기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon Security Lake 및 AWS Organizations
<a name="services-that-can-integrate-sl"></a>

Amazon Security Lake는 클라우드, 온프레미스 및 사용자 지정 소스의 보안 데이터를 계정에 저장된 데이터 레이크로 중앙 집중화합니다. Organizations와 통합하면 계정 전체에서 로그와 이벤트를 수집하는 데이터 레이크를 생성할 수 있습니다. 자세한 내용은 Amazon Security Lake User Guide**의 [Managing multiple accounts with AWS Organizations](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html)를 참조하세요.

다음 정보를 사용하여 Amazon Security Lake를와 통합할 수 있습니다 AWS Organizations.



## 통합 활성화 시 서비스 연결 역할 생성
<a name="integrate-enable-slr-sl"></a>

[RegisterDataLakeDelegatedAdministrator](https://docs.aws.amazon.com/security-lake/latest/APIReference/API_RegisterDataLakeDelegatedAdministrator.html) API를 호출하면 조직의 관리 계정에 다음 [서비스 연결 역할](https://docs.aws.amazon.com/aws-backup/latest/devguide/manage-cross-account.html#backup-delegatedadmin)이 자동으로 생성됩니다. 이 역할을 통해 Amazon Security Lake는 조직의 계정 내에서 지원되는 작업을 수행할 수 있습니다.

Amazon Security Lake와 Organizations 간의 신뢰할 수 있는 액세스를 비활성화하거나 조직에서 멤버 계정을 제거한 경우에만 이 역할을 삭제하거나 수정할 수 있습니다.
+ `AWSServiceRoleForSecurityLake`

**권장 사항: Security Lake의 RegisterDataLakeDelegatedAdministrator API를 사용하여 Security Lake가 조직에 액세스하도록 허용하고 조직의 위임된 관리자 등록**  
Organizations의 API를 사용하여 위임된 관리자를 등록하는 경우 Organizations에 대한 서비스 연결 역할이 성공적으로 생성되지 않을 수 있습니다. 전체 기능을 보장하려면 Security Lake API를 사용합니다.

## 서비스 연결 역할이 사용하는 서비스 보안 주체
<a name="integrate-enable-svcprin-sl"></a>

앞 부분에서 다룬 서비스 연결 역할은 역할에 대해 정의된 신뢰 관계에 의해 권한이 부여되는 서비스 보안 주체만 맡을 수 있습니다. Amazon Security Lake가 사용하는 서비스 연결 역할은 다음 서비스 위탁자에 대한 액세스 권한을 부여합니다.
+ `securitylake.amazonaws.com`

## Amazon Security Lake를 사용하여 신뢰할 수 있는 액세스 활성화
<a name="integrate-enable-ta-sl"></a>

Security Lake와 상호 신뢰할 수 있는 액세스를 활성화하면 Security Lake가 조직 멤버십의 변경 사항에 자동으로 대응할 수 있습니다. 위임된 관리자는 모든 조직 계정의 지원되는 서비스에서 AWS 로그 수집을 활성화할 수 있습니다. 자세한 내용은 **Amazon Security Lake User Guide의 [Service-linked role for Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/service-linked-roles.html)를 참조하세요.

신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한에 관한 내용은 [신뢰할 수 있는 액세스를 활성화하는 데 필요한 권한](orgs_integrate_services.md#orgs_trusted_access_perms) 단원을 참조하세요.

신뢰할 수 있는 액세스는 Organizations 도구로만 활성화할 수 있습니다.

 AWS Organizations 콘솔을 사용하거나, AWS CLI 명령을 실행하거나, AWS SDKs.

------
#### [ AWS Management Console ]

**Organizations 콘솔을 사용하여 신뢰할 수 있는 서비스 액세스를 활성화하려면**

1. [AWS Organizations 콘솔](https://console.aws.amazon.com/organizations/v2)에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인([권장되지 않음](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))해야 합니다.

1. 탐색 창에서 **서비스**를 선택합니다.

1. 서비스 목록에서 **Amazon Security Lake**를 선택합니다.

1. **신뢰할 수 있는 액세스 활성화**를 선택합니다.

1. **Amazon Security Lake에 대한 신뢰할 수 있는 액세스 활성화** 대화 상자에서 **활성화**를 입력하여 확인한 다음 신뢰할 수 **있는 액세스 활성화**를 선택합니다.

1. 의 관리자인 경우에만 Amazon Security Lake의 관리자에게 서비스 콘솔에서 해당 서비스를 사용할 AWS Organizations 수 있도록 설정할 수 있다고 AWS Organizations알립니다.

------
#### [ AWS CLI, AWS API ]

**Organizations CLI/SDK를 사용하여 신뢰할 수 있는 서비스 액세스를 활성화하려면**  
다음 AWS CLI 명령 또는 API 작업을 사용하여 신뢰할 수 있는 서비스 액세스를 활성화합니다.
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  다음 명령을 실행하면 Organizations와 상호 신뢰할 수 있는 서비스로 Amazon Security Lake를 활성화할 수 있습니다.

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal securitylake.amazonaws.com
  ```

  이 명령은 성공 시 출력을 생성하지 않습니다.
+ AWS API: [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Amazon Security Lake를 사용하여 신뢰할 수 있는 액세스 비활성화
<a name="integrate-disable-ta-sl"></a>

Organizations 관리 계정의 관리자만 Amazon Security Lake를 사용하여 신뢰할 수 있는 액세스를 비활성화할 수 있습니다.

신뢰할 수 있는 액세스는 Organizations 도구로만 비활성화할 수 있습니다.

 AWS Organizations 콘솔을 사용하거나, Organizations AWS CLI 명령을 실행하거나, AWS SDKs.

------
#### [ AWS Management Console ]

**Organizations 콘솔을 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화하려면**

1. [AWS Organizations 콘솔](https://console.aws.amazon.com/organizations/v2)에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인([권장되지 않음](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))해야 합니다.

1. 탐색 창에서 **서비스**를 선택합니다.

1. 서비스 목록에서 **Amazon Security Lake**를 선택합니다.

1. **신뢰할 수 있는 액세스 비활성화**를 선택합니다.

1. **Amazon Security Lake에 대한 신뢰할 수 있는 액세스 비활성화** 대화 상자에서 **비활성화**를 입력하여 확인한 다음 **신뢰할 수 있는 액세스 비활성화**를 선택합니다.

1. 의 관리자인 경우에만 Amazon Security Lake의 관리자에게 서비스 콘솔 또는 도구를 AWS Organizations 사용하여 해당 서비스를 비활성화할 수 있음을 AWS Organizations알립니다.

------
#### [ AWS CLI, AWS API ]

**Organizations CLI/SDK를 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화하려면**  
다음 AWS CLI 명령 또는 API 작업을 사용하여 신뢰할 수 있는 서비스 액세스를 비활성화할 수 있습니다.
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  다음 명령을 실행하면 Organizations와 상호 신뢰할 수 있는 서비스로 Amazon Security Lake를 비활성화할 수 있습니다.

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal securitylake.amazonaws.com
  ```

  이 명령은 성공 시 출력을 생성하지 않습니다.
+ AWS API: [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Amazon Security Lake에 대한 위임된 관리자 계정 활성화
<a name="integrate-enable-da-sl"></a>

Amazon Security Lake의 위임된 관리자는 조직의 다른 계정을 멤버 계정으로 추가합니다. 위임된 관리자는 Amazon Security Lake를 활성화하고 멤버 계정에 대한 Amazon Security Lake 설정을 구성할 수 있습니다. 위임된 관리자는 Amazon Security Lake가 활성화된 모든 AWS 리전(현재 사용 중인 리전 엔드포인트에 관계없이)의 조직 전체에서 로그를 수집할 수 있습니다.

위임된 관리자가 조직의 새 계정을 멤버로 자동 추가하도록 설정할 수도 있습니다. Amazon Security Lake의 위임된 관리자는 연결된 멤버 계정의 로그 및 이벤트에 액세스할 수 있습니다. 따라서 연결된 멤버 계정이 소유한 데이터를 수집하도록 Amazon Security Lake를 설정할 수 있습니다. 연결된 멤버 계정이 소유한 데이터를 사용할 수 있는 권한을 구독자에게 부여할 수도 있습니다.

자세한 내용은 Amazon Security Lake User Guide**의 [Managing multiple accounts with AWS Organizations](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html)를 참조하세요.

**최소 권한**  
Organizations 관리 계정의 관리자만 멤버 계정을 조직의 Amazon Security Lake에 대해 위임된 관리자로 구성할 수 있습니다.

Amazon Security Lake 콘솔, Amazon Security Lake `CreateDatalakeDelegatedAdmin` API 작업 또는 `create-datalake-delegated-admin` CLI 명령을 사용하여 위임된 관리자 계정을 지정할 수 있습니다. Organizations `RegisterDelegatedAdministrator` CLI 또는 SDK 작업을 사용할 수도 있습니다. Amazon Security Lake에 대해 위임된 관리자 계정을 활성화하는 방법은 *Amazon Security Lake 사용 설명서*의 [위임된 Security Lake 관리자 지정 및 멤버 계정 추가](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html#designated-admin)를 참조하세요.

------
#### [ AWS CLI, AWS API ]

CLI 또는 AWS SDKs 중 하나를 사용하여 AWS 위임된 관리자 계정을 구성하려면 다음 명령을 사용할 수 있습니다.
+ AWS CLI: 

  ```
  $  aws organizations register-delegated-administrator \
      --account-id 123456789012 \ --service-principal securitylake.amazonaws.com
  ```
+ AWS SDK: Organizations `RegisterDelegatedAdministrator` 작업과 멤버 계정의 ID 번호를 호출하고 계정 서비스 보안 주체를 파라미터`account.amazonaws.com`로 식별합니다.

------

## Amazon Security Lake에 대해 위임된 관리자 비활성화
<a name="integrate-disable-da-sl"></a>

Organizations 관리 계정 또는 Amazon Security Lake 위임된 관리자 계정의 관리자만 조직에서 위임된 관리자 계정을 제거할 수 있습니다.

Amazon Security Lake `DeregisterDataLakeDelegatedAdministrator` API 작업, `deregister-data-lake-delegated-administrator` CLI 명령, Organizations `DeregisterDelegatedAdministrator` CLI 또는 SDK 작업을 사용하여 위임된 관리자를 제거할 수 있습니다. Amazon Security Lake를 사용하여 위임된 관리자를 제거하려면 *Amazon Security Lake 사용 설명서*의 [Security Lake 위임된 관리자 제거](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html#remove-delegated-admin)를 참조하세요.