기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon GuardDuty에서 다중 계정
<a name="guardduty_accounts"></a>

 AWS 환경에 여러 계정이 있는 경우 계정을 AWS 계정 관리자 계정으로 지정하여 관리할 수 있습니다. 그런 다음 여러를이 관리자 계정 AWS 계정 과 멤버 계정으로 연결할 수 있습니다. 이 구성을 사용하면 지정된 GuardDuty 관리자 계정으로 조직의 전반적인 보안을 평가하고 모니터링할 수 있습니다. 관리자 계정은 생성된 모든 조사 결과를 검토하고 GuardDuty 내에서 보호 계획을 구성하는 등의 계정 관리 작업도 수행할 수 있습니다.

GuardDuty에서 조직은 위임된 GuardDuty 관리자 계정과 하나 이상의 연결된 멤버 계정으로 구성됩니다. 와 통합하거나 AWS Organizations GuardDuty 콘솔에서 멤버십 초대를 보내고 수락하는 레거시 방법을 사용하여 두 가지 방법으로 계정을 연결할 수 있습니다. GuardDuty는와 통합할 것을 권장합니다 AWS Organizations.

AWS Organizations 는 AWS 관리자가 여러를 통합하고 중앙에서 관리할 수 있는 글로벌 계정 관리 서비스입니다 AWS 계정. 예산, 보안 및 규정 준수 요구 사항을 지원하도록 설계된 계정 관리 및 통합 결제 기능을 제공합니다. 추가 비용 없이 제공되며 Macie AWS Security Hub CSPM, Amazon GuardDuty AWS 서비스를 비롯한 여러와 통합됩니다. 자세한 내용은 [AWS Organizations 사용 설명서](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)를 참조하십시오.

**Topics**
+ [GuardDuty 관리자 계정 및 멤버 계정 간의 관계 이해](administrator_member_relationships.md)
+ [를 사용하여 GuardDuty 계정 관리 AWS Organizations](guardduty_organizations.md)
+ [초대를 통한 GuardDuty 계정 관리](guardduty_invitations.md)
+ [멤버 계정 세부 정보를 CSV 형식으로 내보낼 때 GuardDuty 고려 사항](exporting-guardduty-accounts-data-to-csv.md)

# GuardDuty 관리자 계정 및 멤버 계정 간의 관계 이해
<a name="administrator_member_relationships"></a>

다중 계정 환경에서 GuardDuty를 사용하는 경우 관리자 계정은 멤버 계정을 대신하여 GuardDuty의 특정 측면을 관리할 수 있습니다. 관리자 계정은 다음과 같은 주요 기능을 수행할 수 있습니다.
+ **연결된 멤버 계정 추가 및 제거** - 관리자 계정이 이를 수행할 수 있는 프로세스는를 통해 AWS Organizations 또는 GuardDuty 초대 방법을 통해 계정을 관리하는 방법에 따라 다릅니다.

  GuardDuty는를 통해 멤버 계정을 관리할 것을 권장합니다 AWS Organizations.
+ **관리 계정에서 GuardDuty를 활성화하는 위임된 GuardDuty 관리자 계정** - AWS Organizations 관리 계정이 GuardDuty를 비활성화한 경우 위임된 GuardDuty 관리자 계정은 관리 계정에서 GuardDuty를 활성화할 수 있습니다. 그러나 관리 계정에서 [GuardDuty에 대한 서비스 연결 역할 권한](slr-permissions.md)를 명시적으로 삭제하지 않았어야 합니다.
+ *멤버 계정의 상태 구성* - 관리자 계정은 GuardDuty 보호 요금제의 상태를 활성화 또는 비활성화하고, 연결된 멤버 계정을 대신하여 GuardDuty의 상태를 활성화, 일시 중지 또는 비활성화할 수 있습니다.

  로 관리되는 위임된 GuardDuty 관리자 계정 AWS 계정 은가 멤버로 추가될 때 GuardDuty를 자동으로 활성화할 AWS Organizations 수 있습니다.
+ **조사 결과 생성 시기 사용자 지정** - 관리자 계정은 금지 규칙, 신뢰할 수 있는 IP 목록 및 위협 목록을 생성하고 관리하여 GuardDuty 네트워크 내에서 조사 결과를 사용자 지정할 수 있습니다. 다중 계정 환경에서 이러한 기능을 구성하는 지원은 위임된 GuardDuty 관리자 계정에서만 사용할 수 있습니다. 멤버 계정에서는 이 구성을 업데이트할 수 없습니다.

다음 표에는 GuardDuty 관리자 계정 및 멤버 계정 간의 관계에 대해 자세히 설명되어 있습니다.

**테이블의 키**
+ **본인** - 계정은 자신의 계정에 대해서만 나열된 작업을 수행할 수 있습니다.
+ **모두** - 계정은 연결된 계정에 대해 나열된 작업을 수행할 수 있습니다.
+ **모두** - 계정이 나열된 작업을 수행할 수 있으며 연결된 모든 계정에 적용됩니다. 일반적으로 이 작업을 수행하는 계정은 지정된 GuardDuty 관리자 계정입니다.
+ **대시(-)가 있는 셀 **- 대시(-)가 있는 테이블 셀은 계정이 나열된 작업을 수행할 수 없음을 나타냅니다.


| 
| 
| **작업** | **를 통해 AWS Organizations** | **초대장별‭** | 
| --- |--- |--- |
| **위임된 GuardDuty 관리자 계정** | **연결된 멤버 계정** | **GuardDuty 관리자 계정** | **연결된 멤버 계정** | 
| --- |--- |--- |--- |
| Enable GuardDuty | Any | – | Self | Self | 
| Enable GuardDuty automatically for the entire organization (ALL, 신규, NONE) | All | – | – | – | 
| View all Organizations member accounts regardless of GuardDuty status | Any | – | – | – | 
| Generate sample findings | Self | Self | Self | Self | 
| View all GuardDuty findings | Any | Self | Any | Self | 
| Archive GuardDuty findings | Any | – | Any | – | 
| Apply suppression rules | All | – | All | – | 
| Create trusted IP list or threat lists | All | – | All | – | 
| Update trusted IP list or threat lists | All | – | All | – | 
| Delete trusted IP list or threat lists | All | – | All | – | 
| Set EventBridge notification frequency | All | – | All | – | 
| Set Amazon S3 location for exporting findings | All | Self | Self | Self | 
|  전체 조직에 대해 하나 이상의 선택적 보호 계획 활성화(`ALL`, `NEW`, `NONE`) 여기에는 S3용 맬웨어 보호는 포함되지 않습니다.  | All | – | – | – | 
| 개별 계정에 대한 GuardDuty 보호 계획 활성화 여기에는 EC2용 멀웨어 보호 및 S3용 멀웨어 보호는 포함되지 않습니다. | Any | – | Any | – | 
|  EC2에 대한 맬웨어 방지  | Any | – | Self | – | 
|  EC2용 맬웨어 방지 - 온디맨드 맬웨어 검사  | Any | Self | Self | Self | 
|  S3에 대한 맬웨어 방지  | – | Self | – | Self | 
| Disassociate a member account | Any\$1 | – | Any | – | 
| Disassociate from an administrator account | – | – | – | Self | 
| Delete a disassociated member account | Any | – | Any | – | 
| Suspend GuardDuty | Any\$1 | – | Any\$1 | – | 
| Disable GuardDuty | Any\$1 | – | Any\$1 | Self | 

\$1 위임된 GuardDuty 관리자 계정이 `ALL` 조직 구성원에게 자동 활성화 기본 설정을 설정하지 않은 경우에만 계정이 이 작업을 수행할 수 있음을 나타냅니다.

\$1 위임된 GuardDuty 관리자 계정이 멤버 계정에서 GuardDuty를 직접 비활성화할 수 없음을 나타냅니다. 위임받은 GuardDuty 관리자 계정은 먼저 멤버 계정과의 연결을 해제하고 멤버를 삭제해야 합니다. 그 후 각 멤버 계정은 각자의 계정에서 GuardDuty를 비활성화할 수 있습니다. 조직에서 이러한 작업을 수행하는 방법에 대한 자세한 내용은 [GuardDuty 내에서 멤버 계정을 지속적으로 관리합니다.](maintaining-guardduty-organization-delegated-admin.md)을 참조하세요.

# 를 사용하여 GuardDuty 계정 관리 AWS Organizations
<a name="guardduty_organizations"></a>

 AWS 조직에서 관리 계정은이 조직 내의 모든 계정을 위임된 GuardDuty 관리자 계정으로 지정할 수 있습니다. 이 관리자 계정의 경우 GuardDuty는 현재 에서만 자동으로 활성화됩니다 AWS 리전. 기본적으로 관리자 계정은 해당 리전 내의 조직에 있는 모든 구성원 계정에 대해 GuardDuty를 활성화하고 관리할 수 있습니다. 관리자 계정은 멤버를 보고이 AWS 조직에 추가할 수 있습니다.

다음 섹션에서는 위임된 GuardDuty 관리자 계정으로 수행할 수 있는 다양한 작업을 안내합니다.

**Topics**
+ [와 함께 GuardDuty를 사용하기 위한 고려 사항 및 권장 사항 AWS Organizations](#delegated_admin_important)
+ [위임된 GuardDuty 관리자 계정을 지정하는 데 필요한 권한](organizations_permissions.md)
+ [위임된 GuardDuty 관리자 계정 지정](delegated-admin-designate.md)
+ [조직 자동 활성화 기본 설정 지정](set-guardduty-auto-enable-preferences.md)
+ [조직에 멤버 추가](add-member-accounts-guardduty-organization.md)
+ [(선택 사항) 기존 멤버 계정에 대한 보호 요금제 활성화](guardduty_quick_protection_plan_config.md)
+ [GuardDuty 내에서 멤버 계정을 지속적으로 관리합니다.](maintaining-guardduty-organization-delegated-admin.md)
+ [멤버 계정에 대한 GuardDuty 일시 중지](suspending-guardduty-member-account-from-admin.md)
+ [관리자 계정에서 멤버 계정 연결 해제(삭제)](disassociate-remove-member-account-from-admin.md)
+ [GuardDuty 조직에서 구성원 계정 삭제하기](delete-member-accounts-guardduty-organization.md)
+ [위임된 GuardDuty 관리자 계정 변경](change-guardduty-delegated-admin.md)

## 와 함께 GuardDuty를 사용하기 위한 고려 사항 및 권장 사항 AWS Organizations
<a name="delegated_admin_important"></a>

다음 고려 사항 및 권장 사항은 위임된 GuardDuty 관리자 계정이 GuardDuty에서 작동하는 방식을 이해하는 데 도움이 될 수 있습니다.

**위임된 GuardDuty 관리자 계정은 최대 50,000명의 멤버를 관리할 수 있습니다.**  
위임된 GuardDuty 관리자 계정당 멤버 계정 수는 50,000개로 제한됩니다. 여기에는를 통해 추가된 멤버 계정 AWS Organizations 또는 GuardDuty 관리자 계정의 조직 가입 초대를 수락한 멤버 계정이 포함됩니다. 그러나 AWS 조직에 50,000개 이상의 계정이 있을 수 있습니다.  
멤버 계정 한도 50,000개를 초과하면 CloudWatch로부터 알림 Health Dashboard과 지정된 위임된 GuardDuty 관리자 계정으로 이메일을 받게 됩니다.

**위임된 GuardDuty 관리자 계정은 리전입니다.**  
이와 달리 AWS Organizations GuardDuty는 리전 서비스입니다. GuardDuty를 활성화한 각 원하는 리전 AWS Organizations 에서를 통해 위임된 GuardDuty 관리자 계정과 해당 멤버 계정을 추가해야 합니다. 조직 관리 계정이 미국 동부(버지니아 북부)에만 위임된 GuardDuty 관리자 계정을 지정하는 경우, 위임된 GuardDuty 관리자 계정은 해당 지역에 있는 조직에 추가된 멤버 계정만 관리하게 됩니다. GuardDuty를 사용할 수 있는 리전의 기능 패리티에 대한 자세한 내용은 [리전 및 엔드포인트](guardduty_regions.md)을 참조하세요.

**옵트인 리전에 대한 특수 사례**  
+ 위임된 GuardDuty 관리자 계정이 옵트인 리전을 옵트아웃하면 조직의 GuardDuty 자동 활성화 구성이 새 멤버 계정만(`NEW`) 또는 모든 멤버 계정(`ALL`)으로 설정되어 있더라도 GuardDuty가 현재 비활성화된 조직 내 모든 멤버 계정에 대해 GuardDuty를 활성화할 수 없습니다. 멤버 계정 구성에 대한 자세한 내용을 보려면 [GuardDuty 콘솔](https://console.aws.amazon.com/guardduty/) 탐색 창에서 **계정**을 열거나 [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) API를 사용합니다.
+ GuardDuty 자동 활성화 구성을 `NEW`로 설정할 때 다음 시퀀스가 충족되는지 확인합니다.

  1. 멤버는 옵트인 리전에 옵트인합니다.

  1.  AWS Organizations에서 조직에 구성원 계정을 추가합니다.

  이러한 단계의 순서를 변경하면 회원 계정이 더 이상 조직에 새로 가입한 것이 아니므로 특정 옵트인 지역에서 `NEW`를 사용한 GuardDuty 자동 사용 설정이 작동**하지 않습니다**. GuardDuty는 두 가지 대체 솔루션을 제공합니다.
  + GuardDuty 자동 활성화 구성을 새 멤버 계정과 기존 멤버 계정이 포함된 `ALL`로 설정합니다. 이 경우 이러한 단계의 순서는 중요하지 않습니다.
  + 멤버 계정이 이미 조직의 일부인 경우 GuardDuty 콘솔 또는 API를 사용하여 특정 옵트인 리전에서 이 계정에 대한 GuardDuty 구성을 개별적으로 관리하세요.

** AWS 조직이 모든에서 동일한 위임된 GuardDuty 관리자 계정을 보유하는 데 필요합니다 AWS 리전.**  
GuardDuty가 활성화된 모든 AWS 리전 에서 하나의 멤버 계정을 위임된 GuardDuty 관리자 계정으로 지정해야 합니다. 예를 들어 *유럽(아일랜드)*에서 멤버 계정 *111122223333*을 지정하는 경우 *캐나다(중부)*에서 다른 멤버 계정 *555555555555*을 지정할 수 없습니다. 다른 모든 리전에서는 위임된 GuardDuty 관리자 계정과 동일한 계정을 사용해야 합니다.  
언제든지 새 위임된 GuardDuty 관리자 계정을 지정할 수 있습니다. 기존 위임된 GuardDuty 관리자 계정을 제거하는 방법에 대한 자세한 내용은 [위임된 GuardDuty 관리자 계정 변경](change-guardduty-delegated-admin.md)을 참조하세요.

**조직의 관리 계정을 위임된 GuardDuty 관리자 계정으로 설정하는 것은 권장하지 않습니다.**  
조직의 관리 계정은 위임된 GuardDuty 관리자 계정일 수 있습니다. 하지만 AWS 보안 모범 사례는 최소 권한 원칙을 따르므로 이 구성을 권장하지 않습니다.

**위임된 GuardDuty 관리자 계정을 변경해도 멤버 계정에 대한 GuardDuty는 비활성화되지 않습니다.**  
위임된 GuardDuty 관리자 계정을 제거하면 이 위임된 GuardDuty 관리자 계정과 연결된 모든 멤버 계정도 제거됩니다. GuardDuty는 이러한 모든 멤버 계정에서 여전히 활성화되어 있습니다.

# 위임된 GuardDuty 관리자 계정을 지정하는 데 필요한 권한
<a name="organizations_permissions"></a>

에서 Amazon GuardDuty 사용을 시작하려면 조직의 AWS Organizations AWS Organizations 관리 계정이 계정을 위임된 GuardDuty 관리자 계정으로 지정합니다. 이렇게 하면 GuardDuty가에서 신뢰할 수 있는 서비스로 활성화됩니다 AWS Organizations. 또한 위임된 GuardDuty 관리자 계정에 대해 GuardDuty를 활성화하고 위임된 관리자 계정이 현재 리전 내 조직의 다른 계정에 대해 GuardDuty를 활성화 및 관리할 수 있도록 합니다. 이러한 권한이 부여되는 방법에 대한 자세한 내용은 [다른 AWS 서비스와 함께 사용을 AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)참조하세요.

 AWS Organizations 관리 계정으로 조직의 위임된 GuardDuty 관리자 계정을 지정하기 전에 다음 GuardDuty 작업을 수행할 수 있는지 확인합니다`guardduty:EnableOrganizationAdminAccount`. 이 작업을 수행하면 GuardDuty를 사용하여 조직의 위임된 GuardDuty 관리자 계정을 지정할 수 있습니다. 또한 조직에 대한 정보를 검색하는 데 도움이 되는 AWS Organizations 작업을 수행할 수 있는지 확인해야 합니다.

이러한 권한을 부여하려면 계정의 AWS Identity and Access Management (IAM) 정책에 다음 문을 포함합니다.

```
{
    "Sid": "PermissionsForGuardDutyAdmin",
    "Effect": "Allow",
    "Action": [
        "guardduty:EnableOrganizationAdminAccount",
        "organizations:EnableAWSServiceAccess",
        "organizations:RegisterDelegatedAdministrator",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:ListAccounts"
    ],
    "Resource": "*"
}
```

 AWS Organizations 관리 계정을 위임된 GuardDuty 관리자 계정으로 지정하려면 계정에 IAM 작업 도 필요합니다`CreateServiceLinkedRole`. 이 작업을 통해 관리 계정에 대한 GuardDuty를 초기화할 수 있습니다. 그러나 권한 추가를 진행하기 전에 [와 함께 GuardDuty를 사용하기 위한 고려 사항 및 권장 사항 AWS Organizations](guardduty_organizations.md#delegated_admin_important)를 검토합니다.

관리 계정을 위임된 GuardDuty 관리자 계정으로 계속 지정하려면 다음 문을 IAM 정책에 추가하고 *111122223333*을 조직의 관리 계정 AWS 계정 ID로 바꿉니다.

```
{
	"Sid": "PermissionsToEnableGuardDuty"
	"Effect": "Allow",
	"Action": [
		"iam:CreateServiceLinkedRole"
	],
	"Resource": "arn:aws:iam::111122223333:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
	"Condition": {
		"StringLike": {
			"iam:AWSServiceName": "guardduty.amazonaws.com"
		}
	}
}
```

# 위임된 GuardDuty 관리자 계정 지정
<a name="delegated-admin-designate"></a>

이 섹션에서는 GuardDuty 조직에서 위임 관리자를 지정하는 단계를 설명합니다.

 AWS 조직의 관리 계정으로서 위임된 GuardDuty 관리자 계정의 작동 방식에 [사용 고려 사항 및 권장 사항](guardduty_organizations.md#delegated_admin_important) 대해를 읽어야 합니다. 계속하기 전에 [위임된 GuardDuty 관리자 계정을 지정하는 데 필요한 권한](organizations_permissions.md)가 있는지 확인하세요.

선호하는 액세스 방법을 선택하여 조직에 대한 위임된 GuardDuty 관리자 계정을 지정하세요. 관리 계정만 이 단계를 수행할 수 있습니다.

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.

   로그인하려면 AWS Organizations 조직의 관리 계정 자격 증명을 사용합니다.

1. 페이지 오른쪽 상단의 AWS 리전 선택기를 사용하여 조직의 위임된 GuardDuty 관리자 계정을 지정할 리전을 선택합니다.

1. 현재 리전의 관리 계정에 대해 GuardDuty가 활성화되어 있는지 여부에 따라 다음 중 하나를 수행합니다.
   + GuardDuty가 활성화되지 않은 경우 **Amazon GuardDuty - 모든 기능**을 선택하고 **시작하기**를 선택합니다. 이 작업을 수행하면 **GuardDuty 시작** 페이지로 이동합니다.
   + GuardDuty가 활성화된 경우 탐색 창에서 **설정**을 선택합니다.

1. **위임된 관리자**에서 조직의 위임된 GuardDuty 관리자 계정으로 지정하려는 계정의 12자리 AWS 계정 ID를 입력합니다.

   새로 지정된 위임된 GuardDuty 관리자 계정에 대해 GuardDuty를 사용하도록 설정해야 하며, 그렇지 않으면 어떤 작업도 수행할 수 없습니다.

1. **위임**을 선택합니다.

1. (권장) 이전 단계를 반복하여 GuardDuty를 활성화 AWS 리전 한 각에서 위임된 GuardDuty 관리자 계정을 지정합니다.

------
#### [ API/CLI ]

1. 조직 관리 계정의 자격 증명을 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html) 사용하여 AWS 계정 를 실행합니다.
   + 또는 AWS Command Line Interface 를 사용하여이 작업을 수행할 수 있습니다. 다음 AWS CLI 명령은 현재 리전에 대해서만 위임된 GuardDuty 관리자 계정을 지정합니다. 다음 AWS CLI 명령을 실행하고 *111111111111*을 위임된 GuardDuty 관리자 계정으로 지정하려는 계정의 AWS 계정 ID로 바꿔야 합니다.

     ```
     aws guardduty enable-organization-admin-account --admin-account-id 111111111111
     ```

     다른 리전에 대해 위임된 GuardDuty 관리자 계정을 지정하려면 AWS CLI 명령에서 리전을 지정합니다. 다음 예시에서는 미국 서부(오레곤)의 위임된 GuardDuty 관리자 계정을 활성화하는 방법을 보여줍니다. *us-west-2*를 위임된 GuardDuty 관리자 계정을 할당할 지역으로 바꿔야 합니다.

     ```
     aws guardduty enable-organization-admin-account --admin-account-id 111111111111 --region us-west-2
     ```

     GuardDuty를 사용할 수 AWS 리전 있는에 대한 자세한 내용은 섹션을 참조하세요[리전 및 엔드포인트](guardduty_regions.md).

   위임된 GuardDuty 관리자 계정에서 GuardDuty가 비활성화되면 어떤 작업도 할 수 없습니다. 아직 활성화하지 않았다면 새로 지정된 위임된 GuardDuty 관리자 계정에서 GuardDuty를 활성화해야 합니다.

1. (권장) 이전 단계를 반복하여 GuardDuty를 활성화 AWS 리전 한 각에서 위임된 GuardDuty 관리자 계정을 지정합니다.

------

# 조직 자동 활성화 기본 설정 지정
<a name="set-guardduty-auto-enable-preferences"></a>

GuardDuty의 조직 자동 활성화 기능을 사용하면 조직의 `ALL` 기존 또는 `NEW` 멤버 계정에 대해 한 번에 동일한 GuardDuty 및 보호 계획 상태를 설정할 수 있습니다. 마찬가지로 `NONE`를 선택하여 멤버 계정에 대해 어떤 작업도 수행하지 않을 시기를 지정할 수도 있습니다. 다음 단계에서는 이러한 설정에 대해 설명하고 특정 설정을 사용할 수 있는 시기를 알려드립니다.

**참고**  
[S3에 대한 맬웨어 방지](gdu-malware-protection-s3.md)를 제외한 모든 보호 플랜에 대해 자동 활성화 기본 설정을 지정할 수 있습니다.

선호하는 액세스 방법을 선택하여 조직의 자동 활성화 환경설정을 업데이트합니다.

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.

   로그인하려면 GuardDuty 관리자 계정 보안 인증 정보를 사용합니다.

1. 탐색 창에서 **Accounts(계정)**를 선택합니다.

   **계정** 페이지는 조직에 속한 멤버 계정을 대신하여 GuardDuty 및 선택적 보호 플랜을 **자동 활성화**할 수 있는 구성 옵션을 GuardDuty 관리자 계정에 제공합니다.

1. 기존 자동 활성화 설정을 업데이트하려면 **편집**을 선택합니다.  
![\[조직의 멤버 계정을 대신하여 자동 활성화 기본 설정을 업데이트하려면 편집을 선택합니다.\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/images/accounts-auto-enable-1-console.png)

   이 지원은 GuardDuty와에서 지원되는 모든 선택적 보호 플랜을 구성하는 데 사용할 수 있습니다 AWS 리전. 멤버 계정을 대신하여 GuardDuty에 대해 다음 구성 옵션 중 하나를 선택할 수 있습니다.
   + **모든 계정에 사용(`ALL`)** - 조직의 모든 계정에 대해 해당 옵션을 사용하도록 설정하려면 선택합니다. 여기에는 조직에 가입하는 새 계정과 조직에서 일시 중지되거나 제거되었을 수 있는 계정이 포함됩니다. 여기에는 위임된 GuardDuty 관리자 계정도 포함됩니다.
**참고**  
모든 멤버 계정의 구성을 업데이트하는 데 최대 24시간이 걸릴 수 있습니다.
   + **새 계정에 자동 활성화(`NEW`)** - 새 멤버 계정이 조직에 가입할 때 자동으로 GuardDuty 또는 선택적 보호 요금제를 사용하도록 설정하려면 선택합니다.
   + **활성화하지 않음(`NONE`)** - 조직의 새 계정에 대해 해당 옵션을 활성화하지 않으려면 선택합니다. 이 경우 GuardDuty 관리자 계정은 각 계정을 개별적으로 관리합니다.

     자동 활성화 설정을 `ALL` 또는 `NEW`에서 `NONE`로 업데이트해도 기존 계정에 대한 해당 옵션은 비활성화되지 않습니다. 이 구성은 조직에 가입하는 새 계정에 적용됩니다. 자동 활성화 설정을 업데이트하면 새 계정에는 해당 옵션이 활성화되지 않습니다.
**참고**  
위임된 GuardDuty 관리자 계정이 옵트인 리전을 옵트아웃하면 조직의 GuardDuty 자동 활성화 구성이 새 멤버 계정만(`NEW`) 또는 모든 멤버 계정(`ALL`)으로 설정되어 있더라도 GuardDuty가 현재 비활성화된 조직 내 모든 멤버 계정에 대해 GuardDuty를 활성화할 수 없습니다. 멤버 계정 구성에 대한 자세한 내용을 보려면 [GuardDuty 콘솔](https://console.aws.amazon.com/guardduty/) 탐색 창에서 **계정**을 열거나 [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) API를 사용합니다.

1. **변경 사항 저장**을 선택합니다.

1. (선택 사항) 각 지역에서 동일한 환경설정을 사용하려면 지원되는 각 지역에서 환경설정을 개별적으로 업데이트하세요.

   일부 선택적 보호 플랜은 GuardDuty를 사용할 수 AWS 리전 있는 모든에서 사용하지 못할 수 있습니다. 자세한 내용은 [리전 및 엔드포인트](guardduty_regions.md) 단원을 참조하십시오.

------
#### [ API/CLI ]

1. 위임된 GuardDuty 관리자 계정의 자격 증명을 사용하여 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)를 실행하여 해당 리전에서 조직의 GuardDuty 및 선택적 보호 계획을 자동으로 구성합니다. 다양한 자동 활성화 구성에 대한 내용은 [autoEnableOrganizationMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers)를 참조하세요.

   계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.

   해당 리전에서 지원되는 선택적 보호 플랜에 대한 자동 활성화 기본 설정을 지정하려면 각 보호 플랜의 해당 설명서 섹션에 제공된 단계를 따르세요.

1. 현재 리전에서 조직의 기본 설정을 검증할 수 있습니다. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html)를 실행합니다. 위임된 GuardDuty 관리자 계정의 탐지기 ID를 지정해야 합니다.
**참고**  
모든 멤버 계정의 구성을 업데이트하는 데 최대 24시간이 걸릴 수 있습니다.

1. 또는 다음 AWS CLI 명령을 실행하여 조직에 가입한 새 계정(`NEW`), 모든 계정() 또는 조직의 계정(`NONE`)에 대해 해당 리전에서 GuardDuty를 자동으로 활성화 `ALL`또는 비활성화하도록 기본 설정을 지정합니다. 자세한 내용은 [autoEnableOrganizationMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html#guardduty-UpdateOrganizationConfiguration-request-autoEnableOrganizationMembers)를 참조하세요. 기본 설정에 따라 `NEW`를 `ALL` 또는 `NONE`으로 바꿔야 할 수 있습니다. `ALL`로 보호 계획을 구성하면 위임된 GuardDuty 관리자 계정에 대해서도 보호 계획이 활성화됩니다. 조직 구성을 관리하는 위임된 GuardDuty 관리자 계정의 탐지기 ID를 지정해야 합니다.

   계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.

   ```
   aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable-organization-members=NEW
   ```

1. 현재 리전에서 조직의 기본 설정을 검증할 수 있습니다. 위임된 GuardDuty 관리자 계정의 감지기 ID를 사용하여 다음 AWS CLI 명령을 실행합니다.

   ```
   aws guardduty describe-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0
   ```

(권장) 위임된 GuardDuty 관리자 계정 탐지기 ID를 사용하여 각 리전에서 이전 단계를 반복합니다.

**참고**  
위임된 GuardDuty 관리자 계정이 옵트인 리전을 옵트아웃하면 조직의 GuardDuty 자동 활성화 구성이 새 멤버 계정만(`NEW`) 또는 모든 멤버 계정(`ALL`)으로 설정되어 있더라도 GuardDuty가 현재 비활성화된 조직 내 모든 멤버 계정에 대해 GuardDuty를 활성화할 수 없습니다. 멤버 계정 구성에 대한 자세한 내용을 보려면 [GuardDuty 콘솔](https://console.aws.amazon.com/guardduty/) 탐색 창에서 **계정**을 열거나 [ListMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) API를 사용합니다.

------

# 조직에 멤버 추가
<a name="add-member-accounts-guardduty-organization"></a>

위임된 GuardDuty 관리자 계정으로 GuardDuty 조직에 하나 이상의 AWS 계정 를 추가할 수 있습니다. 계정을 GuardDuty 멤버로 추가하면 해당 리전에서 GuardDuty가 자동으로 활성화됩니다. 조직 관리 계정에는 예외가 있습니다. 관리 계정을 GuardDuty 멤버로 추가하려면 먼저 GuardDuty를 활성화해야 합니다.

선호하는 방법을 선택하여 GuardDuty 조직에 멤버 계정을 추가하세요.

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.

   로그인하려면 위임된 GuardDuty 관리자 계정 자격 증명을 사용하세요.

1. 탐색 창에서 **Accounts(계정)**를 선택합니다.

   계정 테이블에는 활성 상태(일시 중지되지 않음 AWS 계정)이고 위임된 GuardDuty 관리자 계정과 연결될 수 있는 모든 멤버 계정이 표시됩니다. 멤버 계정이 조직의 관리자 계정과 연결된 경우 **유형**은 **조직** 또는 **초대** 중 하나가 됩니다. 멤버 계정이 조직의 GuardDuty 관리자 계정에 연결되지 않은 경우 이 멤버 계정의 **유형**은 **멤버가 아님**입니다.

1. 멤버로 추가할 계정 ID를 하나 이상 선택합니다. 이러한 계정 ID의 **유형**은 **조직을 통해**여야 합니다.

   초대를 통해 추가된 계정은 조직에 속하지 않습니다. 이러한 계정을 개별적으로 관리할 수 있습니다. 자세한 내용은 [초대를 통한 계정 관리](guardduty_invitations.md) 단원을 참조하십시오.

1. **작업** 드롭다운을 선택하고 **멤버 추가**를 선택합니다. 이 계정을 멤버로 추가하면 GuardDuty 자동 활성화 구성이 적용됩니다. [조직 자동 활성화 기본 설정 지정](set-guardduty-auto-enable-preferences.md)의 설정을 기반으로 이러한 계정의 GuardDuty 구성이 변경될 수 있습니다.

1. **상태** 열의 아래쪽 화살표를 선택하여 **멤버가 아님** 상태에 따라 계정을 정렬한 다음 현재 리전에서 GuardDuty가 활성화되지 않은 각 계정을 선택할 수 있습니다.

   계정 테이블에 나열된 계정 중 아직 멤버로 추가된 계정이 없는 경우 현재 리전에서 모든 조직 계정에 대해 GuardDuty를 활성화할 수 있습니다. 페이지 상단의 배너에서 **활성화**를 선택합니다. 이 작업을 수행하면 GuardDuty **자동 활성화** 구성이 자동으로 켜지므로 조직에 가입하는 모든 새 계정에 대해 GuardDuty가 활성화됩니다.

1. **확인**을 선택하여 계정을 멤버로 추가합니다. 또한 이 작업을 수행하면 선택한 모든 계정에 대해 GuardDuty가 활성화됩니다. 초대된 계정의 **상태**가 **활성화됨**으로 변경됩니다.

1. (권장) 각에서이 단계를 반복합니다 AWS 리전. 이렇게 하면 위임된 GuardDuty 관리자 계정에서 GuardDuty를 사용 설정한 모든 지역의 멤버 계정에 대한 검색 조사 결과 및 기타 구성을 관리할 수 있습니다.

   자동 활성화 기능을 사용하면 향후 조직의 모든 멤버에 대해 GuardDuty가 활성화됩니다. 이렇게 하면 위임받은 GuardDuty 관리자 계정으로 조직 내에서 생성되거나 조직에 추가되는 모든 새 멤버를 관리할 수 있습니다. 멤버 계정 수가 한계치인 50,000에 도달하면 자동 활성화 기능이 자동으로 꺼집니다. 계정을 제거하고 총 멤버 수가 50,000 이하로 떨어지면 자동 활성화 기능이 다시 켜집니다.

------
#### [ API/CLI ]
+ 위임된 GuardDuty 관리자 계정의 자격 증명을 사용하여 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html)를 실행합니다.

  위임된 GuardDuty 관리자 계정의 리전 탐지기 ID와 GuardDuty 멤버로 추가하려는 계정의 계정 세부 정보(AWS 계정 IDs 및 해당 이메일 주소)를 지정해야 합니다. 이 API 작업을 이용해 한 명 이상의 멤버를 만들 수 있습니다.

  조직에서 CreateMembers를 실행하면 새 멤버 계정이 조직에 가입할 때 새 멤버에 대한 자동 활성화 기본 설정이 적용됩니다. 기존 멤버 계정으로 CreateMembers를 실행하면 조직 구성이 기존 멤버에도 적용됩니다. 이렇게 하면 기존 멤버 계정의 현재 구성이 변경될 수 있습니다.

  *AWS Organizations API 참조*[https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)에서를 실행하여 AWS 조직의 모든 계정을 봅니다.
  + 또는를 사용할 수 있습니다 AWS Command Line Interface. 다음 AWS CLI 명령을 실행하고 유효한 탐지기 ID, AWS 계정 ID 및 계정 ID와 연결된 이메일 주소를 사용해야 합니다.

    계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.

    ```
    aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member-name@amazon.com         
    ```

    다음 AWS CLI 명령을 실행하여 모든 조직 멤버 목록을 볼 수 있습니다.

    ```
    aws organizations list-accounts
    ```

  이 계정을 멤버로 추가하면 GuardDuty 자동 활성화 구성이 적용됩니다.

------

# (선택 사항) 기존 멤버 계정에 대한 보호 요금제 활성화
<a name="guardduty_quick_protection_plan_config"></a>

다음 절차에는 **계정** 페이지를 사용하여 기존 멤버 계정에 대한 보호 계획을 활성화하는 단계가 포함되어 있습니다. API를 사용하여이 작업을 수행하는 단계는 특정 보호 계획과 관련된 문서를 AWS CLI참조하세요.

**계정** 페이지를 통해 개별 계정의 보호 플랜을 활성화할 수 있습니다.

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.

   위임된 관리자 GuardDuty 계정 보안 인증 정보를 사용합니다.

1. 탐색 창에서 **Accounts(계정)**를 선택합니다.

1. 보호 플랜을 구성할 하나 이상의 계정을 선택합니다. 구성할 각 보호 플랜에 대해 다음 단계를 반복합니다.

   1. **보호 계획 편집**을 선택합니다.

   1. 보호 플랜 목록에서 구성할 보호 플랜 하나를 선택합니다.

   1. 이 보호 플랜에 대해 수행할 작업 중 하나를 선택한 다음 **확인**을 선택합니다.

   1. 선택한 계정에서 구성된 보호 플랜에 해당하는 열에 업데이트된 구성이 **활성화됨** 또는 **활성화되지 않음**으로 표시됩니다.

# GuardDuty 내에서 멤버 계정을 지속적으로 관리합니다.
<a name="maintaining-guardduty-organization-delegated-admin"></a>

위임된 GuardDuty 관리자 계정은 지원되는 각 AWS 리전의 조직 내 모든 계정에 대한 GuardDuty 및 선택적 보호 계획의 구성을 유지할 책임이 있습니다. 다음 섹션에서는 GuardDuty 또는 선택적 보호 플랜의 구성 상태를 유지하는 방법에 대한 옵션을 제공합니다.

**각 리전에서 전체 조직의 구성 상태를 유지하려면 다음과 같이 하세요.**
+ **GuardDuty 콘솔을 사용하여 전체 조직에 대한 자동 활성화 기본 설정 설정** - 조직의 모든 (`ALL`) 구성원 또는 조직에 가입한 새 (`NEW`) 구성원에 대해 GuardDuty를 자동으로 활성화하거나 조직의 모든 구성원에 대해 자동 활성화하지 않도록 (`NONE`) 선택할 수 있습니다.

  GuardDuty 내에서 보호 플랜에 대해 동일하거나 다른 설정을 구성할 수도 있습니다.

  조직의 모든 멤버 계정에 대한 구성을 업데이트하는 데 최대 24시간이 걸릴 수 있습니다.
+ **API를 사용하여 자동 활성화 환경설정 업데이트** - [UpdateOrganizationConfiguration](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)을 실행하여 조직에 대한 GuardDuty 및 해당 옵션 보호 플랜을 자동으로 구성합니다. [CreateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html)를 실행하여 조직에 새 멤버 계정을 추가하면 구성된 설정이 자동으로 적용됩니다. 기존 멤버 계정으로 CreateMembers를 실행하면 조직 구성이 기존 멤버에도 적용됩니다. 이렇게 하면 기존 멤버 계정의 현재 구성이 변경될 수 있습니다.

  조직의 모든 계정을 보려면 *AWS Organizations API 참조* 에서 [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)를 실행합니다.

**각 리전에서 멤버 계정의 구성 상태를 개별적으로 유지하려면**
+ 조직의 모든 계정을 보려면 *AWS Organizations API 참조* 에서 [ListAccounts](https://docs.aws.amazon.com/organizations/latest/APIReference/API_ListAccounts.html)를 실행합니다.
+ 선택적 멤버 계정의 구성 상태가 다르려면 각 멤버 계정에 대해 [UpdateMemberDetectors](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateMemberDetectors.html)를 개별적으로 실행합니다.

  GuardDuty 콘솔에서 **계정** 페이지로 이동하여 GuardDuty 콘솔을 사용하여 동일한 작업을 수행할 수 있습니다.

  콘솔 또는 API를 사용하여 개별 계정에 대한 보호 요금제를 사용 설정하는 방법에 대한 자세한 내용은 해당 보호 요금제의 구성 페이지를 참조하세요.

# 멤버 계정에 대한 GuardDuty 일시 중지
<a name="suspending-guardduty-member-account-from-admin"></a>

위임받은 GuardDuty 관리자 계정으로 조직의 구성원 계정에 대한 GuardDuty 서비스를 일시 중지할 수 있습니다. 이렇게 하면 멤버 계정은 여전히 GuardDuty 조직에 남아 있습니다. 나중에 이러한 멤버 계정에 대해 GuardDuty를 다시 활성화할 수도 있습니다. 그러나 이 멤버 계정의 연결을 해제(제거)하려는 경우 이 섹션의 단계를 수행한 **이후에** [관리자 계정에서 멤버 계정 연결 해제(삭제)](disassociate-remove-member-account-from-admin.md)의 단계를 따라야 합니다.

나중에 이러한 멤버 계정에 대해 GuardDuty를 다시 활성화할 수도 있습니다.
+ GuardDuty는 더 이상 AWS 환경의 보안을 모니터링하거나 새 결과를 생성하지 않습니다.
+ 멤버 계정의 기존 조사 결과는 그대로 유지됩니다.
+ GuardDuty 정지된 멤버 계정에는 GuardDuty에 대한 요금이 부과되지 않습니다.

  멤버 계정에서 하나 이상의 버킷에 대해 S3용 멀웨어 보호를 사용하도록 설정한 경우 GuardDuty를 일시 중지해도 S3용 멀웨어 보호의 구성에는 영향을 미치지 않습니다. 멤버 계정은 계속해서 S3용 멀웨어 방지에 대한 사용 비용을 부담하게 됩니다. 멤버 계정에서 S3용 멀웨어 방지 사용을 중지하려면 보호되는 버킷에 대해 이 기능을 비활성화해야 합니다. 자세한 내용은 [보호된 버킷에 대한 S3에 대한 맬웨어 보호 비활성화](disable-malware-s3-protected-bucket.md) 단원을 참조하십시오.

조직의 구성원 계정에 대해 GuardDuty를 일시 정지하려면 선호하는 방법을 선택하세요.

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.

   로그인하려면 위임된 GuardDuty 관리자 계정의 자격 증명을 사용하세요.

1. 탐색 창에서 **Accounts(계정)**를 선택합니다.

1. 계정 페이지에서 GuardDuty를 일시 정지할 계정을 하나 이상 선택합니다.

1. **작업** 드롭다운 메뉴를 선택한 다음 **GuardDuty 일시 중지**를 선택합니다.

1. **GuardDuty 일시 중지**를 선택하여 선택을 확인합니다.

   이렇게 하면 멤버 계정의 **상태**가 **비활성화됨(일시 중지됨)**으로 변경됩니다.

   멤버 계정을 연결 해제하거나 제거하려는 각 추가 리전에서 앞의 단계를 반복합니다.

------
#### [ API ]

1. GuardDuty를 일시 중지하려는 멤버 계정 ID를 검색하려면 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) API를 사용합니다. 요청에 `OnlyAssociated` 매개변수를 포함하세요. 이 매개변수의 값을 `true`로 설정하면 GuardDuty는 현재 GuardDuty 멤버에 대한 세부 정보만 제공하는 `members` 배열을 반환합니다.

   또는 AWS Command Line Interface (AWS CLI)를 사용하여 다음 명령을 실행할 수 있습니다.

   ```
   aws guardduty list-members --only-associated true --region us-east-1
   ```

   *us-east-1*을 이 계정에 대해 GuardDuty를 일시 중지하려는 리전으로 바꿉니다.

1. 하나 이상의 GuardDuty 멤버 계정을 일시 중지하려면 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StopMonitoringMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_StopMonitoringMembers.html)를 실행하여 멤버 계정에 대한 GuardDuty를 일시 중지합니다.

   또는 AWS CLI 를 사용하여 다음 명령을 실행할 수 있습니다.

   ```
   aws guardduty stop-monitoring-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   *us-east-1*을 이 계정을 일시 중지하려는 리전으로 바꿉니다. 삭제하려는 계정 ID 목록이 있는 경우 공백 문자로 구분합니다.

------

이 멤버 계정의 연결을 추가로 해제(제거)하려면 [관리자 계정에서 멤버 계정 연결 해제(삭제)](disassociate-remove-member-account-from-admin.md)의 단계를 따릅니다.

# 관리자 계정에서 멤버 계정 연결 해제(삭제)
<a name="disassociate-remove-member-account-from-admin"></a>

GuardDuty 설정 구성 및 멤버 계정의 데이터 액세스를 중지하려면 해당 계정을 GuardDuty 멤버 계정에서 제거하세요. GuardDuty 관리자 계정에서 해당 계정을 연결 해제(제거)하면 됩니다.

GuardDuty 멤버 계정의 연결을 해제하면 다음과 같은 상황이 발생합니다.
+ GuardDuty는 현재의 계정에 대해 활성화된 상태로 유지 AWS 리전되지만 계정은 위임된 GuardDuty 관리자 계정에서 연결 해제됩니다.
+ 연결 해제된 계정은 계정 인벤토리에 계속 표시됩니다.
+ GuardDuty 관리자 계정은 더 이상이 독립 실행형 계정의 조사 결과에 액세스할 수 없습니다.
+ 계정 소유자는 연결 해제에 대한 알림을 받지 않습니다.

나중에 분리된 조직에 계정을 다시 추가할 수 있습니다.

선호하는 방법을 선택하여 조직에서 회원 계정을 연결 해제(제거)하세요.

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.

   로그인하려면 위임된 GuardDuty 관리자 계정의 자격 증명을 사용하세요.

1. 탐색 창에서 **Accounts(계정)**를 선택합니다.

1. **계정 테이블**에서 **유형**이 **조직을 통해**, **상태**가 **사용됨**으로 설정된 계정을 제거할 수 있습니다.

   **유형** 및 **상태**가 동일한 계정을 하나 이상 선택합니다.

1. **작업** 드롭다운 메뉴에서 **계정 연결 해제**를 선택합니다.

1. **계정 연결 해제**를 선택하여 선택을 확인합니다.

1. 선택한 계정의 **상태** 값이 **멤버 아님**으로 변경됩니다. 계정 페이지의 오른쪽 상단에 있는 **조직 경유(활성/모두)** 수가 업데이트를 반영하여 변경됩니다.

   멤버 계정 연결을 해제하려는 각 추가 리전에서 앞의 단계를 반복합니다.

------
#### [ API ]

1. 제거하려는 멤버 계정의 계정 ID를 검색하려면 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) API를 사용합니다. 요청에 `OnlyAssociated` 매개변수를 포함하세요. 이 매개변수의 값을 `true`로 설정하면 GuardDuty는 현재 GuardDuty 멤버에 대한 세부 정보만 제공하는 `members` 배열을 반환합니다.

   또는 AWS Command Line Interface (AWS CLI)를 사용하여 다음 명령을 실행할 수 있습니다.

   ```
   aws guardduty list-members --only-associated true --region us-east-1
   ```

   *us-east-1*을 이 계정을 제거하려는 리전으로 바꿉니다.

1. 하나 이상의 GuardDuty 멤버 계정을 제거하려면 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html)를 실행하여 관리자 계정과 연결된 멤버 계정을 제거합니다.

   또는 AWS CLI 를 사용하여 다음 명령을 실행할 수 있습니다.

   ```
   aws guardduty disassociate-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   *us-east-1*을 이 계정을 제거하려는 리전으로 바꿉니다. 삭제하려는 계정 ID 목록이 있는 경우 공백 문자로 구분합니다.

------

# GuardDuty 조직에서 구성원 계정 삭제하기
<a name="delete-member-accounts-guardduty-organization"></a>

위임받은 GuardDuty 관리자 계정으로서 멤버 계정을 연결 해제하고 더 이상 해당 멤버 계정을 GuardDuty 조직에 유지하지 않으려는 경우, GuardDuty 조직에서 해당 멤버 계정을 삭제할 수 있습니다. 이 멤버 계정은 더 이상 계정 인벤토리에 표시되지 않습니다. 그러나 이 멤버 계정에서 GuardDuty가 일시 중지되지 않으면, GuardDuty 및 전용 보호 요금제의 구성은 동일하게 유지됩니다. 이제 이 계정은 독립 실행형 계정이 되며 [GuardDuty를 비활성화](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_suspend-disable.html)할 수 있습니다.

이 단계에서는 AWS 조직에서 멤버 계정을 삭제하지 않습니다.

GuardDuty 조직에서 멤버 계정을 삭제하려면 원하는 방법을 선택하세요.

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.

   로그인하려면 위임된 GuardDuty 관리자 계정의 자격 증명을 사용하세요.

1. 탐색 창에서 **Accounts(계정)**를 선택합니다.

1. **계정 테이블**에서 **유형**이 **조직을 통해**, **상태**가 **제거됨(연결 해제됨)**으로 설정된 계정을 제거할 수 있습니다.

   **유형** 및 **상태**가 동일한 계정을 하나 이상 선택합니다.

1. **작업** 드롭다운 메뉴에서 **계정 삭제**를 선택합니다.

1. **계정 삭제**를 선택하여 선택 사항을 확인합니다. 선택한 계정 멤버는 더 이상 계정 테이블에 표시되지 않습니다.

   이 멤버 계정을 삭제하려는 각 추가 지역에서 앞의 단계를 반복합니다.

------
#### [ API/CLI ]

1. 삭제하려는 멤버 계정의 계정 ID를 검색하려면 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html) API를 사용합니다. 요청에 `OnlyAssociated` 매개변수를 포함하세요. 이 매개변수의 값을 `false`로 설정하면 GuardDuty는 현재 연결이 해제된 GuardDuty 멤버에 대한 세부 정보만 제공하는 `members` 배열을 반환합니다.

   또는 AWS Command Line Interface (AWS CLI)를 사용하여 다음 명령을 실행할 수 있습니다.

   ```
   aws guardduty list-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --only-associated="false" --region us-east-1
   ```

   *12abc34d567e8fa901bc2d34EXAMPLE*을 위임된 GuardDuty 관리자 계정 탐지기 ID로 바꾸고 *us-east-1*은 해당 계정을 제거하려는 리전으로 바꿉니다.

1. 하나 이상의 GuardDuty 멤버 계정을 삭제하려면 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html)를 실행하여 GuardDuty 조직에서 멤버 계정을 삭제합니다.

   또는 AWS CLI 를 사용하여 다음 명령을 실행할 수 있습니다.

   ```
   aws guardduty delete-members --detector-id 12abc34d567e8fa901bc2d34EXAMPLE --account-ids 111122223333 --region us-east-1
   ```

   *12abc34d567e8fa901bc2d34EXAMPLE*을 위임된 GuardDuty 관리자 계정 탐지기 ID로 바꾸고 *us-east-1*은 해당 계정을 제거하려는 리전으로 바꿉니다. 삭제하려는 계정 ID 목록이 있는 경우 공백 문자로 구분합니다.

------

# 위임된 GuardDuty 관리자 계정 변경
<a name="change-guardduty-delegated-admin"></a>

각 리전에서 조직에 대해 위임된 GuardDuty 관리자 계정을 제거한 다음 각 리전에서 새 관리자를 위임할 수 있습니다. 리전 내 조직의 구성원 계정에 대한 보안 태세를 유지하려면 해당 리전에서 위임된 GuardDuty 관리자 계정이 있어야 합니다.

**Note**  
위임된 GuardDuty 관리자 계정을 제거하기 전에 위임된 GuardDuty 관리자 계정과 연결된 모든 구성원 계정의 연결을 해제하고 GuardDuty 조직에서 해당 계정을 삭제해야 합니다. 이 단계에 대한 자세한 내용은 다음 문서를 참조하세요.  
[관리자 계정에서 멤버 계정 연결 해제(삭제)](disassociate-remove-member-account-from-admin.md)
[GuardDuty 조직에서 구성원 계정 삭제하기](delete-member-accounts-guardduty-organization.md)

## 기존 위임된 GuardDuty 관리자 계정 제거
<a name="remove-existing-guardduty-delegated-admin"></a>

**1단계 - 각 리전에서 기존의 위임된 GuardDuty 관리자 계정을 제거하려면**

1. 기존 위임된 GuardDuty 관리자 계정으로 관리자 계정과 연결된 모든 멤버 계정을 나열합니다. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListMembers.html)를 `OnlyAssociated=false`로 실행합니다.

1. GuardDuty 또는 선택적 보호 플랜에 대한 자동 활성화 기본 설정이 `ALL`로 설정되어 있는 경우 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_UpdateOrganizationConfiguration.html)를 실행하여 조직 구성을 `NEW` 또는 `NONE`로 업데이트합니다. 이 작업을 수행하면 다음 단계에서 모든 멤버 계정의 연결을 해제할 때 오류가 발생하는 것을 방지할 수 있습니다.

1. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html)를 실행하여 관리자 계정과 연결된 모든 멤버 계정의 연결을 해제합니다.

1. [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DeleteMembers.html)를 실행하여 관리자 계정과 멤버 계정 간의 연결을 삭제합니다.

1. 조직 관리 계정으로 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisableOrganizationAdminAccount.html)를 실행하여 기존 위임된 GuardDuty 관리자 계정을 제거합니다.

1. 이 위임된 GuardDuty 관리자 계정이 AWS 리전 있는 각에서이 단계를 반복합니다.

**2단계 -에서 기존 위임된 GuardDuty 관리자 계정의 등록을 취소하려면 AWS Organizations (일회성 글로벌 작업)**
+ *AWS Organizations API 참조* 에서 [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)를 실행하여 AWS Organizations에서 기존 위임된 GuardDuty 관리자 계정의 등록을 취소합니다.

  또는 다음 AWS CLI 명령을 실행할 수 있습니다.

  ```
  aws organizations deregister-delegated-administrator --account-id 111122223333 --service-principal guardduty.amazonaws.com
  ```

  *111122223333*을 기존 위임된 GuardDuty 관리자 계정으로 교체해야 합니다.

  이전 위임된 GuardDuty 관리자 계정의 등록을 취소한 후 새 위임된 GuardDuty 관리자 계정에 멤버 계정으로 추가할 수 있습니다.

## 각 리전에서 위임된 새 GuardDuty 관리자 계정 지정
<a name="designate-new-guardduty-delegated-admin"></a>

1. 선호하는 액세스 방법인 GuardDuty 콘솔 또는 API 또는 AWS CLI를 사용하여 각 리전에서 위임된 새 GuardDuty 관리자 계정을 지정합니다. 자세한 내용은 [위임된 GuardDuty 관리자 계정 지정](delegated-admin-designate.md) 단원을 참조하십시오.

1. [DescribeOrganizationConfiguration](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DescribeOrganizationConfiguration.html)을 실행하여 조직의 현재 자동 활성화 구성을 확인합니다.
**중요**  
위임된 새 GuardDuty 관리자 계정에 구성원을 추가하기 전에 조직에 대한 자동 활성화 구성을 확인해야 합니다. 이 구성은 위임된 새 GuardDuty 관리자 계정 및 선택한 리전에만 해당되며 AWS Organizations와는 관련이 없습니다. (신규 또는 기존) 조직 구성원 계정을 새 위임된 GuardDuty 관리자 계정 아래에 추가하면, 새 위임된 GuardDuty 관리자 계정의 자동 활성화 구성이 GuardDuty 또는 해당 옵션 보호 플랜을 활성화하는 시점에 적용됩니다.

   기본 액세스 방법인 GuardDuty 콘솔 또는 API 또는 AWS CLI를 사용하여 위임된 새 GuardDuty 관리자 계정의 조직 구성을 변경합니다. 자세한 내용은 [조직 자동 활성화 기본 설정 지정](set-guardduty-auto-enable-preferences.md) 단원을 참조하십시오.

# 초대를 통한 GuardDuty 계정 관리
<a name="guardduty_invitations"></a>

조직 외부의 계정을 관리하려면 레거시 초대 방법을 사용할 수 있습니다. 이 방법을 사용할 경우, 다른 계정이 멤버 계정 가입 초대를 수락하면 본인의 계정이 관리자 계정으로 지정됩니다.

**참고**  
GuardDuty는 GuardDuty 초대 AWS Organizations 대신를 사용하여 멤버 계정을 관리할 것을 권장합니다. 자세한 내용은 [ AWS Organizations을(를) 사용하여 계정 관리](guardduty_organizations.md) 단원을 참조하십시오.

본인의 계정이 관리자 계정이 아닌 경우 다른 계정의 초대를 수락할 수 있습니다. 수락하면 이 계정은 멤버 계정이 됩니다. AWS 계정은 GuardDuty 관리자 계정과 멤버 계정이 동시에 될 수 없습니다.

한 계정의 초대를 수락하면 다른 계정의 초대를 수락할 수 없습니다. 다른 계정의 초대를 수락하려면 먼저 기존 관리자 계정에서 내 계정의 연결을 해제해야 합니다. 또는 관리자 계정에서 연결을 해제하고 해당 조직에서 계정을 제거할 수도 있습니다.

초대에 의해 연결된 계정은에 설명된 AWS Organizations대로에 의해 연결된 계정과 유사한 전체 관리자 account-to-member 관계를 갖습니다[GuardDuty 관리자 계정 및 멤버 계정 간의 관계 이해](administrator_member_relationships.md). 그러나 초대 관리자 계정 사용자는 연결된 멤버 계정을 대신하여 GuardDuty를 활성화하거나 AWS Organizations 조직 내의 다른 비멤버 계정을 볼 수 없습니다.

**중요**  
GuardDuty에서 이 방법을 사용하여 멤버 계정을 만들 때 리전 간 데이터 전송이 발생할 수 있습니다. 멤버 계정의 이메일 주소를 확인하기 위해 GuardDuty에서는 미국 동부(버지니아 북부) 리전에서만 작동하는 이메일 확인 서비스를 사용합니다.

**Topics**
+ [초대를 통해 계정 추가하기](guardduty_become_console.md)
+ [단일 조직에서 GuardDuty 관리자 계정 통합하기](consolidate-orgs.md)

# 초대를 통해 계정 추가하기
<a name="guardduty_become_console"></a>

이미 GuardDuty가 활성화된 관리자 계정으로 멤버를 추가하여 GuardDuty 사용을 시작할 수 있습니다. 멤버를 추가한 후 GuardDuty에 가입하도록 초대할 수 있으며, 멤버는 초대에 응답할지 여부를 선택할 수 있습니다.

**참고**  
GuardDuty는 GuardDuty 초대 AWS Organizations 대신를 사용하여 멤버 계정을 관리할 것을 권장합니다. 자세한 내용은 [ AWS Organizations을(를) 사용하여 계정 관리](guardduty_organizations.md) 단원을 참조하십시오.

선호하는 액세스 방법을 선택하여 GuardDuty 멤버 계정을 GuardDuty 관리자 계정으로 추가합니다.

------
#### [ Console ]

**1단계 - 계정 추가**

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.

1. 탐색 창에서 **Accounts(계정)**를 선택합니다.

1. 상단 패널에서 **초대 기준으로 계정 추가**를 선택합니다.

1. **멤버 계정 추가** 페이지의 **계정 세부 정보 입력**에서 추가할 계정과 연결된 AWS 계정 ID 및 이메일 주소를 입력합니다.

1. 다른 행을 추가하여 계정 세부 정보를 한 번에 하나씩 입력하려면 **다른 계정 추가**를 선택합니다. **계정 세부 정보가 포함된.csv 파일 업로드**를 선택하여 계정을 대량으로 추가할 수도 있습니다.
**중요**  
.csv 파일의 첫 줄에는 다음 예시에 표시된 것처럼 `Account ID,Email` 헤더가 포함되어 있어야 합니다. 각 후속 줄에는 유효한 단일 AWS 계정 ID와 관련 이메일 주소가 포함되어야 합니다. 행 형식은 AWS 계정 ID가 단 하나이고 연결된 이메일 주소를 쉼표로 구분한 경우에만 유효합니다.  

   ```
   Account ID,Email
                                   555555555555,user@example.com
   ```

1. 모든 계정 세부 정보를 추가한 후 **다음**을 선택합니다. 계정 테이블에서 새로 추가된 계정을 볼 수 있습니다. 이러한 계정의 **상태**는 **초대를 전송하지 않음**으로 표시됩니다. 추가된 하나 이상의 계정에 초대를 보내는 방법에 대한 자세한 내용은 [Step 2 - Invite an account](#guardduty_invite_member_proc) 섹션을 참조하세요.

**2단계 - 계정 초대**

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.

1. 탐색 창에서 **Accounts(계정)**를 선택합니다.

1. Amazon GuardDuty에 초대할 계정을 하나 이상 선택합니다.

1. **작업** 드롭다운 메뉴를 선택한 다음 **초대**를 선택합니다.

1. **GuardDuty 초대** 대화 상자에 초대 메시지를 입력합니다(선택 사항).

   초대받은 계정이 이메일에 액세스할 수 없는 경우 초대**받은 사람의 루트 사용자에게 이메일 알림 전송 AWS 계정 확인란을 선택하고 초대받은 사람의 루트 사용자에게 알림을 생성합니다 AWS Health Dashboard**.

1. [**Send invitation**]을 선택합니다. 초대 대상자가 지정된 이메일 주소에 액세스할 수 있는 경우 GuardDuty 콘솔([https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/))을 열어 초대를 볼 수 있습니다.

1. 초대 대상자가 초대를 수락하면 **상태** 열 값이 **초대됨**으로 변경됩니다. 초대 수락에 대한 자세한 내용은 [Step 3 - Accept an invitation](#guardduty_accept_invite_proc) 섹션을 참조하세요.

**3단계 - 초대 수락**

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
**중요**  
멤버십 초대를 보거나 수락하기 전에 GuardDuty를 활성화해야 합니다.

1. GuardDuty를 아직 활성화하지 않은 경우에만 다음을 수행합니다. 활성화한 경우 이 단계를 건너뛰고 다음 단계를 계속할 수 있습니다.

   GuardDuty를 아직 활성화하지 않았다면 Amazon GuardDuty 페이지에서 **시작하기**를 선택합니다.

   **GuardDuty 시작** 페이지에서 **GuardDuty 활성화**를 선택합니다.

1. 계정에서 GuardDuty를 활성화한 후 다음 단계에 따라 멤버십 초대를 수락합니다.

   1. 탐색 창에서 **설정**을 선택합니다.

   1. ** 계정**을 선택합니다.

   1. **계정**에서 초대를 수락한 계정의 소유자를 확인해야 합니다. **수락**을 켜서 멤버십 초대를 수락합니다.

1. 초대를 수락하면 이 계정은 GuardDuty 멤버 계정이 됩니다. 소유자가 초대를 보낸 계정이 GuardDuty 관리자 계정이 됩니다. 관리자 계정은 초대를 수락했음을 알 수 있습니다. GuardDuty 계정의 **계정** 테이블이 업데이트됩니다. 멤버 계정 ID에 해당하는 **상태** 열의 값이 **활성화**으로 변경됩니다. 관리자 계정 소유자는 이제 계정을 대신하여 GuardDuty 및 보호 플랜 구성을 보고 관리할 수 있습니다. 또한 관리자 계정은 멤버 계정에 대해 생성된 GuardDuty 결과를 보고 관리할 수 있습니다.

------
#### [ API/CLI ]

GuardDuty 관리자 계정을 지정하고 API 작업을 통해 초대를 통해 GuardDuty 멤버 계정을 만들거나 추가할 수 있습니다. GuardDuty에서 관리자 계정과 멤버 계정을 지정하려면 다음 GuardDuty API 작업을 실행하세요.

GuardDuty 관리자 계정으로 지정하려는 AWS 계정 의 보안 인증 정보를 사용하여 다음 절차를 완료합니다.

**멤버 계정 생성 또는 추가**

1. GuardDuty가 활성화된 AWS 계정의 자격 증명을 사용하여 [CreateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateMembers.html) API 작업을 실행합니다. 이 계정이 관리자 계정 GuardDuty 계정으로 사용할 계정입니다.

   현재 AWS 계정의 감지기 ID와 GuardDuty 멤버가 될 계정의 계정 ID 및 이메일 주소를 지정해야 합니다. 이 API 작업을 이용해 한 명 이상의 멤버를 만들 수 있습니다.

    AWS 명령줄 도구를 사용하여 다음 CLI 명령을 실행하여 관리자 계정을 지정할 수도 있습니다. 유효한 감지기 ID, 계정 ID 및 이메일을 사용해야 합니다.

   계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.

   ```
   aws guardduty create-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-details AccountId=111122223333,Email=guardduty-member@organization.com
   ```

1. GuardDuty가 활성화된 AWS 계정의 자격 증명을 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_InviteMembers.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_InviteMembers.html) 사용하여를 실행합니다. 이 계정이 관리자 계정 GuardDuty 계정으로 사용할 계정입니다.

    현재 AWS 계정의 감지기 ID와 GuardDuty 멤버가 될 계정의 계정 IDs를 지정해야 합니다. 이 API 작업을 이용해 한 명 이상의 멤버를 초대할 수 있습니다.
**참고**  
`message` 요청 파라미터를 사용하여 초대 메시지를 지정할 수도 있습니다.

    AWS Command Line Interface 를 사용하여 다음 명령을 실행하여 멤버 계정을 지정할 수도 있습니다. 초대하려는 계정에 대해 본인의 유효한 감지기 ID 및 유효한 계정 ID를 사용해야 합니다.

   계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.

   ```
   aws guardduty invite-members --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333
   ```

**초대 수락**

GuardDuty 멤버 계정으로 지정하려는 각 AWS 계정의 보안 인증 정보를 사용하여 다음 절차를 완료하세요.

1. GuardDuty 멤버 AWS 계정이 되도록 초대되었으며 초대를 수락하려는 각 계정에 대해 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateDetector.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_CreateDetector.html) API 작업을 실행합니다.

   GuardDuty 서비스를 사용하여 탐지기 리소스를 활성화할지 여부를 지정해야 합니다. 탐지기는 GuardDuty의 작동 순서에 따라 생성 및 활성화해야 합니다. 초대를 수락하려면 먼저 GuardDuty를 활성화해야 합니다.

   다음 CLI 명령을 사용하여 AWS 명령줄 도구를 사용하여이 작업을 수행할 수도 있습니다.

   ```
   aws guardduty create-detector --enable
   ```

1. 멤버십 초대를 수락하려는 각 AWS 계정에 대해 해당 계정의 자격 증명을 사용하여 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_AcceptAdministratorInvitation.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_AcceptAdministratorInvitation.html) API 작업을 실행합니다.

   멤버 AWS 계정에 대한이 계정의 탐지기 ID, 초대를 보낸 관리자 계정의 계정 ID, 수락하려는 초대의 초대 ID를 지정해야 합니다. 관리자 계정의 계정 ID는 초대 이메일에서 확인하거나 API의 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListInvitations.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListInvitations.html) 작업을 사용하여 찾을 수 있습니다.

   다음 CLI 명령을 실행하여 AWS 명령줄 도구를 사용하여 초대를 수락할 수도 있습니다. 유효한 탐지기 ID, 관리자 계정 ID 및 초대 ID를 사용해야 합니다.

   계정 및 현재 리전에 대한 `detectorId`를 찾으려면 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 콘솔의 **설정** 페이지를 참조하거나 [https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListDetectors.html) API를 실행합니다.

   ```
   aws guardduty accept-invitation --detector-id 12abc34d567e8fa901bc2d34e56789f0 --administrator-id 444455556666 --invitation-id 84b097800250d17d1872b34c4daadcf5
   ```

------

# 단일 조직에서 GuardDuty 관리자 계정 통합하기
<a name="consolidate-orgs"></a>

GuardDuty는 AWS Organizations 를 통한 연결을 사용하여 위임된 GuardDuty 관리자 계정에서 멤버 계정을 관리할 것을 권장합니다. 아래에서 설명하는 예시 프로세스를 사용하여 초대로 연결된 관리자 계정 및 멤버를 단일 GuardDuty 위임된 관리자에 속하는 조직에 통합할 수 있습니다.

**참고**  
GuardDuty는 GuardDuty 초대 AWS Organizations 대신를 사용하여 멤버 계정을 관리할 것을 권장합니다. 자세한 내용은 [ AWS Organizations을(를) 사용하여 계정 관리](guardduty_organizations.md) 단원을 참조하십시오.

위임된 GuardDuty 관리자 계정으로 이미 관리 중인 계정 또는 위임된 GuardDuty 관리자 계정과 연결된 활성 멤버 계정은 다른 위임된 GuardDuty 관리자 계정에 추가할 수 없습니다. 각 조직은 지역당 위임된 GuardDuty 관리자 계정을 하나만 가질 수 있으며, 각 멤버 계정에는 위임된 GuardDuty 관리자 계정을 하나만 가질 수 있습니다.

선호하는 액세스 방법을 선택하여 하나의 위임된 GuardDuty 관리자 계정으로 GuardDuty 관리자 계정을 통합할 수 있습니다.

------
#### [ Console ]

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.

   로그인하려면 조직의 관리 계정 보안 인증 정보를 사용합니다.

1. GuardDuty를 관리하려는 모든 계정은 조직의 일부여야 합니다. 조직에 계정을 추가하는 방법에 대한 자세한 내용은 [조직에 가입 AWS 계정 하도록 초대를 참조하세요](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html).

1. 모든 멤버 계정이 위임된 단일 GuardDuty 관리자 계정으로 지정하려는 계정과 연결되어 있는지 확인하세요. 기존 관리자 계정과 아직 연결되어 있는 모든 멤버 계정의 연결을 해제합니다.

   다음 단계는 기존 관리자 계정에서 회원 계정을 분리하는 데 도움이 됩니다.

   1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.

   1. 로그인하려면 기존 관리자 계정의 보안 인증 정보를 사용합니다.

   1. 탐색 창에서 **Accounts(계정)**를 선택합니다.

   1. **계정** 페이지에서 관리자 계정과 연결을 해제할 계정을 하나 이상 선택합니다.

   1. **작업**을 선택한 다음 **계정 연결 해제**를 선택합니다.

   1. **확인** 선택하여 단계를 완료합니다.

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.

   로그인하려면 관리 계정 보안 인증 정보를 사용합니다.

1. 탐색 창에서 **설정**을 선택합니다. **설정** 페이지에서 조직에 대한 위임된 GuardDuty 관리자 계정을 지정합니다.

1. 지정된 위임된 GuardDuty 관리자 계정에 로그인합니다.

1. 조직에서 멤버를 추가합니다. 자세한 내용은 [를 사용하여 GuardDuty 계정 관리 AWS Organizations](guardduty_organizations.md) 단원을 참조하십시오.

------
#### [ API/CLI ]

1. GuardDuty를 관리하려는 모든 계정은 조직의 일부여야 합니다. 조직에 계정을 추가하는 방법에 대한 자세한 내용은 [조직에 가입 AWS 계정 하도록 초대를 참조하세요](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html).

1. 모든 멤버 계정이 위임된 단일 GuardDuty 관리자 계정으로 지정하려는 계정과 연결되어 있는지 확인하세요.

   1. [DisassociateMembers](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_DisassociateMembers.html)를 실행하여 기존 관리자 계정과 아직 연결되어 있는 모든 멤버 계정의 연결을 해제합니다.

   1. 또는 AWS Command Line Interface 를 사용하여 다음 명령을 실행하고 *777777777777*을 멤버 계정의 연결을 해제하려는 기존 관리자 계정의 감지기 ID로 바꿀 수 있습니다. *666666666666*을 연결 해제하려는 멤버 계정의 AWS 계정 ID로 바꿉니다.

      ```
      aws guardduty disassociate-members --detector-id 777777777777 --account-ids 666666666666    
      ```

1. [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html)를 실행하여 위임된 GuardDuty 관리자 계정을 AWS 계정 로 위임합니다.

   또는 AWS Command Line Interface 를 사용하여 다음 명령을 실행하여 위임된 GuardDuty 관리자 계정을 위임할 수 있습니다.

   ```
   aws guardduty enable-organization-admin-account --admin-account-id 777777777777
   ```

1. 조직에서 멤버를 추가합니다. 자세한 내용은 [Create or add member member accounts using API](guardduty_become_console.md#guardduty_become_api) 단원을 참조하십시오.

------

**중요**  
리전 서비스인 GuardDuty의 효과를 극대화하려면 위임된 GuardDuty 관리자 계정을 지정하고 모든 리전에 있는 모든 멤버 계정을 추가하는 것이 좋습니다.

# 멤버 계정 세부 정보를 CSV 형식으로 내보낼 때 GuardDuty 고려 사항
<a name="exporting-guardduty-accounts-data-to-csv"></a>

GuardDuty 관리자 계정으로 멤버 계정 세부 정보를 CSV 형식으로 내보낼 수 있습니다. 이러한 세부 정보에는 멤버 계정 ID, 이름, 유형(초대에 의해 AWS Organizations 또는 초대를 통해 추가됨), GuardDuty 및 전용 보호 계획의 구성 상태가 포함됩니다.

**CSV 내보내기** 옵션은 여러 멤버 **계정**을 관리하는 방법에 따라 GuardDuty 계정 페이지에 표시됩니다. **CSV 내보내기** 옵션을 사용하면 특정 보호 요금제를 사용 설정한 멤버 계정을 식별할 수 있습니다.

다음 목록은 GuardDuty **계정** 페이지에서 **CSV 내보내기**를 사용할 수 있는지 여부를 기준으로 제공합니다.
+ 는 여러 멤버 계정을 관리하는 AWS Organizations 데만 사용되며 GuardDuty 조직의 총 멤버 계정 수는 최대 5,000개입니다.
+  AWS Organizations 및 초대 방법을 모두 사용하며 GuardDuty 조직의 총 멤버 계정 수는 최대 5,000개입니다.

  이 시나리오에서 내보낸 CSV에는 멤버 계정이 초대 기반 방법을 통해 추가되었는지 AWS Organizations 아니면 초대 기반 방법을 사용하여 추가되었는지 여부가 포함됩니다.
+ 초대 기반 방법만 사용하여 여러 멤버 계정을 관리하는 경우에는 **CSV 내보내기** 옵션이 없습니다.