기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# GuardDuty 보안 에이전트 관리
모니터링하려는 리소스에 대한 GuardDuty 보안 에이전트를 관리할 수 있습니다. 둘 이상의 리소스 유형을 모니터링하려면 해당 리소스에 대한 GuardDuty 에이전트를 관리해야 합니다.
다음 주제는 보안 에이전트를 관리하는 다음 단계에 도움이 됩니다.
**Topics**
+ [Amazon EC2 인스턴스에 자동 보안 에이전트 활성화](managing-gdu-agent-ec2-automated.md)
+ [Amazon EC2 리소스에 대한 보안 에이전트 수동 관리](managing-gdu-agent-ec2-manually.md)
+ [Fargate용 자동 보안 에이전트 관리(Amazon ECS만 해당)](managing-gdu-agent-ecs-automated.md)
+ [Amazon EKS 리소스에 대한 보안 에이전트 자동 관리](managing-gdu-agent-eks-automatically.md)
+ [Amazon EKS 클러스터에 대한 보안 에이전트 수동 관리](managing-gdu-agent-eks-manually.md)
+ [Amazon EKS에 대한 GuardDuty 보안 에이전트(추가 기능) 파라미터 구성](guardduty-configure-security-agent-eks-addon.md)
+ [VPC 엔드포인트 구성 검증](validate-vpc-endpoint-config-runtime-monitoring.md)
# Amazon EC2 인스턴스에 자동 보안 에이전트 활성화
이 섹션에는 독립 실행형 계정 또는 다중 계정 환경에서 Amazon EC2 리소스에 대해 GuardDuty 자동 에이전트를 사용 설정하는 단계가 포함되어 있습니다.
계속하기 전에 모든 [Amazon EC2 인스턴스 지원의 사전 조건](prereq-runtime-monitoring-ec2-support.md)를 따라야 합니다.
GuardDuty 에이전트를 수동으로 관리하는 것에서 GuardDuty 자동 에이전트를 활성화하는 것으로 마이그레이션하는 경우 GuardDuty 자동 에이전트를 활성화하는 단계를 수행하기 전에 [Amazon EC2 수동 에이전트에서 자동 에이전트로 마이그레이션](migrate-from-ec2-manual-to-automated-agent.md)을 참조하세요.
# 다중 계정 환경에서 Amazon EC2 리소스에 대한 GuardDuty 에이전트 활성화
다중 계정 환경에서는 위임된 GuardDuty 관리자 계정만 조직의 멤버 계정에 속한 리소스 유형에 대한 자동화된 에이전트 구성을 활성화하거나 비활성화할 수 있습니다. GuardDuty 멤버 계정은 계정 내에서 이 구성을 수정할 수 없습니다. 위임된 GuardDuty 관리자 계정은를 사용하여 멤버 계정을 관리합니다 AWS Organizations. 다중 계정 환경에 대한 자세한 내용은 [Managing multiple accounts](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html)를 참조하세요.
## 위임된 GuardDuty 관리자 계정의 경우
------
#### [ Configure for all instances ]
런타임 모니터링을 위해 **모든 계정에 대해 활성화**를 선택한 경우 위임된 GuardDuty 관리자 계정에 대해 다음 옵션 중 하나를 선택합니다.
+ **옵션 1**
**자동 에이전트 구성**의 **EC2** 섹션에서 **모든 계정에 대해 활성화**를 선택합니다.
+ **옵션 2**
+ **자동 에이전트 구성**의 **EC2** 섹션에서 **계정 수동 구성**을 선택합니다.
+ **위임된 관리자(이 계정)**에서 **활성화**를 선택합니다.
+ **저장**을 선택합니다.
런타임 모니터링에 대해 **수동으로 계정 구성**을 선택한 경우 다음 단계를 수행합니다.
+ **자동 에이전트 구성**의 **EC2** 섹션에서 **계정 수동 구성**을 선택합니다.
+ **위임된 관리자(이 계정)**에서 **활성화**를 선택합니다.
+ **저장**을 선택합니다.
어떤 옵션을 선택하여 위임된 GuardDuty 관리자 계정에 대해 자동화된 에이전트 구성을 사용하도록 설정하든, GuardDuty가 생성하는 SSM 연결이 이 계정에 속한 모든 EC2 리소스에 보안 에이전트를 설치하고 관리하는지 확인할 수 있습니다.
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) AWS Systems Manager 콘솔을 엽니다.
1. SSM 연결(`GuardDutyRuntimeMonitoring-do-not-delete`)의 **대상** 탭을 엽니다. **태그 키**가 **InstanceIds**로 나타나는지 확인합니다.
------
#### [ Using inclusion tag in selected instances ]
**선택한 Amazon EC2 인스턴스에 대해 GuardDuty 에이전트를 구성하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) Amazon EC2 콘솔을 엽니다.
1. GuardDuty가 잠재적 위협을 모니터링하고 탐지할 인스턴스에 `GuardDutyManaged`:`true` 태그를 추가합니다. 이 태그 추가에 대한 자세한 내용은 [개별 리소스에 태그 추가](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)를 참조하세요.
이 태그를 추가하면 GuardDuty가 선택한 EC2 인스턴스에 대한 보안 에이전트를 설치하고 관리할 수 있습니다. 자동화된 에이전트 구성을 명시적으로 활성화할 필요는 **없습니다**.
1. GuardDuty가 생성하는 SSM 연결이 포함 태그로 태그가 지정된 EC2 리소스에만 보안 에이전트를 설치하고 관리하는지 확인할 수 있습니다.
[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) AWS Systems Manager 콘솔을 엽니다.
1. 생성된 SSM 연결(`GuardDutyRuntimeMonitoring-do-not-delete`)의 **대상** 탭을 엽니다. **태그 키**는 **tag:GuardDutyManaged**로 표시됩니다.
------
#### [ Using exclusion tag in selected instances ]
**참고**
시작하기 전에 Amazon EC2 인스턴스에 제외 태그를 추가해야 합니다. Amazon EC2에 대한 자동화된 에이전트 구성을 사용 설정하면 제외 태그 없이 실행되는 모든 EC2 인스턴스가 GuardDuty 자동화된 에이전트 구성의 적용을 받습니다.
**선택한 Amazon EC2 인스턴스에 대해 GuardDuty 에이전트를 구성하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) Amazon EC2 콘솔을 엽니다.
1. GuardDuty가 잠재적 위협을 모니터링하고 탐지하지 **못하도록** 하려는 인스턴스에 `GuardDutyManaged`:`false` 태그를 추가합니다. 이 태그 추가에 대한 자세한 내용은 [개별 리소스에 태그 추가](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)를 참조하세요.
1.
**인스턴스 메타데이터에서 [제외 태그를 사용하려면](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) 다음 단계를 수행합니다.**
1. 인스턴스의 **세부 정보** 탭에서 **인스턴스 메타데이터의 태그 허용** 상태를 확인합니다.
현재 **비활성화된** 경우 다음 단계를 사용하여 상태를 **활성화됨**으로 변경합니다. 그렇지 않은 경우 이 단계를 건너뜁니다.
1. **작업** 메뉴에서 **인스턴스 설정**을 선택합니다.
1. **인스턴스 메타데이터에서 태그 허용**을 선택합니다.
1. 제외 태그를 추가한 후에는 **모든 인스턴스에 대해 구성** 탭에서 분리된 것과 동일한 단계를 수행합니다.
------
이제 런타임 [Amazon EC2 인스턴스의 런타임 범위 및 문제 해결](gdu-assess-coverage-ec2.md)을 평가할 수 있습니다.
## 모든 멤버 계정에서 자동 활성화
**참고**
멤버 계정의 구성을 업데이트하는 데 최대 24시간이 걸릴 수 있습니다.
------
#### [ Configure for all instances ]
다음 단계에서는 런타임 모니터링 섹션에서 **모든 계정에 대해 활성화**를 선택했다고 가정합니다.
1. **Amazon EC2**의 **자동 에이전트 구성** 섹션에서 **모든 계정에 대해 활성화**를 선택합니다.
1. GuardDuty가 생성하는 SSM 연결(`GuardDutyRuntimeMonitoring-do-not-delete`)이 이 계정에 속한 모든 EC2 리소스에 보안 에이전트를 설치하고 관리하는지 확인할 수 있습니다.
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) AWS Systems Manager 콘솔을 엽니다.
1. SSM 연결의 **대상** 탭을 엽니다. **태그 키**가 **InstanceIds**로 나타나는지 확인합니다.
------
#### [ Using inclusion tag in selected instances ]
**선택한 Amazon EC2 인스턴스에 대해 GuardDuty 에이전트를 구성하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) Amazon EC2 콘솔을 엽니다.
1. GuardDuty가 잠재적 위협을 모니터링하고 탐지할 EC2 인스턴스에 `GuardDutyManaged`:`true` 태그를 추가합니다. 이 태그 추가에 대한 자세한 내용은 [개별 리소스에 태그 추가](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)를 참조하세요.
이 태그를 추가하면 GuardDuty가 선택한 EC2 인스턴스에 대한 보안 에이전트를 설치하고 관리할 수 있습니다. 자동화된 에이전트 구성을 명시적으로 활성화할 필요는 **없습니다**.
1. GuardDuty가 생성하는 SSM 연결이 계정에 속한 모든 EC2 리소스에 보안 에이전트를 설치하고 관리하는지 확인할 수 있습니다.
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) AWS Systems Manager 콘솔을 엽니다.
1. SSM 연결(`GuardDutyRuntimeMonitoring-do-not-delete`)의 **대상** 탭을 엽니다. **태그 키**가 **InstanceIds**로 나타나는지 확인합니다.
------
#### [ Using exclusion tag in selected instances ]
**참고**
시작하기 전에 Amazon EC2 인스턴스에 제외 태그를 추가해야 합니다. Amazon EC2에 대한 자동화된 에이전트 구성을 사용 설정하면 제외 태그 없이 실행되는 모든 EC2 인스턴스가 GuardDuty 자동화된 에이전트 구성의 적용을 받습니다.
**선택한 Amazon EC2 인스턴스에 대해 GuardDuty 보안 에이전트를 구성하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) Amazon EC2 콘솔을 엽니다.
1. GuardDuty가 잠재적 위협을 모니터링하고 탐지하지 **못하도록** 하려는 인스턴스에 `GuardDutyManaged`:`false` 태그를 추가합니다. 이 태그 추가에 대한 자세한 내용은 [개별 리소스에 태그 추가](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)를 참조하세요.
1.
**인스턴스 메타데이터에서 [제외 태그를 사용하려면](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) 다음 단계를 수행합니다.**
1. 인스턴스의 **세부 정보** 탭에서 **인스턴스 메타데이터의 태그 허용** 상태를 확인합니다.
현재 **비활성화된** 경우 다음 단계를 사용하여 상태를 **활성화됨**으로 변경합니다. 그렇지 않은 경우 이 단계를 건너뜁니다.
1. **작업** 메뉴에서 **인스턴스 설정**을 선택합니다.
1. **인스턴스 메타데이터에서 태그 허용**을 선택합니다.
1. 제외 태그를 추가한 후에는 **모든 인스턴스에 대해 구성** 탭에서 분리된 것과 동일한 단계를 수행합니다.
------
이제 런타임 [Amazon EC2 인스턴스의 런타임 범위 및 문제 해결](gdu-assess-coverage-ec2.md)을 평가할 수 있습니다.
## 신규 회원 계정에 한하여 자동 활성화
위임된 GuardDuty 관리자 계정은 새 멤버 계정이 조직에 가입할 때 자동으로 사용하도록 Amazon EC2 리소스에 대한 자동화된 에이전트 구성을 설정할 수 있습니다.
------
#### [ Configure for all instances ]
다음 단계에서는 **런타임 모니터링** 섹션에서 **새 멤버 계정에 대해 자동 활성화**를 선택했다고 가정합니다.
1. 탐색 창에서 **작업 실행 모니터링**을 선택합니다.
1. **런타임 모니터링** 페이지에서 **편집**을 선택합니다.
1. **새 멤버 계정에 대해 자동으로 활성화**를 선택합니다. 이 단계를 수행하면 새 계정이 조직에 가입할 때마다 해당 계정에 대해 Amazon EC2에 대한 자동화된 에이전트 구성이 자동으로 활성화됩니다. 조직의 위임된 GuardDuty 관리자 계정만 이 선택을 수정할 수 있습니다.
1. **저장**을 선택합니다.
새 멤버 계정이 조직에 가입하면 이 구성이 해당 계정에 대해 자동으로 사용 설정됩니다. GuardDuty가 이 새 멤버 계정에 속하는 Amazon EC2 인스턴스의 보안 에이전트를 관리하려면 모든 사전 조건 [EC2 인스턴스의 경우](prereq-runtime-monitoring-ec2-support.md)이 충족되어야 합니다.
SSM 연결이 생성되면(`GuardDutyRuntimeMonitoring-do-not-delete`) SSM 연결이 새 멤버 계정에 속한 모든 EC2 인스턴스에 보안 에이전트를 설치하고 관리하는지 확인할 수 있습니다.
+ [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) AWS Systems Manager 콘솔을 엽니다.
+ SSM 연결의 **대상** 탭을 엽니다. **태그 키**가 **InstanceIds**로 나타나는지 확인합니다.
------
#### [ Using inclusion tag in selected instances ]
**계정에서 선택한 인스턴스에 대해 GuardDuty 보안 에이전트를 구성하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) Amazon EC2 콘솔을 엽니다.
1. GuardDuty가 잠재적 위협을 모니터링하고 탐지할 인스턴스에 `GuardDutyManaged`:`true` 태그를 추가합니다. 이 태그 추가에 대한 자세한 내용은 [개별 리소스에 태그 추가](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)를 참조하세요.
이 태그를 추가하면 GuardDuty가 선택한 인스턴스에 대한 보안 에이전트를 설치하고 관리할 수 있습니다. 자동화된 에이전트 구성을 명시적으로 활성화할 필요는 없습니다.
1. GuardDuty가 생성하는 SSM 연결이 포함 태그로 태그가 지정된 EC2 리소스에만 보안 에이전트를 설치하고 관리하는지 확인할 수 있습니다.
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) AWS Systems Manager 콘솔을 엽니다.
1. 생성된 SSM 연결의 **대상** 탭을 엽니다. **태그 키**는 **tag:GuardDutyManaged**로 표시됩니다.
------
#### [ Using exclusion tag in selected instances ]
**참고**
시작하기 전에 Amazon EC2 인스턴스에 제외 태그를 추가해야 합니다. Amazon EC2에 대한 자동화된 에이전트 구성을 사용 설정하면 제외 태그 없이 실행되는 모든 EC2 인스턴스가 GuardDuty 자동화된 에이전트 구성의 적용을 받습니다.
**독립 실행형 계정의 특정 인스턴스에 대해 GuardDuty 보안 에이전트를 구성하려면 다음과 같이 하세요.**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) Amazon EC2 콘솔을 엽니다.
1. GuardDuty가 잠재적 위협을 모니터링하고 탐지하지 **못하도록** 하려는 인스턴스에 `GuardDutyManaged`:`false` 태그를 추가합니다. 이 태그 추가에 대한 자세한 내용은 [개별 리소스에 태그 추가](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)를 참조하세요.
1.
**인스턴스 메타데이터에서 [제외 태그를 사용하려면](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) 다음 단계를 수행합니다.**
1. 인스턴스의 **세부 정보** 탭에서 **인스턴스 메타데이터의 태그 허용** 상태를 확인합니다.
현재 **비활성화된** 경우 다음 단계를 사용하여 상태를 **활성화됨**으로 변경합니다. 그렇지 않은 경우 이 단계를 건너뜁니다.
1. **작업** 메뉴에서 **인스턴스 설정**을 선택합니다.
1. **인스턴스 메타데이터에서 태그 허용**을 선택합니다.
1. 제외 태그를 추가한 후에는 **모든 인스턴스에 대해 구성** 탭에서 분리된 것과 동일한 단계를 수행합니다.
------
이제 런타임 [Amazon EC2 인스턴스의 런타임 범위 및 문제 해결](gdu-assess-coverage-ec2.md)을 평가할 수 있습니다.
## 선택적 멤버 계정만
------
#### [ Configure for all instances ]
1. **계정** 페이지에서 **런타임 모니터링 자동화 에이전트 구성(Amazon EC2)**을 활성화하려는 계정을 하나 이상 선택합니다. 이 단계에서 선택한 계정에 런타임 모니터링이 이미 활성화되어 있는지 확인하세요.
1. **보호 계획 편집**에서 적절한 옵션을 선택하여 **런타임 모니터링-자동화된 에이전트 구성(Amazon EC2)**을 활성화합니다.
1. **확인**을 선택합니다.
------
#### [ Using inclusion tag in selected instances ]
**선택한 인스턴스에 대해 GuardDuty 보안 에이전트를 구성하려면 다음과 같이 하세요.**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) Amazon EC2 콘솔을 엽니다.
1. GuardDuty가 잠재적 위협을 모니터링하고 탐지할 인스턴스에 `GuardDutyManaged`:`true` 태그를 추가합니다. 이 태그 추가에 대한 자세한 내용은 [개별 리소스에 태그 추가](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)를 참조하세요.
이 태그를 추가하면 GuardDuty가 태그가 지정된 Amazon EC2 인스턴스에 대한 보안 에이전트를 관리할 수 있습니다. 자동 에이전트 구성(**런타임 모니터링 - 자동 에이전트 구성(EC2)**)을 명시적으로 활성화할 필요는 없습니다.
------
#### [ Using exclusion tag in selected instances ]
**참고**
시작하기 전에 Amazon EC2 인스턴스에 제외 태그를 추가해야 합니다. Amazon EC2에 대한 자동화된 에이전트 구성을 사용 설정하면 제외 태그 없이 실행되는 모든 EC2 인스턴스가 GuardDuty 자동화된 에이전트 구성의 적용을 받습니다.
**선택한 인스턴스에 대해 GuardDuty 보안 에이전트를 구성하려면 다음과 같이 하세요.**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) Amazon EC2 콘솔을 엽니다.
1. GuardDuty가 잠재적 위협을 모니터링하거나 탐지하지 **않도록** 하려면 EC2 인스턴스에 `GuardDutyManaged`:`false` 태그를 추가합니다. 이 태그 추가에 대한 자세한 내용은 [개별 리소스에 태그 추가](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)를 참조하세요.
1.
**인스턴스 메타데이터에서 [제외 태그를 사용하려면](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) 다음 단계를 수행합니다.**
1. 인스턴스의 **세부 정보** 탭에서 **인스턴스 메타데이터의 태그 허용** 상태를 확인합니다.
현재 **비활성화된** 경우 다음 단계를 사용하여 상태를 **활성화됨**으로 변경합니다. 그렇지 않은 경우 이 단계를 건너뜁니다.
1. **작업** 메뉴에서 **인스턴스 설정**을 선택합니다.
1. **인스턴스 메타데이터에서 태그 허용**을 선택합니다.
1. 제외 태그를 추가한 후에는 **모든 인스턴스에 대해 구성** 탭에서 분리된 것과 동일한 단계를 수행합니다.
------
이제 [Amazon EC2 인스턴스의 런타임 범위 및 문제 해결](gdu-assess-coverage-ec2.md)를 평가할 수 있습니다.
# 독립 실행형 계정에서 Amazon EC2 리소스에 대한 GuardDuty 자동 에이전트 활성화
독립 실행형 계정은 특정의 AWS 계정 에서 보호 계획을 활성화 또는 비활성화하는 결정을 소유합니다 AWS 리전.
계정이 AWS Organizations또는 초대 방법을 통해 GuardDuty 관리자 계정과 연결된 경우이 섹션은 계정에 적용되지 않습니다. 자세한 내용은 [다중 계정 환경에서 런타임 모니터링 활성화](enable-runtime-monitoring-multiple-acc-env.md) 단원을 참조하십시오.
런타임 모니터링을 사용 설정한 후에는 자동 구성 또는 수동 배포를 통해 GuardDuty 보안 에이전트를 설치해야 합니다. 다음 절차에 나열된 모든 단계를 완료하는 과정에서 보안 에이전트를 설치해야 합니다.
전부 또는 일부 Amazon EC2 리소스를 모니터링하는 기본 설정에 따라 선호하는 방법을 선택하고 다음 표의 단계를 따릅니다.
------
#### [ Configure for all instances ]
**독립 실행형 계정의 모든 인스턴스에 대해 런타임 모니터링을 구성하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) GuardDuty 콘솔을 엽니다.
1. 탐색 창에서 **작업 실행 모니터링**을 선택합니다.
1. **구성** 탭에서 **편집**을 선택합니다.
1. **EC2** 섹션에서 **활성화**를 선택합니다.
1. **저장**을 선택합니다.
1. GuardDuty가 생성하는 SSM 연결이 계정에 속한 모든 EC2 리소스에 보안 에이전트를 설치하고 관리하는지 확인할 수 있습니다.
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) AWS Systems Manager 콘솔을 엽니다.
1. SSM 연결(`GuardDutyRuntimeMonitoring-do-not-delete`)의 **대상** 탭을 엽니다. **태그 키**가 **InstanceIds**로 나타나는지 확인합니다.
------
#### [ Using inclusion tag in selected instances ]
**선택한 Amazon EC2 인스턴스에 대해 GuardDuty 보안 에이전트를 구성하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) Amazon EC2 콘솔을 엽니다.
1. GuardDuty가 잠재적 위협을 모니터링하고 탐지할 인스턴스에 `GuardDutyManaged`:`true` 태그를 추가합니다. 이 태그 추가에 대한 자세한 내용은 [개별 리소스에 태그 추가](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)를 참조하세요.
1. GuardDuty가 생성하는 SSM 연결이 포함 태그로 태그가 지정된 EC2 리소스에만 보안 에이전트를 설치하고 관리하는지 확인할 수 있습니다.
[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) AWS Systems Manager 콘솔을 엽니다.
1. 생성된 SSM 연결(`GuardDutyRuntimeMonitoring-do-not-delete`)의 **대상** 탭을 엽니다. **태그 키**는 **tag:GuardDutyManaged**로 표시됩니다.
------
#### [ Using exclusion tag in selected instances ]
**참고**
시작하기 전에 Amazon EC2 인스턴스에 제외 태그를 추가해야 합니다. Amazon EC2에 대한 자동화된 에이전트 구성을 사용 설정하면 제외 태그 없이 실행되는 모든 EC2 인스턴스가 GuardDuty 자동화된 에이전트 구성의 적용을 받습니다.
**선택한 Amazon EC2 인스턴스에 대해 GuardDuty 보안 에이전트를 구성하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/ec2/](https://console.aws.amazon.com/ec2/) Amazon EC2 콘솔을 엽니다.
1. GuardDuty가 잠재적 위협을 모니터링하고 탐지하지 **못하도록** 하려는 인스턴스에 `GuardDutyManaged`:`false` 태그를 추가합니다. 이 태그 추가에 대한 자세한 내용은 [개별 리소스에 태그 추가](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)를 참조하세요.
1.
**인스턴스 메타데이터에서 [제외 태그를 사용하려면](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#general-runtime-monitoring-prereq-ec2) 다음 단계를 수행합니다.**
1. 인스턴스의 **세부 정보** 탭에서 **인스턴스 메타데이터의 태그 허용** 상태를 확인합니다.
현재 **비활성화된** 경우 다음 단계를 사용하여 상태를 **활성화됨**으로 변경합니다. 그렇지 않은 경우 이 단계를 건너뜁니다.
1. 태그를 허용할 인스턴스를 선택합니다.
1. **작업** 메뉴에서 **인스턴스 설정**을 선택합니다.
1. **인스턴스 메타데이터에서 태그 허용**을 선택합니다.
1. **인스턴스 메타데이터의 태그에 대한 액세스**에서 **허용**을 선택합니다.
1. **저장**을 선택합니다.
1. 제외 태그를 추가한 후에는 **모든 인스턴스에 대해 구성** 탭에서 분리된 것과 동일한 단계를 수행합니다.
------
이제 런타임 [Amazon EC2 인스턴스의 런타임 범위 및 문제 해결](gdu-assess-coverage-ec2.md)을 평가할 수 있습니다.
# Amazon EC2 수동 에이전트에서 자동 에이전트로 마이그레이션
이 섹션은 이전에 보안 에이전트를 수동으로 관리하고 GuardDuty 자동 에이전트 구성을 사용하려는 AWS 계정 경우에 적용됩니다. 해당 사항이 없는 경우 계정에 대한 보안 에이전트 구성을 계속 진행하세요.
GuardDuty 자동 에이전트를 활성화하면 GuardDuty가 사용자를 대신하여 보안 에이전트를 관리합니다. GuardDuty가 수행하는 단계에 대한 자세한 내용은 [자동 에이전트 구성 사용(권장)](how-runtime-monitoring-works-ec2.md#use-automated-agent-config-ec2)을 참조하세요.
## 리소스 정리
**SSM 연결 삭제**
+ Amazon EC2용 보안 에이전트를 수동으로 관리할 때 만들었을 수 있는 모든 SSM 연결을 삭제합니다. 자세한 내용은 [연결 삭제](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-state-manager-delete-association.html)를 참조하세요.
+ 이는 계정 수준에서 자동화된 에이전트를 사용하든 인스턴스 수준에서 (포함 또는 제외 태그를 사용하여) 자동화된 에이전트를 사용하든 GuardDuty가 SSM 작업의 관리를 대신할 수 있도록 하기 위한 것입니다. GuardDuty가 수행할 수 있는 SSM 작업에 대한 자세한 내용은 [GuardDuty에 대한 서비스 연결 역할 권한](slr-permissions.md)을 참조하세요.
+ 이전에 보안 에이전트를 수동으로 관리하기 위해 만든 SSM 연결을 삭제하는 경우, GuardDuty가 보안 에이전트를 자동으로 관리하기 위해 SSM 연결을 만들 때 잠시 동안 겹칠 수 있습니다. 이 기간 동안에는 SSM 스케줄링에 따라 충돌이 발생할 수 있습니다. 자세한 내용은 [Amazon EC2 SSM 예약 섹션](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-scheduler.html)을 참조하세요.
**Amazon EC2 인스턴스의 포함 및 제외 태그 관리**
+ **포함 태그** - GuardDuty 자동 에이전트 구성을 활성화하지 않고 Amazon EC2 인스턴스에 포함 태그(`GuardDutyManaged`:`true`)를 지정하면 GuardDuty는 선택한 EC2 인스턴스에 보안 에이전트를 설치하고 관리하는 SSM 연결을 생성합니다. 이는 선택한 EC2 인스턴스에서만 보안 에이전트를 관리하는 데 도움이 되는 예상 동작입니다. 자세한 내용은 [Amazon EC2 인스턴스에서 Runtime Monitoring이 작동하는 방식](how-runtime-monitoring-works-ec2.md) 단원을 참조하십시오.
GuardDuty가 보안 에이전트를 설치 및 관리하지 못하도록 하려면 이러한 EC2 인스턴스에서 포함 태그를 제거하세요. 자세한 내용은 *Amazon EC2 사용 설명서*의 [태그 추가 및 삭제](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)를 참조하세요.
+ **제외 태그** - 계정의 모든 EC2 인스턴스에 대해 GuardDuty 자동 에이전트 구성을 활성화하려는 경우 EC2 인스턴스에 제외 태그(`GuardDutyManaged`:`false`)가 지정되지 않았는지 확인합니다.
# Amazon EC2 리소스에 대한 보안 에이전트 수동 관리
이 섹션에서는 Amazon EC2 리소스의 보안 에이전트를 수동으로 설치하고 업데이트하는 단계를 제공합니다.
런타임 모니터링을 활성화한 후에는 GuardDuty 보안 에이전트를 수동으로 설치해야 합니다. GuardDuty 보안 에이전트를 수동으로 관리하려면 먼저 Amazon VPC 엔드포인트를 수동으로 만들어야 합니다. 그런 다음 보안 에이전트를 설치하여 GuardDuty가 Amazon EC2 인스턴스에서 런타임 이벤트를 수신하기 시작하도록 할 수 있습니다. GuardDuty에서 이 리소스에 대한 새 상담원 버전을 출시하면 계정에서 상담원 버전을 업데이트할 수 있습니다.
다음 항목에는 Amazon EC2 리소스에 대한 보안 에이전트를 지속적으로 관리하는 단계가 포함되어 있습니다.
**Topics**
+ [사전 조건 - Amazon VPC 엔드포인트 수동 생성](creating-vpc-endpoint-ec2-agent-manually.md)
+ [보안 에이전트 수동 설치](installing-gdu-security-agent-ec2-manually.md)
+ [Amazon EC2 인스턴스의 GuardDuty 보안 에이전트를 수동으로 업데이트](gdu-update-security-agent-ec2.md)
# 사전 조건 - Amazon VPC 엔드포인트 수동 생성
GuardDuty 보안 에이전트를 설치하려면 먼저 Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트를 생성해야 합니다. 이렇게 하면 GuardDuty가 Amazon EC2 인스턴스의 런타임 이벤트를 수신하는 데 도움이 됩니다.
**참고**
VPC 엔드포인트 사용에 대한 추가 비용은 없습니다.
**Amazon VPC 엔드포인트를 생성하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Amazon VPC 콘솔을 엽니다.
1. 탐색 창의 **VPC 프라이빗 클라우드**에서 **엔드포인트**를 선택합니다.
1. **엔드포인트 생성**을 선택합니다.
1. **엔드포인트 생성** 페이지에서 **서비스 범주**에 대해 **기타 엔드포인트 서비스**를 선택합니다.
1. **서비스 이름**에 **com.amazonaws.*us-east-1*.guardduty-data**를 입력합니다.
*us-east-1*을 AWS 리전로 대체해야 합니다. 이 리전은 AWS 계정 ID에 속한 Amazon EC2 인스턴스와 동일한 리전이어야 합니다.
1. **서비스 확인**을 선택합니다.
1. 서비스 이름이 성공적으로 확인되면 인스턴스가 상주하는 **VPC**를 선택합니다. 다음 정책을 추가하여 Amazon VPC 엔드포인트 사용을 지정된 계정으로만 제한합니다. 이 정책 아래에 제공된 조직 `Condition`을 사용하여 다음 정책을 업데이트하고 엔드포인트에 대한 액세스를 제한할 수 있습니다. 조직의 특정 계정 ID에 Amazon VPC 엔드포인트 지원을 제공하려면 [Organization condition to restrict access to your endpoint](#gdu-runtime-ec2-organization-restrict-access-vpc-endpoint) 섹션을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "*",
"Resource": "*",
"Effect": "Allow",
"Principal": "*"
},
{
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
},
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Principal": "*"
}
]
}
```
------
`aws:PrincipalAccount` 계정 ID는 VPC 및 VPC 엔드포인트를 포함하는 계정과 일치해야 합니다. 다음 목록은 VPC 엔드포인트를 다른 AWS 계정 IDs와 공유하는 방법을 보여줍니다.
+ VPC 엔드포인트에 액세스할 계정을 여러 개 지정하려면 `"aws:PrincipalAccount: "111122223333"`을 다음 블럭과 같이 바꿉니다.
```
"aws:PrincipalAccount": [
"666666666666",
"555555555555"
]
```
AWS 계정 IDs를 VPC 엔드포인트에 액세스해야 하는 계정의 계정 IDs로 바꿔야 합니다.
+ 조직의 모든 멤버가 VPC 엔드포인트에 액세스할 수 있도록 허용하려면 `"aws:PrincipalAccount: "111122223333"`을 다음 라인과 같이 바꿉니다.
```
"aws:PrincipalOrgID": "o-abcdef0123"
```
조직 *o-abcdef0123*을 조직 ID로 교체해야 합니다.
+ 리소스 액세스를 조직 ID로 제한하려면 정책에 `ResourceOrgID`를 추가합니다. 자세한 내용은 *IAM 사용 설명서*에서 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid)를 참조하세요.
```
"aws:ResourceOrgID": "o-abcdef0123"
```
1. **추가 설정**에서 **DNS 이름 활성화**를 선택합니다.
1. **서브넷**에서 인스턴스가 상주하는 서브넷을 선택합니다.
1. **보안 그룹**에서 VPC(또는 Amazon EC2 인스턴스)에서 인바운드 포트 443이 활성화된 보안 그룹을 선택합니다. 인바운드 포트 443이 활성화된 보안 그룹이 아직 없는 경우 *Amazon VPC 사용 설명서*의 [VPC에 대한 보안 그룹 만들기](https://docs.aws.amazon.com/vpc/latest/userguide/creating-security-groups.html)를 참조하세요.
VPC(또는 인스턴스)에 대한 인바운드 권한을 제한하는 동안 문제가 있는 경우 모든 IP 주소 `(0.0.0.0/0)`에서 인바운드 443 포트를 사용할 수 있습니다. 그러나 GuardDuty는 VPC의 CIDR 블록과 일치하는 IP 주소를 사용할 것을 권장합니다. 자세한 내용은 *Amazon VPC 사용 설명서*에서 [VPC CIDR 블록](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html)을 참조하세요.
단계를 따른 후 [VPC 엔드포인트 구성 검증](validate-vpc-endpoint-config-runtime-monitoring.md)를 참조하여 VPC 엔드포인트가 올바르게 설정되었는지 확인합니다.
# 보안 에이전트 수동 설치
GuardDuty는 Amazon EC2 인스턴스에 GuardDuty 보안 에이전트를 설치하는 다음 두 가지 방법을 제공합니다. 계속하기 전에 [사전 조건 - Amazon VPC 엔드포인트 수동 생성](creating-vpc-endpoint-ec2-agent-manually.md)의 단계를 따르세요.
선호하는 액세스 방법을 선택하여 Amazon EC2 리소스에 보안 에이전트를 설치합니다.
+ [방법 1 - 사용 AWS Systems Manager](#install-gdu-by-using-sys-runtime-monitoring) -이 방법을 사용하려면 Amazon EC2 인스턴스를 AWS Systems Manager 관리해야 합니다.
+ [방법 2 - Linux 패키지 관리자 사용](#install-gdu-by-rpm-scripts-runtime-monitoring) - Amazon EC2 인스턴스의 AWS Systems Manager 관리 여부에 관계없이이 방법을 사용할 수 있습니다. [OS 배포 ](https://docs.aws.amazon.com/guardduty/latest/ug/prereq-runtime-monitoring-ec2-support.html#validating-architecture-req-ec2)에 따라 적절한 방법을 선택하여 RPM 스크립트 또는 Debian 스크립트를 설치할 수 있습니다. *Fedora* 플랫폼을 사용하는 경우 이 방법을 사용하여 에이전트를 설치해야 합니다.
## 방법 1 - 사용 AWS Systems Manager
이 방법을 사용하려면 Amazon EC2 인스턴스가 AWS Systems Manager 관리되었는지 확인한 다음 에이전트를 설치합니다.
### AWS Systems Manager 관리형 Amazon EC2 인스턴스
Amazon EC2 인스턴스를 AWS Systems Manager 관리하려면 다음 단계를 따르세요.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)를 사용하면 AWS 애플리케이션과 리소스를 end-to-end로 관리하고 대규모로 보안 작업을 수행할 수 있습니다.
를 사용하여 Amazon EC2 인스턴스를 관리하려면 *AWS Systems Manager 사용 설명서*의 [ Amazon EC2 인스턴스용 Systems Manager 설정을](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-setting-up-ec2.html) AWS Systems Manager참조하세요.
+ 다음 표에는 새로운 GuardDuty 관리형 AWS Systems Manager 문서가 나와 있습니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/installing-gdu-security-agent-ec2-manually.html)
에 대한 자세한 내용은 *AWS Systems Manager 사용 설명서*의 [Amazon EC2 Systems Manager 문서를](https://docs.aws.amazon.com/systems-manager/latest/userguide/documents.html) AWS Systems Manager참조하세요.
**Debian Server의 경우**
에서 제공하는 AWS Debian Server용 Amazon Machine Image(AMIs)를 사용하려면 AWS Systems Manager 에이전트(SSM 에이전트)를 설치해야 합니다. SSM 에이전트를 설치하는 추가 단계를 수행하여 Amazon EC2 Debian Server 인스턴스를 SSM 관리 인스턴스로 설정해야 합니다. 수행해야 하는 단계에 대한 자세한 내용은 *AWS Systems Manager 사용 설명서*의 [Debian Server 인스턴스에 SSM 에이전트 수동 설치](https://docs.aws.amazon.com/systems-manager/latest/userguide/agent-install-deb.html)를 참조하세요.
**를 사용하여 Amazon EC2 인스턴스용 GuardDuty 에이전트를 설치하려면 AWS Systems Manager**
1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) AWS Systems Manager 콘솔을 엽니다.
1. 탐색 창에서 **문서**를 선택합니다.
1. **Amazon 소유**에서 `AmazonGuardDuty-ConfigureRuntimeMonitoringSsmPlugin`를 선택합니다.
1. [**명령 실행**]을 선택합니다.
1. 다음 실행 명령 매개 변수를 입력합니다.
+ 작업: **설치**를 선택합니다.
+ 설치 유형: **설치 또는 제거**를 선택합니다.
+ 이름: `AmazonGuardDuty-RuntimeMonitoringSsmPlugin`
+ 버전: 이 항목이 비어 있으면 최신 버전의 GuardDuty 보안 에이전트를 받게 됩니다. 릴리스 버전에 대한 자세한 내용은 [Amazon EC2 인스턴스용 GuardDuty 보안 에이전트 버전](runtime-monitoring-agent-release-history.md#ec2-gdu-agent-release-history)을 참조하세요.
1. 대상 Amazon EC2 인스턴스를 선택합니다. 하나 이상의 Amazon EC2 인스턴스 유형을 선택할 수 있습니다. 자세한 내용은 *AWS Systems Manager 사용 설명서*의 [AWS Systems Manager 콘솔에서 명령 실행하기](https://docs.aws.amazon.com/systems-manager/latest/userguide/running-commands-console.html)를 참조하세요.
1. GuardDuty 에이전트 설치가 정상인지 확인합니다. 자세한 내용은 [GuardDuty 보안 에이전트 설치 상태 검증](#validate-ec2-gdu-agent-installation-healthy) 단원을 참조하십시오.
## 방법 2 - Linux 패키지 관리자 사용
이 방법을 사용하면 RPM 스크립트 또는 Debian 스크립트를 실행하여 GuardDuty 보안 에이전트를 설치할 수 있습니다. 운영 체제에 따라 선호하는 방법을 선택할 수 있습니다.
+ RPM 스크립트를 사용하여 OS 배포 AL2 또는 AL2023, RedHat, CentOS 또는 Fedora에 보안 에이전트를 설치합니다.
+ Debian 스크립트를 사용하여 OS 배포 Ubuntu 또는 Debian에 보안 에이전트를 설치합니다. 지원되는 Ubuntu 및 Debian OS 배포에 대한 자세한 내용은 [아키텍처 요구 사항 검증](prereq-runtime-monitoring-ec2-support.md#validating-architecture-req-ec2)을 참조하세요.
------
#### [ RPM installation ]
**중요**
시스템에 설치하기 전에 GuardDuty 보안 에이전트 RPM 서명을 확인하는 것이 좋습니다.
1. GuardDuty 보안 에이전트 RPM 서명 확인
1.
**템플릿 준비**
적절한 공개 키, x86\$164 RPM의 서명, arm64 RPM의 서명, Amazon S3 버킷에서 호스팅되는 RPM 스크립트에 대한 해당 액세스 링크를 사용하여 명령을 준비합니다. RPM 스크립트에 액세스하려면 , AWS 리전 AWS 계정 ID 및 GuardDuty 에이전트 버전의 값을 바꿉니다.
+ **퍼블릭 키**:
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/publickey.pem
```
+ **GuardDuty 보안 에이전트 RPM 서명**:
x86\$164 RPM의 서명
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.sig
```
arm64 RPM 서명
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.sig
```
+ **Amazon S3 버킷의 RPM 스크립트에 대한 액세스 링크**:
x86\$164 RPM에 대한 액세스 링크
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.rpm
```
arm64 RPM에 대한 액세스 링크
```
s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.rpm
```
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/installing-gdu-security-agent-ec2-manually.html)
1.
**템플릿을 다운로드합니다.**
다음 명령에서 적절한 공개 키, x86\$164 RPM의 서명, arm64 RPM의 서명, Amazon S3 버킷에 호스팅된 RPM 스크립트에 대한 해당 액세스 링크를 다운로드하려면 계정 ID를 적절한 AWS 계정 ID로, 리전을 현재 지역으로 바꾸어야 합니다.
```
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.rpm ./amazon-guardduty-agent-1.9.2.x86_64.rpm
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/x86_64/amazon-guardduty-agent-1.9.2.x86_64.sig ./amazon-guardduty-agent-1.9.2.x86_64.sig
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-rpm-artifacts/1.9.2/publickey.pem ./publickey.pem
```
1.
**퍼블릭 키 가져오기**
다음 명령을 사용하여 퍼블릭 키를 데이터베이스로 가져옵니다.
```
gpg --import publickey.pem
```
gpg가 성공적으로 가져오기를 표시합니다.
```
gpg: key 093FF49D: public key "AwsGuardDuty" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
```
1.
**서명 확인**
다음 명령을 사용하여 서명을 확인합니다.
```
gpg --verify amazon-guardduty-agent-1.9.2.x86_64.sig amazon-guardduty-agent-1.9.2.x86_64.rpm
```
확인이 통과하면 아래 결과와 유사한 메시지가 표시됩니다. 이제 RPM을 사용하여 GuardDuty 보안 에이전트를 설치할 수 있습니다.
출력 예시:
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: Good signature from "AwsGuardDuty"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7478 91EF 5378 1334 4456 7603 06C9 06A7 093F F49D
```
확인에 실패하면 RPM의 서명이 잠재적으로 변조되었음을 의미합니다. 데이터베이스에서 공개 키를 제거하고 인증 절차를 다시 시도해야 합니다.
예제:
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: BAD signature from "AwsGuardDuty"
```
다음 명령을 사용하여 퍼블릭 키를 데이터베이스에서 제거합니다.
```
gpg --delete-keys AwsGuardDuty
```
이제 확인 프로세스를 다시 시도하세요.
1. [Linux 또는 macOS에서 SSH를 사용하여 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html)
1. 다음 명령을 사용하여 GuardDuty 보안 에이전트를 설치하세요.
```
sudo rpm -ivh amazon-guardduty-agent-1.9.2.x86_64.rpm
```
1. GuardDuty 에이전트 설치가 정상인지 확인합니다. 이 단계에 대한 자세한 내용은 [GuardDuty 보안 에이전트 설치 상태 검증](#validate-ec2-gdu-agent-installation-healthy) 섹션을 참조하세요.
------
#### [ Debian installation ]
**중요**
시스템에 설치하기 전에 GuardDuty 보안 에이전트 Debian 서명을 확인하는 것이 좋습니다.
1. GuardDuty 보안 에이전트 Debian 서명 확인
1.
**적절한 퍼블릭 키, amd64 데비안 패키지 서명, arm64 데비안 패키지 서명, Amazon S3 버킷에서 호스팅되는 데비안 스크립트에 대한 해당 액세스 링크에 대한 템플릿을 준비하기**
다음 템플릿에서 Debian 패키지 스크립트에 액세스하려면 AWS 리전, AWS 계정 ID 및 GuardDuty 에이전트 버전의 값을 바꿉니다.
+ **퍼블릭 키**:
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/publickey.pem
```
+ **GuardDuty 보안 에이전트 Debian 서명**:
amd64 서명
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.sig
```
arm64 서명
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.sig
```
+ **Amazon S3 버킷의 Debian 스크립트에 대한 액세스 링크**:
amd64에 대한 액세스 링크
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.deb
```
arm64에 대한 액세스 링크
```
s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/arm64/amazon-guardduty-agent-1.9.2.arm64.deb
```
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/installing-gdu-security-agent-ec2-manually.html)
1.
**적절한 퍼블릭 키, amd64의 서명, arm64의 서명, Amazon S3 버킷에 호스팅된 Debian 스크립트에 액세스할 수 있는 링크 다운로드하기**
다음 명령에서 계정 ID를 적절한 AWS 계정 ID로 바꾸고 리전을 현재 리전으로 바꿉니다.
```
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.deb ./amazon-guardduty-agent-1.9.2.amd64.deb
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/amd64/amazon-guardduty-agent-1.9.2.amd64.sig ./amazon-guardduty-agent-1.9.2.amd64.sig
aws s3 cp s3://694911143906-eu-west-1-guardduty-agent-deb-artifacts/1.9.2/publickey.pem ./publickey.pem
```
1. 퍼블릭 키를 데이터베이스로 가져오기
```
gpg --import publickey.pem
```
gpg가 성공적으로 가져오기를 표시합니다.
```
gpg: key 093FF49D: public key "AwsGuardDuty" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
```
1. 서명 확인
```
gpg --verify amazon-guardduty-agent-1.9.2.amd64.sig amazon-guardduty-agent-1.9.2.amd64.deb
```
인증에 성공하면 다음과 유사한 메시지가 표시됩니다.
출력 예시:
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: Good signature from "AwsGuardDuty"
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Primary key fingerprint: 7478 91EF 5378 1334 4456 7603 06C9 06A7 093F F49D
```
이제 Debian을 사용하여 GuardDuty 보안 에이전트를 설치할 수 있습니다.
그러나 확인에 실패하면 Debian 패키지의 서명이 잠재적으로 변조되었음을 의미합니다.
예제:
```
gpg: Signature made Fri 17 Nov 2023 07:58:11 PM UTC using ? key ID 093FF49D
gpg: BAD signature from "AwsGuardDuty"
```
다음 명령을 사용하여 퍼블릭 키를 데이터베이스에서 제거합니다.
```
gpg --delete-keys AwsGuardDuty
```
이제 확인 프로세스를 다시 시도하세요.
1. [Linux 또는 macOS에서 SSH를 사용하여 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html)
1. 다음 명령을 사용하여 GuardDuty 보안 에이전트를 설치하세요.
```
sudo dpkg -i amazon-guardduty-agent-1.9.2.amd64.deb
```
1. GuardDuty 에이전트 설치가 정상인지 확인합니다. 이 단계에 대한 자세한 내용은 [GuardDuty 보안 에이전트 설치 상태 검증](#validate-ec2-gdu-agent-installation-healthy) 섹션을 참조하세요.
------
## 메모리 부족 오류
Amazon EC2용 GuardDuty 보안 에이전트를 수동으로 설치하거나 업데이트하는 동안 `out-of-memory` 오류가 발생하는 경우 [메모리 부족 오류 문제 해결](troubleshooting-guardduty-runtime-monitoring.md#troubleshoot-ec2-cpu-out-of-memory-error)을 참조하세요.
## GuardDuty 보안 에이전트 설치 상태 검증
GuardDuty 보안 에이전트 설치 단계를 수행한 후에는 다음 단계에 따라 에이전트의 상태를 확인합니다.
**GuardDuty 보안 에이전트가 정상인지 확인하려면**
1. [Linux 또는 macOS에서 SSH를 사용하여 연결](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/connect-linux-inst-ssh.html)
1. 다음 명령을 실행하여 GuardDuty 보안 에이전트의 상태를 확인하세요.
```
sudo systemctl status amazon-guardduty-agent
```
보안 에이전트 설치 로그를 보려면 `/var/log/amzn-guardduty-agent/` 아래에서 확인할 수 있습니다.
로그를 보려면 `sudo journalctl -u amazon-guardduty-agent`를 합니다.
# Amazon EC2 인스턴스의 GuardDuty 보안 에이전트를 수동으로 업데이트
GuardDuty는 보안 에이전트 버전에 대한 업데이트를 릴리스합니다. 보안 에이전트를 수동으로 관리하는 경우, Amazon EC2 인스턴스에 대한 에이전트를 업데이트할 책임이 있습니다. 새 에이전트 버전에 대한 자세한 내용은 Amazon EC2 인스턴스용 [GuardDuty 보안 에이전트 릴리스 버전](runtime-monitoring-agent-release-history.md)을 참조하세요. 새 에이전트 버전 릴리스에 대한 알림을 받으려면 [Amazon SNS GuardDuty 공지 구독](guardduty_sns.md)을 참조하세요.
**Amazon EC2 인스턴스의 보안 에이전트를 수동으로 업데이트하려면**
보안 에이전트를 업데이트하는 프로세스는 보안 에이전트를 설치하는 프로세스와 동일합니다. 에이전트를 설치하는 데 사용한 방법에 따라 Amazon EC2 인스턴스에 대해 [보안 에이전트 수동 설치](installing-gdu-security-agent-ec2-manually.md)의 단계를 수행할 수 있습니다.
[방법 1 - AWS Systems Manager](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-manually.html#manage-ssm-ec2-instance-runtime-monitoring)를 사용하는 경우 **실행 명령을** 사용하여 보안 에이전트를 업데이트할 수 있습니다. 업데이트할 에이전트 버전을 사용합니다.
[메서드 2 - Linux 패키지 관리자](https://docs.aws.amazon.com/guardduty/latest/ug/managing-gdu-agent-ec2-manually.html#heading:r2l:)를 사용하는 경우 [보안 에이전트 수동 설치](installing-gdu-security-agent-ec2-manually.md) 섹션에 지정된 대로 스크립트를 사용할 수 있습니다. 스크립트에는 이미 최신 상담원 릴리스 버전이 포함되어 있습니다. 릴리스 에이전트 버전에 대한 자세한 내용은 [Amazon EC2 인스턴스용 GuardDuty 보안 에이전트 버전](runtime-monitoring-agent-release-history.md#ec2-gdu-agent-release-history)을 참조하세요.
보안 에이전트를 업데이트한 후 로그를 확인하여 설치 상태를 확인할 수 있습니다. 자세한 내용은 [GuardDuty 보안 에이전트 설치 상태 검증](installing-gdu-security-agent-ec2-manually.md#validate-ec2-gdu-agent-installation-healthy) 단원을 참조하십시오.
# Fargate용 자동 보안 에이전트 관리(Amazon ECS만 해당)
런타임 모니터링은 GuardDuty 를 통해서만 Amazon ECS 클러스터(AWS Fargate)의 보안 에이전트 관리를 지원합니다. Amazon ECS 클러스터에서 보안 에이전트를 수동으로 관리하는 것은 지원되지 않습니다.
이 섹션의 단계를 진행하기 전에 [AWS Fargate (Amazon ECS만 해당) 지원을 위한 사전 조건](prereq-runtime-monitoring-ecs-support.md)를 따라야 합니다.
[Amazon ECS-Fargate 리소스에서 GuardDuty 보안 에이전트를 관리하는 방법](how-runtime-monitoring-works-ecs-fargate.md#gdu-runtime-approaches-agent-deployment-ecs-clusters)에 따라 리소스에 대해 GuardDuty 자동 에이전트를 활성화할 기본 방법을 선택합니다.
**Topics**
## 다중 계정 환경을 위한 GuardDuty 에이전트 구성
다중 계정 환경에서는 위임된 GuardDuty 관리자 계정만 구성원 계정에 대한 자동화된 에이전트 구성을 활성화 또는 비활성화할 수 있으며, 조직의 구성원 계정에 속하는 Amazon ECS 클러스터에 대한 자동화된 에이전트 구성을 관리할 수 있습니다. GuardDuty 멤버 계정은 이 구성을 수정할 수 없습니다. 위임된 GuardDuty 관리자 계정은를 사용하여 멤버 계정을 관리합니다 AWS Organizations. 다중 계정 환경에 대한 자세한 내용은 [GuardDuty에서 다중 계정 관리](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html)를 참조하세요.
### 위임된 GuardDuty 관리자 계정에 대한 자동화된 에이전트 구성 활성화하기
------
#### [ Manage for all Amazon ECS clusters (account level) ]
런타임 모니터링에 대해 **모든 계정에 활성화**를 선택한 경우 다음과 같은 옵션이 있습니다.
+ 자동 에이전트 구성 섹션에서 **모든 계정에 대해 활성화**를 선택합니다. GuardDuty는 시작된 모든 Amazon ECS 작업에 대해 보안 에이전트를 배포하고 관리합니다.
+ **수동으로 계정 구성**을 선택합니다.
런타임 모니터링 섹션에서 **수동으로 계정 구성**을 선택한 경우 다음 작업을 수행합니다.
1. 자동 에이전트 구성 섹션에서 **수동으로 계정 구성**을 선택합니다.
1. **위임된 GuardDuty 관리자 계정(이 계정)** 섹션에서 **활성화**를 선택합니다.
**저장**을 선택합니다.
GuardDuty가 서비스의 일부인 작업을 모니터링하도록 하려면 런타임 모니터링을 사용 설정한 후 새 서비스를 배포해야 합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나 `forceNewDeployment`를 사용하여 서비스를 업데이트할 수 있습니다.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
+ *Amazon Elastic Container Service 개발자 안내서*의 [콘솔을 사용하여 Amazon ECS 서비스 업데이트](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html).
+ *Amazon Elastic Container Service API 참조*의 [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html).
+ *AWS CLI 명령 참조*의 [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html).
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. 키-값 페어를 `GuardDutyManaged`-`false`로 사용하여 이 Amazon ECS 클러스터에 태그를 추가합니다.
1. 신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. *AWS Organizations 사용자 가이드*의 [승인된 원칙을 제외하고 태그 수정 금지](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)에 제공된 정책이 여기에 적용되도록 수정되었습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. 탐색 창에서 **작업 실행 모니터링**을 선택합니다.
1.
**참고**
계정에 대해 자동화된 에이전트 구성을 사용 설정하기 전에 항상 Amazon ECS 클러스터에 제외 태그를 추가하세요. 그렇지 않으면 실행되는 Amazon ECS 작업의 모든 컨테이너에 GuardDuty 사이드카 컨테이너가 첨부됩니다.
**구성** 탭에서 **자동 에이전트 구성** 에서 **활성화**를 선택합니다.
제외되지 않은 Amazon ECS 클러스터의 경우 GuardDuty가 사이드카 컨테이너에서 보안 에이전트의 배포를 관리합니다.
1. **저장**을 선택합니다.
1. GuardDuty가 서비스의 일부인 작업을 모니터링하도록 하려면 런타임 모니터링을 사용 설정한 후 새 서비스를 배포해야 합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나 `forceNewDeployment`를 사용하여 서비스를 업데이트할 수 있습니다.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
+ *Amazon Elastic Container Service 개발자 안내서*의 [콘솔을 사용하여 Amazon ECS 서비스 업데이트](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html).
+ *Amazon Elastic Container Service API 참조*의 [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html).
+ *AWS CLI 명령 참조*의 [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html).
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. 모든 작업을 포함할 Amazon ECS 클러스터에 태그를 추가합니다. 키-값 쌍은 `GuardDutyManaged`-`true`여야 합니다.
1. 신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. *AWS Organizations 사용자 가이드*의 [승인된 원칙을 제외하고 태그 수정 금지](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)에 제공된 정책이 여기에 적용되도록 수정되었습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**참고**
Amazon ECS 클러스터에 포함 태그를 사용하는 경우 자동화된 에이전트 컨피규레이션을 통해 GuardDuty 에이전트를 명시적으로 사용 설정할 필요가 없습니다.
1. GuardDuty가 서비스의 일부인 작업을 모니터링하도록 하려면 런타임 모니터링을 사용 설정한 후 새 서비스를 배포해야 합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나 `forceNewDeployment`를 사용하여 서비스를 업데이트할 수 있습니다.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
+ *Amazon Elastic Container Service 개발자 안내서*의 [콘솔을 사용하여 Amazon ECS 서비스 업데이트](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html).
+ *Amazon Elastic Container Service API 참조*의 [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html).
+ *AWS CLI 명령 참조*의 [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html).
------
### 모든 멤버 계정에서 자동 활성화
------
#### [ Manage for all Amazon ECS clusters (account level) ]
다음 단계에서는 런타임 모니터링 섹션에서 **모든 계정에 대해 활성화**를 선택했다고 가정합니다.
1. 자동 에이전트 구성 섹션에서 **모든 계정에 대해 활성화**를 선택합니다. GuardDuty는 시작된 모든 Amazon ECS 작업에 대해 보안 에이전트를 배포하고 관리합니다.
1. **저장**을 선택합니다.
1. GuardDuty가 서비스의 일부인 작업을 모니터링하도록 하려면 런타임 모니터링을 사용 설정한 후 새 서비스를 배포해야 합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나 `forceNewDeployment`를 사용하여 서비스를 업데이트할 수 있습니다.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
+ *Amazon Elastic Container Service 개발자 안내서*의 [콘솔을 사용하여 Amazon ECS 서비스 업데이트](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html).
+ *Amazon Elastic Container Service API 참조*의 [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html).
+ *AWS CLI 명령 참조*의 [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html).
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. 키-값 페어를 `GuardDutyManaged`-`false`로 사용하여 이 Amazon ECS 클러스터에 태그를 추가합니다.
1. 신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. *AWS Organizations 사용자 가이드*의 [승인된 원칙을 제외하고 태그 수정 금지](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)에 제공된 정책이 여기에 적용되도록 수정되었습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. 탐색 창에서 **작업 실행 모니터링**을 선택합니다.
1.
**참고**
계정에 대해 자동화된 에이전트 구성을 사용 설정하기 전에 항상 Amazon ECS 클러스터에 제외 태그를 추가하세요. 그렇지 않으면 실행되는 Amazon ECS 작업의 모든 컨테이너에 GuardDuty 사이드카 컨테이너가 첨부됩니다.
**구성** 탭에서 **편집**을 선택합니다.
1. **자동 에이전트 구성** 섹션에서 **모든 계정에 대해 활성화**를 선택합니다.
제외되지 않은 Amazon ECS 클러스터의 경우 GuardDuty가 사이드카 컨테이너에서 보안 에이전트의 배포를 관리합니다.
1. **저장**을 선택합니다.
1. GuardDuty가 서비스의 일부인 작업을 모니터링하도록 하려면 런타임 모니터링을 사용 설정한 후 새 서비스를 배포해야 합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나 `forceNewDeployment`를 사용하여 서비스를 업데이트할 수 있습니다.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
+ *Amazon Elastic Container Service 개발자 안내서*의 [콘솔을 사용하여 Amazon ECS 서비스 업데이트](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html).
+ *Amazon Elastic Container Service API 참조*의 [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html).
+ *AWS CLI 명령 참조*의 [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html).
------
#### [ Manage for selective (inclusion-only) Amazon ECS clusters (cluster level) ]
런타임 모니터링을 활성화하는 방법에 관계없이 다음 단계는 조직의 모든 멤버 계정에 대한 선택적 Amazon ECS Fargate 작업을 모니터링하는 데 도움이 됩니다.
1. 자동 에이전트 구성 섹션에서 구성을 활성화하지 마세요. 런타임 모니터링 구성을 이전 단계에서 선택한 것과 동일하게 유지합니다.
1. **저장**을 선택합니다.
1. 신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. *AWS Organizations 사용자 가이드*의 [승인된 원칙을 제외하고 태그 수정 금지](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)에 제공된 정책이 여기에 적용되도록 수정되었습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**참고**
Amazon ECS 클러스터에 포함 태그를 사용하는 경우 **GuardDuty 에이전트 자동 관리**를 명시적으로 활성화할 필요가 없습니다.
1. GuardDuty가 서비스의 일부인 작업을 모니터링하도록 하려면 런타임 모니터링을 사용 설정한 후 새 서비스를 배포해야 합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나 `forceNewDeployment`를 사용하여 서비스를 업데이트할 수 있습니다.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
+ *Amazon Elastic Container Service 개발자 안내서*의 [콘솔을 사용하여 Amazon ECS 서비스 업데이트](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html).
+ *Amazon Elastic Container Service API 참조*의 [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html).
+ *AWS CLI 명령 참조*의 [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html).
------
### 기존 활성 멤버 계정에 대한 자동 에이전트 구성 활성화
------
#### [ Manage for all Amazon ECS clusters (account level) ]
1. 런타임 모니터링 페이지의 **구성** 탭에서 자동 에이전트 구성의 현재 상태를 볼 수 있습니다.
1. 자동 에이전트 구성 창의 **활성 멤버 계정** 섹션에서 **작업**을 선택합니다.
1. **작업**에서 **기존의 모든 활성 멤버 계정에 대해 활성화**를 선택합니다.
1. **확인**을 선택합니다.
1. GuardDuty가 서비스의 일부인 작업을 모니터링하도록 하려면 런타임 모니터링을 사용 설정한 후 새 서비스를 배포해야 합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나 `forceNewDeployment`를 사용하여 서비스를 업데이트할 수 있습니다.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
+ *Amazon Elastic Container Service 개발자 안내서*의 [콘솔을 사용하여 Amazon ECS 서비스 업데이트](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html).
+ *Amazon Elastic Container Service API 참조*의 [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html).
+ *AWS CLI 명령 참조*의 [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html).
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. 키-값 페어를 `GuardDutyManaged`-`false`로 사용하여 이 Amazon ECS 클러스터에 태그를 추가합니다.
1. 신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. *AWS Organizations 사용자 가이드*의 [승인된 원칙을 제외하고 태그 수정 금지](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)에 제공된 정책이 여기에 적용되도록 수정되었습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. 탐색 창에서 **작업 실행 모니터링**을 선택합니다.
1.
**참고**
계정에 대해 자동화된 에이전트 구성을 사용 설정하기 전에 항상 Amazon ECS 클러스터에 제외 태그를 추가하세요. 그렇지 않으면 실행되는 Amazon ECS 작업의 모든 컨테이너에 GuardDuty 사이드카 컨테이너가 첨부됩니다.
**구성** 탭의 자동 에이전트 구성 섹션의 **활성 멤버 계정**에서 **작업**을 선택합니다.
1. **작업**에서 **모든 활성 멤버 계정에 대해 활성화**를 선택합니다.
제외되지 않은 Amazon ECS 클러스터의 경우 GuardDuty가 사이드카 컨테이너에서 보안 에이전트의 배포를 관리합니다.
1. **확인**을 선택합니다.
1. GuardDuty가 서비스의 일부인 작업을 모니터링하도록 하려면 런타임 모니터링을 사용 설정한 후 새 서비스를 배포해야 합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나 `forceNewDeployment`를 사용하여 서비스를 업데이트할 수 있습니다.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
+ *Amazon Elastic Container Service 개발자 안내서*의 [콘솔을 사용하여 Amazon ECS 서비스 업데이트](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html).
+ *Amazon Elastic Container Service API 참조*의 [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html).
+ *AWS CLI 명령 참조*의 [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html).
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. 모든 작업을 포함할 Amazon ECS 클러스터에 태그를 추가합니다. 키-값 쌍은 `GuardDutyManaged`-`true`여야 합니다.
1. 신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. *AWS Organizations 사용자 가이드*의 [승인된 원칙을 제외하고 태그 수정 금지](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)에 제공된 정책이 여기에 적용되도록 수정되었습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**참고**
Amazon ECS 클러스터에 포함 태그를 사용하는 경우 **자동 에이전트 구성**을 명시적으로 활성화할 필요가 없습니다.
1. GuardDuty가 서비스의 일부인 작업을 모니터링하도록 하려면 런타임 모니터링을 사용 설정한 후 새 서비스를 배포해야 합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나 `forceNewDeployment`를 사용하여 서비스를 업데이트할 수 있습니다.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
+ *Amazon Elastic Container Service 개발자 안내서*의 [콘솔을 사용하여 Amazon ECS 서비스 업데이트](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html).
+ *Amazon Elastic Container Service API 참조*의 [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html).
+ *AWS CLI 명령 참조*의 [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html).
------
### 새 멤버에 대한 자동 에이전트 구성 자동 활성화
------
#### [ Manage for all Amazon ECS clusters (account level) ]
1. 런타임 모니터링 페이지에서 **편집**을 선택하여 기존 구성을 업데이트합니다.
1. 자동 에이전트 구성 섹션에서 **새 멤버 계정에 대해 자동 활성화를** 선택합니다.
1. **저장**을 선택합니다.
1. GuardDuty가 서비스의 일부인 작업을 모니터링하도록 하려면 런타임 모니터링을 사용 설정한 후 새 서비스를 배포해야 합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나 `forceNewDeployment`를 사용하여 서비스를 업데이트할 수 있습니다.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
+ *Amazon Elastic Container Service 개발자 안내서*의 [콘솔을 사용하여 Amazon ECS 서비스 업데이트](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html).
+ *Amazon Elastic Container Service API 참조*의 [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html).
+ *AWS CLI 명령 참조*의 [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html).
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. 키-값 페어를 `GuardDutyManaged`-`false`로 사용하여 이 Amazon ECS 클러스터에 태그를 추가합니다.
1. 신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. *AWS Organizations 사용자 가이드*의 [승인된 원칙을 제외하고 태그 수정 금지](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)에 제공된 정책이 여기에 적용되도록 수정되었습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. 탐색 창에서 **작업 실행 모니터링**을 선택합니다.
1.
**참고**
계정에 대해 자동화된 에이전트 구성을 사용 설정하기 전에 항상 Amazon ECS 클러스터에 제외 태그를 추가하세요. 그렇지 않으면 실행되는 Amazon ECS 작업의 모든 컨테이너에 GuardDuty 사이드카 컨테이너가 첨부됩니다.
**구성** 탭의 **자동 에이전트 구성** 섹션에서 **새 멤버 계정에 대해 자동으로 활성화**를 선택합니다.
제외되지 않은 Amazon ECS 클러스터의 경우 GuardDuty가 사이드카 컨테이너에서 보안 에이전트의 배포를 관리합니다.
1. **저장**을 선택합니다.
1. GuardDuty가 서비스의 일부인 작업을 모니터링하도록 하려면 런타임 모니터링을 사용 설정한 후 새 서비스를 배포해야 합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나 `forceNewDeployment`를 사용하여 서비스를 업데이트할 수 있습니다.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
+ *Amazon Elastic Container Service 개발자 안내서*의 [콘솔을 사용하여 Amazon ECS 서비스 업데이트](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html).
+ *Amazon Elastic Container Service API 참조*의 [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html).
+ *AWS CLI 명령 참조*의 [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html).
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. 모든 작업을 포함할 Amazon ECS 클러스터에 태그를 추가합니다. 키-값 쌍은 `GuardDutyManaged`-`true`여야 합니다.
1. 신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. *AWS Organizations 사용자 가이드*의 [승인된 원칙을 제외하고 태그 수정 금지](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)에 제공된 정책이 여기에 적용되도록 수정되었습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**참고**
Amazon ECS 클러스터에 포함 태그를 사용하는 경우 **자동 에이전트 구성**을 명시적으로 활성화할 필요가 없습니다.
1. GuardDuty가 서비스의 일부인 작업을 모니터링하도록 하려면 런타임 모니터링을 사용 설정한 후 새 서비스를 배포해야 합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나 `forceNewDeployment`를 사용하여 서비스를 업데이트할 수 있습니다.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
+ *Amazon Elastic Container Service 개발자 안내서*의 [콘솔을 사용하여 Amazon ECS 서비스 업데이트](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html).
+ *Amazon Elastic Container Service API 참조*의 [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html).
+ *AWS CLI 명령 참조*의 [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html).
------
### 활성 멤버 계정에 대한 자동 에이전트 구성을 선택적으로 활성화
------
#### [ Manage for all Amazon ECS (account level) ]
1. 계정 페이지에서 런타임 모니터링-자동화된 에이전트 구성(ECS-Fargate)을 사용 설정할 계정을 선택합니다. 여러 계정을 선택할 수 있습니다. 이 단계에서 선택한 계정이 이미 런타임 모니터링이 활성화되어 있는지 확인하세요.
1. **보호 계획 편집**에서 적절한 옵션을 선택하여 **런타임 모니터링-자동화된 에이전트 구성(ECS-Fargate)**을 활성화합니다.
1. **확인**을 선택합니다.
1. GuardDuty가 서비스의 일부인 작업을 모니터링하도록 하려면 런타임 모니터링을 사용 설정한 후 새 서비스를 배포해야 합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나 `forceNewDeployment`를 사용하여 서비스를 업데이트할 수 있습니다.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
+ *Amazon Elastic Container Service 개발자 안내서*의 [콘솔을 사용하여 Amazon ECS 서비스 업데이트](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html).
+ *Amazon Elastic Container Service API 참조*의 [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html).
+ *AWS CLI 명령 참조*의 [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html).
------
#### [ Manage for all Amazon ECS clusters but exclude some of the clusters (cluster level) ]
1. 키-값 페어를 `GuardDutyManaged`-`false`로 사용하여 이 Amazon ECS 클러스터에 태그를 추가합니다.
1. 신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. *AWS Organizations 사용자 가이드*의 [승인된 원칙을 제외하고 태그 수정 금지](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)에 제공된 정책이 여기에 적용되도록 수정되었습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.
1. 탐색 창에서 **작업 실행 모니터링**을 선택합니다.
1.
**참고**
계정에 대해 GuardDuty 에이전트 자동 관리를 사용 설정하기 전에 항상 Amazon ECS 클러스터에 제외 태그를 추가하세요. 그렇지 않으면 GuardDuty 사이드카 컨테이너가 실행되는 Amazon ECS 작업의 모든 컨테이너에 첨부됩니다.
계정 페이지에서 런타임 모니터링-자동화된 에이전트 구성(ECS-Fargate)을 사용 설정할 계정을 선택합니다. 여러 계정을 선택할 수 있습니다. 이 단계에서 선택한 계정이 이미 런타임 모니터링이 활성화되어 있는지 확인하세요.
제외되지 않은 Amazon ECS 클러스터의 경우 GuardDuty가 사이드카 컨테이너에서 보안 에이전트의 배포를 관리합니다.
1. **보호 계획 편집**에서 적절한 옵션을 선택하여 **런타임 모니터링-자동화된 에이전트 구성(ECS-Fargate)**을 활성화합니다.
1. **저장**을 선택합니다.
1. GuardDuty가 서비스의 일부인 작업을 모니터링하도록 하려면 런타임 모니터링을 사용 설정한 후 새 서비스를 배포해야 합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나 `forceNewDeployment`를 사용하여 서비스를 업데이트할 수 있습니다.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
+ *Amazon Elastic Container Service 개발자 안내서*의 [콘솔을 사용하여 Amazon ECS 서비스 업데이트](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html).
+ *Amazon Elastic Container Service API 참조*의 [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html).
+ *AWS CLI 명령 참조*의 [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html).
------
#### [ Manage for selective (inclusion only) Amazon ECS clusters (cluster level) ]
1. 모니터링하려는 Amazon ECS 클러스터가 있는 선택한 계정에 대해 **자동 에이전트 구성**(또는 **런타임 모니터링-자동 에이전트 구성(ECS-Fargate)**)을 활성화하지 않도록 해야 합니다.
1. 모든 작업을 포함할 Amazon ECS 클러스터에 태그를 추가합니다. 키-값 쌍은 `GuardDutyManaged`-`true`여야 합니다.
1. 신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. *AWS Organizations 사용자 가이드*의 [승인된 원칙을 제외하고 태그 수정 금지](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)에 제공된 정책이 여기에 적용되도록 수정되었습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
**참고**
Amazon ECS 클러스터에 포함 태그를 사용하는 경우 **자동 에이전트 구성**을 명시적으로 활성화할 필요가 없습니다.
1. GuardDuty가 서비스의 일부인 작업을 모니터링하도록 하려면 런타임 모니터링을 사용 설정한 후 새 서비스를 배포해야 합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나 `forceNewDeployment`를 사용하여 서비스를 업데이트할 수 있습니다.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
+ *Amazon Elastic Container Service 개발자 안내서*의 [콘솔을 사용하여 Amazon ECS 서비스 업데이트](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html).
+ *Amazon Elastic Container Service API 참조*의 [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html).
+ *AWS CLI 명령 참조*의 [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html).
------
## 독립 실행형 계정에 대한 GuardDuty 에이전트 구성
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) GuardDuty 콘솔을 엽니다.
1. 탐색 창에서 **작업 실행 모니터링**을 선택합니다.
1. **구성** 탭에서 다음을 수행합니다.
1.
**모든 Amazon ECS 클러스터에 대한 자동 에이전트 구성을 관리하려면(계정 수준)**
에 대한 **자동 에이전트 구성** 섹션에서 **활성화**를 선택합니다**AWS Fargate (ECS만 해당)**. 새로운 Fargate Amazon ECS 작업이 시작되면 GuardDuty가 보안 에이전트의 배포를 관리합니다.
1. **저장**을 선택합니다.
1.
**일부 Amazon ECS 클러스터(클러스터 수준)를 제외하여 자동화된 에이전트 구성을 관리하려면 다음과 같이 하세요.**
1. 모든 작업을 제외할 Amazon ECS 클러스터에 태그를 추가합니다. 키-값 쌍은 `GuardDutyManaged`-`false`여야 합니다.
1. 신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. *AWS Organizations 사용자 가이드*의 [승인된 원칙을 제외하고 태그 수정 금지](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)에 제공된 정책이 여기에 적용되도록 수정되었습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. **구성** 탭에서 **자동 에이전트 구성** 섹션에서 **활성화**를 선택합니다.
**참고**
계정에 대해 GuardDuty 에이전트 자동 관리를 사용 설정하기 전에 항상 Amazon ECS 클러스터에 제외 태그를 추가하세요. 그렇지 않으면 해당 Amazon ECS 클러스터 내에서 실행되는 모든 작업에서 보안 에이전트가 배포됩니다.
제외되지 않은 Amazon ECS 클러스터의 경우 GuardDuty가 사이드카 컨테이너에서 보안 에이전트의 배포를 관리합니다.
1. **저장**을 선택합니다.
1.
**일부 Amazon ECS 클러스터(클러스터 수준)를 포함하여 자동화된 에이전트 구성을 관리하려면 다음과 같이 하세요.**
1. 모든 작업을 포함할 Amazon ECS 클러스터에 태그를 추가합니다. 키-값 쌍은 `GuardDutyManaged`-`true`여야 합니다.
1. 신뢰할 수 있는 엔터티를 제외하고 이러한 태그의 수정을 방지합니다. *AWS Organizations 사용자 가이드*의 [승인된 원칙을 제외하고 태그 수정 금지](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)에 제공된 정책이 여기에 적용되도록 수정되었습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyModifyTagsIfResAuthzTagAndPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ecs:ResourceTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"ecs:ResourceTag/GuardDutyManaged": false
}
}
},
{
"Sid": "DenyModifyResAuthzTagIfPrinTagDontMatch",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/GuardDutyManaged": "${aws:PrincipalTag/GuardDutyManaged}",
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"GuardDutyManaged"
]
}
}
},
{
"Sid": "DenyModifyTagsIfPrinTagNotExists",
"Effect": "Deny",
"Action": [
"ecs:TagResource",
"ecs:UntagResource"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::123456789012:role/org-admins/iam-admin"
},
"Null": {
"aws:PrincipalTag/GuardDutyManaged": true
}
}
}
]
}
```
------
1. GuardDuty가 서비스의 일부인 작업을 모니터링하도록 하려면 런타임 모니터링을 사용 설정한 후 새 서비스를 배포해야 합니다. 런타임 모니터링을 활성화하기 전에 특정 ECS 서비스에 대한 마지막 배포가 시작된 경우 서비스를 다시 시작하거나 `forceNewDeployment`를 사용하여 서비스를 업데이트할 수 있습니다.
서비스를 업데이트하는 단계는 다음 리소스를 참조하세요.
+ *Amazon Elastic Container Service 개발자 안내서*의 [콘솔을 사용하여 Amazon ECS 서비스 업데이트](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/update-service-console-v2.html).
+ *Amazon Elastic Container Service API 참조*의 [UpdateService](https://docs.aws.amazon.com/AmazonECS/latest/APIReference/API_UpdateService.html).
+ *AWS CLI 명령 참조*의 [update-service](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ecs/update-service.html).
# Amazon EKS 리소스에 대한 보안 에이전트 자동 관리
런타임 모니터링은 GuardDuty 자동 구성 및 수동 구성을 통해 보안 에이전트를 활성화할 수 있도록 지원합니다. 이 섹션에서는 Amazon EKS 클러스터에 대한 자동화된 에이전트 구성을 사용 설정하는 단계를 설명합니다.
계속하기 전에 [Amazon EKS 클러스터 지원을 위한 사전 조건](prereq-runtime-monitoring-eks-support.md)를 따랐는지 확인하세요.
[GuardDuty를 통한 보안 에이전트 관리](how-runtime-monitoring-works-eks.md#eks-runtime-using-gdu-agent-management-auto)를 사용하는 방법에 대한 선호하는 접근 방식에 따라 다음 섹션에서 단계를 적절히 선택합니다.
## 다중 계정 환경을 위한 자동 에이전트 구성
다중 계정 환경에서는 위임된 GuardDuty 관리자 계정만 멤버 계정에 대한 자동 에이전트 구성을 활성화 또는 비활성화할 수 있으며, 조직 내 멤버 계정에 속하는 EKS 클러스터에 대한 자동 에이전트를 관리할 수 있습니다. GuardDuty 멤버 계정은 계정 내에서 이 구성을 수정할 수 없습니다. 위임된 GuardDuty 관리자 계정은를 사용하여 멤버 계정을 관리합니다 AWS Organizations. 다중 계정 환경에 대한 자세한 내용은 [Managing multiple accounts](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_accounts.html)를 참조하세요.
### 위임된 GuardDuty 관리자 계정에 대한 자동 에이전트 구성 구성
| **GuardDuty 보안 에이전트 관리 관련 선호 접근 방식** | **단계** |
| --- | --- |
| GuardDuty를 통한 보안 에이전트 관리 (모든 EKS 클러스터 모니터링) | 런타임 모니터링 섹션에서 **모든 계정에 대해 활성화**를 선택한 경우 다음 옵션을 사용할 수 있습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) 런타임 모니터링 섹션에서 **수동으로 계정 구성**을 선택한 경우 다음 작업을 수행합니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) **저장**을 선택합니다. |
| 모든 EKS 클러스터를 모니터링하면서 일부 클러스터 제외(제외 태그 사용) | 다음 절차에서 해당하는 시나리오 중 하나를 선택합니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| 포함 태그를 사용하여 선택적 EKS 클러스터 모니터링 | 선택한 런타임 모니터링의 활성화 방식과 무관하게 다음 단계는 계정에서 선택적 EKS 클러스터를 모니터링하는 데 도움이 됩니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| GuardDuty 보안 에이전트를 수동으로 관리 | 선택한 런타임 모니터링 활성화 방식과 무관하게 EKS 클러스터의 보안 에이전트를 수동으로 관리할 수 있습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
### 모든 멤버 계정에 자동 에이전트 자동 활성화
**참고**
멤버 계정의 구성을 업데이트하는 데 최대 24시간이 걸릴 수 있습니다.
| **GuardDuty 보안 에이전트 관리 관련 선호 접근 방식** | **단계** |
| --- | --- |
| GuardDuty를 통한 보안 에이전트 관리 (모든 EKS 클러스터 모니터링) | 이 주제는 모든 멤버 계정에 대해 런타임 모니터링을 활성화하는 것과 관련이 있기에 다음 단계에서는 런타임 모니터링 섹션에서 **모든 계정에 대해 활성화**를 선택했을 것이라고 가정합니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| 모든 EKS 클러스터를 모니터링하면서 일부 클러스터 제외(제외 태그 사용) | 다음 절차에서 해당하는 시나리오 중 하나를 선택합니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| 포함 태그를 사용하여 선택적 EKS 클러스터 모니터링 | 선택한 런타임 모니터링의 활성화 방식과 무관하게 다음 단계는 조직의 모든 멤버 계정에서 선택적 EKS 클러스터를 모니터링하는 데 도움이 됩니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| GuardDuty 보안 에이전트를 수동으로 관리 | 선택한 런타임 모니터링 활성화 방식과 무관하게 EKS 클러스터의 보안 에이전트를 수동으로 관리할 수 있습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
### 모든 기존 활성 멤버 계정에 자동 에이전트 활성화
**참고**
멤버 계정의 구성을 업데이트하는 데 최대 24시간이 걸릴 수 있습니다.
**조직 내 기존 활성 멤버 계정의 GuardDuty 보안 에이전트 관리**
+ GuardDuty가 조직의 기존 활성 멤버 계정에 속하는 EKS 클러스터로부터 런타임 이벤트를 수신하려면 선호하는 접근 방식을 선택하여 이러한 EKS 클러스터에 대해 GuardDuty 보안 에이전트를 관리해야 합니다. 각각의 접근 방식에 대한 자세한 내용은 [Amazon EKS 클러스터에서 GuardDuty 보안 에이전트를 관리하는 방법](how-runtime-monitoring-works-eks.md#eksrunmon-approach-to-monitor-eks-clusters) 섹션을 참조하세요.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)
### 새 멤버에 대한 자동 에이전트 구성 자동 활성화
| **GuardDuty 보안 에이전트 관리 관련 선호 접근 방식** | **단계** |
| --- | --- |
| GuardDuty를 통한 보안 에이전트 관리 (모든 EKS 클러스터 모니터링) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| 모든 EKS 클러스터를 모니터링하면서 일부 클러스터 제외(제외 태그 사용) | 다음 절차에서 해당하는 시나리오 중 하나를 선택합니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| 포함 태그를 사용하여 선택적 EKS 클러스터 모니터링 | 선택한 런타임 모니터링의 활성화 방식과 무관하게 다음 단계는 조직의 새 멤버 계정에서 선택적 EKS 클러스터를 모니터링하는 데 도움이 됩니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| GuardDuty 보안 에이전트를 수동으로 관리 | 선택한 런타임 모니터링 활성화 방식과 무관하게 EKS 클러스터의 보안 에이전트를 수동으로 관리할 수 있습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
### 활성 멤버 계정에 대한 자동 에이전트를 선택적으로 구성
| **GuardDuty 보안 에이전트 관리 관련 선호 접근 방식** | **단계** |
| --- | --- |
| GuardDuty를 통한 보안 에이전트 관리 (모든 EKS 클러스터 모니터링) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| 모든 EKS 클러스터를 모니터링하면서 일부 클러스터 제외(제외 태그 사용) | 다음 절차에서 해당하는 시나리오 중 하나를 선택합니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| 포함 태그를 사용하여 선택적 EKS 클러스터 모니터링 | 선택한 런타임 모니터링의 활성화 방식과 무관하게 다음 단계는 선택한 계정에 속하는 선택적 EKS 클러스터를 모니터링하는 데 도움이 됩니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
| GuardDuty 보안 에이전트를 수동으로 관리 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html) |
## 독립 실행형 계정에 대한 자동 에이전트 구성
독립 실행형 계정은 특정의 AWS 계정 에서 보호 계획을 활성화 또는 비활성화하는 결정을 소유합니다 AWS 리전.
계정이 AWS Organizations또는 초대 방법을 통해 GuardDuty 관리자 계정과 연결된 경우이 섹션은 계정에 적용되지 않습니다. 자세한 내용은 [다중 계정 환경에서 런타임 모니터링 활성화](enable-runtime-monitoring-multiple-acc-env.md) 단원을 참조하십시오.
런타임 모니터링을 사용 설정한 후에는 자동 구성 또는 수동 배포를 통해 GuardDuty 보안 에이전트를 설치해야 합니다. 다음 절차에 나열된 모든 단계를 완료하는 과정에서 보안 에이전트를 설치해야 합니다.
전부 또는 일부 Amazon EKS 리소스를 모니터링하는 기본 설정에 따라 선호하는 방법을 선택하고 다음 표의 단계를 따릅니다.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) GuardDuty 콘솔을 엽니다.
1. 탐색 창에서 **작업 실행 모니터링**을 선택합니다.
1. **구성** 탭에서 **활성화**를 선택하여 계정에 대한 자동 에이전트 구성을 활성화합니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/managing-gdu-agent-eks-automatically.html)
# Amazon EKS 클러스터에 대한 보안 에이전트 수동 관리
이 섹션에서는 런타임 모니터링(또는 EKS 런타임 모니터링)을 활성화한 후 Amazon EKS 애드온 에이전트(GuardDuty 에이전트)를 관리하는 방법에 대해 설명합니다. 런타임 모니터링을 사용하려면 런타임 모니터링을 활성화하고 Amazon EKS 애드온 기능인 `aws-guardduty-agent`를 구성해야 합니다. GuardDuty가 잠재적 위협을 탐지하고 [GuardDuty 런타임 모니터링 조사 결과 유형](findings-runtime-monitoring.md)를 생성하려면 두 단계를 모두 수행해야 합니다.
에이전트를 수동으로 관리하려면 VPC 엔드포인트를 사전 조건으로 생성해야 합니다. 이렇게 하면 GuardDuty가 런타임 이벤트를 수신하는 데 도움이 됩니다. 그런 다음 GuardDuty가 Amazon EKS 리소스에서 런타임 이벤트를 수신하기 시작하도록 보안 에이전트를 설치할 수 있습니다. GuardDuty에서 이 리소스에 대한 새 상담원 버전을 출시하면 계정에서 상담원 버전을 업데이트할 수 있습니다.
**Topics**
+ [사전 조건 - Amazon VPC 엔드포인트 생성](eksrunmon-prereq-deploy-security-agent.md)
+ [Amazon EKS 리소스에 GuardDuty 보안 에이전트 수동 설치](eksrunmon-deploy-security-agent.md)
+ [Amazon EKS 리소스에 대한 보안 에이전트 수동 업데이트](eksrunmon-update-security-agent.md)
# 사전 조건 - Amazon VPC 엔드포인트 생성
GuardDuty 보안 에이전트를 설치하려면 먼저 Amazon Virtual Private Cloud(Amazon VPC) 엔드포인트를 생성해야 합니다. 이렇게 하면 GuardDuty가 Amazon EKS 리소스의 런타임 이벤트를 수신하는 데 도움이 됩니다.
**참고**
VPC 엔드포인트 사용에 대한 추가 비용은 없습니다.
선호하는 액세스 방법을 선택하여 Amazon VPC 엔드포인트를 생성합니다.
------
#### [ Console ]
**VPC 엔드포인트 생성하기**
1. [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/)에서 Amazon VPC 콘솔을 엽니다.
1. 탐색 창의 **Virtual Private Cloud**에서 **엔드포인트**를 선택합니다.
1. **엔드포인트 생성**을 선택합니다.
1. **엔드포인트 생성** 페이지에서 **서비스 범주**에 대해 **기타 엔드포인트 서비스**를 선택합니다.
1. **서비스 이름**에 **com.amazonaws.*us-east-1*.guardduty-data**를 입력합니다.
*us-east-1*을 올바른 리전으로 바꿉니다. ID에 속하는 EKS 클러스터와 동일한 리전이어야 합니다 AWS 계정 .
1. **서비스 확인**을 선택합니다.
1. 서비스 이름이 성공적으로 확인되면 클러스터가 상주하는 **VPC**를 선택합니다. 다음 정책을 추가하여 VPC 엔드포인트 사용을 지정된 계정으로만 제한합니다. 이 정책 아래에 제공된 조직 `Condition`을 사용하여 다음 정책을 업데이트하고 엔드포인트에 대한 액세스를 제한할 수 있습니다. 조직의 특정 계정 ID에 VPC 엔드포인트 지원을 제공하려면 [Organization condition to restrict access to your endpoint](#gdu-shared-vpc-endpoint-org) 섹션을 참조하세요.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": "*",
"Resource": "*",
"Effect": "Allow",
"Principal": "*"
},
{
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "111122223333"
}
},
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Principal": "*"
}
]
}
```
------
`aws:PrincipalAccount` 계정 ID는 VPC 및 VPC 엔드포인트를 포함하는 계정과 일치해야 합니다. 다음 목록은 VPC 엔드포인트를 다른 AWS 계정 ID와 공유하는 방법을 보여줍니다.
**엔드포인트 액세스를 제한하는 조직 조건**
+ VPC 엔드포인트에 액세스할 계정을 여러 개 지정하려면 `"aws:PrincipalAccount": "111122223333"`을 다음과 같이 바꿉니다.
```
"aws:PrincipalAccount": [
"666666666666",
"555555555555"
]
```
+ 조직의 모든 멤버가 VPC 엔드포인트에 액세스할 수 있도록 허용하려면 `"aws:PrincipalAccount": "111122223333"`을 다음과 같이 바꿉니다.
```
"aws:PrincipalOrgID": "o-abcdef0123"
```
+ 리소스 액세스를 조직 ID로 제한하려면 정책에 `ResourceOrgID`를 추가합니다.
자세한 내용은 [ResourceOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-resourceorgid)를 참조하세요.
```
"aws:ResourceOrgID": "o-abcdef0123"
```
1. **추가 설정**에서 **DNS 이름 활성화**를 선택합니다.
1. **서브넷**에서 클러스터가 상주하는 서브넷을 선택합니다.
1. **보안 그룹**에서 VPC(또는 EKS 클러스터)로부터 인바운드 포트 443이 활성화된 보안 그룹을 선택합니다. 인바운드 포트 443이 활성화된 보안 그룹이 아직 없는 경우 [보안 그룹을 생성](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group)합니다.
VPC(또는 인스턴스)에 대한 인바운드 권한을 제한하는 동안 문제가 있는 경우 모든 IP 주소 `(0.0.0.0/0)`에서 인바운드 443 포트를 사용할 수 있습니다. 그러나 GuardDuty는 VPC의 CIDR 블록과 일치하는 IP 주소를 사용할 것을 권장합니다. 자세한 내용은 *Amazon VPC 사용 설명서*에서 [VPC CIDR 블록](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-cidr-blocks.html)을 참조하세요.
------
#### [ API/CLI ]
**VPC 엔드포인트 생성하기**
+ [CreateVpcEndpoint](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateVpcEndpoint.html)를 간접적으로 호출합니다.
+ 파라미터에 대해 다음 값을 사용합니다.
+ **서비스 이름**에 **com.amazonaws.*us-east-1*.guardduty-data**를 입력합니다.
*us-east-1*을 올바른 리전으로 바꿉니다. ID에 속하는 EKS 클러스터와 동일한 리전이어야 합니다 AWS 계정 .
+ [DNSOptions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DnsOptions.html)에서 `true`로 설정하여 프라이빗 DNS 옵션을 활성화합니다.
+ 의 경우 [create-vpc-endpoint](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/ec2/create-vpc-endpoint.html)를 AWS Command Line Interface참조하세요.
------
단계를 따른 후 [VPC 엔드포인트 구성 검증](validate-vpc-endpoint-config-runtime-monitoring.md)를 참조하여 VPC 엔드포인트가 올바르게 설정되었는지 확인합니다.
# Amazon EKS 리소스에 GuardDuty 보안 에이전트 수동 설치
이 섹션에서는 특정 EKS 클러스터에 GuardDuty 보안 에이전트를 처음 배포하는 방법을 설명합니다. 이 섹션을 진행하기 전에 사전 조건을 이미 설정하고 계정에 대한 런타임 모니터링을 활성화했는지 확인하세요. 런타임 모니터링을 활성화하지 않은 경우 GuardDuty 보안 에이전트(EKS 추가 기능)가 작동하지 않습니다.
선호하는 액세스 방법을 선택하여 GuardDuty 보안 에이전트를 처음 배포하세요.
------
#### [ Console ]
1. [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters)에서 Amazon EKS 콘솔을 엽니다.
1. **클러스터 이름**을 선택합니다.
1. **추가 기능** 탭을 선택합니다.
1. **추가 기능 더 가져오기**를 선택합니다.
1. **추가 기능 선택** 페이지에서 **Amazon GuardDuty EKS 런타임 모니터링**을 선택합니다.
1. GuardDuty는 최신 및 기본 에이전트 **버전**을 선택할 것을 권장합니다.
1. **선택한 추가 기능 설정 구성** 페이지에서 기본 설정을 사용합니다. EKS 추가 기능의 **상태**가 **활성화 필요**인 경우 **GuardDuty 활성화**를 선택합니다. 이 작업을 수행하면 GuardDuty 콘솔이 열리고 계정에 대한 런타임 모니터링을 구성할 수 있습니다.
1. 계정에 대해 런타임 모니터링을 구성한 후에는 Amazon EKS 콘솔로 다시 전환합니다. EKS 추가 기능의 **상태**가 **설치 준비 완료**로 변경되었을 것입니다.
1.
**(선택 사항) EKS 애드온 기능 구성 스키마 제공**
애드온 **버전**의 경우 **v1.5.0** 이상을 선택하면 Runtime Monitoring이 GuardDuty 에이전트의 특정 파라미터 구성을 지원합니다. 매개 변수 범위에 대한 자세한 내용은 [EKS 추가 기능 파라미터 구성](guardduty-configure-security-agent-eks-addon.md)를 참조하세요.
1. 구성 가능한 파라미터와 예상 값 및 형식을 보려면 **선택적 구성 설정**을 확장합니다.
1. 매개변수를 설정합니다. 값은 [EKS 추가 기능 파라미터 구성](guardduty-configure-security-agent-eks-addon.md)에 제공된 범위 내에 있어야 합니다.
1. **변경 사항 저장**을 선택하여 고급 구성을 기반으로 추가 기능을 생성합니다.
1. **충돌 해결 방법**의 경우 파라미터 값을 기본값이 아닌 값으로 업데이트할 때 선택한 옵션을 사용하여 충돌을 해결합니다. 나열된 옵션에 대한 자세한 내용은 *Amazon EKS API 참조*의 [resolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts)를 참조하세요.
1. **다음**을 선택합니다.
1. **검토 및 생성** 페이지에서 세부 정보를 확인한 다음 **생성**을 선택합니다.
1. 클러스터 세부 정보로 돌아가서 **리소스** 탭을 선택합니다.
1. 접두사가 **aws-guardduty-agent**인 새 포드를 확인할 수 있습니다.
------
#### [ API/CLI ]
다음 옵션 중 하나를 사용하여 Amazon EKS 추가 기능 에이전트(`aws-guardduty-agent`)를 구성할 수 있습니다.
+ 계정에 대해 [CreateAddon](https://docs.aws.amazon.com/eks/latest/APIReference/API_CreateAddon.html)을 간접적으로 실행합니다.
+
**참고**
애드온 `version`의 경우 **v1.5.0 이상**을 선택하면 Runtime Monitoring이 GuardDuty 에이전트의 특정 파라미터 구성을 지원합니다. 자세한 내용은 [EKS 추가 기능 파라미터 구성](guardduty-configure-security-agent-eks-addon.md) 단원을 참조하십시오.
요청 파라미터에 대해 다음 값을 사용합니다.
+ `addonName`에 `aws-guardduty-agent`를 입력합니다.
추가 기능 버전 `v1.5.0` 이상에 지원되는 구성 가능한 값을 사용할 때 다음 AWS CLI 예제를 사용할 수 있습니다. 빨간색으로 강조 표시된 자리 표시자 값과 구성된 값과 연결된 `Example.json`를 교체해야 합니다.
```
aws eks create-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
```
**Example.json**
```
{
"priorityClassName": "aws-guardduty-agent.priorityclass-high",
"dnsPolicy": "Default",
"resources": {
"requests": {
"cpu": "237m",
"memory": "512Mi"
},
"limits": {
"cpu": "2000m",
"memory": "2048Mi"
}
}
}
```
+ 지원되는 `addonVersion`에 대한 내용은 [GuardDuty 보안 에이전트가 지원하는 Kubernetes 버전](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version) 섹션을 참조하세요.
+ 또는를 사용할 수 있습니다 AWS CLI. 자세한 내용은 [create-addon](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/eks/create-addon.html)을 참조하세요.
------
**VPC 엔드포인트의 프라이빗 DNS 이름**
기본적으로 보안 에이전트는 VPC 엔드포인트의 프라이빗 DNS 이름을 확인하고 연결합니다. 비 FIPS 엔드포인트의 경우 프라이빗 DNS는 다음 형식으로 표시됩니다.
비 FIPS 엔드포인트 - `guardduty-data.us-east-1.amazonaws.com`
AWS 리전*us-east-1*은 리전에 따라 변경됩니다.
# Amazon EKS 리소스에 대한 보안 에이전트 수동 업데이트
GuardDuty 보안 에이전트를 수동으로 관리할 때는 계정에 맞게 업데이트해야 합니다. 새 에이전트 버전에 대한 알림을 받으려면 [GuardDuty 보안 에이전트 릴리스 버전](runtime-monitoring-agent-release-history.md)에 대한 RSS 피드를 구독할 수 있습니다.
보안 에이전트를 최신 버전으로 업데이트하여 추가 지원 및 개선 사항을 활용할 수 있습니다. 현재 사용 중인 에이전트 버전이 표준 지원 종료 시점에 도달한 경우 Runtime Monitoring(또는 EKS Runtime Monitoring)을 계속 사용하려면 다음으로 이용 가능한 또는 최신 에이전트 버전으로 업데이트해야 합니다.
**사전 조건**
보안 에이전트 버전을 업데이트하기 전에, 지금 사용하려는 에이전트 버전이 사용 중인 Kubernetes 버전과 호환되는지 확인하세요. 자세한 내용은 [GuardDuty 보안 에이전트가 지원하는 Kubernetes 버전](prereq-runtime-monitoring-eks-support.md#gdu-agent-supported-k8-version) 단원을 참조하십시오.
------
#### [ Console ]
1. [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters)에서 Amazon EKS 콘솔을 엽니다.
1. **클러스터 이름**을 선택합니다.
1. **클러스터 정보**에서 **애드온** 탭을 선택합니다.
1. **애드온** 탭에서 **GuardDuty EKS Runtime Monitoring**을 선택합니다.
1. **편집**을 선택하여 에이전트 세부 정보를 업데이트합니다.
1. **GuardDuty EKS Runtime Monitoring 구성** 페이지에서 세부 정보를 업데이트합니다.
1.
**(선택 사항) 선택적 구성 설정 업데이트**
EKS 애드온 **버전**이 *1.5.0* 이상인 경우 애드온 구성 스키마를 업데이트할 수도 있습니다.
1. 구성 스키마를 보려면 **선택적 구성 설정을** 확장합니다.
1. [EKS 추가 기능 파라미터 구성](guardduty-configure-security-agent-eks-addon.md)에 제공된 범위에 따라 파라미터 값을 업데이트합니다.
1. **변경 사항 저장**을 선택하여 업데이트를 시작합니다.
1. **충돌 해결 방법**의 경우 파라미터 값을 기본값이 아닌 값으로 업데이트할 때 선택한 옵션을 사용하여 충돌을 해결합니다. 나열된 옵션에 대한 자세한 내용은 *Amazon EKS API 참조*의 [resolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts)를 참조하세요.
------
#### [ API/CLI ]
Amazon EKS 클러스터의 GuardDuty 보안 에이전트를 업데이트하려면 [추가 기능 업데이트](https://docs.aws.amazon.com/eks/latest/userguide/managing-add-ons.html#updating-an-add-on)를 참조하세요.
**참고**
애드온 `version`의 경우 **1.5.0 이상**을 선택하면 Runtime Monitoring이 GuardDuty 에이전트의 특정 파라미터 구성을 지원합니다. 매개 변수 범위에 대한 자세한 내용은 [EKS 추가 기능 파라미터 구성](guardduty-configure-security-agent-eks-addon.md)를 참조하세요.
추가 기능 버전 1.5.0 이상에서 지원되는 구성 가능한 값을 사용할 때 다음 AWS CLI 예제를 사용할 수 있습니다. ** 빨간색으로 강조 표시된 자리 표시자 값과 구성된 값과 연결된 `Example.json`를 교체해야 합니다.
```
aws eks update-addon --region us-east-1 --cluster-name myClusterName --addon-name aws-guardduty-agent --addon-version v1.12.1-eksbuild.2 --configuration-values 'file://example.json'
```
**Example.json**
```
{
"priorityClassName": "aws-guardduty-agent.priorityclass-high",
"dnsPolicy": "Default",
"resources": {
"requests": {
"cpu": "237m",
"memory": "512Mi"
},
"limits": {
"cpu": "2000m",
"memory": "2048Mi"
}
}
}
```
------
Amazon EKS 애드온 버전이 1.5.0 이상이고 애드온 스키마를 구성한 경우 클러스터에 대해 값이 올바르게 표시되는지 확인할 수 있습니다. 자세한 내용은 [구성 스키마 업데이트 확인](guardduty-configure-security-agent-eks-addon.md#gdu-verify-eks-add-on-configuration-param) 단원을 참조하십시오.
# Amazon EKS에 대한 GuardDuty 보안 에이전트(추가 기능) 파라미터 구성
Amazon EKS에 대한 GuardDuty 보안 에이전트의 특정 파라미터를 구성할 수 있습니다. 이 지원은 GuardDuty 보안 에이전트 버전 1.5.0 이상에서 사용할 수 있습니다. 최신 추가 기능 버전에 대한 자세한 내용은 [Amazon EKS 리소스용 GuardDuty 보안 에이전트 버전](runtime-monitoring-agent-release-history.md#eks-runtime-monitoring-agent-release-history)을 참조하세요.
**보안 에이전트 구성 스키마를 업데이트해야 하는 이유**
GuardDuty 보안 에이전트의 구성 스키마는 Amazon EKS 클러스터 내의 모든 컨테이너에서 동일합니다. 기본값이 관련 워크로드 및 인스턴스 크기와 일치하지 않는 경우 CPU 설정, 메모리 설정, `PriorityClass` 및 `dnsPolicy` 설정을 구성하는 것이 좋습니다. Amazon EKS 클러스터에 대한 GuardDuty 에이전트를 관리하는 방식에 관계없이 이러한 매개 변수의 기존 구성을 구성하거나 업데이트할 수 있습니다.
## 구성된 파라미터를 사용한 자동화된 에이전트 구성 동작
GuardDuty가 사용자를 대신하여 보안 에이전트(EKS 애드온)를 관리할 때 필요에 따라 애드온을 업데이트합니다. GuardDuty는 구성 가능한 파라미터의 값을 기본값으로 설정합니다. 하지만 파라미터를 원하는 값으로 업데이트할 수 있습니다. 이로 인해 충돌이 발생하는 경우 [resolveConflicts](https://docs.aws.amazon.com/eks/latest/APIReference/API_UpdateAddon.html#AmazonEKS-UpdateAddon-request-resolveConflicts) 위한 기본 옵션은 `None` 입니다.
## 구성 가능한 파라미터 및 값
추가 기능 파라미터를 구성하는 단계에 대한 자세한 내용은 다음을 참조하세요.
+ [Amazon EKS 리소스에 GuardDuty 보안 에이전트 수동 설치](eksrunmon-deploy-security-agent.md) 또는
+ [Amazon EKS 리소스에 대한 보안 에이전트 수동 업데이트](eksrunmon-update-security-agent.md)
다음 표에는 Amazon EKS 애드온을 수동으로 배포하거나 기존 애드온 설정을 업데이트하는 데 사용할 수 있는 범위와 값이 나와 있습니다.
**CPU 설정**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)
**메모리 설정**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)
**`PriorityClass` 설정**
GuardDuty가 Amazon EKS 추가 기능을 생성하면 할당된 `PriorityClass`는 `aws-guardduty-agent.priorityclass`입니다. 즉, 상담원 포드의 우선 순위에 따라 조치가 취해지지 않습니다. 다음의 `PriorityClass` 옵션 중 하나를 선택하여 이 추가 기능 파라미터를 구성할 수 있습니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/guardduty/latest/ug/guardduty-configure-security-agent-eks-addon.html)
**1** Kubernetes는 `system-cluster-critical` 및 `system-node-critical` 두 가지 `PriorityClass` 옵션을 제공합니다. 자세한 내용은 *Kubernetes 문서*에서 [PriorityClass](https://kubernetes.io/docs/concepts/scheduling-eviction/pod-priority-preemption/#how-to-use-priority-and-preemption)를 참조한다.
**`dnsPolicy` 설정**
Kubernetes에서 지원하는 다음 DNS 정책 옵션 중 하나를 선택합니다. 구성을 지정하지 않으면 `ClusterFirst`이 기본값으로 사용됩니다.
+ `ClusterFirst`
+ `ClusterFirstWithHostNet`
+ `Default`
자세한 내용은 *쿠버네티스 문서*의 [포드 DNS 정책](https://kubernetes.io/docs/concepts/services-networking/dns-pod-service/#pod-s-dns-policy)을 참조하세요.
## 구성 스키마 업데이트 확인
파라미터를 구성한 후 다음 단계를 수행하여 구성 스키마가 업데이트되었는지 확인합니다.
1. [https://console.aws.amazon.com/eks/home\$1/clusters](https://console.aws.amazon.com/eks/home#/clusters)에서 Amazon EKS 콘솔을 엽니다.
1. 탐색 창에서 **클러스터**를 선택합니다.
1. **클러스터** 페이지에서 업데이트를 확인할 **클러스터 이름**을 선택합니다.
1. **리소스** 탭을 선택합니다.
1. **리소스 유형** 창의 **워크로드**에서 **DaemonSets** 선택합니다.
1. **aws-guardduty-agent**를 선택합니다.
1. **aws-guardduty-agent** 페이지에서 **Raw 보기**를 선택하여 형식이 지정되지 않은 JSON 응답을 봅니다. 구성 가능한 파라미터에 제공한 값이 표시되는지 확인합니다.
확인 후 GuardDuty 콘솔로 전환합니다. 해당하는를 AWS 리전 선택하고 Amazon EKS 클러스터의 적용 범위 상태를 확인합니다. 자세한 내용은 [Amazon EKS 클러스터의 런타임 범위 및 문제 해결](eks-runtime-monitoring-coverage.md) 단원을 참조하십시오.
# VPC 엔드포인트 구성 검증
보안 에이전트를 수동으로 또는 GuardDuty 자동 구성을 통해 설치한 후 이 문서를 사용하여 VPC 엔드포인트 구성의 유효성을 검사할 수 있습니다. 리소스 유형에 대한 [런타임 적용 범위 문제](https://docs.aws.amazon.com/guardduty/latest/ug/runtime-monitoring-assessing-coverage.html)를 해결한 후에도 이 단계를 사용할 수 있습니다. 단계가 예상대로 작동하고 적용 범위 상태가 잠재적으로 **정상**으로 표시되는지 확인할 수 있습니다.
다음 단계에 따라 리소스 유형에 대한 VPC 엔드포인트 구성이 VPC 소유자 계정에서 올바르게 설정되었는지 확인하세요.
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Amazon VPC 콘솔을 엽니다.
1. 탐색 창의 **가상 프라이빗 클라우드**에서 **사용자의 VPC**를 선택합니다.
1. **VPC** 페이지에서 **VPC ID**와 연결된 **IPv4 CIDR**을 선택합니다.
1. 탐색 창의 **Virtual Private Cloud**에서 **엔드포인트**를 선택합니다.
1. **엔드포인트** 테이블에서 **com.amazonaws.*us-east-1*.guardduty-data** 와 유사한 **서비스 이름**을 가진 행을 선택합니다. 리전(`us-east-1`)은 엔드포인트에 따라 다를 수 있습니다.
1. 엔드포인트 세부 정보를 위한 패널이 나타납니다. **보안 그룹** 탭에서 관련 **그룹 ID** 링크를 선택하여 자세한 내용을 확인합니다.
1. **보안 그룹** 테이블에서 관련 **보안 그룹 ID**가 있는 행을 선택하여 세부 정보를 확인합니다.
1. **인바운드 규칙** 탭에서 **포트 범위**가 **443**이고 **소스**가 **IPv4 CIDR**에서 복사된 값인 수신 정책이 있는지 확인합니다. 인바운드 규칙은 인스턴스에 도달할 수 있는 수신 트래픽을 제어합니다. 다음 이미지는 GuardDuty 보안 에이전트가 사용하는 VPC와 연결된 보안 그룹에 대한 인바운드 규칙을 보여줍니다.
인바운드 포트 443이 활성화된 보안 그룹이 아직 없는 경우 *Amazon EC2 사용 설명서*에서 [보안 그룹을 만드세요](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/working-with-security-groups.html#creating-security-group).
VPC(또는 클러스터)에 대한 인바운드 권한을 제한하는 도중 문제가 발생하는 경우 모든 IP 주소(0.0.0.0/0)로부터의 인바운드 443 포트에 대한 지원을 제공하세요.
다음 목록에는 보안 에이전트를 설치하거나 업데이트한 후 알아두면 좋은 항목이 포함되어 있습니다.
**런타임 범위 평가**
보안 에이전트를 설치하거나 업데이트한 후 다음 단계는 리소스의 런타임 적용 범위를 평가하는 것입니다. 런타임 적용 범위 상태가 **비정상**인 경우 문제를 해결해야 합니다. 자세한 내용은 [런타임 적용 범위 문제 및 문제 해결](runtime-monitoring-assessing-coverage.md) 단원을 참조하십시오.
런타임 적용 범위의 상태가 **정상**으로 표시되면 런타임 모니터링이 런타임 이벤트를 수집하고 수신할 수 있음을 나타냅니다. 이러한 이벤트 목록은 [수집된 런타임 이벤트 유형](runtime-monitoring-collected-events.md)을 참조하세요.
**엔드포인트의 프라이빗 DNS 이름**
리소스에 대한 GuardDuty 보안 에이전트를 설치하면 기본적으로 VPC 엔드포인트의 비공개 DNS 이름을 확인하여 연결합니다. 비 FIPS 엔드포인트의 경우 프라이빗 DNS는 다음 형식으로 표시됩니다.
`guardduty-data.us-east-1.amazonaws.com`
AWS 리전*us-east-1*은 리전에 따라 변경됩니다.
**호스트에 두 개의 보안 에이전트가 설치될 수 있습니다.**
Amazon EC2 인스턴스용 GuardDuty 보안 에이전트로 작업하는 경우, Amazon EKS 클러스터 내의 기본 호스트에 에이전트를 설치하여 사용할 수 있습니다. 해당 EKS 클러스터에 이미 보안 에이전트를 배포한 경우, 동일한 호스트에서 두 개의 보안 에이전트가 동시에 실행될 수 있습니다. 이 시나리오에서 GuardDuty가 작동하는 방식에 대한 자세한 내용은 [동일한 호스트의 보안 에이전트](two-security-agents-installed-on-ec2-node.md)을 참조하세요.