View a markdown version of this page

문제 해결 - AWS의 자동 보안 응답
PutS3BucketPolicyDeny 실패솔루션을 비활성화하는 방법

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

문제 해결

알려진 문제 해결은 알려진 오류를 완화하기 위한 지침을 제공합니다. 이러한 지침으로 문제가 해결되지 않는 경우 AWS Support에 문의하세요.이 솔루션에 대한 AWS Support 사례를 개설하기 위한 지침을 제공합니다.

PutS3BucketPolicyDeny 실패

관련 제어: AWS FSBP v1.0.0 S3.6, NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2

문제: 다음 오류가 있는 PutS3BucketPolicyDeny:

Unable to create an explicit deny statement for {bucket_name}.

대상 버킷의 모든 정책에 대한 보안 주체가 "*"인 경우 솔루션은 모든 보안 주체에 대한 모든 버킷 작업을 차단하므로 대상 버킷에 거부 정책을 추가할 수 없습니다.

해결 방법: "*" 보안 주체를 사용하는 대신 특정 계정에 대한 작업을 허용하고 거부된 작업을 제한하도록 버킷 정책을 수정합니다.

솔루션을 비활성화하는 방법

인시던트가 발생하는 경우 인프라를 제거하지 않고 솔루션을 비활성화해야 할 수 있습니다. 이러한 시나리오에서는 솔루션에서 다양한 구성 요소를 비활성화하는 방법을 자세히 설명합니다.

시나리오 1: 단일 제어에 대한 자동 문제 해결 비활성화

  1. 관리자 계정에서 AWS CloudFormation 콘솔로 이동합니다.

  2. 관리자 스택을 찾아 출력 탭을 확인합니다.

  3. RemediationConfigurationDynamoDBTable 출력 값을 복사합니다.

  4. DynamoDB 콘솔로 이동하여 문제 해결 구성 테이블을 엽니다.

  5. Explore Table Items(테이블 항목 탐색)를 선택합니다.

  6. 항목 스캔 또는 쿼리에서 쿼리를 선택합니다.

  7. 파티션 키: controlId 필드에 제어 ID(예: Lambda.1)를 입력하고 실행을 클릭합니다.

  8. 반환된 항목을 선택한 다음 작업 > 항목 편집을 클릭합니다.

  9. automatedRemediationEnabled 속성 값을 False로 변경합니다.

  10. 저장 및 닫기를 클릭합니다.

시나리오 2: 모든 제어에 대한 자동 문제 해결 비활성화

  1. 시나리오 1의 1~5단계를 따라 문제 해결 구성 테이블 항목에 액세스합니다.

  2. 스캔 또는 쿼리 항목에서 스캔을 선택하여 모든 컨트롤을 봅니다.

  3. TrueautomatedRemediationEnabled 설정된 각 컨트롤에 대해 항목을 선택하고 작업 > 항목 편집을 클릭합니다.

  4. automatedRemediationEnabled 속성 값을 False로 변경하고 저장 후 닫기를 클릭합니다.

  5. 비활성화하려는 모든 컨트롤에 대해 반복합니다.

시나리오 3: 계정에 대한 수동 문제 해결 비활성화

  1. EventBridge 콘솔로 이동합니다.

  2. 사이드바에서 규칙을 선택합니다.

  3. 기본 이벤트 버스를 선택하고를 검색합니다Remediate_with_ASR_CustomAction.

  4. 규칙을 선택하고 비활성화 버튼을 클릭합니다.