취약점 관련 AWS 설정 수정 또는 중지

취약점 관리를 위해 Security Command Center를 Amazon Web Services(AWS)에 연결한 후 다음을 수정할 수 있습니다.

• AWS 연결 설정

• AWS용 취약점 평가 스캔 설정

시작하기 전에

이 페이지의 남은 태스크를 수행하기 전에 먼저 다음 태스크를 수행하세요.

권한 설정

AWS 커넥터를 사용하는 데 필요한 권한을 얻으려면 관리자에게 클라우드 애셋 소유자 (roles/cloudasset.owner) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

AWS 계정 만들기

다음 AWS 리소스를 만들었는지 확인합니다.

• 대리인 및 수집기 AWS 계정 콘솔에 대한 AWS IAM 액세스가 있는 AWS IAM 사용자

• 위임된 계정으로 사용할 수 있는 AWS 계정의 AWS 계정 ID. 리소스를 찾기 위해 Security Command Center에서 AWS 계정을 자동으로 검색하려면 위임된 계정이 AWS 조직에 연결되어 있고 다음 중 하나여야 합니다.

  • AWS 관리 계정

  • AWS 위임된 관리자

  • organization 및 list 권한을 제공하는 리소스 기반 위임 정책이 있는 AWS 계정. 정책 예시는 예시: 조직, OU, 계정, 정책 보기를 참조하세요.

AWS 연결 수정

AWS 환경 구성이 변경되면 기존 AWS 연결을 수정합니다. 예를 들어 여러 AWS 리전을 모니터링하거나 Security Command Center가 사용하는 AWS 계정 목록을 변경할 수 있습니다. 위임된 역할 이름과 수집기 역할 이름을 수정할 수 없습니다. 이러한 역할 이름을 변경해야 하면 AWS 커넥터를 삭제하고 새 연결을 설정해야 합니다.

1. Google Cloud 콘솔에서 Security Command Center 페이지로 이동합니다.

   Security Command Center로 이동

2. Security Command Center Enterprise를 활성화한 조직을 선택합니다.

3. settings 설정을 클릭합니다.

4. 커넥터 탭을 클릭합니다.

5. 업데이트할 연결 옆에 있는 수정을 클릭합니다.

6. Amazon Web Services 커넥터 수정 페이지에서 변경합니다. 다음 표에서 옵션을 설명합니다.

   옵션	설명
   AWS 커넥터 계정 추가	자동으로 계정 추가(권장) 필드를 선택하여 Security Command Center에서 AWS 계정을 자동으로 검색하게 하거나 개별적으로 계정 추가를 선택하고 Security Command Center에서 리소스를 찾는 데 사용할 수 있는 AWS 계정 목록을 제공합니다.
   AWS 커넥터 계정 제외	AWS 커넥터 계정 추가 섹션에서 개별적으로 계정 추가를 선택한 경우 Security Command Center에서 리소스를 찾는 데 사용해서는 안되는 AWS 계정 목록을 제공합니다.
   데이터 수집 리전 선택	Security Command Center에서 데이터를 수집할 AWS 리전을 하나 이상 선택합니다. 모든 리전에서 데이터를 수집하려면 AWS 리전 필드를 비워 둡니다.
   AWS 서비스의 최대 초당 쿼리 수(QPS)	QPS를 변경하여 Security Command Center의 할당량 한도를 제어할 수 있습니다. 재정의를 해당 서비스의 기본값보다 작고 1 이상인 값으로 설정합니다. 기본값은 최댓값입니다. QPS를 변경하면 Security Command Center에서 데이터 가져오기 문제가 발생할 수 있습니다. 따라서 이 값을 변경하지 않는 것이 좋습니다.
   AWS 보안 토큰 서비스의 엔드포인트	AWS 보안 토큰 서비스의 특정 엔드포인트를 지정할 수 있습니다(예: https://sts.us-east-2.amazonaws.com). 기본 전역 엔드포인트(https://sts.amazonaws.com)를 사용하려면 AWS 보안 토큰 서비스(선택사항) 필드를 비워 둡니다.

7. 위임된 계정 ID 또는 포함하거나 제외할 AWS 계정 목록을 변경한 경우 AWS 환경을 업데이트해야 합니다. 위임된 계정 ID를 변경하려면 AWS 구성을 다시 설정해야 합니다. AWS 계정 목록을 변경하려면 수집기 역할을 추가하거나 삭제해야 합니다. AWS 계정을 포함하기 위해 제외 목록에서 삭제하려면 수집기 역할을 해당 계정에 추가해야 합니다. 다음을 완료합니다.

   1. 계속을 클릭합니다.

   2. AWS와 연결 만들기 페이지에서 다음 중 하나를 완료합니다.

      • 위임된 역할 및 수집기 역할의 CloudFormation 템플릿을 다운로드합니다. 템플릿 사용에 대한 안내는 CloudFormation 템플릿을 사용하여 AWS 환경 설정을 참조하세요.

      • AWS 구성을 수동으로 변경하려면 AWS 콘솔 사용을 선택합니다. 서비스 에이전트 ID, 위임된 역할 이름, 수집기 역할 이름을 복사합니다. AWS를 수동으로 업데이트하는 방법은 수동으로 AWS 계정 구성을 참조하세요.

8. 제외할 AWS 계정 목록에 AWS 계정을 추가한 경우 계정에서 수집기 역할을 삭제하는 것이 좋습니다.

9. 커넥터 테스트를 클릭하여 Security Command Center가 AWS 환경에 연결할 수 있는지 확인합니다. 연결에 성공하면 Google Cloud 서비스 에이전트가 위임된 역할을 맡을 수 있으며 위임된 역할에 수집기 역할을 맡는 데 필요한 모든 권한이 있습니다. 연결에 실패하면 연결 테스트 시 오류 문제 해결을 참조하세요.

10. 저장을 클릭합니다.

기존 AWS용 취약점 평가 스캔 수정

다음 섹션에서는 AWS용 취약점 평가 스캔 구성을 수정하는 방법을 설명합니다.

1. AWS용 취약점 평가 사용 설정 및 사용에 정의된 권한과 역할이 있는지 확인합니다.

2. Security Command Center에서 설정 페이지로 이동합니다.

   설정으로 이동

3. AWS용 취약점 평가를 수정해야 하는 조직을 선택합니다. 설정 페이지의 서비스 탭이 열립니다.

4. 설정을 선택합니다.

5. 취약점 평가 서비스 카드에서 설정 관리를 클릭합니다. 취약점 평가 페이지가 열립니다.

6. Amazon Web Services 탭을 선택합니다.

7. AWS 컴퓨팅 및 스토리지에 대한 스캔 설정 섹션에서 스캔 설정 수정을 클릭하여 스캔할 리소스 범위를 수정합니다.

   AWS 태그와 Amazon EC2 인스턴스 ID를 최대 50개까지 정의할 수 있습니다. 스캔 설정을 변경해도 AWS CloudFormation 템플릿은 영향을 받지 않습니다. 템플릿을 다시 배포할 필요가 없습니다. 태그나 인스턴스 ID 값이 올바르지 않고(예: 값의 철자가 틀림) 지정된 리소스가 존재하지 않으면 스캔 중에 값이 무시됩니다.

   옵션	설명
   스캔 간격	각 스캔 간의 시간 간격을 정의합니다. 6~24 사이의 값을 입력합니다. 기본값은 6입니다. 최댓값은 24입니다. 스캔을 자주 수행하면 리소스 사용량이 증가하고 청구 요금이 증가할 수 있습니다.
   AWS 리전	취약점 평가 스캔에 포함할 리전의 하위 집합을 선택합니다. 선택한 리전의 인스턴스만 스캔됩니다. 스캔에 포함할 AWS 리전을 하나 이상 선택합니다. Amazon Web Services(AWS) 커넥터에서 특정 리전을 구성한 경우 여기에서 선택한 리전이 AWS 연결을 구성할 때 정의한 리전과 같거나 리전 하위 집합인지 확인합니다.
   AWS 태그	스캔되는 인스턴스의 하위 집합을 식별하는 태그를 지정합니다. 이러한 태그가 있는 인스턴스만 스캔됩니다. 각 태그의 키-값 쌍을 입력합니다. 잘못된 태그를 지정하면 무시됩니다. 태그를 최대 50개까지 지정할 수 있습니다. 태그에 대한 자세한 내용은 Amazon EC2 리소스 태그 지정 및 Amazon EC2 리소스 태그 추가 및 삭제를 참조하세요.
   인스턴스 ID로 제외	EC2 인스턴스 ID를 지정하여 각 스캔에서 EC2 인스턴스를 제외합니다. 인스턴스 ID를 최대 50개까지 지정할 수 있습니다. 잘못된 값을 지정하면 무시됩니다. 인스턴스 ID를 여러 개 정의하면 AND 연산자를 통해 결합됩니다. ID별 인스턴스 제외를 선택한 경우 AWS EC2 인스턴스 추가를 클릭한 후 값을 입력하여 각 인스턴스 ID를 직접 입력합니다. 인스턴스 ID 목록을 복사하여 붙여넣어 JSON 형식에서 제외를 선택한 경우 다음 중 하나를 수행합니다. 인스턴스 ID 배열을 입력합니다. 예를 들면 다음과 같습니다. [ "instance-id-1", "instance-id-2" ] 인스턴스 ID 목록이 포함된 파일을 업로드합니다. 파일 콘텐츠는 인스턴스 ID 배열이어야 하며 예를 들면 다음과 같습니다. [ "instance-id-1", "instance-id-2" ]
   SC1 인스턴스 스캔	이러한 인스턴스를 포함하려면 SC1 인스턴스 스캔을 선택합니다. 기본적으로 SC1 인스턴스는 제외됩니다. SC1 인스턴스 자세히 알아보기
   ST1 인스턴스 스캔	이러한 인스턴스를 포함하려면 ST1 인스턴스 스캔을 선택합니다. 기본적으로 ST1 인스턴스는 제외됩니다. ST1 인스턴스 자세히 알아보기

8. 저장을 클릭합니다.

AWS용 취약점 평가 스캔 중지

AWS용 취약점 평가를 중지하려면 Security Command Center에서 중지한 후 AWS에서 CloudFormation 템플릿이 포함된 스택을 삭제해야 합니다. 스택이 삭제되지 않으면 AWS에서 비용이 계속 발생합니다.

AWS용 취약점 평가를 중지하려면 다음 단계를 완료합니다.

1. Security Command Center에서 설정 페이지로 이동합니다.

   설정으로 이동

2. AWS용 취약점 평가를 중지해야 하는 조직을 선택합니다. 설정 페이지의 서비스 탭이 열립니다.

3. 취약점 평가 서비스 카드에서 설정 관리를 클릭합니다.

4. Amazon Web Services 탭을 선택합니다.

5. 서비스 사용 설정의 상태 필드에서 사용 중지를 선택합니다.

6. AWS Management Console에서 AWS CloudFormation 템플릿 페이지로 이동합니다.

7. AWS용 취약점 평가의 CloudFormation 템플릿이 포함된 스택을 삭제합니다.

   템플릿을 삭제하지 않으면 불필요한 비용이 발생할 수 있습니다.

다음 단계

• 문제 해결 정보는 Security Command Center를 AWS에 연결을 참고하세요.