각 스택을 배포할 위치 결정 - AWS의 자동 보안 응답
각 스택을 배포하는 방법 결정통합 제어 조사 결과

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

각 스택을 배포할 위치 결정

세 가지 템플릿은 다음 이름으로 참조되며 다음 리소스를 포함합니다.

  • 관리자 스택: 오케스트레이터 단계 함수, 이벤트 규칙 및 Security Hub 사용자 지정 작업.

  • 멤버 스택: SSM 자동화 문서 수정.

  • 멤버 역할 스택: 문제 해결을 위한 IAM 역할.

관리자 스택은 단일 계정 및 단일 리전에 한 번 배포해야 합니다. 조직의 Security Hub 조사 결과의 집계 대상으로 구성한 계정 및 리전에 배포해야 합니다. 작업 로그 기능을 사용하여 관리 이벤트를 모니터링하려면 조직의 관리 계정 또는 위임된 관리자 계정에 관리자 스택을 배포해야 합니다.

솔루션은 Security Hub 조사 결과에서 작동하므로 해당 계정 또는 리전이 Security Hub 관리자 계정 및 리전의 조사 결과를 집계하도록 구성되지 않은 경우 특정 계정 및 리전의 조사 결과에서 작동할 수 없습니다.

예를 들어, 조직에는 리전 us-east-1 및에서 운영되는 계정이 있으며us-west-2, 계정은 리전의 Security Hub 위임된 관리자111111111111입니다us-east-1. 222222222222 및 계정은 위임된 관리자 계정의 Security Hub 멤버 계정이어야 333333333333 합니다111111111111. 에서 로 결과를 집계us-west-2하도록 세 계정을 모두 구성해야 합니다us-east-1. 관리자 스택은 111111111111의 계정에 배포해야 합니다us-east-1.

집계 결과에 대한 자세한 내용은 Security Hub 위임된 관리자 계정교차 리전 집계 설명서를 참조하세요.

멤버 계정에서 허브 계정으로 신뢰 관계를 생성할 수 있도록 멤버 스택을 배포하기 전에 관리자 스택이 먼저 배포를 완료해야 합니다.

결과를 수정하려는 모든 계정 및 리전에 멤버 스택을 배포해야 합니다. 여기에는 이전에 ASR 관리자 스택을 배포한 Security Hub 위임된 관리자 계정이 포함될 수 있습니다. SSM 자동화에 프리 티어를 사용하려면 자동화 문서가 멤버 계정에서 실행되어야 합니다.

이전 예제를 사용하여 모든 계정 및 리전의 결과를 해결하려면 멤버 스택을 세 계정(,111111111111 222222222222333333333333)과 두 리전(us-east-1 및 ) 모두에 배포해야 합니다us-west-2.

멤버 역할 스택은 모든 계정에 배포해야 하지만 계정당 한 번만 배포할 수 있는 글로벌 리소스(IAM 역할)가 포함되어 있습니다. 멤버 역할 스택을 배포하는 리전은 중요하지 않으므로 간소화를 위해 관리자 스택이 배포되는 동일한 리전에 배포하는 것이 좋습니다.

이전 예제를 사용하여의 세 계정(, 222222222222111111111111333333333333) 모두에 멤버 역할 스택을 배포하는 것이 좋습니다us-east-1.

각 스택을 배포하는 방법 결정

스택 배포 옵션은 다음과 같습니다.

  • CloudFormation StackSet(자체 관리형 권한)

  • CloudFormation StackSet(서비스 관리형 권한)

  • CloudFormation 스택

서비스 관리형 권한이 있는 StackSets는 자체 역할을 배포할 필요가 없으며 조직의 새 계정에 자동으로 배포할 수 있으므로 가장 편리합니다. 안타깝게도이 방법은 관리자 스택과 멤버 스택 모두에서 사용하는 중첩 스택을 지원하지 않습니다. 이러한 방식으로 배포할 수 있는 유일한 스택은 멤버 역할 스택입니다.

전체 조직에 배포할 때는 조직 관리 계정이 포함되지 않으므로 조직 관리 계정의 조사 결과를 수정하려면이 계정에 별도로 배포해야 합니다.

멤버 스택은 모든 계정 및 리전에 배포해야 하지만 중첩 스택이 포함되어 있으므로 서비스 관리형 권한이 있는 StackSets를 사용하여 배포할 수 없습니다. 따라서 자체 관리형 권한이 있는 StackSets를 사용하여이 스택을 배포하는 것이 좋습니다.

관리자 스택은 한 번만 배포되므로 단일 계정 및 리전에 자체 관리형 권한이 있는 일반 CloudFormation 스택 또는 StackSet로 배포할 수 있습니다.

통합 제어 조사 결과

Security Hub의 통합 제어 조사 결과 기능을 켜거나 끄면 조직의 계정을 구성할 수 있습니다. AWS Security Hub 사용 설명서통합 제어 조사 결과를 참조하세요.

중요

활성화된 경우 솔루션의 v2.0.0 이상을 사용해야 합니다. 또한 "SC" 또는 "보안 제어" 표준에 대한 관리자 및 멤버 중첩 스택을 모두 배포해야 합니다. 그러면이 기능이 켜져 있을 때 생성된 통합 제어 IDs와 함께 사용할 자동화 문서 및 EventBridge 규칙이 배포됩니다. 이 기능을 사용할 때 특정 표준(예: AWS FSBP)에 대해 관리자 또는 멤버 중첩 스택을 배포할 필요가 없습니다.