기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# EC2 정책에 대한 계정 상태 보고서 생성
<a name="orgs_manage_policies_ec2_status-report"></a>

*계정 상태 보고서를* 사용하면 범위 내 계정에 대해 EC2 정책에서 지원하는 모든 속성의 현재 상태를 검토할 수 있습니다. 보고서 범위에 포함할 계정 및 조직 단위(OU)를 선택하거나 루트를 선택하여 전체 조직을 선택할 수 있습니다.

이 보고서는 리전 분석을 제공하고 속성의 현재 상태가 *계정 전반에 걸쳐 균일한지*(`numberOfMatchedAccounts`을 통해) 또는 *불일치하는지*(`numberOfUnmatchedAccounts`을 통해)를 확인함으로써 준비 상태를 평가하는 데 도움을 줍니다. 또한 *가장 빈번한 값*을 확인할 수 있는데, 이는 해당 속성에 대해 가장 자주 관찰되는 구성 값입니다.

기준 구성을 적용하기 위해 EC2 정책을 연결할지 여부는 특정 사용 사례에 따라 다릅니다.

자세한 내용과 설명 예시는 [EC2 정책에 대한 계정 상태 보고서](orgs_manage_policies_ec2.md#orgs_manage_policies_ec2-account-status-report) 단원을 참조하세요.

## 사전 조건
<a name="orgs_manage_policies_ec2_accessing-status-report-prerequisites"></a>

계정 상태 보고서를 생성하려면 먼저 다음 단계를 완료합니다.

1. `StartDeclarativePoliciesReport` 작업은 조직의 관리 계정 또는 위임된 관리자만 호출할 수 있습니다.

1. 위임된 관리자 계정에서 보고서를 실행하려면 계정을 EC2 서비스의 위임된 관리자로 등록해야 합니다.

1. 보고서를 생성하기 전에 S3 버킷이 있어야 합니다. 새 버킷을 생성하거나 기존 버킷을 사용합니다. 버킷은 요청을 한 리전과 동일한 리전에 있어야 합니다. 버킷에는 적절한 버킷 정책이 있어야 합니다. 샘플 S3 정책은 *Amazon EC2 API 참조*의 [예시](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartDeclarativePoliciesReport.html#API_StartDeclarativePoliciesReport_Examples)에서 *샘플 Amazon S3 정책*을 참조하세요.

1. Amazon EC2에 대해 신뢰할 수 있는 액세스를 활성화해야 합니다. 이렇게 하면 조직 전체의 계정에 대한 기존 구성의 계정 상태 보고서를 생성하는 읽기 전용 서비스 연결 역할이 생성됩니다.

   **콘솔 사용**

   Organizations 콘솔의 경우이 단계는 EC2 정책을 활성화하는 프로세스의 일부입니다.

   **사용 AWS CLI**

   의 경우 [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) 작업을 AWS CLI사용합니다.

   를 사용하여 특정 서비스에 대해 신뢰할 수 있는 액세스를 활성화하는 방법에 대한 자세한 내용은와 함께 사용할 수 있는 섹션을 AWS CLI참조하세요. [AWS 서비스AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html) 

1. 조직당 한 번에 하나의 보고서만 생성할 수 있습니다. 다른이 진행 중인 동안 보고서를 생성하면 작업이 오류를 반환합니다.

## 규정 준수 상태 보고서 생성
<a name="orgs_manage_policies_ec2_accessing-status-report"></a>

**최소 권한**  
규정 준수 상태 보고서를 생성하려면 다음 작업을 실행할 수 있는 권한이 필요합니다.  
`ec2:StartDeclarativePoliciesReport`
`ec2:DescribeDeclarativePoliciesReports`
`ec2:GetDeclarativePoliciesReportSummary`
`ec2:CancelDeclarativePoliciesReport`
`organizations:DescribeAccount`
`organizations:DescribeOrganization`
`organizations:DescribeOrganizationalUnit`
`organizations:ListAccounts`
`organizations:ListDelegatedAdministrators`
`organizations:ListAWSServiceAccessForOrganization`
`s3:PutObject`

**참고**  
Amazon S3 버킷이 SSE-KMS 암호화를 사용하는 경우 정책에 `kms:GenerateDataKey` 권한도 포함해야 합니다.

------
#### [ AWS Management Console ]

다음 절차에 따라 계정 상태 보고서를 생성합니다.

**계정 상태 보고서를 생성하려면**

1. [AWS Organizations 콘솔](https://console.aws.amazon.com/organizations/v2)에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인([권장되지 않음](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))해야 합니다.

1. **정책** 페이지에서 **EC2 정책을** 선택합니다.

1. **EC2 정책** 페이지의 **작업** 드롭다운 메뉴에서 **계정 상태 보고서 보기를** 선택합니다.

1. **계정 상태 보고서 보기** 페이지에서 **상태 보고서 생성**을 선택합니다.

1. **조직 구조** 위젯에서 보고서에 포함할 조직 단위(OU)를 지정합니다.

1. **제출**을 선택합니다.

------
#### [ AWS CLI & AWS SDKs ]

**계정 상태 보고서를 생성하려면**

다음 작업을 사용하여 규정 준수 상태 보고서를 생성하고, 상태를 확인하며, 보고서를 볼 수 있습니다.
+ `ec2:start-declarative-policies-report`: 계정 상태 보고서를 생성합니다. 보고서는 비동기적으로 생성되며 완료되는 데 몇 시간이 걸릴 수 있습니다. 자세한 내용을 알아보려면 *Amazon EC2 API 참조*의 [StartDeclarativePoliciesReport](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_StartDeclarativePoliciesReport.html)를 참조하세요.
+ `ec2:describe-declarative-policies-report`: 보고서 상태를 포함하여 계정 상태 보고서의 메타데이터를 설명합니다. 자세한 내용은 *Amazon EC2 API 참조*의 [DescribeDeclarativePoliciesReports](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeDeclarativePoliciesReports.html)를 참조하세요.
+ `ec2:get-declarative-policies-report-summary`: 계정 상태 보고서의 요약을 검색합니다. 자세한 내용을 알아보려면 *Amazon EC2 API 참조*의 [GetDeclarativePoliciesReportSummary](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_GetDeclarativePoliciesReportSummary.html)를 참조하세요.
+ `ec2:cancel-declarative-policies-report`: 계정 상태 보고서 생성을 취소합니다. 자세한 내용을 알아보려면 *Amazon EC2 API 참조*의 [CancelDeclarativePoliciesReport](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CancelDeclarativePoliciesReport.html)를 참조하세요.

보고서를 생성하기 전에 EC2 정책 보안 주체에게 보고서가 저장될 Amazon S3 버킷에 대한 액세스 권한을 부여합니다. 이렇게 하려면 다음 정책을 해당 버킷에 연결하세요. `amzn-s3-demo-bucket`를 실제 Amazon S3 버킷 이름으로 바꾸고를 `StartDeclarativePoliciesReport` 작업을 호출하는 데 사용되는 IAM 자격 증명`identity_ARN`으로 바꿉니다.

다음 JSON 정책은 버킷에 보고서를 전송할 수 있는 액세스 권한을 부여합니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "DeclarativePoliciesReportDelivery",
            "Effect": "Allow",
            "Principal": {
                "AWS": "{{identity_ARN}}"
            },
            "Action": [
                "s3:PutObject"
            ],
            "Resource": "arn:aws:s3:::{{amzn-s3-demo-bucket}}/*",
            "Condition": {
                "StringEquals": {
                    "aws:CalledViaLast": "organizations.amazonaws.com"
                }
            }
        }
    ]
}
```

------

------