사용합니다.

  2. 탐색 창에서 Accounts(계정)를 선택합니다.

    계정 페이지는 조직에 속한 멤버 계정을 대신하여 GuardDuty 및 선택적 보호 플랜을 자동 활성화할 수 있는 구성 옵션을 GuardDuty 관리자 계정에 제공합니다.

  3. 기존 자동 활성화 설정을 업데이트하려면 편집을 선택합니다.

    조직의 멤버 계정을 대신하여 자동 활성화 기본 설정을 업데이트하려면 편집을 선택합니다.

    이 지원을 통해 AWS 리전에서 GuardDuty 및 지원되는 모든 선택적 보호 플랜을 구성할 수 있습니다. 멤버 계정을 대신하여 GuardDuty에 대해 다음 구성 옵션 중 하나를 선택할 수 있습니다.

    • 모든 계정에 사용(ALL) - 조직의 모든 계정에 대해 해당 옵션을 사용하도록 설정하려면 선택합니다. 여기에는 조직에 가입하는 새 계정과 조직에서 일시 중지되거나 제거되었을 수 있는 계정이 포함됩니다. 여기에는 위임된 GuardDuty 관리자 계정도 포함됩니다.

      참고

      모든 멤버 계정의 구성을 업데이트하는 데 최대 24시간이 걸릴 수 있습니다.

    • 새 계정에 자동 활성화(NEW) - 새 멤버 계정이 조직에 가입할 때 자동으로 GuardDuty 또는 선택적 보호 요금제를 사용하도록 설정하려면 선택합니다.

    • 활성화하지 않음(NONE) - 조직의 새 계정에 대해 해당 옵션을 활성화하지 않으려면 선택합니다. 이 경우 GuardDuty 관리자 계정은 각 계정을 개별적으로 관리합니다.

      자동 활성화 설정을 ALL 또는 NEW에서 NONE로 업데이트해도 기존 계정에 대한 해당 옵션은 비활성화되지 않습니다. 이 구성은 조직에 가입하는 새 계정에 적용됩니다. 자동 활성화 설정을 업데이트하면 새 계정에는 해당 옵션이 활성화되지 않습니다.

    참고

    위임된 GuardDuty 관리자 계정이 옵트인 리전을 옵트아웃하면 조직의 GuardDuty 자동 활성화 구성이 새 멤버 계정만(NEW) 또는 모든 멤버 계정(ALL)으로 설정되어 있더라도 GuardDuty가 현재 비활성화된 조직 내 모든 멤버 계정에 대해 GuardDuty를 활성화할 수 없습니다. 멤버 계정 구성에 대한 자세한 내용을 보려면 GuardDuty 콘솔 탐색 창에서 계정을 열거나 ListMembers API를 사용합니다.

  4. 변경 사항 저장을 선택합니다.

  5. (선택 사항) 각 지역에서 동일한 환경설정을 사용하려면 지원되는 각 지역에서 환경설정을 개별적으로 업데이트하세요.

    일부 선택적 보호 플랜은 GuardDuty를 사용할 수 있는 일부 AWS 리전에서 제공되지 않을 수 있습니다. 자세한 내용은 리전 및 엔드포인트 섹션을 참조하세요.

API/CLI

  1. 위임된 GuardDuty 관리자 계정의 자격 증명을 사용하여 UpdateOrganizationConfiguration를 실행하여 해당 리전에서 조직의 GuardDuty 및 선택적 보호 계획을 자동으로 구성합니다. 다양한 자동 활성화 구성에 대한 내용은 autoEnableOrganizationMembers를 참조하세요.

    계정 및 현재 리전에 대한 detectorId를 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectors API를 실행합니다.

    해당 리전에서 지원되는 선택적 보호 플랜에 대한 자동 활성화 기본 설정을 지정하려면 각 보호 플랜의 해당 설명서 섹션에 제공된 단계를 따르세요.

  2. 현재 리전에서 조직의 기본 설정을 검증할 수 있습니다. 을(를) 실행합니다..describeOrganizationConfiguration 위임된 GuardDuty 관리자 계정의 탐지기 ID를 지정해야 합니다.

    참고

    모든 멤버 계정의 구성을 업데이트하는 데 최대 24시간이 걸릴 수 있습니다.

  3. 또는 다음 AWS CLI 명령을 실행하여 조직에 가입한 새 계정(NEW), 모든 계정(ALL)에 대해 리전의 GuardDuty를 자동으로 활성화 또는 비활성화하거나 조직의 어떤 계정도 해당되지 않도록(NONE) 기본 설정을 설정합니다. 자세한 내용은 autoEnableOrganizationMembers를 참조하세요. 기본 설정에 따라 NEWALL 또는 NONE으로 바꿔야 할 수 있습니다. ALL로 보호 계획을 구성하면 위임된 GuardDuty 관리자 계정에 대해서도 보호 계획이 활성화됩니다. 조직 구성을 관리하는 위임된 GuardDuty 관리자 계정의 탐지기 ID를 지정해야 합니다.

    계정 및 현재 리전에 대한 detectorId를 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하거나 ListDetectors API를 실행합니다.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW

  4. 현재 리전에서 조직의 기본 설정을 검증할 수 있습니다. 위임된 GuardDuty 관리자 계정의 디텍터 ID를 사용하여 다음 AWS CLI 명령을 실행하세요.

    aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0

(권장) 위임된 GuardDuty 관리자 계정 탐지기 ID를 사용하여 각 리전에서 이전 단계를 반복합니다.

참고

위임된 GuardDuty 관리자 계정이 옵트인 리전을 옵트아웃하면 조직의 GuardDuty 자동 활성화 구성이 새 멤버 계정만(NEW) 또는 모든 멤버 계정(ALL)으로 설정되어 있더라도 GuardDuty가 현재 비활성화된 조직 내 모든 멤버 계정에 대해 GuardDuty를 활성화할 수 없습니다. 멤버 계정 구성에 대한 자세한 내용을 보려면 GuardDuty 콘솔 탐색 창에서 계정을 열거나 ListMembers API를 사용합니다.