기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 자격 증명 및 액세스 관리
AWS Identity and Access Management (IAM)는 AWS 리소스에 대한 액세스를 안전하게 제어하는 데 도움이 되는 웹 서비스입니다. IAM을 사용하여 리소스를 사용하도록 인증(로그인) 및 권한 부여(권한 있음)된 대상을 제어합니다. AMS 온보딩 중에 각 관리형 계정 내에서 교차 계정 IAM 관리자 역할을 생성할 책임은 사용자에게 있습니다.
## 다중 계정 랜딩 존(MALZ) IAM 보호
AMS 다중 계정 랜딩 존(MALZ)은 각 조직(AMS 및 고객 모두)이 자신의 자격 증명 수명 주기를 관리할 수 있도록 AMS 액세스 관리의 기본 설계 목표로 Active Directory(AD) 신뢰가 필요합니다. 이렇게 하면 서로의 디렉터리에 자격 증명이 필요하지 않습니다. 단방향 신뢰는의 관리형 Active Directory가 고객 소유 또는 관리형 AD를 AWS 계정 신뢰하여 사용자를 인증하도록 구성됩니다. 신뢰는 한 가지 방법일 뿐이므로 고객 Active Directory에서 관리형 AD를 신뢰한다는 의미는 아닙니다.
이 구성에서는 사용자 ID를 관리하는 고객 디렉터리를 사용자 포리스트라고 하며 Amazon EC2 인스턴스가 연결된 관리형 AD를 리소스 포리스트라고 합니다. Windows 인증을 위해 일반적으로 사용되는 Microsoft 설계 패턴입니다. 자세한 내용은 [포리스트 설계 모델을 참조하세요](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/forest-design-models).
이 모델을 사용하면 두 조직 모두 해당 수명 주기를 자동화할 수 있으며, 직원이 조직을 떠날 경우 AMS와 사용자 모두 액세스를 신속하게 취소할 수 있습니다. 이 모델이 없으면 두 조직이 공통 디렉터리를 사용한 경우(또는 서로의 디렉터리에서 사용자/그룹을 생성한 경우) 두 조직 모두 시작 및 나가는 직원을 고려하기 위해 추가 워크플로와 사용자 동기화를 적용해야 합니다. 이로 인해 해당 프로세스에 지연 시간이 있고 오류가 발생하기 쉬운 위험이 발생합니다.
### MALZ 액세스 사전 조건
AWS/AMS 콘솔, CLI, SDK에 액세스하기 위한 MALZ 자격 증명 공급자 통합.
![\[자격 증명 공급자와 AWS IAM, AWS Management Console및 AMS 변경 관리 간의 관계입니다.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/userguide/images/malz-access-prereqs-1.png)
AMS 계정의 Amazon EC2 인스턴스에 대한 단방향 신뢰.
![\[신뢰 방향은 Amazon EC2 인스턴스에서 조직의 Active Directory 도메인으로 단방향으로 이동합니다.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/userguide/images/malz-access-prereqs-2.png)
# ID를 통한 인증
AMS는 IAM 자격 증명의 한 유형인 IAM 역할을 사용합니다. IAM 역할은에서 자격 증명이 수행할 수 있는 작업과 수행할 수 없는 작업을 결정하는 권한 정책이 있는 자격 증명이라는 점에서 사용자와 매우 유사합니다 AWS. 그러나 역할에는 자격 증명이 연결되어 있지 않으므로 한 사람과 고유하게 연결되는 대신 역할이 필요한 모든 사용자가 역할을 수임할 수 있습니다. IAM 사용자는 한 가지 역할을 맡음으로써 특정 작업을 위해 다른 권한을 임시로 얻을 수 있습니다.
액세스 역할은 Operations Management에서 관리하고 정기적으로 검토하는 내부 그룹 멤버십에 의해 제어됩니다.
# AMS의 IAM 사용자 역할
IAM 사용자 역할
IAM 역할은 자격 AWS 증명이 할 수 있는 것과 없는 것을 결정하는 권한 정책이 있는 자격 증명이라는 점에서 IAM 사용자와 유사합니다 AWS. 그러나 역할은 한 사람하고만 연관되지 않고 해당 역할이 필요한 사람이라면 누구든지 맡을 수 있어야 합니다.
현재 `Customer_ReadOnly_Role`표준 AMS 계정의 경우 AMS 기본 사용자 역할 1개가 있고 관리형 Active Directory가 있는 AMS 계정`customer_managed_ad_user_role`의 경우 추가 역할 1개가 있습니다.
역할 정책은 CloudWatch 및 Amazon S3 로그 작업, AMS 콘솔 액세스, 대부분의 읽기 전용 제한, 계정 S3 콘솔에 대한 AWS 서비스제한된 액세스, AMS 변경 유형 액세스에 대한 권한을 설정합니다.
또한 `Customer_ReadOnly_Role`에는 인스턴스를 예약할 수 있는 변경 가능한 예약 인스턴스 권한이 있습니다. 일부 비용 절감 값이 있으므로 특정 수의 Amazon EC2 인스턴스가 장기간 필요할 경우 해당 APIs. 자세한 내용은 [Amazon EC2 예약 인스턴스를 참조하세요](https://aws.amazon.com/ec2/pricing/reserved-instances/).
**참고**
기존 정책을 재사용하지 않는 한, IAM 사용자에 대한 사용자 지정 IAM 정책을 생성하기 위한 AMS 서비스 수준 목표(SLO)는 영업일 기준 4일입니다. 기존 IAM 사용자 역할을 수정하거나 새 역할을 추가하려면 각각 [IAM: 개체 업데이트](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-review-required.html) 또는 [IAM: 개체 RFC 생성을](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy.html) 제출합니다.
Amazon IAM 역할에 익숙하지 않은 경우 [IAM 역할에서 중요한 정보를 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
**다중 계정 랜딩 존(MALZ)**: AMS 다중 계정 랜딩 존의 사용자 지정되지 않은 기본 사용자 역할 정책을 보려면 다음 단원[MALZ: 기본 IAM 사용자 역할](#json-default-role-malz)을 참조하십시오.
## MALZ: 기본 IAM 사용자 역할
기본 다중 계정 AMS 다중 계정 랜딩 존 사용자 역할에 대한 JSON 정책 설명입니다.
**참고**
사용자 역할은 사용자 지정할 수 있으며 계정별로 다를 수 있습니다. 역할을 찾는 방법에 대한 지침이 제공됩니다.
다음은 기본 MALZ 사용자 역할의 예입니다. 필요한 정책이 설정되어 있는지 확인하려면 AWS 명령을 실행[https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)하거나 AWS 관리 -> [IAM 콘솔](https://console.aws.amazon.com/iam/)에 로그인하고 탐색 창에서 **역할을** 선택합니다.
### 코어 OU 계정 역할
코어 계정은 MALZ 관리형 인프라 계정입니다. AMS 다중 계정 랜딩 존 코어 계정에는 관리 계정과 네트워킹 계정이 포함됩니다.
**코어 OU 계정: 공통 역할 및 정책**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/userguide/defaults-user-role.html)
**코어 OU 계정: 관리 계정 역할 및 정책**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/userguide/defaults-user-role.html)
**코어 OU 계정: 네트워킹 계정 역할 및 정책**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/userguide/defaults-user-role.html)
### 애플리케이션 계정 역할
애플리케이션 계정 역할은 애플리케이션별 계정에 적용됩니다.
**애플리케이션 계정: 역할 및 정책**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/userguide/defaults-user-role.html)
### 정책 예제
사용되는 대부분의 정책에 대한 예제가 제공됩니다. 활성 AWS 계정이 있는 경우 ReadOnlyAccess 정책(모든 AWS 서비스에 대한 읽기 전용 액세스를 제공하는 페이지)을 보려면이 링크를 사용할 수 [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary). 또한 요약된 버전이 여기에 포함되어 있습니다.
#### AMSBillingPolicy
`AMSBillingPolicy`
회계 부서에서 새 결제 역할을 사용하여 관리 계정의 결제 정보 또는 계정 설정을 보고 변경할 수 있습니다. 대체 연락처와 같은 정보에 액세스하거나, 계정 리소스 사용량을 보거나, 결제 탭을 유지하거나, 결제 방법을 수정하려면이 역할을 사용합니다. 이 새 역할은 [ AWS Billing IAM 작업 웹 페이지에](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#example-billing-deny-modifyaccount) 나열된 모든 권한으로 구성됩니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ModifyBilling"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToBilling"
},
{
"Action": [
"aws-portal:ViewAccount",
"aws-portal:ModifyAccount"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountSettings"
},
{
"Action": [
"budgets:ViewBudget",
"budgets:ModifyBudget"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountBudget"
},
{
"Action": [
"aws-portal:ViewPaymentMethods",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPaymentMethods"
},
{
"Action": [
"aws-portal:ViewUsage"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToUsage"
},
{
"Action": [
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostAndUsageReport"
},
{
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPricing"
},
{
"Action": [
"ce:*",
"compute-optimizer:*"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostExplorerComputeOptimizer"
},
{
"Action": [
"purchase-orders:ViewPurchaseOrders",
"purchase-orders:ModifyPurchaseOrders"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPurchaseOrders"
},
{
"Action": [
"redshift:AcceptReservedNodeExchange",
"redshift:PurchaseReservedNodeOffering"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToRedshiftAction"
},
{
"Action": "savingsplans:*",
"Resource": "*",
"Effect": "Allow",
"Sid": "AWSSavingsPlansFullAccess"
}
]
}
```
------
#### AMSChangeManagementReadOnlyPolicy
`AMSChangeManagementReadOnlyPolicy`
모든 AMS 변경 유형과 요청된 변경 유형의 기록을 볼 수 있는 권한.
#### AMSMasterAccountSpecificChangeManagementInfrastructurePolicy
`AMSMasterAccountSpecificChangeManagementInfrastructurePolicy`
배포 \$1 관리형 랜딩 존 \$1 관리 계정 \$1 애플리케이션 계정 생성(VPC 사용) 변경 유형을 요청할 수 있는 권한.
#### AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy
`AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy `
배포 \$1 관리형 랜딩 존 \$1 네트워킹 계정 \$1 애플리케이션 라우팅 테이블 변경 유형 생성을 요청할 수 있는 권한.
#### AMSChangeManagementInfrastructurePolicy
`AMSChangeManagementInfrastructurePolicy` (관리용 \$1 기타 \$1 기타 CTs)
관리 \$1 기타 \$1 기타 \$1 생성 및 관리 \$1 기타 \$1 기타 \$1 변경 유형 업데이트를 요청할 수 있는 권한.
#### AMSSecretsManagerSharedPolicy
`AMSSecretsManagerSharedPolicy`
를 통해 AMS에서 공유하는 보안 암호/해시를 볼 수 있는 권한 AWS Secrets Manager (예: 감사를 위한 인프라에 대한 암호).
AMS와 공유할 보안 암호/해시를 생성할 수 있는 권한(예: 배포해야 하는 제품의 라이선스 키).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyGetSecretOnCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowReadAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
#### AMSChangeManagementPolicy
`AMSChangeManagementPolicy`
모든 AMS 변경 유형 및 요청된 변경 유형의 기록을 요청하고 볼 수 있는 권한.
#### AMSReservedInstancesPolicy
`AMSReservedInstancesPolicy`
Amazon EC2 예약 인스턴스를 관리할 수 있는 권한. 요금 정보는 [Amazon EC2 예약 인스턴스를 참조하세요](https://aws.amazon.com/ec2/pricing/reserved-instances/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowReservedInstancesManagement",
"Effect": "Allow",
"Action": [
"ec2:ModifyReservedInstances",
"ec2:PurchaseReservedInstancesOffering"
],
"Resource": [
"*"
]
}]
}
```
------
#### AMSS3Policy
`AMSS3Policy`
기존 Amazon S3 버킷에서 파일을 생성하고 삭제할 수 있는 권한.
**참고**
이러한 권한은 배포 \$1 고급 스택 구성 요소 \$1 S3 스토리지 \$1 변경 유형 생성으로 수행해야 하는 S3 버킷을 생성할 수 있는 권한을 부여하지 않습니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
------
#### AWSSupportAccess
`AWSSupportAccess`
에 대한 전체 액세스 권한 지원. 자세한 내용은 [시작하기를 참조하세요 지원](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html). Premium Support에 대한 자세한 내용은 섹션을 참조하세요[지원](https://aws.amazon.com/premiumsupport/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"support:*"
],
"Resource": "*"
}]
}
```
------
#### AWSMarketplaceManageSubscriptions
`AWSMarketplaceManageSubscriptions` (공개 AWS관리형 정책)
구독, 구독 취소 및 AWS Marketplace 구독 보기 권한.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### AWSCertificateManagerFullAccess
`AWSCertificateManagerFullAccess`
에 대한 전체 액세스 권한 AWS Certificate Manager. 자세한 내용은 [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/) 단원을 참조하십시오.
[https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy](https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy) information, (퍼블릭 AWS 관리형 정책).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"acm:*"
],
"Resource": "*"
}]
}
```
------
#### AWSWAFFullAccess
`AWSWAFFullAccess`
에 대한 전체 액세스 권한 AWS WAF. 자세한 내용은 [AWS WAF - 웹 애플리케이션 방화벽](https://aws.amazon.com/waf/)을 참조하세요.
[https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html](https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html) information, (퍼블릭 AWS 관리형 정책). 이 정책은 AWS WAF 리소스에 대한 전체 액세스 권한을 부여합니다.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"waf:*",
"waf-regional:*",
"elasticloadbalancing:SetWebACL"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### ReadOnlyAccess
`ReadOnlyAccess`
AWS 콘솔의 모든 AWS 서비스 및 리소스에 대한 읽기 전용 액세스. 가 새 서비스를 AWS 시작하면 AMS는 ReadOnlyAccess 정책을 업데이트하여 새 서비스에 대한 읽기 전용 권한을 추가합니다. 이렇게 업데이트된 권한은 정책이 추가되는 모든 보안 주체 엔터티에게 적용됩니다.
이렇게 해도 EC2 호스트 또는 데이터베이스 호스트에 로그인할 수 있는 기능은 부여되지 않습니다.
활성가 있는 경우이 링크 [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary)를 사용하여 전체 ReadOnlyAccess 정책을 볼 AWS 계정수 있습니다. 전체 ReadOnlyAccess 정책은 모든에 대한 읽기 전용 액세스를 제공하는 한 매우 깁니다 AWS 서비스. 다음은 ReadOnlyAccess 정책의 부분 발췌문입니다.
**단일 계정 랜딩 존(SALZ)**: AMS 단일 계정 랜딩 존 기본 사용자 지정되지 않은 사용자 역할 정책을 보려면 [SALZ: 기본 IAM 사용자 역할](#json-default-role)다음을 참조하세요.
## SALZ: 기본 IAM 사용자 역할
기본 AMS 단일 계정 랜딩 존 사용자 역할에 대한 JSON 정책 설명입니다.
**참고**
SALZ 기본 사용자 역할은 사용자 지정할 수 있으며 계정별로 다를 수 있습니다. 역할을 찾는 방법에 대한 지침이 제공됩니다.
다음은 기본 SALZ 사용자 역할의 예입니다. 정책이 설정되어 있는지 확인하려면 [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) 명령을 실행합니다. 또는 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) AWS Identity and Access Management 콘솔에 로그인한 다음 **역할을** 선택합니다.
고객 읽기 전용 역할은 여러 정책의 조합입니다. 역할 분석(JSON)은 다음과 같습니다.
관리형 서비스 감사 정책:
관리형 서비스 IAM ReadOnly 정책
관리형 서비스 사용자 정책
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerToListTheLogBucketLogs",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"aws/*",
"app/*",
"encrypted",
"encrypted/",
"encrypted/app/*"
]
}
}
},
{
"Sid": "BasicAccessRequiredByS3Console",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Sid": "AllowCustomerToGetLogs",
"Effect": "Allow",
"Action": [
"s3:GetObject*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/aws/*",
"arn:aws:s3:::mc-a*-logs-*/encrypted/app/*"
]
},
{
"Sid": "AllowAccessToOtherObjects",
"Effect": "Allow",
"Action": [
"s3:DeleteObject*",
"s3:Get*",
"s3:List*",
"s3:PutObject*"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCustomerToListTheLogBucketRoot",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringEquals": {
"s3:prefix": [
"",
"/"
]
}
}
},
{
"Sid": "AllowCustomerCWLConsole",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "AllowCustomerCWLAccessLogs",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/*",
"arn:aws:logs:*:*:log-group:/infra/*",
"arn:aws:logs:*:*:log-group:/app/*",
"arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*"
]
},
{
"Sid": "AWSManagedServicesFullAccess",
"Effect": "Allow",
"Action": [
"amscm:*",
"amsskms:*"
],
"Resource": [
"*"
]
},
{
"Sid": "ModifyAWSBillingPortal",
"Effect": "Allow",
"Action": [
"aws-portal:Modify*"
],
"Resource": [
"*"
]
},
{
"Sid": "DenyDeleteCWL",
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "DenyMCCWL",
"Effect": "Deny",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/mc/*"
]
},
{
"Sid": "DenyS3MCNamespace",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*",
"arn:aws:s3:::mc-a*-logs-*/mc/*",
"arn:aws:s3:::mc-a*-logs-*-audit/*",
"arn:aws:s3:::mc-a*-internal-*/*",
"arn:aws:s3:::mc-a*-internal-*"
]
},
{
"Sid": "ExplicitDenyS3CfnBucket",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::cf-templates-*"
]
},
{
"Sid": "DenyListBucketS3LogsMC",
"Action": [
"s3:ListBucket"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"auditlog/*",
"encrypted/mc/*",
"mc/*"
]
}
}
},
{
"Sid": "DenyS3LogsDelete",
"Effect": "Deny",
"Action": [
"s3:Delete*",
"s3:Put*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/*"
]
},
{
"Sid": "DenyAccessToKmsKeysStartingWithMC",
"Effect": "Deny",
"Action": [
"kms:*"
],
"Resource": [
"arn:aws:kms::*:key/mc-*",
"arn:aws:kms::*:alias/mc-*"
]
},
{
"Sid": "DenyListingOfStacksStartingWithMC",
"Effect": "Deny",
"Action": [
"cloudformation:*"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/mc-*"
]
},
{
"Sid": "AllowCreateCWMetricsAndManageDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCreateandDeleteCWDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:DeleteDashboards",
"cloudwatch:PutDashboard"
],
"Resource": [
"*"
]
}
]
}
```
Customer Secrets Manager 공유 정책
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSecretsManagerListSecrets",
"Effect": "Allow",
"Action": "secretsmanager:listSecrets",
"Resource": "*"
},
{
"Sid": "AllowCustomerAdminAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyCustomerGetSecretCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowCustomerReadOnlyAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
Customer Marketplace 구독 정책
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMarketPlaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe"
],
"Resource": [
"*"
]
}
]
}
```
------
# 보안 이벤트 로깅 및 모니터링
AMS는 관리형 환경에서 보안 위협을 지속적으로 모니터링합니다. 보안 이벤트는 AMS 또는 사용자가 감지할 수 있습니다. AMS는 미국 국립표준기술연구소(NIST)의 컴퓨터 보안 인시던트 처리 가이드에 따라 자동화 프로세스를 정기적으로 업데이트하여 보안 위협을 더 잘 탐지합니다.
# 엔드포인트 보안(EPS)
AMS Advanced 환경에서 프로비저닝하는 리소스에는 엔드포인트 보안(EPS) 모니터링 클라이언트 설치가 자동으로 포함됩니다. 이 프로세스를 통해 AMS Advanced 관리형 리소스를 모니터링하고 연중무휴로 지원할 수 있습니다. 또한 AMS Advanced는 모든 에이전트 활동을 모니터링하고 보안 이벤트가 감지되면 인시던트가 생성됩니다.
**참고**
보안 인시던트는 인시던트로 처리됩니다. 자세한 내용은 [인시던트 대응](https://docs.aws.amazon.com/managedservices/latest/userguide/sec-incident-response.html)을 참조하세요.
엔드포인트 보안은 맬웨어 방지 보호를 제공합니다. 특히 다음 작업이 지원됩니다.
+ EC2 인스턴스가 EPS에 등록
+ EPS에서 EC2 인스턴스 등록 취소
+ EC2 인스턴스 실시간 맬웨어 방지 보호
+ EPS 에이전트 시작 하트비트
+ 격리된 파일 EPS 복원
+ EPS 이벤트 알림
+ EPS 보고
AMS Advanced는 엔드포인트 보안(EPS)에 Trend Micro를 사용합니다. 이는 기본 EPS 설정입니다. Trend Micro에 대해 자세히 알아보려면 [Trend Micro Deep Security Help Center](https://help.deepsecurity.trendmicro.com/aws/welcome.html?redirected=true)를 참조하세요. Amazon 이외의 링크는 예고 없이 변경될 수 있습니다.
AMS 고급 다중 계정 랜딩 존(MALZ) 기본 설정은 다음 섹션에 설명되어 있습니다. 기본이 아닌 AMS 다중 계정 랜딩 존 EPS 설정은 [ AMS 고급 다중 계정 랜딩 존 EPS 기본이 아닌 설정을](https://docs.aws.amazon.com/managedservices/latest/userguide/security-mgmt.html#malz-eps-settings) 참조하세요.
**참고**
자체 EPS를 가져올 수 있습니다. [AMS 자체 EPS 가져오기를 참조하세요](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html).
## 일반 EPS 설정
엔드포인트 보안 일반 네트워크 설정.
**EPS 기본값**
| 설정 | 기본값 |
| --- | --- |
| 방화벽 포트(인스턴스의 보안 그룹) | EPS Deep Security Manager 에이전트(DSMs)는 Agent/Relay to Manager 통신을 위해 포트 4120이 열려 있고 Manager 콘솔을 위해 포트 4119가 열려 있어야 합니다. 관리자/에이전트에서 릴레이로 통신하려면 EPS 릴레이에 포트 4122가 열려 있어야 합니다. 에이전트가 모든 요청을 시작하기 때문에 고객 인스턴스 인바운드 통신을 위해 특정 포트를 열면 안 됩니다. |
| 통신 방향 | 에이전트/어플라이언스 시작됨 |
| 하트비트 간격 | 10분 |
| 알림 전 누락된 하트비트 수 | 2 |
| 서버 시간 간에 허용되는 최대 드리프트(차이) | 무제한 |
| 비활성(등록되었지만 온라인이 아닌) 가상 머신에 대한 오프라인 오류 발생 | 아니요 |
| 기본 정책 | 기본 정책(다음 설명 참조) |
| 호스트 이름이 동일한 여러 컴퓨터 활성화 | 허용됨 |
| 보류 중인 업데이트에 대한 알림이 발생합니다. | 7일 후 |
| 일정 업데이트 | AMS는 Trend Micro Deep Security Manager(DSM)/Deep Security Agent(DSA) 소프트웨어 업데이트를 위한 월간 릴리스 주기를 목표로 합니다. 그러나 AMS는 업데이트를 위해 SLA를 유지 관리하지 않습니다. 업데이트는 배포 중에 AMS 개발자 팀이 플릿 전체에서 수행합니다. DSA/DSA 업데이트는 AMS가 기본적으로 13주 동안 로컬로 보관하는 Trend MicroDSM 시스템 이벤트에 기록됩니다. 공급업체 설명서는 Trend Micro Deep Security Help Center의 [시스템 이벤트를](https://help.deepsecurity.trendmicro.com/12_0/aws/Events-Alerts/ref-events-system.html) 참조하세요. 로그는 Amazon CloudWatch의 로그 그룹 /aws/ams/eps/var/log/DSM.log로도 내보내집니다. |
| 소스 업데이트 | Trend Micro 업데이트 서버(https://ipv6-iaus.trendmicro.com/iau\$1server.dll/) |
| 이벤트 또는 로그 데이터 삭제 | 이벤트 및 로그는 7일 후에 Amazon 데이터베이스에서 삭제됩니다. |
| 에이전트 소프트웨어 버전이 보류됨 | 최대 5개 |
| 최신 규칙 업데이트가 보류됨 | 최대 10개 |
| 로그 스토리지 | 기본적으로 로그 파일은 Amazon S3에 안전하게 저장되지만 감사 및 규정 준수 요구 사항을 충족하는 데 도움이 되도록 Amazon Glacier에 보관할 수도 있습니다. |
## 기본 정책
엔드포인트 보안 기본 정책 기본 설정입니다.
**EPS 기본 정책**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/userguide/eps-defaults.html)
## 맬웨어 방지
엔드포인트 보안 맬웨어 방지 설정.
**EPS 맬웨어 방지 기본값**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/userguide/eps-defaults.html)
# 맬웨어 완화 프로세스
AMS는 Trend Micro의 Deep Security Platform(맬웨어 방지 시스템)을 사용하여 AMS 관리형 인스턴스에서 맬웨어를 탐지하고 이에 대응합니다. 기본적으로 Trend Micro 감지 에이전트는 Windows 및 Linux 운영 체제 모두에 대해 공유 서비스 및 프라이빗 서브넷의 인스턴스를 포함하여 모든 Amazon EC2 인스턴스에서 실행됩니다. 맬웨어 방지 시스템은 AMS 모니터링에 연결되어 맬웨어가 감지될 때마다 이벤트가 생성됩니다. 고객에게 영향을 미치는 경우 이벤트가 인시던트 관리 프로세스로 에스컬레이션됩니다(자세한 내용은 참조[AMS 인시던트 대응](sec-incident-response.md)). AMS가 영향을 평가하는 동안 알림을 받고 영향을 완화하기 위한 시도가 이루어집니다.
Trend Micro가 업데이트를 게시하면 Trend Micro 맬웨어 방지 정의가 자동으로 업데이트됩니다.
애플리케이션 온보딩 중에 인스턴스에서 맬웨어가 발견될 때 AMS가 수행할 작업을 지정합니다.
+ 격리된 파일이 허용 목록에 있는지 확인하고 격리에서 제거한 다음 파일 시스템으로 다시 릴리스합니다.
+ 격리된 파일을 삭제하여 인스턴스에서 제거합니다.
+ 인스턴스를 일시 중지하고 교체합니다. 그러면 일시 중지된 인스턴스를 포렌식 연구를 위해 탑재할 수 있습니다.
애플리케이션 온보딩 후:
+ 맬웨어 방지 시스템이 인스턴스에서 맬웨어를 발견하면 AMS는 맬웨어를 자동으로 격리합니다. 그러면 이벤트와 후속 조사가 트리거됩니다.
+ AMS는 서비스 알림을 통해 이벤트를 알리고 선택한 기본 완화 작업을 따르기 시작합니다.
+ 기본 작업을 선택하지 않은 경우 AMS는 수행할 작업을 묻습니다. 지침을 받은 후 AMS는 선택한 작업을 실행하고 사용자에게 알립니다. 해당하는 경우 AMS는 포렌식 분석에 필요한 세부 정보를 포함하여 작업이 완료된 후 다시 알립니다.
# Trend Micro Deep Security에서 IDS 및 IPS 활성화
AMS가 계정에 대해 기본이 아닌 기능인 Trend Micro Intrusion Detection System(IDS) 및 Intrusion Protection Systems(IPS)를 활성화하도록 요청할 수 있습니다.
이렇게 하려면 업데이트 요청(관리 \$1 기타 \$1 기타 \$1 업데이트)을 제출하고 IDS 및 IPS 알림을 수신할 이메일 주소 목록을 포함합니다. 이러한 주소는 AMS가 자동으로 생성하는 계정의 SNS 주제에 추가됩니다.
**참고**
AMS는 다른 AMS 서비스를 제공하는 기능을 방해할 수 있는 Trend Micro 서비스를 추가할 수 없습니다.
# 전체 시스템 맬웨어 스캔
PCI DSS(Payment Card Industry Data Security Standard)에는 AMS 관리형 VPC에서 기본적으로 활성화되는 전체 시스템 맬웨어 스캔이 필요합니다. 전체 시스템 스캔은 CPU를 많이 사용하기 때문에 2AM시(서버에 설정된 시간대)에 실행되도록 설정됩니다. 전체 시스템 스캔은 CPU를 많이 사용하지 않는 정기적인 맬웨어 스캔에 추가됩니다.
전체 시스템 **맬웨어 스캔을 비활성화**할 수 있는 새로운 관리 변경 유형(CT)인 맬웨어 스캔 비활성화가 있습니다. CT는 관리 \$1 호스트 보안 \$1 전체 시스템 스캔 \$1 분류 비활성화, ID 변경 ct-1pybwg08h8qsz에서 찾을 수 있습니다. 스캔을 다시 활성화하려면 관리 \$1 기타 \$1 기타 \$1 CT 업데이트를 사용합니다. 전체 시스템 스캔을 비활성화해도 일반 맬웨어 스캔은 비활성화되지 않습니다.
## Amazon Inspector 보안
Amazon Inspector 서비스는 AMS 관리형 스택의 보안을 모니터링합니다. Amazon Inspector는 배포된 인프라의 보안 및 규정 준수 격차를 식별하는 데 도움이 되는 자동화된 보안 평가 서비스입니다 AWS. Amazon Inspector 보안 평가를 사용하면 Amazon EC2 인스턴스에서 의도하지 않은 네트워크 액세스 가능성 및 취약성을 확인하여 스택의 노출, 취약성 및 모범 사례와의 편차를 자동으로 평가할 수 있습니다. 평가를 수행한 후, Amazon Inspector는 상세한 보안 평가 결과 목록을 제공하며, 이 목록은 심각도 수준에 따라 구성되어 있습니다. Amazon Inspector 평가는 일반적인 보안 모범 사례 및 정의에 매핑된 사전 정의된 규칙 패키지로 제공됩니다. 이러한 규칙은 AWS 보안 연구원이 정기적으로 업데이트합니다. Amazon Inspector에 대한 자세한 내용은 [Amazon Inspector](https://aws.amazon.com/inspector)를 참조하십시오.
**AMS Amazon Inspector FAQs**
+ Amazon Inspector는 기본적으로 AMS 계정에 설치되나요?
아니요. Amazon Inspector는 기본 AMI 빌드 또는 워크로드 수집의 일부가 아닙니다.
+ Amazon Inspector에 액세스하고 설치하려면 어떻게 해야 하나요?
RFC(관리 \$1 기타 \$1 기타 \$1 생성)를 제출하여 Inspector에 계정 액세스 및 설치를 요청하면 AMS 운영 팀이 Customer\$1ReadOnly\$1Role을 수정하여 Amazon Inspector 콘솔 액세스(SSM 액세스 없음)를 제공합니다.
+ 평가하려는 모든 Amazon EC2 인스턴스에 Amazon Inspector 에이전트를 설치해야 합니까? Amazon EC2
아니요. 네트워크 연결성 규칙 패키지가 포함된 Amazon Inspector 평가는 모든 Amazon EC2 인스턴스에 대해 에이전트 없이 실행할 수 있습니다. 호스트 평가 규칙 패키지에는 에이전트가 필요합니다. 에이전트 설치에 대한 자세한 내용은 [ Amazon Inspector 에이전트 설치를 참조하세요](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_installing-uninstalling-agents.html).
+ 이 서비스에 대한 추가 비용이 있습니까?
예. Amazon Inspector 요금은 [Amazon Inspector 요금](https://aws.amazon.com/inspector/pricing/) 사이트에서 확인할 수 있습니다.
+ Amazon Inspector 조사 결과란 무엇입니까?
결과는 선택한 평가 대상의 Amazon Inspector 평가 중에 발견된 잠재적 보안 문제입니다. 결과는 Amazon Inspector 콘솔 또는 API에 표시되며 보안 문제에 대한 자세한 설명과 문제 해결을 위한 권장 사항을 모두 포함합니다.
+ Amazon Inspector 평가 보고서를 사용할 수 있나요?
예. 평가 보고서는 평가 실행에서 테스트한 내용과 평가 결과를 자세히 설명하는 문서입니다. 평가 결과는 표준 보고서로 형식이 지정되며, 이를 생성하여 문제 해결을 위해 팀 내에서 결과를 공유하거나, 규정 준수 감사 데이터를 보강하거나, 향후 참조를 위해 저장할 수 있습니다. 평가 실행이 성공적으로 완료되면 Amazon Inspector 평가 보고서를 생성할 수 있습니다.
+ 태그를 사용하여 Amazon Inspector 보고서를 실행할 스택을 식별할 수 있나요?
예.
+ AMS 운영 팀은 Amazon Inspector 평가 결과에 액세스할 수 있나요?
예. AWS의 Amazon Inspector 콘솔에 액세스할 수 있는 사람은 누구나 조사 결과 및 평가 보고서를 볼 수 있습니다.
+ AMS 운영 팀은 Amazon Inspector 보고서의 조사 결과에 따라 권장하거나 조치를 취합니까?
아니요. Amazon Inspector 보고서의 결과를 기반으로 변경하려는 경우 RFC(관리 \$1 기타 \$1 기타 \$1 업데이트)를 통해 변경을 요청해야 합니다.
+ Amazon Inspector 보고서를 실행할 때 AMS에 알림이 제공되나요?
Amazon Inspector 액세스를 요청하면 RFC를 실행하는 AMS 운영자가 CSDM에 요청을 알립니다.
자세한 내용은 [Amazon Inspector FAQs](https://aws.amazon.com/inspector/faqs/).
# AMS 인시던트 대응
AMS는 기존 IT 서비스 관리(ITSM) 인시던트 관리 모범 사례를 사용하여 필요한 경우 최대한 빨리 서비스를 복원합니다.
대시보드와 인시던트 대기열follow-the-sun 지원을 제공합니다.
운영 엔지니어는 내부 인시던트 추적 도구를 사용하여 인시던트를 식별, 로그, 분류, 우선 순위 지정, 진단, 해결 및 종료하고 AMS 콘솔 또는 지원 API를 통해 이러한 모든 활동에 대한 업데이트를 제공합니다. 많은 운영자가 다양한 기술 프로필 및 역할의 AWS Premium Support에서 시간을 보냈으며 다양한 내부 지원 도구를 활용하여 이러한 모든 활동을 지원합니다. 이러한 운영자는 AMS 지원 인프라에 대해 깊이 숙지하고 식별된 모든 지원 문제를 해결할 수 있는 전문가 수준의 기술 역량을 갖추고 있습니다. 드물게 운영자에게 지원이 필요한 경우 Premium Support 및 AWS 서비스 팀이 필요에 따라 지원할 수 있습니다.
우선순위가 높은 인시던트가 중요한 워크로드에 영향을 미치는 경우 AMS는 인프라 복원을 권장합니다. 문제를 해결하거나 알려진 양호한 백업에서 복원하는 사이에는 절충점이 있는 경우가 많으며, 서비스 가동 중지로 인한 고객 위험과 영향이 결정 요인입니다. 문제 해결에 전념할 시간이 있는 경우 AMS가 도와드릴 것이지만, 복원 긴급성이 높으면 즉시 복원을 시작할 수 있습니다.
**참고**
스택 템플릿 또는 데이터 복원의 일부가 아닌 임시 데이터는 손실됩니다. AMS는 AWS 서비스 제품을 사용할 수 없는 동안 인프라 복원을 수행하기 위해 합리적인 노력을 기울입니다. AWS 서비스 제품을 사용할 수 있게 되면 인프라 복원이 완료됩니다.
AMS에서 권장하는 인프라 복원을 승인하지 않으면 인시던트 해결 시간에 대한 AMS 서비스 약정에 대한 서비스 크레딧을 받을 수 없습니다.
# 규정 준수 확인
AMS는 AWS Config 규칙 및 수정 작업 라이브러리를 배포하고 관리하여 계정의 보안 및 운영 무결성을 저하시킬 수 있는 잘못된 구성으로부터 보호합니다.
예를 들어 Amazon S3 버킷이 생성되면는 Amazon S3 버킷이 퍼블릭 읽기 액세스를 거부해야 하는 규칙을 기준으로 Amazon S3 버킷을 평가할 AWS Config 수 있습니다. Amazon S3 버킷 정책 또는 버킷 액세스 제어 목록(ACL)이 퍼블릭 읽기 액세스를 허용하는 경우는 버킷과 규칙을 모두 미준수로 AWS Config 표시합니다. 이러한 표시는 평가 결과에 따라 리소스를 규정 준수, 규정 미준수 또는 해당 사항 없음으로 AWS Config 규칙 표시합니다. AWS Config 서비스에 대한 자세한 내용은 [AWS Config 개발자 안내서](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)를 참조하세요.
AWS Config 콘솔, AWS CLI 또는 AWS Config API를 사용하여 계정에 배포된 규칙과 규칙 및 리소스의 규정 준수 상태를 볼 수 있습니다. 자세한 내용은 AWS Config 설명서: [ 구성 규정 준수 보기를 참조하세요](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_view-compliance.html).
**참고**
이 주제에 대한 추가 정보는 AWS Artifact 보고서에 액세스하여 확인할 수 있습니다. 자세한 내용은 [AWS Artifact의 보고서 다운로드](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) 섹션을 참조하세요. AWS 아티팩트에 액세스하려면 CSDM에 문의하여 지침을 받거나 [AWS 아티팩트 시작하기를](https://aws.amazon.com/artifact/getting-started) 참조하세요. 이 정보에는 민감한 보안 콘텐츠가 포함되어 있으므로이 사용 설명서에 포함되지 않습니다.
# 의 규정 준수 상태를 보는 다중 계정 랜딩 존 AWS Config 규칙
AMS 다중 계정 AWS Config 랜딩 존은 집계자 서비스를 활용하여 모든 계정에서 규정 준수에 대한 중앙 집중식 보기를 생성합니다. 즉, 보안 계정의 애그리게이터에서 AMS 다중 계정 AWS Config 랜딩 존 환경 AWS Config 규칙 전체의 규정 준수 상태를 확인할 수 있습니다.
다음은 계정 AWS Config 규칙 간 AWS Config 의 중앙 규정 준수 상태를 보여주는 집계자의 샘플입니다.
![\[AWS Config dashboard showing compliant rules across regions and accounts.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/userguide/images/ams-malz-dd-agg-rules.png)
자세한 내용은 [Config Aggregator](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)에 대한 AWS 설명서를 참조하세요.
+ AMS는 AWS Config 규칙을 어떻게 사용하나요?
AMS는 규칙에 지정된 조건에 대한 AWS 리소스 구성을 볼 수 AWS Config 규칙 있도록를 생성합니다. 규칙이 규정을 준수하지 않는 경우 변경을 요청할 수 있으며 AMS Ops 팀이 사용자와 협력하여 수정 조치를 취합니다.
+ 이 경우 AMS 계정에 다음과 같은 변경 사항이 표시됩니다.
+ AWS Config 규칙 AWS Config > 규칙에서
+ Lambda 함수가 있는 사용자 지정 Config 규칙이 계정에 있습니다.
+ 보안 계정의 Config Aggregator 및 모든 계정의 Config Authorization(다중 계정 랜딩 존만 해당)
다음은의 샘플 AWS Config 규칙 이며 규정 준수 평가 결과는 다음과 같습니다.
![\[AWS Config 규칙 dashboard showing compliant status for multiple security-related rules.\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/userguide/images/ams-malz-dd-rules-2.png)
AWS Config에 대한 자세한 내용은 다음을 참조하세요.
+ AWS Config: [ Config란 무엇입니까?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ AWS Config 규칙: [규칙을 사용하여 리소스 평가](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)
+ AWS Config 규칙: [ 동적 규정 준수 확인: AWS Config 규칙 – 클라우드 리소스에 대한 동적 규정 준수 확인](https://aws.amazon.com/blogs/aws/aws-config-rules-dynamic-compliance-checking-for-cloud-resources/)
+ AWS Config 집계자: [다중 계정 다중 리전 데이터 집계](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)
# AMS 다중 계정 랜딩 존 서비스 제어 정책 제한
이 섹션에는 민감한 AMS 보안 관련 정보가 포함되어 있으므로 수정되었습니다. 이 정보는 AMS 콘솔 **설명서를** 통해 확인할 수 있습니다. AWS 아티팩트에 액세스하려면 CSDM에 문의하여 지침을 받거나 [AWS 아티팩트 시작하기를](https://aws.amazon.com/artifact/getting-started) 참조하세요.
# 복원성
AWS 글로벌 인프라는 AWS 리전 및 가용 영역을 중심으로 구축됩니다.는 지연 시간이 짧고 처리량이 많으며 중복성이 높은 네트워킹과 연결된 물리적으로 분리되고 격리된 여러 가용 영역을 AWS 리전 제공합니다. 가용 영역을 사용하면 중단 없이 영역 간에 자동으로 장애 극복 조치가 이루어지는 애플리케이션 및 데이터베이스를 설계하고 운영할 수 있습니다. 가용 영역은 기존의 단일 또는 다중 데이터 센터 인프라보다 가용성, 내결함성, 확장성이 뛰어납니다.
AWS 리전 및 가용 영역에 대한 자세한 내용은 [AWS 글로벌 인프라를](https://aws.amazon.com/about-aws/global-infrastructure) 참조하세요.
# 인프라 보안
**참고**
이 주제에 대한 추가 정보는 AWS Artifact 보고서에 액세스하여 확인할 수 있습니다. 자세한 내용은 [AWS Artifact의 보고서 다운로드](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) 섹션을 참조하세요. AWS 아티팩트에 액세스하려면 CSDM에 문의하여 지침을 받거나 [AWS 아티팩트 시작하기를](https://aws.amazon.com/artifact/getting-started) 참조하세요. 이 정보에는 민감한 보안 콘텐츠가 포함되어 있으므로이 사용 설명서에 포함되지 않습니다.
# end-of-support 운영 체제에 대한 보안 제어
운영 체제 제조업체의 '지원 end-of-support' 또는 EOS의 일반 지원 기간을 벗어나고 보안 업데이트를 받지 않는 운영 체제는 보안 위험이 증가합니다.
AWS 는 운영 체제 end-of-support를 처리하는 데 도움이 되는 몇 가지 서비스를 제공합니다. Windows end-of-support 대한 자세한 내용은 [ Windows ServerEnd-of-Support 마이그레이션 프로그램을 참조하세요](https://aws.amazon.com/emp-windows-server/).
**참고**
이 주제에 대한 추가 정보는 AWS Artifact 보고서에 액세스하여 확인할 수 있습니다. 자세한 내용은 [AWS Artifact의 보고서 다운로드](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) 섹션을 참조하세요. AWS 아티팩트에 액세스하려면 CSDM에 문의하여 지침을 받거나 [AWS 아티팩트 시작하기를](https://aws.amazon.com/artifact/getting-started) 참조하세요. 이 정보에는 민감한 보안 콘텐츠가 포함되어 있으므로이 사용 설명서에 포함되지 않습니다.
## 보안 그룹 사용
보안 그룹은 하나 이상의 인스턴스에 대한 트래픽을 제어하는 가상 방화벽 역할을 합니다. AMS 보안 그룹을 사용하면 인스턴스 수준에서 인바운드 트래픽 규칙과 아웃바운드 트래픽 규칙을 설정할 수 있습니다. 보안 그룹을 생성하고 AMS 계정, Amazon EC2 인스턴스, Amazon RDS DB 인스턴스, 로드 밸런서, Deep Security Manager(DSM) 복제 인스턴스, EFS 탑재 대상 및 ElastiCache 클러스터에서 보안 그룹과 연결할 리소스를 지정할 수 있습니다. 연결되면 해당 인스턴스와 주고받는 트래픽은 보안 그룹에 설정된 규칙에 의해 제한됩니다.
일반적인 AWS 보안을 더 잘 이해하려면 [보안, 자격 증명 및 규정 준수 모범 사례](https://aws.amazon.com/architecture/security-identity-compliance/)와 [Linux 인스턴스용 Amazon EC2 보안 그룹을 참조하세요](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html).
이제 AMS에 보안 그룹을 생성하고 관리하기 위한 변경 유형 세트가 있습니다.
+ 배포 \$1 고급 스택 구성 요소 \$1 보안 그룹 \$1 생성(ct-1oxx2g2d7hc90)
+ 관리 \$1 고급 스택 구성 요소 \$1 보안 그룹 \$1 삭제(ct-3cp96z7r065e4)
+ 관리 \$1 고급 스택 구성 요소 \$1 보안 그룹 \$1 업데이트(ct-3memthlcmvc1b)
예제는 [보안 그룹을](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-sec-group-create-delete-update.html) 참조하세요.
# 보안 그룹
AWS VPCs에서 AWS 보안 그룹은 하나 이상의 스택(인스턴스 또는 인스턴스 세트)에 대한 트래픽을 제어하는 가상 방화벽 역할을 합니다. 스택이 시작되면 스택이 하나 이상의 보안 그룹과 연결되어 스택에 도달할 수 있는 트래픽이 결정됩니다.
+ 퍼블릭 서브넷의 스택의 경우 기본 보안 그룹은 모든 위치(인터넷)의 HTTP(80) 및 HTTPS(443) 트래픽을 수락합니다. 또한 스택은 회사 네트워크의 내부 SSH 및 RDP 트래픽과 AWS 접속을 허용합니다. 그러면 이러한 스택이 모든 포트를 통해 인터넷으로 나갈 수 있습니다. 또한 프라이빗 서브넷과 퍼블릭 서브넷의 다른 스택으로 나갈 수도 있습니다.
+ 프라이빗 서브넷의 스택은 프라이빗 서브넷의 다른 스택으로 송신할 수 있으며, 스택 내의 인스턴스는 모든 프로토콜을 통해 서로 완전히 통신할 수 있습니다.
**중요**
프라이빗 서브넷의 스택에 대한 기본 보안 그룹을 사용하면 프라이빗 서브넷의 모든 스택이 해당 프라이빗 서브넷의 다른 스택과 통신할 수 있습니다. 프라이빗 서브넷 내의 스택 간 통신을 제한하려면 제한을 설명하는 새 보안 그룹을 생성해야 합니다. 예를 들어 프라이빗 서브넷의 스택이 특정 포트를 통해서만 특정 애플리케이션 서버에서 통신할 수 있도록 데이터베이스 서버와의 통신을 제한하려면 특수 보안 그룹을 요청합니다. 이렇게 하는 방법은이 단원에서 설명합니다.
## 기본 보안 그룹
------
#### [ MALZ ]
다음 표에서는 스택의 기본 인바운드 보안 그룹(SG) 설정을 설명합니다. SG의 이름은 "SentinelDefaultSecurityGroupPrivateOnly-vpc-ID"이며, 여기서 *ID*는 AMS 다중 계정 랜딩 존 계정의 VPC ID입니다. 모든 트래픽은이 보안 그룹을 통해 "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly"로 아웃바운드할 수 있습니다(스택 서브넷 내의 모든 로컬 트래픽 허용).
모든 트래픽은 두 번째 보안 그룹 "SentinelDefaultSecurityGroupPrivateOnly"에 의해 0.0.0.0/0으로 아웃바운드할 수 있습니다.
**작은 정보**
EC2 생성 또는 OpenSearch 생성 도메인과 같은 AMS 변경 유형에 대한 보안 그룹을 선택하는 경우 여기에 설명된 기본 보안 그룹 중 하나 또는 생성한 보안 그룹을 사용합니다. AWS EC2 콘솔 또는 VPC 콘솔에서 VPC당 보안 그룹 목록을 찾을 수 있습니다.
내부 AMS용으로 사용되는 추가 기본 보안 그룹이 있습니다.
**AMS 기본 보안 그룹(인바운드 트래픽)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/userguide/about-security-groups.html)
------
#### [ SALZ ]
다음 표에서는 스택의 기본 인바운드 보안 그룹(SG) 설정을 설명합니다. SG의 이름은 "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly-*ID*"이며, 여기서 *ID*는 고유 식별자입니다. 모든 트래픽은이 보안 그룹을 통해 "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly"로 아웃바운드할 수 있습니다(스택 서브넷 내의 모든 로컬 트래픽 허용).
모든 트래픽은 두 번째 보안 그룹 "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnlyEgressAll-*ID*"에 의해 0.0.0.0/0으로 아웃바운드할 수 있습니다.
**작은 정보**
EC2 생성 또는 OpenSearch 생성 도메인과 같은 AMS 변경 유형에 대한 보안 그룹을 선택하는 경우 여기에 설명된 기본 보안 그룹 중 하나 또는 생성한 보안 그룹을 사용합니다. AWS EC2 콘솔 또는 VPC 콘솔에서 VPC당 보안 그룹 목록을 찾을 수 있습니다.
내부 AMS용으로 사용되는 추가 기본 보안 그룹이 있습니다.
**AMS 기본 보안 그룹(인바운드 트래픽)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/managedservices/latest/userguide/about-security-groups.html)
------
## 보안 그룹 생성, 변경 또는 삭제
사용자 지정 보안 그룹을 요청할 수 있습니다. 기본 보안 그룹이 애플리케이션 또는 조직의 요구 사항을 충족하지 않는 경우 새 보안 그룹을 수정하거나 생성할 수 있습니다. 이러한 요청은 승인 필수로 간주되며 AMS 운영 팀에서 검토합니다.
스택 및 VPCs 외부에서 보안 그룹을 생성하려면 `Deployment | Advanced stack components | Security group | Create (review required)` 변경 유형(ct-1oxx2g2d7hc90)을 사용하여 RFC를 제출합니다.
Active Directory(AD) 보안 그룹 수정의 경우 다음 변경 유형을 사용합니다.
+ 사용자를 추가하려면: 관리 \$1 디렉터리 서비스 \$1 사용자 및 그룹 \$1 그룹에 사용자 추가 [ct-24pi85mjtza8k]를 사용하여 RFC 제출
+ 사용자를 제거하려면: 관리 \$1 디렉터리 서비스 \$1 사용자 및 그룹 \$1 그룹에서 사용자 제거 [ct-2019s9y3nfml4]를 사용하여 RFC 제출
**참고**
'검토 필요' CTs를 사용하는 경우 ASAP **예약** 옵션(콘솔에서 **ASAP** 선택, API/CLI에서 시작 및 종료 시간 비워 두기)을 사용하는 것이 좋습니다. 이러한 CTs는 AMS 운영자가 RFC를 검사하고 승인 및 실행 전에 사용자와 통신해야 하기 때문입니다. 이러한 RFCs 예약하는 경우 최소 24시간을 허용해야 합니다. 예정된 시작 시간 전에 승인이 이루어지지 않으면 RFC가 자동으로 거부됩니다.
## 보안 그룹 찾기
스택 또는 인스턴스에 연결된 보안 그룹을 찾으려면 EC2 콘솔을 사용합니다. 스택 또는 인스턴스를 찾은 후 스택 또는 인스턴스에 연결된 모든 보안 그룹을 볼 수 있습니다.
명령줄에서 보안 그룹을 찾고 출력을 필터링하는 방법은 섹션을 참조하세요[https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html).
# AMS 예방 및 탐지 제어 라이브러리
예방 및 탐지 제어
AWS Managed Services(AMS)는 AMS 계정의 보안 태세를 개선하고 규정 준수 격차를 완화하는 데 활용할 수 있는 검증된 서비스 제어 정책(SCPs) 및 ConfigRules의 엄선된 라이브러리/카탈로그를 제공합니다.
**Topics**
+ [
# 큐레이션SCPs 및 구성 규칙
](scp-library-compliance.md)
+ [
# Config 규칙에 대한 사용자 지정 알림
](scp-lib-custom-notice.md)
# 큐레이션SCPs 및 구성 규칙
AMS Advanced에 대해 큐레이션된 SCPs 및 구성 규칙.
+ **서비스 제어 정책(SCPs)**: 제공된 SCPs는 기본 AMS 정책에 추가됩니다.
이러한 라이브러리 컨트롤을 기본 컨트롤과 함께 사용하여 특정 보안 요구 사항을 충족할 수 있습니다.
+ **구성 규칙**: AMS는 기본 AMS 구성 규칙(기본 규칙은 AMS 아티팩트 참조) 외에도 적합성 팩( AWS Config 안내서의 [적합성 팩](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html) 참조)을 적용할 것을 권장합니다. 적합성 팩은 대부분의 규정 준수 요구 사항을 다루며 AWS는 이를 정기적으로 업데이트합니다.
여기에 나열된 규칙을 사용하여 적합성 팩에서 다루지 않는 사용 사례별 격차를 해결할 수 있습니다.
**참고**
AMS 기본 규칙 및 적합성 팩이 시간이 지남에 따라 업데이트되면 이러한 규칙이 중복될 수 있습니다.
AMS는 일반적으로 중복 Config 규칙을 정기적으로 정리할 것을 권장합니다.
AMS Advanced의 경우 Config 규칙은 out-of-band 변경을 방지하기 위해 자동 문제 해결([AWS Config 규칙에 의한 규정 미준수 AWS 리소스 문제 해결](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html) 참조)을 사용해서는 안 됩니다.
## SCP-AMS-001: EBS 생성 제한
암호화가 활성화되지 않은 경우 EBS 볼륨 생성을 방지합니다.
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:CreateVolume",
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-002: EC2 시작 제한
EBS 볼륨이 암호화되지 않은 경우 EC2 인스턴스가 시작되지 않도록 합니다. 여기에는 암호화되지 않은 AMIs에서 EC2 시작을 거부하는 것이 포함됩니다.이 SCP는 루트 볼륨에도 적용되기 때문입니다.
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:volume/*",
"Effect": "Deny"
}
```
## SCP-ADV-001: RFC 제출 제한
기본 AMS 역할이 **VPC** RFCs를 제출하지 못하도록 제한합니다. **** 이는 페더레이션 역할에 더 세분화된 권한을 적용하려는 경우에 유용합니다.
예를 들어 VPC `AWSManagedServicesChangeManagement Role` 생성 및 삭제, 추가 서브넷 생성, 애플리케이션 계정 오프보딩, SAML 자격 증명 공급자 업데이트 또는 삭제를 허용하는 RFC를 제외한 대부분의 사용 가능한 RFC를 기본값으로 제출할 수 있습니다. RFCs
## SCP-AMS-003: AMS에서 EC2 또는 RDS 생성 제한
SCP-AMS-003: EC2 또는 RDS 생성 제한
AMS 기본 `AMS Backup IAM` 역할이 그렇게 하도록 허용하면서 특정 태그가 없는 Amazon EC2 및 RDS 인스턴스의 생성을 방지합니다. 이는 재해 복구 또는 DR에 필요합니다.
```
{
"Sid": "DenyRunInstanceWithNoOrganizationTag",
"Effect": "Deny",
"Action": [
"ec2:RunInstances",
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
],
"Condition": {
"Null": {
"aws:RequestTag/organization": "true"
},
"StringNotLike": {
"aws:PrincipalArn": [
"arn:aws:iam:::role/ams-backup-iam-role"
]
}
}
}
```
## SCP-AMS-004: S3 업로드 제한
암호화되지 않은 S3 객체의 업로드를 방지합니다.
```
{
"Sid": "DenyUnencryptedS3Uploads",
"Effect": "Deny",
"Action": "s3:PutObject",
"Resource": "*",
"Condition": {
"StringNotLike": {
"s3:x-amz-server-side-encryption": ["aws:kms", "AES256"]
},
"Null": {
"s3:x-amz-server-side-encryption": "false"
}
}
}
]
}
```
## SCP-AMS-005: API 및 콘솔 액세스 제한
확인된 고객 InfoSec에 따라 알려진 잘못된 IP 주소에서 오는 요청에 대한 AWS 콘솔 및 API 액세스를 방지합니다.
## SCP-AMS-006: IAM 엔터티가 조직에서 멤버 계정을 제거하지 못하도록 방지
AWS Identity and Access Management 엔터티가 조직에서 멤버 계정을 제거하지 못하도록 합니다.
```
{
"Effect": "Deny",
"Action": ["organizations:LeaveOrganization"],
"Resource": ["*"]
}
```
## SCP-AMS-007: 조직 외부의 계정에 리소스 공유 방지
AWS 조직 외부의 외부 계정과 리소스 공유 방지
```
{
"Effect": "Deny",
"Action": [
"ram:*"
],
"Resource": [
"*"
],
"Condition": {
"Bool": {
"ram:AllowsExternalPrincipals": "true"
}
}
},
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
```
## SCP-AMS-008: 조직 또는 조직 단위(OUs)와의 공유 방지
조직에 있는 계정 및/또는 OU와의 리소스 공유를 방지합니다.
```
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:account/o-${OrganizationId}/${AccountId}",
"arn:aws:organizations::*:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}"
]
}
}
}
```
## SCP-AMS-009: 사용자가 리소스 공유 초대를 수락하지 못하도록 방지
멤버 계정이 리소스 공유에 가입 AWS RAM 하기 위한의 초대를 수락하지 못하도록 합니다. 이 API는 조건을 지원하지 않으며 외부 계정의 공유만 방지합니다.
```
{
"Effect": "Deny",
"Action": ["ram:AcceptResourceShareInvitation"],
"Resource": ["*"]
}
```
## SCP-AMS-010: 계정 리전 활성화 및 비활성화 작업 방지
AWS 계정에 대해 새 AWS 리전을 활성화하거나 비활성화하지 마십시오.
```
{
"Effect": "Deny",
"Action": [
"account:EnableRegion",
"account:DisableRegion"
],
"Resource": "*"
}
```
## SCP-AMS-011: 결제 수정 작업 방지
결제 및 결제 구성에 대한 수정을 방지합니다.
```
{
"Effect": "Deny",
"Action": [
"aws-portal:ModifyBilling",
"aws-portal:ModifyAccount",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*"
}
```
## SCP-AMS-012: 특정 CloudTrails 대한 삭제 또는 수정 방지
특정 AWS CloudTrail 추적에 대한 수정을 방지합니다.
```
{
"Effect": "Deny",
"Action": [
"cloudtrail:DeleteEventDataStore",
"cloudtrail:DeleteTrail",
"cloudtrail:PutEventSelectors",
"cloudtrail:PutInsightSelectors",
"cloudtrail:UpdateEventDataStore",
"cloudtrail:UpdateTrail",
"cloudtrail:StopLogging"
],
"Resource": [
"arn:${Partition}:cloudtrail:${Region}:${Account}:trail/${TrailName}"
]
}
```
## SCP-AMS-013: 기본 EBS 암호화 비활성화 방지
기본 Amazon EBS 암호화의 비활성화를 방지합니다.
```
{
"Effect": "Deny",
"Action": [
"ec2:DisableEbsEncryptionByDefault"
],
"Resource": "*"
}
```
## SCP-AMS-014: 기본 VPC 및 서브넷 생성 방지
기본 Amazon VPC 및 서브넷의 생성을 방지합니다.
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateDefaultSubnet",
"ec2:CreateDefaultVpc"
],
"Resource": "*"
}
```
## SCP-AMS-015: GuardDuty 비활성화 및 수정 방지
Amazon GuardDuty가 수정되거나 비활성화되지 않도록 합니다.
```
{
"Effect": "Deny",
"Action": [
"guardduty:AcceptInvitation",
"guardduty:ArchiveFindings",
"guardduty:CreateDetector",
"guardduty:CreateFilter",
"guardduty:CreateIPSet",
"guardduty:CreateMembers",
"guardduty:CreatePublishingDestination",
"guardduty:CreateSampleFindings",
"guardduty:CreateThreatIntelSet",
"guardduty:DeclineInvitations",
"guardduty:DeleteDetector",
"guardduty:DeleteFilter",
"guardduty:DeleteInvitations",
"guardduty:DeleteIPSet",
"guardduty:DeleteMembers",
"guardduty:DeletePublishingDestination",
"guardduty:DeleteThreatIntelSet",
"guardduty:DisableOrganizationAdminAccount",
"guardduty:DisassociateFromMasterAccount",
"guardduty:DisassociateMembers",
"guardduty:InviteMembers",
"guardduty:StartMonitoringMembers",
"guardduty:StopMonitoringMembers",
"guardduty:TagResource",
"guardduty:UnarchiveFindings",
"guardduty:UntagResource",
"guardduty:UpdateDetector",
"guardduty:UpdateFilter",
"guardduty:UpdateFindingsFeedback",
"guardduty:UpdateIPSet",
"guardduty:UpdateMalwareScanSettings",
"guardduty:UpdateMemberDetectors",
"guardduty:UpdateOrganizationConfiguration",
"guardduty:UpdatePublishingDestination",
"guardduty:UpdateThreatIntelSet"
],
"Resource": "*"
}
```
## SCP-AMS-016: 루트 사용자 활동 방지
루트 사용자가 작업을 수행하지 못하도록 합니다.
```
{
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:root"
]
}
}
}
```
## SCP-AMS-017: 루트 사용자에 대한 액세스 키 생성 방지
루트 사용자의 액세스 키 생성을 방지합니다.
```
{
"Effect": "Deny",
"Action": "iam:CreateAccessKey",
"Resource": "arn:aws:iam::*:root"
}
```
## SCP-AMS-018: S3 계정 퍼블릭 액세스 블록 비활성화 방지
Amazon S3 계정 퍼블릭 액세스 블록의 비활성화를 방지합니다. 이렇게 하면 계정의 버킷이 공개되지 않습니다.
```
{
"Effect": "Deny",
"Action": "s3:PutAccountPublicAccessBlock",
"Resource": "*"
}
```
## SCP-AMS-019: AWS Config 비활성화 또는 Config 규칙 수정 방지
AWS Config 규칙 비활성화 또는 수정을 방지합니다.
```
{
"Effect": "Deny",
"Action": [
"config:DeleteConfigRule",
"config:DeleteConfigurationRecorder",
"config:DeleteDeliveryChannel",
"config:DeleteEvaluationResults",
"config:StopConfigurationRecorder"
],
"Resource": "*"
}
```
## SCP-AMS-020: 모든 IAM 작업 방지
모든 IAM 작업을 방지합니다.
```
{
"Effect": "Deny",
"Action": [
"iam:*"
],
"Resource": "*"
}
```
## SCP-AMS-021: CloudWatch Logs 그룹 및 스트림 삭제 방지
Amazon CloudWatch Logs 그룹 및 스트림 삭제를 방지합니다.
```
{
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": "*"
}
```
## SCP-AMS-022: Glacier 삭제 방지
Amazon Glacier 삭제를 방지합니다.
```
{
"Effect": "Deny",
"Action": [
"glacier:DeleteArchive",
"glacier:DeleteVault"
],
"Resource": "*"
}
```
## SCP-AMS-023: IAM Access Analyzer 삭제 방지
IAM Access Analyzer의 삭제를 방지합니다.
```
{
"Action": [
"access-analyzer:DeleteAnalyzer"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-024: Security Hub 수정 방지
삭제를 방지합니다 AWS Security Hub CSPM.
```
{
"Action": [
"securityhub:DeleteInvitations",
"securityhub:DisableSecurityHub",
"securityhub:DisassociateFromMasterAccount",
"securityhub:DeleteMembers",
"securityhub:DisassociateMembers"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-025: 디렉터리 서비스에서 삭제 방지
아래의 리소스 삭제를 방지합니다 Directory Service.
```
{
"Action": [
"ds:DeleteDirectory",
"ds:DeleteLogSubscription",
"ds:DeleteSnapshot",
"ds:DeleteTrust",
"ds:DeregisterCertificate",
"ds:DeregisterEventTopic",
"ds:DisableLDAPS",
"ds:DisableRadius",
"ds:DisableSso",
"ds:UnshareDirectory"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-026: 거부된 서비스 사용 방지
거부된 서비스의 사용을 방지합니다.
**참고**
*service1* 및 *service2*를 서비스 이름으로 바꿉니다. *access-analyzer* 또는 *IAM*의 예입니다.
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["service1:*", "service2:*"]
}
```
## SCP-AMS-027: 특정 리전에서 거부된 서비스 사용 방지
특정 AWS 리전에서 거부된 서비스의 사용을 방지합니다.
**참고**
*service1* 및 *service2*를 서비스 이름으로 바꿉니다. *access-analyzer* 또는 *IAM*의 예입니다.
*region1* 및 *region2*를 서비스 이름으로 바꿉니다. *us-west-2* 또는 *use-east-1*의 예입니다.
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["service1:*", "service2:*"],
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"region1",
"region2"
]
}
}
}
```
## SCP-AMS-028: 승인된 보안 주체를 제외한 태그 수정 방지
승인된 보안 주체를 제외한 모든 사용자의 태그 수정을 방지합니다. 권한 부여 태그를 사용하여 보안 주체에 권한을 부여합니다. 권한 부여 태그는 리소스 및 보안 주체와 연결되어야 합니다. 사용자/역할은 리소스와 보안 주체의 태그가 모두 일치하는 경우에만 승인된 것으로 간주됩니다. 자세한 정보는 다음 자료를 참조하세요.
+ [의 서비스 제어 정책을 사용하여 권한 부여에 사용되는 리소스 태그 보호 AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/)
+ [승인된 보안 주체를 제외한 태그 수정 방지](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ec2:ResourceTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"Null": {
"ec2:ResourceTag/access-project": false
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"access-project"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"Null": {
"aws:PrincipalTag/access-project": true
}
}
}
```
## SCP-AMS-029: 사용자가 Amazon VPC 흐름 로그를 삭제하지 못하도록 방지
Amazon VPC 흐름 로그의 삭제를 방지합니다.
```
{
"Action": [
"ec2:DeleteFlowLogs",
"logs:DeleteLogGroup",
"logs:DeleteLogStream",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:PutLifecycleConfiguration",
"firehose:DeleteDeliveryStream"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-030: 네트워크 계정 이외의 계정과 VPC 서브넷 공유 방지
네트워크 계정이 아닌 다른 계정과 Amazon VPC 서브넷을 공유하는 것을 방지합니다.
**참고**
*NETWORK\$1ACCOUNT\$1ID*를 네트워크 계정 ID로 바꿉니다.
```
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": "NETWORK_ACCOUNT_ID"
},
"StringEquals": {
"ram:RequestedResourceType": "ec2:Subnet"
}
}
}
```
## SCP-AMS-031: 금지된 인스턴스 유형으로 인스턴스 시작 방지
금지된 Amazon EC2 인스턴스 유형이 출시되지 않도록 합니다.
**참고**
*instance\$1type1* 및 *instance\$1type2*를 *t2.micro*와 같이 제한하려는 인스턴스 유형 또는 *\$1.nano*와 같은 와일드카드 문자열로 바꿉니다.
```
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"ec2:InstanceType": [
"instance_type1",
"instance_type2"
]
}
}
}
```
## SCP-AMS-032: IMDSv2 없이 인스턴스 시작 방지
IMDSv2 없이 Amazon EC2 인스턴스를 방지합니다. IMDSv2
```
[
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringNotEquals": {
"ec2:MetadataHttpTokens": "required"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"NumericGreaterThan": {
"ec2:MetadataHttpPutResponseHopLimit": "3"
}
}
},
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NumericLessThan": {
"ec2:RoleDelivery": "2.0"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:ModifyInstanceMetadataOptions",
"Resource": "*"
}
]
```
## SCP-AMS-033: 특정 IAM 역할에 대한 수정 방지
지정된 IAM 역할에 대한 수정을 방지합니다.
```
{
"Action": [
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:DeleteRolePermissionsBoundary",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy",
"iam:TagRole",
"iam:UntagRole",
"iam:UpdateAssumeRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": [
"arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}"
],
"Effect": "Deny"
}
```
## SCP-AMS-034: 특정 IAM 역할에 대한 AssumeRolePolicy 수정 방지
지정된 IAM 역할에 대한 AssumeRolePolicy 수정을 방지합니다.
```
{
"Action": [
"iam:UpdateAssumeRolePolicy"
],
"Resource": [
"arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}"
],
"Effect": "Deny"
}
```
## ConfigRule: 필수 태그
EC2 인스턴스에 필요한 사용자 지정 태그가 있는지 확인합니다. InfoSec 외에도 Cost Management에도 유용합니다.
```
ConfigRuleName: required-tags
Description: >-
A Config rule that checks whether EC2 instances have the required tags.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
InputParameters:
tag1Key: COST_CENTER
tag2Key: APP_ID
Source:
Owner: AWS
SourceIdentifier: REQUIRED_TAGS
```
## ConfigRule: 액세스 키 교체됨
지정된 기간 내에 액세스 키가 교체되고 있는지 확인합니다. 이는 일반적으로 일반적인 규정 준수 요구 사항에 따라 90일로 설정됩니다.
```
ConfigRuleName: access-keys-rotated
Description: >-
A config rule that checks whether the active access keys are rotated
within the number of days specified in maxAccessKeyAge. The rule is
NON_COMPLIANT if the access keys have not been rotated for more than
maxAccessKeyAge number of days.
InputParameters:
maxAccessKeyAge: '90'
Source:
Owner: AWS
SourceIdentifier: ACCESS_KEYS_ROTATED
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: AMS의 IAM 루트 액세스 키
ConfigRule: IAM 루트 액세스 키
루트 액세스 키가 계정에 없는지 확인합니다. AMS Advanced 계정의 경우 기본적으로 규정을 준수할 것으로 예상됩니다 out-of-the-box.
```
ConfigRuleName: iam-root-access-key-check
Description: >-
A config rule that checks whether the root user access key is available. The rule is COMPLIANT if the user access key does not exist.
Source:
Owner: AWS
SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: SSM 관리형 EC2
SSM Systems Manager에서 EC2s 관리하고 있는지 확인합니다.
```
ConfigRuleName: ec2-instance-managed-by-systems-manager
Description: >-
A Config rule that checks whether the EC2 instances in the
account are managed by AWS Systems Manager.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
- 'AWS::SSM::ManagedInstanceInventory'
Source:
Owner: AWS
SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
```
## ConfigRule: AMS에서 미사용 IAM 사용자
ConfigRule: 미사용 IAM 사용자
지정된 기간 동안 사용되지 않은 IAM 사용자 자격 증명을 확인합니다. 키 교체 확인과 마찬가지로 일반적으로 일반적인 규정 준수 요구 사항에 따라 기본값은 90일입니다.
```
ConfigRuleName: iam-user-unused-credentials-check
Description: >-
A config rule that checks whether IAM users have passwords
or active access keys that have not been used within the
specified number of days provided.
InputParameters:
maxCredentialUsageAge: '90'
Source:
Owner: AWS
SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: S3 버킷 로깅
계정의 S3 버킷에 대해 로깅이 활성화되었는지 확인합니다.
```
ConfigRuleName: s3-bucket-logging-enabled
Description: >-
A Config rule that checks whether logging is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_LOGGING_ENABLED
```
## ConfigRule: S3 버킷 버전 관리
모든 S3 버킷에서 버전 관리 및 MFA 삭제(선택 사항)가 활성화되어 있는지 확인합니다.
```
ConfigRuleName: s3-bucket-versioning-enabled
Description: >-
A Config rule that checks whether versioning is enabled for S3
buckets. Optionally, the rule checks if MFA delete is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
```
## ConfigRule: S3 퍼블릭 액세스
퍼블릭 액세스 설정(퍼블릭 ACL, 퍼블릭 정책, 퍼블릭 버킷)이 계정 전체에서 제한되는지 확인합니다.
```
ConfigRuleName: s3-account-level-public-access-blocks
Description: >-
A Config rule that checks whether the required public access block
settings are configured from account level. The rule is only
NON_COMPLIANT when the fields set below do not match the corresponding
fields in the configuration item.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::AccountPublicAccessBlock'
InputParameters:
IgnorePublicAcls: 'True'
BlockPublicPolicy: 'True'
BlockPublicAcls: 'True'
RestrictPublicBuckets: 'True'
Source:
Owner: AWS
SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS
```
## ConfigRule: 보관되지 않은 GuardDuty 조사 결과
지정된 기간보다 오래된 보관되지 않은 GuardDuty 결과가 있는지 확인합니다. 기본 기간은 Low-sev의 경우 30일, Medium-sev의 경우 7일, High-sev 결과의 경우 1일입니다.
```
ConfigRuleName: guardduty-non-archived-findings
Description: >-
A Config rule that checks whether the Amazon GuardDuty has findings that
are non archived. The rule is NON_COMPLIANT if GuardDuty has non
archived low/medium/high severity findings older than the specified number.
InputParameters:
daysLowSev: '30'
daysMediumSev: '7'
daysHighSev: '1'
Source:
Owner: AWS
SourceIdentifier: GUARDDUTY_NON_ARCHIVED_FINDINGS
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: CMK 삭제
삭제가 예약된(일명 보류 중) AWS Key Management Service 사용자 지정 마스터 키(CMKs)가 있는지 확인합니다. 이는 CMK 삭제를 인식하지 못하면 데이터를 복구할 수 없게 될 수 있으므로 중요합니다.
```
ConfigRuleName: kms-cmk-not-scheduled-for-deletion
Description: >-
A config rule that checks whether customer master keys (CMKs) are not
scheduled for deletion in AWS Key Management Service (AWS KMS). The rule is
NON_COMPLIANT if CMKs are scheduled for deletion.
Source:
Owner: AWS
SourceIdentifier: KMS_CMK_NOT_SCHEDULED_FOR_DELETION
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: CMK 교체
계정의 모든 CMK에 대해 자동 교체가 활성화되어 있는지 확인
```
ConfigRuleName: cmk-backing-key-rotation-enabled
Description: >-
A config rule that checks that key rotation is enabled for each customer
master key (CMK). The rule is COMPLIANT, if the key rotation is enabled
for specific key object. The rule is not applicable to CMKs that have
imported key material.
Source:
Owner: AWS
SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED
MaximumExecutionFrequency: TwentyFour_Hours
```
# Config 규칙에 대한 사용자 지정 알림
InfoSec 및 리더십 팀에 직접 에스컬레이션된 인식을 높여야 하는 규정을 준수하지 않는 중요한 Config 규칙이 발생할 수 있습니다. 이러한 시나리오의 경우 AMS는 규정 미준수 이벤트 기반 사용자 지정 알림을 구성할 것을 권장합니다.
예:
```
ConfigRuleName: required-tags
Description: >-
A Config rule that checks whether EC2 instances have the mandated tags.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
InputParameters:
tag1Key: COST_CENTER
tag2Key: APP_ID
Source:
Owner: AWS
SourceIdentifier: REQUIRED_TAGS
NotificationEventRule:
Type: 'AWS::Events::Rule'
Properties:
Name: CWEventForrequired-tags
Description: >-
SNS Notification for Non-Compliant Events of Config Rule:
required-tags
State: ENABLED
EventPattern:
detail-type:
- Config Rules Compliance Change
source:
- aws.config
detail:
newEvaluationResult:
complianceType:
- NON_COMPLIANT
configRuleARN:
- 'Fn::GetAtt':
- RequiredEC2Tags
- Arn
Targets:
- Id: RemediationNotification
Arn:
Ref: SnsTopic
InputTransformer:
InputTemplate: >-
"EC2 Instance is non-compliant. Please add required tags: COST_CENTER, APP_ID, Name, and Backup."
InputPathsMap:
instance_id: $.detail.resourceId
SnsTopic:
Type: 'AWS::SNS::Topic'
Properties:
Subscription:
- Endpoint: Cloud_Ops_Leaders@customer.com
Protocol: email
TopicName: noncompliant-instance-notification
SnsTopicPolicy:
Type: 'AWS::SNS::TopicPolicy'
Properties:
PolicyDocument:
Statement:
- Sid: __default_statement_ID
Effect: Allow
Principal:
AWS: '*'
Action:
- 'SNS:GetTopicAttributes'
- 'SNS:SetTopicAttributes'
- 'SNS:AddPermission'
- 'SNS:RemovePermission'
- 'SNS:DeleteTopic'
- 'SNS:Subscribe'
- 'SNS:ListSubscriptionsByTopic'
- 'SNS:Publish'
- 'SNS:Receive'
Resource:
Ref: SnsTopic
Condition:
StringEquals:
'AWS:SourceOwner':
Ref: 'AWS::AccountId'
- Sid: TrustCWEToPublishEventsToMyTopic
Effect: Allow
Principal:
Service: events.amazonaws.com
Action: 'sns:Publish'
Resource:
Ref: SnsTopic
Topics:
- Ref: SnsTopic
```
# AMS Advanced에 대한 Amazon EventBridge 규칙 서비스 연결 역할
Amazon EventBridge 규칙 SLR
AMS Advanced는 **AWSServiceRoleForManagedServices\$1Events**라는 서비스 연결 역할(SLR)을 사용합니다.이 역할은 AWS 관리형 서비스 서비스 보안 주체(events.managedservices.amazonaws.com) 중 하나를 신뢰하여 역할을 수임합니다. 서비스는 역할을 사용하여 EventBridge 관리형 규칙을 생성합니다. 이 규칙은 AWS 계정에서 AWS 관리형 서비스로 경보 상태 변경 정보를 전달하는 데 필요한 인프라입니다.
## AMS Advanced용 EventBridge SLR에 대한 권한
EventBridge SLR에 대한 권한
**AWSServiceRoleForManagedServices\$1Events** 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ events.managedservices.amazonaws.com
이 역할에는 **AWSManagedServices\$1EventsServiceRolePolicy** AWS 관리형 정책이 연결되어 있습니다([AWS 관리형 정책: AWSManagedServices\$1EventsServiceRolePolicy](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html#EventsServiceRolePolicy) 참조). 서비스는 역할을 사용하여 계정의 경보 상태 변경 정보를 관리형 AWS 서비스로 전달합니다. IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 링크 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 *AWS Identity and Access Management* 사용 설명서의 [서비스 연결 역할 권한을 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions).
이 ZIP: EventsServiceRolePolicy.zip에서 JSON **AWSManagedServices\$1EventsServiceRolePolicy**를 다운로드할 수 있습니다. [EventsServiceRolePolicy.zip](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/samples/EventsServiceRolePolicy.zip)
## AMS Advanced용 EventBridge SLR 생성
EventBridge SLR 생성
서비스 링크 역할은 수동으로 생성할 필요가 없습니다. AWS 관리 콘솔 AWS CLI, 또는 AWS API에서 AMS에 온보딩하면 AMS Advanced가 서비스 연결 역할을 생성합니다.
**중요**
이 서비스 연결 역할은 2023년 2월 7일 이전에 AMS Advanced 서비스를 사용하던 경우 계정에 나타날 수 있습니다. 서비스 연결 역할을 지원하기 시작한 후 AMS Accelerate가 계정에 AWSServiceRoleForManagedServices\$1Events 역할을 생성했습니다. 자세한 내용은 [내 IAM 계정에 표시되는 새 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)을 참조하세요.
이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. AMS에 온보딩하면 AMS Advanced가 서비스 연결 역할을 다시 생성합니다.
## AMS Advanced용 EventBridge SLR 편집
EventBridge SLR 편집
AMS Advanced에서는 AWSServiceRoleForManagedServices\$1Events 서비스 연결 역할을 편집할 수 없습니다. 서비스 링크 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.
## AMS Advanced용 EventBridge SLR 삭제
EventBridge SLR 삭제
AWSServiceRoleForManagedServices\$1Events 역할은 수동으로 삭제할 필요가 없습니다. AWS 관리 콘솔, AWS CLI 또는 AWS API의 AMS에서 오프보드하면 AMS Advanced가 리소스를 정리하고 서비스 연결 역할을 삭제합니다.
IAM 콘솔, AWS CLI 또는 AWS API를 사용하여 서비스 연결 역할을 수동으로 삭제할 수도 있습니다. 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.
**참고**
리소스를 삭제하려고 할 때 AMS Advanced 서비스가 역할을 사용하는 경우 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.
****AWSServiceRoleForManagedServices\$1Events 서비스 연결 역할에서 사용하는** AMS Advanced 리소스를 삭제하려면**
**IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.**
IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 AWSServiceRoleForManagedServices\$1Events 서비스 연결 역할을 삭제합니다.
자세한 내용은 IAM 사용 설명서에서 [서비스 연결 역할 삭제](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)를 참조하세요.**
# 보안 모범 사례
이 섹션에는 민감한 AMS 보안 관련 정보가 포함되어 있으므로 수정되었습니다. 이 정보는 AMS 콘솔 **설명서를** 통해 확인할 수 있습니다. AWS 아티팩트에 액세스하려면 CSDM에 문의하여 지침을 받거나 [AWS 아티팩트 시작하기를](https://aws.amazon.com/artifact/getting-started) 참조하세요.
## AMS 다중 계정 랜딩 존 EPS 기본값이 아닌 설정
이 섹션에는 민감한 AMS 보안 관련 정보가 포함되어 있으므로 수정되었습니다. 이 정보는 AMS 콘솔 **설명서를** 통해 확인할 수 있습니다. AWS 아티팩트에 액세스하려면 CSDM에 문의하여 지침을 받거나 [AWS 아티팩트 시작하기를](https://aws.amazon.com/artifact/getting-started) 참조하세요.
## AMS 가드레일
가드레일은 전체 AMS 환경에 대한 지속적인 거버넌스를 제공하는 상위 수준 규칙입니다.
이 섹션에는 민감한 AMS 보안 관련 정보가 포함되어 있으므로 수정되었습니다. 이 정보는 AMS 콘솔 **설명서를** 통해 확인할 수 있습니다. AWS 아티팩트에 액세스하려면 CSDM에 문의하여 지침을 받거나 [AWS 아티팩트 시작하기를](https://aws.amazon.com/artifact/getting-started) 참조하세요.
## MALZ 서비스 제어 정책
이 섹션에는 민감한 AMS 보안 관련 정보가 포함되어 있으므로 수정되었습니다. 이 정보는 AMS 콘솔 **설명서를** 통해 확인할 수 있습니다. AWS 아티팩트에 액세스하려면 CSDM에 문의하여 지침을 받거나 [AWS 아티팩트 시작하기를](https://aws.amazon.com/artifact/getting-started) 참조하세요.