

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon GuardDuty 및 AWS Organizations
<a name="services-that-can-integrate-guardduty"></a>

Amazon GuardDuty는 AWS 환경 내에서 예상치 못한 잠재적으로 악의적인 무단 활동을 식별하기 위해 위협 인텔리전스 피드와 기계 학습을 사용하여 다양한 데이터 원본을 분석 및 처리하는 지속적 보안 모니터링 서비스입니다. 여기에는 권한 에스컬레이션, 노출된 자격 증명 사용, 악의적인 IP 주소, URL 또는 도메인과의 통신, Amazon Elastic Compute Cloud 인스턴스 및 컨테이너 워크로드에 존재하는 맬웨어 같은 문제가 포함될 수 있습니다.

Organizations를 사용하여 조직의 모든 계정에서 GuardDuty를 관리하면 GuardDuty 관리를 단순화할 수 있습니다.

자세한 내용은 *Amazon GuardDuty 사용 설명서*의 [AWS Organizations로 GuardDuty 계정 관리](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)를 참조하세요.

다음 정보를 사용하여 Amazon GuardDuty를와 통합할 수 있습니다 AWS Organizations.


## 통합 활성화 시 서비스 연결 역할 생성
<a name="integrate-enable-slr-guardduty"></a>

 신뢰할 수 있는 액세스를 활성화하면 다음 서비스 연결 역할이 조직의 관리 계정에 자동으로 생성됩니다. 이러한역할을 통해 GuardDuty는 조직의 계정 내에서 지원되는 작업을 수행할 수 있습니다. GuardDuty와 Organizations 간의 신뢰할 수 있는 액세스를 비활성화하거나 조직에서 멤버 계정을 제거한 경우에만 역할을 삭제할 수 있습니다.
+ `AWSServiceRoleForAmazonGuardDuty` 서비스 연결 역할은 GuardDuty가 Organizations와 통합된 계정에 자동으로 생성됩니다. 자세한 내용은 *Amazon GuardDuty 사용 설명서*의 [Organizations로 GuardDuty 계정 관리](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)를 참조하세요.
+ `AmazonGuardDutyMalwareProtectionServiceRolePolicy` 서비스 연결 역할은 GuardDuty Malware Protection이 활성화된 계정에 자동으로 생성됩니다. 자세한 내용은 *Amazon GuardDuty 사용 설명서*의 [GuardDuty Malware Protection을 위한 서비스 연결 역할 권한](https://docs.aws.amazon.com/guardduty/latest/ug/slr-permissions-malware-protection.html)을 참조하세요.

## 서비스 연결 역할이 사용하는 서비스 보안 주체
<a name="integrate-enable-svcprin-guardduty"></a>
+ `AWSServiceRoleForAmazonGuardDuty` 서비스 연결 역할에서 사용하는 `guardduty.amazonaws.com`.
+ `malware-protection.guardduty.amazonaws.com` 서비스 연결 역할에서 사용하는 `AmazonGuardDutyMalwareProtectionServiceRolePolicy`.

## GuardDuty와 상호 신뢰할 수 있는 액세스 활성화
<a name="integrate-enable-ta-guardduty"></a>

신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한에 관한 내용은 [신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한](orgs_integrate_services.md#orgs_trusted_access_perms) 단원을 참조하세요.

신뢰할 수 있는 액세스는 Amazon GuardDuty로만 활성화할 수 있습니다.

멤버 계정을 조직의 GuardDuty 관리자로 지정하려면 Amazon GuardDuty에서에 대한 신뢰할 AWS Organizations 수 있는 액세스 권한이 필요합니다. GuardDuty 콘솔을 사용해 위임된 관리자를 구성하는 경우 GuardDuty가 신뢰할 수 있는 액세스를 자동으로 활성화합니다.

그러나 AWS CLI 또는 AWS SDKs 중 하나를 사용하여 위임된 관리자 계정을 구성하려면 [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html) 작업을 명시적으로 호출하고 서비스 보안 주체를 파라미터로 제공해야 합니다. 그러면 [EnableOrganizationAdminAccount](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_EnableOrganizationAdminAccount.html)를 호출해 GuardDuty 관리자 계정을 위임할 수 있습니다.

## GuardDuty와 상호 신뢰할 수 있는 액세스 비활성화
<a name="integrate-disable-ta-guardduty"></a>

신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한에 관한 내용은 [신뢰할 수 있는 액세스를 비활성화하는 데 필요한 권한](orgs_integrate_services.md#orgs_trusted_access_disable_perms) 단원을 참조하세요.

신뢰할 수 있는 액세스는 Organizations 도구로만 비활성화할 수 있습니다.

Organizations AWS CLI 명령을 실행하거나 AWS SDKs.

------
#### [ AWS CLI, AWS API ]

**Organizations CLI/SDK를 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화하려면**  
다음 AWS CLI 명령 또는 API 작업을 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화합니다.
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  다음 명령을 실행하면 Organizations와 상호 신뢰할 수 있는 서비스로 Amazon GuardDuty를 비활성화할 수 있습니다.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal guardduty.amazonaws.com
  ```

  이 명령은 성공 시 출력을 생성하지 않습니다.
+ AWS API: [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## GuardDuty에 대한 위임된 관리자 계정 활성화
<a name="integrate-enable-da-guardduty"></a>

멤버 계정을 조직의 위임된 관리자로 지정하면 해당 계정의 사용자 및 역할이 GuardDuty에 대한 관리 작업을 수행할 수 있습니다. 그렇지 않은 경우 조직의 관리 계정에 속한 사용자 또는 역할만 관리 작업을 수행할 수 있습니다. 이는 GuardDuty 관리와 조직 관리를 분리하는 데 도움을 줍니다.

**최소 권한**  
멤버 계정을 위임된 관리자로 지정하는 데 필요한 권한에 관한 내용은 *Amazon GuardDuty 사용 설명서*의 [위임된 관리자를 지정하는 데 필요한 권한](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organizations_permissions)을 참조하세요.

**멤버 계정을 GuardDuty에 대한 위임된 관리자로 지정하려면**  
[위임된 관리자 지정 및 멤버 계정 추가(콘솔)](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organization_thru_console) 및 [위임된 관리자 지정 및 멤버 계정 추가(API)](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html#organization_thru_api)를 참조하세요.