취약점 감지 및 위험 평가를 위해 AWS에 연결

Security Command Center Enterprise 등급을 Amazon Web Services(AWS) 환경에 연결하여 다음을 수행할 수 있습니다.

  • AWS 환경에서 소프트웨어 취약점 및 구성 오류 감지 및 해결
  • AWS의 보안 상황 생성 및 관리
  • 공개 인터넷에서 고가치 AWS 애셋까지의 잠재적 공격 경로 식별
  • 다양한 표준 및 벤치마크로 AWS 리소스의 규정 준수 매핑

AWS에 Security Command Center를 연결하면 보안 운영팀이 한곳에서 Google Cloud 및 AWS 전반의 위협과 취약점을 관리하고 해결할 수 있습니다.

Security Command Center가 AWS 조직을 모니터링하도록 하려면 Google Cloud 서비스 에이전트와 모니터링하려는 리소스에 대해 액세스 권한이 있는 AWS 계정을 사용하여 연결을 구성해야 합니다. Security Command Center는 이 연결을 사용해서 정의된 모든 AWS 계정 및 리전에서 데이터를 주기적으로 수집합니다.

각 Google Cloud 조직에 대해 하나의 AWS 연결을 만들 수 있습니다. 커넥터는 API 호출을 사용하여 AWS 애셋 데이터를 수집합니다. 이러한 API 호출에는 AWS 요금이 부과될 수 있습니다.

이 문서에서는 AWS에 연결을 설정하는 방법을 설명합니다. 연결을 설정할 때 다음을 구성합니다.

  • 모니터링할 AWS 리소스에 직접 액세스할 수 있는 AWS의 일련의 계정. Google Cloud 콘솔에서는 이러한 계정을 수집기 계정이라고 합니다.
  • 수집기 계정에 대한 인증을 허용하는 적절한 정책과 역할이 포함된 AWS의 계정. Google Cloud 콘솔에서는 이 계정을 위임된 계정이라고 합니다. 위임된 계정수집기 계정이 모두 동일한 AWS 조직에 있어야 합니다.
  • 인증을 위해 위임된 계정에 연결되는 Google Cloud의 서비스 에이전트
  • AWS 리소스에서 애셋 데이터를 수집하는 파이프라인
  • (선택사항) AWS 콘텐츠를 프로파일링할 수 있는 Sensitive Data Protection을 위한 권한

이 연결은 위협 감지를 위해 AWS 로그를 수집할 수 있게 해주는 Security Command Center의 SIEM 기능에 적용되지 않습니다.

다음 다이어그램은 이 구성을 보여줍니다. 테넌트 프로젝트는 자동으로 생성되는 프로젝트이며 애셋 데이터 수집 파이프라인 인스턴스를 포함합니다.

AWS 및 Security Command Center 구성

시작하기 전에

이 페이지의 남은 태스크를 수행하기 전에 먼저 다음 태스크를 수행하세요.

Security Command Center Enterprise 등급 활성화

설정 가이드의 1단계와 2단계를 완료하여 Security Command Center Enterprise 등급을 활성화합니다.

권한 설정

AWS 커넥터를 사용하는 데 필요한 권한을 얻으려면 관리자에게 클라우드 애셋 소유자 (roles/cloudasset.owner) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

AWS 계정 만들기

다음 AWS 리소스를 만들었는지 확인합니다.

Security Command Center 구성

  1. Google Cloud 콘솔에서 Security Command Center의 설정 가이드 페이지로 이동합니다.

    설정 가이드로 이동

  2. Security Command Center Enterprise 등급을 활성화한 조직을 선택합니다. 설정 가이드 페이지가 열립니다.

  3. 3단계: Amazon Web Services(AWS) 커넥터 설정을 클릭합니다.

  4. 위임된 계정 ID에 위임된 계정으로 사용할 수 있는 AWS 계정의 AWS 계정 ID를 입력합니다.

  5. Sensitive Data Protection이 AWS 데이터를 프로파일링하도록 허용하려면 Sensitive Data Protection 검색을 위한 권한 부여를 선택한 상태로 둡니다. 이 옵션은 수집기 역할의 CloudFormation 템플릿에 AWS IAM 권한을 추가합니다.

    이 옵션으로 부여되는 AWS IAM 권한

    • s3:GetBucketLocation
    • s3:ListAllMyBuckets
    • s3:GetBucketPolicyStatus
    • s3:ListBucket
    • s3:GetObject
    • s3:GetObjectVersion
    • s3:GetBucketPublicAccessBlock
    • s3:GetBucketOwnershipControls
    • s3:GetBucketTagging
    • iam:ListAttachedRolePolicies
    • iam:GetPolicy
    • iam:GetPolicyVersion
    • iam:ListRolePolicies
    • iam:GetRolePolicy
    • ce:GetCostAndUsage
    • dynamodb:DescribeTableReplicaAutoScaling
    • identitystore:ListGroupMemberships
    • identitystore:ListGroups
    • identitystore:ListUsers
    • lambda:GetFunction
    • lambda:GetFunctionConcurrency
    • logs:ListTagsForResource
    • s3express:CreateSession
    • s3express:GetBucketPolicy
    • s3express:ListAllMyDirectoryBuckets
    • wafv2:GetIPSet

  6. 선택적으로 고급 옵션을 검토하고 수정합니다. 추가 옵션에 대한 자세한 내용은 AWS 커넥터 구성 맞춤설정을 참조하세요.

  7. 계속을 클릭합니다. AWS에 연결 페이지가 열립니다.

  8. 다음 중 하나를 수행합니다.

    • 위임된 역할 및 수집기 역할에 대한 CloudFormation 템플릿을 다운로드하고 검토합니다.
    • 고급 옵션을 구성했거나 기본 AWS 역할 이름(aws-delegated-role, aws-collector-role, 및 aws-sensitive-data-protection-role)을 변경해야 하는 경우 AWS 계정 수동 구성을 선택합니다. 서비스 에이전트 ID, 위임된 역할 이름, 수집기 역할 이름, Sensitive Data Protection 수집기 역할 이름을 복사합니다.

    연결을 만든 후에는 역할 이름을 변경할 수 없습니다.

만들기를 클릭하지 마세요. 대신 AWS 환경을 구성합니다.

AWS 환경 구성

다음 방법 중 하나에 따라 AWS 환경을 설정할 수 있습니다.

CloudFormation 템플릿을 사용하여 AWS 환경 설정

CloudFormation 템플릿을 다운로드한 경우 다음 단계에 따라 AWS 환경을 설정합니다.

  1. AWS 위임 계정 콘솔에 로그인합니다. 다른 수집기 AWS 계정을 맡는 데 사용되는 위임 계정에 로그인되어 있는지 확인합니다. 즉, 위임된 관리자로 등록된 구성원 계정 또는 AWS 관리 계정에 로그인되어 있어야 합니다.
  2. AWS CloudFormation 템플릿 콘솔로 이동합니다.

  3. 위임 역할을 프로비저닝하는 스택을 만듭니다.

    1. 스택 페이지에서 스택 만들기 > 새 리소스 사용(표준)을 클릭합니다.
    2. 템플릿을 지정할 때 위임된 역할 템플릿 파일을 업로드합니다.
    3. 스택 세부정보를 지정할 때 스택 이름을 입력합니다.

    4. 위임된 역할, 수집기 역할 또는 Sensitive Data Protection 역할의 역할 이름을 변경한 경우 그에 따라 매개변수를 업데이트합니다. 입력하는 매개변수는 Google Cloud 콘솔의 AWS에 연결 페이지에 나열된 것과 일치해야 합니다.

    5. 조직의 필요에 따라 스택 옵션을 업데이트합니다.

    6. 검토 및 만들기 페이지에서 AWS CloudFormation이 커스텀 이름으로 IAM 리소스를 만드는 데 동의합니다를 선택합니다.

    7. 제출을 클릭하여 스택을 만듭니다.

    스택이 생성될 때까지 기다립니다. 문제가 발생하면 문제 해결을 참조하세요. 자세한 내용은 AWS 문서의 AWS CloudFormation 콘솔에서 스택 만들기를 참조하세요.

  4. 수집기 역할을 프로비저닝하는 스택 세트를 만듭니다.

    1. StackSets 페이지에서 StackSet 만들기를 클릭합니다.

    2. 서비스 관리 권한을 클릭합니다.

    3. 템플릿을 지정할 때 수집기 역할 템플릿 파일을 업로드합니다.

    4. StackSet 세부정보를 지정할 때 스택 세트 이름과 설명을 입력합니다.

    5. 위임 계정 ID를 입력합니다.

    6. 위임된 역할, 수집기 역할 또는 Sensitive Data Protection 역할의 역할 이름을 변경한 경우 그에 따라 매개변수를 업데이트합니다. 입력하는 매개변수는 Google Cloud 콘솔의 AWS에 연결 페이지에 나열된 것과 일치해야 합니다.

    7. 조직의 요구사항에 따라 스택 집합 옵션을 구성합니다.

    8. 배포 옵션을 지정할 때 배포 대상을 선택합니다. 전체 AWS 조직에 배포하거나 데이터를 수집하려는 모든 AWS 계정이 포함된 조직 단위(OU)에 배포할 수 있습니다.

    9. 역할 및 정책을 만들 AWS 리전을 지정합니다. 역할은 전역 리소스이므로 여러 리전을 지정할 필요가 없습니다.

    10. 필요한 경우 다른 설정을 변경합니다.

    11. 변경사항을 검토하고 제출을 클릭하여 스택 세트를 만듭니다. 오류가 발생하면 문제 해결을 참조하세요. 자세한 내용은 AWS 문서의 서비스 관리 권한으로 스택 세트 만들기를 참조하세요.

  5. 관리 계정에서 데이터를 수집해야 하는 경우 관리 계정에 로그인하고 개별 스택을 배포하여 수집기 역할을 프로비저닝합니다. 템플릿을 지정할 때 수집기 역할 템플릿 파일을 업로드합니다.

    AWS CloudFormation 스택 세트는 관리 계정에 스택 인스턴스를 만들지 않기 때문에 이 단계가 필요합니다. 자세한 내용은 AWS 문서의 DeploymentTargets를 참조하세요.

통합 프로세스를 완료하려면 통합 프로세스 완료를 참조하세요.

수동으로 AWS 계정 구성

CloudFormation 템플릿을 사용할 수 없는 경우(예: 다른 역할 이름을 사용하거나 통합을 맞춤설정하는 경우) 필요한 AWS IAM 정책 및 AWS IAM 역할을 수동으로 만들 수 있습니다.

위임 계정과 수집기 계정에 대해 AWS IAM 정책과 AWS IAM 역할을 만들어야 합니다.

위임된 역할의 AWS IAM 정책 만들기

위임된 역할(위임된 정책)에 대해 AWS IAM 정책을 만들려면 다음을 완료합니다.

  1. AWS 위임 계정 콘솔에 로그인합니다.

  2. 정책 > 정책 만들기를 클릭합니다.

  3. JSON을 클릭하고 Security Command Center 구성에서 Sensitive Data Protection 검색을 위한 권한 부여 체크박스를 선택했는지 여부에 따라 다음 중 하나를 붙여넣습니다.

    Sensitive Data Protection 검색을 위한 권한 부여: 선택 해제됨

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Action": "sts:AssumeRole",
          "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
          "Effect": "Allow"
      },
      {
          "Action": [
              "organizations:List*",
              "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
      }
  ]
}

    COLLECTOR_ROLE_NAMESecurity Command Center를 구성할 때 복사한 수집기 역할의 이름으로 바꿉니다(기본값은 aws-collector-role).

    Sensitive Data Protection 검색을 위한 권한 부여: 선택됨

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    다음을 바꿉니다.

    • COLLECTOR_ROLE_NAME: Security Command Center를 구성할 때 복사한 구성 데이터 수집기 역할의 이름입니다(기본값 aws-collector-role).
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: Security Command Center를 구성할 때 복사한 Sensitive Data Protection 수집기 역할의 이름입니다(기본값 aws-sensitive-data-protection-role).

  4. 다음을 클릭합니다.

  5. 정책 세부정보 섹션에 정책의 이름과 설명을 입력합니다.

  6. 정책 만들기를 클릭합니다.

AWS와 Google Cloud 간의 신뢰할 수 있는 관계를 위한 AWS IAM 역할 만들기

AWS와 Google Cloud 간의 신뢰할 수 있는 관계를 설정하는 위임된 역할을 만듭니다. 이 역할에는 위임된 역할에 대해 AWS IAM 정책 만들기에서 만든 위임된 정책이 사용됩니다.

  1. AWS 위임 계정 콘솔에 IAM 역할 및 정책을 만들 수 있는 AWS 사용자로 로그인합니다.

  2. 역할 > 역할 만들기를 클릭합니다.

  3. 신뢰할 수 있는 항목 유형에 대해 웹 ID를 클릭합니다.

  4. ID 공급업체에 대해 Google을 클릭합니다.

  5. 대상에 대해 Security Command Center를 구성할 때 복사한 서비스 에이전트 ID를 입력합니다. 다음을 클릭합니다.

  6. 위임된 역할에 수집기 역할에 대한 액세스 권한을 부여하려면 역할에 권한 정책을 연결합니다. 위임된 역할에 대해 AWS IAM 정책 만들기에서 만든 위임된 정책을 검색하고 선택합니다.

  7. 역할 세부정보 섹션에 Security Command Center를 구성할 때 복사한 위임된 역할 이름을 입력합니다(기본 이름은 aws-delegated-role).

  8. 역할 만들기를 클릭합니다.

애셋 구성 데이터 수집을 위한 AWS IAM 정책 만들기

애셋 구성 데이터 수집(수집기 정책)을 위한 AWS IAM 정책을 만들려면 다음을 완료합니다.

  1. AWS 수집기 계정 콘솔에 로그인합니다.

  2. 정책 > 정책 만들기를 클릭합니다.

  3. JSON을 클릭하고 다음을 붙여넣습니다.

    {
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": [
              "ce:GetCostAndUsage",
              "dynamodb:DescribeTableReplicaAutoScaling",
              "identitystore:ListGroupMemberships",
              "identitystore:ListGroups",
              "identitystore:ListUsers",
              "lambda:GetFunction",
              "lambda:GetFunctionConcurrency",
              "logs:ListTagsForResource",
              "s3express:GetBucketPolicy",
              "s3express:ListAllMyDirectoryBuckets",
              "wafv2:GetIPSet"
          ],
          "Resource": [
              "*"
          ]
      },
      {
          "Effect": "Allow",
          "Action": [
              "apigateway:GET"
          ],
          "Resource": [
              "arn:aws:apigateway:*::/usageplans",
              "arn:aws:apigateway:*::/usageplans/*/keys",
              "arn:aws:apigateway:*::/vpclinks/*"
          ]
      }
  ]

}

  4. 다음을 클릭합니다.

  5. 정책 세부정보 섹션에 정책의 이름과 설명을 입력합니다.

  6. 정책 만들기를 클릭합니다.

  7. 각 수집기 계정에 대해 이 단계를 반복합니다.

각 계정의 애셋 구성 데이터 수집을 위한 AWS IAM 역할 만들기

Security Command Center가 AWS에서 애셋 구성 데이터를 가져올 수 있게 해주는 수집기 역할을 만듭니다. 이 역할에서는 애셋 구성 데이터 수집을 위한 AWS IAM 정책 만들기에서 만든 수집기 정책을 사용합니다.

  1. 수집기 계정에 대해 IAM 역할을 만들 수 있는 사용자로 AWS 수집기 계정 콘솔에 로그인합니다.

  2. 역할 > 역할 만들기를 클릭합니다.

  3. 신뢰할 수 있는 항목 유형에 대해 커스텀 트러스트 정책을 클릭합니다.

  4. 커스텀 트러스트 정책 섹션에서 다음을 붙여넣습니다.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    다음을 바꿉니다.

    • DELEGATE_ACCOUNT_ID: 위임 계정의 AWS 계정 ID입니다.
    • DELEGATE_ACCOUNT_ROLE: Security Command Center를 구성할 때 복사한 위임된 역할 이름입니다.

  5. 이 수집기 역할에 AWS 애셋 구성 데이터에 대한 액세스 권한을 부여하려면 역할에 권한 정책을 연결합니다. 애셋 구성 데이터 수집을 위한 AWS IAM 정책 만들기에서 만든 커스텀 수집기 정책을 검색하고 선택합니다.

  6. 다음 관리형 정책을 검색하여 선택합니다.

    • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
    • arn:aws:iam::aws:policy/SecurityAudit

  7. 역할 세부정보 섹션에서 Security Command Center를 구성할 때 복사한 구성 데이터 수집기 역할의 이름을 입력합니다.

  8. 역할 만들기를 클릭합니다.

  9. 각 수집기 계정에 대해 이 단계를 반복합니다.

Security Command Center 구성에서 Sensitive Data Protection 검색을 위한 권한 부여 체크박스를 선택했으면 다음 섹션으로 진행합니다.

Sensitive Data Protection 검색을 위한 권한 부여 체크박스를 선택하지 않았으면 통합 절차를 완료합니다.

Sensitive Data Protection을 위한 AWS IAM 정책 만들기

Security Command Center 구성에서 Sensitive Data Protection 검색을 위한 권한 부여 체크박스를 선택했으면 다음 단계를 완료합니다.

Sensitive Data Protection을 위한 AWS IAM 정책(수집기 정책)을 만들려면 다음을 수행합니다.

  1. AWS 수집기 계정 콘솔에 로그인합니다.

  2. 정책 > 정책 만들기를 클릭합니다.

  3. JSON을 클릭하고 다음을 붙여넣습니다.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketLocation",
        "s3:ListAllMyBuckets",
        "s3:GetBucketPolicyStatus",
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectVersion",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketOwnershipControls",
        "s3:GetBucketTagging"
      ],
      "Resource": ["arn:aws:s3:::*"]
    },
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListAttachedRolePolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "ce:GetCostAndUsage",
        "dynamodb:DescribeTableReplicaAutoScaling",
        "identitystore:ListGroupMemberships",
        "identitystore:ListGroups",
        "identitystore:ListUsers",
        "lambda:GetFunction",
        "lambda:GetFunctionConcurrency",
        "logs:ListTagsForResource",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "wafv2:GetIPSet"
      ],
      "Resource": ["*"]
    },
    {
      "Effect": "Allow",
      "Action": [
          "s3express:CreateSession"
      ],
      "Resource": ["arn:aws:s3express:*:*:bucket/*"]
    }
  ]
}

  4. 다음을 클릭합니다.

  5. 정책 세부정보 섹션에 정책의 이름과 설명을 입력합니다.

  6. 정책 만들기를 클릭합니다.

  7. 각 수집기 계정에 대해 이 단계를 반복합니다.

각 계정에서 Sensitive Data Protection을 위한 AWS IAM 역할 만들기

Security Command Center 구성에서 Sensitive Data Protection 검색을 위한 권한 부여 체크박스를 선택했으면 다음 단계를 완료합니다.

Sensitive Data Protection이 AWS 리소스 콘텐츠를 프로파일링할 수 있게 해주는 수집기 역할을 만듭니다. 이 역할에는 Sensitive Data Protection을 위한 AWS IAM 정책 만들기에서 만든 수집기 정책이 사용됩니다.

  1. 수집기 계정에 대해 IAM 역할을 만들 수 있는 사용자로 AWS 수집기 계정 콘솔에 로그인합니다.

  2. 역할 > 역할 만들기를 클릭합니다.

  3. 신뢰할 수 있는 항목 유형에 대해 커스텀 트러스트 정책을 클릭합니다.

  4. 커스텀 트러스트 정책 섹션에서 다음을 붙여넣습니다.

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    다음을 바꿉니다.

    • DELEGATE_ACCOUNT_ID: 위임 계정의 AWS 계정 ID입니다.
    • DELEGATE_ACCOUNT_ROLE: Security Command Center를 구성할 때 복사한 위임된 역할 이름입니다.

  5. 이 수집기 역할에 AWS 리소스 콘텐츠에 대한 액세스 권한을 부여하려면 역할에 권한 정책을 연결합니다. Sensitive Data Protection을 위한 AWS IAM 정책 만들기에서 만든 커스텀 수집기 정책을 검색하고 선택합니다.

  6. 역할 세부정보 섹션에서 Security Command Center를 구성할 때 복사한 Sensitive Data Protection 역할의 이름을 입력합니다.

  7. 역할 만들기를 클릭합니다.

  8. 각 수집기 계정에 대해 이 단계를 반복합니다.

통합 프로세스를 완료하려면 통합 프로세스 완료를 참조하세요.

통합 프로세스 완료

  1. Google Cloud 콘솔의 커넥터 테스트 페이지에서 커넥터 테스트를 클릭하여 Security Command Center가 AWS 환경에 연결할 수 있는지 확인합니다. 연결에 성공하면 테스트를 통해 위임된 역할이 수집기 역할을 수행하는 데 필요한 모든 권한을 가지고 있음을 확인할 수 있습니다. 연결에 실패하면 연결 테스트 시 오류 문제 해결을 참조하세요.

  2. 만들기를 클릭합니다.

AWS 커넥터 구성 맞춤설정

이 섹션에서는 Security Command Center와 AWS 사이에 연결을 맞춤설정할 수 있는 몇 가지 방법을 설명합니다. 이러한 옵션은 Google Cloud 콘솔의 Amazon Web Services 커넥터 추가 페이지에 있는 고급 옵션(선택사항) 섹션에서 사용할 수 있습니다.

기본적으로 Security Command Center는 모든 AWS 리전에서 AWS 계정을 자동으로 검색합니다. 이 연결은 AWS 보안 토큰 서비스의 기본 전역 엔드포인트와 모니터링 중인 AWS 서비스의 기본 초당 쿼리 수(QPS)를 사용합니다. 이러한 고급 옵션을 사용하면 기본값을 맞춤설정할 수 있습니다.

옵션 설명
AWS 커넥터 계정 추가 자동으로 계정 추가(권장) 필드를 선택하여 Security Command Center에서 AWS 계정을 자동으로 검색하게 하거나 개별적으로 계정 추가를 선택하고 Security Command Center에서 리소스를 찾는 데 사용할 수 있는 AWS 계정 목록을 제공합니다.
AWS 커넥터 계정 제외 AWS 커넥터 계정 추가 섹션에서 개별적으로 계정 추가를 선택한 경우 Security Command Center에서 리소스를 찾는 데 사용해서는 안되는 AWS 계정 목록을 제공합니다.
데이터 수집 리전 선택 Security Command Center에서 데이터를 수집할 AWS 리전을 하나 이상 선택합니다. 모든 리전에서 데이터를 수집하려면 AWS 리전 필드를 비워 둡니다.
AWS 서비스의 최대 초당 쿼리 수(QPS) QPS를 변경하여 Security Command Center의 할당량 한도를 제어할 수 있습니다. 재정의를 해당 서비스의 기본값보다 작고 1 이상인 값으로 설정합니다. 기본값은 최댓값입니다. QPS를 변경하면 Security Command Center에서 데이터 가져오기 문제가 발생할 수 있습니다. 따라서 이 값을 변경하지 않는 것이 좋습니다.
AWS 보안 토큰 서비스의 엔드포인트 AWS 보안 토큰 서비스의 특정 엔드포인트를 지정할 수 있습니다(예: https://sts.us-east-2.amazonaws.com). 기본 전역 엔드포인트(https://sts.amazonaws.com)를 사용하려면 AWS 보안 토큰 서비스(선택사항) 필드를 비워 둡니다.

기존 AWS 커넥터에 민감한 데이터 검색 권한 부여

AWS 콘텐츠에 대해 민감한 데이터 검색을 수행하려면 필요한 AWS IAM 권한이 포함된 AWS 커넥터가 필요합니다.

이 섹션에서는 이러한 권한을 기존 AWS 커넥터에 부여하는 방법을 설명합니다. 수행할 단계는 CloudFormation 템플릿을 사용하여 또는 수동으로 AWS 환경을 구성했는지 여부에 따라 달라집니다.

CloudFormation 템플릿을 사용하여 기존 커넥터 업데이트

CloudFormation 템플릿을 사용하여 AWS 환경을 설정한 경우 다음 단계에 따라 기존 AWS 커넥터에 대해 민감한 정보 검색 권한을 부여합니다.

  1. Google Cloud 콘솔에서 Security Command Center의 설정 가이드 페이지로 이동합니다.

    설정 가이드로 이동

  2. Security Command Center Enterprise 등급을 활성화한 조직을 선택합니다. 설정 가이드 페이지가 열립니다.

  3. 3단계: Amazon Web Services(AWS) 통합 설정을 클릭합니다. 커넥터 페이지가 열립니다.

  4. AWS 커넥터에 대해 더보기 > 수정을 클릭합니다.

  5. 데이터 유형 검토 섹션에서 Sensitive Data Protection 검색을 위한 권한 부여를 선택합니다.

  6. 계속을 클릭합니다. AWS에 연결 페이지가 열립니다.

  7. 위임된 역할 템플릿 다운로드를 클릭합니다. 템플릿이 컴퓨터에 다운로드됩니다.

  8. 수집기 역할 템플릿 다운로드를 클릭합니다. 템플릿이 컴퓨터에 다운로드됩니다.

  9. 계속을 클릭합니다. 커넥터 테스트 페이지가 열립니다. 아직 커넥터를 테스트하지 마세요.

  10. CloudFormation 콘솔에서 위임된 역할에 대해 스택 템플릿을 업데이트합니다.

    1. AWS 위임 계정 콘솔에 로그인합니다. 다른 수집기 AWS 계정을 맡는 데 사용되는 위임 계정에 로그인되어 있는지 확인합니다.
    2. AWS CloudFormation 콘솔로 이동합니다.

    3. 위임된 역할의 스택 템플릿을 다운로드한 업데이트된 위임된 역할 템플릿으로 바꿉니다.

      자세한 내용은 AWS 문서에서 스택 템플릿 업데이트(콘솔)를 참조하세요.

  11. 수집기 역할에 대해 스택 세트를 업데이트합니다.

    1. AWS 관리 계정 또는 위임된 관리자로 등록된 구성원 계정을 사용하여 AWS CloudFormation 콘솔로 이동합니다.

    2. 수집기 역할의 스택 세트 템플릿을 다운로드한 업데이트된 수집기 역할 템플릿으로 바꿉니다.

      자세한 내용은 AWS 문서의 AWS CloudFormation 콘솔을 사용하여 스택 세트 업데이트를 참조하세요.

  12. 관리 계정에서 데이터를 수집해야 하는 경우 관리 계정에 로그인하고 수집기 스택의 템플릿을 다운로드한 업데이트된 수집기 역할 템플릿으로 바꿉니다.

    AWS CloudFormation 스택 세트는 관리 계정에 스택 인스턴스를 만들지 않기 때문에 이 단계가 필요합니다. 자세한 내용은 AWS 문서의 DeploymentTargets를 참조하세요.

  13. Google Cloud 콘솔의 커넥터 테스트 페이지에서 커넥터 테스트를 클릭합니다. 연결에 성공하면 테스트를 통해 위임된 역할이 수집기 역할을 수행하는 데 필요한 모든 권한을 가지고 있음을 확인할 수 있습니다. 연결에 실패하면 연결 테스트 시 오류 문제 해결을 참조하세요.

  14. 저장을 클릭합니다.

기존 커넥터 수동 업데이트

AWS 커넥터를 만들 때 AWS 계정을 수동으로 구성했으면 다음 단계에 따라 기존 AWS 커넥터에 대해 민감한 정보 검색 권한을 부여합니다.

  1. Google Cloud 콘솔에서 Security Command Center의 설정 가이드 페이지로 이동합니다.

    설정 가이드로 이동

  2. Security Command Center Enterprise 등급을 활성화한 조직을 선택합니다. 설정 가이드 페이지가 열립니다.

  3. 3단계: Amazon Web Services(AWS) 통합 설정을 클릭합니다. 커넥터 페이지가 열립니다.

  4. AWS 커넥터에 대해 더보기 > 수정을 클릭합니다.

  5. 데이터 유형 검토 섹션에서 Sensitive Data Protection 검색을 위한 권한 부여를 선택합니다.

  6. 계속을 클릭합니다. AWS에 연결 페이지가 열립니다.

  7. 수동으로 AWS 계정 구성(고급 설정 또는 맞춤설정된 역할 이름을 사용하는 경우 권장됨)을 클릭합니다.

  8. 다음 필드의 값을 복사합니다.

    • 위임 역할 이름
    • 수집기 역할 이름
    • Sensitive Data Protection 수집기 역할 이름

  9. 계속을 클릭합니다. 커넥터 테스트 페이지가 열립니다. 아직 커넥터를 테스트하지 마세요.

  10. AWS 위임 계정 콘솔에서 다음 JSON을 사용하도록 위임된 역할의 AWS IAM 정책을 업데이트합니다.

        {
      "Version": "2012-10-17",
      "Statement": [
        {
          "Action": "sts:AssumeRole",
          "Resource": [
            "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
            "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "organizations:List*",
            "organizations:Describe*"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }

    다음을 바꿉니다.

    • COLLECTOR_ROLE_NAME: 복사한 구성 데이터 수집기 역할의 이름입니다(기본값 aws-collector-role).
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: 복사한 Sensitive Data Protection 수집기 역할의 이름입니다(기본값 aws-sensitive-data-protection-role).

    자세한 내용은 AWS 문서의 고객 관리 정책 수정(콘솔)을 참조하세요.

  11. 각 수집기 계정에 대해 다음 절차를 수행합니다.

    1. Sensitive Data Protection을 위한 AWS IAM 정책 만들기

    2. 각 계정에서 Sensitive Data Protection을 위한 AWS IAM 역할 만들기

  12. Google Cloud 콘솔의 커넥터 테스트 페이지에서 커넥터 테스트를 클릭합니다. 연결에 성공하면 테스트를 통해 위임된 역할이 수집기 역할을 수행하는 데 필요한 모든 권한을 가지고 있음을 확인할 수 있습니다. 연결에 실패하면 연결 테스트 시 오류 문제 해결을 참조하세요.

  13. 저장을 클릭합니다.

문제 해결

이 섹션에서는 Security Command Center를 AWS에 통합할 때 발생할 수 있는 몇 가지 일반적인 문제를 보여줍니다.

리소스가 이미 있음

이 오류는 AWS 환경에서 AWS IAM 정책 및 AWS IAM 역할을 만들려고 할 때 발생합니다. 이 문제는 역할이 AWS 계정에 이미 있고 이를 다시 만들려고 할 때 발생합니다.

이 문제를 해결하려면 다음을 완료합니다.

  • 만들려는 역할 또는 정책이 이미 있고 이 가이드에 표시된 요구사항을 충족하는지 확인합니다.
  • 필요에 따라 충돌 방지를 위해 역할 이름을 변경합니다.

정책의 주 구성원이 잘못됨

이 오류는 수집기 역할을 만들 때 위임된 역할이 아직 존재하지 않는 경우 AWS 환경에서 발생할 수 있습니다.

이 문제를 해결하려면 위임된 역할에 대한 AWS IAM 정책 만들기 단계를 수행하고 위임된 역할이 생성될 때까지 기다린 후에 작업을 계속합니다.

AWS의 제한사항

AWS는 계정별 또는 리전별 기준에 따라 각 AWS 계정에 대한 API 요청을 제한합니다. Security Command Center가 AWS에서 애셋 구성 데이터를 수집할 때 이러한 한도를 초과하지 않도록 Security Command Center는 AWS 서비스의 API 참고 리소스에 설명된 대로 각 AWS 서비스의 고정된 최대 QPS로 데이터를 수집합니다.

소비된 QPS로 인해 AWS 환경에서 요청 제한이 발생할 경우 다음을 통해 문제를 해결할 수 있습니다.

  • AWS 커넥터 설정 페이지에서 요청 제한 문제를 일으키는 AWS 서비스의 커스텀 QPS를 설정합니다.

  • 특정 서비스의 데이터가 더 이상 수집되지 않도록 AWS 수집기 역할의 권한을 제한합니다. 이 완화 기법을 사용하면 AWS에서 공격 경로 시뮬레이션이 올바르게 작동하지 않습니다.

AWS에서 모든 권한을 해제하면 데이터 수집기 프로세스가 즉시 중지됩니다. AWS 커넥터를 삭제해도 데이터 수집기 프로세스가 즉시 중지되지 않지만 프로세스가 완료된 후에는 다시 시작되지 않습니다.

연결 테스트 시 오류 문제 해결

이러한 오류는 Security Command Center와 AWS 사이에 연결을 테스트할 때 발생할 수 있습니다.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

Google Cloud 서비스 에이전트가 위임된 역할을 맡을 수 없으므로 연결이 잘못되었습니다.

이 문제를 해결하려면 다음을 고려하세요.

AWS_FAILED_TO_LIST_ACCOUNTS

자동 탐색이 사용 설정되었으며 위임된 역할이 조직의 모든 AWS 계정을 가져올 수 없으므로 연결이 잘못되었습니다.

이 문제는 위임된 역할에서 organizations:ListAccounts 작업을 허용하는 정책이 특정 리소스에서 누락되었음을 나타냅니다. 이 문제를 해결하려면 누락된 리소스를 확인합니다. 위임된 정책의 설정을 확인하려면 위임된 역할의 AWS IAM 정책 만들기를 참조하세요.

AWS_INVALID_COLLECTOR_ACCOUNTS

잘못된 수집기 계정이 있으므로 연결이 잘못되었습니다. 오류 메시지에는 다음을 포함하여 가능한 원인에 대한 추가 정보가 포함됩니다.

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

위임된 역할은 수집기 계정의 수집기 역할을 맡을 수 없으므로 수집기 계정은 유효하지 않습니다.

이 문제를 해결하려면 다음을 고려하세요.

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

수집기 정책에 필요한 일부 권한 설정이 누락되었기 때문에 연결이 잘못되었습니다.

이 문제를 해결하려면 다음 원인을 고려하세요.

다음 단계