기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Fargate용 자동 보안 에이전트 관리(AmazonECS만 해당)
런타임 모니터링은를 통해서만 Amazon ECS 클러스터(AWS Fargate)의 보안 에이전트 관리를 지원합니다 GuardDuty. Amazon ECS 클러스터에서 보안 에이전트를 수동으로 관리하는 것은 지원되지 않습니다.
이 섹션의 단계를 진행하기 전에 AWS Fargate (AmazonECS만 해당) 지원에 대한 사전 조건를 따라야 합니다.
에 따라 리소스에 대해 GuardDuty 자동 에이전트를 활성화할 기본 방법을 Amazon ECS-Fargate 리소스에서 GuardDuty 보안 에이전트를 관리하는 방법선택합니다.
다중 계정 환경에서는 위임된 GuardDuty 관리자 계정만 멤버 계정에 대한 자동 에이전트 구성을 활성화 또는 비활성화하고 조직의 멤버 계정에 속한 Amazon ECS 클러스터에 대한 자동 에이전트 구성을 관리할 수 있습니다. GuardDuty 멤버 계정은이 구성을 수정할 수 없습니다. 위임된 GuardDuty 관리자 계정은를 사용하여 멤버 계정을 관리합니다 AWS Organizations. 다중 계정 환경에 대한 자세한 내용은 에서 여러 계정 관리를 GuardDuty 참조하세요.
위임된 GuardDuty 관리자 계정에 대한 자동 에이전트 구성 활성화
- Manage for all Amazon ECS clusters (account level)
-
런타임 모니터링에 대해 모든 계정에 활성화를 선택한 경우 다음과 같은 옵션이 있습니다:
런타임 모니터링 섹션에서 수동으로 계정 구성을 선택한 경우 다음 작업을 수행합니다.
-
자동 에이전트 구성 섹션에서 수동으로 계정 구성을 선택합니다.
-
위임된 GuardDuty 관리자 계정(이 계정) 섹션에서 활성화를 선택합니다.
저장(Save)을 선택합니다.
서비스의 일부인 작업을 모니터링 GuardDuty 하려면 런타임 모니터링을 활성화한 후 새 서비스 배포가 필요합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나를 사용하여 서비스를 업데이트할 수 있습니다forceNewDeployment.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
키-값 페어를 GuardDutyManaged-로 사용하여이 Amazon ECS 클러스터에 태그를 추가합니다false.
-
신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. AWS Organizations 사용자 가이드의 승인된 원칙을 제외하고 태그 수정 금지에 제공된 정책이 여기에 적용되도록 수정되었습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
에서 GuardDuty 콘솔을 엽니다https://console.aws.amazon.com/guardduty/.
-
탐색 창에서 작업 실행 모니터링을 선택합니다.
-
계정에 대해 자동 에이전트 구성을 활성화하기 전에 항상 Amazon ECS 클러스터에 제외 태그를 추가합니다. 그렇지 않으면 GuardDuty 사이드카 컨테이너가 시작된 Amazon ECS 작업의 모든 컨테이너에 연결됩니다.
구성 탭에서 자동 에이전트 구성 에서 활성화를 선택합니다.
제외되지 않은 Amazon ECS 클러스터의 경우 GuardDuty는 사이드카 컨테이너에 보안 에이전트 배포를 관리합니다.
-
저장(Save)을 선택합니다.
-
서비스의 일부인 작업을 모니터링 GuardDuty 하려면 런타임 모니터링을 활성화한 후 새 서비스 배포가 필요합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나를 사용하여 서비스를 업데이트할 수 있습니다forceNewDeployment.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
- Manage for selective (inclusion only) Amazon ECS clusters (cluster
level)
-
-
모든 작업을 포함하려는 Amazon ECS 클러스터에 태그를 추가합니다. 키-값 쌍은 GuardDutyManaged-true여야 합니다.
-
신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. AWS Organizations 사용자 가이드의 승인된 원칙을 제외하고 태그 수정 금지에 제공된 정책이 여기에 적용되도록 수정되었습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Amazon ECS 클러스터에 포함 태그를 사용할 때 에이전트를 명시적으로 자동화된 GuardDuty 에이전트 구성을 통해 활성화할 필요가 없습니다.
-
서비스의 일부인 작업을 모니터링 GuardDuty 하려면 런타임 모니터링을 활성화한 후 새 서비스 배포가 필요합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나를 사용하여 서비스를 업데이트할 수 있습니다forceNewDeployment.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
모든 멤버 계정에서 자동 활성화
- Manage for all Amazon ECS clusters (account level)
-
다음 단계에서는 런타임 모니터링 섹션에서 모든 계정에 대해 활성화를 선택했다고 가정합니다.
-
자동 에이전트 구성 섹션에서 모든 계정에 대해 활성화를 선택합니다. GuardDuty 는 시작된 모든 Amazon ECS 작업에 대해 보안 에이전트를 배포하고 관리합니다.
-
저장(Save)을 선택합니다.
-
서비스의 일부인 작업을 모니터링 GuardDuty 하려면 런타임 모니터링을 활성화한 후 새 서비스 배포가 필요합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나를 사용하여 서비스를 업데이트할 수 있습니다forceNewDeployment.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
키-값 페어를 GuardDutyManaged-로 사용하여이 Amazon ECS 클러스터에 태그를 추가합니다false.
-
신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. AWS Organizations 사용자 가이드의 승인된 원칙을 제외하고 태그 수정 금지에 제공된 정책이 여기에 적용되도록 수정되었습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
에서 GuardDuty 콘솔을 엽니다https://console.aws.amazon.com/guardduty/.
-
탐색 창에서 작업 실행 모니터링을 선택합니다.
-
계정에 대해 자동 에이전트 구성을 활성화하기 전에 항상 Amazon ECS 클러스터에 제외 태그를 추가합니다. 그렇지 않으면 GuardDuty 사이드카 컨테이너가 시작된 Amazon ECS 작업의 모든 컨테이너에 연결됩니다.
구성 탭에서 편집을 선택합니다.
-
자동 에이전트 구성 섹션에서 모든 계정에 대해 활성화를 선택합니다.
제외되지 않은 Amazon ECS 클러스터의 경우 GuardDuty는 사이드카 컨테이너에 보안 에이전트 배포를 관리합니다.
-
저장(Save)을 선택합니다.
-
서비스의 일부인 작업을 모니터링 GuardDuty 하려면 런타임 모니터링을 활성화한 후 새 서비스 배포가 필요합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나를 사용하여 서비스를 업데이트할 수 있습니다forceNewDeployment.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
- Manage for selective (inclusion-only) Amazon ECS clusters (cluster
level)
-
런타임 모니터링을 활성화하는 방법에 관계없이 다음 단계를 수행하면 조직의 모든 멤버 계정에 대해 선택적 Amazon ECS Fargate 작업을 모니터링하는 데 도움이 됩니다.
-
자동 에이전트 구성 섹션에서 구성을 활성화하지 마세요. 런타임 모니터링 구성을 이전 단계에서 선택한 것과 동일하게 유지합니다.
-
저장(Save)을 선택합니다.
-
신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. AWS Organizations 사용자 가이드의 승인된 원칙을 제외하고 태그 수정 금지에 제공된 정책이 여기에 적용되도록 수정되었습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Amazon ECS 클러스터에 포함 태그를 사용하는 경우 GuardDuty 에이전트 자동 관리를 명시적으로 활성화할 필요가 없습니다.
-
서비스의 일부인 작업을 모니터링 GuardDuty 하려면 런타임 모니터링을 활성화한 후 새 서비스 배포가 필요합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나를 사용하여 서비스를 업데이트할 수 있습니다forceNewDeployment.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
기존 활성 멤버 계정에 대한 자동 에이전트 구성 활성화
- Manage for all Amazon ECS clusters (account level)
-
-
런타임 모니터링 페이지의 구성 탭에서 자동 에이전트 구성의 현재 상태를 볼 수 있습니다.
-
자동 에이전트 구성 창의 활성 멤버 계정 섹션에서 작업을 선택합니다.
-
작업에서 기존의 모든 활성 멤버 계정에 대해 활성화를 선택합니다.
-
확인을 선택합니다.
-
서비스의 일부인 작업을 모니터링 GuardDuty 하려면 런타임 모니터링을 활성화한 후 새 서비스 배포가 필요합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나를 사용하여 서비스를 업데이트할 수 있습니다forceNewDeployment.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
키-값 페어를 GuardDutyManaged-로 사용하여이 Amazon ECS 클러스터에 태그를 추가합니다false.
-
신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. AWS Organizations 사용자 가이드의 승인된 원칙을 제외하고 태그 수정 금지에 제공된 정책이 여기에 적용되도록 수정되었습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
에서 GuardDuty 콘솔을 엽니다https://console.aws.amazon.com/guardduty/.
-
탐색 창에서 작업 실행 모니터링을 선택합니다.
-
계정에 대해 자동 에이전트 구성을 활성화하기 전에 항상 Amazon ECS 클러스터에 제외 태그를 추가합니다. 그렇지 않으면 GuardDuty 사이드카 컨테이너가 시작된 Amazon ECS 작업의 모든 컨테이너에 연결됩니다.
구성 탭의 자동 에이전트 구성 섹션의 활성 멤버 계정에서 작업을 선택합니다.
-
작업에서 모든 활성 멤버 계정에 대해 활성화를 선택합니다.
제외되지 않은 Amazon ECS 클러스터의 경우 GuardDuty는 사이드카 컨테이너에 보안 에이전트 배포를 관리합니다.
-
확인을 선택합니다.
-
서비스의 일부인 작업을 모니터링 GuardDuty 하려면 런타임 모니터링을 활성화한 후 새 서비스 배포가 필요합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나를 사용하여 서비스를 업데이트할 수 있습니다forceNewDeployment.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
- Manage for selective (inclusion only) Amazon ECS clusters (cluster
level)
-
-
모든 작업을 포함하려는 Amazon ECS 클러스터에 태그를 추가합니다. 키-값 쌍은 GuardDutyManaged-true여야 합니다.
-
신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. AWS Organizations 사용자 가이드의 승인된 원칙을 제외하고 태그 수정 금지에 제공된 정책이 여기에 적용되도록 수정되었습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Amazon ECS 클러스터에 포함 태그를 사용하는 경우 자동 에이전트 구성을 명시적으로 활성화할 필요가 없습니다.
-
서비스의 일부인 작업을 모니터링 GuardDuty 하려면 런타임 모니터링을 활성화한 후 새 서비스 배포가 필요합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나를 사용하여 서비스를 업데이트할 수 있습니다forceNewDeployment.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
새 멤버에 대한 자동 에이전트 구성 자동 활성화
- Manage for all Amazon ECS clusters (account level)
-
-
런타임 모니터링 페이지에서 편집을 선택하여 기존 구성을 업데이트합니다.
-
자동 에이전트 구성 섹션에서 새 멤버 계정에 대해 자동 활성화를 선택합니다.
-
저장(Save)을 선택합니다.
-
서비스의 일부인 작업을 모니터링 GuardDuty 하려면 런타임 모니터링을 활성화한 후 새 서비스 배포가 필요합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나를 사용하여 서비스를 업데이트할 수 있습니다forceNewDeployment.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
키-값 페어를 GuardDutyManaged-로 사용하여이 Amazon ECS 클러스터에 태그를 추가합니다false.
-
신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. AWS Organizations 사용자 가이드의 승인된 원칙을 제외하고 태그 수정 금지에 제공된 정책이 여기에 적용되도록 수정되었습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
에서 GuardDuty 콘솔을 엽니다https://console.aws.amazon.com/guardduty/.
-
탐색 창에서 작업 실행 모니터링을 선택합니다.
-
계정에 대해 자동 에이전트 구성을 활성화하기 전에 항상 Amazon ECS 클러스터에 제외 태그를 추가합니다. 그렇지 않으면 GuardDuty 사이드카 컨테이너가 시작된 Amazon ECS 작업의 모든 컨테이너에 연결됩니다.
구성 탭의 자동 에이전트 구성 섹션에서 새 멤버 계정에 대해 자동으로 활성화를 선택합니다.
제외되지 않은 Amazon ECS 클러스터의 경우 GuardDuty는 사이드카 컨테이너에 보안 에이전트 배포를 관리합니다.
-
저장(Save)을 선택합니다.
-
서비스의 일부인 작업을 모니터링 GuardDuty 하려면 런타임 모니터링을 활성화한 후 새 서비스 배포가 필요합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나를 사용하여 서비스를 업데이트할 수 있습니다forceNewDeployment.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
- Manage for selective (inclusion only) Amazon ECS clusters (cluster
level)
-
-
모든 작업을 포함하려는 Amazon ECS 클러스터에 태그를 추가합니다. 키-값 쌍은 GuardDutyManaged-true여야 합니다.
-
신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. AWS Organizations 사용자 가이드의 승인된 원칙을 제외하고 태그 수정 금지에 제공된 정책이 여기에 적용되도록 수정되었습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Amazon ECS 클러스터에 포함 태그를 사용하는 경우 자동 에이전트 구성을 명시적으로 활성화할 필요가 없습니다.
-
서비스의 일부인 작업을 모니터링 GuardDuty 하려면 런타임 모니터링을 활성화한 후 새 서비스 배포가 필요합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나를 사용하여 서비스를 업데이트할 수 있습니다forceNewDeployment.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
활성 멤버 계정에 대한 자동 에이전트 구성을 선택적으로 활성화
- Manage for all Amazon ECS (account level)
-
-
계정 페이지에서 런타임 모니터링 자동화 에이전트 구성(ECS-Fargate)을 활성화할 계정을 선택합니다. 여러 계정을 선택할 수 있습니다. 이 단계에서 선택한 계정이 이미 런타임 모니터링이 활성화되어 있는지 확인하세요.
-
보호 계획 편집에서 적절한 옵션을 선택하여 런타임 모니터링 자동화 에이전트 구성(ECS-Fargate)을 활성화합니다.
-
확인을 선택합니다.
-
서비스의 일부인 작업을 모니터링 GuardDuty 하려면 런타임 모니터링을 활성화한 후 새 서비스 배포가 필요합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나를 사용하여 서비스를 업데이트할 수 있습니다forceNewDeployment.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
- Manage for all Amazon ECS clusters but exclude some of the clusters
(cluster level)
-
-
키-값 페어를 GuardDutyManaged-로 사용하여이 Amazon ECS 클러스터에 태그를 추가합니다false.
-
신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. AWS Organizations 사용자 가이드의 승인된 원칙을 제외하고 태그 수정 금지에 제공된 정책이 여기에 적용되도록 수정되었습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
에서 GuardDuty 콘솔을 엽니다https://console.aws.amazon.com/guardduty/.
-
탐색 창에서 작업 실행 모니터링을 선택합니다.
-
계정에 대한 GuardDuty 에이전트 자동 관리를 활성화하기 전에 항상 Amazon ECS 클러스터에 제외 태그를 추가합니다. 그렇지 않으면 GuardDuty 사이드카 컨테이너가 시작된 Amazon ECS 작업의 모든 컨테이너에 연결됩니다.
계정 페이지에서 런타임 모니터링 자동화 에이전트 구성(ECS-Fargate)을 활성화할 계정을 선택합니다. 여러 계정을 선택할 수 있습니다. 이 단계에서 선택한 계정이 이미 런타임 모니터링이 활성화되어 있는지 확인하세요.
제외되지 않은 Amazon ECS 클러스터의 경우 GuardDuty는 사이드카 컨테이너에 보안 에이전트 배포를 관리합니다.
-
보호 계획 편집에서 적절한 옵션을 선택하여 런타임 모니터링 자동화 에이전트 구성(ECS-Fargate)을 활성화합니다.
-
저장(Save)을 선택합니다.
-
서비스의 일부인 작업을 모니터링 GuardDuty 하려면 런타임 모니터링을 활성화한 후 새 서비스 배포가 필요합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나를 사용하여 서비스를 업데이트할 수 있습니다forceNewDeployment.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
- Manage for selective (inclusion only) Amazon ECS clusters (cluster
level)
-
-
모니터링하려는 Amazon ECS 클러스터가 있는 선택한 계정에 대해 자동 에이전트 구성(또는 런타임 모니터링 자동 에이전트 구성(ECS-Fargate))을 활성화하지 않았는지 확인합니다.
-
모든 작업을 포함하려는 Amazon ECS 클러스터에 태그를 추가합니다. 키-값 쌍은 GuardDutyManaged-true여야 합니다.
-
신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. AWS Organizations 사용자 가이드의 승인된 원칙을 제외하고 태그 수정 금지에 제공된 정책이 여기에 적용되도록 수정되었습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
Amazon ECS 클러스터에 포함 태그를 사용하는 경우 자동 에이전트 구성을 명시적으로 활성화할 필요가 없습니다.
-
서비스의 일부인 작업을 모니터링 GuardDuty 하려면 런타임 모니터링을 활성화한 후 새 서비스 배포가 필요합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나를 사용하여 서비스를 업데이트할 수 있습니다forceNewDeployment.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
에 로그인 AWS Management Console 하고에서 GuardDuty 콘솔을 엽니다https://console.aws.amazon.com/guardduty/.
-
탐색 창에서 작업 실행 모니터링을 선택합니다.
-
구성 탭에서 다음을 수행합니다.
-
모든 Amazon ECS 클러스터에 대한 자동 에이전트 구성을 관리하려면(계정 수준)
AWS Fargate (ECS만 해당)에 대한 자동 에이전트 구성 섹션에서 활성화를 선택합니다. 새 Fargate Amazon ECS 작업이 시작되면 GuardDuty 는 보안 에이전트의 배포를 관리합니다.
-
저장(Save)을 선택합니다.
-
일부 Amazon ECS 클러스터를 제외하여 자동 에이전트 구성을 관리하려면(클러스터 수준)
-
모든 작업을 제외하려는 Amazon ECS 클러스터에 태그를 추가합니다. 키-값 쌍은 GuardDutyManaged-false여야 합니다.
-
신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. AWS Organizations 사용자 가이드의 승인된 원칙을 제외하고 태그 수정 금지에 제공된 정책이 여기에 적용되도록 수정되었습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
-
구성 탭에서 자동 에이전트 구성 섹션에서 활성화를 선택합니다.
계정에 대한 GuardDuty 에이전트 자동 관리를 활성화하기 전에 항상 Amazon ECS 클러스터에 제외 태그를 추가합니다. 그렇지 않으면 해당 Amazon ECS 클러스터 내에서 시작된 모든 작업에 보안 에이전트가 배포됩니다.
제외되지 않은 Amazon ECS 클러스터의 경우 GuardDuty는 사이드카 컨테이너에 보안 에이전트 배포를 관리합니다.
-
저장(Save)을 선택합니다.
-
일부 Amazon ECS 클러스터를 포함하여 자동 에이전트 구성을 관리하려면(클러스터 수준)
-
모든 작업을 포함하려는 Amazon ECS 클러스터에 태그를 추가합니다. 키-값 쌍은 GuardDutyManaged-true여야 합니다.
-
신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. AWS Organizations 사용자 가이드의 승인된 원칙을 제외하고 태그 수정 금지에 제공된 정책이 여기에 적용되도록 수정되었습니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
-
서비스의 일부인 작업을 모니터링 GuardDuty 하려면 런타임 모니터링을 활성화한 후 새 서비스 배포가 필요합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나를 사용하여 서비스를 업데이트할 수 있습니다forceNewDeployment.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
