사전 조건 - Amazon VPC 엔드포인트 수동 생성
GuardDuty 보안 에이전트를 설치하려면 먼저 Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트를 생성해야 합니다. 이렇게 하면 GuardDuty가 Amazon EC2 인스턴스의 런타임 이벤트를 수신하는 데 도움이 됩니다.
참고
VPC 엔드포인트 사용에 대한 추가 비용은 없습니다.
Amazon VPC 엔드포인트를 생성하려면
AWS Management Console에 로그인하고 https://console.aws.amazon.com/vpc/
에서 Amazon VPC 콘솔을 엽니다. -
탐색 창의 VPC 프라이빗 클라우드에서 엔드포인트를 선택합니다.
-
엔드포인트 생성을 선택합니다.
-
엔드포인트 생성 페이지에서 서비스 범주에 대해 기타 엔드포인트 서비스를 선택합니다.
-
서비스 이름에
com.amazonaws.
를 입력합니다.us-east-1
.guardduty-dataus-east-1
을 AWS 리전로 대체해야 합니다. 이는 AWS 계정 ID에 속한 Amazon EC2 인스턴스와 동일한 리전이어야 합니다. -
서비스 확인을 선택합니다.
-
서비스 이름이 성공적으로 확인되면 인스턴스가 상주하는 VPC를 선택합니다. 다음 정책을 추가하여 Amazon VPC 엔드포인트 사용을 지정된 계정으로만 제한합니다. 이 정책 아래에 제공된 조직
Condition
을 사용하여 다음 정책을 업데이트하고 엔드포인트에 대한 액세스를 제한할 수 있습니다. 조직의 특정 계정 ID에 Amazon VPC 엔드포인트 지원을 제공하려면 Organization condition to restrict access to your endpoint 섹션을 참조하세요.{ "Version": "2012-10-17", "Statement": [ { "Action": "*", "Resource": "*", "Effect": "Allow", "Principal": "*" }, { "Condition": { "StringNotEquals": { "aws:PrincipalAccount": "
111122223333
" } }, "Action": "*", "Resource": "*", "Effect": "Deny", "Principal": "*" } ] }aws:PrincipalAccount
계정 ID는 VPC 및 VPC 엔드포인트를 포함하는 계정과 일치해야 합니다. 다음 목록은 VPC 엔드포인트를 다른 AWS 계정 ID와 공유하는 방법을 보여줍니다.-
VPC 엔드포인트에 액세스할 계정을 여러 개 지정하려면
"aws:PrincipalAccount: "
을 다음 블럭과 같이 바꿉니다.111122223333
""aws:PrincipalAccount": [ "666666666666", "555555555555" ]
AWS 계정 IDs를 VPC 엔드포인트에 액세스해야 하는 계정의 계정 IDs로 바꿔야 합니다.
-
조직의 모든 멤버가 VPC 엔드포인트에 액세스할 수 있도록 허용하려면
"aws:PrincipalAccount: "
을 다음 라인과 같이 바꿉니다.111122223333
""aws:PrincipalOrgID": "
o-abcdef0123
"조직
o-abcdef0123
을 조직 ID로 교체해야 합니다. -
리소스 액세스를 조직 ID로 제한하려면 정책에
ResourceOrgID
를 추가합니다. 자세한 내용은 IAM 사용 설명서에서aws:ResourceOrgID
섹션을 참조하십시오."aws:ResourceOrgID": "o-abcdef0123"
-
-
추가 설정에서 DNS 이름 활성화를 선택합니다.
-
서브넷에서 인스턴스가 상주하는 서브넷을 선택합니다.
-
보안 그룹에서 VPC(또는 Amazon EC2 인스턴스)에서 인바운드 포트 443이 활성화된 보안 그룹을 선택합니다. 인바운드 포트 443이 활성화된 보안 그룹이 아직 없는 경우 Amazon VPC 사용 설명서의 VPC에 대한 보안 그룹 만들기를 참조하세요.
VPC(또는 인스턴스)에 대한 인바운드 권한을 제한하는 동안 문제가 있는 경우 모든 IP 주소
(0.0.0.0/0)
에서 인바운드 443 포트를 사용할 수 있습니다. 그러나 GuardDuty는 VPC의 CIDR 블록과 일치하는 IP 주소를 사용할 것을 권장합니다. 자세한 내용은 Amazon VPC 사용 설명서에서 VPC CIDR 블록을 참조하세요.
단계를 따른 후 VPC 엔드포인트 구성 검증를 참조하여 VPC 엔드포인트가 올바르게 설정되었는지 확인합니다.