클라우드 매뉴얼
Home > 클라우드 > 글로벌 클라우드 > AWS > AWS 보안 강화하기
루트 사용자 계정이 사용(로그인)되었을 때, 알림을 제공하는 Eventbridge 규칙을 생성할 수 있습니다.
AWS CloudFormation 스택을 시작하여 Amazon Simple Notification Service(Amazon SNS) 주제를 생성합니다. 그런 다음 AWS 관리 콘솔에서 [userIdentity] 루트 로그인을 모니터링하기 위한 Amazon Eventbridge 이벤트 규칙을 생성합니다.
※ 중요
시작하기 전에 Eventbridge 이벤트가 로그인 이벤트 알림을 트리거하도록 AWS CloudTrail Management 읽기/쓰기 이벤트가 모두(All) 또는 쓰기 전용(Write-only)으로 설정되어 있는지 확인합니다. 자세한 내용은 [읽기 및 쓰기 이벤트]를 참조하세요.
1. YAML 템플릿(AWS 제공)을 복사하여 원하는 편집기 도구에 붙여 넣은 다음 저장합니다.
별도로 첨부된 YAML 템플릿(가비아 제공)을 사용하시면 CloudTrail 추적 생성과 관련된 내용이 모두 자동으로 생성됩니다. (S3에 데이터를 저장하므로 S3 요금이 발생합니다.)
2. 미국 동부(버지니아 북부) 리전에서 [CloudFormation]에 접속합니다.
※ 참고
CloudFormation 스택은 미국 동부(버지니아 북부) 리전(us-east-1) 에 생성되어야 합니다.
3. [스택 생성] 버튼을 클릭합니다.
4. [준비된 템플릿 > 템플릿 파일 업로드] 를 선택하고, [파일 선택]에서 다운로드한 YAML 템플릿을 선택합니다.
5. 스택 이름에 AllUser-AWS-Console-Sign-In-CloudTrail등과 같이 식별할 수 있는 이름 을 입력하고, EmailAddress에 이메일 주소를 입력합니다.
※ 참고
AWS에서 해당 이메일 주소로 확인 이메일을 보냅니다. 메일 주소가 정확하게 입력되었는지 다시 한 번 확인합니다.
6. 스택 옵션 구성 단계에서 변경 사항 없이 [다음] 버튼을 클릭합니다. 이후, 검토 단계에서 [스택 생성] 버튼을 클릭합니다.
7. 스택을 생성하는 데 몇 분 정도 소요되며 ‘CREATE_COMPLETE’ 메시지가 뜨면 완료됩니다.
가비아에서 제공하는 YAML 템플릿을 사용한 경우, 리소스 탭에서 AWS::S3::Bucket를 검색하면 S3 버킷 주소를 확인할 수 있습니다. 물리적 ID 항목을 클릭하면 S3로 이동합니다.
8. 이메일 받은 편지함에서 AWS 확인 이메일을 확인하고 [Confirm subscription]을 클릭하여 SNS 구독 요청을 확인합니다.
‘Subscription confirmed!’ 메시지가 표시되면 AWS Console 접속 알림 설정이 완료되었습니다.
9. AWS Console 접속 알림 설정을 테스트하려면 [AWS 관리 콘솔에서 로그아웃]합니다.
그런 다음 [AWS 관리 콘솔]에 [AWS 루트 사용자 계정] 또는 일반 계정으로 로그인합니다.
10. 이메일 받은 편지함에서 AWS Console 접속 알림 메시지를 확인합니다. 로그인 이벤트의 세부 정보가 포함된 [CloudTrail 레코드] userIdentity, sourceIPAddress 및 MFAUsed를 확인합니다.
11. 접속한 IP를 확인한 후, 비정상적인 로그인이라면 AWS Console 에 로그인 하여 이상 유무 점검(전체 리전을 대상으로 자원 생성 여부 확인 )을 해보시기 바랍니다.
※ 참고
아래 이미지는 로그인 IP 국가 검색이 가능한 사이트입니다. 해외에서 AWS Console에 접속한 경우 비정상적인 로그인을 의심해 보셔야 합니다.
12. 알림 수신을 중지하려면 [CloudFormation 스택을 삭제]합니다.
※ 참고
CloudFormation 스택을 삭제하면 알림과 관계된 내용은 모두 삭제되나, S3에 쌓여 있는 로그 파일은 별개임으로 직접 삭제하셔야 합니다.
