Amazon CloudWatch 및 AWS Organizations - AWS Organizations
서비스 링크 역할서비스 보안 주체신뢰할 수 있는 액세스 활성화신뢰할 수 있는 액세스 끄기위임된 관리자 등록CloudWatch의 위임된 관리자 등록 취소

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon CloudWatch 및 AWS Organizations

다음 사용 사례에 대해 Amazon CloudWatch에 AWS Organizations를 사용할 수 있습니다.

  • CloudWatch 콘솔의 중앙 보기에서 AWS 리소스에 대한 원격 측정 구성 상태를 확인하고 파악합니다. 이렇게 하면 AWS 조직 또는 계정 내의 여러 리소스 유형에서 원격 측정 수집 구성을 감사하는 프로세스가 단순화됩니다. 조직 전체에서 원격 측정 구성을 사용하려면 신뢰할 수 있는 액세스를 켜야 합니다.

    자세한 내용은 Amazon CloudWatch 사용 설명서의 CloudWatch 원격 측정 구성 감사를 참조하세요.

  • Amazon CloudWatch Network Monitor의 기능인 Network Flow Monitor의 다중 계정으로 작업합니다. Network Flow Monitor는 Amazon EC2 인스턴스 간의 트래픽의 네트워크 성능에 실시간에 가까운 가시성을 제공합니다. 신뢰할 수 있는 액세스를 활성화하여 Organizations와 통합한 후 모니터를 생성하여 다중 계정의 네트워크 성능 세부 정보를 시각화할 수 있습니다.

    자세한 내용은 Amazon CloudWatch 사용 설명서다중 계정 모니터링을 위한 Network Flow Monitor 시작을 참조하세요.

다음 정보는 Amazon CloudWatch와 AWS Organizations 통합에 도움을 줍니다.

통합 활성화 시 서비스 연결 역할 생성

조직의 관리 계정에서 다음과 같은 서비스 연결 역할을 생성합니다. 신뢰할 수 있는 액세스를 활성화하면 다음 서비스 연결 역할이 조직의 관리 계정에 자동으로 생성됩니다. 이 역할을 통해 CloudWatch는 조직의 계정 내에서 지원되는 작업을 수행할 수 있습니다. CloudWatch와 Organizations 간의 신뢰할 수 있는 액세스를 비활성화하거나 조직에서 멤버 계정을 제거한 경우에만 이 역할을 삭제하거나 수정할 수 있습니다.

  • AWSServiceRoleForObservabilityAdmin

서비스 연결 역할이 사용하는 서비스 보안 주체

앞 부분에서 다룬 서비스 연결 역할은 역할에 대해 정의된 신뢰 관계에 의해 권한이 부여되는 서비스 보안 주체만 맡을 수 있습니다. CloudWatch가 사용하는 서비스 연결 역할은 다음 서비스 위탁자에 대한 액세스 권한을 부여합니다.

  • observabilityadmin.amazonaws.com

  • networkflowmonitor.amazonaws.com

  • topology.networkflowmonitor.amazonaws.com

CloudWatch과 상호 신뢰할 수 있는 액세스 활성화

신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한에 관한 내용은 신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한를 참조하세요.

Amazon CloudWatch 콘솔 또는 AWS Organizations 콘솔을 사용하여 신뢰할 수 있는 액세스를 활성화할 수 있습니다.

중요

가능하면 항상 Amazon CloudWatch 콘솔 또는 도구를 사용하여 Organizations 통합을 활성화할 것을 적극 권장합니다. 이렇게 하면 Amazon CloudWatch가 서비스에 필요한 리소스 생성 등 모든 필수 구성을 수행합니다. Amazon CloudWatch에서 제공하는 도구를 사용하여 통합을 활성화할 수 없는 경우에만 다음 단계를 진행합니다. 자세한 내용은 이 메모를 참조하십시오.

Amazon CloudWatch 콘솔 또는 도구를 사용하여 신뢰할 수 있는 액세스를 활성화할 수 있다면 이 단계를 완료할 필요가 없습니다.

CloudWatch 콘솔을 사용하여 신뢰할 수 있는 액세스를 활성화하려면

자세한 내용은 Amazon CloudWatch 사용 설명서CloudWatch 원격 측정 감사 켜기를 참조하세요.

CloudWatch에서 신뢰할 수 있는 액세스를 켜면 원격 측정 감사를 활성화하고 Network Flow Monitor에서 다중 계정으로 작업할 수 있습니다.

AWS Organizations 콘솔을 사용하거나, AWS CLI 명령을 실행하거나, AWS SDK 중 하나에서 API 작업을 호출하여 신뢰할 수 있는 액세스를 활성화할 수 있습니다.

AWS Management 콘솔
Organizations 콘솔을 사용하여 신뢰할 수 있는 서비스 액세스를 활성화하려면

  1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

  2. 탐색 창에서 서비스를 선택합니다.

  3. 서비스 목록에서 Amazon CloudWatch를 선택합니다.

  4. 신뢰할 수 있는 액세스 활성화를 선택합니다.

  5. Amazon CloudWatch에 대한 신뢰할 수 있는 액세스 활성화 대화 상자에서 활성화를 입력하여 확인한 다음 신뢰할 수 있는 액세스 활성화를 선택합니다.

  6. 본인이 AWS Organizations에서만 관리자인 경우 Amazon CloudWatch 관리자에게 콘솔에서 해당 서비스를 활성화하여 AWS Organizations에 연동할 수 있다고 알립니다.

AWS CLI, AWS API
Organizations CLI/SDK를 사용하여 신뢰할 수 있는 서비스 액세스를 활성화하려면

다음 AWS CLI 명령 또는 API 작업을 사용하면 신뢰할 수 있는 서비스 액세스를 활성화할 수 있습니다.

  • AWS CLI: enable-aws-service-access

    다음 명령을 실행하면 Organizations와 상호 신뢰할 수 있는 서비스로 Amazon CloudWatch를 활성화할 수 있습니다.

    $ aws organizations enable-aws-service-access \ 
    --service-principal observabilityadmin.amazonaws.com

    이 명령은 성공 시 출력을 생성하지 않습니다.

  • AWS API: EnableAWSServiceAccess

CloudWatch로 신뢰할 수 있는 액세스 끄기

신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한에 관한 내용은 신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한 단원을 참조하세요.

Amazon CloudWatch 또는 AWS Organizations 도구를 사용해 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.

중요

가능하다면 Amazon CloudWatch 콘솔이나 도구를 사용하여 Organizations와의 통합을 비활성화하는 것이 좋습니다. 이렇게 하면 Amazon CloudWatch가 서비스에 더 이상 필요하지 않은 리소스 또는 액세스 역할을 삭제하는 등의 필요한 정리를 수행합니다. Amazon CloudWatch에서 제공하는 도구를 사용하여 통합을 비활성화할 수 없는 경우에만 다음 단계를 진행합니다.

Amazon CloudWatch 콘솔이나 도구를 사용하여 신뢰할 수 있는 액세스를 비활성화하는 경우 이러한 단계를 완료할 필요가 없습니다.

CloudWatch 콘솔을 사용하여 신뢰할 수 있는 액세스를 끄려면

자세한 내용은 Amazon CloudWatch 사용 설명서CloudWatch 원격 측정 감사 끄기를 참조하세요.

CloudWatch에서 신뢰할 수 있는 액세스를 끄면 원격 측정 감사가 더 이상 활성화되지 않으며 Network Flow Monitor에서 더 이상 다중 계정으로 작업할 수 없습니다.

Organizations AWS CLI 명령을 실행하거나, AWS SDK 중 하나에서 Organizations API 작업을 호출하여 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.

AWS CLI, AWS API
Organizations CLI/SDK를 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화하려면

다음 AWS CLI 명령 또는 API 작업을 사용하면 신뢰할 수 있는 서비스 액세스를 비활성화할 수 있습니다.

  • AWS CLI: disable-aws-service-access

    다음 명령을 실행하면 Organizations와 상호 신뢰할 수 있는 서비스로 Amazon CloudWatch를 비활성화할 수 있습니다.

    $ aws organizations disable-aws-service-access \
    --service-principal observabilityadmin.amazonaws.com

    이 명령은 성공 시 출력을 생성하지 않습니다.

  • AWS API: DisableAWSServiceAccess

CloudWatch에 대한 위임된 관리자 계정 등록

조직의 위임된 관리자 계정으로 멤버 계정을 등록하면, 해당 계정의 사용자와 역할이 CloudWatch에 대한 관리 작업을 수행할 수 있습니다. 이 작업은 일반적으로 조직 관리 계정으로 로그인한 사용자나 역할만 수행할 수 있습니다. 위임된 관리자 계정을 사용하면 조직의 관리와 CloudWatch의 기능 관리를 분리할 수 있습니다.

최소 권한

Organizations 관리 계정의 관리자만이 조직의 CloudWatch에 대한 위임된 관리자 계정으로 멤버 계정을 등록할 수 있습니다.

CloudWatch 콘솔을 사용하여 위임된 관리자 계정을 등록하거나, AWS Command Line Interface 또는 SDK로 Organizations RegisterDelegatedAdministrator API 작업을 사용하여 등록할 수 있습니다.

CloudWatch 콘솔을 사용하여 위임된 관리자 계정을 등록하는 방법에 대한 자세한 내용은 Amazon CloudWatch 사용 설명서CloudWatch 원격 측정 감사 켜기를 참조하세요.

CloudWatch에 위임된 관리자 계정을 등록할 때 원격 측정 감사 및 Network Flow Monitor를 사용하여 관리 작업에 계정을 사용할 수 있습니다.

CloudWatch의 위임된 관리자 등록 취소

최소 권한

Organizations 관리 계정으로 로그인한 관리자만이 조직에서 CloudWatch에 대한 위임된 관리자 계정을 등록 취소할 수 있습니다.

CloudWatch 콘솔을 사용하거나 AWS Command Line Interface 또는 SDK를 사용하여 Organizations DeregisterDelegatedAdministrator API 작업을 사용하여 위임된 관리자 계정을 등록 취소할 수 있습니다. 자세한 내용은 Amazon CloudWatch 사용 설명서위임된 관리자 계정 등록 취소를 참조하세요.

CloudWatch에서 위임된 관리자 계정을 등록 취소할 때, 원격 측정 감사와 Network Flow Monitor를 사용한 관리 작업을 더 이상 사용할 수 없습니다.