aws security hub · 2021. 2. 2. · cis aws 기반 벤치마크 보안 점검을 완전히...

AWS Security Hub사용 설명서

AWS Security Hub 사용 설명서

AWS Security Hub: 사용 설명서Copyright © Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon의 상표 및 브랜드 디자인은 Amazon 외 제품 또는 서비스와 함께, Amazon 브랜드 이미지를 떨어뜨리거나 고객에게 혼동을 일으킬 수 있는 방식으로 사용할 수 없습니다. Amazon이 소유하지 않은 기타 모든 상표는 Amazon과 제휴관계이거나 관련이 있거나 후원 관계 여부에 관계없이 해당 소유자의 자산입니다.


Table of Contents란 무엇입니까?AWSSecurity Hub .......................................................................................................... 1

Security Hub .............................................................................................................................. 1Security Hub .............................................................................................................................. 1Security Hub 무료 평가판, 사용량 및 요금 ...................................................................................... 2

사용량 세부 정보 및 예상 비용 보기 ...................................................................................... 2요금 세부 정보 보기 ............................................................................................................ 3

용어 및 개념 ...................................................................................................................................... 4사전 조건 및 권장 사항 ....................................................................................................................... 7

Organizations 사용 ...................................................................................................................... 7AWS Config 활성화 .................................................................................................................... 7

활성화 방법AWS Config ...................................................................................................... 8에서 리소스 기록 구성AWS Config ........................................................................................ 8

Quotas ............................................................................................................................................ 10지원하는 리전 .................................................................................................................................. 11

AWS Organizations일부 리전에서 지원되지 않는 통합 .................................................................... 11일부 리전에서 지원되지 않는 통합 ............................................................................................... 11

중국 (베이징) 및 중국 (닝샤) 에서 지원되는 통합 ................................................................... 12에서 지원되는 통합AWSGovCloud (미국 동부) 및AWSGovCloud(미국 서부) ............................... 12

일부 리전에서 지원되지 않는 컨트롤 ............................................................................................ 13미국 동부(오하이오) .......................................................................................................... 13미국 서부(캘리포니아 북부) ................................................................................................ 13미국 서부(오레곤) ............................................................................................................. 14아프리카(케이프타운) ........................................................................................................ 14아시아 태평양(홍콩) .......................................................................................................... 16아시아 태평양(뭄바이) ....................................................................................................... 17아시아 태평양(오사카) ....................................................................................................... 17아시아 태평양(서울) .......................................................................................................... 20아시아 태평양(싱가포르) .................................................................................................... 20아시아 태평양(시드니) ....................................................................................................... 20아시아 태평양(도쿄) .......................................................................................................... 21캐나다(중부) ..................................................................................................................... 21중국(베이징) ..................................................................................................................... 22중국(닝샤) ........................................................................................................................ 23유럽(프랑크푸르트) ............................................................................................................ 25유럽(아일랜드) .................................................................................................................. 26유럽(런던) ........................................................................................................................ 26유럽(밀라노) ..................................................................................................................... 27유럽(파리) ........................................................................................................................ 29유럽(스톡홀름) .................................................................................................................. 29중동(바레인) ..................................................................................................................... 30남아메리카(상파울루) ........................................................................................................ 30AWS GovCloud(미국 동부) ................................................................................................. 31AWS GovCloud(미국 서부) ................................................................................................. 33

Security Hub 설정 ............................................................................................................................. 35수동으로 Security Hub 활성화 .................................................................................................... 35

IAM 자격 증명에 필수 IAM 정책 연결 ................................................................................... 35Security Hub 사용 (콘솔) .................................................................................................... 36Security Hub 사용 (Security Hub API,AWS CLI) ..................................................................... 36Security Hub 사용 (다중 계정 스크립트) ............................................................................... 36

Security Hub 에 할당된 서비스 연결 역할 ..................................................................................... 37보안 ................................................................................................................................................ 38

데이터 보호 .............................................................................................................................. 38AWSID 및 액세스 관리 .............................................................................................................. 39

Audience ......................................................................................................................... 39

iii


자격 증명을 통한 인증 ....................................................................................................... 39AWS 계정 루트 사용자 ..................................................................................................... 40IAM 사용자 및 그룹 ........................................................................................................... 40IAM 역할 ......................................................................................................................... 40정책을 사용하여 액세스 관리 .............................................................................................. 41AWS Security Hub에서 IAM을 사용하는 방식 ........................................................................ 43

서비스 연결 역할 사용 ............................................................................................................... 48Security Hub 대한 서비스 연결 역할 권한 ............................................................................. 49Security Hub 대한 서비스 연결 역할 만들기 .......................................................................... 49Security Hub 대한 서비스 연결 역할 편집 ............................................................................. 49Security Hub 대한 서비스 연결 역할 삭제 ............................................................................. 50

AWS 관리형 정책 ..................................................................................................................... 50AWSSecurityHubFullAccess ................................................................................................ 50AWSSecurityHubReadOnlyAccess ....................................................................................... 51AWSSecurityHubOrganizationsAccess .................................................................................. 52AWSSecurityHubServiceRolePolicy ...................................................................................... 53정책 업데이트 .................................................................................................................. 54

규정 준수 확인 ......................................................................................................................... 54인프라 보안 .............................................................................................................................. 55

계정 관리 ......................................................................................................................................... 56규제 및 권장 ............................................................................................................................ 56

의 최대 개수 .................................................................................................................... 56계정 및 리전 .................................................................................................................... 56관리자-구성원 관계에 대한 제한 사항 ................................................................................... 57서비스 간 관리자 계정 조정 ................................................................................................ 57

Organizations 으로의 전환 ......................................................................................................... 57조직의 Security Hub 관리자 계정을 지정합니다. .................................................................... 58조직 계정을 멤버 계정으로 사용 .......................................................................................... 58

허용되는 계정 작업 ................................................................................................................... 59Security Hub 관리자 계정 지정 ................................................................................................... 60

Security Hub 관리자 계정을 구성하는 데 필요한 권한을 부여합니다. ......................................... 60Security Hub 관리자 계정 지정 (콘솔) .................................................................................. 60Security Hub 관리자 계정 지정 (Security Hub API,AWS CLI) .................................................... 61Security Hub 관리자 계정 제거 (콘솔) .................................................................................. 61Security Hub 관리자 계정 제거 (Security Hub API,AWS CLI) .................................................... 62Security Hub 관리자 계정 제거 (Organizations API,AWS CLI) .................................................. 62

기관 구성원 계정 관리 ............................................................................................................... 63자동으로 새 계정 활성화 .................................................................................................... 63멤버 계정 활성화 .............................................................................................................. 64멤버 계정 연결 해제 .......................................................................................................... 65

기관에 속하지 않은 구성원 계정 관리 .......................................................................................... 66구성원 계정 추가 및 초대 ................................................................................................... 66초대를 위한 응답 .............................................................................................................. 68멤버 계정 연결 해제 .......................................................................................................... 70멤버 계정 삭제 ................................................................................................................. 70관리자 계정에서 연결 해제 ................................................................................................. 71

Security Hub 데이터에 대한 계정 작업의 영향 ............................................................................... 72Security Hub .................................................................................................................... 72멤버 계정이 관리자 계정에서 연결 해제됨 ............................................................................ 72조직에서 구성원 계정이 제거되었습니다. .............................................................................. 72계정이 일시 중지됨 ........................................................................................................... 73계정이 닫혔습니다. ............................................................................................................ 73

인사이트 .......................................................................................................................................... 74통찰력 결과 및 검색 결과 보기 .................................................................................................... 74

통찰력 결과 보기 및 조치 수행 (콘솔) .................................................................................. 74통찰력 결과 보기 (Security Hub API,AWS CLI) ...................................................................... 75통찰력 결과에 대한 결과 보기 (콘솔) .................................................................................... 75

iv


관리형 통찰력 .......................................................................................................................... 76사용자 지정 통찰력 관리 ............................................................................................................ 82

사용자 지정 통찰력 생성 (콘솔) ........................................................................................... 83사용자 지정 통찰력 생성 (Security Hub API,AWS CLI) ............................................................ 83사용자 지정 통찰력 수정 (콘솔) ........................................................................................... 84사용자 지정 통찰력 수정 (Security Hub API,AWS CLI) ............................................................ 84관리형 통찰력을 통해 새 사용자 지정 통찰력 생성 (콘솔) ........................................................ 85사용자 지정 통찰력 삭제 (콘솔) ........................................................................................... 85사용자 지정 통찰력 삭제 (Security Hub API,AWS CLI) ............................................................ 85

결과 ................................................................................................................................................ 87검색 결과 생성 및 업데이트 ........................................................................................................ 87

사용 BatchImportFindings ................................................................................................... 88사용 BatchUpdateFindings ................................................................................................. 90

결과 보기 ................................................................................................................................. 94결과 필터링 및 그룹화 (콘솔) .............................................................................................. 94결과 세부 정보 보기 (콘솔) ................................................................................................. 96찾기 세부 정보 검색 (Security Hub API,AWS CLI) .................................................................. 97

결과에 대한 조치 수행 ............................................................................................................... 97결과에 대한 워크플로 상태 설정 .......................................................................................... 98사용자 지정 작업에 결과 전송 ............................................................................................. 99

결과 형식 ................................................................................................................................. 99ASFF 구문 ..................................................................................................................... 105ASFF 속성 ..................................................................................................................... 139ASFF에 대한 유형 분류 체계 ............................................................................................ 414

제품 통합 ....................................................................................................................................... 416제품 통합 관리 ........................................................................................................................ 416

통합 목록 보기 및 필터링 (콘솔) ........................................................................................ 416제품 통합에 대한 정보 보기 (Security Hub API,AWS CLI) ...................................................... 417통합 활성화 .................................................................................................................... 417통합에서 결과의 흐름 비활성화 및 활성화 (콘솔) .................................................................. 418통합에서 결과의 흐름 비활성화 및 비활성화 (Security Hub API,AWS CLI) ................................ 418통합에서 결과의 흐름 활성화 (Security Hub API,AWS CLI) .................................................... 418통합에서 결과 보기 ......................................................................................................... 419

사용 가능한 AWS 서비스 통합 .................................................................................................. 419사용 가능한 타사 파트너 제품 통합 ............................................................................................ 421사용자 지정 제품 통합 사용 ...................................................................................................... 431

사용자 지정 보안 제품에서 결과를 전송하기 위한 요구 사항 및 권장 사항 ................................. 432사용자 지정 제품의 결과 업데이트 ..................................................................................... 432사용자 지정 통합 예제 ..................................................................................................... 432

표준 및 제어 기능 ........................................................................................................................... 434보안 점검 실행 ........................................................................................................................ 434

Security Hub 사용 방식AWS Config보안 검사를 실행하는 규칙 ............................................... 435보안 점검 실행 예약 ........................................................................................................ 435제어 결과 생성 및 업데이트 .............................................................................................. 436제어 상태 결정 ................................................................................................................ 441표준 보안 점수 결정 ........................................................................................................ 442

표준 보기 및 관리 ................................................................................................................... 442보안 표준 비활성화 또는 활성화 ........................................................................................ 443표준에 대한 세부 정보 보기 .............................................................................................. 444

제어 보기 및 관리 ................................................................................................................... 447제어에 대한 세부 정보 보기 .............................................................................................. 447자동으로 새 컨트롤 활성화 ............................................................................................... 448개별 제어 비활성화 및 활성화 ........................................................................................... 449제어 결과 보기 및 조치 수행 ............................................................................................. 451

사용 가능한 표준 제공 ............................................................................................................. 453CIS AWS 기반 벤치마크 .................................................................................................. 453PCI DSS(지불 카드 산업 데이터 보안 표준) ......................................................................... 500

v


AWS 기반 보안 모범 사례 표준 ......................................................................................... 554CloudTrail 의 Security Hub ............................................................................................................... 643

CloudTrail 의 Security Hub 정보 ................................................................................................ 643예: Security Hub 로그 파일 항목 ................................................................................................ 644

자동화된 대응 및 문제 해결 .............................................................................................................. 645EventBridge 통합 유형 ............................................................................................................. 645

모든 결과(Security Hub Findings - Imported) ....................................................................... 645사용자 지정 작업에 대한 결과(Security Hub Findings - Custom Action) .................................... 646사용자 지정 작업에 대한 통찰력 결과(Security Hub Insight Results) ......................................... 646

EventBridge 이벤트 형식 .......................................................................................................... 647Security Hub Findings - Imported ...................................................................................... 647Security Hub Findings - Custom Action .............................................................................. 647Security Hub Insight Results ............................................................................................. 648

자동으로 전송된 결과에 대한 규칙 구성 ...................................................................................... 648이벤트 패턴의 형식 ......................................................................................................... 649미리 정의된 패턴을 사용하여 규칙 작성 .............................................................................. 650사용자 정의 패턴을 사용하여 규칙 만들기 ........................................................................... 651

사용자 지정 작업 구성 및 사용 .................................................................................................. 652사용자 지정 작업 만들기 (콘솔) ......................................................................................... 652사용자 지정 작업 만들기 (Security Hub API,AWS CLI) .......................................................... 653EventBridge 에서 규칙 정의 .............................................................................................. 653검색 결과 및 통찰력 결과에 대한 사용자 지정 작업 선택 ........................................................ 654

비활성화AWSSecurity Hub ............................................................................................................... 656Security Hub 비활성화 (콘솔) .................................................................................................... 656Security Hub 비활성화 (Security Hub API,AWS CLI) ..................................................................... 656

문서 기록 ....................................................................................................................................... 658.................................................................................................................................................. dclxxi

vi

AWS Security Hub 사용 설명서Security Hub

란 무엇입니까?AWSSecurity HubAWSSecurity HubAWS를 통해 보안 업계 표준 및 모범 사례와 비교하여 환경을 확인할 수 있습니다.

Security Hub 보안 데이터를AWS계정, 서비스 및 지원되는 타사 파트너 제품을 통해 보안 추세를 분석하고우선 순위가 가장 높은 보안 문제를 파악할 수 있습니다.

주제• 의 이점AWSSecurity Hub (p. 1)• Security Hub (p. 1)• AWSSecurity Hub 무료 평가판, 사용량 및 요금 (p. 2)

의 이점AWSSecurity Hub결과 수집 및 우선 순위 지정에 대한 노력 감소

Security HubAWS서비스 및AWS파트너 제품

Security Hub 는 표준 검색 형식을 사용하여 결과 데이터를 처리하므로 여러 형식의 결과 데이터를 관리할 필요가 없습니다.

그런 다음 Security Hub 는 가장 중요한 결과를 우선 순위로 지정할 수 있도록 공급자 간 결과를 상호 연관시킵니다.

모범 사례 및 표준에 대한 자동 보안 검사

Security HubAWS모범 사례 및 업계 표준

Security Hub 는 이러한 점검을 통해 준비 점수를 제공하며 주의해야 할 구체적인 계정 및 리소스를 식별합니다.

여러 계정 및 공급자의 결과 통합 보기

Security Hub 는 계정 및 공급자 제품 전반에 걸친 보안 결과를 통합하여 Security Hub 콘솔에 결과를 표시합니다.

이를 통해 전반적인 현재 보안 상태를 확인하여 추세를 파악하고 잠재적인 문제를 식별하며 필요한 수정단계를 수행할 수 있습니다.

결과 수정 작업을 자동화하는 기능

Security Hub Amazon EventBridge 와의 통합을 지원합니다. 특정 결과의 수정 작업을 자동화하기 위해결과를 수신할 때 수행할 사용자 지정 작업을 정의할 수 있습니다.

예를 들어 결과를 티켓팅 시스템 또는 자동 문제 해결 시스템으로 전송하도록 사용자 지정 작업을 구성할 수 있습니다.

Security HubSecurity Hub 사용 방법은 다음과 같습니다.

Security Hub

에 로그인합니다.AWS Management Console를 열려면AWS의 Security Hubhttps://console.aws.amazon.com/securityhub/.

1

https://console.aws.amazon.com/securityhub/


AWS Security Hub 사용 설명서Security Hub 무료 평가판, 사용량 및 요금

Security Hub

프로그래밍 방식으로 Security Hub (Security Hub API를 사용합니다. 이 API를 통해 서비스에 직접HTTPS 요청을 실행할 수 있습니다. 자세한 내용은 단원을 참조하십시오.AWSSecurity Hub.

Security Hub 를 사용하도록 설정하면 검색 결과를 소비, 집계, 구성 및 우선 순위 지정하기 시작합니다.AWS를 활성화한 서비스 (예:Amazon GuardDuty,Amazon Inspector, 및Amazon Macie. AWS 파트너 보안 제품과의 통합을 활성화할 수도 있습니다. 그런 다음 해당 파트너 제품도 Security Hub 제품 통합 (p. 416) 단원을참조하세요.

또한 Security Hub 기반으로 연속적이고 자동화된 보안 검사를 실행하여 자체 결과를 생성합니다.AWS모범사례 및 지원되는 업계 표준을 참조하십시오. 표준 및 제어 기능 (p. 434) 단원을 참조하세요.

그런 다음 Security Hub 는 가장 중요한 결과를 우선 순위로 지정할 수 있도록 공급자 간 결과를 상호 연관시키고 통합합니다. the section called “결과 보기” (p. 94) 및 the section called “결과에 대한 조치 수행” (p. 97) 단원을 참조하세요.

를 만들 수도 있습니다.인사이트를 Security Hub 통찰력은 그룹화 기준 필터를 적용할 때 그룹화되는 결과모음입니다. 통찰력은 문제 해결 작업이 필요할 수 있는 일반적인 보안 문제를 식별하는 데 도움이 됩니다.Security Hub 에는 몇 가지 관리형 통찰이 포함됩니다. 또는 자체 사용자 지정 통찰력을 생성할 수 있습니다.인사이트 (p. 74) 단원을 참조하세요.

Important

Security Hub (Security Hub) 를 활성화한 후에 생성된 결과만 감지하고 통합합니다. Security Hub(Security Hub) 를 활성화하기 전에 생성된 보안 결과를 소급하여 감지하고 통합하지 않습니다.Security Hub (Security Hub) 를 활성화한 리전의 결과만 수신하고 처리합니다.CIS를 완벽하게 준수하기 위해AWS기초 보안 점검을 벤치마킹, 당신은 모두에서 SecurityHubAWS리전의

AWSSecurity Hub 무료 평가판, 사용량 및 요금Security Hub 처음으로 사용하도록 설정하면AWS계정은 30일 Security Hub 무료 평가판에 자동으로 등록됩니다.

무료 평가판 사용 중에 Security Hub (Security Hub) 가 상호 작용하는 기타 서비스의 사용에 대해 요금이부과됩니다.AWS Config항목을 선택합니다. 요금이 부과되지 않습니다.AWS Config규칙에 따라 지원되는Security Hub

무료 평가판 기간이 끝날 때까지는 Security Hub 사용에 대한 요금이 청구되지 않습니다.

Note

Security Hub 무료 평가판은 중국 (베이징) 리전에 지원되지 않습니다.

사용량 세부 정보 및 예상 비용 보기Security Hub 사용에 대한 예상 30일 비용을 포함한 사용 정보를 제공합니다. 사용량 세부 정보에는 무료 평가판 사용 잔여 시간이 포함됩니다. 무료 평가판 사용 중에 사용 정보를 통해 무료 평가판 종료 후 SecurityHub 비용을 파악할 수 있습니다.

사용 정보를 표시하려면

1. 열기AWS의 Security Hubhttps://console.aws.amazon.com/securityhub/.2. 탐색 창에서 [ Settings]을 선택합니다.3. Settings(설정) 페이지에서 Usage(사용)를 선택합니다.

2

https://docs.aws.amazon.com/securityhub/1.0/APIReference/

https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html

https://docs.aws.amazon.com/inspector/latest/userguide/inspector_introduction.html

https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html


AWS Security Hub 사용 설명서요금 세부 정보 보기

추정 월별 비용은 30일 동안 예상되는 결과 및 보안 점검에 대한 계정의 Security Hub 사용량에 근거하여 계산됩니다.

추정 월별 비용은 현재 리전에 대한 것입니다. Security Hub (Security Hub) 가 활성화된 모든 리전에 대한 것은 아닙니다

요금 세부 정보 보기Security Hub 수집한 결과 및 보안 검사에 대해 요금을 부과하는 방법에 대한 자세한 내용은Security Hub.

3

http://aws.amazon.com/security-hub/pricing/


용어 및 개념이 주제에서는 의 핵심 개념에 대해 설명합니다.AWS시작하는 데 도움이 되는 Security Hub

계정

AWS 리소스를 포함하는 표준 Amazon Web Services(AWS) 계정입니다. 에 로그인할 수 있습니다.AWS계정으로 이동하고 Security Hub 를 활성화할 수 있습니다.

또한 한 계정이 다른 계정을 초대하여 Security Hub 를 활성화하고 Security Hub에서 해당 계정에 연결할 수도 있습니다. 멤버십 초대 수락은 선택 사항입니다. 초대를 수락하면 계정이 Security Hub 브가 됩니다.관리자계정에 추가되고 추가된 계정은member계정을 활성화합니다. 관리자 계정으로 멤버 계정에서 결과를 볼 수 있습니다.

에 등록되어 있는 경우AWS Organizations를 선택하면 조직에서 조직의 Security Hub 관리자 계정을 지정합니다. 관리자 계정은 다른 조직 계정을 멤버 계정으로 활성화할 수 있습니다.

한 계정이 Security Hub 관리자 계정이면서 동시에 멤버 계정일 수는 없습니다. 계정에는 관리자 계정이하나만 있을 수 있습니다.

자세한 내용은 관리자 및 구성원 계정 관리 (p. 56) 단원을 참조하세요.보관된 결과

RecordState가 ARCHIVED로 설정되어 있는 결과입니다. 검색 결과를 보관하면 검색 공급자가 검색결과가 더 이상 관련이 없다고 생각한다는 것을 나타냅니다. 레코드 상태는 결과에 대한 조사 상태를 추적하는 워크플로우 상태와는 별개입니다.

공급자를 찾는 데 사용할 수 있는BatchImportFindings작업을 사용하여 Security Hub 검색 결과를보관합니다. Security Hub 는 다음 기준 중 하나에 따라 연결된 리소스가 삭제된 경우 컨트롤에 대한 결과를 자동으로 보관합니다.• 결과가 3일 내에 업데이트되지 않았습니다.• 연결된 AWS Config 평가가 NOT_APPLICABLE을 반환했습니다.

기본적으로 보관된 결과는 Security Hub 콘솔의 결과 목록에서 제외됩니다. 보관된 결과를 포함하도록필터를 업데이트할 수 있습니다.

이GetFindings작업은 활성 및 보관된 검색 결과를 모두 반환합니다. 레코드 상태에 대한 필터를 포함할 수 있습니다.

"RecordState": [ { "Comparison": "EQUALS", "Value": "ARCHIVED" }],

AWS Security Finding 형식

Security Hub 가 집계하거나 생성하는 결과 콘텐츠의 표준화된 형식입니다. 이AWSSecurity Find형식을사용하면 Security Hub 를 사용하여 생성한 결과를 보고 분석할 수 있습니다.AWS보안 서비스, 타사 솔루션 또는 Security Hub 자체가 보안 점검을 실행하여 실행할 수 없습니다. 자세한 내용은 ASFF(AWSSecurity Finding 형식) (p. 99) 단원을 참조하세요.

제어

정보의 기밀성, 무결성 및 가용성을 보호하고 정의된 보안 요구 사항을 충족하도록 설계된 정보 시스템또는 조직에 대해 규정된 보호 조치 또는 대책입니다. 보안 표준은 제어로 구성됩니다.

4

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchImportFindings.html

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetFindings.html


사용자 지정 작업

선택한 결과를 EventBridge 로 전송하기 위한 Security Hub 메커니즘입니다. 사용자 지정 작업은Security Hub 에서 생성됩니다. 그런 다음 EventBridge 규칙에 연결됩니다. 이 규칙은 사용자 지정 작업ID와 연결된 결과가 수신될 때 수행할 특정 작업을 정의합니다. 예를 들어, 사용자 지정 작업을 사용하여 특정 결과 또는 작은 결과 집합을 응답 또는 수정 작업 흐름에 보낼 수 있습니다. 자세한 내용은 thesection called “사용자 지정 작업 만들기 (콘솔)” (p. 652) 단원을 참조하세요.

결과

보안 점검 또는 보안 관련 감지의 관찰 가능한 기록입니다.

Security Hub 의 결과에 대한 자세한 내용은결과 (p. 87).Note

결과는 가장 최근 업데이트 후 90일 또는 업데이트가 없는 경우 생성일 이후 90일에 삭제됩니다. 결과를 90일 넘게 저장하려면 결과를 Amazon S3 버킷으로 라우팅하는 EventBridge 에서규칙을 구성할 수 있습니다.

섭취 찾기

결과Security Hub 다른AWS서비스 및 타사 파트너 공급자에서 제공합니다.

수집 이벤트 찾기에는 새 검색 결과와 기존 검색 결과에 대한 업데이트가 모두 포함됩니다.통찰력

집계 설명 및 선택적 필터로 정의된 관련 결과의 모음입니다. 인사이트는 주의와 개입이 필요한 보안영역을 식별합니다. Security Hub 는 수정할 수 없는 관리된 (기본) 몇 가지 통찰력을 제공합니다. 또한 사용자 지정 Security Hub 통찰력을 생성하여AWS환경 및 사용법에 따라 자세한 내용은 인사이트 (p. 74) 단원을 참조하세요.

관련 요구 사항

제어에 매핑되는 일련의 업계 또는 규정 요구 사항입니다.규칙

제어의 준수 여부를 평가하는 데 사용되는 자동화된 기준 세트입니다. 규칙이 평가되면 통과하거나 실패할 수 있습니다. 평가에서 규칙의 통과 여부를 확인할 수 없는 경우 규칙이 경고 상태에 있는 것입니다.규칙을 평가할 수 없는 경우 사용할 수 없는 상태입니다.

보안 점검

단일 리소스에 대한 규칙의 특정 시점 평가입니다. 이 점검의 결과는 통과, 실패, 경고 또는 사용할 수 없음 상태입니다. 보안 점검을 실행하면 결과가 생성됩니다.

보안 표준

규정 준수를 위해 충족시키거나 달성해야 하는 특성(일반적으로 측정 가능하고 제어 형식을 취함)을 명시한, 주제에 대해 게시된 진술입니다. 보안 표준은 규제 프레임워크, 모범 사례 또는 사내 정책을 기반으로 할 수 있습니다. Security Hub의 보안 표준에 대한 자세한 내용은표준 및 제어 기능 (p. 434).

워크플로우 상태

결과에 대한 조사의 상태입니다. Workflow.Status 속성을 사용하여 추적했습니다.

워크플로우 상태는 초기에 NEW입니다. 리소스 소유자에게 결과에 대한 작업을 수행하도록 통지한 경우 워크플로우 상태를 NOTIFIED로 설정할 수 있습니다. 결과가 문제가 아니고 작업이 필요하지 않은경우 워크플로우 상태를 SUPPRESSED로 설정합니다. 결과를 검토하고 수정한 후 워크플로우 상태를RESOLVED로 설정합니다.

기본적으로 대부분의 결과 목록에는 워크플로우 상태가 NEW 또는 NOTIFIED인 결과만 포함됩니다. 컨트롤에 대한 결과 목록에는 RESOLVED 결과도 포함됩니다.

GetFindings 작업의 경우 워크플로우 상태에 대한 필터를 포함할 수 있습니다.

5



"WorkflowStatus": [ { "Comparison": "EQUALS", "Value": "RESOLVED" }],

Security Hub 콘솔은 결과에 대한 워크플로우 상태를 설정하는 옵션을 제공합니다. 고객(또는 고객을 대신해 결과 공급자의 결과를 업데이트하기 위해 작업하는 SIEM, 티켓팅, 인시던트 관리 또는 SOAR 도구)도 BatchUpdateFindings를 사용하여 워크플로우 상태를 업데이트할 수 있습니다.

6

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchUpdateFindings.html

AWS Security Hub 사용 설명서Organizations 사용

사전 조건 및 권장 사항AWS Security Hub를 활성화하려면 AWS 계정이 있어야 합니다. 계정이 없는 경우에는 다음 절차에 따라 계정을 만드십시오.

AWS에 가입하려면

1. https://portal.aws.amazon.com/billing/signup을 엽니다.2. 온라인 지시 사항을 따릅니다.

등록 절차 중 전화를 받고 전화 키패드를 사용하여 확인 코드를 입력하는 과정이 있습니다.

Security Hub 사용하도록 설정하는 것이 좋습니다.AWS Organizations. Organizations 사용하여 계정을 관리하면 구성원 계정 관리 프로세스가 간소화됩니다.

Security Hub 를 사용하려면AWS Config는 Security Hub 사용하도록 설정한 모든 계정에서 사용하도록 설정되어 있습니다. Security Hub 컨트롤 사용AWS Config규칙을 사용하여 보안 검사를 완료합니다.

주제• 사용AWS Organizations계정을 관리할 수 있습니다. (p. 7)• 활성화 및 구성AWS Config (p. 7)

사용AWS Organizations계정을 관리할 수 있습니다.계정 관리를 자동화하고 간소화하기 위해 Security Hub 는AWS Organizations.

Organizations 사용하도록 설정한 경우 Security Hub 는 조직에 추가될 때 새 계정을 자동으로 검색합니다.

Organizations 설정에 대한 자세한 내용은 단원을 참조하십시오.조직 생성 및 관리의AWS Organizations사용 설명서.

조직을 설정한 후 조직 관리 계정이 Security Hub 관리자 계정을 지정합니다. the section called “SecurityHub 관리자 계정 지정” (p. 60)을(를) 참조하세요. 그런 다음 Security Hub 관리자 계정은 다른 조직 계정을 Security Hub 구성원 계정으로 사용하도록 설정하고 관리합니다. the section called “기관 구성원 계정 관리” (p. 63)을(를) 참조하세요.

활성화 및 구성AWS ConfigAWS Security Hub서비스 연결 서비스 사용AWS Config규칙을 사용하여 컨트롤에 대한 대부분의 보안 검사를 수행할 수 있습니다.

이러한 컨트롤을 지원하려면AWS Config는 Security Hub 가 활성화된 각 지역의 모든 계정 (마스터 계정 및구성원 계정) 에서 사용하도록 설정해야 합니다.AWS Config은 사용하도록 설정한 표준에 필요한 리소스를최소한으로 기록하도록 구성해야 합니다.

• the section called “필수 AWS Config 리소스” (p. 454)• the section called “필수 AWS Config 리소스” (p. 500)• the section called “필수 AWS Config 리소스” (p. 554)

7

http://portal.aws.amazon.com/billing/signup

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html

AWS Security Hub 사용 설명서활성화 방법AWS Config

Security Hub 리소스 기록을 사용하도록 설정하는 것이 좋습니다.AWS ConfigSecurity Hub 표준을 사용하도록 설정하기 전에. 리소스 기록이 사용되지 않을 때 SecSecurity Hub 가 보안 검사를 실행하려고 하면 검사에서 오류를 반환합니다.

Security Hub 관리하지 않음AWS Config당신을 위해. 이미 를 가지고 있는 경우AWS Config를 활성화한 경우 설정을 계속 구성할 수 있습니다.AWS Config콘솔 또는 API.

활성화하는 경우AWS Config표준을 사용하도록 설정한 후에도 Security HubAWS Config규칙을 사용할 수있지만AWS Config에 31 당신이 표준을 활성화 한 후 일. 활성화하지 않은 경우AWS Config31 일 이내에 다음을 활성화한 후 표준을 비활성화했다가 다시 활성화해야 합니다.AWS Config.

표준을 사용하도록 설정한 후 Security HubAWS Config31 일 동안 최대 6 번 규칙.

• 당일 당신은 표준을 활성화• 표준을 활성화 한 다음 날• 표준을 활성화 한 후 3 일• 표준을 활성화 한 후 7 일• 표준 활성화 후 15일• 표준 활성화 후 31일

활성화 방법AWS Config계정이 없을 경우AWS Config를 활성화한 경우 콘솔 또는 API를 사용하여 수동으로 활성화할 수 있습니다.단원을 참조하십시오.다음으로 시작하기AWS Config의개발자 안내서.

보다 쉽게 사용하려면AWS Config를 더 큰 계정 집합에 할당하는 경우AWS CloudFormation템플릿활성화AWS Config. 템플릿에 대한 자세한 내용은AWS CloudFormationStackSets 샘플 템플릿의AWSCloudFormation사용 설명서. 이 템플릿 사용에 대한 자세한 내용은 블로그 게시물관리AWS Organizations계정 사용AWS Config및AWS CloudFormationStackSets.

Security Hub 는GitHub 의 스크립트에서 여러 지역에서 여러 계정을 사용하도록 설정할 수 있습니다. 이 스크립트는 Organizations 통합되지 않았거나 조직의 일부가 아닌 계정이 있는 경우에 유용합니다. 이 스크립트를 사용하여 Security Hub 사용하도록 설정하면AWS Config해당 계정에 대한.

에서 리소스 기록 구성AWS Config활성화의 일부로 리소스 기록을 활성화하는 경우AWS Config에서 지정된 지역에서 지원되는 필수 리소스를기록하도록 선택합니다. 단일 리전에서만 글로벌 리소스를 기록하면 됩니다.

모든 지역에서 글로벌 리소스를 기록하지 않는 경우 글로벌 리소스를 기록하지 않는 지역에서 컨트롤을 비활성화해야 합니다.the section called “2.5 —AWS Config가 활성화됨” (p. 469). CIS 2.5는 글로벌 리소스가기록되지 않는 지역에서 실패한 결과를 생성합니다. 글로벌 리소스가 기록되지 않는 지역에서 사용하지 않도록 설정할 수 있는 다른 컨트롤에 대한 자세한 내용은 다음 항목을 참조하십시오.

• the section called “비활성화할 수 있는 컨트롤” (p. 499)• the section called “비활성화할 수 있는 컨트롤” (p. 554)• the section called “비활성화할 수 있는 컨트롤” (p. 642)

당신이 사용하는 경우 참고복수 계정 스크립트를 사용하여 Security Hub 를 사용하도록 설정하면 모든 지역의 글로벌 리소스를 포함한 모든 리소스에 대한 리소스 기록이 자동으로 활성화됩니다. 글로벌 리소스의 기록을 단일 리전으로 제한하지는 않습니다. 그런 다음 구성을 업데이트하여 단일 리전에 글로벌 리소스만 기록할 수 있습니다. 단원을 참조하십시오.리소스 선택AWS Config레코드의개발자 안내서.

다음 항목에서는 각 표준에 필요한 리소스를 나열합니다. 필요한 리소스에 대해서만 녹화를 활성화할 수 있습니다. 그러나 Security Hub 는 계속해서 새로운 컨트롤을 추가하고 새 리소스를 지원합니다.

8

https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html

https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html

http://aws.amazon.com/blogs/mt/managing-aws-organizations-accounts-using-aws-config-and-aws-cloudformation-stacksets/

http://aws.amazon.com/blogs/mt/managing-aws-organizations-accounts-using-aws-config-and-aws-cloudformation-stacksets/

https://github.com/awslabs/aws-securityhub-multiaccount-scripts


https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html

AWS Security Hub 사용 설명서에서 리소스 기록 구성AWS Config

• the section called “필수 AWS Config 리소스” (p. 454)• the section called “필수 AWS Config 리소스” (p. 500)• the section called “필수 AWS Config 리소스” (p. 554)

리소스 기록과 관련된 비용에 대한 자세한 내용은AWS Config요금 페이지.

9

http://aws.amazon.com/config/pricing/


Quotas다음AWSSecurity Hub 할당량은AWS리전별로 계정을 추가합니다.

리소스 Quota 설명

Security Hub 멤버계정 수

5000 한 리전의 관리자 계정당 추가할 수 있는 Security Hub 멤버 계정의 최대 수입니다.

하드 할당량입니다. 허용되는 Security Hub 멤버 계정 수는 증가를 요청할 수 없습니다.

Security Hub 처리되지 않은 초대장수

1000 한 리전의 관리자 계정당 보낼 수 있는 Security Hub 멤버 계정초대장의 최대 수입니다.

하드 할당량입니다. 허용되는 Security Hub 초대장 수는 증가를 요청할 수 없습니다.

Security Hub 사용자 지정 인사이트수

100 한 리전의 계정당 생성할 수 있는 사용자 지정 Security Hub 통찰력의 최대 수입니다.

하드 할당량입니다. 허용되는 Security Hub 통찰력 수는 증가를 요청할 수 없습니다.

통찰력 결과 수 100 GetInsightsResults API 작업에 대해 반환된, 집계한 결과의 최대 개수입니다.

하드 할당량입니다. 통찰력 결과 수는 증가를 요청할 수 없습니다.

사용자 지정 작업수

50 한 리전의 계정당 생성할 수 있는 사용자 지정 작업의 최대 수입니다.

하드 할당량입니다. 사용자 지정 작업 수는 증가를 요청할 수없습니다.

10

AWS Security Hub 사용 설명서AWS Organizations일부 리전에서 지원되지 않는 통합

지원하는 리전해당 지역을 보려면AWSSecurity Hub 에서 사용할 수 있습니다 (Security Hub.

목차• AWS Organizations일부 리전에서 지원되지 않는 통합 (p. 11)• 일부 리전에서 지원되지 않는 통합 (p. 11)

• 중국 (베이징) 및 중국 (닝샤) 에서 지원되는 통합 (p. 12)• 에서 지원되는 통합AWSGovCloud (미국 동부) 및AWSGovCloud(미국 서부) (p. 12)

• 일부 리전에서 지원되지 않는 컨트롤 (p. 13)• 미국 동부(오하이오) (p. 13)• 미국 서부(캘리포니아 북부) (p. 13)• 미국 서부(오레곤) (p. 14)• 아프리카(케이프타운) (p. 14)• 아시아 태평양(홍콩) (p. 16)• 아시아 태평양(뭄바이) (p. 17)• 아시아 태평양(오사카) (p. 17)• 아시아 태평양(서울) (p. 20)• 아시아 태평양(싱가포르) (p. 20)• 아시아 태평양(시드니) (p. 20)• 아시아 태평양(도쿄) (p. 21)• 캐나다(중부) (p. 21)• 중국(베이징) (p. 22)• 중국(닝샤) (p. 23)• 유럽(프랑크푸르트) (p. 25)• 유럽(아일랜드) (p. 26)• 유럽(런던) (p. 26)• 유럽(밀라노) (p. 27)• 유럽(파리) (p. 29)• 유럽(스톡홀름) (p. 29)• 중동(바레인) (p. 30)• 남아메리카(상파울루) (p. 30)• AWS GovCloud(미국 동부) (p. 31)• AWS GovCloud(미국 서부) (p. 33)

AWS Organizations일부 리전에서 지원되지 않는 통합

중국 (베이징) 및 중국 (닝샤) 리전은 Organizations Security Hub 통합을 지원하지 않습니다.

일부 리전에서 지원되지 않는 통합일부 통합은 일부 리전에서 사용할 수 없습니다. 지원되지 않는 통합은 Integrations(통합) 페이지에 나열되지않습니다.

11

https://docs.aws.amazon.com/general/latest/gr/sechub.html

AWS Security Hub 사용 설명서중국 (베이징) 및 중국 (닝샤) 에서 지원되는 통합

중국 (베이징) 및 중국 (닝샤) 에서 지원되는 통합중국 (베이징) 및 중국 (닝샤) 리전은 다음를 와 통합AWS서비스 (p. 419):

• Amazon GuardDuty• IAM Access Analyzer• 패치 Systems Manager

중국 (베이징) 및 중국 (닝샤) 리전은 다음타사 통합 (p. 421):

• Cloud Custodian• FireEye Helix• 헬클라우드• QRadar• PagerDuty• Palo Networks 피텍스• Palo Networks• 배회자• RSA 아처• Splunk Enterprise• Splunk Phantom• 스레트모델러

에서 지원되는 통합AWSGovCloud (미국 동부) 및AWSGovCloud(미국 서부)이AWSGovCloud (미국 동부) 및AWSGovCloud (미국 서부) 리전은 다음를 와 통합AWS서비스 (p. 419):

• Amazon Detective• AWS Firewall Manager• Amazon GuardDuty• Amazon Inspector• IAM Access Analyzer

이AWSGovCloud (미국 동부) 및AWSGovCloud (미국 서부) 리전은 다음타사 통합 (p. 421):

• Atlassian Jira• Atlassian• Cloud Custodian• Amazon S3 용 클라우드 스토리지 보안 안티바이러스• 클라우드타머.io• CrowdStrike Falcon• FireEye Helix• Forcepoint CASB• Forcepoint DLP• Forcepoint NGFW

12

AWS Security Hub 사용 설명서일부 리전에서 지원되지 않는 컨트롤

• 마이크로포커스 아크사이트• 넷스카우트 사이버 조사관• PagerDuty• 팔로 알토 네트워크 — 프리즈 클라우드 컴퓨팅• 팔로 알토 네트워크 — 프리즈 클라우드 엔터프라이즈• 팔로 알토 네트웍스 — VM-시리즈• 배회자• Rackspace 기술 — 클라우드 Native Security• Rapid7 InsightConnect• RSA 아처• 시큐어클라우DDB• ServiceNow ITSM• Slack• 스레트모델러• Cognito Detect

일부 리전에서 지원되지 않는 컨트롤다음 리전은 일부 Security Hub 컨트롤을 지원하지 않습니다. 각 리전에 대해 목록에 지원되지 않는 컨트롤이나와 있습니다.

미국 동부(오하이오)다음 컨트롤은 미국 동부 (오하이오) 에서 지원되지 않습니다.

the section called “AWS 기반 보안 모범 사례 표준” (p. 554)

the section called “[CloudFront.1] CloudFront 배포에는 기본 루트 객체가 구성되어 있어야 합니다.” (p. 562)

the section called “[CloudFront.2] CloudFront 배포에 원본 액세스 ID가 활성화되어 있어야 합니다.” (p. 563)

the section called “[CloudFront.3] CloudFront 배포는 전송 중 암호화가 필요함” (p. 564)

the section called “[CloudFront.4] CloudFront 배포에는 원본 장애 조치가 구성되어 있어야 합니다.” (p. 565)

the section called “[CloudFront.5] CloudFront 배포에 로깅이 활성화되어 있어야 합니다.” (p. 566)

the section called “[클라우드프론트.6] CloudFront 배포에는AWS WAFenabled” (p. 567)

the section called “[와프.1]AWS WAF클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.” (p. 641)

미국 서부(캘리포니아 북부)다음 컨트롤은 미국 서부 (캘리포니아 북부) 에서 지원되지 않습니다.



13

AWS Security Hub 사용 설명서미국 서부(오레곤)







미국 서부(오레곤)다음 컨트롤은 미국 서부 (오레곤) 에서 지원되지 않습니다.









아프리카(케이프타운)다음 컨트롤은 아프리카 (케이프타운) 에서 지원되지 않습니다.

the section called “CIS AWS 기반 벤치마크” (p. 453)

the section called “1.4 — 90일이 되기 전에 액세스 키가 교체되는지 여부를 확인합니다.” (p. 457)

the section called “1.12 — 루트 계정 액세스 키가 없는지 여부를 확인합니다.” (p. 461)

the section called “1.20 - AWS Support를 통해 인시던트를 관리하기 위해 지원 역할을 생성했는지 여부를 확인합니다.” (p. 464)

the section called “4.1 — 0.0.0.0/0에서 포트 22로의 수신을 허용하는 보안 그룹이 없는지 여부를 확인합니다.” (p. 497)

the section called “4.2 — 0.0.0.0/0에서 포트 3389로의 수신을 허용하지 않는지 여부를 확인합니다.” (p. 498)

the section called “PCI DSS(지불 카드 산업 데이터 보안 표준)” (p. 500)

the section called “[PCI.CodeBuild.1] CodeBuild GitHub 또는 Bitbucket 소스 리포지토리 URL은 OAuth를 사용해야 합니다.” (p. 507)

14

AWS Security Hub 사용 설명서아프리카(케이프타운)

the section called “[PCI.CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 일반 텍스트 자격 증명이 포함되면 안 됩니다.” (p. 508)

the section called “[PCI.DMS.1]AWS Database Migration Service복제 인스턴스는 공용이 아니어야 합니다.” (p. 512)

the section called “[PCI.EC2.1] Amazon EBS 스냅샷은 공개적으로 복원할 수 없어야 합니다.” (p. 514)

the section called “[PCI.EC2.3] 사용되지 않는 EC2 보안 그룹은 제거해야 합니다.” (p. 517)

the section called “[PCI.EC2.4] 사용되지 않는 EC2 EIP는 제거해야 합니다.” (p. 518)

the section called “[PCI.EC2.5] 보안 그룹에서 0.0.0.0/0에서 포트 22로의 수신을 허용하지 않아야 합니다.” (p. 518)

the section called “[PCI.ELBV2.1] 모든 HTTP 요청을 HTTPS로 리디렉션하도록 를 구성해야 합니다.” (p. 521)

the section called “[PCI.GuardDuty.1] GuardDuty 티를 활성화해야 합니다.” (p. 524)

the section called “[PCI.IAM.1] IAM 루트 사용자 액세스 키가 없어야 합니다.” (p. 525)

the section called “[PCI.RDS. 1] RDS 스냅샷은 퍼블릭 액세스를 금지해야 합니다.” (p. 537)

the section called “[PCI.sagemaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할수 없어야 합니다.” (p. 548)

the section called “[PCI.SSM.1] 패치 설치 후 Systems Manager 관리하는 Amazon EC2 인스턴스의 패치 규정 준수 상태가 COMPLIANT여야 합니다.” (p. 550)

the section called “[PCI.SSM.2] Systems Manager 관리하는 인스턴스는COMPLIANT” (p. 551)the section called “AWS 기반 보안 모범 사례 표준” (p. 554)

the section called “[ACM.1] 가져온 ACM 인증서를 지정된 기간 후에 갱신해야 합니다.” (p. 557)

the section called “[APIGateway.1] API Gateway REST 및 WebSocket API 로깅을 활성화해야합니다.” (p. 559)







the section called “[CodeBuild.1] CodeBuild GitHub 또는 Bitbucket 소스 리포지토리 URL은 OAuth를 사용해야 합니다.” (p. 572)

the section called “[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 일반 텍스트 자격 증명이 포함되면안 됩니다.” (p. 573)

the section called “[DMS.1]AWS Database Migration Service복제 인스턴스는 공용이 아니어야 합니다.” (p. 575)

15

AWS Security Hub 사용 설명서아시아 태평양(홍콩)

the section called “[EC2.1] Amazon EBS 스냅샷은 공개되지 않아야 하며, 누구나 복원할 수 있는 기능에따라 결정됩니다.” (p. 577)

the section called “[EC2.3] 연결된 EBS 볼륨은 유휴 상태에서 암호화되어야 함” (p. 579)

the section called “[EC2.4] 중지된 EC2 인스턴스는 지정된 기간 후에 제거해야 합니다.” (p. 579)

the section called “[EC2.8] EC2 인스턴스는 IMDSv2를 사용해야 합니다.” (p. 582)

the section called “[EFS.1] Amazon EFS 사용하여 유휴 시 파일 데이터를 암호화하도록 구성해야 합니다.AWS KMS” (p. 589)

the section called “[EFS.2] Amazon EFS 볼륨이 백업 계획에 있어야 합니다.” (p. 589)

the section called “[ELB.4] 애플리케이션 로드 밸런서는 HTTP 헤더를 삭제하도록 구성되어야 합니다.” (p. 592)

the section called “[ELBv2.1] 모든 HTTP 요청을 HTTPS로 리디렉션하도록 Application Load Balancer구성해야 합니다.” (p. 594)

the section called “[EMR.1] Amazon EMR 클러스터 마스터 노드에는 퍼블릭 IP 주소가 없어야 합니다.” (p. 595)

the section called “[ES.3] Amazon Elasticsearch Service 도메인은 노드 간에 전송된 데이터를 암호화해야 함” (p. 597)

the section called “[GuardDuty.1] GuardDuty 티를 활성화해야 합니다.” (p. 598)

the section called “[IAM.3] IAM 사용자 액세스 키는 90일 이하마다 교체해야 합니다.” (p. 600)

the section called “[IAM.4] IAM 루트 사용자 액세스 키가 존재하지 않아야 합니다.” (p. 602)

the section called “[RDS.1] RDS 스냅샷은 비공개 상태여야 합니다.” (p. 612)

the section called “[RDS.9] 데이터베이스 로깅을 활성화해야 합니다.” (p. 618)

the section called “[RDS.10] RDS 인스턴스에 대해 IAM 인증을 구성해야 합니다.” (p. 620)

the section called “[RDS.14] Amazon Aurora 클러스터에는 역추적이 활성화되어 있어야 합니다.” (p. 622)

the section called “[Redshift.3] Amazon Redshift 클러스터에는 자동 스냅샷이 활성화되어 있어야 합니다.” (p. 625)

the section called “[S3.1] S3 블록 퍼블릭 액세스 설정을 활성화해야 합니다.” (p. 627)

the section called “[SageMaker.1] SageMaker 노트북 인스턴스는 인터넷에 직접 접속할 수 없어야 합니다.” (p. 633)

the section called “[SSM.2] Systems Manager 관리하는 모든 EC2 인스턴스는 패치 적용 요구 사항을 준수해야 합니다.” (p. 639)

the section called “[SSM.3] Systems Manager 관리하는 인스턴스의 연결 규정 준수 상태가 규정 준수여야 합니다.” (p. 640)


아시아 태평양(홍콩)다음 컨트롤은 아시아 태평양 (홍콩) 에서 지원되지 않습니다.

16

AWS Security Hub 사용 설명서아시아 태평양(뭄바이)











아시아 태평양(뭄바이)다음 컨트롤은 아시아 태평양 (뭄바이) 에서 지원되지 않습니다.









아시아 태평양(오사카)다음 컨트롤은 아시아 태평양 (오사카) 에서 지원되지 않습니다.


the section called “1.12 — 루트 계정 액세스 키가 없는지 여부를 확인합니다.” (p. 461)


17

AWS Security Hub 사용 설명서아시아 태평양(오사카)











the section called “[PCI.ES1] Amazon Elasticsearch Service 도메인은 VPC 있어야 합니다.” (p. 522)

the section called “[PCI.ES2] Amazon Elasticsearch Service 도메인에서 유휴 시 암호화를 활성화해야합니다.” (p. 523)


the section called “[PCI.IAM.1] IAM 루트 사용자 액세스 키가 없어야 합니다.” (p. 525)

the section called “[PCI.Lambda.1] Lambda 함수는 퍼블릭 액세스를 금지해야 합니다.” (p. 534)

the section called “[PCI.Lambda.2] Lambda 함수는 VPC에 있어야 합니다.” (p. 536)


the section called “[PCI.Redshift.1] Amazon Redshift 클러스터는 퍼블릭 액세스를 금지해야 합니다.” (p. 540)

the section called “[PCI.S3.6] S3 블록 퍼블릭 액세스 설정을 활성화해야 합니다.” (p. 547)




the section called “[ApiGateway.2] 백엔드 인증에 SSL 인증서를 사용하도록 API Gateway REST API 단계를 구성해야 합니다.” (p. 559)

the section called “[APIGateway.3] API Gateway REST API 스테이지는AWS X-Ray추적 활성화” (p. 560)

the section called “[ApiGateway.4] API GatewayAWS WAF웹 ACL” (p. 560)

18

AWS Security Hub 사용 설명서아시아 태평양(오사카)







the section called “[EC2.15] EC2 서브넷이 퍼블릭 IP 주소를 자동으로 할당해서는 안 됨” (p. 585)

the section called “[EC2.16] 사용하지 않는 네트워크 액세스 제어 목록을 제거해야 합니다.” (p. 586)

the section called “[EC2.17] EC2 인스턴스는 여러 ENI를 사용하지 않아야 합니다.” (p. 587)

the section called “[EC2.18] 보안 그룹은 승인된 포트에 대한 무제한 수신 트래픽만 허용해야함” (p. 587)

the section called “[ECS1] Amazon ECS 작업 정의에는 보안 네트워킹 모드와 사용자 정의가 있어야 합니다.” (p. 588)

the section called “[ElasticBeanstalk.1] Elastic Beanstalk 나무 환경에서는 향상된 상태 보고 기능이 활성화되어 있어야 합니다.” (p. 590)

the section called “[ElasticBeanstalk.2] Elastic Beanstalk 나무 관리 플랫폼 업데이트를 활성화해야 합니다.” (p. 591)


the section called “[IAM.21] 생성하는 IAM 고객 관리형 정책은 서비스에 대해 와일드카드 작업을 허용하지 않아야 함” (p. 606)

the section called “[Lambda.4] Lambda 함수에는 데드 레터 큐가 구성되어 있어야 합니다.” (p. 611)



the section called “[RDS.12] RDS 클러스터에 대해 IAM 인증을 구성해야 합니다.” (p. 621)

the section called “[RDS.13] RDS 자동 마이너 버전 업그레이드가 활성화되어야 함” (p. 622)


the section called “[RDS.15] RDS DB 클러스터가 여러 가용 영역에 대해 구성되어야 함” (p. 623)


the section called “[레드시프트.7] 아마존 Redshift 클러스터는 향상된 VPC 라우팅을 사용해야함” (p. 627)

the section called “버킷 수준에서 S3 블록 퍼블릭 액세스 설정을 활성화해야 합니다.” (p. 633)

19

AWS Security Hub 사용 설명서아시아 태평양(서울)

the section called “[비밀번호관리자.3] 사용하지 않는 Secrets Manager 비밀 제거” (p. 636)

the section called “[비밀번호관리자.4] Secrets Manager 비밀은 지정된 기간 (일) 내에 교체되어야 합니다.” (p. 637)


아시아 태평양(서울)다음 컨트롤은 아시아 태평양 (서울) 에서 지원되지 않습니다.









아시아 태평양(싱가포르)다음 컨트롤은 아시아 태평양 (싱가포르) 에서 지원되지 않습니다.









아시아 태평양(시드니)다음 컨트롤은 아시아 태평양 (시드니) 에서 지원되지 않습니다.

20

AWS Security Hub 사용 설명서아시아 태평양(도쿄)










아시아 태평양(도쿄)다음 컨트롤은 아시아 태평양 (도쿄) 에서 지원되지 않습니다.









캐나다(중부)다음 컨트롤은 캐나다 (중부) 에서 지원되지 않습니다.





21

AWS Security Hub 사용 설명서중국(베이징)





중국(베이징)다음 컨트롤은 중국 (베이징) 에서 지원되지 않습니다.


the section called “1.13 — “루트” 계정에 대해 MFA 가 활성화되어 있는지 여부를 확인합니다.” (p. 461)

the section called “1.14 — “루트” 계정에 대해 하드웨어 MFA 가 활성화되어 있는지 여부를 확인합니다.” (p. 462)



the section called “[PCI.IAM.4] 루트 사용자에 대해 하드웨어 MFA를 활성화해야 합니다.” (p. 528)

the section called “[PCI.IAM.5] 루트 사용자에 대해 가상 MFA를 활성화해야 합니다.” (p. 529)















22

AWS Security Hub 사용 설명서중국(닝샤)







the section called “[ES4] CloudWatch Logs 대한 Amazon Elasticsearch Service 도메인 오류 로깅이 활성화되어야 함” (p. 597)


the section called “[IAM.6] 루트 사용자에 대해 하드웨어 MFA를 활성화해야 합니다.” (p. 603)


the section called “[Lambda.1] Lambda 함수 정책은 퍼블릭 액세스를 금지해야 합니다.” (p. 609)

the section called “[Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야합니다.” (p. 611)

the section called “[RDS.7] RDS 클러스터에는 삭제 보호 기능이 활성화되어 있어야 합니다.” (p. 616)












중국(닝샤)다음 컨트롤은 중국 (닝샤) 에서 지원되지 않습니다.

23

AWS Security Hub 사용 설명서중국(닝샤)



























24

AWS Security Hub 사용 설명서유럽(프랑크푸르트)






the section called “[Lambda.1] Lambda 함수 정책은 퍼블릭 액세스를 금지해야 합니다.” (p. 609)

the section called “[Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야합니다.” (p. 611)

the section called “[Lambda.4] Lambda 함수에는 데드 레터 큐가 구성되어 있어야 합니다.” (p. 611)















유럽(프랑크푸르트)다음 컨트롤은 유럽 (프랑크푸르트) 에서 지원되지 않습니다.



25

AWS Security Hub 사용 설명서유럽(아일랜드)







유럽(아일랜드)다음 컨트롤은 유럽 (아일랜드) 에서 지원되지 않습니다.









유럽(런던)다음 컨트롤은 유럽 (런던) 에서 지원되지 않습니다.









26

AWS Security Hub 사용 설명서유럽(밀라노)

유럽(밀라노)다음 컨트롤은 유럽 (밀라노) 에서 지원되지 않습니다.


the section called “1.4 — 90일이 되기 전에 액세스 키가 교체되는지 여부를 확인합니다.” (p. 457)










the section called “[PCI.EC2.4] 사용되지 않는 EC2 EIP는 제거해야 합니다.” (p. 518)





the section called “[PCI.S3.6] S3 블록 퍼블릭 액세스 설정을 활성화해야 합니다.” (p. 547)





the section called “[APIGateway.1] API Gateway REST 및 WebSocket API 로깅을 활성화해야합니다.” (p. 559)


27

AWS Security Hub 사용 설명서유럽(밀라노)








the section called “[DMS.1]AWS Database Migration Service복제 인스턴스는 공용이 아니어야 합니다.” (p. 575)

the section called “[EC2.1] Amazon EBS 스냅샷은 공개되지 않아야 하며, 누구나 복원할 수 있는 기능에따라 결정됩니다.” (p. 577)

the section called “[EC2.3] 연결된 EBS 볼륨은 유휴 상태에서 암호화되어야 함” (p. 579)

the section called “[EC2.4] 중지된 EC2 인스턴스는 지정된 기간 후에 제거해야 합니다.” (p. 579)

the section called “[EC2.8] EC2 인스턴스는 IMDSv2를 사용해야 합니다.” (p. 582)

the section called “[EFS.1] Amazon EFS 사용하여 유휴 시 파일 데이터를 암호화하도록 구성해야 합니다.AWS KMS” (p. 589)



the section called “[ELBv2.1] 모든 HTTP 요청을 HTTPS로 리디렉션하도록 Application Load Balancer구성해야 합니다.” (p. 594)

the section called “[EMR.1] Amazon EMR 클러스터 마스터 노드에는 퍼블릭 IP 주소가 없어야 합니다.” (p. 595)



the section called “[IAM.3] IAM 사용자 액세스 키는 90일 이하마다 교체해야 합니다.” (p. 600)

the section called “[KMS.3]AWS KMS키가 의도하지 않게 삭제되어서는 안됩니다” (p. 609)

the section called “[RDS.1] RDS 스냅샷은 비공개 상태여야 합니다.” (p. 612)



the section called “[Redshift.2] Amazon Redshift 클러스터에 대한 연결은 전송 중에 암호화되어야 합니다.” (p. 625)

28

AWS Security Hub 사용 설명서유럽(파리)





the section called “[SSM.3] Systems Manager 관리하는 인스턴스의 연결 규정 준수 상태가 규정 준수여야 합니다.” (p. 640)


유럽(파리)다음 컨트롤은 유럽 (파리) 에서 지원되지 않습니다.









유럽(스톡홀름)다음 컨트롤은 유럽 (스톡홀름) 에서 지원되지 않습니다.







29

AWS Security Hub 사용 설명서중동(바레인)




중동(바레인)다음 컨트롤은 중동 (바레인) 에서 지원되지 않습니다.



the section called “[PCI.S3.6] S3 블록 퍼블릭 액세스 설정을 활성화해야 합니다.” (p. 547)the section called “AWS 기반 보안 모범 사례 표준” (p. 554)












the section called “[Redshift.6] 아마존 Redshift 는 주 버전으로 자동 업그레이드를 활성화해야 합니다.” (p. 626)




남아메리카(상파울루)다음 컨트롤은 남아메리카 (상파울루) 에서 지원되지 않습니다.

30

AWS Security Hub 사용 설명서AWS GovCloud(미국 동부)













AWS GovCloud(미국 동부)다음 컨트롤은 에서 지원되지 않습니다.AWSGovCloud (미국 동부)













31

AWS Security Hub 사용 설명서AWS GovCloud(미국 동부)











the section called “[DynamoDB.1] DynamoDB 테이블은 수요에 따라 용량을 자동으로 확장해야함” (p. 576)















32

AWS Security Hub 사용 설명서AWS GovCloud(미국 서부)







AWS GovCloud(미국 서부)다음 컨트롤은 에서 지원되지 않습니다.AWSGovCloud (미국 서부)








the section called “[PCI.IAM.5] 루트 사용자에 대해 가상 MFA를 활성화해야 합니다.” (p. 529)the section called “AWS 기반 보안 모범 사례 표준” (p. 554)









33

AWS Security Hub 사용 설명서AWS GovCloud(미국 서부)




the section called “[DynamoDB.1] DynamoDB 테이블은 수요에 따라 용량을 자동으로 확장해야함” (p. 576)




















34

AWS Security Hub 사용 설명서수동으로 Security Hub 활성화

설정AWSSecurity Hub와 통합되는 경우AWS Organizations을 사용하는 경우 조직에 속한 계정은 Security Hub 를 수동으로 사용하도록 설정할 필요가 없습니다.

조직 관리 계정은 Security Hub 관리자 계정을 지정합니다. 그러면 Security Hub 관리자 계정에 Security Hub자동으로 사용하도록 설정됩니다. 조직 관리 계정은 Security Hub 를 활성화할 필요가 없습니다. the sectioncalled “Security Hub 관리자 계정 지정” (p. 60)을(를) 참조하세요.

Security Hub 관리자 계정은 구성원 계정으로 사용할 조직 계정을 선택합니다. 이러한 계정에는 SecurityHub 도 자동으로 사용하도록 설정되어 있습니다. the section called “기관 구성원 계정 관리” (p. 63)을(를)참조하세요. 단, 조직 관리 계정은 예외입니다. Security Hub 관리자 계정이 조직 관리 계정을 구성원 계정으로 사용하려면 먼저 조직 관리 계정에서 Security Hub를 사용하도록 설정해야 합니다.

조직의 일부가 아닌 계정은 수동으로 Security Hub 를 사용하도록 설정해야 합니다. 그런 다음 관리자 계정이 구성원 계정으로 보내는 수동 초대를 통해 Security Hub 관리자-구성원 관계가 설정됩니다. the sectioncalled “기관에 속하지 않은 구성원 계정 관리” (p. 66)을(를) 참조하세요.

두 가지 유형의 활성화를 활성화하려면AWS Config이며, 보안 제어에 대한 보안 검사에 필요합니다. thesection called “AWS Config 활성화” (p. 7)을(를) 참조하세요.

목차• 수동으로 Security Hub 활성화 (p. 35)

• IAM 자격 증명에 필수 IAM 정책 연결 (p. 35)• Security Hub 사용 (콘솔) (p. 36)• Security Hub 사용 (Security Hub API,AWS CLI) (p. 36)• Security Hub 사용 (다중 계정 스크립트) (p. 36)

• Security Hub 에 할당된 서비스 연결 역할 (p. 37)

수동으로 Security Hub 활성화필수 정책을 IAM 자격 증명에 연결한 후 해당 자격 증명을 사용하여 Security Hub 를 활성화합니다. 에서Security Hub 를 활성화할 수 있습니다.AWS Management ConsoleAPI 사용

또한 Security Hub 여러 지역에서 여러 계정을 사용하도록 설정할 수 있는 GitHub 에 스크립트를 제공합니다.

IAM 자격 증명에 필수 IAM 정책 연결Security Hub 를 활성화하는 데 사용하는 IAM 자격 증명 (사용자, 역할 또는 그룹) 에는 필수 권한이 있어야합니다.

과의 통합을 활성화하는 경우AWS Organizations을 선택하면 조직의 계정이 자동으로 Security Hub 를 사용하도록 설정됩니다. 필요한 사용 권한도 자동으로 처리됩니다.

Organizations 사용하여 관리되지 않는 계정은 수동으로 Security Hub 를 사용하도록 설정해야 합니다.Security Hub 를 활성화하는 데 사용하는 IAM 자격 증명 (사용자, 역할 또는 그룹) 에는 필수 권한이 있어야합니다.

Security Hub 브를 사용하도록 설정하는 데 필요한 권한을 부여하려면 Security Hub 관리형 정책을AWSSecurityHubFullAccess (p. 50)을 IAM 사용자, 그룹 또는 역할로 할당합니다.

35

AWS Security Hub 사용 설명서Security Hub 사용 (콘솔)

Security Hub 사용 (콘솔)콘솔에서 Security Hub 를 활성화하면 지원되는 보안 표준을 활성화하는 옵션도 제공됩니다.

Security Hub 를 활성화하려면

1. IAM 자격 증명을 사용하여 Security Hub 콘솔에 로그인합니다.2. 처음으로 Security Hub 콘솔을 열 때는시작.3. 시작 페이지에서보안 표준에는 Security Hub에서 지원하는 보안 표준이 나열됩니다.

표준을 활성화하려면 해당 확인란을 선택합니다.

표준을 비활성화하려면 해당 확인란의 선택을 취소합니다.

언제든지 표준 또는 해당 개별 제어를 활성화하거나 비활성화할 수 있습니다. 보안 표준 및 관리 방법에대한 자세한 내용은 표준 및 제어 기능 (p. 434) 단원을 참조하십시오.

4. Enable Security Hub(Security Hub 활성화)를 선택합니다.

Security Hub 사용 (Security Hub API,AWS CLI)Security Hub 사용하도록 설정하려면 API 호출 또는AWS Command Line Interface.

Security Hub (보안 HubAPI,AWS CLI)

• API Security Hub—EnableSecurityHub작업을 실행합니다. API에서 Security Hub를 활성화하면 이러한 보안 표준이 자동으로 활성화됩니다.• CIS AWS 기반 벤치마크• AWS기반 보안 모범 사례 표준

이러한 표준을 사용하지 않으려면 EnableDefaultStandards를 false로 설정합니다.

뿐만 아니라Tags매개 변수를 사용하여 Hub 리소스에 태그 값을 할당합니다.• AWS CLI— 명령줄에서enable-security-hub명령입니다. 기본 표준을 활성화하려면--enable-default-standards. 기본 표준을 활성화하지 않으려면--no-enable-default-standards.

aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

예

aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

Security Hub 를 활성화하면 표준을 활성화하거나 비활성화할 수 있습니다. the section called “보안 표준 비활성화 또는 활성화” (p. 443)을(를) 참조하세요.

Security Hub 사용 (다중 계정 스크립트)이GitHub 의 Security Hub 다중 계정 활성화 스크립트를 사용하면 계정 및 지역에서 Security Hub 사용하도록 설정할 수 있습니다. 또한 이 스크립트는 구성원 계정에 초대장을 보내고AWS Config.

스크립트는 모든 지역의 글로벌 리소스를 포함한 모든 리소스에 대한 리소스 기록을 자동으로 활성화합니다.글로벌 리소스의 기록을 단일 리전으로 제한하지는 않습니다.

36

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableSecurityHub.html

https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-security-hub.html


AWS Security Hub 사용 설명서Security Hub 에 할당된 서비스 연결 역할

계정 및 지역에서 Security Hub 를 사용하지 않도록 설정하는 해당 스크립트가 있습니다.

추가 정보 파일은 스크립트 사용 방법에 대한 세부 정보를 제공합니다. 여기에는 다음 정보가 포함됩니다.

• 계정에 필요한 IAM 정책을 추가하는 방법• 실행 환경을 구성하는 방법• 스크립트를 실행하는 방법

Security Hub 에 할당된 서비스 연결 역할Security Hub 를 활성화하면 라는 서비스 연결 역할이 할당됩니다.AWSServiceRoleForSecurityHub. 이서비스 연결 역할에는 Security Hub 에서 다음을 수행하는 데 필요한 권한 및 신뢰 정책이 포함됩니다.

• Amazon GuardDuty, Amazon Inspector 및 Amazon Macie 의 결과를 탐지하고 집계합니다.• 지원되는 표준(이 릴리스에서는 CIS AWS Foundations)에 대해 보안 점검을 실행하기 위해 필요한 AWS

Config 인프라 구성

의 세부 정보를 보려면AWSServiceRoleForSecurityHub에 있는Security Hub 활성화페이지에서서비스역할 권한 보기. 자세한 내용은 AWS Security Hub에 서비스 연결 역할 사용 (p. 48) 단원을 참조하십시오.

서비스 연결 역할에 대한 자세한 내용은서비스 연결 역할 사용의IAM 사용 설명서.

37

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html

AWS Security Hub 사용 설명서데이터 보호

AWS Security Hub의 보안AWS에서 클라우드 보안을 가장 중요하게 생각합니다. AWS 고객은 보안에 매우 보안에 민감한 조직의 요구사항에 부합하도록 구축된 데이터 센터 및 네트워크 아키텍처의 혜택을 누릴 수 있습니다.

보안은 AWS와 귀하의 공동 책임입니다. 공동 책임 모델은 이 사항을 클라우드 내 보안 및 클라우드의 보안으로 설명합니다.

• 클라우드의 보안–AWS는 실행되는 인프라를 보호해야 합니다.AWS의 서비스AWS클라우드.AWS또한 는안전하게 사용할 수 있는 서비스를 제공합니다. 타사 감사원은 정기적으로 AWS 규제 준수 프로그램의 일환으로 보안 효과를 테스트하고 검증합니다. AWS Security Hub에 적용되는 규정 준수 프로그램에 대한 자세한 내용은 규정 준수 프로그램 제공 범위 내의 AWS 서비스를 참조하십시오.

• 클라우드에서의 보안— 귀하의 책임은AWS서비스를 사용할 수 있습니다. 또한 귀하는 데이터의 민감도,회사 요구 사항, 관련 법률 및 규정을 비롯한 기타 요소에 대해서도 책임이 있습니다.

이 설명서는 Security Hub 를 사용할 때 공동 책임 모델을 적용하는 방법을 이해하는 데 도움이 됩니다. 다음주제에서는 보안 및 규정 준수 목적에 맞게 Security Hub 를 구성하는 방법을 보여줍니다. 또한 다른 사용 방법을 배우려면AWS서비스를 통해 Security Hub 리소스를 모니터링하고 보호하는 데 도움이 됩니다.

주제• AWS Security Hub의 데이터 보호 (p. 38)• AWS의 자격 증명 및 액세스 관리AWS Security Hub (p. 39)• AWS Security Hub에 서비스 연결 역할 사용 (p. 48)• AWS의 관리형 정책AWSSecurity Hub (p. 50)• AWS Security Hub의 규정 준수 확인 (p. 54)• AWS Security Hub의 인프라 보안 (p. 55)

AWS Security Hub의 데이터 보호AWS 공동 책임 모델은 AWS Security Hub의 데이터 보호에 적용됩니다. 이 모델에서 설명한 바와 같이AWS는 모든 애플리케이션을 실행하는 글로벌 인프라를 보호해야 합니다. AWS 클라우드 . 이 인프라에서 호스팅되는 콘텐츠에 대한 제어를 유지하는 것은 사용자의 책임입니다. 이 콘텐츠에는 사용하는 AWS 서비스에 대한 보안 구성 및 관리 작업이 포함됩니다. 데이터 프라이버시에 대한 자세한 내용은 데이터 프라이버시 FAQ를 참조하세요. 유럽의 데이터 보호에 대한 자세한 내용은 AWS 보안 블로그에서 AWS SharedResponsibility Model and GDPR 블로그 게시물을 참조하세요.

데이터를 보호하려면 데이터를 보호하려면 AWS 계정 자격 증명을 사용하여 개별 사용자 계정을 설정할 수있습니다.AWS Identity and Access Management(IAM). 이러한 방식에서는 각 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여됩니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.

• 각 계정마다 멀티 팩터 인증(MFA)을 사용합니다.• SSL/TLS를 사용하여 AWS 리소스와 통신합니다. TLS 1.2 이상을 권장합니다.• 로 API 및 사용자 활동 로깅을 설정합니다AWS CloudTrail• AWS 암호화 솔루션을 AWS 서비스 내의 모든 기본 보안 컨트롤과 함께 사용합니다.• Amazon S3에 저장된 개인 데이터를 검색하고 보호하는 데 도움이 되는 Amazon Macie와 같은 고급 관리

형 보안 서비스를 사용합니다.• 명령줄 인터페이스 또는 API를 통해 AWS에 액세스할 때 FIPS 140-2 검증된 암호화 모듈이 필요한 경우

FIPS 엔드포인트를 사용합니다. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 Federal InformationProcessing Standard(FIPS) 140-2를 참조하십시오.

38

http://aws.amazon.com/compliance/shared-responsibility-model/

http://aws.amazon.com/compliance/programs/

http://aws.amazon.com/compliance/services-in-scope/

http://aws.amazon.com/compliance/shared-responsibility-model/

http://aws.amazon.com/compliance/data-privacy-faq

http://aws.amazon.com/compliance/data-privacy-faq

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

http://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/

http://aws.amazon.com/compliance/fips/

http://aws.amazon.com/compliance/fips/

AWS Security Hub 사용 설명서AWSID 및 액세스 관리

이러한 태그 또는 자유 형식 필드에 고객 이메일 주소와 같은 중요 정보를 절대 입력하지 마십시오.이름필드.여기에는 Security Hub 기타AWS콘솔, API,AWS CLI또는AWSSDK 이름에 사용되는 태그 또는 무형식 필드에 입력한 데이터는 청구 또는 진단 로그에 사용될 수 있습니다. 외부 서버에 URL을 제공할 경우 해당 서버에 대한 요청을 검증하기 위해 자격 증명 정보를 URL에 포함하지 마십시오.

Security Hub 는 멀티 테넌트 서비스를 제공합니다. 데이터를 보호하려면 Security Hub 는 저장된 데이터와구성 요소 서비스 간 전송되는 데이터를 암호화합니다.

AWS의 자격 증명 및 액세스 관리AWS Security HubAWS Identity and Access Management(IAM)는 관리자가 AWS 리소스에 대한 액세스를 안전하게 제어할 수있도록 지원하는 AWS 서비스입니다. IAM 관리자가 사용자를 제어할 수 있습니다.인증(로그인) 및권한 부여(사용 권한 있음) 을 사용하여 Security Hub 리소스를 사용할 수 있습니다. IAM은 추가 비용 없이 사용할 수있는 AWS 서비스입니다.

주제• Audience (p. 39)• 자격 증명을 통한 인증 (p. 39)• AWS 계정 루트 사용자 (p. 40)• IAM 사용자 및 그룹 (p. 40)• IAM 역할 (p. 40)• 정책을 사용하여 액세스 관리 (p. 41)• AWS Security Hub에서 IAM을 사용하는 방식 (p. 43)

Audience사용 방법AWS Identity and Access Management(IAM) 은 Security Hub 에서 수행하는 작업에 따라 달라집니다.

서비스 사용자— Security Hub 서비스를 사용하여 작업을 수행하는 경우 필요한 자격 증명과 권한을 관리자가 제공합니다. 추가 Security Hub 기능을 사용하여 작업을 수행한다면 추가 권한이 필요할 수 있습니다. 액세스 권한 관리 방식을 이해하면 적절한 권한을 관리자에게 요청할 수 있습니다. Security Hub 기능에 액세스할 수 없는 경우AWS Security Hub 자격 증명 및 액세스 문제 해결 (p. 46).

서비스 관리자— 회사에서 Security Hub 리소스를 책임지고 있는 경우 보안 허브에 대한 전체 액세스를 가지고 있을 것입니다. 서비스 관리자는 직원이 액세스해야 하는 Security Hub 기능과 리소스를 결정합니다. 그런다음 IAM 관리자에게 요청을 제출하여 서비스 사용자의 권한을 변경해야 합니다. 이 페이지의 정보를 검토하여 IAM의 기본 개념을 이해하십시오. 회사가 Security Hub 에서 IAM을 사용할 수 있는 방법에 대해 자세히알아보려면 단원을 참조하십시오.AWS Security Hub에서 IAM을 사용하는 방식 (p. 43).

IAM 관리자IAM 관리자는 Security Hub 에 대한 액세스 권한을 관리할 수 있는 정책을 작성하는 방법에 대해자세히 알아보고 싶을 수 있습니다. IAM에서 사용할 수 있는 예제 Security Hub 자격 증명 기반 정책 예제를보려면 단원을 참조하십시오.AWS Security Hub 자격 증명 기반 정책 예제 (p. 45).

자격 증명을 통한 인증인증은 ID 자격 증명을 사용하여 AWS에 로그인하는 방식입니다. AWS Management Console을 사용한 로그인에 대한 자세한 내용은 IAM 사용 설명서의 IAM 사용자 또는 루트 사용자로 AWS Management Console에 로그인을 참조하세요.

다음을 수행해야 합니다.인증(에 로그인한 계정AWS) 을 AWS 계정 루트 사용자, IAM 사용자 또는 IAM 역할을 수임하여 작업을 수행할 수 있습니다. 회사의 Single Sign-On 인증을 사용하거나 Google 또는 Facebook

39

https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/console.html

AWS Security Hub 사용 설명서AWS 계정 루트 사용자

을 사용하여 로그인할 수도 있습니다. 이러한 경우 관리자는 이전에 IAM 역할을 사용하여 자격 증명 연동을설정한 것입니다. 다른 회사의 자격 증명을 사용하여 AWS에 액세스하면 간접적으로 역할을 가정하는 것입니다.

AWS Management Console에 직접 로그인하려면 루트 사용자 이메일 주소 또는 IAM 사용자 이름과 암호를사용하세요. 루트 사용자 또는 IAM 사용자 액세스 키를 사용하여 프로그래밍 방식으로 AWS에 액세스할 수있습니다. AWS는 자격 증명을 사용하여 암호화 방식으로 요청에 서명할 수 있는 SDK 및 명령줄 도구를 제공합니다. AWS 도구를 사용하지 않는 경우 요청에 직접 서명해야 합니다. 이렇게 하려면 인바운드 API 요청을 인증하기 위한 프로토콜인 서명 버전 4를 사용합니다. 요청 인증에 대한 자세한 내용은 AWS 일반 참조의서명 버전 4 서명 프로세스를 참조하세요.

사용하는 인증 방법에 상관 없이 추가 보안 정보를 제공해야 할 수도 있습니다. 예를 들어, AWS는 멀티 팩터인증(MFA)을 사용하여 계정의 보안을 강화하는 것을 권장합니다. 자세한 내용은 IAM 사용 설명서의 AWS에서 Multi-Factor Authentication(MFA) 사용을 참조하세요.

AWS 계정 루트 사용자처음 만들 때 AWS 계정 에서 전체 액세스 권한을 지닌 단일 로그인 자격 증명으로 시작합니다.AWS서비스및 계정의 리소스를 사용할 수 있습니다. 이 자격 증명을 호출 하는 AWS 계정 루트 사용자로 설정되어 있으며, 계정을 생성할 때 사용한 이메일 주소와 암호로 로그인하여 액세스합니다. 일상적인 작업, 심지어 관리작업의 경우에도 루트 사용자를 사용하지 마실 것을 강력히 권장합니다. 대신, IAM 사용자를 처음 생성할 때만 루트 사용자를 사용하는 모범 사례를 준수합니다. 그런 다음 루트 사용자 자격 증명을 안전하게 보관하고몇 가지 계정 및 서비스 관리 작업을 수행할 때만 사용합니다.

IAM 사용자 및 그룹원래 요청 ping에 대한IAM 사용자내 신분입니다 AWS 계정 는 단일 개인 또는 애플리케이션에 대한 특정 권한을 가지고 있습니다. IAM 사용자에게 사용자 이름과 암호 또는 액세스 키 세트와 같은 장기 자격 증명이 있을 수 있습니다. 액세스 키를 생성하는 방법은 IAM 사용 설명서의 IAM 사용자의 액세스 키 관리를 참조하십시오. IAM 사용자의 액세스 키를 생성할 때는 키 페어를 보고 안전하게 저장해야 합니다. 향후에 보안 액세스키를 복구할 수 없습니다. 그 대신 새 액세스 키 페어를 생성해야 합니다.

IAM 그룹은 IAM 사용자 컬렉션을 지정하는 자격 증명입니다. 그룹으로 로그인할 수 없습니다. 그룹을 사용하여 여러 사용자의 권한을 한 번에 지정할 수 있습니다. 그룹을 사용하면 대규모 사용자 집합의 권한을 더쉽게 관리할 수 있습니다. 예를 들어, IAMAdmins라는 그룹이 있고 이 그룹에 IAM 리소스를 관리할 권한을 부여할 수 있습니다.

사용자는 역할과 다릅니다. 사용자는 한 사람 또는 애플리케이션과 고유하게 연결되지만, 역할은 해당 역할이 필요한 사람이라면 누구나 수임할 수 있습니다. 사용자는 영구적인 장기 자격 증명을 가지고 있지만, 역할은 임시 자격 증명만 제공합니다. 자세한 내용은 IAM 사용 설명서의 IAM 사용자를 만들어야 하는 경우(역할이 아님)를 참조하세요.

IAM 역할원래 요청 ping에 대한IAM 역할내 신분입니다 AWS 계정 에서 특정 권한을 가지고 있는 권한을 갖습니다.IAM 사용자와 유사하지만, 특정 개인과 연결되지 않습니다. 역할을 전환하여 AWS Management Console에서 IAM 역할을 임시로 맡을 수 있습니다. AWS CLI 또는 AWS API 작업을 호출하거나 사용자 지정 URL을 사용하여 역할을 수임할 수 있습니다. 역할 사용 방법에 대한 자세한 내용은 IAM 사용 설명서의 IAM 역할 사용을 참조하십시오.

임시 자격 증명이 있는 IAM 역할은 다음과 같은 상황에서 유용합니다.

• 임시 IAM 사용자 권한 - IAM 사용자는 IAM 역할을 수임하여 특정 작업에 대한 다양한 권한을 임시로 받을수 있습니다.

• 연합된 사용자 액세스 – IAM 사용자를 생성하는 대신 AWS Directory Service의 기존 자격 증명, 엔터프라이즈 사용자 디렉터리 또는 웹 자격 증명 공급자를 사용할 수 있습니다. 이 사용자를 연합된 사용자라고 합

40

https://console.aws.amazon.com/

https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#create-iam-users

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html

AWS Security Hub 사용 설명서정책을 사용하여 액세스 관리

니다. AWS에서는 ID 공급자를 통해 액세스가 요청되면 연합된 사용자에게 역할을 할당합니다. 연합된 사용자에 대한 자세한 내용은 IAM 사용 설명서의 연합된 사용자 및 역할을 참조하십시오.

• 교차 계정 액세스 - IAM 역할을 사용하여 다른 계정의 사용자(신뢰할 수 있는 보안 주체)가 내 계정의 리소스에 액세스하도록 허용할 수 있습니다. 역할은 교차 계정 액세스를 부여하는 기본적인 방법입니다. 그러나 일부 AWS 서비스를 사용하면 역할을 프록시로 사용하는 대신 리소스에 정책을 직접 연결할 수 있습니다. 교차 계정 액세스를 위한 역할과 리소스 기반 정책의 차이점을 알아보려면 IAM 사용 설명서의 IAM 역할과 리소스 기반 정책의 차이를 참조하십시오.

• 교차 서비스 액세스 – AWS 서비스는 다른 AWS 서비스의 기능을 사용합니다. 예를 들어 서비스에서 호출을 수행하면 일반적으로 해당 서비스는 Amazon EC2에서 애플리케이션을 실행하거나 Amazon S3에 객체를 저장합니다. 서비스는 호출하는 보안 주체의 권한을 사용하거나, 서비스 역할을 사용하거나, 또는 서비스 연결 역할을 사용하여 이 작업을 수행할 수 있습니다.• 보안 주체 권한 – IAM 사용자 또는 역할을 사용하여 AWS에서 작업을 수행하는 사람은 보안 주체로 간

주됩니다. 정책은 보안 주체에게 권한을 부여합니다. 일부 서비스를 사용할 때는 다른 서비스에서 다른작업을 트리거하는 작업을 수행할 수 있습니다. 이 경우 두 작업을 모두 수행할 수 있는 권한이 있어야합니다. 작업에 정책에서 추가 종속 작업이 필요한지 여부를 확인하려면에 사용되는 작업, 리소스 및 조건 키AWS Security Hub의서비스 승인 참조.

• 서비스 역할 - 서비스 역할은 서비스가 사용자를 대신하여 작업을 수행하기 위해 수임하는 IAM 역할입니다. 서비스 역할은 해당 계정 내에서만 액세스를 제공하며 다른 계정의 서비스에 대한 액세스를 부여하는 데 사용할 수 없습니다. IAM 관리자는 IAM 내에서 서비스 역할을 생성, 수정 및 삭제할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 AWS 서비스에 대한 권한을 위임할 역할 생성을 참조하세요.

• 서비스 연결 역할 – 서비스 연결 역할은 AWS 서비스에 연결된 서비스 역할의 한 유형입니다. 서비스는사용자를 대신하여 작업을 수행하기 위해 역할을 수임할 수 있습니다. 서비스 연결 역할은 IAM 계정에나타나고, 서비스가 소유합니다. IAM 관리자는 서비스 연결 역할의 권한을 볼 수 있지만 편집은 할 수 없습니다.

• Amazon EC2에서 실행 중인 애플리케이션 – IAM 역할을 사용하여 EC2 인스턴스에서 실행되고 AWS CLI또는 AWS API 요청을 수행하는 애플리케이션의 임시 자격 증명을 관리할 수 있습니다. 이는 EC2 인스턴스 내에 액세스 키를 저장할 때 권장되는 방법입니다. EC2 인스턴스에 AWS 역할을 할당하고 해당 역할을모든 애플리케이션에서 사용할 수 있도록 하려면 인스턴스에 연결된 인스턴스 프로파일을 생성합니다. 인스턴스 프로파일에는 역할이 포함되어 있으며 EC2 인스턴스에서 실행되는 프로그램이 임시 자격 증명을얻을 수 있습니다. 자세한 내용은 IAM 사용 설명서의 IAM 역할을 사용하여 Amazon EC2 인스턴스에서 실행되는 애플리케이션에 권한 부여를 참조하십시오.

IAM 역할을 사용할지 또는 IAM 사용자를 사용할지를 알아보려면 IAM 사용 설명서의 IAM 역할(사용자 대신)을 생성하는 경우를 참조하십시오.

정책을 사용하여 액세스 관리정책을 생성하고 IAM 자격 증명 또는 AWS 리소스에 연결하여 AWS에서 액세스를 제어합니다. 정책은 자격증명 또는 리소스에 연결될 때 해당 권한을 정의하는 AWS의 객체입니다. 루트 사용자 또는 IAM 사용자로 로그인하거나 IAM 역할을 수임할 수 있습니다. 그런 다음 요청을 수행하면 AWS는 관련 자격 증명 기반 또는리소스 기반 정책을 평가합니다. 정책에서 권한은 요청이 허용되거나 거부되는지 여부를 결정합니다. 대부분의 정책은 AWS에 JSON 문서로서 저장됩니다. JSON 정책 문서의 구조와 콘텐츠에 대한 자세한 내용은 IAM사용 설명서의 JSON 정책 개요를 참조하십시오.

관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지를 지정할 수 있습니다. 즉, 어떤 보안 주체가 어떤 리소스와 어떤 조건에서 작업을 수행 할 수 있는지를 지정할 수 있습니다.

모든 IAM 개체(사용자 또는 역할)는 처음에는 권한이 없습니다. 다시 말해, 기본적으로 사용자는 아무 작업도수행할 수 없으며, 자신의 암호를 변경할 수도 없습니다. 사용자에게 작업을 수행할 권한을 부여하기 위해 관리자는 사용자에게 권한 정책을 연결해야 합니다. 또한 관리자는 의도한 권한을 가지고 있는 그룹에 사용자를 추가할 수 있습니다. 관리자가 그룹에 권한을 부여하면 그룹의 모든 사용자가 해당 권한을 받습니다.

IAM 정책은 작업을 수행하기 위해 사용하는 방법과 상관없이 작업에 대한 권한을 정의합니다. 예를 들어,iam:GetRole 작업을 허용하는 정책이 있다고 가정합니다. 해당 정책이 있는 사용자는 AWS ManagementConsole, AWS CLI 또는 AWS API에서 역할 정보를 가져올 수 있습니다.

41

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_access-management.html#intro-access-roles

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html


https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html

https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role

https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json

AWS Security Hub 사용 설명서정책을 사용하여 액세스 관리

자격 증명 기반 정책자격 증명 기반 정책은 IAM 사용자, 사용자 그룹 또는 역할과 같은 자격 증명에 연결할 수 있는 JSON 권한정책 문서입니다. 이러한 정책은 사용자와 역할이 어떤 리소스와 어떤 조건에서 어떤 작업을 수행할 수 있는지를 제어합니다. 자격 증명 기반 정책을 생성하는 방법을 알아보려면 IAM 사용 설명서의 IAM 정책 생성을참조하십시오.

자격 증명 기반 정책은 인라인 정책 또는 관리형 정책으로 한층 더 분류할 수 있습니다. 인라인 정책은 단일사용자, 그룹 또는 역할에 직접 포함됩니다. 관리형 정책은 관리형 정책으로, 여러 사용자, 그룹 및 역할에게독립적으로 추가할 수 있습니다. AWS 계정 . 관리형 정책에는 AWS 관리형 정책과 고객 관리형 정책이 포함되어 있습니다. 관리형 정책 또는 인라인 정책을 선택하는 방법을 알아보려면 IAM 사용 설명서의 관리형 정책과 인라인 정책의 선택을 참조하십시오.

리소스 기반 정책리소스 기반 정책은 리소스에 연결하는 JSON 정책 문서입니다. 리소스 기반 정책의 예는 IAM 역할 신뢰 정책과 Amazon S3 버킷 정책입니다. 리소스 기반 정책을 지원하는 서비스에서 서비스 관리자는 이러한 정책을 사용하여 특정 리소스에 대한 액세스를 제어할 수 있습니다. 정책이 연결된 리소스의 경우 정책은 지정된보안 주체가 해당 리소스와 어떤 조건에서 어떤 작업을 수행할 수 있는지를 정의합니다. 리소스 기반 정책에서 보안 주체를 지정해야 합니다. 보안 주체에는 계정, 사용자, 역할, 연합된 사용자 또는 AWS 서비스가 포함될 수 있습니다.

리소스 기반 정책은 해당 서비스에 있는 인라인 정책입니다. 리소스 기반 정책에서는 IAM의 AWS 관리형 정책을 사용할 수 없습니다.

기타 정책 유형AWS는 비교적 일반적이지 않은 추가 정책 유형을 지원합니다. 이러한 정책 유형은 더 일반적인 정책 유형에따라 사용자에게 부여되는 최대 권한을 설정할 수 있습니다.

• 권한 경계 – 권한 경계는 자격 증명 기반 정책이 IAM 개체(IAM 사용자 또는 역할)에 부여할 수 있는 최대권한을 설정하는 고급 기능입니다. 엔터티에 대한 권한 경계를 설정할 수 있습니다. 그 결과로 얻는 권한은개체의 자격 증명 기반 정책과 그 권한 경계의 교집합입니다. Principal 필드에서 사용자나 역할을 보안주체로 지정하는 리소스 기반 정책은 권한 경계를 통해 제한되지 않습니다. 이러한 정책 중 하나에 포함된명시적 거부는 허용을 재정의합니다. 권한 경계에 대한 자세한 내용은 IAM 사용 설명서의 IAM 개체에 대한 권한 경계를 참조하십시오.

• 서비스 제어 정책(SCP)— SCP는 조직 또는 조직 단위 (OU) 에 최대 권한을 지정하는 JSON 정책입니다.AWS Organizations.AWS Organizations는 여러 그룹을 그룹화하고 중앙에서 관리할 수 있는 서비스입니다. AWS 계정 귀하의 비즈니스가 소유하고 있습니다. 조직에서 모든 기능을 활성화할 경우 서비스제어 정책(SCP)을 임의의 또는 모든 계정에 적용할 수 있습니다. SCP는 각 를 비롯하여 멤버 계정의 엔터티에 대한 권한을 제한합니다. AWS 계정 루트 사용자입니다. 조직 및 SCP에 대한 자세한 내용은 AWSOrganizations 사용 설명서의 SCP 작동 방식을 참조하세요.

• 세션 정책 – 세션 정책은 역할 또는 연합된 사용자에 대해 임시 세션을 프로그래밍 방식으로 생성할 때 파라미터로 전달하는 고급 정책입니다. 결과적으로 얻는 세션의 권한은 사용자 또는 역할의 자격 증명 기반정책의 교차와 세션 정책입니다. 또한 권한을 리소스 기반 정책에서 가져올 수도 있습니다. 이러한 정책 중하나에 포함된 명시적 거부는 허용을 재정의합니다. 자세한 내용은 IAM 사용 설명서의 세션 정책을 참조하십시오.

여러 정책 유형여러 정책 유형이 요청에 적용되는 경우 결과 권한은 이해하기가 더 복잡합니다. 여러 정책 유형이 관련될 때AWS가 요청을 허용할지 여부를 결정하는 방법을 알아보려면 IAM 사용 설명서의 정책 평가 로직을 참조하세요.

42

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html

https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_about-scps.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html

AWS Security Hub 사용 설명서AWS Security Hub에서 IAM을 사용하는 방식

AWS Security Hub에서 IAM을 사용하는 방식IAM을 사용하여 Security Hub 대한 액세스를 관리하기 전에 보안 허브에서 사용할 수 있는 IAM 기능을 이해해야 합니다. Security Hub 및 기타 방법에 대한 상위 수준 보기를 보려면AWS서비스가 IAM으로 작업하는방법에 대한 자세한 내용은AWSIAM으로 작업하는 서비스의IAM 사용 설명서.

주제• Security Hub (p. 43)• Security Hub 리소스 기반 정책 (지원되지 않음) (p. 44)• Security Hub 태그 기반 권한 부여 (p. 45)• IAM Security Hub (p. 45)• 서비스 연결 역할 (p. 45)• 서비스 역할 (p. 45)• AWS Security Hub 자격 증명 기반 정책 예제 (p. 45)

Security HubIAM 자격 증명 기반 정책을 사용하면 허용되거나 거부되는 작업과 리소스뿐 아니라 작업이 허용되거나 거부되는 조건을 지정할 수 있습니다. Security Hub 는 특정 작업, 리소스 및 조건 키를 지원합니다. JSON 정책에서 사용하는 모든 요소에 대해 알고 싶다면 IAM 사용 설명서의 IAM JSON 정책 요소 참조를 참조하세요.

Actions


JSON 정책의 Action 요소는 정책에서 액세스를 허용하거나 거부하는 데 사용할 수 있는 작업을 설명합니다. 일반적으로 정책 작업의 이름은 연결된 AWS API 작업의 이름과 동일합니다. 일치하는 API 작업이 없는권한 전용 작업 같은 몇 가지 예외도 있습니다. 정책에서 여러 작업이 필요한 몇 가지 작업도 있습니다. 이러한 추가 작업을 종속 작업이라고 합니다.

연결된 작업을 수행할 수 있는 권한을 부여하기 위한 정책에 작업을 포함시킵니다.

Security Hub 정책 작업은 작업 앞에 접두사를 사용합니다. securityhub:. 예를 들어 Security Hub사용을 설정할 수 있는 권한을 사용자에게 부여하려면EnableSecurityHubAPI 작업을 사용하는 경우securityhub:EnableSecurityHub작업을 해당 사용자에게 할당된 정책에서 수행할 수 있습니다. 정책 설명에는 Action 또는 NotAction 요소가 반드시 추가되어야 합니다. Security Hub 는 이 서비스로 수행할 수 있는 작업을 설명하는 고유한 작업 세트를 정의합니다.

명령문 하나에 여러 작업을 지정하려면 다음과 같이 쉼표로 구분합니다.

"Action": [ "securityhub:action1", "securityhub:action2"

와일드카드(*)를 사용하여 여러 작업을 지정할 수 있습니다. 예를 들어, Get이라는 단어로 시작하는 모든 작업을 지정하려면 정책에 다음 행을 포함합니다.

"Action": "securityhub:Get*"

Security Hub 작업 목록을 보려면에서 정의한 작업AWS Security Hub의서비스 승인 참조.

43

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html

https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-actions-as-permissions


Resources


Resource JSON 정책 요소는 작업이 적용되는 하나 이상의 객체를 지정합니다. 문에는 Resource 또는NotResource 요소가 반드시 추가되어야 합니다. 모범 사례에 따라 Amazon 리소스 이름(ARN)을 사용하여리소스를 지정합니다. 리소스 수준 권한이라고 하는 특정 리소스 유형을 지원하는 작업에 대해 이 작업을 수행할 수 있습니다.

작업 나열과 같이 리소스 수준 권한을 지원하지 않는 작업의 경우 와일드카드(*)를 사용하여 명령문이 모든리소스에 적용됨을 나타냅니다.

"Resource": "*"

ARN 형식에 대한 자세한 내용은 Amazon 리소스 이름(ARN) 및 AWS 서비스 네임스페이스를 참조하십시오.

Security Hub 리소스 유형 및 해당 ARN 목록을 보려면정의된 리소스 유형AWS Security Hub의서비스 승인 참조. 각 리소스의 ARN 지정할 수 있는 작업을 알아보려면 단원을 참조하십시오.에서 정의한 작업AWSSecurity Hub.

조건 키


Condition 요소(또는 Condition 블록)를 사용하면 정책이 발효되는 조건을 지정할 수 있습니다.Condition 요소는 선택 사항입니다. 같음이나 미만 같은 조건 연산자를 사용하여 정책의 조건을 요청의 값과 일치시키는 조건식을 생성할 수 있습니다.

한 문에서 여러 Condition 요소를 지정하거나 단일 Condition 요소에서 여러 키를 지정하는 경우 AWS는 논리적 AND 작업을 사용하여 평가합니다. 단일 조건 키의 여러 값을 지정하는 경우 AWS는 논리적 OR 작업을 사용하여 조건을 평가합니다. 문의 권한을 부여하기 전에 모든 조건을 충족해야 합니다.

조건을 지정할 때 자리표시자 변수를 사용할 수도 있습니다. 예를 들어, IAM 사용자에게 IAM 사용자 이름으로 태그가 지정된 경우에만 리소스에 액세스할 수 있는 권한을 부여할 수 있습니다. 자세한 내용은 IAM 사용설명서의 IAM 정책 요소: 변수 및 태그를 참조하십시오.

AWS는 전역 조건 키와 서비스별 조건 키를 지원합니다. 모든 AWS 전역 조건 키를 보려면 IAM 사용 설명서의 AWS 전역 조건 컨텍스트 키를 참조하세요.

자체 Security Hub 키 집합을 정의하며 일부 전역 조건 키 사용도 지원합니다. 모든 AWS 전역 조건 키를 보려면 IAM 사용 설명서의 AWS 전역 조건 컨텍스트 키를 참조하세요.

Security Hub 작업은securityhub:TargetAccount조건 키를 사용합니다.

에 대한 액세스를 제어하려면BatchUpdateFindings를 지원하는 SecurityHubsecurityhub.ASFFSyntaxPath조건 키를 사용합니다. 에 대한 액세스 구성에 대한 자세한 내용은BatchUpdateFindings에 대한 자세한 내용은the section called “에 대한 액세스 구성BatchUpdateFindings” (p. 91).

Security Hub 조건 키 목록을 보려면의 조건 키AWS Security Hub의서비스 승인 참조. 조건 키를 사용할 수있는 작업과 리소스를 알아보려면에서 정의한 작업AWS Security Hub.

Security Hub 리소스 기반 정책 (지원되지 않음)Security Hub 는 리소스 기반 정책을 지원하지 않습니다.

44

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html

https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html

https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-resources-for-iam-policies



https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html



https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssecurityhub.html#awssecurityhub-policy-keys



Security Hub 태그 기반 권한 부여태그를 Security Hub 리소스에 추가하거나 요청을 통해 태그를 보안 허브에 전달할 수 있습니다. 태그를 기반으로 액세스를 제어하려면 securityhub:ResourceTag/key-name, aws:RequestTag/key-name 또는aws:TagKeys 조건 키를 사용하여 정책의 조건 요소에 태그 정보를 제공합니다.

IAM Security HubIAM 역할은 특정 권한을 가지고 있는 AWS 계정 내 개체입니다.

Security Hub 에서 임시 자격 증명 사용

임시 자격 증명을 사용하여 페더레이션을 통해 로그인하거나, IAM 역할을 맡거나, 교차 계정 역할을 맡을 수있습니다. AssumeRole 또는 GetFederationToken 같은 AWS STS API 작업을 호출하여 임시 보안 자격 증명을 가져옵니다.

Security Hub 는 임시 자격 증명 사용을 지원합니다

서비스 연결 역할서비스 연결 역할을 사용하면 AWS 제품이 다른 서비스의 리소스에 액세스하여 사용자 대신 작업을 완료할수 있습니다. 서비스 연결 역할은 IAM 계정에 나타나고, 서비스가 소유합니다. IAM 관리자는 서비스 연결 역할의 권한을 볼 수 있지만 편집은 할 수 없습니다.

Security Hub 는 서비스 연결 역할을 지원합니다.

서비스 역할이 기능을 사용하면 서비스가 사용자를 대신하여 서비스 역할을 수임할 수 있습니다. 이 역할을 사용하면 서비스가 다른 서비스의 리소스에 액세스해 사용자를 대신해 작업을 완료할 수 있습니다. 서비스 역할은 IAM계정에 나타나고, 해당 계정이 소유합니다. 즉, IAM 관리자가 이 역할에 대한 권한을 변경할 수 있습니다. 그러나 권한을 변경하면 서비스의 기능이 손상될 수 있습니다.

Security Hub 는 서비스 역할을 지원합니다.

AWS Security Hub 자격 증명 기반 정책 예제기본적으로 IAM 사용자 및 역할은 Security Hub 리소스를 생성하거나 수정할 수 있는 권한이 없습니다. 또한AWS Management Console, AWS CLI 또는 AWS API를 사용해 작업을 수행할 수 없습니다. IAM 관리자는지정된 리소스에서 특정 API 작업을 수행할 수 있는 권한을 사용자와 역할에게 부여하는 IAM 정책을 생성해야 합니다. 그런 다음 관리자는 해당 권한이 필요한 IAM 사용자 또는 그룹에 이러한 정책을 연결해야 합니다.

이러한 예제 JSON 정책 문서를 사용하여 IAM 자격 증명 기반 정책을 생성하는 방법을 알아보려면 단원을 참조하십시오.JSON 탭에서 정책 만들기의IAM 사용 설명서.

주제• 정책 모범 사례 (p. 45)• Security Hub 콘솔 사용 (p. 46)• AWS Security Hub 자격 증명 및 액세스 문제 해결 (p. 46)

정책 모범 사례

자격 증명 기반 정책은 매우 강력합니다. 이 정책은 계정에서 사용자가 Security Hub 리소스를 생성, 액세스또는 삭제할 수 있는지 여부를 결정합니다. 이러한 작업으로 인해 비용이 발생할 수 있습니다. AWS 계정 . 자격 증명 기반 정책을 생성하거나 편집할 때는 다음 지침과 권장 사항을 따르십시오.

45

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html


https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html

https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor


• 시작하기AWS관리형 정책- Security Hub 빠르게 사용하려면AWS관리형 정책을 사용하여 직원에게 필요한 권한을 부여합니다. 이 정책은 이미 계정에서 사용할 수 있으며 에 의해 유지 관리 및 업데이트됩니다AWS 자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책으로 권한 사용 시작하기를 참조하세요.

• 최소 권한 부여 - 사용자 지정 정책을 생성할 때 작업을 수행하는 데 필요한 권한만 부여합니다. 최소한의권한 조합으로 시작하여 필요에 따라 추가 권한을 부여합니다. 처음부터 권한을 많이 부여한 후 나중에 줄이는 방법보다 이 방법이 안전합니다. 자세한 내용은 IAM 사용 설명서의 최소 권한 부여를 참조하십시오.

• 중요한 작업에 대해 MFA 활성화 - 보안을 강화하기 위해 IAM 사용자가 중요한 리소스 또는 API 작업에액세스할 때 Multi-Factor Authentication(MFA)을 사용하도록 합니다. 자세한 내용은 IAM 사용 설명서의AWS에서 Multi-Factor Authentication(MFA) 사용을 참조하세요.

• 보안 강화를 위해 정책 조건 사용 – 실제로 가능한 경우 자격 증명 기반 정책이 리소스에 대한 액세스를 허용하는 조건을 정의합니다. 예를 들어 요청을 할 수 있는 IP 주소의 범위를 지정하도록 조건을 작성할 수있습니다. 지정된 날짜 또는 시간 범위 내에서만 요청을 허용하거나, SSL 또는 MFA를 사용해야 하는 조건을 작성할 수도 있습니다. 자세한 내용은 단원을 참조하십시오.IAM JSON 정책 요소: Condition의IAM 사용설명서.

Security Hub 콘솔 사용

AWS Security Hub 콘솔에 액세스하려면 최소 권한 집합이 있어야 합니다. 이러한 권한은 Security Hub 리소스에 대한 세부 정보를 나열하고 볼 수 있도록 허용해야 합니다.AWS계정에 로그인합니다. 최소 필수 권한보다 더 제한적인 자격 증명 기반 정책을 만들면 콘솔이 해당 정책에 연결된 개체(IAM 사용자 또는 역할)에 대해 의도대로 작동하지 않습니다.

해당 엔터티가 Security Hub 콘솔을 여전히 사용할 수 있도록 하려면 다음AWS관리형 정책을 개체에 추가합니다. 자세한 내용은 단원을 참조하십시오.사용자에게 권한 추가의IAM 사용 설명서:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "securityhub:*", "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "securityhub.amazonaws.com" } } } ]}

AWS CLI 또는 AWS API만 호출하는 사용자에게 최소 콘솔 권한을 허용할 필요가 없습니다. 그 대신, 수행하려는 API 작업과 일치하는 작업에만 액세스할 수 있도록 합니다.

AWS Security Hub 자격 증명 및 액세스 문제 해결

다음 정보를 사용하여 Security Hub 및 IAM으로 작업할 때 발생할 수 있는 일반적인 문제를 진단하고 수정할수 있습니다.

주제• Security Hub 에서 작업을 수행할 권한이 없음 (p. 47)• iam:PassRole를 수행하도록 인증되지 않음 (p. 47)

46

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege


https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console


• 액세스 키를 보아야 합니다. (p. 47)• 관리자이며 다른 사용자의 Security Hub 액세스를 허용하려고 함 (p. 48)• 내 외부 사람들을 허용하려고 함AWS계정을 사용하여 Security Hub 리소스에 액세스할 수 있습니

다. (p. 48)

Security Hub 에서 작업을 수행할 권한이 없음

AWS Management Console에서 작업을 수행할 권한이 없다는 메시지가 나타나는 경우 관리자에게 문의하여 도움을 받아야 합니다. 관리자는 사용자 이름과 암호를 제공한 사람입니다.

다음 예제 오류는 mateojackson IAM 사용자가 콘솔을 사용하여 위위에 대한 세부 정보를 보려고 하지만securityhub:GetWidget 권한이 없는 경우에 발생합니다.

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: securityhub:GetWidget on resource: my-example-widget

이 경우 Mateo는 securityhub:GetWidget 작업을 사용하여 my-example-widget 리소스에 액세스하도록 허용하는 정책을 업데이트하라고 관리자에게 요청합니다.

iam:PassRole를 수행하도록 인증되지 않음

iam:PassRole 작업을 수행할 권한이 없다는 오류가 수신되면 관리자에게 문의하여 도움을 받아야 합니다.관리자는 사용자 이름과 암호를 제공한 사람입니다. 역할을 Security Hub 에 전달하는 것을 허용하도록 정책을 업데이트하라고 관리자에게 요청합니다.

일부 AWS 서비스에서는 새 서비스 역할 또는 서비스 연결 역할을 생성하는 대신, 해당 서비스에 기존 역할을 전달할 수 있습니다. 이렇게 하려면 사용자가 서비스에 역할을 전달할 수 있는 권한을 가지고 있어야 합니다.

다음 예제 오류는 라는 IAM 사용자가marymajor는 콘솔을 사용하여 Security Hub 에서 작업을 수행하려고합니다. 하지만 작업을 수행하려면 서비스에 서비스 역할이 부여한 권한이 있어야 합니다. Mary는 서비스에역할을 전달할 수 있는 권한을 가지고 있지 않습니다.

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

이 경우 Mary는 iam:PassRole 작업을 수행하도록 허용하는 정책을 업데이트하라고 관리자에게 요청합니다.

액세스 키를 보아야 합니다.

IAM 사용자 액세스 키를 생성한 후에는 언제든지 액세스 키 ID를 볼 수 있습니다. 하지만 보안 액세스 키는다시 볼 수 없습니다. 보안 액세스 키를 잃어버린 경우 새로운 액세스 키 페어를 생성해야 합니다.

액세스 키는 액세스 키 ID(예: AKIAIOSFODNN7EXAMPLE)와 보안 액세스 키(예: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY)의 2가지 부분으로 구성됩니다. 사용자 이름 및 암호와 같이 액세스 키ID와 보안 액세스 키를 함께 사용하여 요청을 인증해야 합니다. 사용자 이름과 암호를 관리하는 것처럼 안전하게 액세스 키를 관리합니다.

Important

정식 사용자 ID를 찾는 데 도움이 되더라도 액세스 키를 제3자에게 제공하지 마시기 바랍니다. 이로인해 다른 사람에게 계정에 대한 영구 액세스를 제공하게 될 수 있습니다.

액세스 키 페어를 생성할 때는 액세스 키 ID와 보안 액세스 키를 안전한 위치에 저장하라는 메시지가 나타납니다. 보안 액세스 키는 생성할 때만 사용할 수 있습니다. 하지만 보안 액세스 키를 잃어버린 경우 새로운 액

47

https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html#FindingCanonicalId

AWS Security Hub 사용 설명서서비스 연결 역할 사용

세스 키를 IAM 사용자에게 추가해야 합니다. 최대 두 개의 액세스 키를 가질 수 있습니다. 이미 두 개가 있는경우 새로 생성하려면 먼저 키 페어 하나를 삭제해야 합니다. 지침을 보려면 IAM 사용 설명서의 액세스 키 관리를 참조하십시오.

관리자이며 다른 사용자의 Security Hub 액세스를 허용하려고 함

다른 사용자가 Security Hub 에 액세스하도록 허용하려면 액세스 권한이 필요한 사용자 또는 애플리케이션에 대한 IAM 엔터티 (사용자 또는 역할) 를 생성해야 합니다. 다른 사용자들은 해당 엔터티에 대한 자격 증명을 사용해 에 액세스합니다AWS 그런 다음 Security Hub 에서 올바른 권한을 부여하는 정책을 엔터티에 연결해야 합니다.

바로 시작하려면 IAM 사용 설명서의 첫 번째 IAM 위임 사용자 및 그룹 생성을 참조하십시오.

내 외부 사람들을 허용하려고 함AWS계정을 사용하여 Security Hub 리소스에 액세스할 수 있습니다.

다른 계정의 사용자 또는 조직 외부의 사람이 리소스에 액세스하는 데 사용할 수 있는 역할을 생성할 수 있습니다. 역할을 수임할 신뢰할 수 있는 사람을 지정할 수 있습니다. 리소스 기반 정책 또는 ACL(액세스 제어 목록)을 지원하는 서비스의 경우 이러한 정책을 사용하여 다른 사람에게 리소스에 대한 액세스 권한을 부여할수 있습니다.

자세히 알아보려면 다음을 참조하십시오.

• Security Hub 에서 이러한 기능을 지원하는지 여부를 알아보려면AWS Security Hub에서 IAM을 사용하는방식 (p. 43).

• 리소스에 대한 액세스 권한을 제공하는 방법을 알아보려면 AWS 계정 소유한 소유 단원을 참조하십시오.IAM 사용자에게 다른 사용자의 액세스 권한 제공 AWS 계정 소유한 소유의IAM 사용 설명서.

• 서드 파티 리소스에 대한 액세스 권한을 제공하는 방법을 알아보려면 AWS 계정 에 대한 자세한 내용은에대한 액세스 권한 제공 AWS 계정 제 3자가 소유의IAM 사용 설명서.

• 자격 증명 연동을 통해 액세스 권한을 제공하는 방법을 알아보려면 IAM 사용 설명서의 외부에서 인증된사용자에게 액세스 권한 제공(자격 증명 연동)을 참조하십시오.

• 교차 계정 액세스를 위한 역할과 리소스 기반 정책 사용의 차이점을 알아보려면 IAM 사용 설명서의 IAM역할과 리소스 기반 정책의 차이를 참조하십시오.

AWS Security Hub에 서비스 연결 역할 사용AWS Security Hub은 다음을 사용합니다.AWS Identity and Access Management(IAM)서비스 연결 역할. 서비스 연결 역할은 Security Hub 에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 SecurityHub 에서 사전 정의하며 Security Hub에서 다른AWS사용자 대신 서비스를 사용합니다.

서비스 연결 역할을 사용하면 필요한 권한을 수동으로 추가할 필요가 없으므로 Security Hub 를 더 쉽게 설정할 수 있습니다. Security Hub 는 서비스 연결 역할의 권한을 정의하므로, 권한이 달리 정의되지 않은 한Security Hub 에서만 해당 역할을 맡을 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며, 이권한 정책은 다른 IAM 객체에 연결할 수 없습니다.

Security Hub 는 Security Hub 허브를 사용할 수 있는 모든 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 지원하는 리전 (p. 11) 단원을 참조하세요.

Security Hub 서비스 연결 역할은 먼저 활성화한 모든 리전에서 보안 허브를 비활성화한 후에만 삭제할 수 있습니다. 이렇게 하면 Security Hub 리소스에 대한 액세스 권한을 실수로 삭제할 수 없기 때문에 리소스가 보호됩니다.

서비스 연결 역할을 지원하는 다른 서비스에 대한 자세한 내용은AWSIAM으로 작업하는 서비스의IAM 사용설명서가 있는 서비스를 찾습니다.예의서비스 연결 역할열을 클릭합니다. 해당 서비스에 대한 서비스 연결역할 설명서를 보려면 예 링크를 선택합니다.

48

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey

https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-delegated-user.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html



https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html

AWS Security Hub 사용 설명서Security Hub 대한 서비스 연결 역할 권한

Security Hub 대한 서비스 연결 역할 권한Security Hub 서비스 연결 역할을 사용합니다.AWSServiceRoleForSecurityHub. 에 대한 서비스 연결 역할은AWS Security Hub가 리소스에 액세스하도록 권한을 부여합니다.

AWSServiceRoleForSecurityHub 서비스 연결 역할은 역할을 위임하기 위해 다음 서비스를 신뢰합니다.

• securityhub.amazonaws.com

이AWSServiceRoleForSecurityHub서비스 연결 역할은 관리형 정책을 사용합니다.AWSSecurityHubServiceRolePolicy (p. 53).

IAM 개체(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성, 편집 또는 삭제할 수 있도록 권한을 구성해야합니다. 에 대 한AWSServiceRoleForSecurityHub서비스 연결 역할을 성공적으로 생성하려면 SecurityHub 와 함께 사용하는 IAM 자격 증명 필수 권한이 있어야 합니다. 필수 권한을 부여하려면 다음 정책을 이IAM 사용자, 그룹 또는 역할에 연결하십시오.


Security Hub 대한 서비스 연결 역할 만들기이AWSServiceRoleForSecurityHub서비스 연결 역할은 처음으로 Security Hub 를 활성화하거나 이전에 활성화하지 않은 지원된 리전에서 Security Hub를 활성화할 때 자동으로 생성됩니다. 생성할 수도 있습니다.AWSServiceRoleForSecurityHub서비스 연결 역할은 IAM 콘솔, IAM CLI 또는 IAM API를 사용하여수동으로 수행할 수 있습니다.

Important

Security Hub 관리자 계정에 대해 생성하지 않은 서비스 연결 역할은 Security Hub 구성원 계정에적용되지 않습니다.

역할을 수동으로 만드는 방법에 대한 자세한 내용은서비스 연결 역할 만들기의IAM 사용 설명서.

Security Hub 대한 서비스 연결 역할 편집Security Hub 편집하도록 허용하지 않는AWSServiceRoleForSecurityHub서비스 연결 역할. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 그

49

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role

AWS Security Hub 사용 설명서Security Hub 대한 서비스 연결 역할 삭제

러나 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 단원을 참조하십시오.서비스 연결역할 편집의IAM 사용 설명서.

Security Hub 대한 서비스 연결 역할 삭제서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제할 것을 권합니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔티티가 없도록 합니다.

Important

를 삭제하려면AWSServiceRoleForSecurityHub서비스 연결 역할을 사용하려면 먼저 활성화한모든 리전에서 Security Hub 를 비활성화해야 합니다.서비스 연결 역할을 삭제하려고 할 때 Security Hub 를 비활성화하지 않는 경우 삭제에 실패합니다.자세한 내용은 비활성화AWSSecurity Hub (p. 656) 단원을 참조하세요.

Security Hub 브를 사용하지 않도록 설정하면AWSServiceRoleForSecurityHub서비스 연결 역할은하지가 자동으로 삭제됩니다. Security Hub 다시 활성화하는 경우 기존AWSServiceRoleForSecurityHub서비스 연결 역할.

IAM을 사용하여 서비스 연결 역할을 수동으로 삭제하려면

IAM 콘솔, AWS CLI 또는 IAM API를 사용하여AWSServiceRoleForSecurityHub서비스 연결 역할. 자세한 내용은 단원을 참조하십시오.서비스 연결 역할 삭제의IAM 사용 설명서.

AWS의 관리형 정책AWSSecurity Hub사용자, 그룹 및 역할에 권한을 추가하려면 정책을 직접 작성하는 것보다 AWS 관리형 정책을 사용하는 것이더 쉽습니다. 팀에 필요한 권한만 제공하는 IAM 고객 관리형 정책을 생성하려면 시간과 전문 지식이 필요합니다. 빠르게 시작하려면 AWS 관리형 정책을 사용하면 됩니다. 이러한 정책은 일반적인 사용 사례를 다루며AWS 계정 . AWS 관리형 정책에 대한 자세한 내용은 IAM 사용 설명서의 AWS 관리형 정책을 참조하세요.

AWS 서비스는 AWS 관리형 정책을 유지 관리 및 업데이트합니다. AWS 관리형 정책에서 권한을 변경할 수없습니다. 서비스는 종종 추가 권한을 AWS 관리형 정책에 추가가하여 새로운 기능을 지원합니다. 이 유형의업데이트는 정책이 연결되어 있는 모든 자격 증명(사용자, 그룹 및 역할)에 적용됩니다. 서비스는 새 기능이시작되거나 새 작업을 사용할 수 있게 될 때 AWS 관리형 정책을 업데이트할 가능성이 가장 높습니다. 서비스는 AWS 관리형 정책에서 권한을 제거하지 않으므로 정책 업데이트로 인해 기존 권한이 손상되지 않습니다.

그뿐만 아니라 AWS는 여러 서비스에 걸쳐 있는 작업 함수에 대한 관리형 정책을 지원합니다. 예를 들어ReadOnlyAccess AWS 관리형 정책은 모든 AWS 서비스 및 리소스에 대한 읽기 전용 액세스 권한을 제공합니다. 서비스에서 새 기능을 시작하면 AWS는 새 작업 및 리소스에 대한 읽기 전용 권한을 추가합니다. 작업함수 정책의 목록과 설명은 IAM 사용 설명서의 작업 함수에 대한 AWS 관리형 정책을 참조하세요.

AWS관리형 정책:AWSSecurityHubFullAccess연결할 수 있습니다.AWSSecurityHubFullAccess정책을 IAM 자격 증명에 추가합니다.

이 정책은 보안 주체가 모든 Security Hub 작업에 대한 모든 권한을 허용하는 관리 권한을 부여합니다. 보안주체가 계정에 대해 수동으로 Security Hub를 사용하도록 설정하기 전에 이 정책을 보안 주체에 연결해야 합니다. 예를 들어 이러한 사용 권한이 있는 보안 주체는 검색 결과 상태를 보고 업데이트할 수 있습니다. 사용자 지정 인사이트를 구성하고 통합을 가능하게 할 수 있습니다. 표준 및 컨트롤을 활성화하거나 비활성화할수 있습니다. 관리자 계정의 주도자는 구성원 계정을 관리할 수도 있습니다.

권한 세부 정보

50

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html

AWS Security Hub 사용 설명서AWSSecurityHubReadOnlyAccess

이 정책에는 다음 권한이 포함되어 있습니다.

• securityhub- 보안 주체가 모든 Security Hub 작업에 대한 모든 권한을 허용합니다.• iam보안 주체가 서비스 연결 역할을 만들 수 있도록 허용합니다.


Security Hub 관리형 정책:AWSSecurityHubReadOnlyAccess연결할 수 있습니다.AWSSecurityHubReadOnlyAccess정책을 IAM 자격 증명에 추가합니다.

이 정책은 사용자가 Security Hub 에서 정보를 볼 수 있도록 허용하는 읽기 전용 권한을 부여합니다. 이 정책이 연결된 보안 주체는 Security Hub 에서 업데이트할 수 없습니다. 예를 들어 이러한 사용 권한이 있는 보안주체는 해당 계정과 연결된 검색 결과 목록을 볼 수 있지만 검색 결과의 상태는 변경할 수 없습니다. 통찰력의 결과를 볼 수는 있지만 사용자 지정 인사이트를 만들거나 구성할 수는 없습니다. 제어 또는 제품 통합을구성할 수 없습니다.



• securityhub— 항목 목록이나 항목에 대한 세부 정보를 반환하는 작업을 수행할 수 있습니다. 여기에는다음과 같이 시작하는 API 작업이 포함됩니다.Get,List또는Describe.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "securityhub:Get*", "securityhub:List*", "securityhub:Describe*" ], "Resource": "*" } ]

51

AWS Security Hub 사용 설명서AWSSecurityHubOrganizationsAccess

}

AWS관리형 정책:AWSSecurityHubOrganizationsAccess연결할 수 있습니다.AWSSecurityHubOrganizationsAccess정책을 IAM 자격 증명에 추가합니다.

이 정책은 관리 권한을AWS OrganizationsOrganizations 과의 Security Hub 통합을 지원하는 데 필요한

이러한 사용 권한을 통해 조직 관리 계정은 Security Hub 에 대한 위임된 관리자 계정을 지정할 수 있습니다.또한 위임된 Security Hub 관리자 계정에서 조직 계정을 구성원 계정으로 사용하도록 설정할 수 있습니다.

이 정책은 Organizations 대한 권한만 제공합니다. 조직 관리 계정 및 위임된 Security Hub관리자 계정에는 Security Hub의 연결된 작업에 대한 사용 권한도 필요합니다. 이러한 권한은AWSSecurityHubFullAccess관리형 정책.



• organizations:ListAccounts— 주도자가 조직에 속한 계정 목록을 검색할 수 있도록 허용합니다.• organizations:DescribeOrganization— 주도자가 조직 구성에 대한 정보를 검색할 수 있습니다.• organizations:EnableAWSServiceAccess— 보안 주체가 Organizations Security Hub 를 통합할 수

있도록 합니다.• organizations:RegisterDelegatedAdministrator- 보안 주체가 Security Hub 에 대해 위임된 관

리자 계정을 지정할 수 있습니다.• organizations:DeregisterDelegatedAdministrator- 보안 주체가 Security Hub 에 대해 위임된

관리자 계정을 제거할 수 있도록 허용합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization" ], "Resource": "*" }, { "Effect": "Allow", "Action": "organizations:EnableAWSServiceAccess", "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "arn:aws:organizations::*:account/o-*/*", "Condition": {

52

AWS Security Hub 사용 설명서AWSSecurityHubServiceRolePolicy

"StringEquals": { "organizations:ServicePrincipal": "securityhub.amazonaws.com" } } } ]}

AWS관리형 정책:AWSSecurityHubServiceRolePolicy연결할 수 없습니다.AWSSecurityHubServiceRolePolicy을 IAM 엔터티에 추가합니다. 이 정책은Security Hub 가 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할에 연결됩니다. 자세한 내용은the section called “서비스 연결 역할 사용” (p. 48) 단원을 참조하십시오.

이 정책은 서비스 연결된 역할이 Security Hub 컨트롤에 대한 보안 검사를 수행할 수 있도록 하는 관리 권한을 부여합니다.


이 정책에는 다음을 수행할 수 있는 권한이 포함되어 있습니다.

• cloudtrail— CloudTrail 트레일에 대한 정보를 검색합니다.• cloudwatch— 현재 CloudWatch 경보를 검색합니다.• logs— CloudWatch 로그에 대한 지표 필터를 검색합니다.• sns— SNS 주제에 대한 구독 목록을 검색합니다.• config— 구성 레코더, 리소스 및AWS Config규칙입니다. 또한 서비스 연결 역할이 생성되고 삭제되도록

허용하려면AWS Config규칙에 대한 평가를 실행하고 규칙에 대한 평가를 실행할 수 있습니다.• iam- 계정에 대한 자격 증명 보고서를 가져오고 생성합니다.• organizations— 조직의 계정 정보를 검색합니다.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudtrail:DescribeTrails", "cloudtrail:GetTrailStatus", "cloudtrail:GetEventSelectors", "cloudwatch:DescribeAlarms", "logs:DescribeMetricFilters", "sns:ListSubscriptionsByTopic", "config:DescribeConfigurationRecorders", "config:DescribeConfigurationRecorderStatus", "config:DescribeConfigRules", "config:BatchGetResourceConfig", "config:PutEvaluations", "config:SelectResourceConfig", "iam:GenerateCredentialReport", "iam:GetCredentialReport", "organizations:ListAccounts", "organizations:DescribeAccount", "organizations:DescribeOrganization" ], "Resource": "*" } { "Effect": "Allow",

53

AWS Security Hub 사용 설명서정책 업데이트

"Action": [ "config:PutConfigRule", "config:DeleteConfigRule", "config:GetComplianceDetailsByConfigRule", "config:DescribeConfigRuleEvaluationStatus" ], "Resource": "arn:aws:config:*:*:config-rule/aws-service-rule/*securityhub*" } ]}

Security Hub 업데이트AWS관리형 정책업데이트에 대한 세부 정보를 봅니다.AWS이 서비스가 이러한 변경 내용을 추적하기 시작한 이후 SecurityHub 에 대한 관리형 정책을 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 Security Hub 의 RSS 피드를 구독하려면문서 기록 (p. 658)페이지를 봅니다.

변경 사항 설명 날짜

AWS 보안허브서비스역할정책 (p. 53)— 기존 정책으로 업데이트

Security Hub 기존config:PutEvaluations권한을 정책 내의 다른 명령문에 적용할 수 있습니다.

이config:PutEvaluations권한이 모든 리소스에 적용됩니다.

2021년 7월 14일

AWS 보안허브서비스역할정책 (p. 53)— 기존 정책으로 업데이트

Security Hub 는 서비스 연결 역할이 평가 결과를AWS Config.

2021년 6월 29일

AWS 보안허브서비스역할정책 (p. 53)관리형 정책 목록에추가

관리형 정책에 대한정보가 추가되었습니다.AWSSecurityHubServiceRolePolicySecurityHub 서비스 연결 역할에 의해 사용됩니다.

2021년 6월 11일

AWS 보안허브조직화액세스 (p. 52)— 새 정책

Security Hub는 Organizations 과의 Security Hub 통합에 필요한 권한을 부여하는 새 정책을 추가했습니다.

2021년 3월 15일

Security Hub 변경 내용 추적을 시작했습니다.

Security Hub 대한 변경 내용 추적을 시작했습니다AWS관리형 정책.

2021년 3월 15일

AWS Security Hub의 규정 준수 확인타사 감사자는 여러 AWS 규정 준수 프로그램의 일환으로 AWS Security Hub의 보안 및 규정 준수를 평가합니다. Security Hub SOC, ISO, PCI 및 HIPAA 인증을 받았습니다.

특정 규정 준수 프로그램 범위에 속하는 AWS 서비스의 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스 페이지에서 확인하십시오. 일반 정보는 AWS 규정 준수 프로그램을 참조하십시오.

54



http://aws.amazon.com/compliance/programs/

AWS Security Hub 사용 설명서인프라 보안

AWS Artifact를 사용하여 타사 감사 보고서를 다운로드할 수 있습니다. 자세한 내용은 AWS Artifact의 보고서 다운로드를 참조하십시오.

Security Hub 사용할 때 규정 준수 책임은 데이터의 민감도, 회사의 규정 준수 목표 및 관련 법률 및 규정에따라 결정됩니다.AWS규정 준수에 도움이 되도록 다음 리소스를 제공합니다.

• 보안 및 규정 준수 빠른 시작 안내서— 이 배포 안내서에서는 아키텍처 고려 사항에 대해 설명하고 보안 및규정 준수에 중점을 둔 기본 환경을 배포하기 위한 단계를 제공합니다.AWS.

• AWS규정 준수 리소스— 사용자의 업계와 위치에 해당할 수 있는 워크북 및 안내서 모음입니다.• AWS Config— 이AWS리소스 구성이 내부 관행, 업계 지침 및 규정을 얼마나 잘 준수하고 있는지 평가할

수 있습니다.• AWS Security Hub— 이AWS이 서비스는 내의 보안 상태에 대한 포괄적인 보기를 제공합니다.AWS이를

통해 보안 업계 표준 및 모범 사례를 준수하는지 확인할 수 있습니다.

AWS Security Hub의 인프라 보안관리형 서비스로서AWS Security Hub에 의해 보호되는AWS에서 설명하는 글로벌 네트워크 보안 절차Amazon Web Services 보안 프로세스 개요백서

다음을 사용합니다.AWS에서 게시한 API 호출을 사용하여 네트워크를 통해 Security Hub 에 액세스합니다.클라이언트가 TLS(전송 계층 보안) 1.0 이상을 지원해야 합니다. TLS 1.2 이상을 권장합니다. 클라이언트는Ephemeral Diffie-Hellman(DHE) 또는 Elliptic Curve Ephemeral Diffie-Hellman(ECDHE)과 같은 PFS(전달 완전 보안, Perfect Forward Secrecy)가 포함된 암호 제품군도 지원해야 합니다. Java 7 이상의 최신 시스템은대부분 이러한 모드를 지원합니다.

또한 요청은 액세스 키 ID 및 IAM 주체와 관련된 보안 액세스 키를 사용하여 서명해야 합니다. 또는 AWSSecurity Token Service(AWS STS)를 사용하여 임시 보안 자격 증명을 생성하여 요청에 서명할 수 있습니다.

55

https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html

https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html

http://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance

http://aws.amazon.com/compliance/resources/

https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html

https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html

https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html

AWS Security Hub 사용 설명서규제 및 권장

관리자 및 구성원 계정 관리한AWSSecurity Hub 관리자 계정은 구성원 계정의 데이터를 보고 구성을 관리할 수 있습니다. Security Hub관리자-구성원 관계는 계정이AWS Organizations.

Note

중국 (베이징) 및 중국 (닝샤) 지역에서는 Organizations 과의 통합을 지원하지 않습니다.

Organizations 통합되어 있는 경우 조직 관리 계정이 Security Hub 관리자 계정을 지정합니다. the sectioncalled “Security Hub 관리자 계정 지정” (p. 60) 단원을 참조하세요. 관리자 계정은 조직의 모든 계정에 대해 자동으로 액세스할 수 있습니다. 관리자 계정은 조직 내에서 구성원 계정으로 사용할 계정을 결정합니다.the section called “기관 구성원 계정 관리” (p. 63) 단원을 참조하세요. 이러한 구성원 계정은 관리자 계정에서 자신을 연결 해제할 수 없습니다.

Organizations 통합되지 않은 경우 구성원 계정은 관리자 계정의 초대를 수락합니다. 조직의 Security Hub 관리자 계정은 조직의 일부가 아닌 구성원 계정을 초대할 수도 있습니다. the section called “기관에 속하지 않은 구성원 계정 관리” (p. 66) 단원을 참조하세요. 초대를 통해 추가된 계정은 자신의 관리자 계정에서 자신의 연결을 해제할 수 있습니다.

주제• 규제 및 권장 (p. 56)• 전환을AWS Organizations계정 관리를 위한 (p. 57)• 허용되는 계정 작업 (p. 59)• Security Hub 관리자 계정 지정 (p. 60)• 조직에 속한 멤버 계정 관리 (p. 63)• 기관에 속하지 않은 구성원 계정 관리 (p. 66)• Security Hub 데이터에 대한 계정 작업의 영향 (p. 72)

규제 및 권장의 최대 개수Security Hub 는 각 지역의 관리자 계정당 최대 5,000개의 구성원 계정을 지원합니다.

계정 및 리전사용하는 경우AWS Organizations를 사용하여 계정을 관리하는 경우 조직 관리 계정이 Security Hub 관리자계정을 지정합니다. 지정된 관리자 계정은 모든 지역에서 동일해야 합니다. 그러나 조직 관리 계정은 각 지역에서 별도로 관리자 계정을 지정해야 합니다. 또한 관리자 계정은 각 지역에 대해 개별적으로 멤버 계정을 관리합니다.

초대장을 통해 생성된 멤버 계정의 경우 관리자-멤버 계정 연결은 초대장을 보낸 리전 한 곳에서만 생성됩니다. 관리자 계정은 Security Hub 사용하려는 각 리전에서 보안 허브를 사용하도록 설정해야 합니다. 그런 다음 관리자 계정은 각 계정을 해당 지역의 구성원 계정으로 연결합니다.

56

AWS Security Hub 사용 설명서관리자-구성원 관계에 대한 제한 사항

관리자-구성원 관계에 대한 제한 사항한 계정이 Security Hub 관리자 계정이면서 동시에 멤버 계정일 수 없습니다.

구성원 계정은 하나의 관리자 계정에만 연결할 수 있습니다. 조직 계정이 Security Hub 관리자 계정에 의해 활성화된 경우 해당 계정은 다른 계정의 초대를 수락할 수 없습니다. 계정이 초대를 수락한 경우 조직의Security Hub 관리자 계정에서 계정을 사용하도록 설정할 수 없습니다. 또한 다른 계정의 초대를 받을 수 없습니다.

수동 초대 프로세스의 경우 멤버십 초대를 수락하는 것은 선택 사항입니다.

서비스 간 관리자 계정 조정Security Hub 다양한AWSAmazon GuardDuty, Amazon Inspector, Amazon Macie 시와 같은 서비스를 제공합니다. Security Hub 사용하면 사용자가 GuardDuty 를 피벗하여 Amazon Detective 에서 조사를 시작할 수있습니다.

그러나 이러한 다른 서비스에서 설정한 관리자-멤버 관계는 Security Hub 에 자동으로 적용되지 않습니다.이러한 모든 서비스에 대해 관리자 계정과 동일한 계정을 사용할 것을 권장합니다. 이 관리자 계정은 보안 도구를 담당하는 계정이어야 합니다. 동일한 계정도AWS Config.

예를 들어, GuardDuty 관리자 계정 A의 사용자는 GuardDuty 콘솔에서 GuardDuty 멤버 계정 B와 C에 대한결과를 볼 수 있습니다. 계정 A가 Security Hub 사용하도록 설정하면 계정 A의 사용자가하지Security Hub 계정 B 및 C에 대한 GuardDuty 검색 결과가 자동으로 표시됩니다. 이러한 계정에는 Security Hub 관리자-구성원 관계도 필요합니다.

이렇게 하려면 계정 A를 Security Hub 관리자 계정으로 만들고, 계정 B와 C가 Security Hub 멤버 계정이 되도록 설정합니다.

전환을AWS Organizations계정 관리를 위한수동 초대를 수락한 구성원 계정이 있는 기존 관리자 계정이 있을 수 있습니다. 에 등록되어 있는 경우AWSOrganizations에서 수동 초대 프로세스를 사용하는 대신 Organizations 사용하여 구성원 계정을 활성화하고관리하려면 다음 단계를 따르십시오.

1. 조직의 Security Hub 관리자 계정을 지정합니다. (p. 58)2. 관리자 계정에서 조직 계정을 사용하도록 설정합니다. 기존 구성원 계정은 자동으로 활성화됩니

다. (p. 58)

다음 다이어그램에서는 전환 전 관리자 및 멤버 계정 구조, Organizations 구성 및 전환 후의 계정 구조에 대한 개요를 보여 줍니다.

57

AWS Security Hub 사용 설명서조직의 Security Hub 관리자 계정을 지정합니다.

조직의 Security Hub 관리자 계정을 지정합니다.조직 관리 계정은 조직의 Security Hub 관리자 계정을 지정합니다. the section called “Security Hub 관리자계정 지정” (p. 60) 단원을 참조하세요.

전환을 더 간단하게 하기 위해 Security Hub 에서는 현재 관리자 계정을 조직의 Security Hub 관리자 계정으로 선택하는 것이 좋습니다. 구성원 계정이 둘 이상의 관리자 계정에 속할 수 없기 때문입니다. 조직의 관리자 계정은 다른 관리자 계정의 구성원 계정인 조직 계정을 사용할 수 없습니다.

조직 계정을 멤버 계정으로 사용조직의 관리자 계정에 따라 구성원 계정으로 사용할 조직 계정이 결정됩니다. the section called “기관 구성원 계정 관리” (p. 63) 단원을 참조하세요.

에계정페이지에서 관리자 계정에 조직의 모든 계정이 표시됩니다. 조직 계정의 유형은조직별, 이전에 초대에의해 구성원 계정이었더라도.

조직의 관리자 계정이 이미 Security Hub 관리자 계정인 경우 기존의 모든 구성원 계정이 자동으로 활성화됩니다. 기관에 속하지 않는 기존 구성원 계정의 유형은초대.

이계정페이지에는 새 계정이 기관에 추가될 때 자동으로 활성화하는 옵션도 제공됩니다. the section called“자동으로 새 계정 활성화” (p. 63) 단원을 참조하세요. 이 옵션은 처음에 꺼져 있습니다 (자동 활성화를 끕니다.).

이 옵션을 사용하도록 설정하기 전까지는계정페이지에 포함된 메시지가 표시됩니다.Enable버튼을 클릭합니다. 선택할 때Enable을 선택한 경우 Security Hub 는 다음 작업을 수행합니다.

• 다른 관리자 계정의 구성원 계정인 계정을 제외한 모든 조직 계정을 활성화합니다.

58

AWS Security Hub 사용 설명서허용되는 계정 작업

관리자 계정에서 이러한 계정을 활성화하려면 먼저 다른 관리자 계정에서 연결을 해제해야 합니다. thesection called “멤버 계정 연결 해제” (p. 70) 단원을 참조하세요.

• 새 계정을 자동으로 사용하도록 설정을 토글합니다 (자동 활성화를 켭니다.).

허용되는 계정 작업관리자 및 구성원 계정은 다음 Security Hub 작업에 액세스할 수 있습니다. 테이블에서 값은 다음과 같은 의미를 갖습니다.

• 아무 작업이나.계정은 동일한 관리자 또는 계정의 모든 계정에 대해 작업을 수행할 수 있습니다.• 자해계정은 자신의 계정에서만 작업을 수행할 수 있습니다.

대시 (—) 는 계정에서 작업을 수행할 수 없음을 나타냅니다.

이 표에는 관리자 및 멤버 계정에 대한 기본 권한이 반영되어 있습니다. 사용자 지정 IAM 정책을 사용하여Security Hub 기능 및 기능에 대한 액세스를 추가로 제한할 수 있습니다. 지침 및 예제는 블로그 게시물IAM정책을 사용자 페르소나에 맞게 조정AWS Security Hub.

작업 위임된 관리자 계정(조직)

관리자 계정 (초대) 구성원 (조직) 회원 (초대장)

계정 보기 모두 선택 모두 선택 - -

멤버 계정 연결 해제

모두 선택 모두 선택 - 자체

멤버 계정 삭제 모든 비조직 계정 모두 선택 - -

Security Hub 비활성화

- 자체 - 사용 가능한구성원 계정이 없는경우

Self Self Self(Security Hub 관리자 계정

자체 - 관리자 계정에서 연결이 해제된경우

결과 보기 모두 선택 모두 선택 자체 자체

검색 결과 업데이트 모두 선택 모두 선택 자체 자체

통찰력 결과 보기 모두 선택 모두 선택 자체 자체

컨트롤 세부 정보보기

모두 선택 모두 선택 자체 자체

컨트롤 활성화 및비활성화

자체 자체 자체 자체

표준 활성화 및 비활성화


통합 활성화 및 비활성화


사용자 지정 작업구성


59

http://aws.amazon.com/blogs/security/aligning-iam-policies-to-user-personas-for-aws-security-hub/

http://aws.amazon.com/blogs/security/aligning-iam-policies-to-user-personas-for-aws-security-hub/

AWS Security Hub 사용 설명서Security Hub 관리자 계정 지정

Security Hub 관리자 계정 지정위임된AWS Security Hub관리자 계정은 조직의 Security Hub 구성원 자격을 관리합니다.

조직 관리 계정은 조직의 Security Hub 관리자 계정을 지정합니다. 조직 관리 계정은 조직의 모든 계정을 지정할 수 있습니다. 그러나 조직 관리 계정 자체를 관리자 계정으로 지정하지 않는 것이 좋습니다. 결제를 관리하기 위해 조직 관리 계정에 액세스할 수 있는 사용자는 보안 관리를 위해 Security Hub 에 액세스해야 하는 사용자와 다를 수 있습니다.

수동 초대 프로세스의 관리자 계정이 있는 경우 Security Hub 는 해당 계정을 조직의 Security Hub 관리자 계정으로 지정하는 것이 좋습니다. 구성원 계정은 단일 관리자 계정에만 연결할 수 있습니다. 조직의 관리자 계정은 다른 관리자 계정에 속하는 구성원 계정을 사용할 수 없습니다.

위임된 관리자 계정은 각 지역에서 동일해야 합니다. 그러나 조직 관리 계정은 각 지역에서 동일한 SecurityHub 관리자 계정을 별도로 지정해야 합니다.

조직 관리 계정은 현재 위임된 Security Hub 관리자 계정을 제거할 수도 있습니다. 조직 관리 계정이 콘솔을사용하여 한 지역의 관리자 계정을 제거하면 모든 지역에서 자동으로 제거됩니다. Security Hub API는 API호출 또는 명령이 실행된 지역에서만 관리자 계정을 제거합니다. 모든 지역에서 관리자 계정을 제거하려면Organizations API를 사용할 수 있습니다.

관리자 계정은 구성원 계정을 선택합니다. the section called “기관 구성원 계정 관리” (p. 63) 및 thesection called “기관에 속하지 않은 구성원 계정 관리” (p. 66) 단원을 참조하세요.

모든 Security Hub 계정에는AWS Config활성화되고 모든 리소스를 기록하도록 구성되었습니다. 요구 사항에 대한 자세한 내용은AWS Config을 참조하십시오.the section called “AWS Config 활성화” (p. 7).

Security Hub 관리자 계정을 구성하는 데 필요한 권한을 부여합니다.Security Hub 관리자 계정을 지정하고 제거하려면 조직 관리 계정에EnableOrganizationAdminAccount및DisableOrganizationAdminAccount작업을 수행할Security Hub. 조직 관리 계정에는 Organizations 대한 관리 권한도 있어야 합니다.

필요한 모든 권한을 부여하려면 다음 Security Hub 관리형 정책을 조직 관리 계정 보안 주체에 연결합니다.

• AWSSecurityHubFullAccess (p. 50)• AWSSecurityHubOrganizationsAccess (p. 52)

Security Hub 관리자 계정 지정 (콘솔)조직 관리 계정은 Security Hub 콘솔을 사용하여 Security Hub 관리자 계정을 지정할 수 있습니다.

조직 관리 계정은 Security Hub 관리자 계정을 관리하기 위해 보안 허브를 사용하도록 설정할 필요가 없습니다.

그러나 조직 관리 계정이 Security Hub 관리자 계정으로 자신을 선택하는 경우 보안 허브를 사용하도록 설정해야 합니다. 보안 허브가 아직 활성화되어 있지 않으면 Security Hub 수동으로 사용하도록 설정해야 합니다.조직 관리 계정에 대해 Security Hub 를 자동으로 사용하도록 설정할 수 없습니다.

Security Hub 관리자 계정을 지정하려면Security Hub페이지를 방문하십시오

1. 열기AWS Security Hub콘솔https://console.aws.amazon.com/securityhub/.2. 선택Security Hub.3. Security Hub 관리자 계정이 현재 할당된 경우 새 계정을 지정하려면 먼저 현재 계정을 제거해야 합니다.

60


AWS Security Hub 사용 설명서Security Hub 관리자 계정 지정 (Security Hub API,AWS CLI)

현재 계정을 제거하려면위임된 관리자를 선택하고제거.4. 언더위임된 관리자로 지정할 계정의 계정 ID를 입력합니다.Security Hub관리자 계정을 사용합니다.

모든 리전에 동일한 Security Hub 관리자 계정을 지정해야 합니다. 다른 지역에서 지정된 계정과 다른 계정을 지정하면 Security Hub 에서 오류가 반환됩니다.

5. Delegate(위임)를 선택합니다.

Security Hub 사용하도록 설정한 경우 Security Hub 관리자 계정을설정페이지를 참조하십시오.

Security Hub 관리자 계정을 지정하려면Settings페이지를 방문하십시오

1. 열기AWS Security Hub콘솔https://console.aws.amazon.com/securityhub/.2. Security Hub 탐색 창에서 [] 를 선택합니다.설정. 그런 다음일반.3. Security Hub 관리자 계정이 현재 할당된 경우 새 계정을 지정하려면 먼저 현재 계정을 제거해야 합니다.

언더위임된 관리자에서 현재 계정을 제거하려면제거.4. 지정할 계정의 계정 ID를 입력합니다.Security Hub관리자 계정을 사용합니다.

모든 리전에 동일한 Security Hub 관리자 계정을 지정해야 합니다. 다른 지역에서 지정된 계정과 다른 계정을 지정하면 Security Hub 에서 오류가 반환됩니다.

5. Delegate(위임)를 선택합니다.

Security Hub 관리자 계정 지정 (Security Hub API,AWSCLI)Security Hub 관리자 계정을 지정하려면 API 호출 또는AWS Command Line Interface. 조직 관리 계정 자격증명을 사용해야 합니다.

지정하려면Security Hub관리자 계정 (Security Hub API,AWS CLI)

• Security Hub API —사용EnableOrganizationAdminAccount작업을 사용합니다. 입력해야 하는 정보는 다음과 같습니다.AWSSecurity Hub 관리자 계정의 계정 ID입니다.

• AWS CLI–명령줄에서 명령줄에서enable-organization-admin-account명령입니다.

aws securityhub enable-organization-admin-account --admin-account-id <admin account ID>

예

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Security Hub 관리자 계정 제거 (콘솔)조직 관리 계정은 현재 Security Hub 관리자 계정을 제거할 수 있습니다. 조직 관리 계정에서 콘솔을 사용하여 Security Hub 관리자 계정을 제거하면 Security Hub 관리자 계정이 모든 지역에서 제거됩니다.

Security Hub 관리자 계정이 제거되면 구성원 계정이 제거된 Security Hub 관리자 계정에서 연결이 해제됩니다.

활성화된 구성원 계정은 여전히 Security Hub 사용하도록 설정되어 있습니다. 새 Security Hub 관리자가 구성원 계정으로 사용하도록 설정할 때까지 독립 실행형 계정이 됩니다.

61


https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableOrganizationAdminAccount.html

https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-organization-admin-account.html

AWS Security Hub 사용 설명서Security Hub 관리자 계정 제거 (Security Hub API,AWS CLI)

조직 관리 계정이 Security Hub 에서 사용하도록 설정된 계정이 아닌 경우Security Hub페이지를 참조하십시오.

Security Hub 관리자 계정을 제거하려면Security Hub페이지를 방문하십시오

1. 열기AWS Security Hub콘솔https://console.aws.amazon.com/securityhub/.2. 선택Security Hub.3. 언더위임된 관리자를 선택하고제거.

조직 관리 계정이 사용 가능한 계정인 경우Security Hub을 선택한 다음일반탭의설정페이지를 참조하십시오.

Security Hub 관리자 계정을 제거하려면Settings페이지를 방문하십시오

1. 열기AWS Security Hub콘솔https://console.aws.amazon.com/securityhub/.2. Security Hub 탐색 창에서 [] 를 선택합니다.설정. 그런 다음일반.3. 언더위임된 관리자를 선택하고제거.

Security Hub 관리자 계정 제거 (Security Hub API,AWSCLI)Security Hub 관리자 계정을 제거하려면 API 호출 또는AWS Command Line Interface. 조직 관리 계정 자격증명을 사용해야 합니다.

API를 사용하거나AWS CLI를 사용하여 Security Hub 관리자 계정을 제거하면 API 호출 또는 명령이 실행된지역에서만 제거됩니다.

Security Hub 관리자 계정을 제거하려면 (Security Hub API,AWS CLI)

• Security Hub API —사용DisableOrganizationAdminAccount작업을 사용합니다. Security Hub 관리자 계정의 계정 ID를 제공해야 합니다.

• AWS CLI–명령줄에서 명령줄에서disable-organization-admin-account명령입니다.

aws securityhub disable-organization-admin-account --admin-account-id <admin account ID>

예

aws securityhub disable-organization-admin-account --admin-account-id 777788889999

Security Hub 관리자 계정 제거 (OrganizationsAPI,AWS CLI)Security Hub API를 사용하여 Security Hub 관리자 계정을 제거하면 API 호출 또는 명령이 실행된 지역에서만 제거됩니다.

Organizations API를 사용하면 모든 리전에 Security Hub 관리자 계정을 한 번에 제거할 수 있습니다.

Security Hub 관리자 계정을 제거하려면 (Organizations API,AWS CLI)

• Organizations API —사용DeregisterDelegatedAdministrator작업을 사용합니다. Security Hub 관리자 계정의 계정 ID와 보안 허브의 서비스 주체를 제공해야 합니다.securityhub.amazonaws.com.

62



https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableOrganizationAdminAccount.html

https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-organization-admin-acccount.html

https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html

AWS Security Hub 사용 설명서기관 구성원 계정 관리

• AWS CLI–명령줄에서 명령줄에서deregister-delegated-administrator명령입니다.

aws organizations deregister-delegated-administrator --account-id <admin account ID> --service-principal <Security Hub service principal>

예

aws organizations deregister-delegated-administrator --account-id 777788889999 --service-principal securityhub.amazonaws.com

조직에 속한 멤버 계정 관리조직 계정의 경우 Security Hub 관리자 계정은 다음 작업을 수행할 수 있습니다.

• Security Hub 멤버 계정으로 조직 계정을 사용하도록 설정합니다.• 새 조직 계정이 조직에 추가되면 자동으로 사용하도록 설정합니다.• 조직에 속한 계정의 연결을 해제합니다. 조직 계정은 삭제할 수 없습니다.

관리자 계정에 조직 계정을 관리하는 데 필요한 권한을 부여하려면 다음 관리형 정책을 보안 주체에 연결합니다.

• AWSSecurityHubFullAccess (p. 50)• AWSSecurityHubOrganizationsAccess (p. 52)

관리자 계정의 경우계정페이지에 포함된 메시지가 표시됩니다.활성화옵션을 사용합니다. 관리자 계정에서새 조직 계정을 자동으로 사용하도록 설정하는 옵션을 활성화하지 않은 경우 메시지가 표시됩니다.

선택할 때활성화로 설정하면 Security Hub 는 다음 작업을 수행합니다.

• 모든 현재 조직 계정을 멤버 계정으로 사용할 수 있도록 설정합니다.• 이러한 계정에 대해 CIS를 사용하도록 설정합니다.AWS기초 벤치마크 표준 및AWS기반 모범 사례 표준.• 새 계정이 조직에 추가될 때 자동으로 활성화하는 옵션을 활성화합니다.

목차• 새 조직 계정 자동 활성화 (p. 63)• 기관에서 구성원 계정 사용 (p. 64)• 기관에서 구성원 계정 연결 해제 (p. 65)

새 조직 계정 자동 활성화Security Hub 관리자 계정은 새 조직 계정을 구성원 계정으로 자동으로 사용하도록 Security Hub 를 구성할수 있습니다.

새 계정이 기관에 추가되면 해당 계정이계정페이지로 이동합니다. 조직 계정의 경우유형is조직별.

기본적으로 새 계정은 구성원 계정으로 사용할 수 없습니다. 상태가멤버 아님.

자동 사용 설정을 사용하도록 설정하면 Security Hub 에서 새 계정이 조직에 추가될 때 새 계정을 구성원 계정으로 사용하도록 설정하기 시작합니다. 아직 사용할 수 없는 기존 조직 계정은 사용할 수 없습니다. 또한Security Hub 는 이미 다른 관리자 계정에 속한 계정을 자동으로 사용하도록 설정할 수 없습니다.

63

https://docs.aws.amazon.com/cli/latest/reference/organizations/deregister-delegated-administrator.html

AWS Security Hub 사용 설명서멤버 계정 활성화

모든 Security Hub 계정에는AWS Config활성화되고 모든 리소스를 기록하도록 구성되었습니다. 요구 사항에 대한 자세한 내용은AWS Config참조,the section called “AWS Config 활성화” (p. 7).

새 계정에 대해 자동으로 Security Hub 사용 (콘솔)이계정페이지에는 새 계정을 자동으로 추가하는 구성 옵션이 포함되어 있습니다.

멤버 계정으로 새 조직 계정을 자동으로 활성화하려면

1. 열기AWS Security Hub콘솔에서https://console.aws.amazon.com/securityhub/.2. Security Hub 탐색 창에서 []설정.3. 에설정페이지에서 [] 를 선택합니다계정.4. 에계정탭에서 자동 활성화 설정을자동 활성화를 켭니다..

새 조직 계정에 대해 보안 허브를 자동으로 사용하도록 설정(Security Hub API,AWS CLI)새 조직 계정을 자동으로 사용할지 여부를 결정하기 위해 관리자 계정은 Security Hub API 또는AWSCommand Line Interface.

새 조직 계정을 자동으로 사용하도록 설정하려면

• Security Hub API —사용UpdateOrganizationConfiguration작업을 사용합니다. 새 조직 계정을 자동으로 사용하도록 설정하려면autoEnabletotrue.

• AWS CLI–명령줄에서 명령줄에서update-organization-configuration명령입니다.

aws securityhub update-organization-configuration --auto-enable

기관에서 구성원 계정 사용새 조직 계정을 자동으로 활성화하지 않으면 해당 계정을 수동으로 활성화할 수 있습니다. 연결 해제된 계정도 수동으로 활성화해야 합니다.

이미 다른 관리자 계정의 구성원 계정인 경우 계정을 활성화할 수 없습니다.

현재 일시 중단된 계정도 활성화할 수 없습니다. 일시 중단된 계정을 사용하도록 설정하려고 하면 계정 상태가계정 일시 중지.

조직 계정을 사용하도록 설정하면 해당 계정에 대해 Security Hub 가 자동으로 활성화됩니다. 계정이 초대를 수신하지 않습니다. 단, 조직 관리 계정은 예외입니다. 조직 관리 계정에 대해 Security Hub 를 자동으로사용하도록 설정할 수 없습니다. 조직 관리 계정을 구성원 계정으로 사용하려면 먼저 조직 관리 계정에서Security Hub 를 사용하도록 설정해야 합니다.

모든 Security Hub 계정에는AWS Config활성화되고 모든 리소스를 기록하도록 구성되었습니다. 요구 사항에 대한 자세한 내용은AWS Config참조,the section called “AWS Config 활성화” (p. 7).

멤버 계정으로 조직 활성화 (콘솔)에서계정목록에서 사용할 수 없거나 Security Hub 관리자 계정에서 연결이 해제된 조직 계정의 상태는멤버아님.

멤버 계정으로 조직 계정을 사용하도록 설정하려면

1. 열기AWS Security Hub콘솔에서https://console.aws.amazon.com/securityhub/.

64


https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateOrganizationConfiguration.html

https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-organization-configuration.html


AWS Security Hub 사용 설명서멤버 계정 연결 해제

2. Security Hub 탐색 창에서 []설정. 그런 다음계정.3. 에서계정목록에서 활성화할 각 조직 계정의 확인란을 선택합니다.4. 선택작업을 선택한 다음멤버 추가.

멤버 계정으로 조직 계정을 사용 (Security Hub API,AWS CLI)Security Hub 관리자 계정은 Security Hub API 또는AWS Command Line Interface을 클릭하여 조직 계정을사용하도록 설정합니다. 수동 초대 프로세스와 달리CreateMembers를 사용하여 조직 계정을 사용하도록설정하면 초대를 보낼 필요가 없습니다.

멤버 계정으로 조직 계정을 사용하려면

• Security Hub API —사용CreateMembers작업을 사용합니다. 활성화할 각 계정에 대해 계정 ID를 제공합니다.

• AWS CLI–명령줄에서 명령줄에서create-members명령입니다.

aws securityhub create-members --account-details '[{"AccountId": <account ID>"}]'

예

aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'

기관에서 구성원 계정 연결 해제활성화된 구성원 계정의 검색 결과 수신 및 보기를 중지하려면 구성원 계정의 연결을 해제할 수 있습니다.

멤버 계정의 연결을 끊으면 상태가멤버 아님.

구성원 계정 연결 해제 (콘솔)멤버 계정의 연결을 해제하려면

1. 열기AWS Security Hub콘솔에서https://console.aws.amazon.com/securityhub/.2. 탐색 창에서 [ Settings]을 선택합니다. 그런 다음계정.3. 에서계정목록에서 연결을 해제할 계정을 선택합니다. 연결 해제만 가능합니다.활성화됨계정을 사용합

니다.4. 선택작업를 선택한 후계정 연결 해제.

계정 연결 해제 (Security Hub API,AWS CLI)구성원 계정의 연결을 해제하려면 Security Hub API 또는AWS Command Line Interface.

구성원 계정의 연결을 해제하려면 (Security Hub API,AWS CLI)

• Security Hub API —사용DisassociateMembers작업을 사용합니다. 입력해야 하는 정보는 다음과 같습니다.AWS연결을 해제할 구성원 계정의 계정 ID입니다. 구성원 계정 목록을 보려면ListMembers작업을사용합니다.

• AWS CLI–명령줄에서 명령줄에서disassociate-members명령입니다.

aws securityhub disassociate-members --account-ids <accountIds>

65

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateMembers.html


https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html


https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListMembers.html

https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html

AWS Security Hub 사용 설명서기관에 속하지 않은 구성원 계정 관리

예

aws securityhub disassociate-members --account-ids "123456789111" "123456789222"

기관에 속하지 않은 구성원 계정 관리AWS Security Hub는 수동 초대 프로세스도 지원합니다. 이 프로세스는 조직의 조직에 속하지 않는 계정을위한 것입니다.AWS Organizations. 사용하지 않을 수 있습니다.AWS Organizations또는 조직의 일부가 아닌계정이 있을 수 있습니다. 예를 들어 조직에 테스트 계정을 포함하지 않을 수 있습니다.

에계정탭을 사용합니다.설정페이지에서 기관에 속하지 않은 계정은유형이 로 설정된 경우초대.

Organizations 전혀 사용하지 않으면 구성원 계정이 초대를 수락하면 계정이 관리자 계정이 됩니다.

주제• 구성원 계정 추가 및 초대 (p. 66)• 회원 계정 초대에 응답 (p. 68)• 멤버 계정 연결 해제 (p. 70)• 멤버 계정 삭제 (p. 70)• 관리자 계정에서 연결 해제 (p. 71)

구성원 계정 추가 및 초대귀하의 계정은AWS Security Hub관리자 계정에 초대하는 계정이 초대를 수락하면 됩니다.

다른 계정으로부터 온 초대를 수락하면 사용자 계정이 멤버 계정이 됩니다.

사용자 계정이 관리자 계정인 경우 멤버 계정이 되기 위한 초대를 수락할 수 없습니다.

멤버 계정을 추가하는 단계는 다음과 같습니다.

1. 관리자 계정은 구성원 계정 목록에 구성원 계정을 추가합니다.2. 관리자 계정이 구성원 계정에 초대를 보냅니다.3. 구성원 계정이 초대를 수락합니다.

구성원 계정 추가 (콘솔)Security Hub 콘솔에서 구성원 계정 목록에 계정을 추가할 수 있습니다. 계정을 개별적으로 선택하거나.csv계정 정보가 들어 있는 파일입니다.

각 계정에 대해 계정 ID와 이메일 주소를 입력해야 합니다. 이메일 주소는 계정의 보안 문제에 대해 문의할이메일 주소여야 합니다. 계정을 확인하는 데 사용되지 않습니다.

구성원 계정 목록에 계정을 추가하려면

1. 열기AWS Security Hub콘솔 (사용)https://console.aws.amazon.com/securityhub/.2. 왼쪽 창에서 설정을 선택합니다.3. 에설정페이지에서 [] []계정[] 를 선택한 다음계정 추가. 그런 다음 계정을 개별적으로 추가하거나.csv파

일에 계정 목록이 들어 있습니다.

66


AWS Security Hub 사용 설명서구성원 계정 추가 및 초대

4. 계정을 선택하려면 다음 중 하나를 수행합니다.

• 계정을 개별적으로 추가하려면계정 입력을 (를) 클릭하고 추가할 계정의 계정 ID와 이메일 주소를 입력한 다음Add.

계정마다 이 절차를 반복합니다.• 쉼표로 구분된 값 (.csv) 파일을 사용하여 계정을 여러 개 추가하려면 먼저 파일을 생성합니다. 추가하

려는 각 계정에 계정 ID와 이메일 주소가 파일에 포함되어야 합니다.

귀하의.csv목록에서 계정이 한 줄에 하나씩 표시되어야 합니다. 의 첫 번째 줄.csv파일에는 헤더가포함되어 있어야 합니다. 헤더에서 첫 번째 열은Account ID이고 두 번째 열은Email.

이어지는 각 줄에는 추가하려는 계정에 대한 계정 ID 및 유효한 이메일 주소가 포함되어야 합니다.

다음은 예제입니다..csv텍스트 편집기에서 볼 때 파일을 선택합니다.

Account ID,Email111111111111,[email protected]

스프레드시트 프로그램에서 필드는 별도의 열에 표시됩니다. 기본 형식은 여전히 쉼표로 구분됩니다. 계정 ID를 십진수가 아닌 숫자로 포맷해야 합니다. 예를 들어, 계정 ID 444455556666은444455556666.0으로 포맷할 수 없습니다. 또한 숫자 서식을 계정 ID에서 앞에 오는 0이 제거되지 않는지 확인하십시오.

파일을 선택하려면 콘솔에서 [], [] 를 차례로 선택합니다.목록 업로드 (.csv). 그런 다음찾아보기.

파일을 선택한 후 [] 를 선택합니다.계정 추가.5. 계정 추가를 완료하면추가할 계정를 선택하고다음.

회원 계정 초대 (콘솔)구성원 계정을 추가한 후 구성원 계정에 초대를 보냅니다. 연결을 해제한 계정에 대한 초대를 다시 보낼 수도있습니다.

새 계정으로 초대를 보내려면

1. 열기AWS Security Hub콘솔 (사용)https://console.aws.amazon.com/securityhub/.2. 탐색 창에서 []설정를 선택한 다음 를 선택합니다.계정.3. 초대할 계정에 대해초대의상태열을 사용합니다.4. 확인 메시지가 나타나면 [] 를 선택합니다.초대.

연결을 해제한 계정에 초대를 다시 보내려면

1. 열기AWS Security Hub콘솔 (사용)https://console.aws.amazon.com/securityhub/.2. 탐색 창에서 []설정를 선택한 다음 를 선택합니다.계정.3. 초대를 다시 보내려는 연결 해제된 각 계정을 선택합니다.4. From작업를 선택하고초대 다시 보내기.

구성원 계정 추가 (Security Hub API,AWS CLI)멤버 계정을 추가하려면 API 호출 또는AWS Command Line Interface. 관리자 계정 자격 증명을 사용해야 합니다. 관리자 계정만 이 작업을 수행할 수 있습니다.

67



AWS Security Hub 사용 설명서초대를 위한 응답

구성원 계정을 추가하려면 (Security Hub API,AWS CLI)

• API Security Hub—CreateMembers작업을 사용합니다. 추가할 각 구성원 계정에 대해AWS계정 ID.• AWS CLI— 명령줄에서 [], [] 를 차례로 실행합니다.create-members명령입니다.

aws securityhub create-members --account-details [{"AccountId": <accountID1>"}]

예

aws securityhub create-members --account-details '[{"AccountId": "123456789111"}, {"AccountId": "123456789222"}]'

회원 계정 초대 (Security Hub API,AWS CLI)추가한 계정을 초대하려면 API 호출 또는AWS Command Line Interface. 동일한 API 작업을 사용하거나AWS CLI명령을 사용하여 연결을 해제한 구성원 계정에 대한 초대장을 다시 보낼 수 있습니다. 관리자 계정자격 증명을 사용해야 합니다. 관리자 계정만 이 작업을 수행할 수 있습니다.

구성원 계정을 초대하려면 (Security Hub API,AWS CLI)

• API Security Hub—InviteMembers작업을 사용합니다. 초대할 각 계정에 대해AWS계정 ID.• AWS CLI— 명령줄에서 [], [] 를 차례로 실행합니다.invite-members명령입니다.

aws securityhub invite-members --account-ids <accountIDs>

예

aws securityhub invite-members --account-ids "123456789111" "123456789222"

회원 계정 초대에 응답멤버 계정이 되기 위한 초대를 수락하거나 거부할 수 있습니다.

초대를 수락하면 사용자 계정은AWS Security Hub멤버 계정. 초대를 전송한 계정이 Security Hub 관리자 계정이 됩니다. 관리자 계정 사용자는 Security Hub 에서 멤버 계정에 대한 검색 결과를 볼 수 있습니다.

초대를 거절하면 계정이사임관리자 계정의 구성원 계정 목록에 있습니다.

회원 계정으로 초대장을 한 번만 수락할 수 있습니다.

초대를 수락하거나 거절하려면 먼저 Security Hub 를 사용하도록 설정해야 합니다. Security Hub 활성화하는자세한 방법은the section called “수동으로 Security Hub 활성화” (p. 35).

모든 Security Hub 계정에는AWS Config활성화되고 모든 리소스를 기록하도록 구성되었습니다. 요구 사항에 대한 자세한 내용은AWS Config에 대한 자세한 내용은the section called “AWS Config 활성화” (p. 7).

초대를 수락하려면 (콘솔)에계정페이지,관리자 계정에는 계정에 대한 초대 및 멤버십 정보가 들어 있습니다.

회원 계정 초대를 수락하려면

1. 열기AWS Security Hub콘솔 (사용)https://console.aws.amazon.com/securityhub/.2. 탐색 창에서 []설정를 선택한 다음 를 선택합니다.계정.

68


https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-members.html

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_InviteMembers.html

https://docs.aws.amazon.com/cli/latest/reference/securityhub/invite-members.html


AWS Security Hub 사용 설명서초대를 위한 응답

3. 언더관리자 계정ToggleAccept을 켜기 위치로 설정한 다음초대 수락.

초대 수락 (Security Hub API,AWS CLI)회원 계정 초대를 수락하려면 API 호출 또는AWS Command Line Interface. 초대장을 받은 구성원 계정의 자격 증명을 사용해야 합니다.

초대를 수락하려면 (Security Hub APIAWS CLI)

• Security HubAPI —AcceptAdministratorInvitation작업을 사용합니다. 초대 식별자와AWS관리자계정용 계정 ID입니다. 초대에 대한 세부 정보를 검색하려면ListInvitations작업을 사용합니다.

• AWS CLI— 명령줄에서 [], [] 를 차례로 실행합니다.accept-administrator-invitation명령입니다.

aws securityhub accept-administrator-invitation --administrator-id <administratorAccountID> --invitation-id <invitationID>

예

aws securityhub accept-administrator-invitation --administrator-id 123456789012 --invitation-id 7ab938c5d52d7904ad09f9e7c20cc4eb

Note

Security Hub 콘솔은 계속AcceptInvitation. 결국 사용하기 위해 변경됩니다.AcceptAdministratorInvitation. 이 기능에 대한 액세스를 특별히 제어하는 모든 IAM정책은AcceptInvitation. 또한 추가해야 합니다.AcceptAdministratorInvitation를정책에 추가하여 콘솔이 사용하기 시작한 후 올바른 권한이 있는지 확인합니다.AcceptAdministratorInvitation.

초대를 거부하려면 (콘솔)회원 계정 초대를 거절할 수 있습니다. 초대를 거절하면 계정이사임관리자 계정의 구성원 계정 목록에 있습니다.

회원 계정 초대를 거부하려면

1. 열기AWS Security Hub콘솔 (사용)https://console.aws.amazon.com/securityhub/.2. 탐색 창에서 []설정를 선택한 다음 를 선택합니다.계정.3. 언더관리자 계정를 선택하고초대 거절.

초대 거부 (Security Hub API,AWS CLI)초대를 거부하려면 API 호출 또는AWS Command Line Interface.

초대를 거부하려면 (Security Hub API,AWS CLI)

• API Security Hub—DeclineInvitations작업을 사용합니다. 입력해야 하는 정보는 다음과 같습니다.AWS초대를 발급한 관리자 계정의 계정 ID입니다. 초대에 대한 정보를 보려면ListInvitations작업을 사용합니다.

• AWS CLI— 명령줄에서 [], [] 를 차례로 실행합니다.decline-invitations명령입니다.

aws securityhub decline-invitations --account-ids "<administratorAccountId>"

69

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AccepAdministratortInvitation.html

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html

https://docs.aws.amazon.com/cli/latest/reference/securityhub/accept-administrator-invitation.html


https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeclineInvitations.html

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListInvitations.html

https://docs.aws.amazon.com/cli/latest/reference/securityhub/decline-invitations.html

AWS Security Hub 사용 설명서멤버 계정 연결 해제

예

aws securityhub decline-invitations --account-ids "123456789012"

멤버 계정 연결 해제활성화된 구성원 계정의 검색 결과 수신 및 보기를 중지하려면 구성원 계정의 연결을 해제할 수 있습니다. 삭제하기 전에 멤버 계정을 연결 해제해야 합니다.

구성원 계정의 연결을 해제하면 상태가 인 구성원 계정 목록에 남아 있습니다.제거됨 (연관해제됨). 구성원계정의 관리자 계정 정보에서 계정이 제거됩니다.

계정에 대한 결과 수신을 재개하려면 초대를 다시 보내면 됩니다. 구성원 계정을 완전히 제거하려면 구성원계정을 삭제하면 됩니다.

구성원 계정 연결 해제 (콘솔)(사용)계정페이지에서 멤버 계정을 하나 이상 연결 해제할 수 있습니다.

멤버 계정 연결을 해제하려면

1. 열기AWS Security Hub콘솔 (사용)https://console.aws.amazon.com/securityhub/.2. 탐색 창에서 []설정를 선택한 다음 를 선택합니다.계정.3. 언더멤버 계정에서 연결을 해제할 계정을 선택합니다.4. 선택작업를 선택한 다음 를 선택합니다.계정 연결 해제.

구성원 계정 연결 해제 (Security Hub API,AWS CLI)멤버 계정의 연결을 해제하려면 API 호출 또는AWS Command Line Interface.

구성원 계정의 연결을 해제하려면 (Security Hub API,AWS CLI)

• API Security Hub—DisassociateMembers작업을 사용합니다. 입력해야 하는 정보는 다음과 같습니다.AWS연결을 해제할 구성원 계정의 계정 ID입니다. 구성원 계정 목록을 보려면ListMembers작업을 사용합니다.

• AWS CLI— 명령줄에서 [], [] 를 차례로 실행합니다.disassociate-members명령입니다.

aws securityhub disassociate-members --account-ids <accountIds>

예

aws securityhub disassociate-members --account-ids "123456789111" "123456789222"

멤버 계정 삭제관리자 계정으로서 초대를 통해 추가된 구성원 계정을 삭제할 수 있습니다. 활성화된 계정을 삭제하려면 먼저 연결을 해제해야 합니다.

구성원 계정을 삭제하면 목록에서 완전히 제거됩니다. 계정의 멤버십을 복원하려면 계정을 추가하고 완전히새로운 구성원 계정인 것처럼 초대해야 합니다.

70


https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateMembers.html


https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-members.html

AWS Security Hub 사용 설명서관리자 계정에서 연결 해제

구성원 계정 삭제 (콘솔)Security Hub 콘솔에서 계정을 하나 이상 삭제할 수 있습니다.

멤버 계정을 삭제하려면 다음을 수행합니다.

1. 열기AWS Security Hub콘솔 (사용)https://console.aws.amazon.com/securityhub/.2. 탐색 창에서 []설정를 선택한 다음 를 선택합니다.계정.3. 언더멤버 계정에서 삭제할 계정을 선택합니다.4. 선택작업를 선택한 다음 를 선택합니다.계정 삭제.

구성원 계정 삭제 (Security Hub API,AWS CLI)회원 계정을 삭제하려면 API 호출 또는AWS Command Line Interface.

구성원 계정을 삭제하려면 (Security Hub API,AWS CLI)

• Security Hub—DeleteMembers작업을 사용합니다. 입력해야 하는 정보는 다음과 같습니다.AWS삭제할멤버 계정의 계정 ID입니다. 구성원 계정 목록을 검색하려면ListMembers작업을 사용합니다.

• AWS CLI— 명령줄에서 [], [] 를 차례로 실행합니다.delete-members명령입니다.

aws securityhub delete-members --account-ids <memberAccountIDs>

예

aws securityhub delete-members --account-ids "123456789111" "123456789222"

관리자 계정에서 연결 해제초대를 통해 추가된 구성원 계정은 관리자 계정에서 자신의 연결을 해제할 수 있습니다. Organizations 사용하여 관리되는 구성원 계정은 관리자 계정에서 계정의 연결을 해제할 수 없습니다.

관리자 계정에서 연결을 해제하면 계정 상태가 관리자 계정의 구성원 목록에 남아 있습니다.사임. 그러나 관리자 계정은 계정에 대한 검색 결과를 받지 못합니다.

관리자 계정에서 연결을 끊은 후 초대를 다시 수락할 수 있습니다.

관리자 계정에서 연결 해제 (콘솔)회원 계정 초대를 거절할 수 있습니다. 이렇게 하려면 업데이트 된Accept관리자 계정용 옵션을 선택합니다.

관리자 계정에서 연결을 해제하려면

1. 열기AWS Security Hub콘솔 (사용)https://console.aws.amazon.com/securityhub/.2. 탐색 창에서 []설정를 선택한 다음 를 선택합니다.계정.3. 언더관리자 계정ToggleAccept을 해제 위치로 설정한 다음업데이트.

관리자 계정에서 연결 해제 (Security Hub API,AWS CLI)관리자 계정에서 계정을 연결 해제하려면 API 호출 또는AWS Command Line Interface.

71


https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteMembers.html


https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-members.html


AWS Security Hub 사용 설명서Security Hub 데이터에 대한 계정 작업의 영향

관리자 계정에서 연결을 해제하려면 (Security Hub APIAWS CLI)

• Security Hub—DisassociateFromAdministratorAccount작업을 사용합니다.• AWS CLI— 명령줄에서 [], [] 를 차례로 실행합니다.disassociate-from-administrator-account명령입니다.

aws securityhub disassociate-from-administrator-account

Note

Security Hub 콘솔은 계속DisassociateFromMasterAccount. 결국 사용하기 위해 변경됩니다.DisassociateFromAdministratorAccount. 이 기능에 대한 액세스를 특별히 제어하는 모든 IAM 정책은DisassociateFromMasterAccount. 또한 추가해야 합니다.DisassociateFromAdministratorAccount를 정책에 추가하여 콘솔이 사용하기 시작한 후올바른 권한이 있는지 확인합니다.DisassociateFromAdministratorAccount.

Security Hub 데이터에 대한 계정 작업의 영향이러한 계정 작업은 다음과 같은 영향을 줍니다.AWS Security Hub데이터가 없습니다.

Security Hub계정에 대해 Security Hub 를 비활성화하면AWS비활성화할 때 선택되는 영역입니다.

Security Hub 를 활성화한 각 리전에서 별도로 비활성화해야 합니다.

Security Hub 가 비활성화된 동안에는 관리자 계정에 대해 새 결과가 생성되지 않습니다. 기존 결과는 90일후에 삭제됩니다.

아마존 Macie, Amazon GuardDuty 및 아마존 인스펙터와의 통합이 제거됩니다.

사용자 지정 작업, 통찰력 및 타사 제품 구독을 포함한 기타 Security Hub 데이터 및 설정은 제거되지 않습니다.

활성화된 보안 표준은 비활성화됩니다.

멤버 계정이 관리자 계정에서 연결 해제됨멤버 계정이 관리자 계정으로부터 연결이 해제되면 관리자 계정은 멤버 계정 결과를 볼 수 있는 권한을 잃습니다.

Security Hub 는 두 계정 모두에서 계속 실행됩니다.

관리자 계정에 정의된 사용자 지정 설정 또는 통합은 이전 멤버 계정 결과에 적용되지 않습니다. 예를 들어,Amazon EventBridge 규칙에서 이벤트 패턴으로 사용되는 관리자 계정에 사용자 지정 작업이 있을 수 있습니다. 그러나 이 사용자 지정 작업은 구성원 계정에서 사용할 수 없습니다.

조직에서 구성원 계정이 제거되었습니다.조직에서 제거되면 관리자 계정은 멤버 계정 결과를 볼 수 있는 권한을 잃습니다.

Security Hub 는 두 계정 모두에서 계속 실행됩니다.

에서계정목록에서 관리자 계정에 대 한 계정 상태가연관해제됨.

72

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisassociateFromAdministratorAccount.html

https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html

https://docs.aws.amazon.com/cli/latest/reference/securityhub/disassociate-from-administrator-account.html

AWS Security Hub 사용 설명서계정이 일시 중지됨

계정이 일시 중지됨계정이 일시 중단된 경우AWS을 선택하면 계정이 Security Hub 결과를 볼 수 있는 권한을 잃게 됩니다. 해당계정에 대해 새 결과가 생성되지 않습니다. 일시 중지된 계정의 관리자 계정은 기존 계정 검색 결과를 볼 수있습니다.

기관 계정의 경우 구성원 계정 상태도계정 일시 중지. 이 문제는 관리자 계정이 계정을 활성화하려고 시도하는 동시에 계정이 일시 중단된 경우에 발생합니다. 에 대 한 관리자 계정계정 일시 중지계정이 해당 계정에대한 검색 결과를 볼 수 없습니다.

그렇지 않으면 일시 중지 상태가 구성원 계정 상태에 영향을 주지 않습니다.

90일이 지나면 계정이 종료되거나 다시 활성화됩니다. 계정이 다시 활성화되면 Security Hub 권한이 복원됩니다. 구성원 계정 상태가계정 일시 중지를 사용하는 경우 관리자 계정이 계정을 수동으로 활성화해야 합니다.

계정이 닫혔습니다.때AWS계정이 닫히면 Security Hub 는 폐쇄에 다음과 같이 응답합니다.

AWS는 관리자 계정 닫기 유효 날짜부터 90일 동안 계정에 대한 정책 데이터를 보관합니다. 90 일 기간이 끝나면AWS는 계정에 대한 모든 정책 데이터를 영구적으로 삭제합니다.

• 90일 넘게 보존하려면 정책을 보관하면 됩니다. 또한 EventBridge 규칙과 함께 사용자 지정 작업을 사용하여 검색 결과를 S3 버킷에 저장할 수 있습니다.

• 만큼AWS는 정책 데이터를 유지하며, 사용자가 폐쇄된 계정을 다시 열 때AWS는 계정을 서비스 관리자로재할당하고 계정에 대한 서비스 정책 데이터를 복구합니다.

• 자세한 내용은 단원을 참조하십시오.계정 닫기.

Important

에 있는 고객의 경우 AWS GovCloud (US) 리전:

• 계정을 닫기 전에, 정책 데이터 및 기타 계정 리소스를 백업해 둡니다. 계정을 닫은 후에는 더 이상 해당 계정에 액세스할 수 없습니다.

73

https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/close-account.html

AWS Security Hub 사용 설명서통찰력 결과 및 검색 결과 보기

의 통찰력AWSSecurity Hub한AWSSecurity Hub 통찰력은 관련 결과의 모음입니다. 이는 주의와 개입이 필요한 보안 영역을 식별합니다.예를 들어, 통찰력은 보안이 취약한 것으로 감지된 EC2 인스턴스를 지정할 수 있습니다. 통찰력은 전체 결과공급자의 결과를 함께 나타냅니다.

각 통찰력은 그룹화 기준 문과 선택적 필터에 의해 정의됩니다. 그룹화 기준 문은 일치하는 결과를 그룹화하는 방법을 나타내며 통찰력이 적용되는 항목 유형을 식별합니다. 예를 들어 통찰력이 리소스 식별자별로 그룹화된 경우 통찰력은 리소스 식별자 목록을 생성합니다. 선택적 필터는 통찰력과 일치하는 결과의 범위를좁힙니다. 예를 들어 특정 공급자의 결과나 특정 리소스 유형과 연관된 결과만 볼 수 있습니다.

Security Hub 에서는 여러 가지 기본 제공 관리형 (기본) 통찰력을 제공합니다 관리형 통찰력은 수정하거나삭제할 수 없습니다.

AWS 환경 및 사용에 따른 고유한 보안 문제를 추적하기 위해 사용자 지정 통찰력을 생성할 수 있습니다.

통찰력은 일치하는 결과를 생성하는 제품 통합 또는 보안 표준을 활성화한 경우에만 결과를 반환합니다. 예를 들어, 관리형 통찰력29. CIS 점검 실패 횟수 기준 상위 리소스는 CIS를 사용하도록 설정한 경우에만 결과를 반환합니다.AWS기본 제공 보안 표준.

주제• 통찰력 결과 및 검색 결과 보기 및 조치 수행 (p. 74)• 관리형 통찰력 (p. 76)• 사용자 지정 통찰력 관리 (p. 82)

통찰력 결과 및 검색 결과 보기 및 조치 수행각 통찰력에 대해AWSSecurity Hub 는 먼저 필터 기준과 일치하는 검색 결과를 확인한 다음 그룹화 속성을사용하여 일치하는 검색 결과를 그룹화합니다.

에서 다음을 수행합니다.인사이트콘솔 페이지에서 결과 및 검색 결과를 보고 조치를 취할 수 있습니다.

통찰력 결과 보기 및 조치 수행 (콘솔)통찰력 결과는 통찰력에 대한 결과의 그룹화된 목록으로 구성됩니다. 예를 들어 통찰력이 리소스 식별자별로그룹화된 경우 통찰력 결과는 리소스 식별자 목록입니다. 결과 목록의 각 항목은 해당 항목에 일치하는 검색결과 수를 나타냅니다.

검색 결과가 리소스 식별자 또는 리소스 유형별로 그룹화되면 일치하는 검색 결과의 모든 리소스가 결과에포함됩니다. 여기에는 필터 기준에 지정된 리소스 유형과 다른 유형의 리소스가 포함됩니다. 예를 들어, 통찰력은 S3 버킷과 연결된 결과를 식별합니다. 일치하는 검색 결과에 S3 버킷 리소스와 IAM 액세스 키 리소스가 모두 포함되어 있는 경우 통찰력 결과에 이러한 리소스가 모두 나열됩니다.

결과 목록은 가장 일치하는 검색 결과부터 순서대로 정렬됩니다.

Security Hub 100개의 결과만 표시할 수 있습니다. 100개 이상의 그룹화 값이 있는 경우 처음 100개만 표시됩니다.

결과 목록 외에도 통찰력 결과에는 다음 속성에 대해 일치하는 검색 결과 수를 요약하는 차트 세트가 표시됩니다.

• 심각도 수준심각도 레이블 - 각 심각도 레이블에 대한 검색 결과 수• AWS계정 ID— 일치하는 결과에 대한 상위 5개 계정 ID

74

AWS Security Hub 사용 설명서통찰력 결과 보기 (Security Hub API,AWS CLI)

• 리소스 유형— 일치하는 결과에 대한 상위 5개 리소스 유형• 리소스 ID— 일치하는 결과에 대한 상위 5개 리소스 ID• 제품 이름- 일치하는 결과에 대한 상위 5개 결과 공급자

사용자 지정 작업을 구성한 경우 선택한 결과를 사용자 지정 작업으로 보낼 수 있습니다. 작업은 CloudWatch규칙과 연결되어야 합니다.Security Hub Insight Results이벤트 유형입니다. 자동화된 대응 및 문제해결 (p. 645) 단원을 참조하세요.

사용자 지정 작업을 구성하지 않은 경우작업메뉴가 비활성화되어 있습니다.

통찰력 결과 목록을 표시하고 조치를 취하려면

1. 열기AWSSecurity Hubhttps://console.aws.amazon.com/securityhub/.2. 탐색 창에서 Insights를 선택합니다.3. 통찰력 결과 목록을 표시하려면 통찰력 이름을 선택합니다.4. 사용자 지정 작업으로 보낼 각 결과에 대한 확인란을 선택합니다.5. 작업 메뉴에서 사용자 지정 작업을 선택합니다.

통찰력 결과 보기 (Security Hub API,AWS CLI)통찰력 결과를 보려면 API 호출 또는AWS Command Line Interface.

통찰력 결과를 보려면 (Security Hub API,AWS CLI)

• Security Hub API— 사용GetInsightResults작업을 실행합니다. 결과를 반환할 인사이트를 식별하려면 통찰력 ARN 이 필요합니다. 사용자 지정 인사이트를 위한 인사이트 ARN을 얻으려면GetInsights작업을 실행합니다.

• AWS CLI— 명령줄에서get-insight-results명령입니다.

aws securityhub get-insight-results --insight-arn <insight ARN>

예:

aws securityhub get-insight-results --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

통찰력 결과에 대한 결과 보기 (콘솔)통찰력 결과 목록에서 각 결과에 대한 검색 결과 목록을 표시할 수 있습니다.

통찰력 결과를 표시하고 조치를 취하려면

1. 열기AWSSecurity Hubhttps://console.aws.amazon.com/securityhub/.2. 탐색 창에서 Insights를 선택합니다.3. 통찰력 결과 목록을 표시하려면 통찰력 이름을 선택합니다.4. 통찰력 결과에 대한 검색 결과 목록을 표시하려면 결과 목록에서 항목을 선택합니다.

결과 목록에는 워크플로우 상태가 NEW 또는 NOTIFIED인 선택한 통합에 대한 활성 결과가 표시됩니다.

결과 목록에서 다음 작업을 수행할 수 있습니다.

75


https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsightResults.html

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetInsights.html

https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-insight-results.html


AWS Security Hub 사용 설명서관리형 통찰력

• 목록 필터 및 그룹화 변경 (p. 94)• 개별 결과에 대한 세부 정보 보기 (p. 96)• 결과의 워크플로 상태 업데이트 (p. 98)• 사용자 지정 작업에 결과 전송 (p. 99)

관리형 통찰력AWSSecurity Hub 여러 관리형 통찰력을 제공합니다.

Security Hub 관리형 통찰력은 편집하거나 삭제할 수 없습니다. 통찰력 결과와 검색 결과를 보고 조치를 취할 (p. 74) 수 있습니다. 관리형 통찰력을 새 사용자 지정 통찰력의 기반으로 사용 (p. 85)할 수도 있습니다.

다른 모든 통찰력과 마찬가지로, 관리형 통찰력은 일치하는 결과를 생성할 수 있는 제품 통합 또는 보안 표준을 활성화한 경우에만 결과를 반환합니다.

리소스 식별자별로 그룹화된 통찰력의 경우 일치하는 검색 결과에 있는 모든 리소스의 식별자가 결과에 포함됩니다. 여기에는 필터 기준의 리소스 유형과 다른 유형의 리소스가 포함됩니다. 예를 들어, 통찰력 2는 S3버킷과 연결된 결과를 식별합니다. 일치하는 검색 결과에 S3 버킷 리소스와 IAM 액세스 키 리소스가 모두 포함되어 있는 경우 통찰력 결과에 두 리소스가 모두 포함됩니다.

현재 릴리스에서 Security Hub 는 다음과 같은 관리형 통찰력을 제공합니다.

1. 가장 많은 결과가 포함된 AWS 리소스

ARN: arn:aws:securityhub:::insight/securityhub/default/1

그룹화 기준 리소스 식별자

결과 필터• 레코드 상태가 ACTIVE임• 워크플로 상태가 NEW 또는 NOTIFIED임

2. 퍼블릭 쓰기 또는 읽기 권한이 있는 S3 버킷


그룹화 기준 리소스 식별자

결과 필터• 유형이 Effects/Data Exposure로 시작• 리소스 유형이 AwsS3Bucket임• 레코드 상태가 ACTIVE임• 워크플로 상태가 NEW 또는 NOTIFIED임

3. 가장 많은 결과를 생성하는 AMI


그룹화 기준 EC2 인스턴스 이미지 ID

결과 필터• 리소스 유형이 AwsEc2Instance임• 레코드 상태가 ACTIVE임• 워크플로 상태가 NEW 또는 NOTIFIED임

76


4. 알려진 Tactics, Techniques, and Procedures(TTP)와 관련된 EC2 인스턴스


그룹화 기준 리소스 ID

결과 필터• 유형이 TTPs로 시작• 리소스 유형이 AwsEc2Instance임• 레코드 상태가 ACTIVE임• 워크플로 상태가 NEW 또는 NOTIFIED임

5.AWS의심스러운 액세스 키 활동이 있는 보안 주체


그룹화 기준 IAM 액세스 키 보안 주체 이름

결과 필터• 리소스 유형이 AwsIamAccessKey임• 레코드 상태가 ACTIVE임• 워크플로 상태가 NEW 또는 NOTIFIED임

6. 보안 표준/모범 사례를 준수하지 않는 AWS 리소스 인스턴스



결과 필터• 유형이 Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices임

• 레코드 상태가 ACTIVE임• 워크플로 상태가 NEW 또는 NOTIFIED임

7. 잠재적인 데이터 유출과 관련된 AWS 리소스


그룹화 기준: 리소스 ID

결과 필터• 유형이 Effects/Data Exfiltration/로 시작• 레코드 상태가 ACTIVE임• 워크플로 상태가 NEW 또는 NOTIFIED임

8. 무단 리소스 사용과 관련된 AWS 리소스



결과 필터• 유형이 Effects/Resource Consumption로 시작• 레코드 상태가 ACTIVE임• 워크플로 상태가 NEW 또는 NOTIFIED임

9. 보안 표준/모범 사례를 준수하지 않는 S3 버킷


77



결과 필터• 리소스 유형이 AwsS3Bucket임• 유형이 Software and Configuration Checks/Industry and Regulatory Standards/AWS Security Best Practices임


10. 민감한 데이터가 포함된 S3 버킷



결과 필터• 리소스 유형이 AwsS3Bucket임• 유형이 Sensitive Data Identifications/로 시작• 레코드 상태가 ACTIVE임• 워크플로 상태가 NEW 또는 NOTIFIED임

11. 유출되었을 수 있는 자격 증명



결과 필터• 유형이 Sensitive Data Identifications/Passwords/로 시작• 레코드 상태가 ACTIVE임• 워크플로 상태가 NEW 또는 NOTIFIED임

12. 중요한 취약성에 대한 보안 패치가 없는 EC2 인스턴스



결과 필터• 유형이 Software and Configuration Checks/Vulnerabilities/CVE로 시작• 리소스 유형이 AwsEc2Instance임• 레코드 상태가 ACTIVE임• 워크플로 상태가 NEW 또는 NOTIFIED임

13. 전반적으로 비정상적 동작을 하는 EC2 인스턴스



결과 필터• 유형이 Unusual Behaviors로 시작• 리소스 유형이 AwsEc2Instance임• 레코드 상태가 ACTIVE임• 워크플로 상태는 NEW 또는 NOTIFIED입니다.

14. 인터넷에서 액세스할 수 있는 포트가 있는 EC2 인스턴스


78



결과 필터• 유형이 Software and Configuration Checks/AWS Security Best Practices/NetworkReachability로 시작

• 리소스 유형이 AwsEc2Instance임• 레코드 상태가 ACTIVE임• 워크플로 상태가 NEW 또는 NOTIFIED임

15. 보안 표준/모범 사례를 준수하지 않는 EC2 인스턴스



결과 필터• 유형이 다음 중 하나로 시작:

• Software and Configuration Checks/Industry and Regulatory Standards/

• Software and Configuration Checks/AWS Security Best Practices


16. 인터넷에 개방된 EC2 인스턴스



결과 필터• 유형이 Software and Configuration Checks/AWS Security Best Practices/NetworkReachability로 시작


17. 공격자 정찰과 관련된 EC2 인스턴스



결과 필터• 유형이 TTPs/Discovery/Recon으로 시작• 리소스 유형이 AwsEc2Instance임• 레코드 상태가 ACTIVE임• 워크플로 상태가 NEW 또는 NOTIFIED임

18. 맬웨어와 관련된 AWS 리소스




• Effects/Data Exfiltration/Trojan

• TTPs/Initial Access/Trojan

79


• TTPs/Command and Control/Backdoor

• TTPs/Command and Control/Trojan

• Software and Configuration Checks/Backdoor

• Unusual Behaviors/VM/Backdoor


19. 암호 화폐 문제와 관련된 AWS 리소스




• Effects/Resource Consumption/Cryptocurrency

• TTPs/Command and Control/CryptoCurrency


20. 무단 액세스 시도가 있는 AWS 리소스




• TTPs/Command and Control/UnauthorizedAccess

• TTPs/Initial Access/UnauthorizedAccess

• Effects/Data Exfiltration/UnauthorizedAccess

• Unusual Behaviors/User/UnauthorizedAccess

• Effects/Resource Consumption/UnauthorizedAccess


21. 지난 주에 가장 많은 조회수를 기록한 위협 인텔리전스 지표


결과 필터• 지난 7일 이내에 생성됨

22. 결과 개수 기준 상위 계정


그룹화 기준 AWS계정 ID


23. 결과 개수 기준 상위 제품


그룹화 기준 제품 ARN

80



24. 결과 개수 기준 심각도


그룹화 기준 심각도 수준


25. 결과 개수 기준 상위 S3 버킷



결과 필터• 리소스 유형이 AwsS3Bucket임• 레코드 상태가 ACTIVE임• 워크플로 상태가 NEW 또는 NOTIFIED임

26. 결과 개수 기준 상위 EC2 인스턴스




27. 결과 개수 기준별 상위 AMI


그룹화 기준 EC2 인스턴스 이미지 ID


28. 결과 개수 기준 상위 IAM 사용자


그룹화 기준 IAM 액세스 키 사용자 이름

결과 필터• 리소스 유형이 AwsIamAccessKey임• 레코드 상태가 ACTIVE임• 워크플로 상태가 NEW 또는 NOTIFIED임

29. CIS 점검 실패 횟수 기준 상위 리소스


81

AWS Security Hub 사용 설명서사용자 지정 통찰력 관리


결과 필터• 생성기 ID가 arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0/rule로 시작

• 마지막 날에 업데이트됨• 규정 준수 상태가 FAILED임• 레코드 상태가 ACTIVE임• 워크플로 상태가 NEW 또는 NOTIFIED임

30. 결과 개수 기준 상위 통합


그룹화 기준 제품 ARN


31. 가장 실패한 보안 검사가 있는 리소스



결과 필터• 마지막 날에 업데이트됨• 규정 준수 상태가 FAILED임• 레코드 상태가 ACTIVE임• 워크플로 상태가 NEW 또는 NOTIFIED임

32입니다. 의심스러운 활동이 있는 IAM 사용자


그룹화 기준 IAM 사용자 이름

결과 필터• 리소스 유형이 AwsIamUser임• 레코드 상태가 ACTIVE임• 워크플로 상태가 NEW 또는 NOTIFIED임

사용자 지정 통찰력 관리또한 다음과 같습니다.AWSSecurity Hub 에서 관리형 통찰력을 사용하면 사용자 환경에 맞는 문제 및 리소스를 추적하는 사용자 지정 통찰력을 생성할 수 있습니다.

완전히 새로운 사용자 지정 통찰력을 생성하거나 기존 사용자 지정 통찰력 또는 관리형 통찰력을 시작할 수있습니다.

각 통찰력은 다음 옵션으로 구성됩니다.

• 그룹화 속성— 그룹화 속성은 통찰력 결과 목록에 표시할 항목을 결정합니다. 예를 들어, 그룹화 속성이제품 이름를 선택하면 통찰력 결과에 각 결과 공급자와 연관된 결과 수가 표시됩니다.

• 선택적 필터 옵션 필터— 이 필터는 통찰력과 일치하는 결과의 범위를 좁힙니다.

82

AWS Security Hub 사용 설명서사용자 지정 통찰력 생성 (콘솔)

Security Hub 는 필터 집합에 부울 AND 논리를 적용합니다. 즉, 결과는 제공된 모든 필터와 일치해야 합니다. 예를 들어 필터가 “제품 이름이 GuardDuty 임” 이고 “리소스 유형이 인 경우AwsS3Bucket“와 같은 경우 일치하는 검색 결과가 두 가지 기준과 일치해야합니다.

그러나 Security Hub 에서는 속성은 동일하지만 다른 값을 사용하는 필터에 부울 OR 로직을 적용합니다.예를 들어 필터가 “상품 이름이 GuardDuty 이고 “상품 이름이 임을 “이면 GuardDuty 또는 아마존 검사기에의해 생성된 경우 결과가 일치합니다.

리소스 식별자 또는 리소스 유형을 그룹화 속성으로 사용하는 경우 통찰력 결과에 일치하는 검색 결과에 있는 모든 리소스가 포함됩니다. 이 목록은 리소스 유형 필터와 일치하는 리소스에만 국한되지 않습니다. 예를들어, 통찰력은 S3 버킷과 연결된 검색 결과를 식별하고 이러한 결과를 리소스 식별자별로 그룹화합니다. 일치하는 검색 결과에는 S3 버킷 리소스와 IAM 액세스 키 리소스가 모두 포함됩니다. 통찰력 결과에는 두 리소스가 모두 포함됩니다.

사용자 지정 통찰력 생성 (콘솔)콘솔에서 완전히 새로운 통찰력을 생성할 수 있습니다.

사용자 지정 통찰력을 생성하려면

1. 열기AWS의 Security Hubhttps://console.aws.amazon.com/securityhub/.2. 탐색 창에서 Insights를 선택합니다.3. Create insight(통찰력 생성)를 선택하십시오.4. 통찰력에 대한 그룹화 속성을 선택하려면

a. 검색 상자를 선택하여 필터 옵션을 표시합니다.b. 그룹화 기준을 선택합니다.c. 이 통찰력과 관련된 결과를 그룹화하는 데 사용할 속성을 선택합니다.d. [Apply]를 선택합니다.

5. (선택 사항) 이 통찰력에 사용할 추가 필터를 선택합니다. 각 필터에 대해 필터 기준을 정의한 다음Apply.6. Create insight(통찰력 생성)를 선택하십시오.7. Insight name(통찰력 이름)을 입력한 다음 Create insight(통찰력 생성)를 선택합니다.

사용자 지정 통찰력 생성 (Security Hub API,AWS CLI)사용자 지정 통찰력을 생성하려면 API 호출 또는AWS Command Line Interface.

사용자 지정 인사이트를 만들려면 (Security Hub APIAWS CLI)

• Security Hub—CreateInsight작업을 통해 처리합니다. 사용자 지정 통찰력을 만들 때 이름, 필터 및 그룹화 특성을 제공해야 합니다.

• AWS CLI— 명령줄에서create-insight명령입니다.

aws securityhub create-insight --name <insight name> --filters <filter values> --group-by-attribute <attribute name>

예

aws securityhub create-insight --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "CRITICAL"}]}' --group-by-attribute "ResourceId" --name "Critical role findings"

83


https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateInsight.html

https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-insight.html

AWS Security Hub 사용 설명서사용자 지정 통찰력 수정 (콘솔)

사용자 지정 통찰력 수정 (콘솔)기존 사용자 지정 통찰력을 수정하여 그룹화 값과 필터를 변경할 수 있습니다. 변경한 후 업데이트를 원래 통찰력에 저장하거나 업데이트된 버전을 새 통찰력으로 저장할 수 있습니다.

통찰력을 수정하려면

1. 열기AWS의 Security Hubhttps://console.aws.amazon.com/securityhub/.2. 탐색 창에서 Insights를 선택합니다.3. 수정할 사용자 지정 통찰력을 선택합니다.4. 필요에 따라 통찰력 구성을 편집합니다.

• 통찰력의 결과를 그룹화하는 데 사용한 속성을 변경하려면a. 기존 그룹화를 제거하려면X옆의그룹화 기준설정을 사용합니다.b. 검색 상자를 선택합니다.c. 그룹화에 사용할 속성을 선택합니다.d. [Apply]를 선택합니다.

• 통찰력에서 필터를 제거하려면 원으로 둘러싸인X필터 옆에 있습니다.• 통찰력에 필터를 추가하려면

a. 검색 상자를 선택합니다.b. 필터로 사용할 속성과 값을 선택합니다.c. [Apply]를 선택합니다.

5. 업데이트를 완료하면 Save insight(통찰력 저장)를 선택합니다.6. 메시지가 표시되면 다음 중 하나를 수행합니다.

• 기존 통찰력을 업데이트하여 변경 사항을 반영하려면 <Insight_Name> 업데이트를 선택한 다음Save insight(통찰력 저장)를 선택합니다.

• 업데이트가 적용된 새 통찰력을 생성하려면 Save new insight(새 통찰력 저장)를 선택합니다. Insightname(통찰력 이름)을 입력한 다음 Save insight(통찰력 저장)를 선택합니다.

사용자 지정 통찰력 수정 (Security Hub API,AWS CLI)사용자 지정 통찰력을 수정하려면 API 호출 또는AWS Command Line Interface.

사용자 지정 인사이트를 수정하려면 (Security Hub APIAWS CLI)

• Security Hub—UpdateInsight작업을 통해 처리합니다. 사용자 지정 인사이트를 식별하기 위해 통찰력ARN 제공합니다. 사용자 지정 인사이트를 위한 인사이트 ARN을 얻으려면GetInsights작업을 통해 처리합니다. 그런 다음 이름, 필터 및 그룹화 값을 업데이트할 수 있습니다.

• AWS CLI— 명령줄에서update-insight명령입니다.

aws securityhub update-insight --insight-arn <insight ARN> [--name <new name>] [--filters <new filters>] [--group-by-attribute <new grouping attribute>]

예

aws securityhub update-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" --filters '{"ResourceType": [{ "Comparison": "EQUALS", "Value": "AwsIamRole"}], "SeverityLabel": [{"Comparison": "EQUALS", "Value": "HIGH"}]}' --name "High severity role findings"

84


https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateInsight.html


https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-insight.html

AWS Security Hub 사용 설명서관리형 통찰력을 통해 새 사용자 지정 통찰력 생성 (콘솔)

관리형 통찰력을 통해 새 사용자 지정 통찰력 생성 (콘솔)관리형 통찰력에 대한 변경 사항을 저장하거나 관리형 통찰력을 삭제할 수 없습니다. 관리형 통찰력을 새 사용자 지정 통찰력의 기반으로 사용할 수 있습니다.

관리형 통찰력을 통해 새 사용자 지정 통찰력을 생성하려면

1. 열기AWS의 Security Hubhttps://console.aws.amazon.com/securityhub/.2. 탐색 창에서 Insights를 선택합니다.3. 작업할 관리형 통찰력을 선택합니다.4. 필요에 따라 통찰력 구성을 편집합니다.

• 통찰력의 결과를 그룹화하는 데 사용한 속성을 변경하려면a. 기존 그룹화를 제거하려면X옆의그룹화 기준설정을 사용합니다.b. 검색 상자를 선택합니다.c. 그룹화에 사용할 속성을 선택합니다.d. [Apply]를 선택합니다.

• 통찰력에서 필터를 제거하려면 원으로 둘러싸인X필터 옆에 있습니다.• 통찰력에 필터를 추가하려면

a. 검색 상자를 선택합니다.b. 필터로 사용할 속성과 값을 선택합니다.c. [Apply]를 선택합니다.

5. 업데이트가 완료되면 Create insight(통찰력 생성)를 선택합니다.6. 메시지가 표시되면통찰력 이름를 선택한 다음통찰력 생성 (.

사용자 지정 통찰력 삭제 (콘솔)사용자 지정 통찰력을 더 이상 원하지 않으면 삭제할 수 있습니다. 관리형 통찰력은 삭제할 수 없습니다.

사용자 지정 통찰력을 삭제하려면

1. 열기AWS의 Security Hubhttps://console.aws.amazon.com/securityhub/.2. 탐색 창에서 Insights를 선택합니다.3. 삭제할 사용자 지정 통찰력을 찾습니다.4. 이러한 통찰력을 보려면 추가 옵션 아이콘 (카드 오른쪽 상단에 있는 점 세 개) 을 선택합니다.5. 삭제(Delete)를 선택합니다.

사용자 지정 통찰력 삭제 (Security Hub API,AWS CLI)사용자 지정 통찰력을 삭제하려면 API 호출 또는AWS Command Line Interface.

사용자 지정 통찰력을 삭제하려면 (Security Hub APIAWS CLI)

• Security Hub—DeleteInsight작업을 통해 처리합니다. 삭제할 사용자 지정 인사이트를 식별하려면 통찰력 ARN 제공합니다. 사용자 지정 인사이트를 위한 인사이트 ARN을 얻으려면GetInsights작업을 통해 처리합니다.

• AWS CLI— 명령줄에서delete-insight명령입니다.

85



https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DeleteInsight.html


https://docs.aws.amazon.com/cli/latest/reference/securityhub/delete-insight.html

AWS Security Hub 사용 설명서사용자 지정 통찰력 삭제 (Security Hub API,AWS CLI)

aws securityhub delete-insight --insight-arn <insight ARN>

예

aws securityhub delete-insight --insight-arn "arn:aws:securityhub:us-west-1:123456789012:insight/123456789012/custom/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"

86

AWS Security Hub 사용 설명서검색 결과 생성 및 업데이트

의 결과AWSSecurity HubAWSSecurity Hub 는 여러 공급자로부터 많은 양의 결과를 처리해야 하는 복잡성을 없앨 수 있습니다. 따라서 모든 AWS 계정, 리소스 및 워크로드의 보안을 관리하고 개선하는 데 필요한 노력을 줄일 수 있습니다.

Security Hub 는 다음과 같은 소스에서 결과를 수신합니다.

• 활성화하는 AWS 보안 서비스와의 통합 the section called “사용 가능한 AWS 서비스 통합” (p. 419)을(를) 참조하세요.

• 활성화하는 타사 제품과의 통합 the section called “사용 가능한 타사 파트너 제품 통합” (p. 421)을(를)참조하세요.

• 사용자가 구성하는 사용자 지정 통합 the section called “사용자 지정 제품 통합 사용” (p. 431)을(를) 참조하세요.

• Security Hub 에서 활성화된 컨트롤을 검사합니다. the section called “제어 결과 생성 및 업데이트” (p. 436)을(를) 참조하세요.

Security Hub 는 다음과 같은 표준 결과 형식을 사용하여 결과를 소비합니다.AWSSecurity Finder 형식 결과형식에 대한 자세한 내용은 the section called “결과 형식” (p. 99)을(를) 참조하십시오.

Security Hub 는 가장 중요한 제품을 우선 순위로 지정할 수 있도록 모든 통합 제품 간의 결과를 상호 연관시킵니다.

결과 공급자는 결과의 추가 인스턴스를 반영하도록 결과를 업데이트할 수 있습니다. 결과를 업데이트하여 조사 및 결과에 대한 세부 정보를 제공할 수 있습니다.

주제• 에서 검색 결과 생성 및 업데이트AWS Security Hub (p. 87)• 의 결과 보기AWS Security Hub (p. 94)• 의 결과에 대한 조치를 취하려면AWS Security Hub (p. 97)• ASFF(AWS Security Finding 형식) (p. 99)

에서 검색 결과 생성 및 업데이트AWS Security HubAWS Security Hub에서 다음 결과 공급자 유형 중 하나에서 결과를 시작할 수 있습니다.

• 다른 AWS 서비스와의 통합 활성화• 타사 공급자와의 통합 활성화• Security Hub 활성화된 컨트롤

결과가 생성된 후에는 결과 공급자 또는 고객이 업데이트할 수 있습니다.

• 결과 공급자는 BatchImportFindings API 작업을 사용하여 결과에 대한 일반 정보를 업데이트합니다.결과 공급자는 자신이 생성한 결과만 업데이트할 수 있습니다.

• 고객이 사용하는BatchUpdateFindingsAPI 작업을 통해 조사 상태를 결과에 반영할 수 있습니다.BatchUpdateFindings는 고객을 대신하여 티켓팅, 인시던트 관리, 오케스트레이션, 수정 또는 SIEM도구에서도 사용할 수 있습니다.

87




AWS Security Hub 사용 설명서사용 BatchImportFindings

고객은 Security Hub 콘솔에서 결과의 워크플로 상태를 관리하고 결과를 사용자 지정 작업으로 전송할 수있습니다. the section called “결과에 대한 조치 수행” (p. 97)을(를) 참조하세요.

또한 Security Hub 는 결과를 자동으로 업데이트하고 삭제합니다.

지난 90일 동안 업데이트되지 않은 모든 결과는 자동으로 삭제됩니다.

주제• 결과 생성 및 업데이트에 BatchImportFindings 사용 (p. 88)• 결과를 업데이트하기 위한 BatchUpdateFindings 사용 (p. 90)

결과 생성 및 업데이트에 BatchImportFindings 사용결과 공급자는 BatchImportFindings API 작업을 사용하여 새 결과를 생성하고 생성한 결과에 대한 정보를 업데이트합니다. 작성하지 않은 결과는 업데이트할 수 없습니다.

고객, SIEMS, 티켓팅 도구 및 SOAR 도구는 BatchUpdateFindings를 사용하여 결과 공급자의 결과 처리와 관련된 업데이트를 수행합니다. the section called “사용 BatchUpdateFindings” (p. 90)을(를) 참조하세요.

Security Hub 수신할 때마다BatchImportFindings요청을 사용하여 결과를 생성하거나 업데이트하려면Security Hub Findings - Imported이벤트를 생성합니다. 자동화된 대응 및 문제 해결 (p. 645)을(를) 참조하세요.

AWS Security Hub에서는 Security Hub 가 활성화된 계정에 대한 업데이트 찾기만 수락할 수 있습니다. 결과공급자도 활성화해야 합니다. Security Hub 가 비활성화되거나 결과 공급자 통합이 활성화되지 않은 경우 결과는FailedFindings목록과 함께InvalidAccess오류입니다.

용BatchImportFindings을 통해 Security Hub 는 배치당 최대 100개의 검색 결과, 찾기당 최대 240KB,배치당 최대 6MB의 검색 결과를 수용합니다. 스로틀 속도 제한은 리전당 계정당 10TPS이며 버스트는30TPS입니다.

결과 생성 또는 갱신 여부 결정Security Hub 는 결과를 생성할지 또는 업데이트할지 여부를 결정하기 위해ID필드. ID의 값이 기존 결과와일치하지 않으면 새 결과가 생성됩니다.

다음의 경우,ID가 기존 결과와 일치할 경우 Security Hub 는UpdatedAt필드에 업데이트를 입력합니다.

• 다음의 경우,UpdatedAt가 일치하거나 이전에 발생합니다.UpdatedAt기존 결과의 경우 업데이트가 무시됩니다.

• 다음의 경우,UpdatedAt이후 업데이트가 발생합니다.UpdatedAt기존 결과의 이 업데이트되면 기존 결과가 업데이트됩니다.

의 제한된 속성BatchImportFindings기존 결과의 경우 결과 공급자는BatchImportFindings을 클릭하여 다음 특성 및 객체를 업데이트합니다.이 속성은 를 사용해서만 업데이트할 수 있습니다.BatchUpdateFindings.

• Note

• UserDefinedFields

• VerificationState

88







AWS Security Hub 사용 설명서사용 BatchImportFindings

• Workflow

Security HubBatchImportFindings해당 속성 및 개체에 대한. 고객 또는 고객을 대신하여 행동하는 다른공급자는BatchUpdateFindings을 클릭하여 업데이트합니다.

사용 FindingProviderFields공급자를 찾는 것도BatchImportFindings다음 속성을 업데이트합니다.

• Confidence

• Criticality

• RelatedFindings

• Severity

• Types

대신 공급자를 찾는 경우FindingProviderFields (p. 163)객체를 사용하여 이러한 속성에 대한 값을제공할 수 있습니다.

예

"FindingProviderFields": { "Confidence": 42, "Criticality": 99, "RelatedFindings":[ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" } ], "Severity": { "Label": "MEDIUM", "Original": "MEDIUM" }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ]}

용BatchImportFindings요청에 따라 Security Hub 는 최상위 속성및FindingProviderFields (p. 163)를 다음과 같이 사용합니다.

(권장)BatchImportFindings의 속성에 대한 값을 제공FindingProviderFields (p. 163)와 동일하지만 해당 최상위 속성에 대한 값을 제공하지 않습니다.

예,BatchImportFindings가 제공하는FindingProviderFields.Confidence, 하지만 제공하지않습니다Confidence. 이것은에 대한 기본 옵션입니다BatchImportFindings요청을 사용합니다.

Security Hub 속성 값을 업데이트합니다.FindingProviderFields (p. 163).

속성이 이미 업데이트되지 않은 경우에만 최상위 속성에 값을 복제BatchUpdateFindings.BatchImportFindings는 최상위 속성에 대한 값을 제공하지만FindingProviderFields (p. 163).

예,BatchImportFindings가 제공하는Confidence, 하지만 제공하지 않습니다FindingProviderFields.Confidence.

Security Hub 값을 사용하여FindingProviderFields (p. 163). 기존 값을 덮어 씁니다.

Security Hub 속성이 아직 업데이트되지 않은 경우에만 최상위 특성을 업데이트합니다.BatchUpdateFindings.

89












AWS Security Hub 사용 설명서사용 BatchUpdateFindings

BatchImportFindings는 최상위 속성과 해당 속성 모두에 대한 값을 제공합니다.FindingProviderFields (p. 163).

예,BatchImportFindings두 가지를 모두 제공합니다Confidence및FindingProviderFields.Confidence.

새로운 검색 결과를 위해 Security Hub 는FindingProviderFields (p. 163)를 사용하여 최상위 속성과 해당 속성을 모두 채울 수 있습니다.FindingProviderFields (p. 163). 제공된 최상위 속성 값은 사용하지 않습니다.

기존 검색 결과에 대해 Security Hub 는 두 값을 모두 사용합니다. 그러나 속성이 이미 업데이트되지 않은 경우에만 최상위 속성 값을 업데이트합니다.BatchUpdateFindings.

사용batch-import-findings명령을 실행하려면AWS CLI에서AWS Command Line Interface를 사용하는batch-import-findings명령을 사용하여 결과 생성 또는갱신

각 결과를 JSON 객체로 제공합니다.

예

aws securityhub batch-import-findings --findings ' [{ "AwsAccountId": "123456789012", "CreatedAt": "2019-08-07T17:05:54.832Z", "Description": "Vulnerability in a CloudTrail trail", "FindingProviderFields": { "Severity": { "Label": INFORMATIONAL, "Original": 0 }, "Types": [ "Software and Configuration Checks/Vulnerabilities/CVE" ] }, "GeneratorId": "TestGeneratorId", "Id": "Id1", "ProductArn": "arn:aws:securityhub:us-west-1:123456789012:product/123456789012/default", "Resources": [ { "Id": "arn:aws:cloudtrail:us-west-1:123456789012:trail/TrailName", "Partition": "aws", "Region": "us-west-1", "Type": "AwsCloudTrailTrail" } ], "SchemaVersion": "2018-10-08", "Title": "CloudTrail trail vulnerability", "UpdatedAt": "2020-06-02T16:05:54.832Z" }]'

결과를 업데이트하기 위한 BatchUpdateFindings 사용BatchUpdateFindings는 공급자를 찾는 고객의 결과 처리와 관련된 정보를 업데이트하는 데 사용됩니다.고객을 대신하여 작동하는 고객 또는 SIEM, 티켓팅, 인시던트 관리 또는 SOAR 도구에서 사용할 수 있습니다.BatchUpdateFindings은 새 결과를 생성하는 데 사용할 수 없습니다. 한 번에 최대 100개의 결과를 업데이트하는 데 사용할 수 있습니다.

90




https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-import-findings.html




Security Hub 수신할 때마다BatchUpdateFindings요청을 사용하여 찾기를 업데이트하면 자동으로Security Hub Findings - Imported이벤트를 생성합니다. 자동화된 대응 및 문제 해결 (p. 645)을(를) 참조하세요.

BatchUpdateFindings는 결과에 대한 UpdatedAt 필드를 변경하지 않습니다. UpdatedAt은 결과 공급자의 최신 업데이트만 반영합니다.

사용 가능한 필드BatchUpdateFindings관리자 계정은BatchUpdateFindings을 클릭하여 해당 계정 또는 구성원 계정에 대한 결과를 업데이트합니다. 멤버 계정으로는BatchUpdateFindings을 클릭하여 계정에 대한 검색 결과를 업데이트합니다.

고객만 사용할 수 있습니다BatchUpdateFindings를 클릭하여 다음 필드와 객체를 업데이트합니다.

• Confidence

• Criticality

• Note

• RelatedFindings

• Severity

• Types

• UserDefinedFields

• VerificationState

• Workflow

기본적으로 관리자 및 구성원 계정은 위의 모든 필드와 필드 값에 액세스할 수 있습니다. Security Hub 는 필드 및 필드 값에 대한 액세스를 제한할 수 있는 컨텍스트 키도 제공합니다.

예를 들어 구성원 계정만Workflow.StatustoRESOLVED. 또는 구성원 계정의 변경을 허용하지 않을 수 있습니다.Severity.Label.

에 대한 액세스 구성BatchUpdateFindingsIAM 정책을 구성하여BatchUpdateFindings을 클릭하여 필드와 필드 값을 업데이트합니다.

에 대한 액세스를 제한하는 문에서BatchUpdateFindings를 사용하려면 다음 값을 사용합니다.

• Action 확장하는 데 securityhub:BatchUpdateFindings• Effect 확장하는 데 Deny• 용Condition, 당신은 거부 할 수BatchUpdateFindings요청을 기반으로 합니다.

• 검색 결과에는 특정 필드가 포함됩니다.• 검색 결과에 특정 필드 값이 포함됩니다.

조건 키

다음은 액세스를 제한하기위한 조건 키입니다.BatchUpdateFindings.

ASFF 필드

ASFF 필드의 조건 키는 다음과 같습니다.

securityhub:ASFFSyntaxPath/<fieldName>

91











Replace<fieldName>를 ASFF 필드로 바꿉니다.

예를 들어, 에 대한 액세스를 제한하려면Workflow.Status필드에서securityhub:ASFFSyntaxPath/Workflow.Status.

필드에 대한 모든 업데이트 허용 안 함

사용자가 특정 필드를 업데이트하지 못하게하려면 다음과 같은 조건을 사용하십시오.

"Condition": { "Null": { "securityhub:ASFFSyntaxPath/<fieldName>": "false" }}

예를 들어 다음과 같은 문은BatchUpdateFindings워크플로 상태를 업데이트하는 데 사용할 수 없습니다.

{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "Null": { "securityhub:ASFFSyntaxPath/Workflow.Status": "false" } }}

특정 필드 값 허용 안 함

사용자가 필드를 특정 값으로 설정하는 것을 방지하려면 다음과 같은 조건을 사용합니다.

"Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/<fieldName>": "<fieldValue>" }}

예를 들어 다음과 같은 문은BatchUpdateFindings를 사용하여 설정할 수 없습니다.Workflow.StatustoSUPPRESSED.

{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": "SUPPRESSED" }}

허용되지 않는 값 목록을 제공할 수도 있습니다.

"Condition": {

92




"ForAnyValue:StringEquals": { "securityhub:ASFFSyntaxPath/<fieldName>": [ "<fieldValue1>", "<fieldValue2>", "<fieldValuen>" ] }}

예를 들어 다음과 같은 문은BatchUpdateFindings를 사용하여 설정할 수 없습니다.Workflow.Status중 하나를 사용합니다.RESOLVED또는SUPPRESSED.

{ "Sid": "VisualEditor0", "Effect": "Deny", "Action": "securityhub:BatchUpdateFindings", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "securityhub:ASFFSyntaxPath/Workflow.Status": [ "RESOLVED", "NOTIFIED" ] }}

사용 batch-update-findings명령을 실행하려면AWS CLI에서AWS Command Line Interface를 사용하는batch-update-findings명령을 사용하여 검색 결과를 업데이트합니다.

업데이트할 각 검색 결과에 대해 검색 결과를 생성한 제품의 검색 ID 및 ARN 모두 제공합니다.

--finding-identifiers ID="<findingID1>",ProductArn="<productARN>" ID="<findingID2>",ProductArn="<productARN2>"

업데이트할 특성을 제공할 때 JSON 형식 또는 바로 가기 형식을 사용할 수 있습니다.

다음은 업데이트에 대한 예입니다.NoteJSON 형식을 사용하는 객체:

--note '{"Text": "Known issue that is not a risk.", "UpdatedBy": "user1"}'

바로 가기 형식을 사용하는 동일한 업데이트는 다음과 같습니다.

--note Text="Known issue that is not a risk.",UpdatedBy="user1"

이AWS CLI명령 참조서는 각 필드에 대한 JSON 및 바로 가기 구문을 제공합니다.

다음batch-update-findings예제에서는 두 개의 검색 결과를 업데이트하여 메모를 추가하고 심각도 레이블을 변경한 다음 해결합니다.

aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-2::product/aws/securityhub" Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --note '{"Text": "Known issue that is not a risk.", "UpdatedBy": "user1"}' --severity '{"Label": "LOW"}' --workflow '{"Status": "RESOLVED"}'

93


https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-update-findings.html


AWS Security Hub 사용 설명서결과 보기

이것은 동일한 예이지만 JSON 대신 바로 가기를 사용합니다.

aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --note Text="Known issue that is not a risk.",UpdatedBy="user1" --severity Label="LOW" --workflow Status="RESOLVED"

의 결과 보기AWS Security HubAWS Security Hub 탐색 창의 Findings(결과)에는 활성화된 모든 제품 통합 및 컨트롤의 결과 목록이 표시됩니다.

Integrations(통합)에서는 활성화된 통합에 의해 생성된 결과 목록을 표시할 수 있습니다. the section called“통합에서 결과 보기” (p. 419)을(를) 참조하세요.

Insights(인사이트)에서는 일치하는 인사이트 결과에 대한 결과 목록을 표시할 수 있습니다. the sectioncalled “통찰력 결과 및 검색 결과 보기” (p. 74)을(를) 참조하세요.

Security standards(보안 표준)에서는 선택한 컨트롤에서 생성된 결과 목록을 표시할 수 있습니다. thesection called “제어 결과 보기 및 조치 수행” (p. 451)을(를) 참조하세요.

GetFindings API 작업을 사용하여 필터링된 결과 목록을 검색할 수도 있습니다.

주제• 결과 필터링 및 그룹화 (콘솔) (p. 94)• 결과 세부 정보 보기 (콘솔) (p. 96)• 찾기 세부 정보 검색 (Security Hub API,AWS CLI) (p. 97)

결과 필터링 및 그룹화 (콘솔)결과에 대한 목록을 표시할 때결과페이지에서통합[] 페이지에서인사이트페이지에서 목록은 항상 레코드 상태 및 워크플로 상태에 따라 필터링됩니다. 이는 인사이트 또는 통합에 대한 필터에 추가됩니다.

레코드 상태는 결과가 활성 상태인지 보관 상태인지 여부를 나타냅니다. 결과는 결과 공급자가 보관할 수 있습니다. 연결된 리소스가 삭제되면 AWS Security Hub도 컨트롤에 대한 결과를 자동으로 보관합니다. 기본적으로 결과 목록에는 활성 결과만 표시됩니다.

워크플로 상태는 결과에 대한 조사 상태를 나타냅니다. 워크플로 상태는 Security Hub 고객 또는 고객을 대신하여 작동하는 시스템에서만 업데이트할 수 있습니다. 기본적으로 결과 목록에는 워크플로 상태가 NEW 또는NOTIFIED인 결과만 표시됩니다. 컨트롤에 대한 기본 결과 목록에는 RESOLVED 결과도 포함됩니다.

컨트롤의 결과 목록을 사용한 작업에 대한 내용은 단원을 참조하십시오.the section called “결과 필터링 및정렬” (p. 451).

필터 추가목록 범위를 변경하려면 필터를 추가할 수 있습니다.

최대 10개의 속성을 기준으로 필터링할 수 있습니다. 각 속성에 대해 최대 20개의 필터 값을 제공할 수 있습니다.

94


AWS Security Hub 사용 설명서결과 필터링 및 그룹화 (콘솔)

Security Hub 는 결과 목록을 필터링할 때 필터 집합에 AND 논리를 적용합니다. 즉, 결과는 제공된 모든 필터와 일치해야 합니다. 예를 들어 GuardDuty te를 제품 이름에 대한 필터로 추가하고AwsS3Bucket를 리소스유형에 대한 필터로 사용하는 경우 일치하는 검색 결과는이 두 기준과 일치해야합니다.

그러나 Security Hub 는 속성은 동일하지만 다른 값을 사용하는 필터에 OR 로직을 적용합니다. 예를 들어GuardDuty 및 Amazon Inspector 상품 이름에 대한 필터 값으로 추가합니다. 이 경우, 발견은 GuardDuty 또는 Amazon Inspector 터에 의해 생성 된 경우 일치합니다.

결과 목록에 필터를 추가하려면

1. 열기AWS Security Hub콘솔https://console.aws.amazon.com/securityhub/.2. 찾기 목록을 표시하려면 다음 중 하나를 수행합니다.

• Security Hub 탐색 창에서 [] 를 선택합니다.결과.• Security Hub 탐색 창에서 [] 를 선택합니다.인사이트. 통찰력을 선택하십시오. 그런 다음 결과 목록에

서 통찰력 결과를 선택합니다.• Security Hub 탐색 창에서 [] 를 선택합니다.통합. 선택검색 결과 보기통합.

3. [] 아래에서필터 추가상자에 입력합니다.4. 메뉴의 [] 아래에서필터아래에서 필터를 선택합니다.5. 필터 일치 유형을 선택합니다.

문자열 필터의 경우 다음 비교 옵션 중에서 선택할 수 있습니다.

• is— 필터 값과 정확히 일치하는 값을 찾습니다.• 가 다음으로 시작됩니다.— 필터 값으로 시작하는 값을 찾습니다.• 가 아닙니다.— 필터 값과 일치하지 않는 값을 찾습니다.• 로 시작하지 않습니다.— 필터 값으로 시작하지 않는 값을 찾습니다.

숫자 필터의 경우 단일 숫자 (간편함) 또는 숫자 범위 (Range).

날짜 또는 시간 필터의 경우 현재 날짜 시간 (롤링 창) 또는 날짜 범위 (고정 범위).

여러 필터를 추가하면 다음과 같은 상호 작용이 있습니다.

• is및가 다음으로 시작됩니다.필터는 OR로 결합됩니다. 필터 값이 포함되어 있으면 값이 일치합니다.예를 들어 를 지정할 경우심각도 수준및심각도 레이블이 높음로 설정하면 결과에는 중요 및 높은 심각도 발견이 모두 포함됩니다.

• 가 아닙니다.및로 시작하지 않습니다.필터는 AND로 결합됩니다. 값은 해당 필터 값을 포함하지 않는경우에만 일치합니다. 예를 들어 를 지정할 경우심각도 레이블이 낮지 않음및심각도 레이블이 미디어가 아닙니다.로 설정하면 결과에 심각도가 낮거나 중간 정도인 결과가 포함되지 않습니다.

이is필터를 사용할 수 없는 경우가 아닙니다.또는로 시작하지 않습니다.필터를 동일한 필드에 추가합니다.

6. 필터 값을 지정합니다.

문자열 필터의 경우 필터 값은 대/소문자를 구분합니다.

예를 들어 Security Hub 에서 얻은 결과는제품 이름는 Security Hub 입니다. 이EQUALS연산자를 사용하여 Security Hub 의 검색 결과를 보려면Security Hub을 필터 값으로 지정합니다. security hub를입력하면 결과가 표시되지 않습니다.

마찬가지로, 당신이 사용하는 경우PREFIX연산자를 입력하고Sec을 클릭하면 Security Hub 검색 결과가 표시됩니다. 를 입력하는 경우sec를 클릭하면 Security Hub 검색 결과가 표시되지 않습니다.

7. [Apply]를 선택합니다.

95


AWS Security Hub 사용 설명서결과 세부 정보 보기 (콘솔)

결과 그룹화필터를 변경하는 것 외에도 선택한 속성의 값을 기준으로 결과를 그룹화할 수 있습니다.

결과를 그룹화하면 결과 목록이 일치하는 결과에서 선택한 속성에 대한 값 목록으로 바뀝니다. 각 값에 대해다른 필터 기준과 일치하는 결과 수가 목록에 표시됩니다.

예를 들어 결과를 AWS 계정 ID별로 그룹화하면 각 계정에 일치하는 결과 수와 함께 계정 식별자 목록이 표시됩니다.

Security Hub 100개의 값만 표시할 수 있습니다. 100개 이상의 그룹화 값이 있는 경우 처음 100개만 표시됩니다.

속성 값을 선택하면 해당 값에 일치하는 결과 목록이 표시됩니다.

결과 목록에서 결과를 그룹화하려면

1. 찾기 목록에서필터 추가상자에 입력합니다.2. 메뉴의 Grouping(그룹화) 아래에서 Group by(그룹화 기준)를 선택합니다.3. 목록에서 그룹화에 사용할 속성을 선택합니다.4. [Apply]를 선택합니다.

필터 값 또는 그룹화 속성 변경기존 필터의 경우 필터 값을 변경할 수 있습니다. 그룹화 속성을 변경할 수도 있습니다.

예를 들어,레코드 상태찾을 필터ARCHIVED의 결과 대신ACTIVE결과.

필터 또는 그룹화 속성을 편집하려면

1. 필터링된 찾기 목록에서 필터 또는 그룹화 속성을 선택합니다.2. 용그룹화 기준을 선택하고 새 속성을 선택한 다음Apply.3. 필터에서 새 값을 선택한 다음Apply.

필터 또는 그룹화 속성 삭제필터 또는 그룹화 속성을 삭제하려면x아이콘.

목록이 자동으로 업데이트되어 변경 사항을 반영합니다. 그룹화 속성을 제거하면 목록이 필드 값 목록에서결과 목록으로 변경됩니다.

결과 세부 정보 보기 (콘솔)검색 결과 목록에서 검색 결과에 대한 세부 정보 창을 표시할 수 있습니다.

결과 세부 정보 창을 보려면



서 통찰력 결과를 선택합니다.

96


AWS Security Hub 사용 설명서찾기 세부 정보 검색 (Security Hub API,AWS CLI)

• Security Hub 탐색 창에서 [] 를 선택합니다.통합. 선택검색 결과 보기통합.3. 찾기 제목을 선택합니다.

검색 결과 세부 정보 창의 맨 위에는 계정, 심각도, 날짜 및 상태를 포함하여 검색 결과에 대한 개요 정보가 들어 있습니다. 계정이 조직 구성원 계정인 경우 정보에는 계정 이름이 포함됩니다. 수동으로 초대된 계정의 경우 정보에는 계정 ID만 포함됩니다.

유형 및 관련 검색 결과에는 결과 유형에 대한 정보가 포함되어 있습니다.

리소스에는 영향을 받는 리소스에 대한 정보가 포함되어 있습니다.

문제 해결가 제어 검색 결과에 대해 표시됩니다. 검색 결과를 트리거한 문제를 해결하기 위한 지침으로 연결되는 링크를 제공합니다.

공급자 필드 찾기는 신뢰, 중요도, 관련 검색 결과, 심각도 및 찾기 유형에 대한 검색 공급자의 값을 표시합니다.

찾기 세부 정보 창에서 세부 정보를 보고 필터에 필드 값을 추가할 수 있습니다.

• 결과에 대한 전체 JSON을 표시하려면 결과 ID를 선택합니다. Finding JSON(결과 JSON)에서 결과 JSON을 파일로 다운로드 할 수 있습니다.

• 결과 목록 필터에 필드 값을 추가하려면 필드 옆에 있는 검색 아이콘을 선택합니다.• AWS Config 규칙을 기반으로 하는 결과의 경우 적용 가능한 규칙 목록을 표시하려면 Rules(규칙)를 선택

합니다.

찾기 세부 정보 검색 (Security Hub API,AWS CLI)프로그래밍 방식으로 선택한 검색 결과에 대한 세부 정보를 검색하려면 API 호출 또는AWS Command LineInterface.

결과 목록을 검색하려면 (Security Hub API,AWS CLI)

• Security Hub API —GetFindingsAPI 작업을 선택합니다.• AWS CLI— 명령줄에서get-findings명령입니다.

get-findings --filters <filter criteria JSON> --sort-criteria <sort criteria> --page-size <findings per page> --max-items <maximum number of results>

예

aws securityhub get-findings --filters '{"GeneratorId":[{"Value": "aws-foundational","Comparison":"PREFIX"}],"WorkflowStatus": [{"Value": "NEW","Comparison":"EQUALS"}],"Confidence": [{"Gte": 85}]}' --sort-criteria '{"Field": "LastObservedAt","SortOrder": "desc"}' --page-size 5 --max-items 100

의 결과에 대한 조치를 취하려면AWS Security HubAWS Security Hub에서는 결과에 대한 조사 상태를 추적할 수 있습니다.

결과를 사용자 지정 작업으로 전송하여 처리할 수도 있습니다.

주제

97


https://docs.aws.amazon.com/cli/latest/reference/securityhub/get-findings.html

AWS Security Hub 사용 설명서결과에 대한 워크플로 상태 설정

• 결과에 대한 워크플로 상태 설정 (p. 98)• 사용자 지정 작업에 결과 전송 (p. 99)

결과에 대한 워크플로 상태 설정결과의 워크플로 상태는 결과에 대한 조사 진행 상황을 추적합니다.

워크플로 상태의 값은 다음과 같습니다.

NEW

검토하기 전 결과의 초기 상태입니다.

또한 Security Hub 는 워크플로 상태를NOTIFIED또는RESOLVEDtoNEW다음과 같은 경우:• 아카이브된 검색 결과가 활성화됩니다.• 규정 준수 상태가 다음에서 변경됩니다.PASSED다음 중 하나를 사용합니다WARNING,FAILED또

는NOT_AVAILABLE.

이러한 변경은 추가 조사가 필요하다는 것을 의미합니다.NOTIFIED

리소스 소유자에게 보안 문제에 대해 통지했음을 나타냅니다. 리소스 소유자가 아닌 경우 이 상태를 사용할 수 있으며 보안 문제를 해결하기 위해 리소스 소유자의 개입이 필요합니다.

SUPPRESSED

결과가 다시 검토되거나 조치가 취해지지 않습니다.RESOLVED

결과가 검토 및 수정되었으며 이제 해결된 것으로 간주됩니다.

컨트롤의 검색 결과에 대해Compliance.StatusisPASSED을 선택하면 Security Hub 가 자동으로 워크플로 상태를RESOLVED.

워크플로 상태 설정 (콘솔)찾기 세부 정보 창에서 워크플로 상태를 설정하려면워크플로우 상태에서 해당 상태를 선택합니다.

결과 목록에서 선택한 여러 결과의 워크플로 상태를 설정할 수도 있습니다.

여러 결과의 워크플로 상태를 설정하려면 (콘솔)



서 통찰력 결과를 선택합니다.• Security Hub 탐색 창에서 [] 를 선택합니다.통합. 선택검색 결과 보기통합.• Security Hub 탐색 창에서 [] 를 선택합니다.보안 표준. 선택결과 보기를 클릭하여 컨트롤 목록을 표시

합니다. 그런 다음 컨트롤 이름을 선택합니다.3. 결과 목록에서 업데이트할 각 결과의 확인란을 선택합니다.4. 목록의 맨 위에서워크플로우 상태에서 해당 상태를 선택합니다.

98


AWS Security Hub 사용 설명서사용자 지정 작업에 결과 전송

워크플로 상태 설정 (Security Hub API,AWS CLI)워크플로 상태를 설정하려면 API 호출 또는AWS Command Line Interface.

검색 결과의 워크플로 상태를 설정하려면 (Security Hub API,AWS CLI)

• Security Hub API —사용BatchUpdateFindings작업을 사용합니다. 업데이트할 검색 결과를 식별하려면 검색 결과를 생성한 제품의 검색 ID 및 ARN 모두 제공해야 합니다.

• AWS CLI–명령줄에서batch-update-findings명령입니다.

batch-update-findings --finding-identifiers Id="<findingID>",ProductArn="<productARN>" --workflow Status="<workflowStatus>"

예

aws securityhub batch-update-findings --finding-identifiers Id="arn:aws:securityhub:us-west-1:123456789012:subscription/pci-dss/v/3.2.1/PCI.Lambda.2/finding/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",ProductArn="arn:aws:securityhub:us-west-1::product/aws/securityhub" --workflow Status="RESOLVED"

사용자 지정 작업에 결과 전송생성할 수 있습니다.AWS Security Hub사용자 지정 작업을 통해 Amazon EventBridge 를 사용하여 SecurityHub 자동화합니다 사용자 지정 작업의 경우 이벤트 유형은 Security Hub Findings - Custom Action입니다.

사용자 지정 작업을 만드는 방법에 대한 자세한 내용과 단계는 자동화된 대응 및 문제 해결 (p. 645) 단원을참조하십시오.

사용자 지정 작업을 설정한 후 결과를 해당 작업에 전송할 수 있습니다.

결과를 사용자 지정 작업으로 전송하려면



서 통찰력 결과를 선택합니다.• Security Hub 탐색 창에서 [] 를 선택합니다.통합. 선택검색 결과 보기통합.• Security Hub 탐색 창에서 [] 를 선택합니다.보안 표준. 선택결과 보기를 클릭하여 컨트롤 목록을 표시

합니다. 그런 다음 컨트롤 이름을 선택합니다.3. 결과 목록에서 사용자 지정 작업으로 전송할 각 결과의 확인란을 선택합니다.

결과를 한 번에 최대 20개까지 선택할 수 있습니다.4. 용작업에서 사용자 지정 작업을 선택합니다.

ASFF(AWS Security Finding 형식)AWSSecurity Hub 는 다음과 같은 결과를 소비, 집계, 구성 및 우선 순위를 지정합니다.AWS보안 서비스와타사 제품 통합 Security Hub 은 이러한 결과를 다음과 같은 표준 결과 형식으로 처리합니다.AWS보안 검색형식 (ASFF) - 시간이 많이 걸리는 데이터 변환 작업이 필요하지 않습니다. 그러면 가장 중요한 제품에 우선순위를 부여하기 위해 제품 전반에 걸쳐 수집된 결과를 상호 연관시킵니다.

99




AWS Security Hub 사용 설명서결과 형식

목차• ASFF 구문 (p. 105)• ASFF 속성 (p. 139)

• 필수 속성 (p. 139)• 기타 최상위 속성 (p. 144)• Action (p. 153)

• AwsApiCallAction (p. 154)• DomainDetails (p. 155)

• DnsRequestAction (p. 156)• NetworkConnectionAction (p. 156)

• RemotePortDetails (p. 157)• PortProbeAction (p. 157)

• PortProbeDetails (p. 158)• LocalPortDetails (p. 158)• RemoteIpDetails (p. 159)

• City (p. 160)• Country (p. 160)• Geolocation (p. 160)• Organization (p. 160)

• Compliance (p. 161)• StatusReasons (p. 162)

• FindingProviderFields (p. 163)• Malware (p. 164)• Network(사용되지 않음) (p. 166)

• OpenPortRange (p. 169)• NetworkPath (p. 169)

• Egress (p. 170)• Ingress (p. 171)• Destination (p. 171)• Source (p. 172)

• Note (p. 172)• PatchSummary (p. 173)• Process (p. 176)• RelatedFindings (p. 178)• Remediation (p. 178)

• Recommendation (p. 179)• Resources (p. 180)

• DataClassification (p. 186)• Result (p. 188)• CustomDataIdentifiers (p. 189)• SensitiveData (p. 189)• Detections (p. 190)• Cells (p. 191)• LineRanges (p. 191)• OffsetRanges (p. 192)• Pages (p. 192)100


• Records (p. 194)• AwsApiGatewayRestApi (p. 194)

• EndpointConfiguration (p. 196)• AwsApiGatewayStage (p. 196)

• AccessLogSettings (p. 200)• CanarySettings (p. 200)• MethodSettings (p. 201)

• AwsApiGatewayV2Api (p. 203)• CorsConfiguration (p. 205)

• AwsApiGatewayV2Stage (p. 205)• AccessLogSettings (p. 208)• DefaultRouteSettings 및 RouteSettings (p. 209)

• AwsAutoScalingAutoScalingGroup (p. 210)• AwsCertificateManagerCertificate (p. 211)

• DomainValidationOptions (p. 216)• ExtendedKeyUsages (p. 217)• KeyUsages (p. 218)• Options (p. 218)• RenewalSummary (p. 218)

• AwsCloudFrontDistribution (p. 219)• CacheBehaviors (p. 220)• DefaultCacheBehavior (p. 221)• Logging (p. 221)• OriginGroups (p. 222)• Origins (p. 222)

• AwsCloudTrailTrail (p. 223)• AwsCodeBuildProject (p. 226)

• Environment (p. 227)• Source (p. 229)• VpcConfig (p. 230)

• AwsDynamoDbTable (p. 230)• AttributeDefinitions (p. 235)• BillingModeSummary (p. 235)• GlobalSecondaryIndexes (p. 236)• KeySchema (p. 237)• LocalSecondaryIndexes (p. 237)• Projection(글로벌 및 로컬 보조 인덱스의 경우) (p. 238)• ProvisionedThroughput (p. 238)• Replicas (p. 239)• RestoreSummary (p. 241)• SseDescription (p. 242)• StreamSpecification (p. 242)

• AwsEc2Eip (p. 243)• AwsEc2Instance (p. 244)

• NetworkInterfaces (p. 246)

101


• AwsEc2NetworkAcl (p. 246)• Associations (p. 247)• Entries (p. 248)

• AwsEc2NetworkInterface (p. 250)• Attachment (p. 251)• Ipv6Addresses (p. 252)• PrivateIpAddresses (p. 252)• SecurityGroups (p. 253)

• AwsEc2SecurityGroup (p. 253)• IP 권한 객체 (p. 254)

• AwsEc2Subnet (p. 257)• Ipv6CidrBlockAssociationSet (p. 259)

• AwsEc2Volume (p. 260)• Attachments (p. 261)

• AwsEc2Vpc (p. 262)• CidrBlockAssociationSet (p. 263)• IpV6CidrBlockAssociationSet (p. 263)

• AwsEcsCluster (p. 264)• ClusterSettings (p. 265)• Configuration (p. 265)

• LogConfiguration (p. 266)• DefaultCapacityProviderStrategy (p. 267)

• AwsEcsTaskDefinition (p. 267)• ContainerDefinitions (p. 270)• ContainerDefinitions.DependsOn (p. 275)• ContainerDefinitions.Environment (p. 276)• ContainerDefinitions.EnvironmentFiles (p. 276)• ContainerDefinitions.ExtraHosts (p. 276)• ContainerDefinitions.FirelensConfiguration (p. 277)• ContainerDefinitions.HealthCheck (p. 277)• ContainerDefinitions.LinuxParameters (p. 278)

• Capabilities (p. 279)• Devices (p. 280)• Tmpfs (p. 280)

• ContainerDefinitions.LogConfiguration (p. 281)• SecretOptions (p. 281)

• ContainerDefinitions.MountPoints (p. 282)• ContainerDefinitions.PortMappings (p. 282)• ContainerDefinitions.RepositoryCredentials (p. 283)• ContainerDefinitions.ResourceRequirements (p. 283)• ContainerDefinitions.Secrets (p. 283)• ContainerDefinitions.SystemControls (p. 284)• ContainerDefinitions.Ulimits (p. 284)• ContainerDefinitions.VolumesFrom (p. 285)• InferenceAccelerators (p. 285)

102


• PlacementConstraints (p. 285)• ProxyConfiguration (p. 286)

• ProxyConfigurationProperties (p. 286)• Volumes (p. 287)

• DockerVolumeConfiguration (p. 287)• EfsVolumeConfiguration (p. 288)• Host (p. 289)

• AwsElasticBeanstalkEnvironment (p. 289)• EnvironmentLinks (p. 293)• OptionSettings (p. 293)• Tier (p. 294)

• AwsElasticSearchDomain (p. 294)• DomainEndpointOptions (p. 295)• DomainStatus (p. 296)• EncryptionAtRestOptions (p. 297)• LogPublishingOptions (p. 297)• NodeToNodeEncryptionOptions (p. 297)• ServiceSoftwareOptions (p. 298)• VpcOptions (p. 299)

• AwsElbLoadBalancer (p. 299)• BackendServerDescriptions (p. 303)• HealthCheck (p. 303)• Instances (p. 305)• ListenerDescriptions (p. 305)• LoadBalancerAttributes (p. 306)• Policies (p. 308)• SourceSecurityGroup (p. 309)

• AwsElbv2LoadBalancer (p. 310)• AvailabilityZones (p. 311)• State (p. 311)

• AwsIamAccessKey (p. 312)• SessionContext (p. 313)

• AwsIamGroup (p. 315)• AttachedManagedPolicies (p. 316)• GroupPolicyList (p. 317)

• AwsIamPolicy (p. 317)• PolicyVersionList (p. 319)

• AwsIamRole (p. 320)• AttachedManagedPolicies (p. 322)• InstanceProfileList (p. 322)• PermissionsBoundary (p. 325)• RolePolicyList (p. 325)

• AwsIamUser (p. 325)• AttachedManagedPolicies (p. 327)• PermissionsBoundary (p. 327)

103


• UserPolicyList (p. 328)• AwsKmsKey (p. 328)• AwsLambdaFunction (p. 329)

• Code (p. 332)• DeadLetterConfig (p. 332)• Environment (p. 333)• Layers (p. 333)• TracingConfig (p. 334)• VpcConfig (p. 334)

• AwsLambdaLayerVersion (p. 334)• AwsRdsDbCluster (p. 335)

• AssociatedRoles (p. 341)• DbClusterMembers (p. 342)• DbClusterOptionGroupMemberships (p. 342)• DomainMemberships (p. 343)• VpcSecurityGroups (p. 343)

• AwsRdsDbClusterSnapshot (p. 344)• AwsRdsDbInstance (p. 347)

• AssociatedRoles (p. 356)• DbParameterGroups (p. 357)• DbSubnetGroup (p. 357)• DomainMemberships (p. 359)• Endpoint (p. 359)• ListenerEndpoint (p. 360)• OptionGroupMemberships (p. 360)• PendingModifiedValues (p. 361)• ProcessorFeatures (p. 363)• StatusInfos (p. 363)• VpcSecurityGroups (p. 364)

• AwsRdsDbSnapshot (p. 364)• AwsRedshiftCluster (p. 369)

• ClusterNodes (p. 378)• ClusterParameterGroups (p. 378)• ClusterSecurityGroups (p. 379)• ClusterSnapshotCopyStatus (p. 380)• DeferredMaintenanceWindows (p. 380)• ElasticIpStatus (p. 381)• Endpoint (p. 381)• HsmStatus (p. 382)• IamRoles (p. 382)• PendingModifiedValues (p. 383)• ResizeInfo (p. 384)• RestoreStatus (p. 385)• VpcSecurityGroups (p. 386)

• AwsS3AccountPublicAccessBlock (p. 386)

104

AWS Security Hub 사용 설명서ASFF 구문

• AwsS3Bucket (p. 387)• BucketLifecycleConfiguration (p. 389)

• AbortIncompleteMultipartUpload (p. 390)• Filter (p. 391)• NoncurrentVersionTransitions (p. 392)• Transitions (p. 392)

• PublicAccessBlockConfiguration (p. 393)• ServerSideEncryptionConfiguration (p. 394)

• AwsS3Object (p. 394)• AwsSecretsManagerSecret (p. 395)• AwsSnsTopic (p. 397)

• Subscription (p. 397)• AwsSqsQueue (p. 398)• AwsSsmPatchCompliance (p. 398)• AwsWafWebAcl (p. 401)

• 규칙 객체 (p. 402)• Container (p. 404)• Other (p. 405)

• Severity (p. 406)• 심각도를 할당하기 위한 지침 (AWS서비스 및 파트너) (p. 407)• Security Hub 매핑 방법Label및Normalized값 (p. 407)

• ThreatIntelIndicators (p. 408)• Vulnerabilities (p. 409)

• Cvss (p. 411)• Vendor (p. 411)• VulnerablePackages (p. 412)

• Workflow (p. 413)• ASFF에 대한 유형 분류 체계 (p. 414)

ASFF 구문다음은 에 대한 완전한 JSON 구문입니다.AWSASFF (Security Find형식)

"Findings": [ { "Action": { "ActionType": "string", "AwsApiCallAction": { "AffectedResources": { "string": "string" }, "Api": "string", "CallerType": "string", "DomainDetails": { "Domain": "string" }, "FirstSeen": "string", "LastSeen": "string", "RemoteIpDetails": { "City": { "CityName": "string"

105


}, "Country": { "CountryCode": "string", "CountryName": "string" }, "IpAddressV4": "string", "Geolocation": { "Lat": number, "Lon": number }, "Organization": { "Asn": number, "AsnOrg": "string", "Isp": "string", "Org": "string" } }, "ServiceName": "string" }, "DnsRequestAction": { "Blocked": boolean, "Domain": "string", "Protocol": "string" }, "NetworkConnectionAction": { "Blocked": boolean, "ConnectionDirection": "string", "LocalPortDetails": { "Port": number, "PortName": "string" }, "Protocol": "string", "RemoteIpDetails": { "City": { "CityName": "string" }, "Country": { "CountryCode": "string", "CountryName": "string" }, "IpAddressV4": "string", "Geolocation": { "Lat": number, "Lon": number }, "Organization": { "Asn": number, "AsnOrg": "string", "Isp": "string", "Org": "string" } }, "RemotePortDetails": { "Port": number, "PortName": "string" } }, "PortProbeAction": { "Blocked": boolean, "PortProbeDetails": [ { "LocalIpDetails": { "IpAddressV4": "string" }, "LocalPortDetails": { "Port": number,

106


"PortName": "string" }, "RemoteIpDetails": { "City": { "CityName": "string" }, "Country": { "CountryCode": "string", "CountryName": "string" }, "GeoLocation": { "Lat": number, "Lon": number }, "IpAddressV4": "string", "Organization": { "Asn": number, "AsnOrg": "string", "Isp": "string", "Org": "string" } } } ] } }, "AwsAccountId": "string", "Compliance": { "RelatedRequirements": ["string"], "Status": "string", "StatusReasons": [ { "Description": "string", "ReasonCode": "string" } ] }, "Confidence": number, "CreatedAt": "string", "Criticality": number, "Description": "string", "FindingProviderFields": { "Confidence": number, "Criticality": number, "RelatedFindings":[ { "ProductArn": "string", "Id": "string" } ], "Severity": { "Label": "string", "Original": "string" }, "Types": [ "string" ] }, "FirstObservedAt": "string", "GeneratorId": "string", "Id": "string", "LastObservedAt": "string", "Malware": [ { "Name": "string", "Path": "string", "State": "string", "Type": "string"

107


} ], "Network": { "DestinationDomain": "string", "DestinationIpV4": "string", "DestinationIpV6": "string", "DestinationPort": number, "Direction": "string", "OpenPortRange": { "Begin": integer, "End": integer }, "Protocol": "string", "SourceDomain": "string", "SourceIpV4": "string", "SourceIpV6": "string", "SourceMac": "string", "SourcePort": number }, "NetworkPath": [ { "ComponentId": "string", "ComponentType": "string", "Egress": { "Destination": { "Address": ["string"], "PortRanges": [ { "Begin": integer, "End": integer } ] }, "Protocol": "string", "Source": { "Address": ["string"], "PortRanges": [ { "Begin": integer, "End": integer } ] } }, "Ingress": { "Destination": { "Address": ["string"], "PortRanges": [ { "Begin": integer, "End": integer } ] }, "Protocol": "string", "Source": { "Address": ["string"], "PortRanges": [ { "Begin": integer, "End": integer } ] } } }

108


], "Note": { "Text": "string", "UpdatedAt": "string", "UpdatedBy": "string" }, "PatchSummary": { "FailedCount": number, "Id": "string", "InstalledCount": number, "InstalledOtherCount": number, "InstalledPendingReboot": number, "InstalledRejectedCount": number, "MissingCount": number, "Operation": "string", "OperationEndTime": "string", "OperationStartTime": "string", "RebootOption": "string" }, "Process": { "LaunchedAt": "string", "Name": "string", "ParentPid": number, "Path": "string", "Pid": number, "TerminatedAt": "string" }, "ProductArn": "string", "ProductFields": { "string": "string" }, "RecordState": "string", "RelatedFindings": [ { "Id": "string", "ProductArn": "string" } ], "Remediation": { "Recommendation": { "Text": "string", "Url": "string" } }, "Resources": [ { "DataClassification": { "DetailedResultsLocation": "string", "Result": { "AdditionalOccurrences": boolean, "CustomDataIdentifiers": { "Detections": [ { "Arn": "string", "Count": integer, "Name": "string", "Occurrences": { "Cells": [ { "CellReference": "string", "Column": integer, "ColumnName": "string", "Row": integer } ], "LineRanges": [

109


{ "End": integer, "Start": integer, "StartColumn": integer } ], "OffsetRanges": [ { "End": integer, "Start": integer, "StartColumn": integer } ], "Pages": [ { "LineRange": { "End": integer, "Start": integer, "StartColumn": integer }, "OffsetRange": { "End": integer, "Start": integer, "StartColumn": integer }, "PageNumber": integer } ], "Records": [ { "JsonPath": "string", "RecordIndex": integer } ] } } ], "TotalCount": integer }, "MimeType": "string", "SensitiveData": [ { "Category": "string", "Detections": [ { "Count": integer, "Occurrences": { "Cells": [ { "CellReference": "string", "Column": integer, "ColumnName": "string", "Row": integer } ], "LineRanges": [ { "End": integer, "Start": integer, "StartColumn": integer } ], "OffsetRanges": [ { "End": integer, "Start": integer,

110


"StartColumn": integer } ], "Pages": [ { "LineRange": { "End": integer, "Start": integer, "StartColumn": integer }, "OffsetRange": { "End": integer, "Start": integer, "StartColumn": integer }, "PageNumber": integer } ], "Records": [ { "JsonPath": "string", "RecordIndex": integer } ] }, "Type": "string" } ], "TotalCount": integer } ], "SizeClassified": integer, "Status": { "Code": "string", "Reason": "string" } } }, "Details": { "AwsApiGatewayRestApi": { "ApiKeySource": "string", "BinaryMediaTypes": [" string" ], "CreatedDate": "string", "Description": "string", "EndpointConfiguration": { "Types": [ "string" ] }, "Id": "string", "MinimumCompressionSize": number, "Name": "string", "Version": "string" }, "AwsApiGatewayStage": { "AccessLogSettings": { "DestinationArn": "string", "Format": "string" }, "CacheClusterEnabled": boolean, "CacheClusterSize": "string", "CacheClusterStatus": "string", "CanarySettings": { "DeploymentId": "string", "PercentTraffic": number, "StageVariableOverrides": [ { "string": "string"

111


} ], "UseStageCache": boolean }, "ClientCertificateId": "string", "CreatedDate": "string", "DeploymentId": "string", "Description": "string", "DocumentationVersion": "string", "LastUpdatedDate": "string", "MethodSettings": [ { "CacheDataEncrypted": boolean, "CachingEnabled": boolean, "CacheTtlInSeconds": number, "DataTraceEnabled": boolean, "HttpMethod": "string", "LoggingLevel": "string", "MetricsEnabled": boolean, "RequireAuthorizationForCacheControl": boolean, "ResourcePath": "string", "ThrottlingBurstLimit": number, "ThrottlingRateLimit": number, "UnauthorizedCacheControlHeaderStrategy": "string" } ], "StageName": "string", "TracingEnabled": boolean, "Variables": { "string": "string" }, "WebAclArn": "string" }, "AwsApiGatewayV2Api": { "ApiEndpoint": "string", "ApiId": "string", "ApiKeySelectionExpression": "string", "CorsConfiguration": { "AllowCredentials": boolean, "AllowHeaders": [ "string" ], "AllowMethods": [ "string" ], "AllowOrigins": [ "string" ], "ExposeHeaders": [ "string" ], "MaxAge": number }, "CreatedDate": "string", "Description": "string", "Name": "string", "ProtocolType": "string", "RouteSelectionExpression": "string", "Version": "string" }, "AwsApiGatewayV2Stage": { "AccessLogSettings": { "DestinationArn": "string", "Format": "string" }, "ApiGatewayManaged": boolean, "AutoDeploy": boolean, "ClientCertificateId": "string", "CreatedDate": "string", "DefaultRouteSettings": { "DataTraceEnabled": boolean, "DetailedMetricsEnabled": boolean, "LoggingLevel": "string", "ThrottlingBurstLimit": number,

112


"ThrottlingRateLimit": number }, "DeploymentId": "string", "Description": "string", "LastDeploymentStatusMessage": "string", "LastUpdatedDate": "string", "RouteSettings": { "DetailedMetricsEnabled": boolean, "LoggingLevel": "string", "DataTraceEnabled": boolean, "ThrottlingBurstLimit": number, "ThrottlingRateLimit": number }, "StageName": "string", "StageVariables": [ { "string": "string" } ] }, "AwsAutoScalingAutoScalingGroup": { "CreatedTime": "string", "HealthCheckGracePeriod": integer, "HealthCheckType": "string", "LaunchConfigurationName": "string", "LoadBalancerNames": ["string"] }, "AwsCertificateManagerCertificate": { "CertificateAuthorityArn": "string", "CreatedAt": "string", "DomainName": "string", "DomainValidationOptions": [ { "DomainName": "string", "ResourceRecord": { "Name": "string", "Type": "string", "Value": "string" }, "ValidationDomain": "string", "ValidationEmails": [ "string" ], "ValidationMethod": "string", "ValidationStatus": "string" } ], "ExtendedKeyUsages": [ { "Name": "string", "OId": "string" } ], "FailureReason": "string", "ImportedAt": "string", "InUseBy": [ "string" ], "IssuedAt": "string", "Issuer": "string", "KeyAlgorithm": "string", "KeyUsages": [ { "Name": "string" } ], "NotAfter": "string", "NotBefore": "string", "Options": { "CertificateTransparencyLoggingPreference": "string"

113


}, "RenewalEligibility": "string", "RenewalSummary": { "DomainValidationOptions": [ { "DomainName": "string", "ResourceRecord": { "Name": "string", "Type": "string", "Value": "string" }, "ValidationDomain": "string", "ValidationEmails": [ "string" ], "ValidationMethod": "string", "ValidationStatus": "string" } ], "RenewalStatus": "string", "RenewalStatusReason": "string", "UpdatedAt": "string" }, "Serial": "string", "SignatureAlgorithm": "string", "Status": "string", "Subject": "string", "SubjectAlternativeNames": [ "string" ], "Type": "string" }, "AwsCloudFrontDistribution": { "CacheBehaviors": { "Items": [ { "ViewerProtocolPolicy": "string" } ] }, "DefaultCacheBehavior": { "ViewerProtocolPolicy": "string" }, "DefaultRootObject": "string", "DomainName": "string", "Etag": "string", "LastModifiedTime": "string", "Logging": { "Bucket": "string", "Enabled": boolean, "IncludeCookies": boolean, "Prefix": "string" }, "OriginGroups": { "Items": [ { "FailoverCriteria": { "StatusCodes": { "Items": [ number ], "Quantity": number } } } ] }, "Origins": { "Items": [ { "DomainName": "string", "Id": "string",

114


"OriginPath": "string", "S3OriginConfig": { "OriginAccessIdentity": "string" } } ] }, "Status": "string", "WebAclId": "string" }, "AwsCloudTrailTrail": { "CloudWatchLogsLogGroupArn": "string", "CloudWatchLogsRoleArn": "string", "HasCustomEventSelectors": boolean, "HomeRegion": "string", "IncludeGlobalServiceEvents": boolean, "IsMultiRegionTrail": boolean, "IsOrganizationTrail": boolean, "KmsKeyId": "string", "LogFileValidationEnabled": boolean, "Name": "string", "S3BucketName": "string", "S3KeyPrefix": "string", "SnsTopicArn": "string", "SnsTopicName": "string", "TrailArn": "string" }, "AwsCodeBuildProject": { "EncryptionKey": "string", "Environment": { "Type": "string", "Certificate": "string", "ImagePullCredentialsType": "string", "RegistryCredential": { "Credential": "string", "CredentialProvider": "string" } }, "Name": "string", "ServiceRole": "string", "Source": { "Type": "string", "Location": "string", "GitCloneDepth": integer }, "VpcConfig": { "VpcId": "string", "Subnets": ["string"], "SecurityGroupIds": ["string"] } }, "AwsDynamoDbTable": { "AttributeDefinitions": [ { "AttributeName": "string", "AttributeType": "string" } ], "BillingModeSummary": { "BillingMode": "string", "LastUpdateToPayPerRequestDateTime": "string" }, "CreationDateTime": "string", "GlobalSecondaryIndexes": [ { "Backfilling": boolean,

115


"IndexArn": "string", "IndexName": "string", "IndexSizeBytes": number, "IndexStatus": "string", "ItemCount": number, "KeySchema": [ { "AttributeName": "string", "KeyType": "string" } ], "Projection": { "NonKeyAttributes": [ "string" ], "ProjectionType": "string" }, "ProvisionedThroughput": { "LastDecreaseDateTime": "string", "LastIncreaseDateTime": "string", "NumberOfDecreasesToday": number, "ReadCapacityUnits": number, "WriteCapacityUnits": number } } ], "GlobalTableVersion": "string", "ItemCount": number, "KeySchema": [ { "AttributeName": "string", "KeyType": "string" } ], "LatestStreamArn": "string", "LatestStreamLabel": "string", "LocalSecondaryIndexes": [ { "IndexArn": "string", "IndexName": "string", "KeySchema": [ { "AttributeName": "string", "KeyType": "string" } ], "Projection": { "NonKeyAttributes": [ "string" ], "ProjectionType": "string" } } ], "ProvisionedThroughput": { "LastDecreaseDateTime": "string", "LastIncreaseDateTime": "string", "NumberOfDecreasesToday": number, "ReadCapacityUnits": number, "WriteCapacityUnits": number }, "Replicas": [ { "GlobalSecondaryIndexes":[ { "IndexName": "string", "ProvisionedThroughputOverride": { "ReadCapacityUnits": number } }

116


], "KmsMasterKeyId": "string", "ProvisionedThroughputOverride": { "ReadCapacityUnits": number }, "RegionName": "string", "ReplicaStatus": "string", "ReplicaStatusDescription": "string" } ], "RestoreSummary": { "RestoreDateTime": "string", "RestoreInProgress": boolean, "SourceBackupArn": "string", "SourceTableArn": "string" }, "SseDescription": { "InaccessibleEncryptionDateTime": "string", "KmsMasterKeyArn": "string", "SseType": "string", "Status": "string" }, "StreamSpecification": { "StreamEnabled": boolean, "StreamViewType": "string" }, "TableId": "string", "TableName": "string", "TableSizeBytes": number, "TableStatus": "string" }, "AwsEc2Eip": { "AllocationId": "string", "AssociationId": "string", "Domain": "string", "InstanceId": "string", "NetworkBorderGroup": "string", "NetworkInterfaceId": "string", "NetworkInterfaceOwnerId": "string", "PrivateIpAddress": "string", "PublicIp": "string", "PublicIpv4Pool": "string" }, "AwsEc2Instance": { "IamInstanceProfileArn": "string", "ImageId": "string", "IpV4Addresses": [ "string" ], "IpV6Addresses": [ "string" ], "KeyName": "string", "LaunchedAt": "string", "NetworkInterfaces": [ { "NetworkInterfaceId": "string" } ], "SubnetId": "string", "Type": "string", "VpcId": "string" }, "AwsEc2NetworkAcl": { "Associations": [ { "NetworkAclAssociationId": "string", "NetworkAclId": "string", "SubnetId": "string" }

117


], "Entries": [ { "CidrBlock": "string", "Egress": boolean, "IcmpTypeCode": { "Code": number, "Type": number }, "Ipv6CidrBlock": "string", "PortRange": { "From": number, "To": number }, "Protocol": "string", "RuleAction": "string", "RuleNumber": number } ], "IsDefault": boolean, "NetworkAclId": "string", "OwnerId": "string", "VpcId": "string" }, "AwsEc2NetworkInterface": { "Attachment": { "AttachmentId": "string", "AttachTime": "string", "DeleteOnTermination": boolean, "DeviceIndex": number, "InstanceId": "string", "InstanceOwnerId": "string", "Status": "string" }, "Ipv6Addresses": [ { "Ipv6Address": "string" } ], "NetworkInterfaceId": "string", "PrivateIpAddresses": [ { "PrivateDnsName": "string", "PrivateIpAddress": "string" } ], "PublicDnsName": "string", "PublicIp": "string", "SecurityGroups": [ { "GroupId": "string", "GroupName": "string" } ], "SourceDestCheck": boolean }, "AwsEc2SecurityGroup": { "GroupId": "string", "GroupName": "string", "IpPermissions": [ { "FromPort": number, "IpProtocol": "string", "IpRanges": [ { "CidrIp": "string"

118


} ], "Ipv6Ranges": [ { "CidrIpv6": "string" } ], "PrefixListIds": [ {"PrefixListId": "string"} ], "ToPort": number, "UserIdGroupPairs": [ { "GroupId": "string", "GroupName": "string", "PeeringStatus": "string", "UserId": "string", "VpcId": "string", "VpcPeeringConnectionId": "string" } ] } ], "IpPermissionsEgress": [ { "FromPort": number, "IpProtocol": "string", "IpRanges": [ { "CidrIp": "string" } ], "Ipv6Ranges": [ { "CidrIpv6": "string" } ], "PrefixListIds": [ {"PrefixListId": "string"} ], "ToPort": number, "UserIdGroupPairs": [ { "GroupId": "string", "GroupName": "string", "PeeringStatus": "string", "UserId": "string", "VpcId": "string", "VpcPeeringConnectionId": "string" } ] } ], "OwnerId": "string", "VpcId": "string" }, "AwsEc2Subnet": { "AssignIpv6AddressOnCreation": boolean, "AvailabilityZone": "string", "AvailabilityZoneId": "string", "AvailableIpAddressCount": number, "CidrBlock": "string", "DefaultForAz": boolean, "Ipv6CidrBlockAssociationSet": [ { "AssociationId": "string",

119


"Ipv6CidrBlock": "string", "CidrBlockState": "string" } ], "MapPublicIpOnLaunch": boolean, "OwnerId": "string", "State": "string", "SubnetArn": "string", "SubnetId": "string", "VpcId": "string" }, "AwsEc2Volume": { "Attachments": [ { "AttachTime": "string", "DeleteOnTermination": boolean, "InstanceId": "string", "Status": "string" } ], "CreateTime": "string", "Encrypted": boolean, "KmsKeyId": "string", "Size": number, "SnapshotId": "string", "Status": "string" }, "AwsEc2Vpc": { "CidrBlockAssociationSet": [ { "AssociationId": "string", "CidrBlock": "string", "CidrBlockState": "string" } ], "DhcpOptionsId": "string", "Ipv6CidrBlockAssociationSet": [ { "AssociationId": "string", "CidrBlockState": "string", "Ipv6CidrBlock": "string" } ], "State": "string" }, "AwsEcsCluster": { "CapacityProviders": ["string"], "ClusterSettings": [ { "Name": "string", "Value": "string" } ], "Configuration": { "ExecuteCommandConfiguration": { "KmsKeyId": "string", "LogConfiguration": { "CloudWatchEncryptionEnabled": boolean, "CloudWatchLogGroupName": "string", "S3BucketName": "string", "S3EncryptionEnabled": boolean, "S3KeyPrefix": "string" }, "Logging": "string" } },

120


"DefaultCapacityProviderStrategy": [ { "Base": number, "CapacityProvider": "string", "Weight": number } ] }, "AwsEcsTaskDefinition": { "ContainerDefinitions": [ { "Command": ["string"], "Cpu": number, "DependsOn": [ { "Condition": "string", "ContainerName": "string" } ], "DisableNetworking": boolean, "DnsSearchDomains": ["string"], "DnsServers": ["string"], "DockerLabels": {"string": "string"}, "DockerSecurityOptions": ["string"], "EntryPoint": ["string"], "Environment": [ { "Name": "string", "Value": "string" } ], "EnvironmentFiles": [ { "Type": "string", "Value": "string" } ], "Essential": boolean, "ExtraHosts": [ { "Hostname": "string", "IpAddress": "string" } ], "FirelensConfiguration": { "Options": {"string": "string"}, "Type": "string" }, "HealthCheck": { "Command": ["string"], "Interval": number, "Retries": number, "StartPeriod": number, "Timeout": number }, "Hostname": "string", "Image": "string", "Interactive": boolean, "Links": ["string"], "LinuxParameters": { "Capabilities": { "Add": ["string"], "Drop": ["string"] }, "Devices": [ {

121


"ContainerPath": "string", "HostPath": "string", "Permissions": ["string"] } ], "InitProcessEnabled": boolean, "MaxSwap": number, "SharedMemorySize": number, "Swappiness": number, "Tmpfs": [ { "ContainerPath": "string", "MountOptions": ["string"], "Size": number } ] }, "LogConfiguration": { "LogDriver": "string", "Options": {"string": "string"}, "SecretOptions": [ { "Name": "string", "ValueFrom": "string" } ] }, "Memory": number, "MemoryReservation": number, "MountPoints": [ { "ContainerPath": "string", "ReadOnly": boolean, "SourceVolume": "string" } ], "Name": "string", "PortMappings": [ { "ContainerPort": number, "HostPort": number, "Protocol": "string" } ], "Privileged": boolean, "PseudoTerminal": boolean, "ReadonlyRootFilesystem": boolean, "RepositoryCredentials": { "CredentialsParameter": "string" }, "ResourceRequirements": [ { "Type": "string", "Value": "string" } ], "Secrets": [ { "Name": "string", "ValueFrom": "string" } ], "StartTimeout": number, "StopTimeout": number, "SystemControls": [ {

122


"Namespace": "string", "Value": "string" } ], "Ulimits": [ { "HardLimit": number, "Name": "string", "SoftLimit": number } ], "User": "string", "VolumesFrom": [ { "ReadOnly": boolean, "SourceContainer": "string" } ], "WorkingDirectory": "string" } ], "Cpu": "string", "ExecutionRoleArn": "string", "Family": "string", "InferenceAccelerators": [ { "DeviceName": "string", "DeviceType": "string" } ], "IpcMode": "string", "Memory": "string", "NetworkMode": "string", "PidMode": "string", "PlacementConstraints": [ { "Expression": "string", "Type": "string" } ], "ProxyConfiguration": { "ContainerName": "string", "ProxyConfigurationProperties": [ { "Name": "string", "Value": "string" } ], "Type": "string" }, "RequiresCompatibilities": ["string"], "TaskRoleArn": "string", "Status": "string", "Volumes": [ { "DockerVolumeConfiguration": { "Autoprovision": boolean, "Driver": "string", "DriverOpts": {"string": "string"}, "Labels": {"string": "string"}, "Scope": "string" }, "EfsVolumeConfiguration": { "AuthorizationConfig": { "AccessPointId": "string", "Iam": "string"

123


}, "FilesystemId": "string", "RootDirectory": "string", "TransitEncryption": "string", "TransitEncryptionPort": number }, "Host": { "SourcePath": "string" }, "Name": "string" } ] }, "AwsElasticBeanstalkEnvironment": { "ApplicationName": "string", "Cname": "string", "DateCreated": "string", "DateUpdated": "string", "Description": "string", "EndpointUrl": "string", "EnvironmentArn": "string", "EnvironmentId": "string", "EnvironmentLinks": [ { "EnvironmentName": "string", "LinkName": "string" } ], "EnvironmentName": "string", "OptionSettings": [ { "Namespace": "string", "OptionName": "string", "ResourceName": "string", "Value": "string" } ], "PlatformArn": "string", "SolutionStackName": "string", "Status": "string", "Tier": { "Name": "string", "Type": "string", "Version": "string" }, "VersionLabel": "string" }, "AwsElasticSearchDomain": { "AccessPolicies": "string", "DomainStatus": { "DomainId": "string", "DomainName": "string", "Endpoint": "string", "Endpoints": { "string": "string" } }, "DomainEndpointOptions": { "EnforceHTTPS": boolean, "TLSSecurityPolicy": "string" }, "ElasticsearchVersion": "string", "EncryptionAtRestOptions": { "Enabled": boolean, "KmsKeyId": "string" },

124


"LogPublishingOptions": { "IndexSlowLogs": { "CloudWatchLogsLogGroupArn": "string", "Enabled": boolean }, "SearchSlowLogs": { "CloudWatchLogsLogGroupArn": "string", "Enabled": boolean } }, "NodeToNodeEncryptionOptions": { "Enabled": boolean }, "ServiceSoftwareOptions": { "AutomatedUpdateDate": "string", "Cancellable": boolean, "CurrentVersion": "string", "Description": "string", "NewVersion": "string", "UpdateAvailable": boolean, "UpdateStatus": "string" }, "VPCOptions": { "AvailabilityZones": [ "string" ], "SecurityGroupIds": [ "string" ], "SubnetIds": [ "string" ], "VPCId": "string" } }, "AwsElbLoadBalancer": { "AvailabilityZones": [ "string" ], "BackendServerDescriptions": [ { "InstancePort": number, "PolicyNames": [ "string" ] } ], "CanonicalHostedZoneName": "string", "CanonicalHostedZoneNameID": "string", "CreatedTime": "string", "DnsName": "string", "HealthCheck": { "HealthyThreshold": number, "Interval": number, "Target": "string", "Timeout": number, "UnhealthyThreshold": number }, "Instances": [ { "InstanceId": "string" } ], "ListenerDescriptions": [ { "Listener": { "InstancePort": number, "InstanceProtocol": "string", "LoadBalancerPort": number, "Protocol": "string",

125


"SslCertificateId": "string" }, "PolicyNames": [ "string" ] } ], "LoadBalancerAttributes": { "AccessLog": { "EmitInterval": number, "Enabled": boolean, "S3BucketName": "string", "S3BucketPrefix": "string" }, "ConnectionDraining": { "Enabled": boolean, "Timeout": number }, "ConnectionSettings": { "IdleTimeout": number }, "CrossZoneLoadBalancing": { "Enabled": boolean } }, "LoadBalancerName": "string", "Policies": { "AppCookieStickinessPolicies": [ { "CookieName": "string", "PolicyName": "string" } ], "LbCookieStickinessPolicies": [ { "CookieExpirationPeriod": number, "PolicyName": "string" } ], "OtherPolicies": [ "string" ] }, "Scheme": "string", "SecurityGroups": [ "string" ], "SourceSecurityGroup": { "GroupName": "string", "OwnerAlias": "string" }, "Subnets": [ "string" ], "VpcId": "string" }, "AwsElbv2LoadBalancer": { "AvailabilityZones": { "SubnetId": "string", "ZoneName": "string" }, "CanonicalHostedZoneId": "string", "CreatedTime": "string", "DNSName": "string", "IpAddressType": "string", "Scheme": "string", "SecurityGroups": [ "string" ], "State": { "Code": "string", "Reason": "string" }, "Type": "string", "VpcId": "string" },

126


"AwsIamAccessKey": { "AccessKeyId": "string", "AccountId": "string", "CreatedAt": "string", "PrincipalId": "string", "PrincipalName": "string", "PrincipalType": "string", "SessionContext": { "Attributes": { "CreationDate": "string", "MfaAuthenticated": boolean }, "SessionIssuer": { "AccountId": "string", "Arn": "string", "PrincipalId": "string", "Type": "string", "UserName": "string" } }, "Status": "string" }, "AwsIamGroup": { "AttachedManagedPolicies": [ { "PolicyArn": "string", "PolicyName": "string" } ], "CreateDate": "string", "GroupId": "string", "GroupName": "string", "GroupPolicyList": [ { "PolicyName": "string" } ], "Path": "string" }, "AwsIamPolicy": { "AttachmentCount": number, "CreateDate": "string", "DefaultVersionId": "string", "Description": "string", "IsAttachable": boolean, "Path": "string", "PermissionsBoundaryUsageCount": number, "PolicyId": "string", "PolicyName": "string", "PolicyVersionList": [ { "CreateDate": "string", "IsDefaultVersion": boolean, "VersionId": "string" } ], "UpdateDate": "string" }, "AwsIamRole": { "AssumeRolePolicyDocument": "string", "AttachedManagedPolicies": [ { "PolicyArn": "string", "PolicyName": "string" } ],

127


"CreateDate": "string", "InstanceProfileList": [ { "Arn": "string", "CreateDate": "string", "InstanceProfileId": "string", "InstanceProfileName": "string", "Path": "string", "Roles": [ { "Arn": "string", "AssumeRolePolicyDocument": "string", "CreateDate": "string", "Path": "string", "RoleId": "string", "RoleName": "string" } ] } ], "MaxSessionDuration": number, "Path": "string", "PermissionsBoundary": { "PermissionsBoundaryArn": "string", "PermissionsBoundaryType": "string" }, "RoleId": "string", "RoleName": "string", "RolePolicyList": [ { "PolicyName": "string" } ] }, "AwsIamUser": { "AttachedManagedPolicies": [ { "PolicyArn": "string", "PolicyName": "string" } ], "CreateDate": "string", "GroupList": [ "string" ], "Path": "string", "PermissionsBoundary": { "PermissionsBoundaryArn": "string", "PermissionsBoundaryType": "string" }, "UserId": "string", "UserName": "string", "UserPolicyList": [ { "PolicyName": "string" } ] }, "AwsKmsKey": { "AWSAccountId": "string", "CreationDate": "string", "Description": "string", "KeyId": "string", "KeyManager": "string", "KeyState": "string", "Origin": "string" }, "AwsLambdaFunction": {

128


"Code": { "S3Bucket": "string", "S3Key": "string", "S3ObjectVersion": "string", "ZipFile": "string" }, "CodeSha256": "string", "DeadLetterConfig": { "TargetArn": "string" }, "Environment": { "Variables": { "string": "string" }, "Error": { "ErrorCode": "string", "Message": "string" } }, "FunctionName": "string", "Handler": "string", "KmsKeyArn": "string", "LastModified": "string", "Layers": { "Arn": "string", "CodeSize": number }, "RevisionId": "string", "Role": "string", "Runtime": "string", "Timeout": "integer", "TracingConfig": { "TracingConfig.Mode": "string" }, "Version": "string", "VpcConfig": { "SecurityGroupIds": [ "string" ], "SubnetIds": [ "string" ] }, "MasterArn": "string", "MemorySize": number }, "AwsLambdaLayerVersion": { "CompatibleRuntimes": [ "string" ], "CreatedDate": "string", "Version": number }, "AwsRdsDbCluster": { "ActivityStreamStatus": "string", "AllocatedStorage": number, "AssociatedRoles": [ { "RoleArn": "string", "Status": "string" } ], "AvailabilityZones": [ "string" ], "BackupRetentionPeriod": integer, "ClusterCreateTime": "string", "CopyTagsToSnapshot": boolean, "CrossAccountClone": boolean, "CustomEndpoints": [ "string" ], "DatabaseName": "string", "DbClusterIdentifier": "string",

129


"DbClusterMembers": [ { "DbClusterParameterGroupStatus": "string", "DbInstanceIdentifier": "string", "IsClusterWriter": boolean, "PromotionTier": integer } ], "DbClusterOptionGroupMemberships": [ { "DbClusterOptionGroupName": "string", "Status": "string" } ], "DbClusterParameterGroup": "string", "DbClusterResourceId": "string", "DbSubnetGroup": "string", "DeletionProtection": boolean, "DomainMemberships": [ { "Domain": "string", "Fqdn": "string", "IamRoleName": "string", "Status": "string" } ], "EnabledCloudwatchLogsExports": [ "string" ], "Endpoint": "string", "Engine": "string", "EngineMode": "string", "EngineVersion": "string", "HostedZoneId": "string", "HttpEndpointEnabled": boolean, "IamDatabaseAuthenticationEnabled": boolean, "KmsKeyId": "string", "MasterUsername": "string", "MultiAz": boolean, "Port": integer, "PreferredBackupWindow": "string", "PreferredMaintenanceWindow": "string", "ReaderEndpoint": "string", "ReadReplicaIdentifiers": [ "string" ], "Status": "string", "StorageEncrypted": boolean, "VpcSecurityGroups": [ { "Status": "string", "VpcSecurityGroupId": "string" } ] }, "AwsRdsDbClusterSnapshot": { "AllocatedStorage": integer, "AvailabilityZones": [ "string" ], "ClusterCreateTime": "string", "DbClusterIdentifier": "string", "DbClusterSnapshotIdentifier": "string", "Engine": "string", "EngineVersion": "string", "IamDatabaseAuthenticationEnabled": boolean, "KmsKeyId": "string", "LicenseModel": "string", "MasterUsername": "string", "PercentProgress": integer, "Port": integer, "SnapshotCreateTime": "string",

130


"SnapshotType": "string", "Status": "string", "StorageEncrypted": boolean, "VpcId": "string" }, "AwsRdsDbInstance": { "AllocatedStorage": number, "AssociatedRoles": [ { "RoleArn": "string", "FeatureName": "string", "Status": "string" } ], "AutoMinorVersionUpgrade": boolean, "AvailabilityZone": "string", "BackupRetentionPeriod": number, "CACertificateIdentifier": "string", "CharacterSetName": "string", "CopyTagsToSnapshot": boolean, "DBClusterIdentifier": "string", "DBInstanceClass": "string", "DBInstanceIdentifier": "string", "DbInstancePort": number, "DbInstanceStatus": "string", "DbiResourceId": "string", "DBName": "string", "DbParameterGroups": [ { "DbParameterGroupName": "string", "ParameterApplyStatus": "string" } ], "DbSecurityGroups": [ "string" ], "DbSubnetGroup": { "DbSubnetGroupArn": "string", "DbSubnetGroupDescription": "string", "DbSubnetGroupName": "string", "SubnetGroupStatus": "string", "Subnets": [ { "SubnetAvailabilityZone": { "Name": "string" }, "SubnetIdentifier": "string", "SubnetStatus": "string" } ], "VpcId": "string" }, "DeletionProtection": boolean, "Endpoint": { "Address": "string", "Port": number, "HostedZoneId": "string" }, "DomainMemberships": [ { "Domain": "string", "Fqdn": "string", "IamRoleName": "string", "Status": "string" } ], "EnabledCloudwatchLogsExports": [ "string" ], "Engine": "string",

131


"EngineVersion": "string", "EnhancedMonitoringResourceArn": "string", "IAMDatabaseAuthenticationEnabled": boolean, "InstanceCreateTime": "string", "Iops": number, "KmsKeyId": "string", "LatestRestorableTime": "string", "LicenseModel": "string", "ListenerEndpoint": { "Address": "string", "HostedZoneId": "string", "Port": number }, "MasterUsername": "admin", "MaxAllocatedStorage": number, "MonitoringInterval": number, "MonitoringRoleArn": "string", "MultiAz": boolean, "OptionGroupMemberships": [ { "OptionGroupName": "string", "Status": "string" } ], "PendingModifiedValues": { "AllocatedStorage": number, "BackupRetentionPeriod": number, "CaCertificateIdentifier": "string", "DbInstanceClass": "string", "DbInstanceIdentifier": "string", "DbSubnetGroupName": "string", "EngineVersion": "string", "Iops": number, "LicenseModel": "string", "MasterUserPassword": "string", "MultiAZ": boolean, "PendingCloudWatchLogsExports": { "LogTypesToDisable": [ "string" ], "LogTypesToEnable": [ "string" ] }, "Port": number, "ProcessorFeatures": [ { "Name": "string", "Value": "string" } ], "StorageType": "string" }, "PerformanceInsightsEnabled": boolean, "PerformanceInsightsKmsKeyId": "string", "PerformanceInsightsRetentionPeriod": number, "PreferredBackupWindow": "string", "PreferredMaintenanceWindow": "string", "ProcessorFeatures": [ { "Name": "string", "Value": "string" } ], "PromotionTier": number, "PubliclyAccessible": boolean, "ReadReplicaDBClusterIdentifiers": [ "string" ], "ReadReplicaDBInstanceIdentifiers": [ "string" ], "ReadReplicaSourceDBInstanceIdentifier": "string", "SecondaryAvailabilityZone": "string",

132


"StatusInfos": [ { "Message": "string", "Normal": boolean, "Status": "string", "StatusType": "string" } ], "StorageEncrypted": boolean, "TdeCredentialArn": "string", "Timezone": "string", "VpcSecurityGroups": [ { "VpcSecurityGroupId": "string", "Status": "string" } ] }, "AwsRdsDbSnapshot": { "AllocatedStorage": integer, "AvailabilityZone": "string", "DbInstanceIdentifier": "string", "DbiResourceId": "string", "DbSnapshotIdentifier": "string", "Encrypted": boolean, "Engine": "string", "EngineVersion": "string", "IamDatabaseAuthenticationEnabled": boolean, "InstanceCreateTime": "string", "Iops": number, "KmsKeyId": "string", "LicenseModel": "string", "MasterUsername": "string", "OptionGroupName": "string", "PercentProgress": integer, "Port": integer, "ProcessorFeatures": [], "SnapshotCreateTime": "string", "SnapshotType": "string", "SourceDbSnapshotIdentifier": "string", "SourceRegion": "string", "Status": "string", "StorageType": "string", "TdeCredentialArn": "string", "Timezone": "string", "VpcId": "string" }, "AwsRedshiftCluster": { "AllowVersionUpgrade": boolean, "AutomatedSnapshotRetentionPeriod": number, "AvailabilityZone": "string", "ClusterAvailabilityStatus": "string", "ClusterCreateTime": "string", "ClusterIdentifier": "string", "ClusterNodes": [ { "NodeRole": "string", "PrivateIPAddress": "string", "PublicIPAddress": "string" } ], "ClusterParameterGroups": [ { "ClusterParameterStatusList": [ { "ParameterApplyErrorDescription": "string",

133


"ParameterApplyStatus": "string", "ParameterName": "string" } ], "ParameterApplyStatus": "string", "ParameterGroupName": "string" } ], "ClusterPublicKey": "string", "ClusterRevisionNumber": "string", "ClusterSecurityGroups": [ { "ClusterSecurityGroupName": "string", "Status": "string" } ], "ClusterSnapshotCopyStatus": { "DestinationRegion": "string", "ManualSnapshotRetentionPeriod": number, "RetentionPeriod": number, "SnapshotCopyGrantName": "string" }, "ClusterStatus": "string", "ClusterSubnetGroupName": "string", "ClusterVersion": "string", "DBName": "string", "DeferredMaintenanceWindows": [ { "DeferMaintenanceEndTime": "string", "DeferMaintenanceIdentifier": "string", "DeferMaintenanceStartTime": "string" } ], "ElasticIpStatus": { "ElasticIp": "string", "Status": "string" }, "ElasticResizeNumberOfNodeOptions": "string", "Encrypted": boolean, "Endpoint": { "Address": "string", "Port": number }, "EnhancedVpcRouting": boolean, "ExpectedNextSnapshotScheduleTime": "string", "ExpectedNextSnapshotScheduleTimeStatus": "string", "HsmStatus": { "HsmClientCertificateIdentifier": "string", "HsmConfigurationIdentifier": "string", "Status": "string" }, "IamRoles": [ { "ApplyStatus": "string", "IamRoleArn": "string" } ], "KmsKeyId": "string", "MaintenanceTrackName": "string", "ManualSnapshotRetentionPeriod": "number", "MasterUsername": "string", "NextMaintenanceWindowStartTime": "string", "NodeType": "string", "NumberOfNodes": number, "PendingActions": [ "string" ], "PendingModifiedValues": {

134


"AutomatedSnapshotRetentionPeriod": number, "ClusterIdentifier": "string", "ClusterType": "string", "ClusterVersion": "string", "EncryptionType": "string", "EnhancedVpcRouting": boolean, "MaintenanceTrackName": "string", "MasterUserPassword": "string", "NodeType": "string", "NumberOfNodes": number, "PubliclyAccessible": "string" }, "PreferredMaintenanceWindow": "string", "PubliclyAccessible": boolean, "ResizeInfo": { "AllowCancelResize": boolean, "ResizeType": "string" }, "RestoreStatus": { "CurrentRestoreRateInMegaBytesPerSecond": number, "ElapsedTimeInSeconds": number, "EstimatedTimeToCompletionInSeconds": number, "ProgressInMegaBytes": number, "SnapshotSizeInMegaBytes": number, "Status": "string" }, "SnapshotScheduleIdentifier": "string", "SnapshotScheduleState": "string", "VpcId": "string", "VpcSecurityGroups": [ { "Status": "string", "VpcSecurityGroupId": "string" } ] }, "AwsS3AccountPublicAccessBlock": { "BlockPublicAcls": boolean, "BlockPublicPolicy": boolean, "IgnorePublicAcls": boolean, "RestrictPublicBuckets": boolean }, "AwsS3Bucket": { "BucketLifecycleConfiguration": { "Rules": [ { "AbortIncompleteMultipartUpload": { "DaysAfterInitiation": number }, "ExpirationDate": "string", "ExpirationInDays": number, "ExpiredObjectDeleteMarker": boolean, "Filter": { "Predicate": { "Operands": [ { "Prefix": "string", "Type": "string" }, { "Tag": { "Key": "string", "Value": "string" }, "Type": "string" }

135


], "Type": "string" } }, "Id": "string", "NoncurrentVersionExpirationInDays": number, "NoncurrentVersionTransitions": [ { "Days": number, "StorageClass": "string" } ], "Prefix": "string", "Status": "string", "Transitions": [ { "Date": "string", "Days": number, "StorageClass": "string" } ] } ] }, "CreatedAt": "string", "OwnerId": "string", "OwnerName": "string", "PublicAccessBlockConfiguration": { "BlockPublicAcls": boolean, "BlockPublicPolicy": boolean, "IgnorePublicAcls": boolean, "RestrictPublicBuckets": boolean }, "ServerSideEncryptionConfiguration": { "Rules": [ { "ApplyServerSideEncryptionByDefault": { "KMSMasterKeyID": "string", "SSEAlgorithm": "string" } } ] } }, "AwsS3Object": { "ContentType": "string", "ETag": "string", "LastModified": "string", "ServerSideEncryption": "string", "SSEKMSKeyId": "string", "VersionId": "string" }, "AwsSecretsManagerSecret": { "Deleted": boolean, "Description": "string", "KmsKeyId": "string", "Name": "string", "RotationEnabled": boolean, "RotationLambdaArn": "string", "RotationOccurredWithinFrequency": boolean, "RotationRules": { "AutomaticallyAfterDays": integer } }, "AwsSsmPatchCompliance": { "Patch": {

136


"ComplianceSummary": { "ComplianceType": "string", "CompliantCriticalCount": integer, "CompliantHighCount": integer, "CompliantInformationalCount": integer, "CompliantLowCount": integer, "CompliantMediumCount": integer, "CompliantUnspecifiedCount": integer, "ExecutionType": "string", "NonCompliantCriticalCount": integer, "NonCompliantHighCount": integer, "NonCompliantInformationalCount": integer, "NonCompliantLowCount": integer, "NonCompliantMediumCount": integer, "NonCompliantUnspecifiedCount": integer, "OverallSeverity": "string", "PatchBaselineId": "string", "PatchGroup": "string", "Status": "string" } } }, "AwsSnsTopic": { "KmsMasterKeyId": "string", "Owner": "string", "Subscription": { "Endpoint": "string", "Protocol": "string" }, "TopicName": "string" }, "AwsSqsQueue": { "DeadLetterTargetArn": "string", "KmsDataKeyReusePeriodSeconds": number, "KmsMasterKeyId": "string", "QueueName": "string" }, "AwsWafWebAcl": { "DefaultAction": "string", "Name": "string", "Rules": [ { "Action": { "Type": "string" }, "ExcludedRules": [ { "RuleId": "string" } ], "OverrideAction": { "Type": "string" }, "Priority": number, "RuleId": "string", "Type": "string" } ], "WebAclId": "string" }, "Container": { "ImageId": "string", "ImageName": "string", "LaunchedAt": "string", "Name": "string" },

137


"Other": { "string": "string" } }, "Id": "string", "Partition": "string", "Region": "string", "ResourceRole": "string", "Tags": { "string": "string" }, "Type": "string" } ], "SchemaVersion": "string", "Severity": { "Label": "string", "Normalized": number, "Original": "string", "Product": number }, "SourceUrl": "string", "ThreatIntelIndicators": [ { "Category": "string", "LastObservedAt": "string", "Source": "string", "SourceUrl": "string", "Type": "string", "Value": "string" } ], "Title": "string", "Types": [ "string" ], "UpdatedAt": "string", "UserDefinedFields": { "string": "string" }, "VerificationState": "string", "Workflow": { "Status": "string" }, "WorkflowState": "string", "Vulnerabilities": [ { "Cvss": [ { "BaseScore": number, "BaseVector": "string", "Version": "string" } ], "Id": "string", "ReferenceUrls":["string"], "RelatedVulnerabilities": ["string"], "Vendor": { "Name": "string", "Url":"string", "VendorCreatedAt":"string", "VendorSeverity":"string", "VendorUpdatedAt":"string" }, "VulnerablePackages": [ { "Architecture": "string", "Epoch": "string",

138

AWS Security Hub 사용 설명서ASFF 속성

"Name": "string", "Release": "string", "Version": "string" } ] } ] }]

ASFF 속성다음 목록은 속성 및 개체를 보여 줍니다.AWSASFF (Security Find형식) 객체의 속성 및 구조에 대한 세부 정보를 보려면 객체 이름을 선택합니다.

필수 속성다음은 모든 결과에 필수적인 속성입니다.

AwsAccountId

필수

결과가 적용되는 AWS 계정 ID입니다.

Type: 문자열

최대 길이:12자리 자리수

예

"AwsAccountId": "111111111111"

CreatedAt

필수

검색 결과에 의해 캡처된 잠재적 보안 문제가 생성된 시기를 나타냅니다.

이CreatedAt타임스탬프는 찾기 레코드가 생성된 시간을 반영합니다. 따라서, 그것은 다를 수 있습니다FirstObservedAt타임스탬프는 이벤트 또는 취약성이 처음 관찰된 시간을 반영합니다.

이 타임스탬프는 1세대 결과에 제공되어야 하고 결과에 대한 후속 업데이트 시 변경될 수 없습니다.

Type: 문자열

형식: 사용date-time에 지정된 형식RFC 3339 섹션 5.6, 인터넷 날짜/시간 형식. 값에는 공백이 있어서는 안 됩니다.

예

"CreatedAt": "2017-03-22T13:22:13.933Z"

Note

결과는 가장 최근 업데이트 후 90일 또는 업데이트가 없는 경우 생성일 이후 90일에 삭제됩니다. 결과를 90일 넘게 저장하려면 Amazon EventBridge 에서 결과를 S3 버킷으로 라우팅하는규칙을 구성할 수 있습니다.

139

https://tools.ietf.org/html/rfc3339#section-5.6


Description

필수

결과에 대한 설명입니다. 이 필드는 일반적인 표준 문안 텍스트이거나 결과의 인스턴스에만 해당하는 세부 정보일 수 있습니다.

Type: 문자열

최대 길이: 1,024

예

"Description": "The version of openssl found on instance i-abcd1234 is known to contain a vulnerability."

GeneratorId

필수

결과를 생성한 솔루션별 구성 요소(로직의 개별 단위)에 대한 식별자입니다. 보안 결과 제품의 다양한 솔루션에서이 생성기는 규칙, 점검, 감지기, 플러그인 등이라고 할 수 있습니다.

Type: 문자열 또는 ARN

최대 길이: 512

예

"GeneratorId": "acme-vuln-9ab348"

Id

필수

결과의 제품별 식별자입니다.


최대 길이:문자열 값의 경우 512, ARN 값의 경우 2048

결과 ID는 다음 제약 조건을 준수해야 합니다.• ID는 제품 내에서 전역적으로 고유해야 합니다. 고유성을 강화하기 위해 퍼블릭 AWS 리전 이름과 계

정 ID를 식별자에 통합할 수 있습니다.• 이전 결과가 더 이상 존재하지 않는지 여부에 관계없이 식별자를 재활용할 수 없습니다.• 외부 서비스의 경우AWS의 경우 ID를 반환합니다.할 수앞에 리터럴 문자열”arn:“.• AWS 서비스의 경우 ID는 결과가 있는 경우 반드시 ARN이어야 합니다. 또는 다른 고유 식별자를 사용

할 수 있습니다.

이러한 제약은 결과 제품 내에서 유지될 것으로 예상되지만 제품 검색을 통해 유지할 필요는 없습니다.

예

"Id": "us-west-2/111111111111/98aebb2207407c87f51e89943f12b1ef"

ProductArn

필수

140


제품이 Security Hub 에 등록된 후 타사 결과 제품을 고유하게 식별하는 Security Hub에서 생성한 ARN입니다.

Type: ARN

이 필드의 형식은 arn:partition:securityhub:region:account-id:product/company-id/product-id입니다.• 용AWS서비스의 경우 Security Hub 브와 통합되어 있는company-id반드시” 여야 합니다.aws“, 그리

고product-id는AWS공용 서비스 이름입니다. 왜냐하면AWS제품 및 서비스가 계정과 연결되어 있지 않은 경우account-id섹션이 비어 있습니다.AWS서비스는 타사 제품으로 간주됩니다.

• 퍼블릭 제품의 경우 company-id 및 product-id는 등록 시 지정된 ID 값이어야 합니다.• 프라이빗 제품의 경우 company-id가 계정 ID여야 합니다. product-id는 예약어 "default" 또는 등

록 시 지정된 ID여야 합니다.

예:

// Private ARN "ProductArn": "arn:aws:securityhub:us-east-1:111111111111:product/111111111111/default"

// Public ARN "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty" "ProductArn": "arn:aws:securityhub:us-west-2:222222222222:product/generico/secure-pro"

Resources (p. 180)

필수

결과가 참조하는 리소스를 설명하는 리소스 데이터 유형 집합입니다.

Type: 자원 객체의 배열

최대 객체 수 32

예

"Resources": [ { "Type": "AwsEc2Instance", "Id": "i-cafebabe", "Partition": "aws", "Region": "us-west-2", "Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": "true" }, "Details": { "AwsEc2Instance": { "Type": "i3.xlarge", "ImageId": "ami-abcd1234", "IpV4Addresses": [ "54.194.252.215", "192.168.1.88" ], "IpV6Addresses": [ "2001:db8:1234:1a2b::123" ], "KeyName": "my_keypair", "IamInstanceProfileArn": "arn:aws:iam::111111111111:instance-profile/AdminRole", "VpcId": "vpc-11112222", "SubnetId": "subnet-56f5f633", "LaunchedAt": "2018-05-08T16:46:19.000Z" } }

141


}]

SchemaVersion

필수

결과의 형식을 지정할 스키마 버전입니다. 이 필드의 값은 AWS로 식별되는 공식적으로 게시된 버전 중하나여야 합니다.

현재 릴리스에서 AWS Security Finding 형식 스키마 버전은 2018-10-08입니다.

Type: 문자열

최대 길이: 10

형식: YYYY-MM-DD

예

"SchemaVersion": "2018-10-08"

Severity (p. 406)

필수

결과의 심각도입니다.

결과에는 다음 중 하나가 있어야 합니다.Label또는Normalized가 채워집니다.Label기본 속성입니다.Normalized는 더 이상 관련이 없습니다. Security HubNormalized속성을 사용하지만 그렇지 않으면 사용하지 않습니다. 두 속성이 모두 채워지지 않으면 결과가 유효하지 않습니다.

Severity에 의해서만 업데이트해야 합니다.BatchUpdateFindings.

심각도 정보를 제공하려면 검색 공급자는Severity의 객체FindingProviderFields (p. 163). thesection called “사용 FindingProviderFields” (p. 89)을(를) 참조하세요.

Type: 객체

예

"Severity": { "Label": "CRITICAL", "Original": "8.3"}

Title

필수

결과의 제목입니다. 이 필드는 일반적인 표준 문안 텍스트이거나 결과의 이 인스턴스에만 해당하는 세부정보를 포함할 수 있습니다.

Type: 문자열

최대 길이: 256Types

필수

142



결과를 분류하는 namespace/category/classifier 형식으로 구성된 하나 이상의 결과 유형입니다.

Types를 사용해서만 업데이트해야 합니다.BatchUpdateFindings.

에 대한 가치를 제공하고자 하는 공급자 찾기Types를 사용해야 합니다.Types아래에서 속성을FindingProviderFields (p. 163). the section called “사용 FindingProviderFields” (p. 89)을(를) 참조하세요.

Type: 문자열 배열

최대 문자열 수 50• namespace는 미리 정의된 네임스페이스 값 집합의 값이어야 합니다.

유효한 값: Software and Configuration Checks | TTPs | Effects | Unusual Behaviors |Sensitive Data Identifications

• category는 임의의 값일 수 있지만 제품 찾기는 결과 유형 분류법의 범주를 사용하는 것이 좋습니다.ASFF에 대한 유형 분류 체계 (p. 414).

• classifier는 임의의 값일 수 있지만 결과 공급자는 가능한 경우 항상 게시된 표준에서 정의한 대로식별자를 정확하게 사용하는 것이 좋습니다.

네임스페이스는 모든 검색 유형에 필요하지만 범주 및 분류자는 선택 사항입니다. 분류자를 지정하는 경우 범주도 지정해야 합니다.

이 '/'문자는 예약되어 있으며 카테고리 또는 분류자에 사용되면 안됩니다. '/' 문자 이스케이프는 지원되지 않습니다.

예

"Types": [ "Software and Configuration Checks/Vulnerabilities/CVE"]

UpdatedAt

필수

검색 공급자가 검색 레코드를 마지막으로 업데이트한 시기를 나타냅니다.

이 타임스탬프는 찾기 레코드가 마지막으로 또는 가장 최근에 업데이트된 시간을 반영합니다. 따라서,그것은 다를 수 있습니다LastObservedAt타임스탬프를 사용하여 이벤트 또는 취약성이 마지막으로또는 최근 관찰된 시간을 반영합니다.

결과 레코드를 업데이트할 때 이 타임스탬프를 현재 타임스탬프로 업데이트해야 합니다. 결과 레코드를생성하면CreatedAt및UpdatedAt타임 스탬프는 동일해야합니다. 결과 레코드를 업데이트한 후 이 필드의 값은 이전에 포함했던 모든 값보다 커야 합니다.

UpdatedAt은 BatchUpdateFindings의 변경 사항으로는 업데이트되지 않고BatchImportFindings로만 업데이트됩니다.

결과는 가장 최근 업데이트 후 90일 또는 업데이트가 없는 경우 생성일 이후 90일에 삭제됩니다. 결과를90일 넘게 저장하려면 CloudWatch 이벤트에 결과를 Amazon S3 버킷으로 라우팅하는 규칙을 구성할수 있습니다.

Type: 문자열


143






기타 최상위 속성Action (p. 153)

선택

리소스에 영향을 주거나 리소스에 대해 수행된 작업에 대한 세부 정보를 제공합니다.

Type: 객체Compliance (p. 161)

선택

컨트롤과 관련된 결과 세부 정보입니다. 컨트롤에서 생성된 결과에 대해서만 반환됩니다.

Type: 객체

예

"Compliance": { "RelatedRequirements": ["Req1", "Req2"], "Status": "PASSED", "StatusReasons": [ { "ReasonCode": "CLOUDWATCH_ALARMS_NOT_PRESENT"; "Description": "CloudWatch alarms do not exist in the account" } ]}

Confidence

선택

결과의 신뢰도입니다. 신뢰도란 결과가 식별하고자 하는 동작이나 문제를 정확하게 식별할 가능성으로정의됩니다.

Confidence를 사용해서만 업데이트해야 합니다.BatchUpdateFindings.

에 대한 가치를 제공하고자 하는 공급자 찾기Confidence를 사용해야 합니다.Confidence아래에서 속성을FindingProviderFields (p. 163). the section called “사용FindingProviderFields” (p. 89)을(를) 참조하세요.

Type: Integer

최소값 0

최대 값 100

신뢰도는 비율 척도를 사용하여 0~100 기준으로 채점됩니다. 0은 0% 신뢰도를 의미하고 100은 100%신뢰도를 의미합니다.

그러나 실제 유출이 확인되지 않았기 때문에 네트워크 트래픽의 통계적 편차를 기반으로 한 데이터 유출감지는 훨씬 신뢰도가 낮습니다.

예

"Confidence": 42

144



Criticality

선택

결과와 관련된 리소스에 할당된 중요도입니다. 0점은 기본 리소스에 중요성이 없음을 의미하며 100점은가장 중요한 리소스에 예약됩니다.

Criticality에 의해서만 업데이트해야 합니다.BatchUpdateFindings. 그것은에 의해 업데이트되어서는 안된다BatchImportFindings.

에 대한 가치를 제공하고자 하는 공급자 찾기Criticality를 사용해야 합니다.Criticality아래에서 속성을FindingProviderFields (p. 163). the section called “사용FindingProviderFields” (p. 89)을(를) 참조하세요.

Type: Integer

최소값: 0

최대값: 100

중요도는 정수만 지원하는 비율 척도를 사용하여 0-100 기준으로 점수가 부여됩니다. 0점은 기본 리소스에 중요성이 없음을 의미하며 100점은 가장 중요한 리소스에 예약됩니다.

상위 수준에서 중요도를 평가할 때 다음 사항을 고려해야 합니다.• 다른 리소스보다 중요한 리소스에 영향을 미치는 결과는 무엇입니까?• 이러한 리소스는 다른 리소스와 비교하여 얼마나 중요합니까?

각 리소스의 경우 다음을 고려해 보십시오.• 영향을 받는 리소스에 민감한 데이터 (예: PII가 있는 S3 버킷) 가 포함되어 있습니까?• 영향을 받는 리소스에서 악의적 공격자가 더 깊이 액세스하거나 또 다른 악의적 활동 (예: 시스템 관리

자 계정 공격) 을 수행할 가능성이 확대될 수 있습니까?• 리소스가 비즈니스에 중요한 자산(예: 손상될 경우 수익에 상당한 영향을 미칠 수 있는 핵심 비즈니스

시스템)입니까?

다음 지침을 적용할 수 있습니다.• 미션 크리티컬 시스템을 지원하거나 매우 민감한 데이터를 포함하는 리소스는 75~100점으로 볼 수

있습니다.• 중요한 (핵심적이지는 않은) 데이터를 지원하거나 다소 중요한 데이터를 포함하는 리소스는 25~75점

으로 볼 수 있습니다.• 중요하지 않은 시스템을 지원하거나 중요하지 않은 데이터를 포함하는 리소스는 0-24점으로 분류해

야 합니다.

예

"Criticality": 99

FindingProviderFields (p. 163)

선택

InBatchImportFindings요청, 공급자 찾기FindingProviderFields에 의해 업데이트해야 속성에대한 값을 제공하기 위해BatchUpdateFindings.FindingProviderFields에는 다음 속성이 있습니다.• Confidence

• Criticality

• RelatedFindings

145






• Severity

• Types

FindingProviderFields에 의해서만 업데이트할 수 있습니다.BatchImportFindings. 이에 의해업데이트 될 수 없습니다.BatchUpdateFindings.

Security Hub 에서 업데이트를 처리하는 방법에 대한 자세한 내용은BatchImportFindingstoFindingProviderFields및 해당 최상위 속성에 대한 자세한 내용은the section called “사용 FindingProviderFields” (p. 89).

Type: 객체

예


FirstObservedAt

선택

검색 결과에 의해 캡처된 잠재적 보안 문제가 처음 발견된 시기를 나타냅니다.

이 타임스탬프는 이벤트 또는 취약성이 처음 관찰된 시간을 반영합니다. 따라서, 그것은 다를 수 있습니다CreatedAt이 찾기 레코드가 생성된 시간을 반영하는 타임스탬프입니다.

이 타임스탬프는 결과 레코드의 업데이트 사이에 변하지 않아야 하지만, 보다 정확한 타임스탬프가 결정되면 업데이트할 수 있습니다.

Type: 문자열


예

"FirstObservedAt": "2017-03-22T13:22:13.933Z"

LastObservedAt

선택

결과에 의해 캡처된 잠재적인 보안 문제가 보안 결과 제품에 의해 언제 마지막으로 관찰되었는지 나타냅니다.

이 타임스탬프는 이벤트 또는 취약성이 마지막으로 또는 최근 관찰된 시간을 반영합니다. 따라서, 그것은 다를 수 있습니다UpdatedAt이 찾기 레코드가 마지막으로 업데이트되었거나 가장 최근에 업데이트된 시점을 반영하는 타임스탬프입니다.

146






이 타임스탬프를 제공 할 수는 있지만 최초 관찰 시 필수적이지는 않습니다. 이 경우 필드를 제공하려면타임스탬프는 FirstObservedAt 타임스탬프와 동일해야 합니다. 결과가 관찰될 때마다 마지막으로또는 가장 최근에 관찰된 타임스탬프를 반영하여 이 필드를 업데이트해야 합니다.

Type: 문자열


예

"LastObservedAt": "2017-03-23T13:22:13.933Z"

Malware (p. 164)

선택

결과와 관련된 맬웨어 목록입니다.

Type: 맬웨어 개체의 배열

최대 객체 수 5

예

"Malware": [ { "Name": "Stringler", "Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" }]

Network (p. 166)(사용되지 않음)

선택

결과에 대한 네트워크 관련 정보의 세부 사항입니다.

이 객체는 더 이상 사용되지 않습니다. 이 데이터를 제공하려면 데이터를Resources를 사용하거나Action객체입니다.

Type: 객체

예

"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80",

147



"DestinationDomain": "example2.com"}

NetworkPath (p. 169)

선택

검색과 관련된 네트워크 경로입니다.

의 각 항목NetworkPath는 경로의 구성 요소를 나타냅니다.

Type: 객체 배열Note (p. 172)

선택

결과에 추가되는 사용자 정의 메모입니다.

검색 제공자는 검색 결과에 대한 초기 메모를 제공할 수 있지만 그 후에 메모를 추가할 수는 없습니다.

메모는 BatchUpdateFindings를 사용해서만 업데이트할 수 있습니다.

Type: 객체

예

"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z"}

PatchSummary (p. 173)

선택

패치 규정 준수에 대한 요약을 제공합니다.

Type: 객체Process (p. 176)

선택

결과에 대한 프로세스 관련 정보의 세부 사항입니다.

Type: 객체

예:

"Process": { "Name": "syslogd", "Path": "/usr/sbin/syslogd", "Pid": 12345, "ParentPid": 56789, "LaunchedAt": "2018-09-27T22:37:31Z", "TerminatedAt": "2018-09-27T23:37:31Z"}

ProductFields

선택

148



정의된 일부가 아닌 추가 솔루션별 세부 정보가 Security Findings 제품에 포함될 수 있는 데이터 형식입니다.AWSSecurity Finder 형식

Security Hub 컨트롤에 의해 생성된 검색 결과의 경우ProductFields에는 컨트롤에 대한 정보가 포함됩니다. the section called “제어 결과 생성 및 업데이트” (p. 436)을(를) 참조하세요.

Type: 키-값 페어의 맵

최대 페어의 수: 50

최대 키 길이: 128

최대 값 길이: 2048

이 필드에는 중복 데이터가 없어야 하며 AWS Security Finding 형식 필드와 충돌하는 데이터가 없어야합니다.

"aws/" 접두사는 AWS 제품 및 서비스에만 예약된 네임스페이스를 나타내며, 파트너 제품의 결과와 함께 제출하면 안 됩니다.

필수는 아니지만 제품은 필드 이름의 형식을 company-id/product-id/field-name으로 지정해야합니다. 여기서 company-id와 product-id는 결과의 ProductArn에 제공된 것과 일치합니다.

필드 이름에는 다음 문자를 포함할 수 있습니다. A-Z, a-z, a-z, a-z, a-z, 0-9, 공백 및.: +\ = @ _/- (하이픈)

예

"ProductFields": { "generico/secure-pro/Count": "6", "generico/secure-pro/Action.Type", "AWS_API_CALL", "API", "DeleteTrail", "Service_Name": "cloudtrail.amazonaws.com", "aws/inspector/AssessmentTemplateName": "My daily CVE assessment", "aws/inspector/AssessmentTargetName": "My prod env", "aws/inspector/RulesPackageName": "Common Vulnerabilities and Exposures"}

RecordState

선택

결과의 레코드 상태입니다.

기본적으로 서비스에서 처음 생성된 결과는 ACTIVE로 간주됩니다.

ARCHIVED 상태는 결과를 보기에서 숨겨야 함을 나타냅니다. 보관된 결과는 즉시 삭제되지 않습니다.결과를 검색, 검토 및 보고할 수 있습니다.

RecordState은 공급자를 찾는 용도로만 업데이트할 수 있습니다.BatchImportFindings. 를 사용해서만 업데이트할 수 없습니다.BatchUpdateFindings.

결과에 대한 조사 상태를 추적하려면RecordState. 대신 Workflow (p. 413)를 사용합니다.

공급자를 찾으면 레코드 상태가 업데이트됩니다. Security Hub 는 연결된 리소스가 삭제되거나 리소스가 없거나 컨트롤이 비활성화된 경우에도 컨트롤 기반 결과를 자동으로 보관합니다.

레코드 상태에서 변경되는 경우ARCHIVEDtoACTIVE이며 검색 결과의 워크플로 상태는NOTIFIED또는RESOLVED을 선택하면 Security Hub 가 자동으로 워크플로 상태를NEW.

Type: 열거형

149




유효한 값: ACTIVE | ARCHIVED

예

"RecordState": "ACTIVE"

RelatedFindings (p. 178)

선택

관련 결과의 목록입니다.

RelatedFindings를 사용해서만 업데이트해야 합니다.BatchUpdateFindings. 이를 사용하여 업데이트해서는 안BatchImportFindings.

관련 연구 결과의 목록을 제공하기 위해, 찾기 공급자는RelatedFindings의 객체FindingProviderFields (p. 163). the section called “사용 FindingProviderFields” (p. 89)을(를) 참조하세요.

Type: 의 배열RelatedFinding객체

최대 객체 수 10

예

"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" }]

Remediation (p. 178)

선택

결과에 대한 문제 해결 옵션입니다.

Type: 객체

예

"Remediation": { "Recommendation": { "Text": "Run sudo yum update and cross your fingers and toes.", "Url": "http://myfp.com/recommendations/dangerous_things_and_how_to_fix_them.html" }}

SourceUrl

선택

결과 제품에서 현재 결과에 대한 페이지로 연결되는 URL입니다.

Type: URLThreatIntelIndicators (p. 408)

선택

150




결과와 관련된 위협 인텔리전스 세부 정보입니다.

Type: 위협 인텔리전스 지표 개체의 배열

최대 객체 수 5

예

"ThreatIntelIndicators": [ { "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888" }]

UserDefinedFields

선택

결과와 연관된 이름/값 문자열 페어의 목록입니다. 이는 결과에 추가되는 사용자 정의 필드입니다. 이러한 필드는 특정 구성을 통해 자동으로 생성될 수 있습니다.

결과 제품은 제품이 생성하는 데이터에 이 필드를 사용해서는 안 됩니다. 대신, 발견 제품 사용할 수 있습니다ProductFields모든 표준에 매핑되지 않는 데이터에 대한 필드AWSSecurity Fin딩 형식 필드입니다.

이 필드는 BatchUpdateFindings를 사용해서만 업데이트할 수 있습니다.


최대 페어의 수: 50

형식: 키 이름은 문자, 숫자 및 특수 문자만 포함할 수 있습니다. _=+@ . /:

예

"UserDefinedFields": { "reviewedByCio": "true", "comeBackToLater": "Check this again on Monday"}

VerificationState

선택

결과의 정확성입니다. 결과 제품은 이 필드에 UNKNOWN 값을 제공할 수 있습니다. 결과 제품의 시스템에의미 있는 유사점이 있는 경우 결과 제품은 이 값을 제공해야 합니다. 이 필드는 일반적으로 사용자가 결과를 조사한 이후의 사용자 결정 또는 작업으로 채워집니다.

검색 공급자는 이 속성의 초기 값을 제공할 수 있지만 그 이후에는 업데이트할 수 없습니다. 이 속성은BatchUpdateFindings를 사용해서만 업데이트할 수 있습니다.

Type: 열거형

유효한 값:• UNKNOWN— 사용자가 변경하지 않는 한 Security Finding의 기본 위치입니다.

151




• TRUE_POSITIVE— Security finding이 확인된 경우 사용자가 이 값을 설정합니다.• FALSE_POSITIVE— 보안 결과가 거짓 경보로 판별되면 사용자가 이 값을 설정합니다.• BENIGN_POSITIVE— 사용자가 이 값을 특수한 사례로 설정하는데,TRUE_POSITIVE결과가 위협이

되지 않거나, 예상되거나, 또는 둘 다를 초래하지 않습니다.Vulnerabilities (p. 409)

선택

검색 결과에 적용되는 취약점 목록입니다.

Type: 객체의 배열Workflow (p. 413)

선택

결과 조사 상태에 대한 정보를 제공합니다.

워크플로우 상태는 결과 공급자용이 아닙니다. 워크플로우 상태는 BatchUpdateFindings를 사용해서만 업데이트할 수 있습니다. 고객은 콘솔에서 업데이트할 수도 있습니다. the section called “결과에대한 워크플로 상태 설정” (p. 98)을(를) 참조하세요.

Type: 객체

예

Workflow: { "Status": "NEW"}

WorkflowState(사용되지 않음)

선택

이 필드는 Workflow 객체의 Status 필드를 위해 더 이상 사용되지 않습니다.

결과의 워크플로우 상태입니다. 결과 제품은 이 필드에 NEW 값을 제공할 수 있습니다. 결과 제품의 시스템에 의미 있는 유사점이 있는 경우 결과 제품은 이 필드의 값을 제공할 수 있습니다.

Type: 열거형

유효한 값:• NEW— 결과의 결과와 연결될 수 있습니다.Active레코드 상태입니다. 새로운 결과의 기본 워크플로

우 상태입니다.• ASSIGNED— 결과의 결과와 연결될 수 있습니다.Active레코드 상태입니다. 이 결과는 승인 받았으

며, 검토나 해결을 위해 누군가에게 전달되었습니다.• IN_PROGRESS— 결과의 결과와 연결될 수 있습니다.Active레코드 상태입니다. 팀원들이 이 결과를

두고 적극적으로 작업하고 있습니다.• RESOLVED— 결과의 결과와 연결될 수 있습니다.Archived레코드 상태입니다. 이는 다음과 다릅니

다.DEFERRED결과. 검색 결과가 다시 발생하거나 (기본 서비스에 의해 업데이트됨) 이와 일치하는 새검색 결과가 있는 경우 검색 결과는 고객에게 활성 새 검색 결과로 나타납니다.

• DEFERRED— 결과의 결과와 연결될 수 있습니다.Archived레코드 상태입니다. 이 결과와 일치하는추가 결과는 설정된 기간 동안 또는 무기한 표시되지 않음을 의미합니다.

고객이 결과를 적용 가능한 것으로 간주하지 않거나 또는 활성 데이터세트에 포함시키지 않으려 한다는 알려진 문제입니다.

• DUPLICATE— 결과의 결과와 연결될 수 있습니다.Archived레코드 상태입니다. 결과가 다른 결과의중복임을 의미합니다.

152


예

"WorkflowState": "NEW"

Action이Action개체는 리소스에 영향을 주거나 수행된 작업에 대한 세부 정보를 제공합니다. 이 작업은 다음 중하나일 수 있습니다.

• 원격 IP 주소는AWSAPI 호출을 사용합니다.• DNS 요청이 수신되었습니다.• 원격 IP 주소가 EC2 인스턴스에 연결하려고 했습니다.• 원격 IP 주소가 EC2 인스턴스에서 포트 프로브를 시도했습니다.

예

"Action": { "ActionType": "PORT_PROBE", "PortProbeAction": { "PortProbeDetails": [ { "LocalPortDetails": { "Port": 80, "PortName": "HTTP" }, "LocalIpDetails": { "IpAddressV4": "192.0.2.0" }, "RemoteIpDetails": { "Country": { "CountryName": "Example Country" }, "City": { "CityName": "Example City" }, "GeoLocation": { "Lon": 0, "Lat": 0 }, "Organization": { "AsnOrg": "ExampleASO", "Org": "ExampleOrg", "Isp": "ExampleISP", "Asn": 64496 } } } ], "Blocked": false }}

Action에는 다음과 같은 속성이 있을 수 있습니다.

ActionType

선택

153


감지된 작업의 유형입니다. 작업 유형은 다른 개체 중 어떤 개체에 제공되는지를 결정합니다.Action객체입니다.

Type: 문자열

유효한 값: NETWORK_CONNECTION|AWS_API_CALL|DNS_REQUEST|PORT_PROBEAwsApiCallAction (p. 154)

선택

다음의 경우 포함됩니다.ActionTypeisAWS_API_CALL.

검색된 API 호출에 대한 세부 정보를 제공합니다.

Type: 객체DnsRequestAction (p. 156)

선택

다음의 경우 포함됩니다.ActionTypeisDNS_REQUEST.

검색된 DNS 요청에 대한 세부 정보를 제공합니다.

Type: 객체NetworkConnectionAction (p. 156)

선택

다음의 경우 포함됩니다.ActionTypeisNETWORK_CONNECTION.

검색된 네트워크 연결에 대한 세부 정보를 제공합니다.

Type: 객체PortProbeAction (p. 157)

선택

다음의 경우 포함됩니다.ActionTypeisPORT_PROBE.

감지된 포트 프로브에 대한 세부 정보를 제공합니다.

Type: 객체

AwsApiCallActionAwsApiCallAction의 경우 제공된다.ActionTypeisAWS_API_CALL. 검색된 API 호출에 대한 세부 정보를 제공합니다.

AwsApiCallAction에는 다음과 같은 속성이 있을 수 있습니다.

AffectedResources

선택

API 호출의 영향을 받은 리소스를 식별합니다.

Type: 키-값 페어의 맵Api

선택

154


발급된 API 메서드의 이름입니다.

Type: 문자열CallerType

선택

API 호출이 원격 IP 주소 또는 DNS 도메인에서 시작되었는지 여부를 나타냅니다.

Type: 문자열

유효한 값: domain | remoteIpDomainDetails (p. 155)

선택

다음의 경우 제공됩니다.CallerTypeisdomain. API 호출이 시작된 DNS 도메인에 대한 정보를 제공합니다.

Type: 객체FirstSeen

선택

API 호출이 처음 관찰된 시간을 나타냅니다.

Type: 문자열


LastSeen

선택

API 호출이 가장 최근에 관찰된 시기를 나타냅니다.

Type: 문자열


RemoteIpDetails (p. 159)

선택

다음의 경우 제공됩니다.CallerTypeisremoteIp. API 호출이 비롯된 원격 IP 주소에 대한 정보를 제공합니다.

Type: 객체ServiceName

선택

의 이름입니다.AWSAPI 호출이 속한 서비스.

Type: 문자열

DomainDetails

DomainDetails의 경우 제공된다.AwsApiCallAction.CallerTypeisdomain. API 호출을 실행한 DNS도메인에 대한 정보를 제공합니다.

155




DomainDetails에는 다음과 같은 속성이 있을 수 있습니다.

Domain

선택

API 호출을 실행한 DNS 도메인의 이름입니다.

Type: 문자열

DnsRequestAction

DnsRequestAction의 경우 제공된다.ActionTypeisDNS_REQUEST. 검색된 DNS 요청에 대한 세부 정보를 제공합니다.

DnsRequestAction에는 다음과 같은 속성이 있을 수 있습니다.

Blocked

선택

DNS 요청이 차단되었는지 여부를 나타냅니다.

Type: 불Domain

선택

DNS 요청과 연결된 DNS 도메인입니다.

Type: 문자열Protocol

선택

DNS 요청에 사용된 프로토콜입니다.

Type: 문자열

NetworkConnectionAction

NetworkConnectionAction의 경우 제공된다.ActionTypeisNETWORK_CONNECTION. 검색된 네트워크연결 시도에 대한 세부 정보를 제공합니다.

NetworkConnectionAction에는 다음과 같은 속성이 있을 수 있습니다.

Blocked

선택

네트워크 연결 시도가 차단되었는지 여부를 나타냅니다.

Type: 불ConnectionDirection

선택

네트워크 연결 요청의 방향입니다.

156


Type: 문자열

유효한 값: IN | OUTLocalPortDetails (p. 158)

선택

EC2 인스턴스의 포트에 대한 포트입니다.

Type: 객체Protocol

선택

네트워크 연결 요청을 만드는 데 사용된 프로토콜입니다.

Type: 문자열RemoteIpDetails (p. 159)

선택

네트워크 연결 요청을 발행한 원격 IP 주소에 대한 정보.

Type: 객체RemotePortDetails (p. 157)

선택

원격 IP 주소의 포트에 대한 정보.

Type: 객체

RemotePortDetails

RemotePortDetails에서는 시도된 네트워크 연결과 관련된 원격 포트에 대한 정보를 제공합니다.

RemotePortDetails에는 다음과 같은 속성이 있을 수 있습니다.

Port

선택

포트의 번호입니다.

Type: IntegerPortName

선택

원격 연결의 포트 이름.

Type: 문자열

PortProbeActionPortProbeAction의 경우 제공된다.ActionTypeisPORT_PROBE. 감지된 시도된 포트 프로브에 대한 세부정보를 제공합니다.

PortProbeAction에는 다음과 같은 속성이 있을 수 있습니다.

157


Blocked

선택

포트 프로브가 차단되었는지 여부입니다.

Type: 불PortProbeDetails (p. 158)

선택

포트 프로브의 영향을 받는 포트에 대한 정보입니다.

Type: 객체의 배열

PortProbeDetails

PortProbeDetails에는 포트 프로브의 일부인 포트 스캔 목록이 포함되어 있습니다. 각 스캔에 대해PortProbeDetails는 검색된 로컬 IP 주소 및 포트와 검사가 시작된 원격 IP 주소에 대한 정보를 제공합니다.

PortProbeDetails에는 다음과 같은 속성이 있을 수 있습니다.

LocalIpDetails

선택

검색된 포트가 있는 IP 주소에 대한 정보를 제공합니다.

Type: 객체LocalPortDetails (p. 158)

선택

검색된 포트에 대한 정보를 제공합니다.

Type: 객체RemoteIpDetails (p. 159)

선택

검사를 수행한 원격 IP 주소에 대한 정보를 제공합니다.

Type: 객체

LocalIpDetails에는 다음과 같은 속성이 있을 수 있습니다.

IpAddressV4

선택

IP 주소입니다.

Type: 문자열

LocalPortDetails용NetworkConnectionAction및PortProbeDetails,LocalPortDetails에서는 작업에 관련된 로컬포트에 대한 정보를 제공합니다.

158


LocalPortDetails에는 다음과 같은 속성이 있을 수 있습니다.

Port

선택

포트의 번호입니다.

Type: IntegerPortName

선택

로컬 연결의 포트 이름.

Type: 문자열

RemoteIpDetails

자세한 내용은AwsApiCallAction,NetworkConnectionAction,및PortProbeAction,RemoteIpDetails개체는 작업에 관련된 원격 IP 주소에 대한 정보를 제공합니다.

RemoteIpDetails에는 다음과 같은 속성이 있을 수 있습니다.

City (p. 160)

선택

원격 IP 주소가 위치한 도시입니다.

Type: 객체Country (p. 160)

선택

원격 IP 주소가 위치한 국가입니다.

Type: 객체Geolocation (p. 160)

선택

원격 IP 주소의 위치 좌표입니다.

Type: 객체IpAddressV4

선택

IP 주소입니다.

Type: 문자열Organization (p. 160)

선택

원격 IP 주소와 연결된 ISP (인터넷 서비스 공급자) 조직입니다.

Type: 객체

159


City

City에는 원격 IP 주소가있는 도시에 대한 정보가 들어 있습니다.

City에는 다음과 같은 속성이 있을 수 있습니다.

CityName

선택

원격 IP 주소가 위치한 주 또는 시의 이름입니다.

Type: 문자열

Country

Country는 원격 IP 주소가 있는 국가를 식별합니다.

Country에는 다음과 같은 속성이 있을 수 있습니다.

CountryCode

선택

원격 IP 주소가 있는 국가의 2자로 된 ISO 3166 국가 코드입니다.

Type: 문자열CountryName

선택

원격 IP 주소가 위치한 국가의 이름입니다.

Type: 문자열

Geolocation

Geolocation는 원격 IP 주소 위치의 위도 및 경도 좌표를 제공합니다.

Geolocation에는 다음과 같은 속성이 있을 수 있습니다.

Lat

선택

원격 IP 주소의 위치 위도입니다.

Type: DoubleLon

선택

원격 IP 주소의 위치 경도입니다.

Type: Double

Organization

Organization원격 IP 주소와 연결된 ISP 조직을 식별합니다.

160


Organization에는 다음과 같은 속성이 있을 수 있습니다.

Asn

선택

원격 IP 주소의 인터넷 공급자가 보유한 ASN (자율 시스템 번호) 입니다.

Type: 문자열AsnOrg

선택

ASN을 등록한 조직의 이름입니다.

Type: 문자열Isp

선택

인터넷 공급자의 ISP 정보.

Type: 문자열Org

선택

인터넷 공급자 이름.

Type: 문자열

Compliance컨트롤과 관련된 결과 세부 정보가 들어 있습니다. 컨트롤 점검에 따라 생성된 결과에 대해서만 반환됩니다.

예

"Compliance": { "RelatedRequirements": ["Req1", "Req2"], "Status": "FAILED", "StatusReasons": [ { "ReasonCode": "CLOUDWATCH_ALARMS_NOT_PRESENT", "Description": "CloudWatch alarms do not exist in the account" } ]}

Compliance 객체에는 다음과 같은 속성이 있을 수 있습니다.

RelatedRequirements

선택

Security Hub 컨트롤의 경우 컨트롤에 대한 산업 또는 규제 프레임워크 요구 사항입니다. 해당 제어에 대한 점검은 이러한 요구 사항에 부합합니다.

최대 32개의 관련 요구 사항을 제공할 수 있습니다.

요구 사항을 식별하려면 해당 식별자를 사용합니다.

161


Type: 문자열 배열Status

선택

보안 점검의 결과입니다.

Type: 열거형

유효한 값:• PASSED— 평가된 모든 리소스에 대한 보안 점검이 통과했습니다. 다음의

경우, Compliance.StatusisPASSED을 선택하면 Security Hub 자동으로Workflow.StatustoRESOLVED.

다음의 경우,Compliance.Status에서 찾는 변경에 대한PASSEDtoFAILED,WARNING또는NOT_AVAILABLE, 및Workflow.Status중 하나를 사용합니다.NOTIFIED또는RESOLVED을 선택하면 Security Hub 자동으로Workflow.StatustoNEW.

• WARNING- 일부 정보가 누락되었거나 이 점검이 지정된 구성에서 지원되지 않습니다.• FAILED— 적어도 하나의 평가된 리소스에 대해 보안 점검이 실패했습니다.• NOT_AVAILABLE— 서비스 중단 또는 API 오류로 인해 점검을 수행할 수 없습니다. NOT_AVAILABLE

상태는 AWS Config 평가의 결과가 NOT_APPLICABLE이었음을 나타낼 수도 있습니다. 이 경우 3일후에 Security Hub 는 자동으로 결과를 보관합니다.

예

"Status": "PASSED"

StatusReasons (p. 162)

선택

컨트롤에서 생성된 결과에 대해 Compliance.Status의 값이 나온 사유 목록입니다.

상태 코드 및 그 의미의 목록은 the section called “제어 결과 생성 및 업데이트” (p. 436) 단원을 참조하십시오.

Type: 문자열

예:

"StatusReasons": [ {

"Description": "CloudWatch alarms do not exist in the account", "ReasonCode": "CW_ALARMS_NOT_PRESENT" }]

StatusReasons

컨트롤에서 생성된 결과에 대해 Compliance.Status의 값이 나온 사유 목록입니다.

"StatusReasons": [ { "Description": "CloudWatch alarms do not exist in the account", "ReasonCode": "CW_ALARMS_NOT_PRESENT" }

162


]

StatusReasons 객체의 각 사유에는 다음과 같은 속성이 있을 수 있습니다.

Description

선택

사유에 대한 설명입니다.

Type: 문자열ReasonCode

필수

현재 컨트롤 상태에 대한 사유를 나타내는 코드입니다.

Type: 문자열

사용 가능한 상태 코드 및 그 의미의 목록은 the section called “제어 결과 생성 및 업데이트” (p. 436)단원을 참조하십시오.

FindingProviderFields에서BatchImportFindings요청, 공급자 찾기FindingProviderFields에 의해 업데이트해야 속성에대한 값을 제공하기 위해BatchUpdateFindings.

Security Hub 에서 업데이트를 처리하는 방법에 대한 자세한 내용은BatchImportFindingstoFindingProviderFields및 해당 최상위 속성에 대한 자세한 내용은thesection called “사용 FindingProviderFields” (p. 89).

예


FindingProviderFields에는 다음과 같은 속성이 포함될 수 있습니다.

Confidence

선택

결과의 신뢰도입니다. 신뢰도란 결과가 식별하고자 하는 동작이나 문제를 정확하게 식별할 가능성으로정의됩니다.

Type: 정수 (범위 0-100)

163





Confidence는 비율 척도를 사용하여 0-100 기준으로 채점됩니다. 0은 0% 신뢰도를 의미하고 100은100% 신뢰도를 의미합니다.

Criticality

선택

결과와 관련된 리소스에 할당된 중요도입니다. 0점은 기본 리소스에 중요성이 없음을 의미하며 100점은가장 중요한 리소스에 예약됩니다.

Type: Integer

최소값: 0

최대값: 100

Criticality에서는 정수만 지원하는 비율 척도를 사용하여 0-100 기준으로 점수가 부여됩니다. 0점은 기본 리소스에 중요성이 없음을 의미하며 100점은 가장 중요한 리소스에 예약됩니다.

RelatedFindings (p. 178)

선택

관련 결과의 목록입니다.

Type: 의 배열RelatedFinding객체

최대 객체 수 10Severity

필수

결과의 심각도에 대한 세부 정보입니다.

공급자를 찾는 데 사용할 수 있는Severity의 객체FindingProviderFields에 대한 값을 제공하기위해Label및Original.

사용 가능한 값에 대한 자세한 내용은Label및Original및 심각도를 평가하는 방법에 대한 지침에 대한 자세한 내용은Severity객체 (p. 406).

Type: 객체Types

필수

형식의 하나 이상의 결과 결과 결과 결과네임 스페이스/카테고리/분류 자발견을 분류하는 것입니다.


최대 문자열 수 50

Malware이Malware객체는 결과와 관련된 맬웨어 목록을 제공합니다. 이 목록은 최대 5개의 맬웨어 객체가 포함될수 있는 배열입니다.

예

"Malware": [ { "Name": "Stringler",

164


"Type": "COIN_MINER", "Path": "/usr/sbin/stringler", "State": "OBSERVED" }]

각 맬웨어 객체에는 다음과 같은 특성이 있을 수 있습니다.

Name

필수

관찰된 맬웨어의 이름입니다.

Type: 문자열

최대 길이: 64

예

"Name": "Stringler"

Path

선택

관찰된 맬웨어의 파일 경로입니다.

Type: 문자열

최대 길이: 512

예

"Path": "/usr/sbin/stringler"

State

선택

관찰된 맬웨어의 상태입니다.

Type: 열거형

유효한 값: OBSERVED|REMOVAL_FAILED|REMOVED

예

"State": "OBSERVED"

Type

선택

관찰된 맬웨어의 유형입니다.

Type: 열거형

유효한 값:ADWARE|BLENDED_THREAT|BOTNET_AGENT|COIN_MINER|EXPLOIT_KIT|KEYLOGGER|MACRO|POTENTIALLY_UNWANTED|SPYWARE|RANSOMWARE|REMOTE_ACCESS|ROOTKIT|TROJAN|VIRUS|WORM

165


예

"Type": "COIN_MINER"

Network(사용되지 않음)결과에 대한 네트워크 관련 정보의 세부 사항입니다.

이 객체는 더 이상 사용되지 않습니다. 이 데이터를 제공하기 위해, 당신은 하나의 리소스에 매핑 할 수 있습니다Resources를 사용하거나Action객체입니다.

예

"Network": { "Direction": "IN", "OpenPortRange": { "Begin": 443, "End": 443 }, "Protocol": "TCP", "SourceIpV4": "1.2.3.4", "SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "SourcePort": "42", "SourceDomain": "example1.com", "SourceMac": "00:0d:83:b1:c0:8e", "DestinationIpV4": "2.3.4.5", "DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C", "DestinationPort": "80", "DestinationDomain": "example2.com"}

Network 객체에는 다음과 같은 속성이 있을 수 있습니다.

DestinationDomain

선택

결과에 대한 네트워크 관련 정보의 대상 도메인입니다.

Type: 문자열

최대 길이: 128

예

"DestinationDomain": "there.com"

DestinationIpV4

선택

결과에 대한 네트워크 관련 정보의 대상 IPv4 주소입니다.

Type: IPv4

예

"DestinationIpV4": "2.3.4.5"

166


DestinationIpV6

선택

결과에 대한 네트워크 관련 정보의 대상 IPv6 주소입니다.

Type: IPv6

예

"DestinationIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C"

DestinationPort

선택

결과에 대한 네트워크 관련 정보의 대상 포트입니다.

Type: 번호

유효한 값: 분류: 0—65535의 범위

예

"DestinationPort": "80"

Direction

선택

결과와 연결된 네트워크 트래픽의 방향입니다.

Type: 열거형

유효한 값: IN | OUT

예

"Direction": "IN"

OpenPortRange (p. 169)

선택

네트워크에 있는 열린 포트의 범위입니다.


선택

결과에 관한 네트워크 관련 정보의 프로토콜입니다.

Type: 문자열

최대 길이: 16

결과 제품이 보다 정확한 프로토콜을 판별할 수 있는 경우를 제외하고, 이름은 연결된 포트에 대한 IANA등록 이름이어야 합니다.

167

https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml

https://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml


예

"Protocol": "TCP"

SourceDomain

선택

결과에 대한 네트워크 관련 정보의 원본 도메인입니다.

Type: 문자열

최대 길이: 128

예

"SourceDomain": "here.com"

SourceIpV4

선택

결과에 대한 네트워크 관련 정보의 원본 IPv4 주소입니다.

Type: IPv4

예

"SourceIpV4": "1.2.3.4"

SourceIpV6

선택

결과에 대한 네트워크 관련 정보의 원본 IPv6 주소입니다.

Type: IPv6

예

"SourceIpV6": "FE80:CD00:0000:0CDE:1257:0000:211E:729C"

SourceMac

선택

결과에 대한 네트워크 관련 정보의 원본 미디어 액세스 제어(MAC) 주소입니다.

Type: 문자열

형식: 일치해야 함MM:MM:MM:SS:SS:SS

예

"SourceMac": "00:0d:83:b1:c0:8e"

SourcePort

선택

168


결과에 대한 네트워크 관련 정보의 원본 포트입니다.

Type: 번호

유효한 값: 분류: 0—65535의 범위

예

"SourcePort": "80"

OpenPortRange

열린 포트 범위의 시작 및 끝 포트를 제공합니다.

OpenPortRange에는 다음과 같은 속성이 있을 수 있습니다.

Begin

선택

포트 범위의 첫 번째 포트입니다.

Type: IntegerEnd

선택

포트 범위의 마지막 포트입니다.

Type: Integer

NetworkPath이NetworkPath개체는 검색 결과와 관련된 네트워크 경로에 대한 정보를 제공합니다. 아래의 각 항목NetworkPath는 해당 경로의 구성 요소를 나타냅니다.

예

"NetworkPath" : [ { "ComponentId": "abc-01a234bc56d8901ee", "ComponentType": "AWS::EC2::InternetGateway", "Egress": { "Destination": { "Address": [ "192.0.2.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": ["203.0.113.0/24"] } }, "Ingress": {

169


"Destination": { "Address": [ "198.51.100.0/24" ], "PortRanges": [ { "Begin": 443, "End": 443 } ] }, "Protocol": "TCP", "Source": { "Address": [ "203.0.113.0/24" ] } } }]

네트워크 경로의 각 구성요소에는 다음과 같은 속성이 있을 수 있습니다.

ComponentId

필수

네트워크 경로에 있는 구성 요소의 식별자입니다.

Type: 문자열ComponentType

필수

구성 요소의 유형입니다.

Type: 문자열Egress (p. 170)

선택

네트워크 경로에서 현재 구성 요소 뒤에 오는 구성 요소에 대한 정보입니다.

Type: 객체Ingress (p. 171)

선택

네트워크 경로에서 현재 구성 요소 앞에 오는 구성 요소에 대한 정보입니다.

Type: 객체

Egress

이Egress개체에는 네트워크 경로의 현재 구성 요소 뒤에 오는 구성 요소에 대한 정보가 들어 있습니다. 여기에는 다음과 같은 속성이 있습니다.

Destination (p. 171)

선택

구성 요소의 대상에 대한 정보입니다.

Type: 객체

170


Protocol

선택

구성 요소에 사용되는 프로토콜입니다.

Type: 문자열Source (p. 172)

선택

구성 요소의 원점에 대한 정보입니다.

Type: 객체

Ingress이Ingress객체에는 네트워크 경로의 이전 구성 요소에 대한 정보가 들어 있습니다. 여기에는 다음과 같은속성이 있습니다.

Destination (p. 171)

선택

이전 구성 요소의 대상에 대한 정보입니다.


선택

이전 구성 요소에서 사용하는 프로토콜입니다.

Type: 문자열Source (p. 172)

선택

이전 구성요소의 원점에 대한 정보입니다.

Type: 객체

Destination이Destination의 객체Egress또는Ingress에는 이전 또는 다음 구성 요소에 대한 대상 정보가 들어 있습니다. 여기에는 다음과 같은 속성이 있습니다.

Address

선택

이전 또는 다음 구성 요소의 IP 주소입니다.

Type: 문자열 배열PortRanges

선택

이전 또는 다음 구성 요소의 대상에 대한 열린 포트 범위 목록입니다.

171


Type: 객체의 배열PortRanges.Begin

선택

열린 포트 범위의 경우 범위의 시작 부분입니다.

Type: IntegerPortRanges.End

선택

열린 포트 범위의 경우 범위의 끝입니다.

Type: 번호

Source이Source[] 아래에서Egress또는Ingress에는 이전 또는 다음 구성요소의 원본에 대한 정보가 들어 있습니다. 여기에는 다음과 같은 속성이 있습니다.

Address

선택

이전 또는 다음 구성 요소의 원본에 대한 IP 주소입니다.

Type: 문자열 배열PortRanges

선택

이전 또는 다음 구성요소의 원점에 대한 열린 포트 범위 목록입니다.

Type: 객체의 배열PortRanges.Begin

선택

열린 포트 범위의 경우 범위의 시작 부분입니다.

Type: IntegerPortRanges.End

선택

열린 포트 범위의 경우 범위의 끝입니다.

Type: 번호

NoteNote 객체는 결과에 사용자 정의 메모를 추가합니다.

검색 제공자는 검색 결과에 대한 초기 메모를 제공할 수 있지만 그 후에 메모를 추가할 수는 없습니다. 메모는 BatchUpdateFindings를 사용해서만 업데이트할 수 있습니다.

예

172



"Note": { "Text": "Don't forget to check under the mat.", "UpdatedBy": "jsmith", "UpdatedAt": "2018-08-31T00:15:09Z"}

Note 객체에는 다음과 같은 속성이 있을 수 있습니다.

Text

필수

결과 메모의 텍스트입니다.

Type: 문자열

최대 길이: 512

예

"Text": "Example text."

UpdatedAt

필수

메모가 업데이트된 시점을 나타냅니다.

Type: 문자열


예

"UpdatedAt": "2018-08-31T00:15:09Z"

UpdatedBy

필수

메모를 생성한 보안 주체입니다.


최대 길이: 512

예

"UpdatedBy": "jsmith"

PatchSummary이PatchSummary개체는 선택한 준수 표준에 대한 인스턴스의 패치 준수 상태에 대한 개요를 제공합니다.

예

"PatchSummary" : {

173



"Id" : "pb-123456789098" "InstalledCount" : "100", "MissingCount" : "100", "FailedCount" : "0", "InstalledOtherCount" : "1023", "InstalledRejectedCount" : "0", "InstalledPendingReboot" : "0", "OperationStartTime" : "2018-09-27T23:37:31Z", "OperationEndTime" : "2018-09-27T23:39:31Z", "RebootOption" : "RebootIfNeeded", "Operation" : "Install"}

PatchSummary 객체에는 다음과 같은 속성이 있을 수 있습니다.

FailedCount

선택

설치 실패에 대한 준수 표준의 패치 수입니다.

Type: 번호

최소값: 0

최대값: 100,000건Id

필수

패치 준수 상태를 확인하는 데 사용된 준수 표준의 식별자입니다.

Type: 문자열

최소 길이: 20

최대 길이: 128InstalledCount

선택

성공적으로 설치된 규정 준수 표준의 패치 수입니다.

Type: 번호

최소값: 0

최대값: 100,000건InstalledOtherCount

선택

규정 준수 표준에 포함되지 않은 설치된 패치의 수입니다.

Type: 번호

최소값: 0

최대값: 100,000건InstalledPendingReboot

선택

174


적용되었지만 설치된 것으로 표시하기 위해 인스턴스를 재부팅해야 하는 패치 수입니다.

Type: 번호

최소값: 0

최대값: 100,000건InstalledRejectedCount

선택

설치되었지만 고객이 거부한 패치 목록에도 있는 패치 수입니다.

Type: 번호

최소값: 0

최대값: 100,000건MissingCount

선택

규정 준수 표준에 속하지만 설치되지 않은 패치 수입니다. 이 수에는 설치 실패가있는 패치가 포함됩니다.

Type: 번호

최소값: 0

최대값: 100,000건Operation

선택

수행된 패치 작업의 유형입니다.

패치 관리자의 경우 값은SCAN및INSTALL.

Type: 문자열

최대 길이: 256OperationEndTime

선택

언제 작업이 완료되는지를 나타냅니다.

Type: 문자열


예

"OperationEndTime": "2020-06-22T17:40:12.322Z"

OperationStartTime

선택

175



언제 작업이 시작되는지를 나타냅니다.

Type: 문자열


예

"OperationStartTime": "2020-06-22T17:40:12.322Z"

RebootOption

선택

인스턴스에 대해 지정된 재부팅 옵션입니다.

Type: 문자열

최대 길이: 256

유효한 값: NoReboot|RebootIfNeeded.

ProcessProcess 객체는 결과에 대한 프로세스 관련 세부 정보를 제공합니다.

예

"Process": { "Name": "syslogd", "Path": "/usr/sbin/syslogd", "Pid": 12345, "ParentPid": 56789, "LaunchedAt": "2018-09-27T22:37:31Z", "TerminatedAt": "2018-09-27T23:37:31Z"}

Process 객체에는 다음과 같은 속성이 있을 수 있습니다.

LaunchedAt

선택

프로세스가 시작된 시간을 나타냅니다.

Type: 문자열


예

"LaunchedAt": "2018-09-27T22:37:31Z"

Name

선택

176




프로세스의 이름입니다.

Type: 문자열

최대 길이: 64

예

"Name": "syslogd"

ParentPid

선택

상위 프로세스 ID입니다.

Type: 번호

예

"ParentPid": 56789

Path

선택

프로세스 실행 파일의 경로입니다.

Type: 문자열

최대 길이: 512

예

"Path": "/usr/sbin/syslogd"

Pid

선택

프로세스 ID.

Type: 번호

예

"Pid": 12345

TerminatedAt

선택

프로세스가 종료된 시간을 나타냅니다.

Type: 문자열


177



예

"TerminatedAt": "2018-09-27T23:37:31Z"

RelatedFindingsRelatedFindings 객체는 현재 결과와 관련된 결과 목록을 제공합니다.

용BatchImportFindings요청을 사용하는 경우 공급자를 찾는RelatedFindings[] 아래에서FindingProviderFields (p. 163).

예

"RelatedFindings": [ { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "123e4567-e89b-12d3-a456-426655440000" }, { "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty", "Id": "AcmeNerfHerder-111111111111-x189dx7824" }]

관련된 각 결과에는 다음과 같은 속성이 있을 수 있습니다.

Id

필수

관련 결과에 대한 제품 생성 식별자입니다.


최대 길이: 512

예

"Id": "123e4567-e89b-12d3-a456-426655440000"

ProductArn

필수

관련된 결과를 생성한 제품의 ARN입니다.

Type: ARN

예

"ProductArn": "arn:aws:securityhub:us-west-2::product/aws/guardduty"

RemediationRemediation 객체는 결과를 처리하기 위해 권장되는 문제 해결 단계에 대한 정보를 제공합니다.

예

"Remediation": {

178



"Recommendation": { "Text": "Run sudo yum update and cross your fingers and toes.", "Url": "http://myfp.com/recommendations/dangerous_things_and_how_to_fix_them.html" }}

Remediation 객체에는 다음과 같은 속성이 있을 수 있습니다.

Recommendation (p. 179)

선택

결과 내에 확인된 문제를 해결하는 방법에 대한 권장 사항입니다.

Recommendation 필드는 결과를 확인하기 위해 수동 지침 또는 세부 정보를 지원하는 필드입니다.

권장 객체가 있는 경우 Text 또는 Url 필드가 있고 채워져 있어야 합니다. 두 필드가 모두 있고 채울 수있습니다.

Type: 객체

예

"Recommendation": { "Text": "Example text.", "Url": "http://myfp.com/recommendations/dangerous_things_and_how_to_fix_them.html"}

Recommendation

Recommendation 객체에는 다음과 같은 속성이 있을 수 있습니다.

Text

선택

결과가 사용자에게 제시되었을 때 수행해야 하는 권장 작업의 자유 형식 문자열입니다. 이 필드는 일반적인 표준 문안 텍스트이거나 결과의 이 인스턴스에만 해당하는 세부 정보를 포함할 수 있습니다.

Type: 문자열

최대 길이: 512

예

"Text": "Example text."

Url

선택

결과의 유형에 맞게 일반적인 문제 해결 정보로 연결되는 URL입니다.

이 URL는 액세스를 위한 자격 증명을 요구하지 않아야 합니다. 공용 인터넷에서 액세스할 수 있어야 하며 컨텍스트 또는 세션을 기대해서는 안 됩니다.

Type: URL

예

179


"Url": "http://myfp.com/recommendations/example_domain.html"

ResourcesResources 객체는 결과에 관련된 리소스에 대한 정보를 제공합니다.

이 파일에는 최대 32개의 리소스 객체 배열이 포함되어 있습니다.

예

"Resources": [ { "Type": "AwsEc2Instance", "Id": "arn:aws:ec2:us-west-2:111122223333:instance/i-1234567890abcdef0", "Partition": "aws", "Region": "us-west-2", "ResourceRole": "Target", "Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": "true" }, "Details": { "AwsEc2Instance": { "Type": "i3.xlarge", "ImageId": "ami-abcd1234", "IpV4Addresses": [ "54.194.252.215", "192.168.1.88" ], "IpV6Addresses": [ "2001:db8:1234:1a2b::123" ], "KeyName": "my_keypair", "IamInstanceProfileArn": "arn:aws:iam::111111111111:instance-profile/AdminRole", "VpcId": "vpc-11112222", "SubnetId": "subnet-56f5f633", "LaunchedAt": "2018-05-08T16:46:19.000Z" } } }]

각 리소스 객체에는 다음과 같은 속성이 있을 수 있습니다.

DataClassification (p. 186)

선택

리소스에서 감지된 중요한 데이터에 대한 세부 정보를 제공하는 데 사용됩니다.

Type: 객체Details

선택

이 필드는 해당 객체를 사용하는 단일 리소스에 대한 추가 세부 정보를 제공합니다.

검색 크기가 최대 240KB를 초과하면Details객체가 검색에서 제거됩니다. 사용하는 컨트롤에 대한 검색 결과AWS Config규칙에서 리소스 세부 정보를 볼 수 있습니다.AWS Config콘솔을 사용합니다.

각 리소스는 별도의 리소스 객체에 제공되어야 합니다.Resources객체입니다.

Security Hub 는 지원되는 리소스 유형에 사용 가능한 개체 집합을 제공합니다. 이러한 객체는 리소스 의값에 해당합니다.Type. 가능한 경우 항상 제공된 유형 및 객체를 사용하십시오.

180


• AwsApiGatewayRestApi (p. 194)• AwsApiGatewayStage (p. 196)• AwsApiGatewayV2Api (p. 203)• AwsApiGatewayV2Stage (p. 205)• AwsAutoscalingAutoscalingGroup (p. 210)• AwsCertificateManagerCertificate (p. 211)• AwsCloudFrontDistribution (p. 219)• AwsCloudTrailTrail (p. 223)• AwsCodeBuildProject (p. 226)• AwsDynamoDbTable (p. 230)• AwsEc2Eip (p. 243)• AwsEc2Instance (p. 244)• AwsEc2NetworkAcl (p. 246)• AwsEc2NetworkInterface (p. 250)• AwsEc2SecurityGroup (p. 253)• AwsEc2Subnet (p. 257)• AwsEc2Volume (p. 260)• AwsEc2Vpc (p. 262)• AwsEcsCluster (p. 264)• AwsEcsTaskDefinition (p. 267)• AwsElasticBeanstalkEnvironment (p. 289)• AwsElasticsearchDomain (p. 294)• AwsElbLoadBalancer (p. 299)• AwsElbv2LoadBalancer (p. 310)• AwsIamAccessKey (p. 312)• AwsIamGroup (p. 315)• AwsIamPolicy (p. 317)• AwsIamRole (p. 320)• AwsIamUser (p. 325)• AwsKmsKey (p. 328)• AwsLambdaFunction (p. 329)• AwsLambdaLayerVersion (p. 334)• AwsRdsDbCluster (p. 335)• AwsRdsDbClusterSnapshot (p. 344)• AwsRdsDbInstance (p. 347)• AwsRdsDbSnapshot (p. 364)• AwsRedshiftCluster (p. 369)• AwsS3AccountPublicAccessBlock (p. 386)• AwsS3Bucket (p. 387)• AwsS3Object (p. 394)• AwsSecretsManagerSecret (p. 395)• AwsSnsTopic (p. 397)• AwsSqsQueue (p. 398)• AwsSsmPatchCompliance (p. 398)• AwsWafWebAcl (p. 401)• Container (p. 404)

181


예를 들어 리소스가 S3 버킷인 경우 리소스를 설정합니다.TypetoAwsS3Bucket에서 리소스 세부 정보를 제공합니다.AwsS3Bucket하위 필드입니다.

Other (p. 405) 하위 필드를 사용하여 사용자 정의 필드 및 값을 제공할 수 있습니다. Other 하위 필드는 다음과 같은 경우에 사용합니다.• 리소스 유형(리소스 값 Type)에는 해당하는 하위 필드가 없습니다. 리소스에 대한 세부 정보를 제공

하려면 Other 세부 정보 하위 필드를 사용합니다.• 리소스 유형의 하위 필드에 채우려는 모든 필드가 포함되어 있지 않습니다. 이 경우 리소스 유형의 하

위 필드를 사용하여 사용 가능한 필드를 채웁니다. Other 하위 필드를 사용하여 유형별 하위 필드에없는 필드를 채웁니다.

• 리소스 유형이 제공된 유형 중 하나가 아닙니다. 이 경우 리소스 Type을 Other로 설정하고 Other 세부 정보 하위 필드를 사용하여 세부 정보를 채웁니다.

Type: 객체

예

"Details": { "AwsEc2Instance": { "Type": "i3.xlarge", "ImageId": "ami-abcd1234", "IpV4Addresses": [ "54.194.252.215", "192.168.1.88" ], "IpV6Addresses": [ "2001:db8:1234:1a2b::123" ], "KeyName": "my_keypair", "IamInstanceProfileArn": "arn:aws:iam::111111111111:instance-profile/AdminRole", "VpcId": "vpc-11112222", "SubnetId": "subnet-56f5f633", "LaunchedAt": "2018-05-08T16:46:19.000Z" }, "AwsS3Bucket": { "OwnerId": "da4d66eac431652a4d44d490a00500bded52c97d235b7b4752f9f688566fe6de", "OwnerName": "acmes3bucketowner" }, "Other": [ { "Key": "LightPen", "Value": "blinky" }, { "Key": "SerialNo", "Value": "1234abcd" } ]}

Id

필수

주어진 리소스 유형에 대한 표준 식별자입니다.

ARN으로 식별되는 AWS 리소스의 경우 ARN이어야 합니다.

ARN이 없는 다른 모든 AWS 리소스 유형의 경우, 리소스를 생성한 AWS 서비스가 정의한 식별자여야합니다.

NonAWS리소스의 경우, 리소스와 연결된 고유 식별자여야 합니다.


최대 길이: 512

예

"Id": "arn:aws:s3:::example-bucket"

182


Partition

선택

리전이 할당된 표준 AWS 파티션 이름입니다.

Type: 열거형

유효한 값:

파티션 설명

aws 기타 모든 리전

aws-cn China

aws-us-gov AWS GovCloud (US)

예

"Partition": "aws"

Region

선택

이 리소스가 있는 표준 AWS 외부 리전 이름입니다.

Type: 문자열

최대 길이: 16

예

"Region": "us-west-2"

ResourceRole

선택

검색 결과에서 리소스의 역할을 식별합니다. 리소스는 찾기 활동의 대상이거나 활동을 수행한 액터입니다.

Type: 문자열

유효한 값: Actor | TargetTags

선택

결과가 처리된 시점에 리소스와 연결된 AWS 태그 목록입니다. 연결된 태그가 있는 리소스에 대해서만Tags 속성을 포함합니다. 리소스에 연결된 태그가 없는 경우 결과에 Tags 속성을 포함하지 마십시오.

Type: 태그 맵

최대 태그 수: 50

값당 최대 길이: 256

183


태그에 적용되는 기본 제한은 다음과 같습니다.• 이 필드의 AWS 리소스에 실제로 존재하는 태그만 제공할 수 있습니다. AWS Security Finding 형식으

로 정의되지 않은 리소스 유형에 대한 데이터를 제공하려면 Other 세부 정보 하위 필드를 사용하십시오.

• 값은 다음 문자로 제한됩니다. A-Z, a-z, a-z, a-z, a-z, 0-9, 공백 및.: + = @ _/- (하이픈)• 값은AWS최대 256자의 태그 값 길이입니다.

예

"Tags": { "billingCode": "Lotus-1-2-3", "needsPatching": "true"}

Type

필수

세부 정보가 제공되는 리소스 유형입니다.

가능한 경우 항상 AwsEc2Instance 또는 AwsS3Bucket과 같은 제공된 리소스 유형 중 하나를 사용하십시오.

리소스 유형이 제공된 리소스 유형과 일치하지 않는 경우 리소스 을 설정합니다.TypetoOther를 선택하고Other세부 정보 하위 필드를 사용하여 세부 정보를 채웁니다.

Type: 문자열

최대 길이: 256

지원되는 값은 다음과 같습니다. 유형에 해당하는 하위 필드가 있는 경우 하위 필드에 대한 세부 정보를보려면 유형 이름을 선택합니다.• AwsAccount

• AwsApiGatewayMethod

• AwsApiGatewayRestApi (p. 194)• AwsApiGatewayStage (p. 196)• AwsApiGatewayV2Api (p. 203)• AwsApiGatewayV2Stage (p. 205)• AwsAppStreamFleet

• AwsAutoscalingAutoscalingGroup (p. 210)• AwsCertificateManagerCertificate (p. 211)• AwsCloudFormationStack

• AwsCloudFrontDistribution (p. 219)• AwsCloudTrailTrail (p. 223)• AwsCloudWatchAlarm

• AwsCodeBuildProject (p. 226)• AwsCodeCommitRepository

• AwsCodeDeployApplication

• AwsCodeDeployDeploymentGroup

• AwsCodePipelinePipeline

• AwsCognitoIdentityPool

• AwsCognitoUserPool

184


• AwsDmsReplicationInstance

• AwsDynamoDbTable (p. 230)• AwsEc2Eip (p. 243)• AwsEc2Instance (p. 244)• AwsEc2NetworkAcl (p. 246)• AwsEc2NetworkInterface (p. 250)• AwsEc2SecurityGroup (p. 253)• AwsEc2Snapshot

• AwsEc2Subnet (p. 257)• AwsEc2Volume (p. 260)• AwsEc2Vpc (p. 262)• AwsEcsCluster (p. 264)• AwsEcsService

• AwsEcsTaskDefinition (p. 267)• AwsEfsFileSystem

• AwsEksCluster

• AwsElastiCacheCacheCluster

• AwsElasticBeanstalkEnvironment (p. 289)• AwsElasticsearchDomain (p. 294)• AwsElbLoadBalancer (p. 299)• AwsElbv2LoadBalancer (p. 310)• AwsEmrCluster• AwsIamAccessKey (p. 312)• AwsIamGroup (p. 315)• AwsIamPolicy (p. 317)• AwsIamRole (p. 320)• AwsIamUser (p. 325)• AwsKinesisStream

• AwsKmsKey (p. 328)• AwsLambdaFunction (p. 329)• AwsLambdaLayerVersion (p. 334)• AwsLogsLogGroup

• AwsRdsDbCluster (p. 335)• AwsRdsDbClusterSnapshot (p. 344)• AwsRdsDbInstance (p. 347)• AwsRdsDbSnapshot (p. 364)• AwsRedshiftCluster (p. 369)• AwsS3AccountPublicAccessBlock (p. 386)• AwsS3Bucket (p. 387)• AwsS3Object (p. 394)• AwsSageMakerNotebookInstance

• AwsSecretsManagerSecret (p. 395)• AwsSnsTopic (p. 397)• AwsSqsQueue (p. 398)• AwsSsmAssociationCompliance

185


• AwsSsmPatchCompliance (p. 398)• AwsWafWebAcl (p. 401)• Container (p. 404)• Other (p. 405)

예

"Type": "AwsS3Bucket"

DataClassification

이DataClassification개체에는 리소스에서 감지 된 중요 한 데이터에 대 한 정보가 포함 되어 있습니다.

예

"DataClassification": { "DetailedResultsLocation": "Path_to_Folder_Or_File", "Result": { "MimeType": "text/plain", "SizeClassified": 2966026, "AdditionalOccurrences": false, "Status": { "Code": "COMPLETE", "Reason": "Unsupportedfield" }, "SensitiveData": [ { "Category": "PERSONAL_INFORMATION", "Detections": [ { "Count": 34, "Type": "GE_PERSONAL_ID", "Occurrences": { "LineRanges": [ { "Start": 1, "End": 10, "StartColumn": 20 } ], "Pages": [], "Records": [], "Cells": [] } }, { "Count": 59, "Type": "EMAIL_ADDRESS", "Occurrences": { "Pages": [ { "PageNumber": 1, "OffsetRange": { "Start": 1, "End": 100, "StartColumn": 10 }, "LineRange": { "Start": 1, "End": 100, "StartColumn": 10

186


} } ] } }, { "Count": 2229, "Type": "URL", "Occurrences": { "LineRanges": [ { "Start": 1, "End": 13 } ] } }, { "Count": 13826, "Type": "NameDetection", "Occurrences": { "Records": [ { "RecordIndex": 1, "JsonPath": "$.ssn.value" } ] } }, { "Count": 32, "Type": "AddressDetection" } ], "TotalCount": 32 } ], "CustomDataIdentifiers": { "Detections": [ { "Arn": "1712be25e7c7f53c731fe464f1c869b8", "Name": "1712be25e7c7f53c731fe464f1c869b8", "Count": 2, } ], "TotalCount": 2 } }}

DataClassification에는 다음과 같은 속성이 포함될 수 있습니다.

DetailedResultsLocation

선택

중요한 데이터가 들어 있는 폴더 또는 파일의 경로입니다.

Type: 문자열Result (p. 188)

선택

리소스에서 감지된 중요한 데이터에 대한 세부 정보입니다.

187


Type: 객체

Result

이Result개체에는 리소스에서 감지된 중요한 데이터에 대한 세부 정보가 포함되어 있습니다.

Result에는 다음과 같은 속성이 있을 수 있습니다.

AdditionalOccurrences

선택

검색 결과에 포함되지 않은 중요한 데이터가 추가로 발생하는지 여부를 나타냅니다. 발생 횟수가 포함될수 있는 최대값을 초과할 때 발생합니다.

Type: 불CustomDataIdentifiers (p. 189)

선택

고객이 정의한 구성을 기반으로 식별된 중요한 데이터에 대한 세부 정보를 제공합니다.

Type: 객체MimeType

선택

결과가 적용되는 내용의 유형입니다.

Type: 문자열

필수 형식: MIME 유형이어야 합니다.

예제:• application/gzip, GNU Gzip 압축 아카이브 파일의 경우• application/pdf, Adobe 휴대용 문서 형식 (.pdf) 파일

SensitiveData (p. 189)

선택

기본 제공 구성을 기반으로 식별된 중요한 데이터에 대한 세부 정보를 제공합니다.

Type: 객체SizeClassified

선택

영향을 받는 데이터의 총 크기 (바이트) 입니다.

Type: LongStatus

선택

검색의 현재 상태에 대한 자세한 설명입니다.

Type: 객체

188


Status.Code

선택

중요한 데이터 탐지의 상태를 나타내는 코드입니다.

Type: 문자열Status.Reason

선택

중요한 데이터 감지의 현재 상태에 대한 자세한 설명입니다.

Type: 문자열

CustomDataIdentifiers

CustomDataIdentifiers에는 사용자 정의 식별자에 의해 감지된 중요한 데이터의 인스턴스가 포함됩니다.

CustomDataIdentifiers에는 다음과 같은 속성이 있을 수 있습니다.

Detections (p. 190)

선택

민감한 데이터의 감지된 인스턴스 목록입니다.

Type: 객체의 배열TotalCount

선택

중요 데이터의 총 발생 수입니다.

Type: Integer

SensitiveData

SensitiveData에는 기본 제공 식별자를 기반으로 하는 민감한 데이터의 검색된 인스턴스가 포함됩니다.

Category

선택

감지된 중요한 데이터의 범주입니다. 예를 들어, 범주는 중요한 데이터에 자격 증명, 재무 정보 또는 개인 정보가 포함되었음을 나타낼 수 있습니다.

Type: 문자열Detections (p. 190)

선택

민감한 데이터의 감지된 인스턴스 목록입니다.

Type: 객체의 배열TotalCount

선택

189


중요 데이터의 총 발생 수입니다.

Type: Integer

Detections

Detections에는 감지된 민감한 데이터에 대한 세부 정보가 포함됩니다.

감지된 중요 데이터의 각 인스턴스에는 다음과 같은 속성이 있을 수 있습니다.

Arn

선택

중요한 데이터를 검색하는 데 사용된 사용자 지정 식별자의 ARN 입니다.

Arn에서만 제공됩니다.Detections아래에서CustomDataIdentifiers.Detections아래에서SensitiveData가 없습니다Arn속성을 사용합니다.

Type: 문자열Count

선택

감지된 중요 데이터의 총 발생 횟수입니다.

Type: IntegerName

선택

중요한 데이터를 감지한 사용자 지정 식별자의 이름입니다.

Name에서만 제공됩니다.Detections아래에서CustomDataIdentifiers.Detections아래에서SensitiveData가 없습니다Name속성을 사용합니다.

Type: 문자열Occurrences

선택

감지된 중요한 데이터에 대한 세부 정보입니다.Occurrences에는 다음 객체가 포함될 수 있습니다. 각객체에는 객체 배열이 포함됩니다.• Cells (p. 191)- Microsoft Excel 파일에서 감지된 중요한 데이터의 발생을 쉼표로 구분된 값 (.csv)

파일 또는 탭으로 구분된 값 (.tsv) 파일• LineRanges (p. 191)— 비에서 감지된 중요한 데이터의 발생을 포함합니다.바이너리 텍스트 파일

또는 마이크로소프트 워드 파일• OffsetRanges (p. 192)— 이진 텍스트 파일에서 감지된 중요한 데이터를 포함합니다.• Pages (p. 192)— Adobe 포터블 문서 형식에서 감지된 중요한 데이터의 발생을 포함합니다 (.pdf)

파일• Records (p. 194)— Apache Avro 객체 컨테이너 또는 아파치 쪽모이 세공 파일에서 감지된 중요한

데이터의 발생을 포함합니다.

Type: 객체Type

선택

190


감지된 중요한 데이터의 유형입니다. 예를 들어 유형이 데이터가 이메일 주소임을 나타낼 수 있습니다.

Type에서만 제공됩니다.Detections아래에서SensitiveData.Detections어레이 또는 객체CustomDataIdentifiers이 (가) 없습니다.Type속성을 사용합니다.

Type: 문자열

Cells

Cells에는 Microsoft Excel 통합 문서에서 감지된 중요한 데이터가 포함되며 쉼표로 구분된 값 (.csv) 파일또는 탭으로 구분된 값 (.tsv) 파일을 생성합니다.

각 발생에 대해Cells는 중요한 데이터가 포함된 셀을 식별합니다.

각 항목에는 다음과 같은 속성이 포함될 수 있습니다.

CellReference

선택

Microsoft Excel 통합 문서의 경우 데이터가 포함된 셀 위치를 절대 셀 참조로 제공합니다. 예를 들어, 시트2! 시트2의 C5 셀에 대한 C5

이 속성은 null입니다..csv및.tsv파일을 생성합니다.

Type: 문자열Column

선택

데이터가 들어 있는 열의 열 숫자입니다. Microsoft Excel 통합 문서의 경우 열 번호는 알파벳 열 식별자에 해당합니다. 예를 들어, 값 1입니다.Column는 통합 문서의 A 열에 해당합니다.

Type: IntegerColumnName

선택

데이터가 포함된 열의 이름입니다.

Type: 문자열Row

선택

데이터가 포함된 행의 행 번호입니다.

Type: Integer

LineRanges

LineRanges바이너리가 아닌 텍스트 파일이나 Microsoft Word 파일에서 감지된 중요한 데이터가 포함되어있습니다. 바이너리가 아닌 텍스트 파일에는.html,.xml,.json, 및.txt파일을 생성합니다.

각 발생에 대해LineRanges는 중요한 데이터의 위치를 제공합니다. 위치에는 데이터가 있는 선과 해당 행의데이터 위치가 포함됩니다.

각 항목에는 다음과 같은 속성이 있을 수 있습니다.

191


End

선택

중요 데이터의 끝 부분부터 파일 시작 부분까지의 행 수입니다.

Type: IntegerStart

선택


Type: Integer시작 열

선택

중요한 데이터가 시작되는 줄에서 중요한 데이터가 시작되는 줄 내의 열입니다.

Type: Integer

OffsetRanges

OffsetRanges는 이진 텍스트 파일에서 감지 된 민감한 데이터의 발생을 포함합니다.

각 발생에 대해OffsetRanges는 중요한 데이터의 위치를 제공합니다. 위치는 파일의 시작 부분에 상대적인문자의 수입니다.


End

선택

중요 데이터의 끝 부분부터 파일 시작 부분까지의 문자 수입니다.

Type: IntegerStart

선택

파일의 시작 부분에서 중요한 데이터의 시작 부분까지의 문자 수입니다.

Type: IntegerStartColumn

선택

중요한 데이터가 시작되는 열입니다.

Type: Integer

Pages

Pages는 Adobe 포터블 문서 형식 (.pdf) 파일을 생성합니다.

각 발생에 대해Pages는 데이터를 포함하는 페이지를 식별하고 페이지에서 데이터의 위치를 제공합니다. 위치는 행 번호 또는 문자 수를 사용하여 식별 할 수 있습니다.

192



LineRange

선택

행 번호를 사용하여 중요한 데이터의 위치를 식별합니다.

Type: 객체LineRange.End

선택


Type: IntegerLineRange.Start

선택

파일의 시작 부분에서 중요한 데이터의 시작 부분까지의 행 수입니다.

Type: IntegerLineRange.StartColumn

선택

중요한 데이터가 시작되는 줄에서 중요한 데이터가 시작되는 열 번호입니다.

Type: IntegerOffsetRange

선택

문자 수를 기준으로 중요한 데이터의 위치를 식별합니다.

Type: 객체OffsetRange.End

선택

중요 데이터의 끝 부분부터 파일 시작 부분까지의 문자 수입니다.

Type: IntegerOffsetRange.Start

선택

파일의 시작 부분에서 중요한 데이터의 시작 부분까지의 문자 수입니다.

Type: IntegerOffsetRange.StartColumn

선택

중요한 데이터가 시작되는 줄에서 시작하는 열 번호입니다.

Type: IntegerPageNumber

선택

193


중요한 데이터가 들어 있는 페이지의 페이지 번호입니다.

Type: Integer

Records

Records아파치 아 브로 객체 컨테이너 또는 아파치 마루 파일에 민감한 데이터의 발생을 식별한다.

각 발생에 대해Records는 레코드 인덱스와 민감한 데이터가 포함된 필드의 경로를 지정합니다.


JsonPath

선택

JSONPath 표현식으로서 데이터가 포함된 레코드의 필드에 대한 경로입니다. 필드 이름이 20자보다 길면 잘리게 됩니다. 경로가 250자보다 길면 잘리게 됩니다.

Type: 문자열RecordIndex

선택

데이터를 포함하는 레코드에 대한 0부터 시작하는 레코드 인덱스입니다.

Type: Integer

AwsApiGatewayRestApi이AwsApiGatewayRestApi객체에는 Amazon API Gateway의 버전 1에 있는 REST API에 대한 정보가 들어 있습니다.

예

AwsApiGatewayRestApi: { "Id": "exampleapi", "Name": "Security Hub", "Description": "AWS Security Hub", "CreatedDate": "2018-11-18T10:20:05-08:00", "Version": "2018-10-26", "BinaryMediaTypes" : ["-'*~1*'"], "MinimumCompressionSize": 1024, "ApiKeySource": "AWS_ACCOUNT_ID", "EndpointConfiguration": { "Types": [ "REGIONAL" ] }}

AwsApiGatewayRestApi에는 다음과 같은 속성이 있을 수 있습니다.

ApiKeySource

선택

사용량 계획에 따라 측정 요청을 위한 API 키의 원본입니다.

HEADER요청의 X-API 키 헤더에서 API 키를 읽을지 여부를 나타냅니다.

194


AUTHORIZERAPI 키를 읽기 위한 여부를 나타냅니다.UsageIdentifierKey를 사용자 지정 권한 부여자에서 설정합니다.

Type: 문자열

유효한 값: HEADER | AUTHORIZERBinaryMediaTypes

선택

REST API에서 지원하는 이진 미디어 형식의 목록입니다.

Type: 문자열 배열CreatedDate

선택

API가 생성된 시기를 나타냅니다.

Type: 문자열


예:

"CreatedDate": "2017-03-22T13:22:13.933Z"

Description

선택

REST API에 대한 설명입니다.

Type: 문자열EndpointConfiguration (p. 196)

선택

REST API의 엔드포인트 구성입니다.

Type: 객체Id

선택

REST API의 식별자입니다.

Type: 문자열MinimumCompressionSize

선택

압축이 활성화되기 전의 페이로드의 최소 크기 (바이트) 입니다.

다음의 경우,null를 선택하면 압축이 비활성화됩니다.

0이면 모든 페이로드가 압축됩니다.

Type: 번호

195



최소값: 0

최대값: 10.485,760Name

선택

REST API의 이름입니다.

Type: 문자열Version

선택

REST API에 대한 버전 식별자입니다.

Type: 문자열

EndpointConfiguration

이EndPointConfiguration객체에는 API의 엔드포인트에 대한 정보가 포함되어 있습니다.

EndPointConfiguration에는 다음과 같은 속성이 있을 수 있습니다.

Types

선택

REST API에 대한 엔드포인트 유형 목록입니다.

엣지 최적화 API의 경우 엔드포인트 유형은EDGE. 리전 API의 경우 엔드포인트 유형은REGIONAL. 프라이빗 API에 대한 엔드포인트 유형은PRIVATE.


유효한 값: EDGE|REGIONAL|PRIVATE

AwsApiGatewayStage

이AwsApiGatewayStage객체는 버전 1 Amazon API Gateway 단계에 대한 정보를 제공합니다.

예

"AwsApiGatewayStage": { "DeploymentId": "n7hlmf", "ClientCertificateId": "a1b2c3", "StageName": "Prod", "Description" : "Stage Description", "CacheClusterEnabled": false, "CacheClusterSize" : "1.6", "CacheClusterStatus": "NOT_AVAILABLE", "MethodSettings": [ { "MetricsEnabled": true, "LoggingLevel": "INFO", "DataTraceEnabled": false, "ThrottlingBurstLimit": 100, "ThrottlingRateLimit": 5.0, "CachingEnabled": false,

196


"CacheTtlInSeconds": 300, "CacheDataEncrypted": false, "RequireAuthorizationForCacheControl": true, "UnauthorizedCacheControlHeaderStrategy": "SUCCEED_WITH_RESPONSE_HEADER", "HttpMethod": "POST", "ResourcePath": "/echo" } ], "Variables": {"test": "value"}, "DocumentationVersion": "2.0", "AccessLogSettings": { "Format": "{\"requestId\": \"$context.requestId\", \"extendedRequestId\": \"$context.extendedRequestId\", \"ownerAccountId\": \"$context.accountId\", \"requestAccountId\": \"$context.identity.accountId\", \"callerPrincipal\": \"$context.identity.caller\", \"httpMethod\": \"$context.httpMethod\", \"resourcePath\": \"$context.resourcePath\", \"status\": \"$context.status\", \"requestTime\": \"$context.requestTime\", \"responseLatencyMs\": \"$context.responseLatency\", \"errorMessage\": \"$context.error.message\", \"errorResponseType\": \"$context.error.responseType\", \"apiId\": \"$context.apiId\", \"awsEndpointRequestId\": \"$context.awsEndpointRequestId\", \"domainName\": \"$context.domainName\", \"stage\": \"$context.stage\", \"xrayTraceId\": \"$context.xrayTraceId\", \"sourceIp\": \"$context.identity.sourceIp\", \"user\": \"$context.identity.user\", \"userAgent\": \"$context.identity.userAgent\", \"userArn\": \"$context.identity.userArn\", \"integrationLatency\": \"$context.integrationLatency\", \"integrationStatus\": \"$context.integrationStatus\", \"authorizerIntegrationLatency\": \"$context.authorizer.integrationLatency\" }", "DestinationArn": "arn:aws:logs:us-west-2:111122223333:log-group:SecurityHubAPIAccessLog/Prod" }, "CanarySettings": { "PercentTraffic": 0.0, "DeploymentId": "ul73s8", "StageVariableOverrides" : [ "String" : "String" ], "UseStageCache": false }, "TracingEnabled": false, "CreatedDate": "2018-07-11T10:55:18-07:00", "LastUpdatedDate": "2020-08-26T11:51:04-07:00", "WebAclArn" : "arn:aws:waf-regional:us-west-2:111122223333:webacl/cb606bd8-5b0b-4f0b-830a-dd304e48a822"}

AwsApiGatewayStage에는 다음과 같은 속성이 있을 수 있습니다.

AccessLogSettings (p. 200)

선택

단계의 로깅 액세스에 대한 설정입니다.

Type: 객체CacheClusterEnabled

선택

단계에 대해 캐시 클러스터를 활성화할지 여부를 나타냅니다.

Type: 불CacheClusterSize

선택

197


캐시 클러스터가 활성화된 경우 캐시 클러스터의 크기입니다.

Type: 문자열CacheClusterStatus

선택

캐시 클러스터가 활성화된 경우 캐시 클러스터의 상태입니다.

Type: 문자열CanarySettings (p. 200)

선택

스테이지의 카나리아 배포 설정에 대한 정보입니다.

Type: 객체ClientCertificateId

선택

스테이지에 대한 클라이언트 인증서의 식별자입니다.

Type: 문자열CreatedDate

선택

스테이지가 만들어진 시기를 나타냅니다.

Type: 문자열


예

"CreatedDate": "2017-03-22T13:22:13.933Z"

DeploymentId

선택

단계에서 가리키는 배포의 식별자입니다.

Type: 문자열Description

선택

단계에 대한 설명입니다.

Type: 문자열DocumentationVersion

선택

스테이지와 연결된 API 설명서의 버전입니다.

Type: 문자열

198



LastUpdatedDate

선택

단계가 가장 최근에 업데이트된 시기를 나타냅니다.

Type: 문자열


예

"LastUpdatedDate": "2017-03-22T13:22:13.933Z"

MethodSettings (p. 201)

선택

단계의 메서드 설정을 정의합니다.

각 메소드에 대해 키는 다음과 같이 정의되는 메소드 경로입니다.• 개별 메서드 재정의의 경우 키는<resource_path>/<http_method>. 예: accounts/DELETE.• 스테이지의 모든 메소드를 오버라이드하기 위해 키는/*/*.

Type: 객체의 배열StageName

선택

단계의 이름입니다.

Type: 문자열TracingEnabled

선택

으로 활성 추적 여부를 나타냅니다.AWS X-Ray이 스테이지에 대해 활성화됩니다.

Type: 불Variables

선택

단계의 단계 변수를 정의하는 맵입니다.

변수 이름은 다음 문자를 사용할 수 있습니다. A-Z, 0-9 및 _ (밑줄) 입니다.

변수 값에는 다음과 같은 문자가 포함될 수 있습니다.• 대문자와 소문자• 숫자• 특수 문자. _ ~:/? # & =, - (하이픈)

Type: 문자열 맵WebAclArn

선택

스테이지와 연결된 웹 ACL의 ARN 입니다.

199



Type: 문자열

AccessLogSettings

이AccessLogSettings객체에는 스테이지에 대한 액세스를 로깅하기 위한 설정에 대한 정보가 포함되어있습니다.

AccessLogSettings에는 다음과 같은 속성이 있을 수 있습니다.

DestinationArn

선택

액세스 로그를 수신하는 Kinesis Data Firehose 전송 스트림 또는 CloudWatch Logs 로그 그룹의 ARN입니다.

Kinesis Data Firehose 전송 스트림의 경우 스트림 이름은 항상amazon-apigateway-.

Type: 문자열Format

선택

데이터의 액세스 로그에 대한 한 줄 형식으로 선택한$context변수를 사용합니다. 형식에는 최소한$context.requestId가 포함되어야 합니다.

Type: 문자열

CanarySettings

이CanarySettings객체에는 스테이지의 카나리아 배포 설정에 대한 정보가 포함되어 있습니다.

CanarySettings에는 다음과 같은 속성이 있을 수 있습니다.

DeploymentId

선택

canary 배포에 대한 배포 식별자입니다.

Type: 문자열PercentTraffic

선택

카나리아 배포로 전환되는 트래픽의 백분율입니다.

Type: 번호

최소값: 0

최대값: 100StageVariableOverrides

선택

카나리아 릴리스 배포에서 재정의되는 스테이지 변수입니다. 변수에는 카나리아에 도입된 새로운 단계변수가 포함됩니다.

각 변수는 단계 변수 이름과 변수 값 사이의 문자열 간 맵으로 표시됩니다.

200


"variableName" : "variableValue"

Type: 객체UseStageCache

선택

canary 배포에서 단계 캐시를 사용할지 여부를 지정합니다.

Type: 불

MethodSettings

이MethodSettings객체는 단계의 메서드 설정을 정의합니다.

의 각 메소드 객체MethodSettings에는 다음과 같은 속성이 있을 수 있습니다.

CacheDataEncrypted

선택

캐시된 응답의 암호화 여부를 나타냅니다.

Type: 불CachingEnabled

선택

응답이 캐시되고 요청에 대해 반환되는지 여부를 나타냅니다. 응답을 캐시하려면 스테이지에서 캐시 클러스터를 사용하도록 설정해야 합니다.

Type: 불CacheTtlInSeconds

선택

캐시된 응답의 TL (Time to Live) 을 초 단위로 지정합니다. TTL이 높을수록 응답이 캐시됩니다.

Type: 번호DataTraceEnabled

선택

메서드에 대해 데이터 추적 로깅이 활성화되는지 여부를 나타냅니다. 데이터 추적 로깅은 CloudWatchLogs 로그에 푸시되는 로그 항목에 영향을 줍니다.

Type: 불HttpMethod

선택

HTTP 메서드입니다. 별표 (*) 를 와일드카드로 사용하여 메서드 설정을 여러 메서드에 적용할 수 있습니다.

Type: 문자열LoggingLevel

선택

201


이 메서드의 로깅 수준입니다. 로깅 수준은 CloudWatch Logs 로그에 푸시되는 로그 항목에 영향을 줍니다.

로깅 수준이ERROR인 경우 로그에 오류 수준 항목만 포함됩니다.

로깅 수준이INFO인 경우 로그에는ERROR이벤트 및 추가 정보 이벤트.

Type: 문자열

유효한 값: OFF|ERROR|INFOMetricsEnabled

선택

메서드에 대해 CloudWatch 지표가 활성화되는지 여부를 나타냅니다.

Type: 불RequireAuthorizationForCacheControl

선택

캐시 무효화 요청에 대한 권한 부여가 필요한지 여부를 나타냅니다.

Type: 불ResourcePath

선택

이 메서드에 대한 리소스 경로입니다. 슬래시 (/) 는 ~ 1로 인코딩됩니다.. 슬래시 (/) 에는 슬래시 (/) 를 포함해야 합니다.

예를 들어, 경로 값 /resource/subresource는 /~1resource~1subresource로 인코딩되어야 합니다.

루트 경로를 지정하려면 슬래시 (/) 만 사용합니다. 별표 (*) 를 와일드카드로 사용하여 메서드 설정을 여러 메서드에 적용할 수 있습니다.

Type: 문자열ThrottlingBurstLimit

선택

메서드에 대한 제한 버스트 제한입니다.

Type: 번호 (i엔테거)ThrottlingRateLimit

선택

메서드에 대한 제한 속도 제한입니다.

Type: 번호UnauthorizedCacheControlHeaderStrategy

선택

캐시 무효화에 대한 무단 요청을 처리하는 방법을 나타냅니다.

Type: 문자열

202


유효한 값:FAIL_WITH_403|SUCCEED_WITH_RESPONSE_HEADER|SUCCEED_WITHOUT_RESPONSE_HEADER

AwsApiGatewayV2Api

이AwsApiGatewayV2Api객체에는 Amazon API Gateway 의 버전 2 API에 대한 정보가 들어 있습니다.

예

"AwsApiGatewayV2Api": { "ApiEndpoint": "https://example.us-west-2.amazonaws.com", "ApiId": "a1b2c3d4", "ApiKeySelectionExpression": "$request.header.x-api-key", "CreatedDate": "2020-03-28T00:32:37Z", "Description": "ApiGatewayV2 Api", "Version": "string", "Name": "my-api", "ProtocolType": "HTTP", "RouteSelectionExpression": "$request.method $request.path", "CorsConfiguration": { "AllowOrigins": [ "*" ], "AllowCredentials": true, "ExposeHeaders": [ "string" ], "MaxAge": 3000, "AllowMethods": [ "GET", "PUT", "POST", "DELETE", "HEAD" ], "AllowHeaders": [ "*" ] }}

AwsApiGatewayV2Api에는 다음과 같은 속성이 있을 수 있습니다.

ApiEndpoint

선택

API의 URI입니다.

Type: 문자열

형식: <api-id>.execute-api.<region>.amazonaws.com

일반적으로 스테이지 이름은 URI에 추가되어 배포된 API 스테이지에 대한 전체 경로를 형성합니다.ApiId

선택

API의 식별자입니다.

Type: 문자열ApiKeySelectionExpression

선택

API 키 선택 표현식입니다. WebSocket API 호출에서만 지원됩니다.

203


Type: 문자열CorsConfiguration (p. 205)

선택

교차 오리진 리소스 공유 (CORS) 구성. HTTP API 호출에서만 지원됩니다.

Type: 객체CreatedDate

선택

API가 생성된 시기를 나타냅니다.

Type: 문자열


예

"CreatedDate": "2017-03-22T13:22:13.933Z"

Description

선택

API에 대한 설명입니다.

Type: 문자열Name

선택

API의 이름입니다.

Type: 문자열ProtocolType

선택

API에 대한 API 프로토콜입니다.

Type: 문자열

유효한 값: WEBSOCKET | HTTPRouteSelectionExpression

선택

API의 라우팅 선택 표현식입니다.

HTTP API 호출의 경우${request.method} ${request.path}. HTTP API 호출의 기본값입니다.

WebSocket API 호출의 경우 기본값이 없습니다.


선택

204



API에 대한 버전 식별자입니다.

Type: 문자열

CorsConfiguration

이CorsConfiguration객체는 API에 대한 CORS (Cross-Origin Resource Sharing) 구성을 포함합니다CORS는 HTTP API 호출에만 지원됩니다.

CorsConfiguration에는 다음과 같은 속성이 있을 수 있습니다.

AllowCredentials

선택

CORS 요청에 자격 증명이 포함되어 있는지 여부를 나타냅니다.

Type: 불AllowHeaders

선택

CORS 요청에 허용되는 헤더입니다.

Type: 문자열 배열AllowMethods

선택

CORS 요청에 대해 허용되는 메소드입니다.

Type: 문자열 배열AllowOrigins

선택

CORS 요청에 허용되는 출처입니다.

Type: 문자열 배열ExposeHeaders

선택

CORS 요청에 대한 노출 된 헤더.

Type: 문자열 배열MaxAge

선택

브라우저가 preflight 요청 결과를 캐시하는 시간 (초) 을 지정합니다.

Type: 번호

AwsApiGatewayV2Stage

AwsApiGatewayV2Stage에는 Amazon API Gateway 의 버전 2 단계에 대한 정보가 들어 있습니다.

205


예

"AwsApiGatewayV2Stage": { "CreatedDate": "2020-04-08T00:36:05Z", "Description" : "ApiGatewayV2", "DefaultRouteSettings": { "DetailedMetricsEnabled": false, "LoggingLevel": "INFO", "DataTraceEnabled": true, "ThrottlingBurstLimit": 100, "ThrottlingRateLimit": 50 }, "DeploymentId": "x1zwyv", "LastUpdatedDate": "2020-04-08T00:36:13Z", "RouteSettings": { "DetailedMetricsEnabled": false, "LoggingLevel": "INFO", "DataTraceEnabled": true, "ThrottlingBurstLimit": 100, "ThrottlingRateLimit": 50 }, "StageName": "prod", "StageVariables": [ "function": "my-prod-function" ], "AccessLogSettings": { "Format": "{\"requestId\": \"$context.requestId\", \"extendedRequestId\": \"$context.extendedRequestId\", \"ownerAccountId\": \"$context.accountId\", \"requestAccountId\": \"$context.identity.accountId\", \"callerPrincipal\": \"$context.identity.caller\", \"httpMethod\": \"$context.httpMethod\", \"resourcePath\": \"$context.resourcePath\", \"status\": \"$context.status\", \"requestTime\": \"$context.requestTime\", \"responseLatencyMs\": \"$context.responseLatency\", \"errorMessage\": \"$context.error.message\", \"errorResponseType\": \"$context.error.responseType\", \"apiId\": \"$context.apiId\", \"awsEndpointRequestId\": \"$context.awsEndpointRequestId\", \"domainName\": \"$context.domainName\", \"stage\": \"$context.stage\", \"xrayTraceId\": \"$context.xrayTraceId\", \"sourceIp\": \"$context.identity.sourceIp\", \"user\": \"$context.identity.user\", \"userAgent\": \"$context.identity.userAgent\", \"userArn\": \"$context.identity.userArn\", \"integrationLatency\": \"$context.integrationLatency\", \"integrationStatus\": \"$context.integrationStatus\", \"authorizerIntegrationLatency\": \"$context.authorizer.integrationLatency\" }", "DestinationArn": "arn:aws:logs:us-west-2:111122223333:log-group:SecurityHubAPIAccessLog/Prod" }, "AutoDeploy": false, "LastDeploymentStatusMessage": "Message", "ApiGatewayManaged": true,}

AwsApiGatewayV2Stage에는 다음과 같은 속성이 있을 수 있습니다.

AccessLogSettings (p. 208)

선택

단계에 대한 액세스를 로깅하는 설정에 대한 정보입니다.

Type: 객체ApiGatewayManaged

선택

스테이지가 API Gateway 의해 관리되는지 여부를 나타냅니다.

206


Type: 불AutoDeploy

선택

API 업데이트에서 새 배포를 자동으로 트리거할지 여부를 나타냅니다.

Type: 불ClientCertificateId

선택

단계의 클라이언트 인증서 식별자입니다. WebSocket API 호출에서만 지원됩니다.

Type: 문자열CreatedDate

선택

스테이지가 만들어진 시기를 나타냅니다.

Type: 문자열


예

"CreatedDate": "2017-03-22T13:22:13.933Z"

DefaultRouteSettings (p. 209)

선택

단계의 기본 라우팅 설정입니다.

Type: 객체DeploymentId

선택

단계가 연결되는 배포의 식별자입니다.


선택


Type: 문자열LastDeploymentStatusMessage

선택

스테이지의 마지막 배포 상태입니다. 스테이지에 자동 배포가 활성화된 경우에만 지원됩니다.

Type: 문자열

207



LastUpdatedDate

선택

단계가 가장 최근에 업데이트된 시기를 나타냅니다.

Type: 문자열


예

"LastUpdatedDate": "2017-03-22T13:22:13.933Z"

RouteSettings (p. 209)

선택

단계의 라우팅 설정입니다.

Type: 객체StageName

선택

단계의 이름입니다.

Type: 문자열StageVariables

선택

단계의 단계 변수를 정의하는 맵입니다.

변수 이름은 다음 문자를 사용할 수 있습니다. A-Z, 0-9 및 _ (밑줄) 입니다.

Type: 문자열 맵

유효한 값:• 대문자와 소문자• 숫자• 특수 문자. _ ~:/? # & =, - (하이픈)

AccessLogSettings

이AccessLogSettings객체에는 스테이지에 대한 액세스를 로깅하기 위한 설정에 대한 정보가 포함되어있습니다.

AccessLogSettings에는 다음과 같은 속성이 있을 수 있습니다.

DestinationArn

선택

액세스 로그를 수신하는 CloudWatch Logs 로그 그룹의 ARN 입니다.

Type: 문자열

208



Format

선택

데이터의 액세스 로그에 대한 한 줄 형식으로 선택한$context변수를 사용합니다. 형식에는 최소한$context.requestId가 포함되어야 합니다.

Type: 문자열

DefaultRouteSettings 및 RouteSettings

이DefaultRouteSettings객체에는 스테이지에 대한 기본 라우팅 설정이 포함되어 있습니다.

이RouteSettings객체에는 단계의 라우팅 설정이 포함되어 있습니다.

이러한 객체에는 다음과 같은 속성이 있을 수 있습니다.

DataTraceEnabled

선택

데이터 추적 로깅이 활성화되는지 여부를 나타냅니다. 데이터 추적 로깅은 CloudWatch Logs 로그에 푸시되는 로그 항목에 영향을 줍니다. WebSocket API 호출에서만 지원됩니다.

Type: 불DetailedMetricsEnabled

선택

세부 지표가 활성화되는지 여부를 나타냅니다.

Type: 불LoggingLevel

선택

로깅 수준입니다. 로깅 수준은 CloudWatch Logs 로그에 푸시되는 로그 항목에 영향을 줍니다.WebSocket API 호출에서만 지원됩니다.

로깅 수준이ERROR인 경우 로그에 오류 수준 항목만 포함됩니다.

로깅 수준이INFO인 경우 로그에는ERROR이벤트 및 추가 정보 이벤트.

Type: 문자열

유효한 값: OFF|ERROR|INFOThrottlingBurstLimit

선택

스로틀링 버스트 한계입니다.

Type: 번호ThrottlingRateLimit

선택

조절 비율 제한입니다.

209


Type: 번호

AwsAutoScalingAutoScalingGroup

이AwsAutoScalingAutoScalingGroup객체는 자동 배율 조정 그룹에 대한 세부 정보를 제공합니다.

예

"AwsAutoScalingAutoScalingGroup": { "CreatedTime": "2017-10-17T14:47:11Z", "HealthCheckGracePeriod": 300, "HealthCheckType": "EC2", "LaunchConfigurationName": "mylaunchconf", "LoadBalancerNames": []}

AwsAutoScalingAutoScalingGroup 객체에는 다음과 같은 속성이 있을 수 있습니다.

CreatedTime

선택

자동 배율 조정 그룹이 생성된 시기를 나타냅니다.

Type: 문자열


HealthCheckGracePeriod

선택

Amazon EC2 Auto Scaling 이 서비스를 시작한 EC2 인스턴스의 상태를 검사하기 전에 대기하는 시간(초) 입니다.

Type: IntegerHealthCheckType

선택

상태 검사에 사용할 서비스입니다.

Type: 문자열

최대 길이: 32

유효한 값: EC2 | ELBLaunchConfigurationName

선택

시작 구성의 이름입니다.

Type: 문자열

최대 길이: 32LoadBalancerNames

선택

210



그룹과 연결된 로드 밸런서 목록입니다.


문자열당 최대 길이:255자

AwsCertificateManagerCertificate

이AwsCertificateManagerCertificate객체에 대한 세부 정보를 제공합니다.AWS CertificateManagerACM (ACM) 인증서를 사용합니다.

예

"AwsCertificateManagerCertificate": { "CertificateAuthorityArn": "arn:aws:acm:us-west-2:444455556666:certificate-authority/example", "CreatedAt": "2019-05-24T18:12:02.000Z", "DomainName": "example.amazondomains.com", "DomainValidationOptions": [ { "DomainName": "example.amazondomains.com", "ResourceRecord": { "Name": "_1bacb61828d3a1020c40a560ceed08f7.example.amazondomains.com", "Type": "CNAME", "Value": "_example.acm-validations.aws." }, "ValidationDomain": "example.amazondomains.com"", "ValidationEmails": [], "ValidationMethod": "DNS", "ValidationStatus": "SUCCESS" } ], "ExtendedKeyUsages": [ { "Name": "TLS_WEB_SERVER_AUTHENTICATION", "OId": "1.3.6.1.5.5.7.3.1" }, { "Name": "TLS_WEB_CLIENT_AUTHENTICATION", "OId": "1.3.6.1.5.5.7.3.2" } ], "FailureReason": "", "ImportedAt": "2018-08-17T00:13:00.000Z", "InUseBy": ["arn:aws:amazondomains:us-west-2:444455556666:loadbalancer/example"], "IssuedAt": "2020-04-26T00:41:17.000Z", "Issuer": "Amazon", "KeyAlgorithm": "RSA-1024", "KeyUsages": [ { "Name": "DIGITAL_SIGNATURE", }, { "Name": "KEY_ENCIPHERMENT", } ], "NotAfter": "2021-05-26T12:00:00.000Z", "NotBefore": "2020-04-26T00:00:00.000Z", "Options": { "CertificateTransparencyLoggingPreference": "ENABLED", } "RenewalEligibility": "ELIGIBLE", "RenewalSummary": {

211


"DomainValidationOptions": [ { "DomainName": "example.amazondomains.com", "ResourceRecord": { "Name": "_1bacb61828d3a1020c40a560ceed08f7.example.amazondomains.com", "Type": "CNAME", "Value": "_example.acm-validations.aws.com", }, "ValidationDomain": "example.amazondomains.com", "ValidationEmails": [], "ValidationMethod": "DNS", "ValidationStatus": "SUCCESS" } ], "RenewalStatus": "SUCCESS", "RenewalStatusReason": "", "UpdatedAt": "2020-04-26T00:41:35.000Z", }, "Serial": "02:ac:86:b6:07:2f:0a:61:0e:3a:ac:fd:d9:ab:17:1a", "SignatureAlgorithm": "SHA256WITHRSA", "Status": "ISSUED", "Subject": "CN=example.amazondomains.com"", "SubjectAlternativeNames": ["example.amazondomains.com"], "Type": "AMAZON_ISSUED"}

AwsCertificateManagerCertificate에는 다음과 같은 속성이 있을 수 있습니다.

CertificateAuthorityArn

선택

인증서를 발급하는 데 사용할 사설 인증 기관 (CA) 의 ARN 입니다.

Type: 문자열CreatedAt

선택

인증서가 요청된 시기를 나타냅니다.

Type: 문자열


예

"CreatedAt": "2017-03-22T13:22:13.933Z"

DomainName

선택

인증서로 보호되는 사이트의 FQDN (Fully Qualified Domain Name) 입니다 (예: www.example.com).

Type: 문자열

최소 길이: 1

최대 길이: 253

212



DomainValidationOptions (p. 216)

선택

결과 발생 하는 각 도메인 이름의 초기 유효성 검사에 대 한 정보를 포함 하는RequestCertificate요청입니다.

인증서 유형이AMAZON_ISSUED.

Type: 객체 배열ExtendedKeyUsages (p. 217)

선택

확장된 키 사용 X.509 v3 확장 개체 목록이 들어 있습니다. 각 개체는 인증서 공개 키를 사용할 수 있는용도를 지정하며 이름과 OID (개체 식별자) 로 구성됩니다.

Type: 객체 배열FailureReason

선택

실패한 인증서 요청의 경우 실패 사유입니다.

Type: 문자열

유효한 값:NO_AVAILABLE_CONTACTS|ADDITIONAL_VERIFICATION_REQUIRED|DOMAIN_NOT_ALLOWED|INVALID_PUBLIC_DOMAIN|DOMAIN_VALIDATION_DENIED|CAA_ERROR|PCA_LIMIT_EXCEEDED|PCA_INVALID_ARN|PCA_INVALID_STATE|PCA_REQUEST_FAILED|PCA_NAME_CONSTRAINTS_VALIDATION|PCA_RESOURCE_NOT_FOUND|PCA_INVALID_ARGS|PCA_INVALID_DURATION|PCA_ACCESS_DENIED|SLR_NOT_FOUND|OTHER

ImportedAt

선택

인증서를 가져온 시기를 나타냅니다. 인증서 유형이IMPORTED.

Type: 문자열


예

"ImportedAt": "2017-03-22T13:22:13.933Z"

InUseBy

선택

의 ARN 목록입니다.AWS리소스를 사용합니다.

Type: 문자열 배열IssuedAt

선택

인증서가 발급된 시기를 나타냅니다. 인증서 유형이AMAZON_ISSUED.

Type: 문자열


213




예

"IssuedAt": "2017-03-22T13:22:13.933Z"

Issuer

선택

인증서를 발급하고 서명한 인증 기관의 이름입니다.

Type: 문자열KeyAlgorithm

선택

퍼블릭-프라이빗 key pair 어를 생성하는 데 사용된 알고리즘입니다.

Type: 문자열

유효한 값: RSA_2048|RSA_1024| RSA_4096|EC_prime256v1|EC_secp384r1|EC_secp521r1KeyUsages (p. 218)

선택

키 사용 X.509 v3 확장 개체 목록입니다.

Type: 객체 배열NotAfter

선택

인증서의 유효 기간이 끝나는 시간입니다.

Type: 문자열


예

"NotAfter": "2017-03-22T13:22:13.933Z"

NotBefore

선택

인증서가 유효하지 않은 기간입니다.

Type: 문자열


예

"NotBefore": "2017-03-22T13:22:13.933Z"

Options (p. 218)

선택

214




인증서를 투명도 로그에 추가할지 여부를 지정하는 값을 제공합니다.

Type: 객체RenewalEligibility

선택

인증서가 갱신할 수 있는지 여부.

Type: 문자열

유효한 값: ELIGIBLE | INELIGIBLERenewalSummary (p. 218)

선택

인증서에 대한 ACM 관리 갱신 상태에 대한 정보입니다. 인증서 유형이AMAZON_ISSUED.

Type: 객체Serial

선택

인증서의 일련 번호입니다.

Type: 문자열SignatureAlgorithm

선택

인증서에 서명하기 위해 사용된 알고리즘입니다.

Type: 문자열Status

선택

인증서의 상태입니다.

Type: 문자열

유효한 값:PENDING_VALIDATION|ISSUED|INACTIVE|EXPIRED|VALIDATION_TIMED_OUT|REVOKED|FAILED

Subject

선택

인증서에 포함된 퍼블릭 키와 연결되는 엔터티의 이름입니다.

Type: 문자열SubjectAlternativeNames

선택

인증서에 포함된 하나 이상의 도메인 이름 (주체 대체 이름) 입니다. 이 목록에는 인증서에 포함된 공개키에 바인딩된 도메인 이름이 포함되어 있습니다.

주체 대체 이름에는 인증서의 CN (정식 도메인 이름) 과 웹 사이트에 연결하는 데 사용할 수 있는 추가도메인 이름이 포함됩니다.


215


최소 항목 수: 1

최대 항목 수: 100

아이템당 최소 길이: 1

아이템당 최대 길이: 253Type

선택

인증서의 원본입니다. ACM이 제공하는 인증서의 경우TypeisAMAZON_ISSUED. 를 사용하여 가져온 인증서의 경우ImportCertificate,TypeisIMPORTED.

Type: 문자열

유효한 값: IMPORTED|AMAZON_ISSUED|PRIVATE

DomainValidationOptions

이DomainValidationOptions개체에는 다음 중 하나에 대한 정보가 들어 있습니다.

• 의 결과로 발생 하는 각 도메인 이름의 초기 유효성 검사RequestCertificate요청• ACM 관리 갱신과 관련된 인증서에서 각 도메인 이름의 유효성 검사

DomainValidationOptions에는 다음과 같은 속성이 있을 수 있습니다.

DomainName

선택

인증서의 전체 주소 도메인 이름 (FQDN) 입니다.

Type: 문자열ResourceRecord

선택

도메인 유효성 검사를 위해 DNS 데이터베이스에 추가된 CNAME 레코드입니다.

Type: 객체ValidationDomain

선택

ACM에서 도메인 유효성 검사 이메일을 보내는 데 사용하는 도메인 이름입니다.

Type: 문자열ValidationEmails

선택

ACM에서 도메인 유효성 검사 이메일을 보내는 데 사용하는 이메일 주소 목록입니다.

Type: 문자열 배열ValidationMethod

선택

216


도메인 이름을 검증하는 데 사용되는 방법입니다.

Type: 문자열ValidationStatus

선택

도메인 이름의 유효성 검사 상태입니다.

Type: 문자열

ResourceRecord에서는 리소스에 대한 다음과 같은 세부 정보를 제공합니다.

Name

선택

리소스의 이름입니다.

Type: 문자열Type

선택

리소스의 유형입니다.

Type: 문자열Value

선택

리소스의 값입니다.

Type: 문자열

ExtendedKeyUsages

ExtendedKeyUsages에는 확장 키 사용 X.509 v3 확장 개체 목록이 포함되어 있습니다.

각 확장 객체에는 다음과 같은 속성이 있을 수 있습니다.

Name

선택

확장자 값의 이름입니다. 인증서 공개 키를 사용할 수 있는 용도를 나타냅니다.

Type: 문자열Oid

선택

확장 값에 대한 OID (객체 식별자) 입니다.

Type: 문자열

형식: 마침표로 구분된 숫자

예

217


"OId": "1.3.6.1.5.5.7.3.1"

KeyUsages

이KeyUsages객체에는 키 사용 X.509 v3 확장 객체 목록이 포함되어 있습니다.

각 확장 객체에는 다음과 같은 속성이 있을 수 있습니다.

Name

선택

키 사용 확장자 이름입니다.

Type: 문자열

Options

이Options개체에는 인증서에 대한 다른 옵션이 포함되어 있습니다.

현재 유일한 옵션은 인증서를 투명도 로그에 추가할지 여부를 나타냅니다.

Options에는 다음과 같은 속성이 있을 수 있습니다.

CertificateTransparencyLoggingPreference

선택

투명성 로그에 인증서를 추가할지 여부입니다.

Type: 문자열

유효한 값: DISABLED | ENABLED

RenewalSummary

이RenewalSummary객체에는 ACM 관리형 갱신에 대한 정보가 들어 있습니다.AMAZON_ISSUED인증서입니다.

RenewalSummary에는 다음과 같은 속성이 있을 수 있습니다.

DomainValidationOptions (p. 216)

선택

ACM 관리 갱신과 관련된 인증서의 각 도메인 이름 유효성 검사에 대한 정보입니다. 인증서 유형이AMAZON_ISSUED.

Type: 객체 배열RenewalStatus

선택

인증서의 ACM 관리형 갱신 상태입니다.

Type: 문자열

유효한 값: PENDING_AUTO_RENEWAL|PENDING_VALIDATION|SUCCESS|FAILED

218


RenewalStatusReason

선택

갱신 요청이 실패한 이유입니다.

Type: 문자열

유효한 값:NO_AVAILABLE_CONTACTS|ADDITIONAL_VERIFICATION_REQUIRED|DOMAIN_NOT_ALLOWED|INVALID_PUBLIC_DOMAIN|DOMAIN_VALIDATION_DENIED|CAA_ERROR|PCA_LIMIT_EXCEEDED|PCA_INVALID_ARN|PCA_INVALID_STATE|PCA_REQUEST_FAILED|PCA_NAME_CONSTRAINTS_VALIDATION|PCA_RESOURCE_NOT_FOUND|PCA_INVALID_ARGS|PCA_INVALID_DURATION|PCA_ACCESS_DENIED|SLR_NOT_FOUND|OTHER

UpdatedAt

선택

갱신 요약이 마지막으로 업데이트된 시기를 나타냅니다.

Type: 문자열


예

"UpdatedAt": "2017-03-22T13:22:13.933Z"

AwsCloudFrontDistributionAwsCloudFrontDistribution 객체는 배포 구성에 대한 세부 정보를 제공합니다.

여기에는 다음과 같은 속성이 있습니다.

CacheBehaviors (p. 220)

선택

배포의 캐시 구성에 대한 정보를 제공합니다.

Type: 객체DefaultCacheBehavior (p. 221)

선택

구성에 대한 기본 캐시 동작입니다.

Type: 객체DefaultRootObject

선택

최종 사용자가 배포의 객체 가 아닌 배포의 루트 URL을 요청할 때 CloudFront t가 오리진 요청에 응답하여 전송하는 객체입니다. 예를 들어, index.html 요청에 대한 응답으로 뷰어는 http://www.example.com대신 을 요청합니다. http://www.example.com/product-description.html

Type: 문자열DomainName

선택

배포에 해당하는 도메인 이름.

219



Type: 문자열Etag

선택

개체 태그는 객체의 해시입니다.

Type: 문자열LastModifiedTime

선택

배포를 마지막으로 수정한 시기를 나타냅니다.

Type: 문자열


Logging (p. 221)

선택

배포에 대해 액세스 로그를 기록할지 결정하는 복합 형식입니다.

Type: 객체OriginGroups (p. 222)

선택

배포의 원본 그룹에 대한 정보를 제공합니다.

Type: 객체Origins (p. 222)

선택

이 배포의 오리진 및 오리진 그룹에 대한 정보가 포함된 복합 형식입니다.


선택

배포의 현재 상태를 나타냅니다.

Type: 문자열WebAclId

선택

이 배포와 연결할 AWS WAF 웹 ACL(있는 경우)을 지정하는 고유 식별자입니다.

Type: 문자열

CacheBehaviors

이CacheBehaviors객체는 배포의 캐시에 대한 정보를 제공합니다. 이CacheBehaviors개체에 포함된Items객체의 배열입니다. 이Items객체는 캐시 동작을 나타냅니다.

220



의 각 객체Items에는 다음과 같은 속성이 있을 수 있습니다.

ViewerProtocolPolicy

선택

뷰어가 오리진에 있는 파일에 액세스하기 위해 사용할 수 있는 프로토콜입니다. 다음과 같은 옵션을 지정할 수 있습니다.• allow-all— 사용자가 HTTP 또는 HTTPS를 사용할 수 있습니다.• redirect-to-https— CloudFront HTTP 상태 코드 301 (영구적으로 이동됨) 과 HTTPS URL을 사

용하여 HTTP 요청에 응답합니다. 그런 다음 뷰어는 새 URL을 사용하여 다시 제출합니다.• https-only— CloudFront HTTP 상태 코드 403 (금지됨) 으로 HTTP 요청에 응답합니다.

Type: 문자열

유효한 값: allow-all|https-only|redirect-to-https

DefaultCacheBehavior

이DefaultCacheBehavior객체에는 배포의 기본 캐시 구성에 대한 정보가 들어 있습니다.

DefaultCacheBehavior에는 다음과 같은 속성이 있을 수 있습니다.

ViewerProtocolPolicy

선택

뷰어가 오리진에 있는 파일에 액세스하기 위해 사용할 수 있는 프로토콜입니다. 다음과 같은 옵션을 지정할 수 있습니다.• allow-all— 사용자가 HTTP 또는 HTTPS를 사용할 수 있습니다.• redirect-to-https— CloudFront HTTP 상태 코드 301 (영구적으로 이동됨) 과 HTTPS URL을 사

용하여 HTTP 요청에 응답합니다. 그런 다음 뷰어는 새 URL을 사용하여 다시 제출합니다.• https-only— CloudFront HTTP 상태 코드 403 (금지됨) 으로 HTTP 요청에 응답합니다.

Type: 문자열

유효한 값: allow-all|https-only|redirect-to-https

Logging

Logging 객체는 배포의 로깅에 대한 정보를 제공합니다.


Bucket

선택

액세스 로그를 저장할 Amazon S3 버킷입니다.

Type: 문자열Enabled

선택

이 필드에서 선택한 배포를 활성화하거나 비활성화할 수 있습니다.

Type: 불

221


IncludeCookies

선택

CloudFront가 액세스 로그에 쿠키를 포함할지 여부를 지정합니다.

Type: 불Prefix

선택

CloudFront 가 이 배포에 대한 액세스 로그 파일 이름에 접두사로 추가하도록 하려는 선택적 문자열.

Type: 문자열

OriginGroups

이OriginGroups객체에는 배포의 원본 그룹에 대한 정보가 들어 있습니다.

구조는 다음과 같습니다.

"OriginGroups": { "Items": [ { "FailoverCriteria": { "StatusCodes": { "Items": [ number ], "Quantity": number } } } ]},

OriginGroups에 있는Items객체의 배열입니다. 각 오브젝트는 오리진 그룹을 나타냅니다.

각 Items 객체에는 FailoverCriteria 객체가 포함됩니다. 이FailoverCriteria개체는 원본 그룹이장애 조치되는 시기에 대한 정보를 제공합니다.

이FailoverCriteria객체는StatusCodes객체입니다.StatusCodes은 장애 조치의 원인이 되는 상태코드를 나타냅니다.

Items

선택

다음 원본으로 페일오버를 발생시킬 수 있는 상태 코드 값 목록입니다.

Type: 숫자의 배열.Quantity

선택

장애 조치를 일으킬 수 있는 상태 코드의 수입니다.

Type: 번호

Origins

Origins 객체에는 이 배포의 오리진 및 오리진 그룹에 대한 정보가 포함됩니다.

222


여기에는 다음과 같은 속성이 포함될 수 있습니다.

Items

선택

이 배포에 대한 오리진 또는 오리진 그룹이 포함된 복합 형식.

Type: 객체 배열


DomainName

선택

Amazon S3 오리진: CloudFront 가 이 오리진에 대한 객체를 가져오게 하려는 S3 버킷의 DNS 이름입니다.

Type: 문자열Id

선택

오리진 또는 오리진 그룹의 고유 식별자입니다.

Type: 문자열OriginPath

선택

CloudFront 가 S3 버킷 또는 사용자 지정 오리진의 디렉터리에서 콘텐츠를 요청하게 하는 요소 (옵션)입니다.

Type: 문자열S3OriginConfig

선택

정적 웹 사이트 호스팅으로 구성되지 않은 S3 버킷인 오리진입니다.

Type: 객체

S3OriginConfig에는 다음과 같은 속성이 있을 수 있습니다.

OriginAccessIdentity

선택

오리진과 연결할 CloudFront 오리진 액세스 ID입니다.

Type: 문자열

AwsCloudTrailTrail

이AwsCloudTrailTrail객체는 CloudTrail 트레일에 대한 세부 정보를 제공합니다.

예

223


"AwsCloudTrailTrail": { "CloudWatchLogsLogGroupArn": "arn:aws:logs:us-west-2:123456789012:log-group:CloudTrail/regression:*", "CloudWatchLogsRoleArn": "arn:aws:iam::866482105055:role/CloudTrail_CloudWatchLogs", "HasCustomEventSelectors": true, "HomeRegion": "us-west-2", "IncludeGlobalServiceEvents": true, "IsMultiRegionTrail": true, "IsOrganizationTrail": false, "KmsKeyId": "kmsKeyId", "LogFileValidationEnabled": true, "Name": "regression-trail", "S3BucketName": "cloudtrail-bucket", "S3KeyPrefix": "s3KeyPrefix", "SnsTopicArn": "arn:aws:sns:us-east-2:123456789012:MyTopic", "SnsTopicName": "snsTopicName", "TrailArn": "arn:aws:cloudtrail:us-west-2:123456789012:trail"}

AwsCloudTrailTrail에는 다음과 같은 속성이 있을 수 있습니다.

CloudWatchLogsLogGroupArn

선택

CloudTrail 로그가 전달되는 로그 그룹의 ARN 입니다.

Type: 문자열CloudWatchLogsRoleArn

선택

CloudWatch Logs 엔드포인트가 로그 그룹에 쓸 때 가정하는 역할의 ARN 입니다.

Type: 문자열HasCustomEventSelectors

선택

트레일에 사용자 정의 이벤트 선택기가 있는지 여부를 나타냅니다.

Type: 불HomeRegion

선택

트레일이 생성된 지역입니다.

Type: 문자열IncludeGlobalServiceEvents

선택

추적이 전역적 서비스 (예: IAM) 에서 로그 파일로 이벤트를 게시할지 여부를 나타냅니다.

Type: 불IsMultiRegionTrail

선택

224


추적이 현재 리전에 적용되는지 또는 모든 리전에 적용되는지를 나타냅니다.

Type: 불IsOrganizationTrail

선택

에서 조직의 모든 계정에 대해 추적을 생성할지 여부를 지정합니다.AWS Organizations의 경우 또는 현재AWS계정을 반환합니다.

Type: 불KmsKeyId

선택

이AWS KMS로그 암호화에 사용할 키 ID입니다.

Type: 문자열LogFileValidationEnabled

선택

CloudTrail 로그 파일 검증이 활성화되어 있는지 여부를 나타냅니다.

Type: 불Name

선택

추적의 이름을 지정합니다.

Type: 문자열S3BucketName

선택

로그 파일이 게시되는 S3 버킷의 이름입니다.

Type: 문자열

최소 길이: 3

최대 길이: 63S3KeyPrefix

선택

S3 key prefix. key prefix 로그 파일이 게시되는 S3 버킷의 이름 뒤에 추가됩니다.

Type: 문자열

최대 길이: 200SnsTopicArn

선택

로그 파일 전송의 알림에 사용되는 SNS 주제의 ARN 입니다.

Type: 문자열

225


SnsTopicName

선택

로그 파일 전송의 알림에 사용되는 SNS 주제의 이름입니다.

Type: 문자열

최대 길이: 255TrailArn

선택

추적의 ARN.

Type: 문자열

AwsCodeBuildProjectAwsCodeBuildProject 객체는 AWS CodeBuild 프로젝트에 대한 정보를 제공합니다.

예

"AwsCodeBuildProject": { "EncryptionKey": "my-symm-key", "Environment": { "Type": "LINUX_CONTAINER", "Certificate": "myX509", "ImagePullCredentialsType": "CODEBUILD", "RegistryCredential": { "Credential": "my_dockerhub_secret", "CredentialProvider": "SECRETS_MANAGER" } }, "Name": "my-cd-project", "Source": { "Type": "CODECOMMIT", "Location": "https://git-codecommit.us-east-2.amazonaws.com/v1/repos/MyDemoRepo", "GitCloneDepth": 1 }, "ServiceRole": "arn:aws:iam:myrole", "VpcConfig": { "VpcId": "vpc-1234456", "Subnets": ["sub-12344566"], "SecurityGroupIds": ["sg-123456789012"] }}

AwsCodeBuildProject 객체에는 다음과 같은 속성이 있을 수 있습니다.

EncryptionKey

선택

빌드 출력 아티팩트를 암호화하는 데 사용할 AWS KMS 고객 마스터 키(CMK)입니다.Note

해당 서비스 역할에 해당 키에 대한 권한이 있을 경우 교차 계정 KMS 키를 사용하여 빌드 출력결과물을 암호화할 수 있습니다.

CMK의 ARN 또는 사용 가능한 경우 CMK 별칭(위위/위위-위위 형식)을 지정할 수 있습니다.

226


Type: 문자열

최소 길이: 1Environment (p. 227)

선택

이 빌드 프로젝트의 빌드 환경에 대한 정보입니다.

Type: 객체Name

선택

빌드 프로젝트의 이름입니다.

Type: 문자열

최소 길이: 2

최대 길이: 255

Pattern: [A-Za-z0-9] [A-Za-z0-9}ServiceRole

선택

CodeBuild 가 종속과 상호 작용하는 데 사용할 수 있는 IAM 역할의 ARN 입니다.AWS서비스를 대신하여AWS계정을 반환합니다.

Type: 문자열

최소 길이: 1Source (p. 229)

선택

이 빌드 프로젝트의 빌드 입력 소스 코드에 대한 정보입니다.

Type: 객체VpcConfig (p. 230)

선택

CodeBuild 에서 액세스하는 VPC 구성에 대한 정보입니다.

Type: 객체

Environment

Environment 객체는 빌드 프로젝트의 빌드 환경에 대한 정보를 제공합니다.


Certificate

선택

이 빌드 프로젝트에 사용할 인증서입니다.

227


Type: 문자열ImagePullCredentialsType

선택

CodeBuild 내 이미지를 가져오는 데 사용하는 자격 증명 유형입니다. 두 가지 값을 사용할 수 있습니다.

CODEBUILD는 CodeBuild 가 자체 자격 증명을 사용하도록 지정합니다. 이렇게 하려면 CodeBuild 서비스 보안 주체를 신뢰하도록 ECR 리포지토리 정책을 수정해야 합니다.

SERVICE_ROLE은 CodeBuild 가 빌드 프로젝트의 서비스 역할을 사용하도록 지정합니다.

교차 계정 또는 프라이빗 레지스트리 이미지를 사용할 경우 SERVICE_ROLE 자격 증명을 사용해야 합니다. CodeBuild 큐레이트 이미지를 사용할 경우CODEBUILD자격 증명.

Type: 문자열

유효한 값: CODEBUILD | SERVICE_ROLERegistryCredential

선택

프라이빗 레지스트리에 액세스하기 위한 자격 증명입니다.

Type: 객체Type

필수

관련 빌드에 사용할 빌드 환경의 유형입니다.

Type: 문자열

유효한 값: WINDOWS_CONTAINER|LINUX_CONTAINER|LINUX_GPU_CONTAINER|ARM_CONTAINER

RegistryCredentials 객체의 각 레지스트리 자격 증명에는 다음과 같은 속이 있습니다.

Credential

필수

AWS Secrets Manager를 사용하여 생성한 자격 증명의 ARN 또는 이름입니다.

Note

자격 증명은 자격 증명의 이름만 현재 자격 증명의 이름만 사용할 수 있습니다.AWS리전.

Type: 문자열

최소 길이: 1CredentialProvider

필수

프라이빗 Docker 레지스트리를 액세스하기 위한 자격 증명을 생성한 서비스입니다. 유효한 값인SECRETS_MANAGER, Secrets Manager 를위한 것입니다.

Type: 문자열

유효한 값: SECRETS_MANAGER

228


Source

Source 객체는 이 빌드 프로젝트의 빌드 입력 소스 코드에 대한 정보를 제공합니다.


GitCloneDepth

선택

빌드 프로젝트의 Git 복제 깊이에 대한 정보입니다.

Type: Integer

최소값 0Location

선택

빌드할 소스 코드의 위치에 대한 정보입니다.

Type: 문자열

유효한 값:• AWS CodePipeline에서 파이프라인의 소스 작업에 지정된 소스 코드 설정의 경우 location을 지정

해서는 안 됩니다. 이 값을 지정하면 CodePipeline 에서 이를 무시합니다. 이는 CodePipeline 이 이 값대신 파이프라인 소스 작업의 설정을 사용하기 때문입니다.

• 소스 코드의 경우AWS CodeCommit리포지토리에서 HTTPS가 소스 코드 및 빌드 사양 파일을 포함하는 리포지토리에 URL을 복제합니다 (예:https://git-codecommit.region-ID.amazonaws.com/v1/repos/repo-name).

• S3 입력 버킷에 있는 소스 코드의 경우 다음 중 하나입니다.• 의 경로입니다..zip소스 코드가 들어 있는 파일 (예:bucket-name/path/to/object-name.zip).

• 소스 코드가 들어 있는 폴더의 경로(예: bucket-name/path/to/source-code/folder/).• GitHub 리포지토리의 소스 코드의 경우, 소스 코드 및 빌드 사양 파일이 포함되어 있는 리포지토리에

대한 HTTPS 복제 URL입니다.• Bitbucket 리포지토리의 소스 코드의 경우, 소스 코드 및 빌드 사양 파일이 포함되어 있는 리포지토리

에 대한 HTTPS 복제 URL입니다.Type

필수

빌드할 소스 코드가 포함된 리포지토리의 유형입니다.

Type: 문자열

유효한 값:• BITBUCKET소스 코드가 Bitbucket 리포지토리에 있습니다.

CODECOMMIT소스 코드가 CodeCommit 리포지토리에 있습니다.

CODEPIPELINE소스 코드 설정이 CodePipeline Pipeline의 파이프라인 소스 작업에 지정됩니다.

GITHUB소스 코드는 GitHub 리포지토리에 있습니다.

GITHUB_ENTERPRISE소스 코드는 GitHub Enterprise 리포지토리에 있습니다.

NO_SOURCE프로젝트에 입력 소스 코드가 없습니다.

229


S3소스 코드가 Amazon S3 입력 버킷에 있습니다.

VpcConfig

이VpcConfig객체는 CodeBuild 가 액세스하는 VPC 구성에 대한 정보를 제공합니다.


SecurityGroupIds

선택

해당 Amazon VPC 한 개 이상 보안 그룹 ID의 목록입니다.


배열 멤버 최대 항목 수 5

아이템당 최소 길이: 1Subnets

선택

해당 Amazon VPC의 한 개 이상 서브넷 ID의 목록입니다.


최대 문자열 수 16

아이템당 최소 길이: 1VpcId

선택

VPC의 ID입니다.

Type: 문자열

최소 길이: 1

AwsDynamoDbTable

이AwsDynamoDbTable객체는 DynamoDB 테이블에 대한 세부 정보를 제공합니다.

예

"AwsDynamoDbTable": { "AttributeDefinitions": [ { "AttributeName": "attribute1", "AttributeType": "value 1" }, { "AttributeName": "attribute2", "AttributeType": "value 2" }, { "AttributeName": "attribute3", "AttributeType": "value 3"

230


} ], "BillingModeSummary": { "BillingMode": "PAY_PER_REQUEST", "LastUpdateToPayPerRequestDateTime": "2019-12-03T15:23:10.323Z" }, "CreationDateTime": "2019-12-03T15:23:10.248Z", "GlobalSecondaryIndexes": [ { "Backfilling": false, "IndexArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/index/exampleIndex", "IndexName": "standardsControlArnIndex", "IndexSizeBytes": 1862513, "IndexStatus": "ACTIVE", "ItemCount": 20, "KeySchema": [ { "AttributeName": "City", "KeyType": "HASH" }, { "AttributeName": "Date", "KeyType": "RANGE" } ], "Projection": { "NonKeyAttributes": ["predictorName"], "ProjectionType": "ALL" }, "ProvisionedThroughput": { "LastIncreaseDateTime": "2019-03-14T13:21:00.399Z", "LastDecreaseDateTime": "2019-03-14T12:47:35.193Z", "NumberOfDecreasesToday": 0, "ReadCapacityUnits": 100, "WriteCapacityUnits": 50 }, } ], "GlobalTableVersion": "V1", "ItemCount": 2705, "KeySchema": [ { "AttributeName": "zipcode", "KeyType": "HASH" } ], "LatestStreamArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/stream/2019-12-03T23:23:10.248", "LatestStreamLabel": "2019-12-03T23:23:10.248", "LocalSecondaryIndexes": [ { "IndexArn": "arn:aws:dynamodb:us-east-1:111122223333:table/exampleGroup/index/exampleId", "IndexName": "CITY_DATE_INDEX_NAME", "KeySchema": [ { "AttributeName": "zipcode", "KeyType": "HASH" } ], "Projection": { "NonKeyAttributes": ["predictorName"], "ProjectionType": "ALL" }, }

231


], "ProvisionedThroughput": { "LastIncreaseDateTime": "2019-03-14T13:21:00.399Z", "LastDecreaseDateTime": "2019-03-14T12:47:35.193Z", "NumberOfDecreasesToday": 0, "ReadCapacityUnits": 100, "WriteCapacityUnits": 50 }, "Replicas": [ { "GlobalSecondaryIndexes":[ { "IndexName": "CITY_DATE_INDEX_NAME", "ProvisionedThroughputOverride": { "ReadCapacityUnits": 10 } } ], "KmsMasterKeyId" : "KmsMasterKeyId" "ProvisionedThroughputOverride": { "ReadCapacityUnits": 10 }, "RegionName": "regionName", "ReplicaStatus": "CREATING", "ReplicaStatusDescription": "replicaStatusDescription" } ], "RestoreSummary" : { "SourceBackupArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable/backup/backup1", "SourceTableArn": "arn:aws:dynamodb:us-west-2:111122223333:table/exampleTable", "RestoreDateTime": "2020-06-22T17:40:12.322Z", "RestoreInProgress": true }, "SseDescription": { "InaccessibleEncryptionDateTime": "2018-01-26T23:50:05.000Z", "Status": "ENABLED", "SseType": "KMS", "KmsMasterKeyArn": "arn:aws:kms:us-east-1:111122223333:key/key1" }, "StreamSpecification" : { "StreamEnabled": true, "StreamViewType": "NEW_IMAGE" }, "TableId": "example-table-id-1", "TableName": "example-table", "TableSizeBytes": 1862513, "TableStatus": "ACTIVE"}


AttributeDefinitions (p. 235)

선택

테이블에 대한 속성 정의 목록입니다.

Type: 객체의 배열입니다.BillingModeSummary (p. 235)

선택

테이블의 읽기/쓰기 용량에 대한 청구에 대한 정보입니다.

232


Type: 객체CreationDateTime

선택

테이블 생성 시기를 나타냅니다.

Type: 문자열


예

"CreationDateTime": "2020-06-22T17:40:12.322Z"

GlobalSecondaryIndexes (p. 236)

선택

테이블에 대한 글로벌 보조 인덱스 목록입니다.

Type: 객체 배열GlobalTableVersion

선택

사용되는 전역 테이블의 버전입니다.

Type: 문자열ItemCount

선택

테이블의 항목 수입니다.

Type: 번호KeySchema (p. 237)

선택

테이블의 기본 키 구조입니다.

Type: 객체 배열LatestStreamArn

선택

테이블에 대한 최신 스트림의 ARN 입니다.

Type: 문자열LatestStreamLabel

선택

최신 스트림의 레이블입니다. 레이블은 고유한 식별자가 아닙니다.

Type: 문자열

233



LocalSecondaryIndexes (p. 237)

선택

테이블의 로컬 보조 인덱스 목록입니다.

Type: 객체 배열ProvisionedThroughput (p. 238)

선택

테이블의 프로비저닝된 처리량에 대한 정보입니다.

Type: 객체Replicas (p. 239)

선택

이 테이블의 복제본 목록입니다.

Type: 객체 배열RestoreSummary (p. 241)

선택

복원에 대한 정보 테이블에 대해 설명합니다.

Type: 객체SseDescription (p. 242)

선택

테이블의 서버 측 암호화에 대한 정보입니다.

Type: 객체StreamSpecification (p. 242)

선택

테이블에 대한 현재 DynamoDB Streams 구성입니다.

Type: 객체TableId

선택

테이블의 식별자입니다.

Type: 문자열TableName

선택

테이블의 이름.

Type: 문자열

최소 길이: 3

234


최대 길이: 255TableSizeBytes

선택

테이블의 총 크기 (바이트) 입니다.

Type: IntegerTableStatus

선택

테이블의 현재 상태입니다.

Type: 문자열

유효한 값:CREATING|UPDATING|DELETING|ACTIVE|INACCESSIBLE_ENCRYPTION_CREDENTIALS|ARCHIVING|ARCHIVED

AttributeDefinitions

이AttributeDefinitions객체에는 테이블에 대한 속성 정의의 목록이 포함되어 있습니다.


AttributeName

선택

속성의 이름입니다.

Type: 문자열AttributeType

선택

속성의 유형입니다.

Type: 문자열

BillingModeSummary

이BillingModeSummary개체는 테이블의 읽기/쓰기 용량 청구에 대한 정보를 제공합니다.


BillingMode

선택

읽기 및 쓰기 처리량에 대한 청구 및 용량 관리에 사용되는 방법입니다.

Type: 문자열

유효한 값: PROVISIONED | PAY_PER_REQUESTLastUpdateToPayPerRequestDateTime

선택

235


결제 모드가PAY_PER_REQUEST는 결제 모드가 해당 값으로 설정된 시기를 나타냅니다.

Type: 문자열


예

"LastUpdateToPayPerRequestDateTime": "2020-06-22T17:40:12.322Z"

GlobalSecondaryIndexes

이GlobalSecondaryIndexes개체에는 테이블에 대한 글로벌 보조 인덱스 목록이 포함되어 있습니다.


Backfilling

선택

인덱스가 현재 채우기 여부.

Type: 불IndexArn

선택

인덱스의 ARN 입니다.

Type: 문자열IndexName

선택

인덱스의 이름입니다.

Type: 문자열IndexSizeBytes

선택

인덱스의 총 크기 (바이트) 입니다.

Type: 번호IndexStatus

선택

인덱스의 현재 상태입니다.

Type: 문자열

유효한 값: CREATING|UPDATING|DELETING|ACTIVEItemCount

선택

236



인덱스에 있는 항목 수입니다.

Type: 번호KeySchema (p. 237)

선택

인덱스의 키 스키마.

Type: 객체 배열Projection (p. 238)

선택

테이블에서 인덱스로 복사되는 속성입니다.

Type: 객체ProvisionedThroughput (p. 238)

선택

인덱스의 프로비저닝 처리량 설정에 대한 정보입니다.

Type: 객체

KeySchema

이KeySchema객체에는 테이블의 키 스키마, 글로벌 보조 인덱스 또는 로컬 보조 인덱스가 포함됩니다.

키 스키마의 각 구성요소에는 다음과 같은 속성이 있을 수 있습니다.

AttributeName

선택


Type: 문자열KeyType

선택

속성에 사용되는 키의 유형입니다.

Type: 문자열

유효한 값: HASH | RANGE

LocalSecondaryIndexes

LocalSecondaryIndexes에는 다음과 같은 속성이 있을 수 있습니다.

IndexArn

선택

인덱스의 ARN 입니다.

Type: 문자열

237


IndexName

선택


Type: 문자열

최소 길이: 3

최대 길이: 255KeySchema (p. 237)

선택

인덱스의 전체 키 스키마.

Type: 객체 배열Projection (p. 238)

선택

테이블에서 인덱스로 복사되는 속성입니다. 기본 키 속성 및 인덱스 키 속성 외에 이러한 속성도 자동으로 프로젝션됩니다.

Type: 객체

Projection(글로벌 및 로컬 보조 인덱스의 경우)

글로벌 및 로컬 보조 인덱스의 경우Projection객체는 테이블에서 인덱스로 복사되는 특성을 식별합니다.


NonKeyAttributes

선택

인덱스로 프로젝션되는 키가 아닌 속성입니다. 각 속성에 대해 속성 이름을 제공합니다.



속성당 최소 길이: 1

속성당 최대 길이: 225ProjectionType

선택

인덱스로 프로젝션되는 속성의 유형입니다.

Type: 문자열

유효한 값: ALL|KEYS_ONLY|INCLUDE

ProvisionedThroughput

이ProvisionedThroughput개체에는 테이블 또는 글로벌 보조 인덱스의 프로비저닝된 처리량에 대한 정보가 들어 있습니다.

238



LastDecreaseDateTime

선택

프로비저닝된 처리량이 마지막으로 감소한 시기를 나타냅니다.

Type: 문자열


예

"LastDecreaseDateTime": "2020-06-22T17:40:12.322Z"

LastIncreaseDateTime

선택

프로비저닝된 처리량이 마지막으로 증가한 시기를 나타냅니다.

Type: 문자열


예

"LastIncreaseDateTime": "2020-06-22T17:40:12.322Z"

NumberOfDecreasesToday

선택

현재 UTC 달력 일 동안 프로비저닝된 처리량이 감소한 횟수입니다.

Type: 번호ReadCapacityUnits

선택

DynamoDB가 ThrottlingException을 반환하기 전에 초당 사용되는 Strongly Consistent Read의최대 수입니다.

Type: 번호WriteCapacityUnits

선택

DynamoDB가 ThrottlingException을 반환하기 전에 초당 사용되는 최대 쓰기 수입니다.

Type: 번호

Replicas

이Replicas객체에는 이 테이블의 복제본 목록이 포함되어 있습니다.

239




각 복제본에는 다음과 같은 속성이 있을 수 있습니다.

GlobalSecondaryIndexes

선택

복제본에 대한 글로벌 보조 인덱스 목록입니다.

Type: 객체 배열GlobalSecondaryIndexes.IndexName

선택


Type: 문자열GlobalSecondaryIndexes.ProvisionedThroughputOverride

선택

인덱스의 프로비저닝된 처리량에 대한 복제본별 구성입니다.

Type: 객체KmsMasterKeyID

선택

의 식별자입니다.AWS KMS사용할 고객 마스터 키 (CMK) 를 위한AWS KMS복제본에 대한 암호화입니다.

Type: 문자열ProvisionedThroughputOverride

선택

프로비저닝된 처리량에 대한 복제본별 구성입니다.

Type: 객체RegionName

선택

복제본이 위치한 리전의 이름입니다.

Type: 문자열ReplicaStatus

선택

복제본의 현재 상태입니다.

Type: 문자열

유효한 값: CREATING|CREATION_FAILED|UPDATING|DELETING|ACTIVEReplicaStatusDescription

선택

복제본 상태에 대한 자세한 정보입니다.

240


Type: 문자열

이ProvisionedThroughputOverride개체는 테이블 또는 글로벌 보조 인덱스의 프로비저닝된 처리량에대한 복제본별 구성을 제공합니다.


ReadCapacityUnits

선택

복제본의 읽기 용량 단위입니다.

Type: 번호

최소값 1

RestoreSummary

이RestoreSummary객체는 테이블의 복원에 대한 정보를 제공합니다.


RestoreDateTime

선택

테이블이 복원된 시점을 나타냅니다.

Type: 문자열


예

"RestoreDateTime": "2020-06-22T17:40:12.322Z"

RestoreInProgress

선택

복원이 현재 진행되고 있는지 여부입니다.

Type: 불SourceBackupArn

선택

테이블이 복원된 소스 백업의 ARN 입니다.

Type: 문자열SourceTableArn

선택

백업에 대한 소스 테이블의 ARN 입니다.

Type: 문자열

241



SseDescription

이SseDescription객체는 테이블의 서버 측 암호화에 대한 정보를 제공합니다.


InaccessibleEncryptionDateTime

선택

키에 액세스할 수 없는 경우 DynamoDB 가 키에 액세스할 수 없음을 감지한 날짜 및 시간입니다.

Type: 문자열


예

"InaccessibleEncryptionDateTime": "2020-06-22T17:40:12.322Z"

KmsMasterKeyArn

선택

의 ARN 입니다.AWS KMS고객 마스터 키 (CMK) 를 사용하는AWS KMS암호화를 사용합니다.

Type: 문자열SseType

선택

서버 측 암호화의 유형입니다.

Type: 문자열

유효한 값: KMSStatus

선택

서버 측 암호화의 상태입니다.

Type: 문자열

유효한 값: ENABLED | UPDATING

StreamSpecification

이StreamSpecification객체에는 테이블의 현재 DynamoDB Streams 구성이 포함되어 있습니다.


StreamEnabled

선택

테이블에서 DynamoDB Streams 이 활성화되어 있는지 여부를 나타냅니다.

Type: 불

242



StreamViewType

선택

테이블에 기록되는 정보를 결정합니다.

Type: 문자열

유효한 값: NEW_IMAGE|OLD_IMAGE|NEW_AND_OLD_IMAGES|KEYS_ONLY

AwsEc2Eip이AwsEc2Eip객체는 탄력적 IP 주소에 대한 정보를 제공합니다.

예

"AwsEc2Eip": { "InstanceId": "instance1", "PublicIp": "192.0.2.04", "AllocationId": "eipalloc-example-id-1", "AssociationId": "eipassoc-example-id-1", "Domain": "vpc", "PublicIpv4Pool": "anycompany", "NetworkBorderGroup": "eu-central-1", "NetworkInterfaceId": "eni-example-id-1", "NetworkInterfaceOwnerId": "777788889999", "PrivateIpAddress": "192.0.2.03"}

AwsEc2Eip 객체에는 다음과 같은 속성이 있을 수 있습니다.

AllocationId

선택

식별자입니다.AWS에서 Amazon VPC 사용할 엘라스틱 IP 주소의 할당을 나타내기 위해 에서 할당합니다.

Type: 문자열AssociationId

선택

엘라스틱 IP 주소와 EC2 인스턴스의 연결을 나타내는 식별자입니다.

Type: 문자열Domain

선택

주소를 할당할 도메인입니다.

주소가 VPC EC2 인스턴스와 함께 사용되는 경우Domainisvpc. 그렇지 않으면Domainisstandard.

Type: 문자열

유효한 값: standard | vpcInstanceId

선택

243


EC2 인스턴스의 식별자입니다.

Type: 문자열NetworkBorderGroup

선택

엘라스틱 IP 주소가 보급되는 위치의 이름입니다.

Type: 문자열NetworkInterfaceId

선택

네트워크 인터페이스의 식별자입니다.

Type: 문자열NetworkInterfaceOwnerId

선택

이AWS네트워크 인터페이스 소유자 계정 ID입니다.

Type: 문자열

형식: 12자리 숫자여야 합니다.PrivateIpAddress

선택

탄력적 IP 주소와 연결된 프라이빗 IP 주소입니다.

Type: IPv4PublicIp

선택

EC2 인스턴스와 연결되는 퍼블릭 IP 주소입니다.

Type: IPv4PublicIpv4Pool

선택

IP 주소 풀의 식별자입니다. Amazon EC2 가 이 파라미터를 사용하여 주소 풀에서 IP 주소를 선택할 수있습니다.

Type: 문자열

AwsEc2InstanceAmazon EC2 인스턴스의 세부 정보입니다.

Type: 객체

AwsEc2Instance 객체에는 다음과 같은 속성이 있을 수 있습니다.

IamInstanceProfileArn

선택

244


인스턴스의 IAM 프로파일 ARN 입니다.

Type: 문자열

형식: 다음을 준수합니다.AWSARN 형식ImageId

선택

인스턴스의 Amazon 머신 이미지(AMI) ID입니다.

Type: 문자열

최대 길이: 64IpV4Addresses

선택

인스턴스와 연결된 IPv4 주소입니다.

Type: 최대 10개의 IPv4 주소 배열IpV6Addresses

선택

인스턴스와 연결된 IPv6 주소입니다.

Type: 최대 10개의 IPv6 주소 배열KeyName

선택

인스턴스와 연결되는 키 이름입니다.

Type: 문자열

최대 길이: 128LaunchedAt

선택

인스턴스가 시작된 시간을 나타냅니다.

Type: 문자열


NetworkInterfaces (p. 246)

선택

EC2 인스턴스에 대한 네트워크 인터페이스의 식별자입니다. 각 네트워크 인터페이스에 대한 세부 정보는 해당AwsEc2NetworkInterface (p. 250)객체입니다.

Type: 객체의 배열입니다.SubnetId

선택

인스턴스가 시작된 서브넷의 식별자입니다.

245



Type: 문자열

최대 길이: 32Type

선택

인스턴스의 인스턴스 유형입니다. 유효한 EC2 인스턴스 유형이어야 합니다.

Type: 문자열

최대 길이: 16VpcId

선택

인스턴스가 시작된 VPC의 식별자입니다.

Type: 문자열

최대 길이: 32

NetworkInterfaces

이NetworkInterfaces객체는 EC2 인스턴스의 네트워크 인터페이스를 식별합니다. 각 네트워크 인터페이스에 대한 세부 정보는 해당AwsEc2NetworkInterface (p. 250)객체입니다.

각 네트워크 인터페이스에는 다음과 같은 속성이 있을 수 있습니다.

NetworkInterfaceId

선택

네트워크 인터페이스의 식별자입니다.

Type: 문자열

AwsEc2NetworkAcl

이AwsEc2NetworkAcl객체에는 Amazon EC2 ACL (액세스 제어 목록) 에 대한 세부 정보가 들어 있습니다.

예

AwsEc2NetworkAcl: { "IsDefault": false, "NetworkAclId": "acl-1234567890abcdef0", "OwnerId": "123456789012", "VpcId": "vpc-1234abcd", "Associations": [{ "NetworkAclAssociationId": "aclassoc-abcd1234", "NetworkAclId": "acl-021345abcdef6789", "SubnetId": "subnet-abcd1234" }], "Entries": [{ "CidrBlock": "10.24.34.0/23", "Egress": true, "IcmpTypeCode": { "Code": 10, "Type": 30 },

246

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instance-types.html


"Ipv6CidrBlock": "2001:DB8::/32", "PortRange": { "From": 20, "To": 40 }, "Protocol": "tcp", "RuleAction": "allow", "RuleNumber": 100 }]}

AwsEc2NetworkAcl에는 다음과 같은 속성이 있을 수 있습니다.

Associations (p. 247)

선택

네트워크 ACL과 서브넷 간의 연결

Type: 객체 배열Entries (p. 248)

선택

네트워크 ACL의 규칙 집합입니다.

Type: 객체 배열IsDefault

선택

이것이 VPC 기본 네트워크 ACL인지 여부입니다.

Type: 불NetworkAclId

선택

네트워크 ACL의 식별자입니다.

Type: 문자열OwnerId

선택

의 식별자입니다.AWS네트워크 ACL을 소유합니다.

Type: 문자열VpcId

선택

네트워크 ACL에 대한 VPC 식별자입니다.

Type: 문자열

Associations

이Associations개체에는 네트워크 ACL과 서브넷 간의 연결이 포함되어 있습니다.

247


각 연결에는 다음과 같은 속성이 있을 수 있습니다.

NetworkAclAssociationId

선택

네트워크 ACL과 서브넷 간의 연결 식별자입니다.

Type: 문자열NetworkAclId

선택

네트워크 ACL의 식별자입니다.

Type: 문자열SubnetId

선택

네트워크 ACL과 연결된 서브넷의 식별자입니다.

Type: 문자열

Entries

이Entries개체에는 네트워크 ACL에 대한 규칙이 포함되어 있습니다. 각 규칙은 IP 주소, 트래픽 방향, 포트및 프로토콜에 따라 액세스를 허용하거나 거부합니다.

각 규칙에는 다음과 같은 속성이 있을 수 있습니다.

CidrBlock

선택

액세스를 거부하거나 허용할 IPV4 네트워크 범위입니다.

Type: 문자열

형식: CIDR 표기법을 사용합니다.Egress

선택

규칙이 송신 규칙인지 여부를 지정합니다. 송신 규칙은 서브넷을 벗어나는 트래픽에 적용되는 규칙입니다.

Type: 불IcmpTypeCode

선택

액세스를 거부하거나 허용할 ICMP (Internet Control Message Protocol) 유형 및 코드입니다.

Type: 객체IcmpTypeCode.Code

선택

액세스를 거부하거나 허용할 ICMP 코드입니다.

248


모든 코드를 거부하거나 허용하려면-1.

Type: 번호IcmpTypeCode.Type

선택

액세스를 거부하거나 허용할 ICMP 유형입니다.

모든 유형을 거부하거나 허용하려면-1.

Type: 번호Ipv6CidrBlock

액세스를 거부하거나 허용할 IPV6 네트워크 범위입니다.

Type: 문자열

형식: CIDR 표기법을 사용합니다.PortRange

선택

TCP 또는 UDP 프로토콜의 경우 규칙이 적용되는 포트 범위.

Type: 객체PortRange.From

선택

포트 범위의 첫 번째 포트입니다.

Type: 번호PortRange.To

선택

포트 범위의 마지막 포트입니다.

Type: 번호Protocol

선택

규칙이 적용되는 프로토콜입니다.

모든 프로토콜에 대한 액세스를 거부하거나 허용하려면-1.

Type: 문자열RuleAction

선택

규칙을 사용하여 액세스를 허용할지 아니면 액세스를 거부할지 여부입니다.

Type: 문자열

유효한 값: allow | denyRuleNumber

선택

249


규칙 번호입니다. 이 규칙은 번호에 따라 순서대로 처리됩니다.

Type: 번호

AwsEc2NetworkInterface

이AwsEc2NetworkInterface객체는 Amazon EC2 네트워크 인터페이스에 대한 정보를 제공합니다.

예

"AwsEc2NetworkInterface": { "Attachment": { "AttachTime": "2019-01-01T03:03:21Z", "AttachmentId": "eni-attach-43348162", "DeleteOnTermination": true, "DeviceIndex": 123, "InstanceId": "i-1234567890abcdef0", "InstanceOwnerId": "123456789012", "Status": 'ATTACHED' }, "SecurityGroups": [ { "GroupName": "my-security-group", "GroupId": "sg-903004f8" }, ], "NetworkInterfaceId": 'eni-686ea200', "SourceDestCheck": false}

AwsEc2NetworkInterface 객체에는 다음과 같은 속성이 있을 수 있습니다.

Attachment (p. 251)

선택

네트워크 인터페이스 첨부 파일에 대한 정보입니다.

Type: 객체Ipv6Addresses (p. 252)

선택

네트워크 인터페이스와 연결된 IPv6 주소입니다.

Type: 객체 배열NetworkInterfaceId

선택

네트워크 인터페이스의 ID입니다.

Type: 문자열PrivateIpAddresses (p. 252)

선택

네트워크 인터페이스와 연결된 프라이빗 IPv4 주소입니다.

Type: 객체 배열

250


PublicDnsName

선택

네트워크 인터페이스의 퍼블릭 DNS 이름입니다.

Type: 문자열PublicIp

선택

네트워크 인터페이스에 바인딩된 탄력적 IP 주소의 주소입니다.

Type: 문자열SecurityGroups (p. 253)

선택

네트워크 인터페이스에 대한 보안 그룹입니다.

Type: 그룹 객체의 배열SourceDestCheck

선택

인스턴스와 주고받는 트래픽의 유효성을 확인할지 여부를 나타냅니다.

Type: 불

Attachment

Attachment 객체는 네트워크 인터페이스 첨부 파일에 대한 정보를 제공합니다.


AttachmentId

선택

네트워크 인터페이스 첨부 파일의 식별자입니다.

Type: 문자열AttachTime

선택

첨부 파일이 시작된 시간을 나타냅니다.

Type: 문자열


DeleteOnTermination

선택

인스턴스를 종료할 때 네트워크 인터페이스 삭제 여부를 나타냅니다.

Type: 불

251



DeviceIndex

선택

인스턴스의 네트워크 인터페이스 연결의 디바이스의 인덱스입니다.

Type: IntegerInstanceId

선택

인스턴스의 ID

Type: 문자열InstanceOwnerId

선택

인스턴스 소유자의 AWS 계정 ID입니다.


선택

첨부 파일 상태입니다.

Type: 문자열

유효한 값: attaching|attached|detaching|detached

Ipv6Addresses

Ipv6Addresses네트워크 인터페이스와 연결된 IPV6 주소를 나열합니다. 각 IPV6 주소에는 다음과 같은 속성이 있을 수 있습니다.

Ipv6Address

선택

IPv6 주소입니다.

Type: 문자열

PrivateIpAddresses

PrivateIpAddresses에는 네트워크 인터페이스와 연결되는 프라이빗 IPv4 주소 목록이 포함됩니다.

각 프라이빗 IPv4 주소에는 다음과 같은 속성이 있을 수 있습니다.

PrivateDnsName

선택

IP 주소의 개인 DNS 이름입니다.

Type: 문자열PrivateIpAddress

선택

252


IP 주소입니다.

Type: 문자열

SecurityGroups

SecurityGroups 객체에는 네트워크 인터페이스에 대한 보안 그룹의 목록이 포함되어 있습니다.

각 보안 그룹에는 다음과 같은 속성이 있을 수 있습니다.

GroupId

선택

보안 그룹의 ID.

Type: 문자열GroupName

선택

보안 그룹의 이름입니다.

Type: 문자열

AwsEc2SecurityGroup

이AwsEc2SecurityGroup객체는 Amazon EC2 보안 그룹을 설명합니다.

예

"AwsEc2SecurityGroup": { "GroupName": "MySecurityGroup", "GroupId": "sg-903004f8", "OwnerId": "123456789012", "VpcId": "vpc-1a2b3c4d", "IpPermissions": [ { "IpProtocol": "-1", "IpRanges": [], "UserIdGroupPairs": [ { "UserId": "123456789012", "GroupId": "sg-903004f8" } ], "PrefixListIds": [ {"PrefixListId": "pl-63a5400a"} ] }, { "PrefixListIds": [], "FromPort": 22, "IpRanges": [ { "CidrIp": "203.0.113.0/24" } ], "ToPort": 22, "IpProtocol": "tcp", "UserIdGroupPairs": []

253


} ]}

AwsEc2SecurityGroup 객체에는 다음과 같은 속성이 있을 수 있습니다.

GroupId

선택



선택


Type: 문자열IpPermissions (p. 254)

선택

보안 그룹과 연결되는 인바운드 규칙입니다.

Type: IP 권한 객체의 배열IpPermissionsEgress (p. 254)

선택

[VPC 전용] 보안 그룹과 연결된 아웃바운드 규칙입니다.

Type: IP 권한 객체의 배열OwnerId

선택

보안 그룹 소유자의 AWS 계정 ID입니다.


선택

[VPC 전용] 보안 그룹에 대한 VPC의 ID입니다.

Type: 문자열

IP 권한 객체

IpPermissions 및 IpPermissionsEgress 객체에는 모두 IP 권한 객체의 배열이 포함되어 있습니다.

각 IP 권한 객체에는 다음과 같은 속성이 있을 수 있습니다.

FromPort

선택

254


TCP 및 UDP 프로토콜에 대한 포트 범위 시작또는 ICMP/ICMPv6 형식 숫자입니다.

-1의 값은 모든 ICMP/ICMPv6 형식을 나타냅니다. 모든 ICMP/ICMPv6 형식을 지정하는 경우 모든 코드를 지정해야 합니다.

Type: IntegerIpProtocol

선택

IP 프로토콜 이름(tcp, udp, icmp, icmpv6) 또는 번호(프로토콜 번호 목록 참조)입니다.

[VPC 전용] -1을 사용하여 모든 프로토콜을 지정합니다.

보안 그룹 규칙의 승인 시 -1을 지정하거나 tcp, udp, icmp 또는 icmpv6 이외의 프로토콜 번호를 지정하면 지정하는 포트 범위와 관계없이 모든 포트의 트래픽이 허용됩니다.

tcp, udp, icmp의 경우 포트 범위를 지정해야 합니다.

icmpv6의 경우 포트 범위는 선택 사항입니다. 포트 범위를 생략하면 모든 유형 및 코드에 대한 트래픽이 허용됩니다.

Type: 문자열IpRanges

선택

IP 주소의 범위입니다.

Type: IP 범위 객체의 배열Ipv6Ranges

선택

IPv6 주소의 범위입니다.

Type: IPv6 범위 개체의 배열PrefixListIds

선택

[VPC만 해당] AWS 서비스에 대한 접두사 목록 ID입니다. 아웃바운드 규칙을 사용하는 경우AWS서비스를 사용하여 보안 그룹과 연결된 인스턴스의 VPC 엔드포인트를 통해 액세스할 수 있습니다.

Type: 접두사 목록 ID 객체의 배열ToPort

선택

TCP 및 UDP 프로토콜에 대한 포트 범위의 끝 또는 ICMP/ICMPv6 코드입니다.

-1의 값은 모든 ICMP/ICMPv6 코드를 나타냅니다. 모든 ICMP/ICMPv6 형식을 지정하는 경우 모든 코드를 지정해야 합니다.

Type: IntegerUserIdGroupPairs

선택

보안 그룹 및 AWS 계정 ID 페어입니다.

255

http://www.iana.org/assignments/protocol-numbers/protocol-numbers.xhtml


Type: 사용자 ID 그룹 페어 객체의 배열

IpRanges 배열의 각 항목에는 다음과 같은 속성이 있을 수 있습니다.

CidrIp

선택

IP 주소의 범위입니다.

CIDR 범위 또는 소스 보안 그룹을 지정할 수 있지만, 둘 다 지정할 수는 없습니다.

단일 IPv4 주소를 지정하려면 /32 접두사 길이를 사용합니다.


Type: 문자열

Ipv6Ranges 배열의 각 항목에는 다음과 같은 속성이 있을 수 있습니다.

CidrIpv6

선택

IPv6 CIDR 범위입니다.

CIDR 범위 또는 소스 보안 그룹을 지정할 수 있지만, 둘 다 지정할 수는 없습니다.


PrefixListIds 배열의 각 항목에는 다음과 같은 속성이 있을 수 있습니다.

PrefixListId

선택

접두사의 ID입니다.

Type: 문자열

UserIdGroupPairs 배열의 각 항목에는 다음과 같은 속성이 있을 수 있습니다.

GroupId

선택



선택


Type: 문자열PeeringStatus

선택

256


해당하는 경우 VPC 피어링 연결의 상태입니다.

Type: 문자열UserId

선택

AWS 계정의 ID입니다.

다른 VPC에 있는 참조된 보안 그룹의 경우, 참조된 보안 그룹의 계정 ID가 응답으로 반환됩니다. 참조된보안 그룹이 삭제되면 이 값은 반환되지 않습니다.

[Amazon EC2-Classic] 다른 보안 그룹을 참조하는 규칙을 추가하거나 제거할 때 필요합니다.AWS계정을 반환합니다.


해당되는 경우 참조된 보안 그룹에 대한 VPC 식별자입니다.

Type: 문자열VpcPeeringConnectionId

해당하는 경우 VPC 피어링 연결의 식별자입니다.

Type: 문자열

AwsEc2Subnet

이AwsEc2Subnet객체는 Amazon EC2 서브넷에 대한 정보를 제공합니다.

예

AwsEc2Subnet: { "AssignIpv6AddressOnCreation": false, "AvailabilityZone": "us-west-2c", "AvailabilityZoneId": "usw2-az3", "AvailableIpAddressCount": 8185, "CidrBlock": "10.0.0.0/24", "DefaultForAz": false, "MapPublicIpOnLaunch": false, "OwnerId": "123456789012", "State": "available", "SubnetArn": "arn:aws:ec2:us-west-2:123456789012:subnet/subnet-d5436c93", "SubnetId": "subnet-d5436c93", "VpcId": "vpc-153ade70", "Ipv6CidrBlockAssociationSet": [{ "AssociationId": "subnet-cidr-assoc-EXAMPLE", "Ipv6CidrBlock": "2001:DB8::/32", "CidrBlockState": "associated" }]}

AWSEc2Subnet에는 다음과 같은 속성이 있을 수 있습니다.

AssignIpv6AddressOnCreation

선택

이 서브넷에서 작성된 네트워크 인터페이스에 IPV6 주소를 할당할지 여부를 지정합니다.

257


Type: 불AvailabilityZone

선택

서브넷의 가용 영역입니다.

Type: 문자열AvailabilityZoneId

선택

서브넷에 대한 가용 영역의 식별자입니다.

Type: 문자열AvailableIpAddressCount

선택

서브넷에서 사용 가능한 IPV4 주소 수입니다. 중지된 인스턴스의 주소는 포함하지 않습니다.

Type: 번호CidrBlock

선택

서브넷에 할당되는 IPV4 CIDR 블록입니다.

Type: 문자열

형식: CIDR 표기법을 사용합니다.DefaultForAz

선택

이 서브넷이 가용 영역의 기본 서브넷인지 여부

Type: 불Ipv6CidrBlockAssociationSet (p. 259)

선택

서브넷과 연결된 IPV6 CIDR 블록입니다.

Type: 객체 배열MapPublicIpOnLaunch

선택

이 서브넷의 인스턴스가 퍼블릭 IP 주소를 수신할지 여부입니다.

Type: 불OwnerId

선택

의 식별자입니다.AWS서브넷을 소유하는 계정입니다.

Type: 문자열

258


State

선택

서브넷의 현재 상태입니다.

Type: 문자열

유효한 값: pending | availableSubnetArn

선택

서브넷의 ARN.

Type: 문자열SubnetId

선택

서브넷의 식별자입니다.


선택

서브넷을 포함하는 VPC 식별자입니다.

Type: 문자열

Ipv6CidrBlockAssociationSet

Ipv6CidrBlockAssociationSet서브넷과 연결된 IPV6 CIDR 블록에 대한 정보가 들어 있습니다.

각 CIDR 블록에는 다음과 같은 속성이 있을 수 있습니다.

AssociationId

선택

연결의 식별자입니다.

Type: 문자열Ipv6CidrBlock

선택

IPv6 CIDR 블록입니다.

Type: 문자열

형식: CIDR 표기법을 사용합니다.CidrBlockState

선택

IPV6 CIDR 블록의 상태입니다.

Type: 문자열

259


유효한 값: associating|associated|disassociating|disassociated|failing|failed

AwsEc2Volume

이AwsEc2Volume객체는 EC2 볼륨에 대한 세부 정보를 제공합니다.

예

"AwsEc2Volume": { "Attachments": [ { "AttachTime": "2017-10-17T14:47:11Z", "DeleteOnTermination": true, "InstanceId": "i-123abc456def789g", "Status": "attached" } ], "CreateTime": "2020-02-24T15:54:30Z", "Encrypted": true, "KmsKeyId": "arn:aws:kms:us-east-1:111122223333:key/wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY", "Size": 80, "SnapshotId": "", "Status": "available"}

AwsEc2Volume 객체에는 다음과 같은 속성이 있을 수 있습니다.

Attachments (p. 261)

선택

볼륨 첨부 파일입니다.

Type: 객체 배열CreateTime

선택

볼륨이 작성된 시기를 나타냅니다.

Type: 문자열


Encrypted

선택

볼륨이 암호화되는지 여부

Type: 불KmsKeyId

선택

의 ARN 입니다.AWS KMS볼륨의 볼륨 암호화 키를 보호하는 데 사용된 고객 마스터 키 (CMK) 입니다.

Type: 문자열

260



Size

선택

볼륨 크기(GiB)입니다.

Type: IntegerSnapshotId

선택

볼륨이 생성된 스냅샷입니다.


선택

볼륨 상태입니다.

Type: 문자열

유효한 값: creating|available|in-use|deleting|deleted|error

Attachments

이Attachments개체에는 EC2 볼륨에 대한 첨부 파일 집합이 포함되어 있습니다. 각 첨부 파일에는 다음과같은 속성이 있을 수 있습니다.

AttachTime

선택

첨부 파일이 시작된 날짜와 시간입니다.

Type: 문자열 (타임스탬프)

형식: yyyy-MM-ddTHH:mm:ssZDeleteOnTermination

선택

EC2 인스턴스가 종료될 때 EBS 볼륨을 삭제할지 여부를 지정합니다.

Type: 불InstanceId

선택

EC2 인스턴스의 식별자입니다.


선택

볼륨의 첨부 상태.

Type: 문자열

261


유효한 값: attaching|attached|detaching|detached|busy

AwsEc2Vpc

이AwsEc2Vpc객체는 EC2 VPC (가상 프라이빗 클라우드) 에 대한 세부 정보를 제공합니다.

예

"AwsEc2Vpc": { "CidrBlockAssociationSet": [ { "AssociationId": "vpc-cidr-assoc-0dc4c852f52abda97", "CidrBlock": "192.0.2.0/24", "CidrBlockState": "associated" } ], "DhcpOptionsId": "dopt-4e42ce28", "Ipv6CidrBlockAssociationSet": [ { "AssociationId": "vpc-cidr-assoc-0dc4c852f52abda97", "CidrBlockState": "associated", "Ipv6CidrBlock": "192.0.2.0/24" }

], "State": "available"}

AwsEc2Vpc 객체에는 다음과 같은 속성이 있을 수 있습니다.

CidrBlockAssociationSet (p. 263)

선택

VVPC 와 연결된 IPv4 CIDR 블록에 대한 정보입니다.

Type: 객체 배열DhcpOptionsId

선택

VPC 와 연결된 DHCP (Dynamic Host Configuration Protocol) 옵션 세트의 식별자입니다. 기본 옵션이VPC 와 연결되어 있는 경우default.

Type: 문자열

최대 길이: 32IpV6CidrBlockAssociationSet (p. 263)

선택

VPC PC와 연결된 IPv6 CIDR 블록에 대한 정보입니다.

Type: 객체의 배열입니다.State

선택

VPC 현재 상태입니다.

262


Type: 문자열

최대 길이: 32

유효한 값: pending | available

CidrBlockAssociationSet

이CidrBlockAssociationSet개체는 IPV4 CIDR 블록 연결 목록을 제공합니다.

각 CIDR 블록 연관에는 다음과 같은 속성이 포함될 수 있습니다.

AssociationId

선택

IPv4 CIDR 블록의 연결 ID입니다.

Type: 문자열

최대 길이: 32CidrBlock

선택


Type: 암호문 IPV4CidrBlockState

선택

CIDR 블록의 상태에 대한 정보입니다.

Type: 문자열

최대 길이: 32

IpV6CidrBlockAssociationSet

이IPV6CidrBlockAssociationSet개체는 IPV6 CIDR 블록 연결 목록을 제공합니다.

각 CIDR 블록 연관에는 다음과 같은 속성이 포함될 수 있습니다.

Associationid

선택

IPv6 CIDR 블록의 연결 ID입니다.

Type: 문자열

최대 길이: 32CidrBlockState

선택

CIDR 블록의 상태에 대한 정보입니다.

Type: 문자열

263


최대 길이: 32IpV6CidrBlock

선택


Type: 시드 IPV6

AwsEcsCluster

이AwsEcsCluster객체는 ECS 클러스터에 대한 세부 정보를 제공합니다.

예

"AwsEcsCluster": { "CapacityProviders": [], "ClusterSettings": [ { "Name": "containerInsights", "Value": "enabled" } ], "Configuration": { "ExecuteCommandConfiguration": { "KmsKeyId": "kmsKeyId", "LogConfiguration": { "CloudWatchEncryptionEnabled": true, "CloudWatchLogGroupName": "cloudWatchLogGroupName", "S3BucketName": "s3BucketName", "S3EncryptionEnabled": true, "S3KeyPrefix": "s3KeyPrefix" }, "Logging": "DEFAULT" } } "DefaultCapacityProviderStrategy": [ { "Base": 0, "CapacityProvider": "capacityProvider", "Weight": 1 } ] }

AwsEcsCluster에는 다음과 같은 속성이 있을 수 있습니다.

CapacityProviders

선택

클러스터에 연결할 하나 이상의 용량 공급자의 짧은 이름입니다.

Type: 문자열 배열ClusterSettings (p. 265)

선택

클러스터를 생성할 때 사용할 설정입니다. 특히,ClusterSettings는 클러스터에 대해 CloudWatchContainer Insights를 활성화할지 여부를 구성하는 데 사용됩니다.

264


Type: 객체 배열Configuration (p. 265)

선택

클러스터에 대한 run 명령 구성입니다.

Type: 객체DefaultCapacityProviderStrategy (p. 267)

선택

클러스터에 대한 기본 용량 공급자 전략 기본 용량 공급자 전략은 서비스 또는 작업을 지정한 시작 유형이나 용량 공급자 전략 없이 실행할 때 사용됩니다.

Type: 객체 배열

ClusterSettings

이ClusterSettings객체는 ECS 클러스터에 대해 CloudWatch Container Insights를 활성화할지 여부를나타냅니다.

ClusterSettings는 단일 객체를 포함하는 배열입니다. 이 객체에는 다음 속성이 있습니다.

Name

선택

설정의 이름입니다.

Type: 문자열

유효한 값: containerInsightsValue

선택

설정의 값입니다.

Type: 문자열

유효한 값: enabled | disabled

Configuration

이Configuration객체에는 클러스터에 대한 실행 명령 구성이 포함되어 있습니다.

Configuration에 있는ExecuteCommandConfiguration객체입니다.

ExecuteCommandConfiguration에는 다음과 같은 속성이 있을 수 있습니다.

KmsKeyId

선택

로컬 클라이언트와 컨테이너 간의 데이터를 암호화하는 데 사용되는 KMS 키의 식별자입니다.

Type: 문자열

265


LogConfiguration (p. 266)

선택

명령 실행 작업의 결과에 대한 로그 구성입니다. 다음과 같은 경우 제공해야 합니다.LoggingisNONE.

Type: 객체Logging

선택

실행 명령 결과에 대한 로그를 리디렉션하는 데 사용할 로그 설정입니다.

Type: 문자열

유효한 값: DEFAULT|NONE|OVERRIDE

LogConfiguration

이LogConfiguration객체에는 명령 실행 작업의 결과에 대한 로그 구성이 들어 있습니다. CloudWatchLogs 또는 S3 버킷으로 로그를 전송할 수 있습니다.

LogConfiguration에는 다음과 같은 속성이 있을 수 있습니다.

CloudWatchEncryptionEnabled

선택

CloudWatch 로그에서 암호화를 활성화할지 여부입니다.

Type: 불CloudWatchLogGroupName

선택

로그를 보낼 CloudWatch 로그 그룹의 이름입니다.

Type: 문자열S3BucketName

선택

로그를 보낼 S3 버킷의 이름입니다.

Type: 문자열S3EncryptionEnabled

선택

S3 버킷으로 전송된 로그를 암호화할지 여부를 지정합니다.

Type: 불S3KeyPrefix

선택

로그를 보낼 S3 버킷의 폴더를 식별합니다.

Type: 문자열

266


DefaultCapacityProviderStrategy

이DefaultCapacityProviderStrategy객체는 클러스터에 대한 기본 용량 공급자 전략을 제공합니다.기본 용량 공급자 전략은 서비스 또는 작업을 지정한 시작 유형이나 용량 공급자 전략 없이 실행할 때 사용됩니다.

의 각 용량 공급자DefaultCapacityProviderStrategy에는 다음과 같은 속성이 있을 수 있습니다.

Base

선택

지정된 용량 공급자에서 실행할 최소 태스크 수입니다.

Type: 번호

형식: IntegerCapacityProvider

선택

용량 공급자의 이름입니다.

Type: 문자열Weight

선택

용량 공급자를 사용해야 하는 시작된 총 작업 수의 상대 백분율입니다.

Type: 번호

AwsEcsTaskDefinition

이AwsEcsTaskDefinition객체에는 작업 정의에 대한 세부 정보가 포함되어 있습니다. 작업 정의에서는Amazon Elastic Container Service 작업의 컨테이너 및 볼륨 정의를 설명합니다.

예

"AwsEcsTaskDefinition": { "ContainerDefinitions": [ { "Command": ['ruby', 'hi.rb'], "Cpu":128, "Essential": true, "HealthCheck": { "Command": ["CMD-SHELL", "curl -f http://localhost/ || exit 1"], "Interval": 10, "Retries": 3, "StartPeriod": 5, "Timeout": 20 }, "Image": "tongueroo/sinatra:latest", "Interactive": true, "Links": [], "LogConfiguration": { "LogDriver": "awslogs", "Options": { "awslogs-group": "/ecs/sinatra-hi", "awslogs-region": "ap-southeast-1",

267


"awslogs-stream-prefix": "ecs" }, "SecretOptions": [] }, "MemoryReservation": 128, "Name": "web", "PortMappings": [ { "ContainerPort": 4567, "HostPort":4567, "Protocol": "tcp" } ], "Privileged": true, "StartTimeout": 10, "StopTimeout": 100, } ], "Family": "sinatra-hi", "NetworkMode": "host", "RequiresCompatibilities": ["EC2"], "TaskRoleArn": "arn:aws:iam::111122223333:role/ecsTaskExecutionRole", }

AwsEcsTaskDefinition에는 다음과 같은 속성이 있을 수 있습니다.

ContainerDefinitions (p. 270)

선택

작업을 구성하는 컨테이너를 설명하는 컨테이너 정의 목록입니다.

Type: 객체 배열Cpu

선택

작업에서 사용되는 CPU 단위의 수.

Type: 문자열

유효한 값: EC2 시작 유형에는 값에 대한 제한이 없습니다.

Fargate 시작 유형의 경우 이 값은 다음 중 하나여야 합니다.256 (.25 vCPU)|512 (.5 vCPU)|1024(1 vCPU)|2048 (2 vCPU)|4096 (4 vCPU)

ExecutionRoleArn

선택

Amazon ECS 컨테이너 에이전트에AWSAPI는 컨테이너 사용자를 대신하여 호출합니다.

Type: 문자열Family

선택

작업 정의가 등록된 패밀리의 이름입니다.

Type: 문자열

최대 길이: 255

268


허용되는 문자는 다음과 같습니다. A-Z, a-z, 0-9, -, _InferenceAccelerators (p. 285)

선택

작업의 컨테이너에서 사용할 Elastic Inference 액셀러레이터입니다.

Type: 객체 배열IpcMode

선택

해당 작업의 컨테이너에 사용할 IPC 리소스 네임스페이스입니다.

Type: 문자열

유효한 값: host|task|noneMemory

선택

작업에서 사용하는 메모리의 양(MiB).

Type: 문자열

EC2 시작 유형의 경우 는 작업 레벨 메모리 값 또는 컨테이너 레벨 메모리 값을 제공할 수 있습니다.

Fargate 시작 유형의 경우 메모리에 사용할 수 있는 값은Cpu속성을 사용합니다.

Cpu 사용 가능한 값Memory

256(.25 vCPU) 512 (0.5 GB) | 1,024 (2 GB) | 2,048 (2 GB)

512(.5 vCPU) 2 기가바이트 | 3 기가바이트 | 4096 기가바이트

1024(1 vCPU) 총 72개 | 4 기가바이트 | 5120 기가바이트 | 6 기가바이트 | 7168 기가바이트

2048(2 vCPU) 4,096(4 GB)~16,384(16 GB)(1,024(1 GB) 증분)

4096(4 vCPU) 8,192(8 GB)~30,720(30 GB)(1,024(1 GB) 증분)

NetworkMode

선택

작업의 컨테이너에 사용할 도커 네트워킹 모드.

Type: 문자열

유효한 값: awsvpc|bridge|host|nonePidMode

선택

해당 작업의 컨테이너에 사용할 프로세스 네임스페이스입니다.

Type: 문자열

269


유효한 값: host | taskPlacementConstraints

선택

작업에 사용할 배치 제약 객체입니다.

Type: 객체 배열ProxyConfiguration

선택

App Mesh 프록시에 대한 구성 세부 정보입니다.

Type: 객체RequiresCompatibilities

선택

태스크 정의의 유효성을 검사할 때 사용한 태스크 시작 유형입니다.

Type: 문자열 배열TaskRoleArn

선택

작업을 호출할 권한을 컨테이너에 부여하는 IAM 역할의 약식 이름 또는 ARN 입니다.AWS사용자를 대신하여 API 작업을 수행합니다.

Type: 문자열Volumes

선택

태스크에 대한 데이터 볼륨 정의입니다.

Type: 객체 배열

ContainerDefinitions

이ContainerDefinitions개체에는 작업을 구성하는 컨테이너를 설명하는 컨테이너 정의 목록이 포함되어 있습니다.

각 컨테이너 정의에는 다음과 같은 속성이 있을 수 있습니다.

Command

선택

컨테이너로 전달되는 명령입니다.

Type: 문자열 배열Cpu

선택

컨테이너용으로 예약된 CPU 단위의 수입니다.

Type: 번호

270


DependsOn (p. 275)

선택

컨테이너 시작 및 종료에 대해 정의된 종속성입니다.

Type: 객체 배열DisableNetworking

선택

컨테이너 내에서 네트워킹을 비활성화할지 여부.

Type: 불DnsSearchDomains

선택

컨테이너에 제공되는 DNS 검색 도메인의 목록입니다.

Type: 문자열 배열DnsServers

선택

컨테이너에 제공되는 DNS 서버의 목록입니다.

Type: 문자열 배열DockerLabels

선택

컨테이너에 추가할 레이블의 키 - 값 맵입니다.

Type: 문자열 맵DockerSecurityOptions

선택

SELinux 및 AppArmor 다중 수준 보안 시스템에 사용자 지정 레이블을 제공할 문자열 목록입니다.

Type: 문자열 배열EntryPoint

선택

컨테이너로 전달되는 진입점입니다.

Type: 문자열 배열Environment (p. 276)

선택

컨테이너로 전달할 환경 변수입니다.

Type: 객체 배열EnvironmentFiles (p. 276)

선택

컨테이너로 전달할 환경 변수를 포함하는 파일 목록입니다.

271


Type: 객체 배열Essential

선택

컨테이너가 필수적인지 여부.

다음의 경우,true(기본값) 인 경우 컨테이너가 실패하거나 중지되면 작업의 다른 컨테이너도 중지됩니다.

다음의 경우,false인 경우 컨테이너 실패는 태스크의 다른 컨테이너에 영향을 미치지 않습니다.

모든 작업에는 하나 이상의 필수 컨테이너가 있어야 합니다.

Type: 불ExtraHosts (p. 276)

선택

컨테이너의 /etc/hosts 파일에 추가할 호스트 이름 및 IP 주소 매핑의 목록입니다.

Type: 객체 배열FirelensConfiguration (p. 277)

선택

컨테이너의 FireLens 구성입니다. 컨테이너 로그에 대한 로그 라우터를 지정하고 구성합니다.

Type: 객체HealthCheck (p. 277)

선택

해당 컨테이너에 대한 컨테이너 상태 확인 명령 및 연결된 구성 파라미터.

Type: 객체Hostname

선택

컨테이너에 사용할 호스트 이름입니다.

Type: 문자열Image

선택

컨테이너를 시작하는 데 사용되는 이미지입니다.

Type: 문자열Interactive

선택

true로 설정하면 컨테이너화 된 응용 프로그램이stdin또는tty할당 할 수 있습니다.

Type: 불Links

선택

272


양식의 컨테이너에 대한 링크 목록container_name:alias. 포트 매핑 필요 없이 컨테이너가 서로 통신하도록 허용합니다.

Type: 문자열 배열LinuxParameters (p. 278)

선택

컨테이너에 적용되는 Linux 수정(예: Linux 커널 기능)입니다.

Type: 객체LogConfiguration (p. 281)

선택

컨테이너의 로그 구성 사양입니다.

Type: 객체Memory

선택

컨테이너에 표시할 메모리의 양(MiB)입니다. 컨테이너가 여기서 지정된 메모리를 초과하려 하면 해당컨테이너가 중지됩니다. 작업 내의 모든 컨테이너에 대해 예약된 총 메모리 양은 작업 메모리 값 (지정된경우) 보다 작아야 합니다.

Type: 번호MemoryReservation

선택

컨테이너용으로 예약할 메모리의 소프트 제한(MiB)입니다.

Type: 번호MountPoints (p. 282)

선택

컨테이너에서 데이터 볼륨의 탑재 지점입니다.

Type: 객체 배열Name

선택

컨테이너의 이름입니다.

Type: 문자열PortMappings (p. 282)

선택

컨테이너에 대한 포트 매핑의 목록입니다.

Type: 객체 배열Privileged

선택

273


호스트 컨테이너 인스턴스에서 컨테이너에 승격된 권한을 부여받는지 여부를 지정합니다. 상승된 권한은 루트 사용자와 유사합니다.

Type: 불PseudoTerminal

선택

컨테이너에 TTY를 할당할지 여부.

Type: 불ReadonlyRootFilesystem

선택

컨테이너에 루트 파일 시스템에 대한 읽기 전용 액세스가 부여되는지 여부를 지정합니다.

Type: 불RepositoryCredentials (p. 283)

선택

사용할 프라이빗 리포지토리 인증 자격 증명입니다.

Type: 객체ResourceRequirements (p. 283)

선택

컨테이너에 할당할 리소스의 유형 및 양입니다. 현재 지원되는 리소스는 GPU뿐입니다.

Type: 객체 배열Secrets (p. 283)

선택

컨테이너에 전달할 암호입니다.

Type: 객체 배열StartTimeout

선택

컨테이너에 대한 종속성 해결을 포기하기 전에 대기할 시간 (초) 입니다.

Type: 번호StopTimeout

선택

자체적으로 정상적으로 종료되지 않을 경우 컨테이너를 중지하기까지 대기할 시간 (초) 입니다.

Type: 번호SystemControls (p. 284)

선택

컨테이너에서 설정할 네임스페이스 커널 파라미터의 목록입니다.

Type: 객체 배열

274


Ulimits (p. 284)

선택

컨테이너에 설정할 u로 구성된 목록입니다.

Type: 객체 배열User

선택

컨테이너 내부에서 사용할 사용자입니다.

Type: 문자열

값은 다음 형식 중 하나를 사용할 수 있습니다.• user

• user:group• uid

• uid:gid• user:gid• uid:group

VolumesFrom (p. 285)

선택

다른 컨테이너로부터 탑재할 데이터 볼륨입니다.

Type: 객체 배열WorkingDirectory

선택

컨테이너에서 명령을 실행할 작업 디렉터리입니다.

Type: 문자열

ContainerDefinitions.DependsOn

이DependsOn개체에는 컨테이너 시작 및 종료에 대해 정의된 종속성 목록이 포함됩니다.

각 종속성에는 다음과 같은 속성이 있을 수 있습니다.

Condition

선택

종속 컨테이너의 종속성 조건입니다. 현재 컨테이너가 시작되기 전에 종속 컨테이너의 필수 상태를 나타냅니다.

Type: 문자열

유효한 값: START|COMPLETE|SUCCESS|HEALTHYContainerName

선택

종속 컨테이너의 이름입니다.

275


Type: 문자열

ContainerDefinitions.Environment

이Environment객체는 컨테이너로 전달할 환경 변수를 나열합니다.

각 변수에는 다음과 같은 속성이 있을 수 있습니다.

Name

선택

환경 변수의 이름입니다.


선택

환경 변수의 값입니다.

Type: 문자열

ContainerDefinitions.EnvironmentFiles

이EnvironmentFiles객체에는 컨테이너로 전달할 환경 변수를 포함하는 파일 목록이 포함됩니다.

각 파일에는 다음과 같은 속성이 있을 수 있습니다.

Type

선택

환경 파일의 유형입니다.

Type: 문자열

유효한 값: s3Value

선택

환경 변수 파일이 포함된 S3 객체의 ARN 입니다.

Type: 문자열

ContainerDefinitions.ExtraHosts

이ExtraHosts객체에는 호스트 이름 및 IP 주소 매핑의 목록이 포함되어 있습니다./etc/hosts파일을 컨테이너에 저장할 수 있습니다.


Hostname

선택

/etc/hosts 항목에 사용할 호스트 이름입니다.

276


Type: 문자열IpAddress

선택

/etc/hosts 항목에 사용할 IP 주소입니다.

Type: 문자열

ContainerDefinitions.FirelensConfiguration

이FirelensConfiguration객체는 컨테이너의 FireLens 구성에 대해 설명합니다. 구성은 컨테이너 로그에 대한 로그 라우터를 지정하고 구성합니다.

FireLensConfiguration에는 다음과 같은 속성이 있을 수 있습니다.

Options

선택

로그 라우터를 구성하는 데 사용할 옵션입니다.

Type: 문자열 맵

유효한 옵션 키는 다음과 같습니다.• enable-ecs-log-metadata. 이 값을 가질 수 있습니다.true또는false.• config-file-type. 이 값을 가질 수 있습니다.s3또는file.• config-file-value. 값은 S3 ARN 또는 파일 경로입니다.

Type

선택

사용할 로그 라우터입니다.

Type:string

유효한 값: fluentd | fluentbit

ContainerDefinitions.HealthCheck

이HealthCheck개체에는 해당 컨테이너에 대한 컨테이너 상태 확인 명령 및 연결된 구성 파라미터.

HealthCheck에는 다음과 같은 속성이 있을 수 있습니다.

Command

선택

상태가 정상인지 여부를 판단하기 위해 컨테이너가 실행하는 명령입니다.

Type: 문자열 배열Interval

선택

각 상태 확인 실행 간의 시간(초)입니다. 기본 값은 30초입니다.

Type: 번호

277


최소값 5

최대 값 300Retries

선택

컨테이너 상태가 비정상이라고 간주되기 전에 실패한 상태 확인을 재시도하는 횟수입니다. 기본값은 3입니다.

Type: 번호

최소값 1

최대 값 10StartPeriod

선택

실패한 상태 확인이 최대 재시도 횟수에 포함되기 전에 컨테이너가 부트스트랩 시간을 허용하는 유예 기간 (초) 입니다.

Type: 번호

최소값 0

최대 값 300Timeout

선택

실패로 간주되기 전에 상태 확인이 성공하기까지의 대기 시간(초)입니다. 기본값은 5입니다.

Type:숫자

최소값 2

최대 값 60

ContainerDefinitions.LinuxParameters

이LinuxParameters개체에는 컨테이너에 적용되는 Linux 수정 (예: Linux 커널 기능) 이 포함되어 있습니다.

LinuxParameters에는 다음과 같은 속성이 있을 수 있습니다.

Capabilities (p. 279)

선택

컨테이너에 대해 도커에서 제공하는 기본 구성에 추가되거나 삭제되는 Linux 기능.

Type: 객체Devices (p. 280)

선택

컨테이너에 노출될 호스트 디바이스

Type: 객체 배열

278


Type:stringValueFrom

선택

컨테이너에 노출될 암호입니다.

값은 Secrets Manager 암호의 전체 ARN 이거나 혹은 Systems Manager 파라미터 스토어 내 파라미터의 전체 ARN입니다.

Type: 문자열

ContainerDefinitions.MountPoints

이MountPoints개체는 컨테이너의 데이터 볼륨에 대한 탑재 지점을 나열합니다.

각 마운트 지점에는 다음과 같은 속성이 있을 수 있습니다.

ContainerPath

선택

호스트 볼륨을 탑재할 컨테이너의 경로입니다.

Type: 문자열ReadOnly

선택

컨테이너에는 볼륨에 대한 읽기 전용 액세스가 부여되는지 여부입니다.

Type: 불SourceVolume

선택

탑재할 볼륨의 이름입니다. 볼륨에 나열된 볼륨의 이름과 일치해야 합니다.Volumes (p. 287)개체를작업 정의에 사용할 수 있습니다.

Type: 문자열

ContainerDefinitions.PortMappings

이PortMappings개체에는 컨테이너에 대한 포트 매핑의 목록이 포함되어 있습니다.

각 포트 매핑에는 다음과 같은 속성이 있을 수 있습니다.

ContainerPort

선택

사용자 지정 또는 자동 할당된 호스트 포트에 바인딩되는 컨테이너 포트 번호입니다.

Type: 번호HostPort

선택

282


컨테이너용으로 예약할 컨테이너 인스턴스의 포트 번호입니다.


선택

포트 매핑에 사용되는 프로토콜입니다. 기본값은 tcp입니다.

Type: 문자열

유효한 값: tcp | udp

ContainerDefinitions.RepositoryCredentials

이RepositoryCredentials객체에는 사용할 프라이빗 리포지토리 인증 자격 증명이 들어 있습니다.

RepositoryCredentials에는 다음과 같은 속성이 있을 수 있습니다.

CredentialsParameter

선택

프라이빗 리포지토리 자격 증명이 포함된 암호의 ARN 입니다.

Type:string

ContainerDefinitions.ResourceRequirements

이ResourceRequirements객체에는 컨테이너에 할당할 리소스 목록이 포함됩니다.

각 리소스에는 다음과 같은 속성이 있을 수 있습니다.

Type

선택

컨테이너에 할당할 리소스 유형입니다.

Type: 문자열

유효한 값: GPU | InferenceAcceleratorValue

선택

지정된 리소스 유형의 값입니다.

용GPU이 값은 Amazon ECS 컨테이너 에이전트가 컨테이너에 대해 예약하는 실제 GPU 수입니다.

용InferenceAccelerator와 일치해야 합니다.DeviceName의 항목의 속성을InferenceAccelerators (p. 285)객체입니다.

Type: 문자열

ContainerDefinitions.Secrets

이Secrets객체에는 컨테이너로 전달할 암호가 포함됩니다.

283


각 암호에는 다음과 같은 속성이 있을 수 있습니다.

Name

선택


Type: 문자열ValueFrom

선택

컨테이너에 노출될 암호입니다. 값은 Secrets Manager 암호의 전체 ARN 이거나 혹은 SystemsManager 파라미터 스토어 내 파라미터의 전체 ARN입니다.

Type: 문자열

ContainerDefinitions.SystemControls

이SystemControls객체에는 컨테이너에서 설정할 네임스페이스 커널 파라미터의 목록이 포함되어 있습니다.

각 매개 변수에는 다음과 같은 속성이 있을 수 있습니다.

Namespace

선택

값을 설정할 네임스페이스 커널 파라미터입니다.


선택

파라미터 값입니다.

Type: 문자열

ContainerDefinitions.Ulimits

이Ulimits객체에는 컨테이너에 설정할 ulimits 목록이 포함되어 있습니다.

각 ulimit 에는 다음과 같은 속성이 있을 수 있습니다.

HardLimit

선택

ulimit 유형의 하드 제한입니다.

Type: 번호Name

선택

ulimit 의 유형입니다.

284


Type: 문자열

유효한 값:core|cpu|data|fsize|locks|memlock|msgqueue|nice|nofile|nproc|rss|rtprio|rttime|sigpending|stack

SoftLimit

선택

ulimit 유형의 소프트 제한입니다.

Type: 번호

ContainerDefinitions.VolumesFrom

이VolumesFrom객체에는 다른 컨테이너로부터 탑재할 데이터 볼륨 목록이 포함됩니다.

각 데이터 볼륨에는 다음과 같은 속성이 있을 수 있습니다.

ReadOnly

선택

컨테이너에는 볼륨에 대한 읽기 전용 액세스가 부여되는지 여부입니다.

Type: 불SourceContainer

선택

볼륨을 마운트할 동일한 작업 정의 내의 다른 컨테이너 이름입니다.

Type: 문자열

InferenceAccelerators

이InferenceAccelerators객체에는 작업의 컨테이너에 사용할 Elastic Inference 액셀러레이터 목록이포함됩니다.

각 가속기에는 다음과 같은 속성이 있을 수 있습니다.

DeviceName

선택

Amazon Elastic Inference 액셀러레이터 디바이스 이름입니다.

Type: 문자열DeviceType

선택

사용할 Amazon Elastic Inference 액셀러레이터 유형입니다.

Type: 문자열

PlacementConstraints

이PlacementConstraints객체에는 작업에 사용할 배치 제약 객체의 목록이 들어 있습니다.

285


각 배치 구속에는 다음과 같은 속성이 있을 수 있습니다.

Expression

선택

제약에 적용할 클러스터 쿼리 언어 표현식입니다.

Type: 문자열Type

선택

제약의 유형입니다.

Type: 문자열

ProxyConfiguration

이ProxyConfiguration객체에는 App Mesh 프록시에 대한 구성 세부 정보가 포함됩니다.

ProxyConfiguration에는 다음과 같은 속성이 있을 수 있습니다.

ContainerName

선택

App Mesh 프록시로 사용할 컨테이너의 이름입니다.

Type: 문자열ProxyConfigurationProperties (p. 286)

선택

키-값 페어로 지정된 CNI (Container Network Interface) 플러그인에 제공하는 네트워크 구성 파라미터세트입니다.

Type: 객체 배열Type

선택

프록시 유형입니다.

Type: 문자열

유효한 값: APPMESH

ProxyConfigurationProperties

이ProxyConfigurationProperties객체에는 CNI (Container Network Interface) 플러그인에 제공하는네트워크 구성 파라미터 세트가 포함되어 있습니다.


Name

선택

286




선택

속성 값입니다.

Type: 문자열

Volumes

이Volumes객체는 다른 컨테이너로부터 탑재할 데이터 볼륨을 나열합니다.

각 데이터 볼륨에는 다음과 같은 속성이 있을 수 있습니다.

DockerVolumeConfiguration (p. 287)

선택

Docker 볼륨에 대한 정보입니다.

Type: 객체EfsVolumeConfiguration (p. 288)

작업 저장을 위해 사용되는 Amazon Elastic File System 파일 시스템에 대한 정보입니다.

선택

Type: 객체Host (p. 289)

선택

바인드 마운트 호스트 볼륨에 대한 정보입니다.

Type: 객체Name

데이터 볼륨의 이름입니다.

선택

Type: 문자열

DockerVolumeConfiguration

이DockerVolumeConfiguration객체는 Docker 볼륨에 대한 정보를 제공합니다.

DockerVolumeConfiguration에는 다음과 같은 속성이 있을 수 있습니다.

Autoprovision

선택

도커 볼륨이 아직 없으면 자동으로 생성할지 여부를 지정합니다.

Type: 불

287


Driver

선택

사용할 도커 볼륨 드라이버입니다.

Type: 문자열DriverOpts

선택

전달되는 도커 드라이버 전용 옵션의 맵입니다.

Type: 문자열 맵Labels

선택

Docker 볼륨에 추가할 사용자 지정 메타데이터입니다.

Type: 문자열 맵Scope

선택

수명 주기를 결정하는 도커 볼륨의 범위입니다. 작업의 범위가 지정된 도커 볼륨은 작업이 시작될 때 자동으로 프로비저닝되고 작업이 중단되면 폐기됩니다. 공유되는 Docker 볼륨은 작업이 중단 된 후에도유지됩니다.

Type: 문자열

유효한 값: shared | task

EfsVolumeConfiguration

이EfsVolumeConfiguration객체는 작업 스토리지에 사용되는 Amazon Elastic File System (AmazonEFS) 파일 시스템에 대한 정보를 제공합니다.

EfsVolumeConfiguration에는 다음과 같은 속성이 있을 수 있습니다.

AuthorizationConfig

선택

Amazon EFS 파일 시스템에 대한 권한 부여 구성 세부 정보입니다.

Type: 객체AuthorizationConfig.AccessPointId

선택

사용할 Amazon EFS 액세스 포인트 식별자입니다.

Type: 문자열AuthorizationConfig.Iam

선택

Amazon EFS 파일 시스템을 탑재할 때 작업 정의에 정의된 Amazon ECS 작업 IAM 역할을 사용할지 여부입니다.

288


Type: 문자열

유효한 값: DISABLED | ENABLEDFilesystemId

선택

사용할 Amazon EFS 파일 시스템 식별자입니다.

Type: 문자열RootDirectory

선택

호스트 내의 루트 디렉터리로 탑재할 Amazon EFS 파일 시스템 내 디렉터리입니다.

Type: 문자열TransitEncryption

선택

Amazon ECS 호스트와 Amazon EFS 서버 간에 전송 중인 Amazon EFS 데이터에 대해 암호화를 활성화할지 여부입니다.

Type: 문자열

유효한 값: DISABLED | ENABLEDTransitEncryptionPort

선택

Amazon ECS 호스트와 Amazon EFS 서버 간에 암호화된 데이터를 전송할 때 사용할 포트입니다.

Type: 번호

Host

이Host객체는 바인드 마운트 호스트 볼륨에 대한 정보를 제공합니다.

Host에는 다음과 같은 속성이 있을 수 있습니다.

SourcePath

선택

컨테이너에 제공되는 호스트 컨테이너 인스턴스에 대한 경로입니다. Fargate 시작 유형에는 지원되지않습니다.

Type: 문자열

AwsElasticBeanstalkEnvironment

이AwsElasticBeanstalkEnvironment객체에 대한 세부 정보를 포함합니다.AWS Elastic Beanstalk환경을 사용합니다.

예

"AwsElasticBeanstalkEnvironment": {

289


"ApplicationName": "MyApplication", "Cname": "myexampleapp-env.devo-2.elasticbeanstalk-internal.com", "DateCreated": "2021-04-30T01:38:01.090Z", "DateUpdated": "2021-04-30T01:38:01.090Z", "Description": "Example description of my awesome application", "EndpointUrl": "eb-dv-e-p-AWSEBLoa-abcdef01234567890-021345abcdef6789.us-east-1.elb.amazonaws.com", "EnvironmentArn": "arn:aws:elasticbeanstalk:us-east-1:123456789012:environment/MyApplication/myapplication-env", "EnvironmentId": "e-abcd1234", "EnvironmentLinks": [ { "EnvironmentName": "myexampleapp-env", "LinkName": "myapplicationLink" } ], "EnvironmentName": "myapplication-env", "OptionSettings": [ { "Namespace": "aws:elasticbeanstalk:command", "OptionName": "BatchSize", "Value": "100" }, { "Namespace": "aws:elasticbeanstalk:command", "OptionName": "Timeout", "Value": "600" }, { "Namespace": "aws:elasticbeanstalk:command", "OptionName": "BatchSizeType", "Value": "Percentage" }, { "Namespace": "aws:elasticbeanstalk:command", "OptionName": "IgnoreHealthCheck", "Value": "false" }, { "Namespace": "aws:elasticbeanstalk:application", "OptionName": "Application Healthcheck URL", "Value": "TCP:80" } ], "PlatformArn": "arn:aws:elasticbeanstalk:us-east-1::platform/Tomcat 8 with Java 8 running on 64bit Amazon Linux/2.7.7", "SolutionStackName": "64bit Amazon Linux 2017.09 v2.7.7 running Tomcat 8 Java 8", "Status": "Ready", "Tier": { "Name": "WebServer" "Type": "Standard" "Version": "1.0" }, "VersionLabel": "Sample Application"}

AwsElasticBeanstalkEnvironment에는 다음과 같은 속성이 있을 수 있습니다.

ApplicationName

선택

환경과 연결된 애플리케이션의 이름입니다.

Type: 문자열

290


최소 길이: 1

최대 길이: 100Cname

선택

이 환경에 대한 CNAME의 URL입니다.

Type: 문자열

최소 길이: 1

최대 길이: 255DateCreated

선택

이 환경의 생성 날짜입니다.

Type: 문자열


DateUpdated

선택

이 환경이 마지막으로 수정된 날짜입니다.

Type: 문자열


Description

선택

환경에 대한 설명입니다.

Type: 문자열EndpointUrl

선택

로드 밸런싱 수행된 Auto Scaling 환경의 경우 로드 밸런서에 대한 URL입니다. 단일 인스턴스 환경의 경우 인스턴스의 IP 주소입니다.

Type: 문자열EnvironmentArn

선택

환경의 ARN 입니다.

Type: 문자열EnvironmentId

선택

291




환경의 식별자입니다.

Type: 문자열EnvironmentLinks (p. 293)

선택

동일한 그룹에 있는 다른 환경에 대한 링크입니다.

Type: 객체 배열EnvironmentName

선택

환경의 이름입니다.

Type: 문자열OptionSettings (p. 293)

선택

환경에 대한 구성 설정입니다.

Type: 객체 배열PlatformArn

선택

환경의 플랫폼 버전의 ARN 입니다.

Type: 문자열SolutionStackName

선택

환경과 함께 배포되는 솔루션 스택의 이름입니다.


선택

환경의 현재 작동 상태입니다.

Type: 문자열

유효한 값:Aborting|Launching|Updating|LinkingFrom|LinkingTo|Ready|Terminating|Terminated

Tier (p. 294)

선택

환경의 계층입니다.

Type: 객체VersionLabel

선택

292


환경의 응용 프로그램 버전입니다.

Type: 문자열

EnvironmentLinks

이EnvironmentLinks개체에는 동일한 그룹에 있는 다른 환경에 대 한 링크에 대 한 정보가 포함 되어 있습니다.

각 환경 링크에는 다음과 같은 속성이 있을 수 있습니다.

EnvironmentName

선택

연결된 환경의 이름입니다.

Type: 문자열LinkName

선택

환경 링크의 이름입니다.

Type: 문자열

OptionSettings

이OptionSettings개체에는 환경에 대한 구성 옵션 설정이 포함되어 있습니다. Elastic Beanstalk 에서 구성 옵션을 설정하는 방법에 대한 자세한 내용은 단원을 참조하세요.구성 옵션의AWS Elastic Beanstalk개발자 안내서.

각 설정은 다음과 같은 특성을 가진 개체에서 제공됩니다.

Namespace

선택

구성 옵션이 연결된 리소스를 식별하는 데 사용됩니다.

Type: 문자열OptionName

선택

옵션의 이름입니다.

Type: 문자열ResourceName

선택

구성 설정에 대한 리소스 이름입니다.

Type: 문자열

최소 길이: 1

최대 길이: 256

293

https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/command-options.html


Value

선택

구성 설정의 값입니다.

Type: 문자열

Tier

이Tier객체에는 환경 계층에 대한 정보가 들어 있습니다.

계층에는 다음과 같은 속성이 있을 수 있습니다.

Name

선택

환경 계층의 이름입니다.

Type: 문자열

유효한 값: WebServer | WorkerType

선택

환경 티어의 유형입니다.

Type: 문자열

유효한 값: Standard | SQS/HTTPVersion

선택

환경 티어의 버전입니다.

Type: 문자열

AwsElasticSearchDomain이AwsElasticSearchDomain객체는 Elasticsearch 도메인에 대한 세부 정보를 제공합니다.


AccessPolicies

선택

새 Amazon ES 도메인에 대한 액세스 정책을 지정하는 IAM 정책 문서입니다.

Type: 문자열DomainEndpointOptions (p. 295)

선택

도메인 엔드포인트에 대한 추가 옵션입니다.

Type: 객체

294


DomainStatus (p. 296)

선택

도메인 상태에 대한 세부 정보입니다.

Type: 객체ElasticsearchVersion

선택

Elasticsearch 버전입니다.

Type: 문자열EncryptionAtRestOptions (p. 297)

선택

저장 중 암호화의 구성에 대한 세부 정보입니다.

Type: 객체LogPublishingOptions (p. 297)

선택

엘라스틱 검색 도메인에 대해 게시하도록 CloudWatch Logs 구성합니다.

Type: 객체NodeToNodeEncryptionOptions (p. 297)

선택

노드 간 암호화의 구성에 대한 세부 정보입니다.

Type: 객체ServiceSoftwareOptions (p. 298)

선택

최신 서비스 소프트웨어와 관련된 도메인 상태에 대한 정보입니다.

Type: 객체VPCOptions (p. 299)

선택

Amazon ES에서 파생하는 정보VPCOptions도메인에 대한 도메인 이름을 합니다.

Type: 객체

DomainEndpointOptions

DomainEndpointOptions 객체는 도메인 엔드포인트의 추가 옵션에 대한 정보를 제공합니다.


EnforceHTTPS

선택

295


도메인에 대한 모든 트랙픽이 HTTPS를 통해 도착해야 하는지 여부입니다.

Type: 불TLSSecurityPolicy

선택

Elasticsearch 도메인의 HTTPS 엔드포인트에 적용할 TLS 보안 정책입니다.

Type: 문자열

유효한 값:• Policy-Min-TLS-1-0-2019-07 - TLSv1.0 이상을 지원• Policy-Min-TLS-1-2-2019-07 - TLSv1.2만 지원

DomainStatus

DomainStatus 객체는 도메인 상태에 대한 세부 정보를 제공합니다.


DomainId

선택

Amazon ES 도메인의 고유한 식별자입니다.

Type: 문자열DomainName

선택

Amazon ES 도메인의 이름입니다.

도메인 이름은 AWS 리전 내에서 동일한 계정이 소유한 모든 도메인 간에 고유합니다.

최소 길이:3자

최대 길이:28문자

유효한 값: 소문자로 시작하고 a-z (소문자만), 0-9 및 — (하이픈) 을 사용합니다.

Type: 문자열Endpoint

선택

Amazon ES 도메인으로 인덱스, 검색 및 데이터 업로드 요청을 제출하는 데 사용되는 도메인별 엔드포인트입니다.

엔드포인트는 서비스 URL입니다.

Type: 문자열Endpoints

선택

Amazon ES 도메인이 VPC 엔드포인트를 사용할 경우 존재하는 키-값 페어입니다.

296



예

"vpc": "<VPC_ENDPOINT>"

EncryptionAtRestOptions

EncryptionAtRestOptions 객체는 저장 중 암호화의 구성에 대한 세부 정보를 제공합니다.


Enabled

선택

저장 중 암호화가 활성화되어 있는지 여부입니다.

Type: 불KmsKeyId

선택

AWS KMS 키 ID입니다. 1a2a3a4-1a2a-3a4a-5a6a-1a2a3a4a5a6a 양식을 사용합니다.

Type: 문자열

LogPublishingOptions

이LogPublishingOptions객체는 엘라스틱 검색 도메인에 대해 게시하도록 CloudWatch Logs 구성합니다.

이IndexSlowLogs개체는 Elasticsearch 인덱스 로그 게시를 구성합니다.

이SearchSlowLogs객체는 Elasticsearch 느린 로그 게시를 구성합니다.

각 객체에는 다음과 같은 속성이 있습니다.

CloudWatchLogsLogGroupArn

선택

로그를 게시할 CloudWatch Logs 그룹의 ARN 입니다.

Type: 문자열Enabled

선택

로그 게시를 활성화할지 여부입니다.

Type: 불

NodeToNodeEncryptionOptions

NodeToNodeEncryptionOptions 객체는 노드 간 암호화의 구성에 대한 세부 정보를 제공합니다.


297


Enabled

선택

노드 간 암호화가 활성화되는지 여부입니다.

Type: 불

ServiceSoftwareOptions

이ServiceSoftwareOptions개체는 최신 서비스 소프트웨어와 관련된 도메인 상태에 대한 정보를 제공합니다.

ServiceSoftwareOptions에는 다음과 같은 속성이 있을 수 있습니다.

AutomatedUpdateDate

선택

필요한 업데이트에 대해 배포 창이 닫히는 신기원입니다. 이 시간이 지나면 Amazon ElasticsearchService 소프트웨어 업그레이드 일정을 자동으로 예약합니다.

Type: 문자열Cancellable

선택

도메인 업데이트 요청을 취소할 수 있는지 여부입니다.

Type: 불CurrentVersion

선택

도메인에 현재 설치되어 있는 서비스 소프트웨어의 버전입니다.


선택

서비스 소프트웨어 상태에 대한 자세한 설명입니다.

Type: 문자열NewVersion

선택

서비스 소프트웨어의 최신 버전입니다.

Type: 문자열UpdateAvailable

선택

도메인에 대해 서비스 소프트웨어 업데이트를 사용할 수 있는지 여부입니다.

Type: 불

298


UpdateStatus

선택

서비스 소프트웨어 업데이트의 상태입니다.

Type: 문자열

유효한 값: ELIGIBLE|PENDING_UPDATE| IN_PROGRESS|COMPLETED|NOT_ELIGIBLE

VpcOptions

이VpcOptions객체에는 Amazon ES가 기반으로 파생되는 정보가 포함되어 있습니다.VPCOptions도메인에 대한 도메인 이름을 합니다.


AvailabilityZones

선택

VPC 서브넷과 연결된 가용 영역의 목록입니다.

Type: 문자열 배열SecurityGroupIds

선택

도메인의 VPC 엔드포인트와 연결된 보안 그룹 ID의 목록입니다.

Type: 문자열 배열.SubnetIds

선택

도메인의 VPC 엔드포인트와 연결된 서브넷 ID의 목록입니다.

Type: 문자열 배열VPCId

선택

VPC 식별자입니다.

Type: 문자열

AwsElbLoadBalancer

이AwsElbLoadBalancer객체에는 Classic Load Balancer 대한 세부 정보가 포함됩니다.

예

"AwsElbLoadBalancer": { "AvailabilityZones": ["us-west-2a"], "BackendServerDescriptions": [ { "InstancePort": 80, "PolicyNames": ["doc-example-policy"]

299


} ], "CanonicalHostedZoneName": "Z3DZXE0EXAMPLE", "CanonicalHostedZoneNameID": "my-load-balancer-444455556666.us-west-2.elb.amazonaws.com", "CreatedTime": "2020-08-03T19:22:44.637Z", "DnsName": "my-load-balancer-444455556666.us-west-2.elb.amazonaws.com", "HealthCheck": { "HealthyThreshold": 2, "Interval": 30, "Target": "HTTP:80/png", "Timeout": 3, "UnhealthyThreshold": 2 }, "Instances": [ { "InstanceId": "i-example" } ], "ListenerDescriptions": [ { "Listener": { "InstancePort": 443, "InstanceProtocol": "HTTPS", "LoadBalancerPort": 443, "Protocol": "HTTPS", "SslCertificateId": "arn:aws:iam::444455556666:server-certificate/my-server-cert" }, "PolicyNames": ["ELBSecurityPolicy-TLS-1-2-2017-01"] } ], "LoadBalancerAttributes": { "AccessLog": { "EmitInterval": 60, "Enabled": true, "S3BucketName": "doc-example-bucket", "S3BucketPrefix": "doc-example-prefix" }, "ConnectionDraining": { "Enabled": false, "Timeout": 300 }, "ConnectionSettings": { "IdleTimeout": 30 }, "CrossZoneLoadBalancing": { "Enabled": true } }, "LoadBalancerName": "example-load-balancer", "Policies": { "AppCookieStickinessPolicies": [ { "CookieName": "", "PolicyName": "" } ], "LbCookieStickinessPolicies": [ { "CookieExpirationPeriod": 60, "PolicyName": "my-example-cookie-policy" } ], "OtherPolicies": [ "my-PublicKey-policy",

300


"my-authentication-policy", "my-SSLNegotiation-policy", "my-ProxyProtocol-policy", "ELBSecurityPolicy-2015-03" ] }, "Scheme": "internet-facing", "SecurityGroups": ["sg-example"], "SourceSecurityGroup": { "GroupName": "my-elb-example-group", "OwnerAlias": "444455556666" }, "Subnets": ["subnet-example"], "VpcId": "vpc-a01106c2"}

AwsElbLoadBalancer에는 다음과 같은 속성이 있을 수 있습니다.

AvailabilityZones

선택

로드 밸런서에 대한 가용 영역 목록입니다.

Type: 문자열 배열BackendServerDescriptions (p. 303)

선택

EC2 인스턴스의 구성에 대한 정보입니다.

Type: 객체 배열CanonicalHostedZoneName

선택

로드 밸런서에 대한 Amazon Route53 호스팅 영역의 이름입니다.

Type: 문자열CanonicalHostedZoneNameID

선택

로드 밸런서에 대한 Amazon Route53 호스팅 영역의 ID입니다.

Type: 문자열CreatedTime

선택

로드 밸런서가 생성된 시기를 나타냅니다.

Type: 문자열


예

"CreatedTime": "2017-03-22T13:22:13.933Z"

301



DnsName

선택

로드 밸런서의 DNS 이름입니다.

Type: 문자열HealthCheck (p. 303)

선택

로드 밸런서에서 수행되는 상태 확인에 대한 정보입니다.

Type: 객체Instances (p. 305)

선택

로드 밸런서의 EC2 인스턴스 목록입니다.

Type: 객체 배열ListenerDescriptions (p. 305)

선택

로드 밸런서 리스너에 대해 사용하도록 설정된 정책입니다.

Type: 객체 배열LoadBalancerAttributes (p. 306)

선택

로드 밸런서의 특성입니다.

Type: 객체LoadBalancerName

선택

로드 밸런서의 이름입니다.

Type: 문자열Policies (p. 308)

선택

로드 밸런서에 대한 정책입니다.

Type: 객체Scheme

선택

로드 밸런서 유형입니다. 로드 밸런서가 VPC 있는 경우에만 제공됩니다.

Scheme이 internet-facing인 경우 로드 밸런서에는 퍼블릭 IP 주소로 해석되는 퍼블릭 DNS 이름이 있습니다.

Scheme이 internal인 경우 로드 밸런서에는 프라이빗 IP 주소로 해석되는 퍼블릭 DNS 이름이 있습니다.

302


Type: 문자열

유효한 값: internet-facing | internalSecurityGroups

선택

로드 밸런서 보안 그룹입니다. 로드 밸런서가 VPC 있는 경우에만 제공됩니다.

Type: 문자열 배열SourceSecurityGroup (p. 309)

선택

로드 밸런서의 보안 그룹에 대한 정보입니다. 인바운드 규칙에 사용되는 보안 그룹입니다.

Type: 객체Subnets

선택

로드 밸런서의 서브넷 식별자의 목록입니다.

Type: 문자열 배열VpcId

선택

로드 밸런서에 대한 VPC 식별자입니다.

Type: 문자열

BackendServerDescriptions

이BackendServerDescriptions객체는 로드 밸런서를 위한 EC2 인스턴스의 구성에 대한 정보를 제공합니다.

각 EC2 인스턴스에 대해BackendServerDescriptions에는 다음과 같은 속성이 있을 수 있습니다.

InstancePort

선택

EC2 인스턴스가 수신 대기하는 포트입니다.

Type: 번호PolicyNames

선택

EC2 인스턴스에 대해 활성화되는 정책의 이름입니다.


HealthCheck

이HealthCheck개체에는 로드 밸런서에서 수행되는 상태 확인에 대한 정보가 들어 있습니다.

HealthCheck에는 다음과 같은 속성이 있을 수 있습니다.

303


HealthyThreshold

선택

인스턴스를 정상 상태로 전환하기 전에 필요한 연속 상태 검사 성공 횟수입니다.

Type: 번호

최소값 2

최대 값 10Interval

선택

개별 인스턴스의 대략적인 상태 검사 간격(초)입니다.

Type:숫자

최소값 5

최대 값 300Target

선택

검사할 인스턴스입니다. 대상은 프로토콜과 포트를 지정합니다. 사용 가능한 프로토콜은 TCP, SSL,HTTP 및 HTTPS입니다. 유효한 포트 범위는 1~65535입니다.

HTTP 및 HTTPS 프로토콜의 경우 대상은 핑 경로도 지정합니다.

TCP 프로토콜의 경우 대상은 다음과 같이 지정됩니다.TCP: <port>.

SSL 프로토콜의 경우 대상은SSL.<port>.

HTTP 및 HTTPS 프로토콜의 경우 대상은<protocol>:<port>/<path to ping>.

Type: 문자열

최대 길이: 1,024

예: HTTP:80/pngTimeout

선택

상태 검사 실패를 의미하는 응답이 없는 기간입니다.

Type: 번호

최소값 2

최대 값 60UnhealthyThreshold

선택

인스턴스가 비정상 상태로 전환되기 전에 발생해야 하는 연속 상태 검사 실패 횟수입니다.

Type: 번호

304


최소값 2

최대 값 10

Instances

이Instances객체에는 로드 밸런서에 대한 EC2 인스턴스 목록이 포함됩니다.

각 EC2 인스턴스에는 다음과 같은 속성이 있을 수 있습니다.

InstanceId

선택

인스턴스 식별자입니다.

Type: 문자열

ListenerDescriptions

이ListenerDescriptions개체는 로드 밸런서 수신기에 대해 사용하도록 설정된 정책을 나열합니다.

ListenerDescriptions에는 다음과 같은 속성이 있을 수 있습니다.

Listener

선택

리스너에 대한 정보입니다.

Type: 객체PolicyNames

선택

리스너에 대해 활성화된 정책입니다.


이Listener객체에는 리스너에 대한 정보가 포함되어 있습니다.

Listener에는 다음과 같은 속성이 있을 수 있습니다.

InstancePort

선택

인스턴스 서버가 수신 대기하는 포트입니다.

Type: 번호

최소값 1

최대 값 65,53535InstanceProtocol

선택

인스턴스에 트래픽을 라우팅하는 데 사용할 프로토콜입니다.

305


Type: 문자열

유효한 값: HTTP|HTTPS|TCP|SSLLoadBalancerPort

선택

로드 밸런서가 수신 대기하는 포트입니다.

EC2-VPC에서 1-65535 범위에서 포트를 지정할 수 있습니다.

EC2-Classic에서 포트를 지정할 수 있습니다. 25, 80, 443, 443, 587, 587, 587, 587, 587, 587,


선택

라우팅에 사용할 로드 밸런서 전송 프로토콜입니다.

Type: 문자열

유효한 값: HTTP|HTTPS|TCP|SSLSslCertificateId

선택

서버 인증서의 ARN입니다.

Type: 문자열

LoadBalancerAttributes

이LoadBalancerAttributes객체에는 로드 밸런서에 대한 속성이 포함되어 있습니다.

LoadBalancerAttributes에는 다음과 같은 속성이 있을 수 있습니다.

AccessLog

선택

로드 밸런서에 대한 액세스 로그 구성에 대한 정보입니다.

액세스 로그가 활성화된 경우 로드 밸런서는 모든 요청에 대한 세부 정보를 캡처합니다. 지정된 S3 버킷에 정보를 전송합니다.

Type: 객체ConnectionDraining

선택

로드 밸런서에 대한 연결 드레이닝을 구성하는 방법에 대한 정보입니다.

연결 드레이닝이 활성화되어 있으면 로드 밸런서는 등록 취소된 또는 비정상 상태의 인스턴스에서 트래픽을 차단하기 전에 기존 요청을 완료할 수 있게 해줍니다.

Type: 객체ConnectionSettings

선택

306


로드 밸런서의 연결 설정입니다.

유휴 시간 초과가 구성된 경우 로드 밸런서에서 지정된 기간 동안 연결을 유휴 상태로 유지하도록 허용합니다. 연결이 유휴 상태이면 연결을 통해 데이터가 전송되지 않습니다.

Type: 객체CrossZoneLoadBalancing

선택

로드 밸런서에 대한 교차 영역 로드 밸런싱 설정입니다.

교차 영역 로드 밸런싱이 활성화되어 있으면 로드 밸런서는 가용 영역과 상관없이 요청 트래픽을 모든인스턴스에 균일하게 라우팅합니다.

Type: 객체

이AccessLog객체에는 로드 밸런서에 대한 액세스 로그 구성에 대한 정보가 들어 있습니다.

AccessLog에는 다음과 같은 속성이 있을 수 있습니다.

EmitInterval

선택

액세스 로그의 게시 간격 (분) 입니다.

5분마다 또는 60분마다 액세스 로그를 게시할 수 있습니다.

Type: 번호

유효한 값: 5 | 60Enabled

선택

로드 밸런서에 대해 액세스 로그를 활성화할지 여부를 나타냅니다.

Type: 불S3BucketName

선택

액세스 로그가 저장되는 S3 버킷의 이름입니다.

Type: 문자열S3BucketPrefix

선택

S3 버킷에 대해 생성된 논리적 계층입니다.

접두사를 제공하지 않으면 로그가 버킷의 루트 수준에 저장됩니다.

Type: 문자열

이ConnectionDraining개체에는 로드 밸런서를 위한 연결 드림 구성에 대한 정보가 포함됩니다.

ConnectionDraining에는 다음과 같은 속성이 있을 수 있습니다.

307


Enabled

선택

로드 밸런서에 대해 연결 드레이닝을 활성화할지 여부를 나타냅니다.

Type: 불Timeout

선택

기존 연결을 얼마나 유지하다가 인스턴스 등록을 해제할지를 지정하는 최대 시간(초)입니다.

Type: 번호

이ConnectionSettings개체에는 로드 밸런서에 대한 연결 설정이 포함되어 있습니다.

ConnectionSettings에는 다음과 같은 속성이 있을 수 있습니다.

IdleTimeout

선택

로드 밸런서가 연결을 종료하기 전에 연결 유휴 상태 (연결을 통해 데이터가 전송되지 않음) 를 허용하는시간 (초) 입니다.

Type: 번호

이CrossZoneLoadBalancing객체에는 로드 밸런서에 대한 교차 영역 로드 밸런싱 설정이 들어 있습니다.

CrossZoneLoadBalancing에는 다음과 같은 속성이 있을 수 있습니다.

Enabled

선택

로드 밸런서에 대해 교차 영역 로드 밸런싱의 활성화 여부를 나타냅니다.

Type: 불

Policies

이Policies객체에는 로드 밸런서에 대한 정책에 대한 정보가 포함됩니다.

Policies에는 다음과 같은 속성이 있을 수 있습니다.

AppCookieStickinessPolicies

선택

사용 하 여 생성 되는 고정 정책CreateAppCookieStickinessPolicy.

Type: 객체 배열LbCookieStickinessPolicies

선택

사용 하 여 생성 되는 고정 정책CreateLBCookieStickinessPolicy.

308


Type: 객체 배열OtherPolicies

선택

고정 정책 이외의 정책입니다.


이AppCookieStickinessPolicies개체를 사용 하 여 만든 고정 정책에 대 한 정보를 포함CreateAppCookieStickinessPolicy.

각 정책에는 다음과 같은 속성이 있을 수 있습니다.

CookieName

선택

고정에 사용되는 애플리케이션 쿠키의 이름입니다.

Type: 문자열PolicyName

선택

생성하는 정책의 니모닉 이름입니다. 이 이름은 로드 밸런서에 대한 정책 세트 내에서 고유해야 합니다.

Type: 문자열

이LbCookieStickinessPolicies객체에는 사용하여 생성된 고정 정책에 대한 정보가 들어 있습니다.CreateLBCookieStickinessPolicy.


CookieExpirationPeriod

선택

쿠키가 오래된 것으로 간주되는 시간 (초) 입니다. 만료 기간을 지정하지 않은 경우 브라우저 세션 동안고정 세션이 지속됩니다.

Type: 번호PolicyName

선택

정책의 이름입니다. 이 이름은 로드 밸런서에 대한 정책 세트 내에서 고유해야 합니다.

Type: 문자열

SourceSecurityGroup

이SourceSecurityGroup객체에는 로드 밸런서 보안 그룹에 대한 정보가 들어 있습니다.

SourceSecurityGroup에는 다음과 같은 속성이 있을 수 있습니다.

GroupName

선택

309



Type: 문자열OwnerAlias

선택

보안 그룹의 소유자입니다.

Type: 문자열

AwsElbv2LoadBalancerAwsElbv2LoadBalancer 객체는 로드 밸런서에 대한 정보를 제공합니다.


AvailabilityZones (p. 311)

선택

로드 밸런서에 대한 가용 영역입니다.

Type: 객체CanonicalHostedZoneId

선택

로드 밸런서와 연결된 Amazon Route53 호스팅 영역의 ID입니다.

Type: 문자열CreatedTime

선택

로드 밸런서가 생성된 시기를 나타냅니다.

Type: 문자열


DNSName

선택

로드 밸런서의 퍼블릭 DNS 이름입니다.

Type: 문자열IpAddressType

선택

로드 밸런서의 서브넷이 사용하는 IP 주소 유형입니다.

가능한 값은 ipv4(IPv4 주소) 및 dualstack(IPv4 및 IPv6 주소)입니다.

Type: 문자열Scheme

선택

310



인터넷 경계 로드 밸런서의 노드는 퍼블릭 IP 주소를 가집니다.

Type: 문자열SecurityGroups

선택

로드 밸런서에 대한 보안 그룹의 ID입니다.

Type: 문자열 배열State (p. 311)

선택

로드 밸런서의 상태입니다.

Type: 객체Type

선택

로드 밸런서 유형입니다.


선택

로드 밸런서에 대한 VPC의 ID입니다.

Type: 문자열

AvailabilityZones

로드 밸런서의 가용 영역을 지정합니다.

각 가용 영역에는 다음과 같은 속성이 있을 수 있습니다.

SubnetId

선택

서브넷의 ID입니다.

Type: 문자열ZoneName

선택

가용 영역의 이름입니다.

Type: 문자열

State

로드 밸런서의 상태에 대한 정보입니다.

State 객체에는 다음과 같은 속성이 있을 수 있습니다.

311


Code

선택

상태 코드입니다.

로드 밸런서의 초기 상태는 프로비저닝입니다.

로드 밸런서가 완전히 설정되고 트래픽을 라우팅할 준비가 되면 상태가 활성화됩니다.

로드 밸런서를 설정할 수 없는 경우 상태가 실패한 것입니다.

Type: 문자열Reason

선택


Type: 문자열

AwsIamAccessKey이AwsIamAccessKey객체에는 결과와 관련된 IAM 액세스 키에 대한 세부 정보가 들어 있습니다.

AwsIamAccessKey 객체에는 다음과 같은 속성이 있을 수 있습니다.

AccessKeyId

선택

액세스 키의 식별자입니다.

Type: 문자열

최소 길이: 16

최대 길이: 128AccountId

선택

이AWS키의 계정 ID입니다.

Type: 문자열CreatedAt

선택

관련 IAM 액세스 키가 생성된 시기를 나타냅니다.

Type: 문자열


PrincipalId

선택

액세스 키와 연결된 보안 주체의 ID입니다.

312



Type: 문자열PrincipalName

선택

보안 주체의 이름입니다.

Type: 문자열PrincipalType

선택

보안 주체의 유형입니다.

Type: 문자열SessionContext (p. 313)

선택

키가 사용된 세션에 대한 정보입니다.

Type: 객체Status

선택

결과와 관련된 IAM 액세스 키의 상태입니다. 유효 값은 ACTIVE 및 INACTIVE입니다.

Type: 열거형UserName

이 속성은 더 이상 사용되지 않습니다. 대신 PrincipalName를 사용합니다.

키가 할당된 IAM 사용자의 이름입니다.

Type: 문자열

SessionContext

이SessionContext객체는 키가 사용된 세션에 대한 정보를 제공합니다.

SessionContext에는 다음과 같은 속성이 있을 수 있습니다.

Attributes

선택

키가 사용된 세션의 속성입니다.

Type: 객체SessionIssuer

선택

세션을 만든 엔터티에 대한 정보입니다.

Type: 객체

Attributes 객체에는 다음과 같은 속성이 있을 수 있습니다.

313


CreationDate

선택

세션이 생성된 시기를 나타냅니다.

Type: 문자열


예

"CreationDate": "2017-03-22T13:22:13.933Z"

MfaAuthenticated

선택

세션에서 MFA (멀티 팩터 인증) 를 사용했는지 여부를 나타냅니다.

Type: 불

SessionIssuer 객체에는 다음과 같은 속성이 있을 수 있습니다.

AccountId

선택

의 식별자입니다.AWS계정을 생성합니다.

Type: 문자열Arn

선택

세션의 ARN 입니다.

Type: 문자열PrincipalId

선택

세션을 작성한 보안 주체 (사용자, 역할 또는 그룹) 의 주도자 ID입니다.

Type: 문자열Type

선택

세션을 생성한 주도자 (사용자, 역할 또는 그룹) 의 유형입니다.

Type: 문자열UserName

선택

세션을 생성한 보안 주체의 이름입니다.

314



Type: 문자열

AwsIamGroup이AwsIamGroup객체에는 IAM 그룹에 대한 세부 정보가 포함됩니다.

예

"AwsIamGroup": { "AttachedManagedPolicies": [ { "PolicyArn": "arn:aws:iam::aws:policy/ExampleManagedAccess", "PolicyName": "ExampleManagedAccess", } ], "CreateDate": "2020-04-28T14:08:37.000Z", "GroupId": "AGPA4TPS3VLP7QEXAMPLE", "GroupName": "Example_User_Group", "GroupPolicyList": [ { "PolicyName": "ExampleGroupPolicy" } ], "Path": "/"}

AwsIamGroup에는 다음과 같은 속성이 있을 수 있습니다.

AttachedManagedPolicies (p. 316)

선택

IAM 그룹에 연결된 관리형 정책의 목록입니다.

Type: 객체 배열

CreateDate

선택

IAM 그룹이 생성된 시기를 나타냅니다.

Type: 문자열


예

"CreateDate": "2017-03-22T13:22:13.933Z"

GroupId

선택

IAM 그룹의 식별자입니다.

Type: 문자열

최소 길이: 16

315



최대 길이: 128GroupName

선택

IAM 그룹의 이름입니다.

Type: 문자열

최소 길이: 1

최대 길이: 128GroupPolicyList (p. 317)

선택

그룹에 포함된 인라인 정책의 목록입니다.

Type: 객체 배열Path

선택

그룹에 대한 경로입니다.

Type: 문자열

최소 길이: 1

최대 길이: 512

AttachedManagedPolicies

이AttachedManagedPolicies객체에는 IAM 그룹에 연결된 관리형 정책의 목록이 들어 있습니다.


PolicyArn

선택

정책의 ARN 입니다.

Type: 문자열

최소 길이: 20

최대 길이: 2,048PolicyName

선택

정책의 이름입니다.

Type: 문자열

최소 길이: 1

최대 길이: 128

316


GroupPolicyList

이GroupPolicyList개체에는 그룹에 포함된 인라인 정책의 목록이 들어 있습니다.


PolicyName

선택


Type: 문자열

최소 길이: 1

최대 길이: 128

AwsIamPolicy

이AwsIamPolicy객체는 IAM 권한 정책을 나타냅니다.

예

"AwsIamPolicy": { "AttachmentCount": 1, "CreateDate": "2017-09-14T08:17:29.000Z", "DefaultVersionId": "v1", "Description": "Example IAM policy", "IsAttachable": true, "Path": "/", "PermissionsBoundaryUsageCount": 5, "PolicyId": "ANPAJ2UCCR6DPCEXAMPLE", "PolicyName": "EXAMPLE-MANAGED-POLICY", "PolicyVersionList": [ { "VersionId": "v1", "IsDefaultVersion": true, "CreateDate": "2017-09-14T08:17:29.000Z" } ], "UpdateDate": "2017-09-14T08:17:29.000Z"}


AttachmentCount

선택

정책이 연결된 사용자, 그룹 및 역할 수입니다.

Type: 번호CreateDate

선택

정책이 생성된 시기입니다.

Type: 문자열

317



예

"CreateDate": "2020-06-22T17:40:12.322Z"

DefaultVersionId

선택

정책의 기본 버전에 대한 식별자입니다.


선택

정책에 대한 설명입니다.

Type: 문자열

최대 길이: 1,000IsAttachable

선택

정책을 사용자, 그룹 또는 역할에 연결할 수 있는지 여부입니다.

Type: 불Path

선택

정책의 경로입니다.

Type: 문자열

최소 길이: 1

최대 길이: 512

경로에 대한 자세한 내용은 IAM 사용 설명서에서 IAM 식별자를 참조하세요.PermissionsBoundaryUsageCount

선택

정책을 사용하여 권한 경계를 설정할 때 정책을 사용하는 사용자 및 역할의 수입니다.

Type: 번호PolicyId

선택

정책의 고유한 식별자입니다.

Type: 문자열

최소 길이: 16

최대 길이: 128

318



PolicyName

선택


Type: 문자열

최소 길이: 1

최대 길이: 128PolicyVersionList (p. 319)

선택

정책의 버전 목록입니다.

Type: 객체 배열UpdateDate

선택

정책이 가장 최근에 업데이트된 시간입니다.

Type: 문자열


예

"UpdateDate": "2020-06-22T17:40:12.322Z"

PolicyVersionList

이PolicyVersionList객체에는 IAM 정책의 버전 목록이 포함됩니다.

각 버전에는 다음과 같은 속성이 있을 수 있습니다.

CreateDate

선택

버전이 작성된 시기를 나타냅니다.

Type: 문자열


예

"CreateDate": "2020-06-22T17:40:12.322Z"

IsDefaultVersion

선택

버전이 기본 버전인지 여부입니다.

319




Type: 불VersionId

선택

정책 버전의 식별자입니다.

Type: 문자열

AwsIamRole

이AwsIamRole객체에는 역할의 정책을 모두 포함한 IAM 역할에 대한 정보가 들어 있습니다.

예

"AwsIamRole": { "AssumeRolePolicyDocument": "{'Version': '2012-10-17','Statement': [{'Effect': 'Allow','Action': 'sts:AssumeRole'}]}", "AttachedManagedPolicies": [ { "PolicyArn": "arn:aws:iam::aws:policy/ExamplePolicy1", "PolicyName": "Example policy 1" }, { "PolicyArn": "arn:aws:iam::444455556666:policy/ExamplePolicy2", "PolicyName": "Example policy 2" } ], "CreateDate": "2020-03-14T07:19:14.000Z", "InstanceProfileList": [ { "Arn": "arn:aws:iam::333333333333:ExampleProfile", "CreateDate": "2020-03-11T00:02:27Z", "InstanceProfileId": "AIPAIXEU4NUHUPEXAMPLE", "InstanceProfileName": "ExampleInstanceProfile", "Path": "/", "Roles": [ { "Arn": "arn:aws:iam::444455556666:role/example-role", "AssumeRolePolicyDocument": "", "CreateDate": "2020-03-11T00:02:27Z", "Path": "/", "RoleId": "AROAJ52OTH4H7LEXAMPLE", "RoleName": "example-role", } ] } ], "MaxSessionDuration": 3600, "Path": "/", "PermissionsBoundary": { "PermissionsBoundaryArn": "arn:aws:iam::aws:policy/AdministratorAccess", "PermissionsBoundaryType": "PermissionsBoundaryPolicy" }, "RoleId": "AROA4TPS3VLEXAMPLE", "RoleName": "BONESBootstrapHydra-OverbridgeOpsFunctionsLambda", "RolePolicyList": [ { "PolicyName": "Example role policy" } ] }

320


AwsIamRole 객체에는 다음과 같은 속성이 있을 수 있습니다.

AssumeRolePolicyDocument

선택

역할을 수임할 권한을 부여하는 신뢰 정책입니다.

Type: 문자열AttachedManagedPolicies (p. 322)

선택

역할에 연결된 관리형 정책의 목록입니다.

Type: 객체 배열CreateDate

선택

역할이 생성된 시기를 나타냅니다.

Type: 문자열


InstanceProfileList (p. 322)

선택

이 역할이 포함된 인스턴스 프로필 목록입니다.

Type: 객체 배열PermissionsBoundary (p. 325)

선택

역할에 대한 권한 경계입니다.

Type: 객체RoleId

선택

역할을 식별하는 안정적이고 고유한 문자열입니다.

Type: 문자열RoleName

선택

역할을 식별하는 기억하기 쉬운 이름입니다.

Type: 문자열RolePolicyList (p. 325)

선택

역할에 포함된 인라인 정책의 목록입니다.

Type: 객체 배열

321



MaxSessionDuration

선택

지정된 역할에 대해 설정하려는 최대 세션 기간(초)입니다.

Type: IntegerPath

선택

역할 경로입니다.

Type: 문자열


이AttachedManagedPolicies객체에는 역할에 연결된 관리형 정책의 목록이 포함되어 있습니다.


PolicyArn

선택


Type: 문자열

최소 길이: 20

최대 길이: 2,048PolicyName

선택


Type: 문자열

최소 길이: 1

최대 길이: 128

InstanceProfileList

이InstanceProfileList객체에는 이 역할이 포함된 인스턴스 프로필 목록이 포함됩니다.

각 인스턴스 프로필에는 다음과 같은 속성이 있을 수 있습니다.

Arn

선택

인스턴스 프로파일의 ARN.

Type: 문자열CreateDate

선택

322


인스턴스 프로필이 생성된 시기를 나타냅니다.

Type: 문자열


예

"CreateDate": "2017-03-22T13:22:13.933Z"

InstanceProfileId

선택

인스턴스 프로파일의 식별자입니다.

Type: 문자열

최소 길이: 16

최대 길이: 128InstanceProfileName

선택

인스턴스 프로파일의 이름입니다.

Type: 문자열

최소 길이: 1

최대 길이: 128Path

선택

인스턴스 프로파일의 경로입니다.

Type: 문자열

최소 길이: 1

최대 길이: 512Roles

선택

인스턴스 프로파일과 연결된 역할입니다.

Type: 객체 배열

의 각 역할Roles에는 다음과 같은 속성이 있을 수 있습니다.

Arn

선택

역할의 ARN입니다.

323



Type: 문자열AssumeRolePolicyDocument

선택

엔터티에 역할을 수임할 권한을 부여하는 정책입니다.

Type: 문자열

최소 길이: 1

최대 길이: 131,072CreateDate

선택

역할이 생성된 시기를 나타냅니다.

Type: 문자열


예

"CreateDate": "2017-03-22T13:22:13.933Z"

Path

선택

역할 경로입니다.

Type: 문자열

최소 길이: 1

최대 길이: 512RoleId

선택

역할의 식별자입니다.

Type: 문자열

최소 길이: 16

최대 길이: 128RoleName

선택

역할의 이름입니다.

Type: 문자열

최소 길이: 1

최대 길이: 64

324



PermissionsBoundary

이PermissionsBoundary객체는 역할에 대한 사용 권한 경계에 대한 정보를 제공합니다.

PermissionsBoundary에는 다음과 같은 속성이 있을 수 있습니다.

PermissionsBoundaryArn

선택

권한 경계 설정에 사용되는 정책의 ARN 입니다.

Type: 문자열PermissionsBoundaryType

선택

권한 경계 설정에 사용되는 리소스의 유형입니다.

Type: 문자열

유효한 값: Policy

RolePolicyList

이RolePolicyList 객체에는 역할에 포함된 인라인 정책의 목록이 포함되어 있습니다.


PolicyName

선택


Type: 문자열

최소 길이: 1

최대 길이: 128

AwsIamUser

이AwsIamUser객체는 IAM 사용자에 대한 정보를 제공합니다.

예

"AwsIamUser": { "AttachedManagedPolicies": [ { "PolicyName": "ExamplePolicy", "PolicyArn": "arn:aws:iam::aws:policy/ExampleAccess" } ], "CreateDate": "2018-01-26T23:50:05.000Z", "GroupList": [], "Path": "/", "PermissionsBoundary" : { "PermissionsBoundaryArn" : "arn:aws:iam::aws:policy/AdministratorAccess",

325


"PermissionsBoundaryType" : "PermissionsBoundaryPolicy" }, "UserId": "AIDACKCEVSQ6C2EXAMPLE", "UserName": "ExampleUser", "UserPolicyList": [ { "PolicyName": "InstancePolicy" } ]}


AttachedManagedPolicies (p. 327)

선택

사용자에 연결된 관리형 정책의 목록입니다.

Type: 객체 배열CreateDate

선택

사용자가 생성된 시기를 나타냅니다.

Type: 문자열


예

"CreateDate": "2020-06-22T17:40:12.322Z"

GroupList

선택

사용자가 속한 IAM 그룹 목록입니다.


최소 길이: 1

최대 길이: 128Path

선택

사용자의 경로입니다.

Type: 문자열

최소 길이: 1

최대 길이: 512PermissionsBoundary (p. 327)

선택

326



사용자에 대한 권한 경계입니다.

Type: 객체UserId

선택

사용자의 고유 식별자입니다.

Type: 문자열

최소 길이: 16

최대 길이: 128UserName

선택

사용자의 이름.

Type: 문자열

최소 길이: 1

최대 길이: 64UserPolicyList (p. 328)

선택

사용자에 포함된 인라인 정책의 목록입니다.

Type: 객체 배열


이AttachedManagedPolicies객체에는 IAM 사용자에 연결된 관리형 정책의 목록이 포함되어 있습니다.


PolicyArn

선택


Type: 문자열PolicyName

선택


Type: 문자열

PermissionsBoundary

이PermissionsBoundary개체에는 사용자에 대한 권한 경계 설정에 대한 정보가 포함되어 있습니다.


327


PermissionsBoundaryArn

선택

사용자에 대한 권한 경계 설정에 사용되는 정책의 ARN 입니다.

Type: 문자열

최소 길이: 20

최대 길이: 2,048PermissionsBoundaryType

선택

사용 권한 경계의 사용 유형입니다.

Type: 문자열

값은 여야 합니다.PermissionsBoundaryPolicy.

UserPolicyList

이UserPolicyList개체에는 사용자에 포함된 인라인 정책의 목록이 들어 있습니다.


PolicyName

선택


Type: 문자열

최소 길이: 1

최대 길이: 128

AwsKmsKey

이AwsKmsKey객체는 객체에 대한 세부 정보를 제공합니다.AWS KMS고객 마스터 키 (CMK) 를 사용합니다.

AwsKmsKey 객체에는 다음과 같은 속성이 있을 수 있습니다.

AWSAccountId

선택

CMK를 소유한 계정의 AWS 계정 식별자입니다.

Type: 문자열CreationDate

선택

CMK가 생성된 시기를 나타냅니다.

Type: 문자열

328



Description

선택

키에 대한 설명입니다.

Type: 문자열KeyId

필수

CMK에 대한 전역 고유 식별자입니다.

Type: 문자열

최소 길이: 1

최대 길이: 2,048KeyManager

선택

CMK의 관리자입니다. 의 CMKAWS계정이 고객 관리형 또는AWS관리형.

Type: 문자열

유효한 값: AWS|CUSTOMER.KeyState

선택

CMK의 상태입니다.

Type: 문자열

유효한 값: Enabled|Disabled|PendingDeletion|PendingImport|UnavailableOrigin

선택

CMK의 키 구성 요소의 소스입니다.

이 값이 AWS_KMS인 경우 AWS KMS가 키 구성 요소를 만든 것입니다.

이 값이 EXTERNAL인 경우 키 구성 요소를 기존 키 관리 인프라에서 가져왔거나 CMK에 키 구성 요소가없는 것입니다.

이 값이AWS_CLOUDHSM에서 키 재질이AWS CloudHSM사용자 지정 키 스토어에 연결된 클러스터입니다.

Type: 문자열

유효한 값: AWS_KMS|EXTERNAL|AWS_CLOUDHSM

AwsLambdaFunction

이AwsLambdaFunction객체는 Lambda 함수의 구성에 대한 세부 정보를 제공합니다.

329




Code (p. 332)

선택

AwsLambdaFunctionCode 객체입니다.

Type: 객체CodeSha256

선택

함수 배포 패키지의 SHA256 해시입니다.

Type: 문자열DeadLetterConfig (p. 332)

선택

함수의 배달 못한 편지 대기열입니다.

Type: 객체Environment (p. 333)

선택

함수의 환경 변수 설정입니다.

Type: 객체FunctionName

선택

함수의 이름입니다.

Type: 문자열Handler

선택

Lambda 가 함수 실행을 시작하기 위해 호출하는 함수입니다.

Type: 문자열KmsKeyArn

선택

함수의 환경 변수를 암호화하는 데 사용되는 AWS KMS 키입니다. 이 키는 고객 관리형 CMK를 구성한경우에만 반환됩니다.

Type: 문자열LastModified

선택

함수가 마지막으로 업데이트된 날짜 및 시간(ISO-8601 형식)(YYYY-MM-DDThh:mm:ss.sTZD)입니다.

Type: 문자열

330


Layers (p. 333)

선택

함수의 계층입니다.

Type: 객체MasterArn

선택

Lambda@Edge 함수의 경우 마스터 함수의 ARN입니다.

Type: 문자열MemorySize

선택

함수에 할당된 메모리입니다.

Type: IntegerRevisionId

선택

함수 또는 별칭의 최신 업데이트된 개정입니다.

Type: 문자열Role

선택

함수의 실행 역할입니다.

Type: 문자열Runtime

선택

Lambda 함수의 런타임 환경입니다.

Type: 문자열Timeout

선택

Lambda가 함수를 중지하기 전에 실행을 허용하는 시간입니다.

Type: IntegerTracingConfig (p. 334)

선택

함수의 AWS X-Ray 추적 구성입니다.

Type: 객체Version

선택

331


람다 함수의 버전입니다.

Type: 문자열VpcConfig (p. 334)

선택

함수의 네트워킹 구성입니다.

Type: 객체

Code

AwsLambdaFunctionCode 객체입니다.

Code 객체에는 다음과 같은 속성이 있을 수 있습니다.

S3Bucket

선택

함수와 동일한 AWS 리전에 있는 S3 버킷입니다. 버킷은 다른 AWS 계정에 있을 수 있습니다.

Type: 문자열S3Key

선택

배포 패키지의 Amazon S3 키입니다.

Type: 문자열S3ObjectVersion

선택

버전이 지정된 객체의 경우 사용할 배포 패키지 객체의 버전입니다.

Type: 문자열ZipFile

선택

배포 패키지의 base64로 인코딩된 콘텐츠입니다.AWS SDK 및AWS CLI클라이언트가 인코딩을 처리합니다.

Type: 문자열

DeadLetterConfig

Lambda 함수의 배달 못한 편지 대기열에 대한 정보가 들어 있습니다.

DeadLetterConfig 객체에는 다음과 같은 속성이 있을 수 있습니다.

TargetArn

선택

배달 못한 편지 대기열이 포함되어 있는 Amazon SQS 대기열 또는 Amazon SNS 주제의 Amazon 리소스 이름 (ARN) 입니다.

332


Type: 문자열

Environment

Lambda 함수의 환경 변수 설정이 포함되어 있습니다.

Environment 객체에는 다음과 같은 속성이 있을 수 있습니다.

Variables

선택

Environment 변수 키-값 페어입니다.

Type: 문자열간 맵Error

선택

적용할 수 없는 환경 변수에 대한 오류 메시지입니다.

Type: 객체

Error 객체에는 다음과 같은 속성이 있을 수 있습니다.

ErrorCode

선택

오류 코드입니다.

Type: 문자열Message

선택

오류 메시지

Type: 문자열

Layers

Lambda 함수의 계층입니다.

각 계층 객체에는 다음과 같은 속성이 있을 수 있습니다.

Arn

선택

함수 계층의 ARN 입니다.

Type: 문자열CodeSize

선택

계층 아카이브의 크기(바이트 단위)입니다.

333


Type: Integer

TracingConfig

함수의 AWS X-Ray 추적 구성이 포함되어 있습니다.

TracingConfig 객체에는 다음과 같은 속성이 있을 수 있습니다.

Mode

선택

추적 모드입니다.

Type: 문자열

VpcConfig

Lambda 함수의 네트워킹 구성이 포함되어 있습니다.

VpcConfig 객체에는 다음과 같은 속성이 있을 수 있습니다.

SecurityGroupIds

선택

VPC 보안 그룹 ID의 목록입니다.

Type: 문자열 배열SubnetIds

선택

VPC 서브넷 ID의 목록입니다.


AwsLambdaLayerVersion

이AwsLambdaLayerVersion객체는 Lambda 레이어 버전에 대한 세부 정보를 제공합니다.

예

"AwsLambdaLayerVersion": { "Version": 2, "CompatibleRuntimes": [ "java8" ], "CreatedDate": "2019-10-09T22:02:00.274+0000"}

AwsLambdaLayerVersion 객체에는 다음과 같은 속성이 있을 수 있습니다.

CompatibleRuntimes

선택

계층의 호환 가능한 실행 시간입니다.

334




유효한 값:nodejs10.x|nodejs12.x|java8|java11|python2.7|python3.6|python3.7|python3.8|dotnetcore1.0|dotnetcore2.1|go1.x|ruby2.5|provided

CreatedDate

선택

도면층 버전이 작성된 시기를 나타냅니다.

Type: 문자열


Version

선택

버전 번호입니다.

Type: Long

AwsRdsDbCluster

이AwsRdsDbCluster객체는 Amazon RDS 데이터베이스 클러스터에 대한 세부 정보를 제공합니다.

Example

"AwsRdsDbCluster": { "AllocatedStorage": 1, "AvailabilityZones": [ "us-east-1c", "us-east-1e", "us-east-1a" ], "BackupRetentionPeriod": 1, "DatabaseName": "", "Status": "modifying", "Endpoint": "database-3.cluster-example.us-east-1.rds.amazonaws.com", "ReaderEndpoint": "database-3.cluster-ro-example.us-east-1.rds.amazonaws.com", "CustomEndpoints": [], "MultiAz": false, "Engine": "aurora-mysql", "EngineVersion": "5.7.mysql_aurora.2.03.4", "Port": 3306, "MasterUsername": "admin", "PreferredBackupWindow": "04:52-05:22", "PreferredMaintenanceWindow": "sun:09:32-sun:10:02", "ReadReplicaIdentifiers": [], "VpcSecurityGroups": [ { "VpcSecurityGroupId": "sg-example-1", "Status": "active" } ], "HostedZoneId": "ZONE1", "StorageEncrypted": true, "KmsKeyId": "arn:aws:kms:us-east-1:777788889999:key/key1", "DbClusterResourceId": "cluster-example",

335



"AssociatedRoles": [ { "RoleArn": "arn:aws:iam::777788889999:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Status": "PENDING" } ], "ClusterCreateTime": "2020-06-22T17:40:12.322Z", "EnabledCloudwatchLogsExports": [ "audit", "error", "general", "slowquery" ], "EngineMode": "provisioned", "DeletionProtection": false, "HttpEndpointEnabled": false, "ActivityStreamStatus": "stopped", "CopyTagsToSnapshot": true, "CrossAccountClone": false, "DomainMemberships": [], "DbClusterParameterGroup": "cluster-parameter-group", "DbSubnetGroup": "subnet-group", "DbClusterOptionGroupMemberships": [], "DbClusterIdentifier": "database-3", "DbClusterMembers": [ { "IsClusterWriter": true, "PromotionTier": 1, "DbInstanceIdentifier": "database-3-instance-1", "DbClusterParameterGroupStatus": "in-sync" } ], "IamDatabaseAuthenticationEnabled": false}

이AwsRdsDbCluster객체에는 다음과 같은 속성이 포함될 수 있습니다.

ActivityStreamStatus

선택

데이터베이스 작업 스트림의 상태입니다.

Type: 문자열

유효한 값: stopped|starting|started|stoppingAllocatedStorage

선택

Amazon Aurora 를 제외한 모든 데이터베이스 엔진의 경우 할당된 스토리지 크기를 GiB (기가바이트) 단위로 지정합니다.

Aurora 의 경우AllocatedStorage는 항상 1입니다. Aurora 데이터베이스 클러스터 저장소 크기가 고정되어 있지 않습니다. 대신 필요에 따라 자동으로 조정됩니다.

Type: 번호AssociatedRoles (p. 341)

선택

DB 클러스터와 연결되어 있는 IAM 역할의 목록입니다.

336


Type: 객체의 배열AvailabilityZones

선택

DB 클러스터에서 인스턴스를 생성할 수 있는 가용 영역(AZ)의 목록입니다.


예

"AvailabilityZones": [ "us-east-1c", "us-east-1e", "us-east-1a"]

BackupRetentionPeriod

선택

자동 백업이 보관되는 일수입니다.

Type: 번호

최소값: 1

최대값: 35ClusterCreateTime

선택

DB 클러스터가 생성된 시기를 나타냅니다 (협정 세계시 (UTC))).

Type: 문자열


예

"ClusterCreateTime": "2020-06-22T17:40:12.322Z"

CopyTagsToSnapshot

선택

DB 클러스터에서 DB 클러스터의 스냅샷으로 태그를 복사할지 여부를 지정합니다.

Type: 불CrossAccountClone

선택

DB 클러스터가 다른AWS계정.

Type: 불CustomEndpoints

선택

337



DB 클러스터에 대한 사용자 지정 엔드포인트의 목록입니다.

Type: 문자열 배열DatabaseName

선택

데이터베이스의 이름입니다.

Type: 문자열DbClusterIdentifier

선택

사용자가 클러스터에 할당한 DB 클러스터 식별자입니다. 이 식별자는 DB 클러스터를 식별하는 고유한키입니다.

Type: 문자열DbClusterMembers (p. 342)

선택

DB 클러스터를 구성하는 인스턴스의 목록입니다.

Type: 객체의 배열DbClusterOptionGroupMemberships (p. 342)

선택

이 DB 클러스터의 옵션 그룹 멤버십 목록입니다.

Type: 객체의 배열DbClusterParameterGroup

선택

DB 클러스터에 대한 DB 클러스터 파라미터 그룹의 이름입니다.

Type: 문자열DbClusterResourceId

선택

DB 클러스터의 식별자입니다. 식별자는 각 내에서 고유해야 합니다.AWS영역이며 변경할 수 없습니다.

Type: 문자열DbSubnetGroup

선택

이름, 설명, 그리고 서브넷 그룹 내의 서브넷 등 DB 클러스터와 연결된 서브넷 그룹입니다.

Type: 문자열DeletionProtection

선택

DB 클러스터의 삭제 방지 기능 활성화 여부를 나타냅니다.

Type: 불

338


DomainMemberships (p. 343)

선택

DB 클러스터와 연결된 Active Directory 도메인 멤버십 레코드입니다.

Type: 객체의 배열EnabledCloudwatchLogsExports

선택

이 DB 클러스터에서 CloudWatch Logs로 내보내도록 구성된 로그 유형의 목록입니다.


예

"EnabledCloudwatchLogsExports": [ "audit", "error", "general", "slowquery"]

Endpoint

선택

DB 클러스터의 기본 인스턴스에 대한 연결 엔드포인트입니다.

Type: 문자열Engine

선택

이 DB 클러스터에 사용할 데이터베이스 엔진의 이름입니다.

Type: 문자열

유효한 값: aurora|aurora-mysql| aurora-postgresqlEngineMode

선택

DB 클러스터의 데이터베이스 엔진 모드입니다.

Type: 문자열

유효한 값: provisioned|serverless|parallelquery|global|multimasterEngineVersion

선택

사용할 데이터베이스 엔진의 버전 번호입니다.

Type: 문자열

예

"EngineVersion": "5.7.mysql_aurora.2.03.4",

339


HostedZoneId

선택

호스팅 영역을 생성할 때 Amazon Route53에서 할당하는 식별자를 지정합니다.

Type: 문자열HttpEndpointEnabled

선택

Aurora Serverless DB 클러스터의 HTTP 엔드포인트를 활성화할지 여부를 지정합니다.

Type: 불IamDatabaseAuthenticationEnabled

선택

데이터베이스 계정에 대한 IAM 계정 매핑이 활성화되었는지 여부를 지정합니다.

Type: 불KmsKeyId

선택

의 ARN 입니다.AWS KMS마스터 키를 사용하여 DB 클러스터의 데이터베이스 인스턴스를 암호화하는데 사용됩니다.

Type: 문자열MasterUsername

선택

DB 클러스터의 마스터 사용자 이름입니다.

Type: 문자열MultiAz

선택

DB 클러스터에 여러 가용 영역의 인스턴스가 있는지 여부를 나타냅니다.

Type: 불Port

선택

DB 클러스터의 DB 인스턴스가 연결을 허용하는 포트 번호입니다.

Type: 번호PreferredBackupWindow

선택

자동 백업을 활성화한 경우, 자동 백업이 생성되는 일일 시간 범위입니다.

Type:string

형식: HH:MM-HH:MM

340


예

"PreferredBackupWindow": "04:52-05:22"

PreferredMaintenanceWindow

선택

시스템 유지 관리를 실행할 수 있는 주 단위 기간(UTC, 협정 세계시)입니다.

Type: 문자열

형식: <day>:HH:MM-<day>:HH:MM

일 값의 경우mon|tue|wed|thu|fri|sat|sun

예

"PreferredMaintenanceWindow": "sun:09:32-sun:10:02"

ReaderEndpoint

선택

DB 클러스터에 대한 리더 엔드포인트입니다.

Type: 문자열ReadReplicaIdentifiers

선택

이 DB 클러스터와 연결된 읽기 전용 복제본의 식별자입니다.

Type: 문자열 배열Status

선택

이 DB 클러스터의 현재 상태입니다.

Type: 문자열StorageEncrypted

선택

DB 클러스터의 암호화 여부를 지정합니다.

Type: 불VpcSecurityGroups (p. 343)

선택

DB 클러스터가 속해 있는 VPC 보안 그룹의 목록입니다.


AssociatedRoles

이AssociatedRoles객체는 Amazon RDS DB 클러스터와 연결된 IAM 역할의 목록을 지정합니다.

341


각 역할에는 다음과 같은 속성이 있을 수 있습니다.

RoleArn

선택

Amazon RDS DB 클러스터와 연결되어 있는 IAM 역할의 ARN 입니다.


선택

IAM 역할과 DB 클러스터 간의 연결 상태를 연결합니다.

Type: 문자열

유효한 값: ACTIVE|PENDING|INVALID

DbClusterMembers

이DbClusterMembers객체에는 클러스터의 인스턴스 목록이 포함됩니다.

각 인스턴스에 대해 객체에는 다음과 같은 속성이 있을 수 있습니다.

DbClusterParameterGroupStatus

선택

DB 클러스터의 이 멤버에 대한 DB 클러스터 파라미터 그룹의 상태입니다.

Type: 문자열DbInstanceIdentifier

선택

이 DB 클러스터 멤버의 인스턴스 식별자입니다.

Type: 문자열IsClusterWriter

선택

클러스터 멤버가 DB 클러스터의 기본 인스턴스인지 여부를 나타냅니다.

Type: 불PromotionTier

선택

기존 기본 인스턴스에 결함이 발생한 경우 Aurora 복제본을 기본 인스턴스로 승격할 순서를 지정합니다.

Type: 번호

DbClusterOptionGroupMemberships

이DbClusterOptionGroupMemberships객체에는 이 DB 클러스터의 옵션 그룹 멤버 목록이 포함됩니다.

각 옵션 그룹 멤버십에는 다음과 같은 속성이 있을 수 있습니다.

342


DbClusterOptionGroupName

선택

DB 클러스터 옵션 그룹의 이름입니다.


선택

DB 클러스터 옵션 그룹의 상태입니다.

Type: 문자열

DomainMemberships

이DomainMemberships객체에는 DB 클러스터의 Active Directory 도메인 구성원 자격 목록이 포함됩니다.

각 멤버쉽에는 다음과 같은 속성이 있을 수 있습니다.

Domain

선택

Active Directory 도메인의 식별자입니다.

Type: 문자열Fqdn

선택

Active Directory 도메인의 정규화된 도메인 이름입니다.

Type: 문자열IamRoleName

선택

Directory Service 에 API 호출을 보낼 때 사용하는 IAM 역할의 이름입니다.


선택

DB 클러스터의 Active Directory 도메인 멤버십의 상태입니다.

Type: 문자열

VpcSecurityGroups

이VpcSecurityGroups객체에는 DB 클러스터가 속한 VPC 보안 그룹의 목록이 포함되어 있습니다.


Status

선택

343


VPC 보안 그룹의 상태입니다.

Type:stringVpcSecurityGroupId

선택

VPC 보안 그룹의 이름입니다.

Type:string

AwsRdsDbClusterSnapshot이AwsRdsDbClusterSnapshot객체에는 Amazon RDS DB 클러스터 스냅샷에 대한 정보가 포함됩니다.

예

"AwsRdsDbClusterSnaphot": { "AvailabilityZones": [ "us-east-1a", "us-east-1d", "us-east-1e" ], "SnapshotCreateTime": "2020-06-22T17:40:12.322Z", "Engine": "aurora", "AllocatedStorage": 0, "Status": "available", "Port": 0, "VpcId": "vpc-faf7e380", "ClusterCreateTime": "2020-06-12T13:23:15.577Z", "MasterUsername": "admin", "EngineVersion": "5.6.10a", "LicenseModel": "aurora", "SnapshotType": "automated", "PercentProgress": 100, "StorageEncrypted": true, "KmsKeyId": "arn:aws:kms:us-east-1:777788889999:key/key1", "DbClusterIdentifier": "database-2", "DbClusterSnapshotIdentifier": "rds:database-2-2020-06-23-03-52", "IamDatabaseAuthenticationEnabled": false}

AwsRdsDbClusterSnapshot에는 다음과 같은 속성이 있을 수 있습니다.

AllocatedStorage

선택

기가바이트(GiB) 단위의 할당된 스토리지 크기를 지정합니다.

Type: 번호AvailabilityZones

선택

DB 클러스터에서 인스턴스를 생성할 수 있는 가용 영역의 목록입니다.

Type: 문자열 배열ClusterCreateTime

선택

344


DB 클러스터가 생성된 시기를 나타냅니다 (협정 세계시 (UTC))).

Type: 문자열


예


DbClusterIdentifier

선택

DB 클러스터 식별자입니다.

Type: 문자열

형식: 소문자 여야합니다.DbClusterSnapshotIdentifier

선택

DB 클러스터 스냅샷의 식별자입니다.

Type: 문자열Engine

선택

이 DB 클러스터에 사용할 데이터베이스 엔진의 이름입니다.

Type: 문자열EngineVersion

선택

사용할 데이터베이스 엔진의 버전입니다.

Type: 문자열IamDatabaseAuthenticationEnabled

선택

데이터베이스 계정에 대한 IAM 계정의 매핑이 활성화되는지 여부를 나타냅니다.

Type: 불KmsKeyId

선택

의 ARN 입니다.AWS KMS마스터 키를 사용하여 DB 클러스터의 데이터베이스 인스턴스를 암호화하는데 사용됩니다.

Type: 문자열LicenseModel

선택

345



이 DB 클러스터 스냅샷에 대한 라이선스 모델 정보입니다.

Type: 문자열MasterUsername

선택

DB 클러스터의 마스터 사용자 이름입니다.

Type: 문자열PercentProgress

선택

전송된 데이터의 추정 백분율을 나타냅니다.

Type: 번호

예

"PercentProgress": 100

Port

선택

DB 클러스터의 DB 인스턴스가 연결을 허용하는 포트 번호입니다.

Type: 번호SnapshotCreateTime

선택

스냅샷을 만든 시간을 나타냅니다.

Type: 문자열


예

"SnapshotCreateTime": "2020-06-22T17:40:12.322Z"

SnapshotType

선택

DB 클러스터 스냅샷의 유형입니다.


선택

이 DB 클러스터 스냅샷의 상태입니다.

Type: 문자열

346



StorageEncrypted

선택

DB 클러스터의 암호화 여부를 지정합니다.

Type: 불VpcId

선택

DB 클러스터 스냅샷과 연결된 VPC ID입니다.

Type: 문자열

AwsRdsDbInstance이AwsRdsDbInstance객체는 Amazon RDS DB 인스턴스에 대한 세부 정보를 제공합니다.

예

"AwsRdsDbInstance": { "AllocatedStorage": 20, "AssociatedRoles": [], "AutoMinorVersionUpgrade": true, "AvailabilityZone": "us-east-1d", "BackupRetentionPeriod": 7, "CaCertificateIdentifier": "certificate1", "CharacterSetName": "", "CopyTagsToSnapshot": true, "DbClusterIdentifier": "", "DbInstanceArn": "arn:aws:rds:us-east-1:111122223333:db:database-1", "DbInstanceClass": "db.t2.micro", "DbInstanceIdentifier": "database-1", "DbInstancePort": 0, "DbInstanceStatus": "available", "DbiResourceId": "db-EXAMPLE123", "DbName": "", "DbParameterGroups": [ { "DbParameterGroupName": "default.mysql5.7", "ParameterApplyStatus": "in-sync" } ], "DbSecurityGroups": [], "DbSubnetGroup": { "DbSubnetGroupName": "my-group-123abc", "DbSubnetGroupDescription": "My subnet group", "VpcId": "vpc-example1", "SubnetGroupStatus": "Complete", "Subnets": [ { "SubnetIdentifier": "subnet-123abc", "SubnetAvailabilityZone": { "Name": "us-east-1d" }, "SubnetStatus": "Active" }, { "SubnetIdentifier": "subnet-456def", "SubnetAvailabilityZone": {

347


"Name": "us-east-1c" }, "SubnetStatus": "Active" } ], "DbSubnetGroupArn": "" }, "DeletionProtection": false, "DomainMemberships": [], "EnabledCloudWatchLogsExports": [], "Endpoint": { "address": "database-1.example.us-east-1.rds.amazonaws.com", "port": 3306, "hostedZoneId": "ZONEID1" }, "Engine": "mysql", "EngineVersion": "5.7.22", "EnhancedMonitoringResourceArn": "arn:aws:logs:us-east-1:111122223333:log-group:Example:log-stream:db-EXAMPLE1", "IamDatabaseAuthenticationEnabled": false, "InstanceCreateTime": "2020-06-22T17:40:12.322Z", "Iops": "", "KmsKeyId": "", "LatestRestorableTime": "2020-06-24T05:50:00.000Z", "LicenseModel": "general-public-license", "ListenerEndpoint": "", "MasterUsername": "admin", "MaxAllocatedStorage": 1000, "MonitoringInterval": 60, "MonitoringRoleArn": "arn:aws:iam::111122223333:role/rds-monitoring-role", "MultiAz": false, "OptionGroupMemberships": [ { "OptionGroupName": "default:mysql-5-7", "Status": "in-sync" } ], "PreferredBackupWindow": "03:57-04:27", "PreferredMaintenanceWindow": "thu:10:13-thu:10:43", "PendingModifiedValues": { "DbInstanceClass": "", "AllocatedStorage": "", "MasterUserPassword": "", "Port": "", "BackupRetentionPeriod": "", "MultiAZ": "", "EngineVersion": "", "LicenseModel": "", "Iops": "", "DbInstanceIdentifier": "", "StorageType": "", "CaCertificateIdentifier": "", "DbSubnetGroupName": "", "PendingCloudWatchLogsExports": "", "ProcessorFeatures": [] }, "PerformanceInsightsEnabled": false, "PerformanceInsightsKmsKeyId": "", "PerformanceInsightsRetentionPeriod": "", "ProcessorFeatures": [], "PromotionTier": "", "PubliclyAccessible": false, "ReadReplicaDBClusterIdentifiers": [], "ReadReplicaDBInstanceIdentifiers": [], "ReadReplicaSourceDBInstanceIdentifier": "", "SecondaryAvailabilityZone": "",

348


"StatusInfos": [], "StorageEncrypted": false, "StorageType": "gp2", "TdeCredentialArn": "", "Timezone": "", "VpcSecurityGroups": [ { "VpcSecurityGroupId": "sg-example1", "Status": "active" } ]}

AwsRdsDbInstance 객체에는 다음과 같은 속성이 있을 수 있습니다.

AllocatedStorage

선택

DB 인스턴스에 처음 할당할 스토리지의 양 (GB) 입니다.

Type: 번호AssociatedRoles (p. 356)

선택

DB 인스턴스와 연결된 IAM 역할입니다.

Type: 역할 객체의 배열AutoMinorVersionUpgrade

선택

마이너 버전 패치가 자동으로 적용되는지 여부를 나타냅니다.

Type: 불AvailabilityZone

선택

DB 인스턴스가 생성될 가용 영역입니다.

Type: 문자열BackupRetentionPeriod

선택

자동 백업을 보존할 일수입니다.

Type: 번호

최소값: 0

최대값: 35CACertificateIdentifier

선택

이 DB 인스턴스의 CA 인증서 식별자입니다.

Type: 문자열

349


CharacterSetName

선택

이 DB 인스턴스와 연결된 문자 세트의 이름입니다.

Type: 문자열CopyTagsToSnapshot

선택

DB 인스턴스의 리소스 태그를 DB 인스턴스의 스냅샷으로 복사할 것인지 여부를 지정합니다.

Type: 불DBClusterIdentifier

선택

DB 인스턴스가 DB 클러스터의 멤버인 경우, 그 DB 인스턴스가 속해 있는 DB 클러스터의 이름이 나와있습니다.

Type: 문자열DBInstanceClass

선택

DB 인스턴스의 컴퓨팅 및 메모리 용량 클래스 이름을 포함합니다.

Type: 문자열DBInstanceIdentifier

선택

사용자가 제공한 데이터베이스 ID가 포함되어 있습니다. 이 ID는 DB 인스턴스를 식별하는 고유한 키입니다.

Type: 문자열DbInstancePort

선택

DB 인스턴스가 수신하는 포트를 지정합니다. DB 인스턴스가 DB 클러스터에 속해 있는 경우, DB 클러스터 포트와 다른 포트일 수 있습니다.

Type: IntegerDbInstanceStatus

선택

DB 인스턴스의 현재 상태입니다.

Type: 문자열DbiResourceId

선택

AWS 리전별로 고유하며 변경 불가능한 DB 인스턴스 식별자입니다.

이 식별자는 CloudTrail 로그 항목에서AWS KMS키에 액세스할 수 있습니다.

350


Type: 문자열DBName

선택

이 파라미터의 의미는 사용하는 엔진에 따라 다릅니다.

MySQL, MariaDB, SQL Server, PostgreSQL

DB 인스턴스를 생성할 때 데이터베이스 이름을 지정한 경우, 생성 시점에 제공한 이 인스턴스의 초기 데이터베이스의 이름이 포함되어 있습니다. DB 인스턴스의 수명 기간 동안 이 이름이 동일하게 반환됩니다.

Type: 문자열

Oracle

생성된 DB 인스턴스의 Oracle 시스템 식별자 (SID) 입니다. 반환된 파라미터가 Oracle DB 인스턴스에적용되지 않으면 표시되지 않습니다.

Type: 문자열DbParameterGroups (p. 357)

선택

DB 인스턴스에 할당할 DB 파라미터 그룹의 목록입니다.

Type: 객체의 배열DbSecurityGroups

선택

DB 인스턴스에 할당할 DB 보안 그룹의 목록입니다.

Type: 문자열 배열DbSubnetGroup (p. 357)

선택

DB 인스턴스와 연결되어 있는 서브넷 그룹에 대한 정보입니다.

Type: 객체DeletionProtection

선택

DB 인스턴스의 삭제 방지 기능이 황성화되어 있는지 여부를 나타냅니다. 삭제 방지 기능이 활성화되면데이터베이스가 삭제될 수 없습니다.

Type: 불DomainMemberships (p. 359)

선택

DB 인스턴스와 연결된 Active Directory 도메인 멤버십 레코드입니다.

Type: 객체의 배열EnabledCloudwatchLogsExports

선택

351


이 DB 인스턴스에서 CloudWatch Logs로 내보내도록 구성된 로그 유형의 목록입니다.

Type: 문자열 배열Endpoint (p. 359)

선택

연결 엔드포인트를 지정합니다.

Type: 객체Engine

선택

이 DB 인스턴스에 사용할 데이터베이스 엔진의 이름을 제공합니다.


선택

데이터베이스 엔진의 버전을 나타냅니다.

Type: 문자열EnhancedMonitoringResourceArn

선택

DB 인스턴스에 대한 확장 모니터링 지표 데이터를 받는 CloudWatch Logs 로그 스트림의 ARN 입니다.


선택

DB 계정에 대한 IAM 계정의 매핑이 활성화되면 True이고 그렇지 않으면 false입니다.

다음 데이터베이스 엔진에 대해 IAM 데이터베이스 인증을 활성화할 수 있습니다.• MySQL 5.6의 경우, 마이너 버전 5.6.34 이상.• MySQL 5.7의 경우, 마이너 버전 5.7.16 이상.• Aurora 5.6 이상

Type: 불InstanceCreateTime

선택

DB 인스턴스가 생성된 시기를 나타냅니다.

Type: 문자열


Iops

선택

이 DB 인스턴스에 대해 프로비저닝된 IOPS (초당 I/O 작업 수) 를 지정합니다.

Type: 번호

352



KmsKeyId

선택

StorageEncrypted가 true인 경우, 암호화된 DB 인스턴스의 AWS KMS 키 식별자입니다.

Type: 문자열LatestRestorableTime

선택

특정 시점으로 복원을 사용하여 데이터베이스를 복원할 수 있는 가장 늦은 시간을 지정합니다.

Type: 문자열


예

"LatestRestorableTime": "2020-06-22T17:40:12.322Z"

LicenseModel

선택

이 DB 인스턴스의 라이선스 모델 정보입니다.

Type: 문자열ListenerEndpoint (p. 360)

선택

항상 SQL Server의 수신기 연결 끝점에 대한 정보입니다.

Type: 객체MasterUsername

선택

DB 인스턴스의 마스터 사용자 이름입니다.

Type: 문자열MaxAllocatedStorage

선택

Amazon RDS가 DB 인스턴스의 스토리지를 자동으로 확장할 수 있는 상한값입니다.

Type: 번호MonitoringInterval

선택

DB 인스턴스에 대한 확장 모니터링 지표를 수집하는 시점 사이의 간격 (초) 입니다.

Type: 번호MonitoringRoleArn

선택

353



Amazon RDS에서 CloudWatch Logs s로 확장 모니터링 지표를 보낼 수 있도록 하는 IAM 역할의 ARN입니다.

Type: 문자열MultiAz

선택

DB 인스턴스가 다중 가용 영역 배포인지 여부를 나타냅니다.

Type: 불OptionGroupMemberships (p. 360)

선택

이 DB 인스턴스의 옵션 그룹 멤버십 목록입니다.

Type: 객체의 배열PendingModifiedValues (p. 361)

선택

현재 보류 중인 DB 인스턴스의 변경 사항이 적용됩니다.

Type: 객체PerformanceInsightsEnabled

선택

DB 인스턴스에 Performance Insights 활성화할지 여부를 나타냅니다.

Type: 불PerformanceInsightsKmsKeyId

선택

의 식별자입니다.AWS KMS키를 사용하여 Performance Insights 데이터를 암호화하는 데 사용됩니다.

Type: 문자열PerformanceInsightsRetentionPeriod

선택

Performance Insights 보존할 기간 (일) 입니다.

Type: 번호PreferredBackupWindow

선택

자동 백업을 활성화한 경우, 자동 백업이 생성되는 일일 시간 범위입니다.

Type:string

형식: HH:MM-HH:MM

예

"PreferredBackupWindow": "04:52-05:22"

354


PreferredMaintenanceWindow

선택

시스템 유지 관리를 실행할 수 있는 주 단위 기간(UTC, 협정 세계시)입니다.

Type: 문자열



예:


ProcessorFeatures (p. 363)

선택

DB 인스턴스의 DB 인스턴스 클래스에 대한 CPU 코어 수와 코어당 스레드 수입니다.

Type: 객체의 배열PromotionTier

선택

기존 기본 인스턴스에 결함이 발생한 후 Aurora 복제본을 기본 인스턴스로 승격할 순서입니다.

Type: 번호PubliclyAccessible

선택

DB 인스턴스에 대한 액세스 가능성 옵션을 지정합니다.

값이 true이면 퍼블릭 IP 주소로 확인되는 공개적으로 확인 가능한 DNS 이름을 사용하여 인터넷 경계 인스턴스를 지정합니다.

값이 false이면 프라이빗 IP 주소로 확인되는 DNS 이름을 사용하여 내부 인스턴스를 지정합니다.

Type: 불ReadReplicaDBClusterIdentifiers

선택

RDS DB 인스턴스가 읽기 전용 복제본으로 복제되는 Aurora DB 클러스터의 식별자 목록입니다.

Type: 문자열 배열ReadReplicaDBInstanceIdentifiers

선택

이 DB 인스턴스와 연결된 읽기 전용 복제본의 식별자 목록입니다.

Type: 문자열 배열ReadReplicaSourceDBInstanceIdentifier

선택

이 DB 인스턴스가 읽기 전용 복제본인 경우 에는 원본 DB 인스턴스의 식별자가 들어 있습니다.

355


Type: 문자열SecondaryAvailabilityZone

선택

다중 가용 영역을 지원하는 DB 인스턴스의 경우 보조 가용 영역의 이름입니다.

Type: 문자열StatusInfos

선택

읽기 전용 복제본의 상태입니다. 인스턴스가 읽기 전용 복제본이 아닌 경우 이 복제본은 비어 있습니다.

Type: 객체의 배열StorageEncrypted

선택

DB 인스턴스의 암호화 여부를 지정합니다.

Type: 불StorageType

선택

DB 인스턴스의 스토리지 유형입니다.

Type: 문자열TdeCredentialArn

선택

TDE 암호화를 위해 인스턴스와 연결된 키 스토어의 ARN입니다.

Type: 문자열Timezone

선택

DB 인스턴스의 시간대입니다.

Type: 문자열VpcSecurityGroups (p. 364)

선택

DB 인스턴스가 속한 VPC 보안 그룹의 목록입니다.


AssociatedRoles

이AssociatedRoles배열에는 DB 인스턴스와 연결된 IAM 역할이 나열됩니다.

AssociatedRoles 배열의 각 역할 객체에는 다음과 같은 속성이 있을 수 있습니다.

FeatureName

선택

356


IAM 역할과 연결된 기능의 이름입니다.

Type: 문자열RoleArn

선택

DB 인스턴스와 연결된 IAM 역할의 ARN 입니다.


선택

IAM 역할과 DB 인스턴스 간의 연결 상태를 설명합니다.

Type: 문자열

유효한 값:• ACTIVEIAM 역할 ARN 은 DB 인스턴스와 연결되어 있고, 이를 통해 다른AWS서비스를 대신하여 사

용할 수 있도록 허용합니다.• PENDING- IAM 역할 ARN DB 인스턴스와 연결하는 중입니다.• INVALIDIAM 역할 ARN DB 인스턴스와 연결합니다. 그러나 DB 인스턴스가 IAM 역할을 맡을 수 없으

므로 다른AWS서비스를 대신하여 사용할 수 있도록 허용합니다.

DbParameterGroups

이DbParameterGroups객체에는 데이터베이스 인스턴스에 할당할 매개 변수 그룹의 목록이 포함되어 있습니다.

각 매개 변수 그룹에는 다음과 같은 속성이 있을 수 있습니다.

DbParameterGroupName

선택

파라미터 그룹의 이름입니다.

Type: 문자열ParameterApplyStatus

선택

파라미터 업데이트의 상태입니다.

Type: 문자열

DbSubnetGroup

이DbSubnetGroup객체에는 데이터베이스 인스턴스의 서브넷 그룹에 대한 정보가 들어 있습니다.


DbSubnetGroupArn

선택

서브넷 그룹의 ARN 입니다.

357


Type: 문자열DbSubnetGroupDescription

선택

서브넷 그룹에 대한 설명입니다.

Type: 문자열DbSubnetGroupName

선택

서브넷 그룹의 이름입니다.

Type: 문자열SubnetGroupStatus

선택

서브넷 그룹의 상태입니다.

Type: 문자열Subnets

선택

서브넷 그룹의 서브넷 목록입니다.

Type: 객체의 배열입니다.VpcId

선택

서브넷 그룹의 VPC ID입니다.

Type: 문자열

이Subnets개체는 서브넷 그룹의 서브넷 목록을 포함합니다.

각 서브넷에는 다음과 같은 속성이 있을 수 있습니다.

SubnetAvailabilityZone

선택

서브넷 그룹에 있는 서브넷의 가용 영역에 대한 정보입니다.

Type: 객체SubnetAvailabilityZone.Name

선택

서브넷 그룹에 있는 서브넷에 대한 가용 영역의 이름입니다.

Type: 문자열SubnetIdentifier

선택

서브넷 그룹에 있는 서브넷의 식별자입니다.

358


Type: 문자열.SubnetStatus

선택

서브넷 그룹에 있는 서브넷의 상태입니다.

Type: 문자열

DomainMemberships

이DomainMemberships객체에는 DB 인스턴스와 연결된 Active Directory 도메인 멤버십 레코드가 포함됩니다.


Domain

선택

Active Directory 도메인의 식별자입니다.

Type: 문자열Fqdn

선택

Active Directory 도메인의 정규화된 도메인 이름입니다.

Type: 문자열IamRoleName

선택

Directory Service 에 API 호출을 보낼 때 사용하는 IAM 역할의 이름입니다.


선택

Active Directory의 상태입니다.dDB 인스턴스에 대한 멤버십입니다.

Type: 문자열

Endpoint

Endpoint 객체는 DB 인스턴스의 연결 엔드포인트에 대한 세부 정보를 제공합니다.


Address

선택

DB 인스턴스의 DNS 주소를 지정합니다.

Type: 문자열

359


HostedZoneId

선택

호스팅 영역을 생성할 때 Amazon Route53에서 할당하는 ID를 지정합니다.

Type: 문자열Port

선택

데이터베이스 엔진이 수신 대기하는 포트를 지정합니다.

Type: Integer

ListenerEndpoint

이ListenerEndpoint개체에는 항상 SQL Server 수신기 연결 끝점에 대한 정보가 들어 있습니다.


Address

선택

DB 인스턴스의 DNS 주소를 지정합니다.

Type: 문자열HostedZoneId

선택

호스팅 영역을 생성할 때 Amazon Route53에서 할당하는 ID를 나타냅니다.

Type: 문자열Port

선택

데이터베이스 엔진이 수신 대기하는 포트입니다.

Type: 번호

OptionGroupMemberships

이OptionGroupMemberships객체에는 DB 인스턴스의 옵션 그룹 멤버십 목록이 들어 있습니다.

각 옵션 그룹 멤버십에는 다음과 같은 속성이 있을 수 있습니다.

OptionGroupName

선택

옵션 그룹의 이름입니다.


선택

360


옵션 그룹의 DB 인스턴스 멤버십의 상태입니다.

Type: 문자열

PendingModifiedValues

이PendingModifiedValues객체에는 현재 대기 중인 DB 인스턴스의 변경 사항이 나열됩니다.


AllocatedStorage

선택

DB 인스턴스에 할당된 스토리지의 새 값입니다.

Type: 번호BackupRetentionPeriod

선택

DB 인스턴스의 새 백업 보존 기간입니다.

Type: 번호CaCertificateIdentifier

선택

DB 인스턴스의 새 CA 인증서 식별자입니다.

Type: 문자열DbInstanceClass

선택

DB 인스턴스의 새 DB 인스턴스 클래스입니다.


선택

DB 인스턴스의 새 DB 인스턴스 식별자입니다.

Type: 문자열DbSubnetGroupName

선택

DB 인스턴스의 새 서브넷 그룹의 이름입니다.


선택

DB 인스턴스의 새 엔진 버전입니다.

Type: 문자열

361


Iops

선택

DB 인스턴스의 새로운 프로비저닝된 IOPS 값입니다.

Type: 번호LicenseModel

선택

DB 인스턴스의 새 라이선스 모델 값입니다.

Type: 문자열MasterUserPassword

선택

DB 인스턴스의 새 마스터 사용자 암호입니다.

Type: 문자열MultiAZ

선택

단일 가용 영역 DB 인스턴스가 다중 가용 영역 배포로 변경됨을 나타냅니다.

Type: 불PendingCloudWatchLogsExports

선택

활성화 또는 비활성화되는 로그 유형의 목록입니다.

Type: 객체Port

선택

DB 인스턴스의 새 포트입니다.

Type: 번호ProcessorFeatures (p. 363)

선택

업데이트 중인 프로세서 기능입니다.

Type: 객체의 배열StorageType

선택

DB 인스턴스의 새 스토리지 유형입니다.

Type: 문자열

이PendingCloudWatchLogsExport개체는 활성화 및 비활성화할 로그 유형을 식별합니다.

362



LogTypesToDisable

선택

비활성화되는 로그 유형의 목록입니다.

Type: 문자열 배열LogTypesToEnable

선택

활성화된 로그 유형의 목록입니다.


ProcessorFeatures

이ProcessorFeatures객체에는 프로세서 기능 목록이 포함되어 있습니다. 의 맥락에서PendingModifiedValues을 클릭하면 업데이트할 피처를 식별합니다.


Name

선택

프로세서 기능의 이름입니다.


선택

프로세서 기능의 값입니다.

Type: 문자열

StatusInfos

이StatusInfos객체에는 읽기 전용 복제본의 상태에 대한 정보가 들어 있습니다. 인스턴스가 읽기 전용 복제본이 아닌 경우 객체는 비어 있습니다.


Message

선택

읽기 전용 복제본이 현재 오류 상태인 경우 에서 오류 세부 정보를 제공합니다.

Type: 문자열Normal

선택

읽기 전용 복제본 인스턴스가 정상적으로 작동하고 있는지 여부입니다.

Type: 불

363


Status

선택

읽기 전용 복제본 인스턴스의 상태입니다.

Type: 문자열StatusType

선택

상태 유형입니다. 읽기 전용 복제본의 경우 상태 유형은 읽기 복제입니다.

Type: 문자열

VpcSecurityGroups

VpcSecurityGroups 배열은 DB 인스턴스가 속한 VPC 보안 그룹 목록을 제공합니다.

VpcSecurityGroups 배열의 각 객체에는 다음과 같은 속성이 있을 수 있습니다.

VpcSecurityGroupId

선택

VPC 보안 그룹의 이름입니다.


선택


Type: 문자열

AwsRdsDbSnapshot

이AwsRdsDbSnapshot객체에는 Amazon RDS DB 클러스터 스냅샷에 대한 세부 정보가 포함됩니다.

예

"AwsRdsDbSnapshot": { "DbSnapshotIdentifier": "rds:database-1-2020-06-22-17-41", "DbInstanceIdentifier": "database-1", "SnapshotCreateTime": "2020-06-22T17:41:29.967Z", "Engine": "mysql", "AllocatedStorage": 20, "Status": "available", "Port": 3306, "AvailabilityZone": "us-east-1d", "VpcId": "vpc-example1", "InstanceCreateTime": "2020-06-22T17:40:12.322Z", "MasterUsername": "admin", "EngineVersion": "5.7.22", "LicenseModel": "general-public-license", "SnapshotType": "automated", "Iops": null, "OptionGroupName": "default:mysql-5-7", "PercentProgress": 100,

364


"SourceRegion": null, "SourceDbSnapshotIdentifier": "", "StorageType": "gp2", "TdeCredentialArn": "", "Encrypted": false, "KmsKeyId": "", "Timezone": "", "IamDatabaseAuthenticationEnabled": false, "ProcessorFeatures": [], "DbiResourceId": "db-resourceexample1"}

AwsRdsDbSnapshot에는 다음과 같은 속성이 있을 수 있습니다.

AllocatedStorage

선택

처음에 데이터베이스 인스턴스에 할당할 스토리지의 양(기가바이트)입니다.

Type: 번호AvailabilityZone

선택

DB 스냅샷 당시 DB 인스턴스가 있는 가용 영역의 이름을 지정합니다.


선택

DB 인스턴스의 이름입니다.

Type: 문자열DbiResourceId

선택

원본 DB 인스턴스의 식별자입니다.

Type: 문자열DbSnapshotIdentifier

선택

DB 인스턴스를 복원하는 데 사용되는 DB 스냅샷의 이름 또는 ARN 입니다.

Type: 문자열Encrypted

선택

DB 스냅샷이 암호화되는지 여부입니다.

Type: 불Engine

선택

이 DB 인스턴스에 사용할 데이터베이스 엔진의 이름입니다.

365


Type: 문자열

유효한 값: aurora|aurora-mysql|aurora-postgresql|mariadb|mysql|oracle-ee|oracle-se2|oracle-se1|oracle-se| c|sqlserver-ee|sqlserver-se|sqlserver-ex|sqlserver-web

EngineVersion

선택

데이터베이스 엔진의 버전입니다.


선택

데이터베이스 계정에 대한 IAM 계정의 매핑이 활성화되는지 여부를 나타냅니다.

Type: 불InstanceCreateTime

선택

스냅샷을 만든 DB 인스턴스가 생성된 시간을 UTC (협정 세계시) 로 지정합니다.

Type: 문자열


예

"InstanceCreateTime": "2020-06-22T17:40:12.322Z"

Iops

선택

스냅샷 시 DB 인스턴스의 프로비저닝된 IOPS (초당 I/O 작업 수) 값입니다.

Type: 번호KmsKeyId

선택

다음의 경우,Encryptedistrue,AWS KMS암호화된 DB 스냅샷의 키 식별자입니다.

Type: 문자열LicenseModel

선택

복원된 DB 인스턴스의 라이선스 모델 정보입니다.

Type: 문자열

예

"LicenseModel": "general-public-license"

366



MasterUsername

선택

DB 스냅샷의 마스터 사용자 이름입니다.

Type: 문자열OptionGroupName

선택

DB 스냅샷의 옵션 그룹 이름입니다.

Type: 문자열PercentProgress

선택

전송된 데이터의 추정 백분율입니다.

Type: 번호

예

"PercentProgress": 100

Port

선택

스냅숏 생성 시점에 데이터베이스 엔진이 수신하던 포트입니다.

Type: 번호ProcessorFeatures

선택

DB 인스턴스의 DB 인스턴스 클래스에 대한 CPU 코어 수와 코어당 스레드 수입니다.


예

"ProcessorFeatures": [ { "Name": "coreCount", "Value": "3" }]

ProcessorFeatures.Name

선택

프로세서 기능의 이름입니다.

Type: 문자열

유효한 값: coreCount | threadsPerCore

367


ProcessorFeatures.Value

선택

지정된 프로세서 기능의 값입니다.

Type: 문자열SnapshotCreateTime

선택

스냅샷을 협정 세계시 (UTC) 로 만든 시점입니다.

Type: 문자열


예

"SnapshotCreateTime": "2020-06-22T17:41:29.967Z"

SnapshotType

선택

DB 스냅샷 유형입니다.

Type: 문자열SourceDbSnapshotIdentifier

선택

DB 스냅샷이 복사된 DB 스냅샷 ARN 입니다.

Type: 문자열SourceRegion

선택

이AWSDB 스냅샷이 생성되거나 복사된 리전입니다.


선택

이 DB 스냅샷의 상태입니다.

Type: 문자열StorageType

선택

DB 스냅샷과 연결된 스토리지 유형입니다.

Type: 문자열

유효한 값: standard|gp2|io1

368



TdeCredentialArn

선택

TDE 암호화를 위해 인스턴스와 연결할 키 스토어의 ARN입니다.

Type: 문자열Timezone

선택

DB 스냅샷의 시간대입니다.


선택

DB 스냅샷과 연결된 VPC ID입니다.

Type: 문자열

AwsRedshiftCluster이AwsRedshiftCluster객체에는 Amazon Redshift 클러스터에 대한 세부 정보가 포함되어 있습니다.

예

"AwsRedshiftCluster": { "AllowVersionUpgrade": true, "AutomatedSnapshotRetentionPeriod": 1, "AvailabilityZone": "us-west-2d", "ClusterAvailabilityStatus": "Unavailable", "ClusterCreateTime": "2020-08-03T19:22:44.637Z", "ClusterIdentifier": "redshift-cluster-1", "ClusterNodes": [ { "NodeRole": "LEADER", "PrivateIPAddress": "192.0.2.108", "PublicIPAddress": "198.51.100.29" }, { "NodeRole": "COMPUTE-0", "PrivateIPAddress": "192.0.2.22", "PublicIPAddress": "198.51.100.63" }, { "NodeRole": "COMPUTE-1", "PrivateIPAddress": "192.0.2.224", "PublicIPAddress": "198.51.100.226" } ], "ClusterParameterGroups": [ { "ClusterParameterStatusList": [ { "ParameterName": "max_concurrency_scaling_clusters", "ParameterApplyStatus": "in-sync", "ParameterApplyErrorDescription": "parameterApplyErrorDescription" }, { "ParameterName": "enable_user_activity_logging",

369


"ParameterApplyStatus": "in-sync", "ParameterApplyErrorDescription": "parameterApplyErrorDescription" }, { "ParameterName": "auto_analyze", "ParameterApplyStatus": "in-sync", "ParameterApplyErrorDescription": "parameterApplyErrorDescription" }, { "ParameterName": "query_group", "ParameterApplyStatus": "in-sync", "ParameterApplyErrorDescription": "parameterApplyErrorDescription" }, { "ParameterName": "datestyle", "ParameterApplyStatus": "in-sync", "ParameterApplyErrorDescription": "parameterApplyErrorDescription" }, { "ParameterName": "extra_float_digits", "ParameterApplyStatus": "in-sync", "ParameterApplyErrorDescription": "parameterApplyErrorDescription" }, { "ParameterName": "search_path", "ParameterApplyStatus": "in-sync", "ParameterApplyErrorDescription": "parameterApplyErrorDescription" }, { "ParameterName": "statement_timeout", "ParameterApplyStatus": "in-sync", "ParameterApplyErrorDescription": "parameterApplyErrorDescription" }, { "ParameterName": "wlm_json_configuration", "ParameterApplyStatus": "in-sync", "ParameterApplyErrorDescription": "parameterApplyErrorDescription" }, { "ParameterName": "require_ssl", "ParameterApplyStatus": "in-sync", "ParameterApplyErrorDescription": "parameterApplyErrorDescription" }, { "ParameterName": "use_fips_ssl", "ParameterApplyStatus": "in-sync", "ParameterApplyErrorDescription": "parameterApplyErrorDescription" } ], "ParameterApplyStatus": "in-sync", "ParameterGroupName": "temp" } ], "ClusterPublicKey": "JalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY Amazon-Redshift", "ClusterRevisionNumber": 17498, "ClusterSecurityGroups": [ { "ClusterSecurityGroupName": "default", "Status": "active" } ], "ClusterSnapshotCopyStatus": { "DestinationRegion": "us-west-2", "ManualSnapshotRetentionPeriod": -1, "RetentionPeriod": 1, "SnapshotCopyGrantName": "snapshotCopyGrantName"

370


}, "ClusterStatus": "available", "ClusterSubnetGroupName": "default", "ClusterVersion": "1.0", "DBName": "dev", "DeferredMaintenanceWindows": [ { "DeferMaintenanceEndTime": "2020-10-07T20:34:01.000Z", "DeferMaintenanceIdentifier": "deferMaintenanceIdentifier", "DeferMaintenanceStartTime": "2020-09-07T20:34:01.000Z" } ], "ElasticIpStatus": { "ElasticIp": "203.0.113.29", "Status": "active" }, "ElasticResizeNumberOfNodeOptions": "4", "Encrypted": false, "Endpoint": { "Address": "redshift-cluster-1.example.us-west-2.redshift.amazonaws.com", "Port": 5439 }, "EnhancedVpcRouting": false, "ExpectedNextSnapshotScheduleTime": "2020-10-13T20:34:01.000Z", "ExpectedNextSnapshotScheduleTimeStatus": "OnTrack", "HsmStatus": { "HsmClientCertificateIdentifier": "hsmClientCertificateIdentifier", "HsmConfigurationIdentifier": "hsmConfigurationIdentifier", "Status": "applying" }, "IamRoles": [ { "ApplyStatus": "in-sync", "IamRoleArn": "arn:aws:iam::111122223333:role/RedshiftCopyUnload" } ], "KmsKeyId": "kmsKeyId", "MaintenanceTrackName": "current", "ManualSnapshotRetentionPeriod": -1, "MasterUsername": "awsuser", "NextMaintenanceWindowStartTime": "2020-08-09T13:00:00.000Z", "NodeType": "dc2.large", "NumberOfNodes": 2, "PendingActions": [], "PendingModifiedValues": { "AutomatedSnapshotRetentionPeriod": 0, "ClusterIdentifier": "clusterIdentifier", "ClusterType": "clusterType", "ClusterVersion": "clusterVersion", "EncryptionType": "None", "EnhancedVpcRouting": false, "MaintenanceTrackName": "maintenanceTrackName", "MasterUserPassword": "masterUserPassword", "NodeType": "dc2.large", "NumberOfNodes": 1, "PubliclyAccessible": true }, "PreferredMaintenanceWindow": "sun:13:00-sun:13:30", "PubliclyAccessible": true, "ResizeInfo": { "AllowCancelResize": true, "ResizeType": "ClassicResize" }, "RestoreStatus": { "CurrentRestoreRateInMegaBytesPerSecond": 15, "ElapsedTimeInSeconds": 120,

371


"EstimatedTimeToCompletionInSeconds": 100, "ProgressInMegaBytes": 10, "SnapshotSizeInMegaBytes": 1500, "Status": "restoring" }, "SnapshotScheduleIdentifier": "snapshotScheduleIdentifier", "SnapshotScheduleState": "ACTIVE", "VpcId": "vpc-example", "VpcSecurityGroups": [ { "Status": "active", "VpcSecurityGroupId": "sg-example" } ]}

AwsRedshiftCluster에는 다음과 같은 속성이 있을 수 있습니다.

AllowVersionUpgrade

선택

유지 관리 기간 동안 주 버전 업그레이드가 클러스터에 자동으로 적용되는지 여부를 나타냅니다.

Type: 불AutomatedSnapshotRetentionPeriod

선택

자동 클러스터 스냅샷이 보관되는 일수입니다.

Type: 번호

형식: 정수여야 합니다.AvailabilityZone

선택

클러스터가 위치한 가용 영역의 이름입니다.

Type: 문자열ClusterAvailabilityStatus

선택

쿼리에 대한 클러스터의 가용성 상태입니다. 가능한 값은 다음과 같습니다.• Available— 클러스터를 쿼리에 사용할 수 있습니다.• Unavailable— 클러스터를 쿼리에 사용할 수 없습니다.• Maintenance— 유지 관리 작업으로 인해 클러스터에 일시적으로 쿼리를 사용할 수 있습니다.• Modifying- 클러스터를 수정하는 변경 사항으로 인해 쿼리에 일시적으로 클러스터를 사용할 수 있

습니다.• Failed— 클러스터가 실패하여 쿼리에 사용할 수 없습니다.

Type: 문자열

유효한 값: Available|Unavailable|Maintenance|Modifying|FailedClusterCreateTime

선택

372


클러스터가 생성된 시간을 나타냅니다.

Type: 문자열


예


ClusterIdentifier

선택

클러스터의 고유한 식별자입니다.

Type: 문자열ClusterNodes (p. 378)

선택

클러스터의 노드

Type: 객체의 배열ClusterParameterGroups (p. 378)

선택

이 클러스터와 연결된 클러스터 파라미터 그룹의 목록입니다.

Type: 객체의 배열ClusterPublicKey

선택

클러스터의 퍼블릭 키입니다.

Type: 문자열ClusterRevisionNumber

선택

클러스터에 있는 데이터베이스의 특정 개정 번호입니다.

Type: 문자열ClusterSecurityGroups (p. 379)

선택

클러스터와 연결된 클러스터 보안 그룹의 목록입니다.

Type: 객체의 배열ClusterSnapshotCopyStatus (p. 380)

선택

리전 간 스냅샷 복사본의 대상 리전 및 보존 기간에 대한 정보입니다.

Type: 객체

373



ClusterStatus

선택

클러스터의 현재 상태입니다.

Type: 문자열

유효한 값: available|available, prep-for-resize|available,resize-cleanup| cancelling-resize|creating|deleting|final-snapshot|hardware-failure|incompatible-hsm| incompatible-network|incompatible-parameters|incompatible-restore|modifying|paused|rebooting|renaming|resizing|rotating-keys|storage-full|updating-hsm

ClusterSubnetGroupName

선택

클러스터와 연결된 서브넷 그룹의 이름입니다. 이 파라미터는 클러스터가 VPC 있을 때만 유효합니다.

Type: 문자열ClusterVersion

선택

클러스터에서 실행되는 Amazon Redshift 엔진의 버전 ID입니다.

Type: 문자열DBName

선택

클러스터가 생성될 때 생성된 초기 데이터베이스의 이름입니다.

클러스터의 수명 기간 동안 동일한 이름이 반환됩니다.

초기 데이터베이스가 지정되지 않은 경우devdev가 기본적으로 생성됩니다.

Type: 문자열DeferredMaintenanceWindows (p. 380)

선택

유지 보수가 지연된 시간 범위 또는 시간 기간의 목록입니다.

Type: 객체의 배열ElasticIpStatus (p. 381)

선택

탄력적 IP (EIP) 주소의 상태에 대한 정보입니다.

Type: 객체ElasticResizeNumberOfNodeOptions

선택

탄력적 크기 조정 방법을 사용하여 클러스터 크기를 조정할 수 있는 노드 수입니다.

Type: 문자열

374


Encrypted

선택

클러스터의 데이터가 유휴 시 암호화되는지 여부를 나타냅니다.

Type: 불Endpoint (p. 381)

선택

연결 엔드포인트입니다.

Type: 객체EnhancedVpcRouting

선택

Enhanced VPC Routing을 활성화하여 클러스터를 생성할지 여부를 나타냅니다.

Type: 불ExpectedNextSnapshotScheduleTime

선택

다음 스냅샷을 찍을 것으로 예상되는 시기를 나타냅니다. 클러스터는 유효한 스냅샷 일정을 가지고 있으며 백업을 활성화해야 합니다.

Type: 문자열


예

"ExpectedNextSnapshotScheduleTime": "2017-03-22T13:22:13.933Z"

ExpectedNextSnapshotScheduleTimeStatus

선택

다음 예상되는 스냅샷의 상태입니다.

Type: 문자열

유효한 값: OnTrack | PendingHsmStatus (p. 382)

선택

Amazon Redshift 클러스터가 수정 클러스터 명령에 지정된 HSM (하드웨어 보안 모듈) 설정에 변경 사항을 적용했는지 여부에 대한 정보입니다.

Type: 객체IamRoles (p. 382)

선택

클러스터가 다른 역할에 액세스하는 데 사용할 수 있는 IAM 역할 목록입니다.AWS서비스.


375



KmsKeyId

선택

의 식별자입니다.AWS KMS클러스터의 데이터를 암호화하는 데 사용되는 암호화 키입니다.

Type: 문자열MaintenanceTrackName

선택

클러스터에 대한 유지 관리 트랙의 이름입니다.

Type: 문자열ManualSnapshotRetentionPeriod

선택

수동 스냅샷을 보존할 기본 일수입니다.

값이 -1이면 스냅샷이 무기한 보존됩니다.

이 설정은 기존 스냅샷의 보존 기간을 변경하지 않습니다.

Type: 번호

유효한 값: -1 또는 1~3,653 범위의 정수MasterUsername

선택

클러스터에 대한 마스터 사용자 이름입니다. 이 이름은 값으로 지정된 데이터베이스에 연결하는 데 사용됩니다.DBName.

Type: 문자열NextMaintenanceWindowStartTime

선택

다음 유지 관리 기간의 시작을 나타냅니다.

Type: 문자열


예

"NextMaintenanceWindowStartTime": "2017-03-22T13:22:13.933Z"

NodeType

선택

클러스터의 노드에 대한 노드 유형입니다.

Type: 문자열NumberOfNodes

선택

376



클러스터에 있는 컴퓨팅 노드 수.

Type: 번호PendingActions

선택

시작 대기 중인 클러스터 작업의 목록입니다.

Type: 문자열 배열PendingModifiedValues (p. 383)

선택

현재 보류 중인 클러스터에 대한 변경 사항 목록입니다.

Type: 객체PreferredMaintenanceWindow

선택

시스템 유지 관리를 실행할 수 있는 주 단위 기간 (UTC, 협정 세계시) 입니다.

Type: 문자열



예


PubliclyAccessible

선택

퍼블릭 네트워크에서 클러스터에 액세스할 수 있는지 여부를 지정합니다.

Type: 불ResizeInfo (p. 384)

선택

클러스터의 크기 조정 작업에 대한 정보입니다.

Type: 객체RestoreStatus (p. 385)

선택

클러스터 복원 작업의 상태에 대한 정보입니다. 스냅샷을 복원하여 생성된 클러스터에만 적용됩니다.

Type: 객체SnapshotScheduleIdentifier

선택

클러스터 스냅샷 일정에 대한 고유 식별자입니다.

377


Type: 문자열SnapshotScheduleState

선택

클러스터 스냅샷 일정의 현재 상태입니다.

Type: 문자열

유효한 값: MODIFYING|ACTIVE|FAILEDVpcId

선택

클러스터가 VPC 있는 경우 클러스터가 속해 있는 VPC의 식별자입니다.

Type: 문자열VpcSecurityGroups (p. 386)

선택

클러스터가 VPC 있는 경우 클러스터가 속해 있는 VPC 보안 그룹의 목록입니다.


ClusterNodes

이ClusterNodes객체에는 클러스터의 노드 목록이 포함되어 있습니다.

각 노드에는 다음과 같은 속성이 있을 수 있습니다.

NodeRole

선택

노드의 역할입니다. 노드는 리더 노드 또는 컴퓨팅 노드일 수 있습니다.

Type: 문자열PrivateIPAddress

선택

노드의 프라이빗 IP 주소입니다.

Type: 문자열PublicIPAddress

선택

노드의 퍼블릭 IP 주소입니다.

Type: 문자열

ClusterParameterGroups

이ClusterParameterGroups개체에는 이 클러스터와 연결된 클러스터 매개 변수 그룹 목록이 포함되어있습니다.

각 매개 변수 그룹에는 다음과 같은 속성이 있을 수 있습니다.

378


ClusterParameterStatusList

선택

매개 변수 상태 목록입니다.

Type: 객체의 배열ParameterApplyStatus

선택

매개변수에 대한 업데이트 상태입니다.

Type: 문자열ParameterGroupName

선택

파라미터 그룹의 이름입니다.

Type: 문자열

각 매개 변수 상태에 대해ClusterParameterStatusList에는 다음과 같은 속성이 있을 수 있습니다.

ParameterApplyErrorDescription

선택

매개 변수를 데이터베이스에 적용할 수 없는 오류입니다.

Type: 문자열ParameterApplyStatus

선택

파라미터의 상태입니다. 매개변수가 데이터베이스와 동기화되어 있는지, 클러스터 재부팅 대기 중인지또는 적용 시 오류가 발생했는지 여부를 나타냅니다.

Type: 문자열

유효한 값: in-sync|pending-reboot|applying|invalid-parameter|apply-deferred|apply-error|unknown-error

ParameterName

선택

파라미터의 이름입니다.

Type: 문자열

ClusterSecurityGroups

이ClusterSecurityGroups객체에는 클러스터와 연결된 보안 그룹의 목록이 포함되어 있습니다.


ClusterSecurityGroupName

선택

379


클러스터 보안 그룹의 이름입니다.


선택

클러스터 보안 그룹의 상태입니다.

Type: 문자열

ClusterSnapshotCopyStatus

이ClusterSnapshotCopyStatus개체는 교차 리전 스냅샷 복사본의 대상 리전 및 보존 기간에 대한 정보를 제공합니다.

ClusterSnapshotCopyStatus에는 다음과 같은 속성이 있을 수 있습니다.

DestinationRegion

선택

교차 리전 스냅샷 복사를 활성화하면 스냅샷이 자동으로 복사되는 대상 리전입니다.

Type: 문자열ManualSnapshotRetentionPeriod

선택

수동 스냅샷이 소스 리전에서 복사된 후 대상 리전에 보존되는 일 수입니다.

값이 -1이면 수동 스냅샷이 무기한 보존됩니다.

Type: 번호

유효한 값: -1 또는 1~3,653 범위의 정수RetentionPeriod

선택

자동 스냅샷이 소스 리전에서 복사된 후 대상 리전에 보관되는 일수입니다.

Type: 번호SnapshotCopyGrantName

선택

스냅샷 복사 권한 이름입니다.

Type: 문자열

DeferredMaintenanceWindows

이DeferredMaintenanceWindows개체에는 유지 보수가 지연된 기간 목록이 포함되어 있습니다.

각 시간 창에는 다음과 같은 속성이 있을 수 있습니다.

DeferMaintenanceEndTime

선택

380


유지 보수가 지연된 기간의 종료입니다.

Type: 문자열


예

"DeferMaintenanceEndTime": "2017-03-22T13:22:13.933Z"

DeferMaintenanceIdentifier

선택

유지 관리 기간에 대한 식별자입니다.

Type: 문자열DeferMaintenanceStartTime

선택

유지 관리가 지연되는 기간의 시작 시점입니다.

Type: 문자열


예


ElasticIpStatus

이ElasticIpStatus객체에는 EIP (탄력적 IP) 주소의 상태에 대한 정보가 들어 있습니다.

ElasticIpStatus에는 다음과 같은 속성이 있을 수 있습니다.

ElasticIp

선택

클러스터에 대한 탄력적 IP 주소입니다.


선택

탄력적 IP 주소의 상태입니다.

Type: 문자열

Endpoint

이Endpoint객체는 클러스터에 대한 연결 엔드포인트를 설명합니다.

Endpoint에는 다음과 같은 속성이 있을 수 있습니다.

381




Address

선택

클러스터의 DNS 주소입니다.

Type: 문자열Port

선택

데이터베이스 엔진이 수신 대기하는 포트입니다.

Type: 번호

HsmStatus

이HsmStatus객체는 Amazon Redshift 클러스터가 클러스터 수정 명령에 지정된 HSM (보안 모듈) 설정에하드웨어 변경 사항을 적용했는지 여부에 대한 정보를 제공합니다.

HsmStatus에는 다음과 같은 속성이 있을 수 있습니다.

HsmClientCertificateIdentifier

선택

Amazon Redshift 클러스터가 HSM에 저장된 데이터 암호화 키를 검색하는 데 사용하는 HSM 클라이언트 인증서의 이름입니다.

Type: 문자열HsmConfigurationIdentifier

선택

Amazon Redshift 클러스터가 HSM에서 키를 검색하고 저장하는 데 사용할 수 있는 정보를 포함하는HSM 구성의 이름입니다.


선택

Amazon Redshift 클러스터가 클러스터 수정 명령에 지정된 HSM 설정 변경 사항 적용을 완료했는지 여부를 나타냅니다.

Type: 문자열

유효한 값: active | applying

IamRoles

이IamRoles객체에는 클러스터가 다른 리소스에 액세스하는 데 사용할 수 있는 IAM 역할 목록이 들어 있습니다.AWS서비스.

각 역할에는 다음과 같은 속성이 있을 수 있습니다.

ApplyStatus

선택

382


IAM 역할과 클러스터와의 연결의 상태입니다.

Type: 문자열

유효한 값: in-sync|adding|removingIamRoleArn

선택

IAM 역할의 ARN.

Type: 문자열

PendingModifiedValues

이PendingModifiedValues개체에는 현재 보류 중인 클러스터의 변경 내용 목록이 포함되어 있습니다.

PendingModifiedValues에는 다음과 같은 속성이 있을 수 있습니다.

AutomatedSnapshotRetentionPeriod

선택

자동 스냅샷 보존 기간에 대한 보류 중 또는 진행 중인 변경

Type: 문자열ClusterIdentifier

선택

클러스터의 식별자에 대한 보류 중이거나 진행 중인 변경입니다.

Type: 문자열ClusterType

선택

클러스터 유형에 대한 보류 중이거나 진행 중인 변경 사항입니다.

Type: 문자열ClusterVersion

선택

서비스 버전에 대한 보류 중 또는 진행 중인 변경

Type: 문자열EncryptionType

선택

클러스터의 암호화 유형입니다.

Type: 문자열EnhancedVpcRouting

선택

Enhanced VPC Routing을 활성화하여 클러스터를 생성할지 여부를 나타냅니다.

383


Type: 불MaintenanceTrackName

선택

클러스터가 다음 유지 관리 기간 중에 변경되는 유지 관리 트랙의 이름입니다.

Type: 문자열MasterUserPassword

선택

보류 중이거나 진행 중인 클러스터의 마스터 사용자 암호입니다.

Type: 문자열NodeType

선택

클러스터의 노드 유형에 대한 보류 중이거나 진행 중인 변경

Type: 문자열NumberOfNodes

선택

클러스터의 노드 수에 대한 보류 또는 진행 중인 변경 사항입니다.

Type: 번호PubliclyAccessible

선택

공용 네트워크에서 클러스터를 연결할 수 있는지 여부에 대한 보류 중이거나 진행 중인 변경

Type: 불

ResizeInfo

이ResizeInfo객체에는 클러스터의 크기 조정 작업에 대한 정보가 포함됩니다.

ResizeInfo에는 다음과 같은 속성이 있을 수 있습니다.

AllowCancelResize

선택

크기 조정 작업을 취소할 수 있는지 여부를 나타냅니다.

Type: 불ResizeType

선택

크기 조정 작업의 유형입니다.

Type: 문자열

유효한 값: ClassicResize

384


RestoreStatus

이RestoreStatus개체에는 클러스터 복원 작업의 상태에 대한 정보가 들어 있습니다. 스냅샷을 복원하여클러스터를 생성한 경우에만 적용됩니다.

RestoreStatus에는 다음과 같은 속성이 있을 수 있습니다.

CurrentRestoreRateInMegaBytesPerSecond

선택

백업 스토리지에서 전송되는 초당 MB 수입니다. 완료된 백업의 평균 속도를 반환합니다.

이 필드는 DC2 및 DS2 노드 유형으로 복원할 때만 업데이트됩니다.

Type: 번호ElapsedTimeInSeconds

선택

진행 중인 복원이 실행 중인 시간입니다.또는 완료된 복원을 완료하는 데 걸린 시간을 지정합니다.


Type: 번호EstimatedTimeToCompletionInSeconds

선택

복원이 완료되기 전까지 남은 예상 시간입니다. 완료된 복원에 대해 0을 반환합니다.


Type: 번호ProgressInMegaBytes

선택

스냅샷 스토리지에서 전송된 MB 수입니다.


Type: 번호SnapshotSizeInMegaBytes

선택

클러스터를 복원하는 데 사용된 스냅샷 데이터 집합의 크기입니다.


Type: 번호Status

선택

복원 작업의 상태입니다.

Type: 문자열

385


유효한 값: starting|restoring|completed|failed

VpcSecurityGroups

이VpcSecurityGroups객체에는 클러스터가 속한 VPC 보안 그룹의 목록이 포함됩니다 (클러스터가 VPC에 있는 경우).


Status

선택


Type: 문자열VpcSecurityGroupId

선택

VPC 보안 그룹의 식별자입니다.

Type: 문자열

AwsS3AccountPublicAccessBlockAwsS3AccountPublicAccessBlock에서는 계정에 대한 Amazon S3 퍼블릭 액세스 블록 구성에 대한 정보를 제공합니다.

예

"AwsS3AccountPublicAccessBlock": { "BlockPublicAcls": true, "BlockPublicPolicy": true, "IgnorePublicAcls": false, "RestrictPublicBuckets": true}

AwsS3AccountPublicAccessBlock에는 다음과 같은 속성이 있을 수 있습니다.

BlockPublicAcls

선택

호출에 ACL (공용 액세스 제어 목록) 이 포함되어 있는 경우 S3 버킷 업데이트를 위한 호출을 거부할지여부를 나타냅니다.

Type: 불BlockPublicPolicy

선택

정책이 퍼블릭 액세스를 허용하는 경우 S3 버킷 또는 액세스 포인트에 대한 액세스 정책을 업데이트하기 위한 호출을 거부할지 여부를 나타냅니다.

Type: 불IgnorePublicAcls

선택

386


Amazon S3가 S3 버킷과 연결된 퍼블릭 ACL을 무시하는지 여부를 나타냅니다.

Type: 불RestrictPublicBuckets

선택

공용 정책이 있는 액세스 포인트 또는 S3 버킷에 대한 액세스를AWSS3 버킷 소유자 계정 내의 권한 있는 사용자와 서비스 보안 주체입니다.

Type: 불

AwsS3Bucket이AwsS3Bucket객체는 Amazon S3 버킷에 대한 세부 정보를 제공합니다.

예

"AwsS3Bucket": { "OwnerId": "AIDACKCEVSQ6C2EXAMPLE", "OwnerName": "s3bucketowner", "CreatedAt": "2007-11-30T01:46:56.000Z", "ServerSideEncryptionConfiguration": { "Rules": [ { "ApplyServerSideEncryptionByDefault": { "SSEAlgorithm": "AES256", "KMSMasterKeyID": "12345678-abcd-abcd-abcd-123456789012" } } ] }, "BucketLifecycleConfiguration": { "Rules": [ { "AbortIncompleteMultipartUpload": { "DaysAfterInitiation: 5 }, "ExpirationDate": "2021-11-10T00:00:00.000Z", "ExpirationInDays": 365, "ExpiredObjectDeleteMarker": false, "Filter: { "Predicate": { "Operands": [ { "Prefix": "tmp/", "Type": "LifecyclePrefixPredicate" }, { "Tag": { "Key": "ArchiveAge", "Value": "9m" }, "Type": "LifecycleTagPredicate" } ], "Type": "LifecycleAndOperator" } }, "ID": "Move rotated logs to Glacier", "NoncurrentVersionExpirationInDays": -1, "NoncurrentVersionTransitions": [ {

387


"Days": 2, "StorageClass": "GLACIER" } ], "Prefix": "rotated/", "Status": "Enabled", "Transitions": [ { "Date": "2020-11-10T00:00:00.000Z", "Days": 100, "StorageClass": "GLACIER" } ] } ] }, "PublicAccessBlockConfiguration": { "BlockPublicAcls": true, "BlockPublicPolicy": true, "IgnorePublicAcls": true, "RestrictPublicBuckets": true, }}

AwsS3Bucket에는 다음과 같은 속성이 있을 수 있습니다.

BucketLifecycleConfiguration (p. 389)

선택

S3 버킷의 객체에 대한 수명 주기 구성입니다.

Type: 객체CreatedAt

선택

S3 버킷이 생성된 시기를 나타냅니다.

Type: 문자열


OwnerId

선택

S3 버킷 소유자의 정식 사용자 ID입니다.

Type: 문자열

최대 길이: 64OwnerName

선택

S3 버킷 소유자의 표시 이름

Type: 문자열

최대 길이: 128

388



PublicAccessBlockConfiguration (p. 393)

S3 버킷의 Amazon S3 퍼블릭 액세스 블록 구성에 대한 정보입니다.

Type: 객체ServerSideEncryptionConfiguration (p. 394)

선택

S3 버킷에 적용되는 암호화 규칙입니다.

Type: 객체

BucketLifecycleConfiguration

이BucketLifecycleConfiguration객체에는 S3 버킷의 객체에 대한 수명 주기 구성이 포함되어 있습니다.

BucketLifeCycleConfiguration는Rules객체입니다. 이Rules객체는 객체의 배열입니다. 각 객체는수명 주기 규칙을 정의합니다.

시스템의 각 규칙Rules객체에는 다음과 같은 속성이 있을 수 있습니다.

AbortIncompleteMultipartUpload (p. 390)

선택

멀티파트 업로드가 완료되지 않은 경우 Amazon S3 가 응답하는 방식입니다. 특히 는 Amazon S3 가 전체 업로드를 취소하기 전까지의 기간을 제공합니다.

Type: 객체ExpirationDate

선택

객체가 이동 또는 삭제되는 날짜입니다.

Type: 문자열


ExpirationInDays

선택

규칙이 적용되는 객체의 수명 기간 (일) 입니다.

Type: Integer

유효한 값: 0이 아닌 양의 정수여야 합니다.ExpiredObjectDeleteMarker

선택

Amazon S3 가 최신 버전이 없는 삭제 마커를 제거하는지 여부 이 로 설정된 경우true이면 삭제 마커가만료됩니다. 이 로 설정된 경우false로 설정하면 정책이 아무런 조치를 취하지 않습니다.

당신이 제공하는 경우ExpiredObjectDeleteMarker을 제공할 수 없습니다.ExpirationInDays또는ExpirationDate.

389



Type: 불Filter (p. 391)

선택

규칙이 적용되는 객체를 식별합니다.

Type: 객체Id

선택

규칙의 고유한 식별자입니다.

Type: 문자열

최대 길이:255자NoncurrentVersionExpirationInDays

선택

Amazon S3 가 관련 작업을 수행하기 전에 객체가 비 현재 상태인 일수입니다.

Type: 번호NoncurrentVersionTransitions (p. 392)

선택

비 현재 객체가 지정된 스토리지 클래스로 전환하는 시점을 설명하는 전환 규칙입니다.

Type: 객체의 배열Prefix

선택

규칙이 적용되는 하나 이상의 객체를 식별하는 접두사입니다.


선택

규칙의 현재 상태입니다. 규칙이 현재 적용 중인지 여부를 나타냅니다.

Type: 문자열

유효한 값: Enabled | DisabledTransitions (p. 392)

선택

객체를 지정된 스토리지 클래스로 전환하는 시기를 나타내는 전환 규칙입니다.


AbortIncompleteMultipartUpload

이AbortIncompleteMultipartUpload객체는 멀티파트 업로드가 완료되지 않은 경우 Amazon S3 가 수행하는 작업에 대한 정보를 제공합니다.

390


AbortIncompleteMultipartUpload에는 다음과 같은 속성이 있을 수 있습니다.

DaysAfterInitiation

선택

Amazon S3 가 미완료 멀티파트 업로드를 취소하기 전의 일수입니다.

Type: 번호

Filter

이Filter개체는 규칙이 적용되는 개체를 식별합니다.

Filter 객체는 Predicate 객체를 포함하고 있습니다.

이Predicate객체에는 다음 속성이 있습니다.

Operands

선택

필터에 사용할 값입니다.

Type: 객체의 배열입니다.Type

선택

사용할지 여부를 지정합니다.AND또는OR를 사용하여 피연산자를 조인합니다.

Type: 문자열

유효한 값: LifecycleAndOperator | LifecycleOrOperator

에서Operands객체의 경우 피연산자는 접두사 피연산자 또는 태그 피연산자가 될 수 있습니다. 접두사 피연산자는 객체 식별자의 첫 번째 문자를 기준으로 객체를 필터링합니다. 태그 피연산자는 할당된 태그 값을 기준으로 오브젝트를 필터링합니다.

모든 피연산자에는Type속성을 사용합니다.

Type

선택

필터 값의 유형입니다.

Type: 문자열

유효한 값: LifecyclePrefixPredicate | LifecycleTagPredicate

접두사 피연산자는 다음과 같은 속성을 갖습니다.

Prefix

선택

일치하는 객체의 접두사 문자

391


Type: 문자열

태그 피연산자는 또한 포함Tag객체입니다. 이Tag개체는 일치하는 개체에 할당된 태그 키와 값을 식별합니다.

Key

선택

태그 키.


선택

태그 값.

Type: 문자열

NoncurrentVersionTransitions

이NoncurrentVersionTransitions객체에는 최신이 아닌 객체를 지정된 스토리지 클래스로 전환하는시기를 설명하는 전환 규칙 목록이 포함되어 있습니다.


Days

선택

Amazon S3 가 관련 작업을 수행하기 전에 객체가 비 현재 상태인 일수입니다.

Type: 번호StorageClass

선택

객체가 지정된 기간 (일) 동안 최신이 아닌 이후에 객체를 변경할 스토리지 클래스입니다.

Type: 문자열

유효한 값: GLACIER|STANDARD_IA|ONEZONE_IA|INTELLIGENT_TIERING|DEEP_ARCHIVE

Transitions

이Transitions객체는 객체가 특정 스토리지 클래스로 전환되는 경우에 대한 일련의 규칙을 제공합니다.

각 규칙은 정확한 날짜 또는 일 수를 기반으로 할 수 있습니다.


Date

선택

객체를 지정된 스토리지 클래스로 이전할 날짜를 제공합니다. 당신이 제공하는 경우Date을 제공할 수없습니다.Days.

392


Type: 문자열


Days

선택

객체를 지정된 스토리지 클래스로 이전할 일 수입니다. 당신이 제공하는 경우Days을 제공할 수 없습니다.Date.

Type: 번호StorageClass

선택

객체를 전환할 스토리지 클래스입니다.

Type: 문자열

유효한 값: GLACIER|STANDARD_IA| ONEZONE_IA|INTELLIGENT_TIERING|DEEP_ARCHIVE

PublicAccessBlockConfiguration

PublicAccessBlockConfiguration에서는 S3 버킷의 Amazon S3 퍼블릭 액세스 블록 구성에 대한 정보를 제공합니다.

PublicAccessBlockConfiguration에는 다음과 같은 속성이 있을 수 있습니다.

BlockPublicAcls

선택

호출에 ACL (공용 액세스 제어 목록) 이 포함되어 있는 경우 S3 버킷 업데이트를 위한 호출을 거부할지여부를 나타냅니다.

Type: 불BlockPublicPolicy

선택

정책이 퍼블릭 액세스를 허용하는 경우 S3 버킷 또는 액세스 포인트에 대한 액세스 정책을 업데이트하기 위한 호출을 거부할지 여부를 나타냅니다.

Type: 불IgnorePublicAcls

선택

Amazon S3가 S3 버킷과 연결된 퍼블릭 ACL을 무시하는지 여부를 나타냅니다.

Type: 불RestrictPublicBuckets

선택

공용 정책이 있는 액세스 포인트 또는 S3 버킷에 대한 액세스를AWSS3 버킷 소유자 계정 내의 권한 있는 사용자와 서비스 보안 주체입니다.

Type: 불

393



ServerSideEncryptionConfiguration

S3 버킷에 적용되는 암호화 규칙입니다.

Rules 객체로 구성되며 ApplyServerSideEncryptionByDefault 객체를 포함합니다.이ApplyServerSideEncryptionByDefault객체는 버킷의 새 객체에 적용할 기본 서버 측 암호화를 지정합니다.

ApplyServerSideEncryptionByDefault에는 다음과 같은 속성이 있을 수 있습니다.

KMSMasterKeyID

선택

기본 암호화에 사용할 AWS KMS 고객 마스터 키(CMK) ID입니다.

키 ID 또는 CMK ARN이 될 수 있습니다.

Type: 문자열SSEAAlgorithm

필수

기본 암호화에 사용할 서버 측 암호화 알고리즘입니다.

Type: 문자열

유효한 값: AES256 | aws:kms

AwsS3Object

이AwsS3Object객체는 Amazon S3 객체에 대한 정보를 제공합니다.

예

"AwsS3Object": { "ContentType": "text/html", "ETag": "\"30a6ec7e1a9ad79c203d05a589c8b400\"", "LastModified": "2012-04-23T18:25:43.511Z", "ServerSideEncryption": "aws:kms", "SSEKMSKeyId": "arn:aws:kms:us-west-2:123456789012:key/4dff8393-e225-4793-a9a0-608ec069e5a7", "VersionId": "ws31OurgOOjH_HHllIxPE35P.MELYaYh"}

AWSS3Object에는 다음과 같은 속성이 있을 수 있습니다.

ContentType

선택

객체 데이터의 형식을 설명하는 표준 MIME 유형입니다.

Type: 문자열ETag

선택

웹 서버에서 URL에 있는 리소스의 특정 버전에 할당한 불투명 식별자입니다.

394


Type: 문자열LastModified

선택

객체가 마지막으로 수정된 시점을 나타냅니다.

Type: 문자열


ServerSideEncryption

선택

객체가 서버 측 암호화를 사용하여 저장되는 경우 이 객체를 Amazon S3 저장할 때 사용되는 서버 측 암호화 알고리즘의 값입니다.

Type: 문자열SSEKMSKeyId

선택

객체에 사용된 AWS Key Management Service 대칭 고객 관리형 고객 마스터 키(CMK)의 식별자입니다.

Type: 문자열VersionId

선택

객체의 버전입니다.

Type: 문자열

AwsSecretsManagerSecret

이AwsSecretsManagerSecret객체는 Secrets Manager 암호에 대한 세부 정보를 제공합니다.

예

"AwsSecretsManagerSecret": { "RotationRules": { "AutomaticallyAfterDays": 30 }, "RotationOccurredWithinFrequency": true, "KmsKeyId": "kmsKeyId", "RotationEnabled": true, "RotationLambdaArn": "arn:aws:lambda:us-west-2:777788889999:function:MyTestRotationLambda", "Deleted": false, "Name": "MyTestDatabaseSecret", "Description": "My test database secret"}

AwsSecretsManagerSecret에는 다음과 같은 속성이 있을 수 있습니다.

Deleted

선택

395



비밀이 삭제되는지 여부입니다.

Type: 불Description

선택

보안 암호에 대한 사용자 입력 설명입니다.

Type: 문자열

최대 길이: 2,048KmsKeyId

선택

ARN, 키 ID 또는AWS KMSCmk (고객 마스터 키) 를 암호화하는 데 사용하는SecretString또는SecretBinary이 비밀의 버전에 대한 값입니다.

Type: 문자열Name

선택


Type: 문자열

최소 길이: 1

최대 길이: 256RotationEnabled

선택

회전이 활성화되는지 여부입니다.

Type: 불RotationLambdaArn

선택

암호를 교체하는 Lambda 함수의 ARN 입니다.

Type: 문자열RotationOccurredWithinFrequency

선택

지정된 회전 빈도 내에서 회전이 발생했는지 여부입니다.

Type: 불RotationRules

선택

암호에 대한 순환 예약을 정의합니다.

Type: 객체

396


RotationRules.AutomaticallyAfterDays

선택

이전 회전 후 암호를 회전할 일 수입니다.

Type: Integer

최소값: 1

최대값: 1,000

AwsSnsTopic

이AwsSnsTopic객체에는 Amazon SNS 주제에 대한 세부 정보가 포함되어 있습니다.

AwsSnsTopic에는 다음과 같은 속성이 있을 수 있습니다.

KmsMasterKeyId

선택

의 ID입니다.AWSAmazon SNS 용 관리형 CMK (고객 마스터 키) 또는 사용자 지정 CMK입니다.

Type: 문자열Subscription

선택

Amazon SNS 주제의 구독 엔드포인트입니다.

Type: 객체의 배열TopicName

선택

주제의 이름입니다.

Type: 문자열Owner

선택

구독의 소유자입니다.

Type: 문자열

Subscription

이Subscription의 객체입니다.AwsSnsTopic객체에는 Amazon SNS 주제의 구독 엔드포인트가 설명되어 있습니다.

각 구독 엔드포인트에 대해Subscription에는 다음과 같은 속성이 있을 수 있습니다.

Endpoint

선택

구독의 엔드포인트입니다(형식은 프로토콜에 따라 다름).

397


Type: 문자열Protocol

선택

구독의 프로토콜입니다.

Type: 문자열

AwsSqsQueue

이AwsSqsQueue객체에는 Amazon SQS 대기열에 대한 정보가 포함되어 있습니다.

AwsSqsQueue에는 다음과 같은 속성이 있을 수 있습니다.

KmsDataKeyReusePeriodSeconds

선택

를 호출하기 전에 Amazon SQS 가 데이터 키를 재사용하여 메시지를 암호화하거나 암호 해독할 수 있는 기간 (초) 입니다.AWS KMS를 다시 실행합니다.

Type: IntegerKmsMasterKeyId

선택

의 ID입니다.AWSAmazon SQS 용 관리형 CMK (고객 마스터 키) 또는 사용자 지정 CMK입니다.

Type: 문자열QueueName

선택

새 대기열의 이름입니다.

Type: 문자열DeadLetterTargetArn

선택

Amazon SQS가 메세지를 이동하는 배달 못한 편지 대기열의 Amazon 리소스 이름 (ARN) 입니다.maxReceiveCount이 초과되었습니다.

Type: 문자열

AwsSsmPatchCompliance

이AwsSsmPatchCompliance개체는 인스턴스를 패치하는 데 사용된 패치 기준선을 기반으로 인스턴스의패치 상태에 대한 정보를 제공합니다.

예

AwsSsmPatchCompliance: { "Patch": { "ComplianceSummary": { "ComplianceType": "Patch", "CompliantCriticalCount": 0,

398


"CompliantHighCount": 0, "CompliantInformationalCount": 0, "CompliantLowCount": 0, "CompliantMediumCount": 0, "CompliantUnspecifiedCount": 461, "ExecutionType": "Command", "NonCompliantCriticalCount": 0, "NonCompliantHighCount": 0, "NonCompliantInformationalCount": 0, "NonCompliantLowCount": 0, "NonCompliantMediumCount": 0, "NonCompliantUnspecifiedCount": 0, "OverallSeverity": "UNSPECIFIED", "PatchBaselineId": "pb-0c5b2769ef7cbe587", "PatchGroup": "ExamplePatchGroup", "Status": "COMPLIANT" } }}

AwsSsmPatchCompliance는 Patch 객체를 포함하고 있습니다. 이Patch개체에 포함된ComplianceSummary객체에는 준수 상태 정보가 들어 있습니다.

ComplianceSummary에는 다음 속성이 있습니다.

ComplianceType

선택

규정 준수가 결정된 리소스의 유형입니다.

용AwsSsmPatchCompliance,ComplianceTypeisPatch.

Type: 문자열CompliantCriticalCount

선택

규정을 준수하는 패치의 경우 심각도가CRITICAL.

Type: 문자열CompliantHighCount

선택

규정을 준수하는 패치의 경우 심각도가HIGH.

Type: IntegerCompliantInformationalCount

선택

규정을 준수하는 패치의 경우 심각도가INFORMATIONAL.

Type: IntegerCompliantLowCount

선택

규정을 준수하는 패치의 경우 심각도가LOW.

Type: Integer

399


CompliantMediumCount

선택

규정을 준수하는 패치의 경우 심각도가MEDIUM.

Type: IntegerCompliantUnspecifiedCount

선택

규정을 준수하는 패치의 경우 심각도가UNSPECIFIED.

Type: IntegerExecutionType

선택

사용된 실행 유형에 따라 규정 준수가 결정됩니다.

Type: 문자열

최대 길이: 50

유효한 값: CommandNonCompliantCriticalCount

선택

규정을 준수하지 않는 패치 항목의 경우 심각도가CRITICAL.

Type: IntegerNonCompliantHighCount

선택

규정을 준수하지 않는 패치의 경우 심각도가HIGH.

Type: IntegerNonCompliantInformationalCount

선택

규정을 준수하지 않는 패치의 경우 심각도가INFORMATIONAL.

Type: IntegerNonCompliantLowCount

선택

규정을 준수하지 않는 패치의 경우 심각도가LOW.

Type: IntegerNonCompliantMediumCount

선택

규정을 준수하지 않는 패치의 경우 심각도가MEDIUM.

Type: Integer

400


NonCompliantUnspecifiedCount

선택

규정을 준수하지 않는 패치의 경우 심각도가UNSPECIFIED.

Type: IntegerOverallSeverity

선택

패치의 가장 높은 심각도입니다.

Type: 문자열

유효한 값: CRITICAL|HIGH|MEDIUM|LOW|INFORMATIONAL|UNSPECIFIEDPatchBaselineId

선택

패치 기준선의 식별자입니다. 패치 기준선에는 설치가 승인된 패치가 나열됩니다.

Type: 문자열PatchGroup

선택

규정 준수가 결정된 패치 그룹의 식별자입니다. 패치 그룹은 태그를 사용하여 동일한 패치 규정을 준수해야 하는 EC2 인스턴스를 그룹화합니다.


선택

현재 패치 규정 준수 상태입니다.

Type: 문자열

유효한 값: COMPLIANT|NON_COMPLIANT|UNSPECIFIED_DATA

AwsWafWebAcl이AwsWafWebAcl객체는 객체에 대한 세부 정보를 제공합니다.AWS WAF웹 ACL.

예

"AwsWafWebAcl": { "DefaultAction": "ALLOW", "Name": "MyWafAcl", "Rules": [ { "Action": { "Type": "ALLOW" }, "ExcludedRules": [ { "RuleId": "5432a230-0113-5b83-bbb2-89375c5bfa98" } ], "OverrideAction": {

401


"Type": "NONE" }, "Priority": 1, "RuleId": "5432a230-0113-5b83-bbb2-89375c5bfa98", "Type": "REGULAR" } ], "WebAclId": "waf-1234567890"}

AwsWafWebAcl 객체에는 다음과 같은 속성이 있을 수 있습니다.

DefaultAction

필수

웹 ACL에 포함된 규칙 중 일치하는 항목이 없는 경우 수행할 작업입니다. 이 작업은 WafAction 객체로지정됩니다.

유형: WafAction 객체Name

선택

웹 ACL의 표시 이름 또는 설명입니다. 생성한 후에는 웹 ACL의 이름을 변경할 수 없습니다.

Type: 문자열

최소 길이: 1

최대 길이: 128Rules (p. 402)

필수

웹 ACL에 대한 규칙 목록입니다.

Type: 객체의 배열WebAclId

필수

웹 ACL의 고유 식별자입니다.

Type: 문자열

최소 길이: 1

최대 길이: 128

규칙 객체

이Rules배열은 웹 ACL에 대한 규칙 목록을 제공합니다.

배열의 각 규칙 객체에는 다음과 같은 속성이 있을 수 있습니다.

Action

선택

작업을 지정하는 CloudFront 또는AWS WAF는 웹 요청이 규칙의 조건과 일치할 때 사용합니다.

402


Type: 객체ExcludedRules

선택

규칙 그룹에서 제외할 규칙의 배열입니다. 이 항목은 ActivatedRule이 규칙 그룹을 참조하는 경우에만 적용됩니다.

Type: 객체의 배열OverrideAction

선택

OverrideAction을 사용하여 규칙 그룹을 테스트합니다.

규칙 그룹의 모든 규칙은 요청을 잠재적으로 차단할 수 있습니다. OverrideAction을 None으로 설정하면 규칙 그룹의 개별 규칙이 요청과 일치하고 해당 요청을 차단하도록 구성된 경우 규칙 그룹은 요청을 차단합니다.

하지만 먼저 규칙 그룹을 테스트하려면 OverrideAction을 Count로 설정합니다. 그런 다음 규칙 그룹은 그룹 내에 포함된 개별 규칙에서 지정된 모든 차단 작업을 재정의합니다. 일치하는 요청을 차단하는 대신 해당 요청이 계산됩니다.

ActivatedRule|OverrideAction은 규칙 그룹을 업데이트하거나 웹 ACL에 추가할 때만 적용됩니다. 이 경우 ActivatedRule|Action을 사용하지 않습니다. 다른 모든 업데이트 요청에는ActivatedRule|OverrideAction 대신 ActivatedRule|Action이 사용됩니다.

Type: 객체Priority

필수

웹 ACL의 규칙을 평가할 순서를 지정합니다. Priority 값이 작은 규칙은 큰 값을 가진 규칙보다 먼저평가됩니다.

이 값은 고유한 정수여야 합니다.

웹 ACL에 여러 규칙을 추가하는 경우 값이 연속적일 필요는 없습니다.

Type: IntegerRuleId

필수

규칙의 식별자입니다.

Type: 문자열

최소 길이: 1

최대 길이: 128Type

선택

규칙 유형( REGULAR, RATE_BASED 또는 GROUP)입니다.

기본값은 REGULAR입니다.

Type: 문자열

403


유효한 값: REGULAR|RATE_BASED|GROUP

각 작업에는 다음과 같은 속성이 있을 수 있습니다.

Type

선택

AWS WAF가 규칙의 설정과 일치하는 요청에 응답하는 방법을 지정합니다.• ALLOW ‐ AWS WAF가 요청을 허용합니다..• BLOCK ‐ AWS WAF가 요청을 차단합니다..• COUNT ‐ AWS WAF는 규칙의 모든 조건과 일치하는 요청의 카운터를 증가시킵니다.AWS WAF는 웹

ACL의 나머지 규칙에 따라 웹 요청을 계속 검사합니다. 지정할 수 없습니다.COUNT웹 ACL에 대한 기본 작업을 참조하십시오.

Type: 문자열

유효한 값: BLOCK|ALLOW|COUNT

제외된 각 규칙에는 다음과 같은 속성이 있을 수 있습니다.

RuleId

필수

규칙 그룹에서 제외할 규칙의 고유 식별자입니다.

Type: 문자열

최소 길이: 1

최대 길이: 128입니다.

규칙에 대한 각 재정의 작업에는 다음과 같은 속성이 있을 수 있습니다.

Type

필수

COUNT는 규칙 그룹 내의 개별 규칙에서 지정된 작업을 재정의합니다.

NONE으로 설정하면 규칙의 작업이 수행됩니다.

Type: 문자열

유효한 값: NONE | COUNT

Container결과와 관련된 컨테이너 세부 정보입니다.

Type: 객체

예:

"Container": { "Name": "Secret Service Container", "ImageId": "image12",

404


"ImageName": "SecSvc v1.2 Image", "LaunchedAt": "2018-09-29T01:25:54Z"}

Container 객체에는 다음과 같은 속성이 있을 수 있습니다.

ImageId

선택

결과와 관련된 이미지의 식별자입니다.

Type: 문자열

최대 길이: 128ImageName

선택

결과와 관련된 이미지의 이름입니다.

Type: 문자열

최대 길이: 128LaunchedAt

선택

컨테이너가 시작된 시간을 나타냅니다.

Type: 문자열


Name

선택

결과와 관련된 컨테이너의 이름입니다.

Type: 문자열

최대 길이: 128

OtherOther 하위 필드를 사용하여 사용자 정의 필드 및 값을 제공할 수 있습니다. Other 하위 필드는 다음과 같은 경우에 사용합니다.

• 리소스 유형에 해당하는 하위 필드가 없습니다. 리소스에 대한 세부 정보를 제공하려면 Other 하위 필드를 사용합니다.

• 리소스 유형의 하위 필드에 채우려는 모든 필드가 포함되어 있지 않습니다. 이 경우 리소스 유형의 하위 필드를 사용하여 사용 가능한 필드를 채웁니다. Other 하위 필드를 사용하여 유형별 하위 필드에 없는 필드를 채웁니다.

• 리소스 유형이 제공된 유형 중 하나가 아닙니다. 이 경우 Resource.Type을 Other로 설정하고 Other하위 필드를 사용하여 세부 정보를 채웁니다.

Type: 최대 50개의 키-값 페어의 맵

405



각 키-값 페어는 다음 요구 사항을 충족해야 합니다.

• 키는 128자 미만이어야 합니다.• 값은 1,024자 미만이어야 합니다.

Severity결과의 심각도에 대한 세부 정보입니다.

용BatchImportFindings요청을 사용하는 경우 공급자를 찾는Severity의 객체FindingProviderFields (p. 163).

결과의 심각도는 관련 자산 또는 기본 리소스의 중요성을 고려하지 않습니다. 중요성은 결과와 관련된 리소스의 중요도 수준으로 정의됩니다. 예를 들어 미션 크리티컬 애플리케이션과 관련된 리소스와 비프로덕션 테스트와 관련된 리소스가 있습니다. 리소스 중요성에 대한 정보를 캡처하려면 Criticality 필드를 사용합니다.

결과에는 Label 또는 Normalized가 채워져 있어야 합니다. Label이 기본 속성입니다. SecurityHubNormalized과 비슷하지만 그렇지 않으면 사용하지 않습니다. 두 속성이 모두 채워지지 않으면 결과가유효하지 않습니다.

Severity 객체에는 다음과 같은 속성이 있을 수 있습니다.

Label

선택

결과에 대한 심각도 값입니다.

Type: 열거형

유효한 값: INFORMATIONAL|LOW|MEDIUM|HIGH|CRITICAL

높은 수준에서 볼 때 Label 값은 다음과 같이 해석될 수 있습니다.• INFORMATIONAL— 문제를 찾을 수 없습니다.• LOW— 자체적으로 조치가 필요하지 않은 문제입니다.• MEDIUM— 해결해야 하지만 긴급하지는 않은 문제입니다.• HIGH— 우선적으로 해결해야 할 문제입니다.• CRITICAL— 문제가 에스컬레이션되지 않도록 즉시 해결해야 합니다.

값을 설정하는 방법에 대한 지침은Label에 대한 자세한 내용은the section called “심각도를 할당하기위한 지침 (AWS서비스 및 파트너)” (p. 407).

Normalized(더 이상 사용되지 않음)

선택

이 속성은 더 이상 관련이 없습니다. Security HubNormalized속성을 사용할 수 있지만 그렇지 않으면사용하지 않습니다. 그 대신Normalized를 사용하려면Label.

정규화된 결과 심각도입니다.

Type: Integer

Normalized의 값은 0~100 사이의 정수여야 합니다. 0은 심각도가 적용되지 않음을 의미하며, 100은결과의 심각도가 가장 크다는 의미입니다.

Original

선택

406



결과를 생성한 결과 제품의 기본 심각도입니다.

Type: 문자열

최대 길이: 64Product(사용되지 않음)

선택

결과를 생성한 제품 결과에서 정의하는 기본 심각도입니다.

더 이상 사용되지 않으며 Original로 대체되었습니다.

Type: 번호

형식: 유한 값으로 제한된 단정밀도 32비트 IEEE 754 부동 소수점 숫자

심각도를 할당하기 위한 지침 (AWS서비스 및 파트너)AWS 서비스 및 타사 파트너 제품에서 생성된 결과의 경우 심각도는 다음을 기준으로 결정됩니다.

• 가장 심각한— 실제 데이터 손실 또는 서비스 거부와 관련된 결과• 두 번째로 심한— 위반 행위와 관련이 있지만 데이터 손실 또는 기타 부정적인 영향이 발생했음을 나타내

지 않는 결과• 세 번째로 심각합니다.— 향후 위반 가능성을 나타내는 문제와 관련된 결과

결과의 기본 심각도 점수를 값으로 변환할 경우 다음 지침을 사용하는 것이 좋습니다.Severity.LabelASFF에 대한.

• 정보 검색 결과. 예를 들어, 통과된 점검 또는 민감한 데이터 식별에 대한 결과입니다.

제안된 심각도:INFORMATIONAL• 향후 위반 가능성이 있는 문제와 관련된 결과. 예를 들어 취약성, 약한 구성, 암호 노출입니다.

이는 일반적으로 결과 유형에 속하는 Software and Configuration Checks 네임스페이스에 정렬됩니다.

제안된 심각도:LOW• 위반 행위를 나타내는 문제와 관련이 있지만 공격자가 목적을 달성했다는 증거는 없는 결과. 예를 들어 맬

웨어 활동, 해킹 활동 또는 비정상적인 동작 탐지입니다.

일반적으로 결과 유형에 속하는 Threat Detections and Unusual Behavior 네임스페이스에 정렬됩니다.

제안된 심각도:MEDIUM• 데이터 손실, 위반 행위 또는 서비스 거부 등 공격자의 목적 달성을 나타내는 결과.

이는 일반적으로 결과 유형에 속하는 Effects 네임스페이스에 정렬됩니다.

제안된 심각도:HIGH또는CRITICAL

Security Hub 매핑 방법Label및Normalized값경우BatchImportFindings새로운 찾기에 대한 요청은Label또는 제공Normalized을 선택하면Security Hub 에서 자동으로 다른 필드의 값을 채웁니다.

Label기본 속성입니다. Security HubNormalized과 비슷하지만 그렇지 않으면 사용하지 않습니다.

407



Security Hub 는 변경 내용을 기반으로 자동 업데이트를 수행하지 않습니다.BatchUpdateFindings.

다음의 경우,BatchImportFindings가 제공하는Normalized이며 제공하지 않습니다.Label,Label은 자동으로 다음과 같이 설정됩니다.

Normalized Label

0 INFORMATIONAL

1—39—39 LOW

40—69—69 MEDIUM

70—89 HIGH

100—100 CRITICAL

다음의 경우,BatchImportFindings만 제공합니다.Label이며 제공하지 않습니다.Normalized,Normalized은 자동으로 다음과 같이 설정됩니다.

Label Normalized

INFORMATIONAL 0

LOW 1

MEDIUM 40

HIGH 70

CRITICAL 90

ThreatIntelIndicators결과와 관련된 위협 인텔리전스 세부 정보입니다.

Type: 최대 5개의 위협 인텔리전스 지표 객체 배열

예

"ThreatIntelIndicators": [ { "Type": "IPV4_ADDRESS", "Value": "8.8.8.8", "Category": "BACKDOOR", "LastObservedAt": "2018-09-27T23:37:31Z", "Source": "Threat Intel Weekly", "SourceUrl": "http://threatintelweekly.org/backdoors/8888" }]

각 위협 인텔리전스 지표 객체에는 다음과 같은 속성이 있을 수 있습니다.

Category

선택

408





{ "Cvss": [ { "BaseScore": 4.7, "BaseVector": "AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N", "Version": "V3" }, { "BaseScore": 4.7, "BaseVector": "AV:L/AC:M/Au:N/C:C/I:N/A:N", "Version": "V2" } ], "Id": "CVE-2020-12345", "ReferenceUrls":[ "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12418", "http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-17563" ], "RelatedVulnerabilities": ["CVE-2020-12345"], "Vendor": { "Name": "Alas", "Url":"https://alas.aws.amazon.com/ALAS-2020-1337.html", "VendorCreatedAt":"2020-01-16T00:01:43Z", "VendorSeverity":"Medium", "VendorUpdatedAt":"2020-01-16T00:01:43Z" }, "VulnerablePackages": [ { "Architecture": "x86_64", "Epoch": "1", "Name": "openssl", "Release": "16.amzn2.0.3", "Version": "1.0.2k" } ] }]

각 취약점에는 다음과 같은 속성이 있을 수 있습니다.

Cvss (p. 411)

선택

이 취약성과 관련된 권고의 CVSS (Common Vulnerability Scoring System) 점수입니다.

Type: 객체의 배열Id

필수

취약점의 식별자입니다.

Type: 문자열

최대 길이: 32ReferenceUrls

선택

취약성에 대한 추가 정보를 제공하는 URL 목록입니다.


410


RelatedVulnerabilities

선택

이 취약점과 관련된 취약점 목록입니다. 각 취약점에 대해 취약점 ID를 제공합니다.

Type: 문자열 배열Vendor (p. 411)

선택

취약점 보고서를 생성하는 공급업체에 대한 정보입니다.

Type: 객체VulnerablePackages (p. 412)

선택

취약점이 있는 패키지 목록입니다.


Cvss이Cvss객체는 이 취약점에 대한 CVSS 점수 목록을 제공합니다.

EACCVSS점수는 다음과 같은 속성을 가질 수 있습니다.

BaseScore

선택

기본 CVSS 점수입니다.

Type: 번호BaseVector

선택

CVSS 점수에 대한 기본 점수 벡터입니다.


선택

CVSS 점수에 대한 CVSS 버전입니다.

Type: 문자열

Vendor이Vendor개체는 취약점에 대한 취약점 권고를 생성한 공급업체에 대한 정보를 제공합니다.

Vendor 객체에는 다음과 같은 속성이 있을 수 있습니다.

Name

필수

411


공급업체의 이름입니다.

Type: 문자열

최대 길이: 32Url

선택

취약점 권고의 URL입니다.

Type: 문자열VendorCreatedAt

선택

취약점 권고가 만들어진 시기를 나타냅니다.

Type: 문자열


VendorSeverity

선택

공급업체가 취약점에 할당한 심각도입니다.

Type: 문자열

최대 길이: 32VendorUpdatedAt

선택

취약점 권고가 마지막으로 업데이트된 시기를 나타냅니다.

Type: 문자열


VulnerablePackages

이VulnerablePackages개체는 취약점이 있는 패키지 목록을 제공합니다.

각 패키지에는 다음과 같은 속성이 있을 수 있습니다.

Architecture

선택

취약한 패키지에 사용되는 아키텍처입니다.

Type: 문자열Epoch

선택

412




취약한 패키지의 신기원입니다.

Type: 문자열Name

선택

취약한 패키지의 이름입니다.

Type: 문자열Release

선택

취약한 패키지의 릴리스입니다.


선택

취약한 패키지의 버전입니다.

Type: 문자열

WorkflowWorkflow 객체는 결과 조사 상태에 대한 정보를 제공합니다.

결과 공급자를 위한 용도는 아닙니다. 고객 및 고객이 사용하는 수정, 오케스트레이션 및 티켓팅 도구에 의해서만 사용됩니다.

워크플로우 상태는 BatchUpdateFindings를 사용해서만 업데이트할 수 있습니다. 고객은 콘솔에서 업데이트할 수도 있습니다. the section called “결과에 대한 워크플로 상태 설정” (p. 98)을(를) 참조하세요.

Workflow에는 다음과 같은 속성이 있을 수 있습니다.

Status

선택

결과에 대한 조사의 상태입니다.

Type: 열거형

유효한 값: NEW|NOTIFIED|RESOLVED|SUPPRESSED• NEW— 검토하기 전 결과의 초기 상태입니다.

Security HubWorkFlow.StatusfromNOTIFIED또는RESOLVEDtoNEW다음과 같은 경우:• RecordState변경 내용ARCHIVEDtoACTIVE.• Compliance.Status변경 내용PASSED중 하나를 사용합니다.WARNING,FAILED또

는NOT_AVAILABLE.• NOTIFIED— 리소스 소유자에게 보안 문제에 대해 통지했음을 나타냅니다. 초기 검토자가 리소스 소

유자가 아닐 때 사용됩니다.리소스 소유자의 개입이 필요합니다.• RESOLVED— 결과가 검토 및 수정되었으며 이제 해결된 것으로 간주됩니다. 컨트롤의 검색 결과에 대

해Compliance.Status가 전달되면 Security Hub 자동으로 Workflow.StatustoRESOLVED.• SUPPRESSED— 결과가 다시 검토되거나 조치가 취해지지 않습니다.

413


AWS Security Hub 사용 설명서ASFF에 대한 유형 분류 체계

ASFF에 대한 유형 분류 체계다음 정보는 Types 경로의 처음 세 개 수준을 설명합니다. 목록에서 1단계 글머리 기호는 네임스페이스이고2단계 글머리 기호는 범주이며 3단계 글머리 기호는 분류자입니다. 소프트웨어 및 구성 점검 네임스페이스에만 분류자가 정의되어 있습니다.

• 네임스페이스• 범주

• 분류자

결과 공급자는 정의된 네임스페이스를 사용해야 합니다. 정의된 범주 및 분류자를 사용하는 것이 좋지만 필수는 아닙니다.

결과 공급자는 네임스페이스/범주/분류자에 대한 부분 경로를 정의할 수 있습니다. 예를 들어 다음 결과 유형은 모두 유효합니다.

• TTP• TTPs/Defense Evasion• TTPs/Defense Evasion/CloudTrailStopped

TTP는 Tactics, Techniques, and Procedures의 약자입니다. 다음 목록의 TTP 범주는 MITER ATT & CKMatrixTM에 맞춰 정렬됩니다. 비정상 동작은 일반적인 비정상 동작(예: 일반적인 통계적 이상)을 반영하고특정 TTP에 맞게 정렬되지 않습니다. 그러나 비정상 동작과 TTP 결과 유형을 모두 사용하여 결과를 분류할수 있습니다.

• 소프트웨어 및 구성 점검• 취약성

• CVE• AWS 보안 모범 사례

• 네트워크 연결성• 실행 시간 행동 분석

• 산업 및 규제 표준• CIS 호스트 강화 벤치마크• CIS AWS 기반 벤치마크• PCI-DSS 규제• Cloud Security Alliance(CSA) 규제• ISO 90001 규제• ISO 27001 규제• ISO 27017 규제• ISO 27018 규제• SOC 1• SOC 2• HIPAA 규제(미국)• NIST 800-53 규제(미국)• NIST CSF 규제(미국)• IRAP 규제(호주)• K-ISMS 규제(한국)• MTCS 규제(싱가포르)• FISC 규제(일본)

414

https://attack.mitre.org/matrices/enterprise/

https://attack.mitre.org/matrices/enterprise/

AWS Security Hub 사용 설명서ASFF에 대한 유형 분류 체계

• My Number Act 규제(일본)• ENS 규제(스페인)• Cyber Essentials Plus 규제(영국)• G-Cloud 규제(영국)• C5 규제(독일)• IT-Grundschutz 규제(독일)• GDPR 규제(유럽)• TISAX 규제(유럽)

• 패치 관리• TTP

• 초기 액세스• 실행• 지속성• 권한 에스컬레이션• 방어 회피• 자격 증명 액세스• 검색• 수평 이동• 수집• 명령 및 제어

• 효과• 데이터 노출• 데이터 유출• 데이터 폐기• 서비스 거부 공격• 리소스 소비

• 비정상 동작• 애플리케이션• 네트워크 흐름• IP 주소• User• VM• 컨테이너• 서버리스• 프로세스• 데이터베이스• Data

• 민감한 데이터 식별• PII• 암호• 법적 고지• 금융• 보안• 비즈니스

415

AWS Security Hub 사용 설명서제품 통합 관리

에서 제품 통합AWSSecurity HubAWSSecurity Hub 보안 검색 데이터를 여러AWS서비스 및 지원되는AWS파트너 네트워크 (APN) 보안 솔루션 이 집계를 통해 보안 및 규정 준수를 포괄적으로 파악할 수 있습니다.AWS환경을 사용합니다.

자체 사용자 지정 보안 제품에서 생성된 결과를 전송할 수도 있습니다.

Important

지원 되는AWS및 파트너 제품 통합에서 Security Hub 는 보안 허브를 활성화한 후 생성되는 결과만수신하고 통합합니다.AWS계정을 사용합니다.Service는 Security Security Hub 를 활성화하기 전에 생성된 보안 결과를 소급하여 감지하고 통합하지 않습니다.

Security Hub 에서 수집된 결과를 청구하는 방법에 대한 자세한 내용은 단원을 참조하십시오.Security Hub.

주제• 제품 통합 관리 (p. 416)• 사용 가능한 AWS 서비스 통합 (p. 419)• 사용 가능한 타사 파트너 제품 통합 (p. 421)• 사용자 지정 제품 통합을 사용하여 로 결과 전송AWSSecurity Hub (p. 431)

제품 통합 관리이통합페이지의AWS Management Console는 사용 가능한 모든AWS및 타사 제품 통합을 지원합니다. 이AWSSecurity Hub API는 통합을 관리할 수 있는 작업도 제공합니다.

Note

일부 통합은 일부 리전에서 사용할 수 없습니다. 지원되지 않는 통합은 Integrations(통합) 페이지에나열되지 않습니다.the section called “중국 (베이징) 및 중국 (닝샤) 에서 지원되는 통합” (p. 12) 및 the section called“에서 지원되는 통합AWSGovCloud (미국 동부) 및AWSGovCloud(미국 서부)” (p. 12)도 참조하십시오.

통합 목록 보기 및 필터링 (콘솔)Integrations(통합) 페이지에서 통합 목록을 보고 필터링할 수 있습니다.

통합 목록을 보려면

1. 열기AWS의 Security Hub 콘솔https://console.aws.amazon.com/securityhub/.2. Security Hub 탐색 창에서 [] 를 선택합니다.통합.

통합 페이지에는 다른 AWS 서비스와의 통합이 먼저 나열되고 타사 제품과의 통합이 다음에 나열됩니다.

각 통합에 대해 통합 페이지는 다음 정보를 제공합니다.

• 회사의 이름• 제품 이름

416



AWS Security Hub 사용 설명서제품 통합에 대한 정보 보기 (Security Hub API,AWS CLI)

• 통합에 대한 설명• 통합이 적용되는 범주• 통합을 활성화하는 방법• 통합의 현재 상태

다음 필드에서 텍스트를 입력하여 목록을 필터링할 수 있습니다.

• 회사 이름• 제품 이름• 통합 설명• 범주

제품 통합에 대한 정보 보기 (Security Hub API,AWSCLI)제품 통합에 대한 정보를 보려면 API 호출 또는AWS Command Line Interface. 모든 제품 통합에 대한 정보또는 활성화된 제품 통합에 대한 정보를 표시할 수 있습니다.

사용 가능한 모든 제품 통합에 대한 정보를 보려면 (Security Hub API,AWS CLI)

• Security Hub을 사용합니다.DescribeProducts작업을 수행합니다. 반환할 특정 제품 통합을 식별하려면ProductArn매개 변수를 사용하여 통합 ARN 제공합니다.

• AWS CLI— 명령줄에서 [] 를 실행합니다.describe-products명령입니다. 반환할 특정 제품 통합을 식별하려면 통합 ARN 제공합니다.

aws securityhub describe-products --product-arn "<integrationARN>"

예

aws securityhub describe-products --product-arn "arn:aws:securityhub:us-east-1::product/3coresec/3coresec"

사용하도록 설정한 제품 통합에 대한 정보를 보려면 (Security Hub API,AWS CLI)

• Security Hub을 사용합니다.ListEnabledProductsForImport작업을 수행합니다.• AWS CLI— 명령줄에서 [] 를 실행합니다.list-enabled-products-for-import명령입니다.

aws securityhub list-enabled-products-for-import

통합 활성화통합 페이지에서 각 통합은 통합을 활성화하는 데 필요한 단계를 제공합니다.

다른 AWS 서비스와의 통합에서는 대부분 다른 서비스를 활성화하는 단계만 필요합니다. 통합 정보에는 서비스 홈 페이지에 대한 링크가 포함됩니다. 다른 서비스를 활성화하면 Security Hub 가 서비스에서 결과를 수신할 수 있는 리소스 수준 권한이 자동으로 생성되어 적용됩니다.

타사 제품 통합의 경우 AWS Marketplace 에서 통합을 구입한 다음 통합을 구성해야 할 수 있습니다. 통합 정보는 이러한 작업을 수행할 수 있는 링크를 제공합니다.

417

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeProducts.html

https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-products.html

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListEnabledProductsForImport.html

https://docs.aws.amazon.com/cli/latest/reference/securityhub/list-enabled-products-for-import.html

AWS Security Hub 사용 설명서통합에서 결과의 흐름 비활성화 및 활성화 (콘솔)

AWS Marketplace 에서 여러 버전의 제품을 사용할 수 있는 경우, 구독할 버전을 선택한 다음 Continue toSubscribe(구독 계속)를 선택하십시오. 예를 들어, 일부 제품은 표준 버전과 AWS GovCloud (US) 버전을 제공합니다.

제품 통합을 활성화하면 리소스 정책이 자동으로 해당 제품 구독에 연결됩니다. 이 리소스 정책은 SecurityHub 가 해당 제품에서 결과를 수신하는 데 필요한 권한을 정의합니다.

통합에서 결과의 흐름 비활성화 및 활성화 (콘솔)에통합페이지에서 결과를 보내는 통합의 경우상태정보는 현재 결과를 수락하고 있는지 여부를 나타냅니다.

결과 수락을 중지하려면 Stop accepting findings(결과 수락 중지)를 선택합니다.

결과 수락을 다시 시작하려면 Accept findings(결과 수락)를 선택합니다.

통합에서 결과의 흐름 비활성화 및 비활성화 (SecurityHub API,AWS CLI)통합에서 결과의 흐름 비활성화 및 API 호출 또는AWS Command Line Interface.

통합에서 결과의 흐름 비활성화 및 비활성화 (Security Hub API,AWS CLI)

• Security Hub을 사용합니다.DisableImportFindingsForProduct작업을 수행합니다. 비활성화할 통합을 식별하려면 구독의 ARN 이 필요합니다. 활성화된 통합에 대한 구독 ARN을 가져오려면ListEnabledProductsForImport작업을 수행합니다.

• AWS CLI— 명령줄에서 [] 를 실행합니다.disable-import-findings-for-product명령입니다.

aws securityhub disable-import-findings-for-product --product-subscription-arn <subscription ARN>

예

aws securityhub disable-import-findings-for-product --product-subscription-arn "arn:aws:securityhub:us-west-1:123456789012:product-subscription/crowdstrike/crowdstrike-falcon"

통합에서 결과의 흐름 활성화 (Security Hub API,AWSCLI)통합에서 결과의 흐름을 활성화하려면 API 호출 또는AWS Command Line Interface.

통합에서 결과의 흐름 활성화 (Security Hub API,AWS CLI)

• Security Hub을 사용합니다.EnableImportFindingsForProduct작업을 수행합니다. Security Hub 가통합에서 결과를 수신하도록 활성화려면 제품 ARN 이 필요합니다. 사용 가능한 통합에 대한 ARN을 가져오려면DescribeProducts작업을 수행합니다.

• AWS CLI:명령줄에서 명령줄에서enable-import-findings-for-product명령입니다.

aws securityhub enable-import-findings-for-product --product-arn <integration ARN>

예

418

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableImportFindingsForProduct.html

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_ListEnabledProductsForImport.html

https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-import-findings-for-product.html

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_EnableImportFindingsForProduct.html

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeProducts.html

https://docs.aws.amazon.com/cli/latest/reference/securityhub/enable-import-findings-for-product.html

AWS Security Hub 사용 설명서통합에서 결과 보기

aws securityhub enable-import-findings-for product --product-arn "arn:aws:securityhub:us-east-1:123456789333:product/crowdstrike/crowdstrike-falcon"

통합에서 결과 보기결과를 수락하는 통합의 경우 (상태is발견사항 수락) 결과 목록을 보려면 [] 를 선택합니다.검색 결과 보기.

결과 목록에는 워크플로 상태가 NEW 또는 NOTIFIED인 선택한 통합에 대한 활성 결과가 표시됩니다.

결과 목록에서 다음 작업을 수행할 수 있습니다.

• 목록 필터 및 그룹화 변경 (p. 94)• 개별 결과에 대한 세부 정보 보기 (p. 96)• 결과의 워크플로 상태 업데이트 (p. 98)• 사용자 지정 작업에 결과 전송 (p. 99)

사용 가능한 AWS 서비스 통합Security Hub 는 여러AWS서비스.

Note

아프리카 (케이프타운), 아시아 태평양 (홍콩), 중국 (베이징), 중국 (닝샤), 유럽 (밀라노),AWSGovCloud (미국 동부) 또는AWSGovCloud (미국 서부)지원되지 않는 통합은 Integrations(통합) 페이지에 나열되지 않습니다.the section called “중국 (베이징) 및 중국 (닝샤) 에서 지원되는 통합” (p. 12) 및 the section called“에서 지원되는 통합AWSGovCloud (미국 동부) 및AWSGovCloud(미국 서부)” (p. 12)도 참조하십시오.

이러한 서비스의 경우 통합하면 서비스에서 결과를 Security Hub 로 전송할 수 있습니다.

• AWS Firewall Manager (p. 420)• Amazon GuardDuty (p. 420)• IAM Access Analyzer (p. 420)• Amazon Inspector (p. 421)• Amazon Macie (p. 421)• AWS Systems Manager 패치 관리자 (p. 421)

다음과 같은 통합을 통해 Security Hub 에서 검색 결과를 해당 서비스로 보낼 수 있습니다.

• Audit Manager (p. 420)• AWS Chatbot (p. 420)• Systems Manager 탐색기 및 OpsCenter (p. 421)

탐색기와 OpsCenter 는 Security Hub 검색 결과도 업데이트합니다.

이Detective 통합 (p. 420)를 사용하면 Security Hub 에서 Detective 사로 피벗하여 GuardDuty 결과를 조사할 수 있습니다.

다음은 각 AWS 서비스 통합에 대한 세부 정보입니다.

419

AWS Security Hub 사용 설명서사용 가능한 AWS 서비스 통합

AWS Audit Manager

Security Hub Audit Manager 제어 결과를 보냅니다. 이러한 검색 결과는 Audit Manager 사용자가 감사를 준비하는 데 도움이 됩니다.

Audit Manager 대한 자세한 내용은AWSAudit Manager 설명서.AWS Security Hub 확인에 의해 지원되는AWS Audit Manager에는 Security Hub 검색 결과를 Audit Manager 보내는 컨트롤이 나와 있습니다.

AWS Chatbot

AWS Chatbot는 대화형 에이전트로,AWS귀하의 슬랙 채널과 Amazon Chime 채팅방 리소스.

Security Hub 에서 결과를 로 보냅니다.AWS Chatbot.

에 대한 자세한 정보는AWS Chatbot통합을 Security Hub 통합하는 방법에 대한 자세한 내용은SecurityHub 통합 개요의AWS Chatbot관리자 안내서.

Amazon Detective

Detective 자동으로 로그 데이터를 수집AWS리소스를 사용하고 기계 학습, 통계 분석 및 그래프 이론을사용하여 더 빠르고 효율적으로 보안 조사를 시각화하고 수행할 수 있도록 지원합니다.

Detective ve와 Security Hub 통합하면 Security Hub 브의 Amazon GuardDuty 결과에서 Detective 로 전환할 수 있습니다. 그런 다음 Detective 도구와 시각화를 사용하여 이 결과를 조사할 수 있습니다. 통합에는 Security Hub 또는 Detective 에서 추가 구성이 필요하지 않습니다.

가 지원하는 GuardDuty 결과 유형의 경우, 결과 세부 정보에는Detective 정에서 조사하위 섹션을 참조하십시오. 해당 하위 섹션에는 Detective 사에 대한 링크가 포함되어 있습니다. 단원을 참조하십시오.Amazon GuardDuty 티에서 찾기 프로필로 피벗AWSSecurity Hub의사용 설명서.

Detective 가 지원하는 결과 유형 목록은 단원을 참조하십시오.지원되는 찾기 유형.

링크가 작동하지 않는 경우 문제 해결 방법은 피벗 문제 해결을 참조하십시오.AWS Firewall Manager

Firewall Manager 리소스 또는 웹 ACL 규칙에 대한 WAF 정책이 준수되지 않을 경우 결과를 SecurityHub 로 전송합니다. 또한 Firewall Manager 다음과 같은 경우에 검색 결과를 보냅니다.AWS ShieldAdvanced는 리소스를 보호하지 못하거나 공격이 식별될 때 발생합니다.

이미 Firewall Manager 사용하고 있는 경우 Security Hub 가 이 통합을 자동으로 활성화합니다. FirewallManager 결과를 받기 시작하기 위해 추가 작업을 수행할 필요가 없습니다.

통합에 대해 자세히 알아보려면통합페이지에서 Security Hub 콘솔에 로그인합니다.

Firewall Manager 대한 자세한 내용은 단원을 참조하십시오.AWS WAF개발자 안내서.Amazon GuardDuty

GuardDuty 는 지원되는 모든 결과 유형의 결과를 Security Hub 로 보냅니다.

GuardDuty (GuardDuty) 의 새로운 결과가 5분 이내에 Security Hub 로 전송됩니다. 검색 결과에 대한 업데이트는업데이트된 검색 결과설정을 사용할 GuardDuty 있습니다.

가드듀티를 사용하여 GuardDuty 샘플 검색 결과를 생성하는 경우설정페이지에서 SecurityHub 는 샘플 검색 결과를 수신하고 찾기 유형에서 접두사 '[Sample] '를 생략합니다. 예를 들어,GuardDuty “[SAMPLE] Recon:IAMUser/ResourcePermissions”는 Security Hub “Recon:IAMUser/ResourcePermissions”로 표시됩니다.

GuardDuty 통합에 대한 자세한 내용은 단원을 참조하세요.와 통합AWSSecurity Hub의아마존GuardDuty 사용 설명서.

IAM Access Analyzer

IAM 액세스 분석기를 사용하면 모든 결과가 Security Hub 로 전송됩니다.

420

https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html

https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-ash.html

https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-ash.html

https://docs.aws.amazon.com/chatbot/latest/adminguide/related-services.html#security-hub

https://docs.aws.amazon.com/chatbot/latest/adminguide/related-services.html#security-hub

https://docs.aws.amazon.com/detective/latest/userguide/profile-pivot-from-service.html

https://docs.aws.amazon.com/detective/latest/userguide/supported-finding-types.html

https://docs.aws.amazon.com/detective/latest/userguide/profile-pivot-from-service.html#profile-pivot-troubleshooting

https://docs.aws.amazon.com/waf/latest/developerguide/

https://docs.aws.amazon.com/guardduty/latest/ug/securityhub-integration.html

AWS Security Hub 사용 설명서사용 가능한 타사 파트너 제품 통합

IAM 액세스 분석기는 논리 기반 추론을 통해 계정에서 지원되는 리소스에 적용되는 리소스 기반 정책을분석합니다. IAM 액세스 분석기는 외부 보안 주체가 사용자 계정의 리소스에 액세스할 수 있도록 허용하는 정책 문을 감지할 때 결과를 생성합니다.

자세한 내용은 다음을 참조하세요.와 통합AWSSecurity Hub의IAM 사용 설명서.Amazon Inspector

Amazon Inspector Amazon Inspector 는 지원되는 모든 규칙 패키지에 대한 평가 실행을 통해 생성되는Security Hub 결과를 보냅니다.

통합에 대한 자세한 내용은 단원을 참조하세요.와 통합AWSSecurity Hub의Amazon Inspector 설명서.Amazon Macie

Masie의 결과는 정책 위반 사항이 있거나 조직이 에 저장하는 데이터에 개인 식별 정보 (PII) 및 지적 재산과 같은 민감한 데이터가 있음을 나타낼 수 있습니다.

기본적으로 Masie는 정책 위반 결과를 Security Hub 에만 보냅니다. 중요한 데이터 검색 결과를 SecurityHub 로 전송하도록 통합을 구성할 수도 있습니다. 자세한 내용은 단원을 참조하십시오.Amazon Macie통합AWSSecurity Hub의Amazon Macie 사용 설명서.

Security Hub 는 Macie Classic에서도 결과를 받을 수 있습니다. Macie 클래식에서 Macie에 기본 및 사용자 정의 연구 결과를 전송S3 버킷 속성및S3 객체인덱스를 사용합니다. Macie Classic은 데이터 분류또는 결과를 전송하지 않습니다.CloudTrail 데이터인덱스를 사용합니다.

자세한 내용은 단원을 참조하십시오.Macie Classic 경고 찾기 및 분석의Amazon Macie Classic 사용자안내서.

AWS Systems Manager탐색기 및 OpsCenter

AWS Systems Manager탐색기와 OpsCenter 는 Security Hub 브에서 검색 결과를 수신하고 보안 허브에서 이러한 결과를 업데이트합니다.

Explorer는 사용자 지정 가능한 대시보드를 제공하여 운영 상태 및 성능에 대한 주요 통찰력과 분석을 제공합니다.AWS환경.

OpsCenter 는 운영 작업 항목을 보고 조사하고 해결할 수 있는 중앙 위치를 제공합니다.

탐색기 및 OpsCenter 에 대한 자세한 내용은 단원을 참조하세요.운영 관리의AWS Systems Manager사용 설명서.

AWS Systems Manager 패치 관리자

AWS Systems ManagerPatch Manager는 고객 집합의 인스턴스가 패치 규정 준수 표준을 준수하지 않을 경우 검색 결과를 Security Hub 로 보냅니다.

패치 관리자는 보안 관련 및 기타 유형의 업데이트로 관리형 인스턴스에 패치를 적용하는 프로세스를 자동화해 줍니다.

패치 관리자 사용에 대한 자세한 내용은 단원을 참조하십시오.AWS Systems Manager패치 관리자의AWS Systems Manager사용 설명서.

사용 가능한 타사 파트너 제품 통합AWSSecurity Hub 는 다음과 같은 타사 제품과 통합됩니다. 각 공급자에 대해 목록에는 통합이 검색 결과와상호 작용하는 방식이 표시됩니다. 통합은 다음 작업을 수행할 수 있습니다.

• 생성 된 결과를 Security Hub 보냅니다.• Security Hub 에서 결과를 받습니다.

421

https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html

https://docs.aws.amazon.com/inspector/latest/userguide/securityhub-integration.html

https://docs.aws.amazon.com/macie/latest/user/securityhub-integration.html

https://docs.aws.amazon.com/macie/latest/user/securityhub-integration.html

https://docs.aws.amazon.com/macie/latest/userguide/macie-alerts.html#macie-alert-working-locate

https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-ops-center.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html



• Security Hub 에서 결과를 업데이트합니다. Security Hub 에서 검색 결과를 수신하는 통합도 이러한 검색결과를 업데이트할 수 있습니다.

해당하는 경우 이 목록은 제품 ARN도 지정합니다. 결과를 Security Hub 로 보내는 통합에는 항상 ARN 이 있습니다.

Note

아프리카 (케이프타운), 중국 (베이징), 중국 (닝샤), 유럽 (밀라노),AWSGovCloud (미국 동부) 또는AWSGovCloud (미국 서부)지원되지 않는 통합은 콘솔에 나열되지 않습니다.통합페이지를 방문하십시오the section called “중국 (베이징) 및 중국 (닝샤) 에서 지원되는 통합” (p. 12) 및 the section called“에서 지원되는 통합AWSGovCloud (미국 동부) 및AWSGovCloud(미국 서부)” (p. 12)도 참조하십시오.

보안 솔루션이 있고 Security Hub 파트너가 되는 데 관심이 있는 경우<[email protected]>. 메시지에 회사 이름, 제품 이름, AWS 파트너 네트워크(APN) 티어 등급 및 연락처 정보를 입력합니다.

Security Hub 파트너가 되려면 다음 조건 중 하나를 충족해야 합니다.

• 당신은AWS티어 파트너 이상을 선택합니다.• 당신은 가입했습니다AWSISV 파트너 경로을 완료했으며, Security Hub 통합에 사용하는 제품이AWS기초

기술 검토 (FTR). 이 제품은 다음 부여 “검토AWS“배지

시작하려면AWSSecurity Hub 파트너 통합 가이드. 온보딩 정보를 검토한 후 제품 매니페스트 작업을 시작할수 있습니다.

3코어섹— 3코어섹 NTA

통합 유형:: Send

제품 ARN: arn:aws:securityhub:<REGION>::product/3coresec/3coresec

3CoreSec은 온-프레미스 및 온-프레미스 모두에 대해 관리되는 검색 서비스를 제공합니다.AWS시스템을 사용합니다. Security Hub 와의 통합으로 멀웨어, 권한 에스컬레이션, 측면 이동 및 부적절한 네트워크 세분화와 같은 위협에 대한 가시성을 확보할 수 있습니다.

파트너 설명서

알사이드— KAudit


제품 ARN: arn:aws:securityhub:<REGION>::product/alcide/alcide-kaudit

Alcide는 새로운 종류의 Kubernetes 보안 솔루션을 만든 Kubernetes 보안 회사입니다. 이 새로운 솔루션은 복잡한 다중 클러스터 Kubernetes 환경을 위해 특별히 설계되었습니다. 이 새로운 시대에 운영 및 보호하는 모든 이해 관계자를 위해 작동합니다. DevOps, 보안 팀 및 클라우드 설계자

파트너 설명서Alert Logic— SIEMless ThreatManagement


제품 ARN: arn:aws:securityhub:<REGION>:733251395267:product/alertlogic/althreatmanagement

422

http://aws.amazon.com/partners/isv/

http://aws.amazon.com/partners/foundational-technical-review/

http://aws.amazon.com/partners/foundational-technical-review/

https://docs.aws.amazon.com/securityhub/latest/partnerguide/integration-overview.html

https://3coresec.com/aws

https://docs.google.com/document/d/1TPUuuyoAVrMKRVnGKouRy384ZJ1-3xZTnruHkIHJqWQ/edit?usp=sharing

https://www.alcide.io/aws-security/

https://alcide.atlassian.net/wiki/spaces/PUB/pages/1506344961/AWS+SecurityHub+Integration

https://www.alertlogic.com/solutions/platform/aws-security/


취약성 및 자산 가시성, 위협 감지 및 인시던트 관리 등 적절한 수준의 서비스를 받으십시오.AWS WAF및 지정된 SOC 분석가 옵션이 있습니다.

파트너 설명서Aqua Security— 아쿠아 클라우드 네이티브 Security Platform


제품 ARN: arn:aws:securityhub:<REGION>::product/aquasecurity/aquasecurity

Aqua Cloud Native Security Platform(CSP)은 CI/CD 파이프라인부터 실행 시간 프로덕션 환경에 이르기까지 컨테이너 기반 및 서버리스 애플리케이션에 대한 전체 수명 주기 보안을 제공합니다.

파트너 설명서Aqua Security— 쿠베 벤치


제품 ARN: arn:aws:securityhub:<REGION>::product/aqua-security/kube-bench

Kube-bench는 사용자의 환경에 대해 인터넷 보안 센터 (CIS) Kubernetes 벤치마크를 실행하는 오픈 소스 도구입니다.

파트너 설명서Armor— ARM


제품 ARN: arn:aws:securityhub:<REGION>:679703615338:product/armordefense/armoranywhere

Armour Anywhere는 AWS에 필요한 관리형 보안 및 규정 준수를 제공합니다.Atlassian- Jira Service Management

통합 유형:: 수신 및 업데이트

이AWSJira용 서비스 관리 커넥터는 Security Hub Jira로 결과를 전송합니다. Jira 문제는 결과를 기반으로 생성됩니다. Jira 문제가 업데이트되면 Security Hub 해당 검색 결과가 업데이트됩니다.

통합 및 작동 방식에 대한 개요는AWSSecurity Hub — 아틀라시안 지라 서비스 관리와 양방향 통합.

파트너 설명서Atlassian— 옵스제니

통합 유형:: 수신

Opsgenie는 상시 작동 서비스를 작동하는 데 필요한 최신 인시던트 관리 솔루션으로, 개발 운영 팀이 서비스 중단에 대비하고 인시던트 발생 중 제어 유지할 수 있도록 합니다.

Security Hub 와 통합하면 미션 크리티컬한 보안 관련 인시던트를 즉시 해결할 수 있도록 해당 팀으로 전달합니다.

파트너 설명서AttackIQ— AttackIQ


제품 ARN: arn:aws:securityhub:<REGION>::product/attackiq/attackiq-platform

AttackIQ 플랫폼은 MITRE ATT&CK 프레임워크에 따른 실제 적대적 동작을 에뮬레이션하여 전체 보안태세를 검증하고 개선하는 데 도움이 됩니다.

423

https://docs.alertlogic.com/configure/aws-security-hub.htm

https://blog.aquasec.com/aqua-aws-security-hub

https://github.com/aquasecurity/aws-security-hub-plugin

https://github.com/aquasecurity/kube-bench/blob/master/README.md

https://github.com/aquasecurity/kube-bench/blob/master/README.md

http://aws.amazon.com/marketplace/seller-profile?id=797425f4-6823-4cf6-82b5-634f9a9ec347

https://www.atlassian.com/software/jira/service-management

https://www.youtube.com/watch?v=uEKwu0M8S3M

https://docs.aws.amazon.com/servicecatalog/latest/adminguide/integrations-jiraservicedesk.html

https://www.atlassian.com/software/opsgenie

https://docs.opsgenie.com/docs/amazon-security-hub-integration-bidirectional

https://go.attackiq.com/BD-AWS-Security-Hub_LP.html


파트너 설명서Barracuda Networks— 클라우드 보안 Guardian


제품 ARN: arn:aws:securityhub:<REGION>:151784055945:product/barracuda/cloudsecurityguardian

Barracuda Cloud Security Sentry는 조직이 퍼블릭 클라우드에 애플리케이션을 구축하고 워크로드를 이동하는 동안 보안을 유지할 수 있도록 지원합니다.

BigID— BigID Enterprise


제품 ARN: arn:aws:securityhub:<REGION>::product/bigid/bigid-enterprise

BigID 엔터프라이즈 개인 정보 관리 플랫폼은 기업이 모든 시스템에서 중요한 데이터 (PII) 를 관리하고보호할 수 있도록 지원합니다.

파트너 설명서Blue 육각— 블루 육각형AWS


제품 ARN: arn:aws:securityhub:<REGION>::product/blue-hexagon/blue-hexagon-for-aws

블루 헥사곤은 실시간 위협 탐지 플랫폼입니다. 심층 학습 원칙을 사용하여 멀웨어 및 네트워크 이상을비롯한 알려진 위협과 알려지지 않은 위협을 탐지합니다.

파트너 설명서Capitis Solutions— C2VS


제품 ARN: arn:aws:securityhub:<REGION>::product/capitis/c2vs

C2VS는 애플리케이션별 구성 오류 및 이에 대한 근본 원인을 자동으로 식별하도록 설계된 맞춤형 규정준수 솔루션입니다.

파트너 설명서Checkpoint— CloudGuard IaaS


제품 ARN: arn:aws:securityhub:<REGION>:758245563457:product/checkpoint/cloudguard-iaas

Check Point CloudGuard는 클라우드의 자산을 보호하는 동시에 포괄적인 위협 예방 보안을 손쉽게AWS로 확장합니다.

파트너 설명서Checkpoint— 돔 9 Arc


제품 ARN: arn:aws:securityhub:<REGION>:634729597623:product/checkpoint/dome9-arc

검증 가능한 클라우드 네트워크 보안, 향상된 IAM 보호, 포괄적인 규정 준수와 거버넌스를 제공하는SaaS 플랫폼입니다.

424

https://github.com/AttackIQ/attackiq.github.io

http://aws.amazon.com/marketplace/pp/B07KF2X7QJ

https://github.com/bigexchange/aws-security-hub

https://github.com/bigexchange/aws-security-hub

https://bluehexagon.ai/solutions/secure-my-aws-workloads/

https://bluehexagonai.atlassian.net/wiki/spaces/BHDOC/pages/395935769/Deploying+Blue+Hexagon+with+AWS+Traffic+Mirroring#DeployingBlueHexagonwithAWSTrafficMirroringDeployment-Integrations

https://www.capitissolutions.com/security-hub-integration/

https://www.capitissolutions.com/security-hub-configuration/

http://aws.amazon.com/marketplace/seller-profile?id=a979fc8a-dd48-42c8-84cc-63d5d50e3a2f

https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk140412

http://aws.amazon.com/marketplace/seller-profile?id=a979fc8a-dd48-42c8-84cc-63d5d50e3a2f


Cloud Custodian— Cloud Custodian

통합 유형:: 전송 및 수신

제품 ARN: arn:aws:securityhub:<REGION>::product/cloud-custodian/cloud-custodian

Cloud Custodian을 사용하면 클라우드에서 사용자를 잘 관리할 수 있습니다. 간단한 YAML DSL을 통해규칙을 쉽게 정의하여 안전하고 비용 최적화된 비용으로 최적화된 관리성이 뛰어난 클라우드 인프라를사용할 수 있습니다.

파트너 설명서Cloud Storage Security— Amazon S3 용 안티바이러스


제품 ARN: arn:aws:securityhub:<REGION>::product/cloud-storage-security/antivirus-for-amazon-s3

클라우드 스토리지 보안은 Amazon S3 객체에 대해 클라우드 네이티브 안티맬웨어 및 안티바이러스 검사를 제공합니다.

Amazon S3 용 안티바이러스는 Amazon S3의 객체 및 파일을 실시간으로 예약하여 검사하여 맬웨어 및위협을 차단합니다. 문제 및 감염된 파일에 대한 가시성과 치료를 제공합니다.

파트너 설명서클라우드타머.io— 클라우드타머.io

통합 유형:: 전송 및 수신

제품 ARN: arn:aws:securityhub:<REGION>::product/cloudtamerio/cloudtamerio

cloudtamer.io는 완벽한 클라우드 거버넌스 솔루션입니다.AWS. cloudtamer.io는 이해 관계자에게 클라우드 운영에 대한 가시성을 제공하고 클라우드 사용자가 계정을 관리하고 예산 및 비용을 제어하며 지속적인 컴플라이언스를 보장하도록 지원합니다.

CrowdStrike— CrowdStrike 팔콘


제품 ARN: arn:aws:securityhub:<REGION>:517716713836:product/crowdstrike/crowdstrike-falcon

CrowdStrike Falcon의 단일 경량 센서는 차세대 안티바이러스, 엔드포인트 감지 및 응답, 클라우드를 통한 24/7 관리형 헌팅을 통합합니다.

CyberArk— 특권 위협 분석


제품 ARN: arn:aws:securityhub:<REGION>:749430749651:product/cyberark/cyberark-pta

Privileged Threat Analytics는 권한 있는 계정의 고위험 활동 및 동작을 수집, 감지하고 이에 대해 경고하고 대응하여 진행 중인 공격을 억제합니다.

파트너 설명서DisruptOps, Inc.— DisruptOPS

통합 유형: 전송 및 수신

제품 ARN: arn:aws:securityhub:<REGION>::product/disruptops-inc/disruptops

425

https://cloudcustodian.io/docs/aws/topics/securityhub.html

https://cloudcustodian.io/docs/aws/topics/securityhub.html

https://cloudstoragesec.com/

https://help.cloudstoragesec.com/console-overview/console-settings/#send-scan-result-findings-to-aws-security-hub

https://www.cloudtamer.io/partners/aws/

http://aws.amazon.com/marketplace/seller-profile?id=f4fb055a-5333-4b6e-8d8b-a4143ad7f6c7

https://www.cyberark.com/solutions/digital-transformation/cloud-virtualization-security/

https://cyberark-customers.force.com/mplace/s/#a352J000000dZATQA2-a392J000001Z3eaQAC

https://disruptops.com/securityhub/


DisruptOps의 보안 작업 플랫폼은 조직이 자동화된 가드레일을 사용하여 클라우드에서 보안 모범 사례를 유지할 수 있도록 도와줍니다.

FireEye— FireEye Helix

통합 유형: 수신

FireEye Helix는 조직이 알림에서 수정까지 모든 인시던트를 제어할 수 있도록 지원하는 클라우드 호스팅 보안 운영 플랫폼입니다.

Forcepoint— Forcepoint CASB

통합 유형: Send

제품 ARN: arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-casb

Forcepoint CASB를 사용하면 클라우드 애플리케이션 사용을 검색하고, 위험을 분석하며, SaaS 및 사용자 지정 애플리케이션에 대한 적절한 제어를 적용할 수 있습니다.

파트너 설명서Forcepoint— Forcepoint DLP

통합 유형: Send

제품 ARN: arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-dlp

Forcepoint DLP는 사용자가 작업하고 데이터가 상주하는 모든 곳에서 가시성과 제어 기능을 통해 사용자로 인해 발생한 위험을 해결합니다.

파트너 설명서Forcepoint— Forcepoint NGFW

통합 유형: Send

제품 ARN: arn:aws:securityhub:<REGION>:365761988620:product/forcepoint/forcepoint-ngfw

포스포인트 NGFW를 사용하면AWS환경을 엔터프라이즈 네트워크에 통합하고 네트워크를 관리하고 위협에 대응하는 데 필요한 확장성, 보호 및 통찰력을 제공합니다.

파트너 설명서GuardiCore— Centra 4.0

통합 유형: Send

제품 ARN: arn:aws:securityhub:<REGION>:324264561773:product/guardicore/guardicore

Guardicore Centra는 최신 데이터 센터 및 클라우드의 워크로드에 대한 흐름 시각화, 마이크로 분할 및위반 감지 기능을 제공합니다.

GuardiCore— 감염 Monkey

통합 유형: Send

제품 ARN: arn:aws:securityhub:<REGION>:324264561773:product/guardicore/aws-infection-monkey

Infection Monkey는 네트워크의 공격 대응 능력을 테스트하기 위한 공격 시뮬레이션 도구입니다.

파트너 설명서

426

https://www.fireeye.com/solutions/helix.html

https://www.forcepoint.com/platform/technology-partners/securing-your-amazon-web-services-aws-workloads

https://frcpnt.com/casb-securityhub


https://frcpnt.com/dlp-securityhub


https://frcpnt.com/ngfw-securityhub

http://aws.amazon.com/marketplace/seller-profile?id=21127457-7622-49be-81a6-4cb5dd77a088

http://aws.amazon.com/marketplace/seller-profile?id=21127457-7622-49be-81a6-4cb5dd77a088

https://www.guardicore.com/infectionmonkey/docs/usage/integrations/aws-security-hub/


헬클라우드— 보안 관리


HeleCloud는 Managed Services 제공업체로서AWS인프라를 통해 핵심 비즈니스에 집중할 수 있습니다.

IBM— QRadar


제품 ARN: arn:aws:securityhub:<REGION>:949680696695:product/ibm/qradar-siem

IBM QRadar SIEM은 보안 팀이 위협을 신속하고 정확하게 감지하여 우선 순위를 정하고 조사하여 대응할 수 있는 기능을 제공합니다.

파트너 설명서McAfee— MVISION CloudAWS

통합 유형: Send

제품 ARN: arn:aws:securityhub:<REGION>:297986523463:product/mcafee-skyhigh/mcafee-mvision-cloud-aws

Amazon Web Services 용 McAfee MVISION 클라우드는 다음을 위한 포괄적인 모니터링, 감사 및 문제해결 솔루션입니다.AWS환경.

파트너 설명서마이크로포커스— 마이크로포커스 아크사이트


ArcSight는 실시간으로 효과적인 위협 탐지 및 대응을 가속화하여 이벤트 상관 관계 및 감독 및 비감독분석을 대응 자동화 및 오케스트레이션과 통합합니다.

파트너 설명서넷스카우트— 넷스카우트 사이버 조사관

통합 유형: Send

제품 ARN: arn:aws:securityhub:us-east-1::product/netscout/netscout-cyber-investigator

NETSCOUT 사이버 조사기는 사이버 위협이 비즈니스에 미치는 영향을 줄이는 데 도움이 되는 전사적네트워크 위협, 위험 조사 및 포렌식 분석 플랫폼입니다.

파트너 설명서PagerDuty— PagerDuty


PagerDuty의 디지털 작업 관리 플랫폼은 모든 신호를 적절한 통찰력과 조치로 자동 변환하므로 고객에게 영향을 미치는 문제를 사전에 완화할 수 있는 역량을 조직에 부여합니다.

AWS 사용자는 PagerDuty의 다양한 AWS 통합을 사용하여 안심하고 AWS 및 하이브리드 환경을 확장할 수 있습니다.

와 결합 할 때AWSSecurity Hub의 체계적으로 집계된 보안 경고인 PagerDuty ce는 위협 대응 프로세스를 자동화하고 잠재적인 문제를 방지할 사용자 지정 작업을 빠르게 설정할 수 있습니다.

클라우드 마이그레이션 프로젝트를 수행하는 PagerDuty 사용자는 마이그레이션 수명 주기 내내 발생하는 문제의 영향을 줄이면서 신속하게 이동할 수 있습니다.

427

https://helecloud.com/managed-security-and-compliance-services/

https://www.ibm.com/security/security-intelligence/qradar/securing-the-cloud

https://www.ibm.com/docs/en/qradar-common?topic=configuration-integrating-aws-security-hub

https://www.skyhighnetworks.com/mvision-cloud-for-amazon-web-services-aws-security-hub/

https://www.skyhighnetworks.com/cloud-security-blog/enhancing-aws-security-hub-with-mcafee-mvision-cloud/

http://aws.amazon.com/marketplace/pp/B07RM918H7

https://community.microfocus.com/cyberres/productdocs/w/connector-documentation/2768/smartconnector-for-amazon-web-services-security-hub

http://aws.amazon.com/marketplace/pp/prodview-reujxcu2cv3f4?qid=1608874215786&sr=0-1&ref_=srh_res_product_title

https://www.netscout.com/solutions/cyber-investigator-aws

http://aws.amazon.com/marketplace/pp/prodview-5sf6wkximaixc?ref_=srh_res_product_title


파트너 설명서Palo Alto Networks— 피질 XSOAR


Cortex XSOAR는 전체 보안 제품 스택과 통합하여 인시던트 응답 및 보안 작업을 가속화하는 보안 오케스트레이션, 자동화 및 응답 (SOAR) 플랫폼입니다.

파트너 설명서Palo Alto Networks— 프리즈 클라우드 컴퓨팅

통합 유형: Send

제품 ARN: arn:aws:securityhub:<REGION>:496947949261:product/twistlock/twistlock-enterprise

Prisma Cloud Compte는 VM, 컨테이너 및 서버리스 플랫폼을 보호하는 클라우드 네이티브 사이버 보안플랫폼입니다.

파트너 설명서Palo Alto Networks— 프리즈 클라우드 엔터프라이즈

통합 유형: Send

제품 ARN: arn:aws:securityhub:<REGION>:188619942792:product/paloaltonetworks/redlock

클라우드 보안 분석, 고급 위협 감지 및 규정 준수 모니터링을 통해 AWS 배포를 보호합니다.

파트너 설명서Palo Alto Networks— VM 시리즈


Security Hub Palo Alto VM 시리즈 통합은 위협 인텔리전스를 수집하여 악성 (IP 주소) 활동을 차단하는자동 보안 정책 업데이트로 VM 시리즈 차세대 방화벽으로 전송합니다.

파트너 설명서배회자

통합 유형: Send

제품 ARN: arn:aws:securityhub:<REGION>::product/prowler/prowler

Prowler는 다음을 수행할 수 있는 오픈 소스 보안 도구입니다.AWS보안 모범 사례, 강화 및 지속적인 모니터링과 관련된 검사를 수행할 수 있습니다.

파트너 설명서Qualys— 취약성 관리

통합 유형: Send

제품 ARN: arn:aws:securityhub:<REGION>:805950163170:product/qualys/qualys-vm

Qualys Vulnerability Management(VM)는 취약성을 지속적으로 검사하고 식별하여 자산을 보호합니다.

파트너 설명서Lackspace— Cloud Native Security


428

https://support.pagerduty.com/docs/aws-security-hub-integration-guide-pagerduty

http://aws.amazon.com/marketplace/seller-profile?id=0ed48363-5064-4d47-b41b-a53f7c937314

https://xsoar.pan.dev/docs/reference/integrations/aws---security-hub


https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin-compute/alerts/aws_security_hub.html


https://docs.paloaltonetworks.com/prisma/prisma-cloud/prisma-cloud-admin/configure-external-integrations-on-prisma-cloud/integrate-prisma-cloud-with-aws-security-hub

https://github.com/PaloAltoNetworks/pan_aws_security_hub

https://github.com/PaloAltoNetworks/pan_aws_security_hub

https://github.com/toniblyx/prowler/#security-hub-integration

https://github.com/toniblyx/prowler/#security-hub-integration

https://www.qualys.com/public-cloud/#aws

https://qualys-secure.force.com/discussions/s/article/000005831

https://www.rackspace.com/managed-aws/capabilities/security


Rackspace 기술은 기본AWSRackspace SOC를 통한 연중무휴 모니터링, 고급 분석 및 위협 해결을 위한 보안 제품을 제공합니다.

Rapid7— InsightConnect


Rapid7의 InsightConnect는 코드를 거의 사용하지 않고 SOC 작업을 최적화할 수 있는 보안 오케스트레이션 및 자동화 솔루션입니다.

파트너 설명서Rapid7— InsightVM

통합 유형: Send

제품 ARN: arn:aws:securityhub:<REGION>:336818582268:product/rapid7/insightvm

Rapid7 InsightVM은 최신 환경에 대한 취약성 관리 기능을 제공하므로 취약성을 효율적으로 찾고, 우선순위를 지정하고, 문제를 해결할 수 있습니다.

파트너 설명서RSA— RSA Archer


RSA Archer IT & Security Risk Management를 사용하면 비즈니스에 중요한 자산을 파악하고, 보안 정책 및 표준을 설정 및 전달하고, 공격을 탐지 및 대응하고, 보안 결함을 식별 및 해결하며, 명확한 IT 위험관리 Best Practice 를 수립할 수 있습니다.

파트너 설명서시큐어클라우DDB— 시큐어클라우DDB

통합 유형: Send

제품 ARN: arn:aws:securityhub:<REGION>::product/secureclouddb/secureclouddb

SecureCloudDB는 내부 및 외부 보안 상태 및 활동에 대한 포괄적인 가시성을 제공하는 클라우드 네이티브 데이터베이스 보안 도구입니다. 보안 위반에 플래그를 지정하고 악용 가능한 데이터베이스 취약성에 대한 치료를 제공합니다.

파트너 설명서ServiceNowITSM

통합 유형: 수신 및 업데이트

ServiceNow Security Hub 통합으로 ServiceNow ITSM 내에서 Security Hub 결과를 볼 수 있습니다. 또한 Security Hub 에서 검색 결과를 받을 때 인시던트나 문제가 자동으로 생성되도록 ServiceNow 를 구성할 수도 있습니다.

이러한 인시던트 및 문제를 업데이트하면 Security Hub 의 검색 결과가 업데이트됩니다.

통합 및 작동 방식에 대한 개요는AWSSecurity Hub - ServiceNow ITSM과 양방향 통합.Slack—


Slack은 사람, 데이터 및 애플리케이션을 하나로 통합하는 비즈니스 기술 스택 계층입니다. 효율적으로협업하고, 중요한 정보를 검색하고, 수십만 개의 중요한 애플리케이션 및 서비스에 액세스하여 최상의작업을 수행할 수 있는 단일 공간입니다.

파트너 설명서

429

https://www.rapid7.com/partners/technology-partners/amazon-web-services/

https://docs.rapid7.com/insightconnect/aws-security-hub/

https://www.rapid7.com/partners/technology-partners/amazon-web-services/

https://docs.rapid7.com/insightvm/aws-security-hub/

https://community.rsa.com/docs/DOC-111898

https://community.rsa.com/docs/DOC-111898

http://aws.amazon.com/marketplace/pp/B08P2HR2Z7

https://help.secureclouddb.com/guide/aws/security_hub.html

https://docs.aws.amazon.com/servicecatalog/latest/adminguide/integrations-servicenow.html

https://www.youtube.com/watch?v=OYTi0sjEggE

https://github.com/aws-samples/aws-securityhub-to-slack

https://docs.aws.amazon.com/chatbot/latest/adminguide/related-services.html


Sophos— 서버 보호

통합 유형: Send

제품 ARN: arn:aws:securityhub:<REGION>:062897671886:product/sophos/sophos-server-protection

Sophos Server Protection은 포괄적인 심층 방어 기술을 사용하여 조직의 핵심 애플리케이션 및 데이터를 보호합니다.

파트너 설명서Splunk— Splunk Enterprise


제품 ARN: arn:aws:securityhub:<REGION>:112543817624:product/splunk/splunk-enterprise

Splunk는 Security Hub 발견의 소비자로 Amazon CloudWatch Events 사용합니다. 고급 보안 분석 및SIEM을 위해 Splunk에 데이터를 보냅니다.

파트너 설명서Splunk— Splunk Phantom


Splunk 팬텀 앱으로AWSSecurity Hub 에서는 추가 위협 인텔리전스 정보로 자동화된 컨텍스트를 보강하거나 자동화된 응답 작업을 수행할 수 있도록 Phantom으로 결과를 보냅니다.

파트너 설명서스택록스— 스택록스 쿠버네테스 시큐리티

통합 유형: Send

제품 ARN: arn:aws:securityhub:<REGION>::product/stackrox/kubernetes-security

StackRox는 기업이 전체 컨테이너 수명 주기 (빌드, 배포 및 실행) 에 규정 준수 및 보안 정책을 적용하여컨테이너와 Kubernetes 배포를 대규모로 보호할 수 있도록 지원합니다.

Sumo Logic— 기계 데이터 분석

통합 유형: Send

제품 ARN: arn:aws:securityhub:<REGION>:956882708938:product/sumologicinc/sumologic-mda

Sumo Logic은 DevSecOps 팀이 AWS 애플리케이션을 구축, 실행하고 보호할 수 있게 해주는 안전한 머신 데이터 분석 플랫폼입니다.

파트너 설명서Symantec— 클라우드 워크로드 보호

통합 유형: Send

제품 ARN: arn:aws:securityhub:<REGION>:754237914691:product/symantec-corp/symantec-cwp

클라우드 워크로드 보호는 맬웨어 방지, 침입 방지 및 파일 무결성 모니터링을 통해 Amazon EC2 인스턴스를 완벽하게 보호합니다.

파트너 설명서

430

https://www.sophos.com/en-us/lp/aws-security-hub-integration.aspx

https://support.sophos.com/support/s/article/KB-000036466?language=en_US

https://www.splunk.com/en_us/form/stay-afloat-using-aws-security-hub.html

https://github.com/splunk/splunk-for-securityHub

https://www.splunk.com/en_us/form/stay-afloat-using-aws-security-hub.html

https://splunkphantom.s3.amazonaws.com/phantom-sechub-setup.html

http://aws.amazon.com/marketplace/pp/B07RP4B4P1

https://www.sumologic.com/application/aws-security-hub/

https://help.sumologic.com/07Sumo-Logic-Apps/01Amazon_and_AWS/AWS_Security_Hub

https://www.broadcom.com/products/cyber-security/endpoint/hybrid-cloud/cloud-workload-protection

https://help.symantec.com/cs/scwp/SCWP/v130271667_v111037498/Intergration-with-AWS-Security-Hub/?locale=EN_US&sku=CWP_COMPUTE

AWS Security Hub 사용 설명서사용자 지정 제품 통합 사용

분류: Sysdig— 클라우드를 위한 Sysdig 보안

통합 유형: Send

제품 ARN:arn:aws:securityhub:<REGION># 제품/시스템/시스템 디그/클라우드에 대한 보안

Sysdig Secure for Cloud는 자산 검색, 위험 관리, CSPM (클라우드 보안 태세 관리), 규정 준수, AmazonElastic Container 레지스트리 (ECR) 및 FFargate 에 대한 자동 취약점 검사, CloudTrail 을 기반으로 하는 위협 탐지를 지원합니다. 이러한 모든 기능을 단일 보안 플랫폼으로 배포할 수 있습니다.

파트너 설명서Tenable— 테너블.io

통합 유형: Send

제품 ARN: arn:aws:securityhub:<REGION>:422820575223:product/tenable/tenable-io

취약성을 정확하게 식별, 조사하고 우선 순위를 지정합니다. 클라우드에서 관리됩니다.

파트너 설명서스레트모델러


ThreatModeler는 엔터프라이즈 소프트웨어 및 클라우드 개발 수명 주기를 보호하고 확장하는 자동화된위협 모델링 솔루션입니다.

파트너 설명서Turbot— 터봇

통합 유형: 전송 및 수신

제품 ARN: arn:aws:securityhub:<REGION>:453761072151:product/turbot/turbot

Turbot은 클라우드 인프라가 안전하고, 규정을 준수하며, 확장 가능하고, 비용에 최적화된 상태를 유지하도록 보장합니다.

파트너 설명서벡트라 AI - Cognito 탐지

통합 유형: Send

제품 ARN: arn:aws:securityhub:<REGION>::product/vectra-ai/cognito-detect

Vectra는 고급 AI를 적용하여 숨어 있는 사이버 공격자가 도용하거나 피해를 입히기 전에 이를 감지하고대응하여 사이버 보안을 변화시키고 있습니다.

파트너 설명서

사용자 지정 제품 통합을 사용하여 로 결과 전송AWSSecurity Hub

통합에 의해 생성 된 연구 결과에 추가AWS서비스 및 타사 제품에 대한 경우 Security Hub 는 사용할 수 있는다른 사용자 지정 보안 제품에서 생성한 결과도 사용할 수 있습니다.

이러한 결과를 Security Hub 수동으로 보낼 수 있는BatchImportFindingsAPI 연산

431

https://cloudsec.sysdig.com/aws/

https://cloudsec.sysdig.com/aws/security_hub

https://www.tenable.com/

https://github.com/tenable/Security-Hub

http://aws.amazon.com/marketplace/pp/B07S65ZLPQ

https://threatmodeler-setup-quickstart.s3.amazonaws.com/ThreatModeler+Setup+Guide/ThreatModeler+Setup+%26+Deployment+Guide.pdf

https://turbot.com/features/

https://turbot.com/blog/2018/11/aws-security-hub/

https://cognito-resource-guide.s3.us-west-2.amazonaws.com/Vectra_AWS_SecurityHub_Integration_Guide.pdf


AWS Security Hub 사용 설명서사용자 지정 보안 제품에서 결과를 전송하기 위한 요구 사항 및 권장 사항

사용자 지정 보안 제품에서 결과를 전송하기 위한 요구사항 및 권장 사항성공적으로 호출하려면BatchImportFindingsAPI 작업을 활성화하려면 Security Hub 를 활성화해야 합니다.

the section called “결과 형식” (p. 99)를 사용하여 결과 세부 정보를 제공해야 합니다. 사용자 지정 통합의 결과를 보려면 다음 요구 사항 및 권장 사항을 사용하십시오.

제품 ARN 설정

Security Hub 활성화하면 현재 계정에 Security Hub 브용 기본 제품 Amazon 리소스 이름 (ARN) 이 생성됩니다.

이 제품 ARN 의 형식은 다음과 같습니다. arn:aws:securityhub:<region>:<account-id>:product/<account-id>/default. 예,arn:aws:securityhub:us-west-2:123456789012:product/123456789012/default.

이 제품 ARNProductArn호출 할 때 속성을BatchImportFindingsAPI 연산제품 이름 정의

를 사용할 것을 권장합니다.ProductFields특성을 사용하여 Security Hub 로 전송할 결과를 생성하는제품의 이름을 정의합니다.

예:

"ProductFields": { "ProviderName": "<name of the product>", "ProviderVersion": "<product version>", }

결과 ID 설정

Id 속성을 사용하여 자체 결과 ID를 공급하고, 관리하고, 증분해야 합니다.

각각의 새로운 결과에는 고유한 결과 ID가 있어야 합니다.계정 ID 설정

AwsAccountId 속성을 사용하여 자체 계정 ID를 지정해야 합니다.생성 날짜 및 업데이트 날짜 설정

CreatedAt 및 UpdatedAt 속성에 자체 타임스탬프를 제공해야 합니다.

사용자 지정 제품의 결과 업데이트사용자 지정 제품에서 새 결과를 전송할 뿐만 아니라 BatchImportFindings API 작업을 사용하여 사용자지정 제품에서 기존 결과를 업데이트할 수도 있습니다.

기존 결과를 업데이트하려면 Id 속성을 통해 기존 결과 ID를 사용합니다. 수정된 UpdatedAt 타임스탬프를포함하여 요청에서 업데이트된 적절한 정보로 전체 결과를 다시 보냅니다.

사용자 지정 통합 예제다음 예제 사용자 지정 제품 통합을 지침으로 사용하여 고유한 사용자 지정 솔루션을 생성할 수 있습니다.

432


https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-ProductArn

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-ProductFields

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-AwsAccountId

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-CreatedAt

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt


https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-Id

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_AwsSecurityFinding.html#securityhub-Type-AwsSecurityFinding-UpdatedAt

AWS Security Hub 사용 설명서사용자 지정 통합 예제

AWS Config 규칙 가져오기

다음을 수행할 수 있습니다.AWS CloudFormation가져올 템플릿AWS Config규칙을 Security Hub 에 적용합니다.

자세한 내용은 다음을 참조하세요.가져오는 방법AWS ConfigSecurity Hub 브에서 발견으로 규칙 평가.셰프 InSpec 스캔에서 검색 결과를 Security Hub 보내기

생성할 수 있는AWS CloudFormation템플릿을 실행하는Chef InSpec규정 준수 검사를 수행한 다음 검색결과를 Security Hub 로 보냅니다.

자세한 내용은 단원을 참조하십시오.Chef InSpec 및AWSSecurity Hub.Trivy가 탐지한 컨테이너 취약성을 Security Hub

생성할 수 있는AWS CloudFormation를 사용하는 템플릿아쿠아세이션 트리비를 사용하여 컨테이너에서취약성을 검사한 다음 이러한 취약점 발견 사항을 Security Hub 로 전송합니다.

자세한 내용은 단원을 참조하십시오.Trivy 및AWSSecurity Hub.

433

http://aws.amazon.com/blogs/security/how-to-import-aws-config-rules-evaluations-findings-security-hub/

https://www.chef.io/products/chef-inspec/

http://aws.amazon.com/blogs/security/continuous-compliance-monitoring-with-chef-inspec-and-aws-security-hub/

https://github.com/aquasecurity/trivy

http://aws.amazon.com/blogs/security/how-to-build-ci-cd-pipeline-container-vulnerability-scanning-trivy-and-aws-security-hub/

AWS Security Hub 사용 설명서보안 점검 실행

보안 표준 및 제어AWSSecurity HubAWSSecurity Hub (Security Hub) 는 지원되는 다양한 보안 결과를 사용, 집계 및 분석합니다.AWS및 타사 제품.

는 지원되는 보안 표준 집합의 규칙에 대해 자동화된 연속 점검을 실행한 결과로 고유의 결과도 생성합니다.이러한 점검을 통해 준비 점수가 제공되며 주의해야 할 특정 계정 및 리소스를 식별할 수 있습니다.

Security Hub 는 다음 표준에 대한 제어를 제공합니다.

• CISAWS분류: 기초 (p. 453)• PCI DSS(지불 카드 산업 데이터 보안 표준) (p. 500)• AWS 기반 보안 모범 사례 (p. 554)

보안 검사의 Security Hub 요금에 대한 자세한 내용은Security Hub.

주제• 방법AWS Security Hub보안 검사를 실행하고 사용합니다. (p. 434)• 보안 표준 보기 및 관리 (p. 442)• 제어 보기 및 관리 (p. 447)• 에서 제공되는 보안 표준을 엽니다.AWS Security Hub (p. 453)

방법AWS Security Hub보안 검사를 실행하고 사용합니다.

활성화된 각 컨트롤에 대해AWS Security Hub에서 보안 점검을 실행합니다. 보안 검사는 리소스가 제어 요구사항을 준수하는지 여부를 결정합니다.

일부 점검에서는 정기적으로 실행됩니다. 다른 검사는 리소스 상태가 변경된 경우에만 실행됩니다. thesection called “보안 점검 실행 예약” (p. 435)을(를) 참조하세요.

많은 보안 점검에서AWS Config관리 규칙을 사용하여 규정 준수 요구 사항을 설정합니다. 이러한 점검을 실행하려면AWS Config가 활성화됨. the section called “Security Hub 사용 방식AWS Config보안 검사를 실행하는 규칙” (p. 435)을(를) 참조하세요. 또한 Security Hub b에서 관리하며 고객에게 표시되지 않는 사용자지정 Lambda 함수를 사용합니다.

각 검사에 대해 Security Hub 는 검색 결과를 만들거나 업데이트합니다. the section called “제어 결과 생성및 업데이트” (p. 436)을(를) 참조하세요.

Security Hub 는 결과를 사용하여 각 제어 및 전체 표준에 대한 보안 상태를 평가합니다. the section called“제어 상태 결정” (p. 441) 및 the section called “표준 보안 점수 결정” (p. 442) 단원을 참조하세요.

주제• Security Hub 사용 방식AWS Config보안 검사를 실행하는 규칙 (p. 435)• 보안 점검 실행 예약 (p. 435)• 제어 결과 생성 및 업데이트 (p. 436)• 해당 결과에서 제어의 전체 상태 결정 (p. 441)• 보안 표준에 대한 보안 점수 결정 (p. 442)

434


AWS Security Hub 사용 설명서Security Hub 사용 방식AWS

Config보안 검사를 실행하는 규칙

Security Hub 사용 방식AWS Config보안 검사를 실행하는 규칙환경의 리소스에서 보안 점검을 실행하기 위해 AWS Security Hub는 표준에 따라 지정된 단계를 사용하거나특정 AWS Config 관리형 규칙을 사용합니다. 이러한AWS Config관리되는 규칙은 Security Hub 서비스에서활성화되고 제어되므로 서비스 연결 규칙이라고 합니다.

이러한 항목에 대한 검사를 활성화하려면AWS Config규칙을 사용하는 경우 Security Hub 사용하도록 설정된 모든 계정은 먼저AWS Config을 선택하고 모든 리소스에 대해 리소스 기록을 사용하도록 설정합니다. thesection called “AWS Config 활성화” (p. 7)을(를) 참조하세요.

Security Hub 에서 서비스 연결 규칙을 생성하는 방법사용 하는 모든 컨트롤에 대 한AWS Config에서 서비스 연결 규칙을 실행하는 경우 Security Hub 는AWS환경.

이러한 서비스 연결 규칙은 Security Hub 에만 특정합니다. 동일한 규칙의 다른 인스턴스가 이미 존재하는 경우에도 이러한 서비스 연결 규칙이 생성됩니다.

용AWS Config관리형 규칙의 경우 리전별로 계정당 250개 규칙으로 할당량이 허용됩니다. 서비스 연결AWSConfig규칙은 해당 할당량에 포함되지 않습니다. 이미 250개 있더라도 보안 표준을 활성화할 수 있습니다.AWS Config에서 관리형 규칙을 알아봅니다.

서비스 연결 규칙의 경우 리전별로 계정당 250개까지 할당량이 허용됩니다. 이는 250개 규칙 할당량에 추가됩니다.AWS Config에서 관리되는 규칙을 알아봅니다.

세부 정보 보기AWS Config컨트롤에 대한 규칙각 컨트롤에 대한 설명에는AWS Config연관된 항목에 대한 규칙 세부 정보AWS Config규칙을 사용합니다. 단원을 참조하십시오.CISAWS기반 벤치마크 컨트롤 (p. 454),the section called “PCI DSS 제어” (p. 501), 및the section called “필수 AWS Config 리소스” (p. 554).

컨트롤에서 생성된 결과의 경우 검색 결과에 대한 세부 정보에는 연결된AWS Config규칙을 사용합니다. 참고로 이동 하는AWS Config규칙에서 세부 정보를 찾을 수 없는 경우 선택한 계정에 IAM 권한도 있어야AWSConfig.

에 대한 검색 세부 정보는결과페이지에서인사이트페이지 및통합페이지에 포함 된Rules링크를 클릭하여AWS Config규칙 세부 정보. the section called “결과 세부 정보 보기 (콘솔)” (p. 96)을(를) 참조하세요.

컨트롤 세부 정보 페이지에서조사열에 대한 링크가 포함되어 있는AWS Config규칙 세부 정보. the sectioncalled “보기AWS Config결과 리소스에 대한 규칙” (p. 452)을(를) 참조하세요.

보안 점검 실행 예약보안 표준을 활성화한 후에는AWS Security Hub는 2 시간 이내에 모든 검사를 실행하기 시작합니다. 대부분의 검사는 25 분 이내에 실행되기 시작합니다. 제어가 첫 번째 점검을 완료할 때까지 상태가데이터가 없습니다..

초기 점검 후 각 제어에 대한 스케줄은 주기적이거나 변경으로 트리거될 수 있습니다.

• 주기적인 점검은 가장 최근 실행 후 12시간 이내에 자동으로 실행됩니다. 주기성은 변경할 수 없습니다.• 변경으로 트리거되는 점검은 연결된 리소스의 상태가 변경되면 실행됩니다. 리소스의 상태가 변경되지 않

더라도 변경이 트리거된 점검에 대해 업데이트된 시간이 18시간마다 새로 고쳐집니다. 이를 통해 제어가여전히 활성화되어 있음을 나타낼 수 있습니다.

일반적으로 Security Hub 는 가능한 경우 항상 변경으로 트리거되는 규칙을 사용합니다. 리소스에서 변경으로 트리거되는 규칙을 사용하려면AWS Config구성 항목을 참조하십시오.

435

AWS Security Hub 사용 설명서제어 결과 생성 및 업데이트

관리 되는 기반으로 하는 컨트롤에 대 한AWS Config규칙의 경우 제어 설명에는 규칙 설명에 대한 링크가 포함됩니다.개발자 안내서. 이 설명에는 규칙이 변경으로 트리거되는지 또는 주기적인지 여부가 포함됩니다.

Security Hub 사용자 지정 Lambda 함수를 사용하는 검사는 항상 주기적입니다.

제어 결과 생성 및 업데이트활성화된 보안 표준의 활성화된 제어에 대해 점검을 실행할 때 AWS Security Hub에서 결과가 생성됩니다. 이러한 결과는 ASFF(AWS Security Finding 형식)를 사용합니다. 검색 크기가 최대 240KB를 초과하면Resource.Details개체가 제거됩니다. 사용하는 컨트롤에 대한 검색 결과AWS Config규칙에서 리소스세부 정보를 볼 수 있습니다.AWS Config콘솔을 사용합니다.

Security Hub 일반적으로 컨트롤에 대한 각 보안 검사에 대해 요금을 부과합니다. 그러나 여러 컨트롤이 동일한AWS Config규칙을 사용하는 경우 Security Hub 는 각 검사에 대해 한 번만 요금을 부과합니다.AWSConfig규칙을 사용합니다. 검사를 기반으로 각 컨트롤에 대해 별도의 결과를 생성합니다.

예를 들어,AWS Config규칙iam-password-policy는 CIS의 여러 컨트롤에서 사용됩니다.AWS기초 벤치마크 표준 및 기본 보안 모범 사례 표준에서 IAM.7에 의해 제공됩니다. Security Hub 대한 검사를 실행할 때마다AWS Config규칙을 사용하여 각 관련 컨트롤에 대해 별도의 검색 결과를 생성하지만 검사에 대해 한 번만 청구합니다.

Compliance보안 검사로 생성된 검색 결과의 경우Compliance (p. 161)ASF의 필드에는 제어 관련 결과 세부 정보가 포함됩니다. Compliance (p. 161)에는 다음 정보가 포함됩니다.

RelatedRequirements

컨트롤에 대한 관련 요구 사항의 목록입니다. 요구 사항은 결제 카드 산업 데이터 보안 표준과 같은 제어를 위한 타사 보안 프레임워크에서 가져온 것입니다.

Status

Security Hub 에서 특정 제어에 대해 실행한 가장 최근 점검의 결과입니다. 이전 점검의 결과는 아카이브상태로 90일 동안 보관됩니다.

StatusReasons

값의 사유 목록이 포함됩니다.Compliance.Status. StatusReasons에는 각 사유의 사유 코드와 설명이 포함됩니다.

다음 표에는 사용 가능한 상태 사유 코드 및 설명이 나와 있습니다.

사유 코드 Compliance.Status 설명

CLOUDTRAIL_METRIC_FILTER_NOT_VALIDFAILED 다중 리전 CloudTrail 추적에 유효한 지표필터가 없습니다.

CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENTFAILED 다중 리전 CloudTrail 추적에 지표 필터가없습니다.

CLOUDTRAIL_MULTI_REGION_NOT_PRESENTFAILED 계정에 필요한 구성의 다중 리전CloudTrail 추적이 없습니다.

CLOUDTRAIL_REGION_INVAILD WARNING 다중 리전 CloudTrail 추적이 현재 리전에없습니다.

CLOUDWATCH_ALARM_ACTIONS_NOT_VALIDFAILED 유효한 경보 작업이 없습니다.

CLOUDWATCH_ALARMS_NOT_PRESENT FAILED CloudWatch 경보가 계정에 없습니다.

436



CONFIG_ACCESS_DENIED NOT_AVAILABLE

AWS Config 상태가 ConfigError

AWS Config 액세스가 거부되었습니다.

AWS Config가 활성화되어 있고 충분한권한이 부여되었는지 확인합니다.

CONFIG_EVALUATIONS_EMPTY PASSED AWS Config가 규칙에 따라 리소스를 평가했습니다.

해당 규칙이 범위 내의 AWS 리소스에 적용되지 않았습니다. 지정한 리소스가 삭제되었거나 평가 결과가 삭제되었습니다.

CONFIG_RETURNS_NOT_APPLICABLE NOT_AVAILABLE 규정 준수 상태는NOT_AVAILABLE때문에AWS Config의 상태를 반환해당 사항없음.

AWS Config는 상태에 대한 이유를 제공하지 않습니다. 다음은 몇 가지 가능한 이유입니다.해당 사항 없음상태:

• 리소스의 범위에서 제거되었습니다.AWS Config규칙을 사용합니다.

• 이AWS Config규칙이 삭제되었습니다.• 리소스가 삭제되었습니다.• 이AWS Config규칙 논리를 생성 할 수

있습니다해당 사항 없음상태가 표시됩니다.

CONFIG_RULE_EVALUATION_ERROR NOT_AVAILABLE


이 사유 코드는 여러 가지 유형의 평가 오류에 사용됩니다.

설명에 구체적인 사유 정보가 나와 있습니다.

오류 유형은 다음 중 하나일 수 있습니다.

• 권한 부족으로 인해 평가를 수행할 수없습니다. 설명에 누락된 특정 권한이나와 있습니다.

• 파라미터의 값이 누락되었거나 잘못되었습니다. 설명에 파라미터 및 파라미터 값 요구 사항이 나와 있습니다.

• S3 버킷에서 읽는 중 오류가 발생했습니다. 설명에 해당 버킷이 식별되어 있고 구체적인 오류가 나와 있습니다.

• AWS 구독이 누락되었습니다.• 평가에 대한 전체 시간이 초과되었습니

다.• 일시 중지된 계정입니다.

CONFIG_RULE_NOT_FOUND NOT_AVAILABLE


이AWS Config규칙이 생성되는 중입니다.

437



INTERNAL_SERVICE_ERROR NOT_AVAILABLE 알 수 없는 오류가 발생했습니다.

S3_BUCKET_CROSS_ACCOUNT_CROSS_REGIONWARNING 발견은WARNING상태는 이 규칙과 연결된 S3 버킷이 다른 리전 또는 계정에 있기 때문입니다.

이 규칙은 교차 리전 또는 교차 계정 확인을 지원하지 않습니다.

이 리전 또는 계정에서 이 컨트롤을 비활성화하는 것이 좋습니다. 리소스가 있는리전 또는 계정에서만 실행하십시오.

SNS_SUBSCRIPTION_NOT_PRESENT FAILED CloudWatch Logs 지표 필터에 유효한Amazon SNS 구독이 없습니다.

SNS_TOPIC_CROSS_ACCOUNT WARNING 발견은WARNING상태가.

이 규칙과 연결된 SNS 주제는 다른 계정에서 소유합니다. 현재 계정에서 구독 정보를 가져올 수 없습니다.

SNS 주제를 소유하는 계정은 현재 계정에sns:ListSubscriptionsByTopicSNS주제에 대한 권한을 제공합니다.

SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGIONWARNING 발견은WARNING상태는 이 규칙과 연결된SNS 주제가 다른 리전 또는 계정에 있기때문입니다.

이 규칙은 교차 리전 또는 교차 계정 확인을 지원하지 않습니다.

이 리전 또는 계정에서 이 컨트롤을 비활성화하는 것이 좋습니다. 리소스가 있는리전 또는 계정에서만 실행하십시오.

SNS_TOPIC_INVALID FAILED 이 규칙과 연결된 SNS 주제가 잘못되었습니다.

THROTTLING_ERROR NOT_AVAILABLE 관련 API 작업이 허용된 속도를 초과했습니다.

ProductFields보안 검사로 생성된 검색 결과의 경우ProductFields에는 다음 필드가 포함됩니다.

StandardsGuideArn 또는 StandardsArn

제어와 연결된 표준의 ARN 입니다.

CIS 의 경우AWS기초 벤치마크 표준, 필드는StandardsGuideArn.

PCI DSS 및AWS기반 보안 모범 사례 표준으로, 이 분야는StandardsArn.StandardsGuideSubscriptionArn 또는 StandardsSubscriptionArn

계정에 대한 표준 구독의 ARN 입니다.

438


CIS 의 경우AWS기초 벤치마크 표준, 필드는StandardsGuideSubscriptionArn.

PCI DSS 및AWS기반 보안 모범 사례 표준으로, 이 분야는StandardsSubscriptionArn.RuleId 또는 ControlId

컨트롤의 식별자입니다.

CIS 의 경우AWS기초 벤치마크 표준, 필드는RuleId.

PCI DSS 및AWS기반 보안 모범 사례 표준으로, 이 분야는ControlId.RecommendationUrl

컨트롤에 대한 업데이트 관리 정보에 대한 URL입니다.RelatedAWSResources:0/name

결과 와 연결된 리소스의 이름입니다.RelatedAWSResource:0/type

컨트롤과 연결된 리소스의 유형입니다.StandardsControlArn

컨트롤의 ARN 입니다.aws/securityhub/ProductName

제어 기반 검색 결과의 경우 제품 이름은 Security Hub 입니다.aws/securityhub/CompanyName

제어 기반 발견의 경우 회사 이름은AWS.aws/securityhub/annotation

컨트롤에서 발견된 문제에 대한 설명입니다.aws/securityhub/FindingId

검색 결과의 식별자입니다.

SeveritySecurity Hub 컨트롤에 할당된 심각도는 컨트롤의 중요도를 식별합니다. 제어 결과에 할당된 심각도 레이블을 결정합니다.

심각도 기준

컨트롤의 심각도는 다음 기준에 대한 평가에 따라 결정됩니다.

• 위협 담당자가 컨트롤과 관련된 구성 약점을 활용하는 것이 얼마나 어려운가요?

난이도는 위협 시나리오를 수행하기 위해 약점을 사용하는 데 필요한 정교함이나 복잡성의 양에 의해 결정됩니다.

• 약점이 당신의 타협으로 이어질 것입니다 얼마나 가능성이AWS계정 또는 리소스?

의 타협 당신의AWS계정 또는 리소스는 데이터의 기밀성, 무결성 또는 가용성을 의미하거나AWS인프라가어떤 식 으로든 손상되었습니다.

손상 가능성은 위협 시나리오로 인해AWS서비스 또는 리소스를 참조하십시오.

439


예를 들어 다음 구성의 약점을 생각해 봅시다.

• IAM 사용자 액세스 키는 90일마다 교체되지 않습니다.• IAM 루트 액세스 키가 있습니다.

두 약점 모두 적군이 활용하기가 똑같이 어렵습니다. 두 경우 모두 적자는 자격 증명 도용이나 다른 방법을사용하여 사용자 키를 얻을 수 있습니다. 그런 다음 이를 사용하여 무단 방식으로 리소스에 액세스할 수 있습니다.

그러나 위협 액터가 루트 사용자 액세스 키를 획득하면 루트 키가 더 많은 액세스 권한을 부여하기 때문에 손상 가능성이 훨씬 높습니다. 따라서 루트 사용자 키 약점의 심각도가 높습니다.

심각도는 기반 리소스의 중요성을 고려하지 않습니다. 중요도는 결과와 관련된 리소스의 중요도 수준입니다.예를 들어 미션 크리티컬 애플리케이션과 연결된 리소스는 비프로덕션 테스트와 관련된 리소스보다 중요합니다. 리소스 중요도 정보를 캡처하려면Criticality필드의AWSASFF (Security Inds 형식) 검색

다음 표에는 악용 난이도와 보안 레이블에 대한 손상 가능성이 나와 있습니다.

타협 가능성이 높습니다.

타협 가능성 타협 가능성 타협 가능성이

매우 쉽게 이용할수 있습니다.

심각 심각 높음 Medium

악용하기 쉬운 심각 높음 Medium Medium

악용하기가 다소 어려움

높음 Medium Medium 낮음

악용하기가 매우 어려움

Medium Medium 낮음 낮음

심각도 정의

심각도 레이블은 다음과 같이 정의됩니다.

중요 — 문제가 에스컬레이션되지 않도록 즉시 해결해야 합니다.

예를 들어 개방형 S3 버킷은 심각한 결과로 간주됩니다. 개방형 S3 버킷은 많은 액터가 검색하기 때문에노출된 S3 버킷의 데이터를 다른 사용자가 검색하고 액세스할 가능성이 있습니다.

일반적으로 공개적으로 액세스할 수 있는 리소스는 중요한 보안 문제로 간주됩니다. 중요한 결과를 최대한의 긴급 상황으로 대우해야 합니다. 또한 리소스의 중요도를 고려해야 합니다.

높음 — 이 문제는 단기 우선 순위로 해결해야 합니다.

예를 들어 기본 VPC 보안 그룹이 인바운드 및 아웃바운드 트래픽에 대해 열려 있는 경우 심각도가 높은것으로 간주됩니다. 위협 행위자가 이 방법을 사용하여 VPC 손상시키는 것은 다소 쉽습니다. 또한 위협요소가 VPC 들어가면 리소스를 중단하거나 유출할 수 있습니다.

Security Hub 에서는 높은 심각도 검색 결과를 단기 우선 순위로 간주할 것을 권장합니다. 즉시 수정 단계를 수행해야 합니다. 또한 리소스의 중요도를 고려해야 합니다.

보통 — 이 문제는 중기 우선 순위로 해결해야 합니다.

예를 들어 전송 중인 데이터에 대한 암호화 미설정은 중간 정도의 심각도 결과로 간주됩니다. 이러한 약점을 활용하려면 정교한 중간자 (man-in-the-middle) 공격이 필요합니다. 즉, 다소 어렵습니다. 위협 시나리오가 성공하면 일부 데이터가 손상될 수 있습니다.

440

AWS Security Hub 사용 설명서제어 상태 결정

Security Hub 에서는 가급적 빨리 관련된 리소스를 조사하는 것이 좋습니다. 또한 리소스의 중요도를 고려해야 합니다.

낮음 — 자체적으로 조치가 필요하지 않은 문제입니다.

예를 들어 포렌식 정보 수집 실패는 심각도가 낮은 것으로 간주됩니다. 이 컨트롤은 미래의 타협을 예방하는 데 도움이 될 수 있지만 법의학이 없어도 타협으로 직접 이어지는 것은 아닙니다.

심각도가 낮은 결과에 대해서는 즉각적인 조치를 취할 필요가 없지만 다른 문제와 상관될 경우 컨텍스트를 제공할 수 있습니다.

정보 — 구성 약점을 찾을 수 없습니다.

즉, PASSED 상태입니다.

권장되는 조치는 없습니다. 정보 검색 결과는 고객이 규정 준수 상태에 있음을 입증하는 데 도움이 됩니다.

제어 결과 업데이트 규칙지정된 규칙에 대한 후속 검사를 수행하면 새 결과가 생성될 수 있습니다. 예를 들어, “루트 계정 사용 안함”의 상태는FAILEDtoPASSED. 이 경우 가장 최근 결과가 포함된 새 검색 결과가 생성됩니다.

특정 규칙에 대한 후속 점검에서 현재 결과와 동일한 결과를 생성하는 경우 기존 결과가 업데이트되고 새로운 결과는 생성되지 않습니다.

Security Hub 는 연결된 리소스가 삭제되거나, 리소스가 없거나, 컨트롤이 비활성화된 경우 컨트롤에서 결과를 자동으로 보관합니다. 연결된 서비스가 현재 사용되지 않기 때문에 리소스가 더 이상 존재하지 않을 수 있습니다. 결과는 다음 기준 중 하나에 따라 자동으로 보관됩니다.

• 결과가 3일 내에 업데이트되지 않았습니다.• 연결된 AWS Config 평가가 NOT_APPLICABLE을 반환했습니다.

해당 결과에서 제어의 전체 상태 결정Security HubCompliance.Status값을 사용하여 컨트롤의 전체 상태를 확인할 수 있습니다. 전체 상태는표준에 대한 제어 목록과 제어 세부 정보 페이지에 표시됩니다.

관리자 계정의 경우 각 컨트롤의 상태는 관리자 계정과 모든 구성원 계정 모두에서 집계된 상태입니다.

Security Hub 24시간 마다 제어 상태를 계산합니다. 계산에서는 이전 24시간 동안의 결과를 사용합니다. 표준 세부 정보 페이지 및 제어 세부 정보 페이지에 Security Hub 는 상태가 마지막으로 업데이트된 시간을 나타내는 타임스탬프를 표시합니다.

값Compliance.StatusCompliance.Status다음 값 중 하나가 할당됩니다.

• PASSED— Security Hub 자동으로 설정Workflow.StatustoRESOLVED.

다음의 경우,Compliance.Status에서 찾는 변경에 대한PASSEDtoFAILED,WARNING또는NOT_AVAILABLE; 및Workflow.Status중 하나였습니다.NOTIFIED또는RESOLVED로 설정되며,Security Hub 자동으로Workflow.StatustoNEW.

• FAILED

• WARNING— 점검이 완료되었지만 Security Hub 에서 리소스가PASSED또는FAILED상태가.• NOT_AVAILABLE— 서버 장애가 발생하거나, 리소스가 삭제되었거나,AWS Config평가

가NOT_APPLICABLE.

441

AWS Security Hub 사용 설명서표준 보안 점수 결정

만약AWS Config평가 결과가NOT_APPLICABLE에서 Security Hub 는 자동으로 결과를 보관합니다.

제어 상태에 대한 값전체 상태를 계산할 때 Security Hub 는Workflow.Status의SUPPRESSED.

전체 상태에 사용할 수 있는 값은 다음과 같습니다.

• 통과— 모든 결과에Compliance.Status의PASSED.• [Failed]— 하나 이상의 결과에Compliance.Status의FAILED.• 알 수 없음— 하나 이상의 결과에Compliance.Status의WARNING또는NOT_AVAILABLE. 결과가 없으면FAILED입니다.

• 데이터가 없습니다.— 컨트롤에 대한 검색 결과가 없음을 나타냅니다. 예를 들어, 새 컨트롤은 검색 결과를생성하기 시작할 때까지이 상태를 갖습니다. 모든 검색 결과가SUPPRESSED.

보안 표준에 대한 보안 점수 결정에보안 표준페이지에서 활성화된 각 표준에는 0~ 100% 의 보안 점수가 표시됩니다. 표준 세부 정보 페이지에는 전체 보안 점수도 표시됩니다.

Security Hub 계산된 보안 점수를 24시간마다 업데이트합니다. Security Hub 는 현재 보안 점수가 마지막으로 업데이트된 시간을 나타내는 타임스탬프를 표시합니다.

표준을 처음 사용하도록 설정하면 Security Hub 는 표준 상태가READY. 초기 보안 점수는 그 후 24시간 이내에 확인할 수 있습니다. 표준의 현재 상태를 보려면GetEnabledStandardsAPI 작업.

보안 점수가 계산되는 방법보안 점수는 활성화된 제어에 대한 통과된 제어의 비율을 나타냅니다. 점수는 백분율로 표시됩니다. 예를 들어 표준에 대해 10개의 제어가 활성화되어 있고 이러한 컨트롤 중 7개의 제어가통과상태인 경우 보안 점수는70% 입니다.

보안 점수 계산은 검색 결과가 없는 활성화된 컨트롤을 생략합니다 (전체 상태는데이터가 없습니다.). 예를들어 표준에는 12개의 컨트롤이 활성화되어 있습니다. 이러한 컨트롤 중 6개는통과상태가. 두 컨트롤에는 데이터가 없습니다. 계산에서 데이터 없이 컨트롤을 생략하므로 보안 점수는 60% 입니다.

관리자 계정의 보안 점수관리자 계정의 경우 표준에 대한 보안 점수는 관리자 계정과 모든 구성원 계정 모두에서 집계된 점수입니다.

요약 페이지의 보안 점수에요약페이지에서보안 표준카드에는 활성화된 각 표준에 대한 보안 점수가 표시됩니다. 또한 활성화된 모든표준에서 활성화된 제어에 대한 통과된 제어의 비율을 나타내는 통합 보안 점수가 표시됩니다.

보안 표준 보기 및 관리보안 표준은 규정 프레임워크, 업계 모범 사례 또는 회사 정책의 준수 여부를 판단하기 위한 일련의 관련 컨트롤을 제공합니다.

Security Hub 의 표준에 대해서는 컨트롤 목록을 보고 계정에 대한 표준을 사용할지 또는 사용하지 않도록 설정할지를 결정할 수 있습니다. 표준에 대한 전체 보안 점수를 확인할 수도 있습니다.

442

AWS Security Hub 사용 설명서보안 표준 비활성화 또는 활성화

관리자 계정은 구성원 계정 전체에서 집계된 점수 및 상태를 볼 수 있습니다.

사용 가능한 표준 및 해당 제어 목록에 대한 자세한 내용은the section called “사용 가능한 표준 제공” (p. 453).

표준에서 개별 제어를 관리하는 방법에 대한 자세한 내용은the section called “제어 보기 및 관리” (p. 447).

주제• 보안 표준 비활성화 또는 활성화 (p. 443)• 표준에 대한 세부 정보 보기 (p. 444)

보안 표준 비활성화 또는 활성화각 보안 표준을 비활성화하거나 활성화할 수 있습니다.

Security Hub 지역적임을 기억하십시오. 보안 표준을 활성화하거나 비활성화하면 현재 리전 또는 API 요청에서 지정한 리전에서만 보안 표준이 활성화되거나 비활성화됩니다.

보안 표준을 비활성화하면 다음과 같은 결과가 발생합니다.

• 해당 제어에 대한 점검이 더 이상 수행되지 않습니다.• 해당 제어에 대한 추가 결과가 생성되지 않습니다.• 관련AWS ConfigSecurity Hub 생성한 규칙이 제거됩니다.

이 문제는 일반적으로 표준을 비활성화한 후 몇 분 이내에 발생하지만 더 오래 걸릴 수 있습니다.

삭제하려는 첫 번째 요청이AWS Config규칙이 실패하면 Security Hub 12시간마다 다시 시도합니다. 그러나 Security Hub 를 사용하지 않도록 설정하거나 다른 표준을 사용하도록 설정하지 않은 경우 SecurityHub는 요청을 다시 시도할 수 없습니다. 즉,AWS Config규칙입니다. 이 문제가 발생하고AWS Config규칙제거, 연락처AWS Support.

보안 표준을 활성화하기 전에AWS Config및 구성된 리소스 레코딩이 가능합니다. the section called “AWSConfig 활성화” (p. 7)을(를) 참조하세요.

보안 표준을 활성화하면 해당 표준에 대한 모든 제어가 기본적으로 활성화됩니다. 그런 다음 개별 제어를 비활성화할 수 있습니다. the section called “개별 제어 비활성화 및 활성화” (p. 449)을(를) 참조하세요.

표준을 처음 사용하도록 설정하면 Security Hub 는 표준 상태가READY. 그 후, 초기 보안 점수는 24 시간 이내에 사용할 수 있습니다. 표준의 현재 상태를 보려면GetEnabledStandardsAPI 작업을 사용합니다.

보안 표준 비활성화 (콘솔)보안 표준 페이지에서 활성화된 각 표준에는 표준을 비활성화하는 옵션이 포함되어 있습니다.

표준을 비활성화하려면

1. 열기AWS Security Hub콘솔에서 다음을 실행합니다.https://console.aws.amazon.com/securityhub/.2. 표준을 비활성화하려는 리전에서 Security Hub 를 사용하고 있는지 확인합니다.3. Security Hub 탐색 창에서 [] 및 [] 를 선택합니다.보안 표준.4. 비활성화하려는 표준에 대해 비활성화를 선택합니다.

보안 표준 비활성화 (Security Hub API,AWS CLI)보안 표준을 사용하지 않도록 설정하려면 API 호출 또는AWS Command Line Interface.

443


AWS Security Hub 사용 설명서표준에 대한 세부 정보 보기

보안 표준 비활성화 (Security Hub API)AWS CLI)

• Security Hub—BatchDisableStandards작업을 통해 처리 속도 비활성화할 각 표준에 대해 구독의ARN 표준에 제공합니다. 활성화된 표준에 대한 구독 ARN을 가져오려면GetEnabledStandards작업을통해 처리 속도

• AWS CLI— 명령줄에서batch-disable-standards명령입니다.

aws securityhub batch-disable-standards --standards-subscription-arns <subscription ARN>

예

aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

보안 표준 활성화 (콘솔)보안 표준 페이지에서 비활성화된 각 표준에는 표준을 활성화하는 옵션이 포함되어 있습니다.

보안 표준을 활성화하려면 (콘솔)

ß

1. 열기AWS Security Hub콘솔에서 다음을 실행합니다.https://console.aws.amazon.com/securityhub/.2. 표준을 활성화하려는 리전에서 Security Hub 를 사용하고 있는지 확인합니다.3. Security Hub 탐색 창에서 [] 및 [] 를 선택합니다.보안 표준.4. 활성화하려는 표준에 대해 활성화를 선택합니다.

보안 표준 활성화 (Security Hub API,AWS CLI)보안 표준을 활성화하려면 API 호출 또는AWS Command Line Interface.

보안 표준 활성화 (Security Hub API)AWS CLI)

• Security Hub—BatchEnableStandards작업을 통해 처리 속도 활성화할 표준을 식별하려면 표준 ARN제공해야 합니다. 표준 ARN 얻으려면DescribeStandards작업을 통해 처리 속도

• AWS CLI— 명령줄에서batch-enable-standards명령입니다.

aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn": "<standard ARN>"}'

예

aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}'

표준에 대한 세부 정보 보기표준에 대한 세부내용 페이지에는 표준의 컨트롤 리스트가 포함되어 있습니다. 또한 표준에 대한 전체 점수를 보여줍니다.

444

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchDisableStandards.html

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html

https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-disable-standards.html


https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_BatchEnableStandards.html

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandards.html

https://docs.aws.amazon.com/cli/latest/reference/securityhub/batch-enable-standards.html


제어 목록을 보고 필터링할 수 있으며 다음 작업을 수행할 수 있습니다.

• 컨트롤 활성화 또는 비활성화 (p. 449)• 컨트롤에 대한 세부 정보 보기 (p. 447). 제어 세부 정보 페이지에는 제어에 대한 결과 목록이 포함됩니

다. the section called “제어 결과 보기 및 조치 수행” (p. 451)을(를) 참조하세요.

활성화된 표준에 대한 세부 정보 페이지 표시 (콘솔)에서보안 표준페이지에서 표준에 대한 세부내용 페이지를 표시할 수 있습니다. 사용 가능한 표준에 대한 상세내역만 표시할 수 있습니다. 비활성화된 표준에 대한 상세내역은 표시할 수 없습니다.

이는 관리자 계정에도 적용됩니다. 개별 계정에 대해 사용할 수 있는 표준이 없는 관리자 계정은 해당 표준에대한 세부 정보를 볼 수 없습니다. 표준을 사용하도록 설정한 구성원 계정에서 집계된 보안 점수 및 상태 정보를 볼 수 없습니다.

활성화된 표준에 대한 제어 목록을 표시하려면

1. 열기AWS Security Hub콘솔에서 다음을 실행합니다.https://console.aws.amazon.com/securityhub/.2. Security Hub 탐색 창에서 [] 및 [] 를 선택합니다.보안 표준.3. 세부 정보를 표시할 표준에 대해결과 보기.

표준 세부 정보 페이지의 정보세부 정보 페이지 상단에는 표준에 대한 전체 점수가 있습니다. 전체 점수는 데이터가 있는 활성화된 컨트롤 수를 기준으로 전달된 컨트롤의 백분율입니다. Security Hub 24시간마다 전체 점수를 업데이트합니다.타임스탬프는 점수가 가장 최근에 업데이트된 시간을 나타냅니다. the section called “표준 보안 점수 결정” (p. 442)을(를) 참조하세요.

전체 점수 옆에는 관리 상태를 요약하는 차트가 있습니다. 이 차트는 실패한 컨트롤과 통과된 컨트롤의 백분율을 보여줍니다. 차트에서 일시 중지하면 팝업에 다음이 표시됩니다.

• 각 심각도에 대해 실패한 제어 수• 상태가 인 컨트롤의 수알 수 없음• 전달 된 컨트롤의 수

세부 정보 페이지 하단에는 표준에 대한 제어 목록이 있습니다. 컨트롤 목록은 컨트롤의 현재 전체 상태 및각 컨트롤에 할당된 심각도에 따라 구성 및 정렬됩니다. Security Hub 24시간마다 제어 상태를 업데이트합니다. 각 탭의 타임스탬프는 제어 상태가 가장 최근에 업데이트된 시기를 나타냅니다. the section called “제어상태 결정” (p. 441)을(를) 참조하세요.

관리자 계정의 경우 점수 및 상태는 계정 및 구성원 계정 모두에서 집계됩니다.

컨트롤 필터링 및 정렬표준에 대한 제어 목록은 탭을 사용하여 제어 상태에 따라 목록에 대한 기본 제공 필터링을 제공합니다. ID,제목 및 심각도를 기준으로 목록을 필터링할 수도 있습니다.

이활성화된 모든 나열탭에는 표준에 대해 활성화된 모든 컨트롤이 나열됩니다. 기본적으로 목록은 정렬되어실패한 제어가 목록의 맨 위에 있습니다. 이 정렬 순서는 해결해야 하는 컨트롤에 주의를 기울입니다.

에 있는 목록[Failed],알 수 없음,데이터가 없습니다., 및통과탭은 해당 상태의 활성화된 컨트롤만 포함하도록필터링됩니다.

이비활성탭에는 비활성화된 컨트롤 목록이 포함되어 있습니다.

445



개별 계정의 활성화 및 비활성화된 컨트롤 목록은 활성화 및 비활성화된 컨트롤을 반영하기 위해 실시간으로업데이트됩니다. 전체 상태 및 각 컨트롤에 대한 통과 및 실패 확인 수는 24시간마다 업데이트됩니다.

각 제어에 대해 제어 목록에는 다음 정보가 포함됩니다.

• 제어의 전체 상태입니다.the section called “제어 상태 결정” (p. 441))• 컨트롤에 할당된 심각도• 제어 식별자 및 제목• 실패한 활성 검색 결과 수 및 활성 검색 결과의 총 수입니다. 해당되는 경우실패한 확인열에는 상태가 인

검색 결과 수가 나열됩니다.알 수 없음.

각 탭의 기본 제공 필터 외에도 다음 필드의 값을 사용하여 목록을 필터링할 수 있습니다.

• 상태• 심각도• ID• 제목

열을 사용하여 각 목록을 정렬할 수 있습니다. 기본적으로활성화된 모든 나열탭이 정렬되어 실패한 제어가목록의 맨 위에 오도록 합니다. 이를 통해 교정이 필요한 문제에 즉시 집중할 수 있습니다.

각 상태 내와 나머지 탭에서 컨트롤은 기본적으로 심각도별로 내림차순으로 정렬됩니다. 즉, 중요한 제어가먼저 수행되고 그 다음에는 높음, 중간, 낮은 심각도 제어가 적용됩니다.

관리자 계정에 대한 추가 탭관리자 계정의 경우 처음 6개 탭의 목록에는 관리자 계정과 해당 구성원 계정 모두에 대한 집계된 정보가 포함됩니다. 예를 들어, 컨트롤은활성화된 모든 나열탭에서 컨트롤을 사용하도록 설정한 계정 중 하나 이상이있는 경우

이 탭의 모든 정보는 24시간마다 업데이트됩니다.

관리자 계정에는 다음과 같은 추가 탭도 표시됩니다.

• 이 계정에 대해 활성화된 컨트롤에는 관리자 계정용으로 활성화된 제어가 나열되어 있습니다.• 이 계정에 대해 사용 안함으로 설정된 컨트롤에는 관리자 계정에 대해 비활성화된 컨트롤이 나와 있습니

다.

이러한 목록은 관리자 계정이 사용하거나 사용하지 않도록 설정한 컨트롤을 반영하기 위해 실시간으로 업데이트됩니다.

제어 목록 다운로드당신은 제어 목록의 현재 페이지를 다운로드 할 수 있습니다.csv파일을 생성합니다.

제어 목록을 필터링한 경우 다운로드한 파일에는 필터와 일치하는 컨트롤만 포함됩니다.

목록에서 특정 컨트롤을 선택한 경우 다운로드한 파일에는 해당 컨트롤만 포함됩니다.

컨트롤 목록의 현재 페이지 또는 현재 선택된 컨트롤을 다운로드하려면다운로드.

활성화된 표준에 대한 제어 표시 (Security Hub API,AWS CLI)활성화된 표준에 대한 컨트롤에 대한 정보를 표시하려면 API 호출 또는AWS Command Line Interface.

446

AWS Security Hub 사용 설명서제어 보기 및 관리

활성화된 표준에 대한 제어를 표시하려면AWS CLI)

• Security Hub—DescribeStandardsControls작업을 통해 처리 속도 제어를 표시할 표준을 식별하려면 구독의 ARN 제어에 제공합니다. 활성화된 표준에 대한 구독 ARN을 가져오려면GetEnabledStandards작업을 통해 처리 속도

• AWS CLI— 명령줄에서describe-standards-controls명령입니다.

aws securityhub describe-standards-controls --standards-subscription-arn <subscription ARN>

예

aws securityhub describe-standards-controls --standards-subscription-arn "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

제어 보기 및 관리컨트롤은 특정 리소스에 대한 보안 검사입니다. Security Hub 제어 세부 정보를 볼 수 있습니다. 제어 세부 정보에는 제어 상태 및 각 컨트롤에 대해 생성 된 결과가 포함됩니다.

계정에 대한 제어를 활성화 또는 비활성화할 수 있습니다. 또한 컨트롤에 의해 생성된 결과에 대한 세부 정보를 보고 조치를 취할 수 있습니다.

관리자 계정의 경우 제어 세부 정보에 모든 구성원 계정의 상태 및 결과가 표시됩니다.

주제• 제어에 대한 세부 정보 보기 (p. 447)• 자동으로 새 컨트롤 활성화 (p. 448)• 개별 제어 비활성화 및 활성화 (p. 449)• 제어 결과 보기 및 조치 수행 (p. 451)

제어에 대한 세부 정보 보기각 제어에 대해 유용한 세부 정보 페이지를 표시할 수 있습니다.

컨트롤에 대한 세부 정보를 표시하려면

1. 열기AWS Security Hub콘솔https://console.aws.amazon.com/securityhub/.2. 활성화된 표준에 대한 제어를 표시합니다. (p. 444)3. 제어 목록에서 제어 이름을 선택합니다.

세부 정보 페이지 상단에는 제어와 제어의 현재 상태에 대한 개요가 있습니다. 전체 관리 상태는 24시간마다계산됩니다. 관리자 계정은 관리자 계정 및 구성원 계정 전체에서 집계된 상태를 볼 수 있습니다.

PCI DSS (지불 카드 산업 데이터 보안 표준) 및 CIS의 제어AWS기반 표준관련 요구 사항탭에는 프레임워크내의 관련 요구 사항이 나열됩니다.

세부 정보 페이지에서 제어를 비활성화하거나 활성화할 수 있습니다. the section called “개별 제어 비활성화및 활성화” (p. 449)을(를) 참조하세요.

447

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DescribeStandardsControls.html

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_GetEnabledStandards.html

https://docs.aws.amazon.com/cli/latest/reference/securityhub/describe-standards-controls.html


AWS Security Hub 사용 설명서자동으로 새 컨트롤 활성화

세부 정보 페이지 하단에는 제어에 대한 활성 검색 결과에 대한 정보가 있습니다. 제어 결과는 제어에 대한보안 검사에 의해 생성됩니다. 제어 찾기 목록에는 보관된 검색 결과가 포함되어 있지 않습니다.

찾기 리스트는 목록의 다른 하위 집합을 표시하는 탭을 사용합니다. 대부분의 탭에서 검색 목록에는 워크플로 상태가 인 결과가 표시됩니다.NEW,NOTIFIED또는RESOLVED. 별도의 탭이 표시됩니다.SUPPRESSED결과.

각 검색 결과에 대해 이 목록을 통해 검색 결과 및 연관된 리소스에 대한 세부 정보에 액세스할 수 있습니다.또한 각 검색 결과의 워크플로 상태를 설정하고 결과를 사용자 지정 작업으로 전송할 수도 있습니다.

the section called “제어 결과 보기 및 조치 수행” (p. 451)을(를) 참조하세요.

자동으로 새 컨트롤 활성화AWS Security Hub는 정기적으로 새로운 컨트롤을 표준에 추가합니다. Security Hub 를 처음 사용하도록 설정하면 새 컨트롤이 추가될 때 자동으로 활성화됩니다. 활성화된 표준에만 적용됩니다. Security Hub 는 사용자가 사용하지 않도록 설정한 표준에 추가된 새 컨트롤을 사용하도록 설정하지 않습니다.

새 제어를 자동으로 활성화할지 여부를 선택할 수 있습니다. 새 컨트롤을 자동으로 활성화하지 않으면 수동으로 활성화해야 합니다. the section called “개별 제어 비활성화 및 활성화” (p. 449)을(를) 참조하세요.

새 컨트롤을 자동으로 활성화할지 여부 선택 (콘솔)이일반탭을 선택합니다.설정페이지에는 새 컨트롤을 자동으로 사용할지 여부를 제어하는 설정이 포함되어있습니다.

활성화된 표준에 대해 새 컨트롤을 사용할지 여부를 선택하려면

1. 열기AWS Security Hub콘솔https://console.aws.amazon.com/securityhub/.2. 탐색 창에서 []]]]]]설정를 선택한 다음일반탭을 선택합니다.3. 언더새 제어 자동 활성화를 선택하고Edit.4. Toggle내가 활성화한 표준에서 새 컨트롤 자동 활성화.5. Save를 선택합니다.

새 컨트롤을 자동으로 사용하도록 설정할지 여부 선택 (SecurityHub API,AWS CLI)새 컨트롤을 자동으로 사용하도록 설정할지 여부를 구성하려면 API 호출 또는AWS Command LineInterface.

새 컨트롤을 자동으로 사용하도록 설정할지 여부를 구성하려면 (Security Hub API,AWS CLI)

• Security Hub— 을 사용합니다.UpdateSecurityHubConfiguration작업을 사용합니다. 컨트롤을 자동으로 활성화하려면AutoEnableControlstotrue. 컨트롤을 자동으로 활성화하지 않으려면AutoEnableControls를 false 로 설정합니다.

• AWS CLI— 명령줄에서update-security-hub-configuration명령입니다. 새 컨트롤을 자동으로 사용하도록 설정하려면--auto-enable-controls. 새 컨트롤을 사용하지 않으려면--no-auto-enable-controls.

aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls

예

448


https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html

https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html

AWS Security Hub 사용 설명서개별 제어 비활성화 및 활성화

aws securityhub update-security-hub-configuration --auto-enable-controls

개별 제어 비활성화 및 활성화표준을 활성화하면 해당 표준에 대한 모든 제어가 기본적으로 활성화됩니다. 그런 다음 활성화된 표준 내에서 특정 제어를 비활성화하고 활성화할 수 있습니다.

제어를 비활성화하면 다음과 같은 결과가 발생합니다.

• 제어에 대한 점검이 더 이상 수행되지 않습니다.• 해당 제어에 대해 추가 결과가 생성되지 않습니다.• 관련AWS ConfigSecurity Hub 생성한 규칙이 제거됩니다.

사용자 환경과 관련이 없는 제어에 대한 보안 점검을 끄는 것이 유용할 수 있습니다. 예를 들어 단일 AmazonS3 버킷을 사용하여 CloudTrail 로그를 기록할 수 있습니다. 그렇다면 중앙 집중식 S3 버킷이 위치한 계정과리전을 제외한 모든 계정 및 리전에서 CloudTrail 로그인과 관련된 제어를 비활성화할 수 있습니다. 관련이없는 제어를 비활성화하면 관련이 없는 결과의 수가 감소합니다. 또한 연결된 표준에 대한 준비 점수에서 실패한 점검이 제거됩니다.

Security Hub 지역적임을 기억하십시오. 제어를 비활성화하거나 활성화하면 API 요청에서 지정한 현재 리전또는 리전에서만 제어가 비활성화됩니다.

또한 전체 표준을 비활성화하면 Security Hub 는 어떤 제어가 비활성화되었는지를 추적하지 않습니다. 이후에 표준을 다시 활성화하면 모든 제어가 활성화됩니다. 자세한 내용은 the section called “보안 표준 비활성화 또는 활성화” (p. 443) 단원을 참조하십시오.

제어 비활성화 (콘솔)Security Hub 콘솔에서 표준 세부 정보 페이지의 컨트롤 목록이나 제어 세부 정보 페이지의 컨트롤을 사용하지 않도록 설정할 수 있습니다.

제어를 비활성화하려면 (콘솔)

1. 열기AWS Security Hub콘솔https://console.aws.amazon.com/securityhub/.2. 제어를 비활성화하려는 Security Hub 에서 를 사용하고 있는지 확인합니다.3. Security Hub 탐색 창에서 [] 를 선택합니다.보안 표준.4. 제어를 비활성화하려는 표준에 대해 [] 를 선택합니다.결과 보기.5. 관리자 계정인 경우이 계정에 대해 활성화됨.

다른 계정은 다른 탭에서 컨트롤을 활성화할 수 있습니다.비활성탭을 선택합니다.6. 다음 중 하나를 수행하십시오.

• 컨트롤 목록에서 사용하지 않도록 설정할 컨트롤을 선택합니다. 그런 다음비활성화.• 컨트롤 제목을 선택합니다. 제어 세부 정보 페이지에서 [] 를 선택합니다.비활성화.

7. 제어를 비활성화하는 이유를 입력합니다. 이렇게 하면 조직의 다른 사용자가 제어가 비활성화된 이유를이해하는 데 도움이 될 수 있습니다.

8. 비활성화를 선택합니다.

제어 비활성화 (Security Hub API,AWS CLI)컨트롤을 사용하지 않도록 설정하려면 API 호출 또는AWS Command Line Interface.

449


AWS Security Hub 사용 설명서개별 제어 비활성화 및 활성화

컨트롤을 사용하지 않도록 설정하려면 (Security Hub APIAWS CLI)

• API Security Hub— 을 사용합니다.UpdateStandardsControl작업을 사용합니다. 비활성화할 컨트롤을 식별하려면 컨트롤 ARN 제공합니다. 표준에서 컨트롤에 대한 ARN을 검색하려면DescribeStandardsControls작업을 사용합니다.

• AWS CLI— 명령줄에서update-standards-control명령입니다.

aws securityhub update-standards-control --standards-control-arn <control ARN> --control-status "DISABLED" --disabled-reason <description of reason to disable>

예

aws securityhub update-standards-control --standards-control-arn "arn:aws:securityhub:us-east-1:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/ACM.1" --control-status "DISABLED" --disabled-reason "Not applicable for my service"

제어 활성화 (콘솔)표준 세부 정보 페이지에서 비활성화된 컨트롤은비활성탭을 선택합니다.

관리자 계정의 경우비활성탭에는 계정 간에 집계된 목록이 포함되어 있습니다. 개별 관리자 계정에 대해 비활성화된 컨트롤은이 계정에 대해 사용 안 함탭을 선택합니다.

컨트롤 목록에서 컨트롤을 사용하도록 설정할 수 있는비활성탭 또는 제어 세부 정보 페이지에서 확인할 수있습니다.

비활성화된 컨트롤을 활성화하려면 (콘솔)

1. 열기AWS Security Hub콘솔https://console.aws.amazon.com/securityhub/.2. 제어를 비활성화하려는 Security Hub 에서 를 사용하고 있는지 확인합니다.3. Security Hub 탐색 창에서 [] 를 선택합니다.보안 표준.4. 제어를 활성화하려는 표준에 대해 [] 를 선택합니다.결과 보기.5. 비활성화된 컨트롤 목록을 표시합니다.

구성원 계정 또는 독립 실행형 계정의 경우비활성.

관리자 계정의 경우 [] 를 선택합니다.이 계정에 대해 사용 안 함.6. 다음 중 하나를 수행하십시오.

• 컨트롤 목록에서비활성또는이 계정에 대해 사용 안 함탭에서 활성화할 제어를 선택합니다. 그런 다음활성화.

• 컨트롤 제목을 선택합니다. 제어 세부 정보 페이지에서 [] 를 선택합니다.활성화.

컨트롤 활성화 (Security Hub API,AWS CLI)컨트롤을 활성화하려면 API 호출 또는AWS Command Line Interface.

컨트롤을 사용하도록 설정하려면 (Security Hub APIAWS CLI)

• API Security Hub— 을 사용합니다.UpdateStandardsControl작업을 사용합니다. 활성화할 컨트롤을 식별하려면 컨트롤 ARN 제공합니다. 표준에서 컨트롤에 대한 ARN을 검색하려면DescribeStandardsControls작업을 사용합니다.

• AWS CLI— 명령줄에서 명령줄에서update-standards-control명령입니다.

450

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html


https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-standards-control.html


https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateStandardsControl.html


https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-standards-control.html

AWS Security Hub 사용 설명서제어 결과 보기 및 조치 수행

aws securityhub update-standards-control--standards-control-arn <control ARN> --control-status "ENABLED"

예

aws securityhub update-standards-control --standards-control-arn "arn:aws:securityhub:us-east-1:123456789012:control/aws-foundational-security-best-practices/v/1.0.0/ACM.1" --control-status "ENABLED"

제어 결과 보기 및 조치 수행제어 세부 정보 페이지에는 제어에 대한 활성 결과 목록이 있습니다. 목록에는 보관된 검색 결과가 포함되어있지 않습니다.

이 목록에서는 검색 결과를 필터링하고 정렬하는 도구를 제공하므로 보다 긴급한 결과에 먼저 집중할 수 있습니다. 각 검색 결과는 관련 서비스 콘솔의 리소스 세부 정보에 대한 링크를 포함할 수 있습니다. 을 기반으로 하는 컨트롤의 경우AWS Config규칙을 사용하여 규칙 및 구성 타임라인에 대한 세부 정보를 볼 수 있습니다.

다음을 사용할 수도 있습니다.AWS Security HubAPI를 사용하여 결과 목록을 검색할 수 있습니다. thesection called “찾기 세부 정보 검색 (Security Hub API,AWS CLI)” (p. 97)을(를) 참조하세요.

주제• 컨트롤 찾기 목록 필터링, 정렬 및 다운로드 (p. 451)• 컨트롤에 대한 세부 정보 보기 리소스 찾기 및 찾기 (p. 452)• 제어 결과에 대한 조치 (p. 453)

컨트롤 찾기 목록 필터링, 정렬 및 다운로드컨트롤 찾기 목록은 탭을 사용하여 찾기 상태에 따라 목록에 대한 기본 제공 필터링을 제공합니다. 다른 찾기값을 기준으로 목록을 필터링하고 목록에서 검색 결과를 다운로드할 수도 있습니다.

컨트롤 찾기 목록 필터링 및 정렬이모든 검사탭에는 워크플로 상태가 인 모든 활성 검색 결과가 나열됩니다.NEW,NOTIFIED또는RESOLVED.기본적으로 목록은 실패한 결과가 목록의 맨 위에 오도록 정렬됩니다. 이 정렬 순서는 해결해야 할 발견에 주의를 기울입니다.

에 있는 목록[Failed],알 수 없음, 및통과탭의 값을 기준으로 필터링됩니다.Compliance.Status. 목록에는워크플로 상태가 인 활성 검색 결과만 포함됩니다.NEW,NOTIFIED또는RESOLVED.

이억제됨탭에는 워크플로 상태가 억제됨인 활성 검색 결과 목록이 포함되어 있습니다.

각 탭의 기본 제공 필터 외에도 다음 필드의 값을 사용하여 목록을 필터링할 수 있습니다.

• 계정 ID• 워크플로우 상태• 규정 준수 상태• 리소스 ID• 리소스 유형

열을 사용하여 각 목록을 정렬할 수 있습니다.

451

AWS Security Hub 사용 설명서제어 결과 보기 및 조치 수행

컨트롤 찾기 목록 다운로드컨트롤 찾기 목록의 현재 페이지를.csv 파일로 다운로드할 수 있습니다.

찾기 목록을 필터링한 경우 다운로드에는 필터와 일치하는 컨트롤만 포함됩니다.

목록에서 특정 검색 결과를 선택한 경우 다운로드에는 선택한 검색 결과만 포함됩니다.

목록의 현재 페이지 또는 선택한 검색 결과를 다운로드하려면다운로드.

컨트롤에 대한 세부 정보 보기 리소스 찾기 및 찾기각 검색 결과에 대해AWS Security Hub에서는 검색 결과를 조사하는 데 도움이 되는 세부 정보에 액세스할수 있습니다.

찾기 리소스 및 관련 구성 규칙에 대한 세부 정보를 표시할 수 있습니다.

검색 결과에 추가된 메모를 볼 수도 있습니다.

발견에 대한 완전한.json보기당신은 표시하고 전체 다운로드 할 수 있습니다.json결과의 결과를 봅니다.

를 표시하는 방법.json에 있는.json 찾기열에서 아이콘을 선택합니다.

에JSON 찾기패널에서.json를 선택하고다운로드.

검색 리소스에 대한 정보 보기이Resource열에는 리소스 유형 및 리소스 식별자가 포함됩니다.

리소스에 대한 정보를 표시하려면 리소스 식별자를 선택합니다. 용AWS계정의 경우 계정이 조직 구성원 계정인 경우 정보에 계정 ID와 계정 이름이 모두 포함됩니다. 수동으로 초대된 계정의 경우 정보에는 계정 ID만포함됩니다.

원래 서비스에서 리소스를 볼 수 있는 권한이 있는 경우 리소스 식별자는 서비스에 대한 링크를 표시합니다.예를 들어,AWS사용자의 경우 리소스 세부 정보는 IAM의 사용자 세부 정보 보기에 대한 링크를 제공합니다.

Security Hub 는 자원이 다른 계정에 있는 경우 사용자에게 알리는 메시지를 표시합니다.

찾는 자원에 대한 구성 타임 라인보기조사의 한 가지 방법은 리소스에 대한 구성 타임 라인입니다.AWS Config.

검색 리소스에 대한 구성 이력을 볼 수 있는 권한이 있는 경우 검색 결과 목록에 타임라인에 대한 링크가 제공됩니다.


에서 구성 타임라인으로 이동하려면AWS Config

1. 에서조사열에서 아이콘을 선택합니다.2. 메뉴에서 []] 를 선택합니다.구성 타임라인. 구성 타임라인에 액세스할 수 없는 경우 링크가 나타나지 않

습니다.

보기AWS Config결과 리소스에 대한 규칙제어에 기반하는 경우AWS Config규칙에 대한 세부 정보를 보려면AWS Config규칙을 사용합니다. 이AWSConfig규칙 정보는 검사 통과 또는 실패 이유를 더 잘 이해하는 데 도움이 될 수 있습니다.

보기 권한이 있을 경우AWS Config규칙이 있는 경우 찾기 목록은AWS Config규칙AWS Config.

452

AWS Security Hub 사용 설명서사용 가능한 표준 제공


로 이동하려면AWS Config규칙

1. 에서조사열에서 아이콘을 선택합니다.2. 메뉴에서 []] 를 선택합니다.Config 규칙. 액세스 권한이 없는 경우AWS Config규칙을 선택한 다음Config

규칙이 (가) 연결되어 있지

검색 결과에 대한 노트 보기검색 결과에 연관된 노트가 있는 경우Updated열에는 메모 아이콘이 표시됩니다.

찾기와 연관된 노트를 표시하려면

에서Updated열에서 노트 아이콘을 선택합니다.

제어 결과에 대한 조치조사의 현재 상태를 반영하려면 워크플로우 상태를 설정합니다. the section called “결과에 대한 워크플로 상태 설정” (p. 98)을(를) 참조하세요.

AWS Security Hub를 사용하면 선택한 결과를 Amazon EventBridge 의 사용자 지정 작업으로 보낼 수도 있습니다. the section called “사용자 지정 작업에 결과 전송” (p. 99) 단원을 참조하세요.

에서 제공되는 보안 표준을 엽니다.AWS SecurityHub

보안 표준은 규정 프레임워크, 업계 모범 사례 또는 회사 정책의 준수 여부를 판단하기 위한 일련의 관련 컨트롤을 제공합니다.

각 표준에 대한 정보에는 표준의 컨트롤 리스트가 포함됩니다. 각 컨트롤에는 다음 정보가 포함됩니다.

• 컨트롤이 속한 보안 범주• 컨트롤이 적용되는 리소스• 해당되는 경우AWS Config컨트롤에 사용되는 규칙• 컨트롤에서 사용하는 모든 매개 변수• 컨트롤에 대한 설명 및 검사하는 내용• 규제 프레임워크와 관련된 표준의 경우 해당 프레임워크의 적용 가능한 요구 사항• 실패한 검사를 수정하는 방법에 대한 정보입니다. 예를 들어 리소스의 구성을 변경해야 할 수 있습니다.

AWS Security Hub는 다음 보안 표준을 지원합니다.

주제• CISAWS기반 벤치마크 표준 (p. 453)• PCI DSS(지불 카드 산업 데이터 보안 표준) (p. 500)• AWS 기반 보안 모범 사례 표준 (p. 554)

CISAWS기반 벤치마크 표준Security Hub CISAWS기초 벤치마크 표준. 자세한 내용은 단원을 참조하십시오.Amazon Web Services 의보안에서 CIS 웹 사이트에서 확인할 수 있습니다.

453

https://www.cisecurity.org/benchmark/amazon_web_services/


AWS Security Hub 사용 설명서CIS AWS 기반 벤치마크

AWSSecurity Hub CIS 보안 소프트웨어 인증의 요구 사항을 충족하였고 이에 따라 다음 CIS 벤치마크에 대해 CIS 보안 소프트웨어 인증을 받았습니다.

• CIS Amazon Web Services 재단 벤치마크에 대한 CIS 벤치마크, v1.2.0, 레벨 1• CIS Amazon Web Services 재단 벤치마크에 대한 CIS 벤치마크, v1.2.0, 레벨 2

주제• CIS 제어에 필요한 AWS Config 리소스 (p. 454)• CISAWS기반 벤치마크 컨트롤 (p. 454)• CISAWS비활성화할 수 있는 기초 벤치마크 컨트롤 (p. 499)• CISAWS기초 보안 허브에서 지원되지 않는 보안 점검 (p. 500)

CIS 제어에 필요한 AWS Config 리소스환경의 리소스에서 활성화된 컨트롤에 대한 보안 점검을 실행하기 위해 Security Hub는Amazon WebServices 의 보안에서 특정 관리형 규칙을 사용합니다.

AWS Config에서 모든 리소스를 활성화하지 않으면 2.5 —AWS Config가 활성화됨 (p. 469) 제어에 대해 결과가 생성됩니다. 기타 CIS 컨트롤의 경우 Security Hub 가 결과를 정확하게 보고하려면 에서 다음 리소스를활성화해야 합니다.AWS Config.

• AWS CloudTrail 추적• Amazon EC2 보안 그룹• Amazon EC2• IAM 정책• IAM 사용자• AWS KMS 키• S3 버킷

검색 결과를 기반으로 하는 보안 검사에 의해 생성되는 경우AWS Config규칙을 사용하는 경우 찾기 세부 정보에는Rules링크를 클릭하여 연결된AWS Config규칙을 참조하십시오. 로 이동하려면AWS Config규칙에서선택한 계정에 IAM 권한도 있어야AWS Config.

CISAWS기반 벤치마크 컨트롤CIS 의 경우AWS기초 표준인 Security Hub 는 다음 컨트롤을 지원합니다. 각 제어에 대한 정보에는 필수AWS Config 규칙 및 문제 해결 단계가 포함됩니다.

1.1 — “루트” 계정 사용 피하기

심각도: 낮음

AWS Config 규칙: 없음

루트 계정은 AWS 계정의 모든 리소스에 무제한 액세스할 수 있는 권한이 있습니다. 이 계정은 사용하지 않을 것을 적극 권장합니다. 루트 계정은 가장 권한이 많은 계정입니다. 이 계정을 최소한도로 사용하고 액세스관리를 위한 최소 권한의 원칙을 채택하면 권한이 많은 자격 증명이 실수로 변경되거나 의도치 않게 공개될위험이 줄어듭니다.

계정 및 서비스 관리 작업 수행에 필요할 때만 루트 자격 증명을 사용하는 것이 가장 좋습니다. IAM 정책을사용자가 아닌 그룹 및 역할에 직접 적용합니다. 일상적 사용을 위해 관리자를 설정하는 방법에 대한 자습서는첫 번째 IAM 관리자 및 그룹 생성의IAM 사용 설명서

454



https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-admin-group.html


이 점검을 실행하기 위해 는 사용자 지정 로직을 사용하여 제어 3.3에 대해 규정된 정확한 감사 단계를 수행합니다.CISAWS기초 벤치마크 v1.2. CIS에 의해 규정된 정확한 지표 필터를 사용하지 않으면 이 제어가 실패합니다. 지표 필터에 추가 필드 또는 용어를 추가할 수 없습니다.

Remediation

이 문제를 해결하는 절차에는 Amazon SNS 주제, CloudTrail 추적, 지표 필터, 지표 필터에 대한 경보를 설정하는 작업이 포함됩니다.

Amazon SNS 주제 생성

1. 에서 Amazon SNS 콘솔을 엽니다.https://console.aws.amazon.com/sns/v3/home.2. 모든 CIS 경보를 수신하는 Amazon SNS 주제를 생성합니다.

이 주제에 대해 하나 이상의 구독자를 생성합니다. 자세한 내용은 단원을 참조하십시오.Amazon SNS 시작하기의Amazon Simple Notification Service.

그런 다음 모든 리전에 적용되는 활성 CloudTrail 을 설정합니다. 이렇게 하려면 the section called “2.1 — 모든 리전에서 CloudTrail 이 활성화되어 있는지 여부를 확인합니다.” (p. 465)의 문제 해결 절차를 따르십시오.

CloudTrail 추적에 연결하는 CloudWatch Logs 로그 그룹의 이름을 기록합니다. 해당 로그 그룹에 대한 메트릭 필터를 만듭니다.

마지막으로 지표 필터 및 경보를 생성합니다.

지표 필터 및 경보를 생성하려면

1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.2. 탐색 창에서 로그 그룹을 선택합니다.3. 생성한 CloudTrail 추적과 연결된 CloudWatch 로그 로그 그룹에 대한 확인란을 선택합니다.4. From작업를 선택하고지표 필터 생성.5. UderPattern 정의에서 다음을 수행합니다.

a. 다음 패턴을 복사하여 필터 패턴 필드에 붙여 넣습니다.

{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}

b. [Next]를 선택합니다.6. Uder지표 할당에서 다음을 수행합니다.

a. In필터 이름에 지표 필터의 이름을 입력합니다.b. 용지표 네임스페이스를 입력합니다.LogMetrics.

모든 CIS 로그 메트릭 필터에 대해 동일한 네임스페이스를 사용하는 경우 모든 CIS 벤치마크 메트릭이 그룹화됩니다.

c. 용지표 이름에 지표 이름을 입력합니다. 측정치의 이름을 기억합니다. 경보를 생성할 때 메트릭을선택해야 합니다.

d. 용지표 값를 입력합니다.1.e. [Next]를 선택합니다.

7. Uder검토 및 생성에서 새 메트릭 필터에 대해 제공한 정보를 확인합니다. 그런 다음지표 필터 생성.8. 탐색 창에서 Alarms를 선택합니다.9. [Create Alarm]을 선택합니다.

455

https://d1.awsstatic.com/whitepapers/compliance/AWS_CIS_Foundations_Benchmark.pdf

https://console.aws.amazon.com/sns/v3/home

https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html#CreateTopic


https://console.aws.amazon.com/cloudwatch/


10. Uder메트릭 및 조건 지정에서 다음을 수행합니다.

a. 지표 선택을 선택합니다.b. 에지표 선택패널의모든 지표탭에서LogMetrics네임스페이스입니다. 검색 창을 사용하여 검색 할 수

있습니다.c. Metrics with no dimensions(차원을 포함하지 않은 지표)를 선택합니다.d. 생성한 지표에 대한 확인란을 선택합니다. 그런 다음 지표 선택을 선택합니다.e. Uder지표에서 기본 값을 그대로 둡니다.f. Uder조건에 대한임계값를 선택하고고정.g. 용경보 조건 정의를 선택하고크게/같음.h. 용임계값을 정의합니다.를 입력합니다.1.i. [Next]를 선택합니다.

11. Uder작업 구성에서 다음을 수행합니다.

a. Uder경보 상태를 선택하고경보 상태.b. [Select an SNS topic]에서 [Select an existing SNS topic]을 선택합니다.c. 용알림 전송 대상에 이전 절차에서 생성한 SNS 주제의 이름을 입력합니다.d. [Next]를 선택합니다.

12. Uder이름과 설명의 경우 를 입력합니다.이름및설명와 같은 경보에 대한CIS-1.1-RootAccountUsage. 그런 다음 [Next]를 선택합니다.

13. Uder미리 보기 및 만들기에서 경보 구성을 검토합니다. 그런 다음 경보 생성을 선택합니다.

1.2 — 콘솔 암호가 있는 모든 IAM 사용자에 대해 MFA (멀티 팩터 인증) 가 활성화되었는지 확인합니다.

심각도: Medium

AWS Config 규칙: mfa-enabled-for-iam-console-access

Multi-Factor Authentication(MFA)을 통해 사용자 이름 및 암호 외에 보호 계층이 한 단계 더 추가됩니다.MFA를 활성화한 상태에서 AWS 웹 사이트에 로그인하면 사용자 이름 및 암호뿐 아니라 AWS MFA 디바이스의 인증 코드를 묻는 메시지가 나타납니다.

콘솔 암호가 Security Hub 모든 계정에 대해 MFA 를 활성화하는 것이 좋습니다. MFA를 활성화하면 인증 보안 주체가 시간에 민감한 키를 방출하는 디바이스를 소유하고 자격 증명에 대한 지식이 있어야 하므로 콘솔액세스에 대한 보안이 강화됩니다.

Important

이 점검에 사용되는 AWS Config 규칙의 경우 MFA에 대한 결과를 정확하게 보고하는 데 4시간 걸립니다. CIS 보안 점검을 활성화한 후 4시간 이내에 생성되는 모든 결과는 정확하지 않을 수 있습니다. 또한 이 문제를 해결한 후 점검을 통과하는 데까지 최대 4시간이 걸릴 수 있습니다.

Remediation

사용자에 대해 MFA를 구성하려면

1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 사용자를 선택합니다.3. MFA를 구성할 사용자의 사용자 이름을 선택합니다.4. 선택보안 자격 증명를 선택한 다음관리옆에할당된 MFA 디바이스.5. Manage MFA Device(MFA 디바이스 관리) 마법사의 지시에 따라 환경에 적절한 디바이스 유형을 지정

합니다.

456

https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html

https://console.aws.amazon.com/iam/


MFA 설정을 사용자에게 위임하는 방법에 대한 자세한 내용은 단원을 참조하십시오.다중 요소 인증의 관리를AWSIAM 사용자에 있는AWS보안 블로그.

1.3 — 90일 이상 사용하지 않은 자격 증명이 비활성화되어 있는지 여부를 확인합니다.

심각도: Medium

AWS Config 규칙: iam-user-unused-credentials-check

IAM 사용자는AWS리소스는 암호 또는 액세스 키와 같은 다양한 자격 증명 유형을 사용합니다.

90일 이상 사용하지 않은 모든 자격 증명은 제거하거나 비활성화하는 것이 좋습니다. 불필요한 자격 증명을비활성화하거나 제거하면 침해되거나 버려진 계정과 연결된 자격 증명이 사용될 가능성이 줄어듭니다.

이 컨트롤에 대한 AWS Config 규칙은 GetCredentialReport 및 GenerateCredentialReport API 작업을 사용하며, 이 작업은 4시간마다만 업데이트됩니다. IAM 사용자에 대한 변경 내용이 이 컨트롤에 표시되는 데 최대 4시간이 걸릴 수 있습니다.

Remediation

날짜가 명시된 자격 증명의 계정을 모니터링하는 데 필요한 일부 정보를 얻으려면 IAM 콘솔을 사용하십시오. 예를 들어 계정에서 사용자를 확인할 때 Access key age(액세스 키 수명), Password age(암호 수명) 및마지막 활동에 대한 열이 있습니다. 이 열 중 어느 하나라도 값이 90일보다 큰 경우 해당 사용자의 자격 증명을 비활성화하십시오.

또한 자격 증명 보고서를 사용해 사용자 계정을 모니터링하고 90일 이상 활동이 없는 사용자를 식별할 수 있습니다. IAM 콘솔에서 .csv 형식으로 된 자격 증명 보고서를 다운로드할 수 있습니다. 자격 증명 보고서에 대한 자세한 내용은 AWS 계정의 자격 증명 보고서 가져오기를 참조하십시오.

비활성 계정 또는 사용하지 않는 자격 증명을 식별한 후에는 다음 절차에 따라 비활성화합니다.

1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 사용자를 선택합니다.3. 자격 증명이 생성된 지 90일이 지난 사용자의 이름을 선택합니다.4. Security credentials(보안 자격 증명)를 선택한 후 90일 이상 사용하지 않은 모든 로그인 자격 증명 및 액

세스 키에 대해 Make inactive(비활성화)를 선택합니다.

1.4 — 90일이 되기 전에 액세스 키가 교체되는지 여부를 확인합니다.

심각도: Medium

AWS Config 규칙: access-keys-rotated

액세스 키는 액세스 키 ID 및 보안 액세스 키로 이루어져 있는데, 이를 사용하여 에 보내는 프로그래밍 방식의 요청에 서명할 수 있습니다.AWS.AWS사용자는 프로그래밍 방식으로 호출하기 위해 자신의 액세스 키가필요합니다.AWS( 사용)AWS Command Line Interface(AWS CLI), Windows PowerShell 용 도구,AWSSDK또는 개별 API를 사용하여 직접 HTTP 호출AWS서비스.

Security Hub 는 정기적으로 모든 액세스 키를 교체하는 것이 좋습니다. 액세스 키를 교체하면 침해되거나 종료된 계정에 연결된 액세스 키가 사용될 가능성이 줄어듭니다. 액세스 키를 교체하여 분실, 해킹 또는 도용된기존 키로 데이터에 액세스하지 못하게 합니다.

Note

아프리카 (케이프타운) 또는 유럽 (밀라노) 에서는 이 컨트롤이 지원되지 않습니다.

457

http://aws.amazon.com/blogs/security/how-to-delegate-management-of-multi-factor-authentication-to-aws-iam-users/


https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html

https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html

https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html#getting-credential-reports-console


https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html


Remediation

액세스 키가 90일을 경과하지 않게 하려면

1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 사용자를 선택합니다.3. 90일이 지난 Access key age(액세스 키 수명)을 표시하는 각 사용자에 대해 사용자 이름을 선택하여 해

당 사용자의 설정을 엽니다.4. Security credentials(보안 자격 증명)를 선택합니다.5. 사용자에 대한 새 키를 생성하려면:

a. 액세스 키 생성을 선택합니다.b. 키 콘텐츠를 저장하려면 보안 액세스 키를 다운로드하거나, 표시를 선택한 다음 페이지에서 키를 복

사합니다.c. 키를 안전한 위치에 저장하여 사용자에게 제공합니다.d. 닫기를 선택합니다.

6. 새 키를 사용할 수 있도록 이전 키를 사용하던 모든 애플리케이션을 업데이트합니다.7. 이전 키에 대해서는 Make inactive(비활성화)를 선택해 액세스 키를 비활성화합니다. 이제 사용자는 이

키를 사용해서는 요청을 할 수 없습니다.8. 모든 애플리케이션이 예상대로 새 키로 작동하는지 확인합니다.9. 모든 애플리케이션이 새 키로 작동하는지 확인한 후 이전 키를 삭제합니다. 액세스 키를 삭제한 후에는

복구할 수 없습니다.

이전 키를 삭제하려면 행 끝에 있는 X를 선택한 다음 삭제를 선택합니다.

1.5 — IAM 암호 정책에서 최소 1개의 대문자를 요구하는지 여부를 확인합니다.심각도: Medium

AWS Config 규칙: iam-password-policy

암호 정책은 부분적으로 암호 복잡성 요구 사항을 강제합니다. IAM 암호 정책을 사용해 암호에 다양한 문자집합이 사용되도록 합니다.

암호 정책에서 최소 1개의 대문자를 요구하는 것이 좋습니다. 암호 복잡성 정책을 설정하면 폭력 로그인 시도에 대한 계정 복원력이 높아집니다.

Remediation

암호 정책을 수정하려면

1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 계정 설정(Account settings)을 선택합니다.3. Requires at least one uppercase letter(최소 1개의 대문자 요구)를 선택한 후 Apply password policy(암

호 정책 적용)를 선택합니다.

1.6 — IAM 암호 정책에서 최소 1개의 소문자를 요구하는지 여부를 확인합니다.심각도: Medium


암호 정책은 부분적으로 암호 복잡성 요구 사항을 강제합니다. IAM 암호 정책을 사용해 암호에 다양한 문자집합이 사용되도록 합니다. 암호 정책에서 최소 1개의 소문자를 요구하는 것이 좋습니다. 암호 복잡성 정책을 설정하면 폭력 로그인 시도에 대한 계정 복원력이 높아집니다.

458


https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html




Remediation


1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 계정 설정(Account settings)을 선택합니다.3. Requires at least one lowercase letter(최소 1개의 소문자 요구)를 선택한 후 Apply password policy(암

호 정책 적용)를 선택합니다.

1.7 — IAM 암호 정책에서 최소 1개의 기호를 요구하는지 여부를 확인합니다.

심각도: Medium



Security Hub 는 암호 정책에서 최소 1개의 기호를 요구하는 것이 좋습니다. 암호 복잡성 정책을 설정하면 폭력 로그인 시도에 대한 계정 복원력이 높아집니다.

Remediation


1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 계정 설정(Account settings)을 선택합니다.3. Requires at least one non-alphanumeric character(최소 1개의 영숫자가 아닌 문자 요구)를 선택한 후

Apply password policy(암호 정책 적용)를 선택합니다.

1.8 — IAM 암호 정책에서 최소 1개의 숫자를 요구하는지 여부를 확인합니다.

심각도: Medium



Security Hub 는 암호 정책에서 최소 1개의 숫자를 요구하는 것이 좋습니다. 암호 복잡성 정책을 설정하면 폭력 로그인 시도에 대한 계정 복원력이 높아집니다.

Remediation


1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 계정 설정(Account settings)을 선택합니다.3. Requires at least one number(최소 1개의 숫자 요구)를 선택한 후 Apply password policy(암호 정책 적

용)를 선택합니다.

1.9 — IAM 암호 정책에서 14자 이상을 요구하는지 여부를 확인합니다.

심각도: Medium

459








암호 정책은 부분적으로 암호 복잡성 요구 사항을 강제합니다. IAM 암호 정책을 사용하여 암호가 최소한 특정 길이가 되도록 합니다.

Security Hub 암호 정책에서 14개 이상의 문자를 요구하도록 하는 것이 좋습니다. 암호 복잡성 정책을 설정하면 폭력 로그인 시도에 대한 계정 복원력이 높아집니다.

Remediation


1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 계정 설정(Account settings)을 선택합니다.3. 최소 암호 길이 필드에 14를 입력한 후 암호 정책 적용을 선택합니다.

1.10 — IAM 암호 정책에서 암호 재사용 방지하는지 확인합니다.

심각도: 낮음


이 컨트롤은 기억할 암호 수가 24로 설정되어 있는지 여부를 확인합니다. 값이 24가 아닌 경우 컨트롤이 실패합니다.

IAM 암호 정책에서 동일 사용자가 특정 암호를 재사용하지 못하게 할 수 있습니다.

암호 정책에서 암호 재사용을 방지하도록 하는 것이 좋습니다. 암호 재사용을 방지하면 폭력 로그인 시도에대한 계정 복원력이 높아집니다.

Remediation


1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 계정 설정(Account settings)을 선택합니다.3. Select암호 재사용 제한입력 항목24용기억할 암호 수.4. Apply password policy(암호 정책 적용)를 선택합니다.

1.11 — IAM 암호 정책에서 암호가 90일 이내에 만료되도록 하는지 여부를 확인합니다.

심각도: 낮음


IAM 암호 정책에서 암호가 특정 일수 후에 교체 또는 만료되게 할 수 있습니다.

암호 정책에서 90일 이내에 암호를 만료시키는 것이 좋습니다. 암호 수명을 줄이면 폭력 로그인 시도에 대한계정 복원력이 높아집니다. 또한 정기적으로 암호를 변경하도록 하면 다음과 같은 시나리오에 도움이 됩니다.

• 암호는 지식이 없어도 도용하거나 침해할 수 있습니다. 이러한 일은 시스템 침해, 소프트웨어 취약점 또는인터넷 위협을 통해 발생합니다.

• 암호화된 트래픽이라도 특정 기업 및 정부 웹 필터 또는 프록시 서버가 가로채 기록할 수 있습니다.

460







• 많은 사람들은 업무, 이메일, 개인 용도로 여러 시스템에 동일한 암호를 사용합니다.• 침해된 최종 사용자 워크스테이션에는 키 입력 로거가 있을 수 있습니다.

Remediation


1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 계정 설정(Account settings)을 선택합니다.3. Select암호 만료 활성화입력 항목90용Password expiration period (in days).4. Apply password policy(암호 정책 적용)를 선택합니다.

1.12 — 루트 계정 액세스 키가 없는지 여부를 확인합니다.

심각도: 심각

AWS Config 규칙: iam-root-access-key-check

루트 계정은AWS계정.AWS 액세스 키는 특정 계정에 대한 프로그래밍 방식 액세스를 제공합니다.

Security Hub 는 루트 계정에 연결된 모든 액세스 키를 제거하는 것이 좋습니다. 루트 계정에 연결된 액세스키를 제거하면 이 계정을 침해할 수 있는 벡터가 제한됩니다. 또한 루트 액세스 키를 제거하면 최소 권한을가진 역할 기반 계정의 생성 및 사용에 도움이 됩니다.

Note

아프리카 (케이프타운) 또는 아시아 태평양 (오사카) 에서는 이 컨트롤이 지원되지 않습니다.

Remediation

액세스 키를 삭제하려면

1. 루트 자격 증명을 사용해 계정에 로그인합니다.2. 페이지 우측 상단 모서리에 있는 계정 이름을 선택한 후 My Security Credentials(내 보안 자격 증명)를

선택합니다.3. 팝업 경고에서 Continue to Security Credentials(보안 자격 증명으로 계속)를 선택합니다.4. Access keys(access key ID and secret access key)(액세스 키(액세스 키 ID 및 보안 액세스 키))를 선택

합니다.5. 키를 영구적으로 삭제하려면 삭제를 선택한 후 예를 선택합니다. 삭제한 키는 복구할 수 없습니다.6. 루트 사용자 액세스 키가 두 개 이상인 경우 각 키에 대해 4단계와 5단계를 반복합니다.

1.13 — “루트” 계정에 대해 MFA 가 활성화되어 있는지 여부를 확인합니다.

심각도: 심각

AWS Config 규칙: root-account-mfa-enabled

루트 계정은 계정에서 가장 권한이 많은 사용자입니다. MFA를 통해 사용자 이름 및 암호 외에 보호 계층이 한 단계 더 추가됩니다. MFA를 활성화한 상태에서 AWS 웹 사이트에 로그인하면 사용자 이름 및 암호와AWS MFA 디바이스의 인증 코드를 묻는 메시지가 나타납니다.

루트 계정에 가상 MFA 를 사용하는 경우 Security Hub하지개인 장치. 대신에 모든 개인용 개별 디바이스에서 독립적으로 충전 및 보안 상태를 유지하도록 관리할 수 있는 전용 모바일 디바이스(태블릿 또는 전화)를

461


https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html

https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html


사용하십시오. 이렇게 하면 디바이스 분실, 디바이스 거래로 인해 또는 디바이스를 소유한 개인이 회사를 그만둠으로 인해 MFA에 대한 액세스 권한을 상실할 위험이 줄어듭니다.

Note

다음 리전에서는 이 컨트롤이 지원되지 않습니다.

• 중국(베이징)• 중국(닝샤)• AWS GovCloud(미국 동부)• AWSGovCloud (미국 서부).

Remediation

루트 계정에 대해 MFA를 활성화하려면


선택합니다.3. 팝업 경고에서 Continue to Security Credentials(보안 자격 증명으로 계속)를 선택합니다.4. Multi-factor authentication (MFA)(다중 요소 인증(MFA))을 선택합니다.5. Activate MFA(MFA 활성화)를 선택합니다.6. MFA에 사용할 디바이스의 유형을 선택하고 계속을 선택합니다.7. 이 절차를 완료하여 선택에 적절한 디바이스 유형을 구성하십시오.

1.14 — “루트” 계정에 대해 하드웨어 MFA 가 활성화되어 있는지 여부를 확인합니다. (p. 462) 점검을최상의 결과로 통과하기 위해 하드웨어 기반 인증 메커니즘을 선택합니다.

1.14 — “루트” 계정에 대해 하드웨어 MFA 가 활성화되어 있는지 여부를 확인합니다.

심각도: 심각

AWS Config 규칙: root-account-hardware-mfa-enabled

루트 계정은 계정에서 가장 권한이 많은 사용자입니다. MFA를 통해 사용자 이름 및 암호 외에 보호 계층이 한 단계 더 추가됩니다. MFA를 활성화한 상태에서 AWS 웹 사이트에 로그인하면 사용자 이름 및 암호와AWS MFA 디바이스의 인증 코드를 묻는 메시지가 나타납니다.

Security Hub 수준 2의 경우 하드웨어 MFA 로 루트 계정을 보호하는 것을 권장합니다. 하드웨어 MFA는 가상 MFA보다 공격 표면이 좁습니다. 예를 들어 하드웨어 MFA는 가상 MFA가 상주하는 모바일 스마트폰을 통해 도입되는 공격 표면으로 인한 어려움을 겪지 않습니다.

여러 계정에 하드웨어 MFA를 사용하는 경우 많은 계정에서 논리적 디바이스 관리 문제가 발생할 수 있습니다. 이 경우 이 수준 2 권장 사항을 가장 높은 보안 계정에 선택적으로 구현하는 것이 좋습니다. 그런 다음 나머지 계정에 수준 1 권장 사항을 적용할 수 있습니다.

Note


• 중국(베이징)• 중국(닝샤)• AWS GovCloud(미국 동부)

462

https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html


• AWSGovCloud (미국 서부).

Remediation

루트 계정에 대해 하드웨어 기반 MFA를 활성화하려면


선택합니다.3. 팝업 경고에서 Continue to Security Credentials(보안 자격 증명으로 계속)를 선택합니다.4. Multi-factor authentication (MFA)(다중 요소 인증(MFA))을 선택합니다.5. Activate MFA(MFA 활성화)를 선택합니다.6. MFA에 사용할 하드웨어 기반(가상은 아님) 디바이스를 선택하고 계속을 선택합니다.7. 이 절차를 완료하여 선택에 적절한 디바이스 유형을 구성하십시오.

1.16 — IAM 정책이 그룹 또는 역할에만 연결되어 있는지 여부를 확인합니다.

심각도: 낮음

AWS Config 규칙: iam-user-no-policies-check

기본적으로 IAM 사용자, 그룹 및 역할에는AWS있습니다. IAM 정책은 사용자, 그룹 또는 역할에 권한을 부여하는 방법입니다.

IAM 정책을 사용자가 아닌 그룹 및 역할에 직접 적용하는 것이 좋습니다. 그룹 또는 역할 수준에서 권한을 지정하면 사용자 수가 증가할 때 액세스 관리 복잡성이 줄어듭니다. 액세스 관리 복잡성을 줄이면 보안 주체가부주의로 과도한 권한을 받거나 보유할 기회가 줄어듭니다.

Remediation

이 문제를 해결하려면 IAM 그룹을 생성하고 이 그룹에 정책을 지정한 후 그룹에 사용자를 추가합니다. 정책은 그룹 내 각 사용자에게 적용됩니다.

IAM 그룹을 생성하려면 다음을 수행합니다.

1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 그룹을 선택한 후 Create New Group(새 그룹 생성)을 선택합니다.3. 생성할 그룹의 이름을 입력하고 다음 단계를 선택합니다.4. 그룹에 지정할 각 정책을 선택하고 다음 단계를 선택합니다.

선택하는 정책에는 사용자 계정에 현재 직접 연결되어 있는 모든 정책이 포함되어야 합니다. 실패한 점검을 해결하기 위한 그다음 단계는 사용자를 그룹에 추가한 후 이 그룹에 정책을 지정하는 것입니다. 그룹의 각 사용자에게는 그룹에 지정된 정책이 지정됩니다.

5. 검토 패이지에서 세부 정보를 확인한 후 그룹 생성을 선택합니다.

그룹 생성에 대한 자세한 내용은 단원을 참조하십시오.IAM 그룹 생성의IAM 사용 설명서.

IAM 그룹에 사용자를 추가하려면

1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 그룹을 선택합니다.3. Group Actions(그룹 작업)를 선택한 후 Add Users to Group(그룹에 사용자 추가)을 선택합니다.4. 그룹에 추가하려는 사용자를 선택한 후 사용자 추가를 선택합니다.

463

https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_create.html



그룹에 사용자 추가에 대한 자세한 내용은 단원을 참조하십시오.IAM 그룹에서 사용자 추가 및 제거.

사용자에게 직접 연결되어 있는 정책을 제거하려면

1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 사용자를 선택합니다.3. 정책을 분리하려는 사용자는 사용자 이름 열에서 이름을 선택해야 합니다.4. Attached directly(직접 연결됨) 아래에 나열된 각 정책의 경우 페이지 오른쪽에 있는 X를 선택하여 사용

자에게서 정책을 제거한 후 제거를 선택합니다.5. 사용자가 기대한 대로 여전히 AWS 서비스를 사용할 수 있는지 확인합니다.

1.20 - AWS Support를 통해 인시던트를 관리하기 위해 지원 역할을 생성했는지 여부를 확인합니다.심각도: 낮음

AWS Config 규칙: iam-policy-in-use

AWS에서는 인시던트 알림 및 대응, 기술 지원 및 고객 서비스에 사용할 수 있는 지원 센터를 제공합니다.

IAM 역할을 생성하여 권한 있는 사용자가AWSSupport. 액세스 제어에 대한 최소 권한을 구현하면 IAM 역할에 지원 센터 액세스를 허용하는 적절한 IAM 정책이 필요합니다.AWSSupport.

Note


• 아프리카(케이프타운)• 아시아 태평양(오사카)• 유럽(밀라노)

Remediation

이 문제를 해결하려면 권한이 있는 사용자가 AWS Support 인시던트를 관리할 수 있도록 허용하는 역할을생성합니다.

AWS Support 액세스에 사용할 역할을 생성하려면

1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. IAM 탐색 창에서 [] 를 선택합니다.Roles를 선택한 후역할 생성.3. 용역할 유형를 선택하고다른AWSaccount.4. 계정 ID에 리소스에 대한 액세스 권한을 부여할 AWS 계정의 AWS 계정 ID를 입력합니다.

이 역할을 수임할 사용자 또는 그룹이 동일한 계정에 있는 경우 로컬 계정 번호를 입력합니다.Note

지정된 계정의 관리자는 해당 계정의 IAM 사용자에게 이 역할을 맡을 수 있는 권한을 부여할 수있습니다. 이를 위해 관리자는 sts:AssumeRole 작업에 대한 권한을 부여하는 정책을 사용자나 그룹에 연결합니다. 이 정책에서 리소스는 역할 ARN이어야 합니다.

5. [다음: 권한(Next: Permissions)]을 선택합니다.6. 관리형 정책 AWSSupportAccess를 검색합니다.7. AWSSupportAccess 관리형 정책의 확인란을 선택합니다.8. [다음: 권한(Next: Tags)]를 선택합니다.9. (선택 사항) 역할에 메타데이터를 추가하려면 태그를 키-값 페어로 연결합니다.

464

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_add-remove-users.html


https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-in-use.html



IAM에서의 태그 사용에 대한 자세한 내용은 단원을 참조하십시오.IAM 사용자 및 역할 태그 지정의IAM사용 설명서.

10. [다음: 권한(Next: Review)]를 선택합니다.11. 역할 이름에 역할의 이름을 입력합니다.

역할 이름은 AWS 계정 내에서 고유해야 합니다. 대소문자를 구분하지 않습니다.12. (선택 사항) Role description(역할 설명)에 새 역할에 대한 설명을 입력합니다.13. 역할을 검토한 후 역할 생성을 선택합니다.

1.22 — 전체 “*: *” 관리자 권한을 허용하는 IAM 정책이 생성되지 않도록 되어 있는지 여부를 확인합니다.심각도: 높음

AWS Config 규칙: iam-policy-no-statements-with-admin-access

IAM 정책은 사용자, 그룹 또는 역할에 부여되는 권한 집합을 정의합니다. 최소한의 권한을 부여하는 것이 좋으며 그렇게 하는 것이 기본 보안 조언으로 간주됩니다. 즉 작업 수행에 필요한 최소한의 권한만 부여하는 것을 말합니다. 사용자가 해야 할 작업을 파악한 후 전체 관리 권한을 허용하는 대신 사용자가 해당 작업만 수행하도록 정책을 작성합니다.

권한을 많이 부여한 후 나중에 줄이기보다는 최소한의 권한 조합만으로 시작하여 필요에 따라 추가 권한을부여하는 것이 더 안전합니다. 사용자에게 있어야 하는 최소한의 권한 조합으로 제한하지 않고 전체 관리 권한을 제공하면 리소스가 원치 않는 작업에 노출될 수 있습니다.

문이 있는 IAM 정책을 제거해야 합니다."Effect": "Allow"다음으로 바꿉니다."Action": "*"OV"Resource": "*".

Remediation

IAM 정책을 수정하려면

1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 정책을 선택합니다.3. 제거할 정책 옆에 있는 라디오 버튼을 선택합니다.4. 정책 작업 드롭다운 메뉴에서 분리를 선택합니다.5. Detach policy(정책 분리) 페이지에서 정책을 분리할 각 사용자 옆에 있는 라디오 버튼을 선택한 후

Detach policy(정책 분리)를 선택합니다.

정책을 분리한 사용자가 계속해서 기대한 대로 AWS 서비스 및 리소스를 사용할 수 있는지 확인합니다.

2.1 — 모든 리전에서 CloudTrail 이 활성화되어 있는지 여부를 확인합니다.심각도: 심각

AWS Config 규칙: multi-region-cloudtrail-enabled

CloudTrail 은 기록하는 서비스입니다.AWS은 계정에 대한 API 호출을 수신하고 사용자에게 로그 파일을 전달합니다. API 호출자 ID, API 호출 시간, API 호출자의 소스 IP 주소, 요청 파라미터 및 AWS 서비스가 반환한 응답 요소와 같은 정보가 기록됩니다. CloudTrail 기록을 제공AWS를 통해 이루어진 API 호출을 포함하여계정에 대한 API 호출AWS Management Console,AWSSDK, 명령줄 도구 및 상위 수준AWS서비스 (예:AWSCloudFormation).

이AWSCloudTrail 에서 작성되는 API 호출 내역을 통해 보안 분석, 리소스 변경 사항 추적 및 규정 준수 감사를 수행할 수 있습니다. 뿐만 아니라

465

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html

https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html


https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html


• 다중 리전 추적이 존재하도록 하면 미사용 리전에서 발생하는 예기치 못한 활동을 감지할 수 있습니다.• 다중 리전 추적이 존재하도록 하면 기본적으로 추적에 대해 전역적 서비스 로깅이 활성화되어 AWS 전역

적 서비스에서 생성되는 이벤트의 기록을 캡처할 수 있습니다.• 다중 리전 추적의 경우 모든 유형의 읽기/쓰기에 대해 관리 이벤트를 구성하도록 하면 AWS 계정의 모든

리소스에서 수행되는 관리 작업이 기록됩니다.

기본적으로 CloudTrail 추적은AWS Management Console는 다중 지역 트레일입니다.

Remediation

CloudTrail 에서 새 추적을 생성하려면

1. 에 로그인합니다.AWS Management Console에서 CloudTrail 콘솔을 엽니다.https://console.aws.amazon.com/cloudtrail/.

2. 전에 CloudTrail 을 사용한 적이 없는 경우시작.3. Trails(추적)를 선택한 후 Create trail(추적 생성)을 선택합니다.4. 추적의 이름을 입력합니다.5. Storage location(스토리지 위치)에서 다음 중 하나를 수행합니다.

• CloudTrail 로그에 대한 새 S3 버킷을 생성하려면새 S3 버킷 생성을 선택하고 버킷의 이름을 입력합니다.

• 선택기존 S3 버킷 사용을 클릭한 다음 사용할 버킷을 선택합니다.6. 선택추가 설정및,로그 파일 검증를 선택하고활성화됨를 입력합니다.2.2 — CloudTrail 로그 파일 검증이

활성화되어 있는지 여부를 확인합니다. (p. 467).7. 전달하려면the section called “2.4 — CloudTrail 추적이 Amazon CloudWatch Logs 와 통합되도록 보

장” (p. 468)을 사용하려면 CloudWatch Logs 활성화해야 합니다.

a. CloudWatch Logs 에서활성화됨확인란의 선택을 선택합니다.b. 용로그 그룹에 대해 다음 중 하나를 수행합니다.

• 기존 로그 그룹을 사용하려면EXI를 클릭한 다음 사용할 로그 그룹의 이름을 입력합니다.• 새 로그 그룹을 생성하려면 [] 를 선택합니다.New를 선택한 후 생성할 로그 그룹의 이름을 입력합

니다.c. IAM 역할에 대해 다음 중 하나를 수행합니다.

• 기존 역할을 사용하려면 []] 를 선택합니다.EXI드롭다운 목록에서 역할을 선택합니다.• 새 역할을 만들려면 [] 를 선택합니다.New를 선택한 후 생성할 역할의 이름을 입력하십시오. 새

역할에 필수 권한을 부여하는 정책이 할당됩니다.

역할에 부여된 사용 권한을 보려면정책 문서.8. Create를 선택합니다.

CloudTrail Trail에서 기존 추적을 업데이트하려면

1. 에 로그인합니다.AWS Management Console에서 CloudTrail 콘솔을 엽니다.https://console.aws.amazon.com/cloudtrail/.

2. Trails(추적)를 선택합니다.3. 이름 열에서 추적의 이름을 선택합니다.4. 필요에 따라 트레일 구성을 업데이트합니다.

특정 섹션의 구성을 업데이트하려면 다음을 수행합니다.

a. 선택Edit를 해당 섹션에 대해 설명합니다.b. 구성을 필요한 업데이트하십시오.

466

https://console.aws.amazon.com/cloudtrail/





c. [Save changes]를 선택합니다.

2.2 — CloudTrail 로그 파일 검증이 활성화되어 있는지 여부를 확인합니다.심각도: 낮음

AWS Config 규칙: cloud-trail-log-file-validation-enabled

CloudTrail 로그 파일 검증을 통해 디지털 방식으로 서명된 다이제스트 파일이 생성됩니다. 이 파일은CloudTrail 이 S3에 쓰는 각 로그의 해시를 포함합니다. 이 로그 파일을 전송한 후 이 파일이 변경 또는 삭제되었는지 여부를 확인하려면 이 다이제스트 파일을 CloudTrail 됩니다.

Security Hub 는 모든 추적에서 파일 검증을 활성화하는 것이 좋습니다. 로그 파일 검증을 활성화하면CloudTrail 로그에 대한 부가적인 무결성 점검이 이루어집니다.

Remediation

CloudTrail 로그 파일 검증을 활성화하려면

1. https://console.aws.amazon.com/cloudwatch/에서 CloudTrail 콘솔을 엽니다.2. Trails(추적)를 선택합니다.3. 이름 열에서 편집할 추적의 이름을 선택합니다.4. USE일반 세부 정보를 선택하고Edit.5. USE추가 설정에 대한로그 파일 검증를 선택합니다.활성화됨.6. Save를 선택합니다.

2.3 — CloudTrail 로그에 대한 S3 버킷에 대한 퍼블릭 액세스가 불가능하도록 되어있는지 여부를 확인합니다.심각도: 심각

AWS Config 규칙: s3-bucket-public-read-prohibited, s3-bucket-public-write-prohibited

CloudTrail 은 계정에서 이루어지는 모든 API 호출에 대한 기록을 로깅합니다. 이 로그 파일은 S3 버킷에 저장됩니다. Security Hub 에서는 CloudTrail이 기록하는 S3 버킷에 S3 버킷 정책 또는 ACL (액세스 제어 목록)을 적용하여 CloudTrail 로그에 대한 퍼블릭 액세스를 방지하는 것이 좋습니다. CloudTrail 로그 콘텐츠에 대한 퍼블릭 액세스를 허용하면 적이 침해된 계정을 사용하거나 구성할 때 취약점을 알아내는 데 도움이 될 수있습니다.

이 점검을 실행하기 위해 Security Hub 먼저 사용자 지정 로직을 사용하여 CloudTrail 로그가 저장된 S3 버킷을 찾습니다. 그런 다음 AWS Config 관리형 규칙을 사용하여 버킷에 공개적으로 액세스할 수 있는지 확인합니다.

로그를 단일 중앙 집중식 S3 버킷에 집계하면 Security Hub 는 중앙 집중식 S3 버킷이 위치한 계정 및 리전에대해서만 점검을 실행합니다. 다른 계정 및 지역의 경우 제어 상태는데이터가 없습니다..

버킷에 공개적으로 액세스 가능한 경우 점검 시 실패한 검색 결과가 생성됩니다.

Remediation

Amazon S3 버킷에 대한 퍼블릭 액세스를 제거하려면

1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.2. CloudTrail 이 저장되는 버킷의 이름을 선택합니다.3. 권한을 선택한 다음 Public access settings(퍼블릭 액세스 설정)를 선택합니다.

467

https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html


https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html

https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html


https://console.aws.amazon.com/s3/


4. 편집을 선택하고 네 가지 옵션을 모두 선택한 후 저장을 선택합니다.5. 메시지가 표시되면 confirm을 입력한 후 확인을 선택합니다.

2.4 — CloudTrail 추적이 Amazon CloudWatch Logs 와 통합되도록 보장심각도: 낮음

AWS Config 규칙: cloud-trail-cloud-watch-logs-enabled

CloudTrail 은 기록하는 웹 서비스입니다.AWS특정 계정에서 이루어지는 API 호출입니다. API 호출자 ID,API 호출 시간, API 호출자의 소스 IP 주소, 요청 파라미터 및 AWS 서비스가 반환한 응답 요소와 같은 정보가 기록됩니다.

CloudTrail 은 로그 파일 저장 및 전송에 Amazon S3 를 사용하므로 로그 파일은 지속력 있게 저장됩니다. 장기 분석을 위해 지정된 Amazon S3 버킷에 CloudTrail 로그를 캡처하는 것 외에도 CloudTrail을 구성함으로써실시간 분석을 수행할 수 있습니다.

계정의 모든 리전에서 활성화된 추적의 경우, CloudTrail 은 이 모든 리전의 로그 파일을 CloudWatch Logs 그룹으로 전송합니다.

CloudTrail 로그를 CloudWatch Logs에 보내는 것이 좋습니다.Note

이 권장 사항의 의도는 계정 활동을 캡처 및 모니터링하고 경보를 적절히 제공하기 위한 것입니다.CloudWatch Logs 는 다음을 사용하여 이 작업을 수행하는 기본 방법입니다.AWS서비스를 제공하지만 대체 솔루션의 사용을 배제하지는 않습니다.

CloudTrail 로그를 CloudWatch Logs 로 전송하면 사용자, API, 리소스 및 IP 주소에 근거한 실시간 및 과거활동 로깅이 더 용이해집니다. 변칙적인 또는 민감도 계정 활동에 대한 경보 및 알림을 설정할 수 있는 기회를 제공합니다.

Remediation

CloudTrail 추적이 CloudCloudWatch Logs 통합되도록 하려면

1. https://console.aws.amazon.com/cloudwatch/에서 CloudTrail 콘솔을 엽니다.2. Trails(추적)를 선택합니다.3. CloudWatch Logs Log group(CloudWatch Logs 로그 그룹) 열에서 값이 없는 추적을 선택합니다.4. 아래로 스크롤하여CloudWatch Logs(CloudWatch 로그)섹션을 클릭한 다음Edit.5. 활성 확인란을 선택합니다.6. 용로그 그룹에 대해 다음 중 하나를 수행합니다.

• 기존 로그 그룹을 사용하려면EXI를 클릭한 다음 사용할 로그 그룹의 이름을 입력합니다.• 새 로그 그룹을 생성하려면 [] 를 선택합니다.New를 선택한 후 생성할 로그 그룹의 이름을 입력합니

다.7. IAM 역할에 대해 다음 중 하나를 수행합니다.

• 기존 역할을 사용하려면 []] 를 선택합니다.EXI드롭다운 목록에서 역할을 선택합니다.• 새 역할을 만들려면 [] 를 선택합니다.New를 선택한 후 생성할 역할의 이름을 입력하십시오. 새 역

할에 필수 권한을 부여하는 정책이 할당됩니다.

역할에 부여된 사용 권한을 보려면정책 문서.8. [Save changes]를 선택합니다.

자세한 내용은 단원을 참조하십시오.콘솔을 사용하여 CloudWatch Logs 모니터링 구성의AWS CloudTrail사용 설명서.

468

https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-cloud-watch-logs-enabled.html


https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html#send-cloudtrail-events-to-cloudwatch-logs-console


2.5 —AWS Config가 활성화됨심각도: Medium


는 지원되는 구성 관리를 수행하는 웹 서비스입니다.AWS리소스에 로그인하고 사용자에게 로그 파일을 전달합니다. 기록되는 정보로는 구성 항목(AWS 리소스), 구성 항목(AWS 리소스) 간의 관계, 리소스 간 모든 구성변경 사항을 들 수 있습니다.

Security HubAWS Config모든 리전에서 를 선택합니다. AWS Config에서 캡처하는 AWS 구성 항목 내역을통해 보안 분석, 리소스 변경 사항 추적 및 규정 준수 감사를 수행할 수 있습니다.

Note

CIS 2.5에서는AWS ConfigSecurity Hub 사용 중인 모든 리전에서 이 활성화되어 있는지 여부를 확인합니다.Security Hub 리전별 서비스이므로 이 컨트롤에 대해 수행된 확인에서는 계정에 대한 현재 리전만점검합니다. 모든 리전을 점검하지는 않습니다.또한 각 리전에서 글로벌 리소스에 대한 보안 점검을 확인할 수 있도록 글로벌 리소스를 기록해야합니다. 단일 리전에서만 글로벌 리소스를 기록하는 경우 글로벌 리소스를 기록하는 리전을 제외한모든 리전에서 이 통제를 비활성화할 수 있습니다.

이 점검을 실행하기 위해 Security Hub 는 사용자 지정 로직을 수행하여 해당 작업에 대해 미리 지정되어 있는 감사 단계를 수행합니다.CISAWS기초 벤치마크 v1.2. 또한 Security Hub 는 리전별 서비스이며 리전별 기준으로 보안 점검을 수행하기 때문에 Security Hub에서 글로벌 리소스가 기록되어야 합니다.

Remediation

AWS Config 설정을 구성하려면

1. 열기AWS Config콘솔https://console.aws.amazon.com/config/.2. AWS Config를 구성할 리전을 선택합니다.3. 전에 AWS Config를 사용해본 적이 없는 경우에는 시작을 선택합니다.4. 설정 페이지에서 다음 작업을 수행하십시오.

• USE기록할 리소스 유형를 선택합니다.이 지역에서 지원되는 모든 리소스 기록및글로벌 리소스(예:AWSIAM 리소스).

• Amazon S3 bucket(Amazon S3 버킷)에서 사용할 버킷을 지정하거나 버킷을 생성하고 선택적으로 접두사를 포함합니다.

• USEAmazon SNS 주제Amazon SNS 주제를 선택하거나 주제를 만듭니다. Amazon SNS 대한 자세한내용은 단원을 참조하십시오.Amazon Simple Notification Service 시작 안내서.

• USEAWS Config역할을 선택한 다음서비스 연결 역할 만들기를 선택하거나계정에서 역할 선택하기을 선택하고 사용할 역할을 선택합니다.

5. [Next]를 선택합니다.6. 규칙 페이지에서 건너뛰기를 선택합니다.7. [Confirm]을 선택합니다.

에서 사용에 대한 자세한 내용은AWS Command Line Interface에 대한 자세한 내용은켜기의개발자 안내서.

또한 AWS CloudFormation 템플릿을 사용하여 이 프로세스를 자동화할 수도 있습니다. 자세한 내용은 단원을 참조하십시오.AWS CloudFormationStackSets 샘플 템플릿의AWS CloudFormation사용 설명서.

2.6 — CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 여부를확인합니다.심각도: 낮음

469


https://console.aws.amazon.com/config/

https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html

https://docs.aws.amazon.com/config/latest/developerguide/gs-cli-subscribe.html



AWS Config 규칙: s3-bucket-logging-enabled

Amazon S3 버킷 액세스 로깅을 통해 S3 버킷에 대해 이루어지는 각 요청의 액세스 기록을 포함하는 로그가생성됩니다. 액세스 로그 레코드에는 요청 유형, 요청과 관련된 리소스, 요청 처리 날짜/시간과 같은 요청 세부 정보가 포함됩니다.

CloudTrail S3 버킷에서 버킷 액세스 로깅을 활성화하는 것이 좋습니다.

대상 S3 버킷에서 S3 버킷 로깅을 활성화하면 대상 버킷의 객체에 영향을 미칠 수 있는 모든 이벤트를 캡처할 수 있습니다. 별도 버킷에 배치할 로그를 구성하면 로그 정보에 대한 액세스가 활성화되어 보안 및 인시던트 대응 워크플로우에 유용할 수 있습니다.

이 점검을 실행하기 위해 Security Hub 는 먼저 사용자 지정 로직을 사용하여 CloudTrail 로그가 저장된 버킷을 찾은 다음AWS Config관리 규칙을 사용하여 로깅이 활성화되어 있는지 확인합니다.

로그를 단일 중앙 집중식 S3 버킷에 집계하면 Security Hub 는 중앙 집중식 S3 버킷이 위치한 계정 및 리전에대해서만 점검을 실행합니다. 다른 계정 및 지역의 경우 제어 상태는데이터가 없습니다..

버킷에 공개적으로 액세스 가능한 경우 점검 시 실패한 검색 결과가 생성됩니다.

Remediation

S3 버킷 액세스 로깅을 활성화하려면

1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.2. CloudTrail 에 사용할 버킷을 선택합니다.3. [Properties]를 선택합니다.4. Server access logging(서버 액세스 로깅)을 선택한 후 로깅 활성화를 선택합니다.5. 대상 버킷 목록에서 버킷을 선택하고 선택적으로 접두사를 입력합니다.6. Save를 선택합니다.

2.7 — 유휴 시 CloudTrail 로그가 암호화되는지 여부를 확인합니다.AWS KMSCMK

심각도: Medium

AWS Config 규칙: cloud-trail-encryption-enabled

CloudTrail 은 기록하는 웹 서비스입니다.AWSAPI는 계정을 호출하고 IAM 정책에 따라 사용자 및 리소스가해당 로그를 사용할 수 있도록 합니다.AWS Key Management Service(AWS KMS) 는 계정 데이터를 암호화하는 데 사용되는 암호화 키를 생성 및 제어할 수 있게 지원하고 HSM (하드웨어 보안 모듈) 을 사용하여 암호화 키의 보안을 유지하는 관리형 서비스입니다.

CloudTrail 로그를 구성하여 서버 측 암호화 (SSE) 및AWS KMSCloudTrail 로그 보호를 강화하기 위해 고객생성 마스터 키 (CMK)

SSE-KMS를 사용하도록 CloudTrail 을 구성하는 것이 좋습니다.

CloudTrail 을 구성하면 로그 데이터에 대한 부가적인 기밀성 제어가 가능합니다. 왜냐하면 특정 사용자에게해당 로그 버킷에 대한 S3 읽기 권한이 있어야 하고 이 사용자는 CMK 정책에 의해 암호화 해제 권한을 부여받아야 하기 때문입니다.

Remediation

CloudTrail 로그에 대한 암호화를 활성화하려면

1. https://console.aws.amazon.com/cloudwatch/에서 CloudTrail 콘솔을 엽니다.2. Trails(추적)를 선택합니다.

470

https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html


https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html



3. 업데이트할 추적을 선택합니다.4. Storage location(스토리지 위치)에서 연필 아이콘을 선택하여 설정을 업데이트합니다.5. Encrypt log files with SSE-KMS(SSE-KMS로 로그 파일 암호화)에 대해 예를 선택합니다.6. Create a new KMS key(새 KMS 생성)에 대해 다음 중 하나를 수행합니다.

• 키를 생성하려면 예를 선택한 후 KMS 키 필드에서 키의 별칭을 입력합니다. 키는 버킷과 동일한 리전에서 생성됩니다.

• 기존 키를 사용하려면 아니요를 선택한 후 KMS 키 목록에서 해당 키를 선택합니다.

Note

AWS KMS 키와 S3 버킷이 동일한 리전에 있어야 합니다.7. Save를 선택합니다.

CloudTrail 에 대한 정책을 수정해야 CMK와 성공적으로 상호 작용할 수 있는 경우가 있을 수 있습니다. 자세한 내용은 단원을 참조하십시오.다음을 사용하여 CloudTrail 로그 파일 암호화AWS KMS—관리형 키 (SSE-KMS)의AWS CloudTrail사용 설명서.

2.8 — 고객 생성 CMK 교체가 활성화되어 있는지 여부를 확인합니다.

심각도: Medium

AWS Config 규칙: cmk-backing-key-rotation-enabled

AWS KMS를 통해 고객은 AWS KMS에 저장된 키 구성 요소이며 CMK의 키 ID에 연결된 백업 키를 교체할수 있습니다. 이 백업 키는 암호화, 해독 등 암호화 작업을 수행하는 데 사용됩니다. 자동화된 키 교체는 암호화된 데이터의 해독이 투명하게 이루어질 수 있도록 하기 위해 현재 모든 이전 버전의 백업 키를 유지합니다.

CMK 키 교체를 활성화하는 것이 좋습니다. 암호화 키를 교체하면 노출되었을 수 있는 이전 키로 새로운 키로는 암호화된 데이터에 액세스할 수 없으므로 침해된 키가 영향을 미칠 가능성을 줄일 수 있습니다.

Remediation

CMK 교체를 활성화하려면

1. https://console.aws.amazon.com/kms에서 AWS KMS 콘솔을 엽니다.2. AWS 리전을 변경하려면 페이지의 오른쪽 상단에 있는 리전 선택기를 사용합니다.3. Customer managed keys(고객 관리형 키)를 선택합니다.4. 별칭 열에서 업데이트할 키의 별칭을 선택합니다.5. Key rotation(키 교체)를 선택합니다.6. Automatically rotate this CMK every year(매년 이 CMK를 자동 교체)를 선택한 후 저장을 선택합니다.

2.9 — 모든 VPC에서 VPC 플로우 로깅이 활성화되어 있는지 여부를 확인합니다.

심각도: Medium

AWS Config 규칙: vpc-flow-logs-enabled

VPC 플로우 로그는 VPC의 네트워크 인터페이스에서 전송되고 수신되는 IP 트래픽에 대한 정보를 수집할수 있는 기능입니다. 흐름 로그를 생성하고 난 다음 CloudWatch Logs Logs의 데이터를 확인하고 가져올 수있습니다.

VPC에 대한 패킷 Security Hub 부를 위해 플로우 로깅을 활성화하는 것이 좋습니다. 플로우 로그는 VPC를통과하는 네트워크 트래픽에 대한 가시성을 제공하며 보안 워크플로우 중에 발생하는 변칙적 트래픽 또는 통찰력을 감지할 수 있습니다.

471

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/encrypting-cloudtrail-log-files-with-aws-kms.html?icmpid=docs_cloudtrail_console


https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html

https://console.aws.amazon.com/kms

https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html


Remediation

VPC 플로우 로깅을 활성화하려면

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. VPCs를 선택합니다.3. 업데이트할 VPC를 선택합니다.4. 페이지 하단의 플로우 로그 탭을 선택합니다.5. 흐름 로그 생성(Create flow log)을 선택합니다.6. 필터에서 거부를 선택합니다.7. 대상 로그 그룹에서 사용할 로그 그룹을 선택합니다.8. 용IAM 역할에서 사용할 IAM 역할을 선택합니다.9. Create를 선택합니다.

3.1 — 무단 API 호출에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.

심각도: 낮음


CloudTrail 로그를 CloudWatch 로그로 보내고 해당 지표 필터 및 경보를 설정하면 API 호출을 실시간 모니터링할 수 있습니다.

Security Hub 에서는 무단 API 호출에 대해 지표 필터 및 경보를 생성하는 것이 좋습니다. 무단 API 호출을모니터링하면 애플리케이션 오류를 표시하는 데 도움이 되고 악의적인 활동을 탐지하는 시간을 단축할 수 있습니다.


Important

CIS Security Hub 지원AWS에서는 Security Hub 활성화된 것과 동일한 리전에 있고 동일한 계정에서 소유하고 있는 리소스에 대한 재단만 점검합니다.예를 들어 미국 동부 (버지니아 북부) 리전에서 Security Hub 사용하도록 설정했지만 미국 서부 (캘리포니아 북부) 리전에서 CloudWatch 경보 또는 SNS 주제를 생성하는 경우 미국 동부 (버지니아북부) 리전에서 실행되는 보안 허브는 미국 서부 (캘리포니아 북부) 리전에서 CloudWatch 경보 또는 SNS 주제를 찾을 수 없습니다.그러면 검사 결과, 리소스를 찾을 수 없다는 경고가 반환됩니다. 리소스를 성공적으로 찾았지만 컨트롤의 CIS 요구 사항에 맞지 않을 때만 찾기 실패가 생성됩니다.

Remediation





472

https://console.aws.amazon.com/vpc/










1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.2. 탐색 창에서 로그 그룹을 선택합니다.3. 생성한 CloudTrail 추적과 연결된 CloudWatch 로그 로그 그룹에 대한 확인란을 선택합니다.4. From작업를 선택하고지표 필터 생성.5. USEPattern 정의에서 다음을 수행합니다.


{($.errorCode="*UnauthorizedOperation") || ($.errorCode="AccessDenied*")}

b. [Next]를 선택합니다.6. USE지표 할당에서 다음을 수행합니다.



c. 용측정치 이름에 지표 이름을 입력합니다. 측정치의 이름을 기억합니다. 경보를 생성할 때 메트릭을선택해야 합니다.


7. USE검토 및 생성에서 새 메트릭 필터에 대해 제공한 정보를 확인합니다. 그런 다음지표 필터 생성.8. 선택을 선택합니다.지표 필터탭을 선택한 다음 방금 생성한 지표 필터를 선택합니다.

지표 필터를 선택하려면 오른쪽 위에 있는 확인란을 선택합니다.9. [Create Alarm]을 선택합니다.10. USE메트릭 및 조건 지정에서 다음을 수행합니다.

a. USE지표에 대한통계를 선택하고Average. 사용 가능한 통계에 대한 자세한 내용은 단원을 참조하십시오.통계의Amazon CloudWatch 사용 설명서.

b. USE조건에 대한임계값를 선택하고고정.c. 용경보 조건 정의를 선택하고크게/같음.d. 용임계값을 정의합니다.를 입력합니다.1.e. [Next]를 선택합니다.

11. USE작업 구성에서 다음을 수행합니다.

a. USE경보 상태를 선택하고경보.b. [Select an SNS topic]에서 [Select an existing SNS topic]을 선택합니다.c. 용알림 전송 대상에 이전 절차에서 생성한 SNS 주제의 이름을 입력합니다.d. [Next]를 선택합니다.

473


https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Statistic


12. USE이름과 설명의 경우 를 입력합니다.이름및설명알람에 대한. 예: CIS-3.1-UnauthorizedAPICalls. 그런 다음 [Next]를 선택합니다.

13. USE미리 보기 및 만들기에서 경보 구성을 검토합니다. 그런 다음 경보 생성을 선택합니다.

3.2 — 에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.AWSManagement ConsoleMFA 없이 로그인심각도: 낮음



Security Hub 는 MFA 로 보호되지 않는 지표 필터 및 경보 콘솔 로그인을 생성하는 것이 좋습니다. 단일 팩터콘솔 로그인을 모니터링하면 MFA로 보호되지 않는 계정에 대한 가시성이 높아집니다.


Important


Remediation









1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.2. 탐색 창에서 로그 그룹을 선택합니다.

474







3. 생성한 CloudTrail 추적과 연결된 CloudWatch 로그 로그 그룹에 대한 확인란을 선택합니다.4. From작업를 선택하고지표 필터 생성.5. USEPattern 정의에서 다음을 수행합니다.


{($.eventName="ConsoleLogin") && ($.additionalEventData.MFAUsed !="Yes")}

b. [Next]를 선택합니다.6. USE지표 할당에서 다음을 수행합니다.





7. Uder검토 및 생성에서 새 메트릭 필터에 대해 제공한 정보를 확인합니다. 그런 다음지표 필터 생성.8. 선택을 선택합니다.지표 필터탭을 선택한 다음 방금 생성한 지표 필터를 선택합니다.

지표 필터를 선택하려면 오른쪽 위에 있는 확인란을 선택합니다.9. [Create Alarm]을 선택합니다.10. Uder메트릭 및 조건 지정에서 다음을 수행합니다.

a. Uder지표에서 기본 값을 그대로 둡니다. 사용 가능한 통계에 대한 자세한 내용은 단원을 참조하십시오.통계의Amazon CloudWatch 사용 설명서.

b. Uder조건에 대한임계값를 선택하고고정.c. 용경보 조건 정의를 선택하고크게/같음.d. 용임계값을 정의합니다.를 입력합니다.1.e. [Next]를 선택합니다.

11. USE작업 구성에서 다음을 수행합니다.

a. USE경보 상태를 선택하고경보.b. [Select an SNS topic]에서 [Select an existing SNS topic]을 선택합니다.c. 용알림 전송 대상에 이전 절차에서 생성한 SNS 주제의 이름을 입력합니다.d. [Next]를 선택합니다.

12. Uder이름과 설명의 경우 를 입력합니다.이름및설명알람에 대한. 예: CIS-3.2-ConsoleSigninWithoutMFA. 그런 다음 [Next]를 선택합니다.


3.3 — “루트” 계정 사용에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.

심각도: 낮음



475



루트 로그인 시도에 대해 지표 필터 및 경보를 생성하는 것이 좋습니다. 루트 계정 로그인을 모니터링하면 모든 권한을 보유한 계정의 사용에 대한 가시성과 이러한 사용을 줄일 수 있는 기회를 얻을 수 있습니다.


Important


Remediation













a. In필터 이름에 지표 필터의 이름을 입력합니다.

476







b. 용지표 네임스페이스를 입력합니다.LogMetrics.










12. Uder이름과 설명의 경우 를 입력합니다.이름및설명알람에 대한. 예: RootAccountUsage. 그런 다음[Next]를 선택합니다.


3.4 — IAM 정책 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.

심각도: 낮음



IAM 정책 변경 사항에 대해 지표 필터 및 경보를 생성하는 것이 좋습니다. 이러한 변경 사항을 모니터링하면인증 및 권한 부여 제어가 영향을 받지 않게 하는 데 도움이 됩니다.


Important

CIS Security Hub 지원AWS기본 점검만 활성화하여 동일한 리전에 있고 동일한 계정에서 소유하고있는 리소스에 대한 기본 점검만 Security Hub.

477




예를 들어 미국 동부 (버지니아 북부) 리전에서 Security Hub 사용하도록 설정했지만 미국 서부 (캘리포니아 북부) 리전에서 CloudWatch 경보 또는 SNS 주제를 생성하는 경우 미국 동부 (버지니아북부) 리전에서 실행되는 보안 허브는 미국 서부 (캘리포니아 북부) 리전에서 CloudWatch 경보 또는 SNS 주제를 찾을 수 없습니다.그러면 검사 결과, 리소스를 찾을 수 없다는 경고가 반환됩니다. 리소스를 성공적으로 찾았지만 컨트롤의 CIS 요구 사항에 맞지 않을 때만 찾기 실패가 생성됩니다.

Remediation


경보는 이름으로 특정 API 작업을 확인합니다. 이러한 작업 중 하나는DeletePolicy. 경보는 IAM에서 호출이 실행되었는지 확인하지 않습니다. 이 때문에 Auto Scaling이 호출 할 때 경보가 트리거됩니다.DeletePolicy.






마지막으로 지표 필터 및 경보를 생성하려면




{($.eventName=DeleteGroupPolicy) || ($.eventName=DeleteRolePolicy) || ($.eventName=DeleteUserPolicy) || ($.eventName=PutGroupPolicy) || ($.eventName=PutRolePolicy) || ($.eventName=PutUserPolicy) || ($.eventName=CreatePolicy) || ($.eventName=DeletePolicy) || ($.eventName=CreatePolicyVersion) || ($.eventName=DeletePolicyVersion) || ($.eventName=AttachRolePolicy) || ($.eventName=DetachRolePolicy) || ($.eventName=AttachUserPolicy) || ($.eventName=DetachUserPolicy) || ($.eventName=AttachGroupPolicy) || ($.eventName=DetachGroupPolicy)}



478











a. Uder지표에 대한통계를 선택하고Average. 사용 가능한 통계에 대한 자세한 내용은 단원을 참조하십시오.통계의Amazon CloudWatch 사용 설명서.




12. Uder이름과 설명의 경우 를 입력합니다.이름및설명경보를 선택합니다. 예: CIS-3.4-IAMPolicyChanges. 그런 다음 [Next]를 선택합니다.


3.5 — CloudTrail 구성 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.

심각도: 낮음



CloudTrail 구성 설정 변경 사항에 대해 지표 필터 및 경보를 생성하는 것이 좋습니다. 이러한 변경 사항을 모니터링하면 계정 내 활동에 대해 지속적인 가시성을 확보하는 데 도움이 됩니다.


Important

CIS Security Hub 지원AWS기본 점검만 활성화하여 동일한 리전에 있고 동일한 계정에서 소유하고있는 리소스에 대한 기본 점검만 Security Hub.예를 들어 미국 동부 (버지니아 북부) 리전에서 Security Hub 사용하도록 설정했지만 미국 서부 (캘리포니아 북부) 리전에서 CloudWatch 경보 또는 SNS 주제를 생성하는 경우 미국 동부 (버지니아

479




북부) 리전에서 실행되는 보안 허브는 미국 서부 (캘리포니아 북부) 리전에서 CloudWatch 경보 또는 SNS 주제를 찾을 수 없습니다.그러면 검사 결과, 리소스를 찾을 수 없다는 경고가 반환됩니다. 리소스를 성공적으로 찾았지만 컨트롤의 CIS 요구 사항에 맞지 않을 때만 찾기 실패가 생성됩니다.

Remediation











{($.eventName=CreateTrail) || ($.eventName=UpdateTrail) || ($.eventName=DeleteTrail) || ($.eventName=StartLogging) || ($.eventName=StopLogging)}







480











12. Uder이름과 설명의 경우 를 입력합니다.이름및설명알람에 대한. 예: CIS-3.5-CloudTrailChanges.그런 다음 [Next]를 선택합니다.


3.6 — 에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.AWSManagement Console인증 실패

심각도: 낮음


CloudTrail 로그를 로 지정하고 해당 지표 필터 및 경보를 설정하면 API 호출을 실시간 모니터링할 수 있습니다.

실패한 콘솔 인증 시도에 대해 지표 필터 및 경보를 생성하는 것이 좋습니다. 실패한 콘솔 로그인을 모니터링하면 자격 증명에 대한 Brute-Force 공격 시도를 감지하는 데 걸리는 리드 타임이 줄어 다른 이벤트 상관관계에서 사용할 수 있는 지표(예: 소스 IP)를 얻을 수 있습니다.


Important

CIS Security Hub 지원AWS기본 점검만 활성화하여 동일한 리전에 있고 동일한 계정에서 소유하고있는 리소스에 대한 기본 점검만 Security Hub.예를 들어 미국 동부 (버지니아 북부) 리전에서 Security Hub 사용하도록 설정했지만 미국 서부 (캘리포니아 북부) 리전에서 CloudWatch 경보 또는 SNS 주제를 생성하는 경우 미국 동부 (버지니아북부) 리전에서 실행되는 보안 허브는 미국 서부 (캘리포니아 북부) 리전에서 CloudWatch 경보 또는 SNS 주제를 찾을 수 없습니다.그러면 검사 결과, 리소스를 찾을 수 없다는 경고가 반환됩니다. 리소스를 성공적으로 찾았지만 컨트롤의 CIS 요구 사항에 맞지 않을 때만 찾기 실패가 생성됩니다.

Remediation


481













{($.eventName=ConsoleLogin) && ($.errorMessage="Failed authentication")}









b. Uder조건에 대한임계값를 선택하고고정.c. 용경보 조건 정의를 선택하고크게/같음.d. 용임계값을 정의합니다.를 입력합니다.1.

482







e. [Next]를 선택합니다.11. Uder작업 구성에서 다음을 수행합니다.


12. Uder이름과 설명의 경우 를 입력합니다.이름및설명경보를 선택합니다. 예: CIS-3.6-ConsoleAuthenticationFailure. 그런 다음 [Next]를 선택합니다.


3.7 — 고객이 만든 CMK 삭제 또는 예약된 삭제에 대해 로그 지표 필터 및 경보가존재하는지 여부를 확인합니다.

심각도: 낮음



상태가 비활성화 또는 예약된 삭제로 변경된 고객 생성 CMK에 대해서는 지표 필터 및 경보를 생성하는 것이좋습니다. 비활성화되거나 삭제된 키로 암호화된 데이터는 더 이상 액세스할 수 없습니다.


Important


Remediation






483











{($.eventSource=kms.amazonaws.com) && (($.eventName=DisableKey) || ($.eventName=ScheduleKeyDeletion))}












12. Uder이름과 설명의 경우 를 입력합니다.이름및설명경보를 선택합니다. 예: CIS-3.7-DisableOrDeleteCMK. 그런 다음 [Next]를 선택합니다.


484




3.8 — S3 버킷 정책 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를확인합니다.

심각도: 낮음



S3 버킷 정책 변경 사항에 대해 지표 필터 및 경보를 생성하는 것이 좋습니다. 이러한 변경 사항을 모니터링하면 민감한 S3 버킷에 관한 허용적인 정책을 감지하고 교정하는 데 걸리는 시간을 줄일 수 있습니다.


Important


Remediation










485








{($.eventSource=s3.amazonaws.com) && (($.eventName=PutBucketAcl) || ($.eventName=PutBucketPolicy) || ($.eventName=PutBucketCors) || ($.eventName=PutBucketLifecycle) || ($.eventName=PutBucketReplication) || ($.eventName=DeleteBucketPolicy) || ($.eventName=DeleteBucketCors) || ($.eventName=DeleteBucketLifecycle) || ($.eventName=DeleteBucketReplication))}












12. Uder이름과 설명의 경우 를 입력합니다.이름및설명알람에 대한. 예: CIS-3.8-S3BucketPolicyChanges. 그런 다음 [Next]를 선택합니다.


3.9 — 에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.AWSConfig구성 변경

심각도: 낮음



486



Security Hub 에서는 지표 필터 및 경보를 생성하는 것이 좋습니다.AWS Config구성 설정입니다. 이러한 변경 사항을 모니터링하면 계정 내 구성 항목에 대해 지속적인 가시성을 확보하는 데 도움이 됩니다.


Important


Remediation











{($.eventSource=config.amazonaws.com) && (($.eventName=StopConfigurationRecorder) || ($.eventName=DeleteDeliveryChannel) || ($.eventName=PutDeliveryChannel) || ($.eventName=PutConfigurationRecorder))}


a. In필터 이름에 지표 필터의 이름을 입력합니다.

487







b. 용지표 네임스페이스를 입력합니다.LogMetrics.










12. Uder이름과 설명의 경우 를 입력합니다.이름및설명알람에 대한. 예: CIS-3.9-AWSConfigChanges.그런 다음 [Next]를 선택합니다.


3.10 — 보안 그룹 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를확인합니다.심각도: 낮음


CloudTrail 로그를 로 지정하고 해당 지표 필터 및 경보를 설정하면 API 호출을 실시간 모니터링할 수 있습니다. 보안 그룹은 VPC에서 수신 및 발신 트래픽을 제어하는 상태 저장 패킷 필터입니다.

Security Hub 보안 그룹 변경 사항에 대해 지표 필터 및 경보를 생성하는 것이 좋습니다. 이러한 변경 사항을모니터링하면 리소스 및 서비스가 의도치 않게 노출되는 일을 방지하는 데 도움이 됩니다.

이 점검을 실행하기 위해 Security Hub 는 사용자 지정 로직을 사용하여 제어 3.10에 대해 규정된 정확한 감사 단계를 수행합니다.CISAWS기초 벤치마크 v1.2. CIS에 의해 규정된 정확한 지표 필터를 사용하지 않으면이 제어가 실패합니다. 지표 필터에 추가 필드 또는 용어를 추가할 수 없습니다.

Important

CIS Security Hub 지원AWS기본 점검만 활성화하여 동일한 리전에 있고 동일한 계정에서 소유하고있는 리소스에 대한 기본 점검만 Security Hub.예를 들어 미국 동부 (버지니아 북부) 리전에서 Security Hub 사용하도록 설정했지만 미국 서부 (캘리포니아 북부) 리전에서 CloudWatch 경보 또는 SNS 주제를 생성하는 경우 미국 동부 (버지니아

488




북부) 리전에서 실행되는 보안 허브는 미국 서부 (캘리포니아 북부) 리전에서 CloudWatch 경보 또는 SNS 주제를 찾을 수 없습니다.그러면 검사 결과, 리소스를 찾을 수 없다는 경고가 반환됩니다. 리소스를 성공적으로 찾았지만 컨트롤의 CIS 요구 사항에 맞지 않을 때만 찾기 실패가 생성됩니다.

Remediation











{($.eventName=AuthorizeSecurityGroupIngress) || ($.eventName=AuthorizeSecurityGroupEgress) || ($.eventName=RevokeSecurityGroupIngress) || ($.eventName=RevokeSecurityGroupEgress) || ($.eventName=CreateSecurityGroup) || ($.eventName=DeleteSecurityGroup)}






7. Uder검토 및 생성에서 새 메트릭 필터에 대해 제공한 정보를 확인합니다. 그런 다음지표 필터 생성.

489






8. 선택을 선택합니다.지표 필터탭을 선택한 다음 방금 생성한 지표 필터를 선택합니다.






12. Uder이름과 설명의 경우 를 입력합니다.이름및설명알람에 대한. 예: CIS-3.10-SecurityGroupChanges. 그런 다음 [Next]를 선택합니다.


3.11 — NACL (네트워크 액세스 제어 목록) 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 확인합니다.

심각도: 낮음


CloudTrail 로그를 로 지정하고 해당 지표 필터 및 경보를 설정하면 API 호출을 실시간 모니터링할 수 있습니다. NACL은 VPC에서 서브넷에 대한 수신 및 발신 트래픽을 제어하기 위한 상태 비저장 패킷 필터로 사용됩니다.

Security Hub 에서는 지표 필터 및 NACL 변경 사항에 대해 경보를 생성하는 것이 좋습니다. 이러한 변경 사항을 모니터링하면 AWS 리소스 및 서비스가 의도치 않게 노출되는 일을 방지하는 데 도움이 됩니다.


Important


Remediation


490













{($.eventName=CreateNetworkAcl) || ($.eventName=CreateNetworkAclEntry) || ($.eventName=DeleteNetworkAcl) || ($.eventName=DeleteNetworkAclEntry) || ($.eventName=ReplaceNetworkAclEntry) || ($.eventName=ReplaceNetworkAclAssociation)}









b. Uder조건에 대한임계값를 선택하고고정.c. 용경보 조건 정의를 선택하고크게/같음.

491







d. 용임계값을 정의합니다.를 입력합니다.1.e. [Next]를 선택합니다.



12. Uder이름과 설명의 경우 를 입력합니다.이름및설명경보를 선택합니다. 예: CIS-3.11-NetworkACLChanges. 그런 다음 [Next]를 선택합니다.


3.12 — 네트워크 게이트웨이 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.심각도: 낮음


CloudTrail 로그를 로 지정하고 해당 지표 필터 및 경보를 설정하면 API 호출을 실시간 모니터링할 수 있습니다. 네트워크 게이트웨이는 VPC 밖에 있는 대상에(서) 트래픽을 송수신하는 데 필요합니다.

네트워크 게이트웨이 변경 사항에 대해 지표 필터 및 경보를 생성하는 것이 좋습니다. 이러한 변경 사항을 모니터링하면 모든 수신 및 발신 트래픽이 제어된 경로를 통해 VPC 경계를 통과하게 하는 데 도움이 됩니다.


Important


Remediation






492











{($.eventName=CreateCustomerGateway) || ($.eventName=DeleteCustomerGateway) || ($.eventName=AttachInternetGateway) || ($.eventName=CreateInternetGateway) || ($.eventName=DeleteInternetGateway) || ($.eventName=DetachInternetGateway)}












12. Uder이름과 설명의 경우 를 입력합니다.이름및설명알람에 대한. 예: CIS-3.12-NetworkGatewayChanges. 그런 다음 [Next]를 선택합니다.


493




3.13 — 라우팅 테이블 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.

심각도: 낮음


CloudTrail 로그를 로 지정하고 해당 지표 필터 및 경보를 설정하면 API 호출을 실시간 모니터링할 수 있습니다. 라우팅 테이블을 통해 네트워크 트래픽이 서브넷 간에, 그리고 네트워크 게이트웨이로 라우팅됩니다.

라우팅 테이블 변경 사항에 대해 지표 필터 및 경보를 생성하는 것이 좋습니다. 이러한 변경 사항을 모니터링하면 모든 VPC 트래픽이 예상 경로를 따라 흐르게 하는 데 도움이 됩니다.


Important


Remediation










494








{($.eventName=CreateRoute) || ($.eventName=CreateRouteTable) || ($.eventName=ReplaceRoute) || ($.eventName=ReplaceRouteTableAssociation) || ($.eventName=DeleteRouteTable) || ($.eventName=DeleteRoute) || ($.eventName=DisassociateRouteTable)}












12. Uder이름과 설명의 경우 를 입력합니다.이름및설명알람에 대한. 예: CIS-3.13-RouteTableChanges. 그런 다음 [Next]를 선택합니다.


3.14 — VPC 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.

심각도: 낮음


CloudTrail 로그를 로 지정하고 해당 지표 필터 및 경보를 설정하면 API 호출을 실시간 모니터링할 수 있습니다. 계정에 VPC가 한 개 이상 있을 수 있으므로 VPC 두 개 사이에 피어 연결을 생성하여 네트워크 트래픽이VPC 간에 라우팅되게 할 수 있습니다.

495



Security Hub 는 VPC 변경 사항에 대해 지표 필터 및 경보를 생성하는 것이 좋습니다. 이러한 변경 사항을 모니터링하면 인증 및 권한 부여 제어가 영향을 받지 않게 하는 데 도움이 됩니다.


Important


Remediation











{($.eventName=CreateVpc) || ($.eventName=DeleteVpc) || ($.eventName=ModifyVpcAttribute) || ($.eventName=AcceptVpcPeeringConnection) || ($.eventName=CreateVpcPeeringConnection) || ($.eventName=DeleteVpcPeeringConnection) || ($.eventName=RejectVpcPeeringConnection) || ($.eventName=AttachClassicLinkVpc) || ($.eventName=DetachClassicLinkVpc) || ($.eventName=DisableVpcClassicLink) || ($.eventName=EnableVpcClassicLink)}

496












7. UR검토 및 생성에서 새 메트릭 필터에 대해 제공한 정보를 확인합니다. 그런 다음지표 필터 생성.8. 선택을 선택합니다.지표 필터탭을 선택한 다음 방금 생성한 지표 필터를 선택합니다.

지표 필터를 선택하려면 오른쪽 상단에 있는 확인란을 선택합니다.9. [Create Alarm]을 선택합니다.10. UR메트릭 및 조건 지정에서 다음을 수행합니다.

a. UR지표에 대한통계를 선택하고Average. 사용 가능한 통계에 대한 자세한 내용은 단원을 참조하십시오.통계의Amazon CloudWatch 사용 설명서.

b. UR조건에 대한임계값를 선택하고고정.c. 용경보 조건 정의를 선택하고크게/같음.d. 용임계값을 정의합니다.를 입력합니다.1.e. [Next]를 선택합니다.

11. UR작업 구성에서 다음을 수행합니다.

a. UR경보 상태를 선택하고경보 상태.b. [Select an SNS topic]에서 [Select an existing SNS topic]을 선택합니다.c. 용알림 전송 대상에 이전 절차에서 생성한 SNS 주제의 이름을 입력합니다.d. [Next]를 선택합니다.

12. UR이름과 설명의 경우 를 입력합니다.이름및설명알람에 대한. 예: CIS-3.14-VPCChanges. 그런 다음[Next]를 선택합니다.

13. UR미리 보기 및 만들기에서 경보 구성을 검토합니다. 그런 다음 경보 생성을 선택합니다.

4.1 — 0.0.0.0/0에서 포트 22로의 수신을 허용하는 보안 그룹이 없는지 여부를 확인합니다.

심각도: 높음

AWS Config 규칙: restricted-ssh

보안 그룹을 통해 AWS 리소스에 대한 수신 및 발신 네트워크 트래픽을 상태 저장 필터링할 수 있습니다.

어떤 Security Hub 그룹에서도 포트 22에 대한 무제한 수신 액세스를 허용하지 않는 것이 좋습니다. SSH와같은 원격 콘솔 서비스에 대한 불가항력적인 연결성을 제거하면 서버가 위험에 노출될 가능성이 줄어듭니다.

Note


• 아프리카(케이프타운)• 아시아 태평양(오사카)

497


https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html


• 유럽(밀라노)

Remediation

VPC에 연결된 각 보안 그룹에 대해 다음 절차를 수행하십시오.

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 왼쪽 창에서 보안 그룹을 선택합니다.3. 보안 그룹을 선택합니다.4. 페이지 하단에서 인바운드 규칙 탭을 선택합니다.5. 규칙 편집을 선택합니다.6. 포트 22를 통한 액세스를 허용하는 규칙을 식별한 후 X를 선택하여 이 규칙을 제거합니다.7. 규칙 저장을 선택합니다.

4.2 — 0.0.0.0/0에서 포트 3389로의 수신을 허용하지 않는지 여부를 확인합니다.

심각도: 높음

AWS Config 규칙: restricted-common-ports

연관된 의 이름입니다.AWS Config관리형 규칙은 restricted-common-ports. 그러나 만든 규칙 이름을사용 하 여restricted-rdp.

보안 그룹을 통해 AWS 리소스에 대한 수신 및 발신 네트워크 트래픽을 상태 저장 필터링할 수 있습니다.

어떤 Security Hub 그룹에서도 포트 3389에 대한 무제한 수신 액세스를 허용하지 않는 것이 좋습니다. RDP와 같은 원격 콘솔 서비스에 대한 불가항력적인 연결성을 제거하면 서버가 위험에 노출될 가능성이 줄어듭니다.

Note



Remediation


1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 왼쪽 창에서 보안 그룹을 선택합니다.3. 보안 그룹을 선택합니다.4. 페이지 하단에서 인바운드 규칙 탭을 선택합니다.5. 규칙 편집을 선택합니다.6. 포트 3389를 통한 액세스를 허용하는 규칙을 식별한 후 X를 선택하여 이 규칙을 제거합니다.7. 규칙 저장을 선택합니다.

4.3 — 모든 VPC 기본 보안 그룹이 모든 트래픽을 제한하는지 여부를 확인합니다.

심각도: 높음

498


https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html



AWS Config 규칙: vpc-default-security-group-closed

VPC에는 기본 보안 그룹이 있으며, 이 보안 그룹의 초기 설정은 인바운드 트래픽을 모두 거부하고, 아웃바운드 트래픽을 모두 허용하며, 보안 그룹에 지정된 인스턴스 간의 모든 트래픽을 허용합니다. 인스턴스를 시작할 때 다른 보안 그룹을 지정하지 않으면 인스턴스가 이 보안 그룹에 자동으로 지정됩니다. 보안 그룹을 통해AWS 리소스에 대한 수신 및 발신 네트워크 트래픽을 상태 저장 필터링할 수 있습니다.

Security Hub 는 기본 보안 그룹에서 모든 트래픽을 제한하는 것이 좋습니다.

모든 리전의 기본 VPC가 준수할 기본 보안 그룹을 업데이트합니다. 모든 새 VPC에는 이 권장 사항을 준수하기 위해 문제를 해결하는 데 필요한 기본 보안 그룹이 자동으로 포함됩니다.

Note

이 권장 사항을 실행할 때 the section called “2.9 — 모든 VPC에서 VPC 플로우 로깅이 활성화되어있는지 여부를 확인합니다.” (p. 471)에 대해 활성화된 VPC 플로우 로깅을 사용해 시스템이 제대로 작동하는 데 필요한 최소 권한 포트 액세스가 무엇인지 확인할 수 있습니다. 왜냐하면 이 액세스권한을 통해 현재 보안 그룹에서 발생하는 모든 패킷 수락 및 거부를 로깅할 수 있기 때문입니다.

모든 VPC 기본 보안 그룹에서 모든 트래픽을 제한하도록 구성하면 최소 권한 보안 그룹을 개발하고 AWS 리소스를 보안 그룹으로 적절하게 배치하는 데 도움이 됩니다. 이를 통해 이러한 리소스의 노출을 줄일 수 있습니다.

Remediation

기본 보안 그룹에서 모든 액세스를 제한하도록 업데이트하려면

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 기본 보안 그룹 세부 정보를 통해 이 그룹에 지정된 리소스가 어떤 것인지 확인합니다.3. 해당 리소스에 최소 권한 보안 그룹 집합을 생성합니다.4. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.5. Amazon EC2 콘솔에서 기본 보안 그룹을 사용하는 리소스의 보안 그룹을 생성한 최소 권한 보안 그룹으

로 변경합니다.6. 각 기본 보안 그룹의 경우, 인바운드 탭을 선택하여 모든 인바운드 규칙을 삭제합니다.7. 각 기본 보안 그룹의 경우, 아웃바운드 탭을 선택하여 모든 아웃바운드 규칙을 삭제합니다.

자세한 내용은 단원을 참조하십시오.보안 그룹 작업의Amazon VPC User Guide.

CISAWS비활성화할 수 있는 기초 벤치마크 컨트롤CIS를 위한AWS기초 벤치마크 표준의 경우 아래와 같은 특정 컨트롤을 비활성화해도 좋습니다. 이러한 컨트롤은 특정 계정 또는 리전에만 존재하는 리소스와 관련되어 있으므로 비활성화할 수 있습니다. 그런 다음 관련 리소스를 찾을 수 없는 경우 해당 컨트롤이 WARNING 상태를 생성합니다.

CISAWS기반 벤치마크 2.7 제어

이 컨트롤은AWS KMS를 사용하여 CloudTrail 추적 로그를 암호화합니다. 이러한 추적을 중앙 로깅 계정에 기록하는 경우 중앙 로깅이 이루어지는 계정과 리전에서만 이 컨트롤을 실행해야 합니다.

CISAWSFoundations 벤치마크 1.2-1.14, 1.16, 1.20, 1.22 및 2.5 컨트롤

AWS Config 비용을 절약하기 위해 한 리전을 제외한 모든 리전에서 글로벌 리소스 기록을 비활성화한다음 글로벌 기록을 실행하는 리전을 제외한 모든 리전에서 글로벌 리소스를 처리하는 이러한 제어를 비활성화할 수 있습니다.

이러한 1.x 컨트롤을 비활성화하고 특정 리전의 글로벌 리소스 기록을 비활성화하는 경우 2.5도 비활성화해야 합니다. 2.5가 통과하기 위해서는 글로벌 리소스를 기록해야 하기 때문입니다.

499

https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html


https://console.aws.amazon.com/ec2/

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups

AWS Security Hub 사용 설명서PCI DSS(지불 카드 산업 데이터 보안 표준)

CISAWS기초 벤치마크 1.1 및 3.x 컨트롤

이러한 제어 요구 사항에 맞는 중앙 집중식 계정에 SNS 주제가 있는 경우 해당 중앙 집중식 계정을 제외한 모든 계정에서 이러한 제어를 비활성화할 수 있습니다.

다중 리전 또는 조직 CloudTrail 추적의 경우 로그 그룹에서 CloudWatch 로그를 수신하는 경우를 제외하고 모든 계정 및 리전에서 이러한 컨트롤과 2.4를 비활성화할 수 있습니다.

CISAWS기초 보안 허브에서 지원되지 않는 보안 점검다음 규칙은 다음과 같습니다.하지CIS에서 지원되는AWS그들은 자동화 된 방법으로 평가할 수 없기 때문에기초 Security Hub 벤치마크 표준. Security Hub 자동화된 보안 검사에 중점을 둡니다.

• 1.15 — 보안 관련 질문이AWSaccount• 1.17 — 현재 연락처 세부 정보 유지• 1.18 — 보안 연락처 정보가 등록되는지 여부를 확인합니다.• 1.19 — IAM 인스턴스 역할이 다음에 대해 사용되는지 여부를 확인합니다.AWS인스턴스에서 리소스 액세

스• 1.21 — 콘솔 암호가 있는 모든 IAM 사용자에 대해 초기 사용자 설정 중 액세스 키를 설정해서는 안 됨• 4.4 — VPC 피어링에 대한 라우팅 테이블이 “최소 액세스 권한”인지 여부를 확인합니다.

PCI DSS(지불 카드 산업 데이터 보안 표준)보안 Security Hub 브의 지불 카드 산업 데이터 보안 표준 (PCI DSS) 표준은AWS보안 모범 사례 제어. 각컨트롤은 특정 AWS 리소스에 적용되며 하나 이상의 PCI DSS 버전 3.2.1 요구 사항과 관련이 있습니다.PCI DSS 요구 사항은 여러 컨트롤과 관련될 수 있습니다. 각 PCI DSS 컨트롤의 세부 정보 페이지에는 해당 컨트롤과 관련된 특정 PCI DSS 요구 사항이 나와 있습니다. the section called “표준에 대한 세부 정보 보기” (p. 444)을(를) 참조하세요.

Security Hub 브의 PCI DSS 규정 준수 표준은 지속적인 PCI DSS 보안 활동에 도움이 되도록 설계되었습니다. 이 컨트롤은 시스템이 PCI DSS 표준을 준수하는지 여부를 확인할 수 없습니다. 내부 작업을 대체하거나PCI DSS 평가를 통과하도록 보장할 수 없습니다. Security Hub는 수동 증거 수집이 필요한 절차 제어를 확인하지 않습니다.

Security Hub 는 현재 계정 수준에서 컨트롤의 범위를 지정합니다. 카드 소지자 데이터를 저장, 처리 및/또는전송하는 리소스가 있는 모든 계정에서 이러한 컨트롤을 활성화하는 것이 좋습니다.

이 표준에 의해 검증 된AWS보안 보증 서비스 LLC (AWSSAS) 는 PCI DSS 보안 표준 위원회 (PCI SSC) 에서 PCI DSS 지침 및 평가를 제공하도록 인증된 QSA (공인 보안 평가자) 팀입니다.AWS SAS는 고객이 PCIDSS 평가를 준비하는 데 자동화된 검사가 도움이 될 수 있음을 확인했습니다.

목차• PCI DSS 제어에 필요한 AWS Config 리소스 (p. 500)• PCI DSS 제어 (p. 501)• 비활성화할 수 있는 PCI DSS 컨트롤 (p. 554)

PCI DSS 제어에 필요한 AWS Config 리소스AWS Security Hub가 모든 PCI DSS 컨트롤의 결과를 정확하게 보고하려면 AWS Config에서 다음 리소스를활성화해야 합니다.

• Amazon ES 도메인• Auto Scaling 그룹

500


• CloudTrail 추적• CodeBuild 프로젝트• Amazon EC2 엘라스틱 IP 주소• Amazon EC2 보안 그룹• Amazon EC2 볼륨• IAM 사용자• AWS KMS 키• IAM 정책• Lambda 함수• Amazon RDS DB 인스턴스• Amazon RDS 스냅샷• Amazon Redshift 클러스터• S3 버킷• Systems Manager 패치 규정 준수

PCI DSS 제어보안 허브의 PCI DSS 보안 표준은 다음 컨트롤을 지원합니다. 각 컨트롤의 정보에는 심각도, 리소스 유형,AWS Config 규칙 및 문제 해결 단계가 포함됩니다.

[PCI.AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 상태 확인을 사용해야 합니다.심각도: 낮음

리소스: Auto Scaling 그룹

AWS Config 규칙: autoscaling-group-elb-healthcheck-required

파라미터: 없음

이 컨트롤은 로드 밸런서와 연결된 그룹이 Elastic Load Balancing 상태 확인을 사용하는지 여부를 확인합니다.

PCI DSS에는 로드 밸런싱 또는 고가용성 구성이 필요하지 않습니다. 그러나 이 검사는 AWS 모범 사례를 준수합니다.

관련 PCI DSS 요구 사항

이 컨트롤은 다음 PCI DSS 요구 사항과 관련이 있습니다.

PCI 디에스 2.2: 모든 시스템 구성 요소에 대한 구성 표준을 개발합니다. 이러한 표준은 알려진 모든 보안 취약성을 해결하고 업계에서 허용되는 시스템 보안 강화 표준과 일치해야 합니다.

로드 밸런싱을 사용하여 시스템을 복제하는 것은 고가용성을 제공하고 DDoS 이벤트의 영향을 완화하기 위한 수단입니다.

이는 시스템 보안 강화 구성을 구현하는 데 사용되는 한 가지 방법입니다.

Remediation

Elastic Load Balancing 상태 확인을 활성화하려면

1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.

501

https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html



2. 탐색 창의 Auto Scaling에서 Auto Scaling 그룹을 선택합니다.3. 목록에서 그룹을 선택하려면 오른쪽 상자를 선택합니다.4. 작업에서 편집을 선택합니다.5. 상태 확인 유형에서 ELB를 선택합니다.6. [Health Check Grace Period]에 300을 입력합니다.7. Save를 선택합니다.

Auto Scaling 그룹과 함께 로드 밸런서 사용에 대한 자세한 내용은 를 참조하십시오.Amazon EC2 AutoScaling 사용 설명서.

[PCI.Cloudtrail.1] CloudTrail 로그는 유휴 시 암호화해야 합니다.AWS KMSCMK

심각도: Medium

리소스: CloudTrail 추적



이 컨트롤은 AWS CloudTrail이 SSE(서버 측 암호화) AWS KMS 고객 마스터 키(CMK) 암호화를 사용하도록구성되어 있는지 확인합니다.

기본 암호화 옵션만 사용하는 경우, 이 검사를 비활성화하도록 선택할 수 있습니다.



PCI DSS 3.4: PAN (기본 계정 번호) 이 저장된 곳 (휴대용 디지털 미디어, 백업 미디어 및 로그 포함) 에서PAN을 읽을 수 없게 만듭니다.

를 사용하는 경우AWS서비스를 사용해 PAN을 처리하고 저장하는 경우 CloudTrail 로그는 유휴 시 암호화해야 합니다. 로그를 암호화하여 로그가 PAN을 캡처하는 경우 PAN이 보호되도록 합니다.

기본적으로 CloudTrail 이 S3 버킷에 제공하는 로그 파일은 Amazon S3가 관리하는 암호화 키 (SSE-S3)를 사용하는 서버 측 암호화로 암호화됩니다. 단원을 참조하십시오.Amazon Simple Storage Service 개발자 안내서.

CloudTrail 로그를 구성하여AWS KMSCloudTrail 로그 보호를 강화하기 위해 고객 생성 마스터 키(CMK)

이는 PAN을 읽을 수 없도록 하는 데 사용되는 방법입니다.

Remediation


1. https://console.aws.amazon.com/cloudwatch/에서 CloudTrail 콘솔을 엽니다.2. Trails(추적)를 선택합니다.3. 업데이트할 추적을 선택합니다.4. UR일반 세부 정보를 선택하고Edit.5. 용로그 파일 SSE-KMS 암호화를 선택하고활성화됨.6. URAWS KMS고객 관리형 CMK에서 다음 중 하나를 수행합니다.

502

https://docs.aws.amazon.com/autoscaling/ec2/userguide/autoscaling-load-balancer.html



https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html




• 키를 만들려면New. 그런 다음AWS KMS별칭에 키의 별칭을 입력합니다. 키는 S3 버킷과 동일한 리전에서 생성됩니다.

• 기존 키를 사용하려면 []] 를 선택합니다.Exi을 선택한 후AWS KMS별칭에서 키를 선택합니다.

AWS KMS 키와 S3 버킷이 동일한 리전에 있어야 합니다.7. [Save changes]를 선택합니다.

CloudTrail 에 대한 정책을 수정해야 CMK와 성공적으로 상호 작용할 수 있는 경우가 있을 수 있습니다.CloudTrail 로그 파일을 암호화하는 방법에 대한 자세한 내용은AWS KMS관리되는 키 (SSE-KMS) 에 대한자세한 내용은 단원을 참조하십시오.AWS CloudTrail사용 설명서.

[PCI.CloudTrail.2] CloudTrail 을 활성화해야 합니다.

심각도: 높음

리소스: 계정

AWS Config 규칙: cloudtrail-enabled


이 컨트롤은 CloudTrail 이 활성화되어 있는지 여부를 확인합니다.AWS계정.

그러나 일부 API 및 이벤트의 로깅을 활성화하지 않는 AWS 서비스도 있습니다. CloudTrail 이외의 추가 감사추적을 구현하고CloudTrail 지원 서비스 및 통합.



PCI 디에스 10.1: 감사 추적을 구현하여 시스템 구성 요소에 대한 모든 액세스를 각 개별 사용자에게 연결합니다.

CloudTrail 을 활성화하면 이벤트 기록은 각 개별 사용자의 시스템 구성 요소 액세스에 대한 90일 동안즉시 사용할 수 있는 이벤트 및 감사 추적을 제공합니다.

에서 사용자의 자격 증명을 찾을 수 있습니다.eventSource섹션에서 확인할 CloudTrail.PCI 디에스 10.2.1: 모든 시스템 구성 요소에 대해 자동 감사 추적을 구현하여 “다시 구성합니다. 카드 소지자데이터에 대한 모든 개별 사용자 액세스

카드 소지자 데이터가 저장되는 위치에 따라 카드 소지자 데이터에 대한 개별 사용자 액세스는userIdentity,eventSource,eventName또는responseElements섹션을 CloudTrail.

PCI 디에스: 모든 시스템 구성 요소에 대해 자동 감사 추적을 구현하여 “재구성합니다. 루트 또는 관리 권한을 가진 개인이 수행한 모든 작업

루트 사용자 식별은 로그의 userIdentity 섹션에서 찾을 수 있습니다.PCI 시스템: 모든 시스템 구성 요소에 대해 자동 감사 추적을 구현하여 “재구성합니다. 모든 감사 추적에 액세스

감사 추적에 대한 액세스는 로그의 eventSource, eventName 또는 responseElements 섹션에서 찾을 수 있습니다.

PCI 시스템: 모든 시스템 구성 요소에 대해 자동 감사 추적을 구현하여 “다시 구성합니다. 잘못된 논리적 액세스 시도

CloudTrail 로그에서 잘못된 논리적 액세스 시도를 찾을 수 있습니다. 예를 들면responseElements : "ConsoleLogin" 및 responseElements : "Failure" 등입니다.

503


https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html


PCI 디에스 10.2.5: 모든 시스템 구성 요소에 대해 자동 감사 추적을 구현하여 “다시 구성합니다. 식별 및 인증 메커니즘의 사용 및 변경 (새 계정 생성 및 권한 상승 포함), 루트 또는 관리 권한이 있는 계정 변경, 추가또는 삭제) 을 사용할 수 있습니다.

식별 및 인증 메커니즘의 사용 및 변경은 로그의 userAgent, eventName 또는 responseElements섹션에서 찾을 수 있습니다.

PCI 시스템: 모든 시스템 구성 요소에 대해 자동 감사 추적을 구현하여 “다시 구성합니다. 감사 로그 초기화,중지 또는 일시 중지

로깅 시작 및 중지는 CloudTrail 로그에 캡처됩니다.

감사 로그 시작 및 중지의 예는 CloudTrail 로그 내에서 eventName : "StopLogging" 및eventName : "StartLogging"와 같습니다.

PCI 시스템: 모든 시스템 구성 요소에 대해 자동 감사 추적을 구현하여 “재구성합니다. 시스템 레벨 객체 생성 및 삭제

시스템 수준 객체의 생성 및 삭제는 CloudTrail 로그에 캡처됩니다. 시스템 수준 객체의 예는 AWSLambda 함수입니다.

CloudTrail 캡처createFunction및deleteFunctionAPI 호출에 설명된 대로AWS Lambda개발자 안내서.

PCI 디에스 10.3.1: 이벤트마다 모든 시스템 구성 요소에 대해 적어도 “이벤트마다” 감사 추적 항목을 기록합니다. 사용자 식별

에서 사용자 식별을 찾을 수 있습니다.userIdentity섹션을 CloudTrail.PCI 디에스 10.3.2: 이벤트마다 모든 시스템 구성 요소에 대해 적어도 “이벤트마다” 감사 추적 항목을 기록합니다. 이벤트 유형

에서 이벤트의 유형을 찾을 수 있습니다.eventName섹션에서 확인할 CloudTrail.PCI 디에스 10.3.3: 이벤트마다 모든 시스템 구성 요소에 대해 적어도 “이벤트마다” 감사 추적 항목을 기록합니다. 날짜 및 시간

이벤트 날짜 및 시간은eventTime섹션에서 확인할 CloudTrail.PCI 디에스 10.3.4: 이벤트마다 모든 시스템 구성 요소에 대해 적어도 “이벤트마다” 감사 추적 항목을 기록합니다. 성공 또는 실패 표시

성공 또는 실패 표시는responseElements섹션에서 확인할 CloudTrail.PCI 디에스 10.3.5: 이벤트마다 모든 시스템 구성 요소에 대해 적어도 “이벤트마다” 감사 추적 항목을 기록합니다. 이벤트 발신

이벤트의 기원을 찾을 수 있습니다.userAgent또는sourceIPAddress섹션에서 확인할 CloudTrail.PCI 디에스 10.3.6: 이벤트마다 모든 시스템 구성 요소에 대해 적어도 “이벤트마다” 감사 추적 항목을 기록합니다. 영향을 받는 데이터, 시스템 구성 요소 또는 리소스의 ID 또는 이름입니다.

리소스의 ID는eventSource섹션에서 확인할 CloudTrail.

Remediation

CloudTrail에서 새 추적을 생성하려면

1. 에 로그인합니다.AWS Management ConsoleCloudTrail 관리를 위해 구성한 IAM 사용자를 사용하여2. https://console.aws.amazon.com/cloudwatch/에서 CloudTrail 콘솔을 엽니다.3. 리전 선택기에서 추적을 생성할 AWS 리전을 선택합니다. 이 리전은 추적에 대한 홈 리전입니다.

홈 리전은 추적이 모든 AWS 리전에서 이벤트를 로깅하더라도 추적을 생성한 후 추적을 보고 업데이트할 수 있는 유일한 AWS 리전입니다.

4. 탐색 창에서 [Trails]를 선택합니다.

504

https://docs.aws.amazon.com/lambda/latest/dg/logging-using-cloudtrail.html

https://docs.aws.amazon.com/lambda/latest/dg/logging-using-cloudtrail.html



5. 추적 페이지에서 Get Started Now(지금 시작하기)를 선택합니다. 해당 옵션이 보이지 않으면 CreateTrail(추적 생성)을 선택합니다.

6. 트레일 이름에서 트레일 이름을 지정합니다(예: My-Management-Events-Trail).

모범 사례로 추적 목적을 빠르게 식별할 수 있는 이름을 사용합니다. 이 경우에는 관리 이벤트를 로깅하는 추적을 생성합니다.

7. Management Events(관리 이벤트)에서 Read/Write events(이벤트 읽기/쓰기)가 All(모두)로 설정되어 있는지 확인합니다.

8. Data Events(데이터 이벤트)에서 아무것도 변경하지 마십시오. 이 추적은 데이터 이벤트를 로깅하지 않습니다.

9. 로그에 대한 새 S3 버킷을 만듭니다.

a. Storage location(스토리지 위치)의 Create a new S3 bucket(S3 버킷 새로 만들기) 옆에서Yes(예)를 선택합니다.

b. S3 버킷에서 버킷의 이름을 지정합니다(예: my-bucket-for-storing-cloudtrail-logs).

S3 버킷의 이름은 전역적으로 고유해야 합니다. S3 버킷 이름 지정 요구 사항에 대한 자세한 내용은AWS CloudTrail사용 설명서.

c. URAdvanced를 선택하고예모두일 때SSE-KMS로 로그 파일 암호화및로그 파일 검증.10. Create를 선택합니다.

자세한 내용은 의 자습서를 참조하십시오.AWS CloudTrail사용 설명서.

[PCI.CloudTrail.3] CloudTrail 로그 파일 유효성 검증을 활성화해야 합니다.심각도: 낮음




이 컨트롤은 CloudTrail 로그 파일 검증이 활성화되어 있는지 여부를 확인합니다.

구성이 변경된 시기는 확인하지 않습니다.

로그 파일 변경 사항을 모니터링하고 경고하려면 Amazon EventBridge 또는 CloudWatch 지표 필터를 사용하면 됩니다.



PCI 디에스 10.5.2: 감사 추적 파일을 무단 수정으로부터 보호합니다.

CloudTrail 로그 파일 검증을 통해 디지털 방식으로 서명된 다이제스트 파일이 생성됩니다. 이 파일은CloudTrail 이 Amazon S3 쓰는 각 로그의 해시를 포함합니다.

이 로그 파일을 전송한 후 이 파일이 변경 또는 삭제되었는지 여부를 확인하려면 이 다이제스트 파일을CloudTrail 됩니다.

이는 감사 추적 파일을 무단 수정으로부터 보호하는 데 도움이 되는 방법입니다.PCI 디에스 10.5.5: 로그에 대해 파일 무결성 모니터링이나 변경 감지 소프트웨어를 사용하여 기존 로그 데이터를 변경할 수 없도록 합니다.

CloudTrail 로그 파일 검증을 통해 디지털 방식으로 서명된 다이제스트 파일이 생성됩니다. 이 파일은CloudTrail 이 Amazon S3 쓰는 각 로그의 해시를 포함합니다.

505

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-s3-bucket-naming-requirements.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-tutorial.html



이 로그 파일을 전송한 후 이 파일이 변경 또는 삭제되었는지 여부를 확인하려면 이 다이제스트 파일을CloudTrail 됩니다.

이는 파일 무결성 모니터링 또는 변경 감지 소프트웨어를 로그에 사용하도록 하는 데 도움이 되는 방법입니다.

Remediation


1. https://console.aws.amazon.com/cloudwatch/에서 CloudTrail 콘솔을 엽니다.2. Trails(추적)를 선택합니다.3. 이름 열에서 편집할 추적의 이름을 선택합니다.4. UR일반 세부 정보를 선택하고Edit.5. UR추가 설정에 대한로그 파일 검증를 선택하고활성화됨.6. Save를 선택합니다.

[PCI.CloudTrail.4] CloudTrail 은 클라우드 CloudWatch Logs 와 통합되어야 합니다.

심각도: 낮음




이 컨트롤은 CloudTrail 추적이 CloudWatch Logs Logs에 전송하도록 구성되었는지 확인합니다.

로그 또는 로그 그룹을 변경할 수 있는 사용자 권한은 확인하지 않습니다. CloudTrail 로그가 변경되면 이를알릴 특정 CloudWatch 규칙을 만들어야 합니다.

또한 이 컨트롤은 CloudWCloudWatch Logs 로그 그룹으로 전송되는 CloudTrail 이외의 추가 감사 로그 소스를 확인하지 않습니다.



PCI 디에스 10.5.3: 감사 추적 파일을 중앙 집중식 로그 서버 또는 변경하기 어려운 미디어에 즉시 백업합니다.

CloudTrail 은 로그 파일 저장 및 전송에 Amazon S3 를 사용하므로 로그 파일은 영구적으로 저장됩니다.

CloudWatch Logs 는 감사 추적 파일을 즉시 백업하는 기본 방법입니다.

Remediation

CloudTrail 추적이 CloudCloudWatch Logs 통합되도록 하려면

1. https://console.aws.amazon.com/cloudwatch/에서 CloudTrail 콘솔을 엽니다.2. Trails(추적)를 선택합니다.3. CloudWatch Logs Log group(CloudWatch Logs 로그 그룹) 열에서 값이 없는 추적을 선택합니다.4. 아래로 스크롤하여CloudWatch Logs(CloudWatch 로그)섹션을 클릭한 다음Edit.

506





5. 용로그 그룹필드에서 다음 중 하나를 수행합니다.

• 기본 로그 그룹을 사용하려면 이름을 그대로 유지하십시오.• 기존 로그 그룹을 사용하려면Exi를 클릭한 다음 사용할 로그 그룹의 이름을 입력합니다.• 새 로그 그룹을 생성하려면 [] 를 선택합니다.New를 선택한 후 생성할 로그 그룹의 이름을 입력합니

다.6. [Continue]를 선택합니다.7. IAM 역할에 대해 다음 중 하나를 수행합니다.

• 기존 역할을 사용하려면Exi드롭다운 목록에서 역할을 선택합니다.• 새 역할을 만들려면 [] 를 선택합니다.New를 선택한 후 생성할 역할의 이름을 입력하십시오.

새 역할에 필수 권한을 부여하는 정책이 할당됩니다.


콘솔을 사용하여 CloudWatch Logs 구성하는 방법에 대한 자세한 내용은 단원을 참조하세요.AWSCloudTrail사용 설명서.

[PCI.CodeBuild.1] CodeBuild GitHub 또는 Bitbucket 소스 리포지토리 URL은OAuth를 사용해야 합니다.

심각도: 심각

리소스: CodeBuild 프로젝트

AWS Config 규칙: codebuild-project-source-repo-url-check


이 컨트롤은 GitHub 또는 Bitbucket 소스 리포지토리 URL에 개인 액세스 토큰 또는 사용자 이름 및 암호가포함되어 있는지 확인합니다.

Note


• 아프리카(케이프타운)• 아시아 태평양(오사카)• 유럽(밀라노)• AWS GovCloud(미국 동부)• AWS GovCloud(미국 서부)



PATTERN 8.2.1: 강력한 암호화를 사용하여 모든 시스템 구성 요소에서 전송 및 저장 중에 모든 인증 자격 증명 (예: 암호/구문) 을 읽을 수 없도록 처리합니다.

PCI DSS 환경에서 CodeBuild d를 사용하여 소스 코드를 컴파일하거나 단위 테스트를 실행하거나 배포할 준비가 된 아티팩트를 생성할 수 있습니다. 이렇게 하는 경우 인증 자격 증명은 일반 텍스트로 저장되거나 전송되거나 리포지토리 URL에 나타나지 않아야 합니다.

507



https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html


개인 액세스 토큰 또는 사용자 이름과 암호 대신 OAuth를 사용하여 GitHub 또는 Bitbucket 리포지토리에액세스하기 위한 권한을 부여해야 합니다. 이는 강력한 암호화를 사용하여 인증 자격 증명을 읽을 수 없게 만드는 방법입니다.

Remediation

CodeBuild 프로젝트 소스에서 기본 인증/ (GitHub) 개인 액세스 토큰을 제거하려면

1. 에서 CodeBuild 콘솔을 엽니다.https://console.aws.amazon.com/codebuild/.2. 개인 액세스 토큰 또는 사용자 이름과 암호가 포함된 빌드 프로젝트를 선택합니다.3. 편집에서 소스를 선택합니다.4. GitHub/Bitbucket에서 연결 해제를 선택합니다.5. OAuth를 사용하여 연결을 선택한 후 GitHub/Bitbucket에 연결을 선택합니다.6. 소스 공급자가 표시하는 메시지에서 적절한 권한을 부여합니다.7. 필요에 따라 리포지토리 URL 및 추가 구성 설정을 다시 구성합니다.8. 소스 업데이트를 선택합니다.

CodeBuild 에서 사례 기반 샘플을 보려면AWS CodeBuild사용 설명서.

[PCI.CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 일반 텍스트 자격 증명이 포함되면 안 됩니다.

심각도: 심각

리소스: CodeBuild 프로젝트

AWS Config 규칙: codebuild-project-envvar-awscred-check


이 컨트롤은 프로젝트에 환경 변수 AWS_ACCESS_KEY_ID 및 AWS_SECRET_ACCESS_KEY가 포함되었는지확인합니다.

Note


• 아프리카(케이프타운)• 아시아 태평양(오사카)• 유럽(밀라노)• AWS GovCloud(미국 동부)• AWS GovCloud(미국 서부)



PATTERN 8.2.1: 강력한 암호화를 사용하여 모든 시스템 구성 요소에서 전송 및 저장 중에 모든 인증 자격 증명 (예: 암호/구문) 을 읽을 수 없도록 처리합니다.

PCI DSS 환경에서 CodeBuild d를 사용하여 소스 코드를 컴파일하거나 단위 테스트를 실행하거나 배포할 준비가 완료된 아티팩트를 생성할 수 있습니다. 그렇지 않으면 인증 자격 증명을 저장하지 마십시오.AWS_ACCESS_KEY_ID및AWS_SECRET_ACCESS_KEY일반 텍스트로.

508

https://console.aws.amazon.com/codebuild/

https://docs.aws.amazon.com/codebuild/latest/userguide/use-case-based-samples.html

https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html


환경 변수를 사용하여 CodeBuild 프로젝트에 자격 증명을 저장하면 강력한 암호화를 사용하여 인증 자격 증명을 읽을 수 없게 만들어야 하는 요구 사항을 위반할 수 있습니다.

Remediation

환경 변수를 사용하여 CodeBuild 런타임에서 중요한 데이터를 참조하려면 다음 절차를 따르십시오.

환경 변수를 제거하려면

1. 에서 CodeBuild 콘솔을 엽니다.https://console.aws.amazon.com/codebuild/.2. 빌드를 확장하고, 프로젝트 빌드를 선택한 후, 일반 텍스트 자격 증명이 포함된 빌드 프로젝트를 선택합

니다.3. Edit(편집)에서 Environment(환경)을 선택합니다.4. 추가 구성을 확장한 후 환경 변수로 스크롤합니다.5. 환경 변수 옆에 있는 제거를 선택합니다.6. Update environment(환경 업데이트)를 선택합니다.

중요한 값을 Amazon EC2 Systems Manager 파라미터 스토어에 저장한 후 빌드 사양에서 검색하려면

1. 에서 CodeBuild 콘솔을 엽니다.https://console.aws.amazon.com/codebuild/.2. 빌드를 확장하고, 프로젝트 빌드를 선택한 후, 일반 텍스트 자격 증명이 포함된 빌드 프로젝트를 선택합

니다.3. Edit(편집)에서 Environment(환경)을 선택합니다.4. 추가 구성을 확장한 후 환경 변수로 스크롤합니다.5. InAWS Systems Manager에서 중요한 데이터가 포함된 Systems Manager 파라미터를 만듭니다. 이 작

업을 수행하는 방법에 대한 지침은AWS Systems Manager사용 설명서.6. 파라미터를 만든 후 해당 파라미터 이름을 복사합니다.7. CodeBuild 콘솔로 돌아가서환경 변수 작성.8. 이름에 빌드 사양에 표시되는 변수의 이름을 입력합니다.9. 값에 파라미터 이름을 붙여 넣습니다.10. 유형에서 파라미터를 선택합니다.11. 선택제거일반 텍스트 자격 증명이 포함된 규정 미준수 환경 변수 옆에 있습니다.12. Update environment(환경 업데이트)를 선택합니다.

빌드 환경의 환경 변수에 대한 정보는AWS CodeBuild사용 설명서.

[PCI.config.1] AWS Config을 활성화해야 합니다.

심각도: Medium

리소스: 계정

AWS Config 규칙: 없음. Security Hub 는 이 점검에 대해 미리 지정되어 있는 감사 단계를 실행합니다.Amazon Web Services 의 보안. 이 점검에 대해서는 AWS 환경에 AWS Config 관리형 규칙이 생성되지않습니다.


이 컨트롤은 AWS Config가 로컬 리전에 대한 계정에서 활성화되어 있으며 모든 리소스를 기록 중인지 확인합니다.

509



https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-console.html

https://docs.aws.amazon.com/codebuild/latest/userguide/build-env-ref-env-vars.html



AWS Config는 리소스 유형의 하위 집합만 지원하므로 모든 중요한 시스템 파일 및 콘텐츠 파일에 대한 변경감지를 확인하지 않습니다.

AWS Config 서비스는 계정에서 지원되는 AWS 리소스의 구성 관리를 수행하며 사용자에게 로그 파일을 제공합니다. 기록되는 정보로는 구성 항목(AWS 리소스), 구성 항목 간의 관계, 리소스 간 모든 구성 변경 사항을 들 수 있습니다.


Note

Security Hub 리전별 서비스이므로 이 컨트롤에 대해 수행된 확인에서는 계정에 대한 현재 리전만점검합니다. 모든 리전을 점검하지는 않습니다.각 리전에서 글로벌 리소스에 대한 보안 점검을 확인하려면 글로벌 리소스를 기록해야 합니다. 단일리전에서만 글로벌 리소스를 기록하는 경우 글로벌 리소스를 기록하는 리전을 제외한 모든 리전에서 이 통제를 비활성화할 수 있습니다.

자세한 내용은 개발자 안내서를 참조하십시오.



PCI 디에스 10.5.2: 감사 추적 파일을 무단 수정으로부터 보호합니다.

AWS Config는 AWS 리소스 구성이 원하는 설정인지 지속적으로 모니터링, 추적 및 평가하고 6시간마다구성 변경 기록 파일을 생성합니다.

감사 추적 파일을 무단 수정으로부터 보호하려면 AWS Config를 활성화해야 합니다.11.5 변경 감지 메커니즘을 배포하여 중요 시스템 파일, 구성 파일 또는 콘텐츠 파일의 무단 수정을 담당자에게 알리고 적어도 매주 중요 파일을 비교하는 소프트웨어를 구성합니다.

AWS Config는 AWS 리소스 구성이 원하는 설정인지 지속적으로 모니터링, 추적 및 평가하고 6시간마다구성 변경 기록 파일을 생성합니다.

변경 감지 메커니즘이 배포되고 중요한 파일 비교를 적어도 매주 수행하도록 구성하려면 AWS Config를활성화해야 합니다.

Remediation


1. 열기AWS Config콘솔https://console.aws.amazon.com/config/.2. AWS Config를 구성할 리전을 선택합니다.3. 전에 AWS Config를 사용해본 적이 없는 경우에는 시작하기를 선택합니다.4. 설정 페이지에서 다음 작업을 수행하십시오.

a. UNR기록할 리소스 유형를 선택하고이 지역에서 지원되는 모든 리소스 기록및글로벌 리소스(예:AWSIAM 리소스).

b. Amazon S3 버킷에서 사용할 버킷을 지정하거나 버킷을 생성하고 선택적으로 접두사를 포함합니다.

c. UNRAmazon SNS 주제Amazon SNS 주제를 선택하거나 주제를 만듭니다. Amazon SNS 대한 자세한 내용은 를 참조하십시오.Amazon Simple Notification Service 시작 안내서.

d. UNRAWS Config역할을 선택한 다음생성AWS Config서비스 연결 역할를 선택하거나계정에서 역할 선택을 클릭한 다음 사용할 역할을 선택합니다.

510

https://docs.aws.amazon.com/config/latest/developerguide/resource-config-reference.html




https://docs.aws.amazon.com/sns/latest/dg/sns-getting-started.html


5. [Next]를 선택합니다.6. 에AWS Config규칙페이지에서건너.7. [Confirm]을 선택합니다.

사용에 관한 자세한 내용은 단원을 참조하십시오.AWS Config( 사용)AWS CLI에 대한 자세한 내용은개발자안내서.

또한 AWS CloudFormation 템플릿을 사용하여 이 프로세스를 자동화할 수도 있습니다. 자세한 내용은 AWSCloudFormation 사용 설명서를 참조하십시오.

[PCI.CW.1] “루트” 사용자의 사용에 대해 로그 지표 필터 및 경보가 존재해야 합니다.

심각도: 심각

리소스: 계정

AWS Config 규칙: Security Hub 감사 단계를 거치면서AWS Config에서 관리형 규칙AWS이 확인에 대 한 계정.


이 컨트롤은 다음 패턴을 사용하여 CloudWatch 지표 필터를 확인합니다.

{ $.userIdentity.type = "Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType != "AwsServiceEvent" }

다음 사항을 확인합니다.

• 로그 그룹 이름이 활성 다중 리전 CloudTrail 에 사용하도록 구성되어 있음.• IncludeManagementEvents가 true로 설정되고 ReadWriteType이 All로 설정된 추적에 대한 이벤

트 선택기가 하나 이상 있음.• 경보와 연결된 Amazon SNS 주제에 대해 활성 구독자가 하나 이상 있음.



PISSS 7.2.1 시스템 구성 요소에 사용자에게 필요한 사항을 기준으로 액세스를 제한하고 특별히 허용하지않는 한 “모두 거부”로 설정된 액세스 제어 시스템을 설정합니다. 이 액세스 제어 시스템에는 다음 사항이 포함되어야 합니다. 모든 시스템 구성 요소의 적용 범위.

루트 사용자는 AWS 계정에서 권한이 가장 많은 사용자이며 AWS 계정의 모든 리소스에 대한 무제한 액세스 권한이 있습니다.

이 경우 로그 지표 필터 및 경보를 설정해야 합니다. AWS 계정 루트 사용자 자격 증명이 사용됩니다.

또한 CloudTrail 이 활성화되어 루트 또는 관리 권한을 가진 개인이 수행한 작업에 대한 감사 추적을 유지해야 합니다 (the section called “[PCI.CloudTrail.2] CloudTrail 을 활성화해야 합니다.” (p. 503)). 루트 사용자 식별은 에서 찾을 수 있습니다.userIdentity섹션에서 확인할 CloudTrail.

Remediation

이 문제를 해결하는 절차에는 Amazon SNS 주제, 지표 필터 및 지표 필터에 대한 경보를 설정하는 작업이 포함됩니다.

511






이 단계는 the section called “3.3 — “루트” 계정 사용에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.” (p. 475)에 대한 결과의 문제를 해결하는 단계와 동일합니다.

Amazon SNS 주제를 생성하려면


이 주제에 대해 하나 이상의 구독자를 생성합니다.

Amazon SNS 주제 생성에 대한 자세한 내용은 단원을 참조하십시오.Amazon Simple NotificationService.

3. 모든 리전에 적용되는 활성 CloudTrail 추적을 설정합니다.

이렇게 하려면 the section called “2.1 — 모든 리전에서 CloudTrail 이 활성화되어 있는지 여부를 확인합니다.” (p. 465)의 문제 해결 단계를 따르십시오.

연결된 로그 그룹 이름을 적어둡니다.


1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.2. 선택로그을 선택한 다음로그 그룹.3. CloudTrail 이 로깅되는 로그 그룹을 선택합니다.4. 로그 그룹 세부 정보 페이지에서 로그 그룹 세부 정보 페이지를 선택합니다.지표 필터.5. 지표 필터 생성을 선택합니다.6. 다음 패턴을 복사하여필터 패턴.


7. [Next]를 선택합니다.8. 새 필터의 이름을 입력합니다. 예: RootAccountUsage.9. 에 대한 값을 확인합니다.지표 네임스페이스isLogMetrics.

이렇게 하면 모든 CIS Benchmark 지표가 함께 그룹화됩니다.10. In측정치 이름에 지표 이름을 입력합니다.11. In지표 값를 입력합니다.1를 선택한 다음다음.12. 지표 필터 생성을 선택합니다.13. 그런 다음 알림을 설정합니다. 방금 만든 지표 필터를 선택한 다음경보 생성.14. 경보에 대한 임계값을 입력합니다 (예:1) 을 선택한 후다음.15. UNRSNS 주제를 선택합니다.에 대한Send notification to(알림 보내기)을 선택하고 이메일 목록을 선택

한 다음다음.16. 를 입력합니다.이름및설명와 같은 경보에 대한RootAccountUsageAlarm을 선택한 다음다음.17. [Create Alarm]을 선택합니다.

[PCI.DMS.1]AWS Database Migration Service복제 인스턴스는 공용이 아니어야 합니다.

심각도: 심각

리소스: DMS:복제 인스턴스

512






AWS Config 규칙: dms-replication-not-public


이 컨트롤은 여부를 확인합니다.AWS DMS복제 인스턴스는 퍼블릭입니다. 이렇게 하려면, 의 값을 검사PubliclyAccessible필드.

프라이빗 복제 인스턴스에는 복제 네트워크 외부에서 액세스할 수 없는 프라이빗 IP 주소가 있습니다. 원본데이터베이스와 대상 데이터베이스가 동일한 네트워크에 있고 네트워크가 VPN 을 사용하여 복제 인스턴스의 VPC 연결된 경우 복제 인스턴스에 프라이빗 IP 주소가 있어야 합니다.AWS Direct Connect또는 VPC 피어링을 선택합니다. 퍼블릭 및 프라이빗 복제 인스턴스에 대한 자세한 내용은퍼블릭 및 프라이빗 복제 인스턴스의AWS Database Migration Service사용 설명서.

당신은 또한에 대한 액세스를 확인해야합니다AWS DMS인스턴스 구성은 권한이 부여된 사용자로만 제한됩니다. 이렇게 하려면 사용자의 IAM 권한을 제한하여AWS DMS설정 및 리소스.

Note





PCI DSS 1.2.1 - 인바운드 및 아웃바운드 트래픽을 카드 소지자 데이터 환경 (CDE) 에 필요한 트래픽으로 제한하고 특히 다른 모든 트래픽을 거부합니다.

사용하는AWS DMS정의 된 CDE에서 복제 인스턴스의PubliclyAccessible필드를 으로'false'.퍼블릭 액세스를 허용하면 CDE와 송수신할 때 필요한 트래픽만 허용해야 하는 요구 사항을 위반할 수있습니다.

PCI DSS 1.3.1 - 퍼블릭 액세스가 가능한 권한 있는 서비스, 프로토콜 및 포트를 제공하는 시스템 구성 요소로만 인바운드 트래픽을 제한하도록 DMZ를 구현합니다.

사용하는AWS DMS정의 된 CDE에서 복제 인스턴스의PubliclyAccessible필드를 으로'false'.퍼블릭 복제 인스턴스에 대한 액세스를 허용하면 퍼블릭 액세스가 가능한 권한 있는 서비스, 프로토콜및 포트를 제공하는 시스템 구성 요소로만 인바운드 트래픽을 제한해야 하는 요구 사항을 위반할 수 있습니다.

PCI DSS 1.3.2 - 인바운드 인터넷 트래픽을 DMZ 내 IP 주소로 제한합니다.

사용하는AWS DMS정의 된 CDE에서 복제 인스턴스의PubliclyAccessible필드를 으로'false'.퍼블릭 액세스를 허용하면 인바운드 트래픽을 DMZ 내 IP 주소로 제한해야 하는 요구 사항을 위반할 수있습니다.

PCI DSS 1.3.4 카드 소지자 데이터 환경에서 인터넷으로의 권한 없는 아웃바운드 트래픽을 허용하지 않습니다.

사용하는AWS DMS정의 된 CDE에서 복제 인스턴스의PubliclyAccessible필드를 으로'false'.퍼블릭 복제 인스턴스에 액세스를 허용하면 카드 소지자 데이터 환경에서 인터넷으로의 권한 없는 아웃바운드 트래픽을 차단해야 하는 요구 사항을 위반할 수 있습니다.

PCI DSS 1.3.6 카드 소지자 데이터 (예: 데이터베이스) 를 저장하는 시스템 구성 요소를 내부 네트워크 영역에 DMZ 및 신뢰할 수 없는 기타 네트워크와 격리하여 배치합니다.

사용하는AWS DMS를 정의하고 카드 소지자 데이터를 저장하는 데이터베이스를 마이그레이션하려면복제 인스턴스의PubliclyAccessible필드를 으로'false'. 퍼블릭 복제 인스턴스에 액세스를 허용

513

https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html

https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html#CHAP_ReplicationInstance.PublicPrivate



하면 카드 소지자 데이터가 저장된 시스템 구성 요소를 내부 네트워크 영역에 DMZ 및 신뢰할 수 없는 기타 네트워크와 격리하여 배치해야 하는 요구 사항을 위반할 수 있습니다.

Remediation

복제 인스턴스가 만들어지면 공용 액세스 설정을 변경할 수 없습니다. 삭제한 후 다시 작성해야 합니다.

를 구성하려면AWS DMS복제 인스턴스를 공개적으로 액세스할 수 없도록 설정

1. 열기AWS Database Migration Service콘솔https://console.aws.amazon.com/dms/.2. 왼쪽 탐색 창의 왼쪽 탐색 창에서리소스 관리에서복제 인스턴스.3. 퍼블릭 인스턴스를 삭제하려면 인스턴스의 확인란을 선택하고작업을 선택한 다음삭제.4. [Create replication instance]를 선택합니다. 구성 세부 정보를 입력합니다.5. 퍼블릭 액세스를 비활성화하려면[Publicly accessible]이 선택되지 않았습니다.6. Create를 선택합니다.

자세한 내용은 단원을 참조하십시오.복제 인스턴스 생성의AWS Database Migration Service사용 설명서.

[PCI.EC2.1] Amazon EBS 스냅샷은 공개적으로 복원할 수 없어야 합니다.

심각도: 심각

리소스: Amazon EC2 볼륨

AWS Config 규칙: ebs-snapshot-public-restorable-check


이 컨트롤은 모든 사람이 Amazon Elastic Block Store 스냅샷을 공개적으로 복원할 수 없는지 확인하여 퍼블릭으로 만듭니다. Amazon EBS 스냅샷은 회사의 중요한 데이터가 실수로 노출되지 않도록 명시적으로 허용하지 않는 한 모든 사람이 공개적으로 복원할 수 없습니다.

또한 Amazon EBS 구성을 변경할 권한이 권한 있는 권한으로 제한되도록 해야 합니다.AWS계정 전용입니다. Amazon EBS 스냅샷 권한 관리에 대한 자세한 내용은Linux 인스턴스용 Amazon EC2 사용 설명서.

Note





PCI DSS 1.2.1 인바운드 및 아웃바운드 트래픽을 카드 소지자 데이터 환경 (CDE) 에 필요한 트래픽으로 제한하고 특히 다른 모든 트래픽을 거부합니다.

Amazon EBS 스냅샷은 특정 시점에 Amazon Amazon S3 EBS 볼륨의 데이터를 백업하는 데 사용됩니다. EBS 볼륨의 이전 상태를 복원하는 데 사용할 수 있습니다.

Amazon EBS 스냅샷에 카드 소지자 데이터가 저장된 경우, 모든 사람이 공개적으로 복원할 수 없어야합니다. 이 경우 CDE와 송수신할 때 필요한 트래픽만 허용해야 한다는 요구 사항을 위반할 수 있습니다.

514

https://console.aws.amazon.com/dms/

https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html#CHAP_ReplicationInstance.Creating

https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html


PCI DSS 1.3.1 퍼블릭 액세스가 가능한 권한 있는 서비스, 프로토콜 및 포트를 제공하는 시스템 구성 요소로만 인바운드 트래픽을 제한하려면 DMZ를 구현합니다.

Amazon EBS 스냅샷은 특정 시점에 Amazon Amazon S3 EBS 볼륨의 데이터를 백업하는 데 사용됩니다. Amazon EBS 볼륨의 이전 상태를 복원하는 데 사용할 수 있습니다.

Amazon EBS 스냅샷에 카드 소지자 데이터가 저장된 경우, 모든 사람이 공개적으로 복원할 수 없어야합니다. 이 경우 퍼블릭 액세스가 가능한 권한 있는 서비스, 프로토콜 및 포트를 제공하는 시스템 구성요소로만 인바운드 트래픽을 제한해야 하는 요구 사항을 위반할 수 있습니다.

PISSS 1.3.4 카드 소지자 데이터 환경에서 인터넷으로의 권한 없는 아웃바운드 트래픽을 허용하지 않습니다.

Amazon EBS 스냅샷은 특정 시점에 Amazon EBS 볼륨의 데이터를 Amazon S3 백업하는 데 사용되며EBS 볼륨의 이전 상태를 복원하는 데 사용할 수 있습니다.

Amazon EBS 스냅샷에 카드 소지자 데이터가 저장된 경우, 모든 사람이 공개적으로 복원할 수 없어야합니다. 이로 인해 카드 소지자 데이터 환경에서 인터넷으로의 권한 없는 아웃바운드 트래픽을 차단해야하는 요구 사항을 위반할 수 있습니다.


Amazon EBS 스냅샷은 특정 시점에 Amazon Amazon S3 EBS 볼륨의 데이터를 백업하는 데 사용됩니다. Amazon EBS 볼륨의 이전 상태를 복원하는 데 사용할 수 있습니다.

Amazon EBS 스냅샷에 카드 소지자 데이터가 저장된 경우, 모든 사람이 공개적으로 복원할 수 없어야합니다. 이 경우 시스템 구성 요소에 대한 액세스가 필요한 최소 권한 또는 사용자에게 필요한 사항으로제한해야 하는 요구 사항을 위반할 수 있습니다.

Remediation

퍼블릭 Amazon EBS 스냅샷을 프라이빗으로 만들려면

1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.2. 탐색 창의 [] 에서Elastic Block Store를 선택하고스냅샷을 클릭한 다음 공개 스냅샷을 선택합니다.3. 작업을 선택한 후 권한 수정을 선택합니다.4. 프라이빗을 선택합니다.5. (선택 사항)AWS계정 번호를 사용하여 스냅샷을 공유할 권한이 있는 계정의 계정 번호를 보여 줍니다.6. 저장을 선택합니다.

Amazon EBS 스냅샷 공유에 대한 자세한 내용은Linux 인스턴스용 Amazon EC2 사용 설명서.

[PCI.EC2.2] VPC 기본 보안 그룹은 인바운드 및 아웃바운드 트래픽을 금지해야 합니다.

심각도: Medium

리소스: Amazon EC2 보안 그룹



이 컨트롤은 VPC의 기본 보안 그룹이 인바운드 또는 아웃바운드 트래픽을 허용하지 않는지 확인합니다.

기본값이 아닌 다른 보안 그룹 및 기타 VPC 구성에 대한 액세스 제한은 확인하지 않습니다.

515


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html






PCI DSS의 범위에 있는 서비스가 기본 보안 그룹과 연결되어 있는 경우, 보안 그룹의 기본 규칙은 모든아웃바운드 트래픽을 허용합니다. 이 규칙은 동일한 보안 그룹에 할당된 네트워크 인터페이스 (및 연결된 인스턴스) 로부터의 모든 인바운드 트래픽을 허용합니다.

기본 보안 그룹 규칙 설정을 변경하여 인바운드 및 아웃바운드 트래픽을 제한해야 합니다. 기본값을 사용하면 CDE와 송수신할 때 필요한 트래픽만 허용해야 하는 요구 사항을 위반할 수 있습니다.



기본 보안 그룹 규칙 설정을 변경하여 권한 없는 인바운드 및 아웃바운드 트래픽을 제한해야 합니다. 기본값을 사용하면 카드 소지자 데이터 환경에서 인터넷으로의 권한 없는 아웃바운드 트래픽을 차단해야하는 요구 사항을 위반할 수 있습니다.

PCI 디에스 2.1: 네트워크에 시스템을 설치하기 전에 항상 공급업체에서 제공한 기본값을 변경하고 불필요한 기본 계정을 제거하거나 비활성화합니다.


기본 보안 그룹 규칙 설정을 변경하여 인바운드 및 아웃바운드 트래픽을 제한해야 합니다. 기본값을 사용하면 불필요한 기본 계정을 제거하거나 비활성화해야 하는 요구 사항을 위반할 수 있습니다.

Remediation

이 문제를 해결하려면 새 보안 그룹을 만들고 해당 보안 그룹을 리소스에 할당합니다. 기본 보안 그룹이 사용되지 않도록 하려면 해당 인바운드 및 아웃바운드 규칙을 제거합니다.

새 보안 그룹을 생성하여 리소스에 할당하려면

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 보안 그룹을 선택합니다. 기본 보안 그룹 세부 정보를 통해 이 그룹에 지정된 리소스가 어떤

것인지 확인합니다.3. 해당 리소스에 최소 권한 보안 그룹 집합을 생성합니다. 보안 그룹을 생성하는 방법에 대한 자세한 내용

은 단원을 참조하십시오.보안 그룹 생성의Amazon VPC User Guide.4. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.5. Amazon EC2 콘솔에서 기본 보안 그룹을 사용하는 리소스의 보안 그룹을 생성한 최소 권한 보안 그룹으

로 변경합니다. 단원을 참조하십시오.인스턴스의 보안 그룹 변경의Amazon VPC User Guide.

리소스에 새 보안 그룹을 할당한 후 기본 보안 그룹에서 인바운드 및 아웃바운드 규칙을 제거합니다. 이렇게하면 기본 보안 그룹이 사용되지 않습니다.

기본 보안 그룹에서 규칙을 제거하려면

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.

516


https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups


https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SG_Changing_Group_Membership



2. 탐색 창에서 보안 그룹을 선택합니다.3. 기본 보안 그룹을 선택하고인바운드 규칙탭을 참조하십시오. 선택인바운드 규칙 편집. 그런 다음 모든

인바운드 규칙을 삭제합니다. 규칙 저장을 선택합니다.4. 각 기본 보안 그룹에 대해 이전 단계를 반복합니다.5. 기본 보안 그룹을 선택하고 [] 를 선택합니다.아웃바운드 규칙탭을 참조하십시오. 선택아웃바운드 규칙

편집. 그런 다음 모든 아웃바운드 규칙을 삭제합니다. 규칙 저장을 선택합니다.6. 각 기본 보안 그룹에 대해 이전 단계를 반복합니다.

Amazon VPC 보안 그룹 작업에 대한 자세한 내용은Amazon VPC User Guide.

[PCI.EC2.3] 사용되지 않는 EC2 보안 그룹은 제거해야 합니다.

심각도: 낮음

리소스: Amazon EC2 보안 그룹

AWS Config 규칙: ec2-security-group-attached-to-eni


이 컨트롤은 카드 소지자 데이터 환경 (CDE) 에서 필요한 보안 그룹의 정확한 자산 인벤토리를 유지하는 데도움이 됩니다. 이를 위해 보안 그룹이 Amazon EC2 인스턴스 또는 ENI에 연결되어 있는지 확인합니다. 검색에 실패하면 사용되지 않는 Amazon EC2 보안 그룹이 있을 수 있습니다.

Note





PCI 디에스 2.4: PCI DSS 범위에 있는 시스템 구성 요소의 인벤토리를 유지 관리합니다.

보안 그룹이 Amazon EC2 인스턴스 또는 elastic network interface (ENI) 에 연결되지 않은 경우, 이는 리소스가 더 이상 사용되지 않음을 나타냅니다.

보존할 업무상 필요가 없는 한, 시스템 구성 요소의 정확한 인벤토리를 유지하기 위해 사용되지 않는 리소스를 제거해야 합니다.

Remediation

ENI에 연결되지 않은 각 보안 그룹에 대해 다음 단계를 수행해야 합니다.

보안 그룹을 삭제하려면

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창의 [] 에서보안를 선택하고보안 그룹.3. 삭제할 보안 그룹의 확인란을 선택합니다.4. From작업를 선택하고보안 그룹 삭제.

517


https://docs.aws.amazon.com/config/latest/developerguide/ec2-security-group-attached-to-eni.html



5. 삭제를 선택합니다.

[PCI.EC2.4] 사용되지 않는 EC2 EIP는 제거해야 합니다.심각도: 낮음

리소스: EC2 EIP

AWS Config 규칙: eip-attached


이 컨트롤은 VPC 할당된 탄력적 IP 주소가 Amazon EC2 인스턴스 또는 사용 중인 탄력적 네트워크 인터페이스 (ENI) 에 연결되어 있는지 확인합니다.

검색에 실패하면 사용되지 않는 Amazon EC2 EIP가 있을 수 있습니다.

이를 통해 카드 소지자 데이터 환경 (CDE) 에서 EIP의 정확한 자산 인벤토리를 유지할 수 있습니다.Note




PCI 디에스 2.4: PCI DSS 범위에 있는 시스템 구성 요소의 인벤토리를 유지 관리합니다.

EIP가 Amazon EC2 인스턴스에 연결되지 않은 경우, 이는 더 이상 사용되지 않음을 나타냅니다.

보존할 업무상 필요가 없는 한, 시스템 구성 요소의 정확한 인벤토리를 유지하기 위해 사용되지 않는 리소스를 제거해야 합니다.

Remediation

더 이상 필요 없는 탄력적 IP 주소는 연결을 해제하는 것이 좋습니다 (이 주소는 인스턴스와 연결할 수 없음).

콘솔을 사용하여 탄력적 IP 주소를 릴리스하려면

1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.2. 탐색 창의 [Network & Security]에서 [Elastic IPs]를 선택합니다.3. 탄력적 IP 주소를 선택하고작업를 선택한 다음탄력적 IP 주소 해제.4. 메시지가 나타나면 [Release]를 선택합니다.

자세한 내용은 탄력적 IP 주소 릴리스에 대한 정보를 참조하십시오.Linux 인스턴스용 Amazon EC2 사용 설명서.

[PCI.EC2.5] 보안 그룹에서 0.0.0.0/0에서 포트 22로의 수신을 허용하지 않아야 합니다.심각도: 높음

리소스: EC2 보안 그룹

AWS Config 규칙: restricted-ssh


518

https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html#using-instance-addressing-eips-releasing

https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html


이 컨트롤은 사용 중인 보안 그룹이 무제한 들어오는 SSH 트래픽을 허용하지 않는지 확인합니다.

아웃바운드 트래픽은 평가하지 않습니다.

보안 그룹은 상태가 저장됩니다. 인스턴스에서 요청을 전송하면 해당 요청의 응답 트래픽은 인바운드 보안그룹 규칙에 관계없이 인바운드 흐름이 허용됩니다. 허용된 인바운드 트래픽에 대한 응답은 아웃바운드 규칙에 관계없이 유출될 수 있습니다. 보안 그룹에 대한 자세한 내용은 단원을 참조하십시오.VPC의 보안 그룹의Amazon VPC User Guide.

Note






정의된 CDE에 있는 인스턴스에 대한 SSH 트래픽을 허용할 수 있습니다. 이 경우 인바운드 SSH 소스를0.0.0.0/0 (어디에서든) 에서 특정 IP 주소 또는 범위로 제한하십시오. SSH에 무제한 액세스를 유지하면CDE와 송수신할 때 필요한 트래픽만 허용해야 하는 요구 사항을 위반할 수 있습니다.


정의된 CDE에 있는 인스턴스에 대한 SSH 트래픽을 허용할 수 있습니다. 이 경우 인바운드 SSH 소스를0.0.0.0/0 (어디에서든) 에서 특정 IP 주소 또는 범위로 제한하십시오. 퍼블릭 액세스가 가능한 권한 있는서비스, 프로토콜 및 포트를 제공하는 시스템 구성 요소로만 인바운드 트래픽을 제한해야 하는 요구 사항을 위반할 수 있습니다.

PCI DSS 2.2.2 시스템 기능에 필요한 경우에만 필요한 서비스, 프로토콜, 데몬 등을 사용하십시오.

정의된 CDE에 있는 인스턴스에 대한 SSH 트래픽을 허용할 수 있습니다. 이 경우 인바운드 SSH 소스를0.0.0.0/0 (어디서나) 에서 보안 그룹의 기능에 필요한 특정 IP 주소 또는 범위로 제한합니다. CDE 내에서 보안 그룹은 시스템 구성 요소로 간주될 수 있으며 이를 적절히 강화해야 합니다. SSH에 무제한 액세스를 남겨 두는 것은 시스템의 기능에 필요한 필요한 필요한 서비스, 프로토콜, 데몬 등을 활성화하는 요구 사항을 위반할 수 있습니다.

Remediation


보안 그룹에서 포트 22에 대한 액세스를 제거하려면

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창의 [] 에서보안를 선택하고보안 그룹.3. 보안 그룹을 선택합니다.4. 페이지 하단에서인바운드 규칙.5. 선택인바운드 규칙 편집.6. 포트 22를 통한 액세스를 허용하는 규칙을 식별한 후 X를 선택하여 이 규칙을 제거합니다.7. 규칙 저장을 선택합니다.

519

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html



[PCI.EC2.6] 모든 VPC에서 VPC 흐름 로깅을 활성화해야 합니다.

심각도: Medium

리소스: VPC


파라미터:

• trafficType – REJECT

VPC에 대해 VPC 흐름 로그가 검색되고 활성화되어 있는지 확인합니다. 트래픽 유형이REJECT.

VPC 흐름 로그를 사용하면 VPC의 네트워크 인터페이스에서 양방향으로 이동하는 IP 주소 트래픽에 대한정보를 캡처할 수 있습니다. 흐름 로그를 생성하고 난 다음 CloudWatch Logs를 사용하여 로그 데이터를 확인하고 가져올 수 있습니다.

VPC에 대한 패킷 Security Hub 부를 위해 플로우 로깅을 활성화하는 것이 좋습니다. 플로우 로그는 VPC 통과하는 네트워크 트래픽에 대한 가시성을 제공합니다. 이들은 비정상적인 트래픽을 감지하고 보안 워크플로에 대한 통찰력을 제공할 수 있습니다.

기본적으로 레코드에는 소스, 대상 및 프로토콜을 포함하여 IP 주소 흐름의 다른 구성 요소에 대한 값이 포함됩니다. 로그 필드에 대한 자세한 내용과 설명은VPC 흐름 로그의Amazon VPC User Guide.



PCI DSS 10.3.3 날짜 및 시간 스탬프가 로그 항목에 포함되어 있는지 확인합니다.

VPC에 대해 VPC 흐름 로깅을 활성화하면 로그 항목의 날짜 및 시간을 식별할 수 있습니다. 이벤트 날짜및 시간은 시작 및 종료 필드에 기록됩니다. 값은 유닉스 초 단위로 표시됩니다.

PCI DSS 10.3.4 성공 또는 실패 표시가 로그 항목에 포함되어 있는지 확인합니다.

VPC에 대해 VPC 흐름 로깅을 활성화하면 발생한 이벤트 유형을 식별할 수 있습니다. 이벤트 유형은 작업 필드에 기록되며ACCEPT또는REJECT.

PCI DSS 10.3.5 이벤트 시작이 로그 항목에 포함되어 있는지 확인합니다.

VPC에 대해 VPC 흐름 로깅을 활성화하면 이벤트의 출처를 확인할 수 있습니다. 이벤트 출처는pkt-srcaddr,srcaddr, 및srcport필드. 트래픽의 소스 포트 및 트래픽의 소스 포트

PCI DSS 10.3.6 영향을 받은 데이터, 시스템 구성 요소 또는 리소스의 ID 또는 이름이 로그 항목에 포함되어있는지 확인합니다.

VPC에 대해 VPC 흐름 로깅을 활성화하면 영향을 받는 데이터, 시스템 구성 요소 또는 리소스의 ID 또는이름을 확인할 수 있습니다. 이pkt-dstaddr,dstaddr, 및dstport트래픽의 대상 IP 주소 및 대상 포트

Remediation

이 문제를 해결하려면 VPC 흐름 로깅을 사용하도록 설정합니다.


1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창의 [] 에서Virtual Private Cloud를 선택하고VPC.3. 업데이트할 VPC를 선택합니다.

520


https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html



4. 페이지 하단에서 을 선택합니다.플로우 로그.5. 흐름 로그 생성(Create flow log)을 선택합니다.6. 필터에서 거부를 선택합니다.7. 용대상 로그 그룹에서 사용할 로그 그룹을 선택합니다.8. 당신이 선택한 경우CloudWatch Logs(CloudWatch 로그)대상 로그 그룹에 대해IAM 역할에서 사용할

IAM 역할을 선택합니다.9. Create를 선택합니다.

[PCI.ELBV2.1] 모든 HTTP 요청을 HTTPS로 리디렉션하도록 를 구성해야 합니다.

심각도: Medium

리소스: AwsElbv2LoadBalancer

AWS Config 규칙: alb-http-to-https-redirection-check


이 컨트롤은 애플리케이션 로드 밸런서의 모든 HTTP 리스너에 HTTP-HTTPS 리디렉션이 구성되어 있는지확인합니다. 애플리케이션 로드 밸런서의 HTTP 리스너 중 하나라도 HTTP-HTTPS 리디렉션이 구성되어 있지 않으면 이 컨트롤이 실패합니다.

Application Load Balancer 를 사용하기 전에 리스너를 하나 이상 추가해야 합니다. 리스너는 구성한 프로토콜 및 포트를 사용하여 연결 요청을 확인하는 프로세스입니다. 리스너는 HTTP 및 HTTPS 프로토콜을 모두지원합니다. HTTPS 리스너를 사용하여 암호화 및 암호 해독 작업을 로드 밸런서로 오프로드할 수 있습니다.전송 중인 암호화를 적용하려면 애플리케이션 로드 밸런서에서 리디렉션 작업을 사용하여 포트 443에서 클라이언트 HTTP 요청을 HTTPS 요청으로 리디렉션해야 합니다.

자세한 내용은 다음을 참조하세요.Application Load Balancer를 위한 리스너inApplication Load Balancer 사용 설명서.

Note





PCI DSS 2.3 강력한 암호화를 사용하여 모든 비 콘솔 관리 액세스를 암호화합니다.

HTTP 리스너와 함께 애플리케이션 로드 밸런서를 사용하는 경우 비콘솔 관리 액세스에 대해 리스너가HTTPS로 리디렉션되는지 확인합니다. 카드 소지자 데이터 환경의 관리자에게 HTTP를 통한 암호화되지 않은 인증을 허용하면 강력한 암호화를 사용하여 모든 비콘솔 관리 액세스를 암호화해야 하는 요구사항을 위반할 수 있습니다.

PCI DSS 4.1 강력한 암호화 및 보안 프로토콜을 사용하여 개방형 공용 네트워크를 통해 전송하는 동안 중요한 카드 소지자 데이터를 보호합니다.

HTTP 리스너와 함께 애플리케이션 로드 밸런서를 사용하는 경우 카드 소지자 데이터 전송을 위해 수신기가 HTTPS로 리디렉션되는지 확인합니다. 카드 소지자 데이터의 암호화되지 않은 전송을 허용하면 공개 네트워크를 통해 전송되는 동안 중요한 카드 소지자 데이터를 보호하기 위해 강력한 암호화 및 보안프로토콜을 사용해야 하는 요구 사항을 위반할 수 있습니다.

521

https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html


Remediation

이 문제를 해결하려면 HTTP 요청을 HTTPS로 리디렉션합니다.

Application Load Balancer 서에서 HTTPS로 HTTP 요청을 리디렉션하려면

1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.2. 탐색 창의 [] 에서로드 밸런싱를 선택하고로드 밸런서.3. Application Load Balancer (4. 선택리스너.5. HTTP 리스너 (포트 80 TCP) 에 대한 확인란을 선택한 다음Edit.6. 기존 규칙이 있는 경우 삭제해야 합니다. 그렇지 않을 경우작업 추가를 선택한 다음리디렉션 대상.7. HTTPS를 선택한 다음 443을 입력합니다.8. 원 기호에서 확인 표시를 선택한 다음 Update(업데이트)를 선택합니다.

[PCI.ES1] Amazon Elasticsearch Service 도메인은 VPC 있어야 합니다.심각도: 심각

리소스: Amazon ES 도메인

AWS Config 규칙: elasticsearch-in-vpc-only


이 컨트롤은 Amazon Elasticsearch Service 도메인이 VPC 있는지 여부를 확인합니다.

퍼블릭 연결성을 확인하기 위해 VPC 서브넷 라우팅 구성을 평가하지 않습니다.

이AWS또한 Amazon ES 리소스 기반 정책이 다른 계정이나 외부 엔터티에 의한 퍼블릭 액세스를 허용하는지 여부도 확인하지 않습니다. Amazon ES 도메인이 퍼블릭 서브넷에 연결되어 있지 않은지 확인해야 합니다. 단원을 참조하십시오.리소스 기반 정책의Amazon Elasticsearch Service 개발자 안내서의.

또한 권장 모범 사례에 따라 VPC가 구성되었는지 확인해야 합니다. 단원을 참조하십시오.VPC에 대한 보안모범 사례의Amazon VPC User Guide.

Note

아시아 태평양 (오사카) 에서는 이 컨트롤이 지원되지 않습니다.




Amazon ES 클러스터에 카드 소지자 데이터가 포함되어 있는 경우 Amazon ES 도메인을 VPC 배치해야 합니다. 이렇게 하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 포트 없이 VPC 내부에서Amazon ES와 다른 서비스 간에 보안 통신이 가능합니다.

이 방법은 CDE와 송수신할 때 필요한 트래픽만 허용하는 데 사용됩니다.PCI DSS 1.3.1 퍼블릭 액세스가 가능한 권한 있는 서비스, 프로토콜 및 포트를 제공하는 시스템 구성 요소로만 인바운드 트래픽을 제한하려면 DMZ를 구현합니다.


522


https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html

https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/es-ac.html#es-ac-types-resource

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-best-practices.html



이 방법은 퍼블릭 액세스가 가능한 권한 있는 서비스, 프로토콜 및 포트를 제공하는 시스템 구성 요소로만 인바운드 트래픽을 제한하는 데 사용됩니다.

PCI DSS 1.3.2 인바운드 인터넷 트래픽을 DMZ 내 IP 주소로 제한합니다.

Amazon ES 클러스터에 카드 소지자 데이터가 포함된 경우, Amazon ES 도메인을 VPC 배치해야 합니다. 그러면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 포트 없이 VPC 내부에서 Amazon ES와다른 서비스 간에 보안 통신이 가능합니다.

인바운드 인터넷 트래픽을 DMZ 내 IP 주소로 제한하는 데 사용됩니다.

리소스 기반 정책을 사용하고 소스 IP 주소를 기반으로 액세스를 제한하는 IP 조건을 지정할 수도 있습니다. 블로그 게시물 보기Amazon Elasticsearch Service 도메인에 대한 액세스를 제어하는 방법.


Amazon ES 클러스터에 카드 소지자 데이터가 포함된 경우, Amazon ES 도메인을 VPC 배치해야 합니다. 그러면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 포트 없이 VPC 내부에서 Amazon ES와다른 서비스 간에 보안 통신이 가능합니다.

이 방법은 카드 소지자 데이터 환경에서 인터넷으로의 권한 없는 아웃바운드 트래픽을 차단하는 데 사용됩니다.

PCI DSS 1.3.6 데이터베이스 등 카드 소지자 데이터가 저장된 시스템 구성 요소를 내부 네트워크 영역에DMZ 및 신뢰할 수 없는 기타 네트워크와 격리하여 배치합니다.


이 방법은 카드 소지자 데이터가 저장된 시스템 구성 요소를 내부 네트워크 영역에 DMZ 및 신뢰할 수 없는 기타 네트워크와 격리하여 배치하는 데 사용됩니다.

Remediation

퍼블릭 엔드포인트가 있는 도메인을 만들 경우 나중에 해당 도메인을 VPC 안에 배치할 수 없습니다. 대신에새 도메인을 만들어 데이터를 마이그레이션해야 합니다.

반대의 경우도 마찬가지입니다. VPC 내에 도메인을 만들 경우 퍼블릭 엔드포인트를 가질 수 없습니다. 대신다른 도메인을 만들거나 이 컨트롤을 비활성화해야 합니다.

퍼블릭 액세스에서 VPC 액세스로 마이그레이션하는 것에 대한 정보는Amazon Elasticsearch Service 개발자 안내서의.

[PCI.ES2] Amazon Elasticsearch Service 도메인에서 유휴 시 암호화를 활성화해야 합니다.

심각도: Medium

리소스: Amazon ES 도메인

AWS Config 규칙: elasticsearch-encrypted-at-rest


이 컨트롤은 Amazon ES 도메인에 유휴 시 암호화 구성이 활성화되어 있는지 확인합니다.

Note


523

http://aws.amazon.com/blogs/security/how-to-control-access-to-your-amazon-elasticsearch-service-domain/

https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/es-createupdatedomains.html#es-createdomains

https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/es-vpc.html#es-migrating-public-to-vpc


https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html





Amazon ES를 사용하여 신용 카드 PAN (기본 계정 번호) 을 저장하는 경우 Amazon ES 도메인 유휴 시암호화를 활성화하여 PAN을 보호해야 합니다.

활성화된 경우 다음과 같은 도메인 측면을 암호화합니다. 애플리케이션 디렉터리의 인덱스, 자동 스냅샷, Amazon ES 로그, 스왑 파일, 기타 모든 데이터를 포함합니다.

이는 PAN을 읽을 수 없도록 하는 데 사용되는 방법입니다.

Remediation

기본적으로 도메인은 유휴 시 데이터를 암호화하지 않으므로 이 기능을 사용하도록 기존 도메인을 구성할 수없습니다.

기능을 활성화하려면 다른 도메인을 생성하고 데이터를 마이그레이션해야 합니다. 도메인 생성에 대한 자세한 내용은 단원을 참조하십시오.Amazon Elasticsearch Service 개발자 안내서의.

유휴 시 데이터를 암호화하려면 Amazon ES 5.1 이상이 필요합니다. Amazon ES에서 유휴 시 데이터 암호화에 대한 자세한 내용은Amazon Elasticsearch Service 개발자 안내서의.

[PCI.GuardDuty.1] GuardDuty 티를 활성화해야 합니다.

심각도: 높음

리소스: AwsAccount

AWS Config 규칙: guardduty-enabled-centralized


이 컨트롤은 Amazon GuardDuty 가AWS계정 및 리전에서 관리합니다.

GuardDuty ty는 침입 탐지 시스템이 일반적으로 보호하는 공격에 효과적일 수 있지만 모든 환경에 대한 완벽한 솔루션은 아닐 수 있습니다. 또한 이 규칙은 직원에 대한 경고 생성을 확인하지 않습니다. GuardDuty ty에대한 자세한 내용은 를 참조하세요.아마존 GuardDuty 사용 설명서.

Note


• 아프리카(케이프타운)• 아시아 태평양(오사카)• 중국(베이징)• 중국(닝샤)• 유럽(밀라노)• 중동(바레인)• AWS GovCloud(미국 동부)



524


https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/encryption-at-rest.html

https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html

https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html


PCI DSS 11.4 침입 탐지 및/또는 침입 방지 기술을 사용하여 네트워크 침입을 탐지 및/또는 방지합니다.

GuardDuty ty는 카드 소지자 데이터 환경 주변과 그 안에 있는 모든 중요 지점의 트래픽을 모니터링하여 요구 사항 11.4를 충족하는 데 도움을 줄 수 있습니다. 또한 모든 침입 탐지 엔진, 기준 요소 및 서명을 최신 상태로 유지할 수 있습니다. 검색 결과는 GuardDuty 티에서 생성됩니다. Amazon CloudWatch를 사용하여 담당자에게 이러한 알림을 보낼 수 있습니다. 단원을 참조하십시오.Amazon CloudWatchEvents 트로 GuardDuty 검색 결과에 대한 사용자 지정 응답 생성의아마존 GuardDuty 사용 설명서. 에서 GuardDuty 트를 활성화하지 않습니다.AWS계정은 침입 탐지 및/또는 차단 기술을 사용하여 네트워크 침입을 방지하기 위한 요구 사항을 위반할 수 있습니다.

Remediation

이 문제를 해결하려면 GuardDuty ce를 사용하도록 설정합니다.

사용 방법을 포함하여 GuardDuty 활성화 방법에 대한 자세한 내용은AWS Organizations로 여러 계정을 관리하려면 단원을 참조하십시오.GuardDuty 시작하기의아마존 GuardDuty 사용 설명서.

[PCI.IAM.1] IAM 루트 사용자 액세스 키가 없어야 합니다.

심각도: 심각

리소스: 계정



이 컨트롤은 루트 사용자에 대한 사용자 액세스 키가 있는지 여부를 확인합니다.

Note

아프리카 (케이프타운) 또는 아시아 태평양 (오사카) 에서는 이 컨트롤이 지원되지 않습니다.



PCI 디에스 2.1: 네트워크에 시스템을 설치하기 전에 항상 공급업체에서 제공한 기본값을 변경하고 불필요한 기본 계정을 제거하거나 비활성화합니다.

이 AWS 계정 루트 사용자는 권한이 가장 많은 사용자입니다.AWS해당 사용자.AWS액세스 키는 특정계정에 대한 프로그래밍 방식 액세스를 제공합니다.

루트 사용자에 대한 액세스 키를 만들어서는 안 됩니다. 불필요한 기본 계정을 제거하거나 비활성화해야하는 요구 사항을 위반할 수 있습니다.


루트 사용자는 권한이 가장 많은 사용자입니다.AWS해당 사용자.AWS액세스 키는 특정 계정에 대한 프로그래밍 방식 액세스를 제공합니다.

루트 사용자에 대한 액세스 키를 만들어서는 안 됩니다. 시스템 보안 강화 구성을 구현하기 위한 요구 사항을 위반할 수 있습니다.


루트 사용자는 권한이 가장 많은 사용자입니다.AWS해당 사용자.AWS액세스 키는 특정 계정에 대한 프로그래밍 방식 액세스를 제공합니다.

525

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings_cloudwatch.html

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings_cloudwatch.html

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html



루트 사용자에 대한 액세스 키를 만들어서는 안 됩니다. 이렇게 하면 시스템 구성 요소에 대한 액세스가필요한 최소 권한 또는 사용자에게 필요한 사항으로 제한해야 하는 요구 사항을 위반할 수 있습니다.

Remediation


1. 루트 사용자 자격 증명을 사용하여 계정에 로그인합니다.2. 페이지 우측 상단 모서리에 있는 계정 이름을 선택한 후 My Security Credentials(내 보안 자격 증명)를



[PCI.IAM.2] IAM 사용자는 IAM 정책을 연결해서는 안 됩니다.심각도: 낮음

리소스: IAM 사용자



이 컨트롤은 IAM 사용자 중에 정책에 연결되어 있지 않은 IAM 사용자가 있는지 확인합니다. IAM 사용자는IAM 그룹 또는 역할에서 받은 권한을 상속해야 합니다.

최소 권한 정책이 IAM 역할 및 그룹에 적용되는지 여부는 확인하지 않습니다.




IAM 정책은 다음과 같은 사용자, 그룹 또는 역할에 권한을 부여하는 방법입니다.AWS.

기본적으로 IAM 사용자, 그룹 및 역할에는AWS리소스에 IAM 정책이 연결될 때까지 리소스를 추가합니다.

최소 권한 액세스를 관리하고 PCI DSS 범위 내 리소스에 대한 액세스 관리의 복잡성을 줄이려면 사용자수준이 아닌 그룹 또는 역할 수준에서 IAM 정책을 할당해야 합니다.

액세스 관리 복잡성을 줄이면 보안 주체가 부주의로 과도한 권한을 받거나 보유할 가능성이 줄어듭니다.

이는 카드 소지자 데이터가 포함된 시스템 구성 요소에 대한 액세스가 필요한 최소 권한 또는 사용자에게 필요한 사항으로 제한되도록 하는 데 사용되는 방법입니다.

Remediation

이 문제를 해결하려면 다음과 같이 실행하십시오.

1. IAM 그룹 생성

526



2. 그룹에 정책 할당3. 그룹에 사용자 추가

정책은 그룹 내 각 사용자에게 적용됩니다.


1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 그룹을 선택한 후 Create New Group(새 그룹 생성)을 선택합니다.3. 생성할 그룹의 이름을 입력하고 다음 단계를 선택합니다.4. 그룹에 지정할 각 정책을 선택하고 다음 단계를 선택합니다.

선택하는 정책에는 사용자 계정에 현재 직접 연결되어 있는 모든 정책이 포함되어야 합니다. 실패한 점검을 해결하기 위한 그다음 단계는 사용자를 그룹에 추가한 후 이 그룹에 정책을 지정하는 것입니다.

그룹의 각 사용자에게는 그룹에 지정된 정책이 지정됩니다.5. 검토 패이지에서 세부 정보를 확인한 후 그룹 생성을 선택합니다.

IAM 그룹 생성에 대한 자세한 내용은 단원을 참조하십시오.IAM 사용 설명서.



그룹에 사용자를 추가하는 방법에 대한 자세한 내용은IAM 사용 설명서.


1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 사용자를 선택합니다.3. 정책을 분리하려는 사용자는 사용자 이름 열에서 이름을 선택합니다.4. Attached directly(직접 연결됨) 아래에 나열된 각 정책의 경우 사용자에서 정책을 제거하려면 페이지 오

른쪽에 있는 X를 선택한 후 제거를 선택합니다.5. 사용자가 기대한 대로 여전히 AWS 서비스를 사용할 수 있는지 확인합니다.

[PCI.IAM.3] IAM 정책에서 전체 “*” 관리 권한을 허용해서는 안 됩니다.

심각도: 높음

리소스: IAM 정책



이 컨트롤은 기본 버전의 AWS Identity and Access Management 정책(고객 관리형 정책이라고도 함)에"Resource": "*"에 대해 "Effect": "Allow" with "Action": "*"이(가) 있는 문이 포함된 관리자 액세스 권한이 없는지 확인합니다.

생성한 고객 관리형 정책만 확인하되, "S3:*" 등의 개별 서비스에 대한 전체 액세스는 확인하지 않습니다.

527







https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies


그것은 확인하지 않습니다.인라인 및AWS관리형 정책.




필요한 최소 권한으로 제한하는 대신 전체 관리 권한을 제공하면 시스템 구성 요소에 대한 액세스를 필요한 최소 권한 또는 사용자에게 필요한 사항으로 제한해야 하는 요구 사항을 위반할 수 있습니다.

Remediation


1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 정책을 선택합니다.3. 제거할 정책 옆에 있는 라디오 버튼을 선택합니다.4. 정책 작업에서 분리를 선택합니다.5. Detach policy(정책 분리) 페이지에서 정책을 분리할 각 사용자 옆에 있는 라디오 버튼을 선택한 후

Detach policy(정책 분리)를 선택합니다.6. 정책을 분리한 사용자가 계속해서 기대한 대로 AWS 서비스 및 리소스를 사용할 수 있는지 확인합니다.

[PCI.IAM.4] 루트 사용자에 대해 하드웨어 MFA를 활성화해야 합니다.

심각도: 심각

리소스: 계정



이 컨트롤은 여부를 확인합니다.AWS계정이 루트 사용자 자격 증명으로 로그인할 때 멀티 팩터 인증 (MFA)하드웨어를 사용하도록 설정되었습니다.

가상 MFA를 사용하고 있는지 여부는 확인하지 않습니다.

PCI DSS 요구 사항 8.3.1을 해결하기 위해 하드웨어 MFA(이 컨트롤) 또는 가상 MFA(the section called“[PCI.IAM.5] 루트 사용자에 대해 가상 MFA를 활성화해야 합니다.” (p. 529)) 중에서 선택할 수 있습니다.

Note


• 중국(베이징)• 중국(닝샤)• AWS GovCloud(미국 동부)• AWS GovCloud(미국 서부)



528

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies




PID 버전 8.3.1 관리 권한이 있는 담당자를 위해 콘솔이 아닌 모든 액세스에 대한 멀티 팩터 인증을 카드 소지자 데이터 환경 (CDE) 에 통합합니다.

루트 사용자는 계정에서 권한이 가장 많은 사용자입니다.

MFA를 통해 사용자 이름 및 암호 외에 보호 계층이 한 단계 더 추가됩니다. 관리자 권한이 있는 사용자가 시스템 구성 요소에 직접 물리적 연결을 통해서가 아니라 네트워크 인터페이스를 통해 카드 소지자데이터 환경에 액세스하고 있고 관리 중인 시스템 앞에 실제로 있지 않은 경우 MFA가 필요합니다.

하드웨어 MFA 활성화는 콘솔이 아닌 모든 관리 액세스에 대한 멀티 팩터 인증 (MFA) 을 통합하는 데 사용되는 방법입니다.

Remediation


1. 루트 사용자 자격 증명을 사용하여 계정에 로그인합니다.2. 페이지 우측 상단에 있는 계정 이름을 선택한 후 My Security Credentials(내 보안 자격 증명)를 선택합니

다.3. 경고에서 Continue to Security Credentials(보안 자격 증명으로 계속)를 선택합니다.4. Multi-factor authentication (MFA)(다중 요소 인증(MFA))을 선택합니다.5. Activate MFA(MFA 활성화)를 선택합니다.6. MFA에 사용할 하드웨어 기반(가상은 아님) 디바이스를 선택하고 계속을 선택합니다.7. 이 절차를 완료하여 선택에 적절한 디바이스 유형을 구성하십시오.

[PCI.IAM.5] 루트 사용자에 대해 가상 MFA를 활성화해야 합니다.심각도: 심각

리소스: 계정

AWS Config 규칙: root-account-mfa-enabled


이 컨트롤은 사용자의 사용자 여부를 확인합니다.AWS계정의 경우 루트 사용자 자격 증명으로 로그인하려면멀티 팩터 인증 (MFA) 디바이스가 필요합니다.

하드웨어 MFA를 사용하고 있는지 여부는 확인하지 않습니다.

PCI DSS 요구 사항 8.3.1을 해결하기 위해 가상 MFA(이 컨트롤) 또는 하드웨어 MFA(the section called“[PCI.IAM.4] 루트 사용자에 대해 하드웨어 MFA를 활성화해야 합니다.” (p. 528)) 중에서 선택할 수 있습니다.

Note





529

https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html



루트 사용자는 계정에서 권한이 가장 많은 사용자입니다.

MFA를 통해 사용자 이름 및 암호 외에 보호 계층이 한 단계 더 추가됩니다. 관리자 권한이 있는 사용자가 카드 소지자 데이터 환경에 액세스하고 있고 관리 중인 시스템 앞에 실제로 있지 않은 경우 MFA가 필요합니다.

가상 MFA 활성화는 콘솔이 아닌 모든 관리 액세스에 대한 멀티 팩터 인증 (MFA) 을 통합하는 데 사용되는 방법입니다.

Remediation

루트 계정에 대해 MFA를 활성화하려면

1. 루트 사용자 자격 증명을 사용하여 계정에 로그인합니다.2. 페이지 우측 상단에 있는 계정 이름을 선택한 후 My Security Credentials(내 보안 자격 증명)를 선택합니

다.3. 경고에서 Continue to Security Credentials(보안 자격 증명으로 계속)를 선택합니다.4. Multi-factor authentication (MFA)(다중 요소 인증(MFA))을 선택합니다.5. Activate MFA(MFA 활성화)를 선택합니다.6. MFA에 사용할 디바이스의 유형을 선택하고 계속을 선택합니다.7. 이 절차를 완료하여 선택에 적절한 디바이스 유형을 구성하십시오.

[PCI.IAM.6] 모든 IAM 사용자에 대해 MFA 를 활성화해야 합니다.

심각도: Medium


AWS Config 규칙: iam-user-mfa-enabled


이 컨트롤은 IAM 사용자가 멀티 팩터 인증 (MFA) 을 활성화했는지 여부를 확인합니다.




모든 IAM 사용자에 대해 MFA 활성화는 콘솔이 아닌 모든 관리 액세스에 대한 멀티 팩터 인증 (MFA) 을통합하는 데 사용되는 방법입니다.

Remediation


1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 사용자를 선택합니다.3. MFA를 구성할 사용자의 사용자 이름을 선택합니다.4. 선택보안 자격 증명를 선택한 다음관리를 입력합니다.할당된 MFA 디바이스.

530

https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html



5. Manage MFA Device(MFA 디바이스 관리) 마법사의 지시에 따라 환경에 적절한 디바이스 유형을 지정합니다.

MFA 설정을 사용자에게 위임하는 방법을 알아보려면AWS보안 블로그 게시물다중 요소 인증의 관리를AWSIAM 사용자.

[PCI.IAM.7] 미리 정의된 기간 (일) 내에 사용하지 않을 경우 IAM 사용자 자격 증명을 비활성화해야 합니다.심각도: Medium



파라미터:

• maxCredentialUsageAge: 90 (일)

이 컨트롤은 IAM 사용자에게 지정된 일수 내에 사용되지 않은 암호 또는 활성 액세스 키가 있는지 확인합니다. 기본값은 90일입니다.

Security Hub 는 계정에서 모든 액세스 키를 생성 및 제거하지 않는 것이 좋습니다. 권장 모범 사례는 하나이상의 IAM 역할을 생성하거나연합. 이러한 방법을 통해 사용자는 기존 회사 자격 증명을 사용하여AWSManagement Console콘솔 및AWS CLI.

각 접근법에는 사용 사례가 있습니다. 페더레이션은 일반적으로 기존 중앙 디렉터리가 있거나 IAM 사용자의현재 할당량 이상으로 필요로 하는 기업에 적합합니다. AWS 환경 외부에서 실행되는 애플리케이션은 AWS리소스에 대한 프로그래밍 방식으로 액세스하기 위해 액세스 키가 필요합니다.

그러나 프로그래밍 방식의 액세스가 필요한 리소스가 AWS 내부에서 실행되는 경우, IAM 역할을 사용하는것이 가장 좋습니다. 역할을 사용하여 액세스 키 ID 및 보안 액세스 키를 구성에 하드 코딩하지 않고도 리소스 액세스 권한을 부여할 수 있습니다.

액세스 키 및 계정 보호에 대한 자세한 내용은관리 모범 사례AWS액세스 키의AWS일반 참조. 블로그 게시물도 참조하십시오.보호 지침AWS프로그래밍 방식 액세스를 사용하는 동안 계정.

액세스 키가 이미 있는 경우 90일 이상 비활성 상태인 사용되지 않는 사용자 자격 증명을 제거하거나 비활성화하는 것이 좋습니다.

이 컨트롤은 비활성 암호 또는 활성 액세스 키만 확인합니다. 90 일 후에는 계정을 사용할 수 없도록 설정하지는 않습니다. 고객은 조치를 취하고 사용하지 않는 자격 증명을 사용하지 않도록 설정할 책임이 있습니다.



PCI DSS 8.1.4 90일 이내에 비활성 사용자 계정을 제거/비활성화합니다.

IAM 암호 또는 액세스 키를 사용하는 경우 해당 암호 또는 액세스 키가 사용되도록 모니터링되고 90일동안 사용되지 않는 경우 비활성화되었는지 확인합니다. IAM 사용자 계정이 사용되지 않는 자격 증명으로 활성 상태를 유지하도록 허용하면 90일 이내에 비활성 사용자 계정을 제거/비활성화해야 하는 요구사항을 위반할 수 있습니다.

Remediation

날짜가 명시된 자격 증명의 계정을 모니터링하는 데 필요한 일부 정보를 얻으려면 IAM 콘솔을 사용하십시오. 예를 들어 계정에서 사용자를 확인할 때액세스 키 기간,암호 수명, 및마지막 활동. 이 열 중 어느 하나라도값이 90일보다 큰 경우 해당 사용자의 자격 증명을 비활성화하십시오.

531




http://aws.amazon.com/identity/federation/

https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html

http://aws.amazon.com/blogs/security/guidelines-for-protecting-your-aws-account-while-using-programmatic-access/


또한 자격 증명 보고서를 사용해 사용자 계정을 모니터링하고 90일 이상 활동이 없는 사용자를 식별할수 있습니다. 다음 에서 자격 증명 보고서를 다운로드할 수 있습니다..csv형식을 IAM 콘솔에서 실행합니다. 자격 증명 보고서에 대한 자세한 내용은 단원을 참조하십시오.에 대한 자격 증명 보고서 가져오기AWSaccount의IAM 사용 설명서.


비활성 계정 또는 사용되지 않는 IAM 자격 증명을 비활성화하려면

1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. UNR액세스 관리를 선택하고사용자.3. 자격 증명이 생성된 지 90일이 지난 사용자의 이름을 선택합니다.4. Security credentials(보안 자격 증명)를 선택합니다. 선택비활성화90일 이상 사용하지 않은 모든 로그인

자격 증명 및 액세스 키에 대해 알아보십시오.

[PCI.IAM.8] IAM 사용자를 위한 암호 정책의 구성은 강력해야 합니다.

심각도: Medium

리소스: AWS 계정



이 컨트롤은 IAM 사용자에 대한 계정 암호 정책이 다음과 같은 최소 PCI DSS 구성을 사용하는지 여부를 확인합니다.

• RequireUppercaseCharacters암호에 대문자가 한 개 이상이어야 합니다. (기본값은 true)• RequireLowercaseCharacters암호에 소문자가 한 개 이상이어야 합니다. (기본값은 true)• RequireNumbers— 암호에 숫자가 한 개 이상이어야 합니다. (기본값은 true)• MinimumPasswordLength— 암호 최소 길이입니다. (기본값 = 7 이상)• PasswordReusePrevention— 재사용을 허용하기 전의 암호 수입니다. (기본값 = 4)• MaxPasswordAge - 암호 만료까지 남은 일수입니다. (기본값 = 90)



PCI 디에스 8.1.4: 90일 이내에 비활성 사용자 계정을 제거/비활성화합니다.

IAM 사용자가AWS계정을 사용하는 경우 IAM 암호 정책을 적절하게 구성해야 합니다. IAM 사용자의 암호를 보호하지 않으면 90일 이내에 비활성 사용자 계정을 제거하거나 비활성화해야 하는 요구 사항을위반할 수 있습니다. 기본 이름은MaxPasswordAge매개 변수가 90일로 설정되어 있습니다. 암호가 만료된 후에는 IAM 사용자가 암호를 변경할 때까지 계정에 액세스할 수 없으므로 사용자가 비활성화됩니다.

PID 버전 8.2.3 암호/암호는 다음 조건을 충족해야 합니다. 최소 길이가 7자 이상이어야 하며 숫자와 알파벳문자를 모두 포함합니다.

IAM 사용자가AWS계정을 사용하는 경우 IAM 암호 정책을 적절하게 구성해야 합니다. IAM사용자의 암호를 보호하지 않으면 최소 길이가 7자 이상이어야 하는 암호 요구 사항을 위반할 수 있습니다. 또한 숫자와 영문자를 모두 포함하는 요구 사항을 위반할 수 있습니다.기본적으로MinimumPasswordLengthis7,RequireUppercaseCharactersistrue,및RequireLowercaseCharactersistrue.

532






PISSS 8.2.4 사용자 암호/암호를 90일에 한 번 이상 변경합니다.

IAM 사용자가AWS계정을 사용하는 경우 IAM 암호 정책을 적절하게 구성해야 합니다. IAM 사용자의 암호를 보호하지 않으면 사용자 암호 또는 암호를 90일에 한 번 이상 변경해야 하는 요구 사항을 위반할 수있습니다. 기본 이름은MaxPasswordAge매개 변수가 90일로 설정되어 있습니다. 암호가 만료된 후에는IAM 사용자가 암호를 변경할 때까지 계정에 액세스할 수 없습니다.

PI의 DSS 8.2.5 개인이 사용했던 마지막 네 개의 비밀번호/암호문 중 하나와 동일한 새 비밀번호/암호를 제출하는 것을 허용하지 마십시오.

IAM 사용자가AWS계정을 사용하는 경우 IAM 암호 정책을 적절하게 구성해야 합니다. IAM 사용자의 암호를 보호하지 않으면 개인이 이전 4가지 암호 또는 암호 문구와 동일한 새 암호 또는 암호를 제출하지못하도록 해야 하는 요구 사항을 위반할 수 있습니다. 기본적으로PasswordReusePrevention다음의경우 이 로 설정됩니다.4를 사용하면 사용자가 마지막 네 개의 암호를 재사용하지 못하게 할 수 있습니다.

Remediation

IAM 콘솔을 사용하여 암호 정책을 수정할 수 있습니다.


1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. UNR액세스 관리를 선택하고계정 설정.3. Prevent password reuse(암호 재사용 제한)를 선택합니다. Number of passwords to remember(기억할

암호 수)에 24를 입력합니다.4. 선택암호 정책 변경.5. Select라틴 문자에서 하나 이상의 대문자 필요 (A-Z).6. Select라틴 문자에서 하나 이상의 소문자 필요 (a-z).7. SelectRequres at least one non-alphanumeric (! @#$%^&* () _+-= [] {} |').8. Select1개 이상의 숫자 필수.9. 용최소 암호 길이 적용를 입력합니다.14.10. Select암호 만료 활성화. 용일 (들) 에 비밀번호 만료를 입력합니다.90.11. [Save changes]를 선택합니다.

[PCI.KMS.1] 고객 마스터 키(CMK) 교체가 활성화되어야 합니다.

심각도: Medium

리소스: AWS KMS 키

AWS Config 규칙: cmk-backing-key-rotation-enabled


이 컨트롤은 각 고객 마스터 키(CMK)에 대해 키 교체가 활성화되었는지 확인합니다. 키 구성 요소를 가져온CMK는 확인하지 않습니다.

구성 요소를 가져온 키와 AWS KMS에 저장되지 않은 키는 교체되도록 해야 합니다. AWS 관리형 고객 마스터 키는 3년에 한 번 교체됩니다.



533


https://docs.aws.amazon.com/config/latest/developerguide/cmk-backing-key-rotation-enabled.html


PCI DSS 3.6.4: 암호화 키는 암호화 기간이 끝나면 변경해야 합니다.

PCI DSS는 암호화 기간을 지정하지 않지만, 키 교체가 활성화된 경우 기본적으로 매년 교체가 이루어집니다.

고객 마스터 키(CMK)를 사용하여 카드 소지자 데이터를 암호화하는 경우, 키 교체를 활성화해야 합니다.

이는 암호화 기간이 끝나면 암호화 키를 변경하는 데 사용되는 방법입니다.

Remediation

CMK 교체를 활성화하려면

1. https://console.aws.amazon.com/kms에서 AWS KMS 콘솔을 엽니다.2. AWS 리전을 변경하려면 페이지의 오른쪽 상단에 있는 리전 선택기를 사용합니다.3. Customer managed keys(고객 관리형 키)를 선택합니다.4. 별칭 열에서 업데이트할 키의 별칭을 선택합니다.5. Key rotation(키 교체)를 선택합니다.6. Automatically rotate this CMK every year(매년 이 CMK를 자동 교체)를 선택한 후 저장을 선택합니다.

[PCI.Lambda.1] Lambda 함수는 퍼블릭 액세스를 금지해야 합니다.심각도: 심각

리소스: Lambda 함수

AWS Config 규칙: lambda-function-public-access-prohibited


이 컨트롤은 Lambda 함수 리소스 기반 정책이 퍼블릭 액세스를 금지를 여부를 확인합니다.

IAM 역할과 같은 내부 보안 주체의 Lambda 함수에 대한 액세스를 확인하지 않습니다. 최소 권한 Lambda 리소스 기반 정책을 사용하여 Lambda 함수에 대한 액세스를 권한 있는 보안 주체로만 제한해야 합니다.

리소스 기반 정책을 사용하는 방법에 대한 자세한 내용은AWS Lambda에 대한 자세한 내용은AWS Lambda개발자 안내서.

Note


• 아시아 태평양(오사카)• 중국(베이징)• 중국(닝샤)




PCI DSS의 범위에 있는 Lambda 함수를 사용하는 경우, 해당 함수에 퍼블릭 액세스가 가능해서는 안 됩니다. 퍼블릭 액세스가 가능한 함수는 CDE와 송수신할 때 필요한 트래픽만 허용해야 하는 요구 사항을위반할 수 있습니다.

534

https://console.aws.amazon.com/kms

https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html

https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html




PCI DSS의 범위에 있는 Lambda 함수를 사용하는 경우, 해당 함수에 퍼블릭 액세스가 가능해서는 안 됩니다. 퍼블릭 액세스가 가능한 함수는 퍼블릭 액세스가 가능한 권한 있는 서비스, 프로토콜 및 포트를 제공하는 시스템 구성 요소로만 인바운드 트래픽을 제한해야 하는 요구 사항을 위반할 수 있습니다.


PCI DSS의 범위에 있는 Lambda 함수를 사용하는 경우, 해당 함수에 퍼블릭 액세스가 가능해서는 안 됩니다. 퍼블릭 액세스가 가능한 함수는 인바운드 인터넷 트래픽을 DMZ 내 IP 주소로 제한해야 하는 요구사항을 위반할 수 있습니다.


PCI DSS의 범위에 있는 Lambda 함수를 사용하는 경우, 해당 함수에 퍼블릭 액세스가 가능해서는 안 됩니다. 퍼블릭 액세스가 가능한 함수는 카드 소지자 데이터 환경에서 인터넷으로의 권한 없는 아웃바운드트래픽을 차단해야 하는 요구 사항을 위반할 수 있습니다.


PCI DSS의 범위에 있는 Lambda 함수를 사용하는 경우, 해당 함수에 퍼블릭 액세스가 가능해서는 안 됩니다. 퍼블릭 액세스가 가능한 함수는 카드 소지자의 데이터가 포함된 시스템 구성 요소에 대한 액세스를 필요한 최소 권한 또는 사용자에게 필요한 사항으로 제한해야 하는 요구 사항을 위반할 수 있습니다.

Remediation

이 문제를 해결하려면 퍼블릭 액세스가 가능한 Lambda 함수를 프라이빗 Lambda 함수로 변경하도록 리소스기반 정책을 업데이트합니다.

Lambda 리소스에 대한 리소스 기반 정책만 업데이트할 수 있습니다.AddPermission및AddLayerVersionPermissionAPI 작업을 선택합니다.

Lambda 리소스에 대한 정책을 JSON으로 작성할 수 없으며, CLI 또는 SDK를 사용하여 해당 작업에 대한 파라미터로 매핑되지 않는 조건은 사용할 수 없습니다.

이AWS CLI에서 함수 사용 권한을 취소하려면AWS서비스 또는 다른 계정

1. GetPolicy 출력에서 문의 ID를 가져오려면 AWS CLI에서 다음을 실행합니다.

aws lambda get-policy —function-name yourfunctionname

이 명령은 퍼블릭 액세스가 가능한 Lambda 함수와 연결된 Lambda 리소스 기반 정책 문자열을 반환합니다.

2. get-policy 명령에 의해 반환된 정책 설명에서 Sid 필드의 문자열 값을 복사합니다.3. AWS CLI에서 다음을 실행합니다.

aws lambda remove-permission --function-name yourfunctionname —statement-id youridvalue

Lambda 콘솔을 사용하여 Lambda 함수에 대한 액세스를 제한하려면

1. AWS Lambdahttps://console.aws.amazon.com/lambda/에서 콘솔을 엽니다.2. 로 이동합니다.함수에서 공개적으로 액세스 가능한 Lambda 함수를 선택합니다.3. 디자이너 아래에서 왼쪽 상단에 있는 키 아이콘을 선택합니다. 도구 설명 권한 보기가 있습니다.

535

https://docs.aws.amazon.com/lambda/latest/dg/API_AddPermission.html

https://docs.aws.amazon.com/lambda/latest/dg/API_AddLayerVersionPermission.html

https://console.aws.amazon.com/lambda/


4. 함수 정책 아래에서 정책이 보안 주체 요소 “*” 또는 {“AWS”: “*”}에 대한 작업을 허용하는 경우 퍼블릭 액세스가 가능한 것입니다.

다음 IAM 조건을 추가하여 계정에 대해서만 액세스 범위를 지정하는 것을 고려해 보십시오.

"Condition": { "StringEquals": { "AWS:SourceAccount": "<account_id>" } }}

리소스 기반 정책을 사용하여 리소Lambda 별로 다른 계정에 사용 권한을 부여합니다.AWS Lambda의AWSLambda개발자 안내서.

[PCI.Lambda.2] Lambda 함수는 VPC에 있어야 합니다.심각도: 낮음


AWS Config 규칙: lambda-inside-vpc


이 컨트롤은 Lambda 함수가 VPC 있는지 여부를 확인합니다.

퍼블릭 연결성을 확인하기 위해 VPC 서브넷 라우팅 구성을 평가하지 않습니다.

Lambda @Edge 계정에 있는 경우 이 컨트롤은 실패한 결과를 생성합니다. 이러한 결과를 방지하려면이 컨트롤을 사용하지 않도록 설정할 수 있습니다.

Note


• 아시아 태평양(오사카)• 중국(베이징)• 중국(닝샤)




기본적으로 Lambda 는 안전한 기본 VPC 함수를 실행합니다.AWS서비스와 인터넷을 연결합니다.

PCI DSS 범위에 있는 Lambda 함수를 사용하는 경우, VPC 엔드포인트를 사용하도록 함수를 구성할 수있습니다. 이렇게 하면 VPC 내에서 인터넷 액세스 권한 없이 Lambda 함수에 연결할 수 있습니다. 이 방법은 CDE와 송수신할 때 필요한 트래픽만 허용하는 데 사용됩니다.



PCI DSS 범위에 있는 Lambda 함수를 사용하는 경우, VPC 엔드포인트를 사용하도록 함수를 구성할 수있습니다. 이를 통해 VPC 내에서 인터넷 액세스 없이 Lambda 함수에 연결할 수 있습니다. 이 방법은 퍼

536



https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html


블릭 액세스가 가능한 권한 있는 서비스, 프로토콜 및 포트를 제공하는 시스템 구성 요소로만 인바운드트래픽을 제한하는 데 사용되는 방법입니다.



PCI DSS 범위에 있는 Lambda 함수를 사용하는 경우, VPC 엔드포인트를 사용하도록 함수를 구성할 수있습니다. 이를 통해 VPC 내에서 인터넷 액세스 없이 Lambda 함수에 연결할 수 있습니다. 인바운드 인터넷 트래픽을 DMZ 내 IP 주소로 제한하는 데 사용되는 방법입니다.


기본적으로 Lambda 는 안전한 기본 VPC 함수를 실행합니다.AWS서비스 및 인터넷.

PCI DSS 범위에 있는 Lambda 함수를 사용하는 경우, VPC 엔드포인트를 사용하도록 함수를 구성할 수있습니다. 이를 통해 VPC 내에서 인터넷 액세스 없이 Lambda 함수에 연결할 수 있습니다. 이 방법은 카드 소지자 데이터 환경에서 인터넷으로의 권한 없는 아웃바운드 트래픽을 차단하는 데 사용됩니다.

Remediation

계정에서 VPC(Virtual Private Cloud)의 프라이빗 서브넷에 연결되도록 함수를 구성하려면

1. AWS Lambdahttps://console.aws.amazon.com/lambda/에서 콘솔을 엽니다.2. 로 이동합니다.함수Lambda 함수를 선택합니다.3. 네트워크로 스크롤한 후 함수의 연결 요구 사항이 있는 VPC를 선택합니다.4. 고가용성 모드에서 함수를 실행하려면 서브넷을 두 개 이상 선택할 것을 권장합니다.5. 함수의 연결 요구 사항이 있는 보안 그룹을 하나 이상 선택합니다.6. Save를 선택합니다.

자세한 내용은 VPC 리소스에 액세스하도록 Lambda 함수를 구성하는 방법에 대한 단원을 참조하십시오.AWS Lambda개발자 안내서.

[PCI.RDS. 1] RDS 스냅샷은 퍼블릭 액세스를 금지해야 합니다.심각도: 심각

리소스: Amazon RDS DB 스냅샷

AWS Config 규칙: rds-snapshots-public-prohibited


이 컨트롤은 Amazon RDS DB 스냅샷이 다른 계정의 액세스를 금지하는지 여부를 확인합니다. 또한 스냅샷에 대한 액세스 및 Amazon RDS 구성 변경 권한이 권한 있는 보안 주체로만 제한되도록 해야 합니다.

Amazon RDS에서 DB 스냅샷 공유에 대한 자세한 내용은Amazon RDS 사용 설명서.

퍼블릭 액세스를 허용하도록 구성을 변경하면 AWS Config 규칙이 최대 12시간 동안 변경 사항을 감지하지못할 수 있습니다. AWS Config 규칙이 변경 사항을 감지할 때까지 구성이 규칙을 위반하더라도 확인을 통과합니다.

Note



537


https://docs.aws.amazon.com/lambda/latest/dg/configuration-vpc.html

https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html




을 PCI 버전 1.2.1 인바운드 및 아웃바운드 트래픽을 카드 소지자 데이터 환경 (CDE) 에 필요한 트래픽으로제한하고 특히 다른 모든 트래픽을 거부합니다.

RDS 스냅샷은 특정 시점에 RDS 인스턴스의 데이터를 백업하는 데 사용됩니다. RDS 인스턴스의 이전상태를 복원하는 데 사용할 수 있습니다.

RDS 스냅샷이 카드 소지자 데이터를 저장하는 경우, RDS 스냅샷을 다른 계정에서 공유하면 안 됩니다. RDS 스냅샷을 공유하면 다른 계정이 스냅샷에서 RDS 인스턴스를 복원할 수 있습니다. 이렇게 하면CDE와 송수신할 때 필요한 트래픽만 허용해야 하는 요구 사항을 위반할 수 있습니다.

DSS 1.3.1 퍼블릭 액세스가 가능한 권한 있는 서비스, 프로토콜 및 포트를 제공하는 시스템 구성 요소로만인바운드 트래픽을 제한하려면 DMZ를 구현합니다.


RDS 스냅샷이 카드 소지자 데이터를 저장하는 경우, RDS 스냅샷을 다른 계정에서 공유하면 안 됩니다.RDS 스냅샷을 공유하면 다른 계정이 스냅샷에서 RDS 인스턴스를 복원할 수 있습니다. 퍼블릭 액세스가 가능한 권한 있는 서비스, 프로토콜 및 포트를 제공하는 시스템 구성 요소로만 인바운드 트래픽을 제한해야 하는 요구 사항을 위반할 수 있습니다.

을 PCI 버전 1.3.4 카드 소지자 데이터 환경에서 인터넷으로의 권한 없는 아웃바운드 트래픽을 허용하지 않습니다.


RDS 스냅샷이 카드 소지자 데이터를 저장하는 경우, RDS 스냅샷을 다른 계정에서 공유하면 안 됩니다.RDS 스냅샷을 공유하면 다른 계정이 스냅샷에서 RDS 인스턴스를 복원할 수 있습니다. 이를 허용하면카드 소지자 데이터 환경에서 인터넷으로의 권한 없는 아웃바운드 트래픽을 차단해야 하는 요구 사항을위반할 수 있습니다.

을 PCI 버전 데이터베이스 등 카드 소지자 데이터가 저장된 시스템 구성 요소를 내부 네트워크 영역에 DMZ및 신뢰할 수 없는 기타 네트워크와 격리하여 배치합니다.


RDS 스냅샷이 카드 소지자 데이터를 저장하는 경우, RDS 스냅샷을 다른 계정에서 공유하면 안 됩니다.RDS 스냅샷을 공유하면 다른 계정이 스냅샷에서 RDS 인스턴스를 복원할 수 있습니다. 이를 허용하면카드 소지자 데이터가 저장된 시스템 구성 요소를 내부 네트워크 영역에 DMZ 및 신뢰할 수 없는 기타 네트워크와 격리하여 배치해야 하는 요구 사항을 위반할 수 있습니다.

DSS 7.2.1 시스템 구성 요소에 사용자에게 필요한 사항을 기준으로 액세스를 제한하고 특별히 허용하지 않는 한 “모두 거부”로 설정된 액세스 제어 시스템을 설정합니다. 이 액세스 제어 시스템에는 다음 사항이 포함되어야 합니다. 모든 시스템 구성 요소의 적용 범위.


RDS 스냅샷이 카드 소지자 데이터를 저장하는 경우, RDS 스냅샷을 다른 계정에서 공유하면 안 됩니다.RDS 스냅샷을 공유하면 다른 계정이 스냅샷에서 RDS 인스턴스를 복원할 수 있습니다. 이를 허용하면카드 소지자 데이터가 포함된 시스템 구성 요소에 대한 액세스를 필요한 최소 권한 또는 사용자에게 필요한 사항으로 제한해야 하는 요구 사항을 위반할 수 있습니다.

Remediation

Amazon RDS 스냅샷에 대한 퍼블릭 액세스를 제거하려면

538


1. 에서 Amazon RDS 콘솔을 엽니다.https://console.aws.amazon.com/rds/.2. 스냅샷으로 이동한 후 수정할 퍼블릭 스냅샷을 선택합니다.3. 작업 목록에서 스냅샷 공유를 선택합니다.4. DB 스냅샷 공개 여부에서 프라이빗을 선택합니다.5. DB 스냅샷 공개 여부 아래에서 for all(모두에게)을 선택합니다.6. 저장을 선택합니다.

[PCI.RDS.2] RDS DB 인스턴스는 퍼블릭 액세스를 금지해야 합니다.심각도: 심각

리소스: RDS DB 인스턴스

AWS Config 규칙: rds-instance-public-access-check


이 컨트롤은 인스턴스 구성 항목의 publiclyAccessible 필드를 평가하여 RDS 인스턴스에 퍼블릭 액세스가 가능한지 여부를 확인합니다. publiclyAccessible의 값은 DB 인스턴스에 퍼블릭 액세스가 가능한지 여부를 나타냅니다. DB 인스턴스에 퍼블릭 액세스가 가능한 경우 퍼블릭 IP 주소로 확인되는 공개적으로확인 가능한 DNS 이름을 가진 인터넷 경계 인스턴스인 것입니다. DB 인스턴스에 퍼블릭 액세스가 불가한경우 프라이빗 IP 주소로 확인되는 DNS 이름을 가진 내부 인스턴스인 것입니다.

컨트롤은 VPC 서브넷 라우팅 설정이나 보안 그룹 규칙을 확인하지 않습니다. 또한 VPC 서브넷 라우팅이 퍼블릭 액세스를 허용하지 않으며, RDS 인스턴스와 연결된 보안 그룹 인바운드 규칙이 무제한 액세스(0.0.0.0/0)를 허용하지 않도록 해야 합니다. 또한 RDS 인스턴스 설정 및 리소스를 수정하는 사용자의 IAM 권한을 제한하여 RDS 인스턴스 구성에 대한 액세스가 권한 있는 사용자로만 제한되도록 해야 합니다.

자세한 내용은 단원을 참조하십시오.VPC 있는 DB 인스턴스를 인터넷에서 숨기기의Amazon RDS 사용 설명서.




PCI DSS의 범위에 있는 RDS 인스턴스를 사용하는 경우, RDS 인스턴스에 퍼블릭 액세스가 가능해서는안 됩니다. 이 경우 CDE와 송수신할 때 필요한 트래픽만 허용해야 하는 요구 사항을 위반할 수 있습니다.


RDS 인스턴스를 사용하여 카드 소지자 데이터를 저장하는 경우, RDS 인스턴스에 퍼블릭 액세스가 가능해서는 안 됩니다. 퍼블릭 액세스가 가능한 권한 있는 서비스, 프로토콜 및 포트를 제공하는 시스템 구성 요소로만 인바운드 트래픽을 제한해야 하는 요구 사항을 위반할 수 있습니다.

을 PCI 버전 1.3.2 인바운드 인터넷 트래픽을 DMZ 내 IP 주소로 제한합니다.

RDS 인스턴스를 사용하여 카드 소지자 데이터를 저장하는 경우, RDS 인스턴스에 퍼블릭 액세스가 가능해서는 안 됩니다. 인바운드 인터넷 트래픽을 DMZ 내 IP 주소로 제한해야 하는 요구 사항을 위반할 수있기 때문입니다.


RDS 인스턴스를 사용하여 카드 소지자 데이터를 저장하는 경우, RDS 인스턴스에 퍼블릭 액세스가 가능해서는 안 됩니다. 이를 허용하면 카드 소지자 데이터 환경에서 인터넷으로의 권한 없는 아웃바운드트래픽을 차단해야 하는 요구 사항을 위반할 수 있습니다.

539

https://console.aws.amazon.com/rds/

https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.WorkingWithRDSInstanceinaVPC.html#USER_VPC.Hiding



RDS 인스턴스를 사용하여 카드 소지자 데이터를 저장하는 경우, RDS 인스턴스에 퍼블릭 액세스가 가능해서는 안 됩니다. 이를 허용하면 카드 소지자 데이터가 저장된 시스템 구성 요소를 내부 네트워크 영역에 DMZ 및 신뢰할 수 없는 기타 네트워크와 격리하여 배치해야 하는 요구 사항을 위반할 수 있습니다.


RDS 인스턴스를 사용하여 카드 소지자 데이터를 저장하는 경우, RDS 인스턴스에 퍼블릭 액세스가 가능해서는 안 됩니다. 카드 소지자 데이터가 포함된 시스템 구성 요소에 대한 액세스를 필요한 최소 권한또는 사용자에게 필요한 사항으로 제한해야 하는 요구 사항을 위반할 수 있기 때문입니다.

Remediation

Amazon RDS 데이터베이스에 대한 퍼블릭 액세스를 제거하려면

1. 에서 Amazon RDS 콘솔을 엽니다.https://console.aws.amazon.com/rds/.2. Databases(데이터베이스)로 이동한 후 퍼블릭 데이터베이스를 선택합니다.3. 수정을 선택합니다.4. 다음으로 스크롤할 때네트워크 및 보안.5. 용퍼블릭 액세스 가능성를 선택하고아니요.6. 맨 아래로 스크롤한 후계속.7. UNR수정 사항를 선택하고즉시 적용.8. [Modify DB Instance]를 선택합니다.

VPC DB 인스턴스 작업에 대한 자세한 내용은Amazon RDS 사용 설명서.

[PCI.Redshift.1] Amazon Redshift 클러스터는 퍼블릭 액세스를 금지해야 합니다.

심각도: 심각

리소스: Amazon Redshift 클러스터

AWS Config 규칙: redshift-cluster-public-access-check


이 컨트롤은 Amazon Redshift 클러스터에 퍼블릭 액세스가 가능한지 여부를 확인하여publiclyAccessible필드 클러스터 구성 항목에서.

Note





Amazon Redshift 클러스터를 사용하여 카드 소지자 데이터를 저장하는 경우, 클러스터에 퍼블릭 액세스가 가능해서는 안 됩니다. 이 경우 CDE와 송수신할 때 필요한 트래픽만 허용해야 하는 요구 사항을 위반할 수 있습니다.

540


https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.WorkingWithRDSInstanceinaVPC.html

https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html



Amazon Redshift 클러스터를 사용하여 카드 소지자 데이터를 저장하는 경우, 클러스터에 퍼블릭 액세스가 가능해서는 안 됩니다. 퍼블릭 액세스가 가능한 권한 있는 서비스, 프로토콜 및 포트를 제공하는 시스템 구성 요소로만 인바운드 트래픽을 제한해야 하는 요구 사항을 위반할 수 있습니다.


Amazon Redshift 클러스터를 사용하여 카드 소지자 데이터를 저장하는 경우, 클러스터에 퍼블릭 액세스가 가능해서는 안 됩니다. 인바운드 인터넷 트래픽을 DMZ 내 IP 주소로 제한해야 하는 요구 사항을 위반할 수 있기 때문입니다.


Amazon Redshift 클러스터를 사용하여 카드 소지자 데이터를 저장하는 경우, 클러스터에 퍼블릭 액세스가 가능해서는 안 됩니다. 이를 허용하면 카드 소지자 데이터 환경에서 인터넷으로의 권한 없는 아웃바운드 트래픽을 차단해야 하는 요구 사항을 위반할 수 있습니다.


Amazon Redshift 클러스터를 사용하여 카드 소지자 데이터를 저장하는 경우, 클러스터에 퍼블릭 액세스가 가능해서는 안 됩니다. 이를 허용하면 카드 소지자 데이터가 저장된 시스템 구성 요소를 내부 네트워크 영역에 DMZ 및 신뢰할 수 없는 기타 네트워크와 격리하여 배치해야 하는 요구 사항을 위반할 수 있습니다.

Remediation

Amazon Redshift 클러스터에 대한 퍼블릭 액세스를 비활성화하려면

1. 에서 Amazon Redshift 콘솔을 엽니다.https://console.aws.amazon.com/redshift/.2. 탐색 창에서 []]]]]]클러스터를 선택한 후 퍼블릭 Amazon Redshift 클러스터를 선택합니다.3. (사용)클러스터드롭다운 메뉴에서 를 선택합니다.클러스터 수정.4. In[Publicly accessible]를 선택하고아니요.5. 수정을 선택합니다.

VPC 클러스터를 생성하는 방법에 대한 자세한 내용은Amazon Redshift 클러스터 관리 가이드.

[PCI.S3.1] S3 버킷은 퍼블릭 쓰기 액세스를 금지해야 합니다.

심각도: 심각

리소스: S3 버킷

AWS Config 규칙: s3-bucket-public-write-prohibited


이 컨트롤은 퍼블릭 액세스 차단 설정, 버킷 정책 및 버킷 ACL(액세스 제어 목록)을 평가하여 S3 버킷이 퍼블릭 쓰기 액세스를 허용하는지 여부를 확인합니다.

IAM 역할과 같은 내부 보안 주체의 버킷 쓰기 액세스 권한은 확인하지 않습니다. 버킷에 대한 액세스 권한은승인된 보안 주체로만 제한되도록 해야 합니다.



541

https://console.aws.amazon.com/redshift/

https://docs.aws.amazon.com/redshift/latest/mgmt/getting-started-cluster-in-vpc.html




S3 버킷을 사용하여 카드 소지자 데이터를 저장하는 경우, 버킷은 퍼블릭 쓰기 액세스를 금지해야 합니다. 퍼블릭 쓰기 액세스를 허용하면 CDE와 송수신할 때 필요한 트래픽만 허용해야 하는 요구 사항을 위반할 수 있습니다.


S3 버킷을 사용하여 카드 소지자 데이터를 저장하는 경우, 버킷은 퍼블릭 쓰기 액세스를 금지해야 합니다. 퍼블릭 쓰기 액세스를 허용하면 퍼블릭 액세스가 가능한 권한 있는 서비스, 프로토콜 및 포트를 제공하는 시스템 구성 요소로만 인바운드 트래픽을 제한해야 하는 요구 사항을 위반할 수 있습니다.

인터넷의 모든 사람에게 S3 버킷에 쓸 수 있도록 명시적으로 요구하지 않을 경우 S3 버킷에 공개적으로쓸 수 없도록 해야 합니다.


S3 버킷을 사용하여 카드 소지자 데이터를 저장하는 경우, 버킷은 퍼블릭 쓰기 액세스를 금지해야 합니다. 퍼블릭 쓰기 액세스를 허용하면 인바운드 인터넷 트래픽을 DMZ 내 IP 주소로 제한해야 하는 요구 사항을 위반할 수 있습니다.


S3 버킷을 사용하여 카드 소지자 데이터를 저장하는 경우, 버킷은 퍼블릭 쓰기 액세스를 금지해야 합니다. 퍼블릭 쓰기 액세스를 허용하면 카드 소지자 데이터 환경에서 인터넷으로의 권한 없는 아웃바운드트래픽을 차단해야 하는 요구 사항을 위반할 수 있습니다.


S3 버킷을 사용하여 카드 소지자 데이터를 저장하는 경우, 버킷은 퍼블릭 쓰기 액세스를 금지해야 합니다. 퍼블릭 쓰기 액세스를 허용하면 카드 소지자 데이터가 저장된 시스템 구성 요소를 내부 네트워크 영역에 DMZ 및 신뢰할 수 없는 기타 네트워크와 격리하여 배치해야 하는 요구 사항을 위반할 수 있습니다.


S3 버킷을 사용하여 카드 소지자 데이터를 저장하는 경우, 버킷은 퍼블릭 쓰기 액세스를 금지해야 합니다. 퍼블릭 쓰기 액세스를 허용하면 시스템 구성 요소에 대한 액세스를 필요한 최소 권한 또는 사용자에게 필요한 사항으로 제한해야 하는 요구 사항을 위반할 수 있습니다.

Remediation

S3 버킷에 대한 퍼블릭 액세스를 제거하려면

1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.2. 결과에서 식별된 버킷의 이름을 선택합니다.3. 권한을 선택한 다음 Public access settings(퍼블릭 액세스 설정)를 선택합니다.4. 편집을 선택하고 네 가지 옵션을 모두 선택한 후 저장을 선택합니다.5. 메시지가 표시되면 confirm을 입력한 후 확인을 선택합니다.

[PCI.S3.2] S3 버킷은 퍼블릭 읽기 액세스를 금지해야 합니다.

심각도: 심각


542



AWS Config 규칙: s3-bucket-public-read-prohibited


이 컨트롤은 퍼블릭 액세스 차단 설정, 버킷 정책 및 버킷 ACL(액세스 제어 목록)을 평가하여 S3 버킷이 퍼블릭 읽기 액세스를 허용하는지 여부를 확인합니다.

인터넷의 모든 사람에게 S3 버킷에 쓸 수 있도록 명시적으로 요구하지 않을 경우 S3 버킷에 공개적으로 쓸수 없도록 해야 합니다.

IAM 역할과 같은 내부 보안 주체의 버킷 읽기 액세스 권한은 확인하지 않습니다. 버킷에 대한 액세스 권한은승인된 보안 주체로만 제한되도록 해야 합니다.




S3 버킷을 사용하여 카드 소지자 데이터를 저장하는 경우, 버킷은 퍼블릭 읽기 액세스를 금지해야 합니다. 퍼블릭 읽기 액세스는 CDE와 송수신할 때 필요한 트래픽만 허용해야 하는 요구 사항을 위반할 수 있습니다.


S3 버킷을 사용하여 카드 소지자 데이터를 저장하는 경우, 버킷은 퍼블릭 읽기 액세스를 금지해야 합니다. 퍼블릭 읽기 액세스는 퍼블릭 액세스가 가능한 권한 있는 서비스, 프로토콜 및 포트를 제공하는 시스템 구성 요소로만 인바운드 트래픽을 제한해야 하는 요구 사항을 위반할 수 있습니다.


S3 버킷을 사용하여 카드 소지자 데이터를 저장하는 경우, 버킷은 퍼블릭 읽기 액세스를 금지해야 합니다. 퍼블릭 읽기 액세스는 인바운드 인터넷 트래픽을 DMZ 내 IP 주소로 제한해야 하는 요구 사항을 위반할 수 있습니다.


S3 버킷을 사용하여 카드 소지자 데이터를 저장하는 경우, 버킷은 퍼블릭 읽기 액세스를 금지해야 합니다. 퍼블릭 읽기 액세스는 카드 소지자 데이터가 저장된 시스템 구성 요소를 내부 네트워크 영역에 DMZ및 신뢰할 수 없는 기타 네트워크와 격리하여 배치해야 하는 요구 사항을 위반할 수 있습니다.


S3 버킷을 사용하여 카드 소지자 데이터를 저장하는 경우, 버킷은 퍼블릭 읽기 액세스를 금지해야 합니다. 퍼블릭 읽기 액세스는 시스템 구성 요소에 대한 액세스가 필요한 최소 권한 또는 사용자에게 필요한사항으로 제한해야 하는 요구 사항을 위반할 수 있습니다.

Remediation


1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.2. 결과에서 식별된 버킷의 이름을 선택합니다.3. 권한을 선택한 다음 Public access settings(퍼블릭 액세스 설정)를 선택합니다.4. 편집을 선택하고 네 가지 옵션을 모두 선택한 후 저장을 선택합니다.

543

https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html



5. 메시지가 표시되면 confirm을 입력한 후 확인을 선택합니다.

[PCI.S3.3] S3 버킷에 교차 리전 복제가 활성화되어 있어야 합니다.심각도: 낮음


AWS Config 규칙: s3-bucket-replication-enabled


이 컨트롤은 S3 버킷에 교차 리전 복제가 활성화되어 있는지 확인합니다.

PCI DSS에는 데이터 복제나 고가용성 구성이 필요하지 않습니다. 그러나 이 검사는 이 컨트롤에 대한 AWS모범 사례를 준수합니다.

가용성 외에도 다른 시스템 보안 강화 설정을 고려해야 합니다.




S3 버킷에서 교차 리전 복제를 활성화하면 서로 다른 리전에서 여러 버전의 데이터를 사용할 수 있습니다. 이를 통해 훨씬 더 먼 거리에 데이터를 저장하고, 지연 시간을 최소화하고, 운영 효율성을 높이며,DDoS 및 데이터 손상 이벤트를 방지할 수 있습니다.

이는 시스템 보안 강화 구성을 구현하는 데 사용되는 한 가지 방법입니다.

Remediation

S3 버킷 복제를 활성화하려면

1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.2. 교차 리전 복제가 활성화되지 않은 S3 버킷을 선택합니다.3. 선택Management를 선택한 후복제.4. [Add another rule]을 선택합니다. 버전 관리가 아직 활성화되지 않은 경우, 활성화하라는 메시지가 표시

됩니다.5. 소스 버킷을 선택합니다 -버킷 전체.6. 대상 버킷을 선택합니다. 계정의 대상 버킷에서 버전 관리가 아직 활성화되지 않은 경우, 이를 활성화하

라는 메시지가 표시됩니다.7. IAM 역할 선택 복제에 대한 권한 설정에 대한 자세한 내용은Amazon Simple Storage Service 개발자 안

내서.8. 규칙 이름을 입력하고활성화됨을 선택한 후다음.9. Save를 선택합니다.

복제에 대한 자세한 내용은 단원을 참조하십시오.Amazon Simple Storage Service 개발자 안내서.

[PCI.S3.4] S3 버킷에는 서버 측 암호화가 활성화되어 있어야 합니다.심각도: Medium


544

https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-replication-enabled.html


https://docs.aws.amazon.com/AmazonS3/latest/dev/setting-repl-config-perm-overview.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/setting-repl-config-perm-overview.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/replication.html


AWS Config 규칙: s3-bucket-server-side-encryption-enabled


이 컨트롤은 Amazon S3 버킷에 Amazon S3 기본 암호화가 활성화되어 있는지 또는 S3 버킷 정책이 서버 측암호화되지 않은 put-object 요청을 명시적으로 거부하는지 확인합니다.

버킷에 기본 암호화를 설정하면 클리어 텍스트 PAN 데이터를 포함하여 버킷에 저장된 모든 새 객체가 저장될 때 암호화됩니다.

버킷에 저장된 모든 객체에 대한 서버 측 암호화는 버킷 정책을 사용하여 적용할 수도 있습니다. 서버 측 암호화에 대한 자세한 내용은Amazon Simple Storage Service 개발자 안내서.




S3 버킷을 사용하여 신용 카드 PAN(기본 계정 번호)을 저장한 후 PAN을 읽을 수 없게 하려면, 버킷 기본 암호화를 활성화하거나 S3 버킷 정책에서 서버 측 암호화되지 않은 put-object 요청을 명시적으로 거부해야 합니다.

Remediation

S3 버킷에 대한 기본 암호화를 활성화하려면

1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.2. 목록에서 버킷을 선택합니다.3. [Properties]를 선택합니다.4. Default encryption(기본 암호화)을 선택합니다.5. 암호화에서 다음 중 하나를 선택합니다.AES-또는AWS-KMS.

• 기본 암호화에 Amazon S3 에서 관리하는 키를 사용하려면AES-. Amazon S3 서버 측 암호화를 사용하는 데이터 암호화에 대한 자세한 내용은 단원을 참조하세요.Amazon Simple Storage Service 개발자 안내서.

• 에서 관리하는 키를 사용하려면AWS KMS기본 암호화에 대해AWS-KMS. 그런 다음 생성한 AWSKMS 마스터 키 목록에서 마스터 키를 선택합니다.

사용할 AWS KMS 키의 Amazon 리소스 이름(ARN)을 입력합니다. ARN 찾을 수 있습니다.AWS KMS키를 실행하려면암호화 키. 또는 드롭다운 목록에서 키 이름을 선택할 수 있습니다.

Important

기본 암호화 구성에 대해 AWS KMS 옵션을 사용할 경우 AWS KMS에 대한 RPS(초당 요청수) 제한이 적용됩니다. 에 대한 자세한 내용AWS KMS제한과 한도 증가를 요청하는 방법에대한 자세한 내용은AWS Key Management Service개발자 안내서.

생성에 대한 자세한 내용은AWS KMS키에 대한 자세한 내용은AWS Key Management Service개발자안내서.

사용에 관한 자세한 내용은 단원을 참조하십시오.AWS KMSAmazon S3 S3에서 을 (를) 사용하려면Amazon Simple Storage Service 개발자 안내서.

기본 암호화를 활성화할 때 버킷 정책을 업데이트해야 할 수 있습니다. 버킷 정책에서 기본 암호화로 이동에 대한 자세한 내용은 를 참조하십시오.Amazon Simple Storage Service 개발자 안내서.

545

https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html





https://docs.aws.amazon.com/kms/latest/developerguide/limits.html

https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html


https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingKMSEncryption.html

https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html#bucket-encryption-update-bucket-policy


6. Save를 선택합니다.

기본 S3 버킷 암호화에 대한 자세한 내용은Amazon Simple Storage Service 콘솔 사용자 안내서.

[PCI.S3.5] S3 버킷은 보안 소켓 계층 사용을 요구해야 합니다

심각도: Medium

리소스: S3 Bucket

AWS Config 규칙: s3-bucket-ssl-requests-only


이 컨트롤은 Amazon S3 버킷에 SSL (Secure Socket Layer) 사용하도록 요구하는 정책이 있는지 확인합니다.

S3 버킷에는 모든 요청 (Action: S3:*) 을 사용하여 조건 키로 표시된 S3 리소스 정책에서 HTTPS를 통한데이터 전송만 수락합니다.aws:SecureTransport.

SSL 또는 TLS 버전은 확인하지 않습니다. PCI DSS 요구 사항에 따라 초기 버전의 SSL 또는 TLS (SSLv3,TLS1.0) 를 허용해서는 안 됩니다.



PCI DSS 4.1 강력한 암호화 및 보안 프로토콜을 사용하여 개방형 공용 네트워크를 통해 전송하는 동안 중요한 카드 소지자 데이터를 보호합니다.

S3 버킷을 사용하여 카드 소지자 데이터를 저장하는 경우 버킷 정책에 따라 버킷에 대한 요청이HTTPS를 통한 데이터 전송만 허용하도록 요구해야 합니다. 예를 들어 정책 설명을 사용할 수 있습니다."aws:SecureTransport": "false"를 사용하여 HTTPS를 통해 액세스되지 않는 요청을 거부합니다 카드 소지자 데이터의 암호화되지 않은 전송을 허용하면 공개 네트워크를 통해 전송되는 동안 중요한 카드 소지자 데이터를 보호하기 위해 강력한 암호화 및 보안 프로토콜을 사용해야 하는 요구 사항을위반할 수 있습니다.

Remediation

이 문제를 해결하려면 S3 버킷의 권한 정책을 업데이트하십시오.

S3 버킷을 구성하여 비보안 전송을 거부하려면

1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.2. 비준수 버킷으로 이동한 다음 버킷 이름을 선택합니다.3. 권한을 선택하고 버킷 정책을 선택합니다.4. 아래 정책에 비슷한 정책 설명을 추가합니다. Replaceawsexamplebucket를 수정 중인 버킷의 이름으

로 바꿉니다.

{ "Id": "ExamplePolicy", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSSLRequestsOnly", "Action": "s3:*", "Effect": "Deny",

546

https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html

https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html



"Resource": [ "arn:aws:s3:::awsexamplebucket", "arn:aws:s3:::awsexamplebucket/*" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } }, "Principal": "*" } ]}


자세한 내용은 지식 센터 문서 단원을 참조하십시오.어떤 S3 버킷 정책을 사용해야 합니까?AWS Config규칙s3-bucket-ssl-requests-only?.

[PCI.S3.6] S3 블록 퍼블릭 액세스 설정을 활성화해야 합니다.

심각도: Medium

리소스: S3AWSaccount

AWS Config 규칙: s3-account-level-public-access-blocks

파라미터:

• ignorePublicAcls: true• blockPublicPolicy: true• blockPublicAcls: true• restrictPublicBuckets: true

이 컨트롤은 다음 퍼블릭 액세스 차단 설정이 계정 수준에서 구성되어 있는지 확인합니다.

• ignorePublicAcls: true,• blockPublicPolicy: true• blockPublicAcls: true• restrictPublicBuckets: true

모든 공용 액세스 차단 설정이true.

설정 중 하나라도 설정되어 있으면 컨트롤이 실패합니다.false또는 설정 중 하나라도 구성되지 않은 경우설정에 값이 없으면AWS Config규칙의 평가를 완료할 수 없습니다.

로AWS모범 사례에 따르면 S3 버킷은 공용 액세스를 차단해야합니다. 인터넷의 모든 사람에게 S3 버킷에 액세스할 수 있도록 명시적으로 요구하지 않을 경우 S3 버킷에 공개적으로 액세스할 수 없도록 해야 합니다.

Note


• 아시아 태평양(오사카)• 유럽(밀라노)• 중동(바레인)

547

http://aws.amazon.com/premiumsupport/knowledge-center/s3-bucket-policy-for-config-rule/


https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks.html





S3 버킷을 사용하여 카드 소지자 데이터를 저장하는 경우 버킷이 공용 액세스를 허용하지 않는지 확인합니다. S3 버킷에 퍼블릭 액세스는 CDE와 송수신할 때 필요한 트래픽만 허용해야 하는 요구 사항을 위반할 수 있습니다.


S3 버킷을 사용하여 카드 소지자 데이터를 저장하는 경우 버킷이 공용 액세스를 허용하지 않는지 확인합니다. S3 버킷에 대한 퍼블릭 액세스를 허용하면 퍼블릭 액세스가 가능한 권한 있는 서비스, 프로토콜및 포트를 제공하는 시스템 구성 요소로만 인바운드 트래픽을 제한해야 하는 요구 사항을 위반할 수 있습니다.


S3 버킷을 사용하여 카드 소지자 데이터를 저장하는 경우 버킷이 공용 액세스를 허용하지 않는지 확인합니다. S3 버킷에 퍼블릭 액세스를 허용하면 인바운드 트래픽을 DMZ 내 IP 주소로 제한해야 하는 요구사항을 위반할 수 있습니다.


S3 버킷을 사용하여 카드 소지자 데이터를 저장하는 경우 버킷이 공용 액세스를 허용하지 않는지 확인합니다. S3 버킷에 대한 퍼블릭 액세스를 허용하면 카드 소지자 데이터 환경에서 인터넷으로의 권한 없는 아웃바운드 트래픽을 차단해야 하는 요구 사항을 위반할 수 있습니다.


S3 버킷을 사용하여 카드 소지자 데이터를 저장하는 경우 버킷이 공용 액세스를 허용하지 않는지 확인합니다. S3 버킷에 대한 퍼블릭 액세스를 허용하면 카드 소지자 데이터가 저장된 시스템 구성 요소를 내부 네트워크 영역에 DMZ 및 신뢰할 수 없는 기타 네트워크와 격리하여 배치해야 하는 요구 사항을 위반할 수 있습니다.

Remediation

Amazon S3 퍼블릭 액세스 차단을 활성화하려면

1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.2. 탐색 창에서 []]]]]]퍼블릭 액세스 차단 (계정 설정).3. [Edit]를 선택합니다. 그런 다음블록all퍼블릭 액세스.4. [Save changes]를 선택합니다.

자세한 내용은 단원을 참조하십시오.Amazon S3 퍼블릭 액세스 차단 사용의Amazon Simple StorageService 개발자 안내서.

[PCI.sagemaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.

심각도: 높음

리소스: SageMaker:NotebookInstance

548


https://docs.aws.amazon.com/AmazonS3/latest/dev/access-control-block-public-access.html


AWS Config 규칙: sagemaker-notebook-no-direct-internet-access


이 컨트롤은 SageMaker 노트북 인스턴스에 대해 직접 인터넷 액세스가 비활성화되는지 확인합니다. 이를위해, 그것은 여부를 확인DirectInternetAccess필드는 노트북 인스턴스에 대해 비활성화됩니다.

VPC 없이 SageMaker 인스턴스를 구성하는 경우 기본적으로 인스턴스에서 직접 인터넷 액세스가 활성화됩니다. VPC 로 인스턴스를 구성하고 기본 설정을Disable — VPC 통해 인터넷에 액세스.

노트북에서 모델을 교육하거나 호스트하려면 인터넷에 연결되어 있어야 합니다. 인터넷 액세스를 활성화하려면 VPC NAT 게이트웨이가 있고 보안 그룹이 아웃바운드 연결을 허용하는지 확인합니다. 노트북 인스턴스를 VPC 리소스에 연결하는 방법에 대한 자세한 내용은 단원을 참조하십시오.노트북 인스턴스를 VPC 리소스에 Connect의Amazon SageMaker 개발자 안내서.

또한 SageMaker 구성에 대한 액세스가 권한 있는 사용자로만 제한되도록 해야 합니다. 사용자의 IAM 권한을 제한하여 SageMaker 설정 및 리소스를 수정할 수 있습니다.

Note


• 아프리카(케이프타운)• 아시아 태평양(오사카)• 중국(베이징)• 중국(닝샤)• 유럽(밀라노)• AWS GovCloud(미국 동부)




CDE 내에서 SageMaker 노트북 인스턴스를 사용하는 경우 노트북 인스턴스가 직접 인터넷 액세스를 허용하지 않는지 확인합니다. 노트북 인스턴스에 대한 퍼블릭 액세스를 허용하면 CDE와 송수신할 때 필요한 트래픽만 허용해야 하는 요구 사항을 위반할 수 있습니다.


CDE 내에서 SageMaker 노트북 인스턴스를 사용하는 경우 노트북 인스턴스가 직접 인터넷 액세스를 허용하지 않는지 확인합니다. 퍼블릭 노트북 인스턴스에 대한 직접 액세스를 허용하면 퍼블릭 액세스가 가능한 권한 있는 서비스, 프로토콜 및 포트를 제공하는 시스템 구성 요소로만 액세스를 허용해야 하는 요구 사항을 위반할 수 있습니다.


CDE 내에서 SageMaker 노트북 인스턴스를 사용하는 경우 노트북 인스턴스가 직접 인터넷 액세스를 허용하지 않는지 확인합니다. 노트북 인스턴스에 대한 퍼블릭 액세스를 허용하면 인바운드 트래픽을 DMZ내 IP 주소로 제한해야 하는 요구 사항을 위반할 수 있습니다.


CDE 내에서 SageMaker 노트북 인스턴스를 사용하는 경우 노트북 인스턴스가 직접 인터넷 액세스를 허용하지 않는지 확인합니다. 노트북 인스턴스에 대한 퍼블릭 액세스를 허용하면 카드 소지자 데이터 환경에서 인터넷으로의 권한 없는 아웃바운드 트래픽을 차단해야 하는 요구 사항을 위반할 수 있습니다.

549

https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html

https://docs.aws.amazon.com/sagemaker/latest/dg/appendix-notebook-and-internet-access.html




SageMaker 노트북 인스턴스를 사용하고 노트북 인스턴스에 카드 소지자 데이터가 포함된 경우 직접 인터넷 액세스를 제한합니다. 노트북 인스턴스에 대한 퍼블릭 액세스를 허용하면 카드 소지자 데이터가 저장된 시스템 구성 요소를 내부 네트워크 영역에 DMZ 및 신뢰할 수 없는 기타 네트워크와 격리하여 배치해야 하는 요구 사항을 위반할 수 있습니다.

Remediation

노트북 인스턴스를 만든 후에는 인터넷 액세스 설정을 변경할 수 없습니다. 중지, 삭제 및 다시 작성해야 합니다.

직접 인터넷 액세스를 거부하도록 SageMaker 노트북 인스턴스를 구성하려면

1. 에서 SageMaker 콘솔을 엽니다.https://console.aws.amazon.com/sagemaker/2. 로 이동합니다.노트북 인스턴스.3. 직접 인터넷 액세스가 활성화된 인스턴스를 삭제합니다. 인스턴스를 선택하고작업을 선택한 다음 중지

를 선택합니다.

인스턴스가 중지되면 [] 를 선택합니다.작업을 선택한 다음삭제.4. 노트북 인스턴스 생성을 선택합니다. 구성 세부 정보를 입력합니다.5. 확장네트워크섹션을 참조하십시오. 그런 다음 VPC, 서브넷 및 보안 그룹을 선택합니다. UNR직접 인터

넷 액세스를 선택하고Disable — VPC 통해 인터넷에 액세스.6. 노트북 인스턴스 생성을 선택합니다.

자세한 내용은 단원을 참조하십시오.노트북 인스턴스를 VPC 리소스에 Connect의Amazon SageMaker 개발자 안내서.

[PCI.SSM.1] 패치 설치 후 Systems Manager 관리하는 Amazon EC2 인스턴스의패치 규정 준수 상태가 COMPLIANT여야 합니다.심각도: Medium

리소스: SSM 패치 규정 준수 및 Amazon EC2 인스턴스

AWS Config 규칙: ec2-managedinstance-patch-compliance-status-check


이 컨트롤은 Amazon EC2 Systems Manager 패치 규정 준수의 규정 준수 상태가COMPLIANT또는NON_COMPLIANT인스턴스에 패치 설치 후

AWS Systems Manager 패치 관리자가 관리하는 인스턴스만 확인합니다.

패치가 PCI DSS 요구 사항 6.2에 규정된 30일 제한 내에 적용되었는지 여부는 확인하지 않습니다.

또한 적용된 패치가 보안 패치로 분류되었는지 여부도 검증하지 않습니다.

적절한 기준 설정을 사용하여 패치 그룹을 만들고 시스템 Systems Manager 해당 패치 그룹에 의해 범위내 시스템이 관리되는지 확인해야 합니다. 패치 그룹에 대한 자세한 내용은 단원을 참조하십시오.AWSSystems Manager사용 설명서.

Note


• 아프리카(케이프타운)

550

https://console.aws.amazon.com/sagemaker/


https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-patch-group-tagging.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-patch-group-tagging.html


• 아시아 태평양(오사카)• 유럽(밀라노)



PCI 버전 6.2: 공급업체에서 제공하는 해당 보안 패치를 설치하여 모든 시스템 구성 요소 및 소프트웨어가 알려진 취약성으로부터 보호되는지 확인합니다. 출시 후 1개월 이내에 주요 보안 패치를 설치합니다.

PCI DSS의 범위 내에 있는 시스템에 대해 공급업체에서 출시한 패치는 프로덕션 환경에 설치하기 전에테스트하고 검증해야 합니다. 배포한 후에는 배포된 패치가 카드 소지자 데이터 환경 (CDE) 의 보안에영향을 미치지 않도록 보안 설정 및 제어 기능의 유효성을 검사해야 합니다.

에서 관리되는 Amazon EC2 인스턴스를 사용하는 경우AWS Systems Manager패치 관리자를 사용하여CDE에서 관리되는 인스턴스에 패치를 적용하는 경우, 패치가 성공적으로 적용되었는지 확인합니다. 이렇게 하려면 Amazon EC2 Systems Manager 패치 규정 준수의 규정 준수 상태가 “규정 준수”인지 확인합니다. 패치 관리자는 운영 체제와 애플리케이션에 적용 가능한 패치를 모두 적용할 수 있습니다.

이는 알려진 취약성으로부터 시스템 구성 요소 및 소프트웨어를 보호하는 데 사용되는 방법입니다.

Remediation

규정 미준수 패치를 해결하려면

이 규칙은 Amazon EC2 Systems Manager 패치 규정 준수의 규정 준수 상태가 COMPLIANT인지NON_COMPLIANT인지 확인합니다. 패치 규정 준수 상태에 대한 자세한 내용은 단원을 참조하십시오.AWSSystems Manager사용 설명서.

1. 열기AWS Systems Manager콘솔https://console.aws.amazon.com/systems-manager/.2. 탐색 창의 [] 에서노드 관리를 선택하고명령 실행.3. Run command(명령 실행)를 선택합니다.4. AWS-RunPatchBaseline 옆의 라디오 버튼을 선택한 후 작업을 설치로 변경합니다.5. 선택수동으로 인스턴스 선택를 선택한 후 규정 미준수 인스턴스를 선택합니다.6. 맨 아래로 스크롤한 후 실행을 선택합니다.7. 명령이 완료된 후 패치가 적용된 인스턴스의 새 규정 준수 상태를 모니터링하려면 탐색 창에서 규정 준

수를 선택합니다.

단원을 참조하십시오.AWS Systems Manager사용 설명서다음에 대한 자세한 내용은

• 시스템 관리자 문서를 사용하여 관리형 인스턴스에 패치 적용• Systems Manager Run 명령을 사용하여 명령 실행

[PCI.SSM.2] Systems Manager 관리하는 인스턴스는COMPLIANT심각도: 낮음

리소스: AwsSSMAssociationCompliance

AWS Config 규칙: ec2-managedinstance-association-compliance-status-check


이 컨트롤의 상태 여부를 확인합니다.AWS Systems Manager연결 규정 준수COMPLIANT또는NON_COMPLIANT인스턴스에서 연결이 실행 된 후. 연결 규정 준수 상태가COMPLIANT.

551

https://docs.aws.amazon.com/systems-manager/latest/userguide/about-patch-compliance-states.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/about-patch-compliance-states.html

https://console.aws.amazon.com/systems-manager/

https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-ssm-documents.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html

https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html


상태 관리자 연결은 관리형 인스턴스에 할당되는 구성입니다. 이러한 구성은 인스턴스에서 관리하려는 상태를 정의합니다. 예를 들어, 연결은 인스턴스에서 안티바이러스 소프트웨어가 설치되어 실행 중이어야 하는지또는 특정 포트가 닫혀 있어야 하는지를 지정할 수 있습니다.

하나 이상의 상태 관리자 연결을 만들고 나면 콘솔에서 규정 준수 상태에 대한 정보를 즉시 볼 수 있습니다.AWS CLI명령 또는 해당 Systems Manager API 작업을 수행할 수 있습니다. 협회의 경우구성 규정 준수의 상태를 표시합니다.규정 준수또는규정 미준수와 연결에 할당된 심각도 (예:심각또는Medium. 상태 관리자 연결 규정 준수 에 대한 자세한 내용은 단원을 참조하십시오.상태 관리자 준수 정보의AWS SystemsManager사용 설명서.

Systems Manager 연결을 위해 범위 내 EC2 인스턴스를 구성해야 합니다. 또한 패치 공급업체의 보안 등급에 대한 패치 기준선을 구성하고 자동 승인 날짜를 PCI DSS 3.2.1 요구 사항 6.2를 충족하도록 설정해야 합니다. 연결을 만드는 방법에 대한 자세한 내용은 단원을 참조하십시오.연결 생성의AWS Systems Manager사용 설명서. Systems Manager 패치 작업에 대한 자세한 내용은AWS Systems Manager패치 관리자의AWSSystems Manager사용 설명서.

Note





PCI DSS 2.4 PCI DSS 범위에 있는 시스템 구성 요소의 인벤토리를 유지 관리합니다.

Systems Manager 에서 관리하는 EC2 인스턴스를 사용하여 카드 소지자 데이터 환경 (CDE) 에 대한인벤토리를 수집하는 경우 인스턴스가 성공적으로 연결되었는지 확인합니다. 이렇게 하려면 SystemsManager 연결 규정 준수의 규정 준수 상태가COMPLIANT. PCI DSS 범위에 있는 시스템 구성 요소의 인벤토리를 유지 관리하는 데 도움이 됩니다. 인벤토리를 구성하는 방법에 대한 추가 지침은인벤토리의 리소스 데이터 동기화 구성의AWS Systems Manager사용 설명서.

Remediation

실패한 연결은 대상 및 SSM 문서 이름을 포함하여 다른 항목과 관련될 수 있습니다. 이 문제를 해결하려면먼저 연결을 식별하고 조사해야 합니다. 그런 다음 연결을 업데이트하여 특정 문제를 해결할 수 있습니다.

연결을 편집하여 새 이름, 일정, 심각도 수준 또는 대상을 지정할 수 있습니다. 연결을 편집하면 SystemsManager 새 버전을 만듭니다.

실패한 연결을 조사하고 업데이트하려면

1. 열기AWS Systems Manager콘솔https://console.aws.amazon.com/systems-manager/.2. 탐색 창의 [] 에서노드 관리를 선택하고플릿 관리자.3. 인스턴스 ID가 있는 인스턴스 ID를 선택합니다.연계 상태의[Failed].4. View details(세부 정보 보기)를 선택합니다.5. 선택Associations.6. 있는 연결의 이름을 적어 둡니다.연계 상태의[Failed]. 이것은 조사해야 할 협회입니다. 다음 단계에서 연

결 이름을 사용해야 합니다.7. 탐색 창의 [] 에서노드 관리를 선택하고상태 관리자. 연결 이름을 검색한 다음 연결을 선택합니다.

문제를 확인한 후 실패한 연결을 편집하여 문제를 해결하십시오. 연결을 편집하는 방법에 대한 자세한내용은 단원을 참조하십시오.연결 편집.

552

https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association

https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-state-assoc.html


https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-inventory-datasync.html



https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-state-assoc-edit.html


상태 관리자 연결 만들기 및 편집에 대한 자세한 내용은Systems Manager 연결 작업의AWS SystemsManager사용 설명서.

[PCI.SSM.3] EC2 인스턴스는 다음에 의해 관리되어야 합니다.AWS SystemsManager

심각도: Medium

리소스: AwsEc2Instance

AWS Config 규칙: ec2-instance-managed-by-systems-manager


이 컨트롤은 계정의 EC2 인스턴스가 Systems Manager 관리되는지를 확인합니다.

AWS Systems Manager는AWS를 보고 제어하기 위해 사용할 수 있는AWS인프라. 보안 및 규정 준수를 유지할 수 있도록 Systems Manager 는 관리형 인스턴스를 검사합니다. 관리형 인스턴스는 Systems Manager 함께 사용하도록 구성된 머신입니다. 그런 다음 Systems Manager 는 발견된 정책 위반에 대해 보고하거나 수정 조치를 취합니다. 또한 Systems Manager 를 사용하면 관리되는 인스턴스를 구성하고 유지 관리할 수 있습니다. 관리되는 EC2 인스턴스에 패치를 배포하려면 Systems Manager 추가 구성이 필요합니다.

자세한 내용은 단원을 참조하세요.AWS Systems Manager사용 설명서.



PCI DSS 2.4 PCI DSS 범위에 있는 시스템 구성 요소의 인벤토리를 유지 관리합니다.

Systems Manager 에서 관리하는 EC2 인스턴스를 사용하여 카드 소지자 데이터 환경 (CDE) 에 대한 인벤토리를 수집하는 경우 해당 인스턴스가 시스템 관리자에서 관리되는지 확인합니다. PCI DSS 범위에있는 시스템 구성 요소의 인벤토리를 유지 관리하는 데 도움이 됩니다. 인벤토리를 구성하는 방법에 대한 추가 지침은인벤토리의 리소스 데이터 동기화를 구성합니다.의AWS Systems Manager사용 설명서.

PCI DSS 6.2 공급업체에서 제공하는 해당 보안 패치를 설치하여 모든 시스템 구성 요소 및 소프트웨어가 알려진 취약성으로부터 보호되는지 확인합니다. 출시 후 1개월 이내에 주요 보안 패치를 설치합니다.

PCI DSS의 범위 내에 있는 시스템의 경우 프로덕션 환경에 공급업체 패치를 설치하기 전에 이를 테스트하고 검증해야 합니다. 패치를 배포한 후 보안 설정 및 제어를 검증하여 배포된 패치가 CDE의 보안에 영향을 미치지 않도록 합니다. Systems Manager 에서 관리하는 EC2 인스턴스를 사용하여 CDE에서 관리형 인스턴스에 패치를 적용하는 경우 인스턴스가 시스템 관리자에서 관리되는지 확인합니다. SystemsManager 알려진 취약성으로부터 시스템 구성 요소 및 소프트웨어를 보호하는 데 도움이 시스템 패치를배포합니다.

Remediation

Systems Manager 빠른 설정을 사용하여 EC2 인스턴스를 관리하도록 시스템 관리자를 설정할 수 있습니다.

인스턴스가 Systems Manager 연결을 지원할 수 있는지 확인하려면 단원을 참조하십시오.Systems Manager사전 조건의AWS Systems Manager사용 설명서.

EC2 인스턴스를 Systems Manager 의해 관리하려면

1. 열기AWS Systems Manager콘솔https://console.aws.amazon.com/systems-manager/.2. 탐색 창에서 []]]]]]빠른 설정.3. 구성 화면에서 기본 옵션을 유지합니다.4. Set up Systems Manager(시스템 관리자 설정)를 선택합니다.

553

https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-associations.html

https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html


https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-prereqs.html



AWS Security Hub 사용 설명서AWS 기반 보안 모범 사례 표준

비활성화할 수 있는 PCI DSS 컨트롤의 비용을 절약하려면AWS Config를 사용하면 한 지역을 제외한 모든 지역에서 글로벌 리소스 기록을 비활성화할 수 있습니다. 그런 다음 글로벌 기록을 실행하는 리전을 제외한 모든 리전에서 글로벌 리소스를 처리하는 이러한 제어를 비활성화합니다.

• the section called “[PCI.IAM.1] IAM 루트 사용자 액세스 키가 없어야 합니다.” (p. 525)• the section called “[PCI.IAM.2] IAM 사용자는 IAM 정책을 연결해서는 안 됩니다.” (p. 526)• the section called “[PCI.IAM.3] IAM 정책에서 전체 “*” 관리 권한을 허용해서는 안 됩니다.” (p. 527)• the section called “[PCI.IAM.4] 루트 사용자에 대해 하드웨어 MFA를 활성화해야 합니다.” (p. 528)• the section called “[PCI.IAM.5] 루트 사용자에 대해 가상 MFA를 활성화해야 합니다.” (p. 529)• the section called “[PCI.IAM.6] 모든 IAM 사용자에 대해 MFA 를 활성화해야 합니다.” (p. 530)

이러한 컨트롤을 비활성화하고 특정 리전의 글로벌 리소스 기록을 비활성화하는 경우 [PCI.Config.1] AWSConfig가 활성화되어야 함 (p. 509)도 비활성화해야 합니다. [PCI.Config.1] AWS Config가 활성화되어야함 (p. 509)이 통과하기 위해서는 글로벌 리소스를 기록해야 하기 때문입니다.

AWS 기반 보안 모범 사례 표준AWS 기초 보안 모범 사례 표준은 배포된 계정 및 리소스가 보안 모범 사례에서 벗어나는 시점을 감지하는컨트롤 세트입니다.

이 표준을 통해 모든 AWS 계정과 워크로드를 지속적으로 평가하여 모범 사례에서 벗어나는 영역을 신속하게 파악할 수 있습니다. 이 표준은 조직의 보안 태세를 개선하고 유지하는 방법에 대한 실행 가능한 규범적지침을 제공합니다.

컨트롤에는 여러 AWS 서비스의 모범 사례가 포함됩니다. 각 컨트롤에는 적용되는 보안 기능을 반영하는 범주가 할당됩니다. the section called “컨트롤 범주” (p. 555)을(를) 참조하세요.

주제• AWS 기초 보안 모범 사례 컨트롤에 필요한 AWS Config 리소스 (p. 554)• 컨트롤 범주 (p. 555)• AWS 기반 보안 모범 사례 컨트롤 (p. 557)• 비활성화할 수 있는 AWS 기초 모범 사례 컨트롤 (p. 642)

AWS 기초 보안 모범 사례 컨트롤에 필요한 AWS Config 리소스AWS Security Hub로 모든 AWS 기반 보안 모범 사례 컨트롤에 대한 결과를 정확하게 보고하려면 AWSConfig에서 다음 리소스를 활성화해야 합니다.

Note

컨트롤을 사용할 수 없는 리전의 경우, AWS Config에서 해당 리소스를 사용할 수 없습니다.

• ACM 인증서• Amazon EBS 볼륨• Application Load Balancer• Amazon EFS 파일 시스템• CloudFront 배포• CloudTrail 추적• CodeBuild• Amazon EC2 인스턴스

554


• Amazon EC2 보안 그룹• Amazon EC2 볼륨• Elastic Load Balancing 서 로드 밸런서• 도메인 Elasticsearch• GuardDuty 감지기• IAM 그룹• IAM 정책• IAM 역할• IAM 사용자• AWS KMS 키• Lambda 함수• Amazon RDS DB 클러스터 스냅샷• Amazon RDS DB 인스턴스• Amazon RDS 스냅샷• Amazon S3 퍼블릭 액세스 차단• S3 버킷• Systems Manager 인스턴스 인벤토리• Systems Manager 패치 규정 준수• 서브넷

컨트롤 범주다음은 AWS Security Hub 컨트롤에 사용할 수 있는 범주입니다. 컨트롤의 범주에는 컨트롤이 적용되는 보안기능이 반영됩니다.

Identify

시스템, 자산, 데이터 및 기능에 대한 사이버 보안 위험을 관리하기 위한 조직의 이해를 높입니다.

인벤토리

서비스가 올바른 리소스 태깅 전략을 구현했습니까? 태깅 전략에 리소스 소유자가 포함됩니까?

서비스는 어떤 리소스를 사용합니까? 이 서비스에 대해 승인된 리소스가 있습니까?

승인된 인벤토리에 대한 가시성이 있습니까? 예를 들어 Amazon EC2 Systems Manager 및AWSService Catalog?

로깅

서비스에 대한 모든 관련 로깅을 안전하게 활성화했습니까? 로그 파일의 예는 다음과 같습니다.• Amazon VPC 흐름 로그• Elastic Load Balancing 액세스 로그• Amazon CloudFront 로그• Amazon CloudWatch Logs• Amazon Relational Database Service 로깅• Amazon Elasticsearch Service• X-Ray 추적• AWS Directory Service 로그• AWS Config항목

555


• 스냅샷

Protect

중요한 인프라 서비스 및 보안 코딩 사례의 제공을 보장하기 위해 적절한 안전 장치를 개발 및 구현합니다.

보안 액세스 관리

서비스가 IAM 또는 리소스 정책에서 최소 권한 관행을 사용합니까?

암호와 보안 정보는 충분히 복잡합니까? 그들은 적절하게 교체됩니까?

서비스가 Multi-Factor Authentication(MFA)을 사용합니까?

서비스가 루트 계정을 피합니까?

리소스 기반 정책에서 퍼블릭 액세스를 허용합니까?보안 네트워크 구성

서비스가 안전하지 않은 퍼블릭 원격 네트워크 액세스를 방지합니까?

서비스가 VPC를 제대로 사용합니까? 예를 들어 작업을 VPC에서 실행해야 합니까?

서비스가 민감한 리소스를 적절하게 분할하고 격리합니까?데이터 보호

유휴 데이터 암호화 — 유휴 데이터를 암호화합니까?

전송 중인 데이터 암호화 — 전송 중인 데이터를 암호화합니까?

데이터 무결성 — 서비스가 데이터의 무결성을 검증합니까?

데이터 삭제 보호 — 서비스가 실수로 인한 삭제로부터 데이터를 보호합니까?

데이터 관리/사용 — Amazon Macie 와 같은 서비스를 사용하여 중요한 데이터의 위치를 추적합니까?API 보호

서비스가 사용합니까? AWS PrivateLink 를 사용하여 서비스 API 작업을 보호 할 수 있습니까?보호 서비스

올바른 보호 서비스가 있습니까? 그들은 정확한 양의 범위를 제공합니까?

보호 서비스는 서비스를 대상으로 하는 공격 및 위협을 차단하는 데 도움이 됩니다. 보호 서비스의 예AWS포함AWS Control Tower,AWS WAF,AWS Shield Advanced, Vanta, Secrets Manager, IAM 액세스분석기, 및AWS Resource Access Manager.

안전한 개발

보안 코딩 사례를 사용합니까?

Open Web Application Security Project(OWASP) Top 10과 같은 취약점을 피합니까?

Detect

사이버 보안 이벤트의 발생을 식별하기 위한 적절한 활동을 개발하고 구현합니다.

감지 서비스

올바른 감지 서비스가 있습니까?

556


그들은 정확한 양의 범위를 제공합니까?

의 예AWS탐지 서비스에는 Amazon GuardDuty,AWS Security Hub, Amazon Inspector, 아마존Detective, Amazon CloudWatch 경보,AWS IoT Device Defender, 및 AWS Trusted Advisor .

Respond

감지된 사이버 보안 이벤트와 관련하여 조치를 취할 수 있는 적절한 활동을 개발하고 구현합니다.

응답 조치

보안 이벤트에 신속하게 대응하고 있습니까?

치명적이거나 심각도가 높은 활성 결과가 있습니까?포렌식

서비스에 대한 포렌식 데이터를 안전하게 획득할 수 있습니까? 예를 들어, 진정한 긍정적인 결과와 관련된 Amazon EBS 스냅샷을 확보하고 있습니까?

포렌식 계정을 설정했습니까?

Recover

복원성 계획을 유지하고 사이버 보안 이벤트로 인해 손상된 기능이나 서비스를 복원하기 위한 적절한 활동을개발하고 구현합니다.

복원성

서비스 구성이 정상적인 장애 조치, 탄력적 확장 및 고가용성을 지원합니까?

백업을 설정했습니까?

AWS 기반 보안 모범 사례 컨트롤AWS 기반 보안 모범 사례 표준에는 다음과 같은 컨트롤이 포함되어 있습니다. 각 컨트롤에 대한 다음 정보가 포함됩니다.

• 컨트롤이 적용되는 범주 및 하위 범주• 심각도• 적용 가능한 리소스• AWS Security Hub에서 설정한 특정 파라미터 값 및 필수 AWS Config 규칙• 문제 해결 단계

컨트롤 번호의 간격은 아직 릴리즈되지 않은 컨트롤을 나타냅니다.

[ACM.1] 가져온 ACM 인증서를 지정된 기간 후에 갱신해야 합니다.

범주: 보호 > 데이터 보호 > 전송 중인 데이터 암호화

심각도: Medium

리소스: ACM 인증서

AWS Config 규칙: acm-certificate-expiration-check

557

https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html


파라미터:

• daysToExpiration30

이 컨트롤은 계정의 ACM 인증서가 30일 내에 만료 예정인지 확인합니다. 가져온 인증서와 AWS CertificateManager에서 제공하는 인증서를 모두 확인합니다.

ACM에서 제공하는 인증서는 자동으로 갱신됩니다. ACM에서 제공한 인증서를 사용하는 경우 SSL/TLS 인증서를 교체할 필요가 없습니다. ACM에서 인증서 갱신을 관리합니다.

ACM은 가져온 인증서를 자동으로 갱신하지 않습니다. 사용자는 가져온 인증서를 수동으로 갱신해야 합니다.

자세한 내용은 AWS Certificate Manager 사용 설명서에서 관리형 갱신을 참조하세요.

Note


• 아프리카(케이프타운)• 중국(베이징)• 중국(닝샤)• 유럽(밀라노)

Remediation

ACM은 Amazon에서 발급한 SSL/TLS 인증서에 대해 관리형 갱신을 제공합니다. 여기에는 ACM을 사용하여발급한 공인 및 사설 인증서가 모두 포함됩니다. 가능한 경우 ACM은 인증서를 자동으로 갱신하므로 별도의조치가 필요하지 않습니다. 인증서가 다른 인증서와 연결되어 있으면 인증서를 갱신할 수 있습니다.AWS서비스 (예: Elastic Load Balancing 또는 Amazon CloudFront) 또한 발급된 이후 또는 마지막으로 갱신한 후 내보낸 인증서도 갱신할 수 있습니다.

ACM이 인증서에서 하나 이상의 도메인 이름을 자동으로 검증할 수 없다면, ACM은 도메인 소유자에게 해당도메인의 수동 검증 작업을 수행해야 한다고 알립니다. 다음과 같은 이유로 도메인을 수동으로 검증해야 할수 있습니다.

• ACM에서 도메인과의 HTTPS 연결을 설정할 수 없는 경우• HTTPS 요청에 대한 응답으로 반환되는 인증서가 ACM 갱신 중인 인증서와 일치하지 않는 경우

인증서가 만료되기 45일 이전에 인증서에서 하나 이상의 도메인 이름을 수동으로 검증해야 하는 경우 ACM은 다음과 같은 방법으로 도메인 소유자에게 알립니다.

이메일을 통해(이메일 검증 인증서의 경우)

인증서 최종 검증을 이메일로 실시했다면 ACM은 수동 검증이 필요한 각 도메인 이름에 대한 이메일을도메인 소유자에게 전송합니다. 이 이메일이 수신 가능한지 확인하려면 도메인 소유자가 각 도메인에 대해 이메일을 올바르게 구성해야 합니다.

자세한 내용은 (선택 사항) 도메인에 대한 이메일 구성 단원을 참조하십시오. 이메일에는 검증을 수행하는 링크가 포함되어 있습니다. 이 링크는 72시간 후에 만료됩니다. 필요한 경우 ACM 콘솔을 사용할 수있습니다.AWS CLI또는 API를 사용하여 ACM에서 도메인 유효성 검사 이메일을 재전송하도록 요청합니다. 자세한 내용은 인증서 갱신에 대한 도메인 검증 이메일 요청 단원을 참조하십시오.

Important

이메일 검증 인증서는 최종 수동 검증일로부터 최대 825일까지는 자동으로 갱신됩니다. 825일이 지나면 도메인 소유자나 공인 대리인이 도메인 소유권을 수동으로 재검증해야 갱신을 완료

558

https://docs.aws.amazon.com/acm/latest/userguide/managed-renewal.html

https://docs.aws.amazon.com/acm/latest/userguide/setup-email.html

https://docs.aws.amazon.com/acm/latest/userguide/request-domain-validation-email-for-renewal.html


할 수 있습니다. 이 문제를 방지하려면 에서 새 인증서를 만들고 가능한 경우 DNS 검증을 사용하는 것이 좋습니다. 제대로 구성된 DNS 검증 인증서는 무기한 재검증됩니다.

알림을 통해 AWS Personal Health Dashboard

ACM이 사용자에게 알림을 보냅니다.AWS Personal Health Dashboard이 인증서에서 하나 이상의 도메인 이름을 검증해야 갱신할 수 있음을 알립니다. ACM은 인증서 만료일이 45일, 30일, 15일, 7일, 3일 및1일 남아있고 인증서에서 이러한 알림을 전송합니다. 이러한 알림은 정보 제공만을 목적으로 합니다.

[APIGateway.1] API Gateway REST 및 WebSocket API 로깅을 활성화해야합니다.범주: 식별 > 로깅

심각도: Medium

리소스: 스테이지 (v1), 스테이지 (v2)

AWS Config 규칙: api-gw-execution-logging-enabled


이 컨트롤은 Amazon API 게이트웨이 REST 또는 WebSocket API의 모든 단계에서 로깅이 활성화되었는지 여부를 확인합니다. 스테이지의 모든 메서드에 대해 로깅이 활성화되지 않았거나loggingLevel둘다ERRORnorINFO.

API Gateway REST 또는 WebSocket API 단계에는 관련 로그가 활성화되어 있어야 합니다. API GatewayREST 및 WebSocket API 실행 로깅은 API Gateway REST 및 WebSocket API 단계에 대한 요청의 세부 레코드를 제공합니다. 이 단계에는 API 통합 백엔드 응답, Lambda 권한 부여자 응답 및requestId용AWS통합 끝점.

Note


• 아프리카(케이프타운)• 유럽(밀라노)

Remediation

REST 및 WebSocket API 작업에 대한 로깅을 사용하도록 설정하려면API Gateway 콘솔을 사용하여CloudWatch API 로깅 설정의API Gateway 개발자 안내서.

[ApiGateway.2] 백엔드 인증에 SSL 인증서를 사용하도록 API Gateway REST API단계를 구성해야 합니다.범주: 보호 > 데이터 보호

심각도: Medium

리소스 유형 스테이지 (v1)

AWS Config 규칙: api_gw_ssl_enabled


이 컨트롤은 Amazon API Gateway REST API 단계에 SSL 인증서가 구성되어 있는지 여부를 확인합니다. 백엔드 시스템은 이러한 인증서를 사용하여 들어오는 요청이 API Gateway 에서 수신되었음을 인증합니다.

API Gateway REST API 단계는 백엔드 시스템이 API Gateway 게이트웨이에서 요청이 발생하도록 인증할수 있도록 SSL 인증서로 구성되어야 합니다.

559

https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html

https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console

https://docs.aws.amazon.com/apigateway/latest/developerguide/set-up-logging.html#set-up-access-logging-using-console

https://docs.aws.amazon.com/config/latest/developerguide/api-gw-ssl-enabled.html


Note


• 아시아 태평양(오사카)• 중국(베이징)• 중국(닝샤)• AWS GovCloud(미국 동부)• AWS GovCloud(미국 서부)

Remediation

API Gateway REST API SSL 인증서를 생성 및 구성하는 방법에 대한 자세한 지침은백엔드 인증을 위한SSL 인증서 생성 및 구성의API Gateway 개발자 안내서.

[APIGateway.3] API Gateway REST API 스테이지는AWS X-Ray추적 활성화범주: 감지 > 감지 서비스

심각도: 낮음

리소스 유형 스테이지 (v1)

AWS Config 규칙: api-gw-xray-enabled


이 컨트롤은 여부를 확인합니다.AWS X-Ray활성 추적은 Amazon API 게이트웨이 REST API 단계에 대해 활성화됩니다.

X-Ray 능동 추적을 통해 기본 인프라의 성능 변화에 보다 신속하게 대응할 수 있습니다. 성능이 변경되면API의 가용성이 부족할 수 있습니다. X-Ray 활성 추적은 API Gateway REST API 작업 및 연결된 서비스를통해 전송되는 사용자 요청에 대한 실시간 메트릭을 제공합니다.

Note



Remediation

API Gateway REST API 작업에 대해 X-Ray 활성 추적을 활성화하는 방법에 대한 자세한 지침은AmazonAPI Gateway 활성 추적 지원AWS X-Ray의AWS X-Ray개발자 안내서.

[ApiGateway.4] API GatewayAWS WAF웹 ACL범주: 보호 > 보호 서비스

심각도: Medium

리소스: AWS::ApiGateway::Stage

AWS Config 규칙: api_gw_associated_with_waf

560

https://docs.aws.amazon.com/apigateway/latest/developerguide/getting-started-client-side-ssl-authentication.html

https://docs.aws.amazon.com/apigateway/latest/developerguide/getting-started-client-side-ssl-authentication.html

https://docs.aws.amazon.com/config/latest/developerguide/api-gw-xray-enabled.html

https://docs.aws.amazon.com/xray/latest/devguide/xray-services-apigateway.html

https://docs.aws.amazon.com/xray/latest/devguide/xray-services-apigateway.html

https://docs.aws.amazon.com/config/latest/developerguide/api-gw-associated-with-waf.html



이 컨트롤은 API Gateway 스테이지에서AWS WAFACL (웹 액세스 제어 목록) 입니다. 이 컨트롤은AWSWAF웹 ACL이 REST API Gateway 스테이지에 연결되어 있지 않습니다.

AWS WAF는 웹 애플리케이션 및 API를 공격으로부터 보호하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. 사용자가 정의한 맞춤형 웹 보안 규칙 및 조건을 기반으로 웹 요청을 허용, 차단 또는 계산하는 규칙 집합인 ACL을 구성할 수 있습니다. API Gateway 스테이지가AWS WAF웹 ACL을 사용하여 악의적인 공격으로부터 보호할 수 있습니다.

Note



이 컨트롤은 여전히 릴리스 프로세스에 있습니다. 이 기능은 지원되는 모든 리전에서 아직 제공되지않을 수 있습니다.

Remediation

API Gateway 콘솔을 사용하여AWS WAF기존 API Gateway API 스테이지를 사용하는 리전 웹 ACL에 대한자세한 내용은사용AWS WAF를 사용하여 API 보호의API Gateway 개발자 안내서.

[AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 로드 밸런서 상태 확인을 사용해야 합니다.범주: 식별 > 인벤토리

심각도: 낮음

리소스 유형 AutoScaling AutoScalingGroup

AWS Config 규칙: autoscaling-group-elb-healthcheck-required


이 컨트롤은 로드 밸런서와 연결된 그룹이 Elastic Load Balancing 상태 확인을 사용하는지 여부를 확인합니다.

이렇게 하면 그룹에서 로드 밸런서가 제공하는 추가 테스트에 따라 인스턴스 상태를 확인할 수 있습니다.Elastic Load Balancing 상태 확인을 사용하면 EC2 Auto Scaling 그룹을 사용하는 애플리케이션의 가용성을지원할 수 있습니다.

Remediation

이 문제를 해결하려면 Elastic Load Balancing 상태 확인을 사용하도록 Auto Scaling 그룹을 업데이트하십시오.

Elastic Load Balancing 상태 확인을 사용하려면

1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.2. 탐색 창의 [] 에서Auto Scaling를 선택하고Auto Scaling.3. 그룹에 대한 확인란을 선택합니다.

561

https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-control-access-aws-waf.html

https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html



4. [Edit]를 선택합니다.5. UNR상태 확인에 대한상태 확인 유형를 선택하고ELB.6. 상태 확인 유예 기간에 300을 입력합니다.7. 페이지 하단에서 을 선택합니다.업데이트.

Auto Scaling 그룹과 함께 로드 밸런서 사용에 대한 자세한 내용은 를 참조하십시오.AWS Auto Scaling사용설명서.

[CloudFront.1] CloudFront 배포에는 기본 루트 객체가 구성되어 있어야 합니다.

범주: 보호 > 보안 액세스 관리 > 공개적으로 액세스할 수 없는 리소스

심각도: 심각

리소스: 배포

AWS Config 규칙: cloudfront-default-root-object-configured


이 컨트롤은 Amazon CloudFront 배포가 기본 루트 객체인 특정 객체를 반환하도록 구성되어 있는지 여부를확인합니다. CloudFront 배포에 기본 루트 개체가 구성되어 있지 않으면 제어가 실패합니다.

사용자는 배포의 객체 대신 배포의 루트 URL을 요청할 수 있습니다. 이런 경우 기본 루트 객체를 지정하면웹 배포의 콘텐츠가 노출되지 않게 할 수 있습니다.

Note

미국 동부 (버지니아 북부) 에서만 지원됩니다. 다음 리전에서는 지원되지 않습니다.

• 미국 동부(오하이오)• 미국 서부(캘리포니아 북부)• 미국 서부(오레곤)• 아프리카(케이프타운)• 아시아 태평양(홍콩)• 아시아 태평양(뭄바이)• 아시아 태평양(오사카)• 아시아 태평양(서울)• 아시아 태평양(싱가포르)• 아시아 태평양(시드니)• 아시아 태평양(도쿄)• 캐나다(중부)• 중국(베이징)• 중국(닝샤)• 유럽(프랑크푸르트)• 유럽(아일랜드)• 유럽(런던)• 유럽(밀라노)• 유럽(파리)• 유럽(스톡홀름)• 중동(바레인)• 남아메리카(상파울루)

562



https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-default-root-object-configured.html


• AWS GovCloud(미국 동부)• AWS GovCloud(미국 서부)

Remediation

배포에 대한 기본 루트 개체를 지정하는 방법에 대한 자세한 지침은기본 루트 객체를 지정하는 방법의Amazon CloudFront 개발자 안내서.

[CloudFront.2] CloudFront 배포에 원본 액세스 ID가 활성화되어 있어야 합니다.범주: 보호 > 보안 액세스 관리 > 리소스 정책 구성

심각도: Medium

리소스: 배포

AWS Config 규칙: cloudfront-origin-access-identity-enabled


이 컨트롤은 Amazon S3 오리진 유형을 사용하는 Amazon CloudFront 배포에 OAI (오리진 액세스 ID) 가 구성되어 있는지 확인합니다. OAI가 구성되지 않은 경우 컨트롤이 실패합니다.

CloudFront OAI는 사용자가 S3 버킷 콘텐츠에 직접 액세스하는 것을 방지합니다. 사용자가 S3 버킷에 직접액세스하면 CloudFront 배포 및 기본 S3 버킷 콘텐츠에 적용되는 모든 권한을 효과적으로 우회합니다.

Note


• 미국 동부(오하이오)• 미국 서부(캘리포니아 북부)• 미국 서부(오레곤)• 아프리카(케이프타운)• 아시아 태평양(홍콩)• 아시아 태평양(뭄바이)• 아시아 태평양(오사카)• 아시아 태평양(서울)• 아시아 태평양(싱가포르)• 아시아 태평양(시드니)• 아시아 태평양(도쿄)• 캐나다(중부)• 중국(베이징)• 중국(닝샤)• 유럽(프랑크푸르트)• 유럽(아일랜드)• 유럽(런던)• 유럽(밀라노)• 유럽(파리)• 유럽(스톡홀름)• 중동(바레인)• 남아메리카(상파울루)• AWS GovCloud(미국 동부)

563

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DefaultRootObject.html#DefaultRootObjectHowToDefine

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DefaultRootObject.html#DefaultRootObjectHowToDefine

https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-access-identity-enabled.html


• AWS GovCloud(미국 서부)

Remediation

자세한 수정 지침은 단원을 참조하십시오.CloudFront OAI 생성 및 배포에 추가의Amazon CloudFront 개발자안내서.

[CloudFront.3] CloudFront 배포는 전송 중 암호화가 필요함범주: 보호 > 데이터 보호 > 전송 중인 데이터 암호화

심각도: Medium

리소스: 배포

AWS Config 규칙: cloudfront-viewer-policy-https


이 컨트롤은 Amazon CloudFront 배포에서 최종 사용자가 HTTPS를 직접 사용해야 하는지 또는 리디렉션을사용하는지 여부를 확인합니다. 다음과 같은 경우 컨트롤이 실패합니다.ViewerProtocolPolicy다음의경우 이 로 설정됩니다.allow-all용defaultCacheBehavior또는cacheBehaviors.

HTTPS (TLS) 를 사용하여 잠재적 공격자가 중간자 또는 그와 유사한 공격을 사용하여 네트워크 트래픽을염탐하거나 네트워크 트래픽을 조작하지 못하게 할 수 있습니다. HTTPS (TLS) 를 통한 암호화된 연결만 허용해야 합니다. 전송 중인 데이터를 암호화하면 성능에 영향을 미칠 수 있습니다. 성능 프로필과 TLS의 영향을 이해하려면 이 기능을 사용하여 응용 프로그램을 테스트해야 합니다.

Note


• 미국 동부(오하이오)• 미국 서부(캘리포니아 북부)• 미국 서부(오레곤)• 아프리카(케이프타운)• 아시아 태평양(홍콩)• 아시아 태평양(뭄바이)• 아시아 태평양(오사카)• 아시아 태평양(서울)• 아시아 태평양(싱가포르)• 아시아 태평양(시드니)• 아시아 태평양(도쿄)• 캐나다(중부)• 중국(베이징)• 중국(닝샤)• 유럽(프랑크푸르트)• 유럽(아일랜드)• 유럽(런던)• 유럽(밀라노)• 유럽(파리)• 유럽(스톡홀름)• 중동(바레인)• 남아메리카(상파울루)

564

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html#private-content-creating-oai

https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-viewer-policy-https.html


• AWS GovCloud(미국 동부)• AWS GovCloud(미국 서부)

Remediation

자세한 수정 지침은 단원을 참조하십시오.최종 사용자와 CloudFront 간의 통신에 HTTPS 요구의AmazonCloudFront 개발자 안내서.

[CloudFront.4] CloudFront 배포에는 원본 장애 조치가 구성되어 있어야 합니다.범주: 복구 > 복구 > 고가용성

심각도: 낮음

리소스: 배포

AWS Config 규칙: cloudfront-origin-failover-enabled


이 컨트롤은 Amazon CloudFront 배포가 둘 이상의 오리진 그룹으로 구성되어 있는지 확인합니다.

CloudFront 오리진 페일오버는 가용성을 높일 수 오리진 페일오버는 기본 오리진을 사용할 수 없거나 특정HTTP 응답 상태 코드를 반환하는 경우 트래픽을 보조 오리진으로 자동 리디렉션합니다.

Note


• 미국 동부(오하이오)• 미국 서부(캘리포니아 북부)• 미국 서부(오레곤)• 아프리카(케이프타운)• 아시아 태평양(홍콩)• 아시아 태평양(뭄바이)• 아시아 태평양(오사카)• 아시아 태평양(서울)• 아시아 태평양(싱가포르)• 아시아 태평양(시드니)• 아시아 태평양(도쿄)• 캐나다(중부)• 중국(베이징)• 중국(닝샤)• 유럽(프랑크푸르트)• 유럽(아일랜드)• 유럽(런던)• 유럽(밀라노)• 유럽(파리)• 유럽(스톡홀름)• 중동(바레인)• 남아메리카(상파울루)• AWS GovCloud(미국 동부)• AWS GovCloud(미국 서부)

565

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html

https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-origin-failover-enabled.html


Remediation

자세한 수정 지침은 단원을 참조하십시오.오리진 그룹 생성의Amazon CloudFront 개발자 안내서.

[CloudFront.5] CloudFront 배포에 로깅이 활성화되어 있어야 합니다.

범주: 식별 > 로깅

심각도: Medium

리소스: AWS::CloudFront::Distribution

AWS Config 규칙: cloudfront_accesslogs_enabled

파라미터:

• S3BucketName(선택 사항) — 로그를 보낼 S3 버킷입니다.

이 컨트롤은 CloudFront 배포에서 서버 액세스 로깅이 활성화되어 있는지 여부를 확인합니다. 배포에 대해액세스 로깅을 사용할 수 없는 경우 제어가 실패합니다.

CloudFront 액세스 로그는 CloudFCloudFront t가 수신하는 모든 사용자 요청에 대한 세부 정보를 제공합니다. 각 로그에는 요청이 수신된 날짜 및 시간, 요청한 최종 사용자의 IP 주소, 요청 소스, 최종 사용자의 요청포트 번호와 같은 정보가 포함됩니다.

이러한 로그는 보안 및 액세스 감사와 포렌식 조사와 같은 애플리케이션에 유용합니다. 액세스 로그를 분석하는 방법에 대한 추가 지침은Amazon CloudFront 로그 쿼리의Amazon Athena 사용 설명서.

Note


• 미국 동부(오하이오)• 미국 서부(캘리포니아 북부)• 미국 서부(오레곤)• 아프리카(케이프타운)• 아시아 태평양(홍콩)• 아시아 태평양(뭄바이)• 아시아 태평양(오사카)• 아시아 태평양(서울)• 아시아 태평양(싱가포르)• 아시아 태평양(시드니)• 아시아 태평양(도쿄)• 캐나다(중부)• 중국(베이징)• 중국(닝샤)• 유럽(프랑크푸르트)• 유럽(아일랜드)• 유럽(런던)• 유럽(밀라노)• 유럽(파리)• 유럽(스톡홀름)• 중동(바레인)

566

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/high_availability_origin_failover.html#concept_origin_groups.creating

https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-accesslogs-enabled.html

https://docs.aws.amazon.com/athena/latest/ug/cloudfront-logs.html


• 남아메리카(상파울루)• AWS GovCloud(미국 동부)• AWS GovCloud(미국 서부)


Remediation

CloudFront 배포에 대한 액세스 로깅을 구성하는 방법에 대한 자세한 내용은 단원을 참조하십시오.표준 로그(액세스 로그) 구성 및 사용의Amazon CloudFront 개발자 안내서.

[클라우드프론트.6] CloudFront 배포에는AWS WAFenabled

범주: 보호 > 보호 서비스

심각도: Medium

리소스: AWS::CloudFront::Distribution

AWS Config 규칙: cloudfront_associated_with_waf

파라미터:

• wafWebAclIds(선택 사항) 쉼표로 구분된 웹 ACL ID 목록입니다. (AWS WAF) 또는 웹 ACL ARN (AWSWAFv2).

이 컨트롤은 CloudFront 배포가AWS WAF또는AWS WAFv2 웹 ACL을 사용할 수 있습니다. 배포가 웹 ACL과 연결되어 있지 않은 경우 컨트롤이 실패합니다.

AWS WAF는 웹 애플리케이션 및 API를 공격으로부터 보호하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. 사용자가 정의한 맞춤형 웹 보안 규칙과 조건을 기반으로 웹 요청을 허용, 차단 또는 계산하는 규칙 집합 (웹 ACL) 을 구성할 수 있습니다. CloudFront 배포가AWS WAF웹 ACL을 사용하여 악의적인 공격으로부터 보호할 수 있습니다.

Note


• 미국 동부(오하이오)• 미국 서부(캘리포니아 북부)• 미국 서부(오레곤)• 아프리카(케이프타운)• 아시아 태평양(홍콩)• 아시아 태평양(뭄바이)• 아시아 태평양(오사카)• 아시아 태평양(서울)• 아시아 태평양(싱가포르)• 아시아 태평양(시드니)• 아시아 태평양(도쿄)• 캐나다(중부)• 중국(베이징)• 중국(닝샤)• 유럽(프랑크푸르트)

567

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html

https://docs.aws.amazon.com/config/latest/developerguide/cloudfront-associated-with-waf.html


• 유럽(아일랜드)• 유럽(런던)• 유럽(밀라노)• 유럽(파리)• 유럽(스톡홀름)• 중동(바레인)• 남아메리카(상파울루)• AWS GovCloud(미국 동부)• AWS GovCloud(미국 서부)


Remediation

웹 ACL을 CloudFront 배포와 연결하는 방법에 대한 자세한 내용은 단원을 참조하십시오.사용AWS WAF를사용하여 콘텐츠에 대한 액세스 제어의Amazon CloudFront 개발자 안내서.

[CloudTrail .1] 하나 이상의 다중 리전 트레일을 사용하도록 설정하고 구성해야 합니다.범주: 식별 > 로깅

심각도: 높음

리소스: 계정

AWS Config 규칙: multi-region-cloudtrail-enabled

파라미터:

• readWriteType: ALL

이 컨트롤은 다중 리전 CloudTrail 추적이 한 개 이상 있는지 확인합니다.

AWS CloudTrail은 계정에 대한 AWS API 호출을 기록하고 사용자에게 로그 파일을 전달합니다. 기록된 정보에는 다음 정보가 포함됩니다.

• API 호출자의 ID• API 호출 시간• API 호출자의 원본 IP 주소• 요청 파라미터• AWS 서비스에서 반환한 응답 요소

CloudTrail 기록을 제공AWS에서 이루어진 API 호출을 포함하여 계정에 대한 API 호출AWS ManagementConsole,AWSSDK, 명령줄 도구 이 기록에는 AWS CloudFormation과 같은 상위 수준 AWS 서비스의 API 호출도 포함됩니다.

이AWSCloudTrail 에서 작성되는 API 호출 내역을 통해 보안 분석, 리소스 변경 사항 추적 및 규정 준수 감사를 수행할 수 있습니다. 다중 리전 추적에는 다음과 같은 이점이 있습니다.

• 다중 리전 추적을 통해 사용하지 않는 리전에서 발생하는 예기치 않은 활동을 감지할 수 있습니다.• 다중 리전 추적으로 인해 기본적으로 추적에 글로벌 서비스 이벤트 로깅이 사용되도록 설정됩니다. 글로벌

서비스 이벤트 로깅은 AWS 글로벌 서비스에서 생성된 이벤트를 기록합니다.

568

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html

https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html

https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html


• 다중 리전 추적의 경우 모든 읽기 및 쓰기 작업에 대한 관리 이벤트를 통해 CloudTrail 은AWS계정의 리소스를 사용할 수 있습니다.

기본적으로 CloudTrail 추적은AWS Management Console는 다중 지역 트레일입니다.

Remediation

이 문제를 해결하려면 CloudTrail에서 새 다중 리전 트레일을 만듭니다.

CloudTrail 에서 새 추적을 생성하려면

1. https://console.aws.amazon.com/cloudwatch/에서 CloudTrail 콘솔을 엽니다.2. 전에 CloudTrail 을 사용한 적이 없는 경우시작.3. Trails(추적)를 선택한 후 Create trail(추적 생성)을 선택합니다.4. 추적의 이름을 입력합니다.5. Storage location(스토리지 위치)에서 다음 중 하나를 수행합니다.

a. CloudTrail 로그에 대한 새 S3 버킷을 생성하려면새 S3 버킷을 만듭니다.를 선택하고예를 선택한 후새 S3 버킷의 이름을 입력합니다.

b. 기존 S3 버킷을 사용하려면 Create a new S3 bucket(S3 버킷 새로 만들기)에서 No(아니요)를 선택한 다음 사용할 S3 버킷을 선택합니다.

6. UNR추가 설정를 선택하고Advanced. 용로그 파일 검증 활성화를 선택합니다.활성화됨.7. Create를 선택합니다.

CloudTrail Trail에서 기존 추적을 업데이트하려면

1. https://console.aws.amazon.com/cloudwatch/에서 CloudTrail 콘솔을 엽니다.2. Trails(추적)를 선택합니다.3. Name(이름) 열에서 추적 이름을 선택합니다.4. 용관리 이벤트를 선택하고Edit.5. 용이벤트 읽기/쓰기를 선택합니다.관리 이벤트.6. UNRAPI 활동를 선택합니다.Read및쓰기.

[CloudTrail.2] CloudTrail 에서 유휴 시 암호화를 활성화해야 합니다.범주: 보호 > 데이터 보호 > 유휴 시 데이터 암호화

심각도: Medium




이 컨트롤은 CloudTrail 이 SSE (서버 측 암호화) 를 사용하도록 구성되었는지 확인합니다.AWS KeyManagement Service고객 마스터 키 (CMK) 를 암호화합니다. KmsKeyId가 정의된 경우 확인을 통과합니다.

중요 CloudTrail 로그 파일에 대한 보안을 강화하려면다음을 사용하여 서버 측 암호화AWS KMS관리형 키(SSE-KMS)를 사용하여 암호화 시 CloudTrail 로그 파일을 암호화할 수 있습니다. 기본적으로 CloudTrail 에서 버킷으로 전송되는 로그 파일은Amazon S3 관리형 암호화 키를 사용한 서버 측 암호화 (SSE-S3).

Remediation

이 문제를 해결하려면 로그 파일에 대한 SSE-KMS 암호화를 활성화하도록 추적을 업데이트하십시오.

569









1. https://console.aws.amazon.com/cloudwatch/에서 CloudTrail 콘솔을 엽니다.2. Trails(추적)를 선택합니다.3. 업데이트할 추적을 선택합니다.4. UNR일반 세부 정보를 선택하고Edit.5. 용로그 파일 SSE-KMS 암호화를 선택합니다.활성화됨.6. Create a new KMS key(새 KMS 생성)에 대해 다음 중 하나를 수행합니다.

• 키를 만들려면New. 그런 다음AWS KMS별칭에 키의 별칭을 입력합니다. 키는 S3 버킷과 동일한 리전에서 생성됩니다.

• 기존 키를 사용하려면EXI를 선택한 다음AWS KMS별칭에서 키를 선택합니다.

AWS KMS 키와 S3 버킷이 동일한 리전에 있어야 합니다.7. Save를 선택합니다.

CloudTrail 에 대한 정책을 수정해야 CMK와 성공적으로 상호 작용할 수 있는 경우가 있을 수 있습니다.자세한 내용은 단원을 참조하십시오.다음을 사용하여 CloudTrail 로그 파일 암호화AWS KMS관리형 키(SSE-KMS)의AWS CloudTrail사용 설명서.

[CloudTrail.4] CloudTrail 로그 파일 검증이 활성화되어 있는지 여부를 확인합니다.

범주: 데이터 보호 > 데이터 무결성

심각도: 낮음

리소스 유형 AWS::CloudTrail::Trail



이 컨트롤은 CloudTrail 추적에서 로그 파일 무결성 검증이 활성화되어 있는지 확인합니다.

CloudTrail 로그 파일 검증을 통해 디지털 방식으로 서명된 다이제스트 파일이 생성됩니다. 이 파일은CloudTrail 이 Amazon S3 쓰는 각 로그의 해시를 포함합니다. 이 로그 파일을 전송한 후 이 파일이 변경 또는삭제되었는지 여부를 확인하려면 이 다이제스트 파일을 CloudTrail 됩니다.

Security Hub 는 모든 추적에서 파일 검증을 활성화하는 것이 좋습니다. CloudTrail Logs에 대한 추가 무결성검사를 제공합니다.

자세한 내용은 단원을 참조하십시오.유효성 검사 사용 및 파일 유효성 검사의AWS CloudTrail사용 설명서.

Remediation

이 문제를 해결하려면 CloudTrail 추적을 업데이트하여 로그 파일 유효성 검사를 활성화합니다.


1. https://console.aws.amazon.com/cloudwatch/에서 CloudTrail 콘솔을 엽니다.2. Trails(추적)를 선택합니다.3. UNR이름에서 편집할 추적의 이름을 선택합니다.4. UNR일반 세부 정보를 선택하고Edit.5. UNR추가 설정에 대한로그 파일 검증를 선택하고활성화됨.6. [Save changes]를 선택합니다.

570


https://docs.aws.amazon.com/awscloudtrail/latest/userguide/encrypting-cloudtrail-log-files-with-aws-kms.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/encrypting-cloudtrail-log-files-with-aws-kms.html


https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-intro.html#cloudtrail-log-file-validation-intro-enabling-and-using



자세한 내용은 단원을 참조하십시오.CloudTrail 로그 파일 무결성 검증의AWS CloudTrail사용 설명서.

[CloudTrail.5] CloudTrail 트레일이 Amazon CloudWatch Logs 와 통합되도록 보장


심각도: 낮음

리소스 유형 AWS::CloudTrail::Trail



이 컨트롤은 CloudTrail 추적이 CloudWatch Logs Logs에 전송하도록 구성되었는지 확인합니다. 컨트롤이실패 하는 경우CloudWatchLogsLogGroupArn속성이 비어 있을 수 있습니다.

CloudTrail 레코드AWS특정 계정에서 이루어지는 API 호출입니다. 기록된 정보에는 다음 사항이 포함됩니다.

• API 호출자의 ID• API 호출 시간• API 호출자의 소스 IP 주소• 요청 파라미터• 에서 반환한 응답 요소AWS서비스

CloudTrail 은 Amazon S3 를 로그 파일 저장 및 전송에 사용합니다. CloudTrail 로그를 특정 S3 버킷에 캡처하여 장기 분석을 할 수 있습니다. 실시간 분석을 수행하기 위해 CloudTrail을 구성하여 CloudWatch Logs에전송하도록 할 수 있습니다.

계정의 모든 리전에서 활성화된 추적의 경우 CloudTrail 은 이 모든 리전의 로그 파일을 CloudWatch 로그 로그 그룹으로 전송합니다.

CloudTrail 로그를 CloudWatch Logs에 보내는 것이 좋습니다. 이 권장 사항은 계정 활동이 캡처, 모니터링되고 적절한 경보가 있는지 확인하기 위한 것입니다. CloudWatch Logs 사용하여AWS서비스. 이 권장 사항은다른 솔루션의 사용을 배제하지 않습니다.

CloudTrail 로그를 CloudWatch Logs 로 전송하면 사용자, API, 리소스 및 IP 주소에 근거한 실시간 및 과거활동 로깅이 더 용이해집니다. 이 방법을 사용하여 변칙적인 또는 민감도 계정 활동에 대한 경보 및 알림을설정할 수 있습니다.

Remediation

콘솔을 사용하여 CloudTrail을 CloudWCloudWatch Logs 와 통합할 수 있습니다.

클라우드워치 로그와 CloudTrail 통합을 활성화하려면

1. https://console.aws.amazon.com/cloudwatch/에서 CloudTrail 콘솔을 엽니다.2. Trails(추적)를 선택합니다.3. 에 대한 값이없는 흔적을 선택CloudWatch Logs 그룹.4. UNRCloudWatch Logs(CloudWatch 로그)를 선택하고Edit.5. Enabled를 선택합니다.6. 용로그 그룹에 대해 다음 중 하나를 수행합니다.

• 기본 로그 그룹을 사용하려면 이름을 그대로 유지하십시오.• 기존 로그 그룹을 사용하려면EXI를 클릭한 다음 사용할 로그 그룹의 이름을 입력합니다.

571

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-log-file-validation-intro.html




• 새 로그 그룹을 생성하려면 [] 를 선택합니다.New를 선택한 후 생성할 로그 그룹의 이름을 입력합니다.

7. IAM 역할에 대해 다음 중 하나를 수행합니다.

• 기존 역할을 사용하려면 []] 를 선택합니다.EXI드롭다운 목록에서 역할을 선택합니다.• 새 역할을 만들려면 [] 를 선택합니다.New를 선택한 후 생성할 역할의 이름을 입력하십시오. 새 역할

에 필수 권한을 부여하는 정책이 할당됩니다.


자세한 내용은 단원을 참조하십시오.콘솔을 사용하여 CloudWatch Logs 모니터링 구성의AWS CloudTrail사용 설명서.

[CodeBuild.1] CodeBuild GitHub 또는 Bitbucket 소스 리포지토리 URL은 OAuth를사용해야 합니다.

범주: 보호 > 보안 개발

심각도: 심각

리소스: CodeBuild

AWS Config 규칙: codebuild-project-source-repo-url-check


이 컨트롤은 GitHub 또는 Bitbucket 소스 리포지토리 URL에 개인 액세스 토큰 또는 사용자 이름 및 암호가포함되어 있는지 확인합니다.

Note


• 아프리카(케이프타운)• 유럽(밀라노)• AWS GovCloud(미국 동부)• AWS GovCloud(미국 서부)

인증 자격 증명은 일반 텍스트로 저장되거나 전송되거나 리포지토리 URL에 나타나지 않아야 합니다. 개인액세스 토큰 또는 사용자 이름과 암호 대신 OAuth를 사용하여 GitHub 또는 Bitbucket 리포지토리에 액세스하기 위한 권한을 부여해야 합니다. 개인 액세스 토큰 또는 사용자 이름과 암호를 사용하면 의도하지 않은 데이터 노출 및 무단 액세스에 자격 증명이 노출될 수 있습니다.

Remediation

OAuth를 사용하도록 CodeBuild 프로젝트를 업데이트 할 수 있습니다.

CodeBuild 프로젝트 소스에서 기본 인증/ (GitHub) 개인 액세스 토큰을 제거하려면

1. 에서 CodeBuild 콘솔을 엽니다.https://console.aws.amazon.com/codebuild/.2. 개인 액세스 토큰 또는 사용자 이름과 암호가 포함된 빌드 프로젝트를 선택합니다.3. 편집에서 소스를 선택합니다.4. GitHub/Bitbucket에서 연결 해제를 선택합니다.

572


https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html



5. Connect using OAuth(OAuth를 사용하여 연결)를 선택한 후 Connect to GitHub/Bitbucket(GitHub/Bitbucket에 연결)을 선택합니다.

6. 메시지가 표시되면 authorize as appropriate(적절한 권한 부여)를 선택합니다.7. 필요에 따라 리포지토리 URL 및 추가 구성 설정을 다시 구성합니다.8. 소스 업데이트를 선택합니다.

자세한 정보는 단원을 참조하십시오.CodeBuild 사용 사례 기반 샘플의AWS CodeBuild사용 설명서.

[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 일반 텍스트 자격 증명이 포함되면 안 됩니다.범주: 보호 > 보안 개발

심각도: 심각

리소스: CodeBuild

AWS Config 규칙: codebuild-project-envvar-awscred-check


이 컨트롤은 프로젝트에 환경 변수 AWS_ACCESS_KEY_ID 및 AWS_SECRET_ACCESS_KEY가 포함되었는지확인합니다.

인증 자격 증명 AWS_ACCESS_KEY_ID 및 AWS_SECRET_ACCESS_KEY를 일반 텍스트로 저장해서는 안 됩니다. 이로 인해 의도하지 않은 데이터 노출 및 무단 액세스가 발생할 수 있습니다.

Note



Remediation

이 문제를 해결하려면 CodeBuild 프로젝트를 업데이트하여 환경 변수를 제거하십시오.

CodeBuild 프로젝트에서 환경 변수를 제거하려면

1. 에서 CodeBuild 콘솔을 엽니다.https://console.aws.amazon.com/codebuild/.2. Build(빌드)를 확장합니다.3. Build project(빌드 프로젝트)를 선택한 후, 일반 텍스트 자격 증명이 포함된 빌드 프로젝트를 선택합니

다.4. Edit(편집)에서 Environment(환경)을 선택합니다.5. Additional configuration(추가 구성)을 확장합니다.6. 환경 변수 옆에 있는 Remove(제거)를 선택합니다.7. Update environment(환경 업데이트)를 선택합니다.

중요한 값을 Amazon EC2 Systems Manager 파라미터 스토어에 저장한 후 빌드 사양에서 검색하려면

1. 에서 CodeBuild 콘솔을 엽니다.https://console.aws.amazon.com/codebuild/.

573

https://docs.aws.amazon.com/codebuild/latest/userguide/use-case-based-samples.html

https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html




2. Build(빌드)를 확장합니다.3. Build project(빌드 프로젝트)를 선택한 후, 일반 텍스트 자격 증명이 포함된 빌드 프로젝트를 선택합니

다.4. Edit(편집)에서 Environment(환경)을 선택합니다.5. Additional configuration(추가 구성)을 확장한 후 Environment variables(환경 변수)로 스크롤합니다.6. 후속이 자습서중요한 데이터가 포함된 Systems Manager 파라미터를 만듭니다.7. 파라미터를 만든 후 해당 파라미터 이름을 복사합니다.8. CodeBuild 콘솔로 돌아가서환경 변수 작성.9. 빌드 사양에 표시되는 변수 이름을 입력합니다.10. Value(값)에 파라미터 이름을 붙여 넣습니다.11. 용유형를 선택하고파라미터.12. 일반 텍스트 자격 증명이 포함된 규정 미준수 환경 변수를 제거하려면 제거를 선택합니다.13. Update environment(환경 업데이트)를 선택합니다.

자세한 내용은 단원을 참조하십시오.빌드 환경의 환경 변수의AWS CodeBuild사용 설명서.

[Config.1] AWS Config를 활성화해야 합니다.

범주: 식별 > 인벤토리

심각도: Medium

리소스: 계정



이 컨트롤은 AWS Config가 로컬 리전에 대한 계정에서 활성화되어 있으며 모든 리소스를 기록 중인지 확인합니다.

AWS Config 서비스는 계정에서 지원되는 AWS 리소스의 구성 관리를 수행하며 사용자에게 로그 파일을 제공합니다. 기록되는 정보로는 구성 항목(AWS 리소스), 구성 항목 간의 관계, 리소스 간 모든 구성 변경 사항을 들 수 있습니다.


Note

Security Hub 리전별 서비스이므로 이 컨트롤에 대해 수행된 확인에서는 계정에 대한 현재 리전만점검합니다. 모든 리전을 점검하지는 않습니다.각 리전에서 글로벌 리소스에 대한 보안 점검을 확인하려면 글로벌 리소스를 기록해야 합니다. 단일리전에서만 글로벌 리소스를 기록하는 경우 글로벌 리소스를 기록하는 리전을 제외한 모든 리전에서 이 통제를 비활성화할 수 있습니다.

자세한 내용은 다음을 참조하세요.다음으로 시작하기AWS Config의개발자 안내서.

Remediation

활성화한 후AWS Config에서 모든 리소스를 기록하도록 구성합니다.


1. 열기AWS Config콘솔https://console.aws.amazon.com/config/.2. AWS Config를 구성할 리전을 선택합니다.

574

https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-paramstore-console.html

https://docs.aws.amazon.com/codebuild/latest/userguide/build-env-ref-env-vars.html

https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html



3. 전에 AWS Config를 사용해본 적이 없는 경우에는 시작하기를 선택합니다.4. 설정 페이지에서 다음 작업을 수행하십시오.

a. UNR기록할 리소스 유형를 선택하고이 지역에서 지원되는 모든 리소스 기록및글로벌 리소스 포함(예:AWSIAM 리소스).

b. UNRAWS Config역할을 선택한 다음생성AWS Config서비스 연결 역할또는계정에서 역할 선택을클릭한 다음 사용할 역할을 선택합니다.

c. Amazon S3 bucket(Amazon S3 버킷)에서 사용할 버킷을 지정하거나 버킷을 생성하고 선택적으로접두사를 포함합니다.

d. UNRAmazon SNS 주제Amazon SNS 주제를 선택하거나 주제를 만듭니다. Amazon SNS 대한 자세한 내용은 를 참조하십시오.Amazon Simple Notification Service 시작 안내서.

5. [Next]를 선택합니다.6. 에AWS Config규칙페이지에서다음.7. [Confirm]을 선택합니다.

사용에 관한 자세한 내용은 단원을 참조하십시오.AWS Config( 사용)AWS CLI참조,켜기AWS Config의개발자 안내서.

또한 AWS CloudFormation 템플릿을 사용하여 이 프로세스를 자동화할 수도 있습니다. 자세한 내용은 단원을 참조하십시오.AWS CloudFormationStackSets 샘플 템플릿의AWS CloudFormation사용 설명서.

[DMS.1]AWS Database Migration Service복제 인스턴스는 공용이 아니어야 합니다.

범주: 보호 > 보안 네트워크 구성

심각도: 심각

리소스: DMS:ReplicationInstance

AWS Config 규칙: dms-replication-not-public


이 컨트롤은 여부를 확인합니다.AWS DMS복제 인스턴스는 퍼블릭입니다. 이렇게 하려면, 의 값을 검사합니다.PubliclyAccessible필드.

프라이빗 복제 인스턴스에는 복제 네트워크 외부에서 액세스할 수 없는 프라이빗 IP 주소가 있습니다. 원본과 대상 데이터베이스가 동일한 네트워크에 있는 경우 복제 인스턴스에는 프라이빗 IP 주소가 있어야 합니다. 또한 네트워크는 VPN을 사용하여 복제 인스턴스의 VPC 연결되어야 합니다.AWS Direct Connect또는VPC 피어링을 선택합니다. 퍼블릭 및 프라이빗 복제 인스턴스에 대한 자세한 내용은퍼블릭 및 프라이빗 복제 인스턴스의AWS Database Migration Service사용 설명서.

당신은 또한에 대한 액세스를 확인해야합니다AWS DMS인스턴스 구성은 권한이 부여된 사용자로만 제한됩니다. 이렇게 하려면 사용자의 IAM 권한을 제한하여AWS DMS설정 및 리소스.

Note


Remediation

복제 인스턴스가 만들어지면 공용 액세스 설정을 변경할 수 없습니다. 삭제한 후 다시 작성해야 합니다.

를 구성하려면AWS DMS복제 인스턴스 공용 액세스를 차단하는 설정

1. 열기AWS Database Migration Service콘솔https://console.aws.amazon.com/dms/.

575

https://docs.aws.amazon.com/sns/latest/gsg/



https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html



https://console.aws.amazon.com/dms/


2. 로 이동합니다.복제 인스턴스을 선택한 다음 공용 인스턴스를 삭제합니다. 인스턴스를 선택하고작업를선택한 후삭제.

3. [Create replication instance]를 선택합니다. 구성 세부 정보를 제공합니다.4. 퍼블릭 액세스를 비활성화하려면[Publicly accessible]이 선택되지 않았습니다.5. Create를 선택합니다.

자세한 내용은 단원을 참조하십시오.복제 인스턴스 생성의AWS Database Migration Service사용 설명서.

[DynamoDB.1] DynamoDB 테이블은 수요에 따라 용량을 자동으로 확장해야 함

범주: 복구 > 복구 > 고가용성

심각도: Medium

리소스: 표

AWS Config 규칙: dynamodb-autoscaling-enabled


이 컨트롤은 Amazon DynamoDB 테이블에서 필요에 따라 읽기 및 쓰기 용량을 확장할 수 있는지 여부를 확인합니다. 이 컨트롤은 테이블에서 온 디맨드 용량 모드 또는 Auto Scaling이 구성된 프로비저닝 모드를 사용하는 경우 전달됩니다. 필요에 따라 용량을 확장하면 예외 제한을 피할 수 있으므로 애플리케이션의 가용성을 유지하는 데 도움이 됩니다.

온 디맨드 용량 모드의 DynamoDB 테이블은 DynamoDB 처리량 기본 테이블 할당량에 의해서만 제한됩니다. 이러한 할당량을 늘리려면 다음을 통해 지원 티켓을 제출할 수 있습니다.AWS Support.

Auto Scaling을 사용하는 프로비저닝 모드의 DynamoDB 테이블은 트래픽 패턴에 따라 프로비저닝된 처리량용량을 동적으로 조정합니다. DynamoDB 요청 제한에 대한 자세한 내용은 단원을 참조하십시오.요청 제한및 버스트 용량의Amazon DynamoDB Developer Guide.

Note

이 컨트롤은 지원되지 않습니다.AWSGovCloud (미국 동부) 또는AWSGovCloud (미국 서부).

Remediation

용량 모드에서 기존 테이블에서 DynamoDB 자동 크기 조정을 활성화하는 방법에 대한 자세한 내용은기존테이블에서 DynamoDB 자동 크기 조정 활성화의Amazon DynamoDB Developer Guide.

[DynamoDB.2] DynamoDB 테이블에서의 특정 시점으로 복구를 활성화해야 합니다.

범주: 복구 > 복구 > 백업 사용

심각도: Medium

리소스: 표

AWS Config 규칙: dynamodb-pitr-enabled


이 컨트롤은 Amazon DynamoDB 테이블에 대해 PITR (특정 시점으로 복구) 을 활성화했는지 확인합니다.

백업을 사용하면 보안 인시던트에서 보다 신속하게 복구할 수 있습니다. 또한 시스템의 복원력을 강화합니다. DynamoDB 특정 시점으로 복구는 DynamoDB 테이블의 백업을 자동화합니다. 실수로 삭제 또는 쓰기 작

576

https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html#CHAP_ReplicationInstance.Creating

https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html

http://aws.amazon.com/support

https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/ProvisionedThroughput.html#ProvisionedThroughput.Throttling

https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/ProvisionedThroughput.html#ProvisionedThroughput.Throttling

https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.Console.html#AutoScaling.Console.ExistingTable

https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/AutoScaling.Console.html#AutoScaling.Console.ExistingTable

https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html


업을 복구하는 데 걸리는 시간을 줄일 수 있습니다. PITR이 활성화된 DynamoDB 테이블은 최근 35일 중 원하는 시점으로 복원할 수 있습니다.

Remediation

DynamoDB 테이블에 특정 시점으로 복구를 추가하십시오.

기존 테이블에 대해 DynamoDB 지정 시간 복구를 활성화하려면

1. https://console.aws.amazon.com/dynamodb/에서 DynamoDB 콘솔을 엽니다.2. 작업할 테이블을 선택한 후백업.3. 에서특정 시점으로 복구섹션의상태를 선택하고활성화.4. 선택활성화를 다시 눌러 변경 내용을 확인합니다.

[DynamoDB.3] DynamoDB 가속기 (DAX) 클러스터는 유휴 상태에서 암호화되어야합니다.범주: 보호 > 데이터 보호 > 유휴 시 데이터 암호화

심각도: Medium

리소스: Cluster

AWS Config 규칙: dax_encryption_enabled


이 컨트롤은 DAX 클러스터가 유휴 시 암호화되었는지 확인합니다.

미사용 데이터를 암호화하면 디스크에 저장된 데이터에 대해 인증되지 않은 사용자가 액세스할 위험이 줄어듭니다.AWS. 암호화는 권한 없는 사용자가 데이터에 액세스할 수 있는 기능을 제한하는 또 다른 액세스 제어 집합을 추가합니다. 예를 들어 데이터를 읽기 전에 해독하려면 API 권한이 필요합니다.

Remediation

클러스터가 생성된 후에는 유휴 시 암호화를 활성화하거나 비활성화할 수 없습니다. 유휴 암호화를 활성화하려면 클러스터를 다시 만들어야 합니다. 유휴 시 암호화가 활성화되어 DAX 클러스터를 만드는 방법에 대한자세한 지침은저장 시 암호화를 활성화하려면AWS Management Console의Amazon DynamoDB DeveloperGuide.

[EC2.1] Amazon EBS 스냅샷은 공개되지 않아야 하며, 누구나 복원할 수 있는 기능에 따라 결정됩니다.범주: 보호 > 보안 네트워크 구성

심각도: 심각

리소스: 계정

AWS Config 규칙: ebs-snapshot-public-restorable-check


이 컨트롤은 Amazon Elastic 블록 스토어 스냅샷이 퍼블릭이 아닌지 확인합니다. 모든 사용자가 복원할 수있는 기능에 따라 결정됩니다.

EBS 스냅샷은 특정 시점에 EBS 볼륨의 데이터를 Amazon S3 백업하는 데 사용됩니다. 스냅샷을 사용하여EBS 볼륨의 이전 상태를 복원할 수 있습니다. 스냅샷을 퍼블릭과 공유하는 것은 거의 허용되지 않습니다. 일반적으로 스냅샷을 공개적으로 공유하기로 결정한 것은 오류이거나 그 의미를 완전히 이해하지 못한 채 이루

577

https://console.aws.amazon.com/dynamodb/

https://docs.aws.amazon.com/config/latest/developerguide/dax-encryption-enabled.html

https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/DAXEncryptionAtRest.html#dax.encryption.tutorial-console

https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html


어졌습니다. 이 확인을 통해 이러한 모든 공유가 완전히 계획되고 의도적으로 이루어졌는지 확인할 수 있습니다.

Note


Remediation

이 문제를 해결하려면 EBS 스냅샷을 공개가 아닌 비공개로 업데이트하십시오.

퍼블릭 EBS 스냅샷을 프라이빗으로 만들려면

1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.2. 탐색 창의 [] 에서Elastic Block Store를 선택하고스냅샷메뉴에서 퍼블릭 스냅샷을 선택합니다.3. Actions(작업)에서 Modify permissions(권한 수정)를 선택합니다.4. Private(프라이빗)을 선택합니다.5. (선택 사항)AWS계정 번호를 사용해 스냅샷을 공유한 후권한 추가.6. Save를 선택합니다.

[EC2.2] VPC 기본 보안 그룹은 인바운드 및 아웃바운드 트래픽을 허용하지 않아야합니다.범주: 보호 > 보안 네트워크 구성

심각도: 높음

리소스: EC2 보안 그룹



이 컨트롤은 VPC의 기본 보안 그룹이 인바운드 또는 아웃바운드 트래픽을 허용하지 않는지 확인합니다.

기본 보안 그룹의 규칙은 동일한 보안 그룹에 할당된 네트워크 인터페이스(및 연결된 인스턴스)로부터의 모든 아웃바운드 및 인바운드 트래픽을 허용합니다.

기본 보안 그룹은 사용하지 않는 것이 좋습니다. 기본 보안 그룹은 삭제할 수 없으므로 기본 보안 그룹 규칙설정을 변경하여 인바운드 및 아웃바운드 트래픽을 제한해야 합니다. 이렇게 하면 EC2 인스턴스와 같은 리소스에 대해 기본 보안 그룹이 실수로 구성된 경우, 의도하지 않은 트래픽을 방지할 수 있습니다.

Remediation

이 문제를 해결하려면 새 보안 그룹을 만들고 해당 보안 그룹을 리소스에 할당합니다. 기본 보안 그룹이 사용되지 않도록 하려면 해당 인바운드 및 아웃바운드 규칙을 제거합니다.

새 보안 그룹을 생성하여 리소스에 할당하려면

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 보안 그룹을 선택합니다. 기본 보안 그룹 세부 정보를 통해 이 그룹에 지정된 리소스가 어떤

것인지 확인합니다.3. 해당 리소스에 최소 권한 보안 그룹 집합을 생성합니다. 보안 그룹을 생성하는 방법에 대한 자세한 내용

은 단원을 참조하십시오.보안 그룹 생성의Amazon VPC User Guide.4. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.5. Amazon EC2 콘솔에서 기본 보안 그룹을 사용하는 리소스의 보안 그룹을 생성한 최소 권한 보안 그룹으

로 변경합니다. 단원을 참조하십시오.인스턴스의 보안 그룹 변경의Amazon VPC User Guide.

578



https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#DefaultSecurityGroup


https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#CreatingSecurityGroups


https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#SG_Changing_Group_Membership


리소스에 새 보안 그룹을 할당한 후 기본 보안 그룹에서 인바운드 및 아웃바운드 규칙을 제거합니다. 이렇게하면 기본 보안 그룹이 사용되지 않습니다.

기본 보안 그룹에서 규칙을 제거하려면

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 보안 그룹을 선택합니다.3. 기본 보안 그룹을 선택하고 [] 를 선택합니다.인바운드 규칙탭을 참조하십시오. 선택인바운드 규칙 편집.

그런 다음 모든 인바운드 규칙을 삭제합니다. 규칙 저장을 선택합니다.4. 각 기본 보안 그룹에 대해 이전 단계를 반복합니다.5. 기본 보안 그룹을 선택하고 [] 를 선택합니다.아웃바운드 규칙탭을 참조하십시오. 선택아웃바운드 규칙

편집. 그런 다음 모든 아웃바운드 규칙을 삭제합니다. 규칙 저장을 선택합니다.6. 각 기본 보안 그룹에 대해 이전 단계를 반복합니다.

자세한 내용은 단원을 참조하십시오.보안 그룹 작업의Amazon VPC User Guide.

[EC2.3] 연결된 EBS 볼륨은 유휴 상태에서 암호화되어야 함범주: 보호 > 데이터 보호 > 유휴 시 데이터 암호화

심각도: Medium

리소스: EC2 볼륨

AWS Config 규칙: encrypted-volumes


이 컨트롤은 연결 상태인 EBS 볼륨이 암호화되었는지 확인합니다. 이 확인을 통과하려면 EBS 볼륨이 사용중이고 암호화되어야 합니다. EBS 볼륨이 연결되어 있지 않으면 이 확인 범위에 속하지 않습니다.

EBS 볼륨에서 중요한 데이터의 보안을 강화하려면 유휴 상태에서 EBS 암호화를 활성화해야 합니다.Amazon EBS 암호화는 자체 키 관리 인프라를 사용자가 직접 구축, 유지 및 보호할 필요가 없는 EBS 리소스에 대한 간단한 암호화 솔루션을 제공합니다. 암호화된 볼륨 및 스냅샷을 생성할 때 AWS KMS 고객 마스터키(CMK)를 사용합니다.

Amazon EBS 암호화에 대한 자세한 내용은 단원을 참조하십시오.Amazon EBS encryption의Linux 인스턴스용 Amazon EC2 사용 설명서.

Note


Remediation

기존의 암호화되지 않은 볼륨 또는 스냅샷을 암호화하는 직접적인 방법은 없습니다. 새 볼륨이나 스냅샷을생성할 때만 암호화할 수 있습니다.

암호화를 기본적으로 활성화한 경우 Amazon EBS은 Amazon EBS 암호화에 대한 사용자의 기본 키를 사용하여, 결과로 얻은 새로운 볼륨 또는 스냅샷을 암호화합니다. 암호화를 기본적으로 활성화하지 않은 경우라도 개별 볼륨 또는 스냅샷을 생성할 때 암호화를 활성화할 수 있습니다. 두 경우 모두 Amazon EBS 암호화에대한 기본 키를 재정의하고 대칭 고객 관리형 CMK를 선택할 수 있습니다.

자세한 내용은 단원을 참조하십시오.Amazon EBS 볼륨 생성및Amazon EBS 스냅샷 복사의Linux 인스턴스용 Amazon EC2 사용 설명서.

[EC2.4] 중지된 EC2 인스턴스는 지정된 기간 후에 제거해야 합니다.범주: 식별 > 인벤토리

579



https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-creating-volume.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-copy-snapshot.html


심각도: Medium

리소스: EC2 인스턴스

AWS Config 규칙: ec2-stopped-instance

파라미터:

• allowedDays30

이 컨트롤은 허용된 일수보다 오래 중지되었는지 확인합니다. EC2 인스턴스는 최대 허용 기간 (기본적으로30일) 보다 오래 동안 중지된 경우 이 확인에 실패합니다.

검색 실패는 EC2 인스턴스가 상당한 기간 동안 실행되지 않았음을 나타냅니다. 이로 인해 EC2 인스턴스가적극적으로 유지 관리 (분석, 패치 적용, 업데이트) 되지 않기 때문에 보안 위험이 발생합니다. 나중에 실행되면 적절한 유지 보수가 부족하여AWS환경을 선택합니다. EC2 인스턴스를 지속적으로 실행 중이 아닌 상태로 안전하게 유지하려면 유지 관리를 위해 주기적으로 시작한 다음 유지 관리 후에 중지하십시오. 이상적으로 이것은 자동화 된 프로세스입니다.

Note


Remediation

EC2 인스턴스는 콘솔 또는 명령줄을 사용하여 종료할 수 있습니다.

EC2 인스턴스를 종료하기 전에 데이터가 손실되지 않는지 확인합니다.

• 종료 시 Amazon EBS 볼륨이 삭제되지 않는지 확인합니다.• EC2 인스턴스 스토어 볼륨에서 필요한 데이터를 Amazon EBS 또는 Amazon S3 으로 복사합니다.

EC2 인스턴스를 종료하려면 (콘솔)

1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.2. 탐색 창의 인스턴스에서 인스턴스를 선택합니다.3. 인스턴스를 선택한 다음 [] 를 선택합니다.작업,인스턴스 상태,Terminate.4. 확인 메시지가 나타나면 [Yes, Terminate]를 선택합니다.

EC2 인스턴스를 종료하려면 (AWS CLI, Windows PowerShell 용 도구)

다음 명령 중 하나를 사용합니다. 명령줄 인터페이스에 대한 자세한 내용은 단원을 참조하십시오.AmazonEC2 액세스의Linux 인스턴스용 Amazon EC2 사용 설명서.

• (사용)AWS CLI를 사용하려면terminate-instances

• Windows PowerShell 용 도구에서Stop-EC2Instance.

인스턴스 종료에 대한 자세한 내용은 단원을 참조하십시오.인스턴스 종료의Linux 인스턴스용 Amazon EC2사용 설명서.

[EC2.6] 모든 VPC에서 VPC 흐름 로깅을 활성화해야 합니다.범주: 식별 > 로깅

심각도: Medium

리소스: VPC

580

https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html


https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html#access-ec2

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/concepts.html#access-ec2

https://docs.aws.amazon.com/cli/latest/reference/ec2/terminate-instances.html

https://docs.aws.amazon.com/powershell/latest/reference/items/Stop-EC2Instance.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/terminating-instances.html#terminating-instances-console



파라미터:

• trafficType: REJECT

이 컨트롤은 VPC에 대해 Amazon VPC 흐름 로그가 발견되고 활성화되었는지 여부를 확인합니다. 트래픽유형이Reject.

VPC 흐름 로그 기능을 사용하면 VPC의 네트워크 인터페이스에서 송수신되는 IP 주소 트래픽에 대한 정보를 캡처할 수 있습니다. 플로우 로그를 생성하고 난 다음 CloudWatch Logs Logs에서 데이터를 확인하고 가져올 수 있습니다. Amazon S3 플로우 로그를 보낼 수도 있습니다.

VPC에 대한 패킷 Security Hub 부를 위해 플로우 로깅을 활성화하는 것이 좋습니다. 플로우 로그는 VPC 통과하는 네트워크 트래픽에 대한 가시성을 제공하며 보안 워크플로우 중에 발생하는 변칙적 트래픽을 감지하거나 통찰력을 제공할 수 있습니다.

기본적으로 레코드에는 소스, 대상 및 프로토콜을 포함하여 IP 주소 흐름의 다른 구성 요소에 대한 값이 포함됩니다. 로그 필드에 대한 자세한 내용과 설명은VPC 흐름 로그의Amazon VPC User Guide.

Remediation

이 문제를 해결하려면 VPC 흐름 로깅을 사용하도록 설정합니다.


1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. USEVirtual Private Cloud를 선택하고VPC.3. 업데이트할 VPC를 선택합니다.4. 페이지 하단에서 [] 를 선택합니다.플로우 로그.5. 흐름 로그 생성(Create flow log)을 선택합니다.6. 필터에서 거부를 선택합니다.7. 용대상 로그 그룹에서 사용할 로그 그룹을 선택합니다.8. 용IAM 역할에서 사용할 IAM 역할을 선택합니다.9. Create를 선택합니다.

[EC2.7] EBS 기본 암호화를 활성화해야 합니다.

범주: 보호 > 데이터 보호 > 유휴 시 데이터 암호화

심각도: Medium

리소스 유형 AWS 계정

AWS Config 규칙: ec2-ebs-encryption-by-default


이 컨트롤은 Amazon Elastic Block Store (Amazon EBS) 에 대해 계정 수준 암호화가 기본적으로 활성화되어 있는지 확인합니다. 계정 수준 암호화를 사용할 수 없는 경우 컨트롤이 실패합니다.

계정에 대해 암호화가 활성화되면 Amazon EBS 볼륨 및 스냅샷 복사본이 저장 시 암호화됩니다. 이는 데이터에 대한 보호 계층을 한층 더해 줍니다. 자세한 내용은 단원을 참조하십시오.암호화 기본 제공의Linux 인스턴스용 Amazon EC2 사용 설명서.

다음 인스턴스 유형은 암호화를 지원하지 않습니다. R1, C1 및 M1.

581


https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html


https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html#encryption-by-default


Remediation

Amazon EC2 콘솔을 사용하여 Amazon EBS 볼륨에 대한 기본 암호화를 활성화할 수 있습니다.

리전에서 Amazon EBS 암호화의 기본 암호화를 구성하려면

1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.2. 탐색 창에서 EC2 대시보드를 선택합니다.3. 페이지의 오른쪽 위 모서리에서 [] 를 선택합니다.계정 속성, EBS 암호화.4. 관리를 선택합니다.5. Enable(활성화)을 선택합니다. 유지할 수 있는AWS별칭을 사용하여 관리되는 CMKalias/aws/ebs을

(를) 기본 암호화 키로 생성하거나 고객 관리형 대칭 CMK를 선택합니다.6. Update EBS encryption(EBS 암호화 업데이트)를 선택합니다.

[EC2.8] EC2 인스턴스는 IMDSv2를 사용해야 합니다.범주: 네트워크 보안

심각도: 높음

리소스 유형 EC2 인스턴스

AWS Config 규칙: ec2-imdsv2-check


이 컨트롤은 EC2 인스턴스 메타데이터 버전이 인스턴스 메타데이터 서비스 버전 2 (IMDSv2) 로 구성되어 있는지 확인합니다. 컨트롤은 경우 통과HttpTokens가 IMDSv2에 필수로 설정되어 있습니다. 다음과 같은 경우 컨트롤이 실패합니다.HttpTokens다음의 경우 이 로 설정됩니다.optional.

인스턴스 메타데이터를 사용하여 실행 중인 인스턴스를 구성 또는 관리합니다. IMDS는 자주 교체되는 임시자격 증명에 대한 액세스를 제공합니다. 이러한 자격 증명을 사용하면 수동 또는 프로그래밍 방식으로 중요한 자격 증명을 인스턴스에 하드 코딩하거나 배포할 필요가 없습니다. IMDS는 모든 EC2 인스턴스에 로컬로연결됩니다. 이 암호는 169.254.169.254의 특별한 “링크 로컬” IP 주소에서 실행됩니다. 이 IP 주소는 인스턴스에서 실행되는 소프트웨어에서만 액세스할 수 있습니다.

IMDS의 버전 2는 다음과 같은 유형의 취약성에 대한 새로운 보호 기능을 추가합니다. 이 취약성은 IMDS에액세스하기 위해 사용될 수 있습니다.

• 웹 사이트 응용 프로그램 방화벽 열기• 개방형 역방향 프록시• 서버 측 요청 위조 (SSRF) 취약성• 개방형 Layer 3 방화벽 및 NAT (Network Address Translation)

Security Hub IMDSv2를 사용하여 EC2 인스턴스를 구성하는 것이 좋습니다.Note


Remediation

IMDSv2로 구성되지 않은 EC2 인스턴스에 업데이트를 적용하려면 IMDSv2를 사용해야 합니다.

기존 인스턴스에 IMDSv2를 요구하려면 인스턴스 메타데이터를 요청할 때 Amazon EC2 메타데이터 옵션을수정합니다. 의 지침을 따르십시오.기존 인스턴스에 대한 인스턴스 메타데이터 옵션 구성의Linux 인스턴스용 Amazon EC2 사용 설명서.

582


https://docs.aws.amazon.com/config/latest/developerguide/ec2-imdsv2-check.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html


인스턴스를 시작할 때 새 인스턴스에서 IMDSv2를 사용해야 하도록 설정하려면새 인스턴스에 대한 인스턴스메타데이터 옵션 구성의Linux 인스턴스용 Amazon EC2 사용 설명서.

콘솔에서 IMDSv2를 사용하여 새 EC2 인스턴스를 구성하려면

1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.2. 선택인스턴스 실행를 선택한 다음인스턴스 실행.3. 에서인스턴스 세부 정보 구성단계의 [] 아래에서고급 세부 정보에 대한Metadata 버전를 선택하고V2 (토

큰 필요).4. [Review and Launch]를 선택합니다.

소프트웨어가 IMDSv1을 사용하는 경우 IMDSv2를 사용하도록 소프트웨어를 재구성할 수 있습니다. 자세한 내용은 단원을 참조하십시오.인스턴스 메타데이터 서비스 버전 2 사용으로 전환 중의Linux 인스턴스용Amazon EC2 사용 설명서.

[EC2.9] EC2 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.


심각도: 높음


AWS Config 규칙: ec2-instance-no-public-ip


이 컨트롤은 EC2 인스턴스에 퍼블릭 IP 주소가 있는지 여부를 확인합니다. 컨트롤이 실패 하는 경우publicIp필드가 EC2 인스턴스 구성 항목에 있는지 여부를 확인합니다. 이 컨트롤은 IPv4 주소에만 적용됩니다.

퍼블릭 IPv4 주소는 인터넷에서 연결할 수 있는 IP 주소입니다. 퍼블릭 IP 주소로 인스턴스를 시작하는 경우인터넷에서 EC2 인스턴스에 연결할 수 있습니다. 프라이빗 IPv4 주소는 인터넷에서 연결할 수 없는 IP 주소입니다. 프라이빗 IPv4 주소는 동일 VPC EC2 인스턴스 또는 연결된 프라이빗 네트워크에서 통신에 사용할수 있습니다.

IPv6 주소는 전역적으로 고유하므로 인터넷으로 접속할 수 있습니다. 하지만 모든 서브넷에는 IPv6 주소 지정 특성이 false로 기본 설정되어 있습니다. IPv6에 대한 자세한 내용은VPC IP 주소 지정의Amazon VPCUser Guide.

퍼블릭 IP 주소로 EC2 인스턴스를 유지 관리하는 합법적인 사용 사례가 있는 경우 이 컨트롤에서 결과를 표시하지 않을 수 있습니다. 프런트 엔드 아키텍처 옵션에 대한 자세한 내용은AWS아키텍처 블로그또는이것은나의 아키텍처입니다 시리즈.

Remediation

기본이 아닌 VPC 사용하면 인스턴스에 퍼블릭 IP 주소가 할당되지 않습니다.

EC2 인스턴스를 기본 VPC 로 시작하면 퍼블릭 IP 주소가 지정됩니다. EC2 인스턴스를 기본 VPC 가 아닌VPC로 시작하는 경우 서브넷 구성은 퍼블릭 IP 주소를 부여받는지 여부를 결정합니다. 서브넷은 서브넷의새 EC2 인스턴스가 퍼블릭 IPv4 주소 풀로부터 퍼블릭 IP 주소를 부여받는지 여부를 결정하는 속성을 갖습니다.

EC2 인스턴스에서 자동으로 할당된 퍼블릭 IP 주소는 수동으로 연결 또는 해제할 수 없습니다. EC2 인스턴스가 퍼블릭 IP 주소를 수신할지 여부를 제어하려면 다음 중 하나를 수행합니다.

• 서브넷의 퍼블릭 IP 주소 지정 속성을 수정합니다. 자세한 내용은 단원을 참조하십시오.서브넷의 퍼블릭IPv4 주소 지정 속성 수정의Amazon VPC User Guide.

583




https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html#instance-metadata-transition-to-version-2

https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html

http://aws.amazon.com/blogs/architecture/

http://aws.amazon.com/this-is-my-architecture/?tma.sort-by=item.additionalFields.airDate&tma.sort-order=desc&awsf.category=categories%23mobile

http://aws.amazon.com/this-is-my-architecture/?tma.sort-by=item.additionalFields.airDate&tma.sort-order=desc&awsf.category=categories%23mobile

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-public-ip

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html#subnet-public-ip


• 실행 중에 퍼블릭 IP 주소 지정 기능을 활성화하거나 비활성화합니다. 이는 서브넷의 퍼블릭 IP 주소 지정 속성을 재정의합니다. 자세한 내용은 단원을 참조하십시오.인스턴스 시작 시 퍼블릭 IPv4 주소 할당의Linux 인스턴스용 Amazon EC2 사용 설명서.

자세한 내용은 단원을 참조하십시오.퍼블릭 IPv4 주소 및 외부 DNS 호스트 이름의Linux 인스턴스용Amazon EC2 사용 설명서.

EC2 인스턴스가 엘라스틱 IP 주소와 연결된 경우 인터넷에서 EC2 인스턴스에 연결할 수 있습니다. 언제든지 인스턴스 또는 네트워크 인터페이스에서 탄력적 IP 주소의 연결을 해제할 수 있습니다.

엘라스틱 IP 주소를 연결 해제하려면

1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.2. 탐색 창에서 [Elastic IPs]를 선택합니다.3. 연결을 해제할 탄력적 IP 주소를 선택합니다.4. From작업를 선택하고엘라스틱 IP 주소 연결을 해제합니다..5. 연결 해제를 선택합니다.

[EC2.10] Amazon EC2 VPC 엔드포인트를 사용하도록 구성해야 합니다.범주: 보호 - 보안 네트워크 구성 > API 전용 액세스

심각도: Medium

리소스: VPC

AWS Config 규칙: service-vpc-endpoint-enabled

파라미터:

• serviceName: ec2

이 컨트롤은 각 VPC 대해 Amazon EC2 서비스 엔드포인트가 생성되었는지 여부를 확인합니다. VPC PC에Amazon EC2 서비스용으로 생성된 VPC 엔드포인트가 없는 경우 이 컨트롤은 실패합니다.

VPC의 보안 태세를 개선하기 위해 인터페이스 VPC 엔드포인트를 사용하도록 Amazon EC2 구성할 수 있습니다. 인터페이스 엔드포인트는 다음으로 구동됩니다. AWS PrivateLink 는 Amazon EC2 API 작업에 비공개로 액세스할 수 있는 기술입니다. VPC 와 Amazon EC2 간의 모든 네트워크 트래픽을 Amazon 네트워크로제한합니다. 엔드포인트는 동일한 리전 내에서만 지원되므로 VPC 와 다른 리전의 서비스 간에 엔드포인트를 생성할 수 없습니다. 이렇게 하면 다른 리전으로의 의도하지 않은 Amazon EC2 API 호출을 방지할 수 있습니다.

Amazon EC2 VPC 엔드포인트 생성에 대한 자세한 내용은 단원을 참조하십시오.Amazon EC2 및 인터페이스 VPC 엔드포인트의Linux 인스턴스용 Amazon EC2 사용 설명서.

Remediation

이 문제를 해결하기 위해 Amazon EC2 인터페이스 VPC 엔드포인트를 생성할 수 있습니다.

Amazon VPC 콘솔에서 Amazon EC2 대한 인터페이스 엔드포인트를 생성하려면

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 엔드포인트를 선택합니다.3. 엔드포인트 생성을 선택합니다.4. 용서비스 범주를 선택하고AWS서비스.5. 용서비스 이름를 선택하고아마조나스 <region>.ec2.

584

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#public-ip-addresses

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#public-ip-addresses

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-instance-addressing.html#concepts-public-addresses


https://docs.aws.amazon.com/config/latest/developerguide/service-vpc-endpoint-enabled.html

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/interface-vpc-endpoints.html




6. 용유형를 선택하고인터페이스.7. 다음 정보를 완성합니다.

a. [VPC]에서 엔드포인트를 생성할 VPC를 선택합니다.b. [Subnets]에서 엔드포인트 네트워크 인터페이스를 생성할 서브넷(가용 영역)을 선택합니다. 일부

가용 영역에서 모든 가용 영역이 지원되는 것은 아닙니다.AWS서비스.c. 인터페이스 엔드포인트에 대한 프라이빗 DNS를 활성화하려면DNS 이름 활성화. 이 옵션은 기본적

으로 활성화되어 있습니다.

프라이빗 DNS 옵션을 사용하려면 VPC 속성 다음 를 true로 설정해야 합니다.

• enableDnsHostnames

• enableDnsSupport

자세한 내용은 단원을 참조하십시오.VPC에 대한 DNS 지원 조회 및 업데이트의Amazon VPC UserGuide.

d. [Security group]에서 보안 그룹을 선택하여 엔드포인트 네트워크 인터페이스와 연결합니다.e. (선택) 태그를 추가하거나 제거할 수 있습니다. 태그를 추가하려면 [] 를 선택합니다.태그 추가를 열

고 다음 중 하나를 수행합니다.

• 용Key에 태그 이름을 입력합니다.• 용값에 태그 값을 입력합니다.

f. 태그를 제거하려면 삭제 버튼 (x) 를 태그 오른쪽에Key및값.8. [Create endpoint]를 선택합니다.

인터페이스 VPC 엔드포인트 정책을 생성하려면

VPC 엔드포인트에 정책을 연결하여 Amazon EC2 API에 대한 액세스를 제어할 수 있습니다. 이 정책은 다음을 지정합니다.

• 작업을 수행할 수 있는 보안 주체• 수행할 수 있는 작업• 작업을 수행할 수 있는 리소스

VPC 엔드포인트 정책 생성에 대한 자세한 내용은Amazon EC2 및 인터페이스 VPC 엔드포인트에서Linux 인스턴스용 Amazon EC2 사용 설명서.

[EC2.15] EC2 서브넷이 퍼블릭 IP 주소를 자동으로 할당해서는 안 됨범주: 네트워크 보안

심각도: Medium

리소스 유형 Amazon EC2 서브넷

AWS Config 규칙: subnet_auto_assign_public_ip_disabled


이 컨트롤은 Amazon Virtual Private Cloud (Amazon VPC) 서브넷의 퍼블릭 IP가 할당되었는지 확인합니다.MapPublicIpOnLaunch이 로 설정된 경우FALSE. 플래그를 설정하면 컨트롤이 통과하려면FALSE.

모든 서브넷은 서브넷에서 생성된 네트워크 인터페이스가 퍼블릭 IPv4 주소를 부여받는지 여부를 결정하는속성을 갖습니다. 이 속성이 활성화된 서브넷에서 시작되는 인스턴스에는 기본 네트워크 인터페이스에 할당된 퍼블릭 IP 주소가 있습니다.

585

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating


https://docs.aws.amazon.com/config/latest/developerguide/subnet-auto-assign-public-ip-disabled.html


Note



Remediation

Amazon VPC 콘솔에서 서브넷을 구성할 수 있습니다.

퍼블릭 IP 주소를 할당하지 않도록 서브넷을 구성하려면

1. https://console.aws.amazon.com/vpc/에서 Amazon VPC 콘솔을 엽니다.2. 탐색 창에서 [Subnets]을 선택합니다.3. 서브넷을 선택한 다음서브넷 작업,IP 설정 자동 할당.4. 지우기퍼블릭 IPv4 주소 자동 할당 활성화확인란을 선택한 다음Save.

[EC2.16] 사용하지 않는 네트워크 액세스 제어 목록을 제거해야 합니다.

범주: 네트워크 보안

심각도: 낮음

리소스 유형 AWS::EC2::NetworkAcl

AWS Config 규칙: vpc_network_acl_unused_check


이 컨트롤은 사용하지 않는 네트워크 액세스 제어 목록 (ACL) 이 있는지 확인합니다.

컨트롤은 자원의 항목 구성을 확인합니다AWS::EC2::NetworkAcl네트워크 ACL의 관계를 확인합니다.

유일한 관계가 네트워크 ACL의 VPC 인 경우 제어가 실패합니다.

다른 관계가 나열되면 컨트롤이 전달됩니다.

Note



Remediation

사용되지 않는 네트워크 ACL을 삭제하는 방법에 대한 지침은네트워크 ACL 삭제의Amazon VPC UserGuide.

586


https://docs.aws.amazon.com/config/latest/developerguide/vpc-network-acl-unused-check.html

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#DeleteNetworkACL


[EC2.17] EC2 인스턴스는 여러 ENI를 사용하지 않아야 합니다.


심각도: 낮음

리소스: AWS::EC2::Instance

AWS Config 규칙: ec2_instance_multiple_eni_check

파라미터:

• Adapterids(선택 사항) — EC2 인스턴스에 연결된 네트워크 인터페이스 ID 목록

이 컨트롤은 EC2 인스턴스가 여러 ENI (엘라스틱 네트워크 인터페이스) 또는 EFA (엘라스틱 패브릭 어댑터)를 사용하는지 여부를 확인합니다. 이 컨트롤은 단일 네트워크 어댑터를 사용하는 경우 통과합니다. 컨트롤에는 허용되는 ENI를 식별하는 선택적 매개 변수 목록이 포함되어 있습니다.

ENI가 여러 개인 경우 이중 홈 인스턴스가 발생할 수 있습니다. 즉, 서브넷이 여러 개인 인스턴스가 있습니다. 이로 인해 네트워크 보안이 복잡해지고 의도하지 않은 네트워크 경로 및 액세스가 발생할 수 있습니다.

Note


• 아시아 태평양(오사카)• AWS GovCloud(미국 동부)• AWS GovCloud(미국 서부)


Remediation

이 문제를 해결하려면 추가 ENI를 분리하십시오.

네트워크 인터페이스를 분리하려면

1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.2. 네트워크 및 보안 아래에서 네트워크 인터페이스를 선택합니다.3. 규정을 준수하지 않는 인스턴스 ID로 목록을 필터링하여 연결된 ENI를 확인합니다.4. 제거할 ENI를 선택합니다.5. (사용)작업메뉴에서Detach.6. 프롬프트가 표시되는 경우다음 네트워크 인터페이스를 분리하시겠습니까?를 선택하고Detach.

[EC2.18] 보안 그룹은 승인된 포트에 대한 무제한 수신 트래픽만 허용해야 함

범주: 보호 > 보안 네트워크 구성 > 보안 그룹 구성

심각도: 높음

리소스: AWS::EC2::SecurityGroup

AWS Config 규칙: vpc_sg_open_only_to_authorized_ports

파라미터:

587

https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-multiple-eni-check.html


https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html


• authorizedTcpPorts(선택 사항) — 무제한 액세스를 허용할 포트의 쉼표로 구분된 목록입니다. 다음예를 참조하십시오. '80, 443'. 이 규칙의 경우authorizedTcpPorts는 80 및 4443 입니다.

이 컨트롤은 사용 중인 보안 그룹이 무제한 들어오는 트래픽을 허용하는지 여부를 확인합니다. 필요에 따라규칙은 포트 번호가authorizedTcpPorts파라미터.

• 보안 그룹 규칙 포트 번호가 무제한 들어오는 트래픽을 허용하지만 포트 번호는authorizedTcpPorts이면 컨트롤이 통과합니다. authorizedTcpPorts의 기본값은 80, 443입니다.

• 보안 그룹 규칙 포트 번호가 제한 없는 수신 트래픽을 허용하지만 포트 번호가authorizedTcpPorts입력 매개 변수를 호출하면 컨트롤이 실패합니다.

• 매개 변수를 사용하지 않으면 무제한 인바운드 규칙이 있는 보안 그룹에 대해 제어가 실패합니다.

보안 그룹은 수신 및 발신 네트워크 트래픽의 상태 저장 필터링을AWS. 보안 그룹 규칙은 권한이 가장 낮은보안 주체를 따라야 합니다. 무제한 액세스 (접미사가 /0인 IP 주소) 는 해킹, 서비스 거부 공격 및 데이터 손실과 같은 악의적인 활동에 대한 기회를 늘립니다.

포트가 특별히 허용되지 않는 한 포트는 무제한 액세스를 거부해야 합니다.Note

아시아 태평양 (오사카) 에서는 이 컨트롤이 지원되지 않습니다.이 컨트롤은 여전히 릴리스 프로세스에 있습니다. 이 기능은 지원되는 모든 리전에서 아직 제공되지않을 수 있습니다.

Remediation

보안 그룹을 수정하는 방법에 대한 자세한 내용은 단원을 참조하십시오.규칙 추가, 제거 또는 업데이트의Amazon VPC User Guide.

[ECS1] Amazon ECS 작업 정의에는 보안 네트워킹 모드와 사용자 정의가 있어야합니다.범주: 보호 > 보안 액세스 관리

심각도: 높음

리소스: AWS::ECS::TaskDefinition

AWS Config 규칙: ecs-task-definition-user-for-host-mode-check


이 컨트롤은 호스트 네트워킹 모드가 있는 Amazon ECS 작업 정의에도 '권한' 또는 '사용자' 컨테이너 정의가있는지 여부를 확인합니다. 권한 = false 또는 비어 있고 사용자 = 루트 또는 비어 있는 컨테이너 정의 호스트네트워크 모드 및 컨테이너 정의가 있는 작업 정의에 대 한 컨트롤이 실패 합니다.

작업 정의에 상승된 권한이 있는 경우 고객이 해당 구성을 특별히 선택했기 때문입니다. 이 컨트롤은 작업 정의에서 호스트 네트워킹을 사용하도록 설정했지만 고객이 상승된 권한으로 옵트인하지 않은 경우 예기치 않은 권한 에스컬레이션을 확인합니다.

Note


• 아시아 태평양(오사카)• 중국(베이징)• 중국(닝샤)• AWS GovCloud(미국 동부)

588

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#AddRemoveRules

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#AddRemoveRules

https://docs.aws.amazon.com/config/latest/developerguide/ecs-task-definition-user-for-host-mode-check.html


• AWS GovCloud(미국 서부)


Remediation

작업 정의를 업데이트하는 방법에 대한 자세한 내용은작업 정의 업데이트의Amazon Elastic 컨테이너 서비스 개발자 가이드.

작업 정의를 업데이트할 때 이전 작업 정의에서 실행된 실행 중인 작업은 업데이트되지 않습니다. 실행 중인작업을 업데이트하려면 새 작업 정의를 사용하여 작업을 다시 배포해야 합니다.

[EFS.1] Amazon EFS 사용하여 유휴 시 파일 데이터를 암호화하도록 구성해야 합니다.AWS KMS범주: 보호 > 데이터 보호 > 유휴 시 데이터 암호화

심각도: Medium

리소스: EFS 파일 시스템

AWS Config 규칙: efs-encrypted-check


이 컨트롤은 Amazon Elastic File SystemAWS KMS. 다음과 같은 경우에는 확인에 실패합니다.

• Encrypted다음의 경우 이 로 설정됩니다.false의DescribeFileSystems응답도.• 이KmsKeyId키입니다.DescribeFileSystems응답이 일치하지 않는KmsKeyId매개 변수efs-encrypted-check.

이 컨트롤은 사용하지 않는KmsKeyId매개 변수efs-encrypted-check. Encrypted 값만 확인합니다.

Amazon EFS 의 중요 데이터에 대한 보안을 강화하려면 암호화된 파일 시스템을 만들어야 합니다. AmazonEFS 저장 중인 파일 시스템에 대한 암호화를 지원합니다. Amazon EFS 파일 시스템을 생성할 때 유휴 시데이터 암호화를 활성화할 수 있습니다. Amazon EFS 암호화에 대한 자세한 내용은 단원을 참조하십시오.Amazon EFS 에서의 데이터 암호화의Amazon Elastic File System 사용.

Note


Remediation

새 Amazon EFS 파일 시스템을 암호화하는 방법에 대한 자세한 내용은유휴 데이터 암호화의Amazon ElasticFile System 사용.

[EFS.2] Amazon EFS 볼륨이 백업 계획에 있어야 합니다.범주: 복구 > 복구 > Backup

심각도: Medium

리소스 유형 EFS FileSystem

AWS Config 규칙: efs_in_backup_plan


589

https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-task-definition.html

https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html

https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html

https://docs.aws.amazon.com/efs/latest/ug/API_DescribeFileSystems.html




https://docs.aws.amazon.com/efs/latest/ug/encryption.html

https://docs.aws.amazon.com/efs/latest/ug/encryption-at-rest.html

https://docs.aws.amazon.com/config/latest/developerguide/efs-in-backup-plan.html


이 컨트롤은 Amazon Elastic File System (Amazon EFS) 파일 시스템이AWS Backup. Amazon EFS 파일 시스템이 백업 계획에 포함되어 있지 않으면 제어가 실패합니다.

백업 계획에 EFS 파일 시스템을 포함하면 삭제 및 데이터 손실로부터 데이터를 보호할 수 있습니다.Note



Remediation

이 문제를 해결하려면 자동 백업을 사용하도록 파일 시스템을 업데이트하십시오.

기존 파일 시스템에 대한 자동 백업을 활성화하려면

1. Amazon Elastic File System 콘솔(https://console.aws.amazon.com/efs/)을 엽니다.2. 에파일 시스템페이지에서 자동 백업을 활성화할 파일 시스템을 선택합니다.

이파일 시스템 세부 정보페이지가 표시됩니다.3. USE일반를 선택하고Edit.4. 자동 백업을 활성화하려면 [] 를 선택합니다.자동 백업 활성화.5. [Save changes]를 선택합니다.

자세한 내용은 다음을 참조하세요.사용AWS BackupAmazon EFS의Amazon Elastic File System 사용.

[ElasticBeanstalk.1] Elastic Beanstalk 나무 환경에서는 향상된 상태 보고 기능이활성화되어 있어야 합니다.범주: 감지 > 감지 서비스 > 애플리케이션 모니터링

심각도: 낮음

리소스 유형 Environment

AWS Config 규칙: beanstalk_enhanced_health_reporting_enabled


이 컨트롤은 향상된 상태 보고가 활성화되어 있는지 여부를 확인합니다.AWS Elastic Beanstalk환경을 선택합니다.

Elastic Beanstalk 의 향상된 상태 보고를 통해 기본 인프라의 상태 변화에 보다 신속하게 대응할 수 있습니다. 이러한 변경으로 인해 응용 프로그램의 가용성이 부족할 수 있습니다.

Elastic Beanstalk 의 향상된 상태 보고는 확인된 문제의 심각도를 측정하고 조사할 수 있는 원인을 식별하는상태 설명자를 제공합니다. 지원되는 Amazon 머신 이미지 (AMI) 에 포함된 Elastic Beanstalk 상태 에이전트는 환경 EC2 인스턴스의 로그와 메트릭을 평가합니다.

자세한 내용은 단원을 참조하십시오.향상된 상태 보고 및 모니터링의AWS Elastic Beanstalk개발자 안내서.Note


590

https://console.aws.amazon.com/efs/

https://docs.aws.amazon.com/efs/latest/ug/awsbackup.html

https://docs.aws.amazon.com/config/latest/developerguide/beanstalk-enhanced-health-reporting-enabled.html

https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced.html



Remediation

향상된 상태 보고를 활성화하는 방법에 대한 지침은 단원을 참조하십시오.Elastic Beanstalk 콘솔을 사용해확장 상태 보고 활성화의AWS Elastic Beanstalk개발자 안내서.

[ElasticBeanstalk.2] Elastic Beanstalk 나무 관리 플랫폼 업데이트를 활성화해야 합니다.범주: 탐지 > 취약점, 패치 및 버전 관리

심각도: 높음

리소스 유형 Environment

AWS Config 규칙: elastic_beanstalk_managed_updates_enabled


이 컨트롤은 Elastic Beanstalk 환경에 대해 관리되는 플랫폼 업데이트가 활성화되어 있는지 여부를 확인합니다.

관리되는 플랫폼 업데이트를 사용하도록 설정하면 환경에 사용 가능한 최신 플랫폼 수정, 업데이트 및 기능이 설치됩니다. 패치 설치를 최신 상태로 유지하는 것은 시스템 보안의 중요한 단계입니다.

Note



Remediation

관리되는 플랫폼 업데이트를 활성화하는 방법에 대한 지침은 단원을 참조하십시오.관리형 플랫폼 업데이트에서 관리형 플랫폼 업데이트를 구성하려면의AWS Elastic Beanstalk개발자 안내서.

[ELB.3] Classic Load Balancer 리스너는 HTTPS 또는 TLS 종료를 사용하여 구성해야 합니다.범주: 보호 > 데이터 보호 > 전송 중인 데이터 암호화

심각도: Medium

리소스: ELB 로드 밸런서

AWS Config 규칙: elb_tls_https_listeners_only


591

https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html#health-enhanced-enable-console

https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/health-enhanced-enable.html#health-enhanced-enable-console

https://docs.aws.amazon.com/config/latest/developerguide/elastic-beanstalk-managed-updates-enabled.html

https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html

https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html

https://docs.aws.amazon.com/config/latest/developerguide/elb-tls-https-listeners-only.html


이 컨트롤은 Classic Load Balancer 리스너가 프런트 엔드 (클라이언트에서 로드 밸런서) 연결을 위해HTTPS 또는 TLS 프로토콜로 구성되어 있는지 확인합니다. Classic Load Balancer 리스너가 있는 경우 이컨트롤을 적용할 수 있습니다. Classic Load Balancer 리스너가 구성되어 있지 않은 경우 컨트롤은 검색 결과를 보고하지 않습니다.

Classic Load Balancer 수신기가 프런트 엔드 연결에 대해 TLS 또는 HTTPS로 구성된 경우 컨트롤이 통과됩니다.

수신기가 프런트 엔드 연결에 대해 TLS 또는 HTTPS로 구성되지 않은 경우 컨트롤이 실패합니다.

로드 밸런서를 사용하기 전에 리스너를 하나 이상 추가해야 합니다. 리스너는 구성한 프로토콜 및 포트를 사용하여 연결 요청을 확인하는 프로세스입니다. 리스너는 HTTP 및 HTTPS/TLS 프로토콜을 모두 지원할 수있습니다. 로드 밸런서가 전송 중에 암호화 및 암호 해독 작업을 수행하도록 항상 HTTPS 또는 TLS 수신기를사용해야 합니다.

Remediation

이 문제를 해결하려면 TLS 또는 HTTPS 프로토콜을 사용하도록 수신기를 업데이트하십시오.

모든 비준수 리스너를 TLS/HTTPS 리스너로 변경하려면

1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.2. 탐색 창에서 [Load Balancers]를 클릭합니다. Classic Load Balancer 를 선택합니다.3. 선택을 선택합니다.리스너탭을 선택한 후Edit.4. Load Balancer 프로토콜이 HTTPS 또는 SSL로 설정되지 않은 모든 리스너의 경우 설정을 HTTPS 또는

SSL로 변경합니다.5. 수정 된 모든 리스너에 대해SSL 인증서를 선택하고변경 사항.6. 수정된 모든 리스너에 대해ACM에서 인증서 선택.7. 인증서 목록에서 인증서를 선택합니다.인증서드롭다운 목록에서 를 선택합니다. 그런 다음 [Save]를 선

택합니다.8. 모든 리스너를 업데이트한 후Save.

[ELB.4] 애플리케이션 로드 밸런서는 HTTP 헤더를 삭제하도록 구성되어야 합니다.


심각도: Medium

리소스 유형 ELB 로드 밸런서

AWS Config 규칙: alb_http_drop_invalid_header_enabled


이 컨트롤은AWSALB (애플리케이션 로드 밸런서) 를 사용하여 잘못된 HTTP 헤더를 삭제하도록 구성되었는지 확인합니다. 값 경우 컨트롤이 실패routing.http.drop_invalid_header_fields.enabled다음의 경우 이 로 설정됩니다.false.

기본적으로 ALB는 잘못된 HTTP 헤더 값을 삭제하도록 구성되지 않습니다. 이러한 헤더 값을 제거하면HTTP 동기화 해제 공격이 방지됩니다.

Note


• 아프리카(케이프타운)• 아시아 태평양(오사카)

592


https://docs.aws.amazon.com/config/latest/developerguide/alb-http-drop-invalid-header-enabled.html


• 유럽(밀라노)

Remediation

이 문제를 해결하려면 잘못된 헤더 필드를 삭제하도록 로드 밸런서를 구성하십시오.

잘못된 헤더 필드를 삭제하도록 로드 밸런서를 구성하려면

1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.2. 탐색 창에서 Load Balancers(로드 밸런서)를 선택합니다.3. Application Load Balancer (4. From작업를 선택하고속성 편집.5. USE부적합한 헤더 필드 삭제를 선택하고활성화.6. Save를 선택합니다.

[ELB.5] 애플리케이션 및 클래식 로드 밸런서 로깅을 활성화해야 합니다.

범주: 로깅

심각도: Medium

리소스: ELB 로드 밸런서

AWS Config 규칙: elb-logging-enabled


이 컨트롤은 Application Load Balancer Classic Load Balancer 로깅을 사용하도록 설정했는지 여부를 확인합니다. 다음과 같은 경우 컨트롤이 실패합니다.access_logs.s3.enabledisfalse.

Elastic Load Balancing은 로드 밸런서에 전송된 요청에 대한 자세한 정보를 캡처하는 액세스 로그를 제공합니다. 각 로그에는 요청을 받은 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로 및 서버 응답과 같은 정보가 포함되어 있습니다. 이러한 액세스 로그를 사용하여 트래픽 패턴을 분석하고 문제를 해결할 수 있습니다.

자세한 내용은 다음을 참조하세요.Classic Load Balancer 액세스 로그inClassic Load Balancer 사용 설명서.

Remediation

이 문제를 해결하려면 로깅을 사용하도록 로드 밸런서를 업데이트하십시오.

액세스 로그를 활성화하려면

1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.2. 탐색 창에서 Load Balancers(로드 밸런서)를 선택합니다.3. Application Load Balancer (4. From작업를 선택하고속성 편집.5. USE액세스 로그를 선택하고활성화.6. S3 위치를 입력합니다. 이 위치는 존재하거나 사용자를 위해 만들 수 있습니다. 접두사를 지정하지 않으

면 액세스 로그가 S3 버킷의 루트에 저장됩니다.7. Save를 선택합니다.

[ELB.6] Application Load Balancer 삭제 방지를 활성화해야 합니다.


593


https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html



심각도: Medium

리소스: Elbv2 로드 밸런서

AWS Config 규칙: elb-deletion-protection-enabled


이 컨트롤은 Application Load Balancer 삭제 방지 기능이 황성화되어 있는지 확인합니다. 삭제 보호가 구성되지 않은 경우 컨트롤이 실패합니다.

삭제 보호를 활성화하여 Application Load Balancer 삭제되지 않도록 보호합니다.

Remediation

로드 밸런서가 실수로 삭제되지 않도록 방지하려면, 삭제 방지 기능을 활성화할 수 있습니다. 기본 설정상 로드 밸런서에 대한 삭제 방지 기능은 비활성화되어 있습니다.

로드 밸런서용 삭제 방지 기능을 활성화하는 경우 로드 밸런서를 삭제하기 전에 삭제 방지 기능을 비활성화해야 합니다.

콘솔에서 삭제 방지 기능을 활성화하려면

1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.2. 탐색 창의 [LOAD BALANCING] 아래에서 [Load Balancers]를 선택합니다.3. 로드 밸런서를 선택합니다.4. [Description] 탭에서 [Edit attributes]를 선택합니다.5. 에로드 밸런서 속성 편집페이지에서삭제 방지에 대해 사용를 선택한 다음Save.6. Save를 선택합니다.

자세한 내용은 다음을 참조하세요.삭제 방지inApplication Load Balancer 사용 설명서.

[ELBv2.1] 모든 HTTP 요청을 HTTPS로 리디렉션하도록 Application Load Balancer구성해야 합니다.


심각도: Medium

리소스: Elbv2 로드 밸런서

AWS Config 규칙: alb-http-to-https-redirection-check


이 컨트롤은 애플리케이션 로드 밸런서의 모든 HTTP 리스너에 HTTP-HTTPS 리디렉션이 구성되어 있는지확인합니다. 애플리케이션 로드 밸런서의 HTTP 리스너 하나 이상에 HTTP-HTTPS 리디렉션이 구성되어 있지 않으면 확인되지 않습니다.

Application Load Balancer 서를 사용하기 전에 리스너를 하나 이상 추가해야 합니다. 리스너는 구성한 프로토콜 및 포트를 사용하여 연결 요청을 확인하는 프로세스입니다. 리스너는 HTTP 프로토콜과 HTTPS 프로토콜을 모두 지원합니다. HTTPS 리스너를 사용하여 암호화 및 암호 해독 작업을 Application Load Balancer 오프로드할 수 있습니다. 전송 중인 암호화를 적용하려면 Application Load Balancer 리디렉션 작업을 사용하여 포트 443에서 클라이언트 HTTP 요청을 HTTPS 요청으로 리디렉션해야 합니다.

자세한 내용은 다음을 참조하세요.Application Load Balancer를 위한 리스너inApplication Load Balancer 사용 설명서.

594

https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html


https://docs.aws.amazon.com/elasticloadbalancing/latest/application/application-load-balancers.html#deletion-protection

https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html

https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html


Note


Remediation

이 문제를 해결하려면 HTTP 요청을 리디렉션하도록 로드 밸런서를 업데이트하십시오.

Application Load Balancer 서에서 HTTPS로 HTTP 요청을 리디렉션하려면

1. https://console.aws.amazon.com/ec2/에서 Amazon EC2 콘솔을 엽니다.2. 탐색 창에서 Load Balancers(로드 밸런서)를 선택합니다.3. Application Load Balancer (4. Listeners(리스너) 탭을 선택합니다.5. HTTP 리스너(포트 80 TCP)를 선택한 다음 편집을 선택합니다.6. 기존 규칙이 있는 경우 삭제해야 합니다. 그렇지 않으면 Add action(작업 추가)을 선택한 다음 Redirect

to...(리디렉션 대상)를 선택합니다.7. HTTPS를 선택한 다음 443을 입력합니다.8. 원 기호에서 확인 표시를 선택한 다음 Update(업데이트)를 선택합니다.

[EMR.1] Amazon EMR 클러스터 마스터 노드에는 퍼블릭 IP 주소가 없어야 합니다.


심각도: 높음

리소스 유형 EMR:Cluster

AWS Config 규칙: emr-master-no-public-ip


이 컨트롤은 Amazon EMR 클러스터의 마스터 노드에 퍼블릭 IP 주소가 있는지 여부를 확인합니다.

마스터 노드에 해당 인스턴스와 연결된 공용 IP 주소가 있으면 컨트롤이 실패합니다. 공용 IP 주소는PublicIp필드의NetworkInterfaces구성을 사용할 수 있습니다. 이 컨트롤은 Amazon EMR 클러스터만 검사하여RUNNING또는WAITING상태가 표시됩니다.

Note


Remediation

시작 시 기본 또는 기본이 아닌 서브넷의 인스턴스에 퍼블릭 IPv4 주소를 할당할지 여부를 제어할 수 있습니다.

기본적으로 기본 서브넷에는 이 속성이true. 기본이 아닌 서브넷은 IPv4 퍼블릭 주소 지정 속성이 로 기본설정되어 있습니다.false에서 Amazon EC2 인스턴스 시작 마법사에서 생성되지 않는 한 이 경우 마법사는속성을true.

IPv4 퍼블릭 주소 지정 속성이false.

인스턴스가 시작된 이후에는 퍼블릭 IPv4 주소를 수동으로 해제할 수 없습니다.

이 검색 결과를 수정하려면 VPC 프라이빗 서브넷에 새 클러스터를 생성해야 합니다. VPC 프라이빗 서브넷에서 클러스터를 시작하는 방법에 대한 자세한 내용은VPC 클러스터 시작의Amazon EMR 관리 안내서.

595


https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html

https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-vpc-launching-job-flows.html


[ES.1] Elasticsearch 도메인에서 나머지 사용범주: 보호 > 데이터 보호 > 유휴 시 데이터 암호화

심각도: Medium

리소스: 도메인 Elasticsearch

AWS Config 규칙: elasticsearch-encrypted-at-rest


이 컨트롤은 Amazon EAmazon Elasticsearch Service (Amazon ES) 도메인에 암호화가 활성화되어 있는지확인합니다.-at-나머지 구성을 사용하도록 설정합니다. 유휴 시 암호화가 활성화되지 않은 경우 이 확인이 실패합니다.

Elasticsearch에서 중요한 데이터에 대한 보안을 강화하려면 유휴 상태에서 Elasticsearch를 암호화해야 합니다. Elasticsearch 도메인은 유휴 데이터 암호화를 제공합니다. 이 기능은 AWS KMS를 사용하여 암호화 키를 보관하고 관리합니다. 암호화를 수행하기 위해 256비트 키(AES-256)가 있는 고급 암호화 표준 알고리즘을 사용합니다.

Elasticsearch 암호화에 대한 자세한 내용은 유휴 상태Amazon Elasticsearch Service 위한 유휴 데이터 암호화의Amazon Elasticsearch Service 개발자 안내서의.

Note

특정 인스턴스 유형(t.small 및 t.medium)은 유휴 시 데이터에 대한 암호화를 지원하지 않습니다. 자세한 내용은 단원을 참조하십시오.지원되는 인스턴스 유형의Amazon Elasticsearch Service 개발자안내서의.

Remediation

기본적으로 도메인은 유휴 시 데이터를 암호화하지 않으므로 이 기능을 사용하도록 기존 도메인을 구성할 수없습니다.

기능을 활성화하려면 다른 도메인을 생성하고 데이터를 마이그레이션해야 합니다. 도메인 생성에 대한 자세한 내용은 단원을 참조하십시오.Amazon Elasticsearch Service 개발자 안내서의.

유휴 시 데이터를 암호화하려면 Amazon ES 5.1 이상이 필요합니다. Amazon ES에서 유휴 시 데이터 암호화에 대한 자세한 내용은Amazon Elasticsearch Service 개발자 안내서의.

[ES.2] Amazon Elasticsearch Service 도메인은 VPC 있어야 합니다.범주: 보호 > 보안 네트워크 구성

심각도: 심각

리소스 유형 도메인 Elasticsearch

AWS Config 규칙: elasticsearch-in-vpc-only


이 컨트롤은 Amazon Elasticsearch Service 도메인이 VPC 있는지 여부를 확인합니다. 퍼블릭 액세스를 확인하기 위해 VPC 서브넷 라우팅 구성을 평가하지 않습니다. Amazon ES 도메인이 퍼블릭 서브넷에 연결되어있지 않은지 확인해야 합니다. 단원을 참조하십시오.리소스 기반 정책의Amazon Elasticsearch Service 개발자 안내서의. 또한 권장 모범 사례에 따라 VPC가 구성되었는지 확인해야 합니다. 단원을 참조하십시오.VPC에 대한 보안 모범 사례의Amazon VPC User Guide.

VPC 내에 배포된 Amazon ES 도메인은 프라이빗AWS네트워크, 공용 인터넷을 통과 할 필요없이. 이 구성은 전송 중인 데이터에 대한 액세스를 제한하여 보안 상태를 높입니다. VPC는 네트워크 ACL 및 보안 그룹을

596

https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-encrypted-at-rest.html



https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/aes-supported-instance-types.html



https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-in-vpc-only.html

https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/es-ac.html#es-ac-types-resource




포함하여 Amazon ES 도메인에 대한 액세스를 보호하는 다양한 네트워크 제어 기능을 제공합니다. SecurityHub 이러한 제어를 활용하기 위해 퍼블릭 Amazon ES 도메인을 VPC로 마이그레이션하는 것이 좋습니다.

Remediation

퍼블릭 엔드포인트가 있는 도메인을 만들 경우 나중에 해당 도메인을 VPC 안에 배치할 수 없습니다. 대신에새 도메인을 만들어 데이터를 마이그레이션해야 합니다. 반대의 경우도 마찬가지입니다. VPC 내에 도메인을 만들 경우 퍼블릭 엔드포인트를 가질 수 없습니다. 대신 다른 도메인을 만들거나 이 컨트롤을 비활성화해야 합니다.

단원을 참조하십시오.퍼블릭 액세스에서 VPC 액세스로 마이그레이션의Amazon Elasticsearch Service 개발자 안내서의.

[ES.3] Amazon Elasticsearch Service 도메인은 노드 간에 전송된 데이터를 암호화해야 함범주: 보호 > 데이터 보호 > 전송 중인 데이터 암호화

심각도: Medium

리소스 유형 도메인 Elasticsearch

AWS Config 규칙: elasticsearch-node-to-node-encryption-check


이 컨트롤은 Amazon ES 도메인에서 노드 간 암호화가 활성화되어 있는지 확인합니다.

HTTPS (TLS) 를 사용하여 잠재적 공격자가 네트워크 트래픽을 염탐하거나 중간자 또는 그와 유사한 공격을사용하여 네트워크 트래픽을 조작하지 못하게 할 수 있습니다. HTTPS (TLS) 를 통한 암호화된 연결만 허용해야 합니다. Amazon ES 도메인에 노드 간 암호화를 활성화하면 전송 중에 클러스터 내 통신이 암호화됩니다.

이 구성과 관련된 성능 저하가 발생할 수 있습니다. 이 옵션을 활성화하기 전에 성능 트레이드 오프를 알고테스트해야 합니다.

Note


• 아프리카(케이프타운)• 중국(베이징)• 중국(닝샤)• 유럽(밀라노)

Remediation

노드 간 암호화는 새 도메인에서만 활성화할 수 있습니다. 이 검색 결과를 수정하려면 먼저새 도메인을 만듭니다.를 사용하여노드 간 암호화확인란이 선택되어 있는지 확인합니다. 그런 다음스냅샷을 사용하여 데이터마이그레이션를 사용하여 데이터를 새 도메인으로 마이그레이션할 수 있습니다.

[ES4] CloudWatch Logs 대한 Amazon Elasticsearch Service 도메인 오류 로깅이활성화되어야 함범주: 식별 - 로깅

심각도: Medium

리소스 유형 AWS::Elasticsearch::Domain

597



https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-node-to-node-encryption-check.html



https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/es-version-migration.html#snapshot-based-migration

https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/es-version-migration.html#snapshot-based-migration


AWS Config 규칙: elasticsearch_logs_to_cloudwatch

파라미터:

• logtype = 'error'

이 컨트롤은 Amazon ES 도메인이 CloudWatch Logs 로 전송하도록 구성되었는지 확인합니다.

Amazon ES 도메인에 대한 오류 로그를 활성화하고 해당 로그를 CloudWatch Logs 로그로 전송하여 보존 및응답을 받아야 합니다. 도메인 오류 로그는 보안 및 액세스 감사를 지원하고 가용성 문제를 진단하는 데 도움이 될 수 있습니다.

Note




Remediation

로그 게시를 활성화하는 방법에 대한 자세한 내용은 단원을 참조하십시오.로그 게시 활성화 (콘솔)의Amazon Elasticsearch Service 개발자 안내서의.

[GuardDuty.1] GuardDuty 티를 활성화해야 합니다.

범주: 감지 > 감지 서비스

심각도: 높음

리소스: 계정

AWS Config 규칙: guardduty-enabled-centralized


이 컨트롤은 GuardDuty 계정 및 리전에서 Amazon GuardDuty 가 활성화되어 있는지 확인합니다.

지원되는 GuardDutyAWS리전. 이렇게 하면 GuardDuty ty가 활발히 사용하고 있지 않은 리전에서도 허가되지 않은 활동이나 비정상적인 활동에 대한 결과를 생성할 수 있습니다. 또한 GuardDuty 는 CloudTrail 이벤트를 모니터링하여 전역AWS서비스 (예: IAM과)

Note


• 아프리카(케이프타운)• 중국(베이징)• 중국(닝샤)• 유럽(밀라노)• 중동(바레인)• AWS GovCloud(미국 동부)

598

https://docs.aws.amazon.com/config/latest/developerguide/elasticsearch-logs-to-cloudwatch.html

https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/es-createdomain-configure-slow-logs.html#es-createdomain-configure-slow-logs-console

https://docs.aws.amazon.com/elasticsearch-service/latest/developerguide/es-createdomain-configure-slow-logs.html#es-createdomain-configure-slow-logs-console

https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html


Remediation

이 문제를 해결하려면 GuardDuty ce를 사용하도록 설정합니다.

사용 방법을 포함하여 GuardDuty 활성화 방법에 대한 자세한 내용은AWS Organizations로 여러 계정을 관리하려면 단원을 참조하십시오.GuardDuty 시작하기의아마존 GuardDuty 사용 설명서.

[IAM.1] IAM 정책에서 전체 “*” 관리 권한을 허용해서는 안 됩니다.범주: 보호 > 보안 액세스 관리

심각도: 높음




이 컨트롤은 기본 버전의 IAM 정책 (고객 관리형 정책이라고도 함) 에 “Effect” 문이 포함된 관리자 액세스 권한이 없는지 확인합니다. “Action”: “*”: “Resource”: “*”.

컨트롤은 사용자가 생성한 고객 관리형 정책만 확인합니다. 인라인을 점검하지 않으며AWS관리형 정책.

IAM 정책은 사용자, 그룹 또는 역할에 부여되는 권한 집합을 정의합니다. AWS에서는 표준 보안 권고 사항에따라 최소 권한을 부여할 것을 권장합니다. 즉, 작업을 수행하는 데 필요한 권한만 부여하는 것을 의미합니다. 사용자에게 있어야 하는 최소한의 권한 집합으로 제한하지 않고 전체 관리 권한을 제공하면 리소스가 원치 않는 작업에 노출될 수 있습니다.

전체 관리 권한을 허용하는 대신 사용자가 해야 할 작업을 파악한 후 해당 작업만 수행하도록 정책을 작성합니다. 최소한의 권한 집합으로 시작하여 필요에 따라 추가 권한을 부여하는 것이 안전합니다. 처음부터 권한을 많이 부여하지 말고 나중에 강화하십시오.

문이 있는 IAM 정책을 제거해야 합니다."Effect": "Allow" 다음으로 바꿉니다."Action":"*"OV"Resource": "*".

Remediation

이 문제를 해결하려면 IAM 정책을 업데이트하여 전체 “*” 관리 권한을 허용하지 않도록 합니다.


1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 정책을 선택합니다.3. 제거할 정책 옆에 있는 버튼을 선택합니다.4. 정책 작업에서 분리를 선택합니다.5. 정책을 분리할 각 사용자의 경우 사용자 옆의 버튼을 선택한 후 정책 분리를 선택합니다.

정책을 분리한 사용자가 계속해서 기대한 대로 AWS 서비스 및 리소스를 사용할 수 있는지 확인합니다.

[IAM.2] IAM 사용자는 IAM 정책을 연결해서는 안 됩니다.범주: 보호 > 보안 액세스 관리

심각도: 낮음



599

https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html






이 컨트롤은 IAM 사용자 중에 정책에 연결되어 있지 않은 IAM 사용자가 있는지 확인합니다. 대신 IAM 사용자는 IAM 그룹 또는 역할에서 받은 권한을 상속해야 합니다.

기본적으로 IAM 사용자, 그룹 및 역할에는AWS있습니다. IAM 정책은 사용자, 그룹 또는 역할에 권한을 부여합니다. IAM 정책을 사용자가 아닌 그룹 및 역할에 직접 적용하는 것이 좋습니다. 그룹 또는 역할 수준에서권한을 지정하면 사용자 수가 증가할 때 액세스 관리 복잡성이 줄어듭니다. 액세스 관리 복잡성을 줄이면 보안 주체가 부주의로 과도한 권한을 받거나 보유할 기회가 줄어듭니다.

Remediation

이 문제를 해결하려면 IAM 그룹을 생성하고 이 그룹에 정책을 지정한 후 그룹에 사용자를 추가합니다. 정책은 그룹 내 각 사용자에게 적용됩니다.


1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 그룹을 선택한 후 Create New Group(새 그룹 생성)을 선택합니다.3. 생성할 그룹의 이름을 입력하고 다음 단계를 선택합니다.4. 그룹에 지정할 각 정책을 선택하고 다음 단계를 선택합니다. 선택하는 정책에는 사용자 계정에 현재 직

접 연결되어 있는 모든 정책이 포함되어야 합니다.5. 그룹에 사용자를 추가한 다음 해당 그룹에 정책을 할당합니다. 그러면 그룹의 각 사용자에게는 그룹에

지정된 정책이 지정됩니다.6. 검토 패이지에서 세부 정보를 확인한 후 그룹 생성을 선택합니다.

그룹 생성에 대한 자세한 내용은 단원을 참조하십시오.IAM 그룹 생성의IAM 사용 설명서.



그룹에 사용자 추가에 대한 자세한 내용은 단원을 참조하십시오.IAM 그룹에서 사용자 추가 및 제거의IAM 사용 설명서.


1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 사용자를 선택합니다.3. 정책을 분리하려는 사용자는 사용자 이름 열에서 이름을 선택해야 합니다.4. Attached directly(직접 연결됨) 아래에 나열된 각 정책의 경우 페이지 오른쪽에 있는 X를 선택하여 사용

자에게서 정책을 제거한 후 제거를 선택합니다.5. 사용자가 기대한 대로 여전히 AWS 서비스를 사용할 수 있는지 확인합니다.

[IAM.3] IAM 사용자 액세스 키는 90일 이하마다 교체해야 합니다.범주: 보호 > 보안 액세스 관리

심각도: Medium


600







AWS Config 규칙: access-keys-rotated

파라미터:

• maxAccessKeyAge: 90일

이 컨트롤은 활성 액세스 키가 90일마다 교체되는지 여부를 확인합니다.

사용자 계정에서 모든 액세스 키를 생성 및 제거하지 않는 것이 좋습니다. 권장 모범 사례는 하나 이상의 IAM역할을 생성하거나연합. 이러한 방법을 통해 사용자가 기존 회사 자격 증명을 사용하여 AWS ManagementConsole 및 AWS CLI에 로그인하도록 할 수 있습니다.

각 접근법에는 사용 사례가 있습니다. 페더레이션은 일반적으로 기존 중앙 디렉터리가 있거나 현재 제한IAM 사용자보다 더 많이 필요로 하는 기업에 적합합니다. 외부에서 실행되는 응용 프로그램AWS환경에는프로그래밍 방식으로 액세스하기 위해 액세스 키가 필요합니다.AWS있습니다.

그러나 프로그래밍 방식의 액세스가 필요한 리소스가 AWS 내부에서 실행되는 경우, IAM 역할을 사용하는것이 가장 좋습니다. 역할을 사용하면 액세스 키 ID 및 보안 액세스 키를 구성에 하드 코딩하지 않고도 리소스 액세스 권한을 부여할 수 있습니다.

액세스 키 및 계정 보호에 대한 자세한 내용은관리 모범 사례AWS액세스 키의AWS일반 참조. 프로그래밍 방식의 액세스를 활용하면서 AWS 계정을 보호하는 가이드라인 블로그 게시물도 참조하십시오.

이미 액세스 키가 있는 경우, Security Hub 는 사용자가 90일마다 액세스 키를 교체하는 것을 권장합니다. 액세스 키를 교체하면 손상되거나 종료된 계정에 연결된 액세스 키가 사용될 가능성이 줄어듭니다. 또한 분실,해킹 또는 도용된 기존 키로 데이터에 액세스할 수 없도록 합니다. 액세스 키를 교체한 후에는 항상 애플리케이션을 업데이트하십시오.

액세스 키는 액세스 키 ID와 보안 액세스 키로 구성되어 있습니다. 에 보내는 프로그래밍 방식의 요청에서명하는 데 사용됩니다.AWS.AWS를 프로그래밍 방식으로 호출하기 위해 고유의 액세스 키가 필요합니다.AWS( 사용)AWS CLI, Windows PowerShell 용 도구,AWSSDK 또는 개별 API 작업을 사용하여 직접HTTP 호출AWS서비스.

AWS Single Sign-On(AWS SSO)을 사용하는 조직의 사용자는 Active Directory, 기본 제공 AWS SSO 디렉터리에 로그인하거나 AWS SSO에 연결된 다른 자격 증명 공급자(IdP)에 로그인할 수 있습니다. 그런 다음 IAM 역할에 매핑하여AWS CLI명령을 실행하거나AWSIAM 사용자 액세스 키 없이 API 작업을 수행할수 있습니다. 자세한 내용은 다음을 참조하세요.구성AWS CLI를 사용하려면AWS Single Sign-On의AWSCommand Line Interface사용 설명서.

Note


Remediation

이 문제를 해결 하려면 90 일 보다 오래 된 모든 키를 교체 합니다.

액세스 키가 90일을 경과하지 않게 하려면

1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 사용자를 선택합니다.3. 90일이 지난 Access key age(액세스 키 수명)을 표시하는 각 사용자에 대해 사용자 이름을 선택하여 해

당 사용자의 설정을 엽니다.4. Security credentials(보안 자격 증명)를 선택합니다.5. 사용자에 대한 새 키를 생성합니다.

a. 액세스 키 생성을 선택합니다.b. 키 콘텐츠를 저장하려면 보안 액세스 키를 다운로드하거나, 표시를 선택한 다음 페이지에서 키를 복

사합니다.

601

https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html

http://aws.amazon.com/identity/federation/

https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html



https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html

https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html



c. 키를 안전한 위치에 저장하여 사용자에게 제공합니다.d. 닫기를 선택합니다.

6. 새 키를 사용할 수 있도록 이전 키를 사용하던 모든 애플리케이션을 업데이트합니다.7. 이전 키에 대해서는 Make inactive(비활성화)를 선택해 액세스 키를 비활성화합니다. 이제 사용자는 해

당 키를 사용하여 요청할 수 없습니다.8. 모든 애플리케이션이 예상대로 새 키로 작동하는지 확인합니다.9. 모든 애플리케이션이 새 키로 작동하는지 확인한 후 이전 키를 삭제합니다. 액세스 키를 삭제한 후에는

복구할 수 없습니다.

이전 키를 삭제하려면 행 끝에 있는 X를 선택한 다음 삭제를 선택합니다.

[IAM.4] IAM 루트 사용자 액세스 키가 존재하지 않아야 합니다.

범주: 보호 > 보안 액세스 관리

심각도: 심각

리소스: 계정



이 컨트롤은 루트 사용자 액세스 키가 존재하는지 확인합니다.

루트 계정은 AWS 계정에서 가장 권한 있는 사용자입니다. AWS 액세스 키는 지정한 계정에 프로그래밍 방식으로 액세스할 수 있습니다.

Security Hub 루트 계정과 연결된 모든 액세스 키를 제거하는 것이 좋습니다. 이렇게 하면 계정을 손상시킬수 있는 벡터가 제한됩니다. 권한이 가장 적은 역할 기반 계정을 만들고 사용할 수도 있습니다.

Note

아프리카 (케이프 타운) 에서는 이 컨트롤이 지원되지 않습니다.

Remediation

이 문제를 해결하려면 루트 사용자 액세스 키를 삭제합니다.


1. 를 사용하여 계정에 로그인합니다. AWS 계정 루트 사용자 자격 증명입니다.2. 페이지 우측 상단 모서리에 있는 계정 이름을 선택한 후 My Security Credentials(내 보안 자격 증명)를



[IAM.5] 콘솔 암호가 있는 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다.


심각도: Medium

602




AWS Config 규칙: mfa-enabled-for-iam-console-access


이 컨트롤은 여부를 확인합니다.AWS다중 요소 인증 (MFA) 은 콘솔 암호를 사용하는 모든 IAM 사용자에 대해 활성화됩니다.

Multi-Factor Authentication(MFA)을 통해 사용자 이름 및 암호 외에 보호 계층이 한 단계 더 추가됩니다.MFA를 활성화하면 사용자가 AWS 웹 사이트에 로그인할 때 사용자 이름과 암호를 입력하라는 메시지가 표시됩니다. 또한 AWS MFA 디바이스에서 인증 코드를 입력하라는 메시지가 표시됩니다.

콘솔 암호가 있는 모든 계정에 대해 MFA를 활성화하는 것이 좋습니다. MFA는 콘솔 액세스의 보안을 강화하도록 설계되었습니다. 인증 주체는 시간에 민감한 키를 내보내는 디바이스를 가지고 있어야 하며 자격 증명에 대한 지식이 있어야 합니다.

Remediation

이 문제를 해결하려면 아직 MFA 가 없는 사용자에게 MFA를 추가하십시오.


1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 사용자를 선택합니다.3. MFA를 구성할 사용자의 사용자 이름을 선택합니다.4. Security credentials(보안 자격 증명)를 선택합니다.5. Assigned MFA device(할당된 MFA 디바이스) 옆의 Manage(관리)를 선택합니다.6. Manage MFA Device(MFA 디바이스 관리) 마법사의 지시에 따라 환경에 적절한 디바이스 유형을 지정

합니다.

사용자에게 MFA 설정을 위임하는 방법은 블로그 게시물다중 요소 인증의 관리를AWSIAM 사용자.

[IAM.6] 루트 사용자에 대해 하드웨어 MFA를 활성화해야 합니다.범주: 보호 > 보안 액세스 관리

심각도: 심각

리소스: 계정



이 컨트롤은 여부를 확인합니다.AWS계정이 루트 사용자 자격 증명으로 로그인할 때 하드웨어 multi-factorAuthentication (MFA) 디바이스를 사용하도록 설정되었습니다.

가상 MFA는 하드웨어 MFA 디바이스와 동일한 수준의 보안을 제공하지 않을 수 있습니다. 하드웨어 구매 승인 또는 하드웨어 도착을 기다리는 동안 가상 MFA 디바이스만 사용하는 것이 좋습니다. 자세한 내용은 다음을 참조하세요.가상 멀티 팩터 인증(MFA) 디바이스 활성화(콘솔)의IAM 사용 설명서.

Note


• 중국(베이징)• 중국(닝샤)• AWS GovCloud(미국 동부)

603

https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html




https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html


• AWSGovCloud (미국 서부).

Remediation

이 문제를 해결하려면 루트 계정에 하드웨어 기반 MFA 를 추가하십시오.


1. 루트 사용자 자격 증명을 사용해 계정에 로그인합니다.2. 페이지 우측 상단 모서리에 있는 계정 이름을 선택한 후 My Security Credentials(내 보안 자격 증명)를

선택합니다.3. 팝업 경고에서 Continue to Security Credentials(보안 자격 증명으로 계속)를 선택합니다.4. Multi-factor authentication (MFA)(다단계 요소 인증(MFA))을 선택합니다.5. Activate MFA(MFA 활성화)를 선택합니다.6. MFA에 사용할 하드웨어 기반(가상은 아님) 디바이스를 선택하고 계속을 선택합니다.7. 이 절차를 완료하여 선택에 적절한 디바이스 유형을 구성하십시오.

[IAM.7] IAM 사용자를 위한 암호 정책의 구성은 강력해야 합니다.범주: 보호 > 보안 액세스 관리

심각도: Medium

리소스: 계정


파라미터:

• RequireUppercaseCharacters: true• RequireLowercaseCharacters: true• RequireSymbols: true• RequireNumbers: true• MinimumPasswordLength: 8

이 컨트롤은 IAM 사용자에 대한 계정 암호 정책이 다음과 같은 권장 구성을 사용하는지 여부를 확인합니다.

• RequireUppercaseCharacters: true• RequireLowercaseCharacters: true• RequireSymbols: true• RequireNumbers: true• MinimumPasswordLength: 8

에 액세스하려면AWS Management Console를 사용하려면 IAM 사용자에게 암호가 필요합니다. SecurityHub IAM 사용자를 생성하는 대신 연동을 사용하는 것이 좋습니다. 사용자가 기존 회사 자격 증명을 사용하여AWS Management Console. 사용AWS Single Sign-On(AWS SSO) 를 사용하여 사용자를 생성하거나 연동한 다음 IAM 역할을 계정으로 가정할 수 있습니다.

ID 공급자 및 연동에 대한 자세한 내용은ID 공급자 및 페더레이션의IAM 사용 설명서. AWS SSO에 대한 자세한 내용은 AWS Single Sign-On 사용 설명서를 참조하십시오.

IAM 사용자를 사용해야 하는 경우, Security Hub 는 사용자가 강력한 사용자 암호를 생성하는 것을 권장합니다. 암호 정책을 설정할 수 있습니다.AWS계정에서 암호의 복잡성 요구 사항 및 의무적인 교체 주기를 지정

604


https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html

https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html


할 수 있습니다. 암호 정책을 생성 또는 변경하더라도 대부분의 암호 정책 설정은 사용자가 다음에 자신의 암호를 변경할 때 적용됩니다. 일부 설정은 바로 적용됩니다. 자세한 내용은 다음을 참조하세요.IAM 사용자의계정 암호 정책 설정의IAM 사용 설명서.

Remediation

이 문제를 해결하려면 권장 구성을 사용하도록 암호 정책을 업데이트하십시오.


1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. 계정 설정(Account settings)을 선택합니다.3. Requires at least one uppercase letter(대문자가 하나 이상 필요)를 선택합니다.4. Requires at least one lowercase letter(소문자 하나 이상 필요)를 선택합니다.5. Requires at least one non-alphanumeric character(영숫자가 아닌 문자 하나 이상 필요)를 선택합니다.6. Requires at least one number(숫자 하나 이상 필요)를 선택합니다.7. Minimum password length(최소 암호 길이)에는 8를 입력합니다.8. Apply password policy(암호 정책 적용)를 선택합니다.

[IAM.8] 사용되지 않은 IAM 사용자 자격 증명을 제거해야 합니다.범주: 보호 > 보안 액세스 관리

심각도: Medium



파라미터:

• maxCredentialUsageAge: 90일

이 컨트롤은 IAM 사용자에게 90일 동안 사용되지 않은 암호 또는 활성 액세스 키가 있는지 확인합니다.

IAM 사용자는 액세스 가능AWS리소스는 암호 또는 액세스 키와 같은 다양한 자격 증명 유형을 사용합니다.

90일 이상 사용하지 않은 모든 자격 증명은 제거하거나 비활성화하는 것이 좋습니다. 불필요한 자격 증명을비활성화하거나 제거하면 침해되거나 버려진 계정과 연결된 자격 증명이 사용될 가능성이 줄어듭니다.

Remediation

날짜가 명시된 자격 증명의 계정을 모니터링하는 데 필요한 일부 정보를 얻으려면 IAM 콘솔을 사용하십시오. 예를 들어 계정에서 사용자를 확인할 때 Access key age(액세스 키 수명), Password age(암호 수명) 및마지막 활동에 대한 열이 있습니다. 이 열 중 어느 하나라도 값이 90일보다 큰 경우 해당 사용자의 자격 증명을 비활성화하십시오.

또한 자격 증명 보고서를 사용해 사용자 계정을 모니터링하고 90일 이상 활동이 없는 사용자를 식별할 수 있습니다. 다음 에서 자격 증명 보고서를 다운로드할 수 있습니다..csv형식을 IAM 콘솔에서 실행합니다. 자격증명 보고서에 대한 자세한 내용은 단원을 참조하십시오.자격 증명 보고서 가져오기AWSaccount의IAM 사용설명서.


비활성 계정에 대한 자격 증명을 사용하지 않도록 설정하려면

1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.

605

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html

https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html






2. 사용자를 선택합니다.3. 자격 증명이 생성된 지 90일이 지난 사용자의 이름을 선택합니다.4. Security credentials(보안 자격 증명)를 선택합니다.5. 90일 이상 사용되지 않은 각 로그인 자격 증명 및 액세스 키에 대해비활성화.

[IAM.21] 생성하는 IAM 고객 관리형 정책은 서비스에 대해 와일드카드 작업을 허용하지 않아야 함

범주: 검색 > 보안 액세스 관리

심각도: 낮음


AWS Config 규칙: iam-policy-no-statements-with-full-access


이 컨트롤은 사용자가 만든 IAM 자격 증명 기반 정책에 * 와일드카드를 사용하여 모든 서비스의 모든작업에 대한 권한을 부여하는 Allow 문이 있는지 확인합니다. 정책 문에 포함된 경우 제어가 실패합니다."Effect": "Allow"다음으로 바꿉니다."Action": "Service:*".

예를 들어 정책에서 다음 명령문을 사용하면 검색 결과가 실패합니다..

"Statement": [{ "Sid": "EC2-Wildcard", "Effect": "Allow", "Action": "ec2:*", "Resource": "*"}

이 제어는 고객 관리형 IAM 정책에만 적용됩니다. 로 관리되는 IAM 정책에는 적용되지 않습니다.AWS.

사용 권한을 할당하는 경우AWS서비스를 사용하는 경우 IAM 정책에서 허용되는 IAM 작업의 범위를 지정하는 것이 중요합니다. IAM 작업은 필요한 작업으로만 제한해야 합니다. 이렇게 하면 최소 권한 권한을 프로비전할 수 있습니다. 권한이 필요하지 않을 수 있는 IAM 보안 주체에 정책이 연결되어 있는 경우 지나치게 허용된 정책으로 인해 권한 에스컬레이션이 발생할 수 있습니다.

비슷한 접두사를 가진 IAM 작업을 허용할 수 있습니다(예:DescribeFlowLogs및DescribeAvailabilityZones. 이러한 권한이 부여된 경우에는 접미사가 붙은 와일드카드를 공통 접두사에 추가할 수 있습니다. 예: ec2:Describe*.

접두사가 붙은 IAM 작업을 접두사가 붙은 와일드카드가 있는 경우 이 컨트롤이 전달됩니다. 예를 들어 정책에서 다음 문은 통과된 검색 결과.

"Statement": [{ "Sid": "EC2-Wildcard", "Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*"}

이와 같은 방식으로 관련 IAM 작업을 그룹화하는 경우 IAM 정책 크기 제한을 초과하지 않도록 할 수도 있습니다.

606

https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-full-access.html


Note




Remediation

이 문제를 해결하려면 IAM 정책을 업데이트하여 전체 “*” 관리 권한을 허용하지 않도록 합니다.

IAM 정책을 편집하는 자세한 방법은 단원을 참조하십시오.IAM 정책 편집의IAM 사용 설명서.

[KMS.1] IAM 고객 관리형 정책은 모든 KMS 키에 대한 암호 해독 작업을 허용하지않아야 함


심각도: Medium


AWS Config 규칙: iam_customer_policy_blocked_kms_actions

파라미터:

• kms:ReEncryptFrom, kms:Decrypt

IAM 고객 관리형 정책의 기본 버전이 보안 주체의AWS KMS암호 해독 작업을 합니다. 이 컨트롤은젤코바를사용하여 비밀에 대한 광범위한 액세스 권한을 부여할 수 있는 정책의 유효성을 검사하고 경고합니다.AWS계정.

이 컨트롤은kms:Decrypt또는kms:ReEncryptFrom작업은 모든 KMS 키에서 허용됩니다. 이 컨트롤은 연결된 정책과 연결되지 않은 고객 관리형 정책을 모두 평가합니다. 인라인 정책을 확인하지 않거나AWS관리형 정책.

다음으로 바꿉니다.AWS KMS에서 고객 마스터 키 (CMK) 를 사용하여 암호화된 데이터에 액세스할 수 있는사용자를 제어할 수 있습니다. IAM 정책은 자격 증명 (사용자, 그룹 또는 역할) 이 어떤 리소스에서 수행할 수있는지 정의합니다. 보안 모범 사례에 따라AWS에서는 최소 권한을 허용할 것을 권장합니다. 즉, ID 만 부여해야 합니다.kms:Decrypt또는kms:ReEncryptFrom권한 및 작업을 수행하는 데 필요한 키에 대해서만 사용할 수 있습니다. 그렇지 않으면 사용자가 데이터에 적합하지 않은 키를 사용할 수 있습니다.

모든 키에 대한 권한을 부여하는 대신 사용자가 암호화된 데이터에 액세스하는 데 필요한 최소 키 집합을 결정합니다. 그런 다음 사용자가 해당 키만 사용할 수 있도록 허용하는 정책을 디자인합니다. 예를 들어, 허용하지 마십시오.kms:Decrypt권한을 모든 KMS 키에 대해 설명합니다. 대신kms:Decrypt계정에 대한 특정리전의 키에만 적용됩니다. 최소 권한 원칙을 채택하면 의도하지 않은 데이터 공개 위험을 줄일 수 있습니다.

Remediation

이 문제를 해결하려면 IAM 고객 관리형 정책을 수정하여 키에 대한 액세스를 제한합니다.

607

https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-edit.html

https://docs.aws.amazon.com/config/latest/developerguide/iam-customer-policy-blocked-kms-actions.html

http://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/


IAM 고객 관리형 정책을 수정하려면

1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. IAM 탐색 창에서 [] 를 선택합니다.정책.3. 수정할 정책 옆에 있는 화살표를 선택합니다.4. 정책 편집을 선택합니다.5. [JSON] 탭을 선택합니다.6. 를 변경합니다.“Resource”값을 허용하고자 하는 특정 키에 추가합니다.7. 정책을 수정한 후 [] 를 선택합니다.정책 검토.8. [Save changes]를 선택합니다.

자세한 내용은 단원을 참조하십시오.IAM 정책 사용AWS KMS의AWS Key Management Service개발자 안내서.

[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM인라인 정책이 없어야 합니다.


심각도: Medium

리소스:

• IAM 역할• IAM 사용자• IAM 그룹

AWS Config 규칙: iam_inline_policy_blocked_kms_actions

파라미터:

• kms:ReEncryptFrom, kms:Decrypt

IAM 자격 증명 (역할, 사용자 또는 그룹) 에 포함된 인라인 정책이AWS KMS모든 KMS 키에 대한 암호 해독작업을 수행할 수 있습니다. 이 컨트롤은젤코바를 사용하여 비밀에 대한 광범위한 액세스 권한을 부여할 수있는 정책의 유효성을 검사하고 경고합니다.AWS계정.

이 컨트롤은kms:Decrypt또는kms:ReEncryptFrom작업은 인라인 정책의 모든 KMS 키에서 허용됩니다.

다음으로 바꿉니다.AWS KMS에서 고객 마스터 키 (CMK) 를 사용하여 암호화된 데이터에 액세스할 수 있는사용자를 제어할 수 있습니다. IAM 정책은 자격 증명 (사용자, 그룹 또는 역할) 이 어떤 리소스에서 수행할 수있는지 정의합니다. 보안 모범 사례에 따라AWS에서는 최소 권한을 허용할 것을 권장합니다. 즉, 작업을 수행하는 데 필요한 권한만 부여해야 합니다. 그렇지 않으면 사용자가 데이터에 적합하지 않은 키를 사용할 수있습니다.

모든 키에 대한 권한을 부여하는 대신 사용자가 암호화된 데이터에 액세스하는 데 필요한 최소 키 집합을 결정합니다. 그런 다음 사용자가 해당 키만 사용할 수 있도록 허용하는 정책을 디자인합니다. 예를 들어, 허용하지 마십시오.kms:Decrypt권한을 모든 KMS 키에 대해 설명합니다. 대신 계정에 대한 특정 지역의 키에서만 해당 키를 허용하십시오. 최소 권한 원칙을 채택하면 의도하지 않은 데이터 공개 위험을 줄일 수 있습니다.

Remediation

이 문제를 해결하려면 인라인 정책을 수정하여 키에 대한 액세스를 제한합니다.

608


https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html

https://docs.aws.amazon.com/config/latest/developerguide/iam-inline-policy-blocked-kms-actions.html

http://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/


IAM 인라인 정책을 수정하려면

1. https://console.aws.amazon.com/iam/에서 IAM 콘솔을 엽니다.2. IAM 탐색 창에서 [] 를 선택합니다.사용자,그룹또는Roles.3. IAM 인라인 정책을 수정할 사용자, 그룹 또는 역할의 이름을 선택합니다.4. 수정할 정책 옆에 있는 화살표를 선택합니다.5. 정책 편집을 선택합니다.6. [JSON] 탭을 선택합니다.7. 를 변경합니다."Resource"값을 허용하려는 특정 키로 설정합니다.8. 정책을 수정한 후 [] 를 선택합니다.정책 검토.9. [Save changes]를 선택합니다.

자세한 내용은 단원을 참조하십시오.IAM 정책 사용AWS KMS의AWS Key Management Service개발자 안내서.

[KMS.3]AWS KMS키가 의도하지 않게 삭제되어서는 안됩니다

범주: 보호 > 데이터 보호 > 데이터 삭제 방지

심각도: 심각

리소스 유형 KMS 키

AWS Config 규칙: kms-cmk-not-scheduled-for-deletion


이 컨트롤은 여부를 확인합니다.AWS KMS고객 관리 키 (CMK) 가 삭제되도록 예약되어 있습니다. CMK가삭제되도록 예약된 경우 컨트롤이 실패합니다.

CMK를 한 번 삭제하면 복구할 수 없습니다. CMK가 삭제되면 KMS CMK로 암호화된 데이터도 영구적으로복구할 수 없습니다. 삭제 예정인 CMK에 따라 의미 있는 데이터가 암호화된 경우 데이터를 해독하거나 새CMK에서 데이터를 다시 암호화하는 것이 좋습니다.암호화 삭제.

CMK가 삭제되도록 예약된 경우 오류가 발생한 경우 삭제를 취소할 수 있도록 필수 대기 기간이 적용됩니다.기본 대기 기간은 30일이지만 KMS CMK가 삭제되도록 예약된 경우 7일로 단축할 수 있습니다. 대기 기간 동안 예약된 삭제를 취소할 수 있으며 KMS CMK는 삭제되지 않습니다.

CMK 삭제에 대한 자세한 내용은고객 마스터 키 삭제의AWS Key Management Service개발자 안내서.

Note

이 컨트롤은 유럽 (밀라노) 리전에서는 지원되지 않습니다.

Remediation

예약된 KMS CMK 삭제를 취소하기 위한 자세한 수정 지침은키 삭제를 취소하려면USE키 삭제 예약 및 취소(콘솔)의AWS Key Management Service개발자 안내서.

[Lambda.1] Lambda 함수 정책은 퍼블릭 액세스를 금지해야 합니다.


심각도: 심각


609


https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html

https://docs.aws.amazon.com/config/latest/developerguide/kms-cmk-not-scheduled-for-deletion.html

https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html

https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-scheduling-key-deletion

https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html#deleting-keys-scheduling-key-deletion


AWS Config 규칙: lambda-function-public-access-prohibited


이 컨트롤은 Lambda 함수 리소스 기반 정책이 계정 이외의 퍼블릭 액세스를 금지하는지 여부를 확인합니다.

Lambda 함수는 함수에 저장된 코드에 의도하지 않은 액세스를 허용할 수 있으므로 공개적으로 액세스할 수없습니다.

Note

중국 (베이징) 리전이나 중국 (닝샤) 리전에서 이 컨트롤은 지원되지 않습니다.

Remediation

Lambda 함수가 이 컨트롤에 실패하면 Lambda 함수에 대한 리소스 기반 정책 문이 공용 액세스를 허용함을나타냅니다.

문제를 해결하려면 정책을 업데이트해야 합니다. Lambda API에서만 리소스 기반 정책을 업데이트할 수 있습니다. 이 지침은 콘솔을 사용하여 정책을 검토하고AWS Command Line Interface을 클릭하여 사용 권한을제거합니다.

Lambda 함수에 대한 리소스 기반 정책을 보려면

1. AWS Lambdahttps://console.aws.amazon.com/lambda/에서 콘솔을 엽니다.2. 탐색 창에서 함수(Functions)를 선택합니다.3. 함수를 선택합니다.4. Permissions를 선택합니다. 리소스 기반 정책에는 다른 계정 또는 AWS 서비스가 해당 함수에 액세스하

려고 할 때 적용되는 권한이 표시됩니다.5. 리소스 기반 정책을 검토합니다. 있는 정책 설명을 식별합니다.Principal필드 값을 사용하여 정책을

공개합니다. 예를 들어,"*"또는{ "AWS": "*" }.

콘솔에서는 정책을 편집할 수 없습니다. 함수에서 권한을 제거하려면remove-permission명령에서AWS CLI.

명령문 ID 값을 기록해 둡니다 (Sid) 을 제거할 명령문에 대해 설명합니다.

이AWS CLI를 사용하여 Lambda 함수에서 사용 권한을 제거하려면remove-permission명령입니다.

$ aws lambda remove-permission --function-name <function-name> --statement-id <statement-id>

Replace<function-name>를 Lambda 함수의 이름으로 바꾸고<statement-id>을 제거 할 문의 문 ID로바꾸십시오.

권한이 업데이트되었는지 확인하려면

1. AWS Lambdahttps://console.aws.amazon.com/lambda/에서 콘솔을 엽니다.2. 탐색 창에서 함수(Functions)를 선택합니다.3. 업데이트한 함수를 선택합니다.4. Permissions를 선택합니다.

리소스 기반 정책을 업데이트해야 합니다. 정책에 문이 하나뿐인 경우 정책은 비어 있습니다.

자세한 내용은 단원을 참조하십시오.에서 리소스 기반 정책 사용AWS Lambda의AWS Lambda개발자 안내서.

610

https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html


https://docs.aws.amazon.com/cli/latest/reference/lambda/remove-permission.html




[Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야합니다.


심각도: Medium


AWS Config 규칙: lambda-function-settings-check

파라미터:

• runtime: nodejs14.x, nodejs12.x, nodejs10.x, python3.8, python3.7, python3.6,ruby2.7, ruby2.5, java11, java8, java8.al2, go1.x, dotnetcore3.1,dotnetcore2.1

이 컨트롤은 런타임에 대한 Lambda 함수 설정이 각 언어의 지원되는 런타임에설정된 예상 값과 일치하는지 확인합니다. 이 컨트롤은 다음 런타임을 확인합니다.nodejs14.x,nodejs12.x,nodejs10.x,python3.8,python3.7,python3.6,ruby2.7,ruby2.5,java11,java8,java8.al2,go1.x,dotnetcore3.1,dotnetcore2.1

Lambda 런타임는 유지 관리 및 보안 업데이트가 적용되는 운영 체제, 프로그래밍 언어 및 소프트웨어 라이브러리의 조합을 기반으로 구축됩니다. 보안 업데이트에서 런타임 구성 요소를 더 이상 지원하지 않을 경우Lambda 는 런타임을 사용 중단합니다. 사용되지 않는 런타임을 사용하는 함수를 만들 수는 없지만 이 함수는 호출 이벤트를 처리하는 데 계속 사용할 수 있습니다. Lambda 함수가 최신 상태이고 만료된 런타임 환경을 사용하지 않는지 확인합니다.

이 컨트롤이 지원되는 언어를 확인하는 지원되는 런타임에 대한 자세한 내용은AWS Lambda런타임의AWSLambda개발자 안내서.

Note

중국 (베이징) 리전이나 중국 (닝샤) 리전에서 이 컨트롤은 지원되지 않습니다.

Remediation

지원되는 런타임 및 사용 중단 일정에 대한 자세한 내용은런타임 지원 정책의 단원AWS Lambda개발자 안내서. 런타임을 최신 버전으로 마이그레이션할 때는 해당 언어 게시자의 구문과 지침을 따르십시오.

[Lambda.4] Lambda 함수에는 데드 레터 큐가 구성되어 있어야 합니다.


심각도: Medium

리소스 유형 AWS::Lambda::Function

AWS Config 규칙: lambda-dlq-check

파라미터:

• dlqArns(선택 사항) — Amazon SQS 및 Amazon SNS ARN의 쉼표로 분리된 목록입니다. 이 목록은Lambda 함수 배달 못한 편지 대기열 대상으로 구성해야 합니다.

이 컨트롤은 Lambda 함수가 배달 못한 편지 대기열로 구성되었는지 여부를 확인합니다. Lambda 함수가 배달 못한 편지 대기열로 구성되지 않으면 컨트롤이 실패합니다.

on-failure 대상의 대안으로, 이후 처리를 위해 폐기된 이벤트를 저장하기 위해 배달 못한 편지 대기열을 사용하여 함수를 구성할 수 있습니다. 배달 못한 편지 대기열은 장애 시 대상과 동일하게 작동합니다. 이벤트가모든 처리 시도에 실패하거나 처리되지 않고 만료 될 때 사용됩니다.

611

https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-settings-check.html

https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html

https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html

https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html

https://docs.aws.amazon.com/config/latest/developerguide/lambda-dlq-check.html


데드 레터 큐를 사용하면 Lambda 함수에 대한 오류 또는 실패한 요청을 다시 확인하여 비정상적인 동작을디버깅하거나 식별할 수 있습니다.

보안 관점에서 볼 때 함수가 실패한 이유를 이해하고 그 결과로 함수가 데이터를 삭제하거나 데이터 보안을손상시키지 않도록 하는 것이 중요합니다. 예를 들어 함수가 기본 리소스와 통신할 수 없는 경우 네트워크의다른 곳에서 DoS (서비스 거부) 공격의 증상일 수 있습니다.

Note

이 컨트롤은 아시아 태평양 (오사카) 리전이나 중국 (닝샤) 리전에서 지원되지 않습니다.

Remediation

배달 못한 편지 대기열을 구성하려면AWS Lambda콘솔로 이동합니다.

배달 못한 편지 대기열을 구성하려면

1. AWS Lambdahttps://console.aws.amazon.com/lambda/에서 콘솔을 엽니다.2. 탐색 창에서 함수(Functions)를 선택합니다.3. 함수를 선택합니다.4. 구성(Configuration)을 선택한 다음 비동기식 호출(Asynchronous invocation)을 선택합니다.5. 비동기 호출에서 편집을 선택합니다.6. SetDLQ 리소스를 Amazon SQS 또는 Amazon SNS 로 전송할 수 있습니다.7. 대상 대기열 또는 주제를 선택합니다.8. Save를 선택합니다.

[RDS.1] RDS 스냅샷은 비공개 상태여야 합니다.범주: 보호 > 보안 네트워크 구성

심각도: 심각

리소스: RDS DB 스냅샷

AWS Config 규칙: rds-snapshots-public-prohibited


이 컨트롤은 Amazon RDS 스냅샷이 퍼블릭인지 여부를 확인합니다.

이 컨트롤은 RDS 인스턴스용입니다. 또한 Aurora DB 인스턴스, Neptune DB 인스턴스 및 AmazonDocumentDB 클러스터의 스냅샷에 대한 결과를 반환할 수 있습니다. 단, 공개 액세스 가능성에 대해서는 평가되지 않습니다. 이러한 결과가 유용하지 않은 경우 억제할 수 있습니다.

RDS 스냅샷은 특정 시점에 RDS 인스턴스의 데이터를 백업하는 데 사용됩니다. RDS 인스턴스의 이전 상태를 복원하는 데 사용할 수 있습니다.

RDS 스냅샷은 의도하지 않은 경우 공개 상태가 아니여야 합니다. 암호화되지 않은 수동 스냅샷을 퍼블릭으로도 공유하면 모든AWS계정. 이로 인해 의도하지 않은 RDS 인스턴스 데이터가 노출될 수 있습니다.

퍼블릭 액세스를 허용하도록 구성을 변경하면 AWS Config 규칙이 최대 12시간 동안 변경 사항을 감지하지못할 수 있습니다. AWS Config 규칙이 변경 사항을 감지할 때까지 구성이 규칙을 위반하더라도 확인을 통과합니다.

DB 스냅샷 공유에 대한 자세한 내용은 단원을 참조하십시오.DB 스냅샷 공유의Amazon RDS 사용 설명서.Note


612


https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html


Remediation

이 문제를 해결하려면 RDS 스냅샷을 업데이트하여 공용 액세스를 제거합니다.

RDS 스냅샷에 대한 퍼블릭 액세스를 제거하려면

1. 에서 Amazon RDS 콘솔을 엽니다.https://console.aws.amazon.com/rds/.2. Snapshots(스냅샷)으로 이동한 후 수정할 퍼블릭 스냅샷을 선택합니다.3. Actions(작업)에서 Share Snapshots(스냅샷 공유)를 선택합니다.4. DB snapshot visibility(DB 스냅샷 공개 여부)에서 Private(프라이빗)을 선택합니다.5. DB 스냅샷 표시 아래에서 Private(비공개)을 선택합니다.6. Save를 선택합니다.

[RDS.2] RDS DB 인스턴스는 PubliclyAccessible 구성으로 결정된 퍼블릭 액세스를금지해야 합니다.


심각도: 심각


AWS Config 규칙: rds-instance-public-access-check


이 컨트롤은 Amazon RDS 인스턴스에 퍼블릭 액세스가 가능한지 여부를 확인합니다.PubliclyAccessible필드 인스턴스 구성 항목에서.

Neptune DB 인스턴스와 Amazon DocumentDB 클러스터에는PubliclyAccessible플래그이며 평가할 수없습니다. 그러나이 컨트롤은 여전히 이러한 리소스에 대한 검색 결과를 생성할 수 있습니다. 이러한 검색 결과를 억제할 수 있습니다.

RDS 인스턴스 구성의 PubliclyAccessible 값은 DB 인스턴스에 퍼블릭 액세스가 가능한지 여부를 나타냅니다. DB 인스턴스가 PubliclyAccessible로 구성된 경우, 퍼블릭 IP 주소로 확인되는 공개적으로 확인 가능한 DNS 이름을 가진 인터넷 경계 인스턴스입니다. DB 인스턴스에 퍼블릭 액세스가 불가한 경우 프라이빗 IP 주소로 확인되는 DNS 이름을 가진 내부 인스턴스인 것입니다.

RDS 인스턴스에 공개적으로 액세스할 수 있도록 의도하지 않는 한, RDS 인스턴스를PubliclyAccessibleUSD 상당. 이렇게 하면 데이터베이스 인스턴스에 대한 불필요한 트래픽이 허용될 수 있습니다.

Remediation

이 문제를 해결하려면 RDS DB 인스턴스를 업데이트하여 퍼블릭 액세스를 제거합니다.

RDS DB 인스턴스에서 퍼블릭 액세스를 제거하려면

1. 에서 Amazon RDS 콘솔을 엽니다.https://console.aws.amazon.com/rds/.2. Databases(데이터베이스)로 이동한 후 퍼블릭 데이터베이스를 선택합니다.3. 수정을 선택합니다.4. USE연결성를 확장합니다.추가 연결 구성.5. USE퍼블릭 액세스를 선택하고공개적으로 액세스할 수 없음.6. [Continue]를 선택합니다.7. USE수정 사항를 선택하고즉시 적용.

613


https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html



8. [Modify DB Instance]를 선택합니다.

자세한 내용은 단원을 참조하십시오.VPC에서 DB 인스턴스를 사용한 작업의Amazon RDS 사용 설명서.

[RDS.3] RDS DB 인스턴스에서 유휴 시 암호화를 활성화해야 합니다.범주: 보호 > 데이터 보호 > 유휴 시 데이터 암호화

심각도: Medium


AWS Config 규칙: rds-storage-encrypted


이 컨트롤은 Amazon RDS DB 인스턴스에 스토리지 암호화가 활성화되어 있는지 확인합니다.

이 컨트롤은 RDS DB 인스턴스를 위한 것입니다. 하지만 Aurora DB 인스턴스, Neptune DB 인스턴스 및Amazon DocumentDB 클러스터에 대한 검색 결과를 생성할 수 있습니다. 이러한 결과가 유용하지 않은 경우억제 할 수 있습니다.

RDS DB 인스턴스의 중요 데이터에 대한 보안을 강화하려면 RDS DB 인스턴스가 유휴 상태에서 암호화되도록 구성해야 합니다. 유휴 시 RDS DB 인스턴스 및 스냅샷을 암호화하려면 RDS DB 인스턴스에 대해 암호화옵션을 활성화합니다. 유휴 시 암호화된 데이터에는 DB 인스턴스에 대한 기본 스토리지, 자동 백업, 읽기 전용 복제본 및 스냅샷이 포함됩니다.

RDS 암호화된 DB 인스턴스는 RDS DB 인스턴스를 호스팅하는 서버의 데이터를 개방형 표준 AES-256 암호화 알고리즘을 사용하여 암호화합니다. 데이터가 암호화된 이후 Amazon RDS가 성능에 미치는 영향을 최소화한 상태에서 데이터 액세스 및 암호 해독의 인증을 투명하게 처리합니다. 암호화를 사용하도록 데이터베이스 클라이언트 애플리케이션을 수정하지 않아도 됩니다.

Amazon RDS 암호화는 현재 모든 데이터베이스 엔진과 스토리지 유형에 사용할 수 있습니다. Amazon RDS암호화는 대부분의 DB 인스턴스 클래스에서 사용 가능합니다. Amazon RDS 암호화를 지원하지 않는 DB 인스턴스 클래스에 대한 자세한 내용은 단원을 참조하십시오.Amazon RDS 리소스 암호화의Amazon RDS 사용 설명서.

Remediation

Amazon RDS에서 DB 인스턴스 암호화에 대한 자세한 내용은Amazon RDS 리소스 암호화의Amazon RDS사용 설명서.

[RDS.4] RDS 클러스터 스냅샷 및 데이터베이스 스냅샷은 저장 시 암호화되어야 합니다.범주: 보호 > 데이터 보호 > 유휴 시 데이터 암호화

심각도: Medium

리소스 유형 DBClusterSnapshot,DBSnapshot

AWS Config 규칙: rds-snapshots-encrypted


이 컨트롤은 RDS DB 스냅샷이 암호화되었는지 여부를 확인합니다.

이 컨트롤은 RDS DB 인스턴스를 위한 것입니다. 하지만 Aurora DB 인스턴스, Neptune DB 인스턴스 및Amazon DocumentDB 클러스터의 스냅샷에 대한 검색 결과도 생성할 수 있습니다. 이러한 결과가 유용하지않은 경우 억제 할 수 있습니다.

614

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.WorkingWithRDSInstanceinaVPC.html

https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html

https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html


미사용 데이터를 암호화하면 인증되지 않은 사용자가 디스크에 저장된 데이터에 액세스할 수 있는 위험이 줄어듭니다. RDS 스냅샷의 데이터는 보안 계층을 강화하기 위해 유휴 상태로 암호화되어야 합니다.

Remediation

Amazon RDS 콘솔을 사용하여 이 문제를 해결할 수 있습니다.

암호화되지 않은 RDS 스냅샷을 암호화하려면

1. 에서 Amazon RDS 콘솔을 엽니다.https://console.aws.amazon.com/rds/.2. 탐색 창에서 [Snapshots]를 선택합니다.3. 아래에서 암호화 할 스냅 샷을 찾으십시오.수동또는시스템.4. 암호화할 스냅샷 옆의 확인란을 선택합니다.5. 선택작업를 선택한 후스냅샷 복사.6. USE새 DB 스냅샷 식별자에서 새 스냅샷의 이름을 입력합니다.7. USE암호화를 선택합니다.[Enable Encryption].8. 스냅샷을 암호화하는 데 사용할 KMS 키를 선택합니다.9. [Copy Snapshot]을 선택합니다.10. 새 스냅샷이 생성되면 원본 스냅샷을 삭제합니다.11. 용백업 보존 기간에서 0이 아닌 양수 값을 선택합니다. 예를 들어, 30 일.

[RDS.5] RDS DB 인스턴스를 여러 가용 영역으로 구성해야 합니다.범주: 복구 > 복구 > 고가용성

심각도: Medium

리소스 유형 DBInstance

AWS Config 규칙: rds-multi-az-support


이 컨트롤은 RDS DB 인스턴스에 고가용성이 활성화되어 있는지 확인합니다.

RDS DB 인스턴스는 여러 가용 영역 (AZ) 에 대해 구성해야 합니다. 이것은 저장된 데이터의 가용성을 보장합니다. 다중 AZ 배포는 가용 영역 가용성과 정기적인 RDS 유지 관리 중에 문제가 있는 경우 자동화된 장애조치를 허용합니다.

Remediation

이 문제를 해결하려면 DB 인스턴스를 업데이트하여 여러 개의 가용 영역을 활성화하십시오.

DB 인스턴스에 대해 여러 가용 영역을 활성화하려면

1. 에서 Amazon RDS 콘솔을 엽니다.https://console.aws.amazon.com/rds/.2. 탐색 창에서 데이터베이스를 선택한 다음 변경하려는 DB 인스턴스를 선택합니다.3. 수정을 선택합니다. [Modify DB Instance] 페이지가 나타납니다.4. USE인스턴스 사양를 설정합니다.다중 AZ 배포to예.5. 선택계속수정 사항을 요약한 내용을 확인합니다.6. (선택 사항) 즉시 적용을 선택하여 변경 내용을 즉시 적용합니다. 일부의 경우 이 옵션을 선택하면 중단

이 발생할 수 있습니다. 자세한 내용은 단원을 참조하십시오.즉시 적용 설정 사용의Amazon RDS 사용설명서.

7. 확인 페이지에서 변경 내용을 검토합니다. 변경 내용이 정확할 경우 [DB 인스턴스 수정(Modify DBinstance)]를 선택하여 변경 내용을 저장합니다.

615


https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html


https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.DBInstance.Modifying.html#USER_ModifyInstance.ApplyImmediately


[RDS.6] RDS DB 인스턴스 및 클러스터에 대해 향상된 모니터링을 구성해야 함


심각도: 낮음


AWS Config 규칙: rds-enhanced-monitoring-enabled


이 컨트롤은 RDS DB 인스턴스에 향상된 모니터링이 활성화되어 있는지 확인합니다.

Amazon RDS에서 향상된 모니터링을 사용하면 기본 인프라의 성능 변화에 보다 신속하게 대응할 수 있습니다. 이러한 성능 변경으로 인해 데이터의 가용성이 부족할 수 있습니다. RDS DB 인스턴스가 실행되는 운영체제에 대한 실시간 지표를 제공합니다. 인스턴스에 에이전트가 설치됩니다. 에이전트는 하이퍼바이저 계층에서 가능한 것보다 더 정확하게 메트릭을 얻을 수 있습니다.

Enhanced Monitoring 측정치는 DB 인스턴스의 여러 프로세스 또는 스레드에서 CPU를 사용하는 방법을 확인하려는 경우에 유용합니다. 자세한 내용은 단원을 참조하십시오.확장 모니터링의Amazon RDS 사용 설명서.

Remediation

DB 인스턴스에 Enhanced Monitoring 기능을 활성화하는 방법에 관한 자세한 지침은 섹션을 참조하십시오.Enhanced Monitoring 설정 및 활성화의Amazon RDS 사용 설명서.

[RDS.7] RDS 클러스터에는 삭제 보호 기능이 활성화되어 있어야 합니다.


심각도: 낮음

리소스 유형 DBCluster

AWS Config 규칙: rds-cluster-deletion-protection-enabled


RDS 클러스터에서 삭제 방지를 활성화했는지 여부를 확인합니다.

이 컨트롤은 RDS DB 인스턴스를 위한 것입니다. 하지만 Aurora DB 인스턴스, Neptune DB 인스턴스 및Amazon DocumentDB 클러스터에 대한 검색 결과를 생성할 수 있습니다. 이러한 결과가 유용하지 않은 경우억제 할 수 있습니다.

클러스터 삭제 보호를 활성화하는 것은 무단 엔터티에 의한 실수로 데이터베이스 삭제 또는 삭제에 대한 추가적인 보호 계층입니다.

삭제 방지를 활성화하면 RDS 클러스터를 삭제할 수 없습니다. 삭제 요청이 성공하려면 삭제 방지를 비활성화해야 합니다.

Note


• 중국(베이징)• 중국(닝샤)• 중동(바레인)• 남아메리카 (상파울루).

616

https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html

https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html#USER_Monitoring.OS.Enabling

https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-deletion-protection-enabled.html


Remediation

이 문제를 해결하려면 삭제 방지를 사용하도록 RDS DB 클러스터를 업데이트하십시오.

RDS DB 클러스터에 대한 삭제 방지를 활성화하려면

1. 에서 Amazon RDS 콘솔을 엽니다.https://console.aws.amazon.com/rds/.2. 탐색 창에서 []]]]]]데이터베이스을 선택한 후 수정할 DB 클러스터를 선택합니다.3. 수정을 선택합니다.4. USE삭제 방지를 선택하고삭제 방지 활성화.5. [Continue]를 선택합니다.6. USE수정 사항에서 수정 사항을 적용할 시기를 선택합니다. 다음과 같은 옵션이 있습니다.예약된 다음

유지 관리 기간에 적용또는즉시 적용.7. [Modify Cluster]를 선택합니다.

[RDS.8] RDS DB 인스턴스에 삭제 보호가 활성화되어 있어야 합니다.


심각도: 낮음


AWS Config 규칙: rds-instance-deletion-protection-enabled

파라미터:

• databaseEngines: mariadb,mysql,oracle-ee,oracle-se2,oracle-se1,oracle-se,postgres,sqlserver-ee,sqlserver-se,sqlserver-ex,sqlserver-web

이 컨트롤은 나열된 데이터베이스 엔진 중 하나를 사용하는 RDS DB 인스턴스에 삭제 보호가 활성화되어 있는지 확인합니다.

인스턴스 삭제 보호를 활성화하는 것은 무단 엔터티에 의한 실수로 데이터베이스를 삭제하거나 삭제하는 것을 방지하는 추가적인 보호 계층입니다.

삭제 방지를 활성화하면 RDS DB 인스턴스를 삭제할 수 없습니다. 삭제 요청이 성공하려면 삭제 방지를 비활성화해야 합니다.

Remediation

이 문제를 해결하려면 삭제 방지를 활성화하도록 RDS DB 인스턴스를 업데이트하십시오.

RDS DB 인스턴스에 대한 삭제 방지를 활성화하려면

1. 에서 Amazon RDS 콘솔을 엽니다.https://console.aws.amazon.com/rds/.2. 탐색 창에서 []]]]]]데이터베이스을 선택한 후 수정할 DB 인스턴스를 선택합니다.3. 수정을 선택합니다.4. USE삭제 방지를 선택하고삭제 방지 활성화.5. [Continue]를 선택합니다.6. USE수정 사항에서 수정 사항을 적용할 시기를 선택합니다. 다음과 같은 옵션이 있습니다.예약된 다음

유지 관리 기간에 적용또는즉시 적용.7. [Modify DB Instance]를 선택합니다.

617


https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-deletion-protection-enabled.html



[RDS.9] 데이터베이스 로깅을 활성화해야 합니다.


심각도: Medium

리소스: DBInstance

AWS Config 규칙: rds_logging_enabled


이 컨트롤은 다음 Amazon RDS의 로그가 활성화되어 CloudWatch Logs 로 전송되는지 여부를 확인합니다.

• Oracle: (경고, 감사, 추적, 리스너)• PostgreSQL: (포스트그레SQL, 업그레이드)• MySQL: (감사, 오류, 일반, 느린 쿼리)• MariaDB: (감사, 오류, 일반, 느린 쿼리)• SQL Server: (오류, 에이전트)• Aurora: (감사, 오류, 일반, 느린 쿼리)• 오로라 MySQL: (감사, 오류, 일반, 느린 쿼리)• 오로라-포스트그레스 SQL: (포스트그레SQL, 업그레이드).

RDS 데이터베이스에는 관련 로그가 활성화되어 있어야 합니다. 데이터베이스 로깅은 RDS에 대한 요청의세부 레코드를 제공합니다. 데이터베이스 로그는 보안 및 액세스 감사를 지원하고 가용성 문제를 진단하는데 도움이 될 수 있습니다.

Note

다음 리전에서는 이 컨트롤이 지원되지 않습니다.아프리카(케이프타운)아시아 태평양(오사카)중국(닝샤)유럽(밀라노)

Remediation

로깅 옵션은 RDS DB 클러스터 또는 인스턴스와 연결된 DB 파라미터 그룹에 포함되어 있습니다. 데이터베이스 엔진의 기본 파라미터 그룹을 사용할 때 로깅을 활성화하려면 필요한 파라미터 값이 있는 새 DB 파라미터 그룹을 생성해야 합니다. 그런 다음 Customer DB 파라미터 그룹을 DB 클러스터 또는 인스턴스와 연결해야 합니다.

에서 CloudWatch Logs에 MariaDB, MySQL 또는 PostgreSQL 로그를 활성화하고 게시하려면AWSManagement Console에서 사용자 지정 DB 파라미터 그룹에 다음 파라미터를 설정합니다.

데이터베이스 엔진 파라미터

MariaDB general_log=1

slow_query_log=1

log_output = FILE

MariaDB 는 아래에 설명 된 사용자 정의 옵션 그룹이 필요합니다.

618

https://docs.aws.amazon.com/config/latest/developerguide/rds-logging-enabled.html


데이터베이스 엔진 파라미터

MySQL general_log=1

slow_query_log=1

log_output = FILE

PostgreSQL log_statement=all

log_min_duration_statement=minimumquery duration (ms) to log

사용자 지정 DB 파라미터 그룹을 생성하려면

1. 에서 Amazon RDS 콘솔을 엽니다.https://console.aws.amazon.com/rds/.2. 탐색 창에서 파라미터 그룹을 선택합니다.3. [Create parameter group]을 선택합니다. 파라미터 그룹 생성 창이 나타납니다.4. 에서파라미터 그룹패밀리 목록에서 DB 파라미터 그룹 패밀리를 선택합니다.5. 에서유형목록에서DB 파라미터 그룹.6. In그룹 이름에 새로운 DB 파라미터 그룹의 이름을 입력합니다.7. In설명에 새 DB 파라미터 그룹에 대한 설명을 입력합니다.8. Create를 선택합니다.

콘솔을 사용하여 MariaDB 로깅을 위한 새 옵션 그룹을 생성하려면

1. 에서 Amazon RDS 콘솔을 엽니다.https://console.aws.amazon.com/rds/.2. 탐색 창에서 옵션 그룹을 선택합니다.3. 그룹 생성을 선택합니다.4. 보안 그룹 생성 창에서 다음과 같이 합니다.

a. [이름(Name)]에 AWS 계정 내에서 쉽게 식별할 수 있는 옵션 그룹 이름을 입력합니다. 이름은 글자,숫자 및 하이픈만 사용 가능합니다.

b. Description에 옵션 그룹에 대한 간략한 설명을 입력합니다. 이 설명은 표시 용도로만 사용됩니다.c. Engine에서 원하는 DB 엔진을 선택합니다.d. 메이저 엔진 버전에서 DB 엔진의 원하는 메이저 버전을 선택합니다.

5. 계속하려면 생성을 선택합니다.6. 방금 만든 옵션 그룹의 이름을 선택합니다.7. 옵션 추가를 선택합니다.8. 선택MARIADB_AUDIT_PLUGIN( 사용)옵션 이름목록을 참조하십시오.9. SERVER_AUDIT_EVENTS를 CONNECT, QUERY, TABLE, QUERY_DDL, QUERY_DML,

QUERY_DCL로 설정합니다.10. 옵션 추가를 선택합니다.

SQL Server DB, 오라클 DB 또는 PostgreSQL 로그를 게시하려면AWS Management Console

1. 에서 Amazon RDS 콘솔을 엽니다.https://console.aws.amazon.com/rds/.2. 탐색 창에서 데이터베이스를 선택합니다.3. 수정하려는 DB 인스턴스를 선택합니다.4. 수정을 선택합니다.

619





5. USE로그 내보내기에서 CloudWatch Logs 로그에 게시하기 시작할 로그 파일을 모두 선택합니다.

로그 내보내기CloudWatch Logs s에 게시하는 기능을 지원하는 데이터베이스 엔진 버전에서만 제공됩니다.

6. [Continue]를 선택합니다. 그런 다음 요약 페이지에서 을 선택합니다.DB 인스턴스 수정 수정.

RDS DB 인스턴스에 새 DB 파라미터 그룹 또는 DB 옵션 그룹을 적용하려면

1. 에서 Amazon RDS 콘솔을 엽니다.https://console.aws.amazon.com/rds/.2. 탐색 창에서 데이터베이스를 선택합니다.3. 수정하려는 DB 인스턴스를 선택합니다.4. 수정을 선택합니다. [Modify DB Instance] 페이지가 나타납니다.5. USE데이터베이스 옵션에서 DB 파라미터 그룹과 DB 옵션 그룹을 필요에 따라 변경합니다.6. 변경을 마쳤으면 [] 를 선택합니다.계속. 수정 사항 요약을 확인합니다.7. (선택 사항) 즉시 적용을 선택하여 변경 내용을 즉시 적용합니다. 일부의 경우 이 옵션을 선택하면 중단


8. DB 인스턴스 수정을 선택하여 변경 사항을 저장합니다.

[RDS.10] RDS 인스턴스에 대해 IAM 인증을 구성해야 합니다.

범주: 보호 > 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보호

심각도: Medium

리소스: DBInstance

AWS Config 규칙: rds-instance-iam-authentication-enabled


이 컨트롤은 RDS DB 인스턴스에 IAM 데이터베이스 인증이 활성화되어 있는지 여부를 확인합니다.

IAM 데이터베이스 인증을 사용하면 암호 대신 인증 토큰을 사용하여 데이터베이스 인스턴스에 대한 인증을수행할 수 있습니다. 데이터베이스를 오가는 네트워크 트래픽은 SSL을 통해 암호화됩니다. 자세한 내용은단원을 참조하십시오.IAM 데이터베이스 인증의Amazon Aurora 사용 설명서.

Note

다음 리전에서는 이 컨트롤이 지원되지 않습니다.아프리카(케이프타운)아시아 태평양(홍콩)아시아 태평양(오사카)중국(베이징)중국(닝샤)

Remediation

이 문제를 해결하려면 IAM 인증을 사용하도록 DB 인스턴스를 업데이트합니다.

기존 DB 인스턴스에 IAM 인증을 활성화하려면

1. 에서 Amazon RDS 콘솔을 엽니다.https://console.aws.amazon.com/rds/.2. 데이터베이스를 선택합니다.3. 수정할 DB 인스턴스를 선택합니다.

620



https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-iam-authentication-enabled.html

https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html



4. 수정을 선택합니다.5. USE데이터베이스 옵션를 선택하고IAM DB 인증 활성화.6. [Continue]를 선택합니다.7. USE수정 사항에서 수정 사항을 적용할 시기를 선택합니다. 다음과 같은 옵션이 있습니다.예약된 다음

유지 관리 기간에 적용또는즉시 적용.8. 클러스터의 경우DB 인스턴스 수정 수정.

[RDS.12] RDS 클러스터에 대해 IAM 인증을 구성해야 합니다.

범주: 보호 > 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보호

심각도: Medium

리소스 유형 DBCluster,DBInstance

AWS Config 규칙: rds_cluster_iam_authentication_enabled


이 컨트롤은 RDS DB 클러스터에 IAM 데이터베이스 인증이 활성화되어 있는지 여부를 확인합니다.

IAM 데이터베이스 인증을 통해 데이터베이스 인스턴스에 대한 암호 없이 인증을 수행할 수 있습니다. 인증은 인증 토큰을 사용합니다. 데이터베이스를 오가는 네트워크 트래픽은 SSL을 통해 암호화됩니다. 자세한내용은 단원을 참조하십시오.IAM 데이터베이스 인증의Amazon Aurora 사용 설명서.

Note


• 아시아 태평양(오사카)• 중국(베이징)• 중국(닝샤)• 중동(바레인)• 남아메리카(상파울루)• AWS GovCloud(미국 동부)• AWS GovCloud(미국 서부)

Remediation

Amazon RDS 콘솔에서 DB 클러스터에 대한 IAM 인증을 활성화할 수 있습니다.

기존 DB 클러스터에서 IAM 인증을 활성화하려면

1. 에서 Amazon RDS 콘솔을 엽니다.https://console.aws.amazon.com/rds/.2. 데이터베이스를 선택합니다.3. 수정할 DB 클러스터를 선택합니다.4. 수정을 선택합니다.5. USE데이터베이스 옵션를 선택합니다.IAM DB 인증 활성화.6. [Continue]를 선택합니다.7. USE수정 사항에서 수정 사항을 적용할 시기를 선택합니다. 예약된 다음 유지 관리 기간에 적용또는즉

시 적용.8. Modify cluster(클러스터 수정)를 선택합니다.

621

https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-iam-authentication-enabled.html

https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/UsingWithRDS.IAMDBAuth.html



[RDS.13] RDS 자동 마이너 버전 업그레이드가 활성화되어야 함범주: 탐지 > 취약점 및 패치 관리

심각도: 높음


AWS Config 규칙: rds_automatic_minor_version_upgrade_enabled


이 컨트롤은 RDS 데이터베이스 인스턴스에 대해 자동 마이너 버전 업그레이드가 활성화되어 있는지 여부를확인합니다.

자동 마이너 버전 업그레이드를 활성화하면 RDBMS (관계형 데이터베이스 관리 시스템) 에 대한 최신 마이너 버전 업데이트가 설치됩니다. 이러한 업그레이드에는 보안 패치 및 버그 수정이 포함될 수 있습니다. 패치설치를 최신 상태로 유지하는 것은 시스템 보안의 중요한 단계입니다.

Note



Remediation

Amazon RDS 콘솔에서 DB 인스턴스에 대해 마이너 버전 업그레이드를 활성화할 수 있습니다.

기존 DB 인스턴스에 대해 마이너 버전 자동 업그레이드를 활성화하려면

1. 에서 Amazon RDS 콘솔을 엽니다.https://console.aws.amazon.com/rds/.2. 데이터베이스를 선택합니다.3. 수정할 DB 인스턴스를 선택합니다.4. 수정을 선택합니다.5. USE유지 관리를 선택합니다.예용Auto minor version upgrade.6. [Continue]를 선택합니다.7. USE수정 사항 스케줄링에서 수정 사항을 적용할 시기를 선택합니다. 예약된 다음 유지 관리 기간에 적

용또는즉시 적용.8. [Modify DB Instance]를 선택합니다.

[RDS.14] Amazon Aurora 클러스터에는 역추적이 활성화되어 있어야 합니다.범주: 복구 > 복구 > 백업 사용

심각도: Medium

리소스 유형 DBCluster

AWS Config 규칙: aurora-mysql-backtracking-enabled


622

https://docs.aws.amazon.com/config/latest/developerguide/rds-automatic-minor-version-upgrade-enabled.html


https://docs.aws.amazon.com/config/latest/developerguide/aurora-mysql-backtracking-enabled.html


이 컨트롤은 Amazon Aurora 클러스터에서 역추적이 활성화되었는지 여부를 확인합니다.

백업을 사용하면 보안 인시던트에서 보다 신속하게 복구할 수 있습니다. 또한 시스템의 복원력을 강화합니다. Aurora 백트래킹은 데이터베이스를 특정 시점으로 복구하는 시간을 단축합니다. 이를 위해 데이터베이스복원이 필요하지 않습니다.

Aurora 의 역추적에 대한 자세한 내용은 단원을 참조하십시오.Aurora DB 클러스터 역추적의Amazon Aurora사용 설명서.

Note


• 아프리카(케이프타운)• 아시아 태평양(홍콩)• 아시아 태평양(오사카)• 중국(베이징)• 중국(닝샤)• 유럽(밀라노)• 유럽(스톡홀름)• 중동(바레인)• 남아메리카(상파울루)• AWS GovCloud(미국 동부)• AWS GovCloud(미국 서부)

Remediation

Aurora 역추적을 활성화하는 방법에 대한 자세한 지침은역추적 구성의Amazon Aurora 사용 설명서.

기존 클러스터에서는 역추적을 활성화할 수 없습니다. 대신 역추적을 활성화한 클론을 생성할 수 있습니다.Aurora 역추적 제한 사항에 대한 자세한 내용은역추적 개요.

역추적 요금에 대한 자세한 내용은Aurora 요금 페이지.

[RDS.15] RDS DB 클러스터가 여러 가용 영역에 대해 구성되어야 함


심각도: Medium

리소스 유형: DBCluster

AWS Config 규칙: rds-cluster-multi-az-enabled


이 컨트롤은 RDS DB 클러스터에 고가용성이 활성화되어 있는지 확인합니다.

저장된 데이터의 가용성을 보장하기 위해 RDS DB 클러스터를 여러 가용 영역에 맞게 구성해야 합니다. 여러 가용 영역에 배포하면 가용 영역 가용성 문제가 발생하거나 정기적인 RDS 유지 관리 이벤트 중에 자동으로 장애 조치를 수행할 수 있습니다.

Note


• 아시아 태평양(오사카)

623

https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html

https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html#AuroraMySQL.Managing.Backtrack.Configuring

https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/AuroraMySQL.Managing.Backtrack.html

http://aws.amazon.com/rds/aurora/pricing/

https://docs.aws.amazon.com/config/latest/developerguide/rds-cluster-multi-az-enabled.html


• 중국(베이징)• 중국(닝샤)• 중동(바레인)• 남아메리카(상파울루)• AWS GovCloud(미국 동부)• AWS GovCloud(미국 서부)


Remediation

이 컨트롤에 업데이트를 적용하려면 여러 가용 영역에 대해 DB 클러스터를 구성합니다.

DB 클러스터에 대해 다중 AZ를 활성화하려면

1. 에서 Amazon RDS 콘솔을 엽니다.https://console.aws.amazon.com/rds/.2. 탐색 창에서 []] 를 선택합니다.데이터베이스을 선택한 다음 수정할 DB 인스턴스를 선택합니다.3. 수정을 선택합니다. [Modify DB Instance] 페이지가 나타납니다.4. USE인스턴스 사양를 설정합니다.다중 AZ 배포to예.5. [Continue]를 수정 사항을 요약한 내용을 확인합니다.6. (선택 사항) 즉시 적용을 선택하여 변경 내용을 즉시 적용합니다. 일부의 경우 이 옵션을 선택하면 중단


확인 페이지에서 변경 내용을 검토합니다. 올바른 경우 [] 를 선택합니다.DB 인스턴스 수정 수정.

[Redshift.1] Amazon Redshift 클러스터는 퍼블릭 액세스를 금지해야 합니다.범주: 보호 > 보안 네트워크 구성 > 공개적으로 액세스할 수 없는 리소스

심각도: 심각

리소스: Cluster

AWS Config 규칙: redshift-cluster-public-access-check


이 컨트롤은 Amazon Redshift 클러스터에 공개적으로 액세스할 수 있는지 여부를 확인합니다. 이 평가는PubliclyAccessible필드 클러스터 구성 항목에서.

이PubliclyAccessible속성은 클러스터에 Amazon Redshift 액세스가 가능한지 여부를 나타냅니다. 클러스터가 다음과 같이 구성된 경우PubliclyAccessible이 로 설정된 경우true퍼블릭 IP 주소로 확인되는공개적으로 확인 가능한 DNS 이름을 가진 인터넷 경계 인스턴스인 것입니다.

퍼블릭 액세스가 불가한 경우 프라이빗 IP 주소로 확인되는 DNS 이름을 가진 내부 인스턴스인 것입니다. 퍼블릭 액세스가 가능하도록 의도하지 않는 한, 클러스터는PubliclyAccessible이 로 설정된 경우true.

Remediation

이 문제를 해결하려면 Amazon Redshift 클러스터를 업데이트하여 퍼블릭 액세스를 비활성화하십시오.

Amazon Redshift 클러스터에 대한 퍼블릭 액세스를 비활성화하려면

1. 에서 Amazon Redshift 콘솔을 엽니다.https://console.aws.amazon.com/redshift/.

624



https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html



2. 탐색 메뉴에서 [] 를 선택합니다.클러스터를 선택한 다음 수정할 보안 그룹이 있는 클러스터의 이름을 선택합니다.

3. 선택작업를 선택한 후공개적으로 액세스 가능 여부 수정.4. USEVPC 외부의 인스턴스와 디바이스가 클러스터 엔드포인트를 통해 데이터베이스에 연결되도록 허

용를 선택하고아니요.5. [Confirm]을 선택합니다.

[Redshift.2] Amazon Redshift 클러스터에 대한 연결은 전송 중에 암호화되어야 합니다.


심각도: Medium

리소스: Cluster

AWS Config 규칙: redshift-require-tls-ssl


이 컨트롤은 전송 중에 암호화를 사용하려면 Amazon Redshift 클러스터에 대한 연결이 필요한지 여부를 확인합니다. Amazon Redshift 클러스터 매개 변수가 있는 경우 검사가 실패합니다.require_SSL는 1로 설정되어 있지 않습니다.

TLS는 잠재적 공격자가 네트워크 트래픽을 염탐하거나 조작하기 위해 중간자 또는 그와 유사한 공격을 사용하여 네트워크 트래픽을 조작하지 못하게 하는 데 도움이 될 수 있습니다. TLS를 통한 암호화된 연결만 허용해야 합니다. 전송 중인 데이터를 암호화하면 성능에 영향을 미칠 수 있습니다. 성능 프로필과 TLS의 영향을이해하려면 이 기능을 사용하여 응용 프로그램을 테스트해야 합니다.

Note

유럽 (밀라노) 에서는 이 컨트롤이 지원되지 않습니다.

Remediation

이 문제를 해결하려면 암호화가 필요하도록 매개 변수 그룹을 업데이트하십시오.

파라미터 그룹을 수정하려면

1. 에서 Amazon Redshift 콘솔을 엽니다.https://console.aws.amazon.com/redshift/.2. 탐색 메뉴에서 [] 를 선택합니다.구성을 선택한 다음워크로드 관리를 선택하여워크로드 관리페이지를 참

조하십시오.3. 수정할 파라미터 그룹을 선택합니다.4. 선택파라미터.5. 선택파라미터 편집를 설정합니다.require_ssl를 1로 설정합니다.6. 변경 사항을 입력한 후 [] 를 선택합니다.Save.

[Redshift.3] Amazon Redshift 클러스터에는 자동 스냅샷이 활성화되어 있어야 합니다.

범주: 복구 > 복구 > 백업 사용

심각도: Medium

리소스: Cluster

625

https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html



AWS Config 규칙: redshift-backup-enabled

파라미터:

• MinRetentionPeriod = 7

이 제어는 Amazon Redshift 클러스터에 자동 스냅샷이 활성화되어 있는지 여부를 확인합니다. 스냅샷 보존기간이 7보다 크거나 같은지 확인합니다.

백업을 사용하면 보안 인시던트에서 보다 신속하게 복구할 수 있습니다. 시스템의 복원력을 강화합니다.Amazon Redshift 는 기본적으로 주기적인 스냅샷을 생성합니다. 이 컨트롤은 자동 스냅샷을 7일 이상 활성화하고 보관할지 확인합니다. Amazon Redshift 자동 스냅샷에 대한 자세한 내용은 단원을 참조하십시오.자동 스냅샷의Amazon Redshift 클러스터 관리 가이드.

Note


• 아프리카(케이프타운)• 아시아 태평양(오사카)• 아시아 태평양(시드니)• 중국(닝샤)• 유럽(밀라노)

Remediation

이 문제를 해결하려면 스냅샷 보존 기간을 7 이상으로 업데이트하십시오.

스냅샷 보존 기간을 수정하려면

1. 에서 Amazon Redshift 콘솔을 엽니다.https://console.aws.amazon.com/redshift/.2. 탐색 메뉴에서 [] 를 선택합니다.클러스터를 클릭한 다음 수정할 클러스터의 이름을 선택합니다.3. [Edit]를 선택합니다.4. USE백업를 설정합니다.스냅샷 보관값을 7 이상의 값으로 설정합니다.5. [Modify Cluster]를 선택합니다.

[Redshift.6] 아마존 Redshift 는 주 버전으로 자동 업그레이드를 활성화해야 합니다.범주: 탐지 > 취약점 및 패치 관리

심각도: Medium

리소스: Cluster

AWS Config 규칙: redshift-cluster-maintenancesettings-check

파라미터:

• allowVersionUpgrade = true

이 컨트롤은 Amazon Redshift 클러스터에 대해 자동 메이저 버전 업그레이드가 활성화되어 있는지 여부를확인합니다.

자동 메이저 버전 업그레이드를 활성화하면 유지 관리 기간 동안 Amazon Redshift 클러스터에 대한 최신 메이저 버전 업데이트가 설치됩니다. 이러한 업데이트에는 보안 패치 및 버그 수정이 포함될 수 있습니다. 패치설치를 최신 상태로 유지하는 것은 시스템 보안의 중요한 단계입니다.

626

https://docs.aws.amazon.com/config/latest/developerguide/redshift-backup-enabled.html

https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html#about-automated-snapshots

https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-snapshots.html#about-automated-snapshots


https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html


Note

중동 (바레인) 에서는 이 컨트롤이 지원되지 않습니다.

Remediation

이 문제를 해결 하려면AWS CLI, Amazon Redshift 사용modify-cluster명령을 사용하여--allow-version-upgrade속성을 선택합니다.

aws redshift modify-cluster --cluster-identifier clustername --allow-version-upgrade

어디서 각clusternameAmazon Redshift 클러스터의 이름입니다.

[레드시프트.7] 아마존 Redshift 클러스터는 향상된 VPC 라우팅을 사용해야 함

범주: 보안 네트워크 구성 > API 전용 액세스 액세스

심각도: 높음

리소스 유형: Cluster

AWS Config 규칙: redshift_enhanced_vpc_routing_enabled


이 컨트롤은 Amazon Redshift 클러스터에EnhancedVpcRouting가 활성화됨.

강화된 VPC 라우팅은 모든COPY및UNLOAD트래픽이 VPC 통과하기 위해 클러스터와 데이터 리포지토리 간에 전달됩니다. 그런 다음 보안 그룹 및 네트워크 액세스 제어 목록과 같은 VPC 기능을 사용하여 네트워크트래픽을 보호할 수 있습니다. VPC 흐름 로그를 사용하여 네트워크 트래픽을 모니터링할 수도 있습니다.

Note



Remediation

자세한 수정 지침은 단원을 참조하십시오.Enhanced VPC Routing 활성화의Amazon Redshift 클러스터 관리가이드.

[S3.1] S3 블록 퍼블릭 액세스 설정을 활성화해야 합니다.


심각도: Medium

리소스: 계정

AWS Config 규칙: s3-account-level-public-access-blocks

파라미터:

627

https://docs.aws.amazon.com/config/latest/developerguide/redshift-enhanced-vpc-routing-enabled.html

https://docs.aws.amazon.com/redshift/latest/mgmt/enhanced-vpc-enabling-cluster.html

https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks.html



이 컨트롤은 다음 Amazon S3 퍼블릭 액세스 차단 설정이 계정 수준에서 구성되어 있는지 확인합니다.


모든 공용 액세스 차단 설정이true.

설정 중 하나라도 설정되어 있으면 컨트롤이 실패합니다.false또는 설정 중 하나라도 구성되지 않은 경우설정에 값이 없으면AWS Config규칙의 평가를 완료할 수 없습니다.

Amazon S3 퍼블릭 액세스 블록은 전체AWS계정 또는 개별 S3 버킷 수준에서 이를 통해 객체에 퍼블릭 액세스가 없도록 설정할 수 있습니다. ACL(액세스 제어 목록), 버킷 정책 또는 둘 다를 통해 버킷 및 객체에 퍼블릭 액세스 권한이 부여됩니다.

S3 버킷을 퍼블릭 액세스가 가능하도록 하려는 경우가 아니면 계정 수준 Amazon S3 퍼블릭 액세스 차단 기능을 구성해야 합니다.

자세한 내용은 다음을 참조하세요.Amazon S3 퍼블릭 액세스 차단 사용의Amazon Simple Storage Service개발자 안내서.

Note


• 아프리카(케이프타운)• 유럽(밀라노)• 중동(바레인)

Remediation

이 문제를 해결하려면 Amazon S3 퍼블릭 액세스 차단을 활성화하십시오.

Amazon S3 퍼블릭 액세스 차단을 활성화하려면

1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.2. Block public access (account settings)(퍼블릭 액세스 차단(계정 설정))을 선택합니다.3. [Edit]를 선택합니다.4. Select블록all퍼블릭 액세스.5. [Save changes]를 선택합니다.

자세한 내용은 단원을 참조하십시오.Amazon S3 퍼블릭 액세스 차단 사용의Amazon Simple StorageService 개발자 안내서.

[S3.2] S3 버킷은 퍼블릭 읽기 액세스를 금지해야 합니다.


628





심각도: 심각


AWS Config 규칙: s3-bucket-public-read-prohibited


이 컨트롤은 S3 버킷이 퍼블릭 읽기 액세스를 허용하는지 여부를 확인합니다. 퍼블릭 액세스 차단 설정, 버킷 정책 및 버킷 액세스 제어 목록(ACL)을 평가합니다.

일부 사용 사례에서는 인터넷의 모든 사용자가 S3 버킷에서 읽을 수 있어야 합니다. 그러나 이러한 상황은드뭅니다. 데이터의 무결성과 보안을 보장하기 위해 S3 버킷은 공개적으로 읽을 수 없습니다.

Remediation

이 문제를 해결하려면 S3 버킷을 업데이트하여 퍼블릭 액세스를 제거합니다.

S3 버킷에서 퍼블릭 액세스를 제거하려면

1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.2. 왼쪽 탐색 창에서 [] 를 선택합니다.버킷.3. 업데이트할 S3 버킷의 이름을 선택합니다.4. 선택권한를 선택한 다음퍼블릭 액세스 차단.5. [Edit]를 선택합니다.6. Select블록all퍼블릭 액세스. 그런 다음 [Save]를 선택합니다.7. 메시지가 표시되면 confirm을 입력한 후 확인을 선택합니다.

[S3.3] S3 버킷은 퍼블릭 쓰기 액세스를 금지해야 합니다.범주: 보호 > 보안 네트워크 구성

심각도: 심각


AWS Config 규칙: s3-bucket-public-write-prohibited


이 컨트롤은 S3 버킷이 퍼블릭 쓰기 액세스를 허용하는지 여부를 확인합니다. 퍼블릭 액세스 차단 설정, 버킷 정책 및 버킷 ACL(액세스 제어 목록)을 평가합니다.

일부 사용 사례에서는 인터넷의 모든 사용자가 S3 버킷에 쓸 수 있어야 합니다. 그러나 이러한 상황은 드뭅니다. 데이터의 무결성과 보안을 보장하기 위해 S3 버킷은 공개적으로 쓸 수 없습니다.

Remediation

이 문제를 해결하려면 S3 버킷을 업데이트하여 퍼블릭 액세스를 제거합니다.


1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.2. 왼쪽 탐색 창에서 [] 를 선택합니다.버킷.3. 업데이트할 S3 버킷의 이름을 선택합니다.4. 선택권한를 선택한 다음퍼블릭 액세스 차단.5. [Edit]를 선택합니다.

629

https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited





6. Select블록all퍼블릭 액세스. 그런 다음 [Save]를 선택합니다.7. 메시지가 표시되면 confirm을 입력한 후 확인을 선택합니다.

[S3.4] S3 버킷에는 서버 측 암호화가 활성화되어 있어야 합니다.


심각도: Medium


AWS Config 규칙: s3-bucket-server-side-encryption-enabled


이 컨트롤은 S3 버킷에 Amazon S3 기본 암호화가 활성화되어 있는지 또는 S3 버킷 정책이 서버 측 암호화되지 않은 put-object 요청을 명시적으로 거부하는지 확인합니다.

S3 버킷의 중요 데이터에 대한 보안을 강화하려면 서버 측 암호화로 버킷을 구성하여 유휴 데이터를 보호해야 합니다. Amazon S3는 각 객체를 고유한 키로 암호화합니다. 또한 추가 보안 조치로 주기적으로 바뀌는 마스터 키를 사용하여 키 자체를 암호화합니다. Amazon S3 서버 측 암호화는 가장 강력한 블록 암호 중 하나인256비트 Advanced Encryption Standard(AES-256)를 사용하여 데이터를 암호화합니다.

자세한 내용은 다음을 참조하세요.Amazon S3가 관리하는 암호화 키(SSE-S3)를 사용하는 서버 측 암호화로데이터 보호의Amazon Simple Storage Service 개발자 안내서.

Remediation

이 문제를 해결하려면 S3 버킷을 업데이트하여 기본 암호화를 사용하도록 설정합니다.

S3 버킷에 대한 기본 암호화를 활성화하려면

1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.2. 왼쪽 탐색 창에서 [] 를 선택합니다.버킷.3. 목록에서 S3 버킷을 선택합니다.4. [Properties]를 선택합니다.5. Default encryption(기본 암호화)을 선택합니다.6. 암호화에서 [] 를 선택합니다.AES-또는AWS-KMS.

• 선택AES-기본 암호화에 Amazon S3 에서 관리하는 키를 사용합니다. Amazon S3 서버 측 암호화를사용하는 데이터 암호화에 대한 자세한 내용은 단원을 참조하세요.Amazon Simple Storage Service개발자 안내서.

• 선택AWS-KMS에서 관리하는 키를 사용하려면AWS KMS기본 암호화를 활성화합니다. 그런 다음 생성한 AWS KMS 마스터 키 목록에서 마스터 키를 선택합니다.

사용할 AWS KMS 키의 Amazon 리소스 이름(ARN)을 입력합니다. 에 대한 ARN 찾을 수 있습니다.AWS KMS키에서 IAM 콘솔을 엽니다.암호화 키. 또는 드롭다운 목록에서 키 이름을 선택할 수 있습니다.

Important

기본 암호화 구성에 대해 AWS KMS 옵션을 사용할 경우, AWS KMS에 대한 RPS(초당 요청수) 할당량이 적용됩니다. 에 대한 자세한 내용AWS KMS할당량과 할당량 증가를 요청하는방법에 대한 자세한 내용은AWS Key Management Service개발자 안내서.

생성에 대한 자세한 내용은AWS KMS키에 대한 자세한 내용은AWS Key Management Service개발자안내서.

630

https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html






https://docs.aws.amazon.com/kms/latest/developerguide/limits.html




사용에 관한 자세한 내용은 단원을 참조하십시오.AWS KMSAmazon S3 S3에서 을 (를) 사용하려면Amazon Simple Storage Service 개발자 안내서.

기본 암호화를 활성화할 때 버킷 정책을 업데이트해야 할 수 있습니다. 버킷 정책에서 기본 암호화로 이동에 대한 자세한 내용은Amazon Simple Storage Service 개발자 안내서.


기본 S3 버킷 암호화에 대한 자세한 내용은Amazon Simple Storage Service 콘솔 사용자 안내서.

[S3.5] S3 버킷은 보안 소켓 계층을 사용하려면


심각도: Medium

리소스: S3 Bucket

AWS Config 규칙: s3-bucket-ssl-requests-only


이 컨트롤은 S3 버킷에 SSL (Secure Socket Layer) 사용하도록 요구하는 정책이 있는지 확인합니다.

S3 버킷에는 모든 요청 (Action: S3:*) 을 사용하여 조건 키로 표시된 S3 리소스 정책에서 HTTPS를 통한데이터 전송만 수락합니다.aws:SecureTransport.

Remediation

이 문제를 해결하려면 S3 버킷의 권한 정책을 업데이트하십시오.

S3 버킷을 구성하여 비보안 전송을 거부하려면

1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.2. 비준수 버킷으로 이동한 다음 버킷 이름을 선택합니다.3. 권한을 선택하고 버킷 정책을 선택합니다.4. 아래 정책에 비슷한 정책 설명을 추가합니다. Replaceawsexamplebucket를 수정하고 있는 버킷의 이

름으로 바꿉니다.

{ "Id": "ExamplePolicy", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSSLRequestsOnly", "Action": "s3:*", "Effect": "Deny", "Resource": [ "arn:aws:s3:::awsexamplebucket", "arn:aws:s3:::awsexamplebucket/*" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } }, "Principal": "*" } ]

631


https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html#bucket-encryption-update-bucket-policy

https://docs.aws.amazon.com/AmazonS3/latest/dev/bucket-encryption.html

https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html



}


자세한 내용은 지식 센터 문서 단원을 참조하십시오.어떤 S3 버킷 정책을 사용해야 합니까?AWS Config규칙s3-버킷 - ssl-requestsonly?.

[S3.6] 다른 사용자에게 부여된 Amazon S3 권한AWS버킷 정책의 계정은 제한되어야 합니다.범주: 보호 > 보안 액세스 관리

심각도: 높음

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-blacklisted-actions-prohibited

파라미터:

• blacklistedactionpatterns: s3:DeleteBucketPolicy, s3:PutBucketAcl,s3:PutBucketPolicy, s3:PutEncryptionConfiguration, s3:PutObjectAcl

이 컨트롤은 S3 버킷 정책이 보안 주체를 다른AWS계정이 S3 버킷의 리소스에 대해 거부된 작업을 수행하지 못하도록 합니다. S3 버킷 정책에서 다른 보안 주체에 대해 다음 작업을 허용하는 경우 제어가 실패합니다.AWS계정:

• s3:DeleteBucketPolicy

• s3:PutBucketAcl

• s3:PutBucketPolicy

• s3:PutEncryptionConfiguration

• s3:PutObjectAcl

최소 권한 액세스를 구현하는 것이 오류 또는 악의적인 의도에 따른 보안 위험과 영향을 최소화할 수 있는 근본적인 방법입니다. S3 버킷 정책이 외부 계정의 액세스를 허용하는 경우 내부자 위협 또는 공격자에 의해데이터가 유출될 수 있습니다.

이blacklistedactionpatterns매개 변수를 사용하면 S3 버킷에 대한 규칙을 성공적으로 평가할수 있습니다. 매개 변수에 포함되지 않은 작업 패턴에 대한 외부 계정에 대한 액세스 권한을 부여합니다.blacklistedactionpatterns목록을 참조하십시오.

Remediation

이 문제를 해결하려면 S3 버킷 정책을 편집하여 권한을 제거합니다.

S3 버킷 정책을 편집하려면

1. https://console.aws.amazon.com/s3/에서 Amazon S3 콘솔을 엽니다.2. 에서Bucket name목록에서 정책을 편집할 S3 버킷의 이름을 선택합니다.3. 권한을 선택하고 버킷 정책을 선택합니다.4. 에서버킷 정책 편집기텍스트 상자에서 다음 중 하나를 수행합니다.

• 거부된 작업에 대한 액세스 권한을 부여한 문을 다른AWSAccount• 명령문에서 허용된 거부된 작업 제거


632



https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-blacklisted-actions-prohibited.html



버킷 수준에서 S3 블록 퍼블릭 액세스 설정을 활성화해야 합니다.

범주: 보호 > 보안 액세스 관리 > 액세스 제어

심각도: 높음

리소스: AWS::S3::Bucket

AWS Config 규칙: s3_bucket_level_public_access_prohibited

파라미터:

• excludedPublicBuckets(선택 사항) — 허용되는 퍼블릭 S3 버킷 이름의 쉼표로 구분된 목록입니다.

이 컨트롤은 S3 버킷에 버킷 수준 퍼블릭 액세스 블록이 적용되었는지 여부를 확인합니다. 이 컨트롤은 다음설정 중 하나라도false:

• ignorePublicAcls

• blockPublicPolicy

• blockPublicAcls

• restrictPublicBuckets

S3 버킷 수준의 퍼블릭 액세스 차단은 객체에 퍼블릭 액세스가 없도록 하는 제어 기능을 제공합니다.ACL(액세스 제어 목록), 버킷 정책 또는 둘 다를 통해 버킷 및 객체에 퍼블릭 액세스 권한이 부여됩니다.

S3 버킷에 대한 퍼블릭 액세스를 가능하도록 하려는 경우가 아니면 버킷 수준 Amazon S3 퍼블릭 액세스 차단 기능을 구성해야 합니다.

Note




Remediation

버킷 수준에서 퍼블릭 액세스를 제거하는 방법에 대한 자세한 내용은Amazon S3 스토리지에 대한 퍼블릭 액세스 차단의Amazon S3 사용 설명서.

[SageMaker.1] SageMaker 노트북 인스턴스는 인터넷에 직접 접속할 수 없어야 합니다.


심각도: 높음

리소스: SageMaker:NotebookInstance

AWS Config 규칙: sagemaker-notebook-no-direct-internet-access

633

https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-level-public-access-prohibited.html



https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html



이 컨트롤은 SageMaker 노트북 인스턴스에 대해 직접 인터넷 액세스가 비활성화되는지 확인합니다. 이를위해, 그것은 여부를 확인DirectInternetAccess필드는 노트북 인스턴스에 대해 비활성화됩니다.

VPC 없이 SageMaker 인스턴스를 구성하는 경우 기본적으로 인스턴스에서 직접 인터넷 액세스가 활성화됩니다. VPC 로 인스턴스를 구성하고 기본 설정을Disable — VPC 통해 인터넷에 액세스.

노트북에서 모델을 교육하거나 호스트하려면 인터넷에 연결되어 있어야 합니다. 인터넷 액세스를 활성화하려면 VPC NAT 게이트웨이가 있고 보안 그룹이 아웃바운드 연결을 허용하는지 확인합니다. 노트북 인스턴스를 VPC 리소스에 연결하는 방법에 대한 자세한 내용은 단원을 참조하십시오.노트북 인스턴스를 VPC 리소스에 Connect의Amazon SageMaker 개발자 안내서.

또한 SageMaker 구성에 대한 액세스가 권한 있는 사용자로만 제한되도록 해야 합니다. 사용자의 IAM 권한을 제한하여 SageMaker 설정 및 리소스를 수정할 수 있습니다.

Note


• 아프리카(케이프타운)• 중국(베이징)• 중국(닝샤)• 유럽(밀라노)• AWS GovCloud(미국 동부)

Remediation

노트북 인스턴스를 만든 후에는 인터넷 액세스 설정을 변경할 수 없습니다. 중지, 삭제 및 다시 작성해야 합니다.

직접 인터넷 액세스를 거부하도록 SageMaker 노트북 인스턴스를 구성하려면

1. 에서 SageMaker 콘솔을 엽니다.https://console.aws.amazon.com/sagemaker/2. 로 이동합니다.노트북 인스턴스.3. 직접 인터넷 액세스가 활성화된 인스턴스를 삭제합니다. 인스턴스를 선택하고 [] 를 선택합니다.작업을

선택한 다음 중지를 선택합니다.

인스턴스가 중지되면작업을 선택한 다음삭제.4. 노트북 인스턴스 생성을 선택합니다. 구성 세부 정보를 입력합니다.5. 네트워크 섹션을 확장한 다음 VPC, 서브넷 및 보안 그룹을 선택합니다. USE직접 인터넷 액세스를 선택

하고Disable — VPC 통해 인터넷에 액세스.6. 노트북 인스턴스 생성을 선택합니다.

자세한 내용은 단원을 참조하십시오.노트북 인스턴스를 VPC 리소스에 Connect의Amazon SageMaker 개발자 안내서.

[SecretsManager.1] 암호 관리자 비밀에 자동 회전이 활성화되어 있어야 합니다.


심각도: Medium

리소스: Secrets Manager 보안

AWS Config 규칙: secretsmanager-rotation-enabled-check

634



https://console.aws.amazon.com/sagemaker/


https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html



이 컨트롤은 비밀에 저장되어 있는지 여부를 확인합니다.AWS Secrets Manager는 자동 회전으로 구성됩니다.

Secrets Manager 사용하면 조직의 보안 상태를 개선하는 데 도움이 됩니다. 암호에는 데이터베이스 자격 증명, 암호 및 타사 API 키가 포함됩니다. Secrection Manager를 사용하여 비밀을 중앙에서 저장하고, 자동으로 비밀을 암호화하고, 비밀에 대한 액세스를 제어하고, 비밀을 안전하고 자동으로 교체할 수 있습니다.

Secrets Manager 회전할 수 있습니다. 장기 보안 암호로 장기 보안 암호를 교체할 수 있습니다. 비밀을 교체하면 권한이 없는 사용자가 손상된 비밀을 사용할 수 있는 시간이 제한됩니다. 이러한 이유 때문에 비밀을 자주 교체해야 합니다. 회전에 대한 자세한 내용은 단원을 참조하십시오.당신의 회전AWS Secrets Manager보안 암호의AWS Secrets Manager사용 설명서.

Remediation

이 문제를 해결하려면 비밀에 대해 자동 순환을 사용하도록 설정합니다.

암호에 대한 자동 회전을 활성화하려면

1. 에서 보안 Secrets Manager 콘솔을 엽니다.https://console.aws.amazon.com/secretsmanager/.2. 회전해야 하는 암호를 찾으려면 검색 필드에 비밀 이름을 입력합니다.3. 회전할 암호를 선택하면 비밀 세부 정보 페이지가 표시됩니다.4. USE순환 구성를 선택하고회전 편집.5. From순환 구성 편집를 선택하고자동 회전 활성화.6. 용순환 간격 선택에서 회전 간격을 선택합니다.7. 회전을 위한 Lambda 함수를 선택합니다. Lambda 회전 함수를 사용자 지정하는 방법에 대한 자세한 내

용은Lambda 회전 함수 이해 및 사용자 지정의AWS Secrets Manager사용 설명서.8. 순환에 대한 암호를 구성하려면다음.

보안 관리자 순환에 대한 자세한 내용은 단원을 참조하십시오.를 교체하는 중AWS Secrets Manager보안 암호의AWS Secrets Manager사용 설명서.

[SecretsManager.2] 자동 회전으로 구성된 암호 관리자 암호가 성공적으로 회전해야 합니다.범주: 보호 > 보안 개발

심각도: Medium


AWS Config 규칙: secretsmanager-scheduled-rotation-success-check


이 컨트롤은 여부를 확인합니다.AWS Secrets Manager암호가 순환 예약에 따라 성공적으로 순환되었습니다. 다음과 같은 경우 컨트롤이 실패합니다.RotationOccurringAsScheduledisfalse. 컨트롤은 순환이구성되지 않은 암호를 평가하지 않습니다.

Secrets Manager 사용하면 조직의 보안 상태를 개선하는 데 도움이 됩니다. 암호에는 데이터베이스 자격 증명, 암호 및 타사 API 키가 포함됩니다. Secrection Manager를 사용하여 비밀을 중앙에서 저장하고, 자동으로 비밀을 암호화하고, 비밀에 대한 액세스를 제어하고, 비밀을 안전하고 자동으로 교체할 수 있습니다.

Secrets Manager 회전할 수 있습니다. 장기 보안 암호로 장기 보안 암호를 교체할 수 있습니다. 비밀을 교체하면 권한이 없는 사용자가 손상된 비밀을 사용할 수 있는 시간이 제한됩니다. 이러한 이유 때문에 비밀을 자주 교체해야 합니다.

635

https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html


https://console.aws.amazon.com/secretsmanager/

https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets-lambda-function-customizing.html



https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html


암호를 자동으로 순환하도록 구성하는 것 외에도 순환 예약에 따라 해당 암호가 성공적으로 순환되는지 확인해야 합니다.

회전에 대한 자세한 내용은 단원을 참조하십시오.당신의 회전AWS Secrets Manager보안 암호의AWSSecrets Manager사용 설명서.

Remediation

자동 순환이 실패하면 Secrets Manager 구성에 오류가 발생했을 수 있습니다.

보안 Secrets Manager 교체하려면 해당 암호를 소유하고 있는 데이터베이스 또는 서비스와 상호 작용 방식을 정의하는 Lambda 함수를 사용합니다.

비밀 순환과 관련된 일반적인 오류를 진단하고 수정하는 방법에 대한 도움말은문제 해결AWS SecretsManager비밀의 회전의AWS Secrets Manager사용 설명서.

[비밀번호관리자.3] 사용하지 않는 Secrets Manager 비밀 제거범주: 보호 > 보안 액세스 관리

심각도: Medium

리소스 유형: Secrets Manager 보안

AWS Config 규칙: secretsmanager_secret_unused


이 컨트롤은 지정된 일수가 지난 후 보안 암호가 액세스되었는지 확인합니다. 기본값은 90일입니다. 정의된일 수 내에 비밀에 한 번 액세스한 경우 이 컨트롤이 실패합니다.

사용하지 않는 비밀을 삭제하는 것은 암호를 회전하는 것만큼이나 중요합니다. 사용되지 않은 비밀은 더 이상 이러한 비밀에 액세스할 필요가 없는 이전 사용자가 남용할 수 있습니다. 또한 더 많은 사용자가 보안 암호에 액세스할 수 있으므로 누군가가 이를 잘못 취급하여 권한 없는 사용자에게 유출할 수 있으므로 악용 위험이 증가합니다. 사용되지 않는 암호를 삭제하면 더 이상 필요하지 않은 사용자의 보안 액세스 권한을 취소할 수 있습니다. 또한 Secrets Manager 사용하는 비용을 줄이는 데 도움이 됩니다. 따라서 사용하지 않는 비밀을 정기적으로 삭제하는 것이 중요합니다.

Note



Remediation

Secrets Manager 콘솔에서 비활성 암호를 삭제할 수 있습니다.

비활성 암호를 삭제하려면

1. 에서 보안 Secrets Manager 콘솔을 엽니다.https://console.aws.amazon.com/secretsmanager/.2. 암호를 찾으려면 검색 상자에 보안 암호를 입력합니다.3. 삭제할 암호를 선택합니다.4. USE보안 세부 정보를 입력합니다.작업를 선택하고보안 암호 삭제.

636


https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html

https://docs.aws.amazon.com/secretsmanager/latest/userguide/troubleshoot_rotation.html

https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-unused.html



5. USESecrets 삭제 예약에 암호가 삭제되기 전에 대기할 일수를 입력합니다.6. [Schedule deletion]을 선택합니다.

[비밀번호관리자.4] Secrets Manager 비밀은 지정된 기간 (일) 내에 교체되어야 합니다.


심각도: Medium


AWS Config 규칙: secretsmanager_secret_periodic_rotation

파라미터:

• Rotation 기간:기본적으로 90일

이 컨트롤은 비밀이 90일 내에 최소 한 번 교체되었는지 여부를 확인합니다.

회전 비밀은 비밀의 무단 사용의 위험을 줄이는 데 도움이 될 수 있습니다AWS계정. 데이터베이스 자격 증명, 암호, 타사 API 키 및 임의 텍스트가 있습니다. 오랜 기간 동안 비밀을 바꾸지 않으면 비밀이 손상 될 가능성이 높아집니다.

더 많은 사용자가 보안 암호에 액세스할 수 있으므로 누군가가 잘못 취급하여 권한 없는 사용자에게 유출할가능성이 커질 수 있습니다. 보안 암호는 로그 및 캐시 데이터를 통해 유출될 수 있습니다. 디버깅 목적으로보안 암호를 공유할 수 있으며, 디버깅이 끝나도 보안 암호를 변경하거나 취소하지 않습니다. 이러한 모든 이유로 보안 암호는 자주 교체해야 합니다.

자동 회전을위한 비밀을 구성 할 수 있습니다.AWS Secrets Manager. 자동 회전을 사용하면 단기 보안 암호로 장기 보안 암호를 교체할 수 있어 손상 위험이 크게 줄어듭니다.

Security Hub Secrets Manager 에 대해 순환을 사용하도록 설정하는 것이 좋습니다. 회전에 대한 자세한 내용은 단원을 참조하십시오.당신의 회전AWS Secrets Manager보안 암호의AWS Secrets Manager사용 설명서.

Note



Remediation

Secrets Manager 콘솔에서 자동 보안 회전을 활성화할 수 있습니다.

보안 암호 교체를 활성화하려면

1. 에서 보안 Secrets Manager 콘솔을 엽니다.https://console.aws.amazon.com/secretsmanager/.2. 암호를 찾으려면 검색 상자에 보안 암호를 입력합니다.3. 표시할 암호를 선택합니다.

637

https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-secret-periodic-rotation.html




4. USE순환 구성를 선택하고회전 편집.5. From순환 구성 편집를 선택하고자동 회전 활성화.6. From순환 간격 선택에서 회전 간격을 선택합니다.7. 회전에 사용할 Lambda 함수를 선택합니다.8. [Next]를 선택합니다.9. 자동 회전에 대한 암호를 구성한 후순환 구성를 선택하고비밀로 즉시 회전.

[SNS.1] SNS 주제는 유휴 시AWS KMS


심각도: Medium

리소스: Amazon SNS 주제

AWS Config 규칙: sns-encrypted-kms


이 컨트롤은 SNS 주제가 저장된 상태에서AWS KMS.

미사용 데이터를 암호화하면 디스크에 저장된 데이터에 대해 인증되지 않은 사용자가 액세스할 위험이 줄어듭니다.AWS. 또한 권한 없는 사용자가 데이터에 액세스할 수 있는 기능을 제한하는 또 다른 액세스 제어집합을 추가합니다. 예를 들어 데이터를 읽기 전에 해독하려면 API 권한이 필요합니다. 보안 계층을 강화하려면 유휴 상태에서 암호화되어야 합니다. 자세한 내용은 단원을 참조하십시오.저장된 암호화의AmazonSimple Notification Service.

Remediation

이 문제를 해결하려면 암호화를 사용하도록 SNS 주제를 업데이트하십시오.

암호화되지 않은 SNS 주제를 암호화하려면

1. 에서 Amazon SNS 콘솔을 엽니다.https://console.aws.amazon.com/sns/v3/home.2. 탐색 창에서 주제를 선택합니다.3. 암호화할 주제의 이름을 선택합니다.4. [Edit]를 선택합니다.5. USE암호화를 선택하고[Enable Encryption].6. 주제를 암호화하는 데 사용할 KMS 키를 선택합니다.7. [Save changes]를 선택합니다.

[SSM.1] EC2 인스턴스는AWS Systems Manager

범주: 인벤토리 식별

심각도: Medium


AWS Config 규칙: ec2-instance-managed-by-systems-manager


이 컨트롤은 계정의 EC2 인스턴스가AWS Systems Manager. Systems ManagerAWS를 보고 제어하기 위해사용할 수 있는AWS인프라.

638

https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html

https://docs.aws.amazon.com/sns/latest/dg/sns-server-side-encryption.html


https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-ssm.html


보안 및 규정 준수를 유지할 수 있도록 Systems Manager 는 관리형 인스턴스를 검사합니다. 관리형 인스턴스는 Systems Manager 함께 사용하도록 구성된 머신입니다. 그런 다음 Systems Manager 는 발견된 정책위반에 대해 보고하거나 수정 조치를 취합니다. 또한 Systems Manager 를 사용하면 관리되는 인스턴스를구성하고 유지 관리할 수 있습니다.

자세한 내용은 다음을 참조하세요.AWS Systems Manager사용 설명서.

Remediation

Systems Manager 콘솔을 사용하여 이 문제를 해결할 수 있습니다.

EC2 인스턴스를 Systems Manager 하려면

1. 열기AWS Systems Manager콘솔https://console.aws.amazon.com/systems-manager/.2. Quick setup(빠른 설정)을 선택합니다.3. 구성 화면에서 기본 옵션을 유지합니다.4. [Enable]을 선택합니다.

인스턴스가 Systems Manager 연결을 지원하는지 확인하려면Systems Manager 사전 조건의AWS SystemsManager사용 설명서.

[SSM.2] Systems Manager 관리하는 모든 EC2 인스턴스는 패치 적용 요구 사항을준수해야 합니다.범주: 감지 > 감지 서비스

심각도: 높음

리소스: SSM 패치 규정 준수

AWS Config 규칙: ec2-managedinstance-patch-compliance-status-check


이 컨트롤은 Amazon EC2 Systems Manager 패치 규정 준수의 규정 준수 상태가COMPLIANT또는NON_COMPLIANT인스턴스에 패치 설치 후 Systems Manager 패치 관리자가 관리하는 인스턴스만 확인합니다.

조직의 필요에 따라 EC2 인스턴스를 완전히 패치하면 AWS 계정의 공격 취약 영역이 줄어듭니다.Note


• 아프리카(케이프타운)• 유럽(밀라노)• 중동(바레인)

Remediation

이 문제를 해결하려면 비준수 인스턴스에 필요한 패치를 설치하십시오.

규정 미준수 패치를 해결하려면

1. 열기AWS Systems Manager콘솔https://console.aws.amazon.com/systems-manager/.2. USE노드 관리를 선택하고명령 실행를 선택한 다음명령 실행.3. 옆에 있는 버튼을 선택합니다.AWS-런패치베이스라인.

639

https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html



https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html



4. Operation(작업)을 Install(설치)로 변경합니다.5. 수동으로 인스턴스 선택을 선택한 다음 규정 미준수 인스턴스를 선택합니다.6. 페이지 하단에서 Run(실행)을 선택합니다.7. 명령이 완료된 후 패치가 적용된 인스턴스의 새 규정 준수 상태를 모니터링하려면 탐색 창에서 규정 준

수를 선택합니다.

Systems Manager 문서를 사용하여 관리형 인스턴스에 패치하는 방법에 대한 자세한 내용은 단원을 참조하세요.인스턴스 패치를 위한 SSM 문서 정보및Systems Manager 사용하여 명령 실행의AWS SystemsManager사용 설명서.

[SSM.3] Systems Manager 관리하는 인스턴스의 연결 규정 준수 상태가 규정 준수여야 합니다.


심각도: 낮음

리소스: AwsSSMAssociationCompliance

AWS Config 규칙: ec2-managedinstance-association-compliance-status-check


이 컨트롤의 상태 여부를 확인합니다.AWS Systems Manager연결 규정 준수COMPLIANT또는NON_COMPLIANT인스턴스에서 연결이 실행 된 후. 연결 규정 준수 상태가COMPLIANT.

상태 관리자 연결은 관리형 인스턴스에 할당되는 구성입니다. 이러한 구성은 인스턴스에서 관리하려는 상태를 정의합니다. 예를 들어, 연결은 인스턴스에서 안티바이러스 소프트웨어가 설치되어 실행 중이어야 하는지또는 특정 포트가 닫혀 있어야 하는지를 지정할 수 있습니다.

하나 이상의 상태 관리자 연결을 만든 후에는 규정 준수 상태 정보를 즉시 볼 수 있습니다. 콘솔에서 규정 준수 상태를 볼 수 있습니다.AWS CLI명령 또는 해당 Systems Manager API 작업을 수행할 수 있습니다. 연결의 경우 구성 규정 준수에 규정 준수 상태 (Compliant또는Non-compliant). 또한 연결에 할당된 심각도(예:Critical또는Medium.

상태 관리자 연결 규정 준수 에 대한 자세한 내용은 단원을 참조하십시오.상태 관리자 연결 규정 준수 정보의AWS Systems Manager사용 설명서.

Note


Remediation

실패한 연결은 대상 및 SSM 문서 이름을 포함하여 다른 항목과 관련될 수 있습니다. 이 문제를 해결하려면먼저 연결을 식별하고 조사해야 합니다. 그런 다음 연결을 업데이트하여 특정 문제를 해결할 수 있습니다.

연결을 편집하여 새 이름, 일정, 심각도 수준 또는 대상을 지정할 수 있습니다. 연결을 편집하면 AWSSystems Manager에서 새 버전을 생성합니다.

실패한 연결을 조사하고 업데이트하려면

1. 열기AWS Systems Manager콘솔https://console.aws.amazon.com/systems-manager/.2. 탐색 창의 []노드 관리를 선택하고플릿 관리자.3. 인스턴스 ID가 있는 인스턴스 ID를 선택합니다.연계 상태의[Failed].4. View details(세부 정보 보기)를 선택합니다.5. 선택Associations.

640

https://docs.aws.amazon.com/systems-manager/latest/userguide/patch-manager-ssm-documents.html

https://docs.aws.amazon.com/systems-manager/latest/userguide/run-command.html

https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html





6. 있는 연결의 이름을 적어 둡니다.연계 상태의[Failed]. 이것은 조사해야 할 협회입니다. 다음 단계에서 연결 이름을 사용해야 합니다.

7. 탐색 창의 []노드 관리를 선택하고상태 관리자. 연결 이름을 검색한 다음 연결을 선택합니다.8. 문제를 확인한 후 실패한 연결을 편집하여 문제를 해결하십시오. 연결을 편집하는 방법에 대한 자세한

내용은 단원을 참조하십시오.연결 편집.

상태 관리자 연결 만들기 및 편집에 대한 자세한 내용은 단원을 참조하십시오.Systems Manager 연결 작업의AWS Systems Manager사용 설명서.

[와프.1]AWS WAF클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.


심각도: Medium

리소스: AWS::WAF::WebACL

AWS Config 규칙: waf-classic-logging-enabled


이 컨트롤은 로깅이 활성화되어 있는지 여부를 확인합니다.AWS WAF글로벌 웹 ACL 웹 ACL에 대해 로깅을사용할 수 없는 경우 이 컨트롤이 실패합니다.

로깅은 안정성, 가용성 및 성능을 유지하는 데 중요한 부분입니다.AWS WAF전역. 많은 조직에서 비즈니스및 규정 준수 요구 사항이며 응용 프로그램 동작 문제를 해결할 수 있습니다. 또한 연결된 웹 ACL에 의해 분석되는 트래픽에 대한 자세한 정보를 제공합니다.AWS WAF.

참고

Note


• 미국 동부(오하이오)• 미국 서부(캘리포니아 북부)• 미국 서부(오레곤)• 아프리카(케이프타운)• 아시아 태평양(홍콩)• 아시아 태평양(뭄바이)• 아시아 태평양(오사카)• 아시아 태평양(서울)• 아시아 태평양(싱가포르)• 아시아 태평양(시드니)• 아시아 태평양(도쿄)• 캐나다(중부)• 중국(베이징)• 중국(닝샤)• 유럽(프랑크푸르트)• 유럽(아일랜드)• 유럽(런던)• 유럽(밀라노)• 유럽(파리)

641

https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-state-assoc-edit.html



https://docs.aws.amazon.com/config/latest/developerguide/waf-classic-logging-enabled.html


• 유럽(스톡홀름)• 중동(바레인)• 남아메리카(상파울루)• AWS GovCloud(미국 동부)• AWS GovCloud(미국 서부)

Remediation

Kinesis Data Firehose 콘솔에서 웹 ACL에 대한 로깅을 활성화할 수 있습니다.

웹 ACL에 대해 로깅을 활성화하려면

1. Kinesis Data Firehose 콘솔을https://console.aws.amazon.com/firehose/.2. Kinesis Data Firehose 전송 스트림을 생성합니다.

이름은 접두사로 시작해야 합니다.aws-waf-logs- 예: aws-waf-logs-us-east-2-analytics.

Kinesis Data Firehose 전송 스트림을 생성하려면PUT소스 및 운영 리전에서 확인할 수 있습니다.Amazon CloudFront 로그를 캡처하는 경우 미국 동부 (버지니아 북부) 에 전송 스트림을 생성합니다. 자세한 내용은 단원을 참조하십시오.Amazon Kinesis Data Firehose 전송 스트림 생성의Amazon KinesisData Firehose 개발자 가이드.

3. From서비스를 선택하고WAF & Shield. 그런 다음로 전환AWS WAF클래식.4. FromFilter를 선택하고글로벌 (CloudFront).5. 로깅을 활성화하려면 웹 ACL을 선택합니다.6. USE로깅를 선택하고[Enable logging].7. 이전에 생성한 Kinesis Data Firehose 전송 스트림을 선택합니다. 로 시작하는 이름의 전송 스트림을 선

택해야 합니다.aws-waf-logs-8. 로깅 활성화를 선택합니다.

비활성화할 수 있는 AWS 기초 모범 사례 컨트롤AWS Config 비용을 절약하기 위해 한 리전을 제외한 모든 리전에서 글로벌 리소스 기록을 비활성화한 다음글로벌 기록을 실행하는 리전을 제외한 모든 리전에서 글로벌 리소스를 처리하는 이러한 제어를 비활성화할수 있습니다.

• [IAM.1] IAM 정책에서 전체 “*” 관리 권한을 허용해서는 안 됩니다. (p. 599)• [IAM.2] IAM 사용자는 IAM 정책을 연결해서는 안 됩니다. (p. 599)• [IAM.3] IAM 사용자 액세스 키는 90일 이하마다 교체해야 합니다. (p. 600)• [IAM.4] IAM 루트 사용자 액세스 키가 존재하지 않아야 합니다. (p. 602)• [IAM.5] 콘솔 암호가 있는 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다. (p. 602)• [IAM.6] 루트 사용자에 대해 하드웨어 MFA를 활성화해야 합니다. (p. 603)• [IAM.7] IAM 사용자를 위한 암호 정책의 구성은 강력해야 합니다. (p. 604)

이러한 컨트롤을 비활성화하고 특정 리전의 글로벌 리소스 기록을 비활성화하는 경우 [Config.1] AWSConfig가 활성화되어야 함 (p. 574)도 비활성화해야 합니다. [Config.1] AWS Config가 활성화되어야함 (p. 574)이 통과하기 위해서는 글로벌 리소스를 기록해야 하기 때문입니다.

642

https://console.aws.amazon.com/firehose/

https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html

AWS Security Hub 사용 설명서CloudTrail 의 Security Hub 정보

로깅AWS에서 Security Hub API 호출AWS CloudTrail

AWSSecurity HubAWS CloudTrail, 사용자, 역할 또는 역할이 수행한 작업에 대한 기록을 제공하는 서비스AWS서비스가 Security Hub. CloudTrail 은 Security Hub API 호출을 이벤트로 캡처합니다. 캡처되는 호출에는 Security Hub 콘솔의 호출과 Security Hub API 작업에 대한 코드 호출이 포함됩니다. 추적을 생성하면Security Hub 이벤트를 포함한 CloudTrail 이벤트를 지속적으로 Amazon S3 버킷에 전달할 수 있습니다. 추적을 구성하지 않은 경우에도 CloudTrail 콘솔에서 최신 이벤트를 볼 수도 있습니다.이벤트 기록. CloudTrail이 수집하는 정보를 사용하여 Security Hub, 요청이 수행된 IP 주소, 요청을 수행한 사람, 요청이 수행된 시간및 추가 세부 정보를 확인할 수 있습니다.

구성 및 활성화 방법을 비롯하여 CloudTrail 에 대한 자세한 내용은AWS CloudTrail사용 설명서.

CloudTrail 의 Security Hub 정보CloudTrail 이AWS계정 생성 시 계정. 지원되는 이벤트 활동이 Security Hub (Security Hub) 에서 발생하면 해당 활동이 CloudTrail 이벤트에 다른AWS서비스 이벤트이벤트 기록. 계정에서 최신 이벤트를 확인, 검색 및다운로드할 수 있습니다. 자세한 내용은 CloudTrail 이벤트 기록에서 이벤트 보기를 참조하세요.

Security Hub 이벤트를 비롯하여 계정에 이벤트를 지속적으로 기록하려면 추적을 생성하십시오. 추적은CloudTrail이 Amazon S3 버킷으로 로그 파일을 전송할 수 있도록 합니다. 콘솔에서 추적을 생성하면 기본적으로 모든 AWS 리전에 추적이 적용됩니다. 추적은 모든 리전의 이벤트를AWS파티션을 생성하고 지정한 Amazon S3 버킷으로 로그 파일을 전송합니다. 또한 다른 구성 할 수 있습니다.AWS서비스를 사용하여CloudTrail 로그에 수집된 이벤트 데이터를 좀 더 분석하고 작업하십시오. 자세한 정보는 다음을 참조하세요.

• 추적 생성 개요• CloudTrail 지원 서비스 및 통합• CloudTrail에 대한 Amazon SNS 알림 구성• 여러 리전에서 CloudTrail 로그 파일 받기 및 여러 계정에서 CloudTrail 로그 파일 받기

Security Hub API 작업을 CloudTrail 로그의 이벤트로 모든 Security Hub API 작업을 로깅하는 것을 지원합니다. Security Hub 작업 목록을 보려면Security Hub API 참조.

다음 작업에 대한 활동이 CloudTrail 에 로깅될 때responseElements다음의 경우 이 로 설정됩니다.null.이렇게 하면 CloudTrail 로그에 민감한 정보가 포함되지 않습니다.

• BatchImportFindings

• GetFindings

• GetInsights

• GetMembers

• UpdateFindings

모든 이벤트 및 로그 항목에는 요청을 생성한 사용자에 대한 정보가 들어 있습니다. 자격 증명 정보를 이용하면 다음을 쉽게 판단할 수 있습니다.

• 요청을 루트로 했는지 아니면 AWS Identity and Access Management(IAM) 사용자 자격 증명으로 했는지여부

643

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/view-cloudtrail-events.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-create-and-update-a-trail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-aws-service-specific-topics.html#cloudtrail-aws-service-specific-topics-integrations

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/configure-sns-notifications-for-cloudtrail.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/receive-cloudtrail-log-files-from-multiple-regions.html

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html

https://docs.aws.amazon.com/securityhub/1.0/APIReference/Welcome.html

AWS Security Hub 사용 설명서예: Security Hub 로그 파일 항목

• 역할 또는 연합된 사용자에 대한 임시 보안 자격 증명을 사용하여 요청이 생성되었는지 여부• 다른 AWS 서비스에서 요청했는지 여부

자세한 내용은 CloudTrail userIdentity 요소를 참조하십시오.

예: Security Hub 로그 파일 항목추적이란 지정한 Amazon S3 버킷에 이벤트를 로그 파일로 입력할 수 있도록 하는 구성입니다. CloudTrail 로그 파일에는 하나 이상의 로그 항목이 포함될 수 있습니다. 이벤트는 모든 소스의 단일 요청을 나타내며 요청된 작업, 작업 날짜와 시간, 요청 파라미터 등에 대한 정보를 포함하고 있습니다. CloudTrail 로그 파일은 퍼블릭 API 호출의 순서 지정된 스택 트레이스가 아니므로 특정 순서로 표시되지 않습니다.

다음은 CreateInsight 작업을 보여 주는 CloudTrail 로그 항목이 나타낸 예제입니다. 이 예에서는 TestInsight라는 통찰력이 생성됩니다. ResourceId 속성은 그룹화 기준 집계자로 지정되며 이 통찰력을 위한선택적 필터는 지정되지 않습니다. 통찰력에 대한 자세한 내용은 의 통찰력AWSSecurity Hub (p. 74) 단원을참조하십시오.

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "AIDAJK6U5DS22IAVUI7BW", "arn": "arn:aws:iam::012345678901:user/TestUser", "accountId": "012345678901", "accessKeyId": "AKIAIOSFODNN7EXAMPLE", "userName": "TestUser" }, "eventTime": "2018-11-25T01:02:18Z", "eventSource": "securityhub.amazonaws.com", "eventName": "CreateInsight", "awsRegion": "us-west-2", "sourceIPAddress": "205.251.233.179", "userAgent": "aws-cli/1.11.76 Python/2.7.10 Darwin/17.7.0 botocore/1.5.39", "requestParameters": { "Filters": {}, "ResultField": "ResourceId", "Name": "Test Insight" }, "responseElements": { "InsightArn": "arn:aws:securityhub:us-west-2:0123456789010:insight/custom/f4c4890b-ac6b-4c26-95f9-e62cc46f3055" }, "requestID": "c0fffccd-f04d-11e8-93fc-ddcd14710066", "eventID": "3dabcebf-35b0-443f-a1a2-26e186ce23bf", "readOnly": false, "eventType": "AwsApiCall", "recipientAccountId": "012345678901"}

644

https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html

AWS Security Hub 사용 설명서EventBridge 통합 유형

자동화된 대응 및 문제 해결Amazon EventBridge 사용하면AWS서비스를 사용하여 애플리케이션 가용성 문제나 리소스 변경 같은 시스템 이벤트에 자동으로 응답할 수 있습니다. 의 이벤트AWS서비스는 거의 실시간으로 EventBridge 로 전송됩니다. 어떤 이벤트에 관심이 있으며 이벤트가 규칙과 일치할 때 어떤 자동화된 작업을 수행할지를 표시하는간단한 규칙을 작성할 수 있습니다. 자동으로 트리거할 수 있는 작업은 다음과 같습니다.

• AWS Lambda 함수 호출• Amazon EC2 실행 명령 호출• Amazon Kinesis Data Streams로 이벤트 릴레이• AWS Step Functions 상태 머신 활성화• Amazon SNS 주제 또는 Amazon SQS 대기열 알림• 타사 티켓팅, 채팅, SIEM 또는 인시던트 대응 및 관리 도구에 결과 전송

Security Hub 모든 새로운 검색 결과 및 기존 검색 결과에 대한 모든 업데이트를 EventBridge 이벤트로 자동으로 전송합니다. 선택한 검색 결과 및 통찰력 결과를 EventBridge 로 보낼 수 있는 사용자 지정 작업을 만들수도 있습니다.

그런 다음 각 이벤트 유형에 응답하도록 EventBridge 규칙을 구성합니다.

EventBridge 를 사용하는 방법에 대한 자세한 내용은 단원을 참조하십시오.Amazon EventBridge 사용 설명서.

Note

EventBridge 에 액세스하기 위해 사용자에게 부여된 권한이 필요한 권한만 부여하는 최소 권한 IAM정책을 사용하는 것이 가장 좋습니다.자세한 내용은 단원을 참조하십시오.Amazon EventBridge 의 자격 증명 및 액세스 관리.

교차 계정 자동 응답 및 수정을 위한 템플릿 집합은AWS해결책. 템플릿은 EventBridge 이벤트 규칙과Lambda 함수를 활용합니다. 다음을 사용하여 솔루션을 배포합니다.AWS CloudFormation및AWS SystemsManager. 이 솔루션은 완전히 자동화된 응답 및 수정 작업을 생성할 수 있습니다. 또한 Security Hub 사용자지정 작업을 사용하여 사용자가 트리거한 응답 및 수정 작업을 만들 수 있습니다. 솔루션을 구성하고 사용하는 방법에 대한 자세한 내용은AWSSecurity Hub 자동 대응 및 수정 솔루션의 솔루션 페이지.

주제• EventBridge 와의 Security Hub 통합 유형 (p. 645)• Security Hub 위한 EventBridge 이벤트 형식 (p. 647)• 자동으로 전송된 검색 결과에 대한 EventBridge 규칙 구성 (p. 648)• 사용자 지정 작업을 사용하여 결과 및 통찰력 결과를 EventBridge 로 전송 (p. 652)

EventBridge 와의 Security Hub 통합 유형Security Hub 다음 EventBridge 이벤트 유형을 사용하여 EventBridge와의 다음 유형의 통합을 지원합니다.

Security Hub 대한 EventBridge 대시보드에서모든 이벤트이러한 이벤트 유형이 모두 포함됩니다.

모든 결과(Security Hub Findings - Imported)Security Hub 모든 새로운 검색 결과와 기존 검색 결과에 대한 모든 업데이트를 자동으로 EventBridge에Security Hub Findings - Imported이벤트를 트리거합니다. ESCSecurity Hub Findings - Imported이벤트에는 단일 찾기가 포함되어 있습니다.

645

https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html

https://docs.aws.amazon.com/eventbridge/latest/userguide/what-is-amazon-eventbridge.html

https://docs.aws.amazon.com/eventbridge/latest/userguide/auth-and-access-control-eventbridge.html

http://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/

AWS Security Hub 사용 설명서사용자 지정 작업에 대한 결과(Security

Hub Findings - Custom Action)

모든BatchImportFindings및BatchUpdateFindings요청을 트리거Security Hub Findings -Imported이벤트를 트리거합니다.

관리자 계정의 경우 EventBridge 의 이벤트 피드에 계정 및 구성원 계정의 검색 결과에 대한 이벤트가 포함됩니다.

결과를 Amazon S3 버킷, 문제 해결 워크플로우 또는 타사 도구로 자동 라우팅하는 규칙을 EventBridge 에서정의할 수 있습니다. 규칙에는 찾기에 특정 속성 값이 있는 경우에만 규칙을 적용하는 필터가 포함될 수 있습니다.

이 방법을 사용하여 모든 결과 또는 특정 특성을 가진 모든 결과를 자동으로 응답 또는 문제 해결 워크플로우로 보냅니다.

the section called “자동으로 전송된 결과에 대한 규칙 구성” (p. 648)을(를) 참조하세요.

사용자 지정 작업에 대한 결과(Security Hub Findings -Custom Action)Security Hub 는 또한 사용자 지정 작업과 연결된 결과를 EventBridge 로 보내려면Security Hub Findings -Custom Action이벤트를 트리거합니다.

이는 Security Hub 콘솔을 사용해 특정 결과나 작은 결과 세트를 응답 또는 문제 해결 워크플로우로 보내려는 분석가에게 유용합니다. 한 번에 최대 20개의 결과에 대해 사용자 지정 작업을 선택할 수 있습니다. 선택한 모든 검색 결과가 단일 EventBridge 이벤트로 전송됩니다.

사용자 지정 작업을 생성할 때 사용자 지정 작업 ID를 할당합니다. 이 ID를 사용하여 해당 사용자 지정 작업ID와 연결된 검색 결과를 받은 후 지정된 작업을 수행하는 EventBridge 규칙을 만들 수 있습니다.

the section called “사용자 지정 작업 구성 및 사용” (p. 652)을(를) 참조하세요.

예를 들어 Security Hub 에서 라는 사용자 지정 작업을 생성할 수 있습니다.send_to_ticketing. 그런 다음 EventBridge에서 EEventBridge 가 포함된 결과를 가 수신할 때 트리거되는 규칙을 생성합니다.send_to_ticketing사용자 지정 작업 ID입니다. 이 규칙에는 결과를 티켓팅 시스템에 전송하는 로직이포함됩니다. 그런 다음 Security Hub 내에서 결과를 선택하고 Security Hub의 사용자 지정 작업을 사용하여결과를 티켓팅 시스템에 수동으로 전송할 수 있습니다.

추가 처리를 위해 Security Hub 결과를 EventBridge 로 보내는 방법에 대한 예는 단원을 참조하십시오.통합하는 방법AWSPagerDuty Security Hub 사용자 지정 작업및에서 사용자 지정 작업을 활성화하는 방법AWSSecurity Hub에 있는AWS파트너 네트워크 (APN) 블로그.

사용자 지정 작업에 대한 통찰력 결과(Security HubInsight Results)또한 사용자 지정 작업을 사용하여 통찰력 결과 집합을 EventBridge 로 보낼 수 있습니다.Security HubInsight Results이벤트를 트리거합니다. 통찰력 결과는 통찰력과 일치하는 리소스입니다. 통찰력 결과를EventBridge 로 보낼 때는 결과를 EventBridge로 보내려는 것이 아닙니다. 통찰력 결과와 연결된 리소스 식별자만 전송합니다. 한 번에 최대 100개의 리소스 식별자를 전송할 수 있습니다.

결과에 대한 사용자 지정 작업과 마찬가지로, 먼저 Security Hub 에서 사용자 지정 작업을 생성한 다음EventBridge 에서 규칙을 생성합니다.

the section called “사용자 지정 작업 구성 및 사용” (p. 652)을(를) 참조하세요.

예를 들어, 동료와 공유하고 싶은 흥미로운 특정한 통찰력 결과를 보면 됩니다. 그런 경우 사용자 지정 작업을 사용하여 채팅이나 티켓팅 시스템을 통해 해당 통찰력 결과를 동료에게 보낼 수 있습니다.

646



http://aws.amazon.com/blogs/apn/how-to-integrate-aws-security-hub-custom-actions-with-pagerduty/

http://aws.amazon.com/blogs/apn/how-to-integrate-aws-security-hub-custom-actions-with-pagerduty/

http://aws.amazon.com/blogs/apn/how-to-enable-custom-actions-in-aws-security-hub/

http://aws.amazon.com/blogs/apn/how-to-enable-custom-actions-in-aws-security-hub/

AWS Security Hub 사용 설명서EventBridge 이벤트 형식

Security Hub 위한 EventBridge 이벤트 형식이Security Hub Findings - Imported,Security Findings - Custom Action, 및Security Hub Insight Results이벤트 유형은 다음 이벤트 형식을 사용합니다.

이벤트 형식은 Security Hub 이벤트를 EventBridge 로 보낼 때 사용되는 형식입니다.

Security Hub Findings - ImportedSecurity Hub Findings - Imported이벤트는 다음 형식을 사용 하 여 Security Hub EventBridge 로 전송 됩니다.

{ "version":"0", "id":"CWE-event-id", "detail-type":"Security Hub Findings - Imported", "source":"aws.securityhub", "account":"111122223333", "time":"2019-04-11T21:52:17Z", "region":"us-west-2", "resources":[ "arn:aws:securityhub:us-west-2::product/aws/macie/arn:aws:macie:us-west-2:111122223333:integtest/trigger/6294d71b927c41cbab915159a8f326a3/alert/f2893b211841" ], "detail":{ "findings": [{ <finding content> }] }}

<finding content>는 이벤트에서 전송되는 검색 결과의 내용 (JSON 형식) 입니다.

전체 특성 목록은 단원을 참조하십시오.ASFF(AWS Security Finding 형식) (p. 99).

이러한 이벤트에 의해 트리거되는 EventBridge 규칙을 구성하는 방법에 대한 자세한 내용은the sectioncalled “자동으로 전송된 결과에 대한 규칙 구성” (p. 648).

Security Hub Findings - Custom ActionSecurity Hub Findings - Custom Action이벤트는 다음 형식을 사용 하 여 Security Hub EventBridge 로 전송됩니다.

{ "version": "0", "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555", "detail-type": "Security Hub Findings - Custom Action", "source": "aws.securityhub", "account": "111122223333", "time": "2019-04-11T18:43:48Z", "region": "us-west-1", "resources": [ "arn:aws:securityhub:us-west-1:111122223333:action/custom/custom-action-name" ], "detail": { "actionName":"custom-action-name", "actionDescription": "description of the action", "findings": [ {

647

AWS Security Hub 사용 설명서Security Hub Insight Results

<finding content> } ] }}

<finding content>는 이벤트에서 전송되는 검색 결과의 내용 (JSON 형식) 입니다.

전체 특성 목록은 단원을 참조하십시오.ASFF(AWS Security Finding 형식) (p. 99).

이러한 이벤트에 의해 트리거되는 EventBridge 규칙을 구성하는 방법에 대한 자세한 내용은the sectioncalled “사용자 지정 작업 구성 및 사용” (p. 652).

Security Hub Insight ResultsSecurity Hub Insight Results이벤트는 다음 형식을 사용 하 여 Security Hub EventBridge 로 전송 됩니다.

{ "version": "0", "id": "1a1111a1-b22b-3c33-444d-5555e5ee5555", "detail-type": "Security Hub Insight Results", "source": "aws.securityhub", "account": "111122223333", "time": "2017-12-22T18:43:48Z", "region": "us-west-1", "resources": [ "arn:aws:securityhub:us-west-1:111122223333::product/aws/macie:us-west-1:222233334444:test/trigger/1ec9cf700ef6be062b19584e0b7d84ec/alert/f2893b211841" ], "detail": { "actionName":"name of the action", "actionDescription":"description of the action", "insightArn":"ARN of the insight", "insightName":"Name of the insight", "resultType":"ResourceAwsIamAccessKeyUserName", "number of results":"number of results, max of 100", "insightResults": [ {"result 1": 5}, {"result 2": 6} ] }}

이러한 이벤트에 의해 트리거되는 EventBridge 규칙을 생성하는 방법에 대한 자세한 내용은the sectioncalled “사용자 지정 작업 구성 및 사용” (p. 652).

자동으로 전송된 검색 결과에 대한 EventBridge 규칙구성

EventBridge 에서 수행할 작업을 정의하는 규칙을 생성할 수 있습니다.Security Hub Findings -Imported이벤트가 수신됩니다.Security Hub Findings - Imported이벤트는 모두 업데이트로 트리거됩니다.BatchImportFindings및BatchUpdateFindings.

각 규칙에는 규칙을 트리거하는 이벤트를 식별하는 이벤트 패턴이 포함되어 있습니다. 이벤트 패턴에는 항상이벤트 소스 (aws.securityhub) 와 이벤트 유형 (Security Hub 검색 결과 - 가져옴). 또한 이벤트 패턴은 규칙이 적용되는 결과를 식별하는 필터를 지정할 수 있습니다.

648



AWS Security Hub 사용 설명서이벤트 패턴의 형식

그런 다음 규칙은 규칙 대상을 식별합니다. EventBridge 가 수신할 때 취할 조치Security Hub 검색 결과 - 가져옴이벤트와 검색 결과가 필터와 일치합니다.

여기에 제공된 지침은 EventBridge 콘솔을 사용합니다. 콘솔을 사용하면 EventBridge 가 자동으로 필요한 리소스 기반 정책을 생성하여 EventBridge가 CloudWatch Logs 쓸 수 있도록 합니다.

뿐만 아니라PutRuleEventBridge API의 API 작업을 수행할 수 있습니다. 그러나 EventBridge API를 사용하는 경우에는 리소스 기반 정책을 만들어야 합니다. 필수 정책에 대한 자세한 내용은 단원을 참조하십시오.CloudWatch Logs 권한의Amazon EventBridge 사용 설명서.

이벤트 패턴의 형식에 대한 이벤트 패턴의 형식Security Hub 검색 결과 - 가져옴이벤트는 다음과 같습니다.

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ], "detail": { "findings": { <attribute filter values> } }}

• source는 Security Hub 이벤트를 생성하는 서비스로 식별합니다.• detail-type이벤트의 유형을 식별합니다.• detail는 선택 사항이며 이벤트 패턴에 대한 필터 값을 제공합니다. 이벤트 패턴에detail필드가 있으면

모든 검색 결과가 규칙을 트리거합니다.

찾기 속성을 기준으로 검색 결과를 필터링할 수 있습니다. 각 특성에 대해 쉼표로 구분된 하나 이상의 값 배열을 제공합니다.

"<attribute name>": [ "<value1>", "<value2>"]

당신이 속성에 대해 하나 이상의 값을 제공하는 경우, 그 값에 의해 결합OR. 검색 결과에 나열된 값이있는 경우 검색 결과는 개별 속성에 대한 필터와 일치합니다. 예를 들어, 두 가지를 모두 제공하는 경우INFORMATIONAL및LOW에 대한 값으로Severity.Label의 심각도 레이블이있는 경우 검색 결과가 일치합니다.INFORMATIONAL또는LOW.

속성에 의해 결합된다AND. 검색 결과가 제공된 모든 속성의 필터 조건과 일치할 경우 일치합니다.

당신이 속성 값을 제공 할 때, 그것은 내에서 해당 속성의 위치를 반영해야합니다AWSASFF (SecurityFindings 형식) 구조

예를 들어 다음 이벤트 패턴은ProductArn및Severity.Label.

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ],

649

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html

https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions

AWS Security Hub 사용 설명서미리 정의된 패턴을 사용하여 규칙 작성

"detail": { "findings": { "ProductArn": ["arn:aws:securityhub:us-east-1::product/aws/inspector"], "Severity": { "Label": ["INFORMATIONAL", "LOW"] } } }}

이 예에서는 찾기 값이 Amazon Inspector에서 생성되었고 심각도 레이블이INFORMATIONAL또는LOW.

미리 정의된 패턴을 사용하여 규칙 작성EventBridge 에는 규칙을 만드는 데 사용할 수 있는 미리 정의된 패턴이 포함되어 있습니다. 미리 정의된 패턴을 선택하면 EventBridge 가 자동으로source및detail-type. 또한 EventBridge 는 다음 찾기 속성에 대한 필터 값을 지정하는 필드를 제공합니다.

• AwsAccountId

• Compliance.Status

• Criticality

• ProductArn

• RecordState

• Resource.Id

• Resource.Type

• Severity.Label

• Types

• Workflow.Status

미리 정의된 패턴을 사용하여 EventBridge 규칙을 만들려면

1. https://console.aws.amazon.com/events/에서 Amazon EventBridge 콘솔을 엽니다.2. 탐색 창의 [] 에서이벤트를 선택하고Rules.3. [Create rule]을 선택합니다.4. 규칙에 대해 이름과 설명을 입력하십시오.5. 용이벤트 소스를 선택하고이벤트 패턴.6. 용이벤트 일치 패턴를 선택하고Pre-defined pattern by service by service.7. Service provider(서비스 제공업체)에 대해 AWS를 선택하십시오.8. 용서비스 이름를 선택하고Security Hub.9. 용이벤트 유형를 선택하고Security Hub 검색 결과 - 가져옴.

EventBridge 이벤트 패턴을source및detail-type값에 대한 필드를 표시하고 필터 값에 대한 필드를표시합니다.

10. 기본적으로 이벤트 패턴은 필터 값 없이 구성됩니다. 각 속성에 대해모두 선택속속 속속옵션이 선택되어 있습니다. 예,모든 찾기 유형.

제품 ARN 또는 중요도와 같은 일부 속성의 경우 각 값을 수동으로 입력합니다. 심각도 레이블과 같은 다른 속성의 경우 유효한 값 목록에서 값을 선택합니다.

필터 값을 추가하거나 제거하면 EventBridge 가 이벤트 패턴을 업데이트하여 변경 사항을 반영합니다.

수동으로 추가된 값의 경우 다음 단계를 수행합니다.

650

https://console.aws.amazon.com/events/

AWS Security Hub 사용 설명서사용자 정의 패턴을 사용하여 규칙 만들기

1. 선택Speciattribute. 예,특정 리소스 유형.2. 값을 추가하려면 필드에 값을 입력한 다음Add.3. 값을 제거하려면제거을 사용합니다.

목록에서 추가된 값의 경우 다음 단계를 수행합니다.

1. 선택Speciattribute. 예,특정 워크플로우 상태.2. 목록에서 속성 값을 선택합니다.

선택한 값이 리스트 아래에 추가됩니다.3. 값을 제거하려면 제거 아이콘 (x) 를 해당 값으로 설정하십시오.

11. 언더대상 선택에서 이 규칙이 일치할 때 호출할 대상을 선택하고 구성합니다.12. Create를 선택합니다.

사용자 정의 패턴을 사용하여 규칙 만들기사용자 패턴 옵션을 사용하여 규칙을 작성할 수도 있습니다. 사용자 패턴의 경우 전체 패턴을 수동으로 입력합니다.

EventBridge 콘솔에 연결된 필드가 없는 속성을 기준으로 검색 결과를 필터링하려는 경우 이 옵션을 사용할수 있습니다.

Security Hub 에 대한 EventBridge 규칙을 생성하려면

1. https://console.aws.amazon.com/events/에서 Amazon EventBridge 콘솔을 엽니다.2. 탐색 창의 [] 에서이벤트를 선택하고Rules.3. [Create rule]을 선택합니다.4. 규칙에 대해 이름과 설명을 입력하십시오.5. 용이벤트 소스를 선택하고이벤트 패턴.6. 선택사용자 지정 패턴.7. 다음 예제 패턴을 복사해 에 붙여넣습니다.이벤트 패턴텍스트 영역. 기존 브래킷을 교체하십시오.

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Imported" ]}

이벤트 패턴에 필요한 최소 정보입니다. 소스 및 이벤트 유형을 식별합니다. 이 패턴을 사용하면 모든 결과가 규칙과 일치합니다.

이 규칙을 트리거하는 검색 결과를 필터링하려면detail항목을 선택합니다. 이detail항목에는 검색결과를 필터링하는 데 사용할 속성 값이 포함되어 있습니다.

{ "source": [ "aws.securityhub" ], "detail-type": [

651


AWS Security Hub 사용 설명서사용자 지정 작업 구성 및 사용

"Security Hub Findings - Imported" ], "detail": { "findings": { <attribute filter values> } }}

제공하는 각 특성에 대해 형식은 다음과 같습니다.

"<attribute name>": [ "<value>" ]

여러 값을 일치시키려면 쉼표로 구분된 목록을 제공합니다.

"<attribute name>": [ "<value1>", "<value2>"]

예를 들어 확인 상태가 인 검색 결과에만 규칙을 적용하려면TRUE_POSITIVE에 다음 필터를 추가합니다.

"detail": { "findings": { "VerificationState": [ "TRUE_POSITIVE" ] }}

8. 선택Save을 클릭하여 패턴을 저장합니다.9. 언더대상 선택에서 이 규칙이 일치할 때 호출할 대상을 선택하고 구성합니다.10. Create를 선택합니다.

사용자 지정 작업을 사용하여 결과 및 통찰력 결과를EventBridge 로 전송

Security Hub 사용자 지정 작업을 사용하여 결과 또는 통찰력 결과를 EventBridge 로 보내려면 먼저 SecurityHub 사용자 지정 작업을 생성합니다. 그런 다음 EventBridge 에서 규칙을 정의합니다.

최대 50개의 사용자 지정 작업을 생성할 수 있습니다.

EventBridge 의 규칙은 사용자 지정 작업의 ARN 사용합니다.

사용자 지정 작업 만들기 (콘솔)사용자 지정 작업을 생성할 때 이름, 설명 및 고유 식별자를 지정합니다.

Security Hub 에서 사용자 지정 작업을 생성하려면 (콘솔)

1. 열기AWSSecurity Hub 콘솔https://console.aws.amazon.com/securityhub/.2. 탐색 창에서 설정을 선택한 다음 Custom actions(사용자 지정 작업)를 선택합니다.3. Create custom action(사용자 지정 작업 생성)을 선택하십시오.4. 작업에 대한 이름, 설명 및 Custom action ID(사용자 지정 작업 ID)를 입력하십시오.

652


AWS Security Hub 사용 설명서사용자 지정 작업 만들기 (Security Hub API,AWS CLI)

이름은 20자 미만이어야 합니다.

이사용자 지정 작업 ID은 각 마다 고유해야 합니다.AWS계정에 로그인합니다.5. Create custom action(사용자 지정 작업 생성)을 선택하십시오.6. 사용자 지정 작업 ARN을 기록해 둡니다. EventBridge 에서 이 작업과 연결할 규칙을 생성할 때 ARN 사

용해야 합니다.

사용자 지정 작업 만들기 (Security Hub API,AWS CLI)사용자 지정 작업을 만들려면 API 호출 또는AWS Command Line Interface.

사용자 지정 작업을 생성하려면 (Security Hub APIAWS CLI)

• Security Hub API— 사용CreateActionTarget작업을 실행합니다. 사용자 지정 작업을 생성할 때는 이름, 설명 및 사용자 지정 작업 식별자를 제공합니다.

• AWS CLI— 명령줄에서create-action-target명령입니다.

create-action-target --name <customActionName> --description <customActionDescription> --id <customActionidentifier>

예

aws securityhub create-action-target --name "Send to remediation" --description "Action to send the finding for remediation tracking" --id "Remediation"

EventBridge 에서 규칙 정의사용자 지정 작업을 처리하려면 EventBridge 에서 해당 규칙을 만들어야 합니다. 규칙 정의에는 사용자 지정작업의 ARN 이 포함됩니다.

A에 대한 이벤트 패턴Security Hub 검색 결과 - 사용자 지정 작업이벤트의 형식은 다음과 같습니다.

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Findings - Custom Action" ], "resources": [ "<custom action ARN>" ]}

A에 대한 이벤트 패턴Security Hub 통찰력이벤트의 형식은 다음과 같습니다.

{ "source": [ "aws.securityhub" ], "detail-type": [ "Security Hub Insight Results" ], "resources": [ "<custom action ARN>" ]}

653

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_CreateActionTarget.html

https://docs.aws.amazon.com/cli/latest/reference/securityhub/create-action-target.html

AWS Security Hub 사용 설명서검색 결과 및 통찰력 결과에 대한 사용자 지정 작업 선택

두 가지 형식 모두<custom action ARN>은 사용자 지정 작업의 ARN 입니다. 둘 이상의 사용자 지정 작업에 적용되는 규칙을 구성할 수 있습니다.

여기에 제공된 지침은 EventBridge 콘솔에 대한 것입니다. 콘솔을 사용하면 EventBridge 가 자동으로 필요한리소스 기반 정책을 생성하여 EventBridge가 CloudWatch Logs 쓸 수 있도록 합니다.

뿐만 아니라PutRuleEventBridge API의 API 작업을 수행할 수 있습니다. 그러나 EventBridge API를 사용하는 경우에는 리소스 기반 정책을 만들어야 합니다. 필수 정책에 대한 자세한 내용은 단원을 참조하십시오.CloudWatch Logs 권한의Amazon EventBridge 사용 설명서.

EventBridge 에서 규칙을 정의하려면

1. https://console.aws.amazon.com/events/에서 Amazon EventBridge 콘솔을 엽니다.2. 탐색 창에서 [Rules]를 선택합니다.3. [Create rule]을 선택합니다.4. 규칙에 대해 이름과 설명을 입력하십시오.5. 용이벤트 소스를 선택하고이벤트 패턴.6. 용이벤트 매칭패턴을 선택하려면Pre-defined pattern by service by service.7. Service provider(서비스 제공업체)에 대해 AWS를 선택하십시오.8. 용서비스 이름를 선택하고Security Hub.9. 용이벤트 유형에서 검색 결과를 사용자 지정 작업으로 보낼 때 적용할 규칙을 생성하려면Security Hub

검색 결과 - 사용자 지정 작업.

통찰력 결과를 사용자 지정 작업에 전송할 때 적용할 규칙을 생성하려면Security Hub 통찰력.10. 이 규칙이 적용되는 각 사용자 지정 작업에 대해 다음 단계를 수행합니다.

a. 선택사용자 지정 작업.b. 사용자 지정 작업 ARN 추가하려면 필드에 ARN을 입력한 다음Add.c. 사용자 지정 작업 ARN 제거하려면제거을 사용합니다.

11. 언더대상 선택에서 이 규칙이 일치할 때 호출할 대상을 선택하고 구성합니다.12. Create를 선택합니다.

EventBridge 에서 이 규칙을 생성한 후 계정의 결과 또는 통찰력 결과에 대해 사용자 지정 작업을 수행하면EventBridge에서 이벤트가 생성됩니다.

검색 결과 및 통찰력 결과에 대한 사용자 지정 작업 선택Security Hub 사용자 지정 작업과 EventBridge 규칙을 생성한 후에는 추가 관리 및 처리를 위해 결과 및 통찰력 결과를 EventBridge로 보낼 수 있습니다.

이벤트는 해당 이벤트가 표시된 계정의 EventBridge 로 전송됩니다. 관리자 계정을 사용하여 결과를 보면 이벤트는 관리자 계정의 EventBridge 로 전송됩니다.

용AWSAPI 호출을 적용하려면 대상 코드 구현이 역할을 멤버 계정으로 전환해야 합니다. 이는 전환하는 역할을 작업이 필요한 각 구성원에게 배포해야 함을 의미하는 것이기도 합니다.

결과를 EventBridge 로 보내려면

1. 열기AWSSecurity Hub 콘솔https://console.aws.amazon.com/securityhub/.2. 결과 목록을 표시합니다.

• From결과에서 활성화된 모든 제품 통합 및 컨트롤의 결과를 확인할 수 있습니다.

654

https://docs.aws.amazon.com/eventbridge/latest/APIReference/API_PutRule.html

https://docs.aws.amazon.com/eventbridge/latest/userguide/resource-based-policies-eventbridge.html#cloudwatchlogs-permissions



AWS Security Hub 사용 설명서검색 결과 및 통찰력 결과에 대한 사용자 지정 작업 선택

• From보안 표준에서 선택한 컨트롤에서 생성된 결과 목록으로 이동할 수 있습니다. the section called“제어에 대한 세부 정보 보기” (p. 447)을(를) 참조하세요.

• From통합에서 활성화된 통합에 의해 생성된 결과 목록으로 이동할 수 있습니다. the section called“통합에서 결과 보기” (p. 419)을(를) 참조하세요.

• From인사이트에서 통찰력 결과에 대한 결과 목록으로 이동할 수 있습니다. the section called “통찰력결과 및 검색 결과 보기” (p. 74)을(를) 참조하세요.

3. EventBridge 로 보낼 결과를 선택하십시오. 한 번에 최대 20개 결과까지 선택할 수 있습니다.4. From작업에서 적용할 EventBridge 규칙과 일치하는 사용자 지정 작업을 선택하십시오.

통찰력 결과를 EventBridge 로 보내려면

1. 열기AWSSecurity Hub 콘솔https://console.aws.amazon.com/securityhub/.2. 탐색 창에서 Insights를 선택합니다.3. 에인사이트페이지에서 EventBridge 로 보낼 결과가 포함된 통찰력을 선택하십시오.4. EventBridge 로 보낼 통찰력 결과를 선택하십시오. 한 번에 최대 20개의 결과를 선택할 수 있습니다.5. From작업에서 적용할 EventBridge 규칙과 일치하는 사용자 지정 작업을 선택하십시오.

655


AWS Security Hub 사용 설명서Security Hub 비활성화 (콘솔)

비활성화AWSSecurity Hub를 비활성화하려면AWS보안 허브에서 Security Hub 콘솔 또는 Security Hub API를 사용할 수 있습니다.

다음과 같은 경우에는 Security Hub 사용하지 않도록 설정할 수 없습니다.

• 조직의 Security Hub 관리자 계정입니다.• 사용자 계정은 초대를 통해 Security Hub 관리자 계정이며, 사용자가 사용할 수 있는 구성원 계정이 있습

니다. Security Hub 를 사용하지 않도록 설정하려면 먼저 모든 구성원 계정의 연결을 해제해야 합니다. thesection called “멤버 계정 연결 해제” (p. 70) 단원을 참조하세요.

• 계정이 멤버 계정입니다. Security Hub 를 사용하지 않도록 설정하려면 먼저 관리자 계정에서 계정의 연결을 해제해야 합니다.

조직 계정의 경우 관리자 계정만 구성원 계정의 연결을 해제할 수 있습니다. the section called “멤버 계정연결 해제” (p. 65) 단원을 참조하세요.

수동으로 초대된 계정의 경우 관리자 계정 또는 구성원 계정에서 구성원 계정의 연결을 해제할 수 있습니다. the section called “멤버 계정 연결 해제” (p. 70) 또는 the section called “관리자 계정에서 연결 해제” (p. 71) 단원을 참조하십시오.

계정에 대해 Security Hub 를 비활성화하면 현재 리전에서만 비활성화됩니다. 해당 리전의 계정에 대한 새로운 결과는 처리되지 않습니다.

다음 사항도 발생합니다.

• 90일 후에는 기존 결과와 통찰력 및 모든 Security Hub 구성 설정이 삭제되고 복구할 수 없게 됩니다.

기존 결과를 저장하려면 Security Hub (Security Hub 비활성화) 를 비활성화하기 전에 결과를 내보내야 합니다. 자세한 내용은 the section called “Security Hub 데이터에 대한 계정 작업의 영향” (p. 72) 단원을 참조하세요.

• 활성화된 표준이 모두 비활성화됩니다.

Security Hub 비활성화 (콘솔)Security Hub 사용하지 않도록 설정할 수 있는AWS관리 콘솔.

Security Hub (콘솔) 를 비활성화하려면

1. 열기AWS의 Security Hub 콘솔https://console.aws.amazon.com/securityhub/.2. 탐색 창에서 [ Settings]을 선택합니다.3. 에서설정페이지에서일반.4. 언더비활성화AWSSecurity Hub를 선택하고비활성화AWSSecurity Hub. 그런 다음비활성화

AWSSecurity Hub를 다시 사용합니다.

Security Hub 비활성화 (Security Hub API,AWS CLI)Security Hub 사용하지 않도록 설정하려면 API 호출 또는AWS Command Line Interface.

656


AWS Security Hub 사용 설명서Security Hub 비활성화 (Security Hub API,AWS CLI)

Security Hub (Security Hub API,AWS CLI)

• API Security Hub—DisableSecurityHub작업을 수행합니다.• AWS CLI— 명령줄에서disable-security-hub명령입니다.

aws securityhub disable-security-hub

657

https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_DisableSecurityHub.html

https://docs.aws.amazon.com/cli/latest/reference/securityhub/disable-security-hub.html


관련 문서 기록AWSSecurity Hub 사용 설명서

다음 표에서는 설명서 업데이트를 설명합니다.AWSSecurity Hub

update-history-change update-history-description update-history-date

서비스 연결 역할 관리형 정책 내에서 권한을 이동했습니다.

[] 의 이동config:PutEvaluations관리형 정책 내에서 사용 권한AWSSecurityHubServiceRolePolicy모든 리소스에 적용되도록 할 수 있습니다.

2021년 7월 14일

컨트롤에 추가 된AWS기반 보안모범 사례 표준

Amazon API Gateway(APIGateway.4), AmazonCloudFront (클라우드 프런트.5 및클라우드 프런트.6), Amazon EC2(EC2.17 및 EC2.18), 아마존 ECS(ECS1), Amazon ElasticsearchService (ES4),AWS Identity andAccess Management(IAM.21), 아마존 RDS (RDS.15) 및 AmazonS3 (S3.8) 에 대한 정보를 제공합니다.

2021년 7월 8일

제어 결과에 대한 새로운 규정 준수 상태 원인 코드 추가

INTERNAL_SERVICE_ERROR는알 수 없는 오류가 발생했음을 나타냅니다.SNS_TOPIC_CROSS_ACCOUNT은SNS 주제가 다른 계정에서소유하고 있음을 나타냅니다.SNS_TOPIC_INVALID은 연결된 SNS 주제가 유효하지 않음을나타냅니다.

2021년 7월 6일

와의 통합이 추가되었습니다.AWS Chatbot

와의 통합이 추가되었습니다.AWS Chatbot. Security Hub 에서 결과를AWS Chatbot.

2021년 6월 30일

서비스 연결 역할 관리 정책에 새권한을 추가했습니다.

관리형 정책에 새 권한 추가AWSSecurityHubServiceRolePolicy서비스 연결 역할이 평가 결과를AWS Config.

2021년 6월 29일

ASFF의 신규 및 갱신된 자원 상세내역 객체

ECS 클러스터 및 ECS 작업 정의에 대한 새로운 리소스 세부 정보개체가 추가되었습니다. 연결된네트워크 인터페이스를 나열하도록 EC2 인스턴스 객체를 업데이트했습니다. API Gateway V2 단계에 대한 클라이언트 인증서 ID를 추가했습니다. S3 버킷에 대한수명 주기 구성을 추가했습니다.

2021년 6월 24일

658

https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhubservicerolepolicy


https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html


https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#control-findings-asff-compliance

https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#control-findings-asff-compliance

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html




https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format.html



집계된 제어 상태 및 표준 보안 점수의 계산이 업데이트되었습니다. (p. 658)

이제 Security Hub 는 24시간마다전체 제어 상태와 표준 보안 점수를 계산합니다. 관리자 계정의 경우 점수는 각 계정에 대해 각 컨트롤의 사용 여부를 반영합니다.

2021년 6월 23일

일시 중단된 계정의 Security Hub처리에 대한 업데이트된 정보

Security Hub 일시 중단된 계정을 처리하는 방법에 대한 정보를AWS.

2021년 6월 23일

개별 관리자 계정에 대해 활성화및 비활성화된 컨트롤을 표시하는탭이 추가되었습니다.

관리자 계정의 경우 표준 세부 정보 페이지의 기본 탭에는 계정 간에 집계된 정보가 포함됩니다. 새로운이 계정에 대해 활성화됨및이계정에 대해 사용 안 함탭에는 개별 관리자 계정에 대해 활성화 또는 비활성화된 계정이 나열됩니다.

2021년 6월 23일

추가됨java8.al2에 대한 매개변수에 Lambda.2

에서AWS기반 보안 모범 사례 표준java8.al2에 대해 지원되는런타임에Lambda.2컨트롤을.

2021년 6월 8일

마이크로포커스 아크사이트 및 넷스카우트 사이버 조사관과의 새로운 통합

마이크로포커스 아크사이트 및 넷스카우트 사이버 조사관과의 통합이 추가되었습니다. SecurityArcSight는 Security Hub 에서 결과를 수신합니다. NETSCOUT 사이버 조사관은 Security Hub 조사결과를 보냅니다.

2021년 6월 7일

에 대한 세부AWSSecurityHubServiceRolePolicy

관리형 정책 섹션을 업데이트하여 기존 관리형 정책에대한 세부 정보를 추가합니다.AWSSecurityHubServiceRolePolicySecurityHub 서비스 연결 역할에 의해 사용됩니다.

2021년 6월 4일

Jira 서비스 관리와의 새로운 통합 이AWSJira용 서비스 관리 커넥터는 검색 결과를 Jira에 전송하고 이를 사용하여 Jira 문제를 만듭니다. Jira 문제가 업데이트되면Security Hub 브의 해당 검색 결과도 업데이트됩니다.

2021년 5월 26일

아시아 태평양 (오사카) 리전에서지원되는 컨트롤 목록을 업데이트했습니다.

CIS 업데이트AWS아시아 태평양 (오사카) 에서 지원되지 않는컨트롤을 나타내는 기반 표준 및PCI DSS (PaCard Industry DataSecurity Standard).

2021년 5월 21일

클라우드용 Sysdig Security와의새로운 통합

클라우드용 Sysdig 보안과의 통합을 추가했습니다. 통합은 검색 결과를 Security Hub 전송합니다.

2021년 5월 14일

659

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-data-retention.html#securityhub-effects-account-suspended

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-data-retention.html#securityhub-effects-account-suspended

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-view-controls.html#standard-details-admin-additional-tabs



https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-lambda-2


https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-partner-providers.html



https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html

https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html


https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-regions.html#securityhub-control-support-apnortheast3






컨트롤에 추가 된AWS기반 보안모범 사례 표준

Amazon API Gateway(APIGateway.2 및 Apigateway.3)에 대한 새로운 컨트롤이 추가되었습니다.AWS CloudTrail(클라우드 트레일.4 및 클라우드 트레일.5), Amazon EC2(EC2.15 및 EC2.16),AWS ElasticBeanstalk(탄성콩줄기.1 및 탄성콩줄기.2),AWS Lambda(람다 4), 아마존 RDS (RDS.12— RDS.14), Amazon Redshift(레드 시프트.7),AWS SecretsManager(간사장.3 및 간사장.4),과AWS WAF(WAF.1).

2021년 5월 10일

GuardDuty 및 아마존 RDS 컨트롤에 대한 업데이트 (p. 658)

의 심각도를 변경했습니다.GuardDuty.1및PCI.GuardDuty.1중간에서 높음으로 설정합니다. 에 가 추가되었습니다.databaseEngines매개 변수를RDS.8.

2021년 5월 4일

ASFF에 새 리소스 세부 정보가 추가되었습니다.

InResources.Details,Amazon EC2 네트워크 ACL,Amazon EC2 서브넷 및AWSElastic Beanstalk환경을 반환합니다.

2021년 5월 3일

Amazon EventBridge 규칙에 대한필터 값을 제공하는 콘솔 필드 추가 (p. 658)

Security Hub EventBridge 규칙에대해 미리 정의된 새 필터 패턴은필터 값을 지정하는 데 사용할 수있는 콘솔 필드를 제공합니다.

2021년 4월 30일

와의 통합이 추가되었습니다.AWS Systems Manager탐색기OpsCenter

Security Hub 이제 SystemsManager 탐색기 및 OpsCenter와의 통합을 지원합니다. 통합은Security Hub 브에서 발견된 결과를 수신하고 보안 허브에서 이러한 결과를 업데이트합니다.

2021년 4월 26일

제품 통합을 위한 새로운 유형 (p. 658)

새로운 통합 유형인UPDATE_FINDINGS_IN_SECURITY_HUB는제품 통합이 Security Hub 에서 받은 검색 결과를 업데이트함을 나타냅니다.

2020년 4월 22일

'마스터 계정'을 '관리자 계정'으로변경했습니다. (p. 658)

‘마스터 계정’이라는 용어가 ‘관리자 계정’으로 변경되었습니다. 이용어는 Security Hub 콘솔 및 API에서도 변경됩니다.

2020년 4월 22일

HTTP를 웹 소켓으로 대체하기 위해 APIGateway.1 업데이트

ApiGateway.1의 제목, 설명 및 수정 사항이 업데이트되었습니다.이제 컨트롤은 HTTP API 실행 로깅 대신 Websocket API 실행 로깅을 확인합니다.

2021년 4월 9일

660








https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-apigateway-1

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-apigateway-1


Amazon GuardDuty 통합은 이제 베이징 및 닝샤에서 지원됩니다. (p. 658)

이제 중국 (베이징) 및 중국 (닝샤) 리전에서 GuardDuty ce와의Security Hub 통합이 지원됩니다.

2021년 4월 5일

추가됨nodejs14.x를 Lambda.2컨트롤에 대해 지원되는 런타임에

기본 보안 모범 사례 표준의 Lambda.2 컨트롤은 이제nodejs14.x런타임.

2021년 3월 30일

Asia Pacific (Osaka) 에서Security Hub (p. 658)

이제 아시아 태평양 (오사카) 리전에서 Security Hub 를 사용할 수있습니다.

2021년 3월 29일

세부 정보 찾기에 공급자 필드 찾기 추가 (p. 658)

찾기 세부 정보 패널에서 새로운공급자 필드 찾기섹션에는 신뢰도, 중요도, 관련 검색 결과, 심각도 및 유형에 대한 찾기 공급자 값이 포함되어 있습니다.

2021년 3월 24일

Amazon Macie 로부터 민감한 결과를 수신할 수 있는 옵션이 추가되었습니다.

이제 Macie와의 통합을 구성하여중요한 결과를 Security Hub 로 보낼 수 있습니다.

2021년 3월 23일

를 사용하여 전환하는 방법에 대한 정보가 추가되었습니다.AWSOrganizations용 계정 관리

멤버 계정이 있는 기존 마스터 계정이 있는 고객의 경우, 초대를 통한 계정 관리에서 Organizations사용한 계정 관리로 변경하는 방법에 대한 새로운 정보를 추가했습니다.

2021년 3월 22일

Amazon S3 공용 액세스 블록 구성에 대한 자세한 내용은 ASFF의새 객체

InResources을 추가했습니다.AwsS3AccountPublicAccessBlock리소스 유형 및 세부 정보 객체는계정의 Amazon S3 퍼블릭 액세스 블록 구성에 대한 정보를 제공합니다. 에서AwsS3Bucket리소스 세부 정보 개체,PublicAccessBlockConfiguration객체는 S3 버킷에 대한 공용 액세스블록 구성을 제공합니다.

2021년 3월 18일

ASFF의 새 객체로 공급자를 찾아특정 필드를 업데이트 할 수 있습니다.

새로운FindingProviderFieldsASFF의 객체에서 사용되는BatchImportFindings에대한 값을 제공하기 위해Confidence,Criticality,RelatedFindings,Severity,및Types. 원래 필드는 를 사용해서만 업데이트해야 합니다.BatchUpdateFindings.

2021년 3월 18일

NewDataClassificationASFF의 자원에 대한 객체

새로운Resources.DataClassification개체는 리소스에서 감지 된 중요 한데이터에 대 한 정보를 제공 하는데 사용 됩니다.

2021년 3월 18일

661






https://docs.aws.amazon.com/securityhub/latest/userguide/accounts-transition-to-orgs.html












추가됨CONFIG_RETURNS_NOT_APPLICABLE값을 사용 가능한 준수 상태 코드에

이NOT_AVAILABLE규정준수 상태, 원인 코드 제거RESOURCE_NO_LONGER_EXISTS를사용하여 이유 코드를 추가했습니다.CONFIG_RETURNS_NOT_APPLICABLE.

2021년 3월 16일

와 통합하기 위한 새로운 관리형정책 AWS Organizations

새로운 관리형 정책AWSSecurityHubOrganizationsAccess는Organizations 관리 계정 및 위임된 Security Hub 관리자 계정에 필요한 조직 권한을 제공합니다.

2021년 3월 15일

관리형 정책 및 서비스 연결 역할정보가 보안 장으로 이동됨

관리형 정책에 대한 정보가 개정되고 확장됩니다. 관리형 정책 정보와 서비스 연결 역할에 대한 정보가 모두 [보안] 장으로 이동되었습니다.

2021년 3월 15일

Security CloudDB와의 통합이 추가되었습니다.

타사 통합 목록에 SecureCloudDB를 추가했습니다. SecureCloudDB는 내부 및 외부 보안 상태 및 활동에 대한 포괄적인 가시성을 제공하는 클라우드 네이티브 데이터베이스 보안 도구입니다.SecureCloudDB는 검색 결과를Security Hub 전송합니다.

2021년 3월 4일

CIS 1.1 및 CIS 3.1에 대한 심각도수정 — CIS 3.14 컨트롤

CIS 1.1 및 CIS 3.1 - CIS 3.14 컨트롤의 심각도가 낮음으로 변경됩니다.

2021년 3월 3일

RDS.11 컨트롤을 제거했습니다. (p. 658)

기본 보안 모범 사례 표준에서RDS.11 컨트롤을 제거했습니다.

2021년 3월 3일

Turbot의 통합 업데이트 Turbot 통합은 검색 결과를 보내거나 받을 수 있도록 업데이트됩니다.

2021년 2월 26일

기반 보안 모범 사례 표준에 컨트롤이 추가되었습니다.

Amazon API Gateway(APIGateway.1), Amazon EC2(EC2.9 및 EC2.10), AmazonElastic File System (EFS2),Amazon Elasticsearch Service(ES.2 및 ES3), 엘Elastic LoadBalancing (ELB.6) 및AWS KeyManagement Service(AWS KMS)(KMS.3).

2021년 2월 11일

선택적ProductArn필터DescribeProductsAPI

이DescribeProducts이제 API작업에는 선택적ProductArn파라미터. 이ProductArn매개 변수는 세부 정보를 반환할 특정 제품통합을 식별하는 데 사용됩니다.

2021년 2월 3일

클라우드 스토리지 보안의Amazon S3 용 안티바이러스와새로운 통합

Amazon S3 용 안티바이러스와의 통합은 바이러스 검사 결과를Security Hub 전송합니다.

2021년 1월 27일

662

https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html



https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess

https://docs.aws.amazon.com/securityhub/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-awssecurityhuborganizationsaccess

https://docs.aws.amazon.com/securityhub/latest/userguide/security.html

https://docs.aws.amazon.com/securityhub/latest/userguide/security.html



https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls.html

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls.html




https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integrations-view-api

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html#securityhub-integrations-view-api





마스터 계정에 대한 보안 점수 계산 프로세스가 업데이트되었습니다.

마스터 계정의 경우 Security Hub는 별도의 프로세스를 사용하여보안 점수를 계산합니다. 새 프로세스를 통해 멤버 계정에 대해 활성화되지만 마스터 계정에 대해서는 비활성화된 컨트롤이 점수에포함됩니다.

2021년 1월 21일

ASFF의 새 필드 및 객체 새로 추가된Action개체를사용하여 리소스에 대해 발생한 작업을 추적할 수 있습니다. 에 필드를 추가했습니다.AwsEc2NetworkInterface개체를 사용하여 DNS 이름과 IP 주소를 추적할수 있습니다. 새로 추가된AwsSsmPatchCompliance개체를 리소스 세부 정보에 추가합니다.

2021년 1월 21일

기반 보안 모범 사례 표준에 컨트롤이 추가되었습니다.

Amazon CloudFront (클라우드프런트.1~클라우드 프런트.4), Amazon DynamoDB(DynamoDB.3을 통해DynamoDB.3), 엘Elastic LoadBalancing (ELB.3~ELB.5), 아마존RDS (RDS.9 ~ RDS.11), AmazonRedshift (SNS.1) 에 대한 새로운컨트롤이 추가되었습니다.

2021년 1월 15일

워크플로 상태는 레코드 상태 또는 규정 준수 상태에 따라 다시 설정됩니다.

Security Hub 는 워크플로 상태를NOTIFIED또는RESOLVEDtoNEW보관된검색 결과가 활성 상태인 경우 또는 검색 결과의 준수 상태가PASSED중 하나를 사용합니다.FAILED,WARNING또는NOT_AVAILABLE. 이러한 변경사항은 추가 조사가 필요하다는것을 나타냅니다.

2021년 1월 7일

추가됨ProductFields제어 기반 검색 결과에 대한 정보

컨트롤에서 생성 된 결과,내용에 대 한 정보를 추가ProductFields의 객체를 반환합니다.AWSASFF (SecurityFinded 형식)

2020년 12월 29일

관리형 인사이트 업데이트 통찰력의 제목을 변경했습니다 5.의심스러운 활동이 있는 IAM 사용자를 확인하는 새로운 인사이트32가 추가되었습니다.

20년 12월 22일

IAM.7 및 람다.1 컨트롤에 대한 업데이트

에서AWS기본 보안 모범 사례 표준, IAM.7의 매개 변수 업데이트.Lambda.1의 제목과 설명을 업데이트했습니다.

20년 12월 22일

663

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-results.html#securityhub-standards-security-score






https://docs.aws.amazon.com/securityhub/latest/userguide/finding-workflow-status.html



https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-results.html#control-findings-asff-productfields

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-results.html#control-findings-asff-productfields

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-managed-insights.html




ServiceNow ITSM과의 통합 확대 ServiceNow ITSM 통합을 통해 사용자는 Security Hub 검색 결과가수신될 때 인시던트나 문제를 자동으로 생성할 수 있습니다. 이러한 인시던트 또는 문제를 업데이트하면 Security Hub 의 검색 결과가 업데이트됩니다.

2020년 12월 11일

와의 통합이 추가되었습니다.AWSAudit Manager

Security Hub 이제AWSAuditManager 이러한 통합을 통해Audit Manager Security Hub 제어기반 검색 결과를 수신할 수 있습니다.

20년 12월 8일

아쿠아 시큐리티 쿠베 벤치와 새로운 통합

Security Hub 아쿠아 보안 KUBE벤치와 통합을 추가. 통합은 검색결과를 Security Hub 전송합니다.

2020년 11월 24일

이제 중국 리전에서 CloudCustodian을 사용할 수 있습니다.

이제 중국 (베이징) 및 중국 (닝샤)리전에서 Cloud Custodian 통합이제공됩니다.

2020년 11월 24일

BatchImportFindings 이제 추가 필드를 업데이트하는 데 사용할 수 있습니다.

이전에는 사용할 수 없었습니다.BatchImportFindings업데이트Confidence,Criticality,RelatedFindings,Severity,및Types필드. 자, 이 필드에의해 업데이트되지 않은 경우BatchUpdateFindings에의해 업데이트 될 수 있습니다.BatchImportFindings.그들은에 의해 업데이트되면BatchUpdateFindings에의해 업데이트 될 수 없습니다.BatchImportFindings.

2020년 11월 24일

이제 Security Hub 가 AWSOrganizations

이제 고객은 Organizations 계정구성을 사용하여 구성원 계정을관리할 수 있습니다. 조직 관리 계정은 Security Hub 관리자 계정을지정하며, Security Hub 관리자 계정은 보안 허브에서 사용할 조직계정을 결정합니다. 조직의 일부가 아닌 계정에 대해서는 수동 초대 프로세스를 계속 사용할 수 있습니다.

2020년 11월 23일

대용량 컨트롤에 대한 별도의찾기 목록 형식을 제거했습니다. (p. 658)

컨트롤에 대한 결과 목록은 더 이상결과매우 많은 수의 검색 결과가있을 때 페이지 형식입니다.

20년 11월 19일

새로운 타사 통합 및 업데이트된타사 통합

Security Hub 이제 클라우드타머.io, 3코어섹, 배회자 및 스택록스 쿠버네테스 보안과의 통합을지원합니다. IBM QRadar가 더 이상 결과를 전송하지 않습니다. 연구 결과 만 수신합니다.

2020년 10월 30일

664








https://docs.aws.amazon.com/securityhub/latest/userguide/finding-update-batchimportfindings.html



https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-accounts.html

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-accounts.html




제어 세부 정보 페이지에서 검색결과 목록을 다운로드하는 옵션이추가되었습니다.

제어 세부 정보 페이지에서 새다운로드옵션을 사용하면 찾기 목록을.csv 파일로 다운로드할 수 있습니다. 다운로드한 목록에는 목록에 있는 모든 필터가 적용됩니다.특정 검색 결과를 선택한 경우 다운로드한 목록에는 해당 검색 결과만 포함됩니다.

2020년 10월 26일

표준 세부 정보 페이지에서 컨트롤 목록을 다운로드하는 옵션이추가되었습니다.

표준 세부 정보 페이지에서 새로운다운로드옵션을 사용하면 제어목록을.csv 파일로 다운로드 할 수있습니다. 다운로드한 목록에는목록에 있는 모든 필터가 적용됩니다. 특정 컨트롤을 선택한 경우다운로드한 목록에는 해당 컨트롤만 포함됩니다.

2020년 10월 26일

신규 및 업데이트된 파트너 통합 이제 Security Hub ThreatModeler와 통합됩니다. 새 제품 이름을 반영하도록 다음 파트너 통합이 업데이트되었습니다. 프리즈 클라우드 컴퓨팅 - 트위스트 락 엔터프라이즈 에디션은 지금 팔로 알토 네트워크입니다. 또한 팔로 알토 네트웍스에서 Demisto는 이제 피질XSOAR이고 Redlock은 프리즈 클라우드 기업입니다.

20년 10월 23일

중국 (베이징) 및 중국 (닝샤) 에서Security Hub 출시 (p. 658)

이제 중국 (베이징) 및 중국 (닝샤)리전에서 Security Hub 를 사용할수 있습니다.

2020년 10월 21일

ASFF 속성 및 타사 통합에 대한개정 형식 (p. 658)

의 목록ASFF 속성및파트너 통합이제 테이블 대신 목록 기반 형식을 사용합니다. ASFF 구문, 속성 및 유형 분류는 이제 별도의 항목에서 제공됩니다.

2020년 10월 15일

재설계된 표준 세부 정보 페이지 사용 가능한 표준에 대한 표준 상세내역 페이지에 이제 탭 컨트롤목록이 표시됩니다. 탭은 제어 상태에 따라 제어 목록을 필터링합니다.

2020년 10월 7일

CloudWatch 이벤트를EventBridge 지로 대체했습니다. (p. 658)

Amazon CloudWatch Events 대한참조를 Amazon EventBridge 대체했습니다.

2020년 10월 1일

블루 헥사곤과의 새로운 통합AWS, 알사이드 K감사, 팔로 알토네트웍스 VM-시리즈.

이제 Security Hub 가 블루 헥사곤과 통합됩니다.AWS, 알사이드 K감사, 팔로 알토 네트웍스VM-시리즈. 에 대한 파란색 육각AWS및 KAudit는 검색 결과를Security Hub 보냅니다. VM 시리즈는 Security Hub 에서 결과를 수신합니다.

2020년 9월 30일

665

https://docs.aws.amazon.com/securityhub/latest/userguide/control-finding-list.html#control-finding-list-download



https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-view-controls.html#securityhub-standards-download-controls




https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-attributes.html



https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-view-controls.html





ASFF의 신규 및 갱신된 자원 상세내역 객체

새로 추가된 기능Resources.Details객체AwsApiGatewayRestApi,AwsApiGatewayStage,AwsApiGatewayV2Api,AwsApiGatewayV2Stage,AwsCertificateManagerCertificate,AwsElbLoadBalancer,AwsIamGroup,및AwsRedshiftCluster.에 세부 정보가 추가되었습니다.AwsCloudFrontDistribution,AwsIamRole및AwsIamAccessKey객체가 있습니다.

2020년 9월 30일

NewResourceRole속성을 사용하여 리소스가 액터 또는 대상인지 여부를 추적합니다.

이ResourceRole속성은 리소스가 찾기 활동의 대상인지 또는 찾기 활동의 가해자인지를 나타냅니다. 유효 값은 ACTOR와 TARGET입니다.

2020년 9월 30일

추가됨AWS Systems Manager패치 관리자 사용 가능AWS서비스통합

AWS Systems Manager이제 패치관리자가 Security Hub 에 통합됩니다. Patch Manager는 고객 집합의 인스턴스가 패치 규정 준수 표준을 준수하지 않을 경우 검색 결과를 Security Hub 로 보냅니다.

2020년 9월 22일

기반 보안 모범 사례 표준에 새 컨트롤 추가

다음 서비스에 대한 새 컨트롤이추가되었습니다. Amazon EC2(EC2.7 및 EC2.8), 아마존 EMR(EMR.1), IAM (IAM.8), 아마존RDS (RDS.4에서 RDS.8까지),Amazon S3 (S3.6),AWS SecretsManager(비서 관리자.1 및 비서관리자.2).

2020년 9월 15일

액세스를 제어하기 위한IAM 정책의 새로운 컨텍스트키BatchUpdateFindings필드

이제 IAM 정책을 구성하여필드 및 필드 값에 대한 액세스를 제한할 수 있습니다.BatchUpdateFindings.

2020년 9월 10일

확장 액세스BatchUpdateFindings멤버계정

기본적으로 구성원계정의 액세스 권한은BatchUpdateFindings를 마스터 계정으로 사용합니다.

2020년 9월 10일

에 대한 새로운 컨트롤AWS KMS기반 보안 모범 사례 표준

기본 보안 모범 사례 표준에 두개의 새로운 컨트롤 (KMS.1 및KMS.2) 을 추가했습니다. 새로운 컨트롤은 IAM 정책에서AWSKMS암호 해독 작업

2020년 9월 9일

컨트롤에 대한 계정 수준 검색 결과 제거 (p. 658)

Security Hub 는 더 이상 컨트롤에대한 계정 수준 검색 결과를 생성하지 않습니다. 리소스 수준 검색결과만 생성됩니다.

2020년 9월 1일

NewPatchSummaryASF의 객체 에 가 추가되었습니다.PatchSummary개체를 ASFF에 추가합니다.이PatchSummary개체는 선택한준수 표준에 상대적인 리소스의패치 준수에 대한 정보를 제공합니다.

2020년 9월 1일

666

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-resources










https://docs.aws.amazon.com/securityhub/latest/userguide/finding-update-batchupdatefindings.html#batchupdatefindings-configure-access



https://docs.aws.amazon.com/securityhub/latest/userguide/finding-update-batchupdatefindings.html





https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-patchsummary


재설계된 제어 세부 정보 페이지 컨트롤에 대한 세부 정보 페이지가 다시 디자인됩니다. 컨트롤 찾기 목록에는 준수 상태에 따라 목록을 빠르게 필터링할 수 있는 탭이 있습니다. 억제된 검색 결과를빠르게 볼 수도 있습니다. 각 항목은 검색 리소스에 대한 추가 세부정보에 대한 액세스를 제공합니다.AWS Config규칙 및 메모를 찾을 수 있습니다.

2020년 8월 28일

검색 결과에 대한 새로운 필터 옵션

필터를 찾기 위해, 당신은 사용할수 있습니다가 아닙니다.필터를사용하여 필드 값이 필터 값과 같지 않은 결과를 찾습니다. 이로 시작하지 않습니다.를 사용하여 필드 값이 지정된 필터 값으로 시작하지 않는 검색 결과를 찾습니다.

2020년 8월 28일

ASFF의 신규 자원 상세내역 객체 새로 추가된 기능Resources.Details다음 리소스 유형의 리소스 유형을 지정합니다.AwsDynamoDbTable,AwsEc2Eip,AwsIamPolicy,AwsIamUser,AwsRdsDbCluster,AwsRdsDbClusterSnapshot,AwsRdsDbSnapshot,AwsSecretsManagerSecret

20년 8월 18일

RSA Archer와의 새로운 통합 이제 Security Hub 가 RSA Archer와 통합됩니다. RSA Archer가SecSecurity Hub 에서 결과를 수신했습니다.

20년 8월 18일

AwsKmsKey 대한 새 설명 필드 에 가 추가되었습니다.Description필드에 있는AwsKmsKey의 객체Resources.Details.

20년 8월 18일

AWSRDSDB인스턴스에 필드 추가

에 몇 가지 속성을 추가AwsRdsDbInstance의 객체Resources.Details.

20년 8월 18일

Security Hub 가 컨트롤의 전체 상태를 결정하는 방법을 업데이트했습니다.

검색 결과가 없는 컨트롤의 경우상태는데이터가 없습니다.그 대신알 수 없음. 제어 상태에는 계정수준과 리소스 수준 검색 결과가모두 포함됩니다. 제어 상태는 억제된 검색 결과를 무시하는 경우를 제외하고 검색 결과의 워크플로우 상태를 사용하지 않습니다.

2020년 8월 13일

Security Hub 가 표준에 대한 보안점수를 계산하는 방법을 업데이트했습니다.

표준에 대한 보안 점수를 계산할때 Security Hub 는 이제 상태가데이터가 없습니다.. 보안 점수는 데이터가 없는 컨트롤을 제외하고활성화된 컨트롤에 전달된 컨트롤의 비율입니다.

2020년 8월 13일

667

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-control-details.html

https://docs.aws.amazon.com/securityhub/latest/userguide/findings-filtering-grouping.html

https://docs.aws.amazon.com/securityhub/latest/userguide/findings-filtering-grouping.html



https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-resourcedetails-awskmskey

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-resourcedetails-awsrdsdbinstance

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-resourcedetails-awsrdsdbinstance

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-results.html#securityhub-standards-results-status







사용 가능한 표준에서 새로운 컨트롤을 자동으로 활성화하는 새로운 옵션

에 가 추가되었습니다.설정옵션을 사용하여 활성화된 표준에서 새 컨트롤을 자동으로 사용하도록 설정할 수 있습니다. 또한 사용할 수 있습니다.UpdateSecurityHubConfigurationAPI작업을 사용하여 이 옵션을 구성할 수 있습니다.

20년 7월 31일

PCI DSS (지불 카드 산업 데이터보안 표준) 에 대한 새로운 컨트롤

PCI DSS 표준에 새로운 컨트롤을추가했습니다. 새로운 컨트롤의식별자는 PCI.DMS.1, PCI.EC2.5,PCI.S3.6, PCI.세이지메이커.1,PCI.IAM.7, PCI.IAM.8, PCI.S3.5,PCI.S3.6, PCI.세이지메이커1,PCI.SSM2 및 PCI.SSM3입니다..

2020년 7월 29일

기반 보안 모범 사례 표준에 대한새 컨트롤 및 업데이트된 컨트롤

기반 보안 모범 사례 표준에새 컨트롤이 추가되었습니다.새 컨트롤의 식별자는 자동크기 조정.1, DMS.1, EC2.4,EC2.6, S3.5 및 SSM.3입니다.ACM.1의 제목을 업데이트하고daysToExpiration매개 변수를 30으로 설정합니다.

2020년 7월 29일

NewVulnerabilitiesASFFFFFFF에 가 추가되었습니다.Vulnerabilities개체는 검색 결과와 관련된 취약성에 대한정보를 제공합니다.

2020년 7월 1일

NewResource.DetailsAutoScaling 그룹, EC2 볼륨 및 EC2VPC용 ASFF의 개체

에 가 추가되었습니다.AwsAutoScalingAutoScalingGroup,AWSEc2Volume,및AwsEc2Vpc객체를Resource.Details.

2020년 7월 1일

NewNetworkPathASFFFFFFF 에 가 추가되었습니다.NetworkPath개체, 검색 관련된 네트워크 경로에 대 한 정보를제공 합니다.

2020년 7월 1일

다음과 같은 경우에 검색결과를 자동으로 해결합니다.Compliance.StatusisPASSED

컨트롤의 검색 결과에 대해Compliance.StatusisPASSED을선택하면 Security Hub 자동으로Workflow.StatustoRESOLVED.

2020년 6월 24일

AWS Command Line Interface 예제 (p. 658)

추가됨AWS CLI구문과 몇 가지Security Hub 작업에 대한 예제를제공합니다. Security Hub 활성화,인사이트 관리, 표준 및 제어 관리,제품 통합 관리, Security Hub 비활성화 등이 포함되어 있습니다.

2020년 6월 24일

ASFF의 새로운Severity.Original 속성

결과 공급자의 원래 심각도인Severity.Original 속성을 추가했습니다. 이는 더 이상 사용되지 않는 Severity.Product 속성을 대체합니다.

2020년 5월 20일

668

https://docs.aws.amazon.com/securityhub/latest/userguide/controls-auto-enable.html



https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-pci-controls.html

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-pci-controls.html



https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-vulnerabilities




https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-networkpath





https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-severity

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-severity


컨트롤 상태에 대한 세부 정보를 제공하는 ASFF의 새로운Compliance.StatusReasons객체

컨트롤의 현재 상태에 대한추가 컨텍스트를 제공하는Compliance.StatusReasons객체를 추가했습니다.

2020년 5월 20일

새 AWS 기반 보안 모범 사례 표준 새로 추가된AWS배포된 계정 및리소스가 보안 모범 사례에서 벗어나는 시점을 감지하는 컨트롤집합인 기반 보안 모범 사례 표준입니다.

2020년 4월 22일

결과에 대한 워크플로 상태를 업데이트하는 새로운 콘솔 옵션

Security Hub 콘솔 또는 API를 사용하여 결과의 워크플로 상태를설정하는 데 필요한 정보가 추가되었습니다.

2020년 4월 16일

결과에 대한 고객 업데이트를 위한 새로운BatchUpdateFindings API

결과 조사 프로세스와 관련된 정보를 업데이트하기 위해BatchUpdateFindings를사용하는 방법에 대한 정보가 추가되었습니다.BatchUpdateFindings가UpdateFindings로 대체되며,이는 더 이상 사용되지 않습니다.

2020년 4월 16일

ASFF(AWS Security Finding 형식) 업데이트

여러 가지 새로운 리소스 유형이추가되었습니다. Severity 객체에 새 Label 속성이 추가되었습니다. Label은 Normalized 필드를 대체하기 위한 것입니다. 결과 조사 과정을 추적하기 위해 새로운 Workflow 객체가 추가되었습니다. Workflow에는 기존Workflowstate 속성을 대체하는 Status 속성이 포함되어 있습니다.

2020년 3월 12일

통합 페이지에 대한 업데이트 통합 페이지에 변경 사항을 반영하도록 업데이트되었습니다. 이제 각 통합에 대해 페이지에 통합 범주가 표시되고 각 통합에서Security Hub 로 의 결과를 보내는지 또는 수신하는지 여부가 표시됩니다. 또한 각 통합을 활성화하는 데 필요한 특정 단계를 제공합니다.

2020년 2월 26일

새로운 타사 제품 통합 다음과 같은 새로운 제품 통합이 추가되었습니다. CloudCustodian, FireEye Helix,Forcepoint CASB, ForcepointDLP, Forcepoint NGFW,Rackspace Cloud Native Security및 Vectra.ai Cognito 가 감지됩니다.

20년 2월 21일

669

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-format-attributes.html#asff-compliance




https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html








https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-integrations-managing.html



PCI DSS(지불 카드 산업 데이터보안 표준)에 대한 새로운 보안 표준

PCI DSS (지불 카드 산업 데이터보안 표준) 에 대한 Security Hub보안 표준이 추가되었습니다. 이표준이 활성화되면 Security Hub는 PCI DSS 요구 사항과 관련된제어에 대해 자동화된 점검을 수행합니다.

2020년 2월 13일

ASFF(AWS Security Finding 형식) 업데이트

표준 제어의 관련 요구 사항에 대한 필드가 추가되었습니다. 새 리소스 유형 및 새 리소스 세부 정보가 추가되었습니다. 또한 ASFF를 사용하면 이제 최대 32개의 리소스를 제공할 수 있습니다.

2020년 2월 5일

개별 보안 표준 제어를 비활성화하는 새로운 옵션

각 개별 보안 표준 제어가 활성화되는지 여부를 제어하는 방법에대한 정보가 추가되었습니다.

2020년 1월 15일

용어 및 개념 업데이트 용어 및 개념에 일부 설명이 업데이트되었고 새로운 용어가 추가되었습니다.

2020년 9월 21일

AWS Security Hub 정식 출시 릴리스 (p. 658)

미리 보기 기간 동안 Security Hub에 대한 개선 사항을 반영하여 콘텐츠를 업데이트합니다.

2019년 6월 25일

CIS 문제 해결 단계 추가AWS기초 검사

에 문제 해결 단계가 추가되어 있습니다.에서 지원되는 보안 표준AWSSecurity Hub.

2019년 4월 15일

의 미리 보기 릴리스AWSSecurityHub (p. 658)

의 미리 보기 릴리스 버전을 게시했습니다.AWSSecurity Hub 사용설명서.

2018년 11월 18일

670

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-pcidss.html









https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards.html#securityhub-controls-disable

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards.html#securityhub-controls-disable

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-concepts.html

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-concepts.html

https://docs.aws.amazon.com/securityhub/securityhub-standards.html

https://docs.aws.amazon.com/securityhub/securityhub-standards.html

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards.html

https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards.html


기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

dclxxi

aws security hub · 2021. 2. 2. · cis aws 기반 벤치마크 보안 점검을 완전히...

Documents