

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# GuardDuty에 대한 서비스 연결 역할 권한
<a name="slr-permissions"></a>

GuardDuty에서는 이름이 `AWSServiceRoleForAmazonGuardDuty`인 서비스 연결 역할을 사용합니다. SLR을 사용하면 GuardDuty에서 다음 작업을 수행할 수 있습니다. 또한 이를 통해 GuardDuty는 EC2 인스턴스에 속하는 검색된 메타데이터를 GuardDuty가 잠재적 위협에 관하여 생성할 수 있는 결과에 포함시킬 수 있습니다. `AWSServiceRoleForAmazonGuardDuty` 서비스 연결 역할은 역할을 수임하기 위해 `guardduty.amazonaws.com`서비스를 신뢰합니다.

권한 정책은 GuardDuty가 다음 작업을 수행하는 데 도움이 됩니다.
+ Amazon EC2 작업을 사용하여 EC2 인스턴스, 이미지 및 VPC, 서브넷, 트랜짓 게이트웨이와 같은 네트워킹 구성 요소에 대한 정보를 관리하고 검색할 수 있습니다.
+ Amazon EC2용 자동 에이전트를 사용하여 GuardDuty 런타임 모니터링을 활성화할 때 AWS Systems Manager 작업을 사용하여 Amazon EC2 인스턴스에서 SSM 연결을 관리합니다. GuardDuty 자동 에이전트 구성이 비활성화되면 GuardDuty는 포함 태그(`GuardDutyManaged`:`true`)가 있는 EC2 인스턴스만 고려합니다.
+  AWS Organizations 작업을 사용하여 연결된 계정 및 조직 ID를 설명합니다.
+ Amazon S3 작업을 사용하여 S3 버킷 및 객체에 대한 정보를 검색할 수 있습니다.
+  AWS Lambda 작업을 사용하여 Lambda 함수 및 태그에 대한 정보를 검색합니다.
+ Amazon EKS 작업을 사용하여 EKS 클러스터에 대한 정보를 관리 및 검색하고, EKS 클러스터의 [Amazon EKS 추가 기능](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html)을 관리합니다. 또한 EKS 작업은 GuardDuty와 연결된 태그에 대한 정보를 검색합니다.
+ IAM을 사용하여 EC2용 맬웨어 보호가 활성화된 후 [EC2용 맬웨어 보호에 대한 서비스 연결 역할 권한](slr-permissions-malware-protection.md)을 생성합니다.
+ Amazon ECS 작업을 사용하여 Amazon ECS 클러스터에 대한 정보를 관리 및 검색하고 `guarddutyActivate`를 사용하여 Amazon ECS 계정 설정을 관리합니다. Amazon ECS와 관련된 작업은 GuardDuty와 연결된 태그에 대한 정보도 검색합니다.

역할은 다음 [AWS 관리형 정책](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol)인 `AmazonGuardDutyServiceRolePolicy`를 통해 구성됩니다.

이 정책에 대한 권한을 보려면 *AWS Managed Policy 참조 안내서*에서 [AmazonGuardDutyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyServiceRolePolicy.html)를 참조하세요.

다음은 `AWSServiceRoleForAmazonGuardDuty` 서비스 연결 역할에 연결된 신뢰 정책입니다.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "guardduty.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

`AmazonGuardDutyServiceRolePolicy` 정책의 업데이트에 대한 자세한 정보는 [AWS 관리형 정책에 대한 GuardDuty 업데이트](security-iam-awsmanpol.md#security-iam-awsmanpol-updates) 섹션을 참조하세요. 이 정책의 변경 사항에 대한 자동 알림을 받아보려면 [문서 이력](doc-history.md) 페이지에서 RSS 피드를 구독하십시오.

## GuardDuty에 대한 서비스 연결 역할 생성
<a name="create-slr"></a>

`AWSServiceRoleForAmazonGuardDuty` 서비스 연결 역할은 처음으로 GuardDuty를 활성화하거나 이전에 활성화하지 않은 지원 리전에서 GuardDuty를 활성화할 때 자동으로 생성됩니다. IAM 콘솔 AWS CLI, 또는 IAM API를 사용하여 서비스 연결 역할을 수동으로 생성할 수도 있습니다.

**중요**  
GuardDuty 위임된 관리자 계정에 대해 생성하지 않은 서비스 연결 역할은 멤버 GuardDuty 계정에 적용되지 않습니다.

IAM 보안 주체(사용자, 그룹, 역할 등)가 서비스 연결 역할을 작성하고 편집하거나 삭제할 수 있도록 권한을 구성해야 합니다. `AWSServiceRoleForAmazonGuardDuty` 서비스 연결 역할을 성공적으로 생성하기 위해서는 GuardDuty에서 사용하는 IAM 보안 주체에 필요한 권한이 있어야 합니다. 필수 권한을 부여하려면 다음 정책을 이 사용자, 그룹 또는 역할에 연결하십시오.

**참고**  
다음 예제의 샘플 *계정 ID*를 실제 AWS 계정 ID로 바꿉니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "guardduty:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "guardduty.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PutRolePolicy",
                "iam:DeleteRolePolicy"
            ],
            "Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
        }
    ]
}
```

------

수동 서비스 역할 생성에 대한 자세한 내용은 IAM 사용 설명서**의 [서비스에 대한 역할 만들기](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)를 참조하세요.

## GuardDuty에 대한 서비스 연결 역할 편집
<a name="edit-slr"></a>

GuardDuty에서는 `AWSServiceRoleForAmazonGuardDuty` 서비스 연결 역할 편집을 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.

## GuardDuty에 대한 서비스 연결 역할 삭제
<a name="delete-slr"></a>

서비스 연결 역할이 필요한 특성 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔티티가 없도록 합니다.

**중요**  
EC2용 맬웨어 보호를 활성화한 경우 `AWSServiceRoleForAmazonGuardDuty`를 삭제해도 자동으로 `AWSServiceRoleForAmazonGuardDutyMalwareProtection`이 삭제되지 않습니다. `AWSServiceRoleForAmazonGuardDutyMalwareProtection`을 삭제하려면 [EC2용 맬웨어 보호에 대한 서비스 연결 역할 삭제](slr-permissions-malware-protection#delete-slr)를 참조하세요.

`AWSServiceRoleForAmazonGuardDuty`를 삭제하려면 먼저 모든 리전에서 GuardDuty를 비활성화해야 합니다. 서비스 연결 역할을 삭제하려고 할 때 GuardDuty 서비스가 비활성화되지 않는 경우 삭제에 실패합니다. 자세한 내용은 [GuardDuty 일시 중지 또는 비활성화](guardduty_suspend-disable.md) 단원을 참조하십시오.

GuardDuty를 비활성화하면 `AWSServiceRoleForAmazonGuardDuty`가 자동으로 삭제되지 않습니다. GuardDuty를 다시 활성화하는 경우에는 기존 `AWSServiceRoleForAmazonGuardDuty`를 사용하여 시작합니다.

**IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.**

IAM 콘솔 AWS CLI, 또는 IAM API를 사용하여 `AWSServiceRoleForAmazonGuardDuty` 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)**를 참조하십시오.

## 지원됨 AWS 리전
<a name="guardduty-slr-regions"></a>

Amazon GuardDuty는 GuardDuty를 사용할 수 AWS 리전 있는 모든에서 `AWSServiceRoleForAmazonGuardDuty` 서비스 연결 역할 사용을 지원합니다. 현재 GuardDuty를 사용할 수 있는 모든 리전 목록은Amazon Web Services 일반 참조**의 [Amazon GuardDuty endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)를 참조하세요.