아마존에서의 아마존 S3 보호 GuardDuty - 아마존 GuardDuty
S3 데이터 이벤트 GuardDuty 사용 방법독립형 계정에 대한 S3 보호 구성다중 계정 환경에서 S3 보호 구성

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

아마존에서의 아마존 S3 보호 GuardDuty

S3 보호를 통해 Amazon은 객체 수준 API 작업이 포함된 Amazon Simple Storage Service (Amazon S3) 의 AWS CloudTrail 데이터 이벤트를 GuardDuty 모니터링하여 Amazon S3 버킷 내 데이터에 대한 잠재적 보안 위험을 식별할 수 있습니다.

GuardDuty AWS CloudTrail 관리 이벤트와 AWS CloudTrail S3 데이터 이벤트를 모두 모니터링하여 Amazon S3 리소스의 잠재적 위협을 식별합니다. 두 데이터 소스 모두 다양한 종류의 활동을 모니터링합니다. S3에 대한 CloudTrail 관리 이벤트의 예로는 Amazon S3 버킷을 나열하거나 구성하는 작업 (예:, ListBucketsDeleteBuckets,) 이 있습니다. PutBucketReplication S3에 대한 CloudTrail 데이터 이벤트의 예로는,, GetObjectListObjects, DeleteObject 등의 객체 수준 API 작업이 있습니다. PutObject

GuardDuty Amazon을 활성화하면 CloudTrail 관리 이벤트 모니터링이 GuardDuty 시작됩니다. AWS 계정 S3 데이터 이벤트 로그인을 수동으로 활성화하거나 구성할 필요가 없습니다 AWS CloudTrail. Amazon GuardDuty 내에서 이 기능을 사용할 수 있는 모든 계정의 S3 보호 기능 (S3의 CloudTrail 데이터 이벤트를 모니터링) 을 언제든지 활성화할 수 있습니다. AWS 리전 이미 활성화된 GuardDuty 사용자는 30일 무료 평가 기간을 통해 처음으로 S3 보호를 활성화할 수 있습니다. AWS 계정 GuardDuty 처음으로 AWS 계정 활성화하는 경우 S3 Protection이 이미 활성화되어 있으며 이 30일 무료 평가판에 포함되어 있습니다. 자세한 정보는 비용 추정 GuardDuty 을 참조하세요.

에서 GuardDuty S3 보호를 활성화하는 것이 좋습니다. 이 기능을 활성화하지 않으면 Amazon S3 버킷을 완전히 모니터링할 수 없거나 S3 버킷에 저장된 데이터에 대한 의심스러운 액세스에 대한 결과를 생성할 수 없습니다. GuardDuty

S3 데이터 이벤트 GuardDuty 사용 방법

S3 데이터 이벤트 (S3 Protection) 를 활성화하면 모든 S3 버킷의 S3 데이터 이벤트 분석을 GuardDuty 시작하고 악의적이고 의심스러운 활동이 있는지 모니터링합니다. 자세한 정보는 AWS CloudTrail S3용 데이터 이벤트을 참조하세요.

인증되지 않은 사용자가 S3 객체에 액세스하면 해당 S3 객체에 공개적으로 액세스할 수 있습니다. 따라서 에서는 이러한 요청을 처리하지 GuardDuty 않습니다. GuardDuty 유효한 IAM (AWS Identity and Access Management) 또는 AWS STS (AWS Security Token Service) 자격 증명을 사용하여 S3 객체에 대한 요청을 처리합니다.

S3 데이터 이벤트 모니터링을 기반으로 잠재적 위협을 GuardDuty 탐지하면 보안 탐지 결과를 생성합니다. Amazon S3 버킷에 대해 생성할 GuardDuty 수 있는 검색 결과 유형에 대한 자세한 내용은 을 참조하십시오GuardDuty S3 검색 유형.

S3 보호를 비활성화하면 S3 버킷에 저장된 데이터에 대한 S3 데이터 이벤트 모니터링이 GuardDuty 중지됩니다.

독립형 계정에 대한 S3 보호 구성

에 연결된 계정의 경우 콘솔 설정을 통해 이 프로세스를 자동화할 수 있습니다. AWS Organizations자세한 정보는 다중 계정 환경에서 S3 보호 구성을 참조하세요.

S3 보호 활성화 또는 비활성화

선호하는 액세스 방법을 선택하여 독립형 계정에 대해 S3 보호를 구성합니다.

Console

  1. https://console.aws.amazon.com/guardduty/ 에서 AWS Management Console 로그인하고 GuardDuty 콘솔을 엽니다.

  2. 탐색 창에서 S3 보호를 선택합니다.

  3. S3 보호 페이지는 계정에 대한 S3 보호의 현재 상태를 제공합니다. 활성화 또는 비활성화를 선택하여 언제든지 S3 보호를 활성화 또는 비활성화할 수 있습니다.

  4. 확인을 선택하여 선택 사항을 확인합니다.

API/CLI

  1. 현재 리전의 유효한 탐지기 ID를 사용하고 features 객체 nameS3_DATA_EVENTS로, ENABLED 또는 DISABLED로 설정하여 전달해 updateDetector를 실행하고 S3 보호를 활성화 또는 비활성화합니다.

    참고

    계정 및 현재 지역의 계정을 detectorId 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하십시오.

  2. 또는 를 사용할 수도 있습니다 AWS Command Line Interface. S3 보호를 활성화하려면 다음 명령을 실행하고 유효한 자체 탐지기 ID를 사용해야 합니다.

    aws guardduty update-detector --detector-id 12abc34d567e8fa901bc2d34e56789f0 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'

    S3 보호를 비활성화하려면 예시에서 ENABLEDDISABLED로 바꿉니다.

다중 계정 환경에서 S3 보호 구성

다중 계정 환경에서는 위임된 GuardDuty 관리자 계정만 조직의 구성원 계정에 대해 S3 보호를 구성 (활성화 또는 비활성화) 할 수 있습니다 AWS . GuardDuty 구성원 계정은 자신의 계정에서 이 구성을 수정할 수 없습니다. 위임된 GuardDuty 관리자 계정은 를 사용하여 AWS Organizations구성원 계정을 관리합니다. 위임된 GuardDuty 관리자 계정은 모든 계정에서 S3 Protection을 자동으로 활성화하거나, 새 계정만 활성화하거나, 조직 내 계정은 사용하지 않도록 선택할 수 있습니다. 자세한 정보는 AWS Organizations를 사용하여 계정 관리을 참조하세요.

선호하는 액세스 방법을 선택하여 위임된 GuardDuty 관리자 계정에 대해 S3 보호를 구성하십시오.

Console

  1. https://console.aws.amazon.com/guardduty/ 에서 GuardDuty 콘솔을 엽니다.

    관리 계정 보안 인증 정보를 사용해야 합니다.

  2. 탐색 창에서 S3 보호를 선택합니다.

  3. S3 보호 페이지에서 편집을 선택합니다.

  4. 다음 중 하나를 수행하십시오.

    모든 계정에 대해 활성화 사용

    • 모든 계정에 대해 활성화를 선택합니다. 그러면 조직에 가입한 새 GuardDuty 계정을 포함하여 AWS 조직의 모든 활성 계정에 대한 보호 계획이 활성화됩니다.

    • 저장을 선택합니다.

    수동으로 계정 구성 사용

    • 위임된 GuardDuty 관리자 계정 계정에만 보호 계획을 활성화하려면 계정 수동 구성을 선택합니다.

    • 위임된 GuardDuty 관리자 계정 (이 계정) 섹션에서 활성화를 선택합니다.

    • 저장을 선택합니다.

API/CLI

현재 지역의 위임된 GuardDuty 관리자 계정의 탐지기 ID를 사용하고 features 객체를 name or로 updateDetectorS3_DATA_EVENTS전달하여 실행합니다. status ENABLED DISABLED

또는 를 사용하여 AWS Command Line Interface S3 보호를 구성할 수 있습니다. 다음 명령을 실행하고 12abc34d567e8fa901bc2d34e56789f0을 현재 지역의 위임된 관리자 계정의 탐지기 ID로 바꾸고 555555555555를 위임된 관리자 계정의 ID로 바꾸십시오. GuardDuty AWS 계정 GuardDuty

사용자 계정 및 현재 지역의 계정을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하십시오detectorId.

aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 555555555555 --features '[{"Name": "RDS_LOGIN_EVENTS", "Status": "ENABLED"}]'
Console

  1. https://console.aws.amazon.com/guardduty/ 에서 GuardDuty 콘솔을 엽니다.

    관리자 계정 계정을 사용하여 로그인합니다.

  2. 다음 중 하나를 수행하십시오.

    S3 보호 사용

    1. 탐색 창에서 S3 보호를 선택합니다.

    2. 모든 계정에 대해 활성화를 선택합니다. 이 작업을 통해 조직의 기존 계정과 새 계정 모두에 대해 S3 보호가 자동으로 활성화됩니다.

    3. 저장을 선택합니다.

      참고

      멤버 계정의 구성을 업데이트하는 데 최대 24시간이 걸릴 수 있습니다.

    계정 페이지 사용

    1. 탐색 창에서 Accounts(계정)를 선택합니다.

    2. 계정 페이지에서 초대 기준으로 계정 추가 전에 자동 활성화 기본 설정을 선택합니다.

    3. 자동 활성화 기본 설정 관리 창의 S3 보호에서 모든 계정에 대해 활성화를 선택합니다.

    4. 저장을 선택합니다.

    모든 계정에 대해 활성화 옵션을 사용할 수 없는 경우 멤버 계정에서 S3 보호를 선택적으로 활성화 또는 비활성화 섹션을 참조하세요.

API/CLI

  • 멤버 계정에 대해 S3 보호를 선택적으로 활성화 또는 비활성화하려면 자체 탐지기 ID를 사용하여 updateMemberDetectors API 작업을 간접적으로 호출합니다.

  • 다음 예시에서는 단일 멤버 계정에 S3 보호를 활성화하는 방법을 보여줍니다. 12abc34d567e8fa901bc2d34e56789f0을 위임된 관리자 계정과 11112222333의 계정으로 바꿔야 합니다. detector-id GuardDuty S3 보호를 비활성화하려면 ENABLEDDISABLED로 바꿉니다.

    계정 detectorId 및 현재 지역에 맞는 계정을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하십시오.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
    참고

    공백으로 구분된 계정 ID 목록을 전달할 수도 있습니다.

  • 코드가 성공적으로 실행되면 빈 UnprocessedAccounts 목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.

원하는 액세스 방법을 선택하여 조직의 모든 기존 활성 멤버 계정에 대해 S3 보호를 활성화합니다.

Console

  1. https://console.aws.amazon.com/guardduty/ 에서 AWS Management Console 로그인하고 GuardDuty 콘솔을 엽니다.

    위임된 GuardDuty 관리자 계정 자격 증명을 사용하여 로그인합니다.

  2. 탐색 창에서 S3 보호를 선택합니다.

  3. S3 보호 페이지에서 구성의 현재 상태를 볼 수 있습니다. 활성 멤버 계정 섹션에서 작업을 선택합니다.

  4. 작업 드롭다운 메뉴에서 기존의 모든 활성 멤버 계정에 대해 활성화를 선택합니다.

  5. 확인을 선택합니다.

API/CLI

  • 멤버 계정에 대해 S3 보호를 선택적으로 활성화 또는 비활성화하려면 자체 탐지기 ID를 사용하여 updateMemberDetectors API 작업을 간접적으로 호출합니다.

  • 다음 예시에서는 단일 멤버 계정에 S3 보호를 활성화하는 방법을 보여줍니다. 12abc34d567e8fa901bc2d34e56789f0을 위임된 관리자 계정과 11112222333의 계정으로 바꿔야 합니다. detector-id GuardDuty S3 보호를 비활성화하려면 ENABLEDDISABLED로 바꿉니다.

    계정 detectorId 및 현재 지역에 맞는 계정을 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하십시오.

    aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 111122223333 --features '[{"name": "S3_DATA_EVENTS", "status": "ENABLED"}]'
    참고

    공백으로 구분된 계정 ID 목록을 전달할 수도 있습니다.

  • 코드가 성공적으로 실행되면 빈 UnprocessedAccounts 목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.

원하는 액세스 방법을 선택하여 조직에 가입하는 새 계정에 대해 S3 보호를 활성화합니다.

Console

위임된 GuardDuty 관리자 계정은 콘솔을 통해 S3 보호 또는 계정 페이지를 사용하여 조직의 새 구성원 계정을 활성화할 수 있습니다.

새 멤버 계정에서 S3 보호 자동 활성화

  1. https://console.aws.amazon.com/guardduty/ 에서 GuardDuty 콘솔을 엽니다.

    위임된 GuardDuty 관리자 계정 자격 증명을 사용해야 합니다.

  2. 다음 중 하나를 수행하십시오.

    • S3 보호 페이지 사용:

      1. 탐색 창에서 S3 보호를 선택합니다.

      2. S3 보호 페이지에서 편집을 선택합니다.

      3. 수동으로 계정 구성을 선택합니다.

      4. 새 멤버 계정에 대해 자동으로 활성화를 선택합니다. 이 단계를 통해 새 계정이 조직에 가입할 때마다 해당 계정에 대해 S3 보호가 자동으로 활성화됩니다. 조직이 위임한 GuardDuty 관리자 계정만 이 구성을 수정할 수 있습니다.

      5. 저장을 선택합니다.

    • 계정 페이지 사용:

      1. 탐색 창에서 Accounts(계정)를 선택합니다.

      2. 계정 페이지에서 자동 활성화 기본 설정을 선택합니다.

      3. 자동 활성화 기본 설정 관리 창의 S3 보호에서 새 계정에 대해 활성화를 선택합니다.

      4. 저장을 선택합니다.

API/CLI

  • 멤버 계정에 대해 S3 보호를 선택적으로 활성화 또는 비활성화하려면 자체 탐지기 ID를 사용하여 UpdateOrganizationConfiguration API 작업을 간접적으로 호출합니다.

  • 다음 예시에서는 단일 멤버 계정에 S3 보호를 활성화하는 방법을 보여줍니다. 비활성화하려면 멤버 계정에서 RDS 보호를 선택적으로 활성화 또는 비활성화 섹션을 참조하세요. 조직에 가입한 새 계정(NEW), 모든 계정(ALL)에 대해 리전의 보호 플랜을 자동으로 활성화 또는 비활성화하거나 조직의 어떤 계정도 해당되지 않도록(NONE) 기본 설정을 설정합니다. 자세한 내용은 autoEnableOrganization구성원을 참조하십시오. 기본 설정에 따라 NEWALL 또는 NONE으로 바꿔야 할 수 있습니다.

    계정 및 현재 지역의 계정을 detectorId 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하십시오.

    aws guardduty update-organization-configuration --detector-id 12abc34d567e8fa901bc2d34e56789f0 --auto-enable --features '[{"Name": "S3_DATA_EVENTS", "autoEnable": "NEW"}]'
    참고

    공백으로 구분된 계정 ID 목록을 전달할 수도 있습니다.

  • 코드가 성공적으로 실행되면 빈 UnprocessedAccounts 목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.

원하는 액세스 방법을 선택하여 멤버 계정에 대해 S3 보호를 선택적으로 활성화 또는 비활성화합니다.

Console

  1. https://console.aws.amazon.com/guardduty/ 에서 GuardDuty 콘솔을 엽니다.

    위임된 GuardDuty 관리자 계정 자격 증명을 사용해야 합니다.

  2. 탐색 창에서 Accounts(계정)를 선택합니다.

    계정 페이지의 S3 보호 열에서 멤버 계정 상태를 검토합니다.

  3. 선택적으로 S3 보호 활성화 또는 비활성화

    S3 보호를 구성할 계정을 선택합니다. 한 번에 여러 개의 계정을 선택할 수 있습니다. 보호 계획 편집 드롭다운 메뉴에서 S3Pro를 선택한 다음 적절한 옵션을 선택합니다.

API/CLI

멤버 계정에 대해 S3 보호를 선택적으로 활성화 또는 비활성화하려면 자체 탐지기 ID를 사용하여 updateMemberDetectors API 작업을 실행합니다. 다음 예시에서는 단일 멤버 계정에 S3 보호를 활성화하는 방법을 보여줍니다. 비활성화하려면 truefalse로 바꿉니다.

계정 및 현재 지역의 계정을 detectorId 찾으려면 https://console.aws.amazon.com/guardduty/ 콘솔의 설정 페이지를 참조하십시오.

 aws guardduty update-member-detectors --detector-id 12abc34d567e8fa901bc2d34e56789f0 --account-ids 123456789012 --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "ENABLED"}]'
참고

공백으로 구분된 계정 ID 목록을 전달할 수도 있습니다.

코드가 성공적으로 실행되면 빈 UnprocessedAccounts 목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.

참고

스크립트를 사용하여 새 계정을 온보딩하고 새 계정에서 S3 보호를 비활성화하려는 경우 이 주제에서 설명하는 것과 같이 선택적 dataSources 객체를 사용하여 createDetector API 작업을 수정할 수 있습니다.

중요

기본적으로 S3 보호는 처음으로 AWS 계정 해당 조인에 GuardDuty 대해 자동으로 활성화됩니다.

새 계정을 GuardDuty 처음으로 활성화하는 GuardDuty 관리자 계정이고 S3 Protection이 기본적으로 활성화되지 않도록 하려면 선택적 features 객체를 createDetector사용하여 API 작업을 수정하여 비활성화할 수 있습니다. 다음 예에서는 AWS CLI 를 사용하여 S3 보호가 비활성화된 상태에서 새 GuardDuty 탐지기를 활성화합니다.

 aws guardduty create-detector --enable --features '[{"Name" : "S3_DATA_EVENTS", "Status" : "DISABLED"}]'