작동 방식 웹 UI에서 직접 문제 해결 실행 사용 가능한 조사 결과 및 문제 해결 필터링 웹 UI의 인증 및 권한 부여 외부 IdPs와 통합

웹 UI

솔루션의 웹 UI를 사용하면 클릭 한 번으로 AWS Security Hub 조사 결과를 수정하고, 이전 수정 사항을 보고 다운로드하고, 솔루션에 대한 액세스를 위임할 수 있습니다.

솔루션을 사용하는 데 웹 UI가 필요하지 않습니다. 또는 수동 실행이 필요하지 않도록 완전 자동화된 문제 해결을 구성하거나 AWS Security Hub CSPM 콘솔을 활용하여 ASR로 문제 해결 사용자 지정 작업을 사용하여 문제 해결을 시작할 수 있습니다.

참고

솔루션의 웹 UI를 사용하려면 관리자 스택을 배포할 때 ShouldDeployWebUI 파라미터를 "yes"로 설정해야 합니다.

작동 방식

솔루션의 웹 사용자 인터페이스는 Amazon S3에서 계정에서 호스팅하고 Amazon CloudFront에서 배포하는 단일 페이지 웹 애플리케이션입니다. 또한이 솔루션은 API Gateway를 사용하여 REST API를 배포하여 웹 UI에서 작업을 지원합니다.

관리자 스택이 배포되면 솔루션의 Lambda 함수가 관리자 계정에 있는 솔루션에서 지원하는 모든 AWS Security Hub 조사 결과를 DynamoDB로 로드하기 시작합니다. 이 작업이 완료되면 솔루션에서 배포한 EventBridge 규칙 덕분에 웹 UI에 제시된 결과가 Security Hub와 거의 실시간으로 동기화됩니다.

매주 솔루션의 Lambda 함수가 트리거되어 웹 UI에 표시된 AWS Security Hub 조사 결과를 저장하는 DynamoDB 테이블을 새로 고칩니다. 이렇게 하면 오래된 데이터가 정리되고 DynamoDB 테이블이 up-to-date 유지됩니다. 이 기준을 더 자주 또는 덜 자주 실행하도록 구성하려면 솔루션을 배포한 리전과 동일한 리전의 관리자 계정에 SO0111-ASR-SynchronizationFindingsLambdaWeeklyRule 있는 라는 EventBridge 규칙을 수정합니다.

웹 UI에서 직접 문제 해결 실행

조사 결과 페이지에서 관리자 또는 위임된 관리자 사용자는 솔루션에서 지원하는 모든 AWS Security Hub 조사 결과를 볼 수 있습니다. 여기에는 Security Hub 기본 계정에 온보딩된 Security Hub 멤버 계정에 대한 조사 결과가 포함됩니다. 솔루션이 집계 리전에도 배포된 경우 온보딩된 리전의 조사 결과도 표시됩니다. 솔루션에서 지원하는 결과 목록을 보려면 플레이북 섹션을 참조하세요.

계정 운영자 사용자는 초대에 정의된 대로 액세스할 수 있는 AWS 계정에서 시작된 조사 결과만 볼 수 있습니다. 또한 연결된 계정의 리소스에 대해서만 문제 해결을 실행할 수 있습니다.

문제 해결을 실행하려면 테이블에서 원하는 수의 항목을 선택하고 작업 > 문제 해결을 클릭합니다. 기본 보기에서 선택한 결과를 숨기는 작업 > 억제를 클릭하여 결과를 억제할 수도 있습니다. 억제된 결과 표시 토글을 클릭하여 언제든지 억제된 결과를 볼 수 있습니다.

결과에 대한 수정을 시작한 후 수정이 In Progress 또는 인 동안 수정 상태 열을 클릭하여 실행 기록 페이지에서 해당 수정으로 바로 이동할 Failed 수 있습니다.

사용 가능한 조사 결과 및 문제 해결 필터링

조사 결과 및 실행 기록 페이지에서 각 테이블에 있는 열을 기준으로 테이블에 표시되는 데이터를 필터링할 수 있습니다.

예를 들어 조사 결과 페이지에서 조사 결과 유형을 필터링하여 검색 창을 클릭하고 조사 결과 유형을 선택하여 특정 종류의 AWS Security Hub 조사 결과(예: Lambda.1 또는 Athena.4)를 검색할 수 있습니다.

참고

검색 창에 자동으로 채워지는 값은 사용 가능한 데이터의 포괄적인 목록을 나타내지 않습니다. 각 검색 기준에 대해 제안된 값은 현재 가져와서 UI에 표시된 데이터만 나타냅니다.

단일 검색으로 여러 속성을 결합할 수도 있습니다. 예를 들어 검색에 결과 유형과 리소스 ID를 모두 적용하여 논리적 AND 쿼리를 수행할 수 있습니다. 또한 동일한 필터 기준 중 여러 개를 적용하여 결과 유형 = Lambda.1 및 결과 유형 = Athena.4와 같은 논리적 OR 검색을 수행할 수 있습니다. 실행 기록 페이지에도 동일한 원칙이 적용됩니다.

웹 UI의 인증 및 권한 부여

솔루션의 웹 UI는 Amazon Cognito에서 제공하는 인증으로 보호됩니다. 솔루션이 배포되면 Cognito 사용자 풀, Cognito 앱 클라이언트 및 Cognito 사용자 풀 도메인이 웹 UI와 함께 프로비저닝되고 구성됩니다. 관리자 스택에 파라미터로 제공된 이메일 주소에는 임시 자격 증명이 할당되고 웹 UI에 대한 관리자 액세스 권한이 부여됩니다.

웹 UI에 대한 사용자의 액세스를 정의하는 세 가지 권한 유형이 있습니다.

권한 유형	액세스 레벨	사용 사례
관리자	웹 UI의 전체 제어, 모든 조사 결과 및 수정 사항을 보고, 수정 사항을 실행하고, 사용자를 초대/보기할 수 있습니다.	CloudFormation 배포 중에 이메일 주소를 제공할 때 관리자 스택을 배포한 사용자에게만 할당됩니다.
위임된 관리자	웹 UI의 향상된 제어. 모든 조사 결과 및 수정 사항을 보고, 수정 사항을 실행하고, 계정 운영자 사용자를 초대/보기할 수 있습니다. 웹 UI에서 관리자 및 위임된 관리자를 초대하거나 볼 수 없습니다.	관리자 사용자는 수정 사항을 실행하고 관리할 수 있는 위임된 관리자 사용자를 초대하여 솔루션에 대한 액세스를 위임할 수 있습니다.
계정 연산자	웹 UI의 제한된 제어, 초대 시 연결된 계정에서만 결과를 보고 수정할 수 있도록 제한됩니다. 추가 사용자를 초대하거나 볼 수 없습니다.	온보딩된 계정의 하위 집합에서 문제 해결을 실행할 수 있는 액세스 권한이 제한되어야 하는 Day-to-day 사용자입니다. 관리자 또는 위임된 관리자는 이러한 사용자를 초대하고 범위를 정의할 책임이 있습니다.

모든 사용자는 웹 UI에 로그인하기 전에 관리자 또는 위임된 관리자의 초대를 받아야 합니다. 추가 사용자를 초대하기 위해 관리자 또는 위임된 관리자는 웹 UI의 사용자 초대 페이지에 이메일 주소와 권한 수준을 입력할 수 있습니다.

관리자와 위임된 관리자는 기존 사용자를 보고, 관리하고, 삭제할 수도 있습니다. 모든 사용자 목록을 보려면 사용자 보기 페이지로 이동합니다.

기존 사용자를 관리하려면 테이블에서 사용자를 선택하고 사용자 관리를 클릭합니다. 그런 다음 사용자 삭제를 클릭하여 사용자를 삭제할 수 있습니다. 사용자가 계정 연산자인 경우 솔루션의 컨텍스트에서 액세스할 수 있는 AWS 계정 IDs 목록을 수정할 수 있습니다. 기존 사용자의 권한 유형 변경은 현재 지원되지 않습니다.

위임된 관리자는 계정 운영자 사용자만 보고 관리할 수 있습니다.

외부 IdPs와 통합

솔루션에서 제공하는 인증 메커니즘을 사용자 지정하여 사용자가 Okta 또는 Microsoft Entra ID와 같은 자체 OIDC 또는 SAML 자격 증명 공급자를 사용하여 로그인할 수 있도록 할 수 있습니다. 다음 단계에 따라 외부 IdPs와 통합하려면 관리자 스택이 배포된 AWS 계정에 액세스해야 합니다.

중요

솔루션과 함께 작동하도록 구성한 외부 IdP를 사용하여 로그인하기 전에 사용자를 초대해야 합니다. 또한 IdP 프로필에 연결된 이메일 주소는 초대에 제공된 이메일과 일치해야 합니다.

1단계 - 솔루션의 사용자 풀 찾기

Amazon Cognito 콘솔에서 SO0111-ASR-UserPool이라는 솔루션의 사용자 풀을 찾습니다.

개요 페이지로 이동할 사용자 풀 이름 SO0111-ASR-UserPool을 클릭합니다. 여기에서 탐색 모음에서 소셜 및 외부 공급자를 선택합니다.

2단계 - 자격 증명 공급자 추가

소셜 및 외부 공급자 페이지에서 오른쪽 상단의 ID 제공업체 추가 버튼을 클릭합니다.

자격 증명 공급자에 따라 OIDC 또는 SAML을 선택합니다.

공급자 유형을 선택하면 자격 증명 공급자에 대한 정보를 입력하라는 메시지가 표시됩니다.

SAML 공급자에 대해 다음 필드를 입력합니다.

공급자 이름: 공급자의 표시 이름입니다.
IdP 시작 SAML 로그인: 선택 Require SP-initiated SAML assertions - Recommended
메타데이터 문서 소스: 선택 Upload metadata document
메타데이터 문서: IdP에서 제공하는 SAML 메타데이터 문서를 업로드합니다.
SAML 공급자와 사용자 풀 간의 속성 매핑에서 다른 속성 추가를 클릭합니다. 사용자 풀 속성의 경우 드롭다운email에서를 선택합니다. SAML 속성에 사용자의 이메일 주소가 SAML 자격 증명 공급자에 저장되는 속성의 전체 이름을 입력합니다. 예를 들어 http://schemas.xmlsoap.org/ws/2005/05/identity/claims/emailaddress입니다.
자격 증명 공급자 추가를 클릭하여 변경 사항을 저장합니다.

OIDC 공급자에 대해 다음 필드를 입력합니다.

공급자 이름: 공급자의 표시 이름
클라이언트 ID: OpenID Connect 자격 증명 공급자가 제공한 클라이언트 ID를 입력합니다.
클라이언트 보안 암호: OpenID Connect 자격 증명 공급자가 제공하는 클라이언트 보안 암호를 입력합니다.
승인된 범위:를 입력합니다. openid profile email
속성 요청 방법: 자격 증명 공급자의 구성에 POST 따라 GET 또는를 선택합니다.
설정 방법: OIDC 공급자에서 발급자 URL을 Auto fill through issuer URL 선택하고 입력합니다. 또는 값을 수동으로 입력합니다.
OpenID Connect 공급자와 사용자 풀 간의 맵 속성에서 다른 속성 추가를 클릭합니다. 사용자 풀 속성의 경우 드롭다운email에서를 선택합니다. OpenID Connect 속성에 사용자의 이메일 주소가 OIDC 자격 증명 공급자에 저장되는 속성의 전체 이름을 입력합니다. 예를 들어 email입니다.
자격 증명 공급자 추가를 클릭하여 변경 사항을 저장합니다.

중요

자격 증명 공급자의 속성 이름도 인 경우에도 email 사용자 풀 속성에 대한 속성 매핑을 추가해야 합니다email.

3단계 - 솔루션의 앱 클라이언트에 공급자 추가

앱 클라이언트 페이지로 이동하여 SO0111-ASR-WebUI-UserPoolClient라는 클라이언트를 선택합니다.

로그인 페이지 탭을 클릭하고 관리형 로그인 페이지 구성에서 편집을 클릭합니다.

자격 증명 공급자 필드에서 이전 단계에서 생성한 자격 증명 공급자를 추가합니다. 변경 사항 저장을 클릭합니다.

4단계 - 자격 증명 공급자 구성

로그인 후 ID 제공업체가 솔루션의 웹 UI로 리디렉션하도록 허용하려면 IdP 구성에서 다음 URLs을 허용 목록에 추가해야 합니다.

공급자 유형에 따라 다음 콜백 URLs

SAML 콜백 URL: https://so0111-asr-<your-aws-account-id>.auth.<aws-region>.amazoncognito.com/saml2/idpresponse
OIDC 콜백 URL: https://so0111-asr-<your-aws-account-id>.auth.<aws-region>.amazoncognito.com/oauth2/idpresponse

<your-aws-account-id>를 관리자 스택을 배포한 AWS 계정 ID로,를 관리자 스택을 배포한 리전<aws-region>으로 바꿔야 합니다.

4단계 - 통합 확인

웹 UI 로그인 페이지로 이동합니다. 사용자 지정 자격 증명 공급자가 로그인 페이지에 표시되는지 확인합니다.

통합을 테스트하려면 사용자 초대 페이지를 사용하여 새 사용자를 초대합니다. 그런 다음 웹 UI 로그인 페이지에서 사용자 지정 자격 증명 공급자를 클릭하여 사용자가 인증할 수 있는지 확인합니다.

사용자 지정 IdP의 사용자 프로필은 초대에 제공된 것과 동일한 이메일 주소에 연결되어야 합니다. 즉, 공급자 클레임의 이메일 주소가 초대와 일치해야 합니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

Config 조사 결과에 대한 런북 시작

레퍼런스