“ AWS GuardDuty 는 Multi Account 를 지원하는 Regional 서비스입니다.” 여기에서 Multi Account 를 지원한다는 말의 의미는 GuardDuty 를 사용하는 Account 가 여러개일 경우 하나의 Parent Account 에 Child Account 를 등록하는 형태로 Account 를 추가하면 Parent Account 에서 다수의 Child Account 에서 수집된 정보를 통합하여 볼 수 있다는 의미입니다. Security Team 의 Account 가 따로 있고 Product, Dev, Aging 등등 다양한 Account 를 사용하고 있는 환경이라면 각 Account 를 Security Team Account 에 추가하여 Security Team 의 GuardDuty 에서 통합 모니터링이 될 수 있도록 하면 좋겠죠.
그리고 Regional 서비스 라는 말의 의미는 GuardDuty 서비스가 각 Region 별로 독립적으로 정보를 수집분석 후 모니터링 결과를 제공한다는 의미입니다. 즉, 분석 결과는 각 Region 별로 제공되며 각 Region 별로 GuardDuty 를 활성화할지 비활성화할지를 선택할 수 있습니다.
설정 방법
설정 #1 GuardDuty 활성화
Security Account 와 Product Account 에서 각각 GuardDuty 를 활성화 합니다.
설정 #2 Security Account 에 Product Account 를 등록합니다.
GuardDuty 설정화면에서 “Accounts” 를 클릭한 후 화면 우측의 “Add Accounts” 를 클릭합니다.
Account ID 에 Product Account ID 를 입력하고 Email Address 에 Product Account 의 Email 을 주소를 입력한 후 “Add” 를 클릭합니다.
“Next” 를 클릭합니다.
설정 #3 Product Account 에 초대 메시지 보내기
아래와 같이 Product Account 를 추가한 화면에서 “Invite” 를 클릭합니다.
Product Account 담당 Email 에 보내는 초대 메시지를 입력 후에 “Send Invitation” 버튼을 클릭합니다.
아래와 같이 초대장이 발송된 것을 확인합니다.
설정 #4 Product Account 에서 초대 수락하기
Product Account Email 계정에 아래와 같이 초대 이메일을 수신된 것을 확인합니다.
이후 메일에 있는 Link 를 클릭하여 Product Account 의 GuardDuty 화면으로 이동합니다.
Product Account 의 GuardDuty Accounts 메뉴에 아래와 같이 Master Account(Security Account) 의 초대를 수락할 수 있는 메뉴가 있는 것을 확인한 후에 “Accept” 를 선택하고 “Accept Invitation” 을 클릭합니다.
설정 #5 Security Account 에서 Product Account 가 활성화되어있는 것을 확인
Security Account 에 접속한 후 GuardDuty Accounts 메뉴에 아래와 같이 Product Account 가 “Enabled” 되어 있는 것을 확인합니다.
Account 의 Link 설정이 완료되면 아래와 같이 Security Account 에서 Product Account 의 GuardDuty 에서 탐지된 내용을 함께 확인할 수 있으며 Product Account 메뉴에는 없는 Account ID 메뉴가 있는 것을 볼 수 있습니다.
감사합니다.
