감사 결과 금지
감사를 실행하면 모든 비준수 리소스에 대한 검색 결과를 보고합니다. 즉, 감사 보고서에는 문제 완화를 위해 작업하고 있는 리소스와 테스트 또는 고장난 디바이스와 같이 규정을 준수하지 않는 것으로 알려진 리소스에 대한 결과가 포함됩니다. 감사는 연속적인 감사 실행에서 규정을 준수하지 않는 리소스에 대한 결과를 계속 보고하며, 이로 인해 원치 않는 정보가 보고서에 추가될 수 있습니다. 감사 결과 금지를 사용하면 리소스가 수정될 때까지 정의된 기간 동안 또는 테스트 또는 손상된 디바이스와 연결된 리소스에 대해 무기한으로 결과를 표시하지 않거나 필터링할 수 있습니다.
참고
금지된 감사 결과에 대해서는 완화 작업을 사용할 수 없습니다. 완화 작업에 대한 자세한 내용은 완화 작업 단원을 참조하세요.
감사 결과 금지 할당량에 대한 자세한 내용은 AWS IoT Device Defender 엔드포인트 및 할당량을 참조하세요.
감사 결과 금지 작동 방식
비준수 리소스에 대한 감사 결과 금지를 만들면 감사 보고서와 알림이 다르게 작동합니다.
감사 보고서에는 보고서와 관련된 모든 금지된 결과를 나열하는 새 섹션이 포함됩니다. 감사 검사가 준수되는지 여부를 평가할 때 금지된 결과는 고려되지 않습니다. 명령줄 인터페이스(CLI)에서 describe-audit-task 명령을 사용하면 각 감사 검사에 대해 금지된 리소스 수도 반환됩니다.
감사 알림의 경우, 감사 검사가 준수되는지 여부를 평가할 때 금지된 결과는 고려되지 않습니다. 금지된 리소스 수도 AWS IoT Device Defender이(가) Amazon CloudWatch 및 Amazon Simple Notification Service(Amazon SNS)에 게시하는 각 감사 검사 알림에 포함됩니다.
콘솔에서 감사 검사 금지를 사용하는 방법
감사 보고서에서 결과를 금지하려면
다음 절차에서는 AWS IoT 콘솔에서 감사 결과 금지를 생성하는 방법을 소개합니다.
-
AWS IoT 콘솔
의 탐색 창에서 방어를 확장하여 감사 및 결과를 차례로 선택합니다. -
검토하려는 감사 보고서를 선택합니다.
-
미준수 점검 섹션의 이름 확인에서 관심 있는 감사 검사를 선택합니다.
-
감사 검사 세부 정보 화면에서 확인하지 않으려는 결과가 있는 경우 결과 옆에 있는 옵션 버튼을 선택합니다. 그런 다음 작업을 선택한 다음 감사 결과 금지를 지속할 시간을 선택합니다.
참고
콘솔에서 1주(1 week), 1개월(1 month), 3개월(3 months), 6개월(6 months) 또는 무기한(Indefinitely)을 감사 결과 금지 만료 날짜로 선택할 수 있습니다. 특정 만료 날짜는 CLI 또는 API에서만 설정할 수 있습니다. 감사 결과 금지는 만료 날짜에 관계없이 언제든지 취소할 수 있습니다.
-
금지 세부 정보를 확인한 다음 금지 활성화를 선택합니다.
-
감사 결과 금지를 생성한 후에는 감사 결과 금지가 만들어졌음을 확인하는 배너가 나타납니다.
감사 보고서에서 금지된 결과를 보려면
-
AWS IoT 콘솔
의 탐색 창에서 방어를 확장하여 감사 및 결과를 차례로 선택합니다. -
검토하려는 감사 보고서를 선택합니다.
-
금지된 결과 섹션에서 선택한 감사 보고서에 대해 어떤 감사 결과가 금지되는지 확인합니다.
감사 결과 금지를 나열하려면
-
AWS IoT 콘솔
의 탐색 창에서 방어를 확장한 다음 감지, 결과 금지를 차례로 선택합니다. 
감사 결과 금지를 편집하려면
-
AWS IoT 콘솔
의 탐색 창에서 방어를 확장한 다음 감지, 결과 금지를 차례로 선택합니다. -
편집하려는 감사 결과 금지 옆에 있는 옵션 버튼을 선택합니다. 다음으로, 작업(Actions), 편집(Edit)을 선택합니다.
-
감사 결과 금지 편집 창에서 금지 기간 또는 설명(선택 사항)을 변경할 수 있습니다.
-
변경을 적용한 후 저장을 선택합니다. 결과 금지 창이 열립니다.
감사 결과 금지를 삭제하려면
-
AWS IoT 콘솔
의 탐색 창에서 방어를 확장한 다음 감지, 결과 금지를 차례로 선택합니다. -
삭제하려는 감사 결과 금지 옆에 있는 옵션 버튼을 선택한 후작업, 삭제를 차례로 선택합니다.
-
감사 결과 금지 삭제 창에서 삭제를 확인할 입력란에
delete을(를) 입력한 다음 삭제를 선택합니다. 결과 금지 창이 열립니다.
CLI에서 감사 결과 금지를 사용하는 방법
다음 CLI 명령을 사용하여 감사 결과 금지를 만들고 관리할 수 있습니다.
입력한 resource-identifier은(는) 결과를 금지하는 check-name에 따라 달라집니다. 다음 표는 금지 생성 및 편집을 위해 어떤 검사가 어떤 resource-identifier을(를) 필요로 하는지 자세히 보여줍니다.
참고
금지 명령은 감사를 비활성화하는 것을 나타내지 않습니다. 감사는 여전히 AWS IoT 디바이스에서 실행됩니다. 금지는 감사 결과에만 적용할 수 있습니다.
check-name |
resource-identifier |
|---|---|
AUTHENTICATE_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK |
cognitoIdentityPoolId |
CA_CERT_APPROACHING_EXPIRATION_CHECK |
caCertificateId |
CA_CERTIFICATE_KEY_QUALITY_CHECK |
caCertificateId |
CONFLICTING_CLIENT_IDS_CHECK |
clientId |
DEVICE_CERT_APPROACHING_EXPIRATION_CHECK |
deviceCertificateId |
DEVICE_CERTIFICATE_KEY_QUALITY_CHECK |
deviceCertificateId |
DEVICE_CERTIFICATE_SHARED_CHECK |
deviceCertificateId |
IOT_POLICY_OVERLY_PERMISSIVE_CHECK |
policyVersionIdentifier |
IOT_ROLE_ALIAS_ALLOWS_ACCESS_TO_UNUSED_SERVICES_CHECK |
roleAliasArn |
IOT_ROLE_ALIAS_OVERLY_PERMISSIVE_CHECK |
roleAliasArn |
LOGGING_DISABLED_CHECK |
account |
REVOKED_CA_CERT_CHECK |
caCertificateId |
REVOKED_DEVICE_CERT_CHECK |
deviceCertificateId |
UNAUTHENTICATED_COGNITO_ROLE_OVERLY_PERMISSIVE_CHECK |
cognitoIdentityPoolId |
감사 결과 금지를 만들고 적용하려면
다음 절차에서는 AWS CLI에서 감사 결과 금지를 생성하는 방법을 소개합니다.
-
create-audit-suppression명령을 사용하여 감사 결과 금지를 생성합니다. 다음 예제에서는 로깅 비활성화 검사를 기반으로 AWS 계정123456789012에 대해 감사 결과 금지를 생성합니다.aws iot create-audit-suppression \ --check-nameLOGGING_DISABLED_CHECK\ --resource-identifier account=123456789012\ --client-request-token28ac32c3-384c-487a-a368-c7bbd481f554\ --suppress-indefinitely \ --description "Suppresses logging disabled check because I don't want to enable logging for now."이 명령에 대한 출력이 없습니다.
감사 결과 금지 API
다음 API를 사용하여 감사 결과 금지를 만들고 관리할 수 있습니다.
특정 감사 결과에 대해 필터링하려면 ListAuditFindings API를 사용할 수 있습니다.
