기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Detective에서 계정 관리
계정이 Detective를 활성화하면 해당 계정이 동작 그래프의 관리자 계정이 되고 동작 그래프에 사용할 멤버 계정을 선택합니다. 관리자 계정은 계정을 초대하여 동작 그래프에 조인할 수 있습니다. 계정이 초대를 수락하면 Detective는 해당 계정을 멤버 계정으로 활성화합니다. 초대를 통해 추가된 멤버 계정은 동작 그래프에서 자신을 연결 해제할 수 있습니다.
계정이 멤버 계정으로 활성화되면 Detective는 멤버 계정의 데이터를 수집하고 해당 동작 그래프로 추출하기 시작합니다.
각 동작 그래프에는 하나 이상의 계정 데이터가 포함됩니다. 동작 그래프에는 최대 1,200개의 멤버 계정을 포함할 수 있습니다.
와 통합된 경우 AWS Organizations조직 관리 계정은 조직의 Detective 관리자 계정을 지정합니다. 그러면 Detective 관리자 계정이 조직 동작 그래프의 관리자 계정이 됩니다. Detective 관리자 계정은 조직 동작 그래프에서 모든 조직 계정을 멤버 계정으로 활성화할 수 있습니다. 조직 계정은 조직 동작 그래프에서 자신을 제거할 수 없습니다.
Detective는 각 동작 그래프에 기여한 데이터에 대해 각 계정에 요금을 부과합니다. 동작 그래프에서 각 계정의 데이터 볼륨을 추적하는 방법에 대한 자세한 내용은 [Amazon Detective 비용 예측 및 모니터링을 참조하세요](https://docs.aws.amazon.com//detective/latest/userguide/tracking-usage-logging.html).
**Topics**
+ [Detective의 계정 제한 및 권장 사항](accounts-restrictions-recommendations.md)
+ [Organizations를 사용하여 동작 그래프 계정 관리](accounts-orgs-transition.md)
+ [조직의 Detective 관리자 지정](accounts-designate-admin.md)
+ [계정에 사용할 수 있는 작업](accounts-allowed-actions.md)
+ [계정 목록 보기](accounts-view-list.md)
+ [조직 계정을 Detective 멤버 계정으로 관리](accounts-orgs-members.md)
+ [Detective에서 초대된 멤버 계정 관리](accounts-invited-members.md)
+ [멤버 계정의 경우: 동작 그래프 초대 및 멤버십 관리](member-account-graph-management.md)
+ [계정 활동이 동작 그래프에 미치는 영향](accounts-effects.md)
+ [Detective Python 스크립트를 사용하여 계정 관리](detective-github-scripts.md)
# Detective의 계정 제한 및 권장 사항
Amazon Detective에서 계정을 관리할 때 다음 제한 사항에 유의합니다.
## 멤버 계정 최대 수
Detective는 각 동작 그래프에서 최대 1,200개의 멤버 계정을 허용합니다.
AWS Organizations 를 사용하여 계정을 관리하는 경우 기본적으로 Detective는 **계정 관리** 페이지에 최대 5,000개의 멤버 계정을 표시합니다. 모든 계정을 보려면 **모든 계정 로드를** 선택합니다. 모든 결과를 반환하는 데 몇 분 정도 걸릴 수 있습니다.
## 계정 및 리전
AWS Organizations 를 사용하여 계정을 관리하는 경우 조직 관리 계정은 조직의 Detective 관리자 계정을 지정합니다. Detective 관리자 계정은 조직 동작 그래프의 관리자 계정이 됩니다.
Detective 관리자 계정은 모든 리전에서 동일해야 합니다. 조직 관리 계정은 각 리전에 있는 Detective 관리자 계정을 개별적으로 지정합니다. 또한 Detective 관리자 계정은 각 리전의 조직 동작 그래프와 멤버 계정을 개별적으로 관리합니다.
초대를 통해 생성된 멤버 계정의 경우 초대를 보낸 리전에서만 관리자-멤버 연결이 생성됩니다. 관리자 계정은 각 리전에서 Detective를 활성화해야 하며 각 리전마다 별도의 동작 그래프가 있어야 합니다. 그러면 관리자 계정이 각 계정을 해당 리전의 구성원 계정으로 연결하도록 초대합니다.
계정은 동일한 리전 내 여러 동작 그래프의 멤버 계정일 수 있습니다. 계정은 리전당 하나의 동작 그래프의 관리자 계정만 될 수 있습니다. 계정은 여러 리전의 관리자 계정일 수 있습니다.
## Security Hub CSPM 및 GuardDuty와 관리자 계정의 정렬
AWS Security Hub CSPM 및 Amazon GuardDuty와의 통합이 원활하게 작동하도록 하려면 동일한 계정이 이러한 모든 서비스의 관리자 계정인 것이 좋습니다.
[GuardDuty 및 와의 권장 정렬 AWS Security Hub CSPM](detective-recommendations.md#recommended-service-alignment)을(를) 참조하세요.
## 관리자 계정에 필요한 권한 부여
관리자 계정이 동작 그래프를 관리하는 데 필요한 권한을 갖도록 하려면 [`AmazonDetectiveFullAccess` 관리형 정책](security-iam-awsmanpol.md#security-iam-awsmanpol-amazondetectivefullaccess)을 IAM 보안 주체에 연결합니다.
## Detective에 조직 업데이트 반영
조직의 변경 사항은 Detective에 즉시 반영되지 않습니다.
신규 및 제거된 조직 계정과 같은 대부분의 변경 사항은 Detective에 알림이 전송되는 데 최대 1시간이 걸릴 수 있습니다.
Organizations에서 지정된 Detective 관리자 계정을 변경하면 변경 내용을 전파하는 데 시간이 덜 걸립니다.
# Organizations를 사용하여 동작 그래프 계정 관리
수동 초대를 수락한 멤버 계정이 표시된 기존 동작 그래프가 있을 수 있습니다. 에 등록한 경우 수동 초대 프로세스를 사용하는 대신 AWS Organizations다음 단계에 따라 Organizations를 사용하여 멤버 계정을 활성화하고 관리합니다.
1. [조직을 위해 Detective 관리자 계정을 지정합니다.](#accounts-transition-designate-admin) 그러면 조직 동작 그래프가 생성됩니다.
Detective 관리자 계정에 이미 동작 그래프가 있는 경우 해당 동작 그래프는 조직 동작 그래프가 됩니다.
1. [조직 동작 그래프에서 조직 계정을 멤버 계정으로 활성화합니다.](#accounts-transition-members)
조직 동작 그래프에 조직 계정인 기존 멤버 계정이 있는 경우 해당 계정은 자동으로 활성화됩니다.
다음 다이어그램은 전환 전의 동작 그래프 구조, Organizations의 구성, 전환 후의 동작 그래프 계정 구조에 대한 개요를 보여줍니다.
![\[이 다이어그램은 조직 동작 그래프에서 멤버 계정을 관리하는 데 AWS Organizations 사용할 전환을 수행하는 프로세스를 보여줍니다.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/diagram_account_transition.png)
## 조직의 Detective 관리자 계정 지정
조직 관리 계정은 조직의 Detective 관리자 계정을 지정합니다. [조직의 Detective 관리자 지정](accounts-designate-admin.md)을(를) 참조하세요.
전환을 더 단순하게 만들기 위해 Detective는 현재 관리자 계정을 조직의 Detective 관리자 계정으로 선택할 것을 권장합니다.
Organizations에 Detective에 대해 위임된 관리자 계정이 있는 경우 해당 계정 또는 조직 관리 계정을 Detective 관리자 계정으로 사용해야 합니다.
그렇지 않으면 조직 관리 계정이 아닌 Detective 관리자 계정을 처음 지정할 때 Detective는 Organizations를 호출하여 해당 계정을 Detective의 위임된 관리자 계정으로 설정합니다.
## 조직 계정을 구성원 계정으로 활성화합니다.
Detective 관리자 계정은 조직 동작 그래프의 관리자 계정입니다. Detective 관리자 계정은 조직 동작 그래프에서 멤버 계정으로 활성화할 조직 계정을 선택합니다. [조직 계정을 Detective 멤버 계정으로 관리](accounts-orgs-members.md)을(를) 참조하세요.
**계정** 페이지에서 Detective 관리자 계정은 조직의 모든 계정을 볼 수 있습니다.
Detective 관리자 계정이 이미 동작 그래프의 관리자 계정인 경우 해당 동작 그래프는 조직 동작 그래프가 됩니다. 동작 그래프에서 이미 멤버 계정이었던 조직 계정은 자동으로 멤버 계정으로 활성화됩니다. 다른 조직 계정의 상태는 **멤버가 아님**입니다.
조직 계정이 이전에 초대를 통한 구성원 계정이었더라도 조직 계정에는 **조직을 통한** 유형이 있습니다.
조직에 속하지 않는 멤버 계정의 유형은 **초대별** 계정입니다.
**계정 관리** 페이지에는 새 계정이 조직에 추가될 때 자동으로 활성화할 수 있는 **새 조직 계정 자동 활성화** 옵션도 제공합니다. [새 조직 계정을 Detective 멤버 계정으로 활성화](accounts-orgs-members-autoenable.md)을(를) 참조하세요. 이 옵션은 처음에는 꺼져 있습니다.
Detective 관리자 계정이 **계정 관리** 페이지를 처음 표시하면 **모든 조직 계정 활성화** 버튼이 포함된 메시지가 표시됩니다. **모든 조직 계정 활성화**를 선택하면 Detective는 다음 작업을 수행합니다.
+ 현재 조직 계정 전체를 멤버 계정으로 활성화합니다.
+ 옵션을 켜면 새 조직 계정을 자동 활성화합니다.
멤버 계정 목록에는 **모든 조직 계정 활성화** 옵션도 있습니다.
# 조직의 Detective 관리자 지정
조직 동작 그래프에서 Detective 관리자 계정은 모든 조직 계정의 동작 그래프 멤버십을 관리합니다.
Detective 관리자 계정 관리 방법 - 조직 관리 계정은 각에서 조직의 Detective 관리자 계정을 지정합니다 AWS 리전.
Detective 관리자 계정을 위임된 관리자 계정으로 설정 - Detective 관리자 계정도 Detective의 위임된 관리자 계정이 됩니다 AWS Organizations. 단, 조직 관리 계정이 본인을 Detective 관리자 계정으로 지정한 경우는 예외입니다. 조직 관리 계정은 조직에서 위임된 관리자일 수 있습니다.
조직에 위임된 관리자 계정이 설정되면 조직 관리 계정은 위임된 관리자 계정 또는 자체 계정만 Detective 관리자 계정으로 선택할 수 있습니다. 모든 리전에 위임된 관리자 계정을 선택하는 것을 권장합니다.
조직 동작 그래프 생성 및 관리 - 조직 관리 계정이 Detective 관리자 계정을 선택하면 Detective는 해당 계정에 대한 새 동작 그래프를 생성합니다. 이 동작 그래프는 조직 동작 그래프입니다.
Detective 관리자 계정이 기존 동작 그래프의 관리자 계정인 경우 해당 동작 그래프는 조직 동작 그래프가 됩니다.
Detective 관리자 계정은 조직 동작 그래프에서 멤버 계정으로 활성화할 조직 계정을 선택합니다.
![\[이 다이어그램에서는 조직 관리 계정이 조직의 Detective 관리자 계정을 선택하는 방법을 보여줍니다. Detective 관리자 계정은 조직 동작 그래프의 관리자 계정이고 Organizations의 위임된 관리자 계정입니다. Detective 관리자 계정은 조직의 모든 계정에 자동으로 액세스할 수 있습니다.\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/images/diagram_account_delegation.png)
Detective 관리자 계정은 조직에 속하지 않는 계정으로 초대를 보낼 수도 있습니다. 자세한 내용은 [조직 계정을 Detective 멤버 계정으로 관리](accounts-orgs-members.md) 및 [Detective에서 초대된 멤버 계정 관리](accounts-invited-members.md) 섹션을 참조하세요.
Detective 관리자 계정을 구성하는 데 필요한 권한 - 조직 관리 계정이 Detective 관리자 계정을 구성할 수 있도록 (IAM) 엔터티에 [`AmazonDetectiveOrganizationsAccess` 관리형 정책을](security-iam-awsmanpol.md#security-iam-awsmanpol-amazondetectiveorganizationsaccesspolicy) 연결할 수 있습니다 AWS Identity and Access Management .
# Detective 관리자 지정
조직 관리 계정은 Detective 콘솔을 사용하여 Detective 관리자 계정을 지정합니다.
Detective 관리자 계정을 관리하기 위해 Detective를 활성화할 필요는 없습니다. Detective 관리자 계정은 **Detective 활성화** 페이지에서 관리할 수 있습니다.
------
#### [ Enable Detective page (Console) ]
Detective **활성화 페이지에서 Detective** 관리자를 지정하려면 다음 단계를 따르세요.
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.
1. **Get started**를 선택합니다.
1. **관리자 계정에 필요한 권한** 패널에서 선택한 계정에 필요한 권한을 부여하여 해당 계정이 Detective의 모든 작업에 대한 전체 액세스 권한을 가진 Detective 관리자로 운영할 수 있도록 합니다. 관리자로 운영하려면 보안 주체에 `AmazonDetectiveFullAccess` 정책을 연결하는 것이 좋습니다.
1. IAM 콘솔에서 직접 권장 정책을 보려면 **IAM에서 정책 연결**을 선택합니다.
1. IAM 콘솔에서 권한이 있는지 여부에 따라 다음과 같이 진행합니다.
+ IAM 콘솔에서 운영할 권한이 있는 경우 Detective에 사용하는 보안 주체에 권장 정책을 연결합니다.
+ IAM 콘솔에서 작업할 수 있는 권한이 없는 경우 정책의 Amazon 리소스 이름(ARN)을 복사하여 IAM 관리자에게 제공합니다. 그러면 담당자가 사용자를 대신하여 정책을 연결할 수 있습니다.
1. **Detective 관리자**에서 Detective 관리자 계정을 선택합니다.
사용 가능한 옵션은 Organizations의 Detective 관리자 계정을 위임했는지 여부에 따라 달라집니다.
+ Organizations의 Detective에 대한 위임된 관리자 계정이 없는 경우 계정의 계정 식별자를 입력하여 Detective 관리자 계정으로 지정합니다.
수동 초대 프로세스의 기존 관리자 계정 및 동작 그래프가 있을 수 있습니다. 있는 경우 해당 계정을 Detective 관리자 계정으로 지정하는 것이 좋습니다.
Organizations for Amazon GuardDuty AWS Security Hub CSPM또는 Amazon Macie에 위임된 관리자 계정이 있는 경우 Detective는 해당 계정 중 하나를 선택하라는 메시지를 표시합니다. 다른 계정을 입력할 수도 있습니다.
+ Organizations의 Detective에 대한 위임된 관리자 계정이 있는 경우 해당 계정 또는 사용자 계정을 선택하라는 메시지가 표시됩니다. 모든 리전에 위임된 관리자 계정을 선택하는 것을 권장합니다.
1. **위임**을 선택합니다.
Detective를 활성화했거나 기존 동작 그래프의 멤버 계정인 경우 **일반** 페이지에서 Detective 관리자 계정을 지정할 수 있습니다.
------
#### [ General page (Console) ]
**일반** 페이지에서 Detective 관리자를 지정하려면 다음 단계를 따릅니다.
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.
1. Detective 탐색 창의 **설정** 아래에서 **일반**을 선택합니다.
1. **관리형 정책** 패널에서 Detective가 지원하는 모든 관리형 정책에 대해 자세히 알아볼 수 있습니다. Detective에서 사용자가 수행하기를 원하는 작업에 따라 계정에 필요한 권한을 부여할 수 있습니다. 관리자로 운영하려면 보안 주체에 `AmazonDetectiveFullAccess` 정책을 연결하는 것이 좋습니다.
1. IAM 콘솔에서 권한이 있는지 여부에 따라 다음과 같이 진행합니다.
+ IAM 콘솔에서 운영할 권한이 있는 경우 Detective에 사용하는 보안 주체에 권장 정책을 연결합니다.
+ IAM 콘솔에서 작업할 수 있는 권한이 없는 경우 정책의 Amazon 리소스 이름(ARN)을 복사하여 IAM 관리자에게 제공합니다. 그러면 담당자가 사용자를 대신하여 정책을 연결할 수 있습니다.
사용 가능한 옵션은 Organizations의 Detective 관리자 계정을 위임했는지 여부에 따라 달라집니다.
+ Organizations의 Detective에 대한 위임된 관리자 계정이 없는 경우 계정의 계정 식별자를 입력하여 Detective 관리자 계정으로 지정합니다.
수동 초대 프로세스의 기존 관리자 계정 및 동작 그래프가 있을 수 있습니다. 있는 경우 해당 계정을 Detective 관리자 계정으로 지정하는 것이 좋습니다.
Organizations for Amazon GuardDuty AWS Security Hub CSPM또는 Amazon Macie에 위임된 관리자 계정이 있는 경우 Detective는 해당 계정 중 하나를 선택하라는 메시지를 표시합니다. 다른 계정을 입력할 수도 있습니다.
+ Organizations의 Detective에 대한 위임된 관리자 계정이 있는 경우 해당 계정 또는 사용자 계정을 선택하라는 메시지가 표시됩니다. 모든 리전에 위임된 관리자 계정을 선택하는 것을 권장합니다.
1. **위임**을 선택합니다.
------
#### [ Detective API, AWS CLI ]
Detective 관리자 계정을 지정하기 위해 API 직접 호출 또는 AWS Command Line Interface를 사용할 수 있습니다. 조직 관리 계정 보안 인증 정보를 사용해야 합니다.
조직에 Detective에 대한 위임된 관리자 계정이 이미 있는 경우 해당 계정 또는 사용자 계정을 선택해야 합니다. 위임된 관리자 계정을 선택하는 것이 좋습니다.
**Detective 관리자 계정을 지정하려면(Detective API, AWS CLI)**
+ **Detective API:** [https://docs.aws.amazon.com/detective/latest/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_EnableOrganizationAdminAccount.html) 작업을 사용합니다. Detective 관리자 계정의 AWS 계정 식별자를 제공해야 합니다. 계정 식별자를 얻으려면 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListOrganizationAdminAccounts.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListOrganizationAdminAccounts.html) 작업을 사용합니다.
+ **AWS CLI:** 명령줄에서 [https://docs.aws.amazon.com/cli/latest/reference/detective/enable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/detective/enable-organization-admin-account.html) 명령을 실행합니다.
```
aws detective enable-organization-admin-account --account-id
```
**예제**
```
aws detective enable-organization-admin-account --account-id 777788889999
```
------
# Detective 관리자 계정 지정
조직 관리자 계정은 리전의 현재 Detective 관리자 계정을 제거할 수 있습니다. Detective 관리자 계정을 제거하면 Detective는 현재 리전에서만 해당 계정을 제거합니다. Organizations의 위임된 관리자 계정은 변경되지 않습니다.
조직 관리 계정이 리전의 Detective 관리자 계정을 제거하면 Detective는 조직 동작 그래프를 삭제합니다. 제거된 Detective 관리자 계정에 대해 Detective가 비활성화됩니다.
Detective의 현재 위임된 관리자 계정을 제거하려면 Organizations API를 사용합니다. Organizations의 Detective에 대한 위임된 관리자 계정을 제거하면 Detective는 위임된 관리자 계정이 Detective 관리자 계정인 조직 동작 그래프를 모두 삭제합니다. 조직 관리 계정을 Detective 관리자 계정으로 사용하는 조직 동작 그래프는 영향을 받지 않습니다.
------
#### [ Console ]
Detective 관리자 계정은 Detective 콘솔에서 제거할 수 있습니다.
Detective 관리자 계정을 제거하면 해당 계정에 대해 Detective가 비활성화되고 조직 동작 그래프가 삭제됩니다. Detective 관리자 계정은 현재 리전에서만 제거됩니다.
**중요**
Detective 관리자 계정을 제거해도 Organizations의 위임된 관리자 계정에는 영향을 미치지 않습니다.
**Detective 관리자 계정을 제거(**Detective 활성화** 페이지)**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.
1. **Get started**를 선택합니다.
1. **위임된 관리자**에서 **Amazon Detective 비활성화**를 선택합니다.
1. 확인 대화 상자에서 **disable**을 입력한 다음 **Amazon Detective 비활성화**를 선택합니다.
**Detective 관리자 계정 제거(**일반** 페이지)**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.
1. Detective 탐색 창의 **설정** 아래에서 **일반**을 선택합니다.
1. **위임된 관리자**에서 **Amazon Detective 비활성화**를 선택합니다.
1. 확인 대화 상자에서 **disable**을 입력한 다음 **Amazon Detective 비활성화**를 선택합니다.
------
#### [ Detective API, AWS CLI ]
Detective 관리자 계정을 제거하기 위해 API 직접 호출 또는 AWS CLI를 사용할 수 있습니다. 조직 관리 계정 보안 인증 정보를 사용해야 합니다.
Detective 관리자 계정을 제거하면 해당 계정에 대해 Detective가 비활성화되고 조직 동작 그래프가 삭제됩니다.
**중요**
Detective 관리자 계정을 제거해도 Organizations의 위임된 관리자 계정에는 영향을 미치지 않습니다.
**Detective 관리자 계정을 제거하려면(Detective API, AWS CLI)**
+ **Detective API:** [https://docs.aws.amazon.com/detective/latest/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_DisableOrganizationAdminAccount.html) 작업을 사용합니다.
Detective API를 사용하여 Detective 관리자 계정을 제거하면 API 직접 호출 또는 명령이 실행된 리전에서만 해당 계정이 제거됩니다.
+ **AWS CLI:** 명령줄에서 [https://docs.aws.amazon.com/cli/latest/reference/detective/disable-organization-admin-account.html](https://docs.aws.amazon.com/cli/latest/reference/detective/disable-organization-admin-account.html) 명령을 실행합니다.
```
aws detective disable-organization-admin-account
```
------
## 위임된 관리자 계정 제거
Detective 관리자 계정을 제거해도 Organizations의 위임된 관리자 계정은 자동으로 제거되지 않습니다. Detective의 위임된 관리자 계정을 제거하기 위해 Organizations API를 사용할 수 있습니다.
위임된 관리자 계정을 제거하면 위임된 관리자 계정이 Detective 관리자 계정인 조직 동작 그래프가 모두 삭제됩니다. 또한 해당 리전의 계정에 대해 Detective를 비활성화합니다.
**위임된 관리자 계정을 제거하려면(조직 API, AWS CLI)**
+ **조직 API:** [https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) 작업을 사용합니다. Detective 관리자 계정의 계정 식별자 및 Detective의 서비스 보안 주체인 `detective.amazonaws.com`을 제공해야 합니다.
+ **AWS CLI:** 명령줄에서 [https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html](https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html) 명령을 실행합니다.
```
aws organizations deregister-delegated-administrator --account-id --service-principal
```
**예제**
```
aws organizations deregister-delegated-administrator --account-id 777788889999 --service-principal detective.amazonaws.com
```
# 계정에 사용할 수 있는 작업
관리자 및 구성원 계정은 다음과 같은 Detective 작업에 액세스할 수 있습니다. 테이블에서 값의 의미는 다음과 같습니다.
+ **모두** - 이 계정은 동일한 Detective 관리자 계정에 속한 모든 계정에 대해 작업을 수행할 수 있습니다.
+ **본인** - 이 계정은 자신의 계정에서만 작업을 수행할 수 있습니다.
+ 대시(-) - 해당 계정에서 작업을 수행할 수 없습니다.
조직 동작 그래프에서 Detective 관리자 계정은 멤버 계정으로 활성화할 조직 계정을 결정합니다. 새 조직 계정을 멤버 계정으로 자동 활성화하도록 Detective를 구성하거나 조직 계정을 수동으로 활성화하도록 Detective를 구성할 수 있습니다.
관리자 계정은 동작 그래프에서 계정을 멤버 계정으로 초대할 수 있습니다. 멤버 계정이 초대를 수락하고 활성화되면 Amazon Detective는 멤버 계정의 데이터를 수집하고 해당 동작 그래프로 추출하기 시작합니다.
조직 동작 그래프 이외의 동작 그래프의 경우 모든 멤버 계정은 초대된 계정입니다.
다음 테이블에는 관리자 및 멤버 계정의 기본 권한이 반영되어 있습니다. 사용자 지정 IAM 정책을 사용하여 Detective 기능 및 기능에 대한 추가 액세스를 제한할 수 있습니다.
| 작업 | 관리자 계정(조직) | 관리자 계정(초대) | 멤버(조직) | 멤버(초대) |
| --- | --- | --- | --- | --- |
| 계정 보기 | 모두 | 모두 | 본인(관리자 계정 보기) | 본인(관리자 계정 보기) |
| 멤버 계정 제거 | 모두 초대된 계정이 제거됨 조직 계정 연결 해제됨 | 모두 | – | 본인 |
| 선택적 데이터 소스 패키지 추가 또는 제거 | 모두(설정은 모든 멤버 계정에 적용됨) | 모두(설정은 모든 멤버 계정에 적용됨) | – | – |
| Detective 비활성화 | 본인 | 본인 | – | – |
| 동작 그래프 데이터 보기 | 모두 | 모두 | – | – |
| 선택적 데이터 소스 패키지 활성화 또는 비활성화 | 모두 | 모두 | – | – |
# 계정 목록 보기
관리자 계정은 Detective 콘솔 또는 API를 사용하여 계정 목록을 볼 수 있습니다. 목록에는 다음을 포함할 수 있습니다.
+ 동작 그래프에 조인하도록 관리자 계정이 초대한 계정. 이러한 계정에는 **초대별** 유형이 있습니다.
+ 조직 동작 그래프의 경우 조직의 모든 계정. 이러한 계정에는 **조직별** 유형이 있습니다.
초대를 거부했거나 관리자 계정이 동작 그래프에서 제거한 초대된 멤버 계정은 결과에 포함되지 않습니다. 다음 상태의 계정만 포함됩니다.
**확인 진행 중**
초대된 계정의 경우 Detective는 초대를 보내기 전에 계정 이메일 주소를 확인합니다.
조직 계정의 경우 Detective는 해당 계정이 조직에 속하는지 확인합니다. Detective는 해당 계정을 활성화한 계정이 Detective 관리자 계정인지도 확인합니다.
**확인 실패**
확인 실패 초대가 전송되지 않았거나 조직 계정이 멤버으로 활성화되지 않았습니다.
**초대됨**
초대된 계정의 경우. 초대를 보냈지만 멤버 계정이 아직 응답하지 않았습니다.
**멤버가 아님**
조직 동작 그래프의 조직 계정의 경우. 조직 계정이 현재 멤버 계정이 아닙니다. 조직 동작 그래프에 데이터를 제공하지 않습니다.
**활성화됨**
초대된 계정의 경우 멤버 계정이 초대를 수락하고 동작 그래프에 데이터를 제공합니다.
조직 동작 그래프의 조직 계정의 경우 Detective 관리자 계정을 통해 해당 계정을 멤버 계정으로 활성화했습니다. 이 계정은 조직 동작 그래프에 데이터를 제공합니다.
**활성화되지 않음**
초대된 계정의 경우, 멤버 계정이 초대를 수락했지만 활성화할 수는 없습니다.
조직 동작 그래프에 있는 조직 계정의 경우 Detective 관리자 계정이 해당 계정을 활성화하려고 했지만 활성화할 수 없습니다.
초대된 계정의 경우 Detective는 멤버 계정 수를 확인합니다. 동작 그래프의 최대 멤버 계정 수는 1,200개입니다. 동작 그래프에 이미 1,200개의 멤버 계정이 포함된 경우 새 계정을 활성화할 수 없습니다.
Detective는 데이터 볼륨이 Detective 할당량 내에 있는지 확인합니다. 동작 그래프에 입력되는 데이터의 볼륨은 Detective에서 허용하는 최대값보다 작아야 합니다. 현재 수집된 볼륨이 동작 그래프 데이터 볼륨의 일일 10TB 제한을 초과하는 경우 Detective는 멤버 계정을 추가할 수 없습니다.
## 계정 목록 작성(콘솔)
를 사용하여 계정 목록을 보고 필터링 AWS Management Console 할 수 있습니다.
**계정 목록 표시(콘솔)**
1. AWS Management Console에 로그인합니다. 그런 다음 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Detective 콘솔을 엽니다.
1. Detective 탐색 창에서 **계정 관리**를 선택합니다.
멤버 계정 목록에는 다음 계정이 포함됩니다.
+ 계정
+ 동작 그래프에 데이터를 제공하도록 초대한 계정
+ 조직 동작 그래프의 모든 조직 계정
각 계정의 경우 목록에는 다음 정보가 표시됩니다.
+ AWS 계정 식별자입니다.
+ 조직 계정의 경우, 계정 이름.
+ 계정 유형(**초대별** 또는 **조직별**).
+ 초대된 계정의 경우, 계정 루트 사용자 이메일 주소.
+ 계정 상태.
+ 계정의 일일 데이터 볼륨. Detective는 멤버 계정으로 활성화되지 않은 계정의 데이터 볼륨을 검색할 수 없습니다.
+ 계정 상태가 마지막으로 업데이트된 날짜.
테이블 상단의 탭을 사용하여 멤버 계정 상태를 기준으로 목록을 필터링할 수 있습니다. 각 탭에는 일치하는 멤버 계정 수가 표시됩니다.
+ 모든 멤버 계정을 보려면 **모두**를 선택합니다.
+ **활성화됨** 상태인 계정을 보려면 **활성화됨**을 선택합니다.
+ **활성화됨** 외 상태의 계정을 보려면 **활성화되지 않음**을 선택합니다.
멤버 계정 목록에 다른 필터를 추가할 수도 있습니다.
**동작 그래프의 계정 목록에 필터 추가(콘솔)**
1. 필터 상자를 선택합니다.
1. 목록에서 필터에 사용할 열을 선택합니다.
1. 지정된 열에 대해 필터에 사용할 값을 선택합니다.
1. 필터를 제거하려면 오른쪽 상단에 있는 **x** 아이콘을 선택합니다.
1. 목록을 최신 상태 정보로 업데이트하려면 오른쪽 상단에 있는 새로 고침 아이콘을 선택합니다.
## 멤버 계정 나열(Detective API, AWS CLI)
API 호출 또는를 사용하여 동작 그래프에서 멤버 계정 목록을 AWS Command Line Interface 볼 수 있습니다.
요청에 사용할 동작 그래프의 ARN을 가져오려면 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 작업을 사용합니다.
**멤버 계정 목록을 검색하려면(Detective API, AWS CLI)**
+ **Detective API:** [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListMembers.html) 작업을 사용합니다. 의도한 동작 그래프를 식별하려면 동작 그래프 ARN을 지정합니다.
단, 조직 동작 그래프의 경우 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListMembers.html)는 멤버 계정으로 활성화하지 않았거나 동작 그래프에서 연결 해제한 조직 계정을 반환하지 않습니다.
+ **AWS CLI:** 명령줄에서 [https://docs.aws.amazon.com/cli/latest/reference/detective/list-members.html](https://docs.aws.amazon.com/cli/latest/reference/detective/list-members.html) 명령을 실행합니다.
```
aws detective list-members --graph-arn
```
예제:
```
aws detective list-members --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
```
**동작 그래프에서 특정 멤버 계정에 대한 세부 정보를 검색하려면(Detective API, AWS CLI)**
+ **Detective API:** [https://docs.aws.amazon.com/detective/latest/APIReference/API_GetMembers.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_GetMembers.html) 작업을 사용합니다. 동작 그래프 ARN과 멤버 계정의 계정 식별자 목록을 지정합니다.
+ **AWS CLI:** 명령줄에서 [https://docs.aws.amazon.com/cli/latest/reference/detective/get-members.html](https://docs.aws.amazon.com/cli/latest/reference/detective/get-members.html) 명령을 실행합니다.
```
aws detective get-members --account-ids --graph-arn
```
예제:
```
aws detective get-members --account-ids 444455556666 123456789012 --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
```
# 조직 계정을 Detective 멤버 계정으로 관리
조직 동작 그래프에서 Detective 관리자 계정은 멤버 계정으로 활성화할 조직 계정을 결정합니다. 기본적으로 새 조직 계정은 멤버 계정으로 활성화되지 않습니다. 해당 멤버의 상태는 **멤버가 아님**입니다. Detective 관리자 계정은 조직 동작 그래프에서 새 조직 계정을 멤버 계정으로 자동 활성화화도록 Detective를 구성할 수 있습니다.
Detective 관리자는 새 조직 계정을 멤버 계정으로 자동으로 활성화하도록 Detective를 구성할 수 있습니다. 조직 계정을 자동으로 활성화하도록 선택하면 Detective는 새 계정이 조직에 추가될 때 새 계정을 멤버 계정으로 활성화하기 시작합니다. Detective는 아직 활성화되지 않은 기존 조직 계정을 활성화하지 않습니다.
새 조직 계정을 자동으로 활성화하지 않으려면 Detective에서 조직 계정을 수동으로 멤버 계정으로 활성화할 수 있습니다. 연결 해제된 조직 계정을 수동으로 활성화할 수도 있습니다. 조직 동작 그래프에 이미 최대 1,200개의 활성화된 계정이 있는 경우 Detective 관리자는 조직 계정을 멤버 계정으로 활성화할 수 없습니다. 이 경우 조직 계정 상태는 **멤버가 아님**으로 유지됩니다.
Detective 관리자는 조직 동작 그래프에서 조직 계정의 연결을 해제할 수도 있습니다. 조직 동작 그래프에서 조직 계정의 데이터 수집을 중지하기 위해 계정 연결을 해제할 수 있습니다. 해당 계정의 기존 데이터는 동작 그래프에 그대로 남아 있습니다.
**Topics**
+ [새 조직 계정을 Detective 멤버 계정으로 활성화](accounts-orgs-members-autoenable.md)
+ [조직 계정을 Detective 멤버 계정으로 활성화](accounts-orgs-members-enable.md)
+ [조직 계정을 Detective 멤버 계정으로 연결 해제](accounts-orgs-members-disassociate.md)
# 새 조직 계정을 Detective 멤버 계정으로 활성화
Detective 관리자 계정은 조직 동작 그래프에서 새 조직 계정을 멤버 계정으로 자동 활성화화도록 Detective를 구성할 수 있습니다.
조직에 새 계정을 추가하면 해당 계정이 **계정 관리** 페이지의 목록에 추가됩니다. 조직 계정의 경우, **유형**은 **조직별**입니다.
기본적으로 새 조직 계정은 멤버 계정으로 활성화되지 않습니다. 해당 멤버의 상태는 **멤버가 아님**입니다.
조직 계정을 자동으로 활성화하도록 선택하면 Detective는 새 계정이 조직에 추가될 때 새 계정을 멤버 계정으로 활성화하기 시작합니다. Detective는 아직 활성화되지 않은 기존 조직 계정을 활성화하지 않습니다.
Detective는 동작 그래프의 최대 멤버 계정 수가 1,200인 경우에만 조직 계정을 멤버 계정으로 활성화할 수 있습니다. 동작 그래프에 이미 1,200개의 멤버 계정이 있는 경우 새 계정을 활성화할 수 없습니다.
------
#### [ Console ]
**계정 관리** 페이지의 **새 조직 계정 자동 활성화** 설정은 조직에 계정을 추가할 때 계정을 자동으로 활성화할지 여부를 결정합니다.
**새 조직 계정을 멤버 계정으로 자동 활성화**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.
1. Detective 탐색 창에서 **계정 관리**를 선택합니다.
1. **새 조직 계정 자동 활성화** 상태로 전환합니다.
------
#### [ DetectiveAPI/AWS CLI ]
새 조직 계정을 Detective 멤버 계정으로 자동으로 활성화할지 여부를 결정하기 위해 관리자 계정은 Detective API 또는를 사용할 수 있습니다 AWS Command Line Interface.
구성을 보고 관리하려면 동작 그래프 ARN을 제공해야 합니다. ARN을 가져오려면 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 작업을 사용합니다.
**조직 계정 자동 활성화를 위한 현재 구성 보기**
+ **Detective API:** [https://docs.aws.amazon.com/detective/latest/APIReference/API_DescribeOrganizationConfiguration.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_DescribeOrganizationConfiguration.html) 작업을 사용합니다.
응답에서 새 조직 계정이 자동 활성화되면 `AutoEnable`은 `true`입니다.
+ **AWS CLI:** 명령줄에서 [https://docs.aws.amazon.com/cli/latest/reference/detective/describe-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/detective/describe-organization-configuration.html) 명령을 실행합니다.
```
aws detective describe-organization-configuration --graph-arn
```
**예제**
```
aws detective describe-organization-configuration --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
```
**새 조직 계정 자동 활성화**
+ **Detective API:** [https://docs.aws.amazon.com/detective/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_UpdateOrganizationConfiguration.html) 작업을 사용합니다. 새 조직 계정을 자동 활성화하려면 `AutoEnable`을 `true`로 설정합니다.
+ **AWS CLI:** 명령줄에서 [https://docs.aws.amazon.com/cli/latest/reference/detective/update-organization-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/detective/update-organization-configuration.html) 명령을 실행합니다.
```
aws detective update-organization-configuration --graph-arn --auto-enable | --no-auto-enable
```
예제
```
aws detective update-organization-configuration --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --auto-enable
```
------
# 조직 계정을 Detective 멤버 계정으로 활성화
자동으로 새 조직 계정을 자동으로 활성화하지 않는 경우 해당 계정을 수동으로 활성화할 수 있습니다. 또한 연결을 해제한 계정도 수동으로 활성화해야 합니다.
## 계정 활성화 여부 결정
조직 동작 그래프에 이미 최대 1,200개의 활성 계정이 있는 경우 조직 계정을 멤버 계정으로 활성화할 수 없습니다. 이 경우 조직 계정 상태는 **멤버가 아님**으로 유지됩니다. 계정은 동작 그래프에 데이터를 제공하지 않습니다.
멤버 계정을 활성화할 수 있게 되면 Detective는 자동으로 멤버 계정 상태를 **활성화됨**으로 변경합니다. 예를 들어 관리자 계정이 계정 공간을 확보하기 위해 다른 멤버 계정을 제거하면 멤버 계정 상태가 **활성화됨**으로 변경됩니다.
------
#### [ Console ]
**계정 관리** 페이지에서 조직 계정을 멤버 계정으로 활성화할 수 있습니다.
**조직 계정을 멤버 계정으로 활성화**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.
1. Detective 탐색 창에서 **계정 관리**를 선택합니다.
1. 현재 활성화되지 않은 계정 목록을 보려면 **활성화되지 않음**을 선택합니다.
1. 특정 조직 계정을 선택하거나 모든 조직 계정을 활성화할 수 있습니다.
선택한 조직 계정 활성화
1. 활성화하려는 각 조직 계정을 선택합니다.
1. **계정 활성화**를 선택합니다.
모든 조직 계정을 활성화하려면 **모든 조직 계정 활성화**를 선택합니다.
------
#### [ Detective API/AWS CLI ]
Detective API 또는 AWS Command Line Interface 를 사용하여 조직 동작 그래프에서 조직 계정을 멤버 계정으로 활성화할 수 있습니다. 요청에 사용할 동작 그래프의 ARN을 가져오려면 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 작업을 사용합니다.
**조직 계정을 멤버 계정으로 활성화**
+ **Detective API:** [https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateMembers.html) 작업을 사용합니다. 그래프 ARN을 제공해야 합니다.
각 계정에 대해 계정 식별자를 지정합니다. 조직 동작 그래프의 조직 계정은 초대를 받지 않습니다. 이메일 주소 또는 기타 초대 정보는 제공할 필요가 없습니다.
+ **AWS CLI:** 명령줄에서 [https://docs.aws.amazon.com/cli/latest/reference/detective/create-members.html](https://docs.aws.amazon.com/cli/latest/reference/detective/create-members.html) 명령을 실행합니다.
```
aws detective create-members --accounts AccountId= --graph-arn
```
**예제**
```
aws detective create-members --accounts AccountId=444455556666 AccountId=123456789012 --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
```
------
# 조직 계정을 Detective 멤버 계정으로 연결 해제
조직 동작 그래프에서 조직 계정의 데이터 수집을 중지하기 위해 계정 연결을 해제할 수 있습니다. 해당 계정의 기존 데이터는 동작 그래프에 그대로 남아 있습니다.
조직 멤버 계정의 연결을 해제하면 해당 계정의 상태가 **멤버 아님**으로 변경됩니다. Detective는 더 이상 해당 계정의 데이터를 동작 그래프로 수집하지 않습니다. 이 계정의 기존 데이터는 동작 그래프에 남아 있고 계정은 목록에 남아 있습니다.
------
#### [ Console ]
**계정 관리** 페이지에서 조직 계정을 멤버 계정 연결과 해제할 수 있습니다.조직 계정을 멤버 계정으로 연결 해제(콘솔)
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.
1. Detective 탐색 창에서 **계정 관리**를 선택합니다.
1. 활성화된 계정 목록을 표시하려면 **활성화됨**을 선택합니다.
1. 연결을 해제할 각 계정의 확인란을 선택합니다.
1. **작업**을 선택합니다. 그런 다음 **계정 비활성화**를 선택합니다.
연결이 해제된 계정의 계정 상태가 **멤버가 아님**으로 변경됩니다.
------
#### [ Detective API/AWS CLI ]
요청에 사용할 동작 그래프의 ARN을 가져오려면 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 작업을 사용합니다.
**조직 동작 그래프에서 조직 계정의 연결을 해제하려면**
+ **Detective API:** [https://docs.aws.amazon.com/detective/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_DeleteMembers.html) 작업을 사용합니다. 연결을 해제할 멤버 계정의 그래프 ARN과 계정 식별자 목록을 지정합니다.
+ **AWS CLI:** 명령줄에서 [https://docs.aws.amazon.com/cli/latest/reference/detective/delete-members.html](https://docs.aws.amazon.com/cli/latest/reference/detective/delete-members.html) 명령을 실행합니다.
```
aws detective delete-members --account-ids --graph-arn
```
**예제**
```
aws detective delete-members --account-ids 444455556666 123456789012 --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
```
------
# Detective에서 초대된 멤버 계정 관리
Detective 관리자 계정은 동작 그래프에서 계정을 멤버 계정으로 초대할 수 있습니다. 동작 그래프에는 최대 1,200개의 멤버 계정이 포함될 수 있습니다. 멤버 계정이 초대를 수락하고 활성화되면 Amazon Detective는 멤버 계정의 데이터를 수집하고 해당 동작 그래프로 추출하기 시작합니다.
개별 계정을 초대하려면 동작 그래프에 데이터를 제공하도록 초대할 멤버 계정을 수동으로 지정할 수 있습니다. 멤버 계정 목록을 추가하려면 동작 그래프에 초대할 멤버 계정 목록이 포함된 .csv 파일을 제공하도록 선택할 수 있습니다.
조직 동작 그래프 이외의 동작 그래프의 경우 모든 멤버 계정이 초대된 계정입니다. Detective 관리자 계정은 조직 계정이 아닌 계정을 조직 동작 그래프에 초대할 수도 있습니다.
상위 수준에서 동작 그래프에 제공하도록 계정을 초대하는 프로세스는 다음과 같습니다.
1. 추가할 각 멤버 계정에 대해 관리자 계정은 AWS 계정 식별자와 루트 사용자 이메일 주소를 제공합니다.
1. Detective는 이메일 주소가 계정의 루트 사용자 이메일 주소인지 확인합니다. 계정 정보가 유효하면 Detective는 멤버 계정으로 초대를 보냅니다.
Detective는이 검증을 수행하지 않거나 다음 리전의 멤버 계정에 이메일 초대를 보냅니다.
+ AWS GovCloud(미국 동부) 리전
+ AWS GovCloud(미국 서부) 리전
다른 리전의 경우 Detective API의 [CreateMembers](https://docs.aws.amazon.com//detective/latest/APIReference/API_CreateMembers.html) 작업을 `DisableEmailNotification` 사용할 수 있습니다. `DisableEmailNotification`가 true로 설정된 경우 Detective는 멤버 계정에 초대를 보내지 않습니다. 이는 중앙에서 관리되는 계정에 유용한 설정입니다.
1. 멤버 계정은 초대를 수락 또는 거부합니다.
관리자 계정이 초대 이메일을 보내지 않더라도 멤버 계정은 초대에 응답해야 합니다.
1. 멤버 계정이 초대를 수락하면 Detective는 멤버 계정의 데이터를 동작 그래프로 수집하기 시작합니다.
1. 멤버 계정을 활성화할 수 있게 되면 Detective는 자동으로 멤버 계정 상태를 **활성화됨**으로 변경합니다.
예를 들어 관리자 계정이 계정 공간을 확보하기 위해 다른 멤버 계정을 제거하면 멤버 계정 상태가 **활성화됨**으로 변경됩니다.
둘 이상의 계정이 **활성화되지 않음** 상태인 경우 Detective는 초대된 순서대로 계정을 활성화합니다. **활성화되지 않음** 상태의 계정을 활성화할지 여부를 확인하는 프로세스가 1시간마다 실행됩니다.
또한 관리자 계정은 자동 프로세스를 기다리지 않고 수동으로 계정을 활성화할 수 있습니다. 예를 들어 관리자 계정은 활성화할 계정을 선택하려고 할 수 있습니다. 멤버 계정을 활성화하는 방법에 대한 자세한 내용은 섹션을 참조하세요[활성화되지 않은 멤버 계정 활성화](graph-admin-unblock-account.md).
참고로 Detective는 2021년 5월 12일부터 **활성화되지 않음** 상태의 계정을 자동으로 활성화하기 시작했습니다. 이전에 **활성화되지 않음** 상태의 계정은 자동으로 활성화되지 않습니다. 관리자 계정이 수동으로 활성화해야 합니다.
관리자 계정의 동작 그래프에서 초대된 멤버 계정을 제거할 수 있습니다. Detective는 멤버 계정 전체의 데이터를 집계하는 동작 그래프에서 기존 데이터를 제거하지 않습니다.
**Topics**
+ [동작 그래프에 개별 계정 초대](accounts-invited-members-add-individual.md)
+ [동작 그래프에 멤버 계정 목록 초대](accounts-invited-members-add-csv.md)
+ [활성화되지 않은 멤버 계정 활성화](graph-admin-unblock-account.md)
+ [동작 그래프에서 멤버 계정 제거](accounts-invited-remove.md)
# 동작 그래프에 개별 계정 초대
동작 그래프에 데이터를 제공하도록 초대할 멤버 계정을 수동으로 지정할 수 있습니다.
------
#### [ Console ]
**Detective 콘솔을 사용하여 초대할 멤버 계정을 수동으로 선택합니다.**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.
1. Detective 탐색 창에서 **계정 관리**를 선택합니다.
1. **작업**을 선택합니다. 그런 당므 **계정 초대**를 선택합니다.
1. **계정 추가**에서 **개별 계정 추가**를 선택합니다.
1. 초대 목록에 멤버 계정을 추가하려면 다음 단계를 수행합니다.
1. **계정 추가**를 선택합니다.
1. **AWS 계정 ID**에 AWS 계정 ID를 입력합니다.
1. **이메일 주소**에 계정의 루트 사용자 이메일 주소를 입력합니다.
1. 목록에서 계정을 제거하려면 해당 계정에 대해 **제거**를 선택합니다.
1. **초대 이메일 개인화**에서 초대 이메일에 포함할 사용자 지정 콘텐츠를 추가합니다.
예를 들어 이 영역을 사용하여 연락처 정보를 제공할 수 있습니다. 또는 이를 사용하여 멤버 계정에 필요한 IAM 정책을 사용자 또는 역할에 연결해야 초대를 수락할 수 있음을 알릴 수 있습니다.
1. **멤버 계정 IAM 정책**에는 멤버 계정에 필요한 IAM 정책 텍스트가 포함되어 있습니다. 이메일 초대에는 이 정책 텍스트가 포함되어 있습니다. 정책 텍스트를 복사하려면 **복사**를 선택합니다.
1. **초대**를 선택합니다.
------
#### [ Detective API/AWS CLI ]
Detective API 또는를 사용하여 멤버 계정을 초대 AWS Command Line Interface 하여 동작 그래프에 데이터를 제공할 수 있습니다. 요청에 사용할 동작 그래프의 ARN을 가져오려면 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 작업을 사용합니다.
**멤버 계정을 동작 그래프에 초대하려면(Detective API, AWS CLI)**
+ **Detective API:** [https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateMembers.html) 작업을 사용합니다. 그래프 ARN을 제공해야 합니다. 각 계정에 대해 계정 식별자와 루트 사용자 이메일 주소를 지정합니다.
멤버 계정에 초대 이메일을 보내지 않으려면 `DisableEmailNotification`을 true로 설정합니다. 기본적으로 `DisableEmailNotification`은 false입니다.
초대 이메일을 보내는 경우 초대 이메일에 추가할 사용자 지정 텍스트를 선택적으로 제공할 수 있습니다.
+ **AWS CLI:** 명령줄에서 `create-members` 명령을 실행합니다.
```
aws detective create-members --accounts AccountId=,EmailAddress= --graph-arn --message ""
```
**예제**
```
aws detective create-members --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --message "This is Paul Santos. I need to add your account to the data we use for security investigation in Amazon Detective. If you have any questions, contact me at psantos@example.com."
```
멤버 계정에 초대 이메일을 보내지 않도록 지정하려면 `--disable-email-notification`을 포함합니다.
```
aws detective create-members --accounts AccountId=,EmailAddress= --graph-arn --disable-email-notification
```
**예제**
```
aws detective create-members --accounts AccountId=444455556666,EmailAddress=mmajor@example.com AccountId=123456789012,EmailAddress=jstiles@example.com --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --disable-email-notification
```
------
# 동작 그래프에 멤버 계정 목록 초대
Detective 콘솔에서 동작 그래프에 초대할 멤버 계정 목록이 포함된 `.csv` 파일을 제공할 수 있습니다.
파일의 첫 번째 행은 헤더 행입니다. 그러면 각 계정이 별도의 행에 나열됩니다. 각 멤버 계정 항목에는 AWS 계정 ID와 계정의 루트 사용자 이메일 주소가 포함됩니다.
예제:
```
Account ID,Email address
111122223333,srodriguez@example.com
444455556666,rroe@example.com
```
계정 상태가 **확인 실패**가 아닌 한 Detective는 파일을 처리할 때 이미 초대된 계정을 무시합니다. 이 상태는 계정에 제공된 이메일 주소가 계정의 루트 사용자 이메일 주소와 일치하지 않았음을 나타냅니다. 이 경우 Detective는 원래 초대장을 삭제하고 이메일 주소를 확인하고 초대장을 보내려고 다시 시도합니다.
이 옵션은 계정 목록을 생성하는 데 사용할 수 있는 템플릿도 제공합니다.
**.csv 목록에서 멤버 계정 초대(콘솔)**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.
1. Detective 탐색 창에서 **계정 관리**를 선택합니다.
1. **작업**을 선택합니다. 그런 당므 **계정 초대**를 선택합니다.
1. **계정 추가**에서 **.csv에서 추가**를 선택합니다.
1. 작업할 템플릿 파일을 다운로드하려면 **.csv 템플릿 다운로드**를 선택합니다.
1. 계정 목록이 포함된 파일을 선택하려면 **.csv 파일 선택**을 선택합니다.
1. **멤버 계정 검토**에서 Detective가 파일에서 찾은 멤버 계정 목록을 확인합니다.
1. **초대 이메일 개인화**에서 초대 이메일에 포함할 사용자 지정 콘텐츠를 추가합니다.
예를 들어 연락처 정보를 제공하거나 멤버 계정에 필요한 IAM 정책을 상기시킬 수 있습니다.
1. **멤버 계정 IAM 정책**에는 멤버 계정에 필요한 IAM 정책 텍스트가 포함되어 있습니다. 이메일 초대에는 이 정책 텍스트가 포함되어 있습니다. 정책 텍스트를 복사하려면 **복사**를 선택합니다.
1. **초대**를 선택합니다.
## 리전 간 멤버 계정 목록 추가
Detective는 GitHub에서 다음을 수행할 수 있는 오픈 소스 Python 스크립트를 제공합니다.
+ 지정된 리전 목록 전반에서 관리자 계정의 동작 그래프에 지정된 멤버 계정 목록을 추가합니다.
+ 관리자 계정의 리전에 동작 그래프가 없는 경우 스크립트는 또한 Detective를 활성화하고 해당 리전에 동작 그래프를 생성합니다.
+ 멤버 계정에 초대 이메일을 전송합니다.
+ 멤버 계정에 대한 초대를 자동으로 수락합니다.
GitHub 스크립트를 구성하고 사용하는 방법에 대한 자세한 내용은 [Detective Python 스크립트를 사용하여 계정 관리](detective-github-scripts.md) 섹션을 참조하세요.
# 활성화되지 않은 멤버 계정 활성화
멤버 계정이 초대를 수락하면 Amazon Detective는 멤버 계정 수를 확인합니다. 동작 그래프의 최대 멤버 계정 수는 1,200개입니다. 동작 그래프에 이미 1,200개의 멤버 계정이 있는 경우 새 계정을 활성화할 수 없습니다. Detective에서 멤버 계정을 활성화할 수 없는 경우 멤버 계정 상태를 **활성화되지 않음**으로 설정합니다.
**활성화되지 않음** 상태의 멤버 계정은 동작 그래프에 데이터를 제공하지 않습니다.
Detective는 동작 그래프가 계정을 수용할 수 있도록 계정을 자동으로 활성화합니다.
**활성화되지 않음** 상태의 멤버 계정을 수동으로 활성화할 수도 있습니다. 예를 들어 기존 멤버 계정을 제거하여 데이터 볼륨을 줄일 수 있습니다. 계정이 활성화되는 자동 프로세스를 기다리는 대신 **활성화되지 않음** 상태의 멤버 계정을 활성화해 볼 수 있습니다.
------
#### [ Console ]
멤버 계정 목록에는 **활성화되지 않음** 상태의 멤버 계정을 선택하여 활성화할 수 있는 옵션이 포함되어 있습니다.
**활성화되지 않은 멤버 계정 활성화**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.
1. Detective 탐색 창에서 **계정 관리**를 선택합니다.
1. **내 멤버 계정**에서 활성화할 각 멤버 계정의 확인란을 선택합니다.
**활성화되지 않음** 상태인 멤버 계정만 활성화할 수 있습니다.
1. **계정 활성화**를 선택합니다.
Detective는 멤버 계정을 활성화할 수 있는지 여부를 결정합니다. 멤버 계정을 활성화할 수 있는 경우 상태가 **활성화됨**으로 변경됩니다.
------
#### [ Detective API/CLI ]
API 호출 또는를 사용하여 활성화**되지** 않은 단일 멤버 계정을 활성화 AWS Command Line Interface 할 수 있습니다. 요청에 사용할 동작 그래프의 ARN을 가져오려면 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 작업을 사용합니다.
**활성화되지 않은 멤버 계정 활성화**
+ **Detective API:** [https://docs.aws.amazon.com/detective/latest/APIReference/API_StartMonitoringMember.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_StartMonitoringMember.html) API 작업을 사용합니다. 동작 그래프 ARN을 제공해야 합니다. 멤버 계정을 식별하려면 AWS 계정 식별자를 사용합니다.
+ **AWS CLI:** [https://docs.aws.amazon.com/cli/latest/reference/detective/start-monitoring-member.html](https://docs.aws.amazon.com/cli/latest/reference/detective/start-monitoring-member.html) 명령을 실행합니다.
```
start-monitoring-member --graph-arn --account-id
```
예제:
```
start-monitoring-member --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234 --account-id 444455556666
```
------
# 동작 그래프에서 멤버 계정 제거
관리자 계정은 언제든지 동작 그래프에서 초대된 멤버 계정을 제거할 수 있습니다.
Detective는 AWS GovCloud(미국 동부) 및 AWS GovCloud(미국 서부) 리전을 AWS제외하고 종료된 멤버 계정을 자동으로 제거합니다.
초대된 멤버 계정이 동작 그래프에서 제거되면 다음과 같은 상황이 발생합니다.
+ 멤버 계정이 **내 멤버 계정**에서 제거됩니다.
+ Amazon Detective는 제거된 계정의 데이터 수집을 중단합니다.
Detective는 멤버 계정 전체의 데이터를 집계하는 동작 그래프에서 기존 데이터를 제거하지 않습니다.
------
#### [ Console ]
AWS Management Console 를 사용하여 동작 그래프에서 초대된 멤버 계정을 제거할 수 있습니다.
**멤버 계정 제거(콘솔)**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.
1. Detective 탐색 창에서 **계정 관리**를 선택합니다.
1. 계정 목록에서 제거할 각 멤버 계정의 확인란을 선택합니다.
목록에서 자신의 계정은 제거할 수 없습니다.
1. **작업**을 선택합니다. 그런 다음 **계정 비활성화**를 선택합니다.
------
#### [ Detective API/CLI ]
Detective API 또는 AWS Command Line Interface 를 사용하여 동작 그래프에서 초대된 멤버 계정을 제거할 수 있습니다. 요청에 사용할 동작 그래프의 ARN을 가져오려면 [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListGraphs.html) 작업을 사용합니다.
**동작 그래프에서 초대된 멤버 계정을 제거하려면(Detective API, AWS CLI)**
+ **Detective API:** [https://docs.aws.amazon.com/detective/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_DeleteMembers.html) 작업을 사용합니다. 그래프 ARN 및 제거할 멤버 계정의 계정 식별자 목록을 지정합니다.
+ **AWS CLI:** 명령줄에서 [https://docs.aws.amazon.com/cli/latest/reference/detective/delete-members.html](https://docs.aws.amazon.com/cli/latest/reference/detective/delete-members.html) 명령을 실행합니다.
```
aws detective delete-members --account-ids --graph-arn
```
예제:
```
aws detective delete-members --account-ids 444455556666 123456789012 --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
```
------
#### [ Python script ]
Detective는 GitHub에서 오픈 소스 스크립트를 제공합니다. 이 스크립트를 사용하여 지정된 리전 목록에 대한 관리자 계정의 동작 그래프에서 지정된 멤버 계정 목록을 제거할 수 있습니다.
GitHub 스크립트를 구성하고 사용하는 방법에 대한 자세한 내용은 [Detective Python 스크립트를 사용하여 계정 관리](detective-github-scripts.md) 섹션을 참조하세요.
------
# 멤버 계정의 경우: 동작 그래프 초대 및 멤버십 관리
Amazon Detective는 기여하는 각 동작 그래프에 대해 수집된 데이터에 대해 각 멤버 계정에 요금을 부과합니다.
**계정 관리** 페이지에서는 멤버 계정이 자신이 속한 동작 그래프의 관리자 계정을 볼 수 있습니다.
동작 그래프에 초대된 멤버 계정은 초대를 보고 초대에 응답할 수 있습니다. 동작 그래프에서 계정을 제거할 수도 있습니다.
조직 동작 그래프의 경우 조직 계정은 해당 계정이 멤버 계정인지 여부를 제어할 수 없습니다. Detective 관리자 계정은 멤버 계정으로 활성화하거나 비활성화할 조직 계정을 선택합니다.
**Topics**
+ [멤버 계정의 필수 IAM 정책](member-account-iam-policy.md)
+ [동작 그래프 초대 목록 보기](member-view-graph-invitations.md)
+ [동작 그래프 초대에 응답](member-invitation-response.md)
+ [동작 그래프에서 계정 제거](member-remove-self-from-graph.md)
# 멤버 계정의 필수 IAM 정책
멤버 계정에서 초대를 보고 관리하려면 먼저 필수 IAM 정책을 보안 주체에 연결해야 합니다. 보안 주체는 기존 사용자 또는 역할일 수도 있고, Detective에 사용할 새 사용자 또는 역할을 만들 수도 있습니다.
관리자 계정에 IAM 관리자가 필수 정책을 연결하도록 하는 것이 가장 좋습니다.
멤버 계정 IAM 정책은 Amazon Detective에서의 멤버 계정 작업에 대한 액세스 권한을 부여합니다. 동작 그래프에 기여하라는 이메일 초대장에는 해당 IAM 정책의 텍스트가 포함되어 있습니다.
이 정책을 사용하려면 ``을 그래프 ARN으로 대체합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"detective:AcceptInvitation",
"detective:DisassociateMembership",
"detective:RejectInvitation"
],
"Resource": "arn:aws:detective:us-east-1:123456789012:graph/*"
},
{
"Effect":"Allow",
"Action":[
"detective:BatchGetMembershipDatasources",
"detective:GetFreeTrialEligibility",
"detective:GetPricingInformation",
"detective:GetUsageInformation",
"detective:ListInvitations"
],
"Resource":"*"
}
]
}
```
------
단, 조직 동작 그래프의 조직 계정은 초대를 받지 않으므로 조직 동작 그래프에서 해당 계정을 분리할 수 없습니다. 다른 동작 그래프에 속하지 않는 경우에는 `ListInvitations` 권한만 있으면 됩니다. `ListInvitations`는 동작 그래프의 관리자 계정을 볼 수 있습니다. 초대를 관리하고 멤버십을 분리할 수 있는 권한은 초대를 통한 멤버십에만 적용됩니다.
# 동작 그래프 초대 목록 보기
Amazon Detective 콘솔, Detective API 또는 AWS Command Line Interface멤버 계정에서 동작 그래프 초대를 볼 수 있습니다.
## 동작 그래프 초대 보기(콘솔)
에서 동작 그래프 초대를 볼 수 있습니다 AWS Management Console.
**동작 그래프 초대 보기(콘솔)**
1. AWS Management Console에 로그인합니다. 그런 다음 [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Detective 콘솔을 엽니다.
1. Detective 탐색 창에서 **계정 관리**를 선택합니다.
**계정 관리** 페이지의 **내 관리자 계정**에는 현재 리전에서 열려 있고 수락된 동작 그래프 초대가 포함되어 있습니다. 조직 계정의 경우 **내 관리자 계정**에는 조직 동작 그래프도 포함됩니다.
계정이 현재 무료 평가 기간 중이면 이 페이지에 무료 평가판 사용 기간이 남은 일수도 표시됩니다.
이 목록에는 거부한 초대, 탈퇴된 멤버십 또는 관리자 계정으로 제거된 멤버십이 포함되어 있지 않습니다.
각 초대에는 관리자 계정 번호, 초대를 수락한 날짜, 초대의 현재 상태가 표시됩니다.
+ 응답하지 않은 초대의 경우 상태는 **초대됨**으로 표시됩니다.
+ 수락한 초대의 상태는 **활성화됨** 또는 **활성화되지 않음**입니다.
상태가 **활성화됨** 경우 계정이 동작 그래프에 데이터를 재공하는 것입니다.
상태가 **비활성화됨** 경우 계정은 동작 그래프에 데이터를 제공하지 않습니다.
처음에는 계정 상태가 **활성화되지 않음**으로 설정되지만, Detective는 GuardDuty를 활성화했는지 여부 및 활성화된 경우 사용자 계정으로 인해 동작 그래프의 데이터 볼륨이 Detective 할당량을 초과하는지 여부를 확인합니다.
사용자 계정으로 인해 동작 그래프가 할당량을 초과하지 않는 경우 Detective는 계정 상태를 **활성화됨**으로 업데이트합니다. 그렇지 않으면 상태가 **활성화되지 않음**으로 유지됩니다.
동작 그래프가 계정의 데이터 볼륨을 수용할 수 있게 되면 Detective는 자동으로 해당 그래프를 **활성화됨**으로 업데이트합니다. 예를 들어 관리자 계정은 계정을 활성화하기 위해 다른 멤버 계정을 제거할 수 있습니다. 관리자 계정은 계정을 수동으로 활성화할 수도 있습니다.
## 동작 그래프 초대 보기(Detective API, AWS CLI)
Detective API 또는 AWS Command Line Interface에서 동작 그래프 초대를 나열할 수 있습니다.
**동작 그래프에 대한 열린 초대 및 수락된 초대 목록을 검색하려면(Detective API, AWS CLI)**
+ **Detective API:** [https://docs.aws.amazon.com/detective/latest/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_ListInvitations.html) 작업을 사용합니다.
+ **AWS CLI:** 명령줄에서 [https://docs.aws.amazon.com/cli/latest/reference/detective/list-invitations.html](https://docs.aws.amazon.com/cli/latest/reference/detective/list-invitations.html) 명령을 실행합니다.
```
aws detective list-invitations
```
# 동작 그래프 초대에 응답
초대를 수락하면 Detective는 멤버 계정 수를 확인합니다. 동작 그래프의 최대 멤버 계정 수는 1,200개입니다. 동작 그래프에 이미 1,200개의 멤버 계정이 있는 경우 새 계정을 활성화할 수 없습니다.
초대를 수락하면 계정에서 Detective가 활성화됩니다. Detective는 데이터 볼륨이 Detective 할당량 내에 있는지 확인합니다. 동작 그래프에 입력되는 데이터의 볼륨은 Detective에서 허용하는 최대값보다 작아야 합니다. 현재 수집된 볼륨이 일일 10TB 제한을 초과하는 경우 계정을 더 추가할 수 없으며 Detective는 데이터 추가 수집을 비활성화합니다. Detective 콘솔에 데이터 볼륨이 너무 크고 상태가 **활성화되지** 않음으로 유지됨을 나타내는 알림이 표시됩니다.
초대를 거부하면 초대 목록에서 제거되며 Detective는 동작 그래프에서 계정 데이터를 사용하지 않습니다.
## 동작 그래프 초대에 응답(콘솔)
AWS Management Console 를 사용하여 Detective 콘솔에 대한 링크가 포함된 이메일 초대에 응답할 수 있습니다. **초대됨** 상태인 초대에만 응답할 수 있습니다.
**동작 그래프 초대에 응답(콘솔)**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.
1. Detective 탐색 창에서 **계정 관리**를 선택합니다.
1. **내 관리자 계정**에서 초대를 수락하고 동작 그래프에 데이터를 제공하기 시작하려면 **초대 수락**을 선택합니다.
초대를 거절하고 목록에서 제거하려면 **거절**을 선택합니다.
## 동작 그래프 초대에 응답(Detective API, AWS CLI)
Detective API 또는 AWS Command Line Interface에서 동작 그래프 초대에 응답할 수 있습니다.
**동작 그래프 초대를 수락하려면(Detective API, AWS CLI)**
+ **Detective API:** [https://docs.aws.amazon.com/detective/latest/APIReference/API_AcceptInvitation.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_AcceptInvitation.html) 작업을 사용합니다. 그래프 ARN을 지정해야 합니다.
+ **AWS CLI:** 명령줄에서 [https://docs.aws.amazon.com/cli/latest/reference/detective/accept-invitation.html](https://docs.aws.amazon.com/cli/latest/reference/detective/accept-invitation.html) 명령을 실행합니다.
```
aws detective accept-invitation --graph-arn
```
예제:
```
aws detective accept-invitation --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
```
**동작 그래프 초대를 거부하려면(Detective API, AWS CLI)**
+ **Detective API:** [https://docs.aws.amazon.com/detective/latest/APIReference/API_RejectInvitation.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_RejectInvitation.html) 작업을 사용합니다. 그래프 ARN을 지정해야 합니다.
+ **AWS CLI:** 명령줄에서 [https://docs.aws.amazon.com/cli/latest/reference/detective/reject-invitation.html](https://docs.aws.amazon.com/cli/latest/reference/detective/reject-invitation.html) 명령을 실행합니다.
```
aws detective reject-invitation --graph-arn
```
예제:
```
aws detective reject-invitation --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
```
# 동작 그래프에서 계정 제거
초대를 수락한 후에는 언제든지 동작 그래프에서 계정을 제거할 수 있습니다. 동작 그래프에서 계정을 제거하면 Amazon Detective는 계정에서 동작 그래프로 데이터를 수집하는 것을 중지합니다. 기존 데이터는 동작 그래프에 그대로 남아 있습니다.
초대된 계정만 동작 그래프에서 계정을 제거할 수 있습니다. 조직 계정은 조직 동작 그래프에서 해당 계정을 제거할 수 없습니다.
## 동작 그래프에서 계정 제거(콘솔)
AWS Management Console 를 사용하여 동작 그래프에서 계정을 제거할 수 있습니다.
**동작 그래프에서 계정 제거(콘솔)**
1. [https://console.aws.amazon.com/detective/](https://console.aws.amazon.com/detective/)에서 Amazon Detective 콘솔을 엽니다.
1. Detective 탐색 창에서 **계정 관리**를 선택합니다.
1. **내 관리자 계정**에서 탈퇴하려는 동작 그래프에 대해 **탈퇴**를 선택합니다.
## 동작 그래프에서 계정 제거(Detective API, AWS CLI)
Detective API 또는 AWS Command Line Interface 를 사용하여 동작 그래프에서 계정을 제거할 수 있습니다.
**동작 그래프에서 계정을 제거하려면(Detective API, AWS CLI)**
+ **Detective API:** [https://docs.aws.amazon.com/detective/latest/APIReference/API_DisassociateMembership.html](https://docs.aws.amazon.com/detective/latest/APIReference/API_DisassociateMembership.html) 작업을 사용합니다. 그래프 ARN을 지정해야 합니다.
+ **AWS CLI:** 명령줄에서 [https://docs.aws.amazon.com/cli/latest/reference/detective/disassociate-membership.html](https://docs.aws.amazon.com/cli/latest/reference/detective/disassociate-membership.html) 명령을 실행합니다.
```
aws detective disassociate-membership --graph-arn
```
예제:
```
aws detective disassociate-membership --graph-arn arn:aws:detective:us-east-1:111122223333:graph:123412341234
```
# 계정 활동이 동작 그래프에 미치는 영향
이러한 업은 Amazon Detective 데이터 및 액세스에 다음과 같은 영향을 미칩니다.
## Detective 비활성화
관리자 계정이 Detective를 비활성화하면 다음과 같은 상황이 발생합니다.
+ 동작 그래프가 삭제됩니다.
+ Detective는 관리자 계정 및 해당 동작 그래프의 멤버 계정에서 데이터 수집을 중단합니다.
## 동작 그래프에서 멤버 계정이 제거됩니다.
멤버 계정이 동작 그래프에서 제거되면 Detective는 해당 계정의 데이터 수집을 중단합니다.
동작 그래프의 기존 데이터는 영향을 받지 않습니다.
초대된 계정의 경우 해당 계정이 **내 멤버 계정** 목록에서 제거됩니다.
조직 동작 그래프에서 조직 계정의 경우 계정 상태가 **멤버 아님**으로 변경됩니다.
## 멤버 계정이 조직을 떠남
멤버 계정이 조직을 떠나면 다음과 같은 상황이 발생합니다.
+ 해당 계정이 조직 동작 그래프의 **내 멤버 계정** 목록에서 제거됩니다.
+ Detective는 해당 계정의 데이터 수집을 중단합니다.
동작 그래프의 기존 데이터는 영향을 받지 않습니다.
## AWS 계정이 일시 중지됨
관리자 계정이 일시 중지되면 AWS계정은 Detective에서 동작 그래프를 볼 수 있는 권한을 잃게 됩니다. Detective는 동작 그래프에 데이터를 수집하는 것을 중단합니다.
멤버 계정이 일시 중지되면 AWS Detective는 해당 계정에 대한 데이터 수집을 중지합니다.
90일이 지나면 계정이 해지되거나 다시 활성화됩니다. 관리자 계정이 다시 활성화되면 Detective 권한이 복원됩니다. Detective는 계정에서 데이터 수집을 재개합니다. 멤버 계정이 다시 활성화되면 Detective는 계정에서 데이터 수집을 재개합니다.
## AWS 계정 해지
AWS 계정이 해지되면 Detective는 해지에 다음과 같이 응답합니다.
+ 관리자 계정의 경우 Detective는 동작 그래프를 삭제합니다.
+ 멤버 계정의 경우 Detective는 해당 계정을 동작 그래프에서 제거합니다.
AWS 는 관리자 계정 해지 발효일로부터 90일 동안 계정의 정책 데이터를 보관합니다. 90일 기간이 끝나면는 계정의 모든 정책 데이터를 AWS 영구적으로 삭제합니다.
+ 정책을 보관하면 결과를 90일 넘게 유지할 수 있습니다. 또한 EventBridge 규칙에 사용자 지정 작업을 사용하여 결과를 S3 버킷에 저장할 수 있습니다.
+ 가 정책 데이터를 AWS 보존하는 한, 해지된 계정을 다시 열면는 해당 계정을 서비스 관리자로 AWS 재할당하고 계정에 대한 서비스 정책 데이터를 복구합니다.
+ 자세한 내용은 [계정 해지](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html)를 참조하십시오.
**중요**
AWS GovCloud (US) 리전의 고객:
계정을 해지하기 전에 계정 리소스를 백업한 다음 삭제합니다. 계정을 해지한 뒤에는 더 이상 해당 계정에 액세스할 수 없습니다.
# Detective Python 스크립트를 사용하여 계정 관리
Amazon Detective는 GitHub 리포지토리 [amazon-detective-multiaccount-scripts](https://github.com/aws-samples/amazon-detective-multiaccount-scripts)에서 오픈 소스 Python 스크립트 세트를 제공합니다. 스크립트에는 Python 3이 필요합니다.
이를 사용하여 다음 작업을 수행할 수 있습니다.
+ 여러 리전의 관리자 계정에 대해 Detective를 활성화합니다.
Detective를 활성화하면 동작 그래프에 태그 값을 할당할 수 있습니다.
+ 리전별 관리자 계정의 동작 그래프에 멤버 계정을 추가합니다.
+ 선택적으로 멤버 계정에 초대 이메일을 보낼 수 있습니다. 초대 이메일을 보내지 않도록 요청을 구성할 수도 있습니다.
+ 관리자 계정의 리전별 동작 그래프에서 멤버 계정을 제거합니다.
+ 여러 리전의 관리자 계정에 대해 Detective를 비활성화합니다. 관리자 계정이 Detective를 비활성화하면 각 리전의 관리자 계정 동작 그래프가 비활성화됩니다.
## `enableDetective.py` 스크립트 개요
`enableDetective.py` 스크립트는 다음 작업을 수행합니다.
1. 지정된 각 리전의 관리자 계정에 Detective가 아직 활성화되어 있지 않은 경우, 해당 리전의 관리자 계정에 대해 Detective를 활성화합니다.
스크립트를 사용하여 Detective를 활성화하면 동작 그래프에 태그 값을 할당할 수 있습니다.
1. 선택적으로 관리자 계정에서 각 동작 그래프의 지정된 멤버 계정으로 초대를 보냅니다.
초대 이메일 메시지는 기본 메시지 콘텐츠를 사용하며 사용자 지정할 수 없습니다.
초대 이메일을 보내지 않도록 요청을 구성할 수도 있습니다.
1. 멤버 계정에 대한 초대를 자동으로 수락합니다.
스크립트가 초대를 자동으로 수락하므로 멤버 계정은 이러한 메시지를 무시할 수 있습니다.
초대가 자동으로 수락된다는 사실을 멤버 계정에 직접 문의하여 알리는 것이 좋습니다.
## `disableDetective.py` 스크립트 개요
`disableDetective.py` 스크립트는 지정된 리전의 관리자 계정 동작 그래프에서 지정된 멤버 계정을 삭제합니다.
또한 지정된 리전의 관리자 계정에 대해 Detective를 비활성화하는 옵션도 제공합니다.
## 스트립트에 필요한 권한
스크립트에는 관리자 계정과 추가하거나 제거하는 모든 멤버 계정에 기존 AWS 역할이 필요합니다.
**참고**
역할 이름은 모든 계정에서 동일해야 합니다.
IAM 정책에서 [권장하는 모범 사례](https://docs.aws.amazon.com/detective/latest/userguide/security_iam_id-based-policy-examples.html#security_iam_service-with-iam-policy-best-practices)는 범위가 가장 적은 역할을 사용하는 것입니다. [그래프 생성](https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateGraph.html), [멤버 생성](https://docs.aws.amazon.com/detective/latest/APIReference/API_CreateMembers.html), [그래프에 멤버 추가](https://docs.aws.amazon.com/detective/latest/APIReference/API_AcceptInvitation.html) 등의 스크립트 워크플로를 실행하려면 다음과 같은 권한이 필요합니다.
+ detective:CreateGraph
+ detective:CreateMembers
+ detective:DeleteGraph
+ detective:DeleteMembers
+ detective:ListGraphs
+ detective:ListMembers
+ detective:AcceptInvitation
**역할 신뢰 관계**
역할 신뢰 관계를 통해 인스턴스 또는 로컬 보안 인증 정보가 역할을 맡을 수 있어야 합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::123456789012:user/john_doe"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
필수 권한이 포함된 공통 역할이 없는 경우 각 멤버 계정에서 최소한 해당 권한을 가진 역할을 만들어야 합니다. 또한 관리자 계정에서 역할을 만들어야 합니다.
역할을 생성하는 경우 다음을 수행해야 합니다.
+ 모든 계정에서 동일한 역할 이름을 사용합니다.
+ 위의 필수 권한을 추가하거나(권장) [AmazonDetectiveFullAccess](https://docs.aws.amazon.com/detective/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-amazondetectivefullaccess) 관리형 정책을 선택합니다.
+ 위에서 설명한 대로 역할 신뢰 관계 블록을 추가합니다.
이 프로세스를 자동화하려면 `EnableDetective.yaml` CloudFormation 템플릿을 사용할 수 있습니다. 템플릿은 글로벌 리소스만 생성하므로 모든 리전에서 실행할 수 있습니다.
## Python 스크립트를 위한 실행 환경 설정
EC2 인스턴스 또는 로컬 시스템에서 스크립트를 실행할 수 있습니다.
### EC2 인스턴스 시작 및 구성
스크립트를 실행하는 한 가지 옵션은 EC2 인스턴스에서 스크립트를 실행하는 것입니다.
**EC2 인스턴스 시작 및 구성**
1. 관리자 계정에서 EC2 인스턴스를 시작합니다. EC2 인스턴스를 시작하는 방법에 대한 자세한 내용은 [ Amazon EC2 사용 설명서의 Amazon EC2 Linux 인스턴스 시작하기](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EC2_GetStarted.html)를 참조하세요. *Amazon EC2 *
1. 인스턴스가 관리자 계정 `AssumeRole` 내에서 호출할 수 있도록 허용하는 권한이 있는 IAM 역할을 인스턴스에 연결합니다.
`EnableDetective.yaml` CloudFormation 템플릿을 사용한 경우 이름이 인 프로파일이 있는 인스턴스 역할이 생성`EnableDetective`되었습니다.
또는 인스턴스 역할 생성에 대한 자세한 내용은 [EC2 콘솔을 사용하여 기존 EC2 인스턴스에 IAM 역할을 쉽게 교체 또는 연결](https://aws.amazon.com/blogs//security/easily-replace-or-attach-an-iam-role-to-an-existing-ec2-instance-by-using-the-ec2-console/) 블로그 게시물을 참조하세요.
1. 필수 소프트웨어 설치:
+ **APT:** `sudo apt-get -y install python3-pip python3 git`
+ **RPM:** `sudo yum -y install python3-pip python3 git`
+ **Boto(최소 버전 1.15):** `sudo pip install boto3`
1. 리포지토리를 EC2 인스턴스에 복제합니다.
```
git clone https://github.com/aws-samples/amazon-detective-multiaccount-scripts.git
```
### 스크립트를 실행하도록 로컬 시스템 구성
로컬 시스템에서 스크립트를 실행할 수도 있습니다.
**스크립트를 실행하도록 로컬 시스템 구성**
1. `AssumeRole` 호출 권한이 있는 관리자 계정의 로컬 시스템 보안 인증 정보를 설정했는지 확인합니다.
1. 필수 소프트웨어 설치:
+ Python 3
+ Boto(최소 버전 1.15)
+ GitHub 스크립트
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/detective/latest/userguide/detective-github-scripts.html)
## 추가 또는 제거할 멤버 계정 `.csv` 목록 생성
동작 그래프에 추가하거나 동작 그래프에서 제거할 멤버 계정을 식별하려면 계정 목록이 포함된 `.csv` 파일을 제공합니다.
각 계정을 별도의 줄에 나열합니다. 각 멤버 계정 항목에는 AWS 계정 ID와 계정의 루트 사용자 이메일 주소가 포함됩니다.
다음 예를 참조하세요.
```
111122223333,srodriguez@example.com
444455556666,rroe@example.com
```
## `enableDetective.py` 실행
EC2 인스턴스 또는 로컬 시스템에서 `enableDetective.py` 스크립트를 실행할 수 있습니다.
**`enableDetective.py`를 실행하려면**
1. `.csv` 파일을 EC2 인스턴스 또는 로컬 시스템의 `amazon-detective-multiaccount-scripts` 디렉터리에 복사합니다.
1. 디렉터리를 `amazon-detective-multiaccount-scripts`로 변경합니다.
1. `enableDetective.py` 스크립트 실행.
```
enableDetective.py --master_account administratorAccountID --assume_role roleName --input_file inputFileName --tags tagValueList --enabled_regions regionList --disable_email
```
스크립트를 실행할 때 다음 값을 바꿉니다.
`administratorAccountID`
관리자 AWS 계정의 계정 ID입니다.
`roleName`
관리자 계정 및 각 멤버 계정에서 수임할 AWS 역할의 이름입니다.
`inputFileName`
관리자 계정의 동작 그래프에 추가할 멤버 계정 목록이 들어 있는 `.csv` 파일 이름.
`tagValueList`
(선택 사항) 새 동작 그래프에 할당할 쉼표로 구분된 태그 값 목록.
각 태그 값의 형식은 `key=value`입니다. 예제:
```
--tags Department=Finance,Geo=Americas
```
`regionList`
(선택 사항) 관리자 계정의 동작 그래프에 멤버 계정을 추가할 리전의 쉼표로 구분된 목록입니다. 예제:
```
--enabled_regions us-east-1,us-east-2,us-west-2
```
관리자 계정의 경우 리전에서 Detective를 아직 활성화하지 않았을 수 있습니다. 이 경우 스크립트는 Detective를 활성화하고 관리자 계정을 위한 새 동작 그래프를 생성합니다.
리전 목록을 제공하지 않는 경우 스크립트는 Detective가 지원하는 모든 리전에서 작동합니다.
`--disable_email`
(선택 사항) 포함된 경우 Detective는 멤버 계정에 초대 이메일을 보내지 않습니다.
## `disableDetective.py` 실행
EC2 인스턴스 또는 로컬 시스템에서 `disableDetective.py` 스크립트를 실행할 수 있습니다.
**`disableDetective.py`를 실행하려면**
1. `.csv` 파일을 `amazon-detective-multiaccount-scripts` 디렉터리로 복사합니다.
1. `.csv` 파일을 사용하여 지정된 리전 목록에 대한 관리자 계정의 동작 그래프에서 나열된 멤버 계정을 삭제하려면 다음과 같이 `disableDetective.py` 스크립트를 실행합니다.
```
disabledetective.py --master_account administratorAccountID --assume_role roleName --input_file inputFileName --disabled_regions regionList
```
1. 모든 리전의 관리자 계정에 대해 Detective를 비활성화하려면 `--delete-master` 플래그를 사용하여 `disableDetective.py` 스크립트를 실행합니다.
```
disabledetective.py --master_account administratorAccountID --assume_role roleName --input_file inputFileName --disabled_regions regionList --delete_master
```
스크립트를 실행할 때 다음 값을 바꿉니다.
`administratorAccountID`
관리자 AWS 계정의 계정 ID입니다.
`roleName`
관리자 계정 및 각 멤버 계정에서 수임할 AWS 역할의 이름입니다.
`inputFileName`
관리자 계정의 동작 그래프에서 제거할 멤버 계정 목록이 들어 있는 `.csv` 파일 이름.
Detective를 비활성화한 경우에도 `.csv` 파일을 제공해야 합니다.
`regionList`
(선택 사항) 다음 중 하나를 수행할 수 있는 쉼표로 구분된 리전 목록입니다.
+ 관리자 계정의 동작 그래프에서 멤버 계정을 제거합니다.
+ `--delete-master` 플래그가 포함된 경우 Detective를 비활성화합니다.
예제:
```
--disabled_regions us-east-1,us-east-2,us-west-2
```
리전 목록을 제공하지 않는 경우 스크립트는 Detective가 지원하는 모든 리전에서 작동합니다.