기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon GuardDuty에 대해 서비스 연결 역할 사용
Amazon GuardDuty는 AWS Identity and Access Management (IAM)[ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할(SLR)은 GuardDuty에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 GuardDuty에서 사전 정의하며 GuardDuty가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
서비스 연결 역할을 사용하면 필요한 권한을 수동으로 추가하지 않고도 GuardDuty를 설정할 수 있습니다. GuardDuty에서 서비스 연결 역할 권한을 정의하므로 달리 권한이 정의되지 않은 한 GuardDuty만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며, 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
GuardDuty는 GuardDuty를 사용할 수 있는 모든 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 [리전 및 엔드포인트](guardduty_regions.md) 단원을 참조하십시오.
활성화된 모든 리전에서 먼저 GuardDuty를 비활성화한 후에만 GuardDuty 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 부주의로 삭제할 수 없기 때문에 GuardDuty 리소스가 보호됩니다.
서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 IAM 사용 설명서**에서 [AWS IAM으로 작업하는 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 살펴보고 **서비스 연결 역할** 열이 **예**인 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예(Yes)** 링크를 선택합니다.
# GuardDuty에 대한 서비스 연결 역할 권한
GuardDuty에서는 이름이 `AWSServiceRoleForAmazonGuardDuty`인 서비스 연결 역할을 사용합니다. SLR을 사용하면 GuardDuty에서 다음 작업을 수행할 수 있습니다. 또한 이를 통해 GuardDuty는 EC2 인스턴스에 속하는 검색된 메타데이터를 GuardDuty가 잠재적 위협에 관하여 생성할 수 있는 결과에 포함시킬 수 있습니다. `AWSServiceRoleForAmazonGuardDuty` 서비스 연결 역할은 역할을 수임하기 위해 `guardduty.amazonaws.com`서비스를 신뢰합니다.
권한 정책은 GuardDuty가 다음 작업을 수행하는 데 도움이 됩니다.
+ Amazon EC2 작업을 사용하여 EC2 인스턴스, 이미지 및 VPC, 서브넷, 트랜짓 게이트웨이와 같은 네트워킹 구성 요소에 대한 정보를 관리하고 검색할 수 있습니다.
+ Amazon EC2용 자동 에이전트를 사용하여 GuardDuty 런타임 모니터링을 활성화할 때 AWS Systems Manager 작업을 사용하여 Amazon EC2 인스턴스에서 SSM 연결을 관리합니다. GuardDuty 자동 에이전트 구성이 비활성화되면 GuardDuty는 포함 태그(`GuardDutyManaged`:`true`)가 있는 EC2 인스턴스만 고려합니다.
+ AWS Organizations 작업을 사용하여 연결된 계정 및 조직 ID를 설명합니다.
+ Amazon S3 작업을 사용하여 S3 버킷 및 객체에 대한 정보를 검색할 수 있습니다.
+ AWS Lambda 작업을 사용하여 Lambda 함수 및 태그에 대한 정보를 검색합니다.
+ Amazon EKS 작업을 사용하여 EKS 클러스터에 대한 정보를 관리 및 검색하고, EKS 클러스터의 [Amazon EKS 추가 기능](https://docs.aws.amazon.com/eks/latest/userguide/eks-add-ons.html)을 관리합니다. 또한 EKS 작업은 GuardDuty와 연결된 태그에 대한 정보를 검색합니다.
+ IAM을 사용하여 EC2용 맬웨어 보호가 활성화된 후 [EC2용 맬웨어 보호에 대한 서비스 연결 역할 권한](slr-permissions-malware-protection.md)을 생성합니다.
+ Amazon ECS 작업을 사용하여 Amazon ECS 클러스터에 대한 정보를 관리 및 검색하고 `guarddutyActivate`를 사용하여 Amazon ECS 계정 설정을 관리합니다. Amazon ECS와 관련된 작업은 GuardDuty와 연결된 태그에 대한 정보도 검색합니다.
역할은 다음 [AWS 관리형 정책](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol)인 `AmazonGuardDutyServiceRolePolicy`를 통해 구성됩니다.
이 정책에 대한 권한을 보려면 *AWS Managed Policy 참조 안내서*에서 [AmazonGuardDutyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyServiceRolePolicy.html)를 참조하세요.
다음은 `AWSServiceRoleForAmazonGuardDuty` 서비스 연결 역할에 연결된 신뢰 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
`AmazonGuardDutyServiceRolePolicy` 정책의 업데이트에 대한 자세한 정보는 [AWS 관리형 정책에 대한 GuardDuty 업데이트](security-iam-awsmanpol.md#security-iam-awsmanpol-updates) 섹션을 참조하세요. 이 정책의 변경 사항에 대한 자동 알림을 받아보려면 [문서 이력](doc-history.md) 페이지에서 RSS 피드를 구독하십시오.
## GuardDuty에 대한 서비스 연결 역할 생성
`AWSServiceRoleForAmazonGuardDuty` 서비스 연결 역할은 처음으로 GuardDuty를 활성화하거나 이전에 활성화하지 않은 지원 리전에서 GuardDuty를 활성화할 때 자동으로 생성됩니다. IAM 콘솔 AWS CLI, 또는 IAM API를 사용하여 서비스 연결 역할을 수동으로 생성할 수도 있습니다.
**중요**
GuardDuty 위임된 관리자 계정에 대해 생성하지 않은 서비스 연결 역할은 멤버 GuardDuty 계정에 적용되지 않습니다.
IAM 보안 주체(사용자, 그룹, 역할 등)가 서비스 연결 역할을 작성하고 편집하거나 삭제할 수 있도록 권한을 구성해야 합니다. `AWSServiceRoleForAmazonGuardDuty` 서비스 연결 역할을 성공적으로 생성하기 위해서는 GuardDuty에서 사용하는 IAM 보안 주체에 필요한 권한이 있어야 합니다. 필수 권한을 부여하려면 다음 정책을 이 사용자, 그룹 또는 역할에 연결하십시오.
**참고**
다음 예제의 샘플 *계정 ID*를 실제 AWS 계정 ID로 바꿉니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"guardduty:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "guardduty.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:DeleteRolePolicy"
],
"Resource": "arn:aws:iam::123456789012:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
}
]
}
```
------
수동 서비스 역할 생성에 대한 자세한 내용은 IAM 사용 설명서**의 [서비스에 대한 역할 만들기](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)를 참조하세요.
## GuardDuty에 대한 서비스 연결 역할 편집
GuardDuty에서는 `AWSServiceRoleForAmazonGuardDuty` 서비스 연결 역할 편집을 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.
## GuardDuty에 대한 서비스 연결 역할 삭제
서비스 연결 역할이 필요한 특성 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔티티가 없도록 합니다.
**중요**
EC2용 맬웨어 보호를 활성화한 경우 `AWSServiceRoleForAmazonGuardDuty`를 삭제해도 자동으로 `AWSServiceRoleForAmazonGuardDutyMalwareProtection`이 삭제되지 않습니다. `AWSServiceRoleForAmazonGuardDutyMalwareProtection`을 삭제하려면 [EC2용 맬웨어 보호에 대한 서비스 연결 역할 삭제](slr-permissions-malware-protection#delete-slr)를 참조하세요.
`AWSServiceRoleForAmazonGuardDuty`를 삭제하려면 먼저 모든 리전에서 GuardDuty를 비활성화해야 합니다. 서비스 연결 역할을 삭제하려고 할 때 GuardDuty 서비스가 비활성화되지 않는 경우 삭제에 실패합니다. 자세한 내용은 [GuardDuty 일시 중지 또는 비활성화](guardduty_suspend-disable.md) 단원을 참조하십시오.
GuardDuty를 비활성화하면 `AWSServiceRoleForAmazonGuardDuty`가 자동으로 삭제되지 않습니다. GuardDuty를 다시 활성화하는 경우에는 기존 `AWSServiceRoleForAmazonGuardDuty`를 사용하여 시작합니다.
**IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.**
IAM 콘솔 AWS CLI, 또는 IAM API를 사용하여 `AWSServiceRoleForAmazonGuardDuty` 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)**를 참조하십시오.
## 지원됨 AWS 리전
Amazon GuardDuty는 GuardDuty를 사용할 수 AWS 리전 있는 모든에서 `AWSServiceRoleForAmazonGuardDuty` 서비스 연결 역할 사용을 지원합니다. 현재 GuardDuty를 사용할 수 있는 모든 리전 목록은Amazon Web Services 일반 참조**의 [Amazon GuardDuty endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)를 참조하세요.
# EC2용 맬웨어 보호에 대한 서비스 연결 역할 권한
EC2용 맬웨어 보호는 `AWSServiceRoleForAmazonGuardDutyMalwareProtection`이라는 서비스 연결 역할(SLR)을 사용합니다. 이 SLR을 사용하면 EC2용 맬웨어 보호에서 에이전트 없는 검사를 수행하여 GuardDuty 계정에서 맬웨어를 탐지할 수 있습니다. 이를 통해 GuardDuty는 계정에서 EBS 볼륨 스냅샷을 생성하고 이 스냅샷을 GuardDuty 서비스 계정과 공유할 수 있습니다. GuardDuty가 스냅샷을 평가한 후 검색된 EC2 인스턴스 및 컨테이너 워크로드 메타데이터를 EC2용 맬웨어 보호 조사 결과에 포함합니다. `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 서비스 연결 역할은 역할을 수임하기 위해 `malware-protection.guardduty.amazonaws.com`서비스를 신뢰합니다.
이 역할에 대한 권한 정책은 EC2용 멀웨어 방지이 다음 작업을 수행하는 데 도움이 됩니다.
+ Amazon Elastic Compute Cloud(Amazon EC2) 작업을 사용하여 Amazon EC2 인스턴스, 볼륨 및 스냅샷에 관한 정보를 검색합니다. EC2용 맬웨어 보호는 또한 Amazon EKS 및 Amazon ECS 클러스터 메타데이터에 액세스할 수 있는 권한을 제공합니다.
+ `GuardDutyExcluded` 태그가 `true`로 설정되지 않은 EBS 볼륨의 스냅샷을 생성합니다. 기본적으로 스냅샷은 `GuardDutyScanId` 태그로 생성됩니다. 이 태그를 제거하면 안 됩니다. 제거하면 EC2용 맬웨어 보호에서 스냅샷에 액세스할 수 없습니다.
**중요**
`GuardDutyExcluded`를 `true`로 설정하면 GuardDuty 서비스에서 향후 이러한 스냅샷에 액세스할 수 없게 됩니다. 이는 이 서비스 연결 역할의 다른 문으로 인해 GuardDuty에서 `GuardDutyExcluded`가 `true`로 설정된 스냅샷에 대해 어떤 작업도 수행하지 못하기 때문입니다.
+ `GuardDutyScanId` 태그가 존재하고 `GuardDutyExcluded` 태그가 `true`로 설정되지 않은 경우에만 스냅샷 공유 및 삭제를 허용합니다.
**참고**
EC2용 맬웨어 보호에서 스냅샷 공개를 허용하지 않습니다.
+ `GuardDutyExcluded` 태그가 `true`로 설정된 키를 제외한 고객 관리 키에 액세스하여 `CreateGrant`를 호출하고 GuardDuty 서비스 계정과 공유되는 암호화된 스냅샷에서 암호화된 EBS 볼륨을 생성 및 액세스합니다. 각 리전의 GuardDuty 서비스 계정 목록은 [의 GuardDuty 서비스 계정 AWS 리전](gdu-service-account-region-list.md) 섹션을 참조하세요.
+ 고객의 CloudWatch Logs에 액세스하여 EC2용 맬웨어 보호 로그 그룹을 생성하고 맬웨어 스캔 이벤트 로그를 `/aws/guardduty/malware-scan-events` 로그 그룹 아래에 배치합니다.
+ 고객이 맬웨어가 탐지된 스냅샷을 계정에 보관할지 여부를 결정하도록 허용합니다. 결과에서 맬웨어가 탐지되면 서비스 연결 역할을 통해 GuardDuty는 스냅샷에 `GuardDutyFindingDetected` 및 `GuardDutyExcluded` 태그를 추가할 수 있습니다.
**참고**
`GuardDutyFindingDetected` 태그는 스냅샷에 맬웨어가 포함되어 있음을 나타냅니다.
+ 볼륨이 EBS 관리 키로 암호화되었는지 확인합니다. GuardDuty는 `DescribeKey` 작업을 수행하여 계정의 EBS 관리 키의 `key Id`를 확인합니다.
+ 를 사용하여 암호화된 EBS 볼륨의 스냅샷을 AWS 관리형 키에서 가져 AWS 계정 와 로 복사합니다[GuardDuty 서비스 계정](gdu-service-account-region-list.md). 이를 위해 `GetSnapshotBlock` 및 `ListSnapshotBlocks` 권한을 사용합니다. 그러면 GuardDuty가 서비스 계정에서 스냅샷을 스캔합니다. 현재 로 암호화된 EBS 볼륨 스캔을 위한 EC2용 맬웨어 보호 지원은 일부에서 제공되지 않을 AWS 관리형 키 수 있습니다 AWS 리전. 자세한 내용은 [리전별 기능 가용성](guardduty_regions.md#gd-regional-feature-availability) 단원을 참조하십시오.
+ Amazon EC2가 EC2용 맬웨어 보호를 AWS KMS 대신하여를 호출하여 고객 관리형 키에 대해 여러 암호화 작업을 수행하도록 허용합니다. 고객 관리 키로 암호화된 스냅샷을 공유하려면 `kms:ReEncryptTo` 및 `kms:ReEncryptFrom` 등의 작업이 필요합니다. `GuardDutyExcluded` 태그가 `true`로 설정되지 않은 키에만 액세스할 수 있습니다.
역할은 다음 [AWS 관리형 정책](https://docs.aws.amazon.com/guardduty/latest/ug/security-iam-awsmanpol)인 `AmazonGuardDutyMalwareProtectionServiceRolePolicy`를 통해 구성됩니다.
이 정책의 권한을 보려면 *AWS Managed Policy 참조 안내서*에서 [AmazonGuardDutyMalwareProtectionServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonGuardDutyMalwareProtectionServiceRolePolicy.html)를 참조하세요.
다음은 `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 서비스 연결 역할에 연결된 신뢰 정책입니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "malware-protection.guardduty.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## EC2용 맬웨어 보호에 대한 서비스 연결 역할 생성
`AWSServiceRoleForAmazonGuardDutyMalwareProtection` 서비스 연결 역할은 EC2용 맬웨어 보호를 처음 사용하도록 설정하거나 이전에 사용하도록 설정하지 않았던 지원되는 지역에서 EC2용 맬웨어 보호를 사용하도록 설정하면 자동으로 만들어집니다. 또한 IAM 콘솔, IAM CLI 또는 IAM API를 사용하여 `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 서비스 연결 역할을 수동으로 생성할 수 있습니다.
**참고**
Amazon GuardDuty를 처음 사용하는 경우 기본적으로 Malware Protection for EC2가 자동으로 활성화됩니다.
**중요**
위임된 GuardDuty 관리자 계정에 대해 생성하지 않은 서비스 연결 역할은 멤버 GuardDuty 계정에 적용되지 않습니다.
IAM 보안 주체(사용자, 그룹, 역할 등)가 서비스 연결 역할을 작성하고 편집하거나 삭제할 수 있도록 권한을 구성해야 합니다. `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 서비스 연결 역할을 성공적으로 생성하기 위해서는 GuardDuty에서 사용하는 IAM ID에 필요한 권한이 있어야 합니다. 필수 권한을 부여하려면 다음 정책을 이 사용자, 그룹 또는 역할에 연결하십시오.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "guardduty:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:AWSServiceName": [
"malware-protection.guardduty.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:RegisterDelegatedAdministrator",
"organizations:ListDelegatedAdministrators",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:DescribeOrganization"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:GetRole",
"Resource": "arn:aws:iam::*:role/*AWSServiceRoleForAmazonGuardDutyMalwareProtection"
}
]
}
```
------
수동 서비스 역할 생성에 대한 자세한 내용은 IAM 사용 설명서**의 [서비스에 대한 역할 만들기](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)를 참조하세요.
## EC2용 맬웨어 보호에 대한 서비스 연결 역할 편집
EC2용 맬웨어 보호에서는 `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 서비스 연결 역할 편집을 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.
## EC2용 맬웨어 보호에 대한 서비스 연결 역할 삭제
서비스 연결 역할이 필요한 특성 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔티티가 없도록 합니다.
**중요**
`AWSServiceRoleForAmazonGuardDutyMalwareProtection` 삭제를 위해 활성화된 모든 리전에서 EC2용 맬웨어 보호를 비활성화해야 합니다.
서비스 연결 역할을 삭제하려고 할 때 EC2용 맬웨어 보호가 비활성화되지 않는 경우 삭제에 실패합니다. 먼저 계정에서 EC2용 멀웨어 보호를 비활성화해야 합니다.
**비활성화**를 선택하여 EC2용 맬웨어 보호 서비스를 중지하면 `AWSServiceRoleForAmazonGuardDutyMalwareProtection`이 자동으로 삭제되지 않습니다. 이후 **활성화**를 선택하여 EC2용 맬웨어 보호 서비스를 다시 시작하면 GuardDuty는 기존 `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 사용을 시작합니다.
**IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.**
IAM 콘솔, AWS CLI 또는 IAM API를 사용하여 `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)**를 참조하십시오.
## 지원됨 AWS 리전
Amazon GuardDuty는 EC2용 맬웨어 보호를 사용할 수 AWS 리전 있는 모든에서 `AWSServiceRoleForAmazonGuardDutyMalwareProtection` 서비스 연결 역할 사용을 지원합니다.
현재 GuardDuty를 사용할 수 있는 모든 리전 목록은Amazon Web Services 일반 참조**의 [Amazon GuardDuty endpoints and quotas](https://docs.aws.amazon.com/general/latest/gr/guardduty.html)를 참조하세요.
**참고**
EC2용 맬웨어 보호는 현재 AWS GovCloud(미국 동부) 및 AWS GovCloud(미국 서부)에서 사용할 수 없습니다.