GuardDuty에 대한 신뢰할 수 있는 IP 주소 목록을 설정하려면 어떻게 해야 합니까?

최종 업데이트 날짜: 2022년 6월 28일

Amazon GuardDuty에 대한 신뢰할 수 있는 IP 주소 목록을 설정하려고 합니다.

간략한 설명

AWS 인프라 및 애플리케이션과의 안전한 통신을 위해 허용된 IP 주소가 포함된 신뢰할 수 있는 자체 사용자 지정 IP 목록을 사용하도록 GuardDuty를 구성할 수 있습니다. 자세한 내용은 신뢰할 수 있는 IP 목록 및 위협 목록 작업을 참조하세요.

해결 방법

다음 지침에 따라 신뢰할 수 있는 IP 목록을 생성 및 업로드하고, 권한을 확인하고, 이를 GuardDuty에 추가합니다.

신뢰할 수 있는 IP 목록 생성

지침에 따라 신뢰할 수 있는 새 IPSet을 생성하고 파일로 저장합니다. 그런 다음, 지침에 따라 파일을 Amazon Simple Storage Service(Amazon S3) 버킷에 업로드합니다.

참고: 신뢰할 수 있는 IP 목록 파일은 TXT, STIX, OTX_CSV, ALIEN_VAULT, PROOF_POINT 또는 FIRE_EYE 형식이어야 합니다. 신뢰할 수 있는 IP 목록은 IPv6 주소를 지원하지 않습니다. 신뢰할 수 있는 각 IP 목록에 대해 최대 2000개의 IP 주소와 CIDR을 가질 수 있습니다. 탐지기 리소스당 하나의 신뢰할 수 있는 IP 목록만 허용됩니다. 자세한 내용은 Amazon GuardDuty 할당량을 참조하세요.

IAM 자격 증명 권한 확인

AWS Identity and Access Management(IAM) 자격 증명에 다음과 유사한 신뢰할 수 있는 IP 목록 및 GuardDuty에 대한 권한이 있는지 확인합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "guardduty:*IPSet*",
        "guardduty:List*",
        "guardduty:Get*"
      ],
      "Resource": "*"
    }
  ]
}

IAM 자격 증명에 GuardDuty 서비스 연결 역할 AWSServiceRoleForAmazonGuardDutyPutRolePolicyDeleteRolePolicy에 대한 권한이 있는지 확인합니다.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "iam:DeleteRolePolicy",
        "iam:PutRolePolicy"
      ],
      "Resource": "arn:aws:iam::123456789123:role/aws-service-role/guardduty.amazonaws.com/AWSServiceRoleForAmazonGuardDuty"
    }
  ]
}

자세한 내용은 IAM 정책 편집을 참조하세요.

GuardDuty에서 신뢰할 수 있는 IP 목록 추가 및 활성화

  1. GuardDuty 콘솔을 엽니다.
  2. 탐색 창에서 목록을 선택합니다.
  3. 신뢰할 수 있는 IP 목록을 선택합니다.
  4. List name에 의미 있는 이름을 입력합니다.
  5. Location에 S3 버킷의 위치를 입력합니다. (예: https://s3.amazonaws.com/bucket-name/file.txt)
  6. Format 드롭다운 메뉴를 선택한 다음, 목록의 파일 형식을 선택합니다.
  7. I agree 확인란을 선택한 다음, Add list를 선택합니다.
  8. Trusted IP lists에서 신뢰할 수 있는 IP 목록 이름에 대해 Active를 선택합니다.

참고: 목록을 활성화하려면 최대 5분이 소요될 수 있습니다.

GuardDuty에서 신뢰할 수 있는 IP 목록을 변경하는 경우 목록을 업데이트한 다음, 다시 활성화해야 합니다. 지침은 신뢰할 수 있는 IP 목록 및 위협 목록 업데이트를 참조하세요.