기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # GuardDuty 관리자 계정 및 멤버 계정 간의 관계 이해 다중 계정 환경에서 GuardDuty를 사용하는 경우 관리자 계정은 멤버 계정을 대신하여 GuardDuty의 특정 측면을 관리할 수 있습니다. 관리자 계정은 다음과 같은 주요 기능을 수행할 수 있습니다. + **연결된 멤버 계정 추가 및 제거** - 관리자 계정이 이를 수행할 수 있는 프로세스는를 통해 AWS Organizations 또는 GuardDuty 초대 방법을 통해 계정을 관리하는 방법에 따라 다릅니다. GuardDuty는를 통해 멤버 계정을 관리할 것을 권장합니다 AWS Organizations. + **관리 계정에서 GuardDuty를 활성화하는 위임된 GuardDuty 관리자 계정** - AWS Organizations 관리 계정이 GuardDuty를 비활성화한 경우 위임된 GuardDuty 관리자 계정은 관리 계정에서 GuardDuty를 활성화할 수 있습니다. 그러나 관리 계정에서 [GuardDuty에 대한 서비스 연결 역할 권한](slr-permissions.md)를 명시적으로 삭제하지 않았어야 합니다. + *멤버 계정의 상태 구성* - 관리자 계정은 GuardDuty 보호 요금제의 상태를 활성화 또는 비활성화하고, 연결된 멤버 계정을 대신하여 GuardDuty의 상태를 활성화, 일시 중지 또는 비활성화할 수 있습니다. 로 관리되는 위임된 GuardDuty 관리자 계정 AWS 계정 은가 멤버로 추가될 때 GuardDuty를 자동으로 활성화할 AWS Organizations 수 있습니다. + **조사 결과 생성 시기 사용자 지정** - 관리자 계정은 금지 규칙, 신뢰할 수 있는 IP 목록 및 위협 목록을 생성하고 관리하여 GuardDuty 네트워크 내에서 조사 결과를 사용자 지정할 수 있습니다. 다중 계정 환경에서 이러한 기능을 구성하는 지원은 위임된 GuardDuty 관리자 계정에서만 사용할 수 있습니다. 멤버 계정에서는 이 구성을 업데이트할 수 없습니다. 다음 표에는 GuardDuty 관리자 계정 및 멤버 계정 간의 관계에 대해 자세히 설명되어 있습니다. **테이블의 키** + **본인** - 계정은 자신의 계정에 대해서만 나열된 작업을 수행할 수 있습니다. + **모두** - 계정은 연결된 계정에 대해 나열된 작업을 수행할 수 있습니다. + **모두** - 계정이 나열된 작업을 수행할 수 있으며 연결된 모든 계정에 적용됩니다. 일반적으로 이 작업을 수행하는 계정은 지정된 GuardDuty 관리자 계정입니다. + **대시(-)가 있는 셀 **- 대시(-)가 있는 테이블 셀은 계정이 나열된 작업을 수행할 수 없음을 나타냅니다. | | | **작업** | **를 통해 AWS Organizations** | **초대장별‭** | | --- |--- |--- | | **위임된 GuardDuty 관리자 계정** | **연결된 멤버 계정** | **GuardDuty 관리자 계정** | **연결된 멤버 계정** | | --- |--- |--- |--- | | Enable GuardDuty | Any | – | Self | Self | | Enable GuardDuty automatically for the entire organization (ALL, 신규, NONE) | All | – | – | – | | View all Organizations member accounts regardless of GuardDuty status | Any | – | – | – | | Generate sample findings | Self | Self | Self | Self | | View all GuardDuty findings | Any | Self | Any | Self | | Archive GuardDuty findings | Any | – | Any | – | | Apply suppression rules | All | – | All | – | | Create trusted IP list or threat lists | All | – | All | – | | Update trusted IP list or threat lists | All | – | All | – | | Delete trusted IP list or threat lists | All | – | All | – | | Set EventBridge notification frequency | All | – | All | – | | Set Amazon S3 location for exporting findings | All | Self | Self | Self | | 전체 조직에 대해 하나 이상의 선택적 보호 계획 활성화(`ALL`, `NEW`, `NONE`) 여기에는 S3용 맬웨어 보호는 포함되지 않습니다. | All | – | – | – | | 개별 계정에 대한 GuardDuty 보호 계획 활성화 여기에는 EC2용 멀웨어 보호 및 S3용 멀웨어 보호는 포함되지 않습니다. | Any | – | Any | – | | EC2에 대한 맬웨어 방지 | Any | – | Self | – | | EC2용 맬웨어 방지 - 온디맨드 맬웨어 검사 | Any | Self | Self | Self | | S3에 대한 맬웨어 방지 | – | Self | – | Self | | Disassociate a member account | Any\$1 | – | Any | – | | Disassociate from an administrator account | – | – | – | Self | | Delete a disassociated member account | Any | – | Any | – | | Suspend GuardDuty | Any\$1 | – | Any\$1 | – | | Disable GuardDuty | Any\$1 | – | Any\$1 | Self | \$1 위임된 GuardDuty 관리자 계정이 `ALL` 조직 구성원에게 자동 활성화 기본 설정을 설정하지 않은 경우에만 계정이 이 작업을 수행할 수 있음을 나타냅니다. \$1 위임된 GuardDuty 관리자 계정이 멤버 계정에서 GuardDuty를 직접 비활성화할 수 없음을 나타냅니다. 위임받은 GuardDuty 관리자 계정은 먼저 멤버 계정과의 연결을 해제하고 멤버를 삭제해야 합니다. 그 후 각 멤버 계정은 각자의 계정에서 GuardDuty를 비활성화할 수 있습니다. 조직에서 이러한 작업을 수행하는 방법에 대한 자세한 내용은 [GuardDuty 내에서 멤버 계정을 지속적으로 관리합니다.](maintaining-guardduty-organization-delegated-admin.md)을 참조하세요.