기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Bedrock AgentCore에 대한 Security Hub CSPM 제어

이러한 AWS Security Hub CSPM 제어는 Amazon Bedrock AgentCore 서비스 및 리소스를 평가합니다. 컨트롤을 전혀 사용하지 못할 수 있습니다 AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[BedrockAgentCore.1] Bedrock AgentCore 런타임은 VPC 네트워크 모드로 구성해야 합니다.

범주: 보호 > 보안 액세스 관리 > 공개적으로 액세스할 수 없는 리소스

심각도: 높음

리소스 유형: AWS::BedrockAgentCore::Runtime

AWS Config 규칙: bedrockagentcore-runtime-private-network-required

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon Bedrock AgentCore 런타임이 VPC 네트워크 모드로 구성되어 있는지 확인합니다. 런타임의 네트워크 모드가 PUBLIC으로 설정된 경우 제어가 실패합니다.

Amazon Bedrock AgentCore 런타임에 퍼블릭 네트워크 모드를 사용하면 런타임이 인터넷에 직접 노출되어 공격 표면과 무단 액세스 위험이 증가합니다. VPC 네트워크 모드로 런타임을 구성하면 프라이빗 네트워크 내에서 런타임 트래픽이 제한되므로 보안 그룹, 네트워크 ACLs 및 VPC 흐름 로그와 같은 네트워크 수준 보안 제어를 적용할 수 있습니다.

문제 해결

이 결과를 해결하려면 규정을 준수하지 않는 Bedrock AgentCore 런타임을 업데이트하고 VPC 네트워크 모드로 구성합니다. 지침은 Amazon Bedrock AgentCore 개발자 안내서의 Configure Amazon Bedrock AgentCore Runtime and tools for VPC를 참조하세요. AgentCore

[BedrockAgentCore.2] Bedrock AgentCore 게이트웨이는 인바운드 요청에 대한 승인이 필요합니다.

범주: 보호 > 보안 액세스 관리

심각도: 높음

리소스 유형: AWS::BedrockAgentCore::Gateway

AWS Config 규칙: bedrockagentcore-gateway-authorizer-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon Bedrock AgentCore Gateway에 인바운드 요청에 대한 권한이 필요한지 여부를 확인합니다. Bedrock AgentCore Gateway에 인바운드 권한 부여가 설정되어 있지 않으면 제어가 실패합니다.

Amazon Bedrock AgentCore 게이트웨이에서 인증을 구성하면 권한이 있는 클라이언트만 AI 에이전트에게 요청을 보낼 수 있습니다. 권한 부여자가 없으면 게이트웨이 엔드포인트에 대한 네트워크 액세스 권한이 있는 모든 엔터티가 에이전트를 호출하여 무단 데이터 액세스, 리소스 남용 또는 예상치 못한 비용이 발생할 수 있습니다. 인바운드 권한 부여는 AgentCore 게이트웨이를 통해 대상에 액세스하려고 시도하는 사용자를 검증합니다.

문제 해결

Amazon Bedrock AgentCore Gateway에 대한 인바운드 권한 부여를 설정하려면 Amazon Bedrock AgentCore 개발자 안내서의 게이트웨이에 대한 인바운드 권한 부여 설정을 참조하세요.