기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Detective에서 초대된 멤버 계정 관리
<a name="accounts-invited-members"></a>

Detective 관리자 계정은 동작 그래프에서 계정을 멤버 계정으로 초대할 수 있습니다. 동작 그래프에는 최대 1,200개의 멤버 계정이 포함될 수 있습니다. 멤버 계정이 초대를 수락하고 활성화되면 Amazon Detective는 멤버 계정의 데이터를 수집하고 해당 동작 그래프로 추출하기 시작합니다.

개별 계정을 초대하려면 동작 그래프에 데이터를 제공하도록 초대할 멤버 계정을 수동으로 지정할 수 있습니다. 멤버 계정 목록을 추가하려면 동작 그래프에 초대할 멤버 계정 목록이 포함된 .csv 파일을 제공하도록 선택할 수 있습니다.

조직 동작 그래프 이외의 동작 그래프의 경우 모든 멤버 계정이 초대된 계정입니다. Detective 관리자 계정은 조직 계정이 아닌 계정을 조직 동작 그래프에 초대할 수도 있습니다.

상위 수준에서 동작 그래프에 제공하도록 계정을 초대하는 프로세스는 다음과 같습니다.

1. 추가할 각 멤버 계정에 대해 관리자 계정은 AWS 계정 식별자와 루트 사용자 이메일 주소를 제공합니다.

1. Detective는 이메일 주소가 계정의 루트 사용자 이메일 주소인지 확인합니다. 계정 정보가 유효하면 Detective는 멤버 계정으로 초대를 보냅니다.

   Detective는이 검증을 수행하지 않거나 다음 리전의 멤버 계정에 이메일 초대를 보냅니다.
   + AWS GovCloud(미국 동부) 리전
   + AWS GovCloud(미국 서부) 리전

   다른 리전의 경우 Detective API의 [CreateMembers](https://docs.aws.amazon.com//detective/latest/APIReference/API_CreateMembers.html) 작업을 `DisableEmailNotification` 사용할 수 있습니다. `DisableEmailNotification`가 true로 설정된 경우 Detective는 멤버 계정에 초대를 보내지 않습니다. 이는 중앙에서 관리되는 계정에 유용한 설정입니다.

1. 멤버 계정은 초대를 수락 또는 거부합니다.

   관리자 계정이 초대 이메일을 보내지 않더라도 멤버 계정은 초대에 응답해야 합니다.

1. 멤버 계정이 초대를 수락하면 Detective는 멤버 계정의 데이터를 동작 그래프로 수집하기 시작합니다.

1. 멤버 계정을 활성화할 수 있게 되면 Detective는 자동으로 멤버 계정 상태를 **활성화됨**으로 변경합니다.

   예를 들어 관리자 계정이 계정 공간을 확보하기 위해 다른 멤버 계정을 제거하면 멤버 계정 상태가 **활성화됨**으로 변경됩니다.

   둘 이상의 계정이 **활성화되지 않음** 상태인 경우 Detective는 초대된 순서대로 계정을 활성화합니다. **활성화되지 않음** 상태의 계정을 활성화할지 여부를 확인하는 프로세스가 1시간마다 실행됩니다.

   또한 관리자 계정은 자동 프로세스를 기다리지 않고 수동으로 계정을 활성화할 수 있습니다. 예를 들어 관리자 계정은 활성화할 계정을 선택하려고 할 수 있습니다. 멤버 계정을 활성화하는 방법에 대한 자세한 내용은 섹션을 참조하세요[활성화되지 않은 멤버 계정 활성화](graph-admin-unblock-account.md).

   참고로 Detective는 2021년 5월 12일부터 **활성화되지 않음** 상태의 계정을 자동으로 활성화하기 시작했습니다. 이전에 **활성화되지 않음** 상태의 계정은 자동으로 활성화되지 않습니다. 관리자 계정이 수동으로 활성화해야 합니다.

관리자 계정의 동작 그래프에서 초대된 멤버 계정을 제거할 수 있습니다. Detective는 멤버 계정 전체의 데이터를 집계하는 동작 그래프에서 기존 데이터를 제거하지 않습니다.

**Topics**
+ [동작 그래프에 개별 계정 초대](accounts-invited-members-add-individual.md)
+ [동작 그래프에 멤버 계정 목록 초대](accounts-invited-members-add-csv.md)
+ [활성화되지 않은 멤버 계정 활성화](graph-admin-unblock-account.md)
+ [동작 그래프에서 멤버 계정 제거](accounts-invited-remove.md)

# 동작 그래프에 개별 계정 초대
<a name="accounts-invited-members-add-individual"></a>

동작 그래프에 데이터를 제공하도록 초대할 멤버 계정을 수동으로 지정할 수 있습니다.

------
#### [ Console ]

**Detective 콘솔을 사용하여 초대할 멤버 계정을 수동으로 선택합니다.**

1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.

1. Detective 탐색 창에서 **계정 관리**를 선택합니다.

1. **작업**을 선택합니다. 그런 당므 **계정 초대**를 선택합니다.

1. **계정 추가**에서 **개별 계정 추가**를 선택합니다.

1. 초대 목록에 멤버 계정을 추가하려면 다음 단계를 수행합니다.

   1. **계정 추가**를 선택합니다.

   1. **AWS 계정 ID**에 AWS 계정 ID를 입력합니다.

   1. **이메일 주소**에 계정의 루트 사용자 이메일 주소를 입력합니다.

1. 목록에서 계정을 제거하려면 해당 계정에 대해 **제거**를 선택합니다.

1. **초대 이메일 개인화**에서 초대 이메일에 포함할 사용자 지정 콘텐츠를 추가합니다.

   예를 들어 이 영역을 사용하여 연락처 정보를 제공할 수 있습니다. 또는 이를 사용하여 멤버 계정에 필요한 IAM 정책을 사용자 또는 역할에 연결해야 초대를 수락할 수 있음을 알릴 수 있습니다.

1. **멤버 계정 IAM 정책**에는 멤버 계정에 필요한 IAM 정책 텍스트가 포함되어 있습니다. 이메일 초대에는 이 정책 텍스트가 포함되어 있습니다. 정책 텍스트를 복사하려면 **복사**를 선택합니다.

1. **초대**를 선택합니다.

------
#### [ Detective API/AWS CLI ]

Detective API 또는를 사용하여 멤버 계정을 초대 AWS Command Line Interface 하여 동작 그래프에 데이터를 제공할 수 있습니다. 요청에 사용할 동작 그래프의 ARN을 가져오려면 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 작업을 사용합니다.

**멤버 계정을 동작 그래프에 초대하려면(Detective API, AWS CLI)**
+ **Detective API:** [https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateMembers.html) 작업을 사용합니다. 그래프 ARN을 제공해야 합니다. 각 계정에 대해 계정 식별자와 루트 사용자 이메일 주소를 지정합니다.

  멤버 계정에 초대 이메일을 보내지 않으려면 `DisableEmailNotification`을 true로 설정합니다. 기본적으로 `DisableEmailNotification`은 false입니다.

  초대 이메일을 보내는 경우 초대 이메일에 추가할 사용자 지정 텍스트를 선택적으로 제공할 수 있습니다.
+ **AWS CLI:** 명령줄에서 `create-members` 명령을 실행합니다.

  ```
  aws detective create-members --accounts AccountId=<AWS account ID>,EmailAddress=<root user email address> --graph-arn <behavior graph ARN> --message "<Custom message text>"
  ```

  **예제**

  ```
  aws detective create-members --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --message "This is Paul Santos. I need to add your account to the data we use for security investigation in Amazon Detective. If you have any questions, contact me at psantos@example.com."
  ```

  멤버 계정에 초대 이메일을 보내지 않도록 지정하려면 `--disable-email-notification`을 포함합니다.

  ```
  aws detective create-members --accounts AccountId=<AWS account ID>,EmailAddress=<root user email address> --graph-arn <behavior graph ARN> --disable-email-notification
  ```

  **예제**

  ```
  aws detective create-members --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --disable-email-notification
  ```

------

# 동작 그래프에 멤버 계정 목록 초대
<a name="accounts-invited-members-add-csv"></a>

Detective 콘솔에서 동작 그래프에 초대할 멤버 계정 목록이 포함된 `.csv` 파일을 제공할 수 있습니다.

파일의 첫 번째 행은 헤더 행입니다. 그러면 각 계정이 별도의 행에 나열됩니다. 각 멤버 계정 항목에는 AWS 계정 ID와 계정의 루트 사용자 이메일 주소가 포함됩니다.

예제:

```
Account ID,Email address
111122223333,srodriguez@example.com
444455556666,rroe@example.com
```

계정 상태가 **확인 실패**가 아닌 한 Detective는 파일을 처리할 때 이미 초대된 계정을 무시합니다. 이 상태는 계정에 제공된 이메일 주소가 계정의 루트 사용자 이메일 주소와 일치하지 않았음을 나타냅니다. 이 경우 Detective는 원래 초대장을 삭제하고 이메일 주소를 확인하고 초대장을 보내려고 다시 시도합니다.

이 옵션은 계정 목록을 생성하는 데 사용할 수 있는 템플릿도 제공합니다.

**.csv 목록에서 멤버 계정 초대(콘솔)**

1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.

1. Detective 탐색 창에서 **계정 관리**를 선택합니다.

1. **작업**을 선택합니다. 그런 당므 **계정 초대**를 선택합니다.

1. **계정 추가**에서 **.csv에서 추가**를 선택합니다.

1. 작업할 템플릿 파일을 다운로드하려면 **.csv 템플릿 다운로드**를 선택합니다.

1. 계정 목록이 포함된 파일을 선택하려면 **.csv 파일 선택**을 선택합니다.

1. **멤버 계정 검토**에서 Detective가 파일에서 찾은 멤버 계정 목록을 확인합니다.

1. **초대 이메일 개인화**에서 초대 이메일에 포함할 사용자 지정 콘텐츠를 추가합니다.

   예를 들어 연락처 정보를 제공하거나 멤버 계정에 필요한 IAM 정책을 상기시킬 수 있습니다.

1. **멤버 계정 IAM 정책**에는 멤버 계정에 필요한 IAM 정책 텍스트가 포함되어 있습니다. 이메일 초대에는 이 정책 텍스트가 포함되어 있습니다. 정책 텍스트를 복사하려면 **복사**를 선택합니다.

1. **초대**를 선택합니다.

## 리전 간 멤버 계정 목록 추가
<a name="accounts-invited-add-script"></a>

Detective는 GitHub에서 다음을 수행할 수 있는 오픈 소스 Python 스크립트를 제공합니다.
+ 지정된 리전 목록 전반에서 관리자 계정의 동작 그래프에 지정된 멤버 계정 목록을 추가합니다.
+ 관리자 계정의 리전에 동작 그래프가 없는 경우 스크립트는 또한 Detective를 활성화하고 해당 리전에 동작 그래프를 생성합니다.
+ 멤버 계정에 초대 이메일을 전송합니다.
+ 멤버 계정에 대한 초대를 자동으로 수락합니다.

GitHub 스크립트를 구성하고 사용하는 방법에 대한 자세한 내용은 [Detective Python 스크립트를 사용하여 계정 관리](detective-github-scripts.md) 섹션을 참조하세요.

# 활성화되지 않은 멤버 계정 활성화
<a name="graph-admin-unblock-account"></a>

멤버 계정이 초대를 수락하면 Amazon Detective는 멤버 계정 수를 확인합니다. 동작 그래프의 최대 멤버 계정 수는 1,200개입니다. 동작 그래프에 이미 1,200개의 멤버 계정이 있는 경우 새 계정을 활성화할 수 없습니다. Detective에서 멤버 계정을 활성화할 수 없는 경우 멤버 계정 상태를 **활성화되지 않음**으로 설정합니다.

**활성화되지 않음** 상태의 멤버 계정은 동작 그래프에 데이터를 제공하지 않습니다.

Detective는 동작 그래프가 계정을 수용할 수 있도록 계정을 자동으로 활성화합니다.

**활성화되지 않음** 상태의 멤버 계정을 수동으로 활성화할 수도 있습니다. 예를 들어 기존 멤버 계정을 제거하여 데이터 볼륨을 줄일 수 있습니다. 계정이 활성화되는 자동 프로세스를 기다리는 대신 **활성화되지 않음** 상태의 멤버 계정을 활성화해 볼 수 있습니다.

------
#### [ Console ]

멤버 계정 목록에는 **활성화되지 않음** 상태의 멤버 계정을 선택하여 활성화할 수 있는 옵션이 포함되어 있습니다.

**활성화되지 않은 멤버 계정 활성화**

1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.

1. Detective 탐색 창에서 **계정 관리**를 선택합니다.

1. **내 멤버 계정**에서 활성화할 각 멤버 계정의 확인란을 선택합니다.

   **활성화되지 않음** 상태인 멤버 계정만 활성화할 수 있습니다.

1. **계정 활성화**를 선택합니다.

Detective는 멤버 계정을 활성화할 수 있는지 여부를 결정합니다. 멤버 계정을 활성화할 수 있는 경우 상태가 **활성화됨**으로 변경됩니다.

------
#### [ Detective API/CLI ]

API 호출 또는를 사용하여 활성화**되지** 않은 단일 멤버 계정을 활성화 AWS Command Line Interface 할 수 있습니다. 요청에 사용할 동작 그래프의 ARN을 가져오려면 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 작업을 사용합니다.

**활성화되지 않은 멤버 계정 활성화**
+ **Detective API:** [https://docs.aws.amazon.com/detective/latest/APIReference/API_StartMonitoringMember.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_StartMonitoringMember.html) API 작업을 사용합니다. 동작 그래프 ARN을 제공해야 합니다. 멤버 계정을 식별하려면 AWS 계정 식별자를 사용합니다.
+ **AWS CLI:** [https://docs.aws.amazon.com/cli/latest/reference/detective/start-monitoring-member.html](https://docs.aws.amazon.com/cli/latest/reference/detective/start-monitoring-member.html) 명령을 실행합니다.

  ```
  start-monitoring-member --graph-arn <behavior graph ARN> --account-id <AWS account ID>
  ```

  예제:

  ```
  start-monitoring-member --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --account-id 444455556666
  ```

------

# 동작 그래프에서 멤버 계정 제거
<a name="accounts-invited-remove"></a>

관리자 계정은 언제든지 동작 그래프에서 초대된 멤버 계정을 제거할 수 있습니다.

Detective는 AWS GovCloud(미국 동부) 및 AWS GovCloud(미국 서부) 리전을 AWS제외하고 종료된 멤버 계정을 자동으로 제거합니다.

초대된 멤버 계정이 동작 그래프에서 제거되면 다음과 같은 상황이 발생합니다.
+ 멤버 계정이 **내 멤버 계정**에서 제거됩니다.
+ Amazon Detective는 제거된 계정의 데이터 수집을 중단합니다.

Detective는 멤버 계정 전체의 데이터를 집계하는 동작 그래프에서 기존 데이터를 제거하지 않습니다.

------
#### [ Console ]

 AWS Management Console 를 사용하여 동작 그래프에서 초대된 멤버 계정을 제거할 수 있습니다.

**멤버 계정 제거(콘솔)**

1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.

1. Detective 탐색 창에서 **계정 관리**를 선택합니다.

1. 계정 목록에서 제거할 각 멤버 계정의 확인란을 선택합니다.

   목록에서 자신의 계정은 제거할 수 없습니다.

1. **작업**을 선택합니다. 그런 다음 **계정 비활성화**를 선택합니다.

------
#### [ Detective API/CLI  ]

Detective API 또는 AWS Command Line Interface 를 사용하여 동작 그래프에서 초대된 멤버 계정을 제거할 수 있습니다. 요청에 사용할 동작 그래프의 ARN을 가져오려면 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 작업을 사용합니다.

**동작 그래프에서 초대된 멤버 계정을 제거하려면(Detective API, AWS CLI)**
+ **Detective API:** [https://docs.aws.amazon.com/detective/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_DeleteMembers.html) 작업을 사용합니다. 그래프 ARN 및 제거할 멤버 계정의 계정 식별자 목록을 지정합니다.
+ **AWS CLI:** 명령줄에서 [https://docs.aws.amazon.com/cli/latest/reference/detective/delete-members.html](https://docs.aws.amazon.com/cli/latest/reference/detective/delete-members.html) 명령을 실행합니다.

  ```
  aws detective delete-members --account-ids <account ID list> --graph-arn <behavior graph ARN>
  ```

  예제:

  ```
  aws detective delete-members --account-ids 444455556666 123456789012 --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
  ```

------
#### [ Python script ]

Detective는 GitHub에서 오픈 소스 스크립트를 제공합니다. 이 스크립트를 사용하여 지정된 리전 목록에 대한 관리자 계정의 동작 그래프에서 지정된 멤버 계정 목록을 제거할 수 있습니다.

GitHub 스크립트를 구성하고 사용하는 방법에 대한 자세한 내용은 [Detective Python 스크립트를 사용하여 계정 관리](detective-github-scripts.md) 섹션을 참조하세요.

------