기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 조직의 Detective 관리자 지정
<a name="accounts-designate-admin"></a>

조직 동작 그래프에서 Detective 관리자 계정은 모든 조직 계정의 동작 그래프 멤버십을 관리합니다.

Detective 관리자 계정 관리 방법 - 조직 관리 계정은 각에서 조직의 Detective 관리자 계정을 지정합니다 AWS 리전.

Detective 관리자 계정을 위임된 관리자 계정으로 설정 - Detective 관리자 계정도 Detective의 위임된 관리자 계정이 됩니다 AWS Organizations. 단, 조직 관리 계정이 본인을 Detective 관리자 계정으로 지정한 경우는 예외입니다. 조직 관리 계정은 조직에서 위임된 관리자일 수 있습니다.

조직에 위임된 관리자 계정이 설정되면 조직 관리 계정은 위임된 관리자 계정 또는 자체 계정만 Detective 관리자 계정으로 선택할 수 있습니다. 모든 리전에 위임된 관리자 계정을 선택하는 것을 권장합니다.

조직 동작 그래프 생성 및 관리 - 조직 관리 계정이 Detective 관리자 계정을 선택하면 Detective는 해당 계정에 대한 새 동작 그래프를 생성합니다. 이 동작 그래프는 조직 동작 그래프입니다.

Detective 관리자 계정이 기존 동작 그래프의 관리자 계정인 경우 해당 동작 그래프는 조직 동작 그래프가 됩니다.

Detective 관리자 계정은 조직 동작 그래프에서 멤버 계정으로 활성화할 조직 계정을 선택합니다.

![\[이 다이어그램에서는 조직 관리 계정이 조직의 Detective 관리자 계정을 선택하는 방법을 보여줍니다. Detective 관리자 계정은 조직 동작 그래프의 관리자 계정이고 Organizations의 위임된 관리자 계정입니다. Detective 관리자 계정은 조직의 모든 계정에 자동으로 액세스할 수 있습니다.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/diagram_account_delegation.png)


Detective 관리자 계정은 조직에 속하지 않는 계정으로 초대를 보낼 수도 있습니다. 자세한 내용은 [조직 계정을 Detective 멤버 계정으로 관리](accounts-orgs-members.md) 및 [Detective에서 초대된 멤버 계정 관리](accounts-invited-members.md) 섹션을 참조하세요.

Detective 관리자 계정을 구성하는 데 필요한 권한 - 조직 관리 계정이 Detective 관리자 계정을 구성할 수 있도록 (IAM) 엔터티에 [`AmazonDetectiveOrganizationsAccess` 관리형 정책을](security-iam-awsmanpol.md#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy) 연결할 수 있습니다 AWS Identity and Access Management .

# Detective 관리자 지정
<a name="accounts-designate-admin-console"></a>

조직 관리 계정은 Detective 콘솔을 사용하여 Detective 관리자 계정을 지정합니다.

Detective 관리자 계정을 관리하기 위해 Detective를 활성화할 필요는 없습니다. Detective 관리자 계정은 **Detective 활성화** 페이지에서 관리할 수 있습니다.

------
#### [ Enable Detective page (Console) ]

Detective **활성화 페이지에서 Detective** 관리자를 지정하려면 다음 단계를 따르세요.

1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.

1. **Get started**를 선택합니다.

1. **관리자 계정에 필요한 권한** 패널에서 선택한 계정에 필요한 권한을 부여하여 해당 계정이 Detective의 모든 작업에 대한 전체 액세스 권한을 가진 Detective 관리자로 운영할 수 있도록 합니다. 관리자로 운영하려면 보안 주체에 `AmazonDetectiveFullAccess` 정책을 연결하는 것이 좋습니다.

1. IAM 콘솔에서 직접 권장 정책을 보려면 **IAM에서 정책 연결**을 선택합니다.

1. IAM 콘솔에서 권한이 있는지 여부에 따라 다음과 같이 진행합니다.
   + IAM 콘솔에서 운영할 권한이 있는 경우 Detective에 사용하는 보안 주체에 권장 정책을 연결합니다.
   + IAM 콘솔에서 작업할 수 있는 권한이 없는 경우 정책의 Amazon 리소스 이름(ARN)을 복사하여 IAM 관리자에게 제공합니다. 그러면 담당자가 사용자를 대신하여 정책을 연결할 수 있습니다.

1.  **Detective 관리자**에서 Detective 관리자 계정을 선택합니다.

   사용 가능한 옵션은 Organizations의 Detective 관리자 계정을 위임했는지 여부에 따라 달라집니다.
   + Organizations의 Detective에 대한 위임된 관리자 계정이 없는 경우 계정의 계정 식별자를 입력하여 Detective 관리자 계정으로 지정합니다.

     수동 초대 프로세스의 기존 관리자 계정 및 동작 그래프가 있을 수 있습니다. 있는 경우 해당 계정을 Detective 관리자 계정으로 지정하는 것이 좋습니다.

     Organizations for Amazon GuardDuty AWS Security Hub CSPM또는 Amazon Macie에 위임된 관리자 계정이 있는 경우 Detective는 해당 계정 중 하나를 선택하라는 메시지를 표시합니다. 다른 계정을 입력할 수도 있습니다.
   + Organizations의 Detective에 대한 위임된 관리자 계정이 있는 경우 해당 계정 또는 사용자 계정을 선택하라는 메시지가 표시됩니다. 모든 리전에 위임된 관리자 계정을 선택하는 것을 권장합니다.

1. **위임**을 선택합니다.

Detective를 활성화했거나 기존 동작 그래프의 멤버 계정인 경우 **일반** 페이지에서 Detective 관리자 계정을 지정할 수 있습니다.

------
#### [ General page (Console) ]

**일반** 페이지에서 Detective 관리자를 지정하려면 다음 단계를 따릅니다.

1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.

1. Detective 탐색 창의 **설정** 아래에서 **일반**을 선택합니다.

1. **관리형 정책** 패널에서 Detective가 지원하는 모든 관리형 정책에 대해 자세히 알아볼 수 있습니다. Detective에서 사용자가 수행하기를 원하는 작업에 따라 계정에 필요한 권한을 부여할 수 있습니다. 관리자로 운영하려면 보안 주체에 `AmazonDetectiveFullAccess` 정책을 연결하는 것이 좋습니다.

1. IAM 콘솔에서 권한이 있는지 여부에 따라 다음과 같이 진행합니다.
   + IAM 콘솔에서 운영할 권한이 있는 경우 Detective에 사용하는 보안 주체에 권장 정책을 연결합니다.
   + IAM 콘솔에서 작업할 수 있는 권한이 없는 경우 정책의 Amazon 리소스 이름(ARN)을 복사하여 IAM 관리자에게 제공합니다. 그러면 담당자가 사용자를 대신하여 정책을 연결할 수 있습니다.

   사용 가능한 옵션은 Organizations의 Detective 관리자 계정을 위임했는지 여부에 따라 달라집니다.
   + Organizations의 Detective에 대한 위임된 관리자 계정이 없는 경우 계정의 계정 식별자를 입력하여 Detective 관리자 계정으로 지정합니다.

     수동 초대 프로세스의 기존 관리자 계정 및 동작 그래프가 있을 수 있습니다. 있는 경우 해당 계정을 Detective 관리자 계정으로 지정하는 것이 좋습니다.

     Organizations for Amazon GuardDuty AWS Security Hub CSPM또는 Amazon Macie에 위임된 관리자 계정이 있는 경우 Detective는 해당 계정 중 하나를 선택하라는 메시지를 표시합니다. 다른 계정을 입력할 수도 있습니다.
   + Organizations의 Detective에 대한 위임된 관리자 계정이 있는 경우 해당 계정 또는 사용자 계정을 선택하라는 메시지가 표시됩니다. 모든 리전에 위임된 관리자 계정을 선택하는 것을 권장합니다.

1. **위임**을 선택합니다.

------
#### [ Detective API, AWS CLI ]

Detective 관리자 계정을 지정하기 위해 API 직접 호출 또는 AWS Command Line Interface를 사용할 수 있습니다. 조직 관리 계정 보안 인증 정보를 사용해야 합니다.

조직에 Detective에 대한 위임된 관리자 계정이 이미 있는 경우 해당 계정 또는 사용자 계정을 선택해야 합니다. 위임된 관리자 계정을 선택하는 것이 좋습니다.

**Detective 관리자 계정을 지정하려면(Detective API, AWS CLI)**
+ **Detective API:** [https://docs.aws.amazon.com/detective/latest/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_EnableOrganizationAdminAccount.html) 작업을 사용합니다. Detective 관리자 계정의 AWS 계정 식별자를 제공해야 합니다. 계정 식별자를 얻으려면 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListOrganizationAdminAccounts.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListOrganizationAdminAccounts.html) 작업을 사용합니다.
+ **AWS CLI:** 명령줄에서 [https://docs.aws.amazon.com/cli/latest/reference/detective/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/detective/enable-organization-admin-account.html) 명령을 실행합니다.

  ```
  aws detective enable-organization-admin-account --account-id <admin account ID>
  ```

  **예제**

  ```
  aws detective enable-organization-admin-account --account-id 777788889999
  ```

------

# Detective 관리자 계정 지정
<a name="accounts-remove-admin-overview"></a>

조직 관리자 계정은 리전의 현재 Detective 관리자 계정을 제거할 수 있습니다. Detective 관리자 계정을 제거하면 Detective는 현재 리전에서만 해당 계정을 제거합니다. Organizations의 위임된 관리자 계정은 변경되지 않습니다.

조직 관리 계정이 리전의 Detective 관리자 계정을 제거하면 Detective는 조직 동작 그래프를 삭제합니다. 제거된 Detective 관리자 계정에 대해 Detective가 비활성화됩니다.

Detective의 현재 위임된 관리자 계정을 제거하려면 Organizations API를 사용합니다. Organizations의 Detective에 대한 위임된 관리자 계정을 제거하면 Detective는 위임된 관리자 계정이 Detective 관리자 계정인 조직 동작 그래프를 모두 삭제합니다. 조직 관리 계정을 Detective 관리자 계정으로 사용하는 조직 동작 그래프는 영향을 받지 않습니다.

------
#### [ Console ]

Detective 관리자 계정은 Detective 콘솔에서 제거할 수 있습니다.

Detective 관리자 계정을 제거하면 해당 계정에 대해 Detective가 비활성화되고 조직 동작 그래프가 삭제됩니다. Detective 관리자 계정은 현재 리전에서만 제거됩니다.

**중요**  
Detective 관리자 계정을 제거해도 Organizations의 위임된 관리자 계정에는 영향을 미치지 않습니다.

**Detective 관리자 계정을 제거(**Detective 활성화** 페이지)**

1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.

1. **Get started**를 선택합니다.

1. **위임된 관리자**에서 **Amazon Detective 비활성화**를 선택합니다.

1. 확인 대화 상자에서 **disable**을 입력한 다음 **Amazon Detective 비활성화**를 선택합니다.

**Detective 관리자 계정 제거(**일반** 페이지)**

1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.

1. Detective 탐색 창의 **설정** 아래에서 **일반**을 선택합니다.

1. **위임된 관리자**에서 **Amazon Detective 비활성화**를 선택합니다.

1. 확인 대화 상자에서 **disable**을 입력한 다음 **Amazon Detective 비활성화**를 선택합니다.

------
#### [ Detective API, AWS CLI ]

Detective 관리자 계정을 제거하기 위해 API 직접 호출 또는 AWS CLI를 사용할 수 있습니다. 조직 관리 계정 보안 인증 정보를 사용해야 합니다.

Detective 관리자 계정을 제거하면 해당 계정에 대해 Detective가 비활성화되고 조직 동작 그래프가 삭제됩니다.

**중요**  
Detective 관리자 계정을 제거해도 Organizations의 위임된 관리자 계정에는 영향을 미치지 않습니다.

**Detective 관리자 계정을 제거하려면(Detective API, AWS CLI)**
+ **Detective API:** [https://docs.aws.amazon.com/detective/latest/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_DisableOrganizationAdminAccount.html) 작업을 사용합니다.

  Detective API를 사용하여 Detective 관리자 계정을 제거하면 API 직접 호출 또는 명령이 실행된 리전에서만 해당 계정이 제거됩니다.
+ **AWS CLI:** 명령줄에서 [https://docs.aws.amazon.com/cli/latest/reference/detective/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/detective/disable-organization-admin-account.html) 명령을 실행합니다.

  ```
  aws detective disable-organization-admin-account
  ```

------

## 위임된 관리자 계정 제거
<a name="accounts-remove-admin-orgs-api"></a>

Detective 관리자 계정을 제거해도 Organizations의 위임된 관리자 계정은 자동으로 제거되지 않습니다. Detective의 위임된 관리자 계정을 제거하기 위해 Organizations API를 사용할 수 있습니다.

위임된 관리자 계정을 제거하면 위임된 관리자 계정이 Detective 관리자 계정인 조직 동작 그래프가 모두 삭제됩니다. 또한 해당 리전의 계정에 대해 Detective를 비활성화합니다.

**위임된 관리자 계정을 제거하려면(조직 API, AWS CLI)**
+ **조직 API:** [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) 작업을 사용합니다. Detective 관리자 계정의 계정 식별자 및 Detective의 서비스 보안 주체인 `detective.amazonaws.com`을 제공해야 합니다.
+ **AWS CLI:** 명령줄에서 [https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html) 명령을 실행합니다.

  ```
  aws organizations deregister-delegated-administrator --account-id <Detective administrator account ID> --service-principal <Detective service principal>
  ```

  **예제**

  ```
  aws organizations deregister-delegated-administrator --account-id 777788889999 --service-principal detective.amazonaws.com
  ```