교차 계정 액세스 설정 - AWS Security Hub
사전 조건설정 단계역할 구성Verification(확인)문제 해결

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

교차 계정 액세스 설정

위임된 관리자 및 멤버 계정은 교차 계정 IAM 역할을 구성하여 관리 계정에서 조직 전체의 AWS Cost Explorer 데이터에 액세스할 수 있습니다. 이 구성을 통해 이러한 계정은 관리 계정으로 전환하지 않고도 실제 사용 데이터를 볼 수 있습니다.

사전 조건

비용 예측기에 대한 교차 계정 액세스를 설정하기 전에 다음 항목과 정보가 필요합니다.

  • 관리 계정이 AWS Cost Explorer 활성화되어 있어야 합니다.

  • 관리 계정에서 역할을 생성할 수 있는 IAM 권한입니다.

  • 교차 계정 액세스 권한이 부여될 위임된 관리자 또는 멤버 계정 ID의 지식입니다.

설정 단계

비용 예측기는 콘솔에서 직접 안내 설정 지침을 제공합니다. 지침에 액세스하려면 조직 관리 계정의 https://console.aws.amazon.com/securityhub/v2/home#/costEstimator 비용 예측기 페이지로 이동합니다. 교차 계정 액세스 섹션을 찾아 교차 계정 역할을 설정하기 위해 설명된 단계를 따릅니다.

역할 구성

비용 예측기에 대한 교차 계정 액세스에는 신뢰 정책 및 권한 정책을 사용하여 IAM 역할을 설정해야 합니다. 교차 계정 역할은 다음 구성을 사용하여 관리 계정에서 생성해야 합니다.

역할 이름(정확한 이름 필요) - AwsSecurityHubCostEstimatorCrossAccountRole

권장 신뢰 정책:

{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
            "AWS": "arn:aws:iam::{ACCOUNT_ID}:role/{ROLE_NAME}"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

정책 예제에서 다음 값을 대체하여 정책을 편집합니다.

  • {ACCOUNT_ID}를 교차 계정 액세스 권한을 부여하려는 위임된 관리자 또는 멤버 계정 ID로 바꿉니다.

  • {ROLE_NAME}을 액세스 권한을 부여하려는 위임된 관리자 또는 멤버 계정의 IAM 역할 이름으로 바꿉니다.

권장 권한 정책:

{
    "Version": "2012-10-17", 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ce:GetCostAndUsage",
            "Resource": "*"
        }
    ]
}
참고

신뢰 정책은 특정 계정 및 역할에 대한 액세스를 제한합니다. 지정된 IAM 보안 주체만이 역할을 수임하여 무단 액세스를 방지할 수 있습니다.

Verification(확인)

관리 계정에서 역할을 생성한 후 다음 단계를 사용하여 설정이 작동하는지 확인합니다.

  1. 위임된 관리자 또는 멤버 계정에 로그인합니다.

  2. https://console.aws.amazon.com/securityhub/v2/home#/costEstimator Security Hub 비용 예측기로 이동합니다.

  3. 페이지는 자동으로 다음을 수행해야 합니다.

    1. 조직의 관리 계정을 감지합니다.

    2. 교차 계정 역할을 수임합니다.

    3. 조직 전체 사용량으로 Cost Explorer 데이터를 로드합니다.

성공하면 수동 입력 필드 대신 실제 사용량 데이터가 표시됩니다.

문제 해결

이 섹션에서는 교차 계정 액세스를 설정할 때 발생할 수 있는 일반적인 문제와 해결 방법을 다룹니다.

이 계정에는 조직 사용량 데이터를 사용할 수 없습니다.

이 알림은 교차 계정 역할에 액세스할 수 없음을 나타냅니다. 이 알림으로 인해 발생할 수 있는 원인은 다음과 같습니다.

  1. 역할이 존재하지 않음: 관리 계정이 아직 역할을 생성하지 않았습니다.

    1. 해결 방법: 관리 계정 관리자에게 문의하여 설정 지침에 따라 역할을 생성합니다.

  2. 역할 이름 불일치: 역할 이름이 정확히 일치하지 않습니다.

    1. 해결 방법: 역할 이름이 인지 확인합니다AwsSecurityHubCostEstimatorCrossAccountRole.

  3. 신뢰 정책이 올바르지 않음: 신뢰 정책은 계정이 역할을 수임하도록 허용하지 않습니다.

    1. 해결 방법: 신뢰 정책에 계정 ID와 역할 이름이 포함되어 있는지 확인합니다.

  4. AssumeRole 권한 누락: IAM 보안 주체에이 없습니다sts:AssumeRole.

    1. 해결 방법: 관리자에게 문의하여 sts:AssumeRole 권한을 추가합니다.

자세한 설정 지침을 보려면: 알림에서 "지침 보기" 링크를 클릭하여 step-by-step 지침 및 정책 템플릿이 포함된 모달을 엽니다.

해결 방법: 편집 모드에서 사용량 값을 수동으로 입력하여 Cost Estimator를 계속 사용할 수 있습니다.