# 감사 가이드
이 자습서에서는 반복 감사 구성, 경보 설정, 감사 결과 검토 및 감사 문제 완화에 대한 지침을 제공합니다.
**Topics**
+ [사전 조건](#audit-tutorial-prerequisites)
+ [감사 검사 활성화](#audit-tutorial-enable-checks)
+ [감사 결과 보기](#audit-tutorial-view-audit)
+ [감사 완화 작업 생성](#audit-tutorial-mitigation)
+ [감사 결과에 완화 작업 적용](#apply-mitigation-actions)
+ [AWS IoT Device Defender Audit IAM 역할 생성(선택 사항)](#audit-iam)
+ [SNS 알림 활성화(선택 사항)](#audit-tutorial-enable-sns)
+ [고객 관리형 키에 대한 권한 구성(선택 사항)](#audit-tutorial-cmk-permissions)
+ [로깅 활성화(선택 사항)](#enable-logging)
## 사전 조건
이 자습서를 완료하려면 다음이 필요합니다.
+ AWS 계정. 이것이 없는 경우 [설정](https://docs.aws.amazon.com/iot/latest/developerguide/dd-setting-up.html)을 참조하세요.
## 감사 검사 활성화
다음 절차에서는 계정 및 디바이스 설정과 정책을 검토하는 감사 검사와 보안 조치가 구현되어 있는지 확인합니다. 이 자습서에서는 모든 감사 검사를 사용하도록 지시하지만 원하는 검사를 선택할 수 있습니다.
감사 요금은 디바이스 개수당 월별로 계산됩니다(AWS IoT에 연결된 플릿 디바이스). 따라서 감사 검사를 추가하거나 제거해도 이 기능을 사용할 때 월별 청구서에 영향을 미치지 않습니다.
1. [AWS IoT 콘솔](https://console.aws.amazon.com/iot)을 엽니다. 탐색 창에서 **보안**을 확장하고 **인트로**를 선택합니다.
1. **AWS IoT 보안 감사 자동화**를 선택합니다. 감사 점검이 자동으로 켜집니다.
1. **감사**를 확장하고 **설정**을 선택하여 감사 점검을 확인합니다. 감사 점검 이름을 선택하여 감사 점검의 기능을 알아보세요. 감사 검사에 대한 자세한 내용은 [감사 검사](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-audit-checks.html)를 참조하세요.
1. (선택 사항) 사용하려는 역할이 이미 있는 경우 **서비스 권한 관리**를 선택하고 목록에서 역할을 선택한 다음 **업데이트**를 선택합니다.
## 감사 결과 보기
다음 절차에서는 감사 결과를 보는 방법을 보여줍니다. 이 자습서에서는 [감사 검사 활성화](#audit-tutorial-enable-checks) 자습서에서 설정한 감사 검사의 감사 결과를 봅니다.
**감사 결과를 보려면**
1. [AWS IoT 콘솔](https://console.aws.amazon.com/iot)을 엽니다. 탐색 창에서 **보안**, **감사**를 확장한 다음 **결과**를 선택합니다.
1. 조사할 감사 일정의 **이름**을 선택합니다.
1. **규정 미준수 점검**의 **완화**에서 정보 버튼을 선택하여 규정 미준수 사유에 대한 정보를 확인하세요. 규정 미준수 점검이 규정을 준수하도록 하는 방법에 대한 지침은 [감사 검사](device-defender-audit-checks.md) 섹션을 참조하세요.
## 감사 완화 작업 생성
다음 절차에서는 AWS IoT 로깅을 활성화할 AWS IoT Device Defender 감사 완화 작업을 생성합니다. 각 감사 검사에는 매핑된 완화 작업이 있으며 이러한 작업은 수정하려는 감사 검사에 대해 선택하는 **작업 유형**에 영향을 줍니다. 자세한 내용은 [완화 작업](https://docs.aws.amazon.com/iot/latest/developerguide/device-defender-mitigation-actions.html#defender-audit-apply-mitigation-actions.html)을 참조하세요.
**AWS IoT 콘솔을 사용하여 완화 작업을 생성하려면**
1. [AWS IoT 콘솔](https://console.aws.amazon.com/iot)을 엽니다. 탐색 창에서 **보안**, **탐지**를 확장한 다음 **완화 작업**을 선택합니다.
1. **Mitigation actions**(완화 작업) 페이지에서 **Create**(생성)를 선택합니다.
1. **새 완화 작업 생성** 페이지의 **작업 이름**에서 완화 작업에 고유한 이름(예: *EnableErrorLoggingAction*)을 입력합니다.
1. **작업 유형**에서 **AWS IoT 로깅 활성화**를 선택합니다.
1. **권한**에서 **역할 생성**을 선택합니다. **역할 이름**에 *IoTMitigationActionErrorLoggingRole*을 사용합니다. 그다음에 **생성**을 선택합니다.
1. **파라미터**에서 **로깅을 위한 역할**에 `IoTMitigationActionErrorLoggingRole`을 선택합니다. **로그 수준**에 `Error`을(를) 선택합니다.
1. **생성(Create)**을 선택합니다.
## 감사 결과에 완화 작업 적용
다음 절차에서는 감사 결과에 완화 작업을 적용하는 방법을 소개합니다.
**비준수 감사 결과를 완화하려면**
1. [AWS IoT 콘솔](https://console.aws.amazon.com/iot)을 엽니다. 탐색 창에서 **보안**, **감사**를 확장한 다음 **결과**를 선택합니다.
1. 대응하려는 감사 결과를 선택합니다.
1. 결과를 확인하세요.
1. **Start mitigation actions**(완화 작업 시작)를 선택합니다.
1. **로깅이 비활성화**된 경우 이전에 만든 완화 작업인 `EnableErrorLoggingAction`을 선택합니다. 각 규정 미준수 결과에 대해 적절한 작업을 선택하여 문제를 해결합니다.
1. **사유 코드 선택**에서 감사 점검에서 반환된 사유 코드를 선택합니다.
1. **작업 시작**을 선택합니다. 완화 작업을 실행하는 데 몇 분이 걸릴 수 있습니다.
**완화 작업이 작동하는지 확인하려면**
1. AWS IoT 콘솔의 탐색 창에서 **설정**을 선택합니다.
1. **서비스 로그**에서 **로그 수준**이 `Error (least verbosity)`인지 확인합니다.
## AWS IoT Device Defender Audit IAM 역할 생성(선택 사항)
다음 절차에서 AWS IoT에 대한 읽기 액세스 권한을 AWS IoT Device Defender에 제공하는 AWS IoT Device Defender Audit IAM 역할을 생성합니다.
**AWS IoT Device Defender에 대한 서비스 역할을 생성하는 방법 (콘솔)**
1. AWS Management Console에 로그인하여 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. IAM 콘솔의 탐색 창에서 **역할**을 선택하고 **역할 생성**을 선택합니다.
1. **AWS 서비스** 역할 유형을 선택합니다.
1. **다른 AWS 서비스의 사용 사례**에서 **AWS IoT**를 선택한 다음 **IoT - Device Defender Audit**를 선택합니다.
1. **다음**을 선택합니다.
1. (선택 사항) [권한 경계](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)를 선택합니다. 이는 서비스 역할에서 사용 가능한 고급 기능이며 서비스에 연결된 역할은 아닙니다.
**권한 경계** 섹션을 열고 **최대 역할 권한을 관리하기 위한 권한 경계 사용**을 선택합니다. IAM은 계정의 AWS관리형 또는 고객 관리형 정책 목록을 포함합니다. 권한 경계를 사용하기 위한 정책을 선택하거나 **정책 생성**을 선택하여 새 브라우저 탭을 열고 완전히 새로운 정책을 생성합니다. 자세한 내용은 *IAM 사용자 설명서*에서 [IAM 정책 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-start)을 참조하세요. 정책을 생성하면 탭을 닫고 원래 탭으로 돌아와 권한 경계에 사용할 정책을 선택합니다.
1. **다음**을 선택합니다.
1. 이 역할의 목적을 식별하는 데 도움이 되는 역할 이름을 입력합니다. 역할 이름은 AWS 계정 내에서 고유해야 합니다. 대소문자는 구별하지 않습니다. 예를 들어, 이름이 **PRODROLE**과 **prodrole**, 두 가지로 지정된 역할을 만들 수는 없습니다. 다양한 개체가 역할을 참조할 수 있기 때문에 역할이 생성된 후에는 역할 이름을 편집할 수 없습니다.
1. (선택 사항)**설명**에 새 역할에 대한 설명을 입력합니다.
1. **1단계: 신뢰할 수 있는 엔터티 선택(Step 1: Select trusted entities)** 또는 **2단계: 권한 선택(Step 2: Select permissions)** 섹션에서 **편집(Edit)**을 선택하여 역할에 대한 사용 사례와 권한을 편집합니다.
1. (선택 사항) 태그를 키 값 페어로 연결하여 메타데이터를 사용자에게 추가합니다. IAM에서 태그 사용에 대한 자세한 내용을 알아보려면 *IAM 사용 설명서*의 [IAM 리소스에 태그 지정](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)을 참조하십시오.
1. 역할을 검토한 다음 **역할 생성**을 선택합니다.
## SNS 알림 활성화(선택 사항)
다음 절차에서는 Amazon SNS(SNS) 알림을 사용하여 감사에서 규정 미준수 리소스를 식별할 때 알림을 받습니다. 이 자습서에서는 [감사 검사 활성화](#audit-tutorial-enable-checks) 자습서에서 활성화된 감사 검사에 대한 알림을 설정합니다.
1. 아직 연결하지 않았다면 AWS Management Console을 통해 SNS에 액세스할 수 있는 정책을 연결하세요. **IAM 사용 설명서의 [정책을 IAM 사용자 그룹에 연결](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_attach-policy.html)의 지침을 따르고 **AWSIoTDeviceDefenderPublishFindingsToSNSMitigationAction** 정책을 선택하면 됩니다.
1. [AWS IoT 콘솔](https://console.aws.amazon.com/iot)을 엽니다. 탐색 창에서 **보안**, **감사**를 확장한 다음 **설정**을 선택합니다.
1. **Device Defender 감사 설정** 페이지 하단에서 **SNS 알림 활성화**를 선택합니다.
1. **활성**을 선택합니다.
1. **주제**에서 **새 주제 생성**을 선택합니다. 주제 이름을 *IoTDDNotifications*로 지정하고 **생성**을 선택합니다. **역할**에서 [AWS IoT Device Defender Audit IAM 역할 생성(선택 사항)](#audit-iam)에서 생성한 역할을 선택합니다.
1. **업데이트**를 선택합니다.
1. Amazon SNS를 통해 Ops 플랫폼에서 이메일이나 문자를 수신하려면 [사용자 알림에 Amazon Simple Notification Service 사용](https://docs.aws.amazon.com/sns/latest/dg/sns-user-notifications.html)을 참조하세요.
## 고객 관리형 키에 대한 권한 구성(선택 사항)
**참고**
이 구성은 AWS IoT Core에 대한 고객 관리형 키를 옵트인한 경우에만 필요합니다. 저장 시 AWS IoT Core 암호화에 대한 자세한 내용은 [ AWS IoT Core의 저장 시 데이터 암호화](https://docs.aws.amazon.com/iot/latest/developerguide/encryption-at-rest.html)를 참조하세요.
저장된 AWS IoT Core 암호화에 대해 고객 관리형 키(CMK)를 활성화한 경우 AWS IoT Device Defender Audit에서 사용하는 IAM 역할에는 데이터를 해독할 수 있는 추가 권한이 필요합니다. 이러한 권한이 없으면 감사 작업이 실패합니다.
[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIoTDeviceDefenderAudit.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSIoTDeviceDefenderAudit.html) 관리형 정책에는 최소 권한 원칙에 따라 설계상 `kms:Decrypt` 권한이 포함되지 않습니다. 고객 관리형 키를 사용할 때는 감사 역할에 이러한 권한을 수동으로 추가해야 합니다.
**AWS IoT Device Defender Audit IAM 역할에 KMS 권한을 추가하는 방법**
1. AWS Management Console에 로그인하여 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. 탐색 창에서 **역할**을 선택한 다음 [AWS IoT Device Defender Audit IAM 역할 생성(선택 사항)](#audit-iam)에서 생성한 역할 또는 감사 설정을 구성할 때 지정한 역할을 검색합니다.
1. 역할 이름을 선택하여 세부 정보 페이지를 엽니다.
1. **권한** 탭에서 **권한 추가**, **인라인 정책 생성**을 차례로 선택합니다.
1. **JSON** 탭을 선택하고 다음 정책을 입력합니다. *REGION*, *ACCOUNT\$1ID* 및 *KEY\$1ID*를 다음의 AWS KMS 키 세부 정보로 바꿉니다.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": "arn:aws:kms:REGION:ACCOUNT_ID:key/KEY_ID"
}
]
}
```
1. **다음**을 선택합니다.
1. **정책 이름**에 설명이 포함된 이름을 입력합니다(예: **DeviceDefenderAuditKMSDecrypt**).
1. **정책 생성**을 선택합니다.
## 로깅 활성화(선택 사항)
이 절차에서는 AWS IoT이(가) CloudWatch Logs에 정보를 로깅하도록 설정하는 방법을 설명합니다. 이렇게 하면 감사 결과를 볼 수 있습니다. 로깅을 활성화하면 요금이 발생할 수 있습니다.
**로깅을 활성화하려면**
1. [AWS IoT 콘솔](https://console.aws.amazon.com/iot)을 엽니다. 탐색 창에서 **설정**을 선택합니다.
1. **로그**에서 **로그 관리**를 선택합니다.
1. **역할 선택**에서 **역할 생성**을 선택합니다. 역할 이름을 *AWSIoTLoggingRole*로 지정하고 **생성**을 선택합니다. 정책이 자동으로 연결됩니다.
1. **로그 수준**에서 **디버그(최대 상세 수준)**를 선택합니다.
1. **업데이트**를 선택합니다.