기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
GuardDuty에 대한 서비스 연결 역할 권한
GuardDuty에서는 이름이 AWSServiceRoleForAmazonGuardDuty인 서비스 연결 역할을 사용합니다. SLR을 사용하면 GuardDuty에서 다음 작업을 수행할 수 있습니다. 또한 이를 통해 GuardDuty는 EC2 인스턴스에 속하는 검색된 메타데이터를 GuardDuty가 잠재적 위협에 관하여 생성할 수 있는 결과에 포함시킬 수 있습니다. AWSServiceRoleForAmazonGuardDuty 서비스 연결 역할은 역할을 수임하기 위해 guardduty.amazonaws.com 서비스를 신뢰합니다.
권한 정책은 GuardDuty가 다음 작업을 수행하는 데 도움이 됩니다:
-
Amazon EC2 작업을 사용하여 EC2 인스턴스, 이미지 및 VPC, 서브넷, 트랜짓 게이트웨이와 같은 네트워킹 구성 요소에 대한 정보를 관리하고 검색할 수 있습니다.
-
Amazon EC2용 자동 에이전트를 사용하여 GuardDuty 런타임 모니터링을 활성화할 때 AWS Systems Manager 작업을 사용하여 Amazon EC2 인스턴스의 SSM 연결을 관리합니다. GuardDuty 자동 에이전트 구성이 비활성화되면 GuardDuty는 포함 태그(
GuardDutyManaged:true)가 있는 EC2 인스턴스만 고려합니다. -
AWS Organizations 작업을 사용하여 연결된 계정 및 조직 ID를 설명합니다.
-
Amazon S3 작업을 사용하여 S3 버킷 및 객체에 관한 정보를 검색합니다.
-
AWS Lambda 작업을 사용하여 Lambda 함수 및 태그에 관한 정보를 검색합니다.
-
Amazon EKS 작업을 사용하여 EKS 클러스터에 대한 정보를 관리 및 검색하고, EKS 클러스터의 Amazon EKS 추가 기능을 관리합니다. 또한 EKS 작업은 GuardDuty와 연결된 태그에 대한 정보를 검색합니다.
-
IAM을 사용하여 EC2용 맬웨어 보호가 활성화된 후 EC2용 맬웨어 보호에 대한 서비스 연결 역할 권한을 생성합니다.
-
Amazon ECS 작업을 사용하여 Amazon ECS 클러스터에 대한 정보를 관리 및 검색하고
guarddutyActivate를 사용하여 Amazon ECS 계정 설정을 관리합니다. Amazon ECS와 관련된 작업은 GuardDuty와 연결된 태그에 대한 정보도 검색합니다.
역할은 다음 AWS 관리형 정책인 AmazonGuardDutyServiceRolePolicy를 통해 구성됩니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GuardDutyGetDescribeListPolicy", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeVpcEndpoints", "ec2:DescribeSubnets", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeTransitGatewayAttachments", "organizations:ListAccounts", "organizations:DescribeAccount", "organizations:DescribeOrganization", "s3:GetBucketPublicAccessBlock", "s3:GetEncryptionConfiguration", "s3:GetBucketTagging", "s3:GetAccountPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "lambda:GetFunctionConfiguration", "lambda:ListTags", "eks:ListClusters", "eks:DescribeCluster", "ec2:DescribeVpcEndpointServices", "ec2:DescribeSecurityGroups", "ec2:DescribeVpcs", "ecs:ListClusters", "ecs:DescribeClusters" ], "Resource": "*" }, { "Sid": "GuardDutyCreateSLRPolicy", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }, { "Sid": "GuardDutyCreateVpcEndpointPolicy", "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" }, "StringLike": { "ec2:VpceServiceName": [ "com.amazonaws.*.guardduty-data", "com.amazonaws.*.guardduty-data-fips" ] } } }, { "Sid": "GuardDutyModifyDeleteVpcEndpointPolicy", "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpoint", "ec2:DeleteVpcEndpoints" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateModifyVpcEndpointNetworkPolicy", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:ModifyVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:subnet/*" ] }, { "Sid": "GuardDutyCreateTagsDuringVpcEndpointCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutySecurityGroupManagementPolicy", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup" ], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateSecurityGroupPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringLike": { "aws:RequestTag/GuardDutyManaged": "*" } } }, { "Sid": "GuardDutyCreateSecurityGroupForVpcPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:vpc/*" }, { "Sid": "GuardDutyCreateTagsDuringSecurityGroupCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSecurityGroup" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyCreateEksAddonPolicy", "Effect": "Allow", "Action": "eks:CreateAddon", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEksAddonManagementPolicy", "Effect": "Allow", "Action": [ "eks:DeleteAddon", "eks:UpdateAddon", "eks:DescribeAddon" ], "Resource": "arn:aws:eks:*:*:addon/*/aws-guardduty-agent/*" }, { "Sid": "GuardDutyEksClusterTagResourcePolicy", "Effect": "Allow", "Action": "eks:TagResource", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEcsPutAccountSettingsDefaultPolicy", "Effect": "Allow", "Action": "ecs:PutAccountSettingDefault", "Resource": "*", "Condition": { "StringEquals": { "ecs:account-setting": [ "guardDutyActivate" ] } } }, { "Sid": "SsmCreateDescribeUpdateDeleteStartAssociationPermission", "Effect": "Allow", "Action": [ "ssm:DescribeAssociation", "ssm:DeleteAssociation", "ssm:UpdateAssociation", "ssm:CreateAssociation", "ssm:StartAssociationsOnce" ], "Resource": "arn:aws:ssm:*:*:association/*", "Condition": { "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmAddTagsToResourcePermission", "Effect": "Allow", "Action": [ "ssm:AddTagsToResource" ], "Resource": "arn:aws:arn:aws:ssm:*:*:association/*", "Condition":{ "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] }, "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmCreateUpdateAssociationInstanceDocumentPermission", "Effect": "Allow", "Action": [ "ssm:CreateAssociation", "ssm:UpdateAssociation" ], "Resource": "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" }, { "Sid": "SsmSendCommandPermission", "Effect": "Allow", "Action": "ssm:SendCommand", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" ] }, { "Sid": "SsmGetCommandStatus", "Effect": "Allow", "Action": "ssm:GetCommandInvocation", "Resource": "*" } ] }
다음은 AWSServiceRoleForAmazonGuardDuty 서비스 연결 역할에 연결된 신뢰 정책입니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
AmazonGuardDutyServiceRolePolicy 정책의 업데이트에 대한 자세한 정보는 AWS 관리형 정책으로 GuardDuty 업데이트 섹션을 참조하세요. 이 정책의 변경 사항에 대한 자동 알림을 받아보려면 문서 기록 페이지에서 RSS 피드를 구독하십시오.
GuardDuty에 대한 서비스 연결 역할 생성
AWSServiceRoleForAmazonGuardDuty 서비스 연결 역할은 처음으로 GuardDuty를 활성화하거나 이전에 활성화하지 않은 지원 리전에서 GuardDuty를 활성화할 때 자동으로 생성됩니다. 또한 IAM 콘솔, AWS CLI 또는 IAM API를 사용하여 서비스 연결 역할을 수동으로 생성할 수 있습니다.
중요
GuardDuty 위임된 관리자 계정에 대해 생성하지 않은 서비스 연결 역할은 멤버 GuardDuty 계정에 적용되지 않습니다.
IAM 보안 주체(사용자, 그룹, 역할 등)가 서비스 연결 역할을 작성하고 편집하거나 삭제할 수 있도록 권한을 구성해야 합니다. AWSServiceRoleForAmazonGuardDuty 서비스 연결 역할을 성공적으로 생성하기 위해서는 GuardDuty에서 사용하는 IAM 보안 주체에 필요한 권한이 있어야 합니다. 필수 권한을 부여하려면 다음 정책을 이 사용자, 그룹 또는 역할에 연결하십시오.
참고
아래 예시의 샘플 계정 ID를 실제 AWS 계정 ID로 바꿉니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ] }
수동 서비스 역할 생성에 대한 자세한 내용은 IAM 사용 설명서의 서비스에 대한 역할 만들기를 참조하세요.
GuardDuty에 대한 서비스 연결 역할 편집
GuardDuty에서는 AWSServiceRoleForAmazonGuardDuty 서비스 연결 역할 편집을 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 편집을 참조하십시오.
GuardDuty에 대한 서비스 연결 역할 삭제
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔티티가 없도록 합니다.
중요
EC2용 맬웨어 보호를 활성화한 경우 AWSServiceRoleForAmazonGuardDuty를 삭제해도 자동으로 AWSServiceRoleForAmazonGuardDutyMalwareProtection이 삭제되지 않습니다. AWSServiceRoleForAmazonGuardDutyMalwareProtection을 삭제하려면 EC2용 맬웨어 보호에 대한 서비스 연결 역할 삭제를 참조하세요.
AWSServiceRoleForAmazonGuardDuty를 삭제하려면 먼저 모든 리전에서 GuardDuty를 비활성화해야 합니다. 서비스 연결 역할을 삭제하려고 할 때 GuardDuty 서비스가 비활성화되지 않는 경우 삭제에 실패합니다. 자세한 내용은 GuardDuty 일시 중지 또는 비활성화 단원을 참조하십시오.
GuardDuty를 비활성화하면 AWSServiceRoleForAmazonGuardDuty가 자동으로 삭제되지 않습니다. GuardDuty를 다시 활성화하는 경우에는 기존 AWSServiceRoleForAmazonGuardDuty를 사용하여 시작합니다.
IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면
IAM 콘솔, AWS CLI 또는 IAM API를 사용하여 AWSServiceRoleForAmazonGuardDuty 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서의 서비스에 연결 역할 삭제를 참조하십시오.
지원되는 AWS 리전
Amazon GuardDuty는 GuardDuty를 사용할 수 있는 모든 AWS 리전에서 AWSServiceRoleForAmazonGuardDuty 서비스 연결 역할 사용을 지원합니다. 현재 GuardDuty를 사용할 수 있는 모든 리전 목록은 Amazon Web Services 일반 참조의 Amazon GuardDuty endpoints and quotas를 참조하세요.
