기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 솔루션 배포
<a name="deploy-the-solution"></a>

**중요**  
Security Hub에서 [통합 제어 조사 결과](deciding-where-to-deploy-each-stack.md#consolidated-controls-findings) 기능이 켜져 있는 경우이 솔루션을 배포할 때만 보안 제어(SC) 플레이북을 활성화합니다. 기능이 켜져 있지 않은 경우 Security Hub에서 활성화된 보안 표준에 대한 플레이북**만** 활성화합니다. 2023년 2월 23일 이후에 Security Hub CSPM을 활성화하면 통합 제어 조사 결과가 기본적으로 활성화됩니다.

이 솔루션은 [AWS CloudFormation 템플릿 및 스택](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html)을 사용하여 솔루션의 배포를 자동화합니다. CloudFormation 템플릿은 이 솔루션에 포함된 AWS 리소스와 해당 속성을 지정합니다. CloudFormation 스택은 템플릿에 설명된 리소스를 프로비저닝합니다.

솔루션이 작동하려면 세 개의 템플릿을 배포해야 합니다. 먼저 템플릿을 배포할 위치를 결정한 다음 배포 방법을 결정합니다.

이 개요에서는 템플릿과 템플릿을 배포할 위치와 방법을 결정하는 방법을 설명합니다. 다음 섹션에는 각 스택을 스택 또는 스택 StackSet.

# 각 스택을 배포할 위치 결정
<a name="deciding-where-to-deploy-each-stack"></a>

세 가지 템플릿은 다음 이름으로 참조되며 다음 리소스를 포함합니다.
+ 관리자 스택: 오케스트레이터 단계 함수, 이벤트 규칙 및 Security Hub 사용자 지정 작업.
+ 멤버 스택: SSM 자동화 문서 수정.
+ 멤버 역할 스택: 문제 해결을 위한 IAM 역할.

관리자 스택은 단일 계정 및 단일 리전에 한 번 배포해야 합니다. 조직의 Security Hub 조사 결과의 집계 대상으로 구성한 계정 및 리전에 배포해야 합니다. 작업 로그 기능을 사용하여 관리 이벤트를 모니터링하려면 조직의 관리 계정 또는 위임된 관리자 계정에 관리자 스택을 배포해야 합니다.

솔루션은 Security Hub 조사 결과에서 작동하므로 해당 계정 또는 리전이 Security Hub 관리자 계정 및 리전의 조사 결과를 집계하도록 구성되지 않은 경우 특정 계정 및 리전의 조사 결과에서 작동할 수 없습니다.

**중요**  
[AWS Security Hub(비 CSPM)](https://aws.amazon.com/security-hub/)를 사용하는 경우 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)에 온보딩된 멤버 계정이 AWS Security Hub(비 CSPM)에도 온보딩되도록 할 책임은 사용자에게 있습니다. AWS Security Hub CSPM에 집계된 리전은 AWS Security Hub(비 CSPM)에 집계된 리전과도 일치해야 합니다.

예를 들어, 조직에는 리전 `us-east-1` 및에서 운영되는 계정이 있으며`us-west-2`, 계정은 리전의 Security Hub 위임된 관리자`111111111111`입니다`us-east-1`. `222222222222` 및 계정은 위임된 관리자 계정의 Security Hub 멤버 계정이어야 `333333333333` 합니다`111111111111`. 에서 로 결과를 집계`us-west-2`하도록 세 계정을 모두 구성해야 합니다`us-east-1`. 관리자 스택은 `111111111111`의 계정에 배포해야 합니다`us-east-1`.

집계 결과에 대한 자세한 내용은 Security Hub [위임된 관리자 계정](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html) 및 [교차 리전 집계](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) 설명서를 참조하세요.

멤버 계정에서 허브 계정으로 신뢰 관계를 생성할 수 있도록 멤버 스택을 배포하기 전에 관리자 스택이 먼저 배포를 완료해야 합니다.

결과를 수정하려는 모든 계정 및 리전에 멤버 스택을 배포해야 합니다. 여기에는 이전에 ASR 관리자 스택을 배포한 Security Hub 위임된 관리자 계정이 포함될 수 있습니다. SSM 자동화에 프리 티어를 사용하려면 자동화 문서가 멤버 계정에서 실행되어야 합니다.

이전 예제를 사용하여 모든 계정 및 리전의 결과를 해결하려면 멤버 스택을 세 계정(,`111111111111` `222222222222`및 `333333333333`)과 두 리전(`us-east-1` 및 ) 모두에 배포해야 합니다`us-west-2`.

멤버 역할 스택은 모든 계정에 배포해야 하지만 계정당 한 번만 배포할 수 있는 글로벌 리소스(IAM 역할)가 포함되어 있습니다. 멤버 역할 스택을 배포하는 리전은 중요하지 않으므로 간소화를 위해 관리자 스택이 배포되는 동일한 리전에 배포하는 것이 좋습니다.

이전 예제를 사용하여의 세 계정(, `222222222222`및 `111111111111``333333333333`) 모두에 멤버 역할 스택을 배포하는 것이 좋습니다`us-east-1`.

## 각 스택을 배포하는 방법 결정
<a name="deciding-how-to-deploy-each-stack"></a>

스택 배포 옵션은 다음과 같습니다.
+ CloudFormation StackSet(자체 관리형 권한)
+ CloudFormation StackSet(서비스 관리형 권한)
+ CloudFormation 스택

서비스 관리형 권한이 있는 StackSets는 자체 역할을 배포할 필요가 없으며 조직의 새 계정에 자동으로 배포할 수 있으므로 가장 편리합니다. 안타깝게도이 방법은 관리자 스택과 멤버 스택 모두에서 사용하는 중첩 스택을 지원하지 않습니다. 이러한 방식으로 배포할 수 있는 유일한 스택은 멤버 역할 스택입니다.

전체 조직에 배포할 때는 조직 관리 계정이 포함되지 않으므로 조직 관리 계정의 조사 결과를 수정하려면이 계정에 별도로 배포해야 합니다.

멤버 스택은 모든 계정 및 리전에 배포해야 하지만 중첩 스택이 포함되어 있으므로 서비스 관리형 권한이 있는 StackSets를 사용하여 배포할 수 없습니다. 따라서 자체 관리형 권한이 있는 StackSets를 사용하여이 스택을 배포하는 것이 좋습니다.

관리자 스택은 한 번만 배포되므로 단일 계정 및 리전에 자체 관리형 권한이 있는 일반 CloudFormation 스택 또는 StackSet로 배포할 수 있습니다.

## 통합 제어 조사 결과
<a name="consolidated-controls-findings"></a>

Security Hub의 통합 제어 조사 결과 기능을 켜거나 끄면 조직의 계정을 구성할 수 있습니다. *AWS Security Hub 사용 설명서*의 [통합 제어 조사 결과를](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings) 참조하세요.

**중요**  
이 기능이 활성화되면 솔루션 버전 2.0.0 이상을 사용하고 관리자 스택과 멤버 스택 모두에서 "SC"(보안 제어) 플레이북을 활성화해야 합니다. 이러한 스택은 통합 제어 IDs. 통합 제어 조사 결과를 사용할 때 개별 표준(예: AWS FSBP)에 스택을 배포할 필요가 없습니다.

## 중국 배포
<a name="china-deployment"></a>

이 솔루션은 중국 리전에서 배포를 지원하지만 **이 가이드의 다른 섹션에 제공된 시작 버튼이 아닌 중국 리전에서 원클릭으로 배포하려면 다음 시작 버튼을 사용해야 합니다.** 중국 리전에 배포하는 경우이 가이드의 다음 섹션에 제공된 "솔루션 시작" 버튼을 사용하면 작동하지 않습니다. 여전히 모든 S3 버킷 링크에서 템플릿을 다운로드하고 템플릿 파일을 업로드하여 스택을 배포할 수 있습니다.
+  **automated-security-response-admin.template**:

 [https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide) 
+  **automated-security-response-member-roles.template**:

 [https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide) 
+  **automated-security-response-member.template**:

 [https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://cn-north-1.console.amazonaws.cn/cloudformation/home?region=cn-north-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3---cn-north-1.amazonaws.com.rproxy.govskope.us.cn%2Fsolutions-reference-cn%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide) 

## GovCloud(미국) 배포
<a name="govcloud-deployment"></a>

이 솔루션은 GovCloud(미국) 리전에서의 배포를 지원하지만 **이 가이드의 다른 섹션에 제공된 시작 버튼이 아닌 GovCloud(미국) 리전에서의 원클릭 배포에 다음 시작 버튼을 사용해야 합니다.** GovCloud(미국) 리전에 배포하는 경우이 안내서의 다음 섹션에 제공된 "솔루션 시작" 버튼을 사용하면 작동하지 않습니다. 여전히 모든 S3 버킷 링크에서 템플릿을 다운로드하고 템플릿 파일을 업로드하여 스택을 배포할 수 있습니다.
+  **automated-security-response-admin.template**:

 [https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide) 
+  **automated-security-response-member-roles.template**:

 [https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide) 
+  **automated-security-response-member.template**:

 [https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://console.amazonaws-us-gov.com/cloudformation/home?region=us-gov-west-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.us-gov-west-1.amazonaws.com%2Fsolutions-reference-us-gov%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide) 

# AWS CloudFormation 템플릿
<a name="aws-cloudformation-template"></a>

 [https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template) **automated-security-response-admin.template** -이 템플릿을 사용하여 AWS에서 자동 보안 응답을 시작합니다. 템플릿은 솔루션의 핵심 구성 요소, AWS Step Functions 로그에 대한 중첩 스택, 활성화하도록 선택한 각 보안 표준에 대한 중첩 스택 하나를 설치합니다.

사용되는 서비스에는 Amazon Simple Notification Service, AWS Key Management Service, AWS Identity and Access Management, AWS Lambda, AWS Step Functions, Amazon CloudWatch Logs, Amazon S3 및 AWS Systems Manager가 포함됩니다.

## 관리자 계정 지원
<a name="admin-account-support"></a>

다음 템플릿은 AWS Security Hub 관리자 계정에 설치되어 지원하려는 보안 표준을 켭니다. 를 설치할 때 설치할 다음 템플릿 중 하나를 선택할 수 있습니다`automated-security-response-admin.template`.

 **automated-security-response-orchestrator-log.template** - Orchestrator Step Function에 대한 CloudWatch 로그 그룹을 생성합니다.

 **automated-security-response-webui-nested-stack.template** - 솔루션의 웹 UI를 지원하는 리소스를 생성합니다.

 **AFSBPStack.template** - AWS 기본 보안 모범 사례 v1.0.0 규칙.

 **CIS120Stack.template** - CIS Amazon Web Services Foundations 벤치마크, v1.2.0 규칙.

 **CIS140Stack.template** - CIS Amazon Web Services Foundations 벤치마크, v1.4.0 규칙.

 **CIS300Stack.template** - CIS Amazon Web Services Foundations 벤치마크, v3.0.0 규칙.

 **PCI321Stack.template** - PCI-DSS v3.2.1 규칙.

 **NISTStack.template** - NIST(National Institute of Standards and Technology), v5.0.0 규칙.

 **SCStack.template** - Security Controls v2.0.0 규칙.

## 멤버 역할
<a name="member-roles"></a>

 [https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template) **automated-security-response-member-roles.template** - 각 AWS Security Hub 멤버 계정에 필요한 문제 해결 역할을 정의합니다.

## 멤버 계정
<a name="member-accounts"></a>

 [https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template) **automated-security-response-member.template** - 코어 솔루션을 설정한 후이 템플릿을 사용하여 각 AWS Security Hub 멤버 계정(관리자 계정 포함)에 AWS Systems Manager 자동화 런북 및 권한을 설치합니다. 이 템플릿을 사용하면 설치할 보안 표준 플레이북을 선택할 수 있습니다.

는 선택한 항목에 따라 다음 템플릿을 `automated-security-response-member.template` 설치합니다.

 **automated-security-response-remediation-runbooks.template** - 하나 이상의 보안 표준에서 사용하는 일반적인 문제 해결 코드입니다.

 **AFSBPMemberStack.template** - AWS 기본 보안 모범 사례 v1.0.0 설정, 권한 및 문제 해결 런북.

 **CIS120MemberStack.template** - CIS Amazon Web Services Foundations 벤치마크, 버전 1.2.0 설정, 권한 및 문제 해결 런북.

 **CIS140MemberStack.template** - CIS Amazon Web Services Foundations 벤치마크, 버전 1.4.0 설정, 권한 및 문제 해결 런북.

 **CIS300MemberStack.template** - CIS Amazon Web Services Foundations 벤치마크, 버전 3.0.0 설정, 권한 및 문제 해결 런북.

 **PCI321MemberStack.template** - PCI-DSS v3.2.1 설정, 권한 및 문제 해결 런북.

 **NISTMemberStack.template** - NIST(National Institute of Standards and Technology), v5.0.0 설정, 권한 및 문제 해결 런북.

 **SCMemberStack.template** - 보안 제어 설정, 권한 및 문제 해결 런북.

 **automated-security-response-member-cloudtrail.template** - 작업 로그 기능에서 및 서비스 활동을 추적하고 감사하는 데 사용됩니다.

## 티켓 시스템 통합
<a name="ticket-system-integration"></a>

다음 템플릿 중 하나를 사용하여 티켓팅 시스템과 통합합니다.

 [https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/blueprints/JiraBlueprintStack.template](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/blueprints/JiraBlueprintStack.template) **JiraBlueprintStack.template** - Jira를 티켓팅 시스템으로 사용하는 경우 배포합니다.

 [https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/blueprints/ServiceNowBlueprintStack.template](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/blueprints/ServiceNowBlueprintStack.template) **ServiceNowBlueprintStack.template** - ServiceNow를 티켓팅 시스템으로 사용하는 경우 배포합니다.

다른 외부 티켓팅 시스템을 통합하려는 경우 이러한 스택 중 하나를 청사진으로 사용하여 자체 사용자 지정 통합을 구현하는 방법을 이해할 수 있습니다.

# 자동 배포 - StackSets
<a name="deployment-stackset"></a>

**참고**  
StackSets를 사용하여 배포하는 것이 좋습니다. 그러나 단일 계정 배포 또는 테스트 또는 평가 목적의 경우 [스택 배포](deployment.md) 옵션을 고려하세요.

솔루션을 시작하기 전에이 가이드에서 설명하는 아키텍처, 솔루션 구성 요소, 보안 및 설계 고려 사항을 검토하세요. 이 섹션의 step-by-step 지침에 따라 솔루션을 구성하고 AWS Organizations에 배포합니다.

 **배포 시간:** StackSet 파라미터에 따라 계정당 약 30분.

## 사전 조건
<a name="prerequisites-stackset"></a>

 [AWS Organizations](https://aws.amazon.com/organizations/)는 다중 계정 AWS 환경 및 리소스를 중앙에서 관리하고 관리하는 데 도움이 됩니다. StackSets는 AWS Organizations에서 가장 잘 작동합니다.

이전에이 솔루션의 v1.3.x 이하를 배포한 경우 기존 솔루션을 제거해야 합니다. 자세한 내용은 [솔루션 업데이트를 참조하세요](update-the-solution.md).

이 솔루션을 배포하기 전에 AWS Security Hub 배포를 검토합니다.
+ AWS Organization에는 위임된 Security Hub 관리자 계정이 있어야 합니다.
+ Security Hub는 리전 간에 조사 결과를 집계하도록 구성해야 합니다. 자세한 내용은 AWS Security Hub 사용 설명서의 [리전 간 조사 결과 집계](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html)를 참조하세요.
+ AWS를 사용하는 각 리전에서 조직에 대해 [Security Hub를 활성화](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-prereq-config.html)해야 합니다.

이 절차에서는 AWS Organizations를 사용하는 계정이 여러 개 있고 AWS Organizations 관리자 계정과 AWS Security Hub 관리자 계정을 위임했다고 가정합니다.

 **이 솔루션은 [AWS Security Hub와 AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-are-securityhub-services.html) 모두에서 작동합니다.**

## 배포 개요
<a name="deployment-overview-stackset"></a>

**참고**  
이 솔루션의 StackSets 배포는 서비스 관리형 및 자체 관리형 StackSets의 조합을 사용합니다. 자체 관리형 StackSets 서비스 관리형 StackSets 아직 지원되지 않는 중첩된 StackSets 사용하므로 현재 사용해야 합니다.

AWS Organizations의 위임된 관리자 계정에서 StackSets를 배포합니다. [https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) AWS Organizations

**계획**  
다음 양식을 사용하여 StackSets 배포를 지원합니다. 데이터를 준비한 다음 배포 중에 값을 복사하여 붙여넣습니다.

```
AWS Organizations admin account ID: _______________
Security Hub admin account ID: _______________
CloudTrail Logs Group: ______________________________
Member account IDs (comma-separated list):
___________________,
___________________,
___________________,
___________________,
___________________
AWS Organizations OUs (comma-separated list):
___________________,
___________________,
___________________,
___________________,
___________________
```

 [(선택 사항) 0단계: 티켓팅 통합 스택 배포](#step-0-stackset) 
+ 티켓팅 기능을 사용하려는 경우 먼저 티켓팅 통합 스택을 Security Hub 관리자 계정에 배포합니다.
+ 이 스택에서 Lambda 함수 이름을 복사하여 관리자 스택에 입력으로 제공합니다(1단계 참조).

 [1단계: 위임된 Security Hub 관리자 계정에서 관리자 스택 시작](#step-1-stackset) 
+ 자체 관리형 StackSet를 사용하여 `automated-security-response-admin.template` AWS CloudFormation 템플릿을 Security Hub 관리자와 동일한 리전의 AWS Security Hub 관리자 계정으로 시작합니다. 이 템플릿은 중첩 스택을 사용합니다.
+ 설치할 보안 표준을 선택합니다. 기본적으로 SC만 선택됩니다(권장).
+ 사용할 기존 Orchestrator 로그 그룹을 선택합니다. 이전 설치에서 `SO0111-ASR- Orchestrator` 이미 존재하는 `Yes` 경우를 선택합니다.
+ 솔루션의 웹 UI를 활성화할지 여부를 선택합니다. 이 기능을 활성화하도록 선택한 경우 관리자 역할을 할당할 이메일 주소도 입력해야 합니다.
+ 솔루션의 운영 상태와 관련된 CloudWatch 지표를 수집하기 위한 기본 설정을 선택합니다.

자체 관리형 StackSets에 대한 자세한 내용은 *AWS CloudFormation 사용 설명서*의 [자체 관리형 권한 부여](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-prereqs-self-managed.html)를 참조하세요.

 [2단계: 각 AWS Security Hub 멤버 계정에 문제 해결 역할 설치](#step-2-stackset) 

2단계의 템플릿이 1단계에서 생성한 IAM 역할을 참조하므로 1단계에서 배포가 완료될 때까지 기다립니다.
+ 서비스 관리형 StackSet를 사용하여 `automated-security-response-member-roles.template` AWS Organizations의 각 계정에서 AWS CloudFormation 템플릿을 단일 리전으로 시작합니다. AWS Organizations
+ 새 계정이 조직에 가입하면이 템플릿을 자동으로 설치하도록 선택합니다.
+ AWS Security Hub 관리자 계정의 계정 ID를 입력합니다.
+ 리소스 이름이 동일한 계정의 이전 또는 동시 배포와 충돌하는 `namespace` 것을 방지하는 데 사용할의 값을 입력합니다. 최대 9자의 소문자 영숫자로 구성된 문자열을 입력합니다.

 [3단계: 각 AWS Security Hub 멤버 계정 및 리전에서 멤버 스택 시작](#step-3-stackset) 
+ 자체 관리형 StackSets를 사용하여 동일한 Security Hub 관리자가 관리하는 `automated-security-response-member.template` AWS Organization의 모든 계정에 AWS 리소스가 있는 모든 리전에서 AWS CloudFormation 템플릿을 시작합니다.
**참고**  
서비스 관리형 StackSets 중첩 스택을 지원할 때까지 조직에 가입하는 모든 새 계정에 대해이 단계를 수행해야 합니다.
+ 설치할 보안 표준 플레이북을 선택합니다.
+ CloudTrail 로그 그룹의 이름을 입력합니다(일부 수정 사항에서 사용).
+ AWS Security Hub 관리자 계정의 계정 ID를 입력합니다.
+ 리소스 이름이 동일한 계정의 이전 또는 동시 배포와 충돌하는 `namespace` 것을 방지하는 데 사용할의 값을 입력합니다. 최대 9자의 소문자 영숫자로 구성된 문자열을 입력합니다. 이는 멤버 역할 스택에 대해 선택한 `namespace` 값과 일치해야 합니다. 또한 네임스페이스 값은 멤버 계정별로 고유할 필요가 없습니다.

## (선택 사항) 0단계: 티켓 시스템 통합 스택 시작
<a name="step-0-stackset"></a>

1. 티켓팅 기능을 사용하려는 경우 먼저 각 통합 스택을 시작합니다.

1. Jira 또는 ServiceNow에 대해 제공된 통합 스택을 선택하거나 이를 청사진으로 사용하여 자체 사용자 지정 통합을 구현합니다.

    **Jira 스택을 배포하려면**:

   1. 스택의 이름을 입력합니다.

   1. Jira 인스턴스에 URI를 제공합니다.

   1. 티켓을 보내려는 Jira 프로젝트의 프로젝트 키를 제공합니다.

   1. Secrets Manager에서 Jira `Username` 및를 포함하는 새 키-값 보안 암호를 생성합니다`Password`.
**참고**  
사용자 이름을 로`Username`, API 키를 로 제공하여 암호 대신 Jira API 키를 사용하도록 선택할 수 있습니다`Password`.

   1. 이 보안 암호의 ARN을 스택에 입력으로 추가합니다.

       **스택 이름 Jira 프로젝트 정보와 Jira API 자격 증명을 제공합니다.**  
![\[티켓 시스템 통합 스택 지라\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-jira.png)

       **Jira 필드 구성**:

      Jira 스택을 배포한 후 Lambda 함수에서 `JIRA_FIELDS_MAPPING` 환경 변수를 설정하여 Jira 티켓 필드를 사용자 지정할 수 있습니다. 이 JSON 문자열은 기본 Jira 티켓 필드를 재정의하며 Jira API 필드 구조를 따라야 합니다.

      `JIRA_FIELDS_MAPPING`가 비어 있거나 필드가 지정되지 않은 경우의 기본값:
      +  **우선순위**: `{"id": "3"}` (중간 우선순위)
      +  **issuetype**: `{"id": "10006"}` (작업)
      +  **accountId**: `GET /rest/api/2/myself` API 엔드포인트를 사용하여 자동으로 검색됨

        사용자 지정 필드가 있는 구성의 예:

        ```
        {
          "reporter": {"accountId": "123456:494dcbff-1b80-482c-a89d-56ae81c145a4"},
          "priority": {"id": "1"},
          "issuetype": {"id": "10006"},
          "assignee": {"accountId": "123456:another-user-id"},
          "customfield_10001": "custom value"
        }
        ```

        일반적인 Jira 필드 IDs
      +  **우선 순위 IDs**: 1(가장 높음), 2(높음), 3(중간), 4(낮음), 5(가장 낮음)
      +  **문제 유형 ID**: Jira 프로젝트에 따라 다름(예: 작업의 경우 10006)
      +  **계정 ID**: 형식 `123456:494dcbff-1b80-482c-a89d-56ae81c145a4` 

        Jira REST API를 사용하여 Jira 필드 IDs와 계정 IDs를 찾을 수 있습니다.
      +  `GET /rest/api/2/myself` 계정 ID용
      +  `GET /rest/api/2/priority` 우선 순위 IDs 경우
      +  `GET /rest/api/2/project/{projectKey}` 문제 유형 IDs 경우

        자세한 내용은 [Jira REST API v2 문제 POST 형식을](https://developer.atlassian.com/server/jira/platform/rest/v10000/api-group-issue/#api-api-2-issue-post) 참조하세요.

         **ServiceNow 스택을 배포하려면**:

   1. 스택의 이름을 입력합니다.

   1. ServiceNow 인스턴스의 URI를 제공합니다.

   1. ServiceNow 테이블 이름을 입력합니다.

   1. 작성하려는 테이블을 수정할 수 있는 권한이 있는 API 키를 ServiceNow에 생성합니다.

   1. 키를 사용하여 Secrets Manager에서 보안 암호를 `API_Key` 생성하고 보안 암호 ARN을 스택에 대한 입력으로 제공합니다.

       **스택 이름 ServiceNow 프로젝트 정보와 ServiceNow API 자격 증명을 제공합니다.**  
![\[티켓 시스템 통합 스택 서비스지금\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-servicenow.png)

       **사용자 지정 통합 스택을 생성하려면**: 솔루션 오케스트레이터 Step Functions가 각 문제 해결에 대해 호출할 수 있는 Lambda 함수를 포함합니다. Lambda 함수는 Step Functions에서 제공하는 입력을 받아 티켓팅 시스템의 요구 사항에 따라 페이로드를 구성하고 시스템에 티켓을 생성하도록 요청해야 합니다.

## 1단계: 위임된 Security Hub 관리자 계정에서 관리자 스택 시작
<a name="step-1-stackset"></a>

1. Security Hub [관리자 계정으로 관리자 스택](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template) `automated-security-response-admin.template`를 시작합니다. 일반적으로 단일 리전의 조직당 하나씩. 이 스택은 중첩 스택을 사용하므로이 템플릿을 자체 관리형 StackSet로 배포해야 합니다.

### 파라미터
<a name="parameters"></a>


| 파라미터 | 기본값 | 설명 | 
| --- | --- | --- | 
|   **SC 관리자 스택 로드**   |   `yes`   |  SC 제어의 자동 문제 해결을 위해 관리자 구성 요소를 설치할지 여부를 지정합니다.  | 
|   **AFSBP 관리자 스택 로드**   |   `no`   |  FSBP 제어의 자동 문제 해결을 위해 관리자 구성 요소를 설치할지 여부를 지정합니다.  | 
|   **CIS120 관리자 스택 로드**   |   `no`   |  CIS120 제어의 자동 문제 해결을 위해 관리자 구성 요소를 설치할지 여부를 지정합니다.  | 
|   **CIS140 관리자 스택 로드**   |   `no`   |  CIS140 제어의 자동 문제 해결을 위해 관리자 구성 요소를 설치할지 여부를 지정합니다.  | 
|   **CIS300 관리자 스택 로드**   |   `no`   |  CIS300 제어의 자동 문제 해결을 위해 관리자 구성 요소를 설치할지 여부를 지정합니다.  | 
|   **PC1321 관리자 스택 로드**   |   `no`   |  PC1321 제어의 자동 문제 해결을 위해 관리자 구성 요소를 설치할지 여부를 지정합니다.  | 
|   **NIST 관리자 스택 로드**   |   `no`   |  NIST 제어의 자동 문제 해결을 위해 관리자 구성 요소를 설치할지 여부를 지정합니다.  | 
|   **오케스트레이터 로그 그룹 재사용**   |   `no`   |  기존 `SO0111-ASR-Orchestrator` CloudWatch Logs 그룹을 재사용할지 여부를 선택합니다. 이렇게 하면 이전 버전의 로그 데이터가 손실되지 않고 재설치 및 업그레이드가 간소화됩니다. 이 계정의 이전 배포에서가 `Orchestrator Log Group` 여전히 존재하는 `yes` 경우 기존 `Orchestrator Log Group` 선택을 재사용하고, 그렇지 않으면를 재사용합니다`no`. v2.3.0 이전 버전에서 스택 업데이트를 수행하는 경우 `no`   | 
|   **ShouldDeployWebUI**   |   `yes`   |  API Gateway, Lambda 함수 및 CloudFront 배포를 포함한 웹 UI 구성 요소를 배포합니다. 조사 결과 및 문제 해결 상태를 보기 위해 웹 기반 사용자 인터페이스를 활성화하려면 "예"를 선택합니다. 이 기능을 비활성화해도 Security Hub CSPM 사용자 지정 작업을 사용하여 자동 문제 해결을 구성하고 온디맨드로 문제 해결을 실행할 수 있습니다.  | 
|   **AdminUserEmail**   |   *(선택 사항 입력)*   |  초기 관리자 사용자의 이메일 주소입니다. 이 사용자는 ASR 웹 UI에 대한 전체 관리 액세스 권한을 갖습니다. 웹 UI가 활성화된 **경우에만** 필요합니다.  | 
|   **CloudWatch 지표 사용**   |   `yes`   |  솔루션 모니터링을 위해 CloudWatch 지표를 활성화할지 여부를 지정합니다. 그러면 지표를 볼 수 있는 CloudWatch 대시보드가 생성됩니다.  | 
|   **CloudWatch 지표 경보 사용**   |   `yes`   |  솔루션에 대해 CloudWatch 지표 경보를 활성화할지 여부를 지정합니다. 이렇게 하면 솔루션에서 수집한 특정 지표에 대한 경보가 생성됩니다.  | 
|   **RemediationFailureAlarmThreshold**   |   `5`   |  제어 ID당 문제 해결 실패 비율에 대한 임계값을 지정합니다. 예를 들어를 입력하면 지정된 날짜에 제어 ID가 문제 해결의 5% 이상 실패하면 경보가 `5`발생합니다. 이 파라미터는 경보가 생성된 경우에만 작동합니다(**CloudWatch 지표 경보 사용** 파라미터 참조).  | 
|   **EnableEnhancedCloudWatchMetrics**   |   `no`   |  `yes`인 경우는 추가 CloudWatch 지표를 생성하여 CloudWatch 대시보드에서 모든 제어 IDs 개별적으로 추적하고 CloudWatch 경보로 추적합니다. 이 경우 발생하는 추가 비용을 이해하려면 [비용](cost.md#additional-cost-enhanced-metrics) 섹션을 참조하세요.  | 
|   **TicketGenFunctionName**   |   *(선택 사항 입력)*   |  선택 사항. 티켓팅 시스템을 통합하지 않으려면 비워 둡니다. 그렇지 않으면와 같이 [0단계](deployment.md#step-0)의 스택 출력에서 Lambda 함수 이름을 입력합니다`SO0111-ASR-ServiceNow-TicketGenerator`.  | 

 **StackSet 옵션 구성** 

![\[스택 세트 옵션 구성\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/automated-security-response-on-aws/images/configre-stackset-options.png)


1. **계정 번호** 파라미터에 AWS Security Hub 관리자 계정의 계정 ID를 입력합니다.

1. **리전 지정** 파라미터에서 Security Hub 관리자가 켜져 있는 리전만 선택합니다. 2단계로 넘어가기 전에이 단계가 완료될 때까지 기다립니다.

## 2단계: 각 AWS Security Hub 멤버 계정에 문제 해결 역할 설치
<a name="step-2-stackset"></a>

서비스 관리형 StackSets를 사용하여 [멤버 역할 템플릿](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template)인를 배포합니다`automated-security-response-member-roles.template`. 이 StackSet는 멤버 계정당 한 리전에 배포해야 합니다. ASR Orchestrator 단계 함수에서 교차 계정 API 호출을 허용하는 전역 역할을 정의합니다.

### 파라미터
<a name="parameters-2"></a>


| 파라미터 | 기본값 | 설명 | 
| --- | --- | --- | 
|   **네임스페이스**   |   *<입력 필수>*   |  최대 9자의 소문자 영숫자로 구성된 문자열을 입력합니다. 문제 해결 IAM 역할 이름에 접미사로 추가할 고유한 네임스페이스입니다. 멤버 역할 및 멤버 스택에서 동일한 네임스페이스를 사용해야 합니다. 이 문자열은 각 솔루션 배포마다 고유해야 하지만 스택 업데이트 중에는 변경할 필요가 없습니다. 네임스페이스 값은 멤버 계정별로 고유할 필요가 **없습니다**.  | 
|   **Sec Hub 계정 관리자**   |   *<입력 필수>*   |  AWS Security Hub 관리자 계정의 12자리 계정 ID를 입력합니다. 이 값은 관리자 계정의 솔루션 역할에 권한을 부여합니다.  | 

1. 조직 정책에 따라 전체 조직(일반) 또는 조직 단위에 배포합니다.

1. AWS Organizations의 새 계정이 이러한 권한을 받도록 자동 배포를 켭니다.

1. **리전 지정** 파라미터에서 단일 리전을 선택합니다. IAM 역할은 전역적입니다. 이 StackSet가 배포되는 동안 3단계로 계속 진행할 수 있습니다.

    **StackSet 세부 정보 지정**   
![\[스택 세트 세부 정보 지정\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/automated-security-response-on-aws/images/specify-stackset-details.png)

## 3단계: 각 AWS Security Hub 멤버 계정 및 리전에서 멤버 스택 시작
<a name="step-3-stackset"></a>

[멤버 스택](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template)은 중첩 스택을 사용하기 때문에 자체 관리형 StackSet로 배포해야 합니다. AWS Organization의 새 계정에 대한 자동 배포는 지원하지 않습니다.

### 파라미터
<a name="parameters"></a>


| 파라미터 | 기본값 | 설명 | 
| --- | --- | --- | 
|   **지표 필터 및 경보를 생성하는 데 사용할 LogGroup의 이름을 입력합니다.**  |   *<입력 필수>*   |  CloudTrail이 API 호출을 로깅하는 CloudWatch Logs 그룹의 이름을 지정합니다. CloudTrail 이는 CIS 3.1-3.14 문제 해결에 사용됩니다.  | 
|   **SC 멤버 스택 로드**   |   `yes`   |  SC 제어의 자동 문제 해결을 위해 멤버 구성 요소를 설치할지 여부를 지정합니다.  | 
|   **AFSBP 멤버 스택 로드**   |   `no`   |  FSBP 제어의 자동 문제 해결을 위해 멤버 구성 요소를 설치할지 여부를 지정합니다.  | 
|   **CIS120 멤버 스택 로드**   |   `no`   |  CIS120 제어의 자동 문제 해결을 위해 멤버 구성 요소를 설치할지 여부를 지정합니다.  | 
|   **CIS140 멤버 스택 로드**   |   `no`   |  CIS140 제어의 자동 문제 해결을 위해 멤버 구성 요소를 설치할지 여부를 지정합니다.  | 
|   **CIS300 멤버 스택 로드**   |   `no`   |  CIS300 제어의 자동 문제 해결을 위해 멤버 구성 요소를 설치할지 여부를 지정합니다.  | 
|   **PC1321 멤버 스택 로드**   |   `no`   |  PC1321 제어의 자동 문제 해결을 위해 멤버 구성 요소를 설치할지 여부를 지정합니다.  | 
|   **NIST 멤버 스택 로드**   |   `no`   |  NIST 제어의 자동 문제 해결을 위해 멤버 구성 요소를 설치할지 여부를 지정합니다.  | 
|   **Redshift 감사 로깅을 위한 S3 버킷 생성**   |   `no`   |  FSBP RedShift.4 문제 해결을 위해 S3 버킷을 생성해야 하는지 `yes` 선택합니다. S3 버킷 및 문제 해결에 대한 자세한 내용은 *AWS Security Hub 사용 설명서*의 [Redshift.4 문제 해결을](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-redshift-4) 참조하세요.  | 
|   **Sec Hub 관리자 계정**   |   *<입력 필수>*   |  AWS Security Hub 관리자 계정의 12자리 계정 ID를 입력합니다.  | 
|   **네임스페이스**   |   *<입력 필수>*   |  최대 9자의 소문자 영숫자로 구성된 문자열을 입력합니다. 이 문자열은 IAM 역할 이름 및 작업 로그 S3 버킷의 일부가 됩니다. 멤버 스택 배포와 멤버 역할 스택 배포에 동일한 값을 사용합니다. 문자열은 각 솔루션 배포마다 고유해야 하지만 스택 업데이트 중에는 변경할 필요가 없습니다.  | 
|   **EnableCloudTrailForASRActionLog**   |   `no`   |  CloudWatch 대시보드에서 솔루션에서 수행한 관리 이벤트를 모니터링할`yes`지 선택합니다. 솔루션은를 선택하는 각 멤버 계정에 CloudTrail 추적을 생성합니다`yes`. 이 기능을 활성화하려면 AWS Organization에 솔루션을 배포해야 합니다. **또한 동일한 계정 내의 단일 리전에서만이 기능을 활성화할 수 있습니다.** 이 경우 발생하는 추가 비용을 이해하려면 [비용](cost.md#additional-cost-action-log) 섹션을 참조하세요.  | 

 **Accounts(계정)** 

![\[계정\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/automated-security-response-on-aws/images/accounts.png)


 **배포 위치**: 계정 번호 또는 조직 단위 목록을 지정할 수 있습니다.

 **리전 지정**: 결과를 수정하려는 모든 리전을 선택합니다. 계정 및 리전 수에 맞게 배포 옵션을 조정할 수 있습니다. 리전 동시성은 병렬일 수 있습니다.

# 자동 배포 - 스택
<a name="deployment"></a>

**참고**  
다중 계정 고객의 경우 [StackSets를 사용하여 배포](deployment-stackset.md)하는 것이 좋습니다.

솔루션을 시작하기 전에이 가이드에서 설명하는 아키텍처, 솔루션 구성 요소, 보안 및 설계 고려 사항을 검토하세요. 이 섹션의 단계별 지침에 따라 솔루션을 구성하고 계정에 배포합니다.

 **배포 시간:** 약 30분

## 사전 조건
<a name="prerequisites"></a>

이 솔루션을 배포하기 전에 AWS Security Hub가 기본 및 보조 계정과 동일한 AWS 리전에 있는지 확인합니다. 이전에이 솔루션을 배포한 경우 기존 솔루션을 제거해야 합니다. 자세한 내용은 [솔루션 업데이트를 참조하세요](update-the-solution.md).

## 배포 개요
<a name="deployment-overview"></a>

다음 단계에 따라이 솔루션을 AWS에 배포합니다.

 [(선택 사항) 0단계: 티켓 시스템 통합 스택 시작](#step-0) 
+ 티켓팅 기능을 사용하려는 경우 먼저 티켓팅 통합 스택을 Security Hub 관리자 계정에 배포합니다.
+ 이 스택에서 Lambda 함수 이름을 복사하여 관리자 스택에 대한 입력으로 제공합니다(1단계 참조).

 [1단계: 관리자 스택 시작](#step-1) 
+ `automated-security-response-admin.template` AWS Security Hub 관리자 계정으로 AWS CloudFormation 템플릿을 시작합니다.
+ 설치할 보안 표준을 선택합니다.
+ 사용할 기존 Orchestrator 로그 그룹을 선택합니다(이전 설치에서 `SO0111-ASR-Orchestrator` 이미 존재하는 `Yes` 경우 선택).

 [2단계: 각 AWS Security Hub 멤버 계정에 문제 해결 역할 설치](#step-2) 
+ `automated-security-response-member-roles.template` AWS CloudFormation 템플릿을 멤버 계정당 하나의 리전으로 시작합니다.
+ AWS Security Hub 관리자 계정의 12자리 계정 IG를 입력합니다.

 [3단계: 멤버 스택 시작](#step-3) 
+ CIS 3.1-3.14 문제 해결에 사용할 CloudWatch Logs 그룹의 이름을 지정합니다. CloudTrail 로그를 수신하는 CloudWatch Logs 로그 그룹의 이름이어야 합니다.
+ 문제 해결 역할을 설치할지 여부를 선택합니다. 이러한 역할은 계정당 한 번만 설치합니다.
+ 설치할 플레이북을 선택합니다.
+ AWS Security Hub 관리자 계정의 계정 ID를 입력합니다.

 [4단계: (선택 사항) 사용 가능한 수정 사항 조정](#step-4) 
+ 멤버별 계정을 기준으로 수정 사항을 제거합니다. 이 단계는 선택 사항입니다.

## (선택 사항) 0단계: 티켓 시스템 통합 스택 시작
<a name="step-0"></a>

1. 티켓팅 기능을 사용하려는 경우 먼저 각 통합 스택을 시작합니다.

1. Jira 또는 ServiceNow에 대해 제공된 통합 스택을 선택하거나 이를 블루프린트로 사용하여 자체 사용자 지정 통합을 구현합니다.

    **Jira 스택을 배포하려면**:

   1. 스택의 이름을 입력합니다.

   1. Jira 인스턴스에 URI를 제공합니다.

   1. 티켓을 보내려는 Jira 프로젝트의 프로젝트 키를 제공합니다.

   1. Secrets Manager에서 Jira `Username` 및를 포함하는 새 키-값 보안 암호를 생성합니다`Password`.
**참고**  
사용자 이름을 로`Username`, API 키를 로 제공하여 암호 대신 Jira API 키를 사용하도록 선택할 수 있습니다`Password`.

   1. 이 보안 암호의 ARN을 스택에 입력으로 추가합니다.

       **“스택 이름 Jira 프로젝트 정보와 Jira API 자격 증명을 제공합니다.**  
![\[티켓 시스템 통합 스택 지라\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-jira.png)

       **Jira 필드 구성**:

      Jira 티켓 필드 사용자 지정에 대한 자세한 내용은 [StackSet 배포 0단계의 Jira 필드 구성 섹션을 참조하세요](deployment-stackset.md#step-0-stackset).

       **ServiceNow 스택을 배포하려면**:

   1. 스택의 이름을 입력합니다.

   1. ServiceNow 인스턴스의 URI를 제공합니다.

   1. ServiceNow 테이블 이름을 입력합니다.

   1. 작성하려는 테이블을 수정할 수 있는 권한이 있는 API 키를 ServiceNow에 생성합니다.

   1. 키를 사용하여 Secrets Manager에서 보안 암호를 생성하고 보안 암호 ARN을 스택에 대한 입력으로 `API_Key` 제공합니다.

       **스택 이름 ServiceNow 프로젝트 정보와 ServiceNow API 자격 증명을 제공합니다.**  
![\[티켓 시스템 통합 스택 서비스지금\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/automated-security-response-on-aws/images/ticket-system-integration-stack-servicenow.png)

       **사용자 지정 통합 스택을 생성하려면**: 솔루션 오케스트레이터 Step Functions가 각 문제 해결에 대해 호출할 수 있는 Lambda 함수를 포함합니다. Lambda 함수는 Step Functions에서 제공하는 입력을 받아 티켓팅 시스템의 요구 사항에 따라 페이로드를 구성하고 시스템에 티켓을 생성하도록 요청해야 합니다.

## 1단계: 관리자 스택 시작
<a name="step-1"></a>

**중요**  
이 솔루션에는 데이터 수집이 포함됩니다. 당사는 이 데이터를 사용하여 고객이 이 솔루션과 관련 서비스 및 제품을 어떻게 사용하는지 더 잘 이해합니다. AWS는 이 설문 조사를 통해 수집된 데이터를 소유합니다. 데이터 수집에는 [AWS 개인 정보 보호 공지](https://aws.amazon.com/privacy/)가 적용됩니다.

이 자동화된 AWS CloudFormation 템플릿은 AWS 클라우드의 AWS 솔루션에서 자동 보안 응답을 배포합니다. 스택을 시작하기 전에 Security Hub를 활성화하고 [사전 조건을](#prerequisites) 완료해야 합니다.

**참고**  
이 솔루션을 실행하는 동안 사용되는 AWS 서비스의 비용은 사용자의 책임입니다. 자세한 내용은이 가이드의 [비용](cost.md) 섹션을 참조하고이 솔루션에 사용되는 각 AWS 서비스의 요금 웹 페이지를 참조하세요.

1. AWS Security Hub가 현재 구성된 계정에서 AWS Management Console에 로그인하고 아래 버튼을 사용하여 `automated-security-response-admin.template` AWS CloudFormation 템플릿을 시작합니다.

    [https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-admin&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-admin.template&redirectId=ImplementationGuide) 

   또한 구현의 시작점으로 사용할 [템플릿을 다운로드](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-admin.template)할 수도 있습니다.

1. 이 템플릿은 기본적으로 미국 동부(버지니아 북부) 리전에서 시작됩니다. 다른 AWS 리전에서이 솔루션을 시작하려면 AWS Management Console 탐색 모음에서 리전 선택기를 사용합니다.
**참고**  
이 솔루션은 현재 특정 AWS 리전에서만 사용할 수 있는 AWS Systems Manager를 사용합니다. 이 솔루션은이 서비스를 지원하는 모든 리전에서 작동합니다. 리전별 최신 가용성은 [AWS 리전 서비스 목록을](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) 참조하세요.

1. **스택 생성** 페이지에서 **Amazon S3 URL 텍스트 상자에 올바른 템플릿 URL**이 있는지 확인한 **후 다음을** 선택합니다.

1. **스택 세부 정보 지정** 페이지에서 솔루션 스택 이름을 할당합니다. 문자 제한 이름 지정에 대한 자세한 내용은 *AWS Identity and Access Management 사용 설명서의 * [IAM 및 STS 제한을](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) 참조하세요.

1. **파라미터** 페이지에서 **다음을** 선택합니다.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/automated-security-response-on-aws/deployment.html)

**참고**  
솔루션의 CloudFormation 스택을 배포하거나 업데이트한 후 관리자 계정에서 자동 문제 해결을 수동으로 활성화해야 합니다.

1. **스택 옵션 구성** 페이지에서 **다음**을 선택합니다.

1. **검토** 페이지에서 설정을 검토하고 확인합니다. 템플릿이 AWS Identity and Access Management(IAM) 리소스를 생성할 것임을 승인하는 확인란을 선택합니다.

1. **스택 생성**을 선택하여 스택을 배포합니다.

AWS CloudFormation 콘솔의 **상태** 열에서 스택의 상태를 볼 수 있습니다. 약 15분 후에 CREATE\$1COMPLETE 상태를 받게 됩니다.

## 2단계: 각 AWS Security Hub 멤버 계정에 문제 해결 역할 설치
<a name="step-2"></a>

`automated-security-response-member-roles.template` StackSet는 멤버 계정당 하나의 리전에만 배포해야 합니다. ASR Orchestrator 단계 함수에서 교차 계정 API 호출을 허용하는 전역 역할을 정의합니다.

1. 각 AWS Security Hub 멤버 계정(멤버이기도 한 관리자 계정 포함)의 AWS Management Console에 로그인합니다. 버튼을 선택하여 `automated-security-response-member-roles.template` AWS CloudFormation 템플릿을 시작합니다. 또한 구현의 시작점으로 사용할 [템플릿을 다운로드](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member-roles.template)할 수도 있습니다.

    [https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member-roles&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member-roles.template&redirectId=ImplementationGuide) 

1. 이 템플릿은 기본적으로 미국 동부(버지니아 북부) 리전에서 시작됩니다. 다른 AWS 리전에서이 솔루션을 시작하려면 AWS Management Console 탐색 모음에서 리전 선택기를 사용합니다.

1. **스택 생성** 페이지에서 Amazon S3 URL 텍스트 상자에 올바른 템플릿 URL이 있는지 확인한 **후 다음을** 선택합니다.

1. **스택 세부 정보 지정** 페이지에서 솔루션 스택 이름을 할당합니다. 문자 제한 이름 지정에 대한 자세한 내용은 AWS Identity and Access Management 사용 설명서의 IAM 및 STS 제한을 참조하세요.

1. **파라미터** 페이지에서 다음 파라미터를 지정하고 다음을 선택합니다.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/automated-security-response-on-aws/deployment.html)

1. **스택 옵션 구성** 페이지에서 **다음**을 선택합니다.

1. **검토** 페이지에서 설정을 검토하고 확인합니다. 템플릿이 AWS Identity and Access Management(IAM) 리소스를 생성할 것임을 승인하는 확인란을 선택합니다.

1. **스택 생성**을 선택하여 스택을 배포합니다.

   AWS CloudFormation 콘솔의 **상태** 열에서 스택의 상태를 볼 수 있습니다. 약 5분 후에 CREATE\$1COMPLETE 상태를 받게 됩니다. 이 스택이 로드되는 동안 다음 단계를 계속할 수 있습니다.

## 3단계: 멤버 스택 시작
<a name="step-3"></a>

**중요**  
이 솔루션에는 데이터 수집이 포함됩니다. 당사는 이 데이터를 사용하여 고객이 이 솔루션과 관련 서비스 및 제품을 어떻게 사용하는지 더 잘 이해합니다. AWS는 이 설문 조사를 통해 수집된 데이터를 소유합니다. 데이터 수집에는 AWS 개인정보 취급방침이 적용됩니다.

`automated-security-response-member` 스택은 각 Security Hub 멤버 계정에 설치해야 합니다. 이 스택은 자동 문제 해결을 위한 실행서를 정의합니다. 각 멤버 계정의 관리자는이 스택을 통해 사용할 수 있는 문제 해결을 제어할 수 있습니다.

1. 각 AWS Security Hub 멤버 계정(멤버이기도 한 관리자 계정 포함)의 AWS Management Console에 로그인합니다. 버튼을 선택하여 `automated-security-response-member.template` AWS CloudFormation 템플릿을 시작합니다.

    [https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=automated-security-response-on-aws-member&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fautomated-security-response-on-aws%2Flatest%2Fautomated-security-response-member.template&redirectId=ImplementationGuide) 

템플릿을 자체 구현[의 시작점으로 다운로드할](https://solutions-reference.s3.amazonaws.com/automated-security-response-on-aws/latest/automated-security-response-member.template) 수도 있습니다. 이 템플릿은 기본적으로 미국 동부(버지니아 북부) 리전에서 시작됩니다. 다른 AWS 리전에서이 솔루션을 시작하려면 AWS Management Console 탐색 모음에서 리전 선택기를 사용합니다.

\$1

**참고**  
이 솔루션은 현재 대부분의 AWS 리전에서 사용할 수 있는 AWS Systems Manager를 사용합니다. 솔루션은 이러한 서비스를 지원하는 모든 리전에서 작동합니다. 리전별 최신 가용성은 [AWS 리전 서비스 목록을](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) 참조하세요.

1. **스택 생성** 페이지에서 **Amazon S3 URL 텍스트 상자에 올바른 템플릿 URL**이 있는지 확인한 **후 다음을** 선택합니다.

1. **스택 세부 정보 지정** 페이지에서 솔루션 스택 이름을 할당합니다. 문자 제한 이름 지정에 대한 자세한 내용은 *AWS Identity and Access Management 사용 설명서의 * [IAM 및 STS 제한을](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html) 참조하세요.

1. **파라미터** 페이지에서 다음 파라미터를 지정하고 **다음을** 선택합니다.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/automated-security-response-on-aws/deployment.html)

1. **스택 옵션 구성** 페이지에서 **다음**을 선택합니다.

1. **검토** 페이지에서 설정을 검토하고 확인합니다. 템플릿이 AWS Identity and Access Management(IAM) 리소스를 생성할 것임을 승인하는 확인란을 선택합니다.

1. **스택 생성**을 선택하여 스택을 배포합니다.

AWS CloudFormation 콘솔의 **상태** 열에서 스택의 상태를 볼 수 있습니다. 약 15분 후에 CREATE\$1COMPLETE 상태를 받게 됩니다.

## 4단계: (선택 사항) 사용 가능한 수정 사항 조정
<a name="step-4"></a>

멤버 계정에서 특정 수정 사항을 제거하려면 보안 표준에 대한 중첩 스택을 업데이트하면 됩니다. 간소화를 위해 중첩 스택 옵션은 루트 스택으로 전파되지 않습니다.

1. [AWS CloudFormation 콘솔](https://console.aws.amazon.com/cloudformation/home)에 로그인하고 중첩 스택을 선택합니다.

1. **업데이트**를 선택합니다.

1. **중첩 스택 업데이트를** 선택하고 **스택 업데이트를** 선택합니다.

    **중첩 스택 업데이트**   
![\[중첩 스택\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/automated-security-response-on-aws/images/nested-stack.png)

1. **현재 템플릿 사용을** 선택하고 **다음을** 선택합니다.

1. 사용 가능한 수정 사항을 조정합니다. 원하는 컨트롤의 값을 로 변경`Available`하고 원하지 않는 컨트롤의 값을 로 변경합니다`Not available`.
**참고**  
문제 해결을 끄면 보안 표준 및 제어에 대한 솔루션 문제 해결 런북이 제거됩니다.

1. **스택 옵션 구성** 페이지에서 **다음**을 선택합니다.

1. **검토** 페이지에서 설정을 검토하고 확인합니다. 템플릿이 AWS Identity and Access Management(IAM) 리소스를 생성할 것임을 승인하는 확인란을 선택합니다.

1. **스택 업데이트**를 선택합니다.

AWS CloudFormation 콘솔의 **상태** 열에서 스택의 상태를 볼 수 있습니다. 약 15분 후에 CREATE\$1COMPLETE 상태를 받게 됩니다.

# Control Tower(CT) 배포
<a name="cfctdeployment"></a>

Customizations for AWS Control Tower(CfCT) 가이드는 회사 및 고객을 위해 AWS Control Tower 환경을 사용자 지정하고 확장하려는 관리자, DevOps 전문가, 독립 소프트웨어 개발 판매 회사, IT 인프라 아키텍트 및 시스템 통합 사업자를 위한 것입니다. 이 가이드는 CfCT 사용자 지정 패키지를 사용하여 AWS Control Tower 환경을 사용자 지정하고 확장하는 방법에 대한 정보를 제공합니다.

 **배포 시간:** 약 30분

## 사전 조건
<a name="cfctprerequisites"></a>

이 솔루션을 배포하기 전에 **AWS Control Tower 관리자**를 위한 솔루션인지 확인합니다.

AWS Control Tower 콘솔 또는 APIs를 사용하여 랜딩 존을 설정할 준비가 되면 다음 단계를 따르세요.

AWS Control Tower를 시작하려면 AWS [Control Tower 시작하기를 참조하세요.](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html)

랜딩 존을 사용자 지정하는 방법을 알아보려면 다음을 참조하세요. [랜딩 존 사용자 지정](https://docs.aws.amazon.com/controltower/latest/userguide/customize-landing-zone.html) 

랜딩 존을 시작하고 배포하려면 [랜딩 존 배포 가이드를](https://docs.aws.amazon.com/controltower/latest/userguide/deployment.html) 참조하세요.

## 배포 개요
<a name="cfctdeployment-overview"></a>

다음 단계에 따라이 솔루션을 AWS에 배포합니다.

 [1단계: S3 버킷 빌드 및 배포](#step-1-cfn) 

**참고**  
S3 버킷 구성 - ADMIN 전용입니다. 이 단계는 일회성 설정 단계이므로 최종 사용자가 반복해서는 안 됩니다. S3 버킷은 ASR을 실행하는 데 필요한 AWS CloudFormation 템플릿 및 Lambda 코드를 포함하여 배포 패키지를 저장합니다. 이러한 리소스는 CfCt 또는 StackSet를 사용하여 배포됩니다.

**1. S3 버킷 구성**  
배포 패키지를 저장하고 제공하는 데 사용할 S3 버킷을 설정합니다.

**2. 환경 설정**  
빌드 및 배포 프로세스에 필요한 환경 변수, 자격 증명 및 도구를 준비합니다.

**3. S3 버킷 정책 구성**  
적절한 버킷 정책을 정의하고 적용하여 액세스 및 권한을 제어합니다.

**4. 빌드 준비**  
배포를 위해 애플리케이션 또는 자산을 컴파일, 패키징 또는 준비합니다.

**5. S3에 패키지 배포**  
준비된 빌드 아티팩트를 지정된 S3 버킷에 업로드합니다.

 [2단계: AWS Control Tower에 배포 스택](#step-2-cfn) 

**1. ASR 구성 요소에 대한 빌드 매니페스트 생성**  
모든 ASR 구성 요소, 해당 버전, 종속성 및 빌드 지침을 나열하는 빌드 매니페스트를 정의합니다.

**2. CodePipeline 업데이트**  
ASR 구성 요소를 배포하는 데 필요한 새 빌드 단계, 아티팩트 또는 단계를 포함하도록 AWS CodePipeline 구성을 수정합니다.

## 1단계: S3 버킷 빌드 및 배포
<a name="step-1-cfn"></a>

AWS Solutions는 HTTPS를 통해 액세스하는 템플릿에 대한 글로벌 액세스를 위한 버킷과 Lambda 코드와 같은 리전 내 자산에 액세스하기 위한 리전 버킷이라는 두 개의 버킷을 사용합니다.

**1. S3 버킷 구성**  
asr-staging과 같은 고유한 버킷 이름을 선택합니다. 터미널에 두 개의 환경 변수를 설정합니다. 하나는 참조가 접미사이고 다른 하나는 의도한 배포 리전이 접미사인 기본 버킷 이름이어야 합니다.

```
export BASE_BUCKET_NAME=asr-staging-$(date +%s)
export TEMPLATE_BUCKET_NAME=$BASE_BUCKET_NAME-reference
export REGION=us-east-1
export ASSET_BUCKET_NAME=$BASE_BUCKET_NAME-$REGION
```

**2. 환경 설정**  
AWS 계정에서 asr-staging-reference 및 asr-staging-us-east-1과 같은 이름으로 두 개의 버킷을 생성합니다. (참조 버킷에는 CloudFormation 템플릿이 저장되고 리전 버킷에는 Lambda 코드 번들과 같은 다른 모든 자산이 저장됩니다.) 버킷은 암호화되어야 하며 퍼블릭 액세스를 허용하지 않아야 합니다.

```
aws s3 mb s3://$TEMPLATE_BUCKET_NAME/
aws s3 mb s3://$ASSET_BUCKET_NAME/
```

**참고**  
버킷을 생성할 때 버킷에 공개적으로 액세스할 수 없는지 확인합니다. 무작위 버킷 이름을 사용합니다. 퍼블릭 액세스를 비활성화합니다. KMS 암호화를 사용합니다. 그리고 업로드하기 전에 버킷 소유권을 확인합니다.

**3. S3 버킷 정책 설정**  
실행 계정 ID에 대한 PutObject 권한을 포함하도록 \$1TEMPLATE\$1BUCKET\$1NAME S3 버킷 정책을 업데이트합니다. 버킷에 쓸 수 있는 권한이 있는 실행 계정 내의 IAM 역할에이 권한을 할당합니다. 이 설정을 사용하면 관리 계정에서 버킷을 생성하지 않아도 됩니다.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:GetObject",
            "Resource": [
                "arn:aws:s3:::template-bucket-name/*",
                "arn:aws:s3:::template-bucket-name"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "org-id"
                }
            }
        },
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:PutObject",
            "Resource": [
                "arn:aws:s3:::template-bucket-name/*",
                "arn:aws:s3:::template-bucket-name"
            ],
            "Condition": {
                "ArnLike": {
                    "aws:PrincipalArn": "arn:aws:iam::account-id:role/iam-role-name"
                }
            }
        }
    ]
}
```

권한을 포함하도록 자산 S3 버킷 정책을 변경합니다. 버킷에 쓸 수 있는 권한이 있는 실행 계정 내의 IAM 역할에이 권한을 할당합니다. 각 리전 자산 버킷(예: asr-staging-us-east-1, asr-staging-eu-west-1 등)에 대해이 설정을 반복하여 관리 계정에서 버킷을 생성할 필요 없이 여러 리전에 배포할 수 있습니다.

**4. 빌드 준비**
+ 사전 조건:
  + AWS CLI v2
  + pip가 있는 Python 3.11 이상
  + AWS CDK 2.171.1 이상
  + npm을 사용하는 Node.js 20 이상
  + 내보낼 플러그인이 있는 Poetry v2
+ Git 복제본 [https://github.com/aws-solutions/automated-security-response-on-aws.git](https://github.com/aws-solutions/automated-security-response-on-aws.git) 

먼저 소스 폴더에 npm 설치를 실행했는지 확인합니다.

복제된 리포지토리의 배포 폴더 옆에서 build-s3-dist.sh 실행하여 버킷의 루트 이름(예: mybucket)과 빌드 중인 버전(예: v1.0.0)을 전달합니다. GitHub에서 다운로드한 버전(예: GitHub: v1.0.0, 빌드: v1.0.0.mybuild)

```
chmod +x build-s3-dist.sh
export SOLUTION_NAME=automated-security-response-on-aws
export SOLUTION_VERSION=v1.0.0.mybuild
./build-s3-dist.sh -b $BASE_BUCKET_NAME -v $SOLUTION_VERSION
```

 **5. S3에 패키지 배포** 

```
cd deployment
aws s3 cp global-s3-assets/  s3://$TEMPLATE_BUCKET_NAME/$SOLUTION_NAME/$SOLUTION_VERSION/ --recursive --acl bucket-owner-full-control
aws s3 cp regional-s3-assets/  s3://$ASSET_BUCKET_NAME/$SOLUTION_NAME/$SOLUTION_VERSION/ --recursive --acl bucket-owner-full-control
```

## 2단계: AWS Control Tower에 배포 스택
<a name="step-2-cfn"></a>

**1. ASR 구성 요소에 대한 매니페스트 빌드**  
S3 버킷에 ASR 아티팩트를 배포한 후 Control Tower [파이프라인 매니페스트](https://docs.aws.amazon.com/controltower/latest/userguide/cfcn-byo-customizations.html)를 업데이트하여 새 버전을 참조한 다음 파이프라인 실행을 트리거합니다. [controltower 배포](https://docs.aws.amazon.com/controltower/latest/userguide/deployment.html)를 참조하세요.

**중요**  
ASR 솔루션을 올바르게 배포하려면 CloudFormation 템플릿 개요 및 파라미터 설명에 대한 자세한 내용은 공식 AWS 설명서를 참조하세요. 아래 정보 링크: [CloudFormation 템플릿](https://docs.aws.amazon.com/en_us/solutions/latest/automated-security-response-on-aws/aws-cloudformation-template.html) [파라미터 개요 가이드](https://docs.aws.amazon.com/solutions/latest/automated-security-response-on-aws/deployment.html) 

ASR 구성 요소의 매니페스트는 다음과 같습니다.

```
region: us-east-1 #<HOME_REGION_NAME>
version: 2021-03-15

# Control Tower Custom CloudFormation Resources
resources:
  - name: <ADMIN STACK NAME>
    resource_file: s3://<ADMIN TEMPLATE BUCKET path>
    parameters:
      - parameter_key: UseCloudWatchMetricsAlarms
        parameter_value: "yes"
      - parameter_key: TicketGenFunctionName
        parameter_value: ""
      - parameter_key: ShouldDeployWebUI
        parameter_value: "yes"
      - parameter_key: AdminUserEmail
        parameter_value: "<YOUR EMAIL ADDRESS>"
      - parameter_key: LoadSCAdminStack
        parameter_value: "yes"
      - parameter_key: LoadCIS120AdminStack
        parameter_value: "no"
      - parameter_key: LoadCIS300AdminStack
        parameter_value: "no"
      - parameter_key: UseCloudWatchMetrics
        parameter_value: "yes"
      - parameter_key: LoadNIST80053AdminStack
        parameter_value: "no"
      - parameter_key: LoadCIS140AdminStack
        parameter_value: "no"
      - parameter_key: ReuseOrchestratorLogGroup
        parameter_value: "yes"
      - parameter_key: LoadPCI321AdminStack
        parameter_value: "no"
      - parameter_key: RemediationFailureAlarmThreshold
        parameter_value: "5"
      - parameter_key: LoadAFSBPAdminStack
        parameter_value: "no"
      - parameter_key: EnableEnhancedCloudWatchMetrics
        parameter_value: "no"
    deploy_method: stack_set
    deployment_targets:
     accounts: # :type: list
        - <ACCOUNT_NAME> # and/or
        - <ACCOUNT_NUMBER>
    regions:
      - <REGION_NAME>

  - name:  <ROLE MEMBER STACK NAME>
    resource_file: s3://<ROLE MEMBER TEMPLATE BUCKET path>
    parameters:
      - parameter_key: SecHubAdminAccount
        parameter_value: <ADMIN_ACCOUNT_NAME>
      - parameter_key: Namespace
        parameter_value: <NAMESPACE>
    deploy_method: stack_set
    deployment_targets:
      organizational_units:
        - <ORG UNIT>

  - name:  <MEMBER STACK NAME>
    resource_file: s3://<MEMBER TEMPLATE BUCKET path>
    parameters:
      - parameter_key: SecHubAdminAccount
        parameter_value: <ADMIN_ACCOUNT_NAME>
      - parameter_key: LoadCIS120MemberStack
        parameter_value: "no"
      - parameter_key: LoadNIST80053MemberStack
        parameter_value: "no"
      - parameter_key: Namespace
        parameter_value: <NAMESPACE>
      - parameter_key: CreateS3BucketForRedshiftAuditLogging
        parameter_value: "no"
      - parameter_key: LoadAFSBPMemberStack
        parameter_value: "no"
      - parameter_key: LoadSCMemberStack
        parameter_value: "yes"
      - parameter_key: LoadPCI321MemberStack
        parameter_value: "no"
      - parameter_key: LoadCIS140MemberStack
        parameter_value: "no"
      - parameter_key: EnableCloudTrailForASRActionLog
        parameter_value: "no"
      - parameter_key: LogGroupName
        parameter_value: <LOG_GROUP_NAME>
      - parameter_key: LoadCIS300MemberStack
        parameter_value: "no"
    deploy_method: stack_set
    deployment_targets:
     accounts: # :type: list
        - <ACCOUNT_NAME> # and/or
        - <ACCOUNT_NUMBER>
    organizational_units:
      - <ORG UNIT>
    regions: # :type: list
      - <REGION_NAME>
```

**2. 코드 파이프라인 업데이트**  
custom-control-tower-configuration.zip에 매니페스트 파일을 추가하고 CodePipeline을 실행합니다. [코드 파이프라인 개요를](https://docs.aws.amazon.com/controltower/latest/userguide/cfct-codepipeline-overview.html) 참조하세요.