기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 2단계. Accelerate의 온보딩 관리 리소스
다음은 관리 리소스 온보딩 프로세스에 대한 개요입니다.
**약관에 동의합니다.**
클라우드 서비스 제공 관리자(CSDM)가 수락 프로세스를 안내합니다. 이용 약관, 선택, AWS 리전추가 기능 및 서비스 수준 계약(SLA)에 동의해야 합니다.
**AMS 역할에 권한을 부여합니다.**
AMS 프로세스 및 클라우드 아키텍트에 대한 액세스 권한을 부여해야 합니다. 이렇게 하려면 각 역할에 대한 CloudFormation 스택을 생성합니다. 단원[AMS 역할을 생성하기 위한 템플릿](acc-onb-roles.md)을 참조한 다음 단원을 참조하십시오[가속화 CloudFormation 를 위해 `aws_managedservices_onboarding_role`를 사용하여 생성](acc-onb-create-roles-with-cf.md). 자세한 내용은 [AMS Accelerate의 액세스 관리](acc-access.md) 단원을 참조하십시오.
**AMS가 구성을 검토합니다.**
또한 Cloud Architect(CA)는 AMS가 AMS에 필요한 도구 및 리소스를 배포하지 못하게 할 수 있는 서비스 제어 정책(SCPs) 및 보안 조사 결과와 같은 계정의 가능한 구성 문제를 찾습니다. CA는 사용자와 협력하여 조사 결과를 수정하고 AMS 도구 및 리소스 배포에 대한 차단기를 제거하는 데 도움이 됩니다.
**AMS가 AWS CloudTrail 추적 구성을 검토합니다.**
Cloud Architect(CA)는 CloudTrail 추적 구성을 검토하고 AMS가 글로벌 CloudTrail 추적을 배포하거나 Accelerate를 CloudTrail 계정 또는 조직 추적 리소스와 통합할지 확인합니다. Accelerate를 CloudTrail 추적과 통합하도록 선택하면 CA가 CloudTrail 추적 리소스의 구성에 필요한 업데이트를 안내합니다.
**AMS에서 관리 리소스 배포**
AMS 팀은 도구와 AWS 리소스를 배포하여 AMS Accelerate의 다양한 서비스를 제공합니다. 완료되면 AMS는 AWS Managed Services 계정을 빌드하고 AMS는 계정이 활성 상태임을 알려줍니다.
이것으로 *온보딩 관리 리소스* 단계를 마칩니다. 온보딩 프로세스의 다음 단계인 로 바로 진행할 수 있습니다[3단계. 기본 정책을 사용하여 AMS 기능 온보딩](acc-get-feature-config.md).
**참고**
이제 계정이 활성화되었으므로 다음 작업 중 하나를 수행할 수 있습니다.
지원 센터 콘솔을 사용하여 AWS 인프라에 대한 인시던트 및 서비스 요청을 생성합니다. [AMS Accelerate의 인시던트 보고서, 서비스 요청 및 결제 질문](acc-supp-ex.md)을(를) 참조하세요.
AMS에서 배포한 AWS Config 규칙의 계정에서 적합성 상태를 확인합니다[Accelerate의 구성 규정 준수](acc-sec-compliance.md).
GuardDuty 및 Macie(선택 사항) 조사 결과를 찾아 분석합니다. [GuardDuty로 모니터링](acc-sec-data-protect.md#acc-sec-data-protect-gd)을(를) 참조하세요.
CloudTrail 로그 액세스 및 감사
AMS Accelerate 계정의 변경 사항을 추적합니다. [AMS Accelerate 계정의 변경 사항 추적](acc-change-record.md)을(를) 참조하세요.
Resource Tagger를 사용하여 태그를 생성합니다. [리소스 태거 가속화](acc-resource-tagger.md)을(를) 참조하세요.
패치, 백업 및 AWS Config 보고서를 요청합니다. [보고서 및 옵션](ams-reporting.md)을(를) 참조하세요.
# 구성을 검토하고 업데이트하여 AMS Accelerate가 CloudTrail 추적을 사용할 수 있도록 합니다.
AMS Accelerate는 계정의 모든 리소스에 대한 감사 및 규정 준수를 관리하기 위해 AWS CloudTrail 로깅을 사용합니다. 온보딩 중에 Accelerate가 기본 AWS 리전에 CloudTrail 추적을 배포할지 아니면 기존 CloudTrail 계정에서 생성된 이벤트를 사용할지 선택합니다. 계정에 추적이 구성되어 있지 않은 경우 Accelerate는 온보딩 중에 관리형 CloudTrail 추적을 배포합니다.
**중요**
CloudTrail 로그 관리 구성은 AMS Accelerate를 CloudTrail 계정 또는 조직 추적과 통합하도록 선택한 경우에만 필요합니다.
## Cloud Architect(CA)를 사용하여 CloudTrail 이벤트 전송 대상에 대한 CloudTrail 추적 구성, Amazon S3 버킷 정책 및 AWS KMS 키 정책 검토
Accelerate가 CloudTrail 추적을 사용하려면 먼저 Cloud Architect(CA)와 협력하여 Accelerate 요구 사항을 충족하도록 구성을 검토하고 업데이트해야 합니다. Accelerate를 CloudTrail Organization 추적과 통합하기로 선택한 경우 CA는 사용자와 협력하여 CloudTrail 이벤트 전송 대상 Amazon S3 버킷 및 AWS KMS 키 정책을 업데이트하여 Accelerate 계정에서 교차 계정 쿼리를 활성화합니다. Amazon S3 버킷은 Accelerate에서 관리하는 계정 또는 사용자가 관리하는 계정에 있을 수 있습니다. 온보딩 중에 Accelerate는 CloudTrail Organization 추적 이벤트 전송 대상에 쿼리를 수행할 수 있는지 확인하고 쿼리가 실패하면 온보딩을 일시 중지합니다. 온보딩을 재개할 수 있도록 CA와 협력하여 이러한 구성을 수정합니다.
### CloudTrail 계정 또는 조직 추적 구성 검토 및 업데이트
CloudTrail 계정 또는 조직 추적 리소스의 Accelerate CloudTrail 로그 관리를 통합하려면 다음 구성이 필요합니다.
+ CloudTrail 추적은 모든의 이벤트를 로깅하도록 구성됩니다 AWS 리전.
+ CloudTrail 추적에 [ 글로벌 서비스 이벤트](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-concepts.html#cloudtrail-concepts-global-service-events)가 활성화되어 있습니다.
+ CloudTrail 계정 또는 조직 추적은 읽기 및 쓰기 [ 이벤트를 포함한 모든 관리](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#logging-management-events) 이벤트를 로깅하며, AWS KMS Amazon RDS Data API 이벤트 로깅이 활성화됩니다. [https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#read-write-events-mgmt](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-management-events-with-cloudtrail.html#read-write-events-mgmt)
+ CloudTrail 추적에 [로그 파일 무결성 검증](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-enabling.html)이 활성화되어 있습니다.
+ CloudTrail 추적이 이벤트를 전달하는 Amazon S3 버킷은 [SSE-S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html) 또는 [SSE-KMS](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingKMSEncryption.html) 암호화를 사용하여 이벤트를 암호화합니다.
+ CloudTrail 추적이 이벤트를 전달하는 Amazon S3 버킷에는 [ 서버 액세스 로깅](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)이 활성화되어 있습니다.
+ CloudTrail 추적이 이벤트를 전달하는 Amazon S3 버킷은 CloudTrail 추적 데이터를 최소 18개월 동안 유지하는 [ 수명 주기 구성을](https://docs.aws.amazon.com/AmazonS3/latest/userguide/how-to-set-lifecycle-configuration-intro.html) 갖습니다.
+ CloudTrail 추적이 이벤트를 전달하는 Amazon S3 버킷에는 [ 객체 소유권](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)이 버킷 소유자 적용으로 설정되어 있습니다.
+ CloudTrail 추적이 이벤트를 전달하는 Amazon S3 버킷은 Accelerate에서 액세스할 수 있습니다.
#### CloudTrail 이벤트 전송 대상에 대한 Amazon S3 버킷 정책 검토 및 업데이트
온보딩 중에 Cloud Architect(CA)와 협력하여 CloudTrail 이벤트 전송 대상에 Amazon S3 버킷 정책 설명을 추가합니다. 사용자가 Accelerate 계정에서 CloudTrail 이벤트 전송 대상 Amazon S3 버킷의 변경 사항을 쿼리할 수 있도록 하려면 Accelerate가 관리하는 조직의 각 계정에 균일하게 이름이 지정된 IAM 역할을 배포하고 모든 Amazon S3 버킷 정책 설명의 `aws:PrincipalArn` 목록에 추가할 수 있습니다. 이 구성을 사용하면 사용자는 Athena를 사용하여 Accelerate에서 계정의 CloudTrail Organization 추적 이벤트를 쿼리하고 분석할 수 있습니다. Amazon S3 버킷 정책을 업데이트하는 방법에 대한 자세한 내용은 Amazon *Simple Storage Service 사용 설명서*의 [ Amazon S3 콘솔을 사용하여 버킷 정책 추가](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html)를 참조하세요.
**중요**
Amazon S3 버킷 정책 업데이트는 Accelerate가 중앙 집중식 S3 버킷에 이벤트를 전달하는 CloudTrail 추적과 통합되는 경우에만 필요합니다. Accelerate는 중앙 집중식 버킷으로 전송하는 CloudTrail 추적과의 통합을 지원하지 않지만 AWS 조직 아래에 계정이 없습니다.
**참고**
Amazon S3 버킷 정책을 업데이트하기 전에 *빨간색* 필드를 해당 값으로 바꿉니다.
*amzn-s3-demo-bucket*을 계정의 추적 이벤트가 포함된 Amazon S3 버킷의 이름으로 바꿉니다.
*your-organization-id*는 계정이 속한 AWS 조직의 ID입니다.
*your-optional-s3-log-delievery-prefix*와 CloudTrail 추적의 Amazon S3 버킷 전송 접두사. 예를 들어 `my-bucket-prefix`[CloudTrail 추적을 생성할 때를 설정했을 수 있습니다](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-a-trail-using-the-console-first-time.html).
추적에 대해 Amazon S3 버킷 전송 접두사를 구성하지 않은 경우 다음 Amazon S3 버킷 정책 설명에서 "*your-optional-s3-log-delievery-prefix*"와 진행 중인 슬래시(`/`)를 제거합니다.
다음 세 가지 Amazon S3 버킷 정책 설명은 Accelerate 계정에서 이벤트 전송 대상 Amazon S3 버킷[의 CloudTrail 이벤트를 분석](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-change-record.html)하기 위해의 구성을 검색하고 AWS Athena 쿼리를 실행할 수 있는 Accelerate 액세스 권한을 부여합니다.
```
{
"Sid": "DONOTDELETE-AMS-ALLOWBUCKETCONFIGAUDIT",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"s3:GetBucketLogging",
"s3:GetBucketObjectLockConfiguration",
"s3:GetLifecycleConfiguration",
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
},
{
"Sid": "DONOTDELETE-AMS-ALLOWLISTBUCKET",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringLike": {
"s3:prefix": "your-optional-s3-log-delievery-prefix/AWSLogs/*"
},
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
},
{
"Sid": "DONOTDELETE-AMS-ALLOWGETOBJECT",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/your-optional-s3-log-delievery-prefix/AWSLogs/*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringEquals": {
"aws:PrincipalOrgID": "your-organization-id"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
}
```
#### CloudTrail 이벤트 전송 대상에 대한 AWS KMS 키 정책 검토 및 업데이트
온보딩 중에 Cloud Architect(CA)와 협력하여 Amazon S3 버킷에 전달되는 CloudTrail 추적 이벤트를 암호화하는 데 사용되는 AWS KMS 키 정책을 업데이트합니다. 참조 AWS KMS 키 정책 설명을 기존 AWS KMS 키에 추가해야 합니다. 이렇게 하면 기존 CloudTrail 추적 이벤트 전송 대상 Amazon S3 버킷과 통합하고 이벤트를 복호화하도록 Accelerate가 구성됩니다. 사용자가 Accelerate 계정에서 CloudTrail 이벤트 전송 대상 Amazon S3 버킷의 변경 사항을 쿼리할 수 있도록 하려면 Accelerate가 관리하는 조직의 각 계정에 균일하게 이름이 지정된 IAM 역할을 배포하고 "aws:PrincipalArn" 목록에 추가할 수 있습니다. 이 구성을 사용하면 사용자가 이벤트를 쿼리할 수 있습니다.
고려해야 할 다양한 AWS KMS 주요 정책 업데이트 시나리오가 있습니다. 모든 이벤트를 암호화하도록 CloudTrail 추적에 구성된 AWS KMS 키만 있을 수 있으며 Amazon S3 버킷의 객체를 암호화하는 AWS KMS 키는 없을 수 있습니다. 또는 CloudTrail에서 제공하는 이벤트를 암호화하는 AWS KMS 키 하나와 Amazon S3 버킷에 저장된 모든 객체를 암호화하는 다른 AWS KMS 키 하나가 있을 수 있습니다. AWS KMS 키가 두 개 있는 경우 각 AWS KMS 키의 키 정책을 업데이트하여 CloudTrail 이벤트에 대한 Accelerate 액세스 권한을 부여합니다. 정책을 업데이트하기 전에 참조 AWS KMS 키 정책 설명을 기존 AWS KMS 키 정책으로 수정해야 합니다. AWS KMS 키 정책을 업데이트하는 방법에 대한 자세한 내용은 *AWS Key Management Service 사용 설명서*의 [키 정책 변경을](https://docs.aws.amazon.com/kms/latest/developerguide/key-policy-modifying.html) 참조하세요.
**중요**
Accelerate가 로그 파일 SSE-KMS 암호화가 활성화된 CloudTrail 추적과 통합되는 경우에만 AWS KMS 키 정책을 업데이트해야 합니다.
**참고**
Amazon S3 버킷에 전달된 AWS CloudTrail 이벤트를 암호화하는 데 사용되는 AWS KMS 키에이 AWS KMS 키 정책 설명을 적용하기 전에 다음 *빨간색* 필드를 해당 값으로 바꿉니다.
계정이 속한 AWS 조직의 ID가 인 *YOUR-ORGANIZATION-ID*입니다.
이 AWS KMS 키 정책 설명은 Accelerate가 CloudTrail 이벤트를 쿼리하고 분석하는 데 사용하는 Athena에 대한 액세스 권한이 제한된 조직의 각 계정에서 Amazon S3 버킷으로 전송된 추적 이벤트를 해독하고 쿼리할 수 있는 액세스 권한을 Accelerate에 부여합니다. [ CloudTrail ](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-change-record.html)
```
{
"Sid": "DONOTDELETE-AMS-ALLOWTRAILOBJECTDECRYPTION",
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": "athena.amazonaws.com"
},
"StringEquals": {
"aws:PrincipalOrgID": "YOUR-ORGANIZATION-ID"
},
"ArnLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/ams-access-*"
]
}
}
}
```
# AMS 역할을 생성하기 위한 템플릿
다음 AMS 역할은 AMS 클라우드 아키텍트(CA)에 권한을 부여합니다. 다음 zip 파일에는 IAM 역할, 권한 정책 및 신뢰 정책 생성을 간소화하는 Terraform 코드와 CloudFormation 템플릿이 포함되어 있습니다. 자세한 내용은 CA에 문의하세요.
| 역할 이름 | 에 필요 | 샘플 템플릿 |
| --- |--- |--- |
| `aws_managedservices_onboarding_role` | AMS personnel during onboarding only | [onboarding\$1role\$1minimal.zip](samples/onboarding_role_minimal.zip) |
**참고**
샘플 템플릿(역할당 하나)을 선택하고 다운로드한 후 이를에서 CloudFormation 스택의 정의로 업로드합니다[가속화 CloudFormation 를 위해 `aws_managedservices_onboarding_role`를 사용하여 생성](acc-onb-create-roles-with-cf.md).
# 가속화 CloudFormation 를 위해 `aws_managedservices_onboarding_role`를 사용하여 생성
에서 `aws_managedservices_onboarding_role`를 사용하여 AWS Identity and Access Management 역할을 생성할 수 CloudFormation 있습니다 AWS Management Console. 또는의 명령을 사용하여 역할을 AWS CloudShell 배포할 수 있습니다.
## 사용 AWS Management Console
**참고**
시작하기 전에 각 역할에 대한 JSON 또는 YAML 파일을 업로드할 준비가 되어 있어야 합니다. 자세한 내용은 [AMS 역할을 생성하기 위한 템플릿](acc-onb-roles.md) 단원을 참조하십시오.
에서 역할을 생성하려면 다음 단계를 AWS Management Console완료합니다.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/cloudformation](https://console.aws.amazon.com/cloudformation/) CloudFormation 콘솔을 엽니다.
![\[CloudFormation Stacks interface showing no stacks and options to create or view guide.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/accelerate-guide/images/image1.png)
1. **스택 생성 > 새 리소스 사용(표준)**을 선택합니다. 다음 페이지가 표시됩니다.
![\[Create stack interface with options to specify template and upload template file.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/accelerate-guide/images/image2.png)
1. **템플릿 파일 업로드를** 선택하고 IAM 역할의 JSON 또는 YAML 파일을 업로드한 **후 다음을** 선택합니다. 다음 페이지가 표시됩니다.
![\[Form for specifying stack details, including stack name and parameters fields.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/accelerate-guide/images/image3.png)
1. 스택 이름 필드에 **스택 이름** "**ams-onboarding-role**"을 입력합니다. "YYYY-MM-DDT00:00:00Z" 형식을 사용하여 **DateOfExpiry**를 입력합니다(현재 날짜로부터 30일이 권장됨). 이 페이지에 도달할 때까지 아래로 스크롤하여 다음을 선택합니다.
![\[Capabilities section with AWSIAM role requirement and checkbox for custom names.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/accelerate-guide/images/image4.png)
1. 확인란이 선택되어 있는지 확인한 다음 **스택 생성을** 선택합니다.
1. 스택이 성공적으로 생성되었는지 확인합니다.
## 의 명령 사용 AWS CloudShell
`aws_managedservices_onboarding_role` IAM 역할을 배포하려면에서 다음 명령을 실행합니다. [AWS CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html)
------
#### [ AWS CLI ]
```
curl -s "https://docs.aws.amazon.com/en_us/managedservices/latest/accelerate-guide/samples/onboarding_role_minimal.zip" -o "onboarding_role_minimal.zip"
unzip -q -o onboarding_role_minimal.zip
aws cloudformation create-stack \
--stack-name "aws-managedservices-onboarding-role" \
--capabilities CAPABILITY_NAMED_IAM \
--template-body file://onboarding_role_minimal.json \
--parameters ParameterKey=DateOfExpiry,ParameterValue="`date -d '+30 days' -u '+%Y-%m-%dT%H:%M:%SZ'`"
```
------
#### [ AWS Tools for PowerShell ]
```
Invoke-WebRequest -Uri 'https://docs.aws.amazon.com/en_us/managedservices/latest/accelerate-guide/samples/onboarding_role_minimal.zip' -OutFile 'onboarding_role_minimal.zip'
Expand-Archive -Path 'onboarding_role_minimal.zip' -DestinationPath . -Force
New-CFNStack `
-StackName 'aws-managedservices-onboarding-role' `
-Capability CAPABILITY_NAMED_IAM `
-TemplateBody (Get-Content 'onboarding_role_minimal.json' -Raw) `
-Parameter @{ParameterKey = "DateOfExpiry"; ParameterValue = (Get-Date).AddDays(30).ToString('yyyy-MM-ddTHH:mm:ssZ')}
```
------
역할을 생성한 후 Cloud Architect(CA)와 협력하여 [2단계. Accelerate의 온보딩 관리 리소스](acc-get-mgmt-resource-onboard.md) 프로세스를 완료합니다. AMS에서 계정이 활성 상태임을 알리면 인스턴스를 온보딩할 준비가 된 것입니다.