AWS Trusted Advisor에서 Organizations 조직 보기를 설정하고 리포트를 생성하는 방법은 무엇인가요?

Short Description

AWS Trusted Advisor의 조직 보기(Organizational View)는 AWS Organizations에 속한 모든 계정의 Trusted Advisor 체크 결과를 관리 계정에서 통합 조회할 수 있는 기능입니다. 이 기능을 활성화하면 비용 최적화, 보안, 성능, 내결함성, 서비스 한도, 운영 우수성 등 6개 카테고리에 걸친 체크 결과를 조직 전체 수준에서 확인하고 리포트로 다운로드할 수 있습니다.

조직 보기는 관리 계정에서만 사용할 수 있으며, 위임된 관리자(Delegated Administrator)는 지원되지 않습니다. 위임된 관리자를 통한 조직 수준 관리가 필요한 경우에는 Trusted Advisor Priority를 사용해야 합니다.

Resolution

사전 조건

• AWS Organizations에서 모든 기능(All features)이 활성화된 조직이 필요합니다.
• 조직의 관리 계정(Management Account)에 AWS Business Support+, Enterprise Support, 또는 Unified Operations 플랜이 적용되어 있어야 합니다.
• 관리 계정의 IAM 사용자 또는 역할에 조직 보기 관련 권한이 필요합니다.

참고: 멤버 계정의 서포트 플랜에 따라 해당 계정에서 사용 가능한 Trusted Advisor 체크 항목이 달라집니다. 예를 들어, Basic Support 플랜의 멤버 계정은 관리 계정과 동일한 체크를 받지 못합니다.

1단계: 조직 보기(Organizational View) 활성화

조직 보기를 활성화하면 Trusted Advisor가 Organizations의 신뢰할 수 있는 서비스(Trusted Service)로 등록되고, 관리 계정에 AWSServiceRoleForTrustedAdvisorReporting 서비스 연결 역할이 자동 생성됩니다.

콘솔에서 활성화

1. 조직의 관리 계정으로 AWS Trusted Advisor 콘솔(https://console.aws.amazon.com/trustedadvisor)에 로그인합니다.
2. 탐색 창에서 Preferences > Your organization을 선택합니다.
3. Enable trusted access with AWS Organizations에서 Enabled를 켭니다.

AWS CLI로 활성화

Organizations에서 Trusted Advisor의 신뢰할 수 있는 액세스를 직접 활성화할 수도 있습니다:

aws organizations enable-aws-service-access \
    --service-principal reporting.trustedadvisor.amazonaws.com

활성화 상태를 확인합니다:

aws organizations list-aws-service-access-for-organization \
    --query 'EnabledServicePrincipals[?ServicePrincipal==`reporting.trustedadvisor.amazonaws.com`]'

2단계: Trusted Advisor 체크 새로고침

리포트를 생성하기 전에 최신 체크 결과를 확보하기 위해 Trusted Advisor 체크를 새로고침하는 것을 권장합니다. Business Support+ 이상의 플랜에서는 매주 자동으로 새로고침됩니다.

콘솔에서 새로고침

1. Trusted Advisor 콘솔에서 Trusted Advisor Recommendations 페이지로 이동합니다.
2. Refresh all checks를 선택합니다.

AWS CLI로 특정 체크 새로고침

aws support refresh-trusted-advisor-check \
    --check-id Qch7DwouX1

참고: Qch7DwouX1은 예시 체크 ID입니다. 실제 체크 ID는 다음 명령으로 확인할 수 있습니다:

aws support describe-trusted-advisor-checks \
    --language ko \
    --query 'checks[*].{id:id,name:name,category:category}' \
    --output table

중요: Developer 또는 Basic Support 플랜의 멤버 계정은 관리 계정에서 체크를 새로고침할 수 없습니다. 해당 계정의 사용자가 직접 Trusted Advisor 콘솔에 로그인하여 새로고침해야 합니다.

3단계: 조직 보기 리포트 생성

콘솔에서 리포트 생성

1. 관리 계정으로 Trusted Advisor 콘솔에 로그인합니다.
2. 탐색 창에서 Organizational View를 선택합니다.
3. Create report를 선택합니다.
4. 리포트 필터를 설정합니다:
   • Name: 리포트 이름 입력
   • Format: JSON 또는 CSV 선택
   • Region: 특정 리전 또는 전체 선택
   • Check category: 체크 카테고리 선택 (예: Security, Cost Optimization)
   • Checks: 특정 체크 항목 선택
   • Resource status: 리소스 상태 필터 (Warning, Error 등)
5. AWS Organizations에서 포함할 조직 단위(OU)를 선택합니다.
6. Create report를 선택합니다.

참고: Check category 필터는 Checks 필터보다 우선합니다. 특정 체크만 포함하려면 Check category를 All로 유지한 채 원하는 체크를 선택하세요.

리포트 구성 파일

생성된 리포트는 .zip 파일로 다운로드되며, 다음 3개의 파일을 포함합니다:

파일명	설명
summary.json	각 체크 카테고리별 결과 요약 (Green/Yellow/Red/Blue 상태 집계)
schema.json	리포트에 포함된 체크의 스키마 정보
resources.json 또는 resources.csv	조직 내 리소스별 상세 체크 상태 정보

참고: 리포트는 최대 50개까지 보관됩니다. 50개를 초과하면 가장 오래된 리포트가 자동 삭제되며, 삭제된 리포트는 복구할 수 없습니다. 리포트 파일이 5 MB 이상인 경우 여러 파일로 분할될 수 있습니다.

4단계: 리포트 다운로드 및 확인

1. Trusted Advisor 콘솔에서 Organizational View를 선택합니다.
2. 다운로드할 리포트를 선택하고 Download report를 선택합니다.
3. .zip 파일의 압축을 해제합니다.

리포트의 상태 색상 코드는 다음과 같습니다:

색상	의미
Green	문제 없음
Yellow	조사 권장
Red	조치 권장
Blue	상태 확인 불가

리포트에 특정 체크가 나타나지 않는 경우 다음 원인을 확인하세요:

• MFA on Root Account 같은 리소스 수준 결과가 없는 체크는 resources 파일이 아닌 summary.json에만 표시됩니다.
• 모든 리소스가 Green 상태인 체크는 resources 파일에 나타나지 않을 수 있습니다.
• 멤버 계정이 체크 결과를 새로고침하지 않은 경우 해당 계정의 결과가 포함되지 않습니다.
• 관리 계정에서만 체크 권장 사항을 활성화한 경우, 다른 계정의 리소스는 리포트에 포함되지 않습니다.

5단계: 조직 보기에 필요한 IAM 권한 설정

조직 보기를 사용하려면 관리 계정의 IAM 사용자 또는 역할에 적절한 권한이 필요합니다.

전체 접근 권한 (리포트 생성 + 조회 + 다운로드)

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:Describe*",
                "trustedadvisor:Refresh*",
                "trustedadvisor:SetOrganizationAccess",
                "trustedadvisor:GenerateReport",
                "trustedadvisor:ListOrganizationReports",
                "trustedadvisor:DescribeOrganization",
                "trustedadvisor:DescribeReports",
                "trustedadvisor:DescribeReport",
                "trustedadvisor:DownloadReport"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListRoots",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": "*"
        }
    ]
}

읽기 전용 접근 권한 (리포트 조회 + 다운로드만)

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "trustedadvisor:Describe*",
                "trustedadvisor:ListOrganizationReports",
                "trustedadvisor:DescribeOrganization",
                "trustedadvisor:DescribeReports",
                "trustedadvisor:DescribeReport",
                "trustedadvisor:DownloadReport"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAWSServiceAccessForOrganization"
            ],
            "Resource": "*"
        }
    ]
}

조직 보기 비활성화

조직 보기를 비활성화하면 Trusted Advisor가 Organizations의 신뢰할 수 있는 서비스에서 제거되고, 기존 리포트를 조회하거나 다운로드할 수 없게 됩니다.

1. 관리 계정으로 Trusted Advisor 콘솔에 로그인합니다.
2. Preferences를 선택합니다.
3. Organizational View에서 Disable organizational view를 선택합니다.

참고: 비활성화 후에도 AWSServiceRoleForTrustedAdvisorReporting 서비스 연결 역할은 관리 계정에 남아 있습니다. 필요한 경우 IAM 콘솔에서 수동으로 삭제할 수 있습니다. 이전에 생성한 리포트에 다시 접근하려면 조직 보기를 다시 활성화해야 합니다.

리포트 활용: Amazon Athena 및 QuickSight 연동

조직 보기 리포트를 Amazon S3에 업로드한 후 Amazon Athena로 SQL 쿼리를 실행하거나, Amazon QuickSight로 대시보드를 구성하여 조직 전체의 Trusted Advisor 결과를 시각화할 수 있습니다. 이러한 고급 분석에는 JSON 형식의 리포트가 적합합니다.

주의사항

• 조직 보기는 관리 계정에서만 활성화하고 사용할 수 있습니다. 멤버 계정이나 위임된 관리자 계정에서는 접근할 수 없습니다.
• 멤버 계정의 서포트 플랜이 Basic 또는 Developer인 경우, 해당 계정의 사용자가 Trusted Advisor 콘솔에 직접 로그인하여 체크를 새로고침해야 리포트에 최신 결과가 반영됩니다.
• 리포트 생성은 한 번에 하나만 가능합니다. 현재 리포트가 6시간 이상 실행 중인 경우에만 새 리포트를 생성할 수 있습니다.
• CloudTrail 로그에서 AWSServiceRoleForTrustedAdvisorReporting(조직 보기용)과 AWSServiceRoleForTrustedAdvisor(일반 Trusted Advisor용) 두 가지 서비스 연결 역할이 나타날 수 있습니다.
• 위임된 관리자를 통한 조직 수준 관리가 필요한 경우에는 Trusted Advisor Priority를 사용하세요.

Related Information

[1] 설명서 > AWS Support > Organizational view for AWS Trusted Advisor

[2] 설명서 > AWS Support > Using IAM policies to allow access to organizational view

[3] AWS Management & Governance Blog > View AWS Trusted Advisor recommendations at scale with AWS Organizations

[4] 설명서 > AWS Support > Using service-linked roles for Trusted Advisor

[5] 설명서 > AWS Support > Using other AWS services to view Trusted Advisor reports