기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AMS Accelerate의 보안 관리
<a name="acc-sec"></a>

AWS Managed Services는 여러 제어를 사용하여 정보 자산을 보호하고 AWS 인프라를 안전하게 유지할 수 있도록 지원합니다. AMS Accelerate는 모든 계정이 보안 AWS Config 규칙 및 운영 무결성에 대한 업계 표준을 준수하도록 및 수정 작업 라이브러리를 유지 관리합니다.는 기록된 리소스 간의 구성 변경을 AWS Config 규칙 지속적으로 추적합니다. 변경 사항이 규칙 조건을 위반하는 경우 AMS는 결과를 보고하고 위반의 심각도에 따라 위반을 자동으로 또는 요청으로 해결할 수 있습니다. 인터넷 보안 센터(CIS), 미국 국립 표준 기술 연구소(NIST) 클라우드 보안 프레임워크(CSF), 건강 보험 양도 및 책임에 관한 법률(HIPAA) 및 결제 카드 산업(PCI) 데이터 보안 표준(DSS)에서 설정한 표준을 AWS Config 규칙 쉽게 준수할 수 있습니다.

또한 AMS는 Amazon GuardDuty를 활용하여 AWS 환경에서 잠재적으로 승인되지 않았거나 악의적인 활동을 식별합니다. AMS는 GuardDuty 결과를 연중무휴 모니터링합니다. AMS는 고객과 협력하여 조사 결과의 영향을 이해하고 모범 사례 권장 사항을 기반으로 문제 해결을 식별합니다. 또한 AMS는 Amazon Macie를 사용하여 개인 건강 정보(PHI), 개인 식별 정보(PII) 및 금융 데이터와 같은 민감한 데이터를 보호합니다.

**참고**  
Amazon Macie는 선택적 서비스이며 기본적으로 활성화되어 있지 않습니다.

AMS Accelerate는 운영 우수성을 달성하는 데 도움이 되는 다양한 운영 서비스를 제공합니다 AWS. 연중무휴 24시간 헬프데스크, 사전 모니터링, 보안, 패치 적용, 로깅 및 백업을 포함한 AMS 주요 운영 기능을 AWS 클라우드 통해 팀이에서 전반적인 운영 우수성을 달성하는 데 AMS가 어떻게 도움이 되는지 자세히 알아보려면 [AMS 참조 아키텍처 다이어그램을 참조하세요](https://d1.awsstatic.com/architecture-diagrams/ArchitectureDiagrams/AWS-managed-services-for-operational-excellence-ra.pdf).

**Topics**
+ [Log4j SSM 문서를 사용하여 Accelerate에서 발생 항목 검색](acc-lm-log4j.md)
+ [AMS의 인프라 보안 모니터링](acc-sec-infra-sec.md)
+ [Accelerate의 데이터 보호](acc-sec-data-protect.md)
+ [AWS Identity and Access Management AMS Accelerate의](acc-sec-iam.md)
+ [AMS의 보안 인시던트 대응](security-incident-response.md)
+ [Accelerate의 보안 이벤트 로깅 및 모니터링](acc-sec-log-mon.md)
+ [Accelerate의 구성 규정 준수](acc-sec-compliance.md)
+ [Accelerate의 인시던트 대응](acc-sec-incident.md)
+ [Accelerate의 복원력](acc-sec-resilience.md)
+ [end-of-support 운영 체제에 대한 보안 제어](ams-eos-sec-controls-os.md)
+ [Accelerate의 보안 모범 사례](acc-sec-best-practice.md)
+ [변경 요청 보안 검토](acc-sec-change-request-review.md)
+ [보안 FAQ](security-access-faq.md)

# Log4j SSM 문서를 사용하여 Accelerate에서 발생 항목 검색
<a name="acc-lm-log4j"></a>

Log4j AWS Systems Manager 문서(SSM 문서)는 수집된 워크로드 내에서 Apache Log4j2 라이브러리를 검색하는 데 도움이 됩니다. 자동화 문서는 Log4j2 라이브러리가 활성화된 Java 애플리케이션(들)의 프로세스 ID에 대한 보고서를 제공합니다.

보고서에는 JndiLookup 클래스가 포함된 지정된 환경 내에 있는 Java 아카이브(JAR 파일)에 대한 정보가 포함되어 있습니다. 검색된 라이브러리를 사용 가능한 최신 버전으로 업그레이드하는 것이 가장 좋습니다. 이 업그레이드는 CVE-2021-44228을 통해 식별된 원격 코드 실행(RCE)을 완화합니다. Apache에서 최신 버전의 Log4j 라이브러리를 다운로드합니다. 자세한 내용은 [Apache Log4j 2 다운로드](https://logging.apache.org/log4j/2.x/download.html)를 참조하세요.

문서는 Accelerate에 온보딩된 모든 리전과 공유됩니다. 문서에 액세스하려면 다음 단계를 완료합니다.

1. [https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) AWS Systems Manager 콘솔을 엽니다.

1. 탐색 창에서 **Documents**를 선택합니다.

1.  **나와 공유를** 선택합니다.

1. 검색 상자에 **AWSManagedServices-GatherLog4jInformation**을 입력합니다.

1. [속도 제어를](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-working-targets-and-rate-controls.html) 사용하여 문서를 대규모로 실행합니다.

AWSManagedServices-GatherLog4jInformation 문서는 다음 파라미터를 수집합니다.
+ **InstanceId**: EC2 인스턴스의 (필수) ID입니다.
+ **S3Bucket**: (선택 사항) 결과를 업로드할 S3 미리 서명된 URL 또는 S3 URI(s3://BUCKET\$1NAME)입니다.
+ ** AutomationAssumeRole**: (필수) 자동화가 사용자를 대신하여 작업을 수행하도록 허용하는 역할의 ARN입니다.

속도 제어를 사용하여이 문서를 실행하는 것이 가장 좋습니다. 속도 제어 파라미터를 **InstanceId**로 설정하고 인스턴스 목록을 할당하거나 태그 키 조합을 적용하여 특정 태그가 있는 모든 EC2 인스턴스를 대상으로 지정할 수 있습니다. 또한 AWS Managed Services는 Amazon S3S3) 버킷을 제공할 것을 권장합니다. S3에서 결과를 집계하는 방법의 예는 [EC2 인스턴스 스택 \$1 Log4j 정보 수집을](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-ec2-instance-stack-gather-log4j-information.html) 참조하세요.

패키지를 업그레이드할 수 없는 경우 AWS 보안 [ 서비스 사용에 나와 있는 AWS 보안 지침에 따라 Log4j 취약성을 방지, 탐지 및 대응합니다](https://aws.amazon.com/blogs/security/using-aws-security-services-to-protect-against-detect-and-respond-to-the-log4j-vulnerability/). JndiLookup 클래스 기능을 제거하여 취약성을 완화하려면 Java 애플리케이션(들)과 인라인으로 Log4j 핫 패치를 실행합니다. 핫 패치에 대한 자세한 내용은 [Hotpatch for Apache Log4j](https://aws.amazon.com/fr/blogs/opensource/hotpatch-for-apache-log4j/)를 참조하세요.

자동화의 출력 또는 추가 완화 조치를 진행하는 방법에 대한 질문은 서비스 요청을 제출하세요.

# AMS의 인프라 보안 모니터링
<a name="acc-sec-infra-sec"></a>

AMS Accelerate에 온보딩하면가 다음과 같은 AWS Config 기준 인프라와 규칙 세트를 AWS 배포합니다. AMS Accelerate는 이러한 규칙을 사용하여 계정을 모니터링합니다.
+ **AWS Config 서비스 연결 역할**: AMS Accelerate는 **AWSServiceRoleForConfig**라는 서비스 연결 역할을 배포합니다.이 역할은에서 다른 AWS 서비스의 상태를 쿼리 AWS Config 하는 데 사용됩니다. **AWSServiceRoleForConfig** 서비스 연결 역할은 AWS Config 서비스를 신뢰하여 역할을 수임합니다. **AWSServiceRoleForConfig** 역할에 대한 권한 정책에는 AWS Config 리소스에 대한 읽기 전용 및 쓰기 전용 권한과가 AWS Config 지원하는 다른 서비스의 리소스에 대한 읽기 전용 권한이 포함되어 있습니다. AWS Config 레코더로 구성된 역할이 이미 있는 경우 AMS Accelerate는 기존 역할에 AWS Config 관리형 정책이 연결되어 있는지 확인합니다. 그렇지 않은 경우 AMS Accelerate는 역할을 서비스 연결 역할 **AWSServiceRoleForConfig**로 바꿉니다.
+ **AWS Config 레코더 및 전송 채널**: 구성 레코더를 AWS Config 사용하여 리소스 구성의 변경 사항을 감지하고 이러한 변경 사항을 구성 항목으로 캡처합니다. AMS Accelerate는 모든 리소스의 지속적인 기록 AWS 리전과 함께 모든 서비스에 구성 레코더를 배포합니다. 또한 AMS Accelerate는 AWS 리소스에서 발생하는 변경 사항을 기록하는 데 사용되는 Amazon S3 버킷인 구성 전송 채널을 생성합니다. 구성 레코더는 전송 채널을 통해 구성 상태를 업데이트합니다. 가 작동 AWS Config 하려면 구성 레코더 및 전송 채널이 필요합니다. AMS Accelerate는 모든에 레코더를 AWS 리전생성하고 단일에 전송 채널을 생성합니다 AWS 리전. 에 이미 레코더 및 전송 채널이 있는 경우 AWS 리전 AMS Accelerate는 기존 AWS Config 리소스를 삭제하지 않고 대신 AMS Accelerate는 기존 레코더 및 전송 채널이 제대로 구성되었는지 확인한 후 기존 레코더 및 전송 채널을 사용합니다. AWS Config 비용 절감 방법에 대한 자세한 내용은 섹션을 참조하세요[Accelerate에서 AWS Config 비용 절감](acc-sec-compliance.md#acc-sec-compliance-reduct-config-spend).
+ **AWS Config 규칙**: AMS Accelerate는 보안 AWS Config 규칙 및 운영 무결성에 대한 업계 표준을 준수하는 데 도움이 되는 및 수정 작업 라이브러리를 유지 관리합니다.는 기록된 리소스 간의 구성 변경을 AWS Config 규칙 지속적으로 추적합니다. 변경 사항이 규칙 조건을 위반하는 경우 AMS는 조사 결과를 보고하고 위반의 심각도에 따라 위반을 자동으로 또는 요청으로 해결할 수 있습니다.는 인터넷 보안 센터(CIS), 미국 국립 표준 기술 연구소(NIST) 클라우드 보안 프레임워크(CSF), 건강 보험 양도 및 책임에 관한 법률(HIPAA), 결제 카드 산업(PCI) 데이터 보안 표준(DSS)에서 설정한 표준을 AWS Config 규칙 쉽게 준수할 수 있습니다.
+ **AWS Config 애그리게이터 권한 부여**: 애그리게이터는 여러 계정 및 여러 리전에서 AWS Config 구성 및 규정 준수 데이터를 수집하는 AWS Config 리소스 유형입니다. AMS Accelerate는 계정을 구성 애그리게이터에 온보딩하여 AMS Accelerate가 계정의 리소스 구성 정보를 집계하고 규정 준수 데이터를 구성하고 규정 준수 보고서를 생성합니다. AMS 소유 계정에 구성된 기존 애그리게이터가 있는 경우 AMS Accelerate는 추가 애그리게이터를 배포하고 기존 애그리게이터는 수정되지 않습니다.
**참고**  
Config 애그리게이터는 계정에 설정되지 않고 AMS 소유 계정에 설정되며 계정(들)이 계정에 온보딩됩니다.

에 대한 자세한 내용은 다음을 AWS Config참조하세요.
+ AWS Config: [Config란 무엇입니까?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ AWS Config 규칙: [규칙을 사용하여 리소스 평가](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)
+ AWS Config 규칙: [ 동적 규정 준수 확인: AWS Config 규칙 - 클라우드 리소스에 대한 동적 규정 준수 확인](https://aws.amazon.com/blogs/aws/aws-config-rules-dynamic-compliance-checking-for-cloud-resources/)
+ AWS Config 집계자: [ 다중 계정 다중 리전 데이터 집계](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)

보고서에 대한 자세한 내용은 단원을 참조하십시오[AWS Config 제어 규정 준수 보고서](acc-report-config-control-compliance.md).

# AMS Accelerate에 서비스 연결 역할 사용
<a name="using-service-linked-roles"></a>

AMS Accelerate는 AWS Identity and Access Management (IAM) [서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할(SLR)은 AMS Accelerate에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 AMS Accelerate에서 사전 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.

서비스 연결 역할을 사용하면 필요한 권한을 수동으로 추가할 필요가 없으므로 AMS Accelerate를 더 쉽게 설정할 수 있습니다. AMS Accelerate는 서비스 연결 역할의 권한을 정의하며, 달리 정의되지 않은 한 AMS Accelerate만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔티티에 연결할 수 없습니다.

서비스 연결 역할을 지원하는 다른 서비스에 대한 자세한 내용은 [AWS IAM으로 작업하는 서비스를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 참조하고 **서비스 연결 역할** 열에서 **Yes**가 있는 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예** 링크를 선택합니다.

## AMS Accelerate의 배포 툴킷 서비스 연결 역할
<a name="slr-deploy-acc"></a>

AMS Accelerate는 **AWSServiceRoleForAWSManagedServicesDeploymentToolkit**이라는 서비스 연결 역할(SLR)을 사용합니다.이 역할은 AMS Accelerate 인프라를 고객 계정에 배포합니다.

**참고**  
이 정책은 최근에 업데이트되었습니다. 자세한 내용은 섹션을 참조하세요[서비스 연결 역할에 대한 업데이트 가속화](#slr-updates).

### AMS Accelerate 배포 툴킷 SLR
<a name="slr-permissions-deploy-acc"></a>

AWSServiceRoleForAWSManagedServicesDeploymentToolkit 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `deploymenttoolkit.managedservices.amazonaws.com`

[AWSManagedServicesDeploymentToolkitPolicy](security-iam-awsmanpol.html#security-iam-awsmanpol-DeploymentToolkitPolicy)라는 정책은 AMS Accelerate가 다음 리소스에 대한 작업을 수행하도록 허용합니다.
+ `arn:aws*:s3:::ams-cdktoolkit*`
+ `arn:aws*:cloudformation:*:*:stack/ams-cdk-toolkit*`
+ `arn:aws:ecr:*:*:repository/ams-cdktoolkit*`

이 SLR은 AMS가 CloudFormation 템플릿 또는 Lambda 자산 번들과 같은 리소스를 구성 요소 배포 계정에 업로드하는 데 사용하는 배포 버킷을 생성하고 관리할 수 있는 권한을 Amazon S3에 부여합니다. 이 SLR은 배포 버킷을 정의하는 CloudFormation 스택을 배포할 수 있는 권한을 CloudFormation에 부여합니다. 자세한 내용을 보거나 정책을 다운로드하려면 [AWSManagedServices\$1DeploymentToolkitPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-DeploymentToolkitPolicy)를 참조하세요.

IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 링크 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)을 참조하세요.

### AMS Accelerate용 배포 툴킷 SLR 생성
<a name="create-slr-deploy-acc"></a>

서비스 링크 역할은 수동으로 생성할 필요가 없습니다. AWS CLI, 또는 AWS API에서 AMS AWS Management Console에 온보딩하면 AMS Accelerate가 서비스 연결 역할을 생성합니다.

**중요**  
이 서비스 연결 역할은 서비스 연결 역할을 지원하기 시작한 2022년 6월 9일 이전에 AMS Accelerate 서비스를 사용하던 경우 계정에 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 역할을 생성했을 때 계정에 나타날 수 있습니다. 자세한 내용은 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하세요.

이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. AMS에 온보딩하면 AMS Accelerate가 서비스 연결 역할을 다시 생성합니다.

### AMS Accelerate용 배포 툴킷 SLR 편집
<a name="edit-slr-deploy-acc"></a>

AMS Accelerate에서는 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 서비스 연결 역할을 편집할 수 없습니다. 서비스 링크 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.

### AMS Accelerate용 배포 툴킷 SLR 삭제
<a name="delete-slr-deploy-acc"></a>

AWSServiceRoleForAWSManagedServicesDeploymentToolkit 역할을 수동으로 삭제할 필요가 없습니다. AWS Management Console AWS CLI, 또는 AWS API의 AMS에서 오프보드하면 AMS Accelerate가 리소스를 정리하고 서비스 연결 역할을 삭제합니다.

IAM 콘솔, AWS CLI 또는 AWS API를 사용하여 서비스 연결 역할을 수동으로 삭제할 수도 있습니다. 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.

**참고**  
리소스를 삭제하려고 할 때 AMS Accelerate 서비스가 역할을 사용하는 경우 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

**AWSServiceRoleForAWSManagedServicesDeploymentToolkit 서비스 연결 역할에서 사용하는 AMS Accelerate 리소스를 삭제하려면**

계정이 온보딩된 모든 리전의 AMS에서 `ams-cdk-toolkit` 스택을 삭제합니다(먼저 S3 버킷을 수동으로 비워야 할 수 있음).

**IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.**

IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 서비스 연결 역할을 삭제합니다. 자세한 내용은 *IAM 사용 설명서*의 [ 서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)를 참조하세요.

## Detective는 AMS Accelerate의 서비스 연결 역할을 제어합니다.
<a name="slr-deploy-detect-controls"></a>

AMS Accelerate는 **AWSServiceRoleForManagedServices\$1DetectiveControlsConfig**라는 서비스 연결 역할(SLR)을 사용합니다. AWS Managed Services는이 서비스 연결 역할을 사용하여 config-recorder, config 규칙 및 S3 버킷 탐지 제어를 배포합니다.

**AWSServiceRoleForManagedServices\$1DetectiveControlsConfig** 서비스 연결 역할에 연결된 관리형 정책은 [AWSManagedServices\$1DetectiveControlsConfig\$1ServiceRolePolicy](security-iam-awsmanpol.html#security-iam-awsmanpol-DetectiveControlsConfig)입니다. 이 정책에 대한 업데이트는 [AWS 관리형 정책에 대한 업데이트 가속화](security-iam-awsmanpol.md#security-iam-awsmanpol-updates) 단원을 참조하세요.

### AMS Accelerate용 탐지 제어 SLR에 대한 권한
<a name="slr-permissions-detect-controls"></a>

AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `detectivecontrols.managedservices.amazonaws.com`

이 역할에는 `AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy` AWS 관리형 정책이 연결되어 있습니다(서비스[AWS 관리형 정책: AWSManagedServices\$1DetectiveControlsConfig\$1ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-DetectiveControlsConfig)는 역할을 사용하여 계정에서 AMS Detective 제어 구성을 생성하므로 s3 버킷, 구성 규칙 및 애그리게이터와 같은 리소스를 배포해야 함을 참조하세요. IAM 엔터티(예: 사용자, 그룹 또는 역할)가 서비스 연결 역할을 생성, 편집 또는 삭제할 수 있도록 권한을 구성해야 합니다. 자세한 내용은 *AWS Identity and Access Management* 사용 설명서의 [서비스 연결 역할 권한을 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions).

### AMS Accelerate용 탐지 제어 SLR 생성
<a name="create-slr-detect-controls"></a>

서비스 링크 역할은 수동으로 생성할 필요가 없습니다. AWS CLI, 또는 AWS API에서 AMS AWS Management Console에 온보딩하면 AMS Accelerate가 서비스 연결 역할을 생성합니다.

**중요**  
이 서비스 연결 역할은 서비스 연결 역할을 지원하기 시작한 후 AMS Accelerate가 계정에 AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 역할을 생성한 2022년 6월 9일 이전에 AMS Accelerate 서비스를 사용하는 경우 계정에 나타날 수 있습니다. 자세한 내용은 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하세요.

이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. AMS에 온보딩하면 AMS Accelerate가 서비스 연결 역할을 다시 생성합니다.

### AMS Accelerate용 탐지 제어 SLR 편집
<a name="edit-slr-detect-controls"></a>

AMS Accelerate에서는 AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 서비스 연결 역할을 편집할 수 없습니다. 서비스 링크 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 정보는 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.

### AMS Accelerate용 탐지 제어 SLR 삭제
<a name="delete-slr-detect-controls"></a>

AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 역할을 수동으로 삭제할 필요가 없습니다. AWS Management Console AWS CLI, 또는 AWS API의 AMS에서 오프보드하면 AMS Accelerate가 리소스를 정리하고 서비스 연결 역할을 삭제합니다.

IAM 콘솔, AWS CLI 또는 AWS API를 사용하여 서비스 연결 역할을 수동으로 삭제할 수도 있습니다. 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.

**참고**  
리소스를 삭제하려고 할 때 AMS Accelerate 서비스가 역할을 사용하는 경우 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

**AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 서비스 연결 역할에서 사용하는 AMS Accelerate 리소스를 삭제하려면**

AMS에서 계정이 온보딩된 모든 리전의 `ams-detective-controls-config-recorder` `ams-detective-controls-config-rules-cdk` 및 `ams-detective-controls-infrastructure-cdk` 스택을 삭제합니다(먼저 S3 버킷을 수동으로 비워야 할 수 있음).

**IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.**

IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)**를 참조하십시오.

## AMS Accelerate에 대한 Amazon EventBridge 규칙 서비스 연결 역할
<a name="slr-evb-rule"></a>

AMS Accelerate는 **AWSServiceRoleForManagedServices\$1Events**라는 서비스 연결 역할(SLR)을 사용합니다. 이 역할은 AWS Managed Services 서비스 보안 주체(events.managedservices.amazonaws.com) 중 하나를 신뢰하여 역할을 수임합니다. 서비스는 역할을 사용하여 Amazon EventBridge 관리형 규칙을 생성합니다. 이 규칙은 계정에서 AWS Managed Services로 경보 상태 변경 정보를 전달하는 데 AWS 계정에 필요한 인프라입니다.

### AMS Accelerate용 EventBridge SLR에 대한 권한
<a name="slr-permissions-create-evb-rule"></a>

AWSServiceRoleForManagedServices\$1Events 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `events.managedservices.amazonaws.com`

이 역할에는 `AWSManagedServices_EventsServiceRolePolicy` AWS 관리형 정책이 연결되어 있습니다( 참조[AWS 관리형 정책: AWSManagedServices\$1EventsServiceRolePolicy](security-iam-awsmanpol.md#EventsServiceRolePolicy)). 서비스는 역할을 사용하여 계정에서 AMS로 경보 상태 변경 정보를 전달합니다. IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 링크 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 *AWS Identity and Access Management 사용 설명서*의 [서비스 연결 역할 권한을 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions).

이 ZIP: EventsServiceRolePolicy.zip에서 JSON AWSManagedServices\$1EventsServiceRolePolicy를 다운로드할 수 있습니다. [EventsServiceRolePolicy.zip](samples/EventsServiceRolePolicy.zip)

### AMS Accelerate용 EventBridge SLR 생성
<a name="slr-evb-rule-create"></a>

서비스 링크 역할은 수동으로 생성할 필요가 없습니다. AWS CLI, 또는 AWS API에서 AMS AWS Management Console에 온보딩하면 AMS Accelerate가 서비스 연결 역할을 생성합니다.

**중요**  
이 서비스 연결 역할은 2023년 2월 7일 이전에 AMS Accelerate 서비스를 사용하던 경우 계정에 나타날 수 있습니다. 서비스 연결 역할을 지원하기 시작한 후 AMS Accelerate가 계정에 AWSServiceRoleForManagedServices\$1Events 역할을 생성했습니다. 자세한 내용은 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하세요.

이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. AMS에 온보딩하면 AMS Accelerate가 서비스 연결 역할을 다시 생성합니다.

### AMS Accelerate용 EventBridge SLR 편집
<a name="slr-evb-rule-edit"></a>

AMS Accelerate에서는 AWSServiceRoleForManagedServices\$1Events 서비스 연결 역할을 편집할 수 없습니다. 서비스 링크 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.

### AMS Accelerate용 EventBridge SLR 삭제
<a name="slr-evb-rule-delete"></a>

AWSServiceRoleForManagedServices\$1Events 역할은 수동으로 삭제할 필요가 없습니다. AWS Management Console AWS CLI, 또는 AWS API의 AMS에서 오프보드하면 AMS Accelerate가 리소스를 정리하고 서비스 연결 역할을 삭제합니다.

IAM 콘솔, AWS CLI 또는 AWS API를 사용하여 서비스 연결 역할을 수동으로 삭제할 수도 있습니다. 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.

**참고**  
리소스를 삭제하려고 할 때 AMS Accelerate 서비스가 역할을 사용하는 경우 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

**AWSServiceRoleForManagedServices\$1Events 서비스 연결 역할에서 사용하는 AMS Accelerate 리소스를 삭제하려면**

**IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.**

IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 AWSServiceRoleForManagedServices\$1Events 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)**를 참조하십시오.

## AMS Accelerate의 서비스 연결 역할에 문의
<a name="slr-contacts-service"></a>

AMS Accelerate는 **AWSServiceRoleForManagedServices\$1Contacts**라는 서비스 연결 역할(SLR)을 사용합니다.이 역할은 서비스가 영향을 받는 리소스의 기존 태그를 읽고 적절한 연락처의 구성된 이메일을 검색하도록 허용하여 인시던트가 발생할 때 자동 알림을 용이하게 합니다.

이 서비스 연결 역할을 사용하는 유일한 서비스입니다.

**AWSServiceRoleForManagedServices\$1Contacts** 서비스 연결 역할에 연결된 관리형 정책은 [AWSManagedServices\$1ContactsServiceRolePolicy](security-iam-awsmanpol.html#ContactsServiceManagedPolicy)입니다. 이 정책에 대한 업데이트는 [AWS 관리형 정책에 대한 업데이트 가속화](security-iam-awsmanpol.md#security-iam-awsmanpol-updates) 단원을 참조하세요.

### AMS Accelerate에 대한 연락처 SLR 권한
<a name="slr-permissions-contacts-service"></a>

AWSServiceRoleForManagedServices\$1Contacts 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `contacts-service.managedservices.amazonaws.com`

이 역할에는 `AWSManagedServices_ContactsServiceRolePolicy` AWS 관리형 정책이 연결되어 있습니다( 참조[AWS 관리형 정책: AWSManagedServices\$1ContactsServiceRolePolicy](security-iam-awsmanpol.md#ContactsServiceManagedPolicy)). 이 서비스는 역할을 사용하여 모든 AWS 리소스의 태그를 읽고 인시던트 발생 시 적절한 연락 지점의 태그에 포함된 이메일을 찾습니다. 이 역할은 AMS가 영향을 받는 리소스에서 해당 태그를 읽고 이메일을 검색하도록 허용하여 인시던트 발생 시 자동 알림을 용이하게 합니다. 자세한 내용은 *AWS Identity and Access Management* 사용 설명서의 [서비스 연결 역할 권한을 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions).

**중요**  
개인 식별 정보(PII)나 기타 기밀 정보 또는 민감한 정보를 태그에 저장하지 마세요. AMS는 태그를 사용하여 관리 서비스를 제공합니다. 태그는 개인 데이터나 민감한 데이터에 사용하기 위한 것이 아닙니다.

AWSManagedServices\$1ContactsServiceRolePolicy라는 역할 권한 정책은 AMS Accelerate가 지정된 리소스에서 다음 작업을 완료하도록 허용합니다.
+ 작업: Contacts Service가 AMS가 모든 AWS 리소스에서 인시던트 알림을 보낼 수 있도록 이메일을 포함하도록 특별히 설정된 태그를 읽을 수 있도록 허용합니다.

이 ZIP: ContactsServicePolicy.zip에서 JSON AWSManagedServices\$1ContactsServiceRolePolicy를 다운로드할 수 있습니다. [ContactsServicePolicy.zip](samples/ContactsServicePolicy.zip)

### AMS Accelerate용 연락처 SLR 생성
<a name="slr-contacts-service-create"></a>

서비스 링크 역할은 수동으로 생성할 필요가 없습니다. AWS CLI, 또는 AWS API에서 AMS AWS Management Console에 온보딩하면 AMS Accelerate가 서비스 연결 역할을 생성합니다.

**중요**  
이 서비스 연결 역할은 서비스 연결 역할을 지원하기 시작한 후 AMS Accelerate가 계정에 AWSServiceRoleForManagedServices\$1Contacts 역할을 생성한 2023년 2월 16일 이전에 AMS Accelerate 서비스를 사용하는 경우 계정에 나타날 수 있습니다. 자세한 내용은 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하세요.

이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. AMS에 온보딩하면 AMS Accelerate가 서비스 연결 역할을 다시 생성합니다.

### AMS Accelerate에 대한 연락처 SLR 편집
<a name="slr-contacts-service-edit"></a>

AMS Accelerate에서는 AWSServiceRoleForManagedServices\$1Contacts 서비스 연결 역할을 편집할 수 없습니다. 서비스 링크 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.

### AMS Accelerate에 대한 연락처 SLR 삭제
<a name="slr-contacts-service-delete"></a>

AWSServiceRoleForManagedServices\$1Contacts 역할은 수동으로 삭제할 필요가 없습니다. AWS Management Console AWS CLI, 또는 AWS API의 AMS에서 오프보딩하면 AMS Accelerate가 리소스를 정리하고 서비스 연결 역할을 삭제합니다.

IAM 콘솔, AWS CLI 또는 AWS API를 사용하여 서비스 연결 역할을 수동으로 삭제할 수도 있습니다. 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.

**참고**  
리소스를 삭제하려고 할 때 AMS Accelerate 서비스가 역할을 사용하는 경우 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

**AWSServiceRoleForManagedServices\$1Contacts 서비스 연결 역할에서 사용하는 AMS Accelerate 리소스를 삭제하려면**

**IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.**

IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 AWSServiceRoleForManagedServices\$1Contacts 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서의 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)**를 참조하십시오.

## AMS Accelerate 서비스 연결 역할에 지원되는 리전
<a name="slr-regions"></a>

AMS Accelerate는 서비스를 사용할 수 있는 모든 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용을 알아보려면 [AWS 리전 및 엔드포인트](https://docs.aws.amazon.com/general/latest/gr/rande.html)를 참조하세요.

## 서비스 연결 역할에 대한 업데이트 가속화
<a name="slr-updates"></a>

이 서비스가 이러한 변경 사항을 추적하기 시작한 이후 Accelerate 서비스 연결 역할의 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 Accelerate [AMS Accelerate 사용 설명서의 문서 기록](doc-history.md) 페이지에서 RSS 피드를 구독하세요.


| 변경 사항 | 설명 | 날짜 | 
| --- | --- | --- | 
| 업데이트된 정책 - [배포 도구 키트](#slr-deploy-acc) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 2024년 4월 4일 | 
| 업데이트된 정책 - [배포 도구 키트](#slr-deploy-acc) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 2023년 5월 9일 | 
| 업데이트된 정책 - 탐지 [제어](#slr-deploy-detect-controls) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 2023년 4월 10일 | 
| 업데이트된 정책 - 탐지 [제어](#slr-deploy-detect-controls) | 정책을 업데이트하고 권한 경계 정책을 추가했습니다. | 2023년 3월 21일 | 
| 새 서비스 연결 역할 - [SLR에 문의](#slr-contacts-service) | Accelerate는 연락처 서비스에 대한 새 서비스 연결 역할을 추가했습니다. 이 역할은 서비스가 영향을 받는 리소스의 기존 태그를 읽고 적절한 연락 지점의 구성된 이메일을 검색할 수 있도록 하여 인시던트 발생 시 자동 알림을 용이하게 합니다. | 2023년 2월 16일 | 
| 새 서비스 연결 역할 - [EventBridge](#slr-evb-rule) | Accelerate는 Amazon EventBridge 규칙에 대한 새 서비스 연결 역할을 추가했습니다. 이 역할은 AWS Managed Services 서비스 보안 주체(events.managedservices.amazonaws.com) 중 하나를 신뢰하여 역할을 수임합니다. 서비스는 역할을 사용하여 Amazon EventBridge 관리형 규칙을 생성합니다. 이 규칙은 계정에서 AWS Managed Services로 경보 상태 변경 정보를 전달하는 데 필요한 인프라입니다. | 2023년 2월 7일 | 
| 업데이트된 서비스 연결 역할 - [배포 도구 키트](#slr-deploy-acc) | 새 S3 권한으로 업데이트된 AWSServiceRoleForAWSManagedServicesDeploymentToolkit를 가속화합니다. 이러한 새 권한이 추가되었습니다. <pre>"s3:GetLifecycleConfiguration",<br />"s3:GetBucketLogging",<br />"s3:ListBucket",<br />"s3:GetBucketVersioning",<br />"s3:PutLifecycleConfiguration",<br />"s3:GetBucketLocation",<br />"s3:GetObject*"</pre> | 2023년 1월 30일 | 
| 변경 사항 추적 가속화 시작 | Accelerate는 서비스 연결 역할에 대한 변경 사항 추적을 시작했습니다. | 2022년 11월 30일 | 
| 새로운 서비스 연결 역할 - 탐지 [제어](#slr-deploy-detect-controls) | Accelerate는 탐지 제어 가속화를 배포하는 새로운 서비스 연결 역할을 추가했습니다. AWS Managed Services는이 서비스 연결 역할을 사용하여 config-recorder, config 규칙 및 S3 버킷 탐지 제어를 배포합니다. | 2022년 10월 13일 | 
| 새로운 서비스 연결 역할 - [배포 도구 키트](#slr-deploy-acc) | Accelerate는 Accelerate 인프라를 배포하기 위한 새로운 서비스 연결 역할을 추가했습니다. 이 역할은 AMS Accelerate 인프라를 고객 계정에 배포합니다. | 2022년 6월 9일 | 

# AWS AMS Accelerate에 대한 관리형 정책
<a name="security-iam-awsmanpol"></a>

 AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.

 AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.

 AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을 AWS 업데이트하는 AWS 경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 줍니다. AWS AWS 서비스 는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 될 때 AWS 관리형 정책을 업데이트할 가능성이 높습니다.

자세한 내용은 *IAM 사용 설명서*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.

변경 사항 표는 섹션을 참조하세요[AWS 관리형 정책에 대한 업데이트 가속화](#security-iam-awsmanpol-updates).

## AWS 관리형 정책: AWSManagedServices\$1AlarmManagerPermissionsBoundary
<a name="security-iam-awsmanpol-AlarmManagerPermissionsBoundary"></a>

AWS Managed Services (AMS)는 `AWSManagedServices_AlarmManagerPermissionsBoundary` AWS 관리형 정책을 사용합니다. 이 AWS관리형 정책은 AWSManagedServices\$1AlarmManager\$1ServiceRolePolicy에서 AWSServiceRoleForManagedServices\$1AlarmManager에 의해 생성된 IAM 역할의 권한을 제한하는 데 사용됩니다.

이 정책은의 일부로 생성된 IAM 역할[경보 관리자의 작동 방식](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work), AWS Config 평가, Alarm Manager 구성을 가져오기 위한 AWS Config 읽기, 필요한 Amazon CloudWatch 경보 생성과 같은 작업을 수행할 수 있는 권한을 부여합니다.

`AWSManagedServices_AlarmManagerPermissionsBoundary` 정책은 `AWSServiceRoleForManagedServices_DetectiveControlsConfig` 서비스 연결 역할에 연결됩니다. 이 역할에 대한 업데이트는 섹션을 참조하세요[서비스 연결 역할에 대한 업데이트 가속화](using-service-linked-roles.md#slr-updates).

이 정책을 IAM 자격 증명에 연결할 수 있습니다.

**권한 세부 정보**

이 정책에는 다음 권한이 포함되어 있습니다.
+ `AWS Config` - 구성 규칙을 평가하고 리소스 구성을 선택할 수 있는 권한을 허용합니다.
+ `AWS AppConfig` - AlarmManager 구성을 가져올 수 있는 권한을 허용합니다.
+ `Amazon S3` - AlarmManager 버킷 및 객체를 작동할 수 있는 권한을 허용합니다.
+ `Amazon CloudWatch` - AlarmManager 관리형 경보 및 지표를 읽고 넣을 수 있는 권한을 허용합니다.
+ `AWS Resource Groups and Tags` - 리소스 태그를 읽을 수 있는 권한을 허용합니다.
+ `Amazon EC2` - Amazon EC2 리소스를 읽을 수 있는 권한을 허용합니다.
+ `Amazon Redshift` - Redshift 인스턴스 및 클러스터를 읽을 수 있는 권한을 허용합니다.
+ `Amazon FSx` - 파일 시스템, 볼륨 및 리소스 태그를 설명할 수 있는 권한을 허용합니다.
+ `Amazon CloudWatch Synthetics` - Synthetics 리소스를 읽을 수 있는 권한을 허용합니다.
+ `Amazon Elastic Kubernetes Service` - Amazon EKS 클러스터를 설명할 수 있는 권한을 허용합니다.
+ `Amazon ElastiCache` - 리소스를 설명할 수 있는 권한을 허용합니다.

이 ZIP: [RecommendedPermissionBoundary.zip](samples/RecommendedPermissionBoundary.zip).

## AWS 관리형 정책: AWSManagedServices\$1DetectiveControlsConfig\$1ServiceRolePolicy
<a name="security-iam-awsmanpol-DetectiveControlsConfig"></a>

AWS Managed Services (AMS)는 `AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy` AWS 관리형 정책을 사용합니다. 이 AWS관리형 정책은 [`AWSServiceRoleForManagedServices_DetectiveControlsConfig` 서비스 연결 역할에](using-service-linked-roles.html#slr-deploy-detect-controls) 연결됩니다( 참조[Detective는 AMS Accelerate의 서비스 연결 역할을 제어합니다.](using-service-linked-roles.md#slr-deploy-detect-controls)). `AWSServiceRoleForManagedServices_DetectiveControlsConfig` 서비스 연결 역할에 대한 업데이트는 섹션을 참조하세요[서비스 연결 역할에 대한 업데이트 가속화](using-service-linked-roles.md#slr-updates).

이 정책을 통해 서비스 연결 역할이 사용자를 대신하여 작업을 완료할 수 있습니다.

AWSManagedServices\$1DetectiveControlsConfig\$1ServiceRolePolicy 정책을 IAM 엔터티에 연결할 수 있습니다.

자세한 내용은 [AMS Accelerate에 서비스 연결 역할 사용](using-service-linked-roles.md) 단원을 참조하십시오.

**권한 세부 정보**

이 정책에는 AWS Managed Services Detective Controls가 필요한 모든 리소스를 배포하고 구성할 수 있도록 허용하는 다음과 같은 권한이 있습니다.
+ `CloudFormation` - AMS Detective Controls가 s3 버킷, 구성 규칙 및 config-recorder와 같은 리소스를 사용하여 CloudFormation 스택을 배포할 수 있도록 허용합니다.
+ `AWS Config` - AMS Detective Controls가 AMS 구성 규칙을 생성하고 집계자 및 태그 리소스를 구성할 수 있도록 허용합니다.
+ `Amazon S3` - AMS Detective Controls가 s3 버킷을 관리할 수 있도록 허용합니다.

이 ZIP: [DetectiveControlsConfig\$1ServiceRolePolicy.zip에서 JSON 정책 파일을 다운로드할 수 있습니다](samples/DetectiveControlsConfig_ServiceRolePolicy.zip).

## AWS 관리형 정책: AWSManagedServicesDeploymentToolkitPolicy
<a name="security-iam-awsmanpol-DeploymentToolkitPolicy"></a>

AWS Managed Services (AMS)는 `AWSManagedServicesDeploymentToolkitPolicy` AWS 관리형 정책을 사용합니다. 이 AWS관리형 정책은 [`AWSServiceRoleForAWSManagedServicesDeploymentToolkit` 서비스 연결 역할에](using-service-linked-roles.html#slr-deploy-acc) 연결됩니다( 참조[AMS Accelerate의 배포 툴킷 서비스 연결 역할](using-service-linked-roles.md#slr-deploy-acc)). 이 정책을 통해 서비스 연결 역할이 사용자를 대신하여 작업을 완료할 수 있습니다. IAM 엔터티에 이 정책을 연결할 수 없습니다. 자세한 내용은 [AMS Accelerate에 서비스 연결 역할 사용](using-service-linked-roles.md) 단원을 참조하십시오.

`AWSServiceRoleForManagedServicesDeploymentToolkitPolicy` 서비스 연결 역할에 대한 업데이트는 섹션을 참조하세요[서비스 연결 역할에 대한 업데이트 가속화](using-service-linked-roles.md#slr-updates).

**권한 세부 정보**

이 정책에는 AWS Managed Services Detective Controls가 필요한 모든 리소스를 배포하고 구성할 수 있도록 허용하는 다음과 같은 권한이 있습니다.
+ `CloudFormation` - AMS Deployment Toolkit이 CDK에 필요한 S3 리소스를 사용하여 CFN 스택을 배포할 수 있도록 허용합니다.
+ `Amazon S3` -는 AMS Deployment Toolkit이 S3 버킷을 관리할 수 있도록 허용합니다.
+ `Elastic Container Registry` -를 사용하면 AMS Deployment Toolkit이 AMS CDK 앱에 필요한 자산을 배포하는 데 사용되는 ECR 리포지토리를 관리할 수 있습니다.

이 ZIP: [AWSManagedServicesDeploymentToolkitPolicy.zip](samples/AWSManagedServices_DeploymentToolkitPolicy.zip).

## AWS 관리형 정책: AWSManagedServices\$1EventsServiceRolePolicy
<a name="EventsServiceRolePolicy"></a>

AWS Managed Services (AMS)는 `AWSManagedServices_EventsServiceRolePolicy` AWS 관리형 정책을 사용합니다. 이 AWS관리형 정책은 [`AWSServiceRoleForManagedServices_Events` 서비스 연결 역할에](using-service-linked-roles.html#slr-evb-rule) 연결됩니다. 이 정책을 통해 서비스 연결 역할이 사용자를 대신하여 작업을 완료할 수 있습니다. IAM 엔터티에 이 정책을 연결할 수 없습니다. 자세한 내용은 [AMS Accelerate에 서비스 연결 역할 사용](using-service-linked-roles.md) 단원을 참조하십시오.

`AWSServiceRoleForManagedServices_Events` 서비스 연결 역할에 대한 업데이트는 섹션을 참조하세요[서비스 연결 역할에 대한 업데이트 가속화](using-service-linked-roles.md#slr-updates).

**권한 세부 정보**

이 정책에는 Amazon EventBridge가 계정에서 AWS Managed Services로 경보 상태 변경 정보를 전달할 수 있도록 허용하는 다음과 같은 권한이 있습니다.
+ `events` - Accelerate가 Amazon EventBridge 관리형 규칙을 생성할 수 있도록 허용합니다. 이 규칙은 계정에서 로 경보 상태 변경 정보를 전달하는 AWS 계정 데 필요한 인프라입니다 AWS Managed Services.

이 ZIP: [EventsServiceRolePolicy.zip](samples/EventsServiceRolePolicy.zip).

## AWS 관리형 정책: AWSManagedServices\$1ContactsServiceRolePolicy
<a name="ContactsServiceManagedPolicy"></a>

AWS Managed Services (AMS)는 `AWSManagedServices_ContactsServiceRolePolicy` AWS 관리형 정책을 사용합니다. 이 AWS관리형 정책은 [`AWSServiceRoleForManagedServices_Contacts` 서비스 연결 역할에](using-service-linked-roles.html#slr-contacts-service) 연결됩니다( 참조[AMS Accelerate용 연락처 SLR 생성](using-service-linked-roles.md#slr-contacts-service-create)). 이 정책은 AMS Contacts SLR이 AWS 리소스에서 리소스 태그와 해당 값을 볼 수 있도록 허용합니다. IAM 엔터티에 이 정책을 연결할 수 없습니다. 자세한 내용은 [AMS Accelerate에 서비스 연결 역할 사용](using-service-linked-roles.md) 단원을 참조하십시오.

**중요**  
개인 식별 정보(PII)나 기타 기밀 정보 또는 민감한 정보를 태그에 저장하지 마세요. AMS는 태그를 사용하여 관리 서비스를 제공합니다. 태그는 개인 데이터나 민감한 데이터에 사용하기 위한 것이 아닙니다.

`AWSServiceRoleForManagedServices_Contacts` 서비스 연결 역할에 대한 업데이트는 섹션을 참조하세요[서비스 연결 역할에 대한 업데이트 가속화](using-service-linked-roles.md#slr-updates).

**권한 세부 정보**

이 정책에는 Contacts SLR이 리소스 태그를 읽고 미리 설정한 리소스 연락처 정보를 검색할 수 있도록 허용하는 다음과 같은 권한이 있습니다.
+ `IAM` - Contacts 서비스가 IAM 역할 및 IAM 사용자의 태그를 볼 수 있도록 허용합니다.
+ `Amazon EC2` - Contacts 서비스가 Amazon EC2 리소스의 태그를 볼 수 있도록 허용합니다.
+ `Amazon S3` - Contacts Service가 Amazon S3 버킷의 태그를 볼 수 있도록 허용합니다. 이 작업은 조건을 사용하여 AMS가 HTTP 권한 부여 헤더, SigV4 서명 프로토콜 및 TLS 1.2 이상의 HTTPS를 사용하여 버킷 태그에 액세스하도록 합니다. 자세한 내용은 [인증 방법](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html#auth-methods-intro) 및 [Amazon S3 서명 버전 4 인증별 정책 키를 참조하세요](https://docs.aws.amazon.com/AmazonS3/latest/API/bucket-policy-s3-sigv4-conditions.html).
+ `Tag` - Contacts 서비스가 다른 AWS 리소스의 태그를 볼 수 있도록 허용합니다.
+ "iam:ListRoleTags", "iam:ListUserTags", "tag:GetResources", "tag:GetTagKeys", "tag:GetTagValues", "ec2:DescribeTags", "s3:GetBucketTagging"

이 ZIP: [ContactsServicePolicy.zip](samples/ContactsServicePolicy.zip)에서 JSON 정책 파일을 다운로드할 수 있습니다.

## AWS 관리형 정책에 대한 업데이트 가속화
<a name="security-iam-awsmanpol-updates"></a>

이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 Accelerate의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다.


| 변경 사항 | 설명 | 날짜 | 
| --- | --- | --- | 
| 업데이트된 정책 - [배포 도구 키트](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2024년 4월 4일 | 
| 업데이트된 정책 - [배포 도구 키트](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2023년 5월 9일 | 
| 업데이트된 정책 - 탐지 [제어](#security-iam-awsmanpol-DetectiveControlsConfig) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2023년 4월 10일 | 
| 업데이트된 정책 - 탐지 [제어](#security-iam-awsmanpol-DetectiveControlsConfig) | `ListAttachedRolePolicies` 작업이 정책에서 제거됩니다. 작업에는 와일드카드(\$1)로 리소스가 있었습니다. "list"는 변경되지 않는 작업이므로 모든 리소스에 대한 액세스 권한이 부여되며 와일드카드는 허용되지 않습니다. | 2023년 3월 28일 | 
| 업데이트된 정책 - 탐지 [제어](#security-iam-awsmanpol-DetectiveControlsConfig) | 정책을 업데이트하고 권한 경계 정책을 추가했습니다. | 2023년 3월 21일 | 
| 새 정책 - [Contacts Service](#ContactsServiceManagedPolicy) | Accelerate는 리소스 태그에서 계정 연락처 정보를 확인하는 새 정책을 추가했습니다. Accelerate는 미리 설정한 리소스 연락처 정보를 검색할 수 있도록 리소스 태그를 읽는 새 정책을 추가했습니다. | 2023년 2월 16일 | 
| 새 정책 - [Events Service](#EventsServiceRolePolicy) | Accelerate는 계정에서 AWS Managed Services로 경보 상태 변경 정보를 전달하는 새 정책을 추가했습니다. 필요한 Amazon EventBridge 관리형 규칙을 생성할 수 있는 [경보 관리자의 작동 방식](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work) 권한의 일부로 생성된 IAM 역할을 부여합니다. | 2023년 2월 7일 | 
| 업데이트된 정책 - [배포 도구 키트](#security-iam-awsmanpol-DeploymentToolkitPolicy) | Accelerate에서 고객 오프보딩을 지원하는 S3 권한이 추가되었습니다. | 2023년 1월 30일 | 
| 새 정책 - 탐지 [제어](#security-iam-awsmanpol-DetectiveControlsConfig)  | 서비스 연결 역할인가 탐지 제어 가속화를 배포[Detective는 AMS Accelerate의 서비스 연결 역할을 제어합니다.](using-service-linked-roles.md#slr-deploy-detect-controls)하는 작업을 완료하도록 허용합니다. | 2022년 12월 19일 | 
| 새 정책 - [경보 관리자](#security-iam-awsmanpol-AlarmManagerPermissionsBoundary)  | Accelerate는 경보 관리자 작업을 수행할 수 있는 권한을 허용하는 새 정책을 추가했습니다. Config 평가, 경보 관리자 구성을 가져오기 위한 AWS AWS Config 읽기, 필요한 Amazon CloudWatch 경보 생성과 같은 작업을 수행할 수 있는 [경보 관리자의 작동 방식](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work) 권한의 일부로 생성된 IAM 역할을 부여합니다. | 2022년 11월 30일 | 
| 변경 사항 추적을 가속화하기 시작 | Accelerate는 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다. | 2022년 11월 30일 | 
| 새 정책 - [배포 도구 키트](#security-iam-awsmanpol-DeploymentToolkitPolicy) | Accelerate는 배포 작업에 대해이 정책을 추가했습니다. 서비스 연결 역할 [AWSServiceRoleForAWSManagedServicesDeploymentToolkit](using-service-linked-roles.md#slr-deploy-acc)에 배포 관련 Amazon S3 버킷 및 CloudFormation 스택에 액세스하고 업데이트할 수 있는 권한을 부여합니다. | 2022년 6월 9일 | 

# Accelerate의 데이터 보호
<a name="acc-sec-data-protect"></a>

AMS Accelerate는 Amazon GuardDuty, Amazon Macie(선택 사항) 및 기타 내부 독점 도구 및 프로세스와 AWS 서비스 같은 네이티브를 활용하여 관리형 계정을 지속적으로 모니터링합니다. 경보가 트리거된 후 AMS Accelerate는 경보에 대한 초기 분류 및 대응을 담당합니다. AMS 응답 프로세스는 NIST 표준을 기반으로 합니다. AMS Accelerate는 보안 인시던트 대응 시뮬레이션을 사용하여 대응 프로세스를 정기적으로 테스트하여 워크플로를 기존 고객 보안 대응 프로그램에 맞게 조정합니다.

AMS Accelerate가 AWS 또는 보안 정책의 위반 또는 위반에 대한 임박한 위협을 탐지하면 Accelerate는 영향을 받는 리소스 및 구성 관련 변경 사항을 포함한 정보를 수집합니다. AMS Accelerate는 모든 관리형 계정에서 모니터링 대시보드, 인시던트 대기열 및 서비스 요청을 적극적으로 검토하고 조사하는 전용 운영자와 함께 연중무휴 follow-the-sun 지원을 제공합니다. Accelerate는 내부 보안 전문가와 조사하여 활동을 분석하고 계정에 나열된 보안 에스컬레이션 연락처를 통해 사용자에게 알립니다.

조사 결과에 따라 Accelerate는 사전에 고객과 소통합니다. 활동이 무단이거나 의심스러운 경우 AMS는 사용자와 협력하여 문제를 조사하고 해결하거나 억제합니다. GuardDuty에서 생성한 특정 결과 유형은 Accelerate가 조치를 취하기 전에 영향을 확인해야 합니다. 예를 들어, GuardDuty 결과 유형 **UnauthorizedAccess:IAMUser/ConsoleLogin**은 사용자 중 한 명이 비정상적인 위치에서 로그인했음을 나타냅니다. AMS는 사용자에게 알리고이 동작이 합법적인지 확인하기 위해 결과를 검토하도록 요청합니다.

## Amazon Macie로 모니터링
<a name="acc-sec-data-protect-macie"></a>

AMS Accelerate는 개인 건강 정보(PHI), 개인 식별 정보(PII) 및 금융 데이터와 같은 크고 포괄적인 민감한 데이터 목록을 탐지하기 위해 Amazon Macie를 지원하고 사용하는 것이 모범 사례입니다.

모든 Amazon S3 버킷에서 정기적으로 실행되도록 Macie를 구성할 수 있습니다. 이렇게 하면 시간이 지남에 따라 버킷 내의 새 객체 또는 수정된 객체에 대한 평가가 자동화됩니다. 보안 조사 결과가 생성되면 AMS는 사용자에게 알리고 사용자와 협력하여 필요에 따라 조사 결과를 해결합니다.

자세한 내용은 [ Amazon Macie 조사 결과 분석을 참조하세요](https://docs.aws.amazon.com/macie/latest/user/findings.html).

## GuardDuty로 모니터링
<a name="acc-sec-data-protect-gd"></a>

GuardDuty는 악성 IP 주소 및 도메인 목록과 같은 위협 인텔리전스 피드와 기계 학습을 사용하여 AWS 환경 내에서 예기치 않고 잠재적으로 승인되지 않은 악의적인 활동을 식별하는 지속적인 보안 모니터링 서비스입니다. 여기에는 권한 에스컬레이션, 노출된 자격 증명 사용, 악성 IP 주소 또는 도메인과의 통신과 같은 문제가 포함될 수 있습니다. GuardDuty는 무단 인프라 배포, 사용한 적이 없는 AWS 리전에 배포된 인스턴스와 같은 손상 징후가 있는지 AWS 계정 액세스 동작을 모니터링합니다. 또한 GuardDuty는 암호 강도 감소를 위한 암호 정책 변경과 같은 비정상적인 API 호출을 감지합니다. 자세한 내용은 [GuardDuty 사용 설명서를](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 참조하세요.

GuardDuty 결과를 보고 분석하려면 다음 단계를 완료하세요.

1. [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/)에서 GuardDuty 콘솔을 엽니다.

1. **조사 결과를** 선택한 다음 특정 조사 결과를 선택하여 세부 정보를 봅니다. 각 결과에 대한 세부 정보는 결과 유형, 관련된 리소스 및 활동의 특성에 따라 달라집니다.

사용 가능한 결과 필드에 대한 자세한 내용은 [GuardDuty 결과 세부 정보를](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings-summary.html) 참조하세요.

### GuardDuty 억제 규칙을 사용하여 결과 필터링
<a name="acc-sec-data-protect-gd-supp-rules"></a>

억제 규칙은 값과 페어링된 필터 속성으로 구성된 기준 집합입니다. 억제 규칙을 사용하여 거짓 긍정 조사 결과 또는 알려진 활동과 같이 조치를 취하지 않을 가치가 낮은 조사 결과를 필터링할 수 있습니다. 결과를 필터링하면 환경에 가장 큰 영향을 미칠 수 있는 보안 위협을 더 쉽게 인식할 수 있습니다.

결과를 필터링하기 위해 억제 규칙은 지정된 기준과 일치하는 새 결과를 자동으로 보관합니다. 보관된 결과는 AWS Security Hub, Amazon S3 또는 CloudTrail Events로 전송되지 않습니다. 따라서 Security Hub 또는 타사 SIEM 알림 및 티켓팅 애플리케이션을 통해 GuardDuty 조사 결과를 사용하는 경우 억제 필터는 실행 불가능한 데이터를 줄입니다.

AMS에는 관리형 계정에 대한 금지 규칙을 식별하기 위한 정의된 기준 집합이 있습니다. 관리형 계정이이 기준을 충족하면 AMS는 필터를 적용하고 배포된 억제 필터를 자세히 설명하는 서비스 요청(SR)을 생성합니다.

SR을 통해 AMS와 통신하여 억제 필터를 수정하거나 되돌릴 수 있습니다.

**보관된 조사 결과 보기**

GuardDuty는 조사 결과가 억제 규칙과 일치하는 경우에도 조사 결과를 계속 생성합니다. 억제된 결과는 **아카이브**된 것으로 표시됩니다. GuardDuty는 보관된 결과를 90일 동안 저장합니다. 결과 테이블에서 아카이브됨을 선택하여 해당 90일 동안 GuardDuty 콘솔에서 **아카이브된** 결과를 볼 수 있습니다. 또는 **service.archived**의 **findingCriteria**가 **true**인 [ListFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) API를 사용하여 GuardDuty API를 통해 보관된 결과를 볼 수 있습니다.

**억제 규칙의 일반적인 사용 사례**

다음 검색 결과 유형에는 억제 규칙을 적용하는 일반적인 사용 사례가 있습니다.
+ **Recon:EC2/Portscan**: 승인된 취약성 스캐너를 사용할 때 결과를 자동으로 보관하려면 억제 규칙을 사용합니다.
+ **UnauthorizedAccess:EC2/SSHBruteForce**: Bastion 인스턴스를 대상으로 할 때 결과를 자동으로 보관하는 억제 규칙을 사용합니다.
+ **Recon:EC2/PortProbeUnprotectedPort**: 의도적으로 노출된 인스턴스를 대상으로 하는 경우 억제 규칙을 사용하여 결과를 자동으로 아카이브합니다.

## Amazon Route 53 Resolver DNS 방화벽으로 모니터링
<a name="acc-sec-data-protect-r53"></a>

Amazon Route 53 Resolver는 퍼블릭 레코드, Amazon VPC별 DNS 이름 및 Amazon Route 53 프라이빗 호스팅 영역에 대한 AWS 리소스의 DNS 쿼리에 재귀적으로 응답하며 기본적으로 모든 VPCs. Route 53 Resolver DNS 방화벽을 사용하면 Virtual Private Cloud(VPC)에 대한 아웃바운드 DNS 트래픽을 필터링하고 제어할 수 있습니다. 이렇게 하려면 DNS 방화벽 규칙 그룹에 재사용 가능한 필터링 규칙 컬렉션을 생성하고 규칙 그룹을 VPC에 연결한 다음 DNS 방화벽 로그 및 지표 활동을 모니터링합니다. 활동에 따라 DNS 방화벽의 동작을 적절하게 조정할 수 있습니다. 자세한 내용은 [DNS 방화벽을 사용하여 아웃바운드 DNS 트래픽 필터링](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html)을 참조하세요.

Route 53 Resolver DNS 방화벽 구성을 보고 관리하려면 다음 절차를 사용합니다.

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) Amazon VPC 콘솔을 엽니다.

1. **DNS 방화벽**에서 **규칙 그룹을** 선택합니다.

1. 기존 구성을 검토, 편집 또는 삭제하거나 새 규칙 그룹을 생성합니다. 자세한 내용은 [Route 53 Resolver DNS 방화벽 작동 방식을](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-overview.html) 참조하세요.

### Amazon Route 53 Resolver DNS 방화벽 모니터링 및 보안
<a name="sec-data-protect-r53-mon"></a>

Amazon Route 53 DNS 방화벽은 규칙 연결, 규칙 작업 및 규칙 평가 우선 순위의 개념을 사용합니다. 도메인 목록(domain list)은 규칙 그룹 내부의 DNS 방화벽 규칙에서 사용하는 재사용 가능한 도메인 사양 집합입니다. 규칙 그룹을 VPC 와 연결하면 DNS 방화벽은 규칙에 사용되는 도메인 목록과 DNS 쿼리를 비교합니다. DNS 방화벽이 일치하는 항목을 찾으면 일치하는 규칙의 작업에 따라 DNS 쿼리를 처리합니다. 규칙 그룹 및 규칙에 대한 자세한 내용은 [DNS 방화벽 규칙 그룹 및 규칙을](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-groups.html) 참조하세요.

도메인 목록은 두 가지 주요 범주로 나뉩니다.
+ 가 자동으로 AWS 생성하고 유지 관리하는 관리형 도메인 목록입니다.
+ 생성 및 유지 관리하는 자체 도메인 목록입니다.

규칙 그룹은 연결 우선 순위 인덱스를 기반으로 평가됩니다.

기본적으로 AMS는 다음 규칙과 규칙 그룹으로 구성된 기준 구성을 배포합니다.
+ 라는 규칙 그룹 1개`DefaultSecurityMonitoringRule`. 규칙 그룹은 활성화된 각의 각 기존 VPC에 대해 생성 시 사용할 수 있는 연결 우선 순위가 가장 높습니다 AWS 리전.
+ 작업 **ALERT**`DefaultSecurityMonitoringRule`와 함께 `AWSManagedDomainsAggregateThreatList` 관리형 도메인 목록을 사용하여 규칙 그룹 내에서 우선순위가 **1**인 라는 하나의 `DefaultSecurityMonitoringRule` 규칙.

기존 구성이 있는 경우 기존 구성보다 우선 순위가 낮은 기준 구성이 배포됩니다. 기존 구성이 기본값입니다. 기존 구성이 쿼리 해결을 처리하는 방법에 대한 우선 순위가 더 높은 지침을 제공하지 않는 경우 AMS 기준 구성을 catch-all로 사용합니다. 기준 구성을 변경하거나 제거하려면 다음 중 하나를 수행합니다.
+ Cloud Service Delivery Manager(CSDM) 또는 Cloud Architect(CA)에 문의하세요.
+ 서비스 요청을 생성하십시오.

## AMS Accelerate의 데이터 암호화
<a name="acc-sec-data-encrypt"></a>

AMS Accelerate는 데이터 암호화 AWS 서비스 에 여러를 사용합니다.

Amazon Simple Storage Service는 전송 중 및 저장 데이터를 보호하는 여러 객체 암호화 옵션을 제공합니다. 서버 측 암호화는 데이터 센터의 디스크에 저장하기 전에 객체를 암호화하고 객체를 다운로드할 때 암호를 해독합니다. 요청을 인증하기만 하면 액세스 권한을 갖게 되며, 객체의 암호화 여부와 관계없이 액세스 방식에는 차이가 없습니다. 자세한 내용은 [Amazon S3의 데이터 보호](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html)를 참조하세요.

# AWS Identity and Access Management AMS Accelerate의
<a name="acc-sec-iam"></a>

AWS Identity and Access Management 는 AWS 리소스에 대한 액세스를 안전하게 제어하는 데 도움이 되는 웹 서비스입니다. IAM을 사용하여 리소스를 사용하도록 인증(로그인) 및 권한 부여(권한 있음)된 대상을 제어합니다. AMS Accelerate 온보딩 중에 각 관리형 계정 내에서 교차 계정 IAM 관리자 역할을 생성할 책임은 사용자에게 있습니다.

AMS Accelerate에서는 액세스 관리 솔루션, 액세스 정책 AWS 계정 및 관련 프로세스와 같은 및 기본 리소스에 대한 액세스를 관리할 책임이 있습니다. 즉, 사용자 수명 주기, 디렉터리 서비스의 권한 및 페더레이션 인증 시스템을 관리하여 AWS 콘솔 또는 AWS APIs. 액세스 솔루션을 관리하는 데 도움이 되도록 AMS Accelerate는 일반적인 IAM 구성 오류를 감지하는 AWS Config 규칙을 배포하고 문제 해결 알림을 제공합니다. 자세한 내용은 [AWS Config 관리형 규칙](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)을 참조하세요.

## AMS Accelerate에서 자격 증명으로 인증
<a name="acc-sec-iam-auth"></a>

AMS는 IAM 자격 증명의 한 유형인 IAM 역할을 사용합니다. IAM 역할은 자격 증명이 할 수 있는 것과 없는 것을 결정하는 권한 정책이 있는 자격 증명이라는 점에서 사용자와 유사합니다 AWS. 그러나 역할에는 자격 증명이 연결되어 있지 않으며, 역할이 필요한 사람은 한 사람과 고유하게 연결되는 대신 역할을 수임할 수 있습니다. IAM 사용자는 한 가지 역할을 맡음으로써 특정 작업을 위해 다른 권한을 임시로 얻을 수 있습니다.

액세스 역할은 Operations Management에서 관리하고 정기적으로 검토하는 내부 그룹 멤버십에 의해 제어됩니다. AMS는 다음 IAM 역할을 사용합니다.

**참고**  
AMS 액세스 역할을 사용하면 AMS 운영자가 리소스에 액세스하여 AMS 기능을 제공할 수 있습니다( 참조[서비스 설명](acc-sd.md)). 이러한 역할을 변경하면 이러한 기능을 제공할 수 없게 될 수 있습니다. AMS 액세스 역할을 변경해야 하는 경우 Cloud Architect에 문의하세요.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/accelerate-guide/acc-sec-iam.html)

**참고**  
ams-access-management 역할의 템플릿입니다. 온보딩 시 클라우드 아키텍트(CAs)가 계정에 수동으로 배포하는 스택은 [management-role.yaml](https://ams-account-access-templates.s3.amazonaws.com/management-role.yaml)입니다.  
이 템플릿은 ams-access-read-only, ams-access-operations, ams-access-admin-operations, ams-access-admin: [accelerate-roles.yaml](https://ams-account-access-templates.s3.amazonaws.com/accelerate-roles.yaml) 등 다양한 액세스 역할 및 액세스 수준에 대한 템플릿입니다.

해시를 포함한 AWS Cloud Development Kit (AWS CDK) (AWS CDK) 식별자에 대한 자세한 내용은 [UniqueIDs](https://docs.aws.amazon.com/cdk/latest/guide/identifiers.html#identifiers_unique_ids).

AMS Accelerate 기능 서비스는 계정에 프로그래밍 방식으로 액세스하기 위한 **ams-access-admin** 역할을 수임하지만 각 기능 서비스(예: 패치, 백업, 모니터링 등)에 대해 세션 정책 범위가 축소됩니다.

AMS Accelerate는 규정 준수 자격을 충족하고 유지하기 위해 업계 모범 사례를 따릅니다. 계정에 대한 AMS Accelerate 액세스는 CloudTrail에 기록되며 변경 사항 추적을 통해 검토할 수도 있습니다. 이 정보를 가져오는 데 사용할 수 있는 쿼리에 대한 자세한 내용은 섹션을 참조하세요[AMS Accelerate 계정의 변경 사항 추적](acc-change-record.md).

## 정책을 사용하여 액세스 관리
<a name="acc-sec-iam-policy"></a>

운영 엔지니어, 클라우드 아키텍트, 클라우드 서비스 제공 관리자(CSDMs)와 같은 다양한 AMS Accelerate 지원 팀이 서비스 요청 및 인시던트에 대응하기 위해 계정에 액세스해야 하는 경우가 있습니다. 액세스는 비즈니스 정당화, 서비스 요청, 운영 항목 및 지원 사례와 같은 제어를 적용하는 내부 AMS 액세스 서비스에 의해 관리됩니다. 기본 액세스는 읽기 전용이며 모든 액세스가 추적되고 기록됩니다. 단원도 참조하십시오[AMS Accelerate 계정의 변경 사항 추적](acc-change-record.md).

### IAM 리소스 검증
<a name="acc-sec-iam-policy-valid"></a>

AMS Accelerate 액세스 시스템은 계정의 역할을 주기적으로 수임하고(최소 24시간마다) 모든 IAM 리소스가 예상대로인지 확인합니다.

계정을 보호하기 위해 AMS Accelerate에는 위에서 언급한 IAM 역할의 존재 및 상태와 연결된 정책을 모니터링하고 경고하는 "canary"가 있습니다. 주기적으로 canary는 **ams-access-read-only** 역할을 수임하고 계정에 대해 CloudFormation 및 IAM API 호출을 시작합니다. canary는 AMS Accelerate 액세스 역할의 상태를 평가하여 항상 수정되지 않고 up-to-date 상태인지 확인합니다. 이 활동은 계정에 CloudTrail 로그를 생성합니다.

canary의 AWS Security Token Service (AWS STS) 세션 이름은 CloudTrail에 표시된 **AMS-Access-Roles-Auditor-\$1uuid4()\$1**이며 다음과 같은 API 호출이 발생합니다.
+ Cloud Formation API 호출: `describe_stacks()`
+ IAM API 호출:
  + `get_role()`
  + `list_attached_role_policies()`
  + `list_role_policies()`
  + `get_policy()`
  + `get_policy_version()`
  + `get_role_policy()`

# AMS의 보안 인시던트 대응
<a name="security-incident-response"></a>

AWS Managed Services(AMS)에서는 보안이 최우선 순위입니다. AMS는 리소스와 제어를 계정에 배포하여 관리합니다. AWS 에는 공동 책임 모델이 있습니다.는 클라우드의 보안을 AWS 관리하며 사용자는 클라우드의 보안을 책임집니다. AMS는 보안 제어 및 보안 문제에 대한 활성 모니터링을 사용하여 데이터와 자산을 보호하고 AWS 인프라를 안전하게 유지하는 데 도움이 됩니다. 이러한 기능은 AWS 클라우드에서 실행되는 애플리케이션의 보안 기준을 설정하는 데 도움이 됩니다. AMS는 보안 인시던트 대응을 통해 고객과 협력하여 효과를 평가한 다음 모범 사례 권장 사항에 따라 억제 및 수정을 수행합니다.

잘못된 구성이나 외부 요인의 변경으로 인해 기준에서 벗어나는 경우 대응하고 조사해야 합니다. 이를 성공적으로 수행하려면 AMS 환경 내에서 보안 인시던트 대응의 기본 개념을 이해해야 합니다. 또한 보안 문제가 발생하기 전에 클라우드 팀을 준비, 교육 및 훈련하기 위한 요구 사항을 이해해야 합니다. 사용할 수 있는 제어 및 기능을 파악하고, 사용자 계정 손상 또는 권한 있는 계정의 오용과 같은 일반적인 보안 문제에 대한 대응 계획을 준비하고, 자동화를 사용하여 대응 속도와 일관성을 개선하는 해결 방법을 식별하는 것이 중요합니다. 또한 이러한 요구 사항을 충족하기 위한 보안 인시던트 대응 프로그램 구축과 관련된 규정 준수 및 규제 요구 사항을 이해해야 합니다.

보안 인시던트 대응은 복잡할 수 있지만 반복적인 접근 방식을 구현하면 프로세스를 간소화하고 인시던트 대응 팀이 조기 및 지속적인 탐지 및 대응을 제공하여 자산 이해관계자를 만족시킬 수 있습니다. 이 가이드에서는 AMS가 인시던트 대응에 사용하는 방법론, AMS 책임 매트릭스(RACI), 보안 이벤트에 대비하는 방법, 보안 인시던트 발생 시 AMS를 참여시키는 방법, AMS가 사용하는 일부 인시던트 대응 런북을 제공합니다.

# AMS 보안 인시던트 대응 작동 방식
<a name="sir-how-works"></a>

AWS Managed Services는 [보안 인시던트 대응을 위한 NIST 800-61 컴퓨터 보안 인시던트 처리 가이드](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final)에 부합합니다. 이 업계 표준에 따라 보안 이벤트 관리에 대한 일관된 접근 방식을 제공하고 클라우드의 보안 인시던트를 보호하고 이에 대응하는 모범 사례를 준수합니다.

![\[인시던트 대응 수명 주기\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/accelerate-guide/images/sec-inc-response-1.png)


**인시던트 대응 수명 주기**

탐지에서 보안 알림을 식별 및 생성하거나 사용자가 보안 지원을 요청할 때 AWS Managed Services Operations 팀은 적시에 조사하고, 자동화를 실행하여 데이터 수집을 수행하고, 분류 및 분석하고, 분석을 알리고, 조사 및 억제 활동을 수행하고, 이벤트 분석을 게시합니다.

인시던트 대응 중에 수행되는 데이터 수집, 분류, 분석 및 억제 활동은 조사 중인 보안 이벤트 유형에 따라 달라집니다. 일부 시나리오에 대한 보안 인시던트 대응 워크플로의 예는이 문서의 끝에 있습니다.

인시던트 발생 시 AMS는 올바른 조치를 동적으로 결정하므로 문서화된 단계를 적절하게 재정렬하거나 우회하여 올바른 결과가 발생하도록 할 수 있습니다.

# 준비
<a name="preparation-phase"></a>

위협 환경이 발전함에 따라 AMS는 탐지 및 대응 기능을 계속 확장하고 있습니다. 새로운 탐지가 추가되면 AMS는 이러한 새로운 탐지의 알림을 탐지 및 대응 플랫폼에 통합합니다. AMS 보안 대응 담당자는 보안 인시던트 대응 수명 주기 전반에 걸쳐 조사하고 협력하도록 훈련됩니다.

이러한 파트너십 접근 방식 때문에 보안 및 애플리케이션 팀이 AMS와 협력하여 이러한 이벤트가 발생할 때 보안 이벤트를 처리할 준비가 되어 있어야 합니다. 이 설명서에서는 보안 이벤트 중에 예상되는 사항을 설명하고 보안 인시던트가 발생할 때 신속한 대응을 준비하는 데 도움이 됩니다.

이 설명서에서는 **이벤트**의 NIST 800-61 정의를 시스템 또는 네트워크에서 관찰 가능한 발생으로 사용하고 **인시던트**를 정책, 허용 가능한 사용 정책 또는 표준 보안 관행 위반의 위반 또는 임박한 위협으로 사용합니다.

## 준비 체크리스트
<a name="sir-cklist"></a>

 AMS 클라우드 솔루션 제공 관리자(CSDM) 및 AMS 클라우드 아키텍트(CA)와 함께 다음 체크리스트를 살펴봅니다.
+ 어떤 워크로드가 어떤 계정에서 실행되고 있는지 이해합니다.
+ 다양한 워크로드를 담당하는 내부 팀을 이해하고 워크로드에서 적절하게 태그를 지정합니다.
+ 보안 이벤트 조사 중에 필요할 수 있는 다른 팀과 억제 결정을 위해 연락처 세부 정보를 내부적으로 유지 관리합니다.
+ 보안 연락처가 최신 상태이고 모든 관리형 AWS 계정에 추가되었는지 확인합니다. 연락처는 계정별로 관리됩니다.
+ 보안 인시던트를 AMS에 제기하는 방법을 알고 심각도와 예상 대응 시간을 숙지합니다.
+ 보안 알림이 수신되면 페이저 또는 보안 운영 센터와 같은 적절한 사람과 시스템으로 라우팅되어야 합니다.
+ 사용 가능한 로그 소스, 계정에 저장된 위치 및 액세스할 수 있는 사용자를 이해합니다.
+ 조사 중에 CloudWatch Insights를 사용하여 로그를 쿼리하는 방법을 이해합니다.
+ 리소스(EC2, IAM, S3, son on)별로 사용할 수 있는 격리 옵션과 격리 시 워크로드 가용성에 미치는 결과를 이해합니다.

# 감지
<a name="sir-detect"></a>

 AWS 계정을 관리하는 동안 AMS는 Amazon CloudWatch, Amazon GuardDuty, VPC 흐름 로그, Amazon Macie 및 Amazon 내부 위협 인텔리전스 피드를 포함하되 이에 국한되지 않는 탐지 소스 및 제어에서 수집된 데이터를 사용하여 사용자 동작, 계정 활동 AWS Config 및 잠재적 보안 이벤트의 이상을 모니터링합니다.

AMS는 네이티브 AWS 서비스와 기타 탐지 기술을 모두 사용하여 다음에서 생성된 보안 이벤트에 대응합니다.
+ Config 적합성 조사 결과 유형
+ GuardDuty 결과 유형
+ Macie 결과 유형
+ Amazon Route 53 Resolver DNS 방화벽 이벤트
+ AMS 보안 이벤트(클라우드 감시 경보)

서비스, 제품 및 위협 에코시스템이 발전함에 따라 추가 조사 결과가 추가됩니다.

## AMS에 보안 이벤트 보고
<a name="sir-report"></a>

AMS 지원 포털 또는 지원 센터를 통해 인시던트를 제기하여 AMS에 보안 인시던트를 알리거나 조사를 요청합니다.

# 분석
<a name="sir-analyze"></a>

보안 이벤트를 식별하고 보고한 후 다음 단계는 보고된 이벤트가 거짓 긍정인지 실제 인시던트인지 분석하는 것입니다. AMS는 자동화 및 수동 조사 기술을 사용하여 보안 이벤트를 처리합니다. 분석에는 네트워크 트래픽 로그, 호스트 로그, CloudTrail 이벤트, AWS 서비스 로그 등과 같은 다양한 탐지 소스의 로그에 대한 조사가 포함됩니다. 또한이 분석에서는 상관관계를 기준으로 이상 동작을 보여주는 패턴을 찾습니다.

파트너십은 계정 환경과 관련된 컨텍스트를 이해하고 계정 및 워크로드에 일반적인 사항을 설정하는 데 필요합니다. 이를 통해 AMS는 이상을 더 빠르게 식별하고 인시던트 대응을 가속화할 수 있습니다.

## 보안 이벤트에 대한 AMS의 통신 처리
<a name="sir-comms-from-ams"></a>

AMS는 인시던트 티켓을 통해 보안 담당자를 참여시켜 조사 중에 정보를 제공합니다. AMS 클라우드 서비스 제공 관리자(CSDM)와 AMS 클라우드 아키텍트(CA)는 활성 보안 조사 중에 통신을 위해에 문의할 수 있는 담당자입니다.

통신에는 보안 알림이 생성될 때의 자동 알림, 이벤트 분석 후의 통신, 통화 브리지 설정, 로그 파일, 감염된 리소스의 스냅샷, 보안 이벤트 중에 사용자에게 조사 결과 가져오기와 같은 아티팩트의 지속적인 전달이 포함됩니다.

AMS 보안 알림에 포함된 표준 필드는 다음과 같습니다. 이러한 필드는 문제 해결을 위해 조직 내 적절한 팀에 이벤트를 라우팅할 수 있도록 정보를 제공합니다.
+ 결과 유형
+ 결과 식별자(해당하는 경우)
+ 심각도 찾기
+ 결과 설명
+ 생성된 날짜 및 시간 찾기
+ AWS 계정 ID
+ 리전(해당하는 경우)
+ AWS 리소스(IAM user/role/policy, EC2, S3, EKS)

결과 유형에 따라 추가 필드가 제공됩니다. 예를 들어 EKS 결과에는 포드, 컨테이너 및 클러스터 세부 정보가 포함됩니다.

# 격리
<a name="sir-contain"></a>

AMS의 억제 접근 방식은 사용자와의 파트너십입니다. 네트워크 격리, IAM 사용자 또는 역할 프로비저닝 해제, 인스턴스 재구축 등과 같은 억제 활동으로 인해 발생할 수 있는 비즈니스 및 워크로드 영향을 이해합니다.

억제의 필수 부분은 의사 결정입니다. 예를 들어 시스템을 종료하거나, 네트워크에서 리소스를 격리하거나, 액세스 또는 종료 세션을 끕니다. 인시던트를 억제할 사전 결정된 전략과 절차가 있는 경우 이러한 결정을 더 쉽게 내릴 수 있습니다. AMS는 억제 전략을 제공한 다음 억제 작업 구현과 관련된 위험을 고려한 후 솔루션을 구현합니다.

분석 중인 리소스에 따라 다양한 억제 옵션이 있습니다. AMS는 인시던트 조사 중에 여러 유형의 억제가 동시에 배포될 것으로 예상합니다. 이러한 예에는 다음이 포함됩니다.
+ 보호 규칙을 적용하여 무단 트래픽 차단(보안 그룹, NACL, WAF 규칙, SCP 규칙, 거부 목록, 격리 또는 차단으로 서명 작업 설정)
+ 리소스 격리
+ 네트워크 격리
+ IAM 사용자, 역할 및 정책 비활성화
+ IAM 사용자, 역할 권한 수정/축소
+ 컴퓨팅 리소스 종료/일시 중지/삭제
+ 영향을 받는 리소스에서 퍼블릭 액세스 제한
+ 액세스 키, API 키 및 암호 교체
+ 공개된 자격 증명 및 민감한 정보 스크러빙

AMS는 위험 선호도 내에 있는 각 주요 인시던트 유형에 대한 억제 전략 유형을 고려하는 것이 좋습니다. 인시던트 발생 시 의사 결정에 도움이 되는 기준이 명확하게 문서화되어 있습니다. 적절한 전략을 결정하기 위한 기준은 다음과 같습니다.
+ 리소스의 잠재적 손상
+ 증거 보존
+ 서비스 사용 불가(예: 네트워크 연결, 외부 당사자에게 제공되는 서비스)
+ 전략을 구현하는 데 필요한 시간 및 리소스
+ 전략의 효율성(예: 부분 격리, 전체 격리)
+ 솔루션의 영구성(예: 단방향 출입구와 양방향 출입구 결정)
+ 솔루션 기간(예: 긴급 해결 방법은 4시간 내에 제거, 임시 해결 방법은 2주 내에 제거, 영구 솔루션).
+ 켤 수 있는 보안 제어를 적용하여 위험을 낮추고 시간을 내어 보다 효과적인 억제를 정의하고 구현할 수 있습니다.

억제 속도가 매우 중요하므로 AMS는 단기 및 장기 접근 방식을 전략화하여 효율적이고 효과적인 억제를 달성하기 위해 단계적 접근 방식을 권장합니다.

이 가이드를 사용하여 리소스 유형에 따라 다양한 기법이 포함된 억제 전략을 고려하세요.
+ 억제 전략
  + AMS가 보안 인시던트의 범위를 식별할 수 있습니까?
    + 그렇다면 모든 리소스(사용자, 시스템, 리소스)를 식별합니다.
    + 그렇지 않으면 식별된 리소스에 대해 다음 단계를 실행하는 것과 병행하여 조사합니다.
  + 리소스를 격리할 수 있나요?
    + 그렇다면 영향을 받는 리소스를 격리합니다.
    + 그렇지 않은 경우 시스템 소유자 및 관리자와 협력하여 문제를 격리하는 데 필요한 추가 조치를 결정합니다.
  + 영향을 받는 모든 리소스가 영향을 받지 않는 리소스로부터 격리되어 있나요?
    + 그렇다면 다음 단계로 계속 진행합니다.
    + 그렇지 않은 경우 인시던트가 더 이상 에스컬레이션되지 않도록 단기 격리가 완료될 때까지 영향을 받는 리소스를 계속 격리합니다.
+ 시스템 백업
  + 추가 분석을 위해 영향을 받는 시스템의 백업 복사본이 생성되었나요?
  + 포렌식 사본은 암호화되어 안전한 위치에 저장되나요?
    + 그렇다면 다음 단계로 계속 진행합니다.
    + 그렇지 않으면 포렌식 이미지를 암호화한 다음 안전한 위치에 저장하여 우발적인 사용, 손상 및 변조를 방지합니다.

# 근절
<a name="sir-eradicate"></a>

인시던트가 억제된 후 다음 복구 단계로 진행하기 전에 시스템을 보호하기 위해 위협 원인을 완전히 제거하기 위해 근절이 필요할 수 있습니다. 제거 단계에는 멀웨어 삭제 및 손상된 사용자 계정 제거, 악용된 모든 취약성 식별 및 완화가 포함될 수 있습니다. 근절 중에는 환경 내에서 영향을 받는 모든 계정, 리소스 및 인스턴스를 식별하여 문제를 해결하는 것이 중요합니다. 

문제 해결 단계가 우선시되도록 단계적 접근 방식으로 근절 및 복구를 수행하는 것이 모범 사례입니다. 대규모 인시던트의 경우 복구에 몇 개월이 걸릴 수 있습니다. 초기 단계의 의도는 향후 인시던트를 방지하기 위해 비교적 빠른(수일에서 수주) 고가치 변경으로 전반적인 보안을 강화하는 것이어야 합니다. 이후 단계에서는 엔터프라이즈를 최대한 안전하게 유지하기 위해 장기 변경(예: 인프라 변경)과 지속적인 작업에 중점을 두어야 합니다.

일부 인시던트의 경우 근절이 필요하지 않거나 복구 중에 수행됩니다. 

다음을 고려하세요.
+ 시스템을 다시 이미지화한 다음 패치 또는 기타 대응책으로 강화하여 공격 위험을 방지하거나 줄일 수 있습니까?
+ 공격자가 남긴 모든 맬웨어 및 기타 아티팩트가 제거되고 영향을 받는 시스템이 추가 공격에 대해 강화되나요?

# 복구
<a name="sir-recover"></a>

AMS는 고객과 협력하여 시스템을 정상 작동으로 복원하고, 시스템이 정상적으로 작동하는지 확인하고, (해당하는 경우) 취약성을 해결하여 유사한 인시던트를 방지합니다.

 다음을 고려하세요.
+ 영향을 받는 시스템(들)이 최근 공격 및 가능한 향후 공격에 대해 패치되고 강화됩니까?
+ 영향을 받는 시스템을 다시 프로덕션 환경으로 복원할 수 있는 날짜와 시간은 언제입니까?
+ 프로덕션으로 복원하는 시스템이 초기 공격 기법에 취약하지 않은지 테스트, 모니터링 및 확인하는 데 사용할 도구는 무엇입니까?

# 사후 인시던트 보고서
<a name="sir-post-report"></a>

이벤트 후 AMS는 모든 보안 인시던트에 대한 조사 검토 프로세스를 실행합니다. 또한 AMS는 시스템 또는 개선의 여지가 있을 수 있는 절차적 누락으로 인한 보안 인시던트를 해결하기 위해 오류 수정(COE) 프로세스를 시작합니다. AMS는 고객과 협력하여 보안 조사 경험을 지속적으로 개선합니다. COE 프로세스는 AMS가 고객에게 영향을 미치는 이벤트의 기여 요인을 식별하고 이러한 원인을 유사한 이벤트의 재발을 방지하거나 영향 기간 또는 수준을 완화할 수 있는 다음 조치 항목에 연결하는 데 도움이 됩니다.

 보안 인시던트에 대한 조사 검토 프로세스는 개선 기회를 식별하기 위해 다음 항목을 다룹니다.
+ 인시던트 시작부터 인시던트 검색, 초기 영향 평가, 인시던트 처리 프로세스의 각 단계(예: 억제, 복구)까지의 경과 시간은 얼마였나요?
+ 인시던트 대응 팀이 인시던트의 초기 보고서에 응답하는 데 얼마나 걸렸나요?
+ 초기 영향 분석을 수행하는 데 얼마나 걸렸나요?
+ 이를 예방할 수 있었나요? 그리고 어떻게 했나요? 이를 방지할 수 있는 도구나 프로세스가 있나요?
+ 이를 더 빨리, 그리고 어떻게 감지할 수 있었을까요?
+ 조사 속도를 높일 수 있었던 이유는 무엇입니까?
+ 문서화된 인시던트 대응 절차를 따랐습니까? 적절했나요?
+ 다른 이해관계자와의 정보 공유가 적시에 이루어졌습니까? 어떻게 개선할 수 있습니까?
+ 다른 팀(AWS 보안, 계정 팀, AWS 개발 팀 및 고객 보안 팀)과의 협업이 효과적이었나요? 그렇지 않다면 무엇을 개선할 수 있을까요?
+ 도움이 될 수 있는 준비 단계, 에스컬레이션 매트릭스, RACI, 공동 책임 모델 등이 누락되었나요? 런북을 업데이트해야 하나요?
+ 초기 영향 평가와 최종 영향 평가의 차이점은 무엇입니까? 인시던트 대응 초기에 평가의 정확도를 높이기 위해 무엇을 할 수 있습니까?
+ 학습한 교훈의 작업 항목은 무엇입니까?

# AMS의 보안 인시던트 대응 런북
<a name="sir-runbooks"></a>

이 섹션에는 두 개의 실행서가 포함되어 있습니다.
+ [루트 사용자 활동에 대한 응답](sir-root-user.md)
+ [맬웨어 이벤트에 대한 응답](sir-malware.md)

# 루트 사용자 활동에 대한 응답
<a name="sir-root-user"></a>

[루트 사용자는](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) AWS 계정 내의 수퍼유저입니다. AMS는 루트 사용량을 모니터링합니다. 계정 설정을 변경하고, 결제 및 비용 관리에 대한 액세스를 활성화 AWS Identity and Access Management (IAM)하고, 루트 암호를 변경하고, 다중 인증(MFA)을 활성화하는 등 루트 사용자가 필요한 몇 가지 작업에만 루트 사용자를 사용하는 것이 좋습니다. 자세한 내용은 [루트 사용자 자격 증명이 필요한 작업을 참조하세요](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root).

AMS에 계획된 루트 사용량을 알리는 방법에 대한 자세한 내용은 [AMS에서 루트 계정을 사용하는 시기와 방법을 참조하세요](https://docs.aws.amazon.com/managedservices/latest/userguide/how-when-to-use-root.html).

루트 사용자 활동이 감지되면 로그인 시도가 실패하여 로그인 성공 후 계정에서 무차별 대입 공격 또는 활동을 나타낼 수 있으며 이벤트가 생성되고 정의된 보안 연락처로 인시던트가 전송됩니다.

AWS Managed Services Operations는 계획되지 않은 루트 사용자 활동을 조사하고, 데이터 수집, 분류 및 분석을 수행하고, 지시에 따라 억제 활동을 수행한 다음 사후 이벤트 분석을 수행합니다.

AMS Advanced 운영 모델을 사용하는 경우 AMS CSDM 및 AMS Ops 엔지니어로부터 루트 사용자 자격 증명을 보호할 AMS의 책임으로 인해 계획되지 않은 루트 사용자 활동을 확인하는 추가 커뮤니케이션을 받게 됩니다. AMS는 경로를 확인할 때까지 루트 사용자 활동을 조사합니다.

## 준비
<a name="sir-prepare-root"></a>

불필요한 인시던트 대응 활동을 방지하기 위해 계획된 이벤트의 데이터 및 시간과 함께 AMS 서비스 요청을 제출하여 계획된 루트 사용자 사용에 대해 AMS에 알립니다.

AMS로 GameDays를 정기적으로 수행하여 AMS의 고객 인시던트 대응 프로세스, 최신 사용자 및 시스템을 검증하고 책임 있는 개인과 함께 메모리를 구축하여 인시던트 대응 속도를 높입니다.

## 단계 A: 감지
<a name="sir-detect-root"></a>

AMS는 GuardDuty 및 AMS 모니터링을 포함한 탐지 소스를 통해 계정의 루트 활동을 모니터링합니다.

AMS Accelerate를 사용하는 경우 운영 모델은 예상치 못한 루트 사용자 활동에 대한 조사를 요청하는 인시던트에 응답합니다. 이 경우 AMS 작업은 손상된 계정 실행서를 시작합니다.

AMS Advanced가 있는 경우 운영 모델은 인시던트에 대응하거나 CSDM에 계획된 루트 사용자 활동을 알려 활성 계정 침해 조사를 종료합니다.

## 단계 B: 분석
<a name="sir-analyze-root"></a>

AMS는 활동이 승인되지 않은 것으로 확인되면 루트 사용자 이벤트에 대한 철저한 조사를 수행합니다. 로그와 이벤트는 자동화와 AMS 보안 대응 팀을 모두 사용하여 루트 사용자의 이상 및 예상치 못한 동작에 대해 분석됩니다. 활동을 알 수 없는지, 권한이 부여된 루트 사용자 이벤트인지 또는 추가 조사가 필요한지 확인하는 데 도움이 되는 로그가 제공됩니다.

내부 검사를 지원하기 위해 조사 중에 제공되는 정보의 몇 가지 예는 다음과 같습니다.
+ 계정 정보: 루트 계정이 사용된 계정은 무엇입니까?
+ 루트 사용자의 이메일 주소: 각 루트 사용자는 조직의 이메일 주소와 연결됩니다.
+ 인증 세부 정보: 루트 사용자는 어디에서 언제 환경에 액세스했습니까?
+ 활동 레코드: 루트로 로그인할 때 사용자가 수행한 작업은 무엇입니까? 이러한 레코드는 CloudWatch 이벤트의 형태입니다. 이러한 로그를 읽는 방법을 이해하면 조사에 도움이 됩니다.

분석 정보를 수신하고 조직 내 계정의 승인된 연락 지점에 도달하는 방법을 계획할 준비가 되어 있는 것이 모범 사례입니다. 루트 사용자는 개인으로 이름이 지정되지 않으므로 조직 내 계정에 사용되는 루트 이메일 주소에 액세스할 수 있는 사람을 결정하면 질문을 내부적으로 빠르게 라우팅하는 데 도움이 됩니다.

## 단계 C: 포함 및 제거
<a name="sir-eradicate-root"></a>

AMS는 보안 팀과 협력하여 승인된 고객 보안 담당자의 지시에 따라 제한을 수행합니다. 억제 옵션은 다음과 같습니다.
+ 적절한 자격 증명 및 키 교체.
+ 계정 및 리소스에 대한 활성 세션을 종료합니다.
+ 생성된 리소스 제거.

억제 활동 중에 AMS는 보안 팀과 긴밀하게 협력하여 워크로드 중단을 최소화하고 루트 자격 증명을 적절하게 보호합니다.

억제 계획이 완료되면 필요에 따라 AMS 운영 팀과 협력하여 복구 작업을 수행합니다.

## 사후 인시던트 보고서
<a name="sir-post-root"></a>

필요에 따라 AMS는 조사 검토 프로세스를 시작하여 학습한 교훈을 식별합니다. COE 완료의 일환으로 AMS는 영향을 받는 고객에게 관련 조사 결과를 전달하여 인시던트 대응 프로세스를 개선하는 데 도움을 줍니다.

AMS는 조사의 모든 최종 세부 정보를 문서화하고 적절한 지표를 수집한 다음 할당된 CSDM 및 CA를 포함하여 정보가 필요한 모든 AMS 내부 팀에 인시던트를 보고합니다.

# 맬웨어 이벤트에 대한 응답
<a name="sir-malware"></a>

Amazon EC2 인스턴스는 조직 내 애플리케이션 팀이 배포한 타사 소프트웨어 및 사용자 지정 개발 소프트웨어를 비롯한 다양한 워크로드를 호스팅하는 데 사용됩니다. AMS는 AMS에서 패치를 적용하고 지속적으로 유지 관리하는 이미지에 워크로드를 배포하도록 권장하고 제공합니다.

인스턴스를 작동하는 동안 AMS는 Amazon GuardDuty, 네트워크 트래픽 및 Amazon 내부 위협 인텔리전스 피드를 비롯한 다양한 보안 탐지 제어를 통해 동작 또는 활동의 이상을 모니터링합니다.

또한 AMS는 GuardDuty 맬웨어 조사 결과를 모니터링합니다. 활성화된 경우 AMS Advanced와 AMS Accelerate 모두에서 사용할 수 있습니다. 자세한 내용은 [ Amazon GuardDuty의 맬웨어 보호를](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html) 참조하세요.

**참고**  
[Bring Your Own EPS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html)를 선택한 경우 인시던트 대응 프로세스는이 페이지에 설명된 것과 다릅니다. 자세한 내용은 참조된 설명서를 참조하세요.

맬웨어가 감지되면 인시던트가 생성되고 이벤트에 대한 알림을 받게 됩니다. 이 알림 뒤에는 해결 활동이 발생합니다. AMS Operations는 데이터 수집, 분류 및 분석을 조사하고 수행한 다음 사용자 방향에 따라 억제 활동을 수행한 다음 사후 이벤트 분석을 수행합니다.

## 단계 A: 감지
<a name="sir-malware-detect"></a>

AMS는 GuardDuty를 사용하여 인스턴스의 이벤트를 모니터링합니다. AMS는 조사 결과 또는 알림 유형에 따라 억제 또는 위험 수용 결정을 내리는 데 도움이 되는 적절한 보강 및 분류 활동을 결정합니다.

데이터 수집은 결과 유형에 따라 수행됩니다. 데이터 수집에는 영향을 받는 계정 내부 및 외부에서 여러 데이터 소스를 쿼리하여 관찰된 활동 또는 우려되는 구성에 대한 그림을 작성하는 작업이 포함됩니다.

AMS는 영향을 받는 계정 또는 AMS 위협 인텔리전스 플랫폼의 다른 경보 및 알림 또는 원격 측정과 결과의 상관 관계를 수행합니다.

## B단계: 분석
<a name="sir-malware-analyze"></a>

데이터가 수집되면 데이터를 분석하여 우려되는 활동 또는 지표를 식별합니다. 이 조사 단계에서 AMS는 고객과 협력하여 인스턴스 및 워크로드에 대한 비즈니스 및 도메인 지식을 통합하여 무엇이 예상되고 무엇이 일반적이지 않은지 이해하는 데 도움을 줍니다.

내부 검사를 지원하기 위해 조사 중에 제공되는 정보의 몇 가지 예는 다음과 같습니다.
+ 계정 정보: 맬웨어 활동이 관찰된 계정은 무엇입니까?
+ 인스턴스 세부 정보: 맬웨어 이벤트와 관련된 인스턴스(들)는 무엇입니까?
+ 이벤트 타임스탬프: 알림이 트리거된 시기는 언제입니까?
+ 워크로드 정보: 인스턴스에서 실행 중인 것은 무엇입니까?
+ 해당하는 경우 맬웨어 세부 정보: 맬웨어 패밀리 및 맬웨어에 대한 오픈 소스 정보.
+ 사용자 또는 역할 세부 정보: 활동의 영향을 받고 활동에 관련된 사용자 또는 역할은 무엇입니까?
+ 활동 레코드: 인스턴스에 기록되는 활동은 무엇입니까? 이는 CloudWatch 이벤트 및 인스턴스의 시스템 이벤트의 형태입니다. 이러한 로그를 읽는 방법을 이해하면 조사에 도움이 됩니다.
+ 네트워크 활동: 인스턴스에 연결하는 엔드포인트, 인스턴스가 연결하는 엔드포인트, 트래픽 분석이란 무엇입니까?

조사 정보를 수신하고 조직 내 계정, 인스턴스 및 워크로드의 적절한 연락 지점에 연락하는 방법에 대한 계획을 세우는 것이 모범 사례입니다. 네트워크 토폴로지와 예상 연결을 이해하면 영향 분석을 가속화하는 데 도움이 될 수 있습니다. 환경에서 계획된 침투 테스트와 애플리케이션 소유자가 수행한 최근 배포에 대한 지식도 조사 속도를 높일 수 있습니다.

활동이 계획되고 승인되었다고 판단되면 인시던트가 업데이트되고 조사가 종료됩니다. 손상이 확인되면 사용자와 AMS가 적절한 억제 계획을 결정합니다.

## 속도 C: 포함 및 제거
<a name="sir-malware-eradicate"></a>

AMS는 고객과 협력하여 수집된 데이터와 알려진 정보를 기반으로 적절한 억제 활동을 결정합니다. 억제 옵션은 다음을 포함하지만 이에 국한되지는 않습니다.
+ 스냅샷을 통한 데이터 보존
+ 인스턴스 내부 또는 외부의 트래픽을 제한하도록 네트워크 규칙 수정
+ SCP, IAM 사용자 및 역할 정책을 수정하여 액세스 제한
+ 인스턴스 종료, 일시 중지 또는 끄기
+ 영구 연결 종료
+ 적절한 자격 증명/키 교체

인스턴스에 대해 근절 활동을 수행하도록 선택하면 AMS가 이를 달성할 수 있도록 지원합니다. 옵션은 다음을 포함하지만 이에 국한되지는 않습니다.
+ 원치 않는 소프트웨어 제거
+ 완전히 패치된 깨끗한 이미지에서 인스턴스 재구축 및 애플리케이션 및 구성 재배포
+ 이전 백업에서 인스턴스 복원
+ 워크로드를 호스팅하는 데 적합할 수 있는 계정 내 다른 인스턴스에 애플리케이션 및 서비스를 배포합니다.

인스턴스에서 맬웨어가 다시 발생하지 않도록 추가 제어가 적용되도록 서비스를 복원하기 전에 인스턴스에서 맬웨어가 전달되고 실행되는 방법을 확인하는 것이 중요합니다. AMS는 포렌식을 지원하는 데 필요한 추가 인사이트 또는 정보를 포렌식 파트너 또는 팀에 제공합니다.

이 시점에서 복구 활동을 위해 AMS Operations와 협력합니다. AMS는 사용자와 긴밀하게 협력하여 워크로드 중단을 최소화하고 인스턴스를 보호합니다.

## 사후 인시던트 보고서
<a name="sir-malware-post-event"></a>

필요에 따라 AMS는 조사 검토 프로세스를 시작하여 학습한 교훈을 식별합니다. COE 완료의 일환으로 AMS는 인시던트 대응 프로세스를 개선하는 데 도움이 되도록 관련 조사 결과를 사용자에게 전달합니다.

AMS는 조사의 최종 세부 정보를 문서화하고, 적절한 지표를 수집하고, 할당된 CSDM 및 CA를 포함하여 정보가 필요한 AMS 내부 팀에 인시던트를 보고합니다.

# Accelerate의 보안 이벤트 로깅 및 모니터링
<a name="acc-sec-log-mon"></a>

AMS Accelerate에 등록된 계정은 노이즈를 줄이고 실제 인시던트의 징후를 식별하도록 최적화된 CloudWatch [이벤트](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html) 및 [경보](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)의 기본 배포로 구성됩니다. 또한 AMS Accelerate는 계정 모니터링에 GuardDuty를 사용합니다. 자세한 내용은 [GuardDuty로 모니터링](acc-sec-data-protect.md#acc-sec-data-protect-gd) 단원을 참조하십시오.

# Accelerate의 구성 규정 준수
<a name="acc-sec-compliance"></a>

AMS Accelerate를 사용하면 보안 및 운영 무결성에 대한 높은 표준에 맞게 리소스를 구성하고 다음 업계 표준을 준수할 수 있습니다.
+ 인터넷 보안 센터(CIS)
+ 미국 국립표준기술연구소(NIST) 클라우드 보안 프레임워크(CSF)
+ HIPAA(미국 건강 보험 양도 및 책임에 관한 법)
+ Payment Card Industry(PCI) 데이터 보안 표준(DSS)

이를 위해 전체 규정 준수 AWS Config 규칙 세트를 계정에 배포합니다. 섹션을 참조하세요[AMS Config 규칙 라이브러리](#acc-sec-compliance-rules). AWS Config 규칙은 리소스에 대해 원하는 구성을 나타내며 AWS 리소스 설정의 구성 변경에 대해 평가됩니다. 모든 구성 변경은 규정 준수를 테스트하기 위해 많은 수의 규칙을 트리거합니다. 예를 들어, Amazon S3 버킷을 생성하고 NIST 표준을 위반하여 공개적으로 읽을 수 있도록 구성한다고 가정해 보겠습니다. [ams-nist-cis-s3-bucket-public-read-prohibited 규칙](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html)은 위반을 감지하고 구성 보고서에서 S3 버킷에 **규정 미준수** 레이블을 지정합니다. 이 규칙은 **자동 인시던트** 문제 해결 범주에 속하므로 즉시 인시던트 보고서를 생성하여 문제를 알립니다. 더 심각한 다른 규칙 위반으로 인해 AMS가 문제를 자동으로 해결할 수 있습니다. [Accelerate의 위반에 대한 대응](#acc-sec-compliance-responses)을(를) 참조하세요.

**중요**  
예를 들어 AMS가 문제 해결 범주에 관계없이 위반 사항을 해결하도록 하려면 AMS에 규정 미준수 리소스를 해결하도록 요청하는 서비스 요청을 제출합니다. 서비스 요청에 "AMS 구성 규칙 수정의 일부로 불만이 아닌 리소스 *RESOURCE\$1ARNS\$1OR\$1IDs*, 계정의 구성 규칙 *CONFIG\$1RULE\$1NAME*을 수정하십시오"와 같은 설명을 포함하고 위반을 수정하는 데 필요한 입력을 추가합니다.  
 예를 들어 설계상 퍼블릭 액세스가 필요한 특정 S3 버킷에 대해 조치를 취하지 않으려면 예외를 생성할 수 있습니다. 단원을 참조하십시오[Accelerate에서 규칙 예외 생성](#acc-sec-compliance-config-reports-exception).

## AMS Config 규칙 라이브러리
<a name="acc-sec-compliance-rules"></a>

Accelerate는 계정을 보호하기 위해 AMS 구성 규칙 라이브러리를 배포합니다. 이러한 구성 규칙은 로 시작합니다`ams-`. AWS Config 콘솔, AWS CLI 또는 AWS Config API에서 계정 내 규칙과 해당 규정 준수 상태를 볼 수 있습니다. 사용에 대한 일반적인 내용은 [ ViewingConfiguration Compliance](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_view-compliance.html)를 AWS Config참조하세요.

**참고**  
옵트인 AWS 리전및 Gov 클라우드 리전의 경우 리전 제한으로 인해 구성 규칙의 하위 집합만 배포합니다. AMS Accelerate 구성 규칙 테이블에서 식별자와 연결된 링크를 확인하여 리전의 규칙 가용성을 확인합니다.  
배포된 AMS Config 규칙은 제거할 수 없습니다.

### 규칙 테이블
<a name="acc-sec-config-rules-inventory"></a>

[ams\$1config\$1rules.zip](samples/ams_config_rules.zip)으로 다운로드합니다.


**AMS 구성 규칙**  

| 규칙 이름 | 서비스: | 트리거 | 작업 | 프레임워크 | 
| --- | --- | --- | --- | --- | 
| [ams-nist-cis-guardduty-enabled-centralized](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html) | GuardDuty | 주기적 | 문제 해결 | CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 2.2,3.4,8.2.1, | 
| [ams-nist-cis-vpc-flow-logs-enabled](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html) | VPC | 주기적 | 문제 해결 | CIS: CIS.6, NIST-CSF: DE.AE-1,DE.AE-3,PR.DS-5,PR.PT-1, HIPAA: 164.308(a)(3)(ii)(A),164.312(b), PCI: 2.2,10.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.6; | 
| [ams-eks-secrets-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/eks-secrets-encrypted.html) | EKS | 주기적 | 인시던트 | CIS: NA, NIST-CSF: NA, HIPAA: NA, PCI: NA, | 
| [ams-eks-endpoint-no-public-access](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html) | EKS | 주기적 | 인시던트 | CIS: NA, NIST-CSF: NA, HIPAA: NA, PCI: NA, | 
| [ams-nist-cis-vpc-default-security-group-closed](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html) | VPC | 구성 변경 사항 | 인시던트 | CIS: CIS.11,CIS.12,CIS.9, NIST-CSF: DE.AE-1,PR.AC-3,PR.AC-5,PR.PT-4, HIPAA: 164.312(e)(1), PCI: 1.2,1.3,2.1,2.2,1.2.1,1.3.1,1.3.2,2.2.2  | 
| [ams-nist-cis-iam-password-policy](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) | IAM | 주기적 | 인시던트 | CIS: NA, NIST-CSF: PR.AC-1,PR.AC-4, HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1), PCI: 7.1.2,7.1.3,7.2.2; | 
| [ams-nist-cis-iam-root-access-key-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html) | IAM | 주기적 | 인시던트 | CIS: CIS.16,CIS.4; NIST-CSF: PR.AC-1,PR.AC-4,PR.PT-3; HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1), PCI: 2,7.1.2,7.1.1.3.1.7. | 
| [ams-nist-cis-iam-user-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html) | IAM | 주기적 | 인시던트 | CIS: CIS.16, NIST-CSF: PR.AC-1,PR.AC-4, HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1); PCI: 2.2,7.1.2,7.1.3.7.2.2.1  | 
| [ams-nist-cis-restricted-ssh](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html) | 보안 그룹 | 구성 변경 사항 | 인시던트 | CIS: CIS.16; NIST-CSF: PR.AC-1,PR.AC-4; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1); PCI: 2.2,7.2.1,8.1.4; | 
| [ams-nist-cis-restricted-common-ports](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html) | 보안 그룹 | 구성 변경 사항 | 인시던트 | CIS: CIS.11,CIS.12,CIS.9; NIST-CSF: DE.AE-1,PR.AC-3,PR.AC-5,PR.PT-4; HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1); PCI:2,1.3,1.2. | 
| [ams-nist-cis-s3-account-level-public-access-blocks](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks.html) | S3 | 구성 변경 사항 | 인시던트 | CIS: CIS.9,CIS.12,CIS.14, NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4, HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1), PCI: 1.2,1.2.1,1.3,1.3.1,1.3.2,1.3.4,1.3.3.6,2.2.2; | 
| [ams-nist-cis-s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html) | S3 | 구성 변경 사항 | 인시던트 | CIS: CIS.12,CIS.14,CIS.9, NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4, HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1), PCI: 1.2,1.3,2.2,1.2.1,1.3.1,1.3.3.2,1.3.4,1.3.6,2.2.2; | 
| [ams-nist-cis-s3-bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html) | S3 | 구성 변경 사항 | 인시던트 | CIS: CIS.12,CIS.14,CIS.9, NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4, HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1), PCI: 1.2,1.3,2.2,1.2.1,1.3.1,1.3.2,1.3.3.4,1.3.6,2.2.2; | 
| [ams-nist-cis-s3-bucket-server-side-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html) | S3 | 구성 변경 사항 | 인시던트 | CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(c)(2),164.312(e)(2)(ii), PCI: 2.2,3.4,10.5,8.2.1, | 
| [ams-nist-cis-securityhub-enabled](https://docs.aws.amazon.com/config/latest/developerguide/securityhub-enabled.html) | Security Hub | 주기적 | 인시던트 | CIS: CIS.3,CIS.4,CIS.6,CIS.12,CIS.16,CIS.19, NIST-CSF: PR.DS-5,PR.PT-1, HIPAA: 164.312(b), PCI: NA, | 
| [ams-nist-cis-ec2-instance-managed-by-systems-manager](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html) | EC2 | 구성 변경 사항 | Report | CIS: CIS.2,CIS.5, NIST-CSF: ID.AM-2,PR.IP-1, HIPAA: 164.308(a)(5)(ii)(B), PCI: 2.4, | 
| [ams-nist-cis-cloudtrail-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html) | CloudTrail | 주기적 | Report | CIS: CIS.16,CIS.6; NIST-CSF: DE.AE-1,DE.AE-3,PR.DS-5,PR.MA-2,PR.PT-1; HIPAA: 164.308(a)(3)(ii)(A), 164.308(a)(5)(ii)(C), 164.312(b); PCI: 10.1,10.2.1,10.2.2,10.2.3,10.2.410.2.5,10.2.7,10.2.6,10.3.1,10.3.2,10.3.3,,10.3.4,,10.3.5,10.3.6; | 
| [ams-nist-cis-access-keys-rotated](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html) | IAM | 주기적 | Report | CIS: CIS.16, NIST-CSF: PR.AC-1, HIPAA: 164.308(a)(4)(ii)(B), PCI: 2.2, | 
| [ams-nist-cis-acm-certificate-expiration-check](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html) | Certificate Manager | 구성 변경 사항 | Report | CIS: CIS.13,CIS.14, NIST-CSF: PR.AC-5,PR.PT-4, HIPAA: NA, PCI: 4.1, | 
| [ams-nist-cis-alb-http-to-https-redirection-check](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html) | ALB | 주기적 | Report | CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-2, HIPAA: 164.312(a)(2)(iv),164.312(e)(1),164.312(e)(2)(i),164.312(e)(2)(ii), PCI: 2.3,4.1,8.2.1  | 
| [ams-nist-cis-api-gw-cache-enabled-and-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-cache-enabled-and-encrypted.html) | API Gateway | 구성 변경 사항 | Report | CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 3.4, | 
| [ams-nist-cis-api-gw-execution-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html) | API Gateway | 구성 변경 사항 | Report | CIS: CIS.6, NIST-CSF: DE.AE-1,DE.AE-3,PR.PT-1, HIPAA: 164.312(b), PCI: 10.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.610.5.4  | 
| [ams-nist-autoscaling-group-elb-healthcheck-required](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html) | ELB | 구성 변경 사항 | Report | CIS: NA, NIST-CSF: PR.PT-1,PR.PT-5, HIPAA: 164.312(b), PCI: 2.2, | 
| [ams-nist-cis-cloud-trail-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html) | CloudTrail | 주기적 | Report | CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 2.2,3.4,10.5, | 
| [ams-nist-cis-cloud-trail-log-file-validation-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html) | CloudTrail | 주기적 | Report | CIS: CIS.6; NIST-CSF: PR.DS-6; HIPAA: 164.312(c)(1),164.312(c)(2); PCI: 2.2,10.5,11.5,10.5.2,10.5.5; | 
| [ams-nist-cis-cloudtrail-s3-dataevents-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-s3-dataevents-enabled.html) | CloudTrail | 주기적 | Report | CIS: CIS.6; NIST-CSF: DE.AE-1,DE.AE-3,PR.DS-5,PR.PT-1; HIPAA: 164.308(a)(3)(ii)(A),164.312(b); PCI: 2.2,10.1,10.2.1,10.2.2,10.2.3,10.2.510.3.1,10.3.210.3.3,10.3.4,10.3.5,,10.3.6; | 
| [ams-nist-cis-cloudwatch-alarm-action-check](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html) | CloudWatch | 구성 변경 사항 | Report | CIS: CIS.13,CIS.14, NIST-CSF: NA, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 3.4, | 
| [ams-nist-cis-cloudwatch-log-group-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-log-group-encrypted.html) | CloudWatch | 주기적 | Report | CIS: CIS.13,CIS.14, NIST-CSF: NA, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 3.4, | 
| [ams-nist-cis-codebuild-project-envvar-awscred-check](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html) | CodeBuild | 구성 변경 사항 | Report | CIS: CIS.18; NIST-CSF: PR.DS-5; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1); PCI: 8.2.1; | 
| [ams-nist-cis-codebuild-project-source-repo-url-check](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html) | CodeBuild | 구성 변경 사항 | Report | CIS: CIS.18; NIST-CSF: PR.DS-5; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1); PCI: 8.2.1; | 
| [ams-nist-cis-db-instance-backup-enabled](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html) | RDS | 구성 변경 사항 | Report | CIS: CIS.10, NIST-CSF: ID.BE-5,PR.DS-4,PR.IP-4,PR.PT-5,RC.RP-1, HIPAA: 164.308(a)(7)(i),164.308(a)(7)(ii)(A),164.308(a)(7)(ii)(B), PCI: NA  | 
| [ams-nist-cis-dms-replication-not-public](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html) | DMS | 주기적 | Report | CIS: CIS.12,CIS.14,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.3.4,1.3.6.2.2; | 
| [ams-nist-dynamodb-autoscaling-enabled](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html) | DynamoDB | 주기적 | Report | CIS: NA, NIST-CSF: ID.BE-5,PR.DS-4,PR.PT-5,RC.RP-1, HIPAA: 164.308(a)(7)(i),164.308(a)(7)(ii)(C), PCI: NA  | 
| [ams-nist-cis-dynamodb-pitr-enabled](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html) | DynamoDB | 주기적 | Report | CIS: CIS.10, NIST-CSF: ID.BE-5,PR.DS-4,PR.IP-4,PR.PT-5,RC.RP-1, HIPAA: 164.308(a)(7)(i),164.308(a)(7)(ii)(A),164.308(a)(7)(ii)(B), PCI: NA  | 
| [ams-nist-dynamodb-throughput-limit-check](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-throughput-limit-check.html) | DynamoDB | 주기적 | Report | CIS: NA, NIST-CSF: NA, HIPAA: 164.312(b), PCI: NA  | 
| [ams-nist-ebs-optimized-instance](https://docs.aws.amazon.com/config/latest/developerguide/ebs-optimized-instance.html) | EBS | 구성 변경 사항 | Report | CIS: NA, NIST-CSF: NA, HIPAA: 164.308(a)(7)(i), PCI: NA  | 
| [ams-nist-cis-ebs-snapshot-public-restorable-check](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html) | EBS | 주기적 | Report | CIS: CIS.12,CIS.14,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.3.4,1.3.6,2.2; | 
| [ams-nist-ec2-instance-detailed-monitoring-enabled](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-detailed-monitoring-enabled.html) | EC2 | 구성 변경 사항 | Report | CIS: NA, NIST-CSF: DE.AE-1,PR.PT-1, HIPAA: 164.312(b), PCI: NA, | 
| [ams-nist-cis-ec2-instance-no-public-ip](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html) | EC2 | 구성 변경 사항 | Report | CIS: CIS.12,CIS.14,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.2,1.3.4,1.3.6,2.2; | 
| [ams-nist-cis-ec2-managedinstance-association-compliance-status-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html) | EC2 | 구성 변경 사항 | Report | CIS: CIS.12,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.2,1.3.4,1.3.6,2.2; | 
| [ams-nist-cis-ec2-managedinstance-patch-compliance-status-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html) | EC2 | 구성 변경 사항 | Report | CIS: CIS.2,CIS.5, NIST-CSF: ID.AM-2,PR.IP-1, HIPAA: 164.308(a)(5)(ii)(B), PCI: 6.2, | 
| [ams-nist-cis-ec2-stopped-instance](https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html) | EC2 | 주기적 | Report | CIS: CIS.2, NIST-CSF: ID.AM-2,PR.IP-1, HIPAA: NA, PCI: NA, | 
| [ams-nist-cis-ec2-volume-inuse-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-volume-inuse-check.html) | EC2 | 구성 변경 사항 | Report | CIS: CIS.2, NIST-CSF: PR.IP-1, HIPAA: NA, PCI: NA, | 
| [ams-nist-cis-efs-encrypted-check](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) | EFS | 주기적 | Report | CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 3.4,8.2.1, | 
| [ams-nist-cis-eip-attached](https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html) | EC2 | 구성 변경 사항 | Report | CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 3.4,8.2.1, | 
| [ams-nist-cis-elasticache-redis-cluster-automatic-backup-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html) | ElastiCache | 주기적 | Report | CIS: CIS.10, NIST-CSF: ID.BE-5,PR.DS-4,PR.IP-4,PR.PT-5,RC.RP-1, HIPAA: 164.308(a)(7)(i),164.308(a)(7)(ii)(A),164.308(a)(7)(ii)(B), PCI: NA  | 
| [ams-nist-cis-opensearch-encrypted-at-rest](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html) | OpenSearch | 주기적 | Report | CIS: CIS.14,CIS.13, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 3.4,8.2.1, | 
| [ams-nist-cis-opensearch-in-vpc-only](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html) | OpenSearch | 주기적 | Report | CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 3.4,8.2.1, | 
| [ams-nist-cis-elb-acm-certificate-required](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html) | Certificate Manager | 구성 변경 사항 | Report | CIS: CIS.12,CIS.9, NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4, HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1), PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; | 
| [ams-nist-elb-deletion-protection-enabled](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html) | ELB | 구성 변경 사항 | Report | CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-2, HIPAA: 164.312(a)(2)(iv),164.312(e)(1),164.312(e)(2)(i),164.312(e)(2)(ii), PCI: 4.1,8.2.1  | 
| [ams-nist-cis-elb-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html) | ELB | 구성 변경 사항 | Report | CIS: CIS.6, NIST-CSF: DE.AE-1,DE.AE-3,PR.PT-1, HIPAA: 164.312(b), PCI: 10.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.610.5.4  | 
| [ams-nist-cis-emr-kerberos-enabled](https://docs.aws.amazon.com/config/latest/developerguide/emr-kerberos-enabled.html) | EMR | 주기적 | Report | CIS: CIS.6, NIST-CSF: DE.AE-1,DE.AE-3,PR.PT-1, HIPAA: 164.312(b), PCI: 10.1,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,10.3.610.5.4  | 
| [ams-nist-cis-emr-master-no-public-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html) | EMR | 주기적 | Report | CIS: CIS.14,CIS.16; NIST-CSF: PR.AC-1,PR.AC-4,PR.AC-6; HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1); PCI: 7.2.1; | 
| [ams-nist-cis-encrypted-volumes](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) | EBS | 구성 변경 사항 | Report | CIS: CIS.12,CIS.9, NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4, HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1), PCI: 1.2,1.3,1.2.1,1.3.2,1.3.4,1.3.6,2.2; | 
| [ams-nist-cis-guardduty-non-archived-findings](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-non-archived-findings.html) | GuardDuty | 주기적 | Report | CIS: CIS.12,CIS.13,CIS.16,CIS.19,CIS.3,CIS.4,CIS.6,CIS.8; NIST-CSF: DE.AE-2,DE.AE-3,DE.CM-4,DE.DP-5,ID.RA-1,ID.RA-3,PR.DS-5,PR.PT-1; HIPAA: 164.308(a)(5)(ii)(C),164.308(a)(6)(ii),164.312(b); PCI: 6.1,11.4,5.1.2; | 
| [ams-nist-iam-group-has-users-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-group-has-users-check.html) | IAM | 구성 변경 사항 | Report | CIS: NA, NIST-CSF: PR.AC-4,PR.AC-1, HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1), PCI: 7.1.2,7.1.3,7.2.2; | 
| [ams-nist-cis-iam-policy-no-statements-with-admin-access](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html) | IAM | 구성 변경 사항 | Report | CIS: CIS.16, NIST-CSF: PR.AC-6,PR.AC-7, HIPAA: 164.308(a)(4)(ii)(B),164.308(a)(5)(ii)(D),164.312(d), PCI: 8.2.3,8.2.4,8.2.5  | 
| [ams-nist-cis-iam-user-group-membership-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-group-membership-check.html) | IAM | 구성 변경 사항 | Report | CIS: CIS.16,CIS.4, NIST-CSF: PR.AC-1,PR.AC-4,PR.PT-3, HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(a)(2)(i), PCI: 2.2,7.1.2,7.2.1,8.1.1  | 
| [ams-nist-cis-iam-user-no-policies-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html) | IAM | 구성 변경 사항 | Report | CIS: CIS.16, NIST-CSF: PR.AC-1,PR.AC-7, HIPAA: 164.308(a)(4)(ii)(B),164.312(d), PCI: 8.3, | 
| [ams-nist-cis-iam-user-unused-credentials-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html) | IAM | 주기적 | Report | CIS: CIS.16, NIST-CSF: PR.AC-1,PR.AC-4,PR.PT-3, HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1), PCI: 2.7.1.2,7.1.7.2.7. | 
| [vpc의 ams-nist-cis-ec2-instances instances-in-vpc](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instances-in-vpc.html) | EC2 | 구성 변경 사항 | Report | CIS: CIS.11,CIS.12,CIS.9, NIST-CSF: DE.AE-1,PR.AC-3,PR.AC-5,PR.PT-4, HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1); PCI:2,1.3,1.2. | 
| [ams-nist-cis-internet-gateway-authorized-vpc-only](https://docs.aws.amazon.com/config/latest/developerguide/internet-gateway-authorized-vpc-only.html) | 인터넷 게이트웨이 | 주기적 | Report | CIS: CIS.9,CIS.12, NIST-CSF: NA, HIPAA: NA, PCI: NA, | 
| [ams-nist-cis-kms-cmk-not-scheduled-for-deletion](https://docs.aws.amazon.com/config/latest/developerguide/kms-cmk-not-scheduled-for-deletion.html) | KMS | 주기적 | Report | CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: NA, PCI: 3.5,3.6, | 
| [ams-nist-lambda-concurrency-check](https://docs.aws.amazon.com/config/latest/developerguide/lambda-concurrency-check.html) | Lambda | 구성 변경 사항 | Report | CIS: NA, NIST-CSF: NA, HIPAA: 164.312(b), PCI: NA  | 
| [ams-nist-lambda-dlq-check](https://docs.aws.amazon.com/config/latest/developerguide/lambda-dlq-check.html) | Lambda | 구성 변경 사항 | Report | CIS: NA, NIST-CSF: NA, HIPAA: 164.312(b), PCI: NA  | 
| [ams-nist-cis-lambda-function-public-access-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html) | Lambda | 구성 변경 사항 | Report | CIS: CIS.12,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.2,1.3.4,2.2; | 
| [ams-nist-cis-lambda-inside-vpc](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html) | Lambda | 구성 변경 사항 | Report | CIS: CIS.12,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.2,1.3.4,2.2; | 
| [ams-nist-cis-mfa-enabled-for-iam-console-access](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html) | IAM | 주기적 | Report | CIS: CIS.16, NIST-CSF: PR.AC-7, HIPAA: 164.312(d), PCI: 2.2,8.3, | 
| [ams-nist-cis-multi-region-cloudtrail-enabled](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html) | CloudTrail | 주기적 | Report | CIS: CIS.6, NIST-CSF: DE.AE-1,DE.AE-3,PR.DS-5,PR.MA-2,PR.PT-1, HIPAA: 164.308(a)(3)(ii)(A),164.312(b), PCI: 2.2,10.1,10.2.1,10.2.2,10.2.3,10.2.410.2.5,10.2.6,10.2.7,10.3.1,,10.3.2,10.3.3,10.3.4,10.3.5;10.3.6  | 
| [ams-nist-rds-enhanced-monitoring-enabled](https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html) | RDS | 구성 변경 사항 | Report | CIS: NA, NIST-CSF: PR.PT-1, HIPAA: 164.312(b), PCI: NA, | 
| [ams-nist-cis-rds-instance-public-access-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html) | RDS | 구성 변경 사항 | Report | CIS: CIS.12,CIS.14,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.3.4,1.3.6,2.2; | 
| [ams-nist-rds-multi-az-support](https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html) | RDS | 구성 변경 사항 | Report | CIS: NA, NIST-CSF: ID.BE-5,PR.DS-4,PR.PT-5,RC.RP-1, HIPAA: 164.308(a)(7)(i),164.308(a)(7)(ii)(C), PCI: NA, | 
| [ams-nist-cis-rds-snapshots-public-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html) | RDS | 구성 변경 사항 | Report | CIS: CIS.12,CIS.14,CIS.9, NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4, HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1), PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.3.4,1.3.6,2.2; | 
| [ams-nist-cis-rds-storage-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html) | RDS | 구성 변경 사항 | Report | CIS: CIS.13,CIS.5,CIS.6; NIST-CSF: DE.AE-1,DE.AE-3,PR.DS-1,PR.PT-1; HIPAA: 164.312(a)(2)(iv), 164.312(b), 164.312(e)(2)(ii); PCI: 3.4,10.1,10.2.1,10.2.2,10.2.3,10.2.410.2.5,10.3.1,10.3.2,10.3.3,10.3.4,10.3.5,,,,,10.3.6,,,,8.2.1; | 
| [ams-nist-cis-redshift-cluster-configuration-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-configuration-check.html) | RedShift | 구성 변경 사항 | Report | CIS: CIS.6,CIS.13,CIS.5, NIST-CSF: DE.AE-1,DE.AE-3,PR.DS-1,PR.PT-1, HIPAA: 164.312(a)(2)(iv), 164.312(b), 164.312(e)(2)(ii), PCI: 3.4,8.2.1,10.1,10.2.1,10.2.2,10.2.310.2.4,10.2.5,10.3.1,,10.3.2,10.3.3,,,10.3.4,,,,10.3.5,,,10.3.6; | 
| [ams-nist-cis-redshift-cluster-public-access-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html) | RedShift | 구성 변경 사항 | Report | CIS: CIS.12,CIS.14,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.3.4,1.3.6,2.2; | 
| [ams-nist-cis-redshift-require-tls-ssl](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html) | RedShift | 주기적 | Report | CIS: CIS.13,CIS.14; NIST-CSF: PR.DS-2; HIPAA: 164.312(a)(2)(iv),164.312(e)(1),164.312(e)(2)(i),164.312(e)(2)(ii); PCI: 2.3,4.1; | 
| [ams-nist-cis-root-account-hardware-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html) | IAM | 주기적 | Report | CIS: CIS.16,CIS.4, NIST-CSF: PR.AC-7, HIPAA: 164.312(d), PCI: 2.2,8.3, | 
| [ams-nist-cis-root-account-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html) | IAM | 주기적 | Report | CIS: CIS.16,CIS.4, NIST-CSF: PR.AC-7, HIPAA: 164.312(d), PCI: 2.2,8.3, | 
| [ams-nist-cis-s3-bucket-default-lock-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html) | S3 | 구성 변경 사항 | Report | CIS: CIS.14,CIS.13, NIST-CSF: ID.BE-5,PR.PT-5,RC.RP-1, HIPAA: NA, PCI: NA, | 
| [ams-nist-cis-s3-bucket-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html) | S3 | 구성 변경 사항 | Report | CIS: CIS.6; NIST-CSF: DE.AE-1,DE.AE-3,PR.DS-5,PR.PT-1; HIPAA: 164.308(a)(3)(ii)(A), 164.312(b); PCI: 2.2,10.1,10.2.1,,10.2.2,10.2.310.2.4,10.2.510.2.7,10.3.110.3.2,10.3.3,10.3.4,,,10.3.5,10.3.6; | 
| [ams-nist-cis-s3-bucket-replication-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-replication-enabled.html) | S3 | 구성 변경 사항 | Report | CIS: CIS.10, NIST-CSF: ID.BE-5,PR.DS-4,PR.IP-4,PR.PT-5,RC.RP-1, HIPAA: 164.308(a)(7)(i),164.308(a)(7)(ii)(A),164.308(a)(7)(ii)(B), PCI: 2.2,10.5.3  | 
| [ams-nist-cis-s3-bucket-ssl-requests-only](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html) | S3 | 구성 변경 사항 | Report | CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-2, HIPAA: 164.312(a)(2)(iv),164.312(c)(2),164.312(e)(1),164.312(e)(2)(i),164.312(e)(2)(ii), PCI: 2.2,4.1,8.2.1; | 
| [ams-nist-cis-s3-bucket-versioning-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html) | S3 | 주기적 | Report | CIS: CIS.10, NIST-CSF: ID.BE-5,PR.DS-4,PR.DS-6,PR.IP-4,PR.PT-5,RC.RP-1, HIPAA: 164.308(a)(7)(i),164.308(a)(7)(ii)(A),164.308(a)(7)(ii)(B),164.312(c)(1),164.312(c)(2), PCI: 10.5.3  | 
| [ams-nist-cis-sagemaker-endpoint-configuration-kms-key-configured](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-configuration-kms-key-configured.html) | SageMaker | 주기적 | Report | CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 3.4,8.2.1, | 
| [ams-nist-cis-sagemaker-notebook-instance-kms-key-configured](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-configuration-kms-key-configured.html) | SageMaker | 주기적 | Report | CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 3.4,8.2.1, | 
| [ams-nist-cis-sagemaker-notebook-no-direct-internet-access](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html) | SageMaker | 주기적 | Report | CIS: CIS.12,CIS.9; NIST-CSF: PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4; HIPAA: 164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1); PCI: 1.2,1.3,1.2.1,1.3.2,1.3.4,1.3.6,2.2; | 
| [ams-nist-cis-secretsmanager-rotation-enabled-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html) | Secrets Manager | 구성 변경 사항 | Report | CIS: CIS.16, NIST-CSF: PR.AC-1, HIPAA: 164.308(a)(4)(ii)(B), PCI: NA, | 
| [ams-nist-cis-secretsmanager-scheduled-rotation-success-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html) | Secrets Manager | 구성 변경 사항 | Report | CIS: CIS.16, NIST-CSF: PR.AC-1, HIPAA: 164.308(a)(4)(ii)(B), PCI: NA, | 
| [ams-nist-cis-sns-encrypted-kms](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html) | SNS | 구성 변경 사항 | Report | CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 8.2.1, | 
| [ams-nist-cis-vpc-sg-open-only-to-authorized-ports](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html) | VPC | 구성 변경 사항 | Report | CIS: CIS.11,CIS.12,CIS.9, NIST-CSF: DE.AE-1,PR.AC-3,PR.AC-5,PR.PT-4, HIPAA: 164.312(e)(1), PCI: 1.2,1.3,1.2.1,1.3.1,1.3.2,2.2.2  | 
| [ams-nist-vpc-vpn-2-터널-up](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html) | VPC | 구성 변경 사항 | Report | CIS: NA, NIST-CSF: ID.BE-5,PR.DS-4,PR.PT-5,RC.RP-1, HIPAA: 164.308(a)(7)(i), PCI: NA, | 
| [ams-cis-ec2-ebs-encryption-by-default](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html) | EC2 | 주기적 | Report | CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 2.2,3.4,8.2.1, | 
| [ams-cis-rds-snapshot-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html) | RDS | 구성 변경 사항 | Report | CIS: CIS.13,CIS.14, NIST-CSF: PR.DS-1, HIPAA: 164.312(a)(2)(iv),164.312(e)(2)(ii), PCI: 3.4,8.2.1, | 
| [ams-cis-redshift-cluster-maintenancesettings-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html) | RedShift | 구성 변경 사항 | Report | CIS: CIS.5; NIST-CSF: PR.DS-4,PR.IP-1,PR.IP-4; HIPAA: 164.308(a)(5)(ii)(A),164.308(a)(7)(ii)(A); PCI: 6.2; | 

## Accelerate의 위반에 대한 대응
<a name="acc-sec-compliance-responses"></a>

모든 Config 규칙 위반은 구성 보고서에 표시됩니다. 이는 범용 응답입니다. 규칙의 *수정 범주*(심각도)에 따라 AMS는 다음 표에 요약된 추가 작업을 수행할 수 있습니다. 특정 규칙에 대해 *작업 코드를* 사용자 지정하는 방법에 대한 자세한 내용은 섹션을 참조하세요[사용자 지정 조사 결과 응답](custom-findings-responses.md).

**문제 해결 작업**


| 작업 코드 | AMS 작업 | 
| --- |--- |
| Report |  [Config 보고서에 추가](#acc-sec-compliance-response-universal)  | 
| Incident |  [Config 보고서에 추가](#acc-sec-compliance-response-universal)  [Accelerate의 자동 인시던트 보고서](#acc-sec-compliance-response-incident)  | 
| Remediate |  [Config 보고서에 추가](#acc-sec-compliance-response-universal)  [Accelerate의 자동 인시던트 보고서](#acc-sec-compliance-response-incident) [Accelerate의 자동 문제 해결](#acc-sec-compliance-response-autoremediate) | 

**추가 도움말 요청**

**참고**  
AMS는 문제 해결 범주에 관계없이 모든 위반을 해결할 수 있습니다. 도움을 요청하려면 서비스 요청을 제출하고 "AMS 구성 규칙 수정의 일부로 불만이 아닌 리소스 *RESOURCE\$1ARNS\$1OR\$1IDs* 리소스 ARNs/IDs>, 계정의 구성 규칙 *CONFIG\$1RULE\$1NAME*"과 같은 설명으로 AMS가 수정할 리소스를 표시하고 위반을 수정하는 데 필요한 입력을 추가합니다.

AMS Accelerate에는 규정 미준수 리소스를 해결하는 데 도움이 되는 AWS Systems Manager 자동화 문서 및 실행서 라이브러리가 있습니다.

### Config 보고서에 추가
<a name="acc-sec-compliance-response-universal"></a>

AMS는 계정에 있는 모든 규칙 및 리소스의 규정 준수 상태를 추적하는 Config 보고서를 생성합니다. CSDM에서 보고서를 요청할 수 있습니다. Config 콘솔, AWS CLI 또는 AWS AWS Config API에서 규정 준수 상태를 검토할 수도 있습니다. Config 보고서에는 다음이 포함됩니다.
+ 잠재적 위협 및 잘못된 구성을 발견하기 위한 환경의 상위 규정 미준수 리소스
+ 시간 경과에 따른 리소스 및 구성 규칙 준수
+ 규정 미준수 리소스를 수정하기 위한 구성 규칙 설명, 규칙의 심각도 및 권장 문제 해결 단계

 리소스가 규정 미준수 상태가 되면 Config 보고서에서 리소스 상태(및 규칙 상태)가 **규정 미준수**가 됩니다. 규칙이 **Config 보고서 전용** 문제 해결 범주에 속하는 경우 기본적으로 AMS는 추가 작업을 수행하지 않습니다. 언제든지 서비스 요청을 생성하여 AMS에 추가 도움말 또는 수정을 요청할 수 있습니다.

자세한 내용은 [AWS Config Reporting](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/on-request-reporting.html#acc-report-config-control-compliance)을 참조하세요.

### Accelerate의 자동 인시던트 보고서
<a name="acc-sec-compliance-response-incident"></a>

중간 정도 심각한 규칙 위반의 경우 AMS는 자동으로 인시던트 보고서를 생성하여 리소스가 규정 미준수 상태가 되었음을 알리고 어떤 작업을 수행할지 묻습니다. 인시던트에 대응할 때 다음과 같은 옵션이 있습니다.
+ AMS가 인시던트에 나열된 규정 미준수 리소스를 수정하도록 요청합니다. 그런 다음 규정 미준수 리소스를 수정하려고 시도하고 기본 인시던트가 해결되면 사용자에게 알립니다.
+ 콘솔에서 또는 자동 배포 시스템(예: CI/CD 파이프라인 템플릿 업데이트)을 통해 규정 미준수 항목을 수동으로 해결한 다음 인시던트를 해결할 수 있습니다. 규정 미준수 리소스는 규칙 일정에 따라 재평가되며, 리소스가 규정 미준수로 평가되면 새 인시던트 보고서가 생성됩니다.
+ 규정 미준수 리소스를 해결하지 않고 인시던트만 해결하도록 선택할 수 있습니다. 나중에 리소스 구성을 업데이트하면 AWS Config가 재평가를 트리거하고 해당 리소스의 규정 미준수를 평가하라는 알림을 다시 받게 됩니다.

### Accelerate의 자동 문제 해결
<a name="acc-sec-compliance-response-autoremediate"></a>

 가장 중요한 규칙은 **자동 문제 해결** 범주에 속합니다. 이러한 규칙을 준수하지 않으면 계정의 보안 및 가용성에 큰 영향을 미칠 수 있습니다. 리소스가 다음 규칙 중 하나를 위반하는 경우: 

1. AMS는 인시던트 보고서를 자동으로 알려줍니다.

1. AMS는 자동화된 SSM 문서를 사용하여 자동 문제 해결을 시작합니다.

1. AMS는 자동 문제 해결의 성공 또는 실패로 인시던트 보고서를 업데이트합니다.

1. 자동 수정에 실패하면 AMS 엔지니어가 문제를 조사합니다.

## Accelerate에서 규칙 예외 생성
<a name="acc-sec-compliance-config-reports-exception"></a>

 AWS Config 규칙 리소스 예외 기능을 사용하면 특정 규칙에 대한 특정 규정 미준수 리소스의 보고를 억제할 수 있습니다.

**참고**  
제외된 리소스는 AWS 여전히 Config Service 콘솔에 **규정 미준수**로 표시됩니다. 제외된 리소스는 Config Reports(resource\$1exception:True)에 특수 플래그와 함께 표시됩니다. CSDMs 보고서를 생성할 때 해당 열에 따라 해당 리소스를 필터링할 수 있습니다.

규정을 준수하지 않는 것으로 알려진 리소스가 있는 경우 해당 Config 보고서에서 특정 구성 규칙에 대한 특정 리소스를 제거할 수 있습니다. 방법:

보고서에서 제외할 구성 규칙 및 리소스 목록과 함께 계정에 대해 Accelerate에 서비스 요청을 제출합니다. 명시적인 비즈니스 정당화를 제공해야 합니다(예: *resource\$1name\$11* 및 *resource\$1name\$12*가 백업되지 않도록 보고할 필요 없음). Accelerate 서비스 요청 제출에 대한 도움말은 섹션을 참조하세요[Accelerate에서 서비스 요청 생성](creating-a-sr.md).

요청에 다음 입력을 붙여 넣은 다음(모든 리소스에 대해 그림과 같이 모든 필수 필드가 포함된 별도의 블록 추가) 제출합니다.

```
[
    {
        "resource_name": "resource_name_1",
        "config_rule_name": "config_rule_name_1",
        "business_justification": "REASON_TO_EXEMPT_RESOURCE",
        "resource_type": "resource_type"
    },
    {
        "resource_name": "resource_name_2",
        "config_rule_name": "config_rule_name_2",
        "business_justification": "REASON_TO_EXEMPT_RESOURCE",
        "resource_type": "resource_type"
    }
]
```

## Accelerate에서 AWS Config 비용 절감
<a name="acc-sec-compliance-reduct-config-spend"></a>

옵션을 사용하여 `AWS::EC2::Instance` 리소스 유형을 주기적으로 기록하여 AWS Config 비용을 줄일 수 있습니다. 주기적 레코딩은 24시간마다 한 번씩 리소스의 최신 구성 변경 사항을 캡처하여 전달되는 변경 횟수를 줄입니다. 활성화된 경우는 24시간이 끝날 때 리소스의 최신 구성 AWS Config 만 기록합니다. 이를 통해 지속적인 모니터링이 필요하지 않은 특정 운영 계획, 규정 준수 및 감사 사용 사례에 맞게 구성 데이터를 조정할 수 있습니다. 이 변경은 임시 아키텍처에 의존하는 애플리케이션이 있는 경우에만 권장됩니다. 즉, 인스턴스 수를 지속적으로 늘리거나 줄입니다.

`AWS::EC2::Instance` 리소스 유형에 대한 정기 기록을 옵트인하려면 AMS 전송 팀에 문의하세요.

# 사용자 지정 조사 결과 응답
<a name="custom-findings-responses"></a>

AMS Accelerate가 일부 조사 결과(준수되지 않은 Config 규칙)에 응답하는 방법을 선택할 수 있습니다. 조사 결과를 수정하거나, 수정 승인을 요청하거나, 다음 월간 비즈니스 검토(MBR)에 보고하여 조사 결과에 응답하도록 AMS를 구성할 수 있습니다. AMS Accelerate Config 규칙에 대한 기본 응답을 변경할 수 있습니다. 규칙을 보려면 [구성 규정 준수 > 규칙 테이블](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sec-compliance.html)로 이동하거나 규칙 테이블을 ZIP 파일 [ams\$1config\$1rules.zip](samples/ams_config_rules.zip)으로 다운로드합니다.

기본 응답을 변경하면 더 많은 조사 결과를 수정하여 계정의 보안 및 규정 준수 상태를 높일 수 있습니다. 더 많은 조사 결과를 수정하면 수동 검토 및 승인을 기다려야 하는 사례가 줄어듭니다. AMS 문제 해결 런북의 광범위한 라이브러리는 규정 미준수 리소스를 지속적으로 수정하며 필요한 경우에만 연락을 받습니다.

사용자 지정 응답은 새 리소스 또는 새 이벤트가 있는 기존 리소스에만 사용됩니다. 예를 들어 변경 후 규정 미준수가 된 리소스입니다. 이는 이전 리소스는 수정 전에 심층 검사가 필요한 경향이 있으며 생성되거나 변경될 때 리소스 수정을 적용하는 것이 더 쉽기 때문입니다. 언제든지 리소스에 대한 결과 수정을 요청하려면 서비스 요청을 제출합니다.

## 기본 응답의 변경 요청
<a name="cfr-how-works"></a>

클라우드 아키텍트(CAs 온보딩 중에 사용자와 협력하여 기본 설정을 수집합니다. 그런 다음 CAs 내부 AMS 시스템에서 초기 구성을 설정합니다. 온보딩 후 서비스 요청을 생성하여 구성에 대한 업데이트를 요청합니다. 필요한 만큼 구성 업데이트를 요청할 수 있습니다. 작업은 서비스 요청이 생성된 계정에 대한 구성만 업데이트합니다. 여러 계정을 동시에 업데이트해야 하는 경우 Cloud Architect에 문의하세요. CA는 감사 목적으로 기본 설정으로 서비스 요청을 삭제하도록 요청합니다.

## 조사 결과 및 계정에 대한 기본 응답 변경
<a name="cfr-change-by-account"></a>

항상 각 계정 및 결과에 대한 응답 기본 설정이 필요합니다. AMS는 기본 응답을 제공하므로([구성 규정 준수](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sec-compliance.html) 참조)이 구성은 선택 사항입니다. 각 결과에 대한 기본 응답을 다음 옵션으로 변경할 수 있습니다.
+ 해결 방법: AMS가 결과를 수동 또는 자동으로 해결합니다. AMS는 문제 해결을 검토하고 실패 시 알려줍니다.
+ 승인 요청: AMS는 아웃바운드 사례를 생성하여 조사 결과에 대해 알려줍니다. 수정을 승인하거나 제외하기 전에 결과를 검토하려는 경우이 옵션을 사용합니다. 그러면 AMS가 원하는 작업을 실행합니다.
+ 작업 없음(보고서만 해당): AMS는 결과를 수정하거나 에스컬레이션하는 작업을 수행하지 않습니다. 결과는 콘솔과 MBRs.

**참고**  
AMS에서 수정해야 하는 규칙의 구성은 변경할 수 없습니다. 예를 들어 Amazon GuardDuty 및 VPC 흐름 로그를 활성화합니다.

## 리소스별 기본 응답 변경
<a name="cfr-change-by-resources"></a>

태그를 사용하여 특정 리소스에 대한 응답을 추가로 구성할 수 있습니다. Resource Tagger를 사용하여 기존 태그 또는 태그 리소스를 사용할 수 있습니다. 자세한 내용은 단원을 참조하십시오[리소스 태거 가속화](acc-resource-tagger.md)). 태그가 있는 리소스의 구성은 결과에 대한 기본 작업보다 우선합니다. 리소스에 서로 다른 관련 구성의 태그가 여러 개 있는 경우 AMS는 사용자 지정 수정을 실행할 수 없습니다. 대신 AMS는 아웃바운드 서비스 요청을 보내 상황을 알립니다. 예를 들어 [s3-bucket-server-side-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html) 조사 결과의 경우 다음을 수행할 수 있습니다.
+ 태그 키 값 페어가 "Regulated: True"인 'remediate' 비암호화 S3 버킷으로 응답을 변경합니다.
+ 암호화되지 않은 S3 버킷에 'Regulated: False' 태그가 있는 경우 응답을 'no action'으로 변경합니다.
+ 암호화되지 않은 S3 버킷의 기본 응답을 '승인 요청'으로 변경합니다. 이는 "Regulated: True" 또는 "Regulated: False" 태그가 없는 모든 S3 버킷에 적용됩니다.

사용자 지정 결과 응답을 실행하는 데 필요한 입력을 추가할 수도 있습니다. 예를 들어 암호화 키가 필요한 문제 해결의 경우 AMS에 키 IDs 제공할 수 있습니다. 문제 해결 런북의 입력 파라미터를 변경할 수 있지만 AMS는 사용자 지정 런북과의 통합을 지원하지 않습니다. Config 보고서의 AMS 문제 해결 런북에 대한 설명은 섹션을 참조하세요[AWS Config 제어 규정 준수 보고서](acc-report-config-control-compliance.md).

# Accelerate의 인시던트 대응
<a name="acc-sec-incident"></a>

알림을 받으면 AMS 팀은 자동 및 수동 수정을 사용하여 리소스를 정상 상태로 되돌립니다. 문제 해결에 실패하면 AMS는 인시던트 관리 프로세스를 시작하여 팀과 협업합니다. 구성 파일에서 기본 구성을 업데이트하여 기준을 변경할 수 있습니다.

## AMS Accelerate의 인시던트 대응 및 온보딩
<a name="acc-sec-incident-onboard"></a>

온보딩 중에 AMS Accelerate는 기존 규정 미준수 리소스에 대한 자동 인시던트 생성을 억제합니다. 대신 Cloud Service Deliver Manager(CSDM)는 검토를 위한 모든 규정 미준수 규칙과 리소스가 포함된 보고서를 제공합니다. AMS가 수정할 규칙을 식별한 후 지원 센터 콘솔에서 해당 규칙과 리소스를 나타내는 서비스 요청을 생성합니다. 다음 서비스 요청 템플릿은 규정 미준수 리소스를 수동으로 수정하기 위한 AMS에 대한 고객 요청의 예입니다. AMS에 추가 질문이 있는 경우 서비스 요청에서 사용자와 협력하여 필요한 정보를 수집합니다.

```
Hello, 
Please remediate the following resources for the Config Rule "ENCRYPTED_VOLUMES".
Resource List:
    "Vol-12345678"
    "Vol-87654312"
Thank you
```

온보딩 프로세스가 완료되면 AMS Accelerate는 자동 인시던트로 표시된 규칙에 대해 각 규정 미준수 리소스에 대한 인시던트를 자동으로 생성합니다.

# Accelerate의 복원력
<a name="acc-sec-resilience"></a>

 AWS 글로벌 인프라는 AWS 리전 및 가용 영역을 중심으로 구축됩니다.는 지연 시간이 짧고 처리량이 많으며 중복성이 높은 네트워킹과 연결된 물리적으로 분리되고 격리된 여러 가용 영역을 AWS 리전 제공합니다. 가용 영역을 사용하면 중단 없이 영역 간에 자동으로 장애 조치를 수행하는 애플리케이션과 데이터베이스를 설계하고 운영할 수 있습니다. 가용 영역은 기존의 단일 또는 다중 데이터 센터 인프라보다 가용성, 내결함성 및 확장성이 뛰어납니다.

 AWS 리전 및 가용 영역에 대한 자세한 내용은 [AWS 글로벌 인프라를](https://aws.amazon.com/about-aws/global-infrastructure) 참조하세요.

AMS Accelerate 연속성 관리에 대한 자세한 내용은 섹션을 참조하세요[AMS Accelerate의 연속성 관리](acc-backup.md).

# end-of-support 운영 체제에 대한 보안 제어
<a name="ams-eos-sec-controls-os"></a>

운영 체제 제조업체의 '지원 end-of-support' 또는 EOS의 일반 지원 기간을 벗어나고 보안 업데이트를 받지 않는 운영 체제는 보안 위험이 증가합니다.

AWS 는 운영 체제 end-of-support를 처리하는 데 도움이 되는 몇 가지 서비스를 제공합니다. Windows end-of-support 대한 자세한 내용은 [ Windows ServerEnd-of-Support 마이그레이션 프로그램을 참조하세요](https://aws.amazon.com/emp-windows-server/).

**참고**  
이 주제에 대한 추가 정보는 AWS Artifact 보고서에 액세스하여 확인할 수 있습니다. 자세한 내용은 [AWS Artifact의 보고서 다운로드](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) 섹션을 참조하세요. AWS 아티팩트에 액세스하려면 CSDM에 문의하여 지침을 받거나 [AWS 아티팩트 시작하기를](https://aws.amazon.com/artifact/getting-started) 참조하세요. 이 정보에는 민감한 보안 콘텐츠가 포함되어 있으므로이 사용 설명서에 포함되지 않습니다.

# Accelerate의 보안 모범 사례
<a name="acc-sec-best-practice"></a>

AMS Accelerate는 적합성 팩을 사용합니다. 적합성 팩은 관리형 또는 사용자 지정 AWS Config 규칙 및 AWS Config 문제 해결 작업을 사용하여 보안, 운영 또는 비용 최적화 거버넌스 검사를 생성할 수 있도록 설계된 범용 규정 준수 프레임워크를 제공합니다. 이러한 적합성 팩을 가장 잘 구성하는 방법에 대한 자세한 내용은 AWS Config의 [NIST CSF 운영 모범 사례](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-nist-csf.html) 및 [CIS 운영 모범 사례 상위 20개를](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-cis_top_20.html) 참조하세요.

# 변경 요청 보안 검토
<a name="acc-sec-change-request-review"></a>

AWS Managed Services 변경 요청 검토 프로세스를 통해 AMS는 요청된 변경 사항이 계정에서 사용자를 대신하여 구현될 때 보안 검토를 수행할 수 있습니다.

[AMS Accelerate 기술 표준](acc-sec-technical-standards.md) 최소 보안 기준, 구성 및 프로세스를 정의하여 계정의 기본 보안을 설정합니다. AMS가 요청된 변경 사항을 구현하면 이러한 표준을 따릅니다.

AMS는 AMS 기술 표준을 기준으로 모든 변경 요청을 평가합니다. 기술 표준을 벗어나 계정의 보안 태세를 저하시킬 수 있는 모든 변경 사항은 보안 검토 프로세스를 거칩니다. 이 프로세스 중에 AMS가 관련 위험을 강조 표시하고 승인된 위험 승인자가 검토 및 승인하여 보안 및 비즈니스 요구 사항의 균형을 유지합니다.

# 고객 보안 위험 관리 프로세스
<a name="acc-sec-csrm-process"></a>

AMS Accelerate Customer Security Risk Management(CSRM) 프로세스는 위험을 명확하게 식별하고 적절한 소유자에게 알리는 데 도움이 됩니다. 이 프로세스는 환경의 보안 위험을 최소화하고 식별된 위험에 대한 지속적인 운영 오버헤드를 줄입니다.

기본적으로 조직의 누군가가 AMS가 관리형 환경에 대한 변경을 구현하도록 요청하면 AMS는 변경 사항을 검토하여 요청이 기술 표준을 벗어나 계정의 보안 태세를 변경할 수 있는지 확인합니다. 보안 위험이 높거나 매우 높은 경우 권한 있는 보안 담당자가 변경 검토를 수락하거나 거부합니다. 요청된 변경 사항도 AMS의 계정 운영 능력에 부정적인 영향을 미치는지 평가됩니다. 검토에서 가능한 부정적인 영향이 발견되면 AMS 내에서 추가 검토 및 승인이 필요합니다.

위험이 높거나 매우 높은 경우 CSRM 프로세스의 승인 기반 워크플로에서 옵트아웃할 수 있습니다. 특정 계정의 CSRM 옵션을 **표준 CSRM**에서 **알림 전용**으로 변경하려면 Cloud Service Delivery Manager와 협력하여 일회성 위험 수락을 생성합니다. **알림 전용** 옵션을 선택하면 AMS는 위험 범주에 관계없이 요청된 변경 사항을 구현합니다. 또한 AMS는 변경 구현 전에 승인을 구하는 대신 승인된 위험 승인자에게 위험 알림을 보냅니다. AMS CSRM 프로세스, 새 AMS 계정을 온보딩할 때 기본 CSRM 옵션을 변경하는 방법 또는 기존 계정을 업데이트하는 방법에 대한 자세한 내용은 Cloud Architects 또는 Cloud Service Delivery Manager에게 문의하세요.

**참고**  
AMS는 모든 계정에서 **표준 CSRM**의 기본 옵션을 사용할 것을 적극 권장합니다.

# AMS Accelerate 기술 표준
<a name="acc-sec-technical-standards"></a>

다음은 Accelerate 기술 표준 범주입니다.


| ID | 범주 | 
| --- | --- | 
| AMS-STD-X002 | AWS Identity and Access Management | 
| AMS-STD-X003 | 네트워크 보안 | 
| AMS-STD-X004 | 침투 테스트 | 
| AMS-STD-X005 | Amazon GuardDuty | 
| AMS-STD-X007 | 로깅 | 

# AMS Accelerate의 표준 제어
<a name="acc-sec-stand-controls"></a>

다음은 AMS의 표준 컨트롤입니다.

## AMS-STD-X002 - AWS Identity and Access Management (IAM)
<a name="acc-sec-stand-controls-iam"></a>


| ID | 기술 표준 | 
| --- | --- | 
| 1.0 | 제한 시간 지속 시간 | 
| 1.1 | 페더레이션 사용자 기본 제한 시간 세션은 1시간이며 최대 4시간까지 늘릴 수 있습니다. | 
| 1.2 | Microsoft Windows Server의 RDP 세션 제한 시간은 15분으로 설정되며 사용 사례에 따라 연장할 수 있습니다. | 
| 2.0 | AWS 루트 계정 사용 | 
| 2.1 | 어떤 이유로든 루트 계정 사용량이 있는 경우 관련 조사 결과를 생성하도록 Amazon GuardDuty를 구성해야 합니다. | 
| 2.2 | 루트 계정의 액세스 키는 생성해서는 안 됩니다. | 
| 3.0 | 사용자 생성 및 수정 | 
| 3.1 | 프로그래밍 방식 액세스 권한과 읽기 전용 권한이 있는 IAM 사용자/역할은 시간 제한 정책 없이 생성할 수 있습니다. 그러나 권한 o는 계정의 모든 Amazon Simple Storage Service 버킷에서 객체(예: S3:GetObject) 읽기를 허용하지 않습니다. | 
| 3.1.1 | 콘솔 액세스 및 읽기 전용 권한을 가진 IAM 인간 사용자는 시간 제한 정책(최대 180일)을 사용하여 생성할 수 있지만 시간 제한 정책을 removal/renewal/extension하면 위험 알림이 발생합니다. 그러나 계정의 모든 S3 버킷에서 객체(예: S3:GetObject)를 읽을 수 있는 권한은 허용되지 않습니다. | 
| 3.2 | 고객 계정의 인프라 변경 권한(쓰기 및 권한 관리)을 사용한 콘솔 및 프로그래밍 방식 액세스에 대한 IAM 사용자 및 역할은 위험 수락 없이 생성해서는 안 됩니다. 특정 버킷이 비 AMS 관련 태그의 범위 및 태그 지정 작업에 있는 한 위험 수락 없이 허용되는 S3 객체 수준 쓰기 권한에는 예외가 있습니다. | 
| 3.3 | Microsoft Windows Servers에서는 Microsoft 그룹 관리형 서비스 계정(gMSA)만 생성해야 합니다. | 
| 4.0 | 정책, 작업 및 APIs | 
| 4.4 | 정책은 위험 수락 없이 "Effect": "Allow" with "Action": "\$1" over "Resource": "\$1"에 해당하는 문으로 관리자 액세스를 제공해서는 안 됩니다. | 
| 4.6 |  고객 IAM 정책의 AMS 인프라 키에 대한 KMS 키 정책에 대한 API 호출은 허용되지 않아야 합니다. | 
| 4.8 | Amazon Route 53에서 AMS 인프라 DNS 레코드를 변경하는 작업은 허용되지 않아야 합니다. | 
| 4.9 |  적절한 프로세스를 따른 후 콘솔 액세스 권한이 생성된 IAM 인간 사용자는 신뢰 정책, 역할 수임 및 시간 제한 정책을 제외하고 직접 연결된 정책이 없어야 합니다. | 
| 4.10 | 동일한 계정 AWS Secrets Manager 내의 특정 보안 암호 또는 네임스페이스에 대한 읽기 액세스 권한이 있는 Amazon EC2 인스턴스 프로파일을 생성할 수 있습니다. | 
| 4.12 | IAM 정책에는 AMS Amazon CloudWatch 로그 그룹에서 로그:DeleteLogGroup 및 로그:DeleteLogStream 허용 작업이 포함된 작업이 포함되어서는 안 됩니다. | 
| 4.13 | 다중 리전 키를 생성할 수 있는 권한은 허용되지 않아야 합니다. | 
| 4.14 | 서비스별 S3 조건 키 s3:ResourceAccount를 사용하여 계정 번호를 지정하여 버킷에 대한 액세스를 고객 계정으로 제한하여 고객 계정에 아직 생성되지 않은 S3 버킷 ARN에 대한 액세스를 제공할 수 있습니다. | 
| 4.15.1 | S3 스토리지 렌즈 사용자 지정 대시보드에 대한 보기, 생성, 나열 및 삭제 액세스 권한을 가질 수 있습니다. | 
| 4.16 | Amazon Redshift 데이터베이스에서 작업할 수 있도록 역할/사용자에게 SQL Workbench 관련 전체 권한을 부여할 수 있습니다. | 
| 4.17 | CLI의 대안으로 고객 역할에 모든 AWS CloudShell 권한을 부여할 수 있습니다. | 
| 4.18 |  AWS 서비스가 신뢰할 수 있는 보안 주체인 IAM 역할도 IAM 기술 표준을 준수해야 합니다. | 
| 4.19 |  서비스 연결 역할(SLRs)은 IAM 서비스 팀에서 구축 및 유지 관리하므로 AMS IAM 기술 표준의 적용을 받지 않습니다. | 
| 4.20 | IAM 정책은 계정의 모든 S3 버킷에서 객체(예: S3:GetObject)의 읽기를 허용해서는 안 됩니다. | 
| 4.21 | 리소스 유형 “savingsplan”에 대한 모든 IAM 권한을 고객에게 부여할 수 있습니다. | 
| 4.22 | AMS 엔지니어는 Amazon S3, Amazon S3 객체, 데이터베이스 등)를 수동으로 복사하거나 이동할 수 없습니다. Amazon Relational Database Service DynamoDB | 
| 6.0 | 교차 계정 정책 | 
| 6.1 | IAM 역할은 고객 레코드에 따라 동일한 고객에게 속한 AMS 계정 간에 정책을 신뢰합니다. | 
| 6.2 | IAM 역할은 동일한 AMS 고객이 비 AMS 계정을 소유한 경우에만(동일한 계정인지 확인하거나 이메일 도메인을 고객의 회사 이름과 일치시켜) AMS 계정과 비 AMS AWS Organizations 계정 간의 신뢰 정책을 구성해야 합니다. | 
| 6.3 | IAM 역할은 위험 수락 없이 AMS 계정과 타사 계정 간의 정책을 신뢰합니다. | 
| 6.4 | 동일한 고객의 AMS 계정 간에 고객 관리형 CMKs에 액세스하는 교차 계정 정책을 구성할 수 있습니다. | 
| 6.5 | AMS 계정을 통해 비 AMS 계정 내의 모든 KMS 키에 액세스하기 위한 교차 계정 정책을 구성할 수 있습니다. | 
| 6.6 | 타사 계정이 AMS 계정 내의 KMS 키에 액세스하기 위한 교차 계정 정책은 위험 수락 없이 허용되지 않아야 합니다. | 
| 6.6.1 | 비 AMS 계정이 AMS 계정 내의 모든 KMS 키에 액세스하기 위한 교차 계정 정책은 비 AMS 계정을 동일한 AMS 고객이 소유한 경우에만 구성할 수 있습니다. | 
| 6.7 | 동일한 고객의 AMS 계정 간에 데이터를 저장할 수 있는 모든 S3 버킷 데이터 또는 리소스(예: Amazon RDS, Amazon DynamoDB 또는 Amazon Redshift)에 액세스하기 위한 교차 계정 정책을 구성할 수 있습니다. | 
| 6.8 | 읽기 전용 액세스 권한이 있는 AMS 계정의 비 AMS 계정에 데이터를 저장할 수 있는 모든 S3 버킷 데이터 또는 리소스(예: Amazon RDS, Amazon DynamoDB 또는 Amazon Redshift)에 액세스하기 위한 교차 계정 정책을 구성할 수 있습니다. | 
| 6.9 | AMS를 비AMS 계정(또는 비AMS에서 AMS 계정)에 쓰기 권한으로 데이터를 저장할 수 있는 S3 버킷 데이터 또는 리소스(예: Amazon RDS, Amazon DynamoDB 또는 Amazon Redshift)에 액세스하기 위한 교차 계정 정책은 AMS 계정이 동일한 AMS 고객이 소유한 경우에만(동일 AWS Organizations 한 계정인지 확인하거나 이메일 도메인을 고객의 회사 이름과 일치시켜) 구성해야 합니다. | 
| 6.10 |  읽기 전용 액세스 권한이 있는 AMS 계정의 타사 계정에 데이터를 저장할 수 있는 모든 S3 버킷 데이터 또는 리소스(예: Amazon RDS, Amazon DynamoDB 또는 Amazon Redshift)에 액세스하기 위한 교차 계정 정책을 구성할 수 있습니다. | 
| 6.11 | 쓰기 액세스 권한이 있는 AMS 계정의 타사 계정에 데이터를 저장할 수 있는 S3 버킷 데이터 또는 리소스(예: Amazon RDS, Amazon DynamoDB 또는 Amazon Redshift)에 액세스하기 위한 교차 계정 정책은 구성하면 안 됩니다. | 
| 6.12 | 데이터를 저장할 수 있는 AMS 고객 S3 버킷 또는 리소스(asAmazon RDS, Amazon DynamoDB 또는 Amazon Redshift)에 액세스하기 위한 타사 계정의 교차 계정 정책은 위험 수락 없이 구성해서는 안 됩니다. | 
| 7.0 | 사용자 그룹 | 
| 7.1 | 읽기 전용 및 비변동 권한이 있는 IAM 그룹은 허용됩니다. | 
| 8.0 | 리소스 기반 정책 | 
| 8.4 | AMS 인프라 리소스는 리소스 기반 정책을 연결하여 승인되지 않은 자격 증명으로 관리로부터 보호해야 합니다. | 
| 8.2 | 고객이 다른 정책을 명시적으로 지정하지 않는 한 고객 리소스는 최소 권한 리소스 기반 정책으로 구성해야 합니다. | 

## AMS-STD-X003 - 네트워크 보안
<a name="acc-sec-stand-controls-network"></a>

다음은 X003 - 네트워크 보안에 대한 표준 제어입니다.


| ID | 기술 표준 | 
| --- | --- | 
|  | 네트워킹 | 
| 1.0 | 향후 제어를 위해 예약됨 | 
| 2.0 | EC2 인스턴스에서 탄력적 IP 허용 | 
| 3.0 | 데이터 영역 TLS 1.2 이상에서 AMS 컨트롤 플레인 및 확장별를 사용해야 합니다. | 
| 5.0 | 9.0에 따라 로드 밸런서에 연결되지 않은 경우 보안 그룹에 인바운드 규칙에서 소스가 0.0.0.0/0이 아니어야 합니다. | 
| 6.0 | 위험 수락 없이 S3 버킷 또는 객체를 공개해서는 안 됩니다. | 
| 7.0 | 포트 SSH/22 또는 SSH/2222(SFTP/2222 아님), TELNET/23, RDP/3389, WinRM/5985-5986, VNC/ 5900-5901 TS/CITRIX/1494 또는 1604, LDAP/389 또는 636 및 RPC/135에서 서버 관리 액세스는 보안 그룹을 통해 VPC 외부에서 허용되지 않아야 합니다. | 
| 8.0 | 포트(MySQL/3306, PostgreSQL/5432, Oracle/1521, MSSQL/1433) 또는 사용자 지정 포트의 데이터베이스 관리 액세스는 보안 그룹을 통해 DX, VPC 피어 또는 VPN을 통해 VPC로 라우팅되지 않은 퍼블릭 IPs에서 허용되지 않아야 합니다. | 
| 8.1 | 고객 데이터를 저장할 수 있는 리소스는 퍼블릭 인터넷에 직접 노출되어서는 안 됩니다. | 
| 9.0 | 인터넷에서 포트 HTTP/80, HTTPS/8443 및 HTTPS/443을 통한 직접 애플리케이션 액세스는 로드 밸런서에만 허용되며 EC2 인스턴스, ECS/EKS/Fargate 컨테이너 등과 같은 직접 컴퓨팅 리소스에는 허용되지 않습니다. | 
| 10.0 | 고객 프라이빗 IP 범위에서 포트 HTTP/80 및 HTTPS/443을 통한 애플리케이션 액세스를 허용할 수 있습니다. | 
| 11.0 | AMS 인프라에 대한 액세스를 제어하는 보안 그룹에 대한 모든 변경은 위험 수락 없이 허용되지 않아야 합니다. | 
| 12.0 | AMS Security는 보안 그룹이 인스턴스에 연결되도록 요청될 때마다 표준을 참조합니다. | 
| 14.0 | AMS에서 비 AMS 계정(또는 비 AMS에서 AMS 계정)으로의 VPCs와 프라이빗 호스팅 영역의 교차 계정 연결은 내부 도구를 사용하여 동일한 AMS 고객이 비 AMS 계정을 소유한 경우에만(동일한 AWS 조직 계정인지 확인하거나 이메일 도메인을 고객의 회사 이름과 일치시켜) 구성해야 합니다. | 
| 15.0 | 동일한 고객에게 속한 계정 간의 VPC 피어링 연결을 허용할 수 있습니다. | 
| 16.0 | AMS 기본 AMIs는 내부 도구를 사용하여 동일한 고객이 두 계정을 소유하는 한(동일한 계정인지 확인하거나 이메일 도메인을 고객의 회사 이름과 일치시키는 방법으로) 비 AMS AWS Organizations 계정과 공유할 수 있습니다. | 
| 17.0 | FTP 포트 21은 위험 수락 없이 보안 그룹에 구성해서는 안 됩니다. | 
| 18.0 | 고객이 모든 계정을 소유하는 한 전송 게이트웨이를 통한 교차 계정 네트워크 연결이 허용됩니다. | 
| 19.0 | 프라이빗 서브넷을 퍼블릭으로 설정하는 것은 허용되지 않습니다. | 
| 20.0 | 타사 계정(고객이 소유하지 않음)과의 VPC 피어링 연결은 허용되지 않습니다. | 
| 21.0 | 타사 계정(고객이 소유하지 않음)과의 Transit Gateway 연결은 허용되지 않습니다. | 
| 22.0 | AMS가 고객에게 서비스를 제공하는 데 필요한 네트워크 트래픽은 고객 네트워크 송신 지점에서 차단되어서는 안 됩니다. | 
| 23.0 | 고객 인프라에서 Amazon EC2에 대한 인바운드 ICMP 요청에는 위험 알림이 필요합니다. | 
| 24.0 | 보안 그룹을 통해 DX, VPC 피어 또는 VPN을 통해 Amazon VPC로 라우팅된 퍼블릭 IPs의 인바운드 요청은 허용됩니다. | 
| 25.0 | 보안 그룹을 통해 DX, VPC-peer 또는 VPN을 통해 Amazon VPC로 라우팅되지 않은 퍼블릭 IPs의 인바운드 요청은 위험 수락이 필요합니다. | 
| 26.0 |  Amazon EC2에서 모든 대상으로의 아웃바운드 ICMP 요청이 허용됩니다. | 
| 27.0 | 보안 그룹 공유 | 
| 27.1 | 보안 그룹이이 보안 표준을 충족하는 경우 동일한 계정VPCs와 동일한 조직의 계정 간에 공유할 수 있습니다. | 
| 27.2 | 보안 그룹이이 표준을 충족하지 못하고 이전에이 보안 그룹에 대해 위험 수락이 필요한 경우, 동일한 계정의 VPCs 간 또는 동일한 조직의 계정 간 보안 그룹 공유 기능의 사용은 해당 VPC 또는 계정에 대한 위험 수락 없이 허용되지 않습니다. | 

## AMS-STD-X004 - 침투 테스트
<a name="acc-sec-stand-controls-pentest"></a>

다음은 X004 - 침투 테스트를 위한 표준 컨트롤입니다.

1. AMS는 pentest 인프라를 지원하지 않습니다. 이는 고객의 책임입니다. 예를 들어 Kali는 Linux의 AMS 지원 배포판이 아닙니다.

1. 고객은 [침투 테스트를](https://aws.amazon.com/security/penetration-testing/) 준수해야 합니다.

1. 고객이 계정 내에서 인프라 침투 테스트를 수행하려는 경우 24시간 전에 AMS에 미리 알립니다.

1. AMS는 고객의 변경 요청 또는 서비스 요청에 명시적으로 명시된 고객 요구 사항에 따라 고객 테스트 인프라를 프로비저닝합니다.

1. 인프라를 테스트하는 고객의 자격 증명 관리는 고객의 책임입니다.

## AMS-STD-X005 - GuardDuty
<a name="acc-sec-stand-controls-gdu"></a>

다음은 X005 - GuardDuty에 대한 표준 컨트롤입니다.

1. GuardDuty는 모든 고객 계정에서 항상 활성화되어야 합니다.

1. GuardDuty 알림은 동일한 계정 또는 동일한 조직의 다른 관리형 계정 내에 저장되어야 합니다.

1. GuardDuty의 신뢰할 수 있는 IP 목록 기능은 사용해서는 안 됩니다. 대신 자동 아카이브를 대안으로 사용할 수 있으며, 이는 감사 목적에 유용합니다.

## AMS-STD-X007 - 로깅
<a name="acc-sec-stand-controls-logging"></a>

다음은 X007 - 로깅에 대한 표준 컨트롤입니다.


| ID | 기술 표준 | 
| --- | --- | 
| 1.0 | 로그 유형 | 
| 1.1 | OS 로그: 모든 호스트는 최소 호스트 인증 이벤트, 승격된 권한의 모든 사용에 대한 액세스 이벤트, 성공 및 실패를 포함한 액세스 및 권한 구성에 대한 모든 변경 사항에 대한 액세스 이벤트를 로깅해야 합니다. | 
| 1.2 | AWS CloudTrail: 로그를 S3 버킷에 전달하도록 CloudTrail 관리 이벤트 로깅을 활성화하고 구성해야 합니다. | 
| 1.3 | VPC 흐름 로그: 모든 네트워크 트래픽 로그는 VPC 흐름 로그를 통해 로깅되어야 합니다. | 
| 1.4 | Amazon S3 서버 액세스 로깅: 로그를 저장하는 AMS 필수 S3 버킷에는 서버 액세스 로깅이 활성화되어 있어야 합니다. | 
| 1.5 | AWS Config 스냅샷: AWS Config 모든 리전에서 지원되는 모든 리소스에 대한 구성 변경을 기록하고 구성 스냅샷 파일을 하루에 한 번 이상 S3 버킷에 전달해야 합니다. | 
| 1.7 | 애플리케이션 로그: 고객은 애플리케이션에서 로깅을 활성화하고 CloudWatch Logs 로그 그룹 또는 S3 버킷에 저장할 수 있습니다. | 
| 1.8 | S3 객체 수준 로깅: 고객은 S3 버킷에서 객체 수준 로깅을 활성화할 수 있습니다. | 
| 1.9 | 서비스 로깅: 고객은 모든 핵심 서비스와 같은 SSPS 서비스에 대한 로그를 활성화하고 전달할 수 있습니다. | 
| 1.10 | Elastic Load Balancing(Classic/Application Load Balancer/Network Load Balancer) 로그: 액세스 및 오류 로그 항목은 AMS 2.0 관리형 S3 버킷에 저장되어야 합니다. | 
| 2.0 | 액세스 제어 | 
| 2.3 | 로그를 저장하는 AMS 필수 S3 버킷은 타사 계정 사용자를 버킷 정책의 원칙으로 허용해서는 안 됩니다. | 
| 2.4 | CloudWatch Logs 로그 그룹의 로그는 고객이 승인한 보안 담당자의 명시적 승인 없이 삭제해서는 안 됩니다. | 
| 3.0 | 로그 보존 | 
| 3.1 | AMS 필수 CloudWatch Logs 로그 그룹의 로그 보존 기간은 최소 90일이어야 합니다. | 
| 3.2 | 로그를 저장하는 AMS 필수 S3 버킷은 로그에서 최소 보존 기간이 18개월이어야 합니다. | 
| 3.3 | AWS Backup 스냅샷은 지원되는 리소스에서 최소 31일 동안 보존할 수 있어야 합니다. | 
| 4.0 | 암호화(Encryption) | 
| 4.1 | 로그를 저장하는 AMS Teams에 필요한 모든 S3 버킷에서 암호화를 활성화해야 합니다. | 
| 4.2 | 고객 계정에서 다른 계정으로 로그를 전달하는 것은 암호화되어야 합니다. | 
| 5.0 | 무결성 | 
| 5.1 | 로그 파일 무결성 메커니즘을 활성화해야 합니다. 즉, AMS 팀에 필요한 AWS CloudTrail 추적에서 “로그 파일 검증”을 구성합니다. | 
| 6.0 | 로그 전달 | 
| 6.1 | 모든 로그는 한 AMS 계정에서 동일한 고객의 다른 AMS 계정으로 전달할 수 있습니다. | 
| 6.2 | 내부 도구를 사용하여 동일한 AMS 고객이 비 AMS 계정을 소유한 경우에만(동일한 계정인지 확인하거나 이메일 도메인을 고객의 회사 이름 및 PAYER 연결 계정과 AWS Organizations 일치시켜) 모든 로그를 AMS에서 비 AMS 계정으로 전달할 수 있습니다. | 

# 환경에서 보안 위험이 높거나 매우 높은 변경 사항
<a name="acc-sec-high-risk-con"></a>

다음과 같은 변경 사항으로 인해 환경에서 보안 위험이 높거나 매우 높습니다.

**AWS Identity and Access Management**
+ High\$1Risk-IAM-001: 루트 계정에 대한 액세스 키 생성
+ High\$1Risk-IAM-002: 추가 액세스를 허용하는 SCP 정책 수정
+ High\$1Risk-IAM-003: AMS 인프라를 손상시킬 수 있는 SCP 정책 수정
+ High\$1Risk-IAM-004: 고객 계정에서 인프라 변경 권한(쓰기, 권한 관리 또는 태그 지정)이 있는 역할/사용자 생성
+ High\$1Risk-IAM-005: IAM 역할은 AMS 계정과 타사 계정(고객이 소유하지 않음) 간의 정책을 신뢰합니다.
+ High\$1Risk-IAM-006: 타사 계정을 통해 AMS 계정에서 모든 KMS 키에 액세스하기 위한 교차 계정 정책)
+ High\$1Risk-IAM-007: 데이터를 저장할 수 있는 AMS 고객 S3 버킷 또는 리소스(예: Amazon RDS, Amazon DynamoDB 또는 Amazon Redshift)에 액세스하기 위한 타사 계정의 교차 계정 정책
+ High\$1Risk-IAM-008: 고객 계정의 인프라 변경 권한을 사용하여 IAM 권한 할당
+ High\$1Risk-IAM-009: 계정의 모든 S3 버킷에 대한 나열 및 읽기 허용

**네트워크 보안**
+ High\$1Risk-NET-001: 인터넷에서 OS 관리 포트 SSH/22 또는 SSH/2222(SFTP/2222 아님), TELNET/23, RDP/3389, WinRM/5985-5986, VNC/ 5900-5901 TS/CITRIX/1494 또는 1604, LDAP/389 또는 636 및 NETBIOS/137-139를 엽니다.
+ High\$1Risk-NET-002: 데이터베이스 관리 포트 MySQL/3306, PostgreSQL/5432, Oracle/1521, MSSQL/1433 또는 인터넷의 모든 관리 고객 포트 열기
+ High\$1Risk-NET-003: 모든 컴퓨팅 리소스에서 직접 애플리케이션 포트 HTTP/80, HTTPS/8443 및 HTTPS/443을 엽니다. 예: 인터넷에서 EC2 인스턴스, ECS/EKS/Fargate 컨테이너 등
+ High\$1Risk-NET-004: AMS 인프라에 대한 액세스를 제어하는 보안 그룹에 대한 모든 변경 사항
+ High\$1Risk-NET-006: 타사 계정과의 VPC 피어링(고객이 소유하지 않음)
+ High\$1Risk-NET-007: 고객 방화벽을 모든 AMS 트래픽의 송신 지점으로 추가
+ High\$1Risk-NET-008: 타사 계정과의 Transit Gateway 연결이 허용되지 않음
+ High\$1Risk-S3-001: S3 버킷에서 퍼블릭 액세스 프로비저닝 또는 활성화

**로깅**
+ High\$1Risk-LOG-001: CloudTrail을 비활성화합니다.
+ High\$1Risk-LOG-002: VPC 흐름 로그를 비활성화합니다.
+ High\$1Risk-LOG-003: AMS 관리형 계정에서 타사 계정(고객이 소유하지 않음)으로 모든 메서드(S3 이벤트 알림, SIEM 에이전트 풀, SIEM 에이전트 푸시 등)를 통한 로그 전달
+ High\$1Risk-LOG-004: CloudTrail에 비 AMS 추적 사용

**기타사항**
+ High\$1Risk-ENC-001: 활성화된 경우 모든 리소스에서 암호화 비활성화

# 보안 FAQ
<a name="security-access-faq"></a>

AMS는 글로벌 운영 센터를 통해 연중무휴 follow-the-sun 지원을 제공합니다. 전용 AMS 운영 엔지니어는 대시보드와 인시던트 대기열을 적극적으로 모니터링합니다. 일반적으로 AMS는 자동화를 통해 계정을 관리합니다. 드문 경우지만 특정 문제 해결 또는 배포 전문 지식이 필요한 경우 AMS 운영 엔지니어가 AWS 계정에 액세스할 수 있습니다.

다음은 AMS 운영 엔지니어 또는 자동화가 계정에 액세스할 때 AMS Accelerate가 사용하는 보안 모범 사례, 제어, 액세스 모델 및 감사 메커니즘에 대한 일반적인 질문입니다.

## AMS 운영 엔지니어는 언제 내 환경에 액세스하나요?
<a name="access-faq-access-customer-env"></a>

AMS 운영 엔지니어는 계정 또는 인스턴스에 지속적으로 액세스할 수 없습니다. 고객 계정에 대한 액세스는 알림, 인시던트, 변경 요청 등과 같은 정당한 비즈니스 사용 사례에 대해서만 AMS 운영자에게 부여됩니다. 액세스는 AWS CloudTrail 로그에 문서화됩니다.

액세스 근거, 트리거 및 트리거 이니시에이터는 섹션을 참조하세요[AMS 고객 계정 액세스 트리거](access-justification.md#access-mgmt-triggers).

## AMS 운영 엔지니어는 내 계정에 액세스할 때 어떤 역할을 맡습니까?
<a name="access-faq-ops-access-roles"></a>

드물지만(\$15%) 환경에서 사람의 개입이 필요한 경우 AMS 운영 엔지니어는 기본 읽기 전용 액세스 역할을 사용하여 계정에 로그인합니다. 기본 역할은 Amazon Simple Storage Service, Amazon Relational Database Service, Amazon DynamoDB, Amazon Redshift, Amazon ElastiCache와 같은 데이터 스토어에 일반적으로 저장되는 콘텐츠에 액세스할 수 없습니다.

AMS 운영 엔지니어 및 시스템이 계정에서 서비스를 제공하는 데 필요한 역할 목록은 섹션을 참조하세요[AMS 고객 계정 액세스 IAM 역할](access-justification.md#access-mgmt-iam-roles).

## AMS 작업 엔지니어는 내 계정에 어떻게 액세스하나요?
<a name="access-faq-ops-access-process"></a>

고객 계정에 액세스하기 위해 AMS 운영 엔지니어는 AWS 내부 AMS 액세스 서비스를 사용합니다. 이 내부 서비스는 계정에 대한 액세스가 안전하고 감사되도록 안전한 프라이빗 채널을 통해서만 사용할 수 있습니다.

1. AMS 작업 엔지니어는 내부 AMS 액세스 서비스 인증을 2단계 인증과 함께 사용합니다. 또한 운영 엔지니어는 AWS 계정에 액세스해야 하는 필요성을 설명하는 비즈니스 근거(인시던트 티켓 또는 서비스 요청 ID)를 제공해야 합니다.

1. 운영 엔지니어의 권한 부여에 따라 AMS 액세스 서비스는 엔지니어에게 적절한 역할(읽기 only/Operator/Admin)과 AWS 콘솔에 대한 로그인 URL을 제공합니다. 계정에 대한 액세스는 수명이 짧고 시간 제한이 있습니다.

1. Amazon EC2 인스턴스에 액세스하기 위해 AMS 작업 엔지니어는 브로커와 동일한 내부 AMS 액세스 서비스를 사용합니다. 액세스 권한이 부여되면 AMS 작업 엔지니어는 AWS Systems Manager Session Manager 를 사용하여 수명이 짧은 세션 자격 증명으로 인스턴스에 액세스합니다.

   Windows 인스턴스에 대한 RDP 액세스를 제공하기 위해 운영 엔지니어는 Amazon EC2 Systems Manager를 사용하여 인스턴스에 로컬 사용자를 생성하고 인스턴스로 포트 전달을 설정합니다. 작업 엔지니어는 인스턴스에 대한 RDP 액세스에 로컬 사용자 자격 증명을 사용합니다. 로컬 사용자 자격 증명은 세션이 끝날 때 제거됩니다.

다음 다이어그램은 AMS 운영 엔지니어가 계정에 액세스하는 데 사용하는 프로세스를 간략하게 설명합니다.

![\[AMS Accelerate 콘솔 액세스 방법.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/accelerate-guide/images/acc-op-console-access-method2.png)


## AMS 관리형 AWS 계정에서 AMS의 변경 사항을 추적하려면 어떻게 해야 합니까?
<a name="access-faq-track-changes"></a>

**계정 액세스**

자동화 또는 AMS Accelerate 운영 팀의 변경 사항을 추적할 수 있도록 AMS는 Amazon Athena 콘솔 및 AMS Accelerate 로그에 **변경 레코드** SQL 인터페이스를 제공합니다. 이러한 리소스는 다음 정보를 제공합니다.
+ 계정에 액세스한 사람.
+ 계정에 액세스한 시간입니다.
+ 계정에 액세스하는 데 사용된 권한입니다.
+ 계정에서 AMS Accelerate가 변경한 사항입니다.
+ 계정에서 변경한 이유.

**리소스 구성**

CloudTrail 로그를 보고 지난 90일 동안 AWS 리소스의 구성을 추적합니다. 구성이 90일보다 오래된 경우 Amazon S3의 로그에 액세스합니다.

**인스턴스 로그**

Amazon CloudWatch 에이전트는 운영 체제 로그를 수집합니다. CloudWatch 로그를 보고 운영 체제에서 지원하는 로그인 및 기타 작업 로그를 확인합니다.

자세한 내용은 [AMS Accelerate 계정의 변경 사항 추적](acc-change-record.md) 단원을 참조하십시오.

## 내 계정에 대한 AMS 운영 엔지니어 액세스에 대한 프로세스 제어는 무엇입니까?
<a name="access-faq-process-controls"></a>

AMS에 가입하기 전에 운영 엔지니어는 범죄 신원 조회를 거칩니다. AMS 엔지니어는 고객 인프라를 관리하기 때문에 필수 연간 신원 조회도 수행합니다. 엔지니어가 신원 조회에 실패하면 액세스가 취소됩니다.

모든 AMS 운영 엔지니어는 리소스에 대한 액세스 권한을 부여받기 전에 인프라 보안, 데이터 보안 및 인시던트 대응과 같은 필수 보안 교육을 완료해야 합니다.

## 권한 있는 액세스는 어떻게 관리되나요?
<a name="access-faq-privileged-access"></a>

일부 사용자는 추가 교육을 완료하고 승격된 액세스를 위한 권한 있는 액세스 권한을 유지해야 합니다. 액세스 및 사용량을 검사하고 감사합니다. AMS는 권한이 있는 액세스를 예외적인 상황 또는 최소 권한 액세스가 요청을 충족할 수 없는 상황으로 제한합니다. 권한 있는 액세스도 시간 제한입니다.

## AMS 운영 엔지니어가 MFA를 사용하나요?
<a name="access-faq-mfa"></a>

예. 모든 사용자는 MFA 및 존재 증명을 사용하여 서비스를 제공해야 합니다.

## AMS 직원이 조직을 떠나거나 직무 역할을 변경하면 액세스는 어떻게 되나요?
<a name="access-faq-access-turnover"></a>

고객 계정 및 리소스에 대한 액세스는 내부 그룹 멤버십을 통해 프로비저닝됩니다. 멤버십은 AMS의 특정 직무 역할, 보고 관리자 및 고용 상태를 포함한 엄격한 기준을 기반으로 합니다. 운영 엔지니어의 직군이 변경되거나 사용자 ID가 비활성화되면 액세스가 취소됩니다.

## 내 계정에 대한 AMS 작업 엔지니어 액세스를 제어하는 액세스 제어는 무엇입니까?
<a name="access-faq-access-controls"></a>

환경에 액세스하기 위한 “알아야 할 필요” 및 “최소 권한” 원칙을 적용하는 여러 계층의 기술 제어가 있습니다. 다음은 액세스 제어 목록입니다.
+ 고객 계정 및 리소스에 액세스하려면 모든 운영 엔지니어가 특정 내부 AWS 그룹에 속해야 합니다. 그룹 멤버십은 반드시 알아야 할 필요성을 기반으로 하며 사전 정의된 기준으로 자동화됩니다.
+ AMS는 환경에 대한 '비지속성' 액세스를 연습합니다. 즉, AMS 작업을 통한 AWS 계정 액세스는 수명이 짧은 자격 증명으로 "just-in-time"됩니다. 계정에 대한 액세스는 내부 비즈니스 사례 정당화(서비스 요청, 인시던트, 변경 관리 요청 등)가 제출되고 검토된 후에만 제공됩니다.
+ AMS는 최소 권한 원칙을 따릅니다. 따라서 권한 있는 운영 엔지니어는 기본적으로 읽기 전용 액세스를 수임합니다. 쓰기 액세스는 인시던트 또는 변경 요청으로 인해 환경을 변경해야 하는 경우에만 엔지니어가 사용합니다.
+ AMS는 쉽게 식별할 수 있는 표준 AWS Identity and Access Management 역할을 사용하여 “ams” 접두사를 사용하여 계정을 모니터링하고 관리합니다. 감사를 AWS CloudTrail 위해 모든 액세스가 로그인됩니다.
+ AMS는 자동 백엔드 도구를 사용하여 변경 실행의 고객 정보 검증 단계에서 계정에 대한 무단 변경을 감지합니다.

## AMS는 루트 사용자 액세스를 어떻게 모니터링하나요?
<a name="access-faq-monitor-root-access"></a>

루트 액세스는 항상 인시던트 대응 프로세스를 트리거합니다. AMS는 Amazon GuardDuty 탐지를 사용하여 루트 사용자 활동을 모니터링합니다. GuardDuty가 알림을 생성하면 AMS는 추가 조사를 위한 이벤트를 생성합니다. AMS는 예기치 않은 루트 계정 활동이 감지되면 이를 알리고 AMS 보안 팀이 조사를 시작합니다.

## AMS는 보안 인시던트에 어떻게 대응하나요?
<a name="access-faq-monitor-security-incident"></a>

AMS는 Amazon GuardDuty, Amazon Macie와 같은 탐지 서비스 및 고객이 보고한 보안 문제에서 생성된 보안 이벤트를 조사합니다. AMS는 보안 대응 팀과 협력하여 보안 인시던트 대응(SIR) 프로세스를 실행합니다. AMS SIR 프로세스는 [NIST SP 800-61 개정 2, 컴퓨터 보안 인시던트 처리 가이드](https://csrc.nist.gov/pubs/sp/800/61/r2/final) 프레임워크를 기반으로 하며 연중무휴 follow-the-sun 제공합니다. AMS는 사용자와 협력하여 보안 인시던트를 신속하게 분석하고 억제합니다.

## AMS는 어떤 업계 표준 인증 및 프레임워크를 준수하나요?
<a name="access-faq-industry-standards"></a>

다른 AWS 서비스와 마찬가지로 AWS Managed Services는 OSPAR, HIPAA, HITRUST, GDPR, SOC\$1, ISO\$1, FedRAMP(중간/높음), IRAP 및 PCI 인증을 받았습니다. 와 AWS 일치하는 고객 규정 준수 인증, 규정 및 프레임워크에 대한 자세한 내용은 [AWS 규정 준수를](https://aws.amazon.com/compliance/) 참조하세요.

**보안 가드레일**

AWS Managed Services는 여러 제어를 사용하여 정보 자산을 보호하고 AWS 인프라를 안전하게 유지하는 데 도움이 됩니다. AMS Accelerate는 AWS Config 규칙 및 수정 작업 라이브러리를 유지 관리하여 계정이 보안 및 운영 무결성에 대한 업계 표준을 준수하도록 합니다. AWS Config 규칙은 기록된 리소스의 구성 변경을 지속적으로 추적합니다. 변경 사항이 규칙의 조건을 위반하는 경우 AMS는 해당 결과를 사용자에게 보고합니다. 위반의 심각도에 따라 위반을 자동으로 또는 요청으로 해결할 수 있습니다.

AMS는 규칙을 사용하여 다음 표준의 요구 사항을 충족 AWS Config 합니다.
+ 인터넷 보안 센터(CIS)
+ 미국 국립표준기술연구소(NIST) 클라우드 보안 프레임워크(CSF)
+ HIPAA(미국 건강 보험 양도 및 책임에 관한 법)
+ Payment Card Industry(PCI) 데이터 보안 표준(DSS)

자세한 내용은 [AMS Accelerate의 보안 관리](acc-sec.md) 섹션을 참조하세요.

## 보안 인증, 프레임워크 및 규정 준수에 대한 최신 보고서에 액세스하려면 어떻게 해야 하나요 AWS?
<a name="access-faq-sec-reports"></a>

다음 방법을 사용하여 AWS 서비스에 대한 현재 보안 및 규정 준수 보고서를 찾을 수 있습니다.
+ [AWS Artifact](https://aws.amazon.com/artifact/)를 사용하여 AWS 서비스의 보안, 가용성 및 기밀성에 대한 최신 보고서를 다운로드할 수 있습니다.
+ 글로벌 규정 준수 프레임워크를 준수하는 AWS Managed Services를 포함한 대부분의 AWS 서비스 목록은 섹션을 참조하세요[https://aws.amazon.com/compliance/services-in-scope/](https://aws.amazon.com/compliance/services-in-scope/). 예를 들어 **PCI**를 선택하고 **AWS Managed Services**를 검색합니다.

  "AMS"를 검색하여 AMS 관리형 AWS 계정에서 AMS별 보안 아티팩트를 찾을 수 있습니다. AWS Managed Services는 [SOC 3](https://d1.awsstatic.com/whitepapers/compliance/AWS_SOC3.pdf)의 범위 내에 있습니다.
+  AWS SOC 2(시스템 및 조직 제어) 보고서가 AWS Artifact 리포지토리에 게시됩니다. 이 보고서는 미국 공인회계사협회(AICPA) TSP 섹션 100, 신뢰 서비스 기준의 보안, 가용성 및 기밀성 기준을 충족하는 AWS 제어를 평가합니다.

## AMS는 AMS 기능의 다양한 측면에 대한 참조 아키텍처 다이어그램을 공유하나요?
<a name="access-faq-arch-diagrams"></a>

AMS 참조 아키텍처를 보려면 [AWS Managed Services for Proactive Monitoring PDF](samples/AWS-managed-services-for-operational-excellence-ra.zip)를 다운로드합니다.

## AMS는 내 계정에 액세스하는 사람과 액세스를 위한 비즈니스 요구 사항을 어떻게 추적하나요?
<a name="access-faq-track-access"></a>

서비스 연속성과 계정 보안을 지원하기 위해 AMS는 선제적 상태 또는 유지 관리, 상태 또는 보안 이벤트, 계획된 활동 또는 고객 요청에 대한 응답으로만 계정 또는 인스턴스에 액세스합니다. 계정에 대한 액세스는 AMS [Accelerate의 액세스 모델에 설명된 대로 AMS](acc-access-operator.md) 프로세스를 통해 승인됩니다. 이러한 권한 부여 흐름에는 우발적이거나 부적절한 액세스를 방지하기 위한 가드레일이 포함되어 있습니다. 액세스 흐름의 일환으로 AMS는 비즈니스 요구 사항을 권한 부여 시스템에 제공합니다. 이러한 비즈니스 요구 사항은 AMS로 연 사례와 같이 계정과 연결된 작업 항목일 수 있습니다. 또는 패치 솔루션과 같은 승인된 워크플로가 비즈니스 요구 사항일 수 있습니다. 모든 액세스에는 액세스 요청을 비즈니스 요구 사항에 맞게 조정하기 위해 비즈니스 규칙에 따라 내부 AMS 시스템에서 실시간으로 검증, 확인 및 승인하는 근거가 필요합니다.

AMS 운영 엔지니어에게는 유효한 비즈니스 요구 없이 계정에 액세스할 수 있는 경로가 제공되지 않습니다. 모든 계정 액세스 및 관련 비즈니스 요구 사항은 AWS 계정 내의 AWS CloudTrail 항목으로 내보내집니다. 이를 통해 완전한 투명성과 자체 감사 및 검사를 수행할 수 있는 기회가 제공됩니다. 검사 외에도 AMS는 자동 검사를 수행하고 필요에 따라 액세스 요청에 대한 수동 검사를 수행하며 비정상적인 액세스를 검토하기 위해 도구 및 인적 액세스에 대한 감사를 수행합니다.

## AMS 엔지니어는 Amazon S3, Amazon RDS, DynamoDB, Amazon Redshift와 같은 AWS 데이터 스토리지 서비스에 저장된 데이터에 액세스할 수 있나요?
<a name="access-faq-data-access"></a>

AMS 엔지니어는 데이터 스토리지에 일반적으로 사용되는 AWS 서비스에 저장된 고객 콘텐츠에 액세스할 수 없습니다. 이러한 서비스에서 데이터를 읽거나, 쓰거나, 수정하거나, 삭제하는 데 사용되는 AWS APIs에 대한 액세스는 AMS 엔지니어 액세스에 사용되는 IAM 역할과 관련된 명시적 IAM 거부 정책에 의해 제한됩니다. 또한 내부 AMS 가드레일 및 자동화는 AMS 운영 엔지니어가 거부 조건을 제거하거나 수정하는 것을 방지합니다.

## AMS 엔지니어는 Amazon EBS, Amazon EFS 및 Amazon FSx에 저장된 고객 데이터에 액세스할 수 있나요?
<a name="access-faq-data-access-ebs"></a>

AMS 엔지니어는 Amazon EC2 인스턴스에 관리자로 로그인할 수 있습니다. 운영 체제(OS) 문제 및 패치 실패를 포함하되 이에 국한되지 않는 특정 시나리오에서 문제를 해결하려면 관리자 액세스가 필요합니다. AMS 엔지니어는 일반적으로 시스템 볼륨에 액세스하여 감지된 문제를 해결합니다. 그러나 AMS 엔지니어에 대한 액세스는 시스템 볼륨으로 제한되거나 제한되지 않습니다.

## 내 환경에 대한 권한이 높은 자동화 역할에 대한 액세스는 어떻게 제한되거나 제어되나요?
<a name="access-faq-auto-roles"></a>

`ams-access-admin` 역할은 AMS 자동화에서만 사용됩니다. 이러한 자동화는 AMS가 원격 측정, 상태 및 보안 데이터 수집을 위해 환경에 배포하는 데 사용하는 필수 리소스를 배포, 관리 및 유지 관리하여 운영 기능을 수행합니다. AMS 엔지니어는 자동화 역할을 수임할 수 없으며 내부 시스템의 역할 매핑에 의해 제한됩니다. 런타임 시 AMS는 범위가 축소된 최소 권한 세션 정책을 모든 자동화에 동적으로 적용합니다. 이 세션 정책은 자동화의 기능과 권한을 제한합니다.

## AMS는 자동화 역할에 대한 AWS Well-Architected Framework에서 권장하는 최소 권한 원칙을 어떻게 구현하나요?
<a name="access-faq-auto-roles-least-privilege"></a>

런타임 시 AMS는 범위가 축소된 최소 권한 세션 정책을 모든 자동화에 적용합니다. 이렇게 범위가 축소된 세션 정책은 자동화의 기능과 권한을 제한합니다. IAM 리소스를 생성할 권한이 있는 세션 정책에도 권한 경계를 연결해야 합니다. 이 권한 경계는 권한 에스컬레이션 위험을 줄입니다. 모든 팀은 해당 팀에서만 사용하는 세션 정책을 온보딩합니다.

## 자동화 역할과 관련된 무단 액세스 시도 또는 의심스러운 활동을 탐지하는 데 사용되는 로깅 및 모니터링 시스템은 무엇입니까?
<a name="access-faq-auto-roles-monitor"></a>

AWS 는 AWS 서비스 팀이 내부적으로 사용할 수 있는 핵심 로그 아카이브 기능을 제공하는 중앙 집중식 리포지토리를 유지 관리합니다. 이러한 로그는 확장성, 내구성 및 가용성을 높이기 위해 Amazon S3에 저장됩니다. 그러면 AWS 서비스 팀은 중앙 로그 서비스에서 서비스 로그를 수집, 보관 및 볼 수 있습니다.

의 프로덕션 호스트 AWS 는 마스터 기준 이미지를 사용하여 배포됩니다. 기준 이미지에는 보안을 위한 로깅 및 모니터링을 포함하는 표준 구성 및 함수 세트가 탑재되어 있습니다. 이러한 로그는 AWS 보안 사고가 의심되는 경우 근본 원인 분석을 위해 보안 팀이 저장하고 액세스할 수 있습니다.

지정된 호스트에 대한 로그는 해당 호스트를 소유한 팀에서 사용할 수 있습니다. 팀은 로그에서 운영 및 보안 분석을 검색할 수 있습니다.

## 자동화 인프라와 관련된 보안 인시던트 또는 침해는 어떻게 처리되며 신속한 대응 및 완화에 도움이 되는 프로토콜은 무엇입니까?
<a name="access-faq-auto-infrastrcture"></a>

AWS 비상 계획 및 인시던트 대응 플레이북은 보안 인시던트를 탐지, 완화, 조사 및 평가하기 위한 도구와 프로세스를 정의하고 테스트했습니다. 이러한 계획 및 플레이북에는 계약 및 규제 요구 사항에 따라 잠재적 데이터 침해에 대응하기 위한 지침이 포함되어 있습니다.

## 자동화 인프라에서 정기적인 보안 평가, 취약성 스캔 및 침투 테스트를 수행합니까?
<a name="access-faq-auto-security-assessments"></a>

AWS 보안은 다양한 도구를 사용하여 AWS 환경의 호스트 운영 체제, 웹 애플리케이션 및 데이터베이스에 대한 정기적인 취약성 검사를 수행합니다. AWS 보안 팀은 또한 해당 공급업체 결함에 대한 뉴스 피드를 구독하고 공급업체의 웹 사이트 및 기타 관련 아웃렛에서 새 패치를 사전에 모니터링합니다.

## 자동화 인프라에 대한 액세스는 권한 있는 직원으로만 어떻게 제한되나요?
<a name="access-faq-auto-infrastructure-access"></a>

 AWS 시스템에 대한 액세스는 최소 권한을 기반으로 할당되며 승인된 개인이 승인합니다. 역할 및 책임 영역(예: 액세스 요청 및 승인, 변경 관리 요청 및 승인, 변경 개발, 테스트 및 배포 등)은 AWS 시스템의 무단 또는 의도하지 않은 수정 또는 오용을 줄이기 위해 서로 다른 개인으로 분리됩니다. 그룹 또는 공유 계정은 시스템 경계 내에서 허용되지 않습니다.

## 자동화 파이프라인에서 보안 표준을 유지하고 무단 액세스 또는 데이터 침해를 방지하기 위해 구현되는 조치는 무엇입니까?
<a name="access-faq-auto-security-standards"></a>

서비스, 호스트, 네트워크 디바이스, Windows 및 UNIX 그룹을 포함한 리소스에 대한 액세스는 적절한 소유자 또는 관리자가 AWS 독점 권한 관리 시스템에서 승인합니다. 권한 관리 도구 로그는 액세스 변경 요청을 캡처합니다. 직무 변경은 리소스에 대한 직원의 액세스를 자동으로 취소합니다. 해당 직원에 대한 지속적인 액세스를 요청하고 승인해야 합니다.

AWS 는 원격 위치에서 내부 AWS 네트워크에 인증하기 위해 승인된 암호화 채널을 통한 2단계 인증을 요구합니다. 방화벽 디바이스는 컴퓨팅 환경에 대한 액세스를 제한하고, 컴퓨팅 클러스터의 경계를 적용하고, 프로덕션 네트워크에 대한 액세스를 제한합니다.

감사 정보 및 감사 도구를 무단 액세스, 수정 및 삭제로부터 보호하기 위한 프로세스가 구현됩니다. 감사 레코드에는 필요한 분석 요구 사항을 지원하기 위한 데이터 요소 세트가 포함되어 있습니다. 또한 온디맨드 검사 또는 분석을 위해, 그리고 보안 관련 또는 비즈니스에 영향을 미치는 이벤트에 대응하여 승인된 사용자가 감사 레코드를 사용할 수 있습니다.

 AWS 시스템(예: 네트워크, 애플리케이션, 도구 등)에 대한 사용자 액세스 권한은 종료 또는 비활성화 후 24시간 이내에 취소됩니다. 비활성 사용자 계정은 최소 90일마다 비활성화 및/또는 제거됩니다.

## 권한 에스컬레이션 또는 액세스 오용을 감지하여 AMS 팀에 사전에 알리기 위해 액세스 또는 감사 로깅에 대한 이상 탐지 또는 모니터링이 켜져 있습니까?
<a name="access-faq-anomoly-detection"></a>

의 프로덕션 호스트 AWS 에는 보안을 위한 로깅이 탑재되어 있습니다. 이 서비스는 로그온, 실패한 로그온 시도 및 로그오프를 포함하여 호스트에서 인적 작업을 로깅합니다. 이러한 로그는 AWS 보안 사고가 의심되는 경우 근본 원인 분석을 위해 보안 팀이 저장하고 액세스할 수 있습니다. 지정된 호스트에 대한 로그는 해당 호스트를 소유한 팀에서도 사용할 수 있습니다. 서비스 팀은 프런트엔드 로그 분석 도구를 사용하여 로그에서 운영 및 보안 분석을 검색할 수 있습니다. 프로세스는 로그 및 감사 도구를 무단 액세스, 수정 및 삭제로부터 보호하는 데 도움이 되도록 구현됩니다. AWS 보안 팀은 로그 분석을 수행하여 정의된 위험 관리 파라미터를 기반으로 이벤트를 식별합니다.

## AMS 관리형 계정에서 추출되는 고객 데이터 유형은 무엇이며 이를 어떻게 활용하고 저장하나요?
<a name="access-faq-data-extraction"></a>

AMS는 어떤 목적으로도 콘텐츠에 액세스하거나 사용하지 않습니다. AMS는 고객 콘텐츠를 고객 계정과 AWS 서비스 관련하여 고객 또는 최종 사용자가에서 처리, 저장 또는 호스팅하기 AWS 위해 전송하는 소프트웨어(기계 이미지 포함), 데이터, 텍스트, 오디오, 비디오 또는 이미지와 고객 또는 최종 사용자가 사용을 통해 위에서 도출한 모든 계산 결과로 정의합니다 AWS 서비스.