Central AWS GuardDuty with Multi-Account

 

다중 Account에 GuardDuty를 각각 활성화하여 사용하는 경우, 점검 결과를 개별적으로 확인해야 한다.

사용하는 Account가 많으면 많을수록 확인해야 하는 대상이 늘어나기 때문에 관리가 쉽지 않다.

 

이번 글에서는 다중 Account 사용 시, GuardDuty를 중앙에서 관리하는 방법에 대해서 알아보고자 한다.

 

Amazon GuardDuty

 

1. Central GuardDuty 설정

2개 Account 계정을 이용하여 중앙관리 GuardDuty를 설정할 것이다.

중앙 Account를 '마스터 Account' 라고 부르며, 마스터 Account에 연결하는 모든 계정은 '멤버 Account' 라고 부른다.

 

먼저 마스터 Account에서 GuardDuty 서비스 페이지에 접속 후, 좌측의 [설정] - [계정] - [계정 추가]를 클릭한다.

(※ 우선 서비스를 설정할 리전(Region) 확인 필요함)

 

마스터 Account에 연결할 멤버 Account 정보를 입력 후, [계정 추가]를 클릭한다.

 

입력한 Account 정보 확인 후, [다음] 클릭

 

정상적으로 추가되면 아래와 같이 유형에 'By Invitation' 를 확인할 수 있다.

 

추가된 계정 선택 후, 우측 상단의 [작업] - [초대]를 클릭한다.

 

팝업 창에서 초대 문구를 작성하고 [초대 전송] 을 클릭한다.

 

아래와 같이 멤버 Account에 초대를 보냈다는 문구를 확인할 수 있다.

 

이제 멤버 Account로 로그인 한다.

GuardDuty 서비스 페이지 접속 후, 좌측의 [설정] - [계정] 을 클릭한다.

마스터 Account로부터 GuardDuty 초대를 확인할 수 있으며, '수락' 버튼을 활성화하고, [초대 수락] 을 클릭한다.

 

정상적으로 마스터 Account와 연결되었다는 문구를 확인할 수 있다.

 

다시 마스터 Account로 돌아와서 보면,

아래와 같이 멤버 Account의 '상태' 메뉴에 '활성'으로 표시되어 있음을 확인할 수 있다. 

 

이제 멤버 Account의 GuardDuty 기록이 마스터 Account에 정상적으로 쌓이는지 확인해보자

아래와 같이 마스터 Account 의 GuardDuty 페이지에서 좌측 패널의 [결과] 를 클릭한다.

그러면 GuardDuty에서 탐지한 위협들을 확인할 수 있는데, 계정 ID를 살펴보면 마스터 Account와 멤버 Account가 모두 존재하는 것을 확인할 수 있다. 

 

끝.