기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
다중 계정 환경에서 GuardDuty시작된 맬웨어 스캔 활성화
다중 계정 환경에서는 GuardDuty 관리자 계정만 멤버 계정을 대신하여 GuardDuty시작된 맬웨어 스캔을 활성화할 수 있습니다. 또한 AWS Organizations 지원을 통해 멤버 계정을 관리하는 관리자 계정은 조직의 모든 기존 및 새 계정에서 GuardDuty시작된 맬웨어 스캔을 자동으로 활성화하도록 선택할 수 있습니다. 자세한 내용은 를 사용하여 GuardDuty 계정 관리 AWS Organizations 단원을 참조하십시오.
GuardDuty신뢰할 수 있는 액세스를 설정하여 시작된 맬웨어 스캔 활성화
GuardDuty 위임된 관리자 계정이 조직의 관리 계정과 같지 않은 경우 관리 계정은 조직에 대해 GuardDuty시작된 맬웨어 스캔을 활성화해야 합니다. 이렇게 하면 위임된 관리자 계정이 를 통해 관리되는 멤버 계정용 맬웨어 보호에 대한 서비스 연결 역할 권한 EC2에서 를 생성할 수 있습니다 AWS Organizations.
참고
위임된 GuardDuty 관리자 계정을 지정하기 전에 섹션을 참조하세요사용 고려 사항 및 권장 사항.
위임된 GuardDuty 관리자 계정이 조직의 멤버 계정에 대해 GuardDuty시작된 맬웨어 스캔을 활성화할 수 있도록 하려면 선호하는 액세스 방법을 선택합니다.
- Console
-
에서 GuardDuty 콘솔을 엽니다https://console.aws.amazon.com/guardduty/
. 로그인하려면 AWS Organizations 조직의 관리 계정을 사용합니다.
-
-
위임된 GuardDuty 관리자 계정을 지정하지 않은 경우 다음을 수행합니다.
설정 페이지의 위임된 GuardDuty 관리자 계정 에 조직에서 GuardDuty 정책을 관리하도록
account ID지정할 12자리 숫자를 입력합니다. 위임을 선택합니다. -
-
관리 계정과 다른 위임된 GuardDuty 관리자 계정을 이미 지정한 경우 다음을 수행합니다.
설정 페이지의 위임된 관리자에서 권한 설정을 켭니다. 이 작업을 통해 위임된 GuardDuty 관리자 계정이 멤버 계정에 관련 권한을 연결하고 이러한 멤버 계정에서 GuardDuty시작된 맬웨어 스캔을 활성화할 수 있습니다.
-
관리 계정과 동일한 위임된 GuardDuty 관리자 계정을 이미 지정한 경우 멤버 계정에 대해 GuardDuty시작된 맬웨어 스캔을 직접 활성화할 수 있습니다. 자세한 내용은 모든 멤버 계정에 대해 자동 활성화 GuardDuty시작 멀웨어 스캔 단원을 참조하십시오.
작은 정보
위임된 GuardDuty 관리자 계정이 관리 계정과 다른 경우 위임된 GuardDuty 관리자 계정에 멤버 계정에 대해 GuardDuty시작된 맬웨어 스캔을 활성화할 수 있는 권한을 제공해야 합니다.
-
-
-
위임된 GuardDuty 관리자 계정이 다른 리전의 멤버 계정에 대해 GuardDuty시작된 맬웨어 스캔을 활성화하도록 허용하려면 를 변경 AWS 리전하고 위의 단계를 반복합니다.
- API/CLI
-
-
관리 계정 보안 인증 정보를 사용하여 다음 명령을 실행합니다.
aws organizations enable-aws-service-access --service-principal malware-protection.guardduty.amazonaws.com -
(선택 사항) 위임된 관리자 계정이 아닌 관리 계정에 대해 GuardDuty시작된 맬웨어 스캔을 활성화하려면 관리 계정은 먼저 해당 계정에서 를 용 맬웨어 보호에 대한 서비스 연결 역할 권한 EC2 명시적으로 생성한 다음 다른 멤버 계정과 마찬가지로 위임된 관리자 계정에서 GuardDuty시작된 맬웨어 스캔을 활성화합니다.
aws iam create-service-linked-role --aws-service-name malware-protection.guardduty.amazonaws.com -
현재 선택한 에서 위임된 GuardDuty 관리자 계정을 지정했습니다 AWS 리전. 한 리전에서 계정을 위임된 GuardDuty 관리자 계정으로 지정한 경우 해당 계정은 다른 모든 리전의 위임된 GuardDuty 관리자 계정이어야 합니다. 다른 모든 리전에 대해서도 위 단계를 반복합니다.
-
선호하는 액세스 방법을 선택하여 위임된 GuardDuty 관리자 계정에 대해 GuardDuty시작된 맬웨어 스캔을 활성화하거나 비활성화합니다.
- Console
-
에서 GuardDuty 콘솔을 엽니다https://console.aws.amazon.com/guardduty/
. 관리 계정 보안 인증 정보를 사용해야 합니다.
-
탐색 창에서 에 대한 맬웨어 보호를 EC2선택합니다.
-
의 맬웨어 보호 EC2 페이지에서 GuardDuty시작된 맬웨어 스캔 옆의 편집을 선택합니다.
다음 중 하나를 수행합니다.
모든 계정에 대해 활성화 사용
-
모든 계정에 대해 활성화를 선택합니다. 이렇게 하면 AWS 조직에 가입한 새 GuardDuty 계정을 포함하여 조직의 모든 활성 계정에 대한 보호 계획이 활성화됩니다.
저장(Save)을 선택합니다.
수동으로 계정 구성 사용
위임된 GuardDuty 관리자 계정 계정에 대해서만 보호 계획을 활성화하려면 계정 수동 구성을 선택합니다.
위임된 GuardDuty 관리자 계정(이 계정) 섹션에서 활성화를 선택합니다.
저장(Save)을 선택합니다.
-
- API/CLI
-
를 실행합니다. updateDetector API 자체 리전 탐지기 ID를 사용하고
features객체를EBS_MALWARE_PROTECTION및name로 전달하는 작업status입니다ENABLED.다음 AWS CLI 명령을 실행하여 GuardDuty시작된 맬웨어 스캔을 활성화할 수 있습니다. 위임된 GuardDuty 관리자 계정의 유효 여부를 확인하세요.
detector ID.계정 및 현재 리전에
detectorId대한 를 찾으려면 https://console.aws.amazon.com/guardduty/콘솔의 설정 페이지를 참조하거나 ListDetectors API. aws guardduty update-detector --detector-id12abc34d567e8fa901bc2d34e56789f0/ --account-ids555555555555/ --features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'
선호하는 액세스 방법을 선택하여 모든 멤버 계정에 대해 GuardDuty시작된 맬웨어 스캔 기능을 활성화합니다. 여기에는 기존 멤버 계정과 조직에 새로 가입한 계정이 포함됩니다.
- Console
-
에 로그인 AWS Management Console 하고 에서 GuardDuty 콘솔을 엽니다https://console.aws.amazon.com/guardduty/
. 위임된 GuardDuty 관리자 계정 자격 증명을 사용해야 합니다.
-
다음 중 하나를 수행합니다.
페이지에 대한 맬웨어 보호 EC2 사용
-
탐색 창에서 에 대한 맬웨어 보호를 EC2선택합니다.
-
맬웨어 방지 대상 EC2 페이지의 GuardDuty시작된 맬웨어 스캔 섹션에서 편집을 선택합니다.
-
모든 계정에 대해 활성화를 선택합니다. 이 작업은 조직의 기존 계정과 새 계정 모두에 대해 GuardDuty시작된 맬웨어 스캔을 자동으로 활성화합니다.
-
저장(Save)을 선택합니다.
참고
멤버 계정의 구성을 업데이트하는 데 최대 24시간이 걸릴 수 있습니다.
계정 페이지 사용
-
탐색 창에서 Accounts(계정)를 선택합니다.
-
계정 페이지에서 초대 기준으로 계정 추가 전에 자동 활성화 기본 설정을 선택합니다.
-
기본 설정 자동 활성화 관리 창에서 GuardDuty시작된 맬웨어 스캔 의 모든 계정에 대해 활성화를 선택합니다.
-
맬웨어 방지 대상 EC2 페이지의 GuardDuty시작된 맬웨어 스캔 섹션에서 편집을 선택합니다.
-
모든 계정에 대해 활성화를 선택합니다. 이 작업은 조직의 기존 계정과 새 계정 모두에 대해 GuardDuty시작된 맬웨어 스캔을 자동으로 활성화합니다.
-
저장(Save)을 선택합니다.
참고
멤버 계정의 구성을 업데이트하는 데 최대 24시간이 걸릴 수 있습니다.
계정 페이지 사용
-
탐색 창에서 Accounts(계정)를 선택합니다.
-
계정 페이지에서 초대 기준으로 계정 추가 전에 자동 활성화 기본 설정을 선택합니다.
-
기본 설정 자동 활성화 관리 창에서 GuardDuty시작된 맬웨어 스캔 의 모든 계정에 대해 활성화를 선택합니다.
-
저장(Save)을 선택합니다.
모든 계정에 대해 활성화 옵션을 사용할 수 없는 경우 멤버 계정에 대해 선택적으로 GuardDuty시작된 맬웨어 스캔 활성화 섹션을 참조하세요.
-
- API/CLI
-
-
멤버 계정에 대해 GuardDuty시작된 맬웨어 스캔을 선택적으로 활성화하려면 updateMemberDetectors API 자체 작업을 사용한 작업
detector ID. -
다음 예제에서는 단일 멤버 계정에 대해 GuardDuty시작된 맬웨어 스캔을 활성화하는 방법을 보여줍니다. 멤버 계정을 비활성화하려면
ENABLED를DISABLED로 바꿉니다.계정 및 현재 리전에
detectorId대한 를 찾으려면 https://console.aws.amazon.com/guardduty/콘솔의 설정 페이지를 참조하거나 ListDetectors API. aws guardduty update-member-detectors --detector-id12abc34d567e8fa901bc2d34e56789f0--account-ids111122223333--features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'공백으로 IDs 구분된 계정 목록을 전달할 수도 있습니다.
-
코드가 성공적으로 실행되면 빈
UnprocessedAccounts목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.
-
조직의 모든 기존 활성 멤버 계정에 대해 GuardDuty시작된 맬웨어 스캔을 활성화하려면 선호하는 액세스 방법을 선택합니다.
모든 기존 활성 멤버 계정에 대해 GuardDuty시작된 맬웨어 스캔을 구성하려면
에 로그인 AWS Management Console 하고 에서 GuardDuty 콘솔을 엽니다https://console.aws.amazon.com/guardduty/
. 위임된 GuardDuty 관리자 계정 자격 증명을 사용하여 로그인합니다.
-
탐색 창에서 에 대한 맬웨어 보호를 EC2선택합니다.
-
용 맬웨어 보호EC2에서 GuardDuty시작된 맬웨어 스캔 구성의 현재 상태를 볼 수 있습니다. 활성 멤버 계정 섹션에서 작업을 선택합니다.
-
작업 드롭다운 메뉴에서 기존의 모든 활성 멤버 계정에 대해 활성화를 선택합니다.
-
저장(Save)을 선택합니다.
새로 추가된 멤버 계정은 구성이 GuardDuty시작된 맬웨어 스캔을 선택하기 전에 활성화 GuardDuty 해야 합니다. 초대로 관리되는 멤버 계정은 계정에 대해 수동으로 GuardDuty시작된 맬웨어 스캔을 구성할 수 있습니다. 자세한 내용은 Step 3 - Accept an invitation 단원을 참조하십시오.
조직에 가입한 새 계정에 대해 GuardDuty시작된 맬웨어 스캔을 활성화하려면 선호하는 액세스 방법을 선택합니다.
- Console
-
위임된 GuardDuty 관리자 계정은 또는 계정의 맬웨어 보호 페이지를 사용하여 조직의 새 멤버 계정에 대해 GuardDuty시작된 맬웨어 스캔을 활성화할 수 있습니다. EC2
새 멤버 계정에 대해 GuardDuty시작된 맬웨어 스캔을 자동 활성화하려면
에서 GuardDuty 콘솔을 엽니다https://console.aws.amazon.com/guardduty/
. 위임된 GuardDuty 관리자 계정 자격 증명을 사용해야 합니다.
-
다음 중 하나를 수행합니다.
-
맬웨어 보호 EC2 페이지 사용:
-
탐색 창에서 에 대한 맬웨어 보호를 EC2선택합니다.
-
에 대한 맬웨어 보호 EC2 페이지에서 GuardDuty시작된 맬웨어 스캔에서 편집을 선택합니다.
-
수동으로 계정 구성을 선택합니다.
-
새 멤버 계정에 대해 자동으로 활성화를 선택합니다. 이 단계는 새 계정이 조직에 가입할 때마다 해당 계정에 대해 GuardDuty시작된 맬웨어 스캔이 자동으로 활성화되도록 합니다. 조직의 위임된 GuardDuty 관리자 계정만 이 구성을 수정할 수 있습니다.
-
저장(Save)을 선택합니다.
-
-
계정 페이지 사용:
-
탐색 창에서 Accounts(계정)를 선택합니다.
-
계정 페이지에서 자동 활성화 기본 설정을 선택합니다.
-
기본 설정 자동 활성화 관리 창에서 GuardDuty시작된 맬웨어 스캔에서 새 계정에 활성화를 선택합니다.
-
저장(Save)을 선택합니다.
-
-
- API/CLI
-
-
새 멤버 계정에 대해 GuardDuty시작된 맬웨어 스캔을 활성화 또는 비활성화하려면 UpdateOrganizationConfiguration API 자체 작업을 사용한 작업
detector ID. -
다음 예제에서는 단일 멤버 계정에 대해 GuardDuty시작된 맬웨어 스캔을 활성화하는 방법을 보여줍니다. 비활성화하려면 멤버 계정에 대해 선택적으로 GuardDuty시작된 맬웨어 스캔 활성화 섹션을 참조하세요. 조직에 가입하는 모든 새 계정에 대해 활성화하지 않으려면
AutoEnable을NONE으로 설정합니다.계정 및 현재 리전에
detectorId대한 를 찾으려면 https://console.aws.amazon.com/guardduty/콘솔의 설정 페이지를 참조하거나 ListDetectors API. aws guardduty update-organization-configuration --detector-id12abc34d567e8fa901bc2d34e56789f0--AutoEnable --features '[{"Name": "EBS_MALWARE_PROTECTION", "AutoEnable":NEW}]'공백으로 IDs 구분된 계정 목록을 전달할 수도 있습니다.
-
코드가 성공적으로 실행되면 빈
UnprocessedAccounts목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.
-
원하는 액세스 방법을 선택하여 멤버 계정에 대해 GuardDuty시작된 맬웨어 스캔을 선택적으로 구성합니다.
- Console
-
에서 GuardDuty 콘솔을 엽니다https://console.aws.amazon.com/guardduty/
. -
탐색 창에서 Accounts(계정)를 선택합니다.
-
계정 페이지에서 GuardDuty시작된 맬웨어 스캔 열에서 멤버 계정의 상태를 검토합니다.
-
GuardDuty에서 시작한 맬웨어 스캔을 구성할 계정을 선택합니다. 한 번에 여러 개의 계정을 선택할 수 있습니다.
-
보호 계획 편집 메뉴에서 GuardDuty시작된 맬웨어 스캔에 적합한 옵션을 선택합니다.
- API/CLI
-
멤버 계정에 대해 GuardDuty시작된 맬웨어 스캔을 선택적으로 활성화 또는 비활성화하려면 updateMemberDetectors API 자체 작업을 사용한 작업
detector ID.다음 예제에서는 단일 멤버 계정에 대해 GuardDuty시작된 맬웨어 스캔을 활성화하는 방법을 보여줍니다.
계정 및 현재 리전에
detectorId대한 를 찾으려면 https://console.aws.amazon.com/guardduty/콘솔의 설정 페이지를 참조하거나 ListDetectors API. aws guardduty update-member-detectors --detector-id12abc34d567e8fa901bc2d34e56789f0--account-ids111122223333--features '[{"Name": "EBS_MALWARE_PROTECTION", "Status": "ENABLED"}]'공백으로 IDs 구분된 계정 목록을 전달할 수도 있습니다.
코드가 성공적으로 실행되면 빈
UnprocessedAccounts목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.멤버 계정에 대해 GuardDuty시작된 맬웨어 스캔을 선택적으로 활성화하려면 updateMemberDetectors API 자체 작업을 사용한 작업
detector ID. 다음 예제에서는 단일 멤버 계정에 대해 GuardDuty시작된 맬웨어 스캔을 활성화하는 방법을 보여줍니다.계정 및 현재 리전에
detectorId대한 를 찾으려면 https://console.aws.amazon.com/guardduty/콘솔의 설정 페이지를 참조하거나 ListDetectors API. aws guardduty update-member-detectors --detector-id12abc34d567e8fa901bc2d34e56789f0--account-ids111122223333--data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}'공백으로 IDs 구분된 계정 목록을 전달할 수도 있습니다.
코드가 성공적으로 실행되면 빈
UnprocessedAccounts목록이 반환됩니다. 계정의 탐지기 설정을 변경하는 데 문제가 있는 경우 해당 계정 ID가 문제 요약과 함께 나열됩니다.
멤버 계정에 EC2 서비스 연결 역할(SLR)에 대한 GuardDuty 맬웨어 보호를 생성해야 합니다. 관리자 계정은 에서 관리하지 않는 멤버 계정에서 GuardDuty시작된 맬웨어 스캔 기능을 활성화할 수 없습니다 AWS Organizations.
현재 의 GuardDuty 콘솔https://console.aws.amazon.com/guardduty/
- Console
-
에서 GuardDuty 콘솔을 엽니다https://console.aws.amazon.com/guardduty/
. 관리자 계정 자격 증명을 사용하여 로그인합니다.
-
탐색 창에서 Accounts(계정)를 선택합니다.
-
GuardDuty시작된 맬웨어 스캔을 활성화하려는 멤버 계정을 선택합니다. 한 번에 여러 개의 계정을 선택할 수 있습니다.
-
작업을 선택합니다.
-
멤버 연결 해제를 선택합니다.
-
멤버 계정의 탐색 창에 있는 보호 플랜에서 맬웨어 보호를 선택합니다.
-
활성화 GuardDuty- 시작된 맬웨어 스캔 을 선택합니다. GuardDuty 는 멤버 계정에 SLR 대한 를 생성합니다. 에 대한 자세한 내용은 섹션을 SLR참조하세요용 맬웨어 보호에 대한 서비스 연결 역할 권한 EC2.
-
관리자 계정 계정에서 탐색 창에서 계정을 선택합니다.
-
조직에 다시 추가해야 하는 멤버 계정을 선택합니다.
-
작업을 선택하고 멤버 추가를 선택합니다.
- API/CLI
-
-
관리자 계정 계정을 사용하여 실행 DisassociateMembers API GuardDuty-개시된 맬웨어 스캔을 활성화하려는 멤버 계정의 .
-
멤버 계정을 사용하여 호출 UpdateDetector GuardDuty를 사용하여 시작된 맬웨어 스캔을 활성화합니다.
계정 및 현재 리전에
detectorId대한 를 찾으려면 https://console.aws.amazon.com/guardduty/콘솔의 설정 페이지를 참조하거나 ListDetectors API. aws guardduty update-detector --detector-id12abc34d567e8fa901bc2d34e56789f0--data-sources '{"MalwareProtection":{"ScanEc2InstanceWithFindings":{"EbsVolumes":true}}}' -
관리자 계정 계정을 사용하여 CreateMembers API 멤버를 조직에 다시 추가합니다.
-
