기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
에 대한 서비스 연결 역할 권한 GuardDuty
GuardDuty 라는 이름의 서비스 연결 역할 (SLR) 을 사용합니다. AWSServiceRoleForAmazonGuardDuty GuardDuty SLR을 사용하면 다음 작업을 수행할 수 있습니다. 또한 EC2 인스턴스에 속하는 검색된 메타데이터를 잠재적 위협에 대해 GuardDuty 생성될 수 있는 조사 결과에 포함할 수 있습니다. GuardDuty AWSServiceRoleForAmazonGuardDuty 서비스 연결 역할은 역할을 수임하기 위해 guardduty.amazonaws.com 서비스를 신뢰합니다.
권한 정책은 다음 GuardDuty 작업을 수행하는 데 도움이 됩니다.
-
Amazon EC2 작업을 사용하여 EC2 인스턴스, 이미지 및 네트워킹 구성 요소 (예: VPC, 서브넷, 전송 게이트웨이) 에 대한 정보를 관리하고 검색할 수 있습니다.
-
Amazon EC2용 자동 에이전트로 런타임 모니터링을 GuardDuty 활성화하면 Amazon EC2 인스턴스에서 SSM 연결을 관리하는 AWS Systems Manager 작업을 사용하십시오. GuardDuty 자동 에이전트 구성을 비활성화하면 포함 태그 (:) 가 있는 EC2 인스턴스만 GuardDuty 고려합니다.
GuardDutyManagedtrue -
AWS Organizations 작업을 사용하여 관련 계정 및 조직 ID를 설명하십시오.
-
Amazon S3 작업을 사용하여 S3 버킷 및 객체에 대한 정보를 검색할 수 있습니다.
-
AWS Lambda 작업을 사용하여 Lambda 함수 및 태그에 대한 정보를 검색하십시오.
-
Amazon EKS 작업을 사용하여 EKS 클러스터에 대한 정보를 관리 및 검색하고, EKS 클러스터의 Amazon EKS 추가 기능을 관리합니다. EKS 작업은 연결된 태그에 대한 정보도 검색합니다. GuardDuty
-
IAM을 사용하여 EC2용 멀웨어 보호가 활성화된 EC2용 멀웨어 보호를 위한 서비스 연결 역할 권한 이후를 생성하십시오.
-
Amazon ECS 작업을 사용하여 Amazon ECS 클러스터에 대한 정보를 관리 및 검색하고 Amazon ECS 계정 설정을 관리할 수 있습니다.
guarddutyActivateAmazon ECS와 관련된 작업은 연결된 태그에 대한 정보도 검색합니다. GuardDuty
역할은 다음 AWS 관리형 정책인 AmazonGuardDutyServiceRolePolicy를 통해 구성됩니다.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "GuardDutyGetDescribeListPolicy", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeVpcEndpoints", "ec2:DescribeSubnets", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeTransitGatewayAttachments", "organizations:ListAccounts", "organizations:DescribeAccount", "organizations:DescribeOrganization", "s3:GetBucketPublicAccessBlock", "s3:GetEncryptionConfiguration", "s3:GetBucketTagging", "s3:GetAccountPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "lambda:GetFunctionConfiguration", "lambda:ListTags", "eks:ListClusters", "eks:DescribeCluster", "ec2:DescribeVpcEndpointServices", "ec2:DescribeSecurityGroups", "ecs:ListClusters", "ecs:DescribeClusters" ], "Resource": "*" }, { "Sid": "GuardDutyCreateSLRPolicy", "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "malware-protection.guardduty.amazonaws.com" } } }, { "Sid": "GuardDutyCreateVpcEndpointPolicy", "Effect": "Allow", "Action": "ec2:CreateVpcEndpoint", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" }, "StringLike": { "ec2:VpceServiceName": [ "com.amazonaws.*.guardduty-data", "com.amazonaws.*.guardduty-data-fips" ] } } }, { "Sid": "GuardDutyModifyDeleteVpcEndpointPolicy", "Effect": "Allow", "Action": [ "ec2:ModifyVpcEndpoint", "ec2:DeleteVpcEndpoints" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateModifyVpcEndpointNetworkPolicy", "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint", "ec2:ModifyVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:subnet/*" ] }, { "Sid": "GuardDutyCreateTagsDuringVpcEndpointCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutySecurityGroupManagementPolicy", "Effect": "Allow", "Action": [ "ec2:AuthorizeSecurityGroupIngress", "ec2:AuthorizeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:DeleteSecurityGroup" ], "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "Null": { "aws:ResourceTag/GuardDutyManaged": false } } }, { "Sid": "GuardDutyCreateSecurityGroupPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringLike": { "aws:RequestTag/GuardDutyManaged": "*" } } }, { "Sid": "GuardDutyCreateSecurityGroupForVpcPolicy", "Effect": "Allow", "Action": "ec2:CreateSecurityGroup", "Resource": "arn:aws:ec2:*:*:vpc/*" }, { "Sid": "GuardDutyCreateTagsDuringSecurityGroupCreationPolicy", "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:security-group/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateSecurityGroup" }, "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyCreateEksAddonPolicy", "Effect": "Allow", "Action": "eks:CreateAddon", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEksAddonManagementPolicy", "Effect": "Allow", "Action": [ "eks:DeleteAddon", "eks:UpdateAddon", "eks:DescribeAddon" ], "Resource": "arn:aws:eks:*:*:addon/*/aws-guardduty-agent/*" }, { "Sid": "GuardDutyEksClusterTagResourcePolicy", "Effect": "Allow", "Action": "eks:TagResource", "Resource": "arn:aws:eks:*:*:cluster/*", "Condition": { "ForAnyValue:StringEquals": { "aws:TagKeys": "GuardDutyManaged" } } }, { "Sid": "GuardDutyEcsPutAccountSettingsDefaultPolicy", "Effect": "Allow", "Action": "ecs:PutAccountSettingDefault", "Resource": "*", "Condition": { "StringEquals": { "ecs:account-setting": [ "guardDutyActivate" ] } } }, { "Sid": "SsmCreateDescribeUpdateDeleteStartAssociationPermission", "Effect": "Allow", "Action": [ "ssm:DescribeAssociation", "ssm:DeleteAssociation", "ssm:UpdateAssociation", "ssm:CreateAssociation", "ssm:StartAssociationsOnce" ], "Resource": "arn:aws:ssm:*:*:association/*", "Condition": { "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmAddTagsToResourcePermission", "Effect": "Allow", "Action": [ "ssm:AddTagsToResource" ], "Resource": "arn:aws:arn:aws:ssm:*:*:association/*", "Condition":{ "ForAllValues:StringEquals": { "aws:TagKeys": [ "GuardDutyManaged" ] }, "StringEquals": { "aws:ResourceTag/GuardDutyManaged": "true" } } }, { "Sid": "SsmCreateUpdateAssociationInstanceDocumentPermission", "Effect": "Allow", "Action": [ "ssm:CreateAssociation", "ssm:UpdateAssociation" ], "Resource": "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" }, { "Sid": "SsmSendCommandPermission", "Effect": "Allow", "Action": "ssm:SendCommand", "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ssm:*:*:document/AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin" ] }, { "Sid": "SsmGetCommandStatus", "Effect": "Allow", "Action": "ssm:GetCommandInvocation", "Resource": "*" } ] }
다음은 AWSServiceRoleForAmazonGuardDuty 서비스 연결 역할에 연결된 신뢰 정책입니다.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "guardduty.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
AmazonGuardDutyServiceRolePolicy 정책의 업데이트에 대한 자세한 정보는 GuardDuty 관리형 정책 업데이트 AWS 섹션을 참조하세요. 이 정책의 변경 사항에 대한 자동 알림을 받으려면 페이지의 RSS 피드를 구독하십시오. 사용 설명서 기록
에 대한 서비스 연결 역할 생성 GuardDuty
AWSServiceRoleForAmazonGuardDuty서비스 연결 역할은 처음으로 활성화하거나 이전에 GuardDuty 활성화하지 않은 지원 GuardDuty 지역에서 활성화하면 자동으로 생성됩니다. IAM 콘솔, 또는 IAM API를 사용하여 서비스 연결 역할을 수동으로 생성할 수도 있습니다. AWS CLI
중요
GuardDuty 위임된 관리자 계정에 대해 생성된 서비스 연결 역할은 구성원 계정에는 적용되지 않습니다. GuardDuty
IAM 보안 주체(사용자, 그룹, 역할 등)가 서비스 연결 역할을 작성하고 편집하거나 삭제할 수 있도록 권한을 구성해야 합니다. AWSServiceRoleForAmazonGuardDuty서비스 연결 역할을 성공적으로 생성하려면 GuardDuty 함께 사용하는 IAM 보안 주체에 필요한 권한이 있어야 합니다. 필수 권한을 부여하려면 다음 정책을 이 사용자, 그룹 또는 역할에 연결하십시오.
참고
다음 예제의 샘플 계정 ID를 실제 AWS 계정 ID로 바꾸십시오.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "guardduty:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty", "Condition": { "StringLike": { "iam:AWSServiceName": "guardduty.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "iam:PutRolePolicy", "iam:DeleteRolePolicy" ], "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty" } ] }
수동 서비스 역할 생성에 대한 자세한 내용은 IAM 사용 설명서의 서비스에 대한 역할 만들기를 참조하십시오.
에 대한 서비스 연결 역할 편집 GuardDuty
GuardDuty AWSServiceRoleForAmazonGuardDuty서비스 연결 역할을 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 편집을 참조하십시오.
에 대한 서비스 연결 역할 삭제 GuardDuty
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔티티가 없도록 합니다.
중요
EC2용 멀웨어 보호를 활성화한 경우 삭제해도 자동으로 AWSServiceRoleForAmazonGuardDuty 삭제되지 않습니다. AWSServiceRoleForAmazonGuardDutyMalwareProtection AWSServiceRoleForAmazonGuardDutyMalwareProtection삭제하려면 EC2용 멀웨어 방지의 서비스 연결 역할 삭제를 참조하십시오.
를 삭제하려면 먼저 활성화된 모든 GuardDuty 지역에서 비활성화해야 합니다. AWSServiceRoleForAmazonGuardDuty GuardDuty 서비스에 연결된 역할을 삭제하려고 할 때 서비스가 비활성화되지 않으면 삭제에 실패합니다. 자세한 정보는 일시 중지 또는 비활성화 GuardDuty을 참조하세요.
GuardDuty비활성화하면 이 자동으로 AWSServiceRoleForAmazonGuardDuty 삭제되지 않습니다. GuardDuty 다시 활성화하면 기존 기능을 사용하기 시작합니다AWSServiceRoleForAmazonGuardDuty.
IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면
IAM 콘솔 AWS CLI, 또는 IAM API를 사용하여 AWSServiceRoleForAmazonGuardDuty 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 삭제를 참조하십시오.
지원됨 AWS 리전
Amazon은 가능한 모든 AWS 리전 곳에서 AWSServiceRoleForAmazonGuardDuty GuardDuty 서비스 연결 역할을 사용할 수 있도록 GuardDuty 지원합니다. 현재 사용 가능한 GuardDuty 지역 목록은 의 Amazon GuardDuty 엔드포인트 및 할당량을 참조하십시오. Amazon Web Services 일반 참조
