기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
EC2 정책에 대한 계정 상태 보고서 생성
계정 상태 보고서를 사용하면 범위 내 계정에 대해 EC2 정책에서 지원하는 모든 속성의 현재 상태를 검토할 수 있습니다. 보고서 범위에 포함할 계정 및 조직 단위(OU)를 선택하거나 루트를 선택하여 전체 조직을 선택할 수 있습니다.
이 보고서는 리전 분석을 제공하고 속성의 현재 상태가 계정 전반에 걸쳐 균일한지(numberOfMatchedAccounts을 통해) 또는 불일치하는지(numberOfUnmatchedAccounts을 통해)를 확인함으로써 준비 상태를 평가하는 데 도움을 줍니다. 또한 가장 빈번한 값을 확인할 수 있는데, 이는 해당 속성에 대해 가장 자주 관찰되는 구성 값입니다.
기준 구성을 적용하기 위해 EC2 정책을 연결할지 여부는 특정 사용 사례에 따라 다릅니다.
자세한 내용과 설명 예시는 EC2 정책에 대한 계정 상태 보고서 단원을 참조하세요.
사전 조건
계정 상태 보고서를 생성하려면 먼저 다음 단계를 완료합니다.
-
StartDeclarativePoliciesReport작업은 조직의 관리 계정 또는 위임된 관리자만 호출할 수 있습니다. -
위임된 관리자 계정에서 보고서를 실행하려면 계정을 EC2 서비스의 위임된 관리자로 등록해야 합니다.
-
보고서를 생성하기 전에 S3 버킷이 있어야 합니다. 새 버킷을 생성하거나 기존 버킷을 사용합니다. 버킷은 요청을 한 리전과 동일한 리전에 있어야 합니다. 버킷에는 적절한 버킷 정책이 있어야 합니다. 샘플 S3 정책은 Amazon EC2 API 참조의 예시에서 샘플 Amazon S3 정책을 참조하세요.
-
Amazon EC2에 대해 신뢰할 수 있는 액세스를 활성화해야 합니다. 이렇게 하면 조직 전체의 계정에 대한 기존 구성의 계정 상태 보고서를 생성하는 읽기 전용 서비스 연결 역할이 생성됩니다.
콘솔 사용
Organizations 콘솔의 경우이 단계는 EC2 정책을 활성화하는 프로세스의 일부입니다.
사용 AWS CLI
의 경우 EnableAWSServiceAccess 작업을 AWS CLI사용합니다.
를 사용하여 특정 서비스에 대해 신뢰할 수 있는 액세스를 활성화하는 방법에 대한 자세한 내용은와 함께 사용할 수 있는 섹션을 AWS CLI참조하세요. AWS 서비스AWS Organizations
-
조직당 한 번에 하나의 보고서만 생성할 수 있습니다. 다른이 진행 중인 동안 보고서를 생성하면 작업이 오류를 반환합니다.
규정 준수 상태 보고서 생성
최소 권한
규정 준수 상태 보고서를 생성하려면 다음 작업을 실행할 수 있는 권한이 필요합니다.
-
ec2:StartDeclarativePoliciesReport -
ec2:DescribeDeclarativePoliciesReports -
ec2:GetDeclarativePoliciesReportSummary -
ec2:CancelDeclarativePoliciesReport -
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:DescribeOrganizationalUnit -
organizations:ListAccounts -
organizations:ListDelegatedAdministrators -
organizations:ListAWSServiceAccessForOrganization -
s3:PutObject
참고
Amazon S3 버킷이 SSE-KMS 암호화를 사용하는 경우 정책에 kms:GenerateDataKey 권한도 포함해야 합니다.