기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Security Hub CSPM의 중앙 구성 이해
중앙 구성은 여러 AWS 계정 및에서 AWS Security Hub CSPM을 설정하고 관리하는 데 도움이 되는 Security Hub CSPM 기능입니다 AWS 리전. 중앙 구성을 사용하려면 먼저 Security Hub CSPM과를 통합해야 합니다 AWS Organizations. 조직을 만들고 조직에 위임된 Security Hub CSPM 관리자 계정을 지정하여 서비스를 통합할 수 있습니다.
위임된 Security Hub CSPM 관리자 계정에서 여러 리전에 걸쳐 조직의 계정 및 조직 단위(OU)에 대해 Security Hub CSPM을 활성화할 수 있습니다. 여러 리전에 걸쳐 계정 및 OU에 대해 개별 보안 표준 및 보안 제어를 활성화, 구성, 비활성화할 수도 있습니다. *홈 리전*이라고 하는 하나의 기본 리전에서 몇 단계만 거치면 이러한 설정을 구성할 수 있습니다.
중앙 구성을 사용하는 경우, 위임된 관리자는 구성할 계정과 OU를 선택할 수 있습니다. 위임된 관리자가 구성원 계정 또는 OU를 *자체 관리형*으로 지정하는 경우, 구성원은 각 리전에서 개별적으로 자체 설정을 구성할 수 있습니다. 위임된 관리자가 구성원 계정 또는 OU를 *중앙 관리형*으로 지정하는 경우, 위임된 관리자만 여러 리전에 걸쳐 구성원 계정 또는 OU를 구성할 수 있습니다. 조직의 모든 계정과 OU를 중앙 관리형, 자체 관리형 또는 이 둘의 조합으로 지정할 수 있습니다.
중앙 관리형 계정을 구성하기 위해 위임된 관리자는 Security Hub CSPM 구성 정책을 사용합니다. 위임된 관리자는 구성 정책을 통해 Security Hub CSPM의 활성화 또는 비활성화 여부와 활성화 또는 비활성화되는 표준 및 제어를 지정할 수 있습니다. 구성 정책은 특정 제어의 파라미터를 사용자 지정하는 데에도 사용할 수 있습니다.
구성 정책은 홈 리전 및 연결된 모든 리전에 적용됩니다. 위임된 관리자는 중앙 구성을 사용하기 전에 조직의 홈 리전과 연결된 리전을 지정합니다. 연결된 리전 지정은 선택 사항입니다. 위임된 관리자는 전체 조직을 위한 단일 구성 정책을 만들거나 여러 구성 정책을 만들어 여러 계정 및 OU에 대한 변수 설정을 구성할 수 있습니다.
**작은 정보**
중앙 구성을 사용하지 않는 경우, 대개 각 계정 및 리전에서 개별적으로 Security Hub CSPM을 구성해야 합니다. 이를 *로컬 구성*이라고 합니다. 로컬 구성에서 위임된 관리자는 현재 리전의 새로운 조직 계정에서 Security Hub CSPM 및 기본 보안 표준을 자동으로 활성화할 수 있습니다. 로컬 구성은 기존 조직 계정 또는 현재 리전 이외의 리전에는 적용되지 않습니다. 또한 로컬 구성에서는 구성 정책 사용을 지원하지 않습니다.
이 섹션에서는 중앙 구성의 개요를 다룹니다.
## 중앙 구성의 이점
중앙 구성의 이점은 다음과 같습니다.
**Security Hub CSPM 서비스 및 기능의 구성 간소화**
중앙 구성을 사용하는 경우, Security Hub CSPM은 조직의 보안 모범 사례를 구성하는 프로세스를 안내합니다. 또한 결과 구성 정책을 지정된 계정 및 OU에 자동으로 배포합니다. 새로운 보안 제어 자동 활성화와 같은 기존 Security Hub CSPM 설정이 있는 경우, 해당 설정을 구성 정책의 시작점으로 사용할 수 있습니다. 또한 Security Hub CSPM 콘솔의 **구성** 페이지에는 구성 정책, 각 정책을 사용하는 계정 및 OU에 대한 실시간 요약이 표시됩니다.
**계정 및 리전 전반에 걸쳐 구성**
중앙 구성을 사용하여 여러 계정 및 리전에 걸쳐 Security Hub CSPM을 구성할 수 있습니다. 이렇게 하면 조직의 각 부분이 일관된 구성과 적절한 보안 범위를 유지할 수 있습니다.
**계정과 OU마다 서로 다른 구성 수용**
중앙 구성을 사용하면 조직의 계정과 OU를 다양한 방식으로 구성하도록 선택할 수 있습니다. 예를 들어, 테스트 계정과 프로덕션 계정에는 서로 다른 구성이 필요할 수 있습니다. 새로운 계정이 조직에 가입할 때 적용되는 구성 정책을 만들 수도 있습니다.
**구성 드리프트 방지**
구성 드리프트는 사용자가 위임된 관리자의 선택 사항과 충돌하는 서비스나 기능을 변경할 때마다 발생합니다. 중앙 구성은 이러한 드리프트를 방지합니다. 계정이나 OU를 중앙 관리형으로 지정하면 조직의 위임된 관리자만 해당 계정이나 OU를 구성할 수 있습니다. 특정 계정이나 OU에서 자체 설정을 구성하도록 하려면 해당 계정이나 OU를 자체 관리형으로 지정할 수 있습니다.
## 중앙 구성을 사용해야 하는 경우
중앙 구성은 여러 Security Hub CSPM 계정이 포함된 AWS 환경에 가장 유용합니다. 이 서비스는 여러 계정의 Security Hub CSPM을 중앙에서 관리할 수 있도록 설계되었습니다.
중앙 구성을 사용하여 Security Hub CSPM 서비스, 보안 표준 및 보안 제어를 구성할 수 있습니다. 또한 이를 사용하여 특정 제어의 파라미터를 사용자 지정할 수 있습니다. 보안 표준에 대한 자세한 정보는 [Security Hub CSPM의 보안 표준 이해](standards-view-manage.md) 섹션을 참조하세요. 보안 구성에 대한 자세한 내용은 [Security Hub CSPM의 보안 제어 이해](controls-view-manage.md) 섹션을 참조하세요.
## 중앙 구성 용어 및 개념
다음 주요 용어 및 개념을 이해하면 Security Hub CSPM 중앙 구성을 사용하는 데 도움이 될 수 있습니다.
**중앙 구성**
조직의 위임된 Security Hub CSPM 관리자 계정이 여러 계정 및 리전에 걸쳐 Security Hub CSPM 서비스, 보안 표준 및 보안 제어를 구성하는 데 도움이 되는 Security Hub CSPM 기능입니다. 이러한 설정을 구성하기 위해 위임된 관리자는 조직의 중앙 관리형 계정에 대한 Security Hub CSPM 구성 정책을 만들고 관리합니다. 자체 관리형 계정은 각 리전에서 개별적으로 자체 설정을 구성할 수 있습니다. 중앙 구성을 사용하려면 Security Hub CSPM과를 통합해야 합니다 AWS Organizations.
**홈 리전**
위임된 관리자가 구성 정책을 생성하고 관리하여 Security Hub CSPM을 중앙 AWS 리전 에서 구성하는 입니다. 구성 정책은 홈 리전 및 연결된 모든 리전에 적용됩니다.
홈 리전은 Security Hub CSPM 집계 영역 역할도 하며 연결된 리전으로부터 조사 결과, 인사이트 및 기타 데이터를 수신합니다.
2019년 3월 20일 이후에 AWS 도입된 리전을 옵트인 리전이라고 합니다. 옵트인 리전은 홈 리전이 될 수 없고 연결된 리전일 수 있습니다. 옵트인 리전 목록은 *AWS 계정 관리 참조 안내서*의 [리전 활성화 및 비활성화 전 고려 사항](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations)을 참조하세요.
**연결된 리전**
홈 리전에서 구성할 수 AWS 리전 있는 입니다. 구성 정책은 홈 리전의 위임된 관리자가 생성합니다. 이 정책은 홈 리전 및 연결된 모든 리전에 적용됩니다. 연결된 리전 지정은 선택 사항입니다.
또한 연결된 리전은 결과, 인사이트 및 기타 데이터를 홈 리전으로 보냅니다.
2019년 3월 20일 이후에 AWS 도입된 리전을 옵트인 리전이라고 합니다. 구성 정책을 적용하려면 먼저 계정에 대해 해당 리전을 활성화해야 합니다. Organizations 관리 계정은 구성원 계정의 옵트인 리전을 활성화할 수 있습니다. 자세한 내용은 계정 *AWS 관리 참조* [안내서의 계정에서 사용할 수 있는 지정을 참조 AWS 리전](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable)하세요.
**대상**
AWS 계정조직 단위(OU) 또는 조직 루트.
**Security Hub CSPM 구성 정책**
위임된 관리자가 중앙 관리형 계정에 대해 구성할 수 있는 Security Hub CSPM 설정 모음입니다. 여기에는 다음이 포함됩니다.
+ Security Hub CSPM을 활성화 또는 비활성화할지 여부.
+ 하나 이상의 [보안 표준](standards-reference.md)을 사용할지 여부.
+ 활성화된 표준 전반에서 활성화할 [보안 제어](securityhub-controls-reference.md). 위임된 관리자가 활성화해야 하는 특정 제어 목록을 제공하여 이 작업을 수행할 수 있으며, Security Hub CSPM은 다른 모든 제어(새로운 제어가 릴리스된 경우 포함)를 비활성화합니다. 또는 위임된 관리자가 비활성화해야 하는 특정 제어 목록을 제공할 수 있으며, Security Hub CSPM은 다른 모든 제어(새로운 제어가 릴리스된 경우 포함)를 활성화합니다.
+ 사용 가능한 표준에서 사용할 수 있는 제어를 선택할 수 있도록 [파라미터를 사용자 지정](custom-control-parameters.md)할 수도 있습니다.
구성 정책은 하나 이상의 계정, OU(조직 단위) 또는 루트와 연결된 후 홈 리전 및 연결된 모든 리전에 적용됩니다.
Security Hub CSPM 콘솔에서 위임된 관리자는 Security Hub CSPM 권장 구성 정책을 선택하거나 사용자 지정 구성 정책을 만들 수 있습니다. Security Hub CSPM API 및 AWS CLI를 사용하면 위임된 관리자가 사용자 지정 구성 정책만 생성할 수 있습니다. 위임된 관리자는 최대 20개의 사용자 지정 구성 정책을 만들 수 있습니다.
권장 구성 정책에서는 Security Hub CSPM, AWS 기본 보안 모범 사례(FSBP) 표준, 모든 기존 및 새로운 FSBP 제어가 활성화됩니다. 파라미터를 허용하는 제어는 기본값을 사용합니다. 권장 구성 정책은 전체 조직에 적용됩니다.
조직에 다른 설정을 적용하거나 다른 계정 및 OU에 다른 구성 정책을 적용하려면 사용자 지정 구성 정책을 만드세요.
**로컬 구성**
Security Hub CSPM과를 통합한 후 조직의 기본 구성 유형입니다 AWS Organizations. 로컬 구성을 사용하면 위임된 관리자가 현재 리전의 *새로운* 조직 계정에서 Security Hub CSPM 및 [기본 보안 표준](securityhub-auto-enabled-standards.md)을 자동으로 활성화하도록 선택할 수 있습니다. 위임된 관리자가 자동으로 기본 표준을 활성화하면 이러한 표준의 일부인 모든 제어도 새로운 조직 계정의 기본 파라미터와 함께 자동으로 활성화됩니다. 이러한 설정은 기존 계정에는 적용되지 않으므로 계정이 조직에 가입한 후에 구성 드리프트가 발생할 수 있습니다. 기본 표준의 일부인 특정 제어를 비활성화하고 추가 표준 및 제어를 구성하는 작업은 각 계정 및 리전에서 개별적으로 수행해야 합니다.
로컬 구성에서는 구성 정책 사용을 지원하지 않습니다. 구성 정책을 사용하려면 중앙 구성으로 전환해야 합니다.
**수동 계정 관리**
Security Hub CSPM을와 통합하지 AWS Organizations 않거나 독립 실행형 계정이 있는 경우 각 리전에서 각 계정에 대한 설정을 별도로 지정해야 합니다. 수동 계정 관리는 구성 정책 사용을 지원하지 않습니다.
**중앙 구성 API**
위임된 Security Hub CSPM 관리자만 홈 리전에서 중앙 관리형 계정의 구성 정책을 관리하는 데 사용할 수 있는 Security Hub CSPM 작업입니다. 작업에는 다음이 포함됩니다.
+ `CreateConfigurationPolicy`
+ `DeleteConfigurationPolicy`
+ `GetConfigurationPolicy`
+ `ListConfigurationPolicies`
+ `UpdateConfigurationPolicy`
+ `StartConfigurationPolicyAssociation`
+ `StartConfigurationPolicyDisassociation`
+ `GetConfigurationPolicyAssociation`
+ `BatchGetConfigurationPolicyAssociations`
+ `ListConfigurationPolicyAssociations`
**계정별 API**
계정별로 Security Hub CSPM, 표준 및 제어를 활성화하거나 비활성화하는 데 사용할 수 있는 Security Hub CSPM 작업입니다. 이러한 작업은 각 개별 리전에서 사용됩니다.
자체 관리형 계정은 계정별 작업을 사용하여 자체 설정을 구성할 수 있습니다. 중앙 관리형 계정은 홈 리전 및 연결된 리전에서 다음과 같은 계정별 작업을 사용할 수 없습니다. 해당 리전에서는 위임된 관리자만 중앙 구성 작업과 구성 정책을 통해 중앙 관리형 계정을 구성할 수 있습니다.
+ `BatchDisableStandards`
+ `BatchEnableStandards`
+ `BatchUpdateStandardsControlAssociations`
+ `DisableSecurityHub`
+ `EnableSecurityHub`
+ `UpdateStandardsControl`
중앙 관리형 계정의 소유자는 Security Hub CSPM API의 `Get` 또는 `Describe` 작업을 사용하여 계정 상태를 확인 *가능*합니다.
중앙 구성 대신 로컬 구성 또는 수동 계정 관리를 사용하는 경우, 이러한 계정별 작업을 사용할 수 있습니다.
자체 관리형 계정은 `*Invitations` 및 `*Members` 작업을 사용할 수도 있습니다. 그러나 자체 관리형 계정은 이러한 작업을 사용하지 않는 것을 권장합니다. 멤버 계정에 위임된 관리자와 다른 조직의 일부인 자체 멤버가 있는 경우, 정책 연결이 실패할 수 있습니다.
**조직 단위(OU)**
AWS Organizations 및 Security Hub CSPM에서 그룹의 컨테이너입니다 AWS 계정. 또한 조직 단위(OU)는 다른 OU를 포함할 수 있기 때문에 사용자는 위쪽에는 상위 OU가, 아래쪽에는 OU 가지가, 맨 끝에는 나뭇잎에 해당하는 계정이 있는 거꾸로 된 나무 형태의 계층 구조를 만들 수 있습니다. 각 OU는 정확히 하나의 상위 항목을 가질 수 있으며, 각 계정은 한 OU의 구성원만 될 수 있습니다.
AWS Organizations 또는에서 OUs 관리할 수 있습니다 AWS Control Tower. 자세한 내용은 *AWS Organizations 사용 설명서*의 [조직 단위 관리](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) 또는 *AWS Control Tower 사용 설명서*의 [AWS Control Tower(으)로 조직 및 계정 관리](https://docs.aws.amazon.com/controltower/latest/userguide/existing-orgs.html)를 참조하세요.
위임된 관리자는 구성 정책을 특정 계정 또는 OU에 연결하거나 조직의 모든 계정 및 OU를 포괄하는 루트와 연결할 수 있습니다.
**중앙 관리형**
위임된 관리자만 구성 정책을 사용하여 여러 리전에 걸쳐 구성할 수 있는 대상입니다.
위임된 관리자 계정은 계정을 대상을 중앙에서 관리할지 여부를 지정합니다. 위임된 관리자는 대상 상태를 중앙 관리형에서 자체 관리형으로 또는 그 반대로 변경할 수도 있습니다.
**자체 관리형**
자체 Security Hub CSPM 설정을 관리하는 대상입니다. 자체 관리형 계정은 계정별 작업을 사용하여 각 리전에서 개별적으로 Security Hub CSPM을 구성합니다. 이는 중앙 관리형 계정과 대조가 됩니다. 중앙 관리형 계정은 구성 정책을 통해 여러 리전의 위임된 관리자만 구성할 수 있습니다.
위임된 관리자 계정은 계정을 대상을 자체 관리할지 여부를 지정합니다. 위임된 관리자는 계정이나 대상에 자체 관리형 동작을 적용할 수 있습니다. 또는 계정 또는 OU가 상위 항목으로부터 자체 관리형 동작을 상속받을 수도 있습니다.
위임된 관리자 계정은 자체 관리형 계정일 수 있습니다. 위임된 관리자 계정은 대상의 상태를 자체 관리형에서 중앙 관리형으로 또는 그 반대 방향으로 변경할 수 있습니다.
**구성 정책 연결**
구성 정책과 계정, 조직 단위(OU) 또는 루트 간의 링크입니다. 정책 연결이 존재하는 경우, 계정, OU 또는 루트는 구성 정책에 정의된 설정을 사용합니다. 연결은 다음 두 경우 중 하나에 존재합니다.
+ 위임된 관리자가 계정, OU 또는 루트에 구성 정책을 직접 적용하는 경우
+ 계정 또는 OU가 상위 OU 또는 루트로부터 구성 정책을 상속하는 경우
연결은 다른 구성이 적용되거나 상속될 때까지 존재합니다.
**적용된 구성 정책**
위임된 관리자가 대상 계정, OU 또는 루트에 구성 정책을 직접 적용하는 구성 정책 연결의 한 유형입니다. 대상은 구성 정책에서 정의하는 방식으로 구성되며 위임된 관리자만 구성을 변경할 수 있습니다. 루트에 적용할 경우, 구성 정책은 적용 또는 가장 가까운 상위 항목으로부터의 상속을 통해 다른 구성을 사용하지 않는 조직 내 모든 계정과 OU에 영향을 미칩니다.
위임된 관리자는 자체 관리형 구성을 특정 계정, OU 또는 루트에 적용할 수도 있습니다.
**상속된 구성 정책**
계정이나 OU가 가장 가까운 상위 OU 또는 루트의 구성을 채택하는 구성 정책 연결의 한 유형입니다. 구성 정책은 계정이나 OU에 직접 적용되지 않는 경우, 가장 가까운 상위 항목의 구성을 상속합니다. 정책의 모든 요소가 상속됩니다. 즉, 계정이나 OU는 정책의 일부만 선택적으로 상속하도록 선택할 수 없습니다. 가장 가까운 상위 항목이 자체 관리형인 경우, 하위 계정 또는 OU는 상위 항목의 자체 관리형 동작을 상속합니다.
상속은 적용된 구성을 무시할 수 없습니다. 즉, 구성 정책 또는 자체 관리형 구성이 계정이나 OU에 직접 적용되는 경우, 해당 구성을 사용하며 상위 항목의 구성을 상속하지 않습니다.
**루트**
AWS Organizations 및 Security Hub CSPM에서 조직의 최상위 상위 노드입니다. 위임된 관리자가 루트에 구성 정책을 적용하면 해당 정책이 적용 또는 상속을 통해 다른 정책을 사용하거나 자체 관리형로 지정되지 않는 한 조직의 모든 계정 및 OU와 정책이 연결됩니다. 관리자가 루트를 자체 관리형으로 지정하면 적용 또는 상속을 통한 구성 정책을 사용하지 않는 한 조직의 모든 계정과 OU가 자체 관리형입니다. 루트가 자체 관리형이고 현재 구성 정책이 없는 경우, 조직의 모든 새로운 계정은 현재 설정을 유지합니다.
조직에 가입하는 새로운 계정은 특정 OU에 할당되기 전까지는 루트에 속합니다. 새로운 계정이 OU에 할당되지 않은 경우, 위임된 관리자가 해당 계정을 자체 관리형 계정으로 지정하지 않는 한 루트 구성을 상속합니다.
# Security Hub CSPM에서 중앙 구성 활성화
위임된 AWS Security Hub CSPM 관리자 계정은 중앙 구성을 사용하여 여러 계정 및 조직 단위(OUs)에 대한 Security Hub CSPM, 표준 및 제어를 구성할 수 있습니다 AWS 리전.
중앙 구성의 이점과 작동 방식에 대한 배경 정보는 [Security Hub CSPM의 중앙 구성 이해](central-configuration-intro.md) 섹션을 참조하세요.
이 섹션에서는 중앙 구성을 위한 사전 조건과 중앙 구성 사용을 시작하는 방법에 대해 설명합니다.
## 중앙 구성을 위한 사전 조건
중앙 구성 사용을 시작하려면 먼저 Security Hub CSPM을와 통합 AWS Organizations 하고 홈 리전을 지정해야 합니다. Security Hub CSPM 콘솔을 사용하는 경우, 이러한 사전 조건은 중앙 구성의 옵트인 워크플로에 포함됩니다.
### Organizations과 통합
중앙 구성을 사용하려면 Security Hub CSPM과 Organizations를 통합해야 합니다.
이러한 서비스를 통합하려면 먼저 Organizations에서 조직을 만들어야 합니다. 그런 다음 Organizations 관리 계정에서 Security Hub CSPM 위임된 관리자 계정을 지정합니다. 지침은 [Security Hub CSPM과 통합 AWS Organizations](designate-orgs-admin-account.md) 섹션을 참조하세요.
**원하는 홈 리전**에 위임된 관리자를 지정해야 합니다. 중앙 구성 사용을 시작하면 연결된 모든 리전에도 동일한 위임된 관리자가 자동으로 설정됩니다. Organizations 관리 계정은 위임된 관리자 계정으로 설정할 수 *없습니다*.
**중요**
중앙 구성을 사용하는 경우, Security Hub CSPM 콘솔 또는 Security Hub CSPM API를 사용하여 위임된 관리자 계정을 변경하거나 제거할 수 없습니다. Organizations 관리 계정이 AWS Organizations APIs 사용하여 Security Hub CSPM 위임된 관리자를 변경하거나 제거하는 경우 Security Hub CSPM은 자동으로 중앙 구성을 중지합니다. 구성 정책도 연결 해제되고 삭제됩니다. 구성원 계정은 위임된 관리자가 변경되거나 제거되기 전의 구성을 유지합니다.
### 홈 리전 지정
중앙 구성을 사용하려면 홈 리전을 지정해야 합니다. 홈 리전은 위임된 관리자가 조직을 구성하는 리전입니다.
**참고**
홈 리전은 옵트인 리전으로 AWS 지정된 리전일 수 없습니다. 옵트인 리전은 기본적으로 비활성화되어 있습니다. 옵트인 리전 목록은 *AWS 계정 관리 참조 안내서*의 [리전 활성화 및 비활성화 전 고려 사항](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-considerations)을 참조하세요.
선택적으로 홈 리전에서 구성할 수 있는 하나 이상의 연결된 리전을 지정할 수 있습니다.
위임된 관리자는 홈 리전에서만 구성 정책을 만들고 관리할 수 있습니다. 구성 정책은 홈 리전 및 연결된 모든 리전에 적용됩니다. 이러한 리전 중 일부에만 적용되고 다른 리전에는 적용되지 않는 구성 정책을 만들 수 없습니다. 단, 전역 리소스와 관련된 제어는 예외입니다. 중앙 구성을 사용하는 경우, Security Hub CSPM은 홈 리전을 제외한 모든 리전의 글로벌 리소스와 관련된 제어를 자동으로 비활성화합니다. 자세한 내용은 [글로벌 리소스를 사용하는 제어](controls-to-disable.md#controls-to-disable-global-resources) 단원을 참조하십시오.
홈 리전은 연결된 리전으로부터 조사 결과, 인사이트 및 기타 데이터를 수신하는 Security Hub CSPM 집계 영역이기도 합니다.
교차 리전 집계를 위한 집계 영역을 이미 설정했다면 이 리전이 중앙 구성의 기본 홈 리전입니다. 중앙 구성을 사용하기 전에 현재 조사 결과 집계자를 삭제하고 원하는 홈 리전에 새로운 조사 결과 집계자를 생성하여 홈 리전을 변경할 수 있습니다. 조사 결과 집계자는 홈 리전 및 연결된 리전을 지정하는 Security Hub CSPM 리소스입니다.
홈 리전을 지정하려면 [집계 영역 설정 단계](finding-aggregation-enable.md)를 따르세요. 이미 홈 리전이 있는 경우, [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindingAggregator.html) API를 호출하여 현재 연결된 리전을 포함하여 해당 리전에 대한 세부 정보를 확인할 수 있습니다.
## 중앙 구성 활성화 지침
원하는 방법을 선택하고 단계에 따라 조직의 중앙 구성을 활성화하세요.
------
#### [ Security Hub CSPM console ]
**중앙 구성 활성화(콘솔)**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 탐색 창에서 **설정** 및 **구성**을 선택합니다. 그런 다음 **중앙 구성 시작**을 선택합니다.
Security Hub CSPM에 온보딩하는 경우, **Security Hub CSPM으로 이동**을 선택합니다.
1. **위임된 관리자 지정** 페이지에서 위임된 관리자 계정을 선택하거나 계정 ID를 입력합니다. 해당하는 경우, 다른 AWS 보안 및 규정 준수 서비스에 설정한 것과 동일한 위임된 관리자를 선택하는 것이 좋습니다. **위임된 관리자 설정**을 선택합니다.
1. **조직 중앙 집중화** 페이지의 **리전** 섹션에서 홈 리전을 선택합니다. 계속하려면 홈 리전에 로그인해야 합니다. 교차 리전 집계를 위한 집계 영역을 이미 설정한 경우, 해당 리전이 홈 리전으로 표시됩니다. 홈 리전을 변경하려면 **리전 설정 편집**을 선택합니다. 그런 다음 원하는 홈 리전을 선택하고 이 워크플로로 돌아갈 수 있습니다.
1. 홈 리전에 연결할 리전을 하나 이상 선택합니다. 필요에 따라 나중에 지원되는 리전을 홈 리전에 자동으로 연결할지 여부를 선택합니다. 여기서 선택한 리전은 위임된 관리자가 홈 리전에서 구성할 수 있습니다. 구성 정책은 홈 리전 및 연결된 모든 리전에 적용됩니다.
1. **확인 및 계속**을 선택합니다.
1. 이제 중앙 구성을 사용할 수 있습니다. 계속해서 콘솔 프롬프트에 따라 첫 번째 구성 정책을 생성합니다. 구성 정책을 아직 만들 준비가 되지 않았다면 **아직 구성할 준비가 되지 않았음**을 선택합니다. 나중에 탐색 창에서 **설정** 및 **구성**을 선택하여 정책을 만들 수 있습니다. 구성 정책 생성에 대한 지침은 [구성 정책 생성 및 연결](create-associate-policy.md) 섹션을 참조하세요.
------
#### [ Security Hub CSPM API ]
**중앙 구성 활성화(API)**
1. 위임된 관리자 계정의 보안 인증 정보를 사용하여 홈 리전에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) API를 호출합니다.
1. `AutoEnable` 필드를 `false`(으)로 설정합니다.
1. `OrganizationConfiguration` 객체의 `ConfigurationType` 필드를 `CENTRAL`(으)로 설정합니다. 이 작업은 다음과 같은 영향을 미칩니다.
+ 호출 계정을 연결된 모든 리전의 Security Hub CSPM 위임된 관리자로 지정합니다.
+ 연결된 모든 리전의 위임된 관리자 계정에서 Security Hub CSPM을 활성화합니다.
+ 호출 계정을 Security Hub CSPM을 사용하고 조직에 속하는 새로운 및 기존 계정의 Security Hub CSPM 위임된 관리자로 지정합니다. 이는 홈 리전 및 연결된 모든 리전에서 발생합니다. 호출 계정은 Security Hub CSPM이 활성화된 구성 정책에 연결된 경우에만 새로운 조직 계정의 위임된 관리자로 설정됩니다. 호출 계정은 Security Hub CSPM이 이미 활성화된 경우에만 기존 조직 계정의 위임된 관리자로 설정됩니다.
+ 연결된 모든 리전에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnable)을(를) `false`(으)로 설정하고 홈 리전 및 연결된 모든 리전에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html#securityhub-UpdateOrganizationConfiguration-request-AutoEnableStandards)을(를) `NONE`(으)로 설정합니다. 이러한 파라미터는 중앙 구성을 사용할 때 홈 리전 및 연결된 리전과 관련이 없지만 구성 정책을 사용하여 조직 계정에서 Security Hub CSPM 및 기본 보안 표준을 자동으로 활성화할 수 있습니다.
1. 이제 중앙 구성을 사용할 수 있습니다. 위임된 관리자는 조직의 Security Hub CSPM을 구성하는 구성 정책을 만들 수 있습니다. 구성 정책 생성에 대한 지침은 [구성 정책 생성 및 연결](create-associate-policy.md) 섹션을 참조하세요.
**API 요청 예제:**
```
{
"AutoEnable": false,
"OrganizationConfiguration": {
"ConfigurationType": "CENTRAL"
}
}
```
------
#### [ AWS CLI ]
**중앙 구성 활성화(AWS CLI)**
1. 위임된 관리자 계정의 보안 인증 정보를 사용하여 홈 리전에서 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) 명령을 실행합니다.
1. `no-auto-enable` 파라미터를 포함합니다.
1. `organization-configuration` 객체의 `ConfigurationType` 필드를 `CENTRAL`(으)로 설정합니다. 이 작업은 다음과 같은 영향을 미칩니다.
+ 호출 계정을 연결된 모든 리전의 Security Hub CSPM 위임된 관리자로 지정합니다.
+ 연결된 모든 리전의 위임된 관리자 계정에서 Security Hub CSPM을 활성화합니다.
+ 호출 계정을 Security Hub CSPM을 사용하고 조직에 속하는 새로운 및 기존 계정의 Security Hub CSPM 위임된 관리자로 지정합니다. 이는 홈 리전 및 연결된 모든 리전에서 발생합니다. 통화 계정은 Security Hub가 활성화된 구성 정책에 연결된 경우에만 새로운 조직 계정의 위임된 관리자로 설정됩니다. 호출 계정은 Security Hub CSPM이 이미 활성화된 경우에만 기존 조직 계정의 위임된 관리자로 설정됩니다.
+ 연결된 모든 리전에서 자동 활성화 옵션을 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options)로 설정하고 홈 리전 및 연결된 모든 리전에서 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html#options)를 `NONE`으로 설정합니다. 이러한 파라미터는 중앙 구성을 사용할 때 홈 리전 및 연결된 리전과 관련이 없지만 구성 정책을 사용하여 조직 계정에서 Security Hub CSPM 및 기본 보안 표준을 자동으로 활성화할 수 있습니다.
1. 이제 중앙 구성을 사용할 수 있습니다. 위임된 관리자는 조직의 Security Hub CSPM을 구성하는 구성 정책을 만들 수 있습니다. 구성 정책 생성에 대한 지침은 [구성 정책 생성 및 연결](create-associate-policy.md) 섹션을 참조하세요.
**명령 예제:**
```
aws securityhub --region us-east-1 update-organization-configuration \
--no-auto-enable \
--organization-configuration '{"ConfigurationType": "CENTRAL"}'
```
------
# 중앙 관리형 및 자체 관리형 대상
중앙 구성을 활성화하면 위임된 AWS Security Hub CSPM 관리자가 각 조직 계정, 조직 단위(OU) 및 루트를 *중앙 관리*형 또는 *자체 관리형*으로 지정할 수 있습니다. 대상의 관리 유형에 따라 Security Hub CSPM 설정을 지정하는 방법이 결정됩니다.
중앙 구성의 이점과 작동 방식에 대한 배경 정보는 [Security Hub CSPM의 중앙 구성 이해](central-configuration-intro.md) 섹션을 참조하세요.
이 섹션에서는 중앙 관리형 지정과 자체 관리형 지정의 차이점과 계정, OU 또는 루트의 관리 유형을 선택하는 방법을 설명합니다.
**자체 관리형**
자체 관리형 계정, OU 또는 루트의 소유자는 각각에서 별도로 설정을 구성해야 합니다 AWS 리전. 위임된 관리자는 자체 관리형 대상에 대한 구성 정책을 생성할 수 없습니다.
**중앙 관리형**
위임된 Security Hub CSPM 관리자만이 홈 리전 및 연결된 리전의 중앙 관리 계정, OU 또는 루트의 설정을 구성할 수 있습니다. 구성 정책을 중앙 관리형 계정 및 OU에 연결할 수 있습니다.
위임된 관리자는 계정이나 중앙 관리 사이의 대상 상태를 전환할 수 있습니다. 기본적으로 Security Hub CSPM API를 통해 중앙 구성을 시작하면 모든 계정과 OU는 자체 관리합니다. 콘솔에서 관리 유형은 첫 번째 구성 정책에 따라 달라집니다. 첫 번째 정책에 연결하는 계정과 OU는 중앙에서 관리합니다. 다른 계정과 OU는 기본적으로 자체에서 관리합니다.
구성 정책을 이전의 자체 관리형 계정과 연결하면 정책 설정이 자체 관리형 지정을 재정의합니다. 계정이 중앙에서 관리되고 구성 정책에 반영된 설정을 채택합니다.
중앙 관리형 계정을 자체 관리형 계정으로 변경하면 이전에 구성 정책을 통해 계정에 적용된 설정이 그대로 유지됩니다. 예를 들어 중앙 관리형 계정은 처음에 Security Hub CSPM을 활성화하고 AWS , 기본 보안 모범 사례를 활성화하고, CloudTrail.1. 그런 다음 이 계정을 자체 관리형으로 지정하면 모든 설정이 변경되지 않습니다. 하지만 이후 계정 소유자가 계정의 설정을 독립적으로 변경할 수 있습니다.
하위 계정과 OU는 자체 관리형 상위 계정의 자체 관리형 동작을 상속할 수 있습니다. 이는 하위 계정과 OU가 중앙 관리형 상위 계정으로부터 구성 정책을 상속받는 것과 마찬가지입니다. 자세한 내용은 [적용 및 상속을 통한 정책 연결](configuration-policies-overview.md#policy-association) 섹션을 참조하세요.
자체 관리형 계정 또는 OU는 상위 노드 또는 루트에서 구성 정책을 상속할 수 없습니다. 예를 들어, 조직의 모든 계정과 OU가 루트에서 구성 정책을 상속하도록 하려면 자체 관리형 노드의 관리 유형을 중앙 관리형으로 변경해야 합니다.
## 자체 관리형 계정에서 설정을 구성하는 옵션
자체 관리형 계정은 각 리전에서 개별적으로 자체 설정을 구성해야 합니다.
자체 관리형 계정의 소유자는 각 리전에서 Security Hub CSPM API의 작업을 간접적으로 호출하여 설정을 구성할 수 있습니다.
+ Security Hub CSPM 서비스를 활성화 또는 비활성화하는 `EnableSecurityHub` 및 `DisableSecurityHub`(자체 관리형 계정에 위임된 Security Hub CSPM 관리자가 있는 경우, 계정 소유자가 Security Hub CSPM을 비활성화하기 전에 관리자가 [계정을 연결 해제](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html)해야 함).
+ 표준을 활성화 또는 비활성화하는 `BatchEnableStandards` 및 `BatchDisableStandards`
+ 제어를 활성화 또는 비활성화하는 `BatchUpdateStandardsControlAssociations` 또는 `UpdateStandardsControl`
자체 관리형 계정은 `*Invitations` 및 `*Members` 작업을 사용할 수도 있습니다. 그러나 자체 관리형 계정은 이러한 작업을 사용하지 않는 것을 권장합니다. 멤버 계정에 위임된 관리자와 다른 조직의 일부인 자체 멤버가 있는 경우, 정책 연결이 실패할 수 있습니다.
Security Hub CSPM API 작업에 대한 설명은 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html)를 참조하세요.
자체 관리형 계정은 Security Hub CSPM 콘솔 또는를 사용하여 각 리전에서 설정을 AWS CLI 구성할 수도 있습니다.
자체 관리형 계정은 Security Hub CSPM 구성 정책 및 정책 연결과 관련된 API를 간접적으로 호출할 수 없습니다. 위임된 관리자만 중앙 구성 API를 호출하고 구성 정책을 사용하여 중앙 관리형 계정을 구성할 수 있습니다.
## 대상의 관리 유형 선택
원하는 방법을 선택하고 단계에 따라 AWS Security Hub CSPM에서 계정 또는 OU를 중앙 관리형 또는 자체 관리형으로 지정합니다.
------
#### [ Security Hub CSPM console ]
**계정 또는 OU의 관리 유형을 선택하려면**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
홈 리전에서 위임된 Security Hub CSPM 관리자 계정의 자격 증명을 사용하여 로그인합니다.
1. **구성**을 선택합니다.
1. **조직** 탭에서 대상 계정 또는 OU를 선택합니다. **편집**을 선택합니다.
1. 위임된 관리자가 대상 계정 또는 OU를 구성하도록 하려면 **구성 정의** 페이지의 **관리 유형**에서 **중앙 관리형**을 선택합니다. 그런 다음 기존 구성 정책을 대상과 연결하려면 **특정 정책 적용**을 선택합니다. 대상이 가장 가까운 상위 항목의 구성을 상속하도록 하려면 **나의 조직에서 상속**을 선택합니다. 계정이나 OU에서 자체 설정을 구성하도록 하려면 **자체 관리형**을 선택합니다.
1. **다음**을 선택합니다. 변경 사항을 검토하고 **저장**을 선택합니다.
------
#### [ Security Hub CSPM API ]
**계정 또는 OU의 관리 유형을 선택하려면**
1. 홈 리전의 Security Hub CSPM 위임된 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) API를 간접적으로 호출합니다.
1. `ConfigurationPolicyIdentifier` 필드에서 계정 또는 OU가 자체 설정을 제어하도록 하려면 `SELF_MANAGED_SECURITY_HUB`을(를) 입력합니다. 위임된 관리자가 계정 또는 OU에 대한 설정을 제어하도록 하려면 관련 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 제공합니다.
1. `Target` 필드에 관리 유형을 변경하려는 대상의 AWS 계정 ID, OU ID 또는 루트 ID를 입력합니다. 그러면 자체 관리형 동작 또는 지정된 구성 정책이 대상과 연결됩니다. 대상의 하위 계정은 자체 관리형 동작 또는 구성 정책을 상속할 수 있습니다.
**자체 관리형 계정을 지정하기 위한 API 요청 예제:**
```
{
"ConfigurationPolicyIdentifier": "SELF_MANAGED_SECURITY_HUB",
"Target": {"AccountId": "123456789012"}
}
```
------
#### [ AWS CLI ]
**계정 또는 OU의 관리 유형을 선택하려면**
1. 홈 리전의 Security Hub CSPM 위임된 관리자 계정에서 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) 명령을 실행합니다.
1. `configuration-policy-identifier` 필드에서 계정 또는 OU가 자체 설정을 제어하도록 하려면 `SELF_MANAGED_SECURITY_HUB`을(를) 입력합니다. 위임된 관리자가 계정 또는 OU에 대한 설정을 제어하도록 하려면 관련 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 제공합니다.
1. `target` 필드에 관리 유형을 변경하려는 대상의 AWS 계정 ID, OU ID 또는 루트 ID를 입력합니다. 그러면 자체 관리형 동작 또는 지정된 구성 정책이 대상과 연결됩니다. 대상의 하위 계정은 자체 관리형 동작 또는 구성 정책을 상속할 수 있습니다.
**자체 관리형 계정을 지정하기 위한 명령 예제:**
```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "SELF_MANAGED_SECURITY_HUB" \
--target '{"AccountId": "123456789012"}'
```
------
# Security Hub CSPM 구성 정책 작동 방식
위임된 AWS Security Hub CSPM 관리자는 구성 정책을 생성하여 조직의 Security Hub CSPM, 보안 표준 및 보안 제어를 구성할 수 있습니다. 구성 정책을 생성한 후 위임된 관리자는 이를 특정 계정, 조직 단위(OU) 또는 루트에 연결할 수 있습니다. 그러면 지정된 계정, OU 또는 루트에 정책이 적용됩니다.
중앙 구성의 이점과 작동 방식에 대한 배경 정보는 [Security Hub CSPM의 중앙 구성 이해](central-configuration-intro.md) 섹션을 참조하세요.
이 섹션에서는 구성 정책에 대한 자세한 개요를 제공합니다.
## 정책 고려 사항
Security Hub CSPM에서 구성 정책을 만들 전에 다음 사항을 고려하세요.
+ **구성 정책을 적용하려면 연결해야 합니다** – 구성 정책을 만든 후 하나 이상의 계정, OU(조직 단위) 또는 루트와 연결할 수 있습니다. 구성 정책은 직접 적용을 통해 또는 상위 OU로부터의 상속을 통해 계정 또는 OU와 연결할 수 있습니다.
+ **계정 또는 OU를 하나의 구성 정책에만 연결할 수 있습니다** – 설정 충돌을 방지하기 위해 계정 또는 OU를 한 번에 하나의 구성 정책에만 연결할 수 있습니다. 또는 계정이나 OU를 자체 관리할 수도 있습니다.
+ **구성 정책은 완전합니다** – 구성 정책은 완전한 설정 사양을 제공합니다. 예를 들어, 하위 계정은 한 정책의 일부 제어에 대한 설정과 다른 정책의 다른 제어에 대한 설정을 수락할 수 없습니다. 정책을 하위 계정에 연결할 때는 하위 계정에서 사용할 모든 설정이 정책에 지정되어 있는지 확인하세요.
+ **구성 정책은 되돌릴 수 없습니다** – 계정 또는 OU와 연결한 후에는 구성 정책을 되돌리는 옵션이 없습니다. 예를 들어, CloudWatch 제어를 비활성화하는 구성 정책을 특정 계정과 연결한 다음 해당 정책의 연결을 해제하면 해당 계정에서 CloudWatch 제어가 비활성화된 상태로 유지됩니다. CloudWatch 제어를 다시 활성화하려면 계정을 제어를 활성화하는 새로운 정책과 연결할 수 있습니다. 또는 계정을 자체 관리형으로 변경하고 계정의 각 CloudWatch 제어를 활성화할 수 있습니다.
+ **구성 정책은 홈 리전 및 연결된 모든 리전에 적용됩니다** – 구성 정책은 홈 리전 및 연결된 모든 리전의 모든 관련 계정에 영향을 미칩니다. 이러한 리전 중 일부에만 적용되고 다른 리전에는 적용되지 않는 구성 정책을 만들 수 없습니다. 단, [글로벌 리소스와 관련된 제어](controls-to-disable.md#controls-to-disable-global-resources)는 예외입니다. Security Hub CSPM은 홈 리전을 제외한 모든 리전의 글로벌 리소스와 관련된 제어를 자동으로 비활성화합니다.
2019년 3월 20일 이후에 AWS 도입된 리전을 옵트인 리전이라고 합니다. 구성 정책이 계정에 적용되기 전에 해당 계정의 리전을 활성화해야 합니다. Organizations 관리 계정은 구성원 계정의 옵트인 리전을 활성화할 수 있습니다. 옵트인 리전 활성화에 대한 지침은 *AWS 계정 관리 참조 안내서*의 [ 계정에서 사용할 수 있는 지정을 참조 AWS 리전](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-regions.html#rande-manage-enable)하세요.
정책이 홈 리전 또는 하나 이상의 연결된 리전에서 사용할 수 없는 제어를 구성하는 경우, Security Hub CSPM은 사용할 수 없는 리전의 제어 구성을 건너뛰고 제어를 사용할 수 있는 리전에 구성을 적용합니다. 홈 리전 또는 연결된 리전에서 사용할 수 없는 제어에 대한 적용 범위가 부족합니다.
+ **구성 정책은 리소스입니다** – 구정 정책은 리소스로서 Amazon 리소스 이름(ARN) 및 범용 고유 식별자(UUID)를 포함합니다. 제품 ARN은 `arn:partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUID` 형식을 사용합니다. 자체 관리형 구성에는 ARN 또는 UUID가 없습니다. 자체 관리형 구성의 식별자는 `SELF_MANAGED_SECURITY_HUB`입니다.
## 구성 정책 유형
각 구성 정책은 다음 설정을 지정합니다.
+ Security Hub CSPM을 활성화하거나 비활성화합니다.
+ 하나 이상의 [보안 표준](standards-reference.md)을 활성화합니다.
+ 활성화된 표준 전반에서 어떤 [보안 제어](securityhub-controls-reference.md)를 사용할 수 있는지 표시합니다. 이를 위해 활성화해야 하는 특정 제어 목록을 제공할 수 있습니다. 그러면 Security Hub CSPM은 새로운 제어가 릴리스될 때 새로운 제어를 포함한 다른 모든 제어를 비활성화합니다. 또는 비활성화해야 하는 특정 제어의 목록을 제공할 수 있습니다. 그러면 Security Hub CSPM은 새로운 제어가 릴리스될 때 새로운 제어를 포함한 다른 모든 제어를 활성화합니다.
+ 사용 가능한 표준에서 사용할 수 있는 제어를 선택할 수 있도록 [파라미터를 사용자 지정](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html)할 수도 있습니다.
중앙 구성 정책에는 AWS Config 레코더 설정이 포함되지 않습니다. Security Hub CSPM이 제어 조사 결과를 생성하려면 필요한 리소스에 대한 기록을 별도로 활성화 AWS Config 하고 활성화해야 합니다. 자세한 내용은 [활성화 및 구성 전 고려 사항 AWS Config](securityhub-setup-prereqs.md#securityhub-prereq-config) 단원을 참조하십시오.
중앙 구성을 사용하는 경우, Security Hub CSPM은 홈 리전을 제외한 모든 리전의 글로벌 리소스와 관련된 제어를 자동으로 비활성화합니다. 구성 정책을 통해 활성화하도록 선택한 다른 제어는 사용 가능한 모든 리전에서 활성화됩니다. 이러한 제어에 대한 조사 결과를 한 리전으로만 제한하려면 AWS Config 레코더 설정을 업데이트하고 홈 리전을 제외한 모든 리전에서 글로벌 리소스 기록을 끌 수 있습니다.
글로벌 리소스를 평가하는 활성화된 제어가 홈 리전에서 지원되지 않는 경우 Security Hub CSPM은 해당 제어가 지원되는 연결된 리전에서 제어를 활성화하려고 시도합니다. 중앙 구성을 사용하는 경우, 홈 리전 또는 연결된 리전에서 사용할 수 없는 제어에 대한 적용 범위가 부족합니다.
글로벌 리소스와 관련된 제어 목록은 [글로벌 리소스를 사용하는 제어](controls-to-disable.md#controls-to-disable-global-resources) 섹션을 참조하세요.
### 권장 구성 정책
*Security Hub CSPM 콘솔에서 처음으로* 구성 정책을 생성할 때는 Security Hub CSPM 권장 정책을 선택할 수 있습니다.
권장 정책은 Security Hub CSPM, AWS 기본 보안 모범 사례(FSBP) 표준, 모든 기존 및 새 FSBP 제어를 활성화합니다. 파라미터를 허용하는 제어는 기본값을 사용합니다. 권장 정책은 루트(새로운 및 기존 모든 계정 및 OU)에 적용됩니다. 조직을 위한 권장 정책을 만든 후 위임된 관리자 계정에서 수정할 수 있습니다. 예를 들어, 추가 표준 또는 제어를 활성화하거나 특정 FSBP 제어를 비활성화할 수 있습니다. 구성 정책 수정에 대한 지침은 [구성 정책 업데이트](update-policy.md) 섹션을 참조하세요.
### 사용자 지정 구성 정책
위임된 관리자는 권장 정책 대신 최대 20개의 사용자 지정 구성 정책을 만들 수 있습니다. 단일 사용자 지정 정책을 전체 조직에 연결하거나 계정 및 OU가 서로 다른 사용자 지정 정책을 연결할 수 있습니다. 사용자 지정 구성 정책에서 원하는 설정을 지정합니다. 예를 들어, FSBP, CIS(인터넷 보안 센터) AWS Foundations Benchmark v1.4.0 및 Amazon Redshift 제어를 제외한 해당 표준의 모든 제어를 활성화하는 사용자 지정 정책을 생성할 수 있습니다. 사용자 지정 구성 정책에 사용하는 세분화 수준은 조직 전체의 의도한 보안 적용 범위에 따라 달라집니다.
**참고**
Security Hub CSPM을 비활성화하는 구성 정책을 위임된 관리자 계정과 연결할 수 없습니다. 이러한 정책을 다른 계정과 연결할 수는 있지만 위임된 관리자와의 연결은 건너뜁니다. 위임된 관리자 계정은 현재의 구성을 유지합니다.
사용자 지정 구성 정책을 만든 후 권장 구성을 반영하도록 구성 정책을 업데이트하여 권장 구성 정책으로 전환할 수 있습니다. 하지만 첫 번째 정책을 만든 후에는 Security Hub CSPM 콘솔에 권장 구성 정책을 생성할 수 있는 옵션이 표시되지 않습니다.
## 적용 및 상속을 통한 정책 연결
처음에 중앙 구성을 선택하면 조직은 연결되지 않으면 옵트인 전과 동일한 방식으로 동작합니다. 그러면 위임된 관리자가 구성 정책과 자체 관리형 동작, 계정, OU 또는 루트 간에 연결을 설정할 수 있습니다. *적용* 또는 *상속*을 통해 연결을 설정할 수 있습니다.
위임된 관리자 계정에서 구성 정책을 계정, OU 또는 루트에 직접 적용할 수 있습니다. 또는 위임된 관리자 계정, OU 또는 루트에 자체 관리형으로 직접 지정할 수도 있습니다.
직접 적용이 없는 경우, 계정 또는 OU는 구성 정책 또는 자체 관리형 동작이 있는 가장 가까운 상위 항목의 설정을 상속합니다. 가장 가까운 상위 항목이 구성 정책에 연결되어 있는 경우, 해당 정책은 해당 하위 항목에 상속되며 홈 리전의 위임된 관리자만 구성할 수 있습니다. 가장 가까운 상위가 자체 관리형인 경우 하위는 자체 관리형 동작을 상속하고 각각에 자체 설정을 지정할 수 있습니다 AWS 리전.
적용은 상속보다 우선합니다. 즉, 위임된 관리자가 계정이나 OU에 직접 적용한 구성 정책 또는 자체 관리형 지정은 상속이 재정의할 수 없습니다.
자체 관리형 계정에 구성 정책을 직접 적용하는 경우, 정책은 자체 관리형 지정을 재정의합니다. 계정이 중앙에서 관리되고 구성 정책에 반영된 설정을 채택합니다.
루트에 구성 정책을 직접 적용하는 것이 좋습니다. 정책을 루트에 적용하면 조직에 가입한 새로운 계정을 다른 정책에 연결하거나 자체 관리형으로 지정하지 않는 한 루트 정책을 자동으로 상속합니다.
적용이나 상속을 통해 한 번에 하나의 구성 정책만 계정이나 OU에 연결할 수 있습니다. 이는 설정 충돌을 방지하기 위한 것입니다.
다음 다이어그램은 중앙 구성에서 정책 적용 및 상속이 작동하는 방식을 보여줍니다.
![\[Security Hub CSPM 구성 정책 적용 및 상속\]](http://docs.aws.amazon.com/ko_kr/securityhub/latest/userguide/images/sechub-diagram-central-configuration-association.png)
이 예제에서 녹색으로 강조 표시된 노드에는 구성 정책이 적용되어 있습니다. 파란색으로 강조 표시된 노드에는 해당 노드에 적용된 구성 정책이 없습니다. 노란색으로 강조 표시된 노드는 자체 관리형 노드로 지정되었습니다. 각 계정 및 OU는 다음 구성을 사용합니다.
+ **OU:Root(녹색)** – 이 OU는 해당 OU에 적용된 구성 정책을 사용합니다.
+ **OU:Prod(파란색)** – 이 OU는 OU:Root의 구성 정책을 상속합니다.
+ **OU:Applications(녹색)** – 이 OU는 해당 OU에 적용된 구성 정책을 사용합니다.
+ **Account 1(녹색)** – 이 계정은 해당 계정에 적용된 구성 정책을 사용합니다.
+ **Account 2(파란색)** – 이 계정은 OU:Applications의 구성 정책을 상속합니다.
+ **OU:Dev(노란색)** – 이 OU는 자체 관리형입니다.
+ **Account 3(녹색)** – 이 계정은 해당 계정에 적용된 구성 정책을 사용합니다.
+ **Account 4(파란색)** – 이 계정은 OU:Dev의 자체 관리형 동작을 상속합니다.
+ **OU:Test(파란색)** – 이 계정은 OU:Root의 구성 정책을 상속합니다.
+ **Account 5(파란색)** – 이 계정은 OU:Root의 구성 정책을 상속합니다. 직계 상위 항목인 OU:Test가 구성 정책과 연결되어 있지 않기 때문입니다.
## 구성 정책 테스트
구성 정책이 작동하는 방식을 이해하려면 하나의 정책을 생성하고 이를 테스트 계정 또는 OU와 연결하는 것이 좋습니다.
**구성 정책을 테스트하려면**
1. 사용자 지정 구성 정책을 만들고 Security Hub CSPM 활성화, 표준 및 제어에 대해 지정된 설정이 올바른지 확인합니다. 지침은 [구성 정책 생성 및 연결](create-associate-policy.md) 섹션을 참조하세요.
1. 하위 계정이나 OU가 없는 테스트 계정 또는 OU에 구성 정책을 적용합니다.
1. 테스트 계정 또는 OU가 홈 리전 및 연결된 모든 리전에서 예상대로 구성 정책을 사용하는지 확인합니다. 또한 조직의 다른 모든 계정과 OU가 자체 관리 상태를 유지하고 각 리전에서 자체 설정을 변경할 수 있는지 확인할 수 있습니다.
단일 계정 또는 OU에서 구성 정책을 테스트한 후 다른 계정 및 OU와 연결할 수 있습니다.
# 구성 정책 생성 및 연결
위임된 AWS Security Hub CSPM 관리자 계정은 Security Hub CSPM, 표준 및 제어가 지정된 계정 및 조직 단위(OUs. 구성 정책은 위임된 관리자가 이를 적어도 하나 이상의 계정 또는 조직 단위(OU) 또는 루트에 연결한 후에만 적용됩니다. 위임된 관리자는 자체 관리형 구성을 특정 계정, OU 또는 루트에 적용할 수도 있습니다.
구성 정책을 처음 생성하는 경우, 먼저 [Security Hub CSPM 구성 정책 작동 방식](configuration-policies-overview.md) 섹션을 검토하는 것이 좋습니다.
원하는 액세스 방법을 선택하고 단계에 따라 구성 정책 또는 자체 관리 구성을 만들고 연결합니다. Security Hub CSPM 콘솔을 사용하는 경우, 구성을 여러 계정 또는 OU에 동시에 적용할 수 있습니다. Security Hub CSPM API 또는를 사용하는 경우 각 요청에서 하나의 계정 또는 OU에만 구성을 연결할 AWS CLI수 있습니다.
**참고**
중앙 구성을 사용하는 경우, Security Hub CSPM은 홈 리전을 제외한 모든 리전의 글로벌 리소스와 관련된 제어를 자동으로 비활성화합니다. 구성 정책을 통해 활성화하도록 선택한 다른 제어는 사용 가능한 모든 리전에서 활성화됩니다. 이러한 제어에 대한 조사 결과를 한 리전으로만 제한하려면 홈 리전을 제외한 모든 리전에서 AWS Config 레코더 설정을 업데이트하고 글로벌 리소스 기록을 끌 수 있습니다.
글로벌 리소스를 평가하는 활성화된 제어가 홈 리전에서 지원되지 않는 경우 Security Hub CSPM은 해당 제어가 지원되는 연결된 리전에서 제어를 활성화하려고 시도합니다. 중앙 구성을 사용하는 경우, 홈 리전 또는 연결된 리전에서 사용할 수 없는 제어에 대한 적용 범위가 부족합니다.
글로벌 리소스와 관련된 제어 목록은 [글로벌 리소스를 사용하는 제어](controls-to-disable.md#controls-to-disable-global-resources) 섹션을 참조하세요.
------
#### [ Security Hub CSPM console ]
**구성 정책을 만들고 연결하려면**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
홈 리전에서 위임된 Security Hub CSPM 관리자 계정의 자격 증명을 사용하여 로그인합니다.
1. 탐색 창에서 **구성** 및 **정책** 탭을 선택합니다. 그런 다음 **정책 생성**을 선택합니다.
1. 구성 정책을 처음 만들면 **조직 구성** 페이지의 **구성 유형** 아래에 세 가지 옵션이 표시됩니다. 구성 정책을 하나 이상 이미 만든 경우, **사용자 지정 정책** 옵션만 표시됩니다.
+ ** AWS 권장 정책을 사용하려면 전체 조직에서 권장 Security Hub CSPM 구성** 사용을 선택합니다. 권장 정책은 모든 조직 계정에서 Security Hub CSPM을 활성화하고, AWS 기본 보안 모범 사례(FSBP) 표준을 활성화하며, 모든 신규 및 기존 FSBP 제어를 활성화합니다. 제어는 기본 파라미터 값을 사용합니다.
+ 나중에 구성 정책을 만들려면 **아직 구성할 준비가 되지 않았음**을 선택합니다.
+ **사용자 지정 정책**을 선택하여 사용자 지정 구성 정책을 생성합니다. Security Hub CSPM을 활성화 또는 비활성화할지 여부, 활성화할 표준, 해당 표준에서 활성화할 제어를 지정합니다. 필요에 따라 사용자 지정 파라미터를 지원하는 하나 이상의 활성화된 제어에 대해 [사용자 지정 파라미터 값](custom-control-parameters.md)을 지정합니다.
1. **계정** 섹션에서 구성 정책을 적용할 대상 계정, OU 또는 루트를 선택합니다.
+ 구성 정책을 루트에 적용하려면 **모든 계정**을 선택합니다. 여기에는 다른 정책이 적용되거나 상속되지 않은 조직 내 모든 계정과 OU가 포함됩니다.
+ 구성 정책을 특정 계정 또는 OU에 적용하려면 **특정 계정**을 선택합니다. 계정 ID를 입력하거나 조직 구조에서 계정 및 OU를 선택합니다. 정책을 생성할 때 최대 15개의 대상(계정, OU 또는 루트)에 정책을 적용할 수 있습니다. 더 큰 수를 지정하려면 정책을 만든 후 편집하여 추가 대상에 적용하세요.
+ 구성 정책을 현재 위임된 관리자 계정에 적용하려면 **위임된 관리자만**을 선택합니다.
1. **다음**을 선택합니다.
1. **검토 및 배포** 페이지에서 구성 정책 세부 정보를 검토합니다. 그런 다음 **정책 생성 및 연결**을 선택합니다. 홈 리전 및 연결된 리전에서 이 작업은 이 구성 정책과 연결된 계정의 기존 구성 설정보다 우선 적용됩니다. 계정은 적용 또는 상위 노드로부터의 상속을 통해 구성 정책에 연결될 수 있습니다. 적용된 대상의 하위 계정 및 OU는 특별히 제외되거나, 자체 관리되거나, 다른 구성 정책을 사용하지 않는 한 이 구성 정책을 자동으로 상속합니다.
------
#### [ Security Hub CSPM API ]
**구성 정책을 만들고 연결하려면**
1. 홈 리전의 Security Hub CSPM 위임된 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateConfigurationPolicy.html) API를 간접적으로 호출합니다.
1. `Name`에서 구성 정책의 고유한 이름을 입력합니다. 필요에 따라 `Description`에서 구성 정책에 대한 설명을 제공할 수 있습니다.
1. `ServiceEnabled` 필드에서는 이 구성 정책에서 Security Hub CSPM을 활성화 또는 비활성화할지 여부를 지정합니다.
1. `EnabledStandardIdentifiers` 필드에서는 이 구성 정책에서 활성화할 Security Hub CSPM 표준을 지정합니다.
1. `SecurityControlsConfiguration` 개체에서는 이 구성 정책에서 활성화 또는 비활성화하려는 제어를 지정합니다. `EnabledSecurityControlIdentifiers`을(를) 선택하면 지정된 제어가 활성화됩니다. 활성화된 표준에 속하는 다른 제어(새롭게 릴리스된 제어 포함)는 비활성화됩니다. `DisabledSecurityControlIdentifiers`을(를) 선택하면 지정된 제어가 비활성화됩니다. 활성화된 표준에 속하는 다른 제어(새롭게 릴리스된 제어 포함)는 활성화됩니다.
1. 필요에 따라 파라미터를 사용자 지정하려는 활성화된 제어를 `SecurityControlCustomParameters` 필드에 지정할 수 있습니다. `ValueType` 필드에 `CUSTOM`을(를) 입력하고 `Value` 필드에 사용자 지정 파라미터 값을 입력합니다. 값은 올바른 데이터 유형이어야 하며 Security Hub CSPM에서 지정한 유효한 범위 내에 있어야 합니다. 일부 제어만 사용자 지정 파라미터 값을 지원합니다. 자세한 내용은 [Security Hub CSPM의 제어 파라미터 이해](custom-control-parameters.md) 단원을 참조하십시오.
1. 구성 정책을 계정 또는 OU에 적용하려면 홈 리전의 Security Hub CSPM 위임된 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) API를 간접적으로 호출합니다.
1. `ConfigurationPolicyIdentifier` 필드에는 정책의 Amazon 리소스 이름(ARN) 범용 고유 식별자(UUID)를 입력합니다. 이 ARN과 UUID는 `CreateConfigurationPolicy` API에 의해 반환됩니다. 자체 관리형 구성의 경우, `ConfigurationPolicyIdentifier` 필드는 `SELF_MANAGED_SECURITY_HUB`와(과) 같습니다.
1. `Target` 필드에는 이 구성 정책을 적용할 OU, 계정 또는 루트 ID를 입력합니다. API 요청별로 하나의 대상만 입력할 수 있습니다. 선택한 대상의 하위 계정 및 OU는 자체 관리형이거나 다른 구성 정책을 사용하지 않는 한 이 구성 정책을 자동으로 상속합니다.
**구성 정책을 생성하기 위한 API 요청 예제:**
```
{
"Name": "SampleConfigurationPolicy",
"Description": "Configuration policy for production accounts",
"ConfigurationPolicy": {
"SecurityHub": {
"ServiceEnabled": true,
"EnabledStandardIdentifiers": [
"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
"arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
],
"SecurityControlsConfiguration": {
"DisabledSecurityControlIdentifiers": [
"CloudTrail.2"
],
"SecurityControlCustomParameters": [
{
"SecurityControlId": "ACM.1",
"Parameters": {
"daysToExpiration": {
"ValueType": "CUSTOM",
"Value": {
"Integer": 15
}
}
}
}
]
}
}
}
}
```
**구성 정책을 연결하기 위한 API 요청 예제:**
```
{
"ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
```
------
#### [ AWS CLI ]
**구성 정책을 만들고 연결하려면**
1. 홈 리전의 Security Hub CSPM 위임된 관리자 계정에서 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-configuration-policy.html) 명령을 실행합니다.
1. `name`에서 구성 정책의 고유한 이름을 입력합니다. 필요에 따라 `description`에서 구성 정책에 대한 설명을 제공할 수 있습니다.
1. `ServiceEnabled` 필드에서는 이 구성 정책에서 Security Hub CSPM을 활성화 또는 비활성화할지 여부를 지정합니다.
1. `EnabledStandardIdentifiers` 필드에서는 이 구성 정책에서 활성화할 Security Hub CSPM 표준을 지정합니다.
1. `SecurityControlsConfiguration` 필드에서는 이 구성 정책에서 활성화 또는 비활성화하려는 제어를 지정합니다. `EnabledSecurityControlIdentifiers`을(를) 선택하면 지정된 제어가 활성화됩니다. 활성화된 표준에 속하는 다른 제어(새롭게 릴리스된 제어 포함)는 비활성화됩니다. `DisabledSecurityControlIdentifiers`을(를) 선택하면 지정된 제어가 비활성화됩니다. 활성화된 표준에 적용되는 다른 제어(새롭게 릴리스된 제어 포함)는 활성화됩니다.
1. 필요에 따라 파라미터를 사용자 지정하려는 활성화된 제어를 `SecurityControlCustomParameters` 필드에 지정할 수 있습니다. `ValueType` 필드에 `CUSTOM`을(를) 입력하고 `Value` 필드에 사용자 지정 파라미터 값을 입력합니다. 값은 올바른 데이터 유형이어야 하며 Security Hub CSPM에서 지정한 유효한 범위 내에 있어야 합니다. 일부 제어만 사용자 지정 파라미터 값을 지원합니다. 자세한 내용은 [Security Hub CSPM의 제어 파라미터 이해](custom-control-parameters.md) 단원을 참조하십시오.
1. 구성 정책을 계정 또는 OU에 적용하려면 홈 리전의 Security Hub CSPM 위임된 관리자 계정에서 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) 명령을 실행합니다.
1. `configuration-policy-identifier` 필드에는 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다. 이 ARN과 ID는 `create-configuration-policy` 명령에 의해 반환됩니다.
1. `target` 필드에는 이 구성 정책을 적용할 OU, 계정 또는 루트 ID를 입력합니다. 명령을 실행할 때마다 하나의 대상만 입력할 수 있습니다. 선택한 대상의 하위 항목은 자체 관리형이거나 다른 구성 정책을 사용하지 않는 한 이 구성 정책을 자동으로 상속합니다.
**구성 정책을 만들기 위한 명령 예제:**
```
aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```
**구성 정책을 연결하기 위한 명령 예제:**
```
aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'
```
------
`StartConfigurationPolicyAssociation` API는 `AssociationStatus`(이)라는 필드를 반환합니다. 이 필드는 정책 연결이 보류 중인지 또는 성공 또는 실패 상태인지를 알려줍니다. `PENDING`에서 `SUCCESS` 또는 `FAILURE`(으)로 상태가 변경되려면 최대 24시간이 걸릴 수 있습니다. 연결 상태에 대한 자세한 내용은 [구성 정책의 연결 상태 검토](view-policy.md#configuration-association-status) 섹션을 참조하세요.
# 구성 정책의 상태 및 세부 정보 검토
위임된 AWS Security Hub CSPM 관리자는 조직의 구성 정책과 세부 정보를 볼 수 있습니다. 여기에는 정책이 연결된 계정 및 조직 단위(OU)가 포함됩니다.
중앙 구성의 이점과 작동 방식에 대한 배경 정보는 [Security Hub CSPM의 중앙 구성 이해](central-configuration-intro.md) 섹션을 참조하세요.
원하는 방법을 선택하고 다음 단계에 따라 정책 구성을 확인하세요.
------
#### [ Security Hub CSPM console ]
**구성 정책(콘솔)을 보려면**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
홈 리전에서 위임된 Security Hub CSPM 관리자 계정의 자격 증명을 사용하여 로그인합니다.
1. 탐색 창에서 **설정** 및 **구성**을 선택합니다.
1. **정책** 탭을 선택하여 구성 정책의 개요를 확인합니다.
1. 구성 정책과 **세부 정보 보기**를 차례로 선택하여 어느 계정 및 OU가 연결되었는지를 포함한 추가 세부 정보를 확인합니다.
------
#### [ Security Hub CSPM API ]
모든 구성 정책의 요약 목록을 보려면 Security Hub CSPM API의 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicies.html) 작업을 사용합니다. 를 사용하는 경우 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policies.html) 명령을 AWS CLI실행합니다. 위임된 Security Hub CSPM 관리자 계정은 홈 리전의 작업을 간접적으로 호출합니다.
```
$ aws securityhub list-configuration-policies \
--max-items 5 \
--starting-token U2FsdGVkX19nUI2zoh+Pou9YyutlYJHWpn9xnG4hqSOhvw3o2JqjI23QDxdf
```
특정 구성 정책에 대한 세부 정보를 보려면 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicy.html) 작업을 사용합니다. 를 사용하는 경우를 AWS CLI실행합니다[https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy.html). 위임된 관리자 계정은 홈 리전의 작업을 호출합니다. 세부 정보를 확인할 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다.
```
$ aws securityhub get-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
모든 구성 정책 및 해당 계정 연결의 요약 목록을 보려면 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListConfigurationPolicyAssociations.html) 작업을 사용합니다. 를 사용하는 경우 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-configuration-policy-associations.html) 명령을 AWS CLI실행합니다. 위임된 관리자 계정은 홈 리전의 작업을 호출합니다. 필요에 따라 페이지 매김 파라미터를 제공하거나 특정 정책 ID, 연결 유형 또는 연결 상태를 기준으로 결과를 필터링할 수 있습니다.
```
$ aws securityhub list-configuration-policy-associations \
--filters '{"AssociationType": "APPLIED"}'
```
특정 계정에 대한 연결을 보려면 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetConfigurationPolicyAssociation.html) 작업을 사용합니다. 를 사용하는 경우 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-configuration-policy-association.html) 명령을 AWS CLI실행합니다. 위임된 관리자 계정은 홈 리전의 작업을 호출합니다. `target`에서 계정 번호, OU ID 또는 루트 ID를 입력합니다.
```
$ aws securityhub get-configuration-policy-association \
--target '{"AccountId": "123456789012"}'
```
------
## 구성 정책의 연결 상태 검토
다음 중앙 구성 API 작업은 `AssociationStatus` 필드를 반환합니다.
+ `BatchGetConfigurationPolicyAssociations`
+ `GetConfigurationPolicyAssociation`
+ `ListConfigurationPolicyAssociations`
+ `StartConfigurationPolicyAssociation`
이 필드는 기본 구성이 구성 정책인 경우와 자체 관리형 동작인 경우, 모두 반환됩니다.
`AssociationStatus`의 값은 특정 계정에 대한 정책 연결이 보류 중인지 또는 성공 또는 실패 상태인지를 알려줍니다. `PENDING`에서 `SUCCESS` 또는 `FAILED`(으)로 상태가 변경되려면 최대 24시간이 걸릴 수 있습니다. `SUCCESS` 상태는 구성 정책에 지정된 모든 설정이 계정과 연결되어 있음을 의미합니다. `FAILED` 상태는 구성 정책에 지정된 하나 이상의 설정이 계정과 연결되지 않았음을 의미합니다. `FAILED` 상태에도 불구하고 정책에 따라 계정을 부분적으로 구성할 수 있습니다. 예를 들어 Security Hub CSPM을 활성화하고 AWS , 기본 보안 모범 사례를 활성화하고, CloudTrail.1. 처음 2개 설정은 성공할 수 있지만 CloudTrail.1 설정은 실패할 수 있습니다. 이 예제에서, 일부 설정이 올바르게 구성되었더라도 연결 상태는 `FAILED`입니다.
상위 OU 또는 루트의 연결 상태는 해당 하위 항목의 상태에 따라 달라집니다. 모든 하위 항목의 연결 상태가 `SUCCESS`인 경우, 상위 항목의 연결 상태는 `SUCCESS`입니다. 하위 항목 하나 이상의 연결 상태가 `FAILED`인 경우 상위 항목의 연결 상태는 `FAILED`입니다.
`AssociationStatus`의 값은 모든 관련 리전에서 정책의 연결 상태에 따라 달라집니다. 홈 리전 및 연결된 모든 리전에서 연결이 성공하면 `AssociationStatus`의 값은 `SUCCESS`입니다. 이러한 리전 중 하나 이상에서 연결이 실패할 경우, `AssociationStatus`의 값은 `FAILED`입니다.
다음과 같은 동작은 `AssociationStatus`의 값에도 영향을 미칩니다.
+ 대상이 상위 OU이거나 루트인 경우, 모든 하위 항목이 `SUCCESS` 또는 `FAILED` 상태일 때만 `AssociationStatus`이 `SUCCESS` 또는 `FAILED`입니다. 상위 항목을 구성에 처음 연결한 후 하위 계정 또는 OU의 연결 상태가 변경되는 경우(예: 연결된 리전이 추가 또는 제거되는 경우), `StartConfigurationPolicyAssociation` API를 다시 호출하지 않는 한 상위 항목의 연결 상태가 업데이트되지 않습니다.
+ 대상이 계정이면, 홈 리전 및 연결된 모든 리전에서 연결 결과가 `SUCCESS` 또는 `FAILED`인 경우에만 `AssociationStatus`이 `SUCCESS` 또는 `FAILED`입니다. 대상 계정을 구성과 처음 연결한 후 대상 계정의 연결 상태가 변경되면(예: 연결된 리전이 추가 또는 제거되는 경우), 해당 연결 상태가 업데이트됩니다. 하지만 `StartConfigurationPolicyAssociation` API를 다시 호출하지 않는 한 변경으로 인해 상위 항목의 연결 상태가 업데이트되지 않습니다.
연결된 새로운 리전을 추가하는 경우, Security Hub CSPM은 새로운 리전의 `PENDING`, `SUCCESS` 또는 `FAILED` 상태에 있는 기존 연결을 복제합니다.
연결 상태가 `SUCCESS`인 경우에도 정책의 일부인 표준의 활성화 상태는 불완전 상태로 전환될 수 있습니다. 이 경우 Security Hub CSPM은 표준의 제어에 대한 조사 결과를 생성할 수 없습니다. 자세한 내용은 [표준의 상태 확인](enable-standards.md#standard-subscription-status) 단원을 참조하십시오.
## 연결 실패 문제 해결
AWS Security Hub CSPM에서는 다음과 같은 일반적인 이유로 구성 정책 연결이 실패할 수 있습니다.
+ **Organizations 관리 계정이 멤버가 아님** - 구성 정책을 Organizations 관리 계정과 연결하려면 해당 계정에 이미 AWS Security Hub CSPM이 활성화되어 있어야 합니다. 여기에는 관리 계정과 조직의 모든 구성원 계정이 포함됩니다.
+ **AWS Config 가 활성화되지 않았거나 올바르게 구성되지 않음** - 구성 정책에서 표준을 활성화하려면 관련 리소스를 기록하도록 활성화하고 구성해야 AWS Config 합니다.
+ **위임된 관리자 계정에서 연결해야 함** - 위임된 Security Hub CSPM 관리자 계정에 로그인한 경우에만 대상 계정 및 OU에 정책을 연결할 수 있습니다.
+ **홈 리전에서 연결해야 함** - 홈 리전에 로그인한 경우에만 대상 계정 및 OU에 정책을 연결할 수 있습니다.
+ **옵트인 영역이 활성화되지 않음** – 위임된 관리자가 활성화하지 않은 옵트인 리전인 경우, 연결된 리전의 구성원 계정 또는 OU에 대한 정책 연결이 실패합니다. 위임된 관리자 계정에서 리전을 활성화한 후 다시 시도할 수 있습니다.
+ **구성원 계정 일시 중단됨** – 정책을 일시 중지된 구성원 계정과 연결하려고 하면 정책 연결이 실패합니다.
# 구성 정책 업데이트
구성 정책을 생성한 후 위임된 AWS Security Hub CSPM 관리자 계정은 정책 세부 정보 및 정책 연결을 업데이트할 수 있습니다. 정책 세부 정보가 업데이트되면 구성 정책에 연결된 계정이 업데이트된 정책을 자동으로 사용하기 시작합니다.
중앙 구성의 이점과 작동 방식에 대한 배경 정보는 [Security Hub CSPM의 중앙 구성 이해](central-configuration-intro.md) 섹션을 참조하세요.
위임된 관리자는 다음 정책 설정을 업데이트할 수 있습니다.
+ Security Hub CSPM을 활성화하거나 비활성화합니다.
+ 하나 이상의 [보안 표준](standards-reference.md)을 활성화합니다.
+ 활성화된 표준 전반에서 어떤 [보안 제어](securityhub-controls-reference.md)를 사용할 수 있는지 표시합니다. 이를 위해 활성화해야 하는 특정 제어 목록을 제공할 수 있습니다. 그러면 Security Hub CSPM은 새로운 제어가 릴리스될 때 새로운 제어를 포함한 다른 모든 제어를 비활성화합니다. 또는 비활성화해야 하는 특정 제어의 목록을 제공할 수 있습니다. 그러면 Security Hub CSPM은 새로운 제어가 릴리스될 때 새로운 제어를 포함한 다른 모든 제어를 활성화합니다.
+ 사용 가능한 표준에서 사용할 수 있는 제어를 선택할 수 있도록 [파라미터를 사용자 지정](https://docs.aws.amazon.com/securityhub/latest/userguide/custom-control-parameters.html)할 수도 있습니다.
원하는 방법을 선택하고 다음 단계에 따라 구성 정책을 업데이트하세요.
**참고**
중앙 구성을 사용하는 경우, Security Hub CSPM은 홈 리전을 제외한 모든 리전의 글로벌 리소스와 관련된 제어를 자동으로 비활성화합니다. 구성 정책을 통해 활성화하도록 선택한 다른 제어는 사용 가능한 모든 리전에서 활성화됩니다. 이러한 제어에 대한 조사 결과를 한 리전으로만 제한하려면 AWS Config 레코더 설정을 업데이트하고 홈 리전을 제외한 모든 리전에서 글로벌 리소스 기록을 끌 수 있습니다.
글로벌 리소스를 평가하는 활성화된 제어가 홈 리전에서 지원되지 않는 경우 Security Hub CSPM은 해당 제어가 지원되는 연결된 리전에서 제어를 활성화하려고 시도합니다. 중앙 구성을 사용하는 경우, 홈 리전 또는 연결된 리전에서 사용할 수 없는 제어에 대한 적용 범위가 부족합니다.
글로벌 리소스와 관련된 제어 목록은 [글로벌 리소스를 사용하는 제어](controls-to-disable.md#controls-to-disable-global-resources) 섹션을 참조하세요.
------
#### [ Console ]
**구성 정책을 업데이트하려면**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
홈 리전에서 위임된 Security Hub CSPM 관리자 계정의 자격 증명을 사용하여 로그인합니다.
1. 탐색 창에서 **설정** 및 **구성**을 선택합니다.
1. **정책** 탭을 선택합니다.
1. 편집할 구성 정책을 선택하고 **편집**을 선택합니다. 원하는 경우, 정책 설정을 편집합니다. 정책 설정을 변경하지 않으려면 이 섹션을 그대로 둡니다.
1. **다음**을 선택합니다. 원하는 경우, 정책 연결을 편집합니다. 정책 연결을 변경하지 않으려면 이 섹션을 그대로 둡니다. 정책을 업데이트할 때, 최대 15개의 대상(계정, OU 또는 루트)과 연결하거나 연결 해제할 수 있습니다.
1. **다음**을 선택합니다.
1. 변경 사항을 검토하고 **저장 및 적용**을 선택합니다. 홈 리전 및 연결된 리전에서 이 작업은 이 구성 정책과 연결된 계정의 기존 구성 설정보다 우선 적용됩니다. 계정은 적용 또는 상위 노드로부터의 상속을 통해 구성 정책에 연결될 수 있습니다.
------
#### [ API ]
**구성 정책을 업데이트하려면**
1. 구성 정책의 설정을 업데이트하려면 홈 리전의 Security Hub CSPM 위임된 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) API를 간접적으로 호출합니다.
1. 업데이트할 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다.
1. `ConfigurationPolicy` 아래 필드에 업데이트된 값을 입력합니다. 필요에 따라 업데이트 이유를 입력할 수도 있습니다.
1. 이 구성 정책에 새로운 연결을 추가하려면 홈 리전의 Security Hub CSPM 위임된 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyAssociation.html) API를 간접적으로 호출합니다. 현재 연결을 하나 이상 제거하려면 홈 리전의 Security Hub CSPM 위임된 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html) API를 간접적으로 호출합니다.
1. `ConfigurationPolicyIdentifier` 필드에는 연결을 업데이트하려는 구성 정책의 ARN 또는 ID를 입력합니다.
1. `Target` 필드에 연결하거나 연결 해제하려는 계정, OU 또는 루트 ID를 입력합니다. 이 작업은 지정된 OU 또는 계정에 대한 이전 정책 연결을 무시합니다.
**참고**
`UpdateConfigurationPolicy` API를 간접적으로 호출하면 Security Hub CSPM은 `EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers`, `DisabledSecurityControlIdentifiers` 및 `SecurityControlCustomParameters` 필드의 전체 목록 대체를 수행합니다. 이 API를 호출할 때마다 활성화하려는 표준의 전체 목록과 활성화 또는 비활성화하고 파라미터를 사용자 지정하려는 제어의 전체 목록을 제공하세요.
**구성 정책을 업데이트하기 위한 API 요청 예제:**
```
{
"Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Description": "Updated configuration policy",
"UpdatedReason": "Disabling CloudWatch.1",
"ConfigurationPolicy": {
"SecurityHub": {
"ServiceEnabled": true,
"EnabledStandardIdentifiers": [
"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
"arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
],
"SecurityControlsConfiguration": {
"DisabledSecurityControlIdentifiers": [
"CloudTrail.2",
"CloudWatch.1"
],
"SecurityControlCustomParameters": [
{
"SecurityControlId": "ACM.1",
"Parameters": {
"daysToExpiration": {
"ValueType": "CUSTOM",
"Value": {
"Integer": 15
}
}
}
}
]
}
}
}
}
```
------
#### [ AWS CLI ]
**구성 정책을 업데이트하려면**
1. 구성 정책의 설정을 업데이트하려면 홈 리전의 Security Hub CSPM 위임된 관리자 계정에서 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-configuration-policy.html) 명령을 실행합니다.
1. 업데이트할 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다.
1. `configuration-policy` 아래 필드에 업데이트된 값을 입력합니다. 필요에 따라 업데이트 이유를 입력할 수도 있습니다.
1. 이 구성 정책에 새로운 연결을 추가하려면 홈 리전의 Security Hub CSPM 위임된 관리자 계정에서 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) 명령을 실행합니다. 현재 연결을 하나 이상 제거하려면 홈 리전의 Security Hub CSPM 위임된 관리자 계정에서 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-association.html) 명령을 실행합니다.
1. `configuration-policy-identifier` 필드에는 연결을 업데이트하려는 구성 정책의 ARN 또는 ID를 입력합니다.
1. `target` 필드에 연결하거나 연결 해제하려는 계정, OU 또는 루트 ID를 입력합니다. 이 작업은 지정된 OU 또는 계정에 대한 이전 정책 연결을 무시합니다.
**참고**
`update-configuration-policy` 명령을 실행하면 Security Hub CSPM은 `EnabledStandardIdentifiers`, `EnabledSecurityControlIdentifiers`, `DisabledSecurityControlIdentifiers` 및 `SecurityControlCustomParameters` 필드의 전체 목록 대체를 수행합니다. 이 명령을 실행할 때마다 활성화하려는 표준의 전체 목록과 활성화 또는 비활성화하고 파라미터를 사용자 지정하려는 제어의 전체 목록을 제공하세요.
**구성 정책을 업데이트하기 위한 명령 예제:**
```
aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'
```
------
`StartConfigurationPolicyAssociation` API는 `AssociationStatus`(이)라는 필드를 반환합니다. 이 필드는 정책 연결이 보류 중인지 또는 성공 또는 실패 상태인지를 알려줍니다. `PENDING`에서 `SUCCESS` 또는 `FAILURE`(으)로 상태가 변경되려면 최대 24시간이 걸릴 수 있습니다. 연결 상태에 대한 자세한 내용은 [구성 정책의 연결 상태 검토](view-policy.md#configuration-association-status) 섹션을 참조하세요.
# 구성 정책 삭제
구성 정책을 생성한 후 위임된 AWS Security Hub CSPM 관리자는 이를 삭제할 수 있습니다. 또는 위임된 관리자가 구성 정책을 유지하되 특정 계정이나 OU(조직 단위) 또는 루트와의 연결을 해제할 수도 있습니다. 정책 연결 해제에 대한 지침은 [대상에서 구성 연결 해제](disassociate-policy.md) 섹션을 참조하세요.
중앙 구성의 이점과 작동 방식에 대한 배경 정보는 [Security Hub CSPM의 중앙 구성 이해](central-configuration-intro.md) 섹션을 참조하세요.
이 섹션에서는 구성 정책을 삭제하는 방법을 설명합니다.
구성 정책을 삭제하면 해당 구성 정책은 조직에 더 이상 존재하지 않습니다. 대상 계정, OU 및 조직 루트는 더 이상 구성 정책을 사용할 수 없습니다. 삭제된 구성 정책과 연결된 대상은 가장 가까운 상위 항목의 구성 정책을 상속하거나 가장 가까운 상위 그룹이 자체 관리형인 경우, 자체 관리형이 됩니다. 대상이 다른 구성을 사용하도록 하려면 대상을 새로운 구성 정책에 연결하세요. 자세한 내용은 [구성 정책 생성 및 연결](create-associate-policy.md) 섹션을 참조하세요.
적절한 보안 범위를 제공하려면 구성 정책을 하나 이상 만들어 조직에 연결하는 것이 좋습니다.
구성 정책을 삭제하려면 먼저 해당 정책이 현재 적용되는 계정, OU 또는 루트에서 정책을 연결 해제해야 합니다.
원하는 방법을 선택하고 다음 단계에 따라 구성 정책을 삭제하세요.
------
#### [ Console ]
**구성 정책을 삭제하려면**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
홈 리전에서 위임된 Security Hub CSPM 관리자 계정의 자격 증명을 사용하여 로그인합니다.
1. 탐색 창에서 **설정** 및 **구성**을 선택합니다.
1. **정책** 탭을 선택합니다. 삭제하려는 구성 정책을 선택한 다음 **삭제**를 선택합니다. 구성 정책이 여전히 계정이나 OU와 연결되어 있는 경우, 정책을 삭제하기 전에 먼저 해당 대상에서 정책을 연결 해제하라는 메시지가 표시됩니다.
1. 확인 메시지를 검토합니다. **confirm**을(를) 입력한 다음 **삭제**를 선택합니다.
------
#### [ API ]
**구성 정책을 삭제하려면**
홈 리전의 Security Hub CSPM 위임된 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteConfigurationPolicy.html) API를 간접적으로 호출합니다.
삭제할 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다. `ConflictException` 오류가 발생하더라도 구성 정책은 조직의 계정 또는 OU에 계속 적용됩니다. 오류를 해결하려면 구성 정책을 삭제하기 전에 이러한 계정이나 OU에서 구성 정책을 연결 해제하세요.
**구성 정책을 삭제하기 위한 API 요청 예제:**
```
{
"Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}
```
------
#### [ AWS CLI ]
**구성 정책을 삭제하려면**
홈 리전의 Security Hub CSPM 위임된 관리자 계정에서 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-configuration-policy.html) 명령을 실행합니다.
삭제할 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다. `ConflictException` 오류가 발생하더라도 구성 정책은 조직의 계정 또는 OU에 계속 적용됩니다. 오류를 해결하려면 구성 정책을 삭제하기 전에 이러한 계정이나 OU에서 구성 정책을 연결 해제하세요.
```
aws securityhub --region us-east-1 delete-configuration-policy \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
```
------
# 대상에서 구성 연결 해제
위임된 AWS Security Hub CSPM 관리자 계정에서 구성 정책 또는 자체 관리형 구성을 계정, OU 또는 루트에서 연결 해제할 수 있습니다. 연결 해제는 나중에 사용할 수 있도록 정책을 유지하지만 특정 계정, OU 또는 루트에서 기존 연결을 제거합니다. 상속된 구성이 아닌 직접 적용된 구성만 연결 해제할 수 있습니다. 상속된 구성을 변경하려면 영향을 받는 계정 또는 OU에 구성 정책 또는 자체 관리형 동작을 적용할 수 있습니다. 원하는 수정 사항이 포함된 새로운 구성 정책을 가장 가까운 상위 항목에 적용할 수도 있습니다.
연결을 해제해도 구성 정책은 삭제되지 *않습니다*. 정책은 계정에 유지되므로 조직의 다른 대상과 연결할 수 있습니다. 구성 정책 삭제에 대한 지침은 [구성 정책 삭제](delete-policy.md) 섹션을 참조하세요. 연결 해제가 완료되면 영향을 받는 대상은 가장 가까운 상위 항목의 구성 정책 또는 자체 관리형 동작을 상속합니다. 상속 가능한 구성이 없는 경우, 대상은 연결 해제 이전의 설정을 유지하지만 자체 관리형이 됩니다.
원하는 방법을 선택하고 단계에 따라 계정, OU 또는 루트를 현재 구성에서 연결 해제하세요.
------
#### [ Console ]
**현재 구성에서 계정 또는 OU의 연결을 해제하려면**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
홈 리전에서 위임된 Security Hub CSPM 관리자 계정의 자격 증명을 사용하여 로그인합니다.
1. 탐색 창에서 **설정** 및 **구성**을 선택합니다.
1. **Organizations** 탭에서 현재 구성과 연결 해제하려는 계정, OU 또는 루트를 선택합니다. **편집**을 선택합니다.
1. 위임된 관리자가 대상에 직접 정책을 적용할 수 있도록 하려면 **구성 정의** 페이지의 **관리**에서 **정책 적용**을 선택합니다. 대상이 가장 가까운 상위 항목의 구성을 상속하도록 하려면 **상속**을 선택합니다. 두 경우 모두 위임된 관리자가 대상의 설정을 제어합니다. 계정이나 OU에서 자체 설정을 제어하도록 하려면 **자체 관리형**을 선택합니다.
1. 변경 사항을 검토한 후 **다음**을 선택하고 **적용**을 선택합니다. 이 작업은 범위 내에 있는 계정 또는 OU의 기존 구성이 현재 선택 항목과 충돌하는 경우, 해당 구성을 무시합니다.
------
#### [ API ]
**현재 구성에서 계정 또는 OU의 연결을 해제하려면**
1. 홈 리전의 Security Hub CSPM 위임된 관리자 계정에서 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_StartConfigurationPolicyDisassociation.html) API를 간접적으로 호출합니다.
1. `ConfigurationPolicyIdentifier`에는 연결을 해제하려는 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다. 자체 관리형 동작을 분리하려면 이 필드에 `SELF_MANAGED_SECURITY_HUB`을(를) 입력합니다.
1. `Target`에서는 이 구성 정책에서 연결 해제하려는 계정, OU 또는 루트를 입력합니다.
**구성 정책의 연결을 해제하기 위한 API 요청 예제:**
```
{
"ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
"Target": {"RootId": "r-f6g7h8i9j0example"}
}
```
------
#### [ AWS CLI ]
**현재 구성에서 계정 또는 OU의 연결을 해제하려면**
1. 홈 리전의 Security Hub CSPM 위임된 관리자 계정에서 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/start-configuration-policy-disassociation.html) 명령을 실행합니다.
1. `configuration-policy-identifier`에는 연결을 해제하려는 구성 정책의 Amazon 리소스 이름(ARN) 또는 ID를 입력합니다. 자체 관리형 동작을 분리하려면 이 필드에 `SELF_MANAGED_SECURITY_HUB`을(를) 입력합니다.
1. `target`에서는 이 구성 정책에서 연결 해제하려는 계정, OU 또는 루트를 입력합니다.
**구성 정책의 연결을 해제하기 위한 명령 예제:**
```
aws securityhub --region us-east-1 start-configuration-policy-disassociation \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"RootId": "r-f6g7h8i9j0example"}'
```
------
# 컨텍스트별로 표준 또는 제어 구성
AWS Security Hub CSPM에서 [중앙 구성을](central-configuration-intro.md) 사용하는 경우 위임된 Security Hub CSPM 관리자는 조직에 대해 Security Hub CSPM, 보안 표준 및 보안 제어를 구성하는 방법을 지정하는 구성 정책을 생성할 수 있습니다. 위임된 관리자는 이 정책을 특정 계정 및 조직 단위(OU)와 연결할 수 있습니다. 정책은 홈 리전 및 연결된 모든 리전에 적용됩니다. 위임된 관리자는 필요에 따라 구성 정책을 업데이트할 수 있습니다.
Security Hub CSPM 콘솔에서 위임된 관리자는 두 가지 방법으로, 즉 구성 페이지에서 또는 기존 워크플로의 컨텍스트별로 **구성** 정책을 업데이트할 수 있습니다. 보안 조사 결과를 검토하면서 환경에 가장 적합한 표준 및 제어를 발견하고 동시에 구성할 수 있기 때문에 후자가 더 유용할 수 있습니다.
컨텍스트별 구성은 Security Hub CSPM 콘솔에서만 사용할 수 있습니다. 위임된 관리자는 Security Hub CSPM API의 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateConfigurationPolicy.html) 작업을 간접적으로 호출하여 조직에서 특정 표준 또는 제어가 구성되는 방식을 프로그래밍 방식으로 변경해야 합니다.
다음 단계에 따라 컨텍스트별로 Security Hub CSPM 표준 또는 제어를 구성합니다.
**컨텍스트별로 표준 또는 제어를 구성하려면(콘솔)**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
홈 리전에서 위임된 Security Hub CSPM 관리자 계정의 자격 증명을 사용하여 로그인합니다.
1. 왼쪽 탐색 창에서 다음 옵션 중 하나를 선택합니다.
+ 표준을 구성하려면 **보안 표준**을 선택하고 특정 표준을 선택합니다.
+ 제어를 구성하려면 **제어**를 선택하고 특정 제어를 선택합니다.
1. 콘솔에는 기존 Security Hub CSPM 구성 정책과 각 정책에서 선택된 표준 또는 제어의 상태가 나열됩니다. 각 구성 정책에서 옵션을 선택하여 표준 또는 제어를 활성화하거나 비활성화합니다. 제어의 경우, [제어 파라미터](custom-control-parameters.md)를 사용자 지정하도록 선택할 수도 있습니다. 컨텍스트 내 구성 중에는 새로운 정책을 생성할 수 없습니다. 새로운 정책을 생성하려면 **구성** 페이지로 이동하여 **정책** 탭을 선택한 다음 **정책 생성**을 선택해야 합니다.
1. 변경한 후 **다음**을 선택합니다.
1. 변경 사항을 검토하고 **적용**을 선택합니다. 업데이트는 변경된 구성 정책과 연결된 모든 계정 및 OU에 영향을 미칩니다. 업데이트는 홈 리전 및 연결된 모든 리전에도 적용됩니다.
# Security Hub CSPM의 중앙 구성 비활성화
AWS Security Hub CSPM에서 중앙 구성을 비활성화하면 위임된 관리자는 여러 AWS 계정조직 단위(OUs) 및에서 Security Hub CSPM, 보안 표준 및 보안 제어를 구성할 수 없습니다 AWS 리전. 대신 각 리전의 각 계정에 대해 대부분의 설정을 개별적으로 구성해야 합니다.
**중요**
중앙 구성을 비활성화하기 전에 먼저, 구성 정책이든 자체 관리형 동작이든 관계없이 현재 구성에서 [계정과 OU의 연결을 해제](disassociate-policy.md)해야 합니다.
중앙 구성 사용을 비활성화하기 전에 먼저 [기존 구성 정책도 삭제](delete-policy.md)해야 합니다.
중앙 구성을 비활성화하면 다음과 같은 변경 사항이 발생합니다.
+ 위임된 관리자는 더 이상 조직에 대한 구성 정책을 만들 수 없습니다.
+ 구성 정책이 적용되거나 상속된 계정은 현재 설정이 유지되지만 자체 관리형이 됩니다.
+ 조직이 *로컬 구성*으로 전환합니다. 로컬 구성에서는 대부분의 Security Hub CSPM 설정을 각 조직 계정 및 리전에서 개별적으로 구성해야 합니다. 위임된 관리자는 Security Hub CSPM, [기본 보안 표준](securityhub-auto-enabled-standards.md) 및 새로운 조직 계정의 기본 표준에 속하는 모든 제어를 자동으로 활성화하도록 선택할 수 있습니다. 기본 표준은 AWS Foundational Security Best Practices(FSBP) 및 Center for Internet Security(CIS) AWS Foundations Benchmark v1.2.0입니다. 이러한 설정은 현재 리전에만 적용되며 새로운 조직 계정에만 영향을 미칩니다. 위임된 관리자는 기본값인 표준을 변경할 수 없습니다. 로컬 구성에서는 구성 정책 또는 OU 수준의 구성 사용을 지원하지 않습니다.
중앙 구성 사용을 중지해도 위임된 관리자 계정의 ID는 동일하게 유지됩니다. 홈 리전과 연결된 리전도 동일하게 유지됩니다(홈 리전은 이제 집계 영역이라고 하며 결과 집계에 사용할 수 있음).
원하는 방법을 선택하고 단계에 따라 중앙 구성 사용을 중단하고 로컬 구성으로 전환하세요.
------
#### [ Security Hub CSPM console ]
**중앙 구성을 비활성화하려면(콘솔)**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
홈 리전에서 위임된 Security Hub CSPM 관리자 계정의 자격 증명을 사용하여 로그인합니다.
1. 탐색 창에서 **설정** 및 **구성**을 선택합니다.
1. **개요** 섹션에서 **편집**을 선택합니다.
1. **조직 구성 편집** 상자에서 **로컬 구성**을 선택합니다. 아직 연결을 해제하지 않은 경우, 중앙 구성을 중지하려면 먼저 현재 구성 정책을 연결 해제하고 삭제하라는 메시지가 표시됩니다. 자체 관리형으로 지정된 계정 또는 OU는 자체 관리형 구성과의 연결을 해제해야 합니다. 콘솔에서 각 자체 관리형 계정 또는 OU의 [관리 유형](central-configuration-management-type.md#choose-management-type)을 **중앙 관리형** 및 **나의 조직에서 상속**으로 변경하여 이 작업을 수행할 수 있습니다.
1. 필요에 따라 새로운 조직 계정의 로컬 구성 기본 설정을 선택합니다.
1. **확인**을 선택합니다.
------
#### [ Security Hub CSPM API ]
**중앙 구성(API)을 비활성화하려면**
1. [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html) API를 호출합니다.
1. `OrganizationConfiguration` 객체의 `ConfigurationType` 필드를 `LOCAL`(으)로 설정합니다. 기존 구성 정책 또는 정책 연결이 있는 경우, API는 오류를 반환합니다. 구성 정책을 연결 해제하려면 `StartConfigurationPolicyDisassociation` API를 호출합니다. 구성 정책을 삭제하려면 `DeleteConfigurationPolicy` API를 호출합니다.
1. 새로운 조직 계정에서 Security Hub CSPM을 자동으로 활성화하려면 `AutoEnable` 필드를 `true`로 설정합니다. 기본적으로 이 필드의 값은 `false`이며 Security Hub CSPM은 새로운 조직 계정에서 자동으로 활성화되지 않습니다. 필요에 따라 새로운 조직 계정에서 기본 보안 표준을 자동으로 활성화하려면 `AutoEnableStandards` 필드를 `DEFAULT`(으)로 설정합니다. 이것이 기본값입니다. 새로운 조직 계정에서 기본 보안 표준을 자동으로 활성화하지 않으려면 `AutoEnableStandards` 필드를 `NONE`(으)로 설정합니다.
**API 요청 예제:**
```
{
"AutoEnable": true,
"OrganizationConfiguration": {
"ConfigurationType" : "LOCAL"
}
}
```
------
#### [ AWS CLI ]
**중앙 구성을 비활성화하려면(AWS CLI)**
1. [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html) 명령을 실행합니다.
1. `organization-configuration` 객체의 `ConfigurationType` 필드를 `LOCAL`(으)로 설정합니다. 기존 구성 정책 또는 정책 연결이 있는 경우, 이 명령은 오류를 반환합니다. 구성 정책을 연결 해제하려면 `start-configuration-policy-disassociation` 명령을 실행합니다. 구성 정책을 삭제하려면 `delete-configuration-policy` 명령을 실행합니다.
1. 새로운 조직 계정에서 Security Hub CSPM을 자동으로 활성화하려면 `auto-enable` 파라미터를 포함합니다. 기본적으로 이 파라미터의 값은 `no-auto-enable`이며 Security Hub CSPM은 새로운 조직 계정에서 자동으로 활성화되지 않습니다. 필요에 따라 새로운 조직 계정에서 기본 보안 표준을 자동으로 활성화하려면 `auto-enable-standards` 필드를 `DEFAULT`(으)로 설정합니다. 이것이 기본값입니다. 새로운 조직 계정에서 기본 보안 표준을 자동으로 활성화하지 않으려면 `auto-enable-standards` 필드를 `NONE`(으)로 설정합니다.
```
aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'
```
------