멀웨어 방지를 위한 서비스 연결 역할 권한 EC2 - 아마존 GuardDuty
멀웨어 보호를 위한 서비스 연결 역할 생성: EC2멀웨어 방지를 위한 서비스 연결 역할 편집 대상 EC2멀웨어 방지를 위한 서비스 연결 역할 삭제 EC2지원됨 AWS 리전

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

멀웨어 방지를 위한 서비스 연결 역할 권한 EC2

멀웨어 EC2 보호용은 이름이 지정된 서비스 연결 역할 () 을 사용합니다. SLR AWSServiceRoleForAmazonGuardDutyMalwareProtection 이렇게 SLR 하면 멀웨어 보호에서 에이전트 없는 검사를 EC2 수행하여 계정에서 멀웨어를 탐지할 수 있습니다. GuardDuty GuardDuty 이를 통해 계정에서 EBS 볼륨 스냅샷을 생성하고 해당 스냅샷을 서비스 계정과 공유할 수 있습니다. GuardDuty 스냅샷을 GuardDuty 평가한 후에는 검색된 EC2 인스턴스 및 컨테이너 워크로드 메타데이터를 멀웨어 보호에 포함시켜 탐지 결과를 확인합니다. EC2 AWSServiceRoleForAmazonGuardDutyMalwareProtection 서비스 연결 역할은 역할을 수임하기 위해 malware-protection.guardduty.amazonaws.com 서비스를 신뢰합니다.

이 역할에 대한 권한 정책은 멀웨어 보호가 다음 작업을 수행하는 EC2 데 도움이 됩니다.

  • Amazon Elastic Compute Cloud (AmazonEC2) 작업을 사용하여 Amazon EC2 인스턴스, 볼륨 및 스냅샷에 대한 정보를 검색할 수 있습니다. 멀웨어 방지는 Amazon EKS 및 Amazon ECS 클러스터 메타데이터에 액세스할 수 있는 EC2 권한도 제공합니다.

  • GuardDutyExcluded태그가 로 true 설정되지 않은 EBS 볼륨의 스냅샷을 생성합니다. 기본적으로 스냅샷은 GuardDutyScanId 태그로 생성됩니다. 이 태그를 제거하지 마십시오. 그렇지 않으면 Malware Protection에서 스냅샷에 액세스할 수 없게 EC2 됩니다.

    중요

    GuardDutyExcludedtrue 설정하면 GuardDuty 서비스가 향후 이러한 스냅샷에 액세스할 수 없게 됩니다. 이는 이 서비스 연결 역할의 다른 명령문이 GuardDuty 로 설정된 스냅샷에 대해 어떤 작업도 수행하지 못하도록 하기 때문입니다. GuardDutyExcluded true

  • GuardDutyScanId 태그가 존재하고 GuardDutyExcluded 태그가 true로 설정되지 않은 경우에만 스냅샷 공유 및 삭제를 허용합니다.

    참고

    멀웨어 방지 기능이 스냅샷을 EC2 공개하는 것을 허용하지 않습니다.

  • GuardDutyExcluded태그가 로 설정된 키를 제외한 고객 관리 키에 액세스하여 true CreateGrant 호출하여 GuardDuty 서비스 계정과 공유되는 암호화된 스냅샷에서 암호화된 EBS 볼륨을 생성하고 액세스할 수 있습니다. 각 지역의 GuardDuty 서비스 계정 목록은 을 참조하십시오GuardDuty 서비스 계정 기준 AWS 리전.

  • 고객 CloudWatch 로그에 액세스하여 멀웨어 방지 EC2 로그 그룹을 생성하고 멀웨어 스캔 이벤트 로그를 /aws/guardduty/malware-scan-events 로그 그룹 아래에 배치합니다.

  • 고객이 맬웨어가 탐지된 스냅샷을 계정에 보관할지 여부를 결정하도록 허용합니다. 검사 결과 멀웨어가 탐지되면 서비스 연결 역할을 통해 스냅샷에 두 개의 태그 (및) GuardDuty 를 추가할 수 있습니다. GuardDutyFindingDetected GuardDutyExcluded

    참고

    GuardDutyFindingDetected 태그는 스냅샷에 맬웨어가 포함되어 있음을 나타냅니다.

  • 볼륨이 관리 키로 암호화되었는지 확인하십시오. EBS GuardDuty 계정의 EBS -managed 키를 확인하는 DescribeKey 작업을 수행합니다. key Id

  • 에서 AWS 관리형 키, 를 사용하여 암호화된 EBS 볼륨의 스냅샷을 가져와서 에 복사합니다. AWS 계정 GuardDuty 서비스 계정 이를 위해 권한 GetSnapshotBlockListSnapshotBlocks 을 사용합니다. GuardDuty 그런 다음 서비스 계정의 스냅샷을 스캔합니다. 암호화된 EBS 볼륨 스캔을 EC2 지원하는 멀웨어 방지 기능은 현재 일부 버전에서 제공되지 AWS 관리형 키 않을 수 있습니다. AWS 리전자세한 내용은 리전별 기능 가용성 단원을 참조하십시오.

  • Amazon이 멀웨어 보호를 AWS KMS 대신하여 고객 관리 키에 대해 여러 암호화 작업을 EC2 EC2 수행하도록 요청하도록 허용합니다. 고객 관리 키로 암호화된 스냅샷을 공유하려면 kms:ReEncryptTokms:ReEncryptFrom 등의 작업이 필요합니다. GuardDutyExcluded 태그가 true로 설정되지 않은 키에만 액세스할 수 있습니다.

역할은 다음 AWS 관리형 정책AmazonGuardDutyMalwareProtectionServiceRolePolicy를 통해 구성됩니다.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Sid": "DescribeAndListPermissions",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeVolumes",
                "ec2:DescribeSnapshots",
                "ecs:ListClusters",
                "ecs:ListContainerInstances",
                "ecs:ListTasks",
                "ecs:DescribeTasks",
                "eks:DescribeCluster"
            ],
            "Resource": "*"
        },
        {
            "Sid": "CreateSnapshotVolumeConditionalStatement",
            "Effect": "Allow",
            "Action": "ec2:CreateSnapshot",
            "Resource": "arn:aws:ec2:*:*:volume/*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/GuardDutyExcluded": "true"
                }
            }
        },
        {
            "Sid": "CreateSnapshotConditionalStatement",
            "Effect": "Allow",
            "Action": "ec2:CreateSnapshot",
            "Resource": "arn:aws:ec2:*:*:snapshot/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "GuardDutyScanId"
                }
            }
        },
        {
            "Sid": "CreateTagsPermission",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:*/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateSnapshot"
                }
            }
        },
        {
            "Sid": "AddTagsToSnapshotPermission",
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:snapshot/*",
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/GuardDutyScanId": "*"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "GuardDutyExcluded",
                        "GuardDutyFindingDetected"
                    ]
                }
            }
        },
        {
            "Sid": "DeleteAndShareSnapshotPermission",
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteSnapshot",
                "ec2:ModifySnapshotAttribute"
            ],
            "Resource": "arn:aws:ec2:*:*:snapshot/*",
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/GuardDutyScanId": "*"
                },
                "Null": {
                    "aws:ResourceTag/GuardDutyExcluded": "true"
                }
            }
        },
        {
            "Sid": "PreventPublicAccessToSnapshotPermission",
            "Effect": "Deny",
            "Action": [
                "ec2:ModifySnapshotAttribute"
            ],
            "Resource": "arn:aws:ec2:*:*:snapshot/*",
            "Condition": {
                "StringEquals": {
                    "ec2:Add/group": "all"
                }
            }
        },
        {
            "Sid": "CreateGrantPermission",
            "Effect": "Allow",
            "Action": "kms:CreateGrant",
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/GuardDutyExcluded": "true"
                },
                "StringLike": {
                    "kms:EncryptionContext:aws:ebs:id": "snap-*"
                },
                "ForAllValues:StringEquals": {
                    "kms:GrantOperations": [
                        "Decrypt",
                        "CreateGrant",
                        "GenerateDataKeyWithoutPlaintext",
                        "ReEncryptFrom",
                        "ReEncryptTo",
                        "RetireGrant",
                        "DescribeKey"
                    ]
                },
                "Bool": {
                    "kms:GrantIsForAWSResource": "true"
                }
            }
        },
        {
            "Sid": "ShareSnapshotKMSPermission",
            "Effect": "Allow",
            "Action": [
                "kms:ReEncryptTo",
                "kms:ReEncryptFrom"
            ],
            "Resource": "arn:aws:kms:*:*:key/*",
            "Condition": {
                "StringLike": {
                    "kms:ViaService": "ec2.*.amazonaws.com"
                },
                "Null": {
                    "aws:ResourceTag/GuardDutyExcluded": "true"
                }
            }
        },
        {
            "Sid": "DescribeKeyPermission",
            "Effect": "Allow",
            "Action": "kms:DescribeKey",
            "Resource": "arn:aws:kms:*:*:key/*"
        },
        {
            "Sid": "GuardDutyLogGroupPermission",
            "Effect": "Allow",
            "Action": [
                "logs:DescribeLogGroups",
                "logs:CreateLogGroup",
                "logs:PutRetentionPolicy"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*"
        },
        {
            "Sid": "GuardDutyLogStreamPermission",
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogStreams"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/guardduty/*:log-stream:*"
        },
        {
            "Sid": "EBSDirectAPIPermissions",
            "Effect": "Allow",
            "Action": [
                "ebs:GetSnapshotBlock",
                "ebs:ListSnapshotBlocks"
            ],
            "Resource": "arn:aws:ec2:*:*:snapshot/*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/GuardDutyScanId": "*"
                },
                "Null": {
                    "aws:ResourceTag/GuardDutyExcluded": "true"
                }
            }
        }
    ]
}

다음은 AWSServiceRoleForAmazonGuardDutyMalwareProtection 서비스 연결 역할에 연결된 신뢰 정책입니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "malware-protection.guardduty.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

멀웨어 보호를 위한 서비스 연결 역할 생성: EC2

AWSServiceRoleForAmazonGuardDutyMalwareProtection서비스 연결 역할은 맬웨어 보호를 EC2 처음으로 활성화하거나 이전에 사용하도록 설정하지 않은 지원 지역에서 맬웨어 보호를 활성화하면 자동으로 생성됩니다. EC2 IAM콘솔, 또는 를 사용하여 AWSServiceRoleForAmazonGuardDutyMalwareProtection 서비스 연결 역할을 수동으로 만들 수도 있습니다. IAM CLI IAM API

참고

GuardDutyAmazon을 처음 사용하는 경우 기본적으로 멀웨어 EC2 방지가 자동으로 활성화됩니다.

중요

위임된 GuardDuty 관리자 계정에 대해 생성된 서비스 연결 역할은 구성원 계정에는 적용되지 않습니다. GuardDuty

IAM주도자 (예: 사용자, 그룹 또는 역할) 가 서비스 연결 역할을 생성, 편집 또는 삭제할 수 있도록 권한을 구성해야 합니다. AWSServiceRoleForAmazonGuardDutyMalwareProtection서비스 연결 역할을 성공적으로 만들려면 GuardDuty 함께 사용하는 IAM ID에 필요한 권한이 있어야 합니다. 필수 권한을 부여하려면 다음 정책을 이 사용자, 그룹 또는 역할에 연결하십시오.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "guardduty:*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": [
                        "malware-protection.guardduty.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:EnableAWSServiceAccess",
                "organizations:RegisterDelegatedAdministrator",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "iam:GetRole",
            "Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
        }
    ]
}

역할을 수동으로 만드는 방법에 대한 자세한 내용은 사용 설명서의 서비스 연결 역할 만들기를 참조하십시오. IAM

멀웨어 방지를 위한 서비스 연결 역할 편집 대상 EC2

멀웨어 보호를 위한 멀웨어 보호에서는 AWSServiceRoleForAmazonGuardDutyMalwareProtection 서비스 연결 역할을 편집할 수 EC2 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 를 사용하여 역할에 대한 설명을 편집할 수 있습니다. IAM 자세한 내용은 사용 IAM설명서의 서비스 연결 역할 편집을 참조하십시오.

멀웨어 방지를 위한 서비스 연결 역할 삭제 EC2

서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔티티가 없도록 합니다.

중요

를 삭제하려면 먼저 멀웨어 보호가 EC2 활성화된 모든 지역에서 멀웨어 보호를 비활성화해야 합니다. AWSServiceRoleForAmazonGuardDutyMalwareProtection

서비스 연결 역할을 삭제하려고 할 때 맬웨어 보호를 사용하지 않도록 EC2 설정하지 않으면 삭제가 실패합니다. 자세한 내용은 GuardDuty시작된 멀웨어 검사를 활성화 또는 비활성화하려면 단원을 참조하십시오.

EC2서비스에 대한 맬웨어 보호를 중지하기 위해 비활성화를 선택하면 이 (AWSServiceRoleForAmazonGuardDutyMalwareProtection가) 자동으로 삭제되지 않습니다. 그런 다음 사용을 선택하여 멀웨어 방지 EC2 서비스를 다시 시작하면 기존 서비스를 사용하기 시작합니다AWSServiceRoleForAmazonGuardDutyMalwareProtection. GuardDuty

를 사용하여 서비스 연결 역할을 수동으로 삭제하려면 IAM

IAM콘솔 AWS CLI, 또는 를 IAM API 사용하여 AWSServiceRoleForAmazonGuardDutyMalwareProtection 서비스 연결 역할을 삭제합니다. 자세한 내용은 사용 설명서의 서비스 연결 역할 삭제를 참조하십시오. IAM

지원됨 AWS 리전

Amazon은 멀웨어 AWS 리전 방지가 제공되는 모든 지역에서 AWSServiceRoleForAmazonGuardDutyMalwareProtection 서비스 연결 역할을 사용할 수 있도록 GuardDuty EC2 지원합니다.

현재 사용 가능한 GuardDuty 지역 목록은 의 Amazon GuardDuty 엔드포인트 및 할당량을 참조하십시오. Amazon Web Services 일반 참조

참고

멀웨어 EC2 방지는 현재 AWS GovCloud (미국 동부) 및 (미국 서부) 에서 사용할 수 없습니다. AWS GovCloud