

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS CloudTrail 및 AWS Organizations
<a name="services-that-can-integrate-cloudtrail"></a>

AWS CloudTrail 는에 대한 거버넌스, 규정 준수, 운영 및 위험 감사를 활성화하는 데 도움이 되는 AWS 서비스입니다 AWS 계정. AWS CloudTrail를 사용하면 관리 계정의 사용자가 해당 조직의 모든에 대한 모든 이벤트를 로깅하는 조직 추적 AWS 계정 을 생성할 수 있습니다. 조직 추적 기록은 조직 내 모든 구성원 계정에 자동으로 적용됩니다. 구성원 계정은 조직 추적 기록을 볼 수 있지만 수정하거나 삭제할 수는 없습니다. 기본적으로 멤버 계정은 Amazon S3 버킷에 있는 조직 추적 기록에 대한 로그 파일에 액세스할 수 있는 권한이 없습니다. 이는 조직 내 계정에 걸쳐 이벤트 로깅 방식을 일관적으로 적용 및 시행하는 데 도움이 됩니다.

자세한 내용은 *AWS CloudTrail 사용 설명서*에서 [조직에 대한 추적 생성](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)을 참조하세요.

다음 정보를 사용하여 AWS CloudTrail 와 통합할 수 있습니다 AWS Organizations.


## 통합 활성화 시 서비스 연결 역할 생성
<a name="integrate-enable-slr-cloudtrail"></a>

신뢰할 수 있는 액세스를 활성화하면 다음 [서비스 연결 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)이 조직의 관리 계정에 자동으로 생성됩니다. 이 역할을 통해 CloudTrail은 조직의 계정 내에서 지원되는 작업을 수행할 수 있습니다.

CloudTrail와 Organizations 간의 신뢰할 수 있는 액세스를 비활성화하거나 조직에서 멤버 계정을 제거한 경우에만 이 역할을 삭제하거나 수정할 수 있습니다.
+ `AWSServiceRoleForCloudTrail`

## 서비스 연결 역할이 사용하는 서비스 보안 주체
<a name="integrate-enable-svcprin-cloudtrail"></a>

앞 부분에서 다룬 서비스 연결 역할은 역할에 대해 정의된 신뢰 관계에 의해 권한이 부여되는 서비스 보안 주체만 맡을 수 있습니다. CloudTrail이 사용하는 서비스 연결 역할은 다음 서비스 보안 주체에 대한 액세스 권한을 부여합니다.
+ `cloudtrail.amazonaws.com`

## CloudTrail과 상호 신뢰할 수 있는 액세스 활성화
<a name="integrate-enable-ta-cloudtrail"></a>

신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한에 관한 내용은 [신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한](orgs_integrate_services.md#orgs_trusted_access_perms) 단원을 참조하세요.

 AWS CloudTrail 콘솔에서 추적을 생성하여 신뢰할 수 있는 액세스를 활성화하면 신뢰할 수 있는 액세스가 자동으로 구성됩니다(권장). AWS Organizations 콘솔을 사용하여 신뢰할 수 있는 액세스를 활성화할 수도 있습니다. 조직 추적을 생성하려면 AWS Organizations 관리 계정으로 로그인해야 합니다.

 AWS CLI 또는 AWS API를 사용하여 조직 추적을 생성하도록 선택한 경우 신뢰할 수 있는 액세스를 수동으로 구성해야 합니다. 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [AWS Organizations에서 CloudTrail을 신뢰할 수 있는 서비스로 활성화](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-an-organizational-trail-by-using-the-aws-cli.html#cloudtrail-create-organization-trail-by-using-the-cli-enable-trusted-service)를 참조하세요.

**중요**  
 가능하면 AWS CloudTrail 콘솔 또는 도구를 사용하여 Organizations와의 통합을 활성화하는 것이 좋습니다.

Organizations AWS CLI 명령을 실행하거나 AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Organizations CLI/SDK를 사용하여 신뢰할 수 있는 서비스 액세스를 활성화하려면**  
다음 AWS CLI 명령 또는 API 작업을 사용하여 신뢰할 수 있는 서비스 액세스를 활성화합니다.
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  다음 명령을 실행하여 Organizations에서 AWS CloudTrail 를 신뢰할 수 있는 서비스로 활성화합니다.

  ```
  $ aws organizations enable-aws-service-access \
      --service-principal cloudtrail.amazonaws.com
  ```

  이 명령은 성공 시 출력을 생성하지 않습니다.
+ AWS API: [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## CloudTrail과 상호 신뢰할 수 있는 액세스 비활성화
<a name="integrate-disable-ta-cloudtrail"></a>

신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한에 관한 내용은 [신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한](orgs_integrate_services.md#orgs_trusted_access_disable_perms) 단원을 참조하세요.

 AWS CloudTrail 는 조직 추적 및 조직 이벤트 데이터 스토어를 사용하기 AWS Organizations 위해와 신뢰할 수 있는 액세스 권한이 필요합니다. 사용 중에를 사용하여 AWS Organizations 신뢰할 수 있는 액세스를 비활성화하면 CloudTrail이 조직에 액세스할 수 없으므로 멤버 계정에 대한 AWS CloudTrail모든 조직 추적이 삭제됩니다. 모든 관리 계정 조직 추적 및 조직 이벤트 데이터 스토어는 계정 수준 추적 및 이벤트 데이터 스토어로 변환됩니다. CloudTrail과 AWS Organizations 간의 통합을 위해 생성된 `AWSServiceRoleForCloudTrail` 역할은 계정에 유지됩니다. 신뢰할 수 있는 액세스를 다시 활성화하면 CloudTrail은 기존 추적 및 이벤트 데이터 스토어에 대해 조치를 취하지 않습니다. 관리 계정은 모든 계정 수준 추적 및 이벤트 데이터 스토어를 업데이트하여 조직에 적용해야 합니다.

계정 수준 추적 또는 이벤트 데이터 스토어를 조직 추적 또는 조직 이벤트 데이터 스토어로 변환하려면 다음을 수행합니다.
+ CloudTrail 콘솔에서 [추적](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-update-a-trail-console.html) 또는 [이벤트 데이터 스토어](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/query-event-data-store-update.html)를 업데이트하고 **조직의 모든 계정에 대해 활성화** 옵션을 선택합니다.
+ 에서 다음을 AWS CLI수행합니다.
  + 추적을 업데이트하려면 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-trail.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-trail.html) 명령을 실행하고 `--is-organization-trail` 파라미터를 포함합니다.
  + 이벤트 데이터 스토어를 업데이트하려면 [https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html](https://docs.aws.amazon.com/cli/latest/reference/cloudtrail/update-event-data-store.html) 명령을 실행하고 `--organization-enabled` 파라미터를 포함합니다.

 AWS Organizations 관리 계정의 관리자만를 사용하여 신뢰할 수 있는 액세스를 비활성화할 수 있습니다 AWS CloudTrail. AWS Organizations 콘솔을 사용하거나, Organizations AWS CLI 명령을 실행하거나, AWS SDKs.

 AWS Organizations 콘솔을 사용하거나, Organizations AWS CLI 명령을 실행하거나, AWS SDKs.

------
#### [ AWS Management Console ]

**Organizations 콘솔을 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화하려면**

1. [AWS Organizations 콘솔](https://console.aws.amazon.com/organizations/v2)에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인([권장되지 않음](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))해야 합니다.

1. 탐색 창에서 **서비스**를 선택합니다.

1. 서비스 목록에서 **AWS CloudTrail**를 선택합니다.

1. **신뢰할 수 있는 액세스 비활성화**를 선택합니다.

1. ** AWS CloudTrail에 대한 신뢰할 수 있는 액세스 비활성화** 대화 상자에서 **비활성화**를 입력하여 확인한 다음 **신뢰할 수 있는 액세스 비활성화**를 선택합니다.

1. 의 관리자만 있는 경우 이제 서비스 콘솔 또는 도구를 사용하여 해당 서비스 작업을 AWS Organizations 비활성화할 수 AWS CloudTrail 있음을 관리자에게 AWS Organizations알립니다.

------
#### [ AWS CLI, AWS API ]

**Organizations CLI/SDK를 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화하려면**  
다음 AWS CLI 명령 또는 API 작업을 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화할 수 있습니다.
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  다음 명령을 실행하여 Organizations에서 신뢰할 수 있는 서비스로 AWS CloudTrail 를 비활성화합니다.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal cloudtrail.amazonaws.com
  ```

  이 명령은 성공 시 출력을 생성하지 않습니다.
+ AWS API: [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## CloudTrail에 대해 위임된 관리자 계정 활성화
<a name="integrate-enable-da-cloudtrail"></a>

CloudTrail을 Organizations와 함께 사용하는 경우, 조직 내의 어떤 계정이든 CloudTrail 위임된 관리자 역할을 하도록 등록할 수 있습니다. 이 위임된 관리자는 조직을 대신하여 조직의 추적 및 이벤트 데이터 스토어를 관리합니다. 위임된 관리자는 CloudTrail에서 관리 계정과 동일한 관리 작업을 수행할 수 있는 조직의 멤버 계정입니다.

**최소 권한**  
Organizations 관리 계정의 관리자만 CloudTrail의 위임된 관리자를 등록할 수 있습니다.

CloudTrail 콘솔을 사용하거나 Organizations `RegisterDelegatedAdministrator` CLI 또는 SDK 작업을 사용하여 위임된 관리자 계정을 등록할 수 있습니다. CloudTrail 콘솔을 사용하여 위임된 관리자를 등록하려면 [CloudTrail 위임된 관리자 추가](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-add-delegated-administrator.html)를 참조하세요.

## CloudTrail에 대해 위임된 관리자 비활성화
<a name="integrate-disable-da-cloudtrail"></a>

 Organizations 관리 계정의 관리자만 CloudTrail의 위임된 관리자를 제거할 수 있습니다. CloudTrail 콘솔을 사용하거나 Organizations `DeregisterDelegatedAdministrator` CLI 또는 SDK 작업을 사용하여 위임된 관리자를 제거할 수 있습니다. CloudTrail 콘솔을 사용하여 위임된 관리자를 제거하는 방법은 [CloudTrail 위임된 관리자 제거](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-remove-delegated-administrator.html)를 참조하세요.