# AWS Organizations에 대해 마지막으로 액세스한 정보 보기
<a name="access_policies_last-accessed-view-data-orgs"></a>

IAM 콘솔, AWS CLI 또는 AWS API를 사용하여 AWS Organizations에 대해 마지막으로 액세스한 서비스 정보를 볼 수 있습니다. 데이터, 필요 권한, 문제 해결, 지원되는 리전에 대한 중요 정보는 [마지막으로 액세스한 정보를 사용하여 AWS에서 권한 재정의](access_policies_last-accessed.md) 섹션을 참조하세요.

AWS Organizations 관리 계정 자격 증명을 사용하여 IAM 콘솔에 로그인하면 조직의 엔터티에 대한 정보를 볼 수 있습니다. AWS Organizations 엔터티에는 조직 루트, 조직 단위(OU) 및 계정이 포함됩니다. 또한 IAM 콘솔을 사용하여 조직의 모든 서비스 제어 정책(SCP)에 대한 정보를 볼 수 있습니다. IAM에는 엔터티에 적용되는 SCP가 허용하는 서비스의 목록이 표시됩니다. 각 서비스에 대해 선택한 AWS Organizations 엔터티 또는 엔터티 하위에 대한 가장 최근의 계정 활동 정보를 볼 수 있습니다.

관리 계정 자격 증명으로 AWS CLI 또는 AWS API를 사용하면 조직의 모든 엔터티 또는 정책에 대한 보고서를 생성할 수 있습니다. 엔터티에 대한 프로그래밍 방식 보고서는 SCP가 엔터티에 적용되도록 허용하는 서비스의 목록을 포함합니다. 각 서비스에 대해, 보고서는 지정된 AWS Organizations 엔터티 또는 엔터티 하위 트리의 계정에 대한 가장 최근의 활동을 포함합니다.

정책에 대한 프로그래밍 방식 보고서를 생성할 때 AWS Organizations 엔터티를 지정해야 합니다. 이 보고서는 지정된 SCP가 허용하는 서비스의 목록을 포함합니다. 각 서비스에 대해, 해당 정책이 권한을 부여한 엔터티 또는 엔터티 하위의 가장 최근 계정 활동이 포함됩니다. 자세한 내용은 [aws iam generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html) 또는 [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html)를 참조하세요.

보고서를 보려면 관리 계정 요건 및 정보, 보고 주기, 보고된 엔터티 및 평가된 정책 유형을 이해하고 있어야 합니다. 자세한 내용은 [마지막으로 액세스한 정보에 대해 알아야 할 사항](access_policies_last-accessed.md#access_policies_last-accessed-know) 섹션을 참조하세요.

## AWS Organizations 엔터티 경로 이해
<a name="access_policies_last-accessed-viewing-orgs-entity-path"></a>

AWS CLI 또는 AWS API를 사용하여 AWS Organizations 액세스 보고서를 생성하는 경우 엔터티 경로를 지정해야 합니다. 경로는 AWS Organizations 엔터티 구조의 텍스트 표현입니다.

조직의 알려진 구조를 사용하여 엔터티 경로를 작성할 수 있습니다. 예를 들어 AWS Organizations에 다음과 같은 조직 구조가 있다고 가정합니다.

![\[조직 경로 구조\]](http://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/images/ou-path-diagram.png)


**Dev Managers(개발자 관리자)** OU의 경로는 조직의 ID, 루트 및 경로에 있는 모든 OU(해당 OU 포함)를 사용하여 작성됩니다.

```
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/
```

**프로덕션** OU의 계정 경로는 조직의 ID, 루트, OU 및 계정 번호를 사용하여 작성됩니다.

```
o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-abc0-awsaaaaa/111111111111/
```

**참고**  
조직 ID는 전역적으로 고유하지만 OU ID와 루트 ID는 조직 내에서만 고유합니다. 즉, 두 조직이 동일한 조직 ID를 공유하지 않습니다. 그러나 다른 조직에는 사용자 ID와 동일한 OU 또는 루트가 있을 수 있습니다. OU 또는 루트를 지정할 때는 항상 조직 ID를 포함하는 것이 좋습니다.

## AWS Organizations에 대한 정보 보기(콘솔)
<a name="access_policies_last-accessed-viewing-orgs"></a>

IAM 콘솔을 사용하여 루트, OU, 계정 또는 정책에 대해 마지막으로 액세스한 서비스 정보를 볼 수 있습니다.

**루트에 대한 정보를 보려면(콘솔)**

1. AWS Organizations 관리 계정 자격 증명을 사용해 AWS Management Console에 로그인하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.

1. **Access reports(보고서 액세스)** 섹션 아래의 탐색 창에서 **Organization activity(조직 활동)**를 선택합니다.

1. **조직 활동** 페이지에서 **루트**를 선택합니다.

1. **Details and activity(세부 정보 및 활동)** 탭에서 **Service access report(서비스 액세스 보고서)** 섹션을 봅니다. 정보에는 루트에 직접 연결된 정책이 허용하는 서비스의 목록이 포함됩니다. 이 정보는 서비스에 마지막으로 액세스한 계정 및 그 시간을 보여줍니다. 서비스에 액세스한 보안 주체에 대한 세부 정보를 보려면 해당 계정의 관리자로 로그인하고 [IAM에서 마지막으로 액세스한 서비스 정보를 봅니다](access_policies_last-accessed-view-data.md).

1. **연결된 SCP(Attached SCPs)** 탭을 선택하여 루트에 연결된 서비스 제어 정책(SCP)의 목록을 봅니다. IAM으로 각 정책이 연결된 대상 엔터티의 수를 볼 수 있습니다. 이 정보를 사용하여 어느 SCP를 검토할지 결정할 수 있습니다.

1. SCP의 이름을 선택하여 해당 정책이 허용하는 모든 서비스를 봅니다. 각 서비스에 대해, 서비스에 마지막으로 액세스한 계정 및 그 시간을 봅니다.

1. **AWS Organizations에서 편집**을 선택하여 추가 세부 정보를 보고 AWS Organizations 콘솔에서 SCP를 편집합니다. 자세한 내용은 *AWS Organizations 사용 설명서*의 [SCP 업데이트](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy)를 참조하세요.

**OU 또는 계정에 대한 정보를 보려면(콘솔)**

1. AWS Organizations 관리 계정 자격 증명을 사용해 AWS Management Console에 로그인하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.

1. **Access reports(보고서 액세스)** 섹션 아래의 탐색 창에서 **Organization activity(조직 활동)**를 선택합니다.

1. **조직 활동** 페이지에서 조직의 구조를 확장합니다. 그런 다음 OU의 이름 또는 관리 계정을 제외하고 보려는 임의의 계정의 이름을 선택합니다.

1. **Details and activity(세부 정보 및 활동)** 탭에서 **Service access report(서비스 액세스 보고서)** 섹션을 봅니다. 정보에는 OU 또는 계정 *및* 모든 해당 상위 항목에 연결된 SCP가 허용하는 서비스의 목록이 포함됩니다. 이 정보는 서비스에 마지막으로 액세스한 계정 및 그 시간을 보여줍니다. 서비스에 액세스한 보안 주체에 대한 세부 정보를 보려면 해당 계정의 관리자로 로그인하고 [IAM에서 마지막으로 액세스한 서비스 정보를 봅니다](access_policies_last-accessed-view-data.md).

1. **연결된 SCP(Attached SCPs)** 탭을 선택하여 OU 또는 계정에 직접 연결된 서비스 제어 정책(SCP)의 목록을 봅니다. IAM으로 각 정책이 연결된 대상 엔터티의 수를 볼 수 있습니다. 이 정보를 사용하여 어느 SCP를 검토할지 결정할 수 있습니다.

1. SCP의 이름을 선택하여 해당 정책이 허용하는 모든 서비스를 봅니다. 각 서비스에 대해, 서비스에 마지막으로 액세스한 계정 및 그 시간을 봅니다.

1. **AWS Organizations에서 편집**을 선택하여 추가 세부 정보를 보고 AWS Organizations 콘솔에서 SCP를 편집합니다. 자세한 내용은 *AWS Organizations 사용 설명서*의 [SCP 업데이트](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy)를 참조하세요.

**관리 계정에 대한 정보를 보려면(콘솔)**

1. AWS Organizations 관리 계정 자격 증명을 사용해 AWS Management Console에 로그인하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.

1. **Access reports(보고서 액세스)** 섹션 아래의 탐색 창에서 **Organization activity(조직 활동)**를 선택합니다.

1. **조직 활동** 페이지에서 조직의 구조를 확장하고 관리 계정의 이름을 선택합니다.

1. **Details and activity(세부 정보 및 활동)** 탭에서 **Service access report(서비스 액세스 보고서)** 섹션을 봅니다. 정보에는 모든 AWS 서비스 목록이 포함됩니다. 관리 계정은 SCP에 의해 제한되지 않습니다. 이 정보는 계정이 서비스에 액세스했는지 여부와 마지막으로 액세스한 시간을 보여줍니다. 서비스에 액세스한 보안 주체에 대한 세부 정보를 보려면 해당 계정의 관리자로 로그인하고 [IAM에서 마지막으로 액세스한 서비스 정보를 봅니다](access_policies_last-accessed-view-data.md).

1. **연결된 SCP(Attached SCPs)** 탭을 선택하여 연결된 SCP가 없음을 확인합니다(해당 계정이 관리 계정이기 때문).

**정책에 대한 정보를 보려면(콘솔)**

1. AWS Organizations 관리 계정 자격 증명을 사용해 AWS Management Console에 로그인하고 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.

1. **Access reports(보고서 액세스)** 섹션 아래의 탐색 창에서 **Service control policies (SCPs)(서비스 제어 정책(SCP))**를 선택합니다.

1. **서비스 제어 정책(SCP)** 페이지에서 조직의 정책 목록을 봅니다. 각 정책이 연결된 대상 엔터티의 수를 볼 수 있습니다.

1. SCP의 이름을 선택하여 해당 정책이 허용하는 모든 서비스를 봅니다. 각 서비스에 대해, 서비스에 마지막으로 액세스한 계정 및 그 시간을 봅니다.

1. **AWS Organizations에서 편집**을 선택하여 추가 세부 정보를 보고 AWS Organizations 콘솔에서 SCP를 편집합니다. 자세한 내용은 *AWS Organizations 사용 설명서*의 [SCP 업데이트](https://docs.aws.amazon.com/organizations/latest/userguide/create-policy.html#update_policy)를 참조하세요.

## AWS Organizations에 대한 정보 보기(AWS CLI)
<a name="access_policies_last-accessed-viewing-orgs-cli"></a>

AWS CLI를 사용하여 AWS Organizations 루트, OU, 계정 또는 정책에 대해 마지막으로 액세스한 서비스 정보를 검색할 수 있습니다.

**AWS Organizations에서 마지막으로 액세스한 서비스 정보를 보려면(AWS CLI)**

1. 필요한 IAM 및 AWS Organizations 권한이 있는 AWS Organizations 관리 계정 자격 증명을 사용하여 루트에 대해 SCP가 활성화되어 있는지 확인합니다. 자세한 내용은 [마지막으로 액세스한 정보에 대해 알아야 할 사항](access_policies_last-accessed.md#access_policies_last-accessed-know) 섹션을 참조하세요.

1. 보고서를 생성합니다. 요청은 보고서를 작성할 AWS Organizations 엔터티(루트, OU 또는 계정)의 경로를 포함해야 합니다. 선택적으로 `organization-policy-id` 파라미터를 포함하여 특정 정책에 대한 보고서를 볼 수 있습니다. 이 명령은 작업이 완료될 때까지 `get-organizations-access-report` 명령에 사용하여 `job-status`를 모니터링하기 위해 사용할 수 있는 `job-id`를 반환합니다.
   + [aws iam generate-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-organizations-access-report.html)

1. 이전 단계의 `job-id` 파라미터를 사용하여 보고서에 대한 세부 정보를 검색합니다.
   + [aws iam get-organizations-access-report](https://docs.aws.amazon.com/cli/latest/reference/iam/get-organizations-access-report.html)

   이 명령은 엔터티 멤버가 액세스할 수 있는 서비스의 목록을 반환합니다. 각 서비스에 대해, 계정 멤버에 의한 마지막 시도의 날짜 및 시간과 계정의 엔터티 경로가 반환됩니다. 또한 액세스 가능한 서비스의 총 개수와 액세스되지 않은 서비스의 수도 반환됩니다. 선택적으로 `organizations-policy-id` 파라미터를 지정한 경우 액세스 가능한 서비스는 지정된 정책이 허용하는 서비스입니다.

## AWS Organizations에 대한 정보 보기(AWS API)
<a name="access_policies_last-accessed-viewing-orgs-api"></a>

AWS API를 사용하여 AWS Organizations 루트, OU, 계정 또는 정책에 대해 마지막으로 액세스한 서비스 정보를 검색할 수 있습니다.

**AWS Organizations에서 마지막으로 액세스한 서비스 정보를 보려면(AWS API)**

1. 필요한 IAM 및 AWS Organizations 권한이 있는 AWS Organizations 관리 계정 자격 증명을 사용하여 루트에 대해 SCP가 활성화되어 있는지 확인합니다. 자세한 내용은 [마지막으로 액세스한 정보에 대해 알아야 할 사항](access_policies_last-accessed.md#access_policies_last-accessed-know) 섹션을 참조하세요.

1. 보고서를 생성합니다. 요청은 보고서를 작성할 AWS Organizations 엔터티(루트, OU 또는 계정)의 경로를 포함해야 합니다. 선택적으로 `OrganizationsPolicyId` 파라미터를 포함하여 특정 정책에 대한 보고서를 볼 수 있습니다. 이 작업은 작업이 완료될 때까지 `GetOrganizationsAccessReport` 작업에서 `JobStatus`를 모니터링하기 위해 사용할 수 있는 `JobId`를 반환합니다.
   + [GenerateOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateOrganizationsAccessReport.html)

1. 이전 단계의 `JobId` 파라미터를 사용하여 보고서에 대한 세부 정보를 검색합니다.
   + [GetOrganizationsAccessReport](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetOrganizationsAccessReport.html)

   이 작업은 엔터티 멤버가 액세스할 수 있는 서비스의 목록을 반환합니다. 각 서비스에 대해, 계정 멤버에 의한 마지막 시도의 날짜 및 시간과 계정의 엔터티 경로가 반환됩니다. 또한 액세스 가능한 서비스의 총 개수와 액세스되지 않은 서비스의 수도 반환됩니다. 선택적으로 `OrganizationsPolicyId` 파라미터를 지정한 경우 액세스 가능한 서비스는 지정된 정책이 허용하는 서비스입니다.