자동 보안 에이전트와 공유 VPC 사용 - Amazon GuardDuty
작동 방법사전 조건

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

자동 보안 에이전트와 공유 VPC 사용

보안 에이전트를 자동으로 관리하도록 GuardDuty를 선택하면 런타임 모니터링 AWS 계정 은 동일한 조직에 속한에 대해 공유 VPC 사용을 지원합니다 AWS Organizations. GuardDuty는 사용자를 대신하여 조직의 공유 VPC와 관련된 세부 정보를 기반으로 Amazon VPC 엔드포인트 정책을 설정할 수 있습니다.

작동 방법

공유 VPC의 소유자 계정이 리소스(Amazon EKS 또는 AWS Fargate (Amazon ECS만 해당))에 대해 런타임 모니터링 및 자동 에이전트 구성을 활성화하면 공유 VPCs는 공유 VPC 소유자 계정에서 공유 Amazon VPC 엔드포인트 및 관련 보안 그룹을 자동으로 설치할 수 있습니다. GuardDuty는 공유 Amazon VPC와 연결된 조직 ID를 검색합니다.

이제 공유 Amazon VPC 소유자 계정과 동일한 조직에 AWS 계정 속한 도 동일한 Amazon VPC 엔드포인트를 공유할 수 있습니다. GuardDuty는 공유 VPC 소유자 계정 또는 참여 계정에 필요할 때 Amazon VPC 엔드포인트를 생성합니다. Amazon VPC 엔드포인트가 필요한 예로는 GuardDuty, 런타임 모니터링, EKS 런타임 모니터링 활성화 또는 새로운 Amazon ECS-Fargate 작업 시작 등이 있습니다. 이러한 계정이 모든 리소스 유형에 대해 런타임 모니터링 및 자동 에이전트 구성을 활성화하면 GuardDuty는 Amazon VPC 엔드포인트를 생성하고 공유 VPC 소유자 계정과 동일한 조직 ID로 엔드포인트 정책을 설정합니다. GuardDuty는 GuardDutyManaged 태그를 추가하고 GuardDuty가 생성하는 Amazon VPC 엔드포인트에 대해 true로 설정합니다. 공유 Amazon VPC 소유자 계정에서 리소스에 대한 런타임 모니터링 또는 자동화된 에이전트 구성을 사용하도록 설정하지 않은 경우, GuardDuty는 Amazon VPC 엔드포인트 정책을 설정하지 않습니다. 공유 VPC 소유자 계정에서 런타임 모니터링을 구성하고 보안 에이전트를 자동으로 관리하는 방법에 대한 자세한 내용은 GuardDuty 런타임 모니터링 활성화을 참조하세요.

동일한 Amazon VPC 엔드포인트 정책을 사용하는 각 계정은 연결된 공유 Amazon VPC의 참가자 AWS 계정으로 호출됩니다.

다음 예는 공유 VPC 소유자 계정과 참여자 계정의 기본 VPC 엔드포인트 정책을 보여줍니다. aws:PrincipalOrgID에는 공유 VPC 리소스와 연결된 조직 ID가 표시됩니다. 이 정책의 사용은 소유자 계정의 조직에 있는 참가자 계정으로 제한됩니다.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Action": "*",
            "Resource": "*",
            "Effect": "Allow",
            "Principal": "*"
        },
        {
            "Condition": {
                "StringNotEquals": {
                    "aws:PrincipalOrgID": "o-abcdef0123"
                }
            },
            "Action": "*",
            "Resource": "*",
            "Effect": "Deny",
            "Principal": "*"
        }
    ]
}
더보기간략히 보기

공유 VPC를 사용하기 위한 사전 조건

런타임 모니터링은 GuardDuty 자동 에이전트를 사용할 때 공유 VPC 사용을 지원합니다. 초기 설정의 일부로 공유 VPC의 소유자가 되고자 AWS 계정 하는에서 다음 단계를 수행합니다.

  1. 조직 생성 - AWS Organizations 사용 설명서조직 생성 및 관리 단계에 따라 조직을 생성합니다.

    멤버 계정 추가 또는 제거AWS 계정 에 대한 자세한 내용은 조직에서 관리를 참조하세요.

  2. 공유 VPC 리소스 생성 - 소유자 계정에서 공유 VPC 리소스를 생성할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서다른 계정과 VPC 공유하기를 참조하세요.

GuardDuty 런타임 모니터링 관련 사전 조건

다음 목록은 GuardDuty 에 고유한 사전 조건을 제공합니다.

  • 공유 VPC의 소유자 계정과 참여 계정은 GuardDuty에서 서로 다른 조직에 속해 있을 수 있습니다. 그러나 AWS Organizations에서 동일한 조직에 속해야 합니다. 이는 GuardDuty가 Amazon VPC 엔드포인트와 공유 VPC에 대한 보안 그룹을 만드는 데 필요합니다. 공유 VPC의 작동 방식에 대한 자세한 내용은 Amazon VPC 사용 설명서다른 계정과 VPC 공유하기를 참조하세요.

  • 공유 VPC 소유자 계정 및 참여자 계정의 모든 리소스에 대해 런타임 모니터링 또는 EKS 런타임 모니터링 및 GuardDuty 자동 에이전트 구성을 사용 설정합니다. 자세한 내용은 Runtime Monitoring 활성화 단원을 참조하십시오.

    이러한 구성을 이미 완료했다면 다음 단계를 계속 진행하세요.

  • Amazon EKS 또는 Amazon ECS(AWS Fargate 전용) 작업으로 작업할 때는 소유자 계정과 연결된 공유 VPC 리소스를 선택하고 서브넷을 선택해야 합니다.