AWS

AWS 개요

멀티 클라우드 방어에서 AWS 계정을 멀티 클라우드 방어 컨트롤러에 연결할 때 사용하는 CloudFormation 템플릿을 만들었습니다.

멀티 클라우드 방어 컨트롤러과의 통합을 위한 클라우드 어카운트를 준비하려면 클라우드 어카운트에서 수행해야 하는 특정 단계가 있습니다. 다음은 AWS 클라우드 어카운트를 멀티 클라우드 방어 컨트롤러에 연결하기 전에 수행해야 하는 사전 요건 단계입니다. 이는 작업의 개요를 제공하기 위한 것이며 수동으로 수행할 수 없습니다. CloudFormation 섹션에 구축 세부 정보 및 매개변수 정보가 있습니다.

단계 개요

  1. 멀티 클라우드 방어 컨트롤러에서 사용하는 교차 어카운트 IAM 역할을 생성하여 클라우드 어카운트를 관리합니다.

  2. 계정에서 실행되는 멀티 클라우드 방어 게이트웨이 EC2 인스턴스에 할당될 IAM 역할을 생성합니다.

  3. 관리 이벤트를 멀티 클라우드 방어 컨트롤러로 전송하는 CloudWatch 이벤트 규칙을 생성합니다.

  4. 관리 이벤트 전송을 수행할 권한을 제공하는 위의 CloudWatch 이벤트 규칙에서 사용하는 IAM 역할을 생성합니다.

  5. 필요에 따라 계정에 S3 버킷을 생성하여 CloudTrail 이벤트, Route53 DNS 쿼리 로그 및 VPC 플로우 로그를 저장할 수 있습니다.

  6. 대상을 위에서 생성한 S3 버킷으로 하여 Route53 DNS 쿼리 로깅을 활성화하고 쿼리 로깅을 활성화해야 하는 VPC를 선택합니다.

  7. CloudTrail을 활성화하여 모든 관리 이벤트를 위에서 생성한 S3 버킷에 로깅합니다.

  8. 위에서 생성한 대상이 S3 버킷인 VPC 플로우 로그를 활성화합니다.

멀티 클라우드 방어 대시보드에서 멀티 클라우드 방어 컨트롤러에 AWS 계정을 연결합니다.

멀티 클라우드 방어이(가) AWS 계정을 멀티 클라우드 방어 컨트롤러에 쉽게 연결할 수 있는 CloudFormation 템플릿을 생성했습니다.

Before you begin

시작하기 전에 CDO 테넌트에 대해 멀티 클라우드 방어 컨트롤러를 요청해야 합니다.


Note

멀티 클라우드 방어 컨트롤러 버전 23.10은 멀티 클라우드 방어 게이트웨이 버전 23.04 이상을 사용하는 경우 AWS EC2 인스턴스에서 기본적으로 IMDSv2를 사용합니다. IMDSv1과 IMDSv2의 차이점에 대한 자세한 내용은 AWS 설명서를 참조하십시오.

Procedure

Step 1

CDO 메뉴 바에서 멀티 클라우드 방어을(를) 클릭합니다.

Step 2

멀티 클라우드 방어 컨트롤러 버튼을 클릭합니다.

Step 3

Cloud Accounts(클라우드 어카운트) 창에서 Add Account(어카운트 추가)를 클릭합니다.

Step 4

General Information(일반 정보) 페이지에 있는 Account Type(계정 유형) 목록 상자에서 AWS를 선택합니다.

Step 5

Launch Stack(스택 실행)을 클릭하여 CloudFormation 템플릿을 다운로드하고 구축합니다. 이렇게 하면 템플릿을 구축할 수 있는 다른 탭이 열립니다. AWS에 로그인해야 합니다.

Step 6

AWS CloudFormation이 맞춤형 이름으로 IAM 리소스를 생성할 수 있음을 확인합니다.

Step 7

다음 값을 입력합니다.

  • AWS Account Number(AWS 계정 번호): 보호하려는 계정의 AWS 계정 번호를 입력합니다. 이 번호는 CloudFormation 템플릿의 출력 값 CurrentAccount에서 찾을 수 있습니다.

  • Account Name(계정 이름): 온보딩된 계정에 지정할 이름을 입력합니다.

  • Description(설명):(선택 사항) 계정 설명을 입력합니다.

  • External ID(외부 ID): IAM 역할의 신뢰 정책에 대한 임의 문자열입니다. 이 값은 생성된 컨트롤러 IAM 역할에서 사용됩니다. 외부 ID를 편집하거나 다시 생성할 수 있습니다.

  • Controller IAM Role(컨트롤러 IAM 역할): 이 역할은 CFT(CloudFormation Template) 구축 중에 멀티 클라우드 방어 컨트롤러에 대해 생성되는 IAM 역할입니다. CFT 스택에서 출력 값 MCDControllerRoleArn을 찾습니다. 다음과 유사해야 합니다: arn:aws:iam::<Acc Number>:role/ciscomcdcontrollerrole.

  • Inventory Monitor Role(인벤토리 목록 모니터 역할): 이 역할은 CFT 구축 중에 멀티클라우드 방어 인벤토리 목록에 대해 생성된 IAM 역할입니다. CFT 스택에서 출력 값 MCDInventoryRoleArn을 찾습니다. 다음과 유사해야 합니다: arn:aws:iam::<Acc Number>:role/ciscomcdinventoryrole.

Step 8

Save and Continue(저장 후 계속 진행)를 클릭합니다.

새 AWS 클라우드 어카운트가 기록되었음을 확인할 수 있는 멀티 클라우드 방어 대시보드로 돌아갑니다.

What to do next

트래픽 가시성을 활성화합니다.

CloudFormation 출력

Outputs(출력) 탭에서 다음 정보를 복사하고 텍스트 편집기에 붙여넣습니다.

  • CurrentAccount(애플리케이션이 실행되고 멀티 클라우드 방어 게이트웨이이 구축될 AWS 계정 ID)

    • MCDControllerRoleArn

    • MCDGatewayRoleName

    • MCDInventoryRoleArn

    • MCDS3BucketArn

    • MCDBucketName