AWS 계정의 CWP 역할에 필요한 권한
ESET Cloud Workload Protection(CWP)은 배포 모델에 따라 단일 계정 또는 조직(관리 계정, 구성원 계정)의 서로 다른 IAM 역할을 사용합니다.
단일 계정 서비스 역할(단일 계정 배포)
CWP 서비스 역할(CwppServiceRole)은 향상된 보안을 위해 AWS 관리 정책 대신 최소한의 권한을 요구하는 사용자 지정 관리 정책(CwppServicePolicy)을 사용합니다. 또한 AWS 관리 정책 arn:aws:iam::aws:policy/ReadOnlyAccess가 이 역할에 연결되어 모든 AWS 리소스에 대한 읽기 전용 접근이 가능해집니다. 이는 ESET Cloud Workload Protection 기능에 필요합니다.
단일 계정 서비스 역할에 대한 CwppServicePolicy 권한:
권한 범주 |
동작 |
리소스 |
목적 |
|---|---|---|---|
IAM 접근 |
iam:SimulatePrincipalPolicy |
* |
CWP이 클라이언트의 VM에서 Live Installer를 실행하기 전에 필요한 동작이 허용되는지 확인합니다. |
SSM 접근 |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP이 인스턴스에 대해 Systems Manager(SSM)가 활성화되어 있는지 확인합니다. CWP이 클라이언트의 VM에서 Live Installer를 통해 ESET Management Agent를 설치하는 명령을 실행하고 명령 실행 상태를 검색합니다. |
S3 접근 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP이 S3 버킷 및 개체(AWS CloudTrail 로그 파일 포함)를 나열하고 읽습니다. CWP은 S3 스토리지 보호 기능을 제공합니다. |
S3 접근 |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (CWP CloudTrail S3 버킷) |
CWP이 CWP CloudTrail S3 버킷과 그 내용을 제거합니다. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP이 CWP CloudTrail을 시작, 중지 및 제거합니다. |
Organizations 접근 |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWP이 계정 상세 정보를 검색합니다. |
IAM 접근 |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (CWP 서비스 역할) |
CWP이 통합 배포 해제 프로세스 중에 고객 계정에 대한 접근 권한을 취소합니다. |
관리 계정 서비스 역할(조직 배포)
CWP 관리 서비스 역할(CwppManagementServiceRole)은 향상된 보안을 위해 AWS 관리 정책 대신 최소한의 권한을 요구하는 사용자 지정 관리 정책(CwppManagementServicePolicy)을 사용합니다. 또한 AWS 관리 정책 arn:aws:iam::aws:policy/ReadOnlyAccess가 이 역할에 연결되어 <%CSPM%> 기능의 모든 AWS 리소스에 대한 읽기 전용 접근이 가능해집니다.
관리 계정 서비스 역할에 대한 CwppManagementServicePolicy 권한:
권한 범주 |
동작 |
리소스 |
목적 |
|---|---|---|---|
IAM 접근 |
iam:SimulatePrincipalPolicy |
* |
CWP이 클라이언트의 VM에서 Live Installer를 실행하기 전에 필요한 동작이 허용되는지 확인합니다. |
SSM 접근 |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP이 인스턴스에 대해 Systems Manager(SSM)가 활성화되어 있는지 확인합니다. CWP이 클라이언트의 VM에서 Live Installer를 통해 ESET Management Agent를 설치하는 명령을 실행하고 명령 실행 상태를 검색합니다. |
S3 접근 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP이 S3 버킷 및 개체(AWS CloudTrail 로그 파일 포함)를 나열하고 읽습니다. CWP은 S3 스토리지 보호 기능을 제공합니다. |
S3 접근 |
s3:DeleteBucket s3:DeleteObject s3:DeleteObjectVersion s3:ListBucketVersions |
arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID} arn:aws:s3:::eset-cwpp-ct-${AWS::AccountId}-${StackUUID}/* (CWP CloudTrail S3 버킷) |
CWP이 CWP CloudTrail S3 버킷과 그 내용을 제거합니다. |
CloudTrail |
cloudtrail:StartLogging cloudtrail:StopLogging cloudtrail:DeleteTrail cloudtrail:DescribeTrails |
arn:aws:cloudtrail:${AWS::Region}:${AWS::AccountId}:trail/eset-cwpp-cloudtrail (CWP CloudTrail) |
CWP이 CWP CloudTrail을 시작, 중지 및 제거합니다. |
Organizations 접근 |
organizations:DescribeAccount organizations:DescribeOrganization |
* |
CWP이 계정 상세 정보를 검색합니다. |
IAM 접근 |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppManagementServiceRole (CWP 서비스 역할) |
CWP이 통합 배포 해제 프로세스 중에 고객 계정에 대한 접근 권한을 취소합니다. |
구성원 계정 서비스 역할(조직 배포)
CWP 구성원 계정 서비스 역할(CwppServiceRole)은 향상된 보안을 위해 AWS 관리 정책 대신 최소한의 권한을 요구하는 사용자 지정 관리 정책(CwppServicePolicy)을 사용합니다. 구성원 계정 서비스 역할에는 AWS 관리 정책 arn:aws:iam::aws:policy/ReadOnlyAccess도 포함되어 <%CSPM%> 기능의 모든 AWS 리소스에 대한 읽기 전용 접근이 가능해집니다.
구성원 계정 서비스 역할에 대한 CwppServicePolicy 권한:
권한 범주 |
동작 |
리소스 |
목적 |
|---|---|---|---|
IAM 접근 |
iam:SimulatePrincipalPolicy |
* |
CWP이 클라이언트의 VM에서 Live Installer를 실행하기 전에 필요한 동작이 허용되는지 확인합니다. |
SSM 접근 |
ssm:DescribeInstanceInformation ssm:SendCommand ssm:GetCommandInvocation |
* |
CWP이 인스턴스에 대해 Systems Manager(SSM)가 활성화되어 있는지 확인합니다. CWP이 클라이언트의 VM에서 Live Installer를 통해 ESET Management Agent를 설치하는 명령을 실행하고 명령 실행 상태를 검색합니다. |
S3 접근 |
s3:ListAllMyBuckets s3:ListBucket s3:GetBucketLocation s3:GetBucketVersioning s3:GetBucketTagging s3:GetObject s3:GetObjectVersion |
* |
CWP이 S3 버킷 및 개체(AWS CloudTrail 로그 파일 포함)를 나열하고 읽습니다. CWP은 S3 스토리지 보호 기능을 제공합니다. |
IAM 접근 |
iam:DeleteRole iam:DetachRolePolicy iam:DeleteRolePolicy iam:ListAttachedRolePolicies iam:ListRolePolicies iam:UpdateAssumeRolePolicy |
arn:aws:iam::${AWS::AccountId}:role/CwppServiceRole (CWP 서비스 역할) |
CWP이 통합 배포 해제 프로세스 중에 고객 계정에 대한 접근 권한을 취소합니다. |