시작하기 자습서: Amazon Inspector 활성화 - Amazon Inspector –

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

시작하기 자습서: Amazon Inspector 활성화

이 주제에서는 독립 실행형 계정 환경(멤버 계정) 및 다중 계정 환경(위임된 관리자 계정)에 대해 Amazon Inspector를 활성화하는 방법을 설명합니다. Amazon Inspector를 활성화하면 워크로드를 자동으로 검색하고 소프트웨어 취약성 및 의도하지 않은 네트워크 노출이 있는지 스캔하기 시작합니다.

Standalone account environment

다음 절차에서는 콘솔에서 멤버 계정에 대해 Amazon Inspector를 활성화하는 방법을 설명합니다. 프로그래밍 방식으로 Amazon Inspector를 활성화하려면 inspector2-enablement-with-cli를 사용합니다.

  1. 자격 증명을 사용하여 로그인한 다음 Amazon Inspector 콘솔(https://console.aws.amazon.com/inspector/v2/home)을 엽니다.

  2. 시작을 선택합니다.

  3. Amazon Inspector 활성화를 선택합니다.

독립 실행형 계정에 대해 Amazon Inspector를 활성화하면 모든 스캔 유형이 기본적으로 활성화됩니다. 멤버 계정에 대한 자세한 내용은 Amazon Inspector의 위임된 관리자 계정 및 멤버 계정 이해를 참조하세요.

Multi-account (with AWS Organizations policy)

AWS Organizations 정책은 조직 전체에서 Amazon Inspector를 활성화하기 위한 중앙 집중식 거버넌스를 제공합니다. 조직 정책을 사용하면 정책이 적용되는 모든 계정에 대해 Amazon Inspector 활성화가 자동으로 관리되며, 멤버 계정은 Amazon Inspector API를 사용하여 정책 관리형 스캔을 수정할 수 없습니다.

사전 조건

  • 계정은 AWS Organizations 조직의 일부여야 합니다.

  • 에서 조직 정책을 생성하고 관리할 수 있는 권한이 있어야 합니다 AWS Organizations.

  • Amazon Inspector에 대한 신뢰할 수 있는 액세스를 활성화해야 합니다 AWS Organizations. 지침은 AWS Organizations 사용 설명서 Amazon Inspector에 대한 신뢰할 수 있는 액세스 활성화를 참조하세요.

  • Amazon Inspector 서비스 연결 역할은 관리 계정에 있어야 합니다. 생성하려면 관리 계정에서 Amazon Inspector를 활성화하거나 관리 계정에서 다음 명령을 실행합니다.

    • aws iam create-service-linked-role --aws-service-name inspector2.amazonaws.com

    • aws iam create-service-linked-role --aws-service-name agentless.inspector2.amazonaws.com

  • Amazon Inspector 위임된 관리자를 지정해야 합니다.

참고

관리 계정 및 위임된 관리자의 서비스 연결 Amazon Inspector 역할이 없으면 조직 정책은 Amazon Inspector 활성화를 적용하지만 멤버 계정은 중앙 집중식 조사 결과 및 계정 관리를 위해 Amazon Inspector 조직과 연결되지 않습니다.

AWS Organizations 정책을 사용하여 Amazon Inspector를 활성화하려면

  1. 중앙 집중식 조사 결과 가시성을 위해 멤버 계정이 Amazon Inspector 조직과 연결되도록 조직 정책을 생성하기 전에 Amazon Inspector의 위임된 관리자를 지정합니다. AWS Organizations 관리 계정에 로그인하고 https://console.aws.amazon.com/inspector/v2/home Amazon Inspector 콘솔을 연 다음의 단계를 따릅니다AWS 조직의 위임된 관리자 지정.

    참고

    AWS Organizations Amazon Inspector 위임된 관리자 계정 ID와 Amazon Inspector 지정 위임된 관리자 계정 ID를 동일하게 유지하는 것이 좋습니다. AWS Organizations 위임된 관리자 계정 ID가 Amazon Inspector 위임된 관리자 계정 ID와 다른 경우 Amazon Inspector는 Inspector 지정 계정 ID의 우선 순위를 지정합니다. Amazon Inspector 위임된 관리자가 설정되지 않았지만 AWS Organizations 위임된 관리자가 설정되고 관리 계정에 Amazon Inspector 서비스 연결 역할이 있는 경우 Amazon Inspector는 AWS Organizations 위임된 관리자 계정 ID를 Amazon Inspector 위임된 관리자로 자동으로 할당합니다.

  2. Amazon Inspector 콘솔에서 관리 계정의 일반 설정으로 이동합니다. 위임 정책에서 문 연결을 선택합니다. 정책 설명 연결 대화 상자에서 정책을 검토하고 정책을 검토했으며 정책이 부여하는 권한을 이해했음을 확인함을 선택한 다음 설명 연결을 선택합니다.

    중요

    위임 정책 설명을 연결하려면 관리 계정에 다음 권한이 있어야 합니다.

    organizations:PutResourcePolicy 권한이 누락된 경우 작업이 실패하고 오류가 발생합니다Failed to attach statement to the delegation policy.

  3. 다음으로 Amazon Inspector AWS Organizations 정책을 생성합니다. 탐색 창에서 관리를 선택한 다음 구성을 선택합니다.

  4. 취약성 관리 정책을 구성합니다. 정책에 대한 이름 및 설명(선택 사항)과 함께 세부 정보를 제공합니다.

  5. Inspector 구성 페이지의 세부 정보 섹션에 정책의 이름과 설명을 입력합니다. 기능 선택에서 다음 중 하나를 수행합니다.

    • 모든 기능 구성 및 활성화(권장)를 선택합니다. 그러면 EC2, ECR, Lambda 표준, Lambda 코드 스캔 및 코드 보안을 포함한 모든 Inspector 기능이 활성화됩니다.

    • 기능의 하위 집합 선택을 선택합니다. 활성화해야 하는 스캔 유형 기능을 선택합니다.

  6. 계정 선택 섹션에서 다음 옵션 중 하나를 선택합니다.

    • 구성을 모든 조직 단위 및 계정에 적용하려면 모든 조직 단위 및 계정을 선택합니다.

    • 구성을 특정 조직 단위 및 계정에 적용하려면 특정 조직 단위 및 계정을 선택합니다. 이 옵션을 선택하는 경우 검색 창 또는 조직 구조 트리를 사용하여 정책을 적용할 조직 단위 및 계정을 지정합니다.

    • 구성을 조직 단위 또는 계정에 적용하지 않으려면 조직 단위 또는 계정 없음을 선택합니다.

  7. 리전 섹션에서 모든 리전 활성화, 모든 리전 비활성화 또는 리전 지정을 선택합니다.

    • 모든 리전 활성화를 선택하는 경우 새 리전을 자동으로 활성화할지 여부를 결정할 수 있습니다.

    • 모든 리전 비활성화를 선택하는 경우 새 리전을 자동으로 비활성화할지 여부를 결정할 수 있습니다.

    • 리전 지정을 선택하는 경우 활성화 및 비활성화할 리전을 선택해야 합니다.

    (선택 사항) 고급 설정은의 지침을 참조하세요 AWS Organizations.

    (선택 사항) 리소스 태그의 경우 구성을 쉽게 식별할 수 있도록 태그를 키-값 페어로 추가합니다.

  8. 다음을 선택하고 변경 사항을 검토한 다음 적용을 선택합니다. 대상 계정이 정책에 따라 구성됩니다. 정책의 구성 상태가 정책 페이지 상단에 표시됩니다. 각 기능은 구성되었는지 또는 배포 실패가 있는지에 대한 상태를 제공합니다. 실패의 경우 실패 메시지의 링크를 선택하여 자세한 내용을 확인합니다. 계정 수준에서 유효한 정책을 보려면 구성 페이지에서 계정을 선택할 수 있는 조직 탭을 검토할 수 있습니다.

조직 정책을 통해 Amazon Inspector를 활성화하면 정책이 적용되는 계정은 Amazon Inspector API 또는 콘솔을 통해 정책 관리형 스캔 유형을 비활성화할 수 없습니다. 위임된 관리자 및 멤버 계정이 조직 정책에 따라 수행할 수 있는 작업과 수행할 수 없는 작업에 대한 자세한 내용은 섹션을 참조하세요를 사용하여 Amazon Inspector에서 여러 계정 관리 AWS Organizations.

Multi-account (without AWS Organizations policy)
참고

이 절차를 완료하려면 AWS Organizations 관리 계정을 사용해야 합니다. AWS Organizations 관리 계정만 위임된 관리자를 지정할 수 있습니다. 위임된 관리자를 지정하려면 권한이 필요할 수 있습니다. 자세한 내용은 위임 관리자를 지정하는 데 필요한 권한 단원을 참조하십시오.

Amazon Inspector를 처음 활성화하면 Amazon Inspector가 해당 계정에 대한 서비스 연결 역할 AWSServiceRoleForAmazonInspector를 생성합니다. Amazon Inspector에서 서비스 연결 역할을 사용하는 방법에 대한 자세한 내용은 Amazon Inspector에 서비스 연결 역할 사용 섹션을 참조하세요.

Amazon Inspector 위임 관리자를 지정하려면

  1. AWS Organizations 관리 계정에 로그인한 다음 https://console.aws.amazon.com/inspector/v2/home Amazon Inspector 콘솔을 엽니다.

  2. Get started를 선택합니다.

  3. 위임된 관리자에서 위임된 관리자로 AWS 계정 지정할의 12자리 ID를 입력합니다.

  4. 위임을 선택한 다음 위임을 다시 선택합니다.

  5. (선택 사항) AWS Organizations 관리 계정에 대해 Amazon Inspector를 활성화하려면 서비스 권한에서 Amazon Inspector 활성화를 선택합니다.

위임된 관리자를 지정하면 기본적으로 계정에 대해 모든 스캔 유형이 활성화됩니다. 위임된 관리자 계정에 대한 자세한 내용은 Amazon Inspector의 위임된 관리자 계정 및 멤버 계정 이해를 참조하세요.