기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Amazon Inspector에서 조사 결과 관리
Amazon Inspector를 사용하면 다양한 방식으로 조사 결과를 관리할 수 있습니다. 조사 결과는 상태를 기준으로 필터링할 수 있습니다. 필터 기준에 따라 조사 결과를 검색할 수 있습니다. 조사 결과 목록에서 조사 결과를 제외하는 억제 규칙을 생성할 수 있습니다. 조사 결과를 AWS Security Hub CSPM Amazon EventBridge 및 Amazon Simple Storage Service(Amazon S3)로 내보낼 수도 있습니다.
**Topics**
+ [Amazon Inspector 조사 결과 필터링](findings-managing-filtering.md)
+ [Amazon Inspector 조사 결과 숨기기](findings-managing-supression-rules.md)
+ [Amazon Inspector 조사 결과 보고서 내보내기](findings-managing-exporting-reports.md)
+ [Amazon EventBridge를 사용하여 Amazon Inspector 조사 결과에 대한 사용자 지정 응답 생성](findings-managing-automating-responses.md)
# Amazon Inspector 조사 결과 필터링
필터 기준을 사용하여 Amazon Inspector 조사 결과를 필터링할 수 있습니다. 조사 결과가 필터 기준과 일치하지 않는 경우 Amazon Inspector는 해당 조사 결과를 보기에서 제외합니다. 이 단원에서는 필터 기준을 사용하여 Amazon Inspector 조사 결과를 필터링하는 방법에 대해 설명합니다.
## Amazon Inspector 콘솔에서 필터 생성
각 조사 결과 보기에서 필터 기능을 사용하여 특정한 특성을 가진 조사 결과를 찾을 수 있습니다. 다른 탭 보기로 이동하면 필터는 제거됩니다.
필터는 필터 기준으로 구성되고, 필터 기준은 필터 값과 쌍을 이루는 하나의 필터 속성으로 구성됩니다. 필터 기준과 일치하지 않는 조사 결과는 조사 결과 목록에서 제외됩니다. 예를 들어 관리자 계정과 연결된 모든 조사 결과를 보려면 AWS 계정 ID 속성을 선택하고 12자리 AWS 계정 ID의 값과 페어링하면 됩니다.
모든 조사 결과에 적용되는 필터 기준이 있는 반면, 특정 리소스 유형이나 조사 결과 유형에만 적용되는 필터 기준도 있습니다.
**조사 결과 보기에 필터를 적용하려면**
1. 자격 증명을 사용하여 로그인한 다음 Amazon Inspector 콘솔([https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home))을 엽니다.
1. 탐색 창에서 **조사 결과**를 선택합니다. 기본 보기에는 **활성** 상태인 모든 조사 결과가 표시됩니다.
1. 조사 결과를 기준별로 필터링하려면 *필터 추가* 막대를 선택하여 해당 보기에 적용할 수 있는 모든 필터 기준 목록을 표시합니다. 보기마다 다른 필터 기준을 사용할 수 있습니다.
1. 목록에서 필터 기준을 선택합니다.
1. 기준 입력 창에 원하는 필터 값을 입력하여 해당 기준을 정의합니다.
1. **적용**을 선택하여 해당 필터 기준을 현재 결과에 적용합니다. 필터 입력 막대를 다시 선택하여 다른 필터 기준을 계속 추가할 수 있습니다.
1. (선택 사항) 표시되지 않은 조사 결과나 종결된 조사 결과를 보려면 필터 막대에서 **활성**을 선택한 다음 **표시되지 않음** 또는 **종결됨**을 선택합니다. 활성 결과, 표시되지 않은 조사 결과 및 종결된 조사 결과를 동일한 보기에서 보려면 **모두 보기**를 선택합니다.
# Amazon Inspector 조사 결과 숨기기
기준과 일치하는 조사 결과를 숨기도록 억제 규칙을 생성할 수 있습니다. 예를 들어 심각도 등급에 따라 조사 결과를 숨기는 억제 규칙을 생성할 수 있습니다. Amazon Inspector에서 억제 규칙과 일치하는 조사 결과가 생성되면 Amazon Inspector는 해당 조사 결과를 억제하고 표시되지 않도록 숨깁니다. Amazon Inspector는 조사 결과가 해결될 때까지 억제된 조사 결과를 저장합니다. 억제된 조사 결과가 해결되면 Amazon Inspector는 조사 결과를 종결합니다. 억제된 조사 결과는 콘솔에서 확인할 수 있습니다.
가장 중요한 조사 결과의 우선순위를 지정하는 억제 규칙을 생성할 수 있습니다. 억제 규칙은 조사 결과를 보기에서만 숨기므로 조사 결과에 영향을 주지 않습니다. 조사 결과를 종결하거나 수정하는 억제 규칙은 생성할 수 없습니다. [Amazon EventBridge 규칙을 AWS Security Hub CSPM 사용하여에서 원치 않는 결과를 억제할](https://aws.amazon.com/blogs/security/how-to-create-auto-suppression-rules-in-aws-security-hub/) 수도 있습니다. 이 단원의 절차에서는 억제 규칙을 생성, 보기, 편집, 삭제하는 방법에 대해 설명합니다.
**참고**
조직의 위임된 관리자만 억제 규칙을 생성하고 관리할 수 있습니다.
## 억제 규칙 생성
억제 규칙을 생성하여 기본적으로 표시되는 조사 결과 목록을 필터링할 수 있습니다. [CreateFilter](https://docs.aws.amazon.com/inspector/v2/APIReference/API_CreateFilter.html) API를 사용하여 `SUPPRESS`를 `action` 값으로 지정하여 프로그래밍 방식으로 억제 규칙을 생성할 수 있습니다.
**참고**
독립형 계정과 Amazon Inspector 위임 관리자만 억제 규칙을 생성하고 관리할 수 있습니다. 조직의 멤버는 탐색 창에서 억제 규칙 옵션을 볼 수 없습니다.
**억제 규칙을 생성하려면(콘솔)**
1. 자격 증명을 사용하여 로그인한 다음 Amazon Inspector 콘솔([https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home))을 엽니다.
1. 탐색 창에서 **억제 규칙**을 선택합니다. 그런 다음 **규칙 생성**을 선택합니다.
1. 각 기준에 대해 다음을 수행합니다.
+ 필터 막대를 선택하여 억제 규칙에 추가할 수 있는 필터 기준 목록을 표시합니다.
+ 억제 규칙의 필터 기준을 선택합니다.
1. 기준 추가를 마쳤으면 규칙 이름과 설명(선택 사항)을 입력합니다.
1. **규칙 저장**을 선택합니다. Amazon Inspector에서 새 억제 규칙을 즉시 적용하고 기준과 일치하는 조사 결과는 숨깁니다.
## 숨겨진 조사 결과 보기
기본적으로 Amazon Inspector는 숨겨진 조사 결과를 Amazon Inspector 콘솔에 표시하지 않습니다. 하지만 특정 규칙에 따라 숨겨진 조사 결과를 볼 수는 있습니다.
**숨겨진 조사 결과를 보려면**
1. 자격 증명을 사용하여 로그인한 다음 Amazon Inspector 콘솔([https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home))을 엽니다.
1. 탐색 창에서 **억제 규칙**을 선택합니다.
1. 억제 규칙 목록에서 규칙 제목을 선택합니다.
## 억제 규칙 편집
억제 규칙은 언제든지 변경할 수 있습니다.
**억제 규칙을 수정하려면**
1. 자격 증명을 사용하여 로그인한 다음 Amazon Inspector 콘솔([https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home))을 엽니다.
1. 탐색 창에서 **억제 규칙**을 선택합니다.
1. 변경하려는 억제 규칙의 이름을 선택한 다음 **편집**을 선택합니다.
1. 원하는 내용을 변경하고 **저장**을 선택합니다.
## 억제 규칙 삭제
억제 규칙을 삭제할 수 있습니다. 억제 규칙을 삭제하면 Amazon Inspector에서 규칙 기준을 충족하고 다른 규칙에 의해 차단되지 않는 새로운 조사 결과와 기존 조사 결과의 억제가 중단됩니다.
억제 규칙을 삭제하면 해당 규칙의 기준을 충족하는 새로운 조사 결과와 기존 조사 결과가 **활성** 상태가 됩니다. 즉, Amazon Inspector 콘솔에 기본적으로 표시됩니다. 또한 Amazon Inspector는 이러한 결과를 AWS Security Hub CSPM 및 Amazon EventBridge에 이벤트로 게시합니다.
**억제 규칙을 삭제하려면**
1. 자격 증명을 사용하여 로그인한 다음 Amazon Inspector 콘솔([https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home))을 엽니다.
1. 탐색 창에서 **억제 규칙**을 선택합니다.
1. 삭제하려는 억제 규칙 제목 옆의 확인란을 선택합니다.
1. **삭제**를 선택한 다음 선택을 확인하여 규칙을 영구 삭제합니다.
# Amazon Inspector 조사 결과 보고서 내보내기
조사 결과 보고서는 조사 결과에 대한 자세한 스냅샷을 제공하는 CSV 또는 JSON 파일입니다. 조사 결과 보고서를 AWS Security Hub CSPM Amazon EventBridge 및 Amazon Simple Storage Service(Amazon S3)로 내보낼 수 있습니다. 조사 결과 보고서를 구성할 때 보고서에 포함할 조사 결과를 지정해야 합니다. 기본적으로 조사 결과 보고서에는 모든 활성 조사 결과에 대한 데이터가 포함됩니다. 조직의 위임된 관리자인 경우 조사 결과 보고서에 조직의 모든 멤버 계정에 대한 데이터가 포함됩니다. 조사 결과 보고서를 사용자 지정하려면 [필터](https://docs.aws.amazon.com/inspector/latest/user/findings-managing-filtering.html)를 생성하여 해당 보고서에 적용합니다.
조사 결과 보고서를 내보내면 Amazon Inspector는 AWS KMS key 지정한를 사용하여 조사 결과 데이터를 암호화합니다. Amazon Inspector는 조사 결과 데이터를 암호화한 후 사용자가 지정한 Amazon S3 버킷에 조사 결과 보고서를 저장합니다. AWS KMS 키는 Amazon S3 버킷 AWS 리전 과 동일한에서 사용해야 합니다. AWS KMS 키 정책은 Amazon Inspector가 이를 사용하도록 허용해야 하며, Amazon S3 버킷 정책은 Amazon Inspector가 객체를 추가하도록 허용해야 합니다. 조사 결과 보고서를 내보낸 후에는 Amazon S3 버킷에서 다운로드하거나 새 위치로 전송할 수 있습니다. Amazon S3 버킷을 내보낸 다른 조사 결과 보고서의 리포지토리로 사용할 수도 있습니다.
이 단원에서는 Amazon Inspector 콘솔에서 조사 결과 보고서를 내보내는 방법에 대해 설명합니다. 다음 작업을 수행하려면 권한을 확인하고, Amazon S3 버킷을 구성하고,를 구성하고 AWS KMS key, 결과 보고서를 구성하고 내보내야 합니다.
**참고**
Amazon Inspector [CreateFindingsReport](https://docs.aws.amazon.com/inspector/v2/APIReference/API_CreateFindingsReport.html) API를 사용하여 조사 결과 보고서를 내보내는 경우 활성 조사 결과만 볼 수 있습니다. 억제되거나 종결된 조사 결과를 보려면 [필터 기준](https://docs.aws.amazon.com/inspector/v2/APIReference/API_FilterCriteria.html)의 일부로 `SUPPRESSED` 또는 `CLOSED`를 지정해야 합니다.
**Topics**
+ [1단계: 권한 확인](#findings-managing-exporting-permissions)
+ [2단계: S3 버킷 구성](#findings-managing-exporting-bucket-perms)
+ [3단계: 구성 AWS KMS key](#findings-managing-exporting-KMS)
+ [4단계: 조사 결과 보고서 구성 및 내보내기](#findings-managing-exporting-console)
+ [오류 해결](#findings-managing-access-error)
## 1단계: 권한 확인
**참고**
조사 결과 보고서를 처음 내보낸 후에는 1–3단계를 선택적으로 수행할 수 있습니다. 다음 단계는 동일한 Amazon S3 버킷을 사용할지 여부와 내보낸 다른 결과 보고서에 AWS KMS key 사용할지 여부를 기반으로 합니다. 1–3단계를 완료한 후 프로그래밍 방식으로 조사 결과 보고서를 내보내려면Amazon Inspector API의 [CreateFindingsReport](https://docs.aws.amazon.com/inspector/v2/APIReference/API_CreateFindingsReport.html) 작업을 사용합니다.
Amazon Inspector에서 조사 결과 보고서를 내보내기 전에 조사 결과 보고서를 내보내고 보고서를 암호화 및 저장하기 위한 리소스를 구성하는 데 필요한 권한이 있는지 확인합니다. 권한을 확인하려면 AWS Identity and Access Management (IAM)을 사용하여 IAM 자격 증명에 연결된 IAM 정책을 검토합니다. 그런 다음 해당 정책의 정보를 다음 작업 목록과 비교하여 조사 결과 보고서 내보내기를 위해 사용자가 수행할 수 있어야 하는 작업을 확인합니다.
**Amazon Inspector** –
Amazon Inspector의 경우 다음 작업을 수행할 수 있는지 확인합니다.
+ `inspector2:ListFindings`
+ `inspector2:CreateFindingsReport`
이러한 작업을 통해 계정의 조사 결과 데이터를 검색하고 해당 데이터를 결과 보고서로 내보낼 수 있습니다.
대용량 보고서를 프로그래밍 방식으로 내보내려는 경우 `inspector2:GetFindingsReportStatus`(보고서 상태 확인) 및 `inspector2:CancelFindingsReport`(진행 중인 내보내기 취소) 작업을 수행할 수 있는 권한이 있는지도 확인할 수 있습니다.
**AWS KMS**
에서 다음 작업을 수행할 수 있는지 AWS KMS확인합니다.
+ `kms:GetKeyPolicy`
+ `kms:PutKeyPolicy`
이러한 작업을 통해 Amazon Inspector에서 보고서를 암호화하는 데 사용할 AWS KMS key 에 대한 키 정책을 검색하고 업데이트할 수 있습니다.
Amazon Inspector 콘솔을 사용하여 보고서를 내보내려면 다음 AWS KMS 작업을 수행할 수 있는지도 확인합니다.
+ `kms:DescribeKey`
+ `kms:ListAliases`
이러한 작업을 통해 계정의 AWS KMS keys 에 대한 정보를 검색하고 표시할 수 있습니다. 그런 다음 이러한 키 중 하나를 선택하여 보고서를 암호화할 수 있습니다.
보고서 암호화를 위한 KMS 키를 새로 생성하려는 경우 `kms:CreateKey` 작업을 수행할 수 있어야 합니다.
**Amazon S3**
Amazon S3의 경우 다음 작업을 수행할 수 있는지 확인합니다.
+ `s3:CreateBucket`
+ `s3:DeleteObject`
+ `s3:PutBucketAcl`
+ `s3:PutBucketPolicy`
+ `s3:PutBucketPublicAccessBlock`
+ `s3:PutObject`
+ `s3:PutObjectAcl`
이러한 작업을 통해 Amazon Inspector에서 보고서를 저장할 S3 버킷을 생성하고 구성할 수 있습니다. 또한 버킷에서 객체를 추가하고 삭제할 수도 있습니다.
Amazon Inspector 콘솔을 사용하여 보고서를 내보내려는 경우 `s3:ListAllMyBuckets` 및 `s3:GetBucketLocation` 작업을 수행할 수 있는지도 확인합니다. 이러한 작업을 통해 계정의 S3 버킷에 대한 정보를 검색하고 표시할 수 있습니다. 그런 다음 이러한 버킷 중 하나를 선택하여 보고서를 저장할 수 있습니다.
필요한 작업을 하나 이상 수행할 수 없는 경우 다음 단계로 진행하기 전에 AWS 관리자에게 도움을 요청하세요.
## 2단계: S3 버킷 구성
권한을 확인했으면 조사 결과 보고서를 저장할 S3 버킷을 구성할 준비가 된 것입니다. 자체 계정의 기존 버킷이거나 다른이 소유하고 AWS 계정 있으며 사용자가 액세스할 수 있는 기존 버킷일 수 있습니다. 보고서를 새 버킷에 저장하려면 진행하기 전에 버킷을 생성합니다.
S3 버킷은 내보내려는 AWS 리전 결과 데이터와 동일한에 있어야 합니다. 예를 들어, Amazon Inspector를 미국 동부(버지니아 북부) 리전에서 사용 중이고 해당 리전에 대한 조사 결과 데이터를 내보내려면 버킷도 미국 동부(버지니아 북부) 리전에 있어야 합니다.
또한 버킷 정책에서 Amazon Inspector가 버킷에 객체를 추가할 수 있도록 허용해야 합니다. 이 주제에서는 버킷 정책을 업데이트하는 방법을 설명하고 정책에 추가할 명령문의 예를 제공합니다. 버킷 정책 추가 및 업데이트에 대한 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*에서 [버킷 정책 사용](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)을 참조하세요.
다른 계정이 소유하고 있는 S3 버킷에 보고서를 저장하려면 버킷 소유자와 협력하여 버킷 정책을 업데이트합니다. 버킷 URI도 확보합니다. 보고서를 내보낼 때 이 URI를 입력해야 합니다.
**버킷 정책을 업데이트하려면**
1. 자격 증명을 사용하여 로그인한 다음 Amazon S3 콘솔([https://console.aws.amazon.com/s3](https://console.aws.amazon.com//s3))을 엽니다.
1. 탐색 창에서 **버킷**을 선택합니다.
1. 조사 결과 보고서를 저장할 S3 버킷을 선택합니다.
1. **권한** 탭을 선택합니다.
1. **버킷 정책** 섹션에서 **편집**을 선택합니다.
1. 다음 예제 명령문을 클립보드로 복사합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "allow-inspector",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:AbortMultipartUpload"
],
"Resource": "arn:aws:s3:::amzn-s3-demo-bucket/*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:inspector2:us-east-1:111122223333:report/*"
}
}
}
]
}
```
------
1. Amazon S3 콘솔의 **버킷 정책** 편집기에서 위의 명령문을 정책에 붙여 넣어 정책에 추가합니다.
명령문을 추가할 때 구문이 올바른지 확인합니다. 버킷 정책에는 JSON 형식이 사용됩니다. 즉, 정책에 명령문을 추가하는 위치에 따라 명령문 앞이나 뒤에 쉼표를 추가해야 합니다. 명령문을 마지막 명령문으로 추가하는 경우 위 명령문의 닫는 괄호 뒤에 쉼표를 추가합니다. 명령문을 첫 번째 명령문으로 추가하거나 기존 두 명령문 사이에 추가하는 경우 명령문의 닫는 괄호 뒤에 쉼표를 추가합니다.
1. 사용 환경에 적합한 값으로 명령문을 업데이트합니다.
+ *amzn-s3-demo-bucket*은 버킷 이름입니다.
+ *111122223333*은 AWS 계정의 계정 ID입니다.
+ *리전*은 Amazon Inspector를 사용 중이며 Amazon Inspector AWS 리전 가 버킷에 보고서를 추가하도록 허용하려는 입니다. 예를 들어 미국 동부(버지니아 북부) 리전의 경우 `us-east-1`입니다.
**참고**
수동으로 활성화된에서 Amazon Inspector를 사용하는 경우 `Service` 필드 값에 적절한 리전 코드 AWS 리전도 추가합니다. 이 필드는 Amazon Inspector 서비스 위탁자를 지정합니다.
예를 들어 리전 코드가 `me-south-1`인 중동(바레인) 리전에서 Amazon Inspector를 사용하는 경우, 명령문에서 `inspector2.amazonaws.com`을 `inspector2.me-south-1.amazonaws.com`으로 바꿉니다.
예제 명령문에는 다음과 같은 두 개의 IAM 전역 조건 키를 사용하는 조건이 정의되어 있습니다.
+ [AWS:sourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) - 이 조건을 사용하면 Amazon Inspector에서 사용자의 계정에 대해서만 버킷에 보고서를 추가하고, Amazon Inspector가 다른 계정에 대해 버킷에 보고서를 추가하지 못하도록 합니다. 더 구체적으로, 이 조건은 `aws:SourceArn` 조건에 지정된 리소스 및 작업에 대해 버킷을 사용할 수 있는 계정을 지정합니다.
버킷의 추가 계정에 대한 보고서를 저장하려면 각 추가 계정의 계정 ID를 이 조건에 추가합니다. 예제:
```
"aws:SourceAccount": ["111122223333","444455556666","123456789012"]
```
+ [AWS:sourceARN](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) - 이 조건은 버킷에 추가되는 객체의 소스에 따라 버킷에 대한 액세스를 제한하고, 다른이 버킷 AWS 서비스 에 객체를 추가하지 못하도록 합니다. 또한 사용자 계정에 대해 다른 작업을 수행하는 동안 Amazon Inspector가 버킷에 객체를 추가하지 못하도록 합니다. 더 구체적으로, 이 조건은 객체가 조사 결과 보고서인 경우에만, 그리고 해당 보고서가 조건에 지정된 계정과 리전에서 생성된 경우에만 Amazon Inspector가 버킷에 객체를 추가할 수 있도록 허용합니다.
Amazon Inspector가 추가 계정에 대해 지정된 작업을 수행할 수 있도록 하려면 이 조건에 각 추가 계정의 Amazon 리소스 이름(ARN)을 추가합니다. 예제:
```
"aws:SourceArn": [
"arn:aws:inspector2:Region:111122223333:report/*",
"arn:aws:inspector2:Region:444455556666:report/*",
"arn:aws:inspector2:Region:123456789012:report/*"
]
```
`aws:SourceAccount` 및 `aws:SourceArn` 조건에 지정된 계정이 일치해야 합니다.
두 조건 모두 Amazon S3와의 트랜잭션 중에 Amazon Inspector가 [혼동되는 대리자](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)로 사용되는 것을 방지하는 데 도움이 됩니다. 권장하지는 않지만 버킷 정책에서 이러한 조건을 제거할 수 있습니다.
1. 버킷 정책 업데이트가 완료되면 **변경 사항 저장**을 선택합니다.
## 3단계: 구성 AWS KMS key
권한을 확인하고 S3 버킷을 구성한 후에는 Amazon Inspector에서 조사 결과 보고서를 암호화하는 데 사용할 AWS KMS key 를 결정해야 합니다. 이 키는 고객 관리형 대칭 암호화 KMS 키여야 합니다. 또한 키는 보고서를 저장하도록 구성한 S3 버킷 AWS 리전 과 동일한에 있어야 합니다.
이 키는 내 계정의 기존 KMS 키이거나 다른 계정에서 소유하고 있는 기존 KMS 키일 수 있습니다. 새 KMS 키를 사용하려면 진행하기 전에 키를 생성합니다. 다른 계정에서 소유하고 있는 기존 키를 사용하려면 키의 Amazon 리소스 이름(ARN)을 확보합니다. Amazon Inspector에서 보고서를 내보낼 때 이 ARN을 입력해야 합니다. KMS 키 설정 생성 및 검토에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*에서 [키 관리](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html)를 참조하세요.
사용하려는 KMS 키를 결정한 후에는 Amazon Inspector에 키 사용 권한을 부여합니다. 그렇지 않으면 Amazon Inspector에서 보고서를 암호화하고 내보낼 수 없습니다. Amazon Inspector에 키 사용 권한을 부여하려면 키에 대한 키 정책을 업데이트합니다. 키 정책 및 KMS 키 액세스 관리에 대한 자세한 내용은 *AWS Key Management Service 개발자 안내서*에서 [AWS KMS의 키 정책](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html)을 참조하세요.
**참고**
다음 절차는 Amazon Inspector에서 사용할 수 있도록 기존 키를 업데이트하는 절차입니다. 기존 키가 없는 경우 *AWS Key Management Service 개발자 안내서*에서 [키 생성](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html)을 참조하세요.
**키 정책을 업데이트하려면**
1. 자격 증명을 사용하여 로그인한 다음 [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) AWS KMS 콘솔을 엽니다.
1. 탐색 창에서 **고객 관리형 키**를 선택합니다.
1. 보고서를 암호화하는 데 사용할 KMS 키를 선택합니다. 이 키는 대칭 암호화(**SYMMETRIC\$1DEFAULT**) 키여야 합니다.
1. **키 정책** 탭에서 **편집**을 선택합니다. 키 정책에서 **편집** 버튼이 보이지 않으면 먼저 **정책 보기로 전환**을 선택해야 합니다.
1. 다음 예제 명령문을 클립보드로 복사합니다.
```
{
"Sid": "Allow Amazon Inspector to use the key",
"Effect": "Allow",
"Principal": {
"Service": "inspector2.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey*"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:inspector2:Region:111122223333:report/*"
}
}
}
```
1. AWS KMS 콘솔의 **키 정책** 편집기에서 앞의 문을 키 정책에 붙여 넣어 정책에 추가합니다.
정책에 성명문을 추가할 때 구문이 올바른지 확인합니다. 키 정책에는 JSON 형식이 사용됩니다. 즉, 정책에 명령문을 추가하는 위치에 따라 명령문 앞이나 뒤에 쉼표를 추가해야 합니다. 명령문을 마지막 명령문으로 추가하는 경우 위 명령문의 닫는 괄호 뒤에 쉼표를 추가합니다. 명령문을 첫 번째 명령문으로 추가하거나 기존 두 명령문 사이에 추가하는 경우 명령문의 닫는 괄호 뒤에 쉼표를 추가합니다.
1. 사용 환경에 적합한 값으로 명령문을 업데이트합니다.
+ *111122223333*은 AWS 계정의 계정 ID입니다.
+ *리전*은 Amazon Inspector AWS 리전 가 키로 보고서를 암호화하도록 허용할 입니다. 예를 들어 미국 동부(버지니아 북부) 리전의 경우 `us-east-1`입니다.
**참고**
수동으로 활성화된에서 Amazon Inspector를 사용하는 경우 `Service` 필드 값에 적절한 리전 코드 AWS 리전도 추가합니다. 예를 들어 중동(바레인) 리전에서 Amazon Inspector를 사용할 경우 `inspector2.amazonaws.com`을 `inspector2.me-south-1.amazonaws.com`으로 바꿉니다.
이전 단계의 버킷 정책 예제 명령문과 마찬가지로, 이 예제의 `Condition` 필드는 두 개의 IAM 전역 조건 키를 사용합니다.
+ [aws:SourceAccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) - 이 조건을 사용하면 Amazon Inspector에서 사용자 계정에 대해서만 지정된 작업을 수행할 수 있습니다. 더 구체적으로, 이 조건은 `aws:SourceArn` 조건에 지정된 리소스 및 작업에 대해 지정된 작업을 수행할 수 있는 계정을 결정합니다.
Amazon Inspector가 추가 계정에 대해 지정된 작업을 수행할 수 있도록 하려면 이 조건에 각 추가 계정의 계정 ID를 추가합니다. 예제:
```
"aws:SourceAccount": ["111122223333","444455556666","123456789012"]
```
+ [aws:SourceArn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) - 이 조건은 다른 AWS 서비스 에서 지정된 작업을 수행하지 못하도록 합니다. 또한 사용자 계정에 대해 다른 작업을 수행하는 동안 Amazon Inspector가 키를 사용하지 못하도록 합니다. 즉, 객체가 조사 결과 보고서인 경우에만, 그리고 해당 보고서가 조건에 지정된 계정과 리전에서 생성된 경우에만 Amazon Inspector가 해당 키로 S3 객체를 암호화할 수 있도록 허용합니다.
Amazon Inspector가 추가 계정에 대해 지정된 작업을 수행할 수 있도록 하려면 이 조건에 각 추가 계정의 ARN을 추가합니다. 예제:
```
"aws:SourceArn": [
"arn:aws:inspector2:us-east-1:111122223333:report/*",
"arn:aws:inspector2:us-east-1:444455556666:report/*",
"arn:aws:inspector2:us-east-1:123456789012:report/*"
]
```
`aws:SourceAccount` 및 `aws:SourceArn` 조건에 지정된 계정이 일치해야 합니다.
이러한 조건은 Amazon Inspector가 트랜잭션 중에 [혼동된 대리](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)자로 사용되는 것을 방지하는 데 도움이 됩니다 AWS KMS. 권장하지는 않지만 명령문에서 이러한 조건을 제거할 수 있습니다.
1. 키 정책 업데이트가 완료되면 **변경 사항 저장**을 선택합니다.
## 4단계: 조사 결과 보고서 구성 및 내보내기
**참고**
조사 결과 보고서는 한 번에 하나만 내보낼 수 있습니다. 현재 내보내기가 진행 중인 경우 내보내기가 완료될 때까지 기다렸다가 다른 조사 결과 보고서를 내보내야 합니다.
권한을 확인하고 조사 결과 보고서를 암호화하고 저장하도록 리소스를 구성했으면 보고서를 구성하고 내보낼 준비가 된 것입니다.
**조사 결과 보고서를 구성하고 내보내려면**
1. 자격 증명을 사용하여 로그인한 다음 Amazon Inspector 콘솔([https://console.aws.amazon.com/inspector/v2/home](https://console.aws.amazon.com/inspector/v2/home))을 엽니다.
1. 탐색 창의 **조사 결과**에서 **모든 조사 결과**를 선택합니다.
1. (선택 사항) **조사 결과** 테이블 위의 필터 막대를 사용하여 보고서에 포함할 조사 결과를 지정하는 [필터 기준을 추가](findings-managing-filtering.md)합니다. 기준을 추가하면 Amazon Inspector에서 기준과 일치하는 조사 결과만 포함하도록 테이블을 업데이트합니다. 이 테이블은 보고서에 포함될 데이터의 미리 보기를 제공합니다.
**참고**
필터 기준을 추가하는 것이 좋습니다. 그렇지 않으면 현재에서 활성 상태 AWS 리전 인 모든 결과에 대한 데이터가 보고서에 포함됩니다****. 조직의 Amazon Inspector 관리자인 경우 여기에 조직 내 모든 멤버 계정에 대한 조사 결과 데이터가 포함됩니다.
보고서에 전체 또는 여러 조사 결과의 데이터가 포함되어 있는 경우 보고서를 생성하고 내보내는 데 시간이 오래 걸릴 수 있으며, 한 번에 하나의 보고서만 내보낼 수 있습니다.
1. **조사 결과 내보내기**를 선택합니다.
1. **내보내기 설정** 섹션의 **내보내기 파일 유형**에서 보고서의 파일 형식을 지정합니다.
+ **데이터가 포함된 JavaScript Object Notation(.json) 파일을 생성하려면 JSON을 선택합니다.**
**JSON** 옵션을 선택하면 보고서에 각 조사 결과에 대한 모든 필드가 포함됩니다. 가능한 JSON 필드 목록은 Amazon Inspector API 참조에서 [조사 결과](https://docs.aws.amazon.com/inspector/v2/APIReference/API_Finding.html) 데이터 유형을 참조하세요.
+ 데이터가 포함된 쉼표로 구분된 값 (.csv) 파일을 생성하려면 **CSV**를 선택합니다.
**CSV** 옵션을 선택하면 각 조사 결과에 대한 일부 필드, 즉 조사 결과의 주요 속성을 보고하는 약 45개 필드만 보고서에 포함됩니다. 이 필드에는 *조사 결과 유형, 제목, 심각도, 상태, 설명, 처음 발견 날짜, 최종 발견 날짜, 수정 버전 있음, AWS 계정 ID, 리소스 ID, 리소스 태그*, *해결* 등이 있습니다. 여기에는 점수 세부 정보 및 각 조사 결과에 대한 참조 URL을 캡처하는 필드도 포함됩니다. 다음은 조사 결과 보고서의 CSV 헤더 샘플입니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/inspector/latest/user/findings-managing-exporting-reports.html)
1. **내보내기 위치**의 **S3 URI**에서 보고서를 저장할 S3 버킷을 지정합니다.
+ 계정이 소유한 버킷에 보고서를 저장하려면 **S3 찾아보기**를 선택합니다. Amazon Inspector에서 계정의 S3 버킷 테이블을 표시합니다. 원하는 버킷의 행을 선택한 다음 **선택**을 선택합니다.
**작은 정보**
또한 보고서에 대해 Amazon S3 경로 접두사를 지정하려면 슬래시(/)와 접두사를 **S3 URI** 상자의 값에 추가합니다. 그러면 Amazon Inspector가 보고서를 버킷에 추가할 때 해당 접두사가 포함되고, Amazon S3는 접두사로 지정된 경로를 생성합니다.
예를 들어 AWS 계정 ID를 접두사로 사용하고 계정 ID가 *111122223333*인 경우 **S3 URI** 상자**/111122223333**의 값에를 추가합니다.
*접두사*는 S3 버킷 내에서 디렉터리 경로와 비슷합니다. 유사한 파일을 파일 시스템의 폴더에 함께 저장하는 것처럼 유사한 객체를 버킷에 그룹화할 수 있습니다. 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*에서[ Amazon S3 콘솔에서 폴더를 사용하여 객체 구성](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-folders.html)을 참조하세요.
+ 다른 계정이 소유한 버킷에 보고서를 저장하려면 버킷 URI를 입력합니다. 예를 들어 **s3://DOC-EXAMPLE\$1BUCKET**과 같이 입력합니다. 여기서 *DOC-EXAMPLE\$1BUCKET*은 버킷의 이름입니다. 버킷 소유자가 버킷 속성에서 이 정보를 찾을 수 있습니다.
1. **KMS 키**에서 보고서를 암호화하는 데 AWS KMS key 사용할를 지정합니다.
+ 내 계정의 키를 사용하려면 목록에서 키를 선택합니다. 목록에 계정의 고객 관리형 대칭 암호화 KMS 키가 표시됩니다.
+ 다른 계정이 소유한 키를 사용하려면 키의 Amazon 리소스 이름(ARN)을 입력합니다. 키 소유자가 키 속성에서 이 정보를 찾을 수 있습니다. 자세한 내용은 *AWS Key Management Service 개발자 안내서*에서 [키 ID 및 ARN 찾기](https://docs.aws.amazon.com/kms/latest/developerguide/find-cmk-id-arn.html)를 참조하세요.
1. **내보내기**를 선택합니다.
Amazon Inspector에서 조사 결과 보고서를 생성하고 지정한 KMS 키로 암호화한 다음 지정한 S3 버킷에 추가합니다. 보고서에 포함되도록 선택한 조사 결과 수에 따라 이 프로세스는 몇 분 또는 몇 시간이 걸릴 수 있습니다. 내보내기가 완료되면 Amazon Inspector에서 조사 결과 보고서를 성공적으로 내보냈다는 메시지를 표시합니다. 선택적으로 메시지에서 **보고서 보기를** 선택하여 Amazon S3의 보고서로 이동합니다.
보고서는 한 번에 하나만 내보낼 수 있습니다. 내보내기가 현재 진행 중이라면 내보내기가 완료될 때까지 기다린 후 다른 보고서를 내보냅니다.
## 내보내기 오류 해결
조사 결과 보고서를 내보내려고 할 때 오류가 발생하면 Amazon Inspector에서 오류를 설명하는 메시지를 표시합니다. 이 주제에 설명된 정보를 참고하여 오류의 가능한 원인과 해결 방법을 파악할 수 있습니다.
예를 들어 S3 버킷이 현재에 AWS 리전 있고 버킷의 정책에서 Amazon Inspector가 버킷에 객체를 추가하도록 허용하는지 확인합니다. 또한 현재 리전에서 AWS KMS key 가 활성화되어 있는지 확인하고 키 정책에서 Amazon Inspector가 키를 사용하도록 허용하는지 확인합니다.
오류를 해결한 후 보고서를 다시 내보냅니다.
### 보고서가 여러 개일 수 없음 오류
보고서를 생성하려고 하는데 Amazon Inspector에서 이미 보고서를 생성하고 있는 경우 **원인: 진행 중인 보고서가 여러 개일 수 없음**이라는 오류 메시지가 나타납니다. Amazon Inspector에서는 계정에 대해 한 번에 하나의 보고서만 생성할 수 있기 때문에 이 오류가 발생합니다.
이 오류를 해결하려면 다른 보고서가 완료될 때까지 기다리거나 새 보고서를 요청하기 전에 보고서를 취소하면 됩니다.
[GetFindingsReportStatus](https://docs.aws.amazon.com/inspector/v2/APIReference/API_GetFindingsReportStatus.html) 작업을 사용하여 보고서 상태를 확인할 수 있습니다. 이 작업은 현재 생성 중인 보고서의 보고서 ID를 반환합니다.
필요한 경우, `GetFindingsReportStatus` 작업에서 제공한 보고서 ID를 사용하여 현재 진행 중인 내보내기를 [CancelFindingsReport](https://docs.aws.amazon.com/inspector/v2/APIReference/API_CancelFindingsReport.html) 작업을 통해 취소할 수 있습니다.
# Amazon EventBridge를 사용하여 Amazon Inspector 조사 결과에 대한 사용자 지정 응답 생성
Amazon Inspector는 새로 생성된 조사 결과와 집계된 조사 결과에 대해 [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html)에서 이벤트를 생성합니다. 또한 Amazon Inspector는 조사 결과의 상태 변경에 대한 이벤트도 생성합니다. 즉, 리소스를 다시 시작하거나 리소스와 관련된 태그를 변경하는 등의 작업을 수행하면 Amazon Inspector에서 조사 결과에 대한 새 이벤트를 생성합니다. Amazon Inspector에서 업데이트된 조사 결과에 대해 새 이벤트를 생성할 때 조사 결과 `id`는 동일하게 유지됩니다.
**참고**
계정이 Amazon Inspector 위임된 관리자 계정인 경우 EventBridge는 이벤트가 발생한 사용자의 계정과 멤버 계정에 이벤트를 게시합니다.
Amazon Inspector와 함께 EventBridge 이벤트를 사용하면 조사 결과로 드러난 보안 문제에 대응하는 데 도움이 되는 작업을 자동화할 수 있습니다. EventBridge 이벤트에 따라 Amazon Inspector 조사 결과에 대한 알림을 받으려면 [EventBridge 규칙](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html)을 생성하고 Amazon Inspector의 대상을 지정해야 합니다. EventBridge 규칙을 사용하면 EventBridge가 Amazon Inspector 조사 결과에 대한 알림을 전송할 수 있으며, 대상에는 알림을 전송할 위치를 지정합니다.
Amazon Inspector는 현재 Amazon Inspector를 사용 중인 AWS 리전 의 기본 이벤트 버스로 이벤트를 내보냅니다. 즉, Amazon Inspector AWS 리전 를 활성화하고 EventBridge 이벤트를 수신하도록 Amazon Inspector를 구성한 각에 대한 이벤트 규칙을 구성해야 합니다. Amazon Inspector는 최선의 방식으로 이벤트를 생성합니다.
이 단원에서는 이벤트 스키마의 예를 제공하고 EventBridge 규칙을 생성하는 방법에 대해 설명합니다.
## 이벤트 스키마
다음은 EC2 조사 결과 이벤트에 대한 Amazon Inspector 이벤트 형식의 예입니다. 다른 조사 결과 유형 및 이벤트 유형의 스키마 예는 [Amazon Inspector 이벤트에 대한 Amazon EventBridge 이벤트 스키마](eventbridge-integration.md)를 참조하세요.
```
{
"version": "0",
"id": "66a7a279-5f92-971c-6d3e-c92da0950992",
"detail-type": "Inspector2 Finding",
"source": "aws.inspector2",
"account": "111122223333",
"time": "2023-01-19T22:46:15Z",
"region": "us-east-1",
"resources": ["i-0c2a343f1948d5205"],
"detail": {
"awsAccountId": "111122223333",
"description": "\n It was discovered that the sound subsystem in the Linux kernel contained a\n race condition in some situations. A local attacker could use this to cause\n a denial of service (system crash).",
"exploitAvailable": "YES",
"exploitabilityDetails": {
"lastKnownExploitAt": "Oct 24, 2022, 11:08:59 PM"
},
"findingArn": "arn:aws:inspector2:us-east-1:111122223333:finding/FINDING_ID",
"firstObservedAt": "Jan 19, 2023, 10:46:15 PM",
"fixAvailable": "YES",
"lastObservedAt": "Jan 19, 2023, 10:46:15 PM",
"packageVulnerabilityDetails": {
"cvss": [{
"baseScore": 4.7,
"scoringVector": "CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H",
"source": "NVD",
"version": "3.1"
}],
"referenceUrls": ["https://lore.kernel.org/all/CAFcO6XN7JDM4xSXGhtusQfS2mSBcx50VJKwQpCq=WeLt57aaZA@mail.gmail.com/", "https://ubuntu.com/security/notices/USN-5792-1", "https://ubuntu.com/security/notices/USN-5791-2", "https://ubuntu.com/security/notices/USN-5791-1", "https://ubuntu.com/security/notices/USN-5793-2", "https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=8423f0b6d513b259fdab9c9bf4aaa6188d054c2d", "https://ubuntu.com/security/notices/USN-5793-1", "https://ubuntu.com/security/notices/USN-5792-2", "https://ubuntu.com/security/notices/USN-5791-3", "https://ubuntu.com/security/notices/USN-5793-4", "https://ubuntu.com/security/notices/USN-5793-3", "https://git.kernel.org/linus/8423f0b6d513b259fdab9c9bf4aaa6188d054c2d(6.0-rc5)", "https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3303"],
"relatedVulnerabilities": [],
"source": "UBUNTU_CVE",
"sourceUrl": "https://people.canonical.com/~ubuntu-security/cve/2022/CVE-2022-3303.html",
"vendorCreatedAt": "Sep 27, 2022, 11:15:00 PM",
"vendorSeverity": "medium",
"vulnerabilityId": "CVE-2022-3303",
"vulnerablePackages": [{
"arch": "X86_64",
"epoch": 0,
"fixedInVersion": "0:5.15.0.1027.31~20.04.16",
"name": "linux-image-aws",
"packageManager": "OS",
"remediation": "apt update && apt install --only-upgrade linux-image-aws",
"version": "5.15.0.1026.30~20.04.16"
}]
},
"remediation": {
"recommendation": {
"text": "None Provided"
}
},
"resources": [{
"details": {
"awsEc2Instance": {
"iamInstanceProfileArn": "arn:aws:iam::111122223333:instance-profile/AmazonSSMRoleForInstancesQuickSetup",
"imageId": "ami-0b7ff1a8d69f1bb35",
"ipV4Addresses": ["172.31.85.212", "44.203.45.27"],
"ipV6Addresses": [],
"launchedAt": "Jan 19, 2023, 7:53:14 PM",
"platform": "UBUNTU_20_04",
"subnetId": "subnet-8213f2a3",
"type": "t2.micro",
"vpcId": "vpc-ab6650d1"
}
},
"id": "i-0c2a343f1948d5205",
"partition": "aws",
"region": "us-east-1",
"type": "AWS_EC2_INSTANCE"
}],
"severity": "MEDIUM",
"status": "ACTIVE",
"title": "CVE-2022-3303 - linux-image-aws",
"type": "PACKAGE_VULNERABILITY",
"updatedAt": "Jan 19, 2023, 10:46:15 PM"
}
}
```
## Amazon Inspector 조사 결과를 알리는 EventBridge 규칙 생성
Amazon Inspector 조사 결과의 가시성을 높이기 위해 EventBridge를 사용하여 자동 조사 결과 알림을 메시징 허브로 보내도록 설정할 수 있습니다. 이 주제에서는 `CRITICAL` 및 `HIGH` 심각도 조사 결과에 대한 알림을 이메일, Slack 또는 Amazon Chime으로 보내는 방법에 대해 설명합니다. Amazon Simple Notification Service 주제를 설정한 다음 해당 주제를 EventBridge 이벤트 규칙에 연결하는 방법을 알아봅니다.
### 1단계. Amazon SNS 주제 및 엔드포인트 설정
자동 알림을 설정하려면 먼저 Amazon Simple Notification Service에서 주제를 설정하고 엔드포인트를 추가해야 합니다. 자세한 내용은 [SNS 설명서](https://docs.aws.amazon.com//sns/latest/dg/sns-getting-started.html)를 참조하세요.
이 절차는 Amazon Inspector 조사 결과 데이터를 보낼 위치를 설정합니다. SNS 주제는 이벤트 규칙을 생성하는 동안 또는 생성한 후에 EventBridge 이벤트 규칙에 추가할 수 있습니다.
------
#### [ Email setup ]
**SNS 주제 생성**
1. Amazon SNS 콘솔([https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home))에 로그인합니다.
1. 탐색 창에서 **주제**를 선택한 다음 **주제 생성**을 선택합니다.
1. **주제 생성** 섹션에서 **표준**을 선택합니다. 주제 이름을 입력합니다(예: **Inspector\$1to\$1Email**). 기타 세부 정보는 선택 사항입니다.
1. **주제 생성**을 선택합니다. 그러면 새 주제에 대한 세부 정보가 포함된 새 패널이 열립니다.
1. **구독** 섹션에서 **구독 생성**을 선택합니다.
1.
1. **프로토콜** 메뉴에서 **이메일**을 선택합니다.
1. **엔드포인트** 필드에 알림을 받을 이메일 주소를 입력합니다.
**참고**
구독을 생성한 후 이메일 클라이언트를 통해 구독을 확인해야 합니다.
1. **구독 생성**을 선택합니다.
1. 받은 편지함에서 구독 메시지를 확인하고 **구독 확인**을 선택합니다.
------
#### [ Slack setup ]
**SNS 주제 생성**
1. Amazon SNS 콘솔([https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home))에 로그인합니다.
1. 탐색 창에서 **주제**를 선택한 다음 **주제 생성**을 선택합니다.
1. **주제 생성** 섹션에서 **표준**을 선택합니다. 주제 이름을 입력합니다(예: **Inspector\$1to\$1Slack**). 기타 세부 정보는 선택 사항입니다. **주제 생성**을 선택하여 엔드포인트 생성을 완료합니다.
**채팅 애플리케이션 클라이언트 내 Amazon Q Developer 구성**
1. [https://console.aws.amazon.com/chatbot/](https://console.aws.amazon.com/chatbot/)의 채팅 애플리케이션 콘솔에서 Amazon Q Developer로 이동합니다.
1. **구성된 클라이언트** 창에서 **새 클라이언트 구성**을 선택합니다.
1. **Slack**을 선택한 다음 **구성**을 선택하여 확인합니다.
**참고**
Slack을 선택할 때는 **허용**을 선택하여 채팅 애플리케이션의 Amazon Q Developer이 채널에 액세스할 수 있는 권한을 확인합니다.
1. **새 채널 구성**을 선택하여 구성 세부 정보 창을 엽니다.
1. 채널 이름을 입력합니다.
1. **Slack 채널**에서 사용할 채널을 선택합니다.
1. Slack에서 채널 이름을 마우스 오른쪽 버튼으로 클릭하고 **링크 복사**를 선택하여 프라이빗 채널의 채널 ID를 복사합니다.
1. 의 채팅 애플리케이션 내 AWS Management Console Amazon Q Developer 창에서 Slack에서 복사한 채널 ID를 **프라이빗 채널 ID **필드에 붙여 넣습니다.
1. 아직 역할이 없는 경우 **권한**에서 템플릿을 사용하여 IAM 역할을 생성하도록 선택합니다.
1. **정책** 템플릿에서 **알림 권한**을 선택합니다. 채팅 애플리케이션의 Amazon Q Developer에 대한 IAM 정책 템플릿입니다. 이 정책은 CloudWatch 경보, 이벤트, 로그, Amazon SNS 주제에 필요한 읽기 및 나열 권한을 제공합니다.
1. **채널 가드레일 정책**으로 **AmazonInspector2ReadOnlyAccess**를 선택합니다.
1. 이전에 SNS 주제를 생성할 때 사용한 리전을 선택한 다음 생성한 Amazon SNS 주제를 선택하여 Slack 채널에 알림을 보냅니다.
1. **구성**을 선택합니다.
------
#### [ Amazon Chime setup ]
**SNS 주제 생성**
1. Amazon SNS 콘솔([https://console.aws.amazon.com/sns/v3/home](https://console.aws.amazon.com/sns/v3/home))에 로그인합니다.
1. 탐색 창에서 **주제**를 선택한 다음 **주제 생성**을 선택합니다.
1. **주제 생성** 섹션에서 **표준**을 선택합니다. 주제 이름을 입력합니다(예: **Inspector\$1to\$1Chime**). 기타 세부 정보는 선택 사항입니다. **주제 생성**을 선택하여 완료합니다.
**채팅 애플리케이션 클라이언트 내 Amazon Q Developer 구성**
1. [https://console.aws.amazon.com/chatbot/](https://console.aws.amazon.com/chatbot/)의 채팅 애플리케이션 콘솔에서 Amazon Q Developer로 이동합니다.
1. **구성된 클라이언트** 패널에서 **새 클라이언트 구성**을 선택합니다.
1. **Chime**을 선택한 다음 **구성**을 선택하여 확인합니다.
1. **구성 세부 정보** 창에서 채널 이름을 입력합니다.
1. Amazon Chime에서 원하는 채팅룸을 엽니다.
1. 오른쪽 상단 모서리에 있는 기어 모양 아이콘을 선택하고 **Manage webhooks(Webhook 관리)**를 선택합니다.
1. **URL 복사**를 선택하여 웹후크 URL을 클립보드에 복사합니다.
1. 의 채팅 애플리케이션 내 AWS Management Console Amazon Q Developer 창에서 복사한 URL을 **Webhook URL** 필드에 붙여 넣습니다.
1. 아직 역할이 없는 경우 **권한**에서 템플릿을 사용하여 IAM 역할을 생성하도록 선택합니다.
1. **정책** 템플릿에서 **알림 권한**을 선택합니다. 채팅 애플리케이션의 Amazon Q Developer에 대한 IAM 정책 템플릿입니다. CloudWatch 경보, 이벤트, 로그, Amazon SNS 주제에 필요한 읽기 및 나열 권한을 제공합니다.
1. 이전에 SNS 주제를 생성할 때 사용한 리전을 선택한 다음 생성한 Amazon SNS 주제를 선택하여 Amazon Chime 룸에 알림을 보냅니다.
1. **구성**을 선택합니다.
------
### 2단계. Amazon Inspector 조사 결과에 대한 EventBridge 규칙 생성
1. 자격 증명을 사용하여 로그인합니다.
1. Amazon EventBridge 콘솔([https://console.aws.amazon.com/events/](https://console.aws.amazon.com/events/))을 엽니다.
1. 탐색 창에서 **규칙**을 선택한 다음 **규칙 생성**을 선택합니다.
1. 규칙의 이름과 설명(선택 사항)을 입력합니다.
1. **이벤트 패턴이 있는 규칙**을 선택한 후**다음**을 선택합니다.
1. **이벤트 패턴** 창에서 **사용자 지정 패턴(JSON 편집기)**을 선택합니다.
1. 다음 JSON을 편집기에 붙여 넣습니다.
```
{
"source": ["aws.inspector2"],
"detail-type": ["Inspector2 Finding"],
"detail": {
"severity": ["HIGH", "CRITICAL"],
"status": ["ACTIVE"]
}
}
```
**참고**
이 패턴은 Amazon Inspector에서 탐지한 모든 활성 `CRITICAL` 또는 `HIGH` 심각도 조사 결과에 대해 알림을 보냅니다.
이벤트 패턴 입력을 완료하면 **다음**을 선택합니다.
1. **대상 선택** 페이지에서 **AWS 서비스**를 선택합니다. 그런 다음 **대상 유형** 선택에서 **SNS 주제**를 선택합니다.
1. **주제**에서 1단계에서 생성한 SNS 주제의 이름을 선택합니다. **다음**을 선택합니다.
1. 필요한 경우 선택적 태그를 추가하고 **다음**을 선택합니다.
1. 규칙을 검토한 다음 **규칙 생성**을 선택합니다.
## Amazon Inspector 다중 계정 환경용 EventBridge
Amazon Inspector 위임 관리자인 경우 멤버 계정의 해당 조사 결과에 따라 EventBridge 규칙이 계정에 표시됩니다. 이전 섹션에 설명된 대로, 관리자 계정의 EventBridge를 통해 조사 결과 알림을 설정하면 다중 계정에 대한 알림을 받게 됩니다. 즉, 내 계정에서 생성된 조사 결과와 이벤트 외에도 멤버 계정에서 생성된 조사 결과와 이벤트에 대한 알림을 받게 됩니다.
조사 결과의 JSON 세부 정보에 있는 `accountId`를 사용하여 Amazon Inspector 조사 결과가 발생한 멤버 계정을 식별할 수 있습니다.