잠재적으로 손상된 S3 버킷 수정 - 아마존 GuardDuty
특정 S3 버킷 액세스 요구 사항에 기반한 권장 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

잠재적으로 손상된 S3 버킷 수정

다음 권장 단계에 따라 사용자 환경에서 잠재적으로 손상된 Amazon S3 버킷을 수정하십시오. AWS

  1. 잠재적으로 손상된 S3 리소스를 식별하십시오.

    S3에 대한 GuardDuty 검색 결과에는 관련 S3 버킷, Amazon 리소스 이름 (ARN) 및 해당 소유자가 검색 결과 세부 정보에 나열됩니다.

  2. 의심스러운 활동과 사용된 API 직접 호출의 소스를 식별합니다.

    사용된 API 호출은 결과 세부 정보에 API로 나열됩니다. 소스는 IAM 보안 주체(IAM 역할, 사용자 또는 계정)이며 식별 세부 정보는 결과에 나열됩니다. 소스 유형에 따라 원격 IP 주소 또는 소스 도메인 정보가 제공되며 소스가 승인되었는지 여부를 평가하는 데 도움이 될 수 있습니다. 검색 결과에 Amazon EC2 인스턴스의 자격 증명이 포함된 경우 해당 리소스에 대한 세부 정보도 포함됩니다.

  3. 직접 호출 소스가 식별된 리소스에 액세스할 권한이 있는지 확인합니다.

    예를 들어 다음을 고려합니다.

    • IAM 사용자가 관여했다면 자격 증명이 잠재적으로 손상되었을 가능성이 있습니까? 자세한 정보는 잠재적으로 손상되었을 수 있는 자격 증명 수정 AWS을 참조하세요.

    • 이전에 이러한 유형의 API를 간접적으로 호출한 기록이 없는 보안 주체가 API를 간접적으로 호출한 경우 이 소스에 이 작업에 대한 액세스 권한이 필요합니까? 버킷 권한이 추가로 제한될 수 있나요?

    • 사용자 유형AWSAccount사용자 이름 ANONYMOUS_PRINCIPAL의 액세스가 확인된 경우 이는 버킷이 퍼블릭 상태이고 액세스되었음을 나타냅니다. 이 버킷이 퍼블릭 상태여야 하나요? 그렇지 않은 경우 아래 보안 권장 사항에서 S3 리소스 공유를 위한 대체 솔루션을 검토하세요.

    • 사용자 유형AWSAccount사용자 이름 ANONYMOUS_PRINCIPAL로부터의 성공적인 PreflightRequest 직접 호출을 통해 액세스가 이루어졌다면 이는 버킷에 교차 오리진 리소스 공유(CORS) 정책이 설정되어 있음을 나타냅니다. 이 버킷에 CORS 정책이 있어야 합니까? 그렇지 않은 경우 버킷이 실수로 인해 퍼블릭 상태가 되지 않도록 하고 아래 보안 권장 사항에서 S3 리소스 공유를 위한 대체 솔루션을 검토하세요. CORS에 대한 자세한 내용은 S3 사용 설명서의 교차 오리진 리소스 공유(CORS) 사용을 참조하세요.

  4. S3 버킷에 민감한 데이터가 포함되어 있는지 확인합니다.

    Amazon Macie를 사용하여 S3 버킷에 개인 식별 정보(PII), 금융 데이터 또는 보안 인증 정보와 같은 민감한 데이터가 포함되어 있는지 확인합니다. Macie 계정에서 민감한 데이터 자동 검색이 활성화된 경우 S3 버킷의 세부 정보를 검토하여 S3 버킷의 콘텐츠에 관한 내용을 자세히 살펴보세요. Macie 계정에서 이 기능이 비활성화된 경우 평가를 신속하게 진행하기 위해 이 기능을 켜는 것이 좋습니다. 아니면 민감한 데이터 검색 작업을 생성하고 실행하여 S3 버킷의 객체에서 민감한 데이터를 검사할 수 있습니다. 자세한 내용은 Discovering sensitive data with Macie를 참조하세요.

액세스가 승인되었다면 결과를 무시할 수 있습니다. https://console.aws.amazon.com/guardduty/ 콘솔에서 더 이상 표시되지 않도록 개별 결과를 완전히 차단하는 규칙을 설정할 수 있습니다. 자세한 정보는 억제 규칙을 참조하세요.

S3 데이터가 무단으로 노출되거나 액세스된 것으로 확인되면 다음 S3 보안 권장 사항을 검토하여 권한을 강화하고 액세스를 제한하십시오. 적절한 해결 솔루션은 특정 환경의 요구 사항에 따라 달라집니다.

특정 S3 버킷 액세스 요구 사항에 기반한 권장 사항

다음 목록은 특정 Amazon S3 버킷 액세스 요구 사항에 따른 권장 사항을 제공합니다.

  • S3 데이터 사용에 대한 퍼블릭 액세스를 제한하는 중앙 집중식 방법을 위해 S3는 퍼블릭 액세스를 차단합니다. 액세스 세분성을 제어하는 4가지 설정을 통해 액세스 포인트, 버킷 및 AWS 계정에 대한 퍼블릭 액세스 차단 설정을 활성화할 수 있습니다. 자세한 내용은 S3 퍼블릭 액세스 차단 설정을 참조하세요.

  • AWS 액세스 정책을 사용하여 IAM 사용자가 리소스에 액세스하는 방법이나 버킷에 액세스하는 방법을 제어할 수 있습니다. 자세한 내용은 버킷 정책 및 사용자 정책 사용을 참조하세요.

    또한 S3 버킷 정책에 Virtual Private Cloud(VPC) 엔드포인트를 사용하여 특정 VPC 엔드포인트에 대한 액세스를 제한할 수 있습니다. 자세한 내용은 Amazon S3의 VPC 엔드포인트에 대한 버킷 정책 예시를 참조하세요.

  • 계정 외부의 신뢰할 수 있는 엔터티에 대한 S3 객체 액세스를 일시적으로 허용하려면 S3를 통해 미리 서명된 URL을 생성하면 됩니다. 이 액세스는 계정 보안 인증 정보를 사용하여 생성되고 사용되는 보안 인증 정보에 따라 6시간에서 7일까지 지속될 수 있습니다. 자세한 내용은 S3를 사용하여 미리 서명된 URL 생성을 참조하세요.

  • 서로 다른 소스 간에 S3 객체를 공유해야 하는 사용 사례의 경우 S3 액세스 포인트를 사용하여 프라이빗 네트워크 내에 있는 사용자에게만 액세스를 제한하는 권한 세트를 생성할 수 있습니다. 자세한 내용은 Amazon S3 액세스 포인트를 사용한 데이터 액세스 관리를 참조하세요.

  • 액세스 제어 목록 (ACL) 을 사용하여 S3 리소스에 대한 액세스 권한을 다른 AWS 계정에 안전하게 부여할 수 있습니다. 자세한 내용은 ACL을 통한 S3 액세스 관리를 참조하십시오.

S3 보안 옵션에 대한 자세한 내용은 S3 보안 모범 사례를 참조하십시오.