# AWS Organizations를 사용하여 AWS Security Incident Response 계정 관리
AWS Security Incident Response는 AWS Organizations에 통합됩니다. 조직의 AWS Organizations 관리 계정은 AWS Security Incident Response의 위임 관리자로 계정을 지정할 수 있습니다. 이 작업을 통해 AWS Organizations에서 AWS Security Incident Response를 신뢰할 수 있는 서비스로 사용할 수 있습니다. 이러한 권한이 부여되는 방식에 대한 자세한 내용은 [다른 AWS 서비스와 함께 AWS Organizations 사용](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)을 참조하세요.
다음 섹션에서는 위임된 Security Incident Response 관리자 계정으로 수행할 수 있는 다양한 태스크를 안내합니다.
**Topics**
+ [
# AWS Organizations와 함께 AWS Security Incident Response를 사용할 때 고려 사항 및 권장 사항
](considerations_important.md)
+ [
# AWS Account Management에 대한 신뢰할 수 있는 액세스 활성화
](using-orgs-trusted-access.md)
+ [
# 위임된 Security Incident Response 관리자 계정을 지정하는 데 필요한 권한
](organizations_permissions.md)
+ [
# AWS Security Incident Response를 위한 위임 관리자 지정
](delegated-admin-designate.md)
+ [
# AWS Security Incident Response에 대한 조직 단위(OU)의 멤버십 관리
](managing-membership-with-ou.md)
+ [
# AWS Security Incident Response에 멤버 추가
](add-member-accounts.md)
+ [
# AWS Security Incident Response에서 멤버 제거
](remove-member-account.md)
# AWS Organizations와 함께 AWS Security Incident Response를 사용할 때 고려 사항 및 권장 사항
다음 고려 사항 및 권장 사항은 위임된 Security Incident Response 관리자 계정이 AWS Security Incident Response에서 작동하는 방식을 이해하는 데 도움이 될 수 있습니다.
**AWS Security Incident Response를 위한 위임 관리자 계정.**
멤버 계정 하나를 위임된 Security Incident Response 관리자 계정으로 지정할 수 있습니다. 예를 들어 *유럽(아일랜드)*에서 멤버 계정 *111122223333*을 지정하는 경우 *캐나다(중부)*에서 다른 멤버 계정 *555555555555*을 지정할 수 없습니다. 다른 모든 리전에서는 위임된 Security Incident Response 관리자 계정과 동일한 계정을 사용해야 합니다.
**특정 AWS 리전에서 위임된 Security Incident Response 관리자 계정을 설정합니다.**
초기 설정 중에 하나의 AWS 리전에서 위임된 Security Incident Response 관리자 계정을 지정합니다. 설정은 리전별로 이루어지지만 AWS Security Incident Response는 지원되는 모든 AWS 리전에서 조직 전체 범위를 지원합니다. Amazon GuardDuty 및 AWS Security Hub CSPM의 보안 조사 결과는 지원되는 모든 AWS 리전에서 수집되며, 사례는 구독을 활성화한 리전에서 중앙 집중식으로 관리됩니다. 위임된 Security Incident Response 관리자 계정과 멤버 계정은 AWS Organizations를 통해 추가해야 합니다.
**조직의 관리 계정을 위임된 Security Incident Response 관리자 계정으로 설정하는 것은 권장되지 않습니다.**
조직의 관리 계정은 위임된 Security Incident Response 관리자 계정이 될 수 있습니다. 하지만 AWS 보안 모범 사례는 최소 권한 원칙을 따르므로 이 구성을 권장하지 않습니다.
**라이브 구독에서 위임된 Security Incident Response 관리자 계정을 제거하면 구독이 즉시 취소됩니다.**
위임된 Security Incident Response 관리자 계정을 제거하면 AWS Security Incident Response는 이 위임된 Security Incident Response 관리자 계정과 연결된 모든 멤버 계정을 제거합니다. AWS Security Incident Response는 모든 멤버 계정에 대해 더 이상 활성화되지 않습니다.
# AWS Account Management에 대한 신뢰할 수 있는 액세스 활성화
AWS Security Incident Response에 대한 신뢰할 수 있는 액세스를 활성화하면 관리 계정의 위임 관리자가 AWS Organizations의 각 멤버 계정과 관련된 정보 및 메타데이터(예: 기본 또는 대체 연락처 세부 정보)를 수정할 수 있습니다.
다음 절차에 따라 조직의 AWS Security Incident Response에 대한 신뢰할 수 있는 액세스를 활성화합니다.
**최소 권한**
이 작업을 수행하려면 다음 요구 사항을 충족해야 합니다.
이 작업은 조직의 관리 계정에서만 수행할 수 있습니다.
조직의 [모든 기능을 활성화](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)해야 합니다.
------
#### [ Console ]
**AWS Security Incident Response에 대한 신뢰할 수 있는 액세스를 활성화하려면 다음을 수행하세요.**
1. [AWS Organizations 콘솔](https://console.aws.amazon.com/organizations)에 로그인합니다. 조직의 관리 계정에서 IAM 사용자로 로그인하거나 IAM 역할을 맡거나 루트 사용자로 로그인(권장되지 않음)해야 합니다.
1. 탐색 창에서 **서비스**를 선택합니다.
1. 서비스 목록에서 **AWS Security Incident Response**를 선택합니다.
1. **신뢰할 수 있는 액세스 활성화**를 선택합니다.
1. **AWS Security Incident Response에 대한 신뢰할 수 있는 액세스 활성화** 대화 상자에서 **활성화**를 입력하여 확인한 다음 **신뢰할 수 있는 액세스 활성화**를 선택합니다.
------
#### [ API/CLI ]
**AWS Account Management에 대한 신뢰할 수 있는 액세스를 활성화하려면 다음을 수행하세요.**
다음 명령을 실행한 후 조직의 관리 계정에서 자격 증명을 사용하여 `--accountId` 파라미터로 조직의 멤버 계정을 참조하는 계정 관리 API 작업을 호출할 수 있습니다.
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/organizations/latest/userguide/enable-aws-service-access.html)
다음 예에서는 직접 호출 계정의 조직에서 AWS Security Incident Response에 대한 신뢰할 수 있는 액세스를 활성화합니다.
```
$ aws organizations enable-aws-service-access \
--service-principal security-ir.amazonaws.com
```
성공 시 이 명령은 출력을 생성하지 않습니다.
------
# 위임된 Security Incident Response 관리자 계정을 지정하는 데 필요한 권한
AWS Organizations에 대해 위임 관리자를 사용하여 AWS Security Incident Response 멤버십을 설정하도록 선택할 수 있습니다. 이러한 권한이 부여되는 방식에 대한 자세한 내용은 [다른 AWS 서비스와 함께 AWS Organizations 사용](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)을 참조하세요.
**참고**
AWS Security Incident Response는 설정 및 관리를 위해 콘솔을 사용할 때 AWS Organizations의 신뢰 관계를 자동으로 활성화합니다. CLI/SDK를 사용하는 경우 [EnableAWSServiceAccess API](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)를 사용하여 `security-ir.amazonaws.com`을 신뢰하도록 이를 수동으로 활성화해야 합니다.
AWS Organizations 관리자로서 조직에 대해 위임된 Security Incident Response 관리자 계정을 지정하기 전에 AWS Security Incident Response 작업인 `security-ir:CreateMembership` 및 `security-ir:UpdateMembership`을 수행할 수 있는지 확인하세요. 이러한 작업을 통해 AWS Security Incident Response를 사용하여 조직의 위임된 Security Incident Response 관리자 계정을 지정할 수 있습니다. 또한 조직에 대한 정보를 검색하는 데 도움이 되는 AWS Organizations 작업을 수행할 수 있도록 허용해야 합니다.
이러한 권한을 부여하려면 계정의 AWS Identity and Access Management(IAM) 정책에 다음 내용을 포함하세요.
```
{
"Sid": "PermissionsForSIRAdmin",
"Effect": "Allow",
"Action": [
"security-ir:CreateMembership",
"security-ir:UpdateMembership",
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts"
],
"Resource": "*"
}
```
AWS Organizations 관리 계정을 위임된 Security Incident Response 관리자 계정으로 지정하려면 계정에도 IAM 작업 `CreateServiceLinkedRole`이 필요합니다. 권한 추가를 진행하기 전에 [AWS Organizations와 함께 AWS Security Incident Response를 사용할 때 고려 사항 및 권장 사항](considerations_important.md)을 검토합니다.
AWS Organizations 관리 계정을 위임된 Security Incident Response 관리자 계정으로 지정하려면 IAM 정책에 다음 문을 추가하고 *111122223333*을 AWS Organizations 관리 계정의 AWS 계정 ID로 바꿉니다.
```
{
"Sid": "PermissionsToEnableSecurityIncidentResponse"
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::111122223333:role/aws-service-role/security-ir.amazonaws.com/AWSServiceRoleForSecurityIncidentResponse",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "security-ir.amazonaws.com"
}
}
}
```
# AWS Security Incident Response를 위한 위임 관리자 지정
이 섹션에서는 AWS Security Incident Response 조직에서 위임 관리자를 지정하는 단계를 설명합니다.
AWS 조직의 관리자로서 위임된 Security Incident Response 관리자 계정의 작동 방식에 대해 [사용 고려 사항 및 권장 사항](considerations_important.md)을 읽어야 합니다. 계속하기 전에 [위임된 Security Incident Response 관리자 계정을 지정하는 데 필요한 권한](organizations_permissions.md)가 있는지 확인하세요.
선호하는 액세스 방법을 선택하여 조직에 대한 위임된 Security Incident Response 관리자 계정을 지정하세요. 관리만 이 단계를 수행할 수 있습니다.
------
#### [ Console ]
1. Security Incident Response 콘솔(https://console.aws.amazon.com/security-ir/)을 엽니다.
로그인하려면 AWS Organizations 조직의 관리 자격 증명을 사용합니다.
1. 페이지 오른쪽 상단 모서리에 있는 AWS 리전 선택기를 사용하여 조직의 위임된 Security Incident Response 관리자 계정을 지정하려는 리전을 선택합니다.
1. 설정 마법사를 따라 위임된 관리자 계정을 포함한 멤버십을 생성하세요.
------
#### [ API/CLI ]
+ 조직 관리의 AWS 계정의 자격 증명을 사용하여 CreateMembership을 실행합니다.
+ 또는 AWS Command Line Interface를 사용할 수 있습니다. 다음 AWS CLI 명령은 위임된 Security Incident Response 관리자 계정을 지정합니다. 다음은 멤버십을 구성하는 데 사용할 수 있는 문자열 옵션입니다.
```
{
"customerAccountId": "stringstring",
"membershipName": "stringstring",
"customerType": "Standalone",
"organizationMetadata": {
"organizationId": "string",
"managementAccountId": "stringstring",
"delegatedAdministrators": [
"stringstring"
]
},
"membershipAccountsConfigurations": {
"autoEnableAllAccounts": true,
"organizationalUnits": [
"string"
]
},
"incidentResponseTeam": [
{
"name": "string",
"jobTitle": "stringstring",
"email": "stringstring"
}
],
"internalIdentifier": "string",
"membershipId": "stringstring",
"optInFeatures": [
{
"featureName": "RuleForwarding",
"isEnabled": true
}
]
}
```
위임된 Security Incident Response 관리자 계정에서 AWS Security Incident Response가 활성화되지 않으면 어떤 작업도 할 수 없습니다. 아직 활성화하지 않았다면 새로 지정된 위임된 Security Incident Response 관리자 계정에서 AWS Security Incident Response를 활성화해야 합니다.
------
# AWS Security Incident Response에 대한 조직 단위(OU)의 멤버십 관리
AWS Security Incident Response은(는) 개별 조직 단위(OU)에 대한 멤버십 적용 범위를 지원합니다. 언제든지 특정 OU를 포함하도록 멤버십을 업데이트할 수 있습니다. 하위 OU의 계정을 포함하여 선택한 OU 내의 모든 계정에는 멤버십이 적용됩니다.
멤버십 연결을 업데이트할 때 한 번에 최대 5개의 OU에 업데이트를 적용할 수 있습니다. 5개 이상의 OU를 변경하려면 모든 업데이트가 완료될 때까지 5개 OU의 배치로 연결 변경을 완료합니다.
------
#### [ Console ]
1. Security Incident Response 콘솔(https://console.aws.amazon.com/security-ir/)을 엽니다.
로그인하려면 AWS Organizations 조직의 관리 자격 증명을 사용합니다.
1. **멤버십 관리** > 계정으로 이동합니다.
1. **연결 업데이트**를 클릭합니다.
1. **조직 단위(OU) 선택**을 선택합니다.
1. **OU 추가** 또는 **OU 제거**를 선택합니다.
1. 업데이트하려는 OU를 최대 5개 선택합니다. OU를 동시에 추가하거나 제거할 수 없습니다.
**참고**
선택한 OU 아래 모든 계정과 하위 OU가 연결됩니다.
1. **연결 업데이트**를 클릭합니다.
1.
**참고**
OU를 5개 이상 변경하려면 모든 OU가 연결될 때까지 5단계와 6단계를 반복합니다.
------
AWS 조직 내에서 OU를 변경하는 방법에 대한 자세한 내용은 [AWS Organizations을(를) 사용하여 조직 단위(OU) 관리](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html)를 참조하세요.
# AWS Security Incident Response에 멤버 추가
AWS Organizations와 AWS Security Incident Response 멤버십은 일대일 관계입니다. 조직 또는 조직 단위(OU)에 계정이 추가되거나 제거되면 이러한 변경 내용이 AWS Security Incident Response 멤버십의 적용 대상 계정에 반영됩니다.
멤버십에 계정을 추가하려면 [AWS Organizations로 조직 내 계정 관리](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html) 옵션 중 하나를 따르세요.
언제든지 멤버십에 OU를 추가할 수도 있습니다. [조직 단위(OU)의 멤버십 관리](https://docs.aws.amazon.com/security-ir/latest/userguide/managing-membership-with-ou.html)를 참조하세요.
# AWS Security Incident Response에서 멤버 제거
멤버십에서 계정을 제거하려면 조직에서 멤버 계정을 제거하거나, 선택한 OU 외부로 계정을 이동하거나, 멤버십에서 OU를 제거하면 됩니다.
멤버십에서 계정을 제거하려면 [조직에서 멤버 계정 제거](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_remove.html) 절차를 따르세요.
계정을 OU 외부로 이동하려면 [AWS Organizations을(를) 사용하여 계정을 조직 단위(OU)로 이동 또는 루트와 OU 간에 이동](https://docs.aws.amazon.com/organizations/latest/userguide/move_account_to_ou.html) 절차를 따릅니다.
멤버십에서 OU를 제거하려면 [조직 단위(OU)로 멤버십 관리](https://docs.aws.amazon.com/security-ir/latest/userguide/managing-membership-with-ou.html) 절차를 따릅니다.