기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 선언적 정책에 대한 계정 상태 보고서 생성
<a name="orgs_manage_policies_declarative_status-report"></a>

*계정 상태 보고서*를 사용하여 범위 내 계정에 대한 선언적 정책에서 지원하는 모든 속성의 현재 상태를 평가할 수 있습니다. 보고서 범위에 포함할 계정 및 조직 단위(OU)를 선택하거나 루트를 선택하여 전체 조직을 선택할 수 있습니다.

이 보고서는 리전 분석을 제공하고 속성의 현재 상태가 *계정 전반에 걸쳐 균일한지*(`numberOfMatchedAccounts`을 통해) 또는 *불일치하는지*(`numberOfUnmatchedAccounts`을 통해)를 확인함으로써 준비 상태를 평가하는 데 도움을 줍니다. 또한 *가장 빈번한 값*을 확인할 수 있는데, 이는 해당 속성에 대해 가장 자주 관찰되는 구성 값입니다.

기준 구성을 적용하기 위한 선언적 정책의 연결 여부에 대한 선택은 특정 사용 사례에 따라 달라집니다.

자세한 내용과 설명 예시는 [선언적 정책에 대한 계정 상태 보고서](orgs_manage_policies_declarative.md#orgs_manage_policies_declarative-account-status-report) 단원을 참조하세요.

## 사전 조건
<a name="orgs_manage_policies_declarative_accessing-status-report-prerequisites"></a>

계정 상태 보고서를 생성하려면 먼저 다음 단계를 수행해야 합니다.

1. `StartDeclarativePoliciesReport` API는 조직의 관리 계정 또는 위임된 관리자만 직접 호출할 수 있습니다.

1. 보고서를 생성하기 전에 S3 버킷이 있어야 하며(새 버킷을 생성하거나 기존 버킷을 사용), 요청이 이루어진 리전과 동일한 리전에 있어야 하고, 적절한 S3 버킷 정책이 있어야 합니다. 샘플 S3 정책은 *Amazon EC2 API 참조*의 [예시](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartDeclarativePoliciesReport.html#API_StartDeclarativePoliciesReport_Examples)에서 *샘플 Amazon S3 정책*을 참조하세요.

1. 선언적 정책이 기준 구성을 적용하려면, 해당 서비스에서 신뢰할 수 있는 액세스를 활성화해야 합니다. 이는 조직 전체 계정의 기존 구성 상태를 반영한 계정 상태 보고서를 생성하는 데 사용되는 읽기 전용 서비스 연결 역할을 생성합니다.

   **콘솔 사용**

   Organizations 콘솔의 경우 이 단계는 선언적 정책을 활성화하는 프로세스의 일부입니다.

   **사용 AWS CLI**

   의 경우 [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) API를 AWS CLI사용합니다.

   를 사용하여 특정 서비스에 대해 신뢰할 수 있는 액세스를 활성화하는 방법에 대한 자세한 내용은에서 사용할 수 AWS CLI 있습니다. [AWS 서비스AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html) 

1. 조직당 한 번에 하나의 보고서만 생성할 수 있습니다. 다른 보고서를 생성 중인 상태에서 보고서를 생성하려고 하면 오류가 발생합니다.

## 규정 준수 상태 보고서에 액세스
<a name="orgs_manage_policies_declarative_accessing-status-report"></a>

**최소 권한**  
규정 준수 상태 보고서를 생성하려면 다음 작업을 실행할 수 있는 권한이 필요합니다.  
`ec2:StartDeclarativePoliciesReport`
`ec2:DescribeDeclarativePoliciesReports`
`ec2:GetDeclarativePoliciesReportSummary`
`ec2:CancelDeclarativePoliciesReport`
`organizations:DescribeAccount`
`organizations:DescribeOrganization`
`organizations:DescribeOrganizationalUnit`
`organizations:ListAccounts`
`organizations:ListDelegatedAdministrators`
`organizations:ListAWSServiceAccessForOrganization`
`s3:PutObject`

**참고**  
Amazon S3 버킷이 SSE-KMS 암호화를 사용하는 경우 정책에 `kms:GenerateDataKey` 권한도 포함해야 합니다.

------
#### [ AWS Management Console ]

다음 절차에 따라 계정 상태 보고서를 생성합니다.

**계정 상태 보고서를 생성하려면**

1. [AWS Organizations 콘솔](https://console.aws.amazon.com/organizations/v2)에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인([권장되지 않음](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))해야 합니다.

1. **정책** 페이지에서 **EC2에 대한 선언적 정책**을 선택합니다.

1. **EC2에 대한 선언적 정책** 페이지의 **작업** 드롭다운 메뉴에서 **계정 상태 보고서 보기**를 선택합니다.

1. **계정 상태 보고서 보기** 페이지에서 **상태 보고서 생성**을 선택합니다.

1. **조직 구조** 위젯에서 보고서에 포함할 조직 단위(OU)를 지정합니다.

1. **제출**을 선택합니다.

------
#### [ AWS CLI & AWS SDKs ]

**계정 상태 보고서를 생성하려면**

다음 작업을 사용하여 규정 준수 상태 보고서를 생성하고, 상태를 확인하며, 보고서를 볼 수 있습니다.
+ `ec2:start-declarative-policies-report`: 계정 상태 보고서를 생성합니다. 보고서는 비동기적으로 생성되며 완료되는 데 몇 시간이 걸릴 수 있습니다. 자세한 내용을 알아보려면 *Amazon EC2 API 참조*의 [StartDeclarativePoliciesReport](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartDeclarativePoliciesReport.html)를 참조하세요.
+ `ec2:describe-declarative-policies-report`: 보고서 상태를 포함하여 계정 상태 보고서의 메타데이터를 설명합니다. 자세한 내용은 *Amazon EC2 API 참조*의 [DescribeDeclarativePoliciesReports](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeDeclarativePoliciesReports.html)를 참조하세요.
+ `ec2:get-declarative-policies-report-summary`: 계정 상태 보고서의 요약을 검색합니다. 자세한 내용을 알아보려면 *Amazon EC2 API 참조*의 [GetDeclarativePoliciesReportSummary](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetDeclarativePoliciesReportSummary.html)를 참조하세요.
+ `ec2:cancel-declarative-policies-report`: 계정 상태 보고서 생성을 취소합니다. 자세한 내용을 알아보려면 *Amazon EC2 API 참조*의 [CancelDeclarativePoliciesReport](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CancelDeclarativePoliciesReport.html)를 참조하세요.

보고서를 생성하기 전에, 보고서가 저장될 Amazon S3 버킷에 EC2 선언적 정책 위탁자에 대한 액세스 권한을 부여하세요. 이렇게 하려면 다음 정책을 해당 버킷에 연결하세요. `amzn-s3-demo-bucket`을 실제 Amazon S3 버킷 이름으로 바꾸고 `identity_ARN`을 `StartDeclarativePoliciesReport` API를 직접 호출하는 데 사용되는 IAM 자격 증명으로 바꿉니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DeclarativePoliciesReportDelivery",
            "Effect": "Allow",
            "Principal": {
                "AWS": "identity_ARN"
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "organizations.amazonaws.com"
                }
            }
        }
    ]
}
```

------

------