엔터티 목록 및 IP 주소 목록에 대한 사전 조건 설정

GuardDuty는 엔터티 목록과 IP 주소 목록을 사용하여 환경에서 AWS 위협 탐지를 사용자 지정합니다. 개체 목록(권장)은 IP 주소와 도메인 이름을 모두 지원하는 반면, IP 주소 목록은 IP 주소만 지원합니다. 이러한 목록을 생성하기 전에 사용하려는 목록 유형에 필요한 권한을 추가해야 합니다.

엔터티 목록의 사전 조건

엔터티 목록을 추가하면 GuardDuty는 S3 버킷에서 신뢰할 수 있는 및 위협 인텔리전스 목록을 읽습니다. 엔터티 목록을 생성하는 데 사용하는 역할에는 S3 버킷에 대한 s3:GetObject 권한이 있어야 합니다.

참고

다중 계정 환경에서는 GuardDuty 관리자 계정만 멤버 계정에 자동으로 적용되는 목록을 관리할 수 있습니다.

S3 버킷 위치에 대한 s3:GetObject 권한이 아직 없는 경우 다음 예제 정책을 사용하고 amzn-s3-demo-bucket을 S3 버킷 위치로 바꿉니다.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::amzn-s3-demo-bucket/[object-key]"
        }
    ]
}

IP 주소 목록의 사전 조건

GuardDuty에서 신뢰할 수 있는 IP 목록 및 위협 목록을 사용하려면 다양한 IAM 자격 증명에 적절한 권한이 있어야 합니다. AmazonGuardDutyFullAccess_v2(권장) 관리형 정책이 연결되어 있는 ID는 업로드된 신뢰할 수 있는 IP 목록과 위협 목록의 이름을 바꾸거나 비활성화하는 것만 가능합니다.

신뢰할 수 있는 IP 목록 및 위협 목록으로 작업할 수 있는 전체 액세스 권한(이름 변경 및 비활성화 외에 추가, 활성화, 삭제, 목록 위치 또는 이름 업데이트까지 포함)을 여러 ID에 부여하려면 IAM 사용자, 그룹, 역할에 연결된 권한 정책에 다음과 같은 작업이 들어 있어야 합니다.

{
    "Effect": "Allow",
    "Action": [
        "iam:PutRolePolicy",
        "iam:DeleteRolePolicy"
    ],
    "Resource": "arn:aws:iam::555555555555:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}

중요

이러한 작업은 AmazonGuardDutyFullAccess 관리형 정책에 들어 있지 않습니다.

엔터티 목록 및 IP 목록에 SSE-KMS 암호화 사용

GuardDuty는 목록에 대해 SSE-AES256 및 SSE-KMS 암호화를 지원합니다. SSE-C는 지원되지 않습니다. S3의 암호화 유형에 대한 자세한 내용은 서버 측 암호화를 사용하여 데이터 보호를 참조하세요.

엔터티 목록 또는 IP 목록을 사용하는지 여부에 관계없이 SSE-KMS를 사용하는 경우 AWS KMS key 정책에 다음 문을 추가합니다. 123456789012을 자신의 계정 ID로 바꿉니다.

{
    "Sid": "AllowGuardDutyServiceRole",
    "Effect": "Allow",
    "Principal": {
    "AWS": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    },
    "Action": "kms:Decrypt*",
    "Resource": "*"
}