View a markdown version of this page

EC2 정책에 대한 계정 상태 보고서 생성 - AWS Organizations

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

EC2 정책에 대한 계정 상태 보고서 생성

계정 상태 보고서를 사용하면 범위 내 계정에 대해 EC2 정책에서 지원하는 모든 속성의 현재 상태를 검토할 수 있습니다. 보고서 범위에 포함할 계정 및 조직 단위(OU)를 선택하거나 루트를 선택하여 전체 조직을 선택할 수 있습니다.

이 보고서는 리전 분석을 제공하고 속성의 현재 상태가 계정 전반에 걸쳐 균일한지(numberOfMatchedAccounts을 통해) 또는 불일치하는지(numberOfUnmatchedAccounts을 통해)를 확인함으로써 준비 상태를 평가하는 데 도움을 줍니다. 또한 가장 빈번한 값을 확인할 수 있는데, 이는 해당 속성에 대해 가장 자주 관찰되는 구성 값입니다.

기준 구성을 적용하기 위해 EC2 정책을 연결할지 여부는 특정 사용 사례에 따라 다릅니다.

자세한 내용과 설명 예시는 EC2 정책에 대한 계정 상태 보고서 단원을 참조하세요.

사전 조건

계정 상태 보고서를 생성하려면 먼저 다음 단계를 완료합니다.

  1. StartDeclarativePoliciesReport 작업은 조직의 관리 계정 또는 위임된 관리자만 호출할 수 있습니다.

  2. 위임된 관리자 계정에서 보고서를 실행하려면 계정을 EC2 서비스의 위임된 관리자로 등록해야 합니다.

  3. 보고서를 생성하기 전에 S3 버킷이 있어야 합니다. 새 버킷을 생성하거나 기존 버킷을 사용합니다. 버킷은 요청을 한 리전과 동일한 리전에 있어야 합니다. 버킷에는 적절한 버킷 정책이 있어야 합니다. 샘플 S3 정책은 Amazon EC2 API 참조예시에서 샘플 Amazon S3 정책을 참조하세요.

  4. Amazon EC2에 대해 신뢰할 수 있는 액세스를 활성화해야 합니다. 이렇게 하면 조직 전체의 계정에 대한 기존 구성의 계정 상태 보고서를 생성하는 읽기 전용 서비스 연결 역할이 생성됩니다.

    콘솔 사용

    Organizations 콘솔의 경우이 단계는 EC2 정책을 활성화하는 프로세스의 일부입니다.

    사용 AWS CLI

    의 경우 EnableAWSServiceAccess 작업을 AWS CLI사용합니다.

    를 사용하여 특정 서비스에 대해 신뢰할 수 있는 액세스를 활성화하는 방법에 대한 자세한 내용은와 함께 사용할 수 있는 섹션을 AWS CLI참조하세요. AWS 서비스AWS Organizations

  5. 조직당 한 번에 하나의 보고서만 생성할 수 있습니다. 다른이 진행 중인 동안 보고서를 생성하면 작업이 오류를 반환합니다.

규정 준수 상태 보고서 생성

최소 권한

규정 준수 상태 보고서를 생성하려면 다음 작업을 실행할 수 있는 권한이 필요합니다.

  • ec2:StartDeclarativePoliciesReport

  • ec2:DescribeDeclarativePoliciesReports

  • ec2:GetDeclarativePoliciesReportSummary

  • ec2:CancelDeclarativePoliciesReport

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:ListAccounts

  • organizations:ListDelegatedAdministrators

  • organizations:ListAWSServiceAccessForOrganization

  • s3:PutObject

참고

Amazon S3 버킷이 SSE-KMS 암호화를 사용하는 경우 정책에 kms:GenerateDataKey 권한도 포함해야 합니다.

AWS Management Console

다음 절차에 따라 계정 상태 보고서를 생성합니다.

계정 상태 보고서를 생성하려면
  1. AWS Organizations 콘솔에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.

  2. 정책 페이지에서 EC2 정책을 선택합니다.

  3. EC2 정책 페이지의 작업 드롭다운 메뉴에서 계정 상태 보고서 보기를 선택합니다.

  4. 계정 상태 보고서 보기 페이지에서 상태 보고서 생성을 선택합니다.

  5. 조직 구조 위젯에서 보고서에 포함할 조직 단위(OU)를 지정합니다.

  6. 제출을 선택합니다.

AWS CLI & AWS SDKs

계정 상태 보고서를 생성하려면

다음 작업을 사용하여 규정 준수 상태 보고서를 생성하고, 상태를 확인하며, 보고서를 볼 수 있습니다.

  • ec2:start-declarative-policies-report: 계정 상태 보고서를 생성합니다. 보고서는 비동기적으로 생성되며 완료되는 데 몇 시간이 걸릴 수 있습니다. 자세한 내용을 알아보려면 Amazon EC2 API 참조StartDeclarativePoliciesReport를 참조하세요.

  • ec2:describe-declarative-policies-report: 보고서 상태를 포함하여 계정 상태 보고서의 메타데이터를 설명합니다. 자세한 내용은 Amazon EC2 API 참조DescribeDeclarativePoliciesReports를 참조하세요.

  • ec2:get-declarative-policies-report-summary: 계정 상태 보고서의 요약을 검색합니다. 자세한 내용을 알아보려면 Amazon EC2 API 참조GetDeclarativePoliciesReportSummary를 참조하세요.

  • ec2:cancel-declarative-policies-report: 계정 상태 보고서 생성을 취소합니다. 자세한 내용을 알아보려면 Amazon EC2 API 참조CancelDeclarativePoliciesReport를 참조하세요.

보고서를 생성하기 전에 EC2 정책 보안 주체에게 보고서가 저장될 Amazon S3 버킷에 대한 액세스 권한을 부여합니다. 이렇게 하려면 다음 정책을 해당 버킷에 연결하세요. amzn-s3-demo-bucket를 실제 Amazon S3 버킷 이름으로 바꾸고를 StartDeclarativePoliciesReport 작업을 호출하는 데 사용되는 IAM 자격 증명identity_ARN으로 바꿉니다.

다음 JSON 정책은 버킷에 보고서를 전송할 수 있는 액세스 권한을 부여합니다.

JSON
JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid": "DeclarativePoliciesReportDelivery", "Effect": "Allow", "Principal": { "AWS": "identity_ARN" }, "Action": [ "s3:PutObject" ], "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*", "Condition": { "StringEquals": { "aws:CalledViaLast": "organizations.amazonaws.com" } } } ] }