Config Inspection

• 1: Overview
• 2: How-to guides
• 2.1: 대시보드 확인
• 2.2: 진단 결과 관리
• 2.3: 사전 설정하기
• 3: Release Note

1 - Overview

서비스 개요

Config Inspection은 Samsung Cloud Platform의 서비스 별 Console 설정에 대한 보안 수준을 진단하는 서비스입니다. IAM, Networking, Database, Logging 등 영역별로 구성된 보안 체크 리스트를 제공하며, 진단 항목별로 권고하는 보안 설정이 적용되어 있는지 API 호출을 통해 현재 상태를 점검합니다.

사용자는 서비스 생성을 통해 진단 대상을 생성한 후 진단을 요청할 수 있으며, 진단 요청 결과는 Report를 통해 확인할 수 있습니다. Report에서는 진단 요청 이력과 항목별 진단 결과를 제공하며, 사용자의 최종 확인 또는 조치가 필요한 진단 항목은 각 항목에 해당하는 자원 정보와 조치 가이드를 포함한 상세 결과를 확인할 수 있습니다.

제공 기능

Config Inspection은 다음과 같은 기능을 제공합니다.

• 콘솔 진단: 인증키 방식으로 Console API를 호출하여 보안 수준을 진단할 수 있습니다.
• 진단 대상 관리: 서비스 생성을 통해 사용자의 Samsung Cloud Platform 계정을 진단 대상으로 생성하고 관리할 수 있습니다.
• 진단 요청: 자원 상세 화면에서 진단 요청 버튼을 클릭하여 진단을 요청할 수 있습니다.
• 진단 결과 관리: Report에서 진단 요청 목록 및 진단 상세 결과를 조회하고, 엑셀 파일로 다운로드할 수 있습니다.

구성 요소

체크 리스트

체크 리스트는 진단 결과의 기준이 되는 진단 항목 모음으로, 현재 Config Inspection에서 제공하는 체크 리스트는 다음과 같습니다.

Samsung Cloud Platform에서 제공하는 Best Practice 체크 리스트의 상세 진단 항목은 다음과 같습니다.

Report

Config Inspection Report에서는 진단 결과 목록, 진단 결과 상세, 진단 항목 상세 순서로 진단 결과를 확인할 수 있습니다.

선행 서비스

Config Inspection은 선행 서비스가 없습니다.

2 - How-to guides

사용자는 Samsung Cloud Platform Console을 통해 Config Inspection 서비스의 필수 정보를 입력하고, 상세 옵션을 선택하여 해당 서비스를 생성할 수 있습니다.

인증서 생성하기

Samsung Cloud Platform Console에서 Config Inspection 서비스를 생성 및 사용하기 위해서는 사전에 인증키 생성이 필요합니다.

인증키 생성은 My 메뉴 > My Info. > 인증키 관리 > 인증키 생성에서 생성할 수 있습니다. 자세한 내용은 인증키 관리하기를 참고하세요.

Config Inspection 생성하기

Samsung Cloud Platform Console에서 Config Inspection 서비스를 생성하여 사용할 수 있습니다.

Config Inspection을 생성하려면 다음 절차를 따르세요.

1. 모든 서비스 > Security > Config Inspection 메뉴를 클릭하세요. Config Inspection의 Service Home 페이지로 이동합니다.
2. Service Home 페이지에서 Config Inspection 생성 버튼을 클릭하세요. Config Inspection 생성 페이지로 이동합니다.
3. Config Inspection 생성 페이지에서 서비스 생성에 필요한 입력하고, 상세 옵션을 선택하세요.
   • 서비스 정보 입력 영역에서 필요한 정보를 입력 또는 선택하세요.

     구분	필수 여부	상세 설명
     진단 유형	필수	Console
     클라우드	필수	진단할 클라우드 선택 SCP: Samsung Cloud Platform AWS: 아마존 웹 서비스 Azure: 마이크로소프트 애저 선택한 클라우드 종류에 따라 상세 입력 항목이 달라짐
     진단 대상 > 진단명	필수	진단 대상을 구별하기 위한 이름 입력한 값을 자원명으로 사용 영문, 숫자와 특수문자(-, _)를 사용하여 25자 이내로 입력
     진단 대상 > 진단 계정	필수	진단 대상이 되는 Console 정보 목록에서 진단할 Account ID를 선택 동일한 Account ID를 선택하면 중복 신청되어 추가 요금 발생 AWS를 선택한 경우, 진단 계정에 Account ID를 입력(숫자 12자리) Azure를 선택한 경우, 진단 계정에 Subscription ID를 입력(영문, 숫자, 특수문자 포함해 36자리)
     진단 스케줄 > 체크 리스트	필수	진단 스케줄 사용 선택 시 자동 설정
     진단 스케줄 > 진단 주기	필수	진단 주기 선택 지정한 주기에 따라 선택한 날짜에 진단이 실행됨 매월을 선택한 경우, 선택한 날짜에 진단이 수행되지 않을 수 있음 예) 매월 31일 선택 - 2월은 해당 날짜가 없으므로 진단이 수행되지 않음
     진단 스케줄 > 시작 시간	필수	진단 시작 시간 선택 진단을 시작할 시간, 분 정보 설정
     인증키	필수	Open API 호출에 사용할 인증키 선택 선택 버튼을 클릭해 인증키 선택 팝업창에서 인증키 목록 중 해당하는 인증키를 선택 선택 가능한 인증키가 없을 경우에는 인증키 관리 버튼을 통해, 신규 인증키 생성 인증키에 대한 자세한 내용은 인증키 관리하기를 참고
     요금제	선택	사용할 요금제 선택 일반: 진단 횟수에 따라 비용을 청구 월정액: 진단 횟수에 관계없이 매월 정해진 금액으로 비용을 청구(월 최대 30회 진단 기준) 서비스 신청 후에는 요금제를 변경할 수 없음

     표. Config Inspection 서비스 정보 입력 항목
   • 추가 정보 입력 영역에서 필요한 정보를 입력 또는 선택하세요.

     구분	필수 여부	상세 설명
     태그	선택	태그 추가 자원 당 최대 50개까지 추가 가능 태그 추가 버튼을 클릭한 후 Key, Value 값을 입력 또는 선택

     표. Config Inspection 추가 정보 입력 항목
4. 요약 패널에서 생성한 상세 정보와 예상 청구 금액을 확인하고, 생성 버튼을 클릭하세요.
   • 생성이 완료되면, Config Inspection 목록 페이지에서 생성한 자원을 확인하세요.

Config Inspection 상세 정보 확인하기

Config Inspection 서비스는 전체 자원 목록과 상세 정보를 확인하고 수정할 수 있습니다. Config Inspection 상세 페이지에서는 상세 정보, 태그, 작업 이력 탭으로 구성되어 있습니다.

Config Inspection 서비스의 상세 정보를 확인하려면 다음 절차를 따르세요.

1. 모든 서비스 > Security > Config Inspection 메뉴를 클릭하세요. Config Inspection의 Service Home 페이지로 이동합니다.
2. Service Home 페이지에서 Config Inspection 메뉴를 클릭하세요. Config Inspection 목록 페이지로 이동합니다.
3. Config Inspection 목록 페이지에서 상세 정보를 확인할 자원을 클릭하세요. Config Inspection 상세 페이지로 이동합니다.
   • Config Inspection 상세 페이지에는 상태 정보 및 부가 기능 정보가 표시되며, 상세 정보, 태그, 작업 이력 탭으로 구성됩니다.
     

     구분	상세 설명
     상태	Config Inspection의 상태를 표시 Ready: 서비스 생성 이후에 진단 요청이 없는 경우(진단 요청 가능) In Progress: 진단 요청을 실행 중인 경우(진단 요청/서비스 해지 불가) Error: 진단 요청에 오류가 발생한 경우(진단 요청 가능) Completed: 진단 요청이 정상적으로 완료된 경우(진단 요청 가능)
     진단 요청	Console 진단을 수행할 수 있는 버튼
     서비스 해지	서비스를 해지하는 버튼

     표. Config Inspection 상태 정보 및 부가 기능

상세 정보

Config Inspection 목록 페이지에서 선택한 자원의 상세 정보를 확인하고, 필요한 경우 정보를 수정할 수 있습니다.

태그

Config Inspection 목록 페이지에서 선택한 자원의 태그 정보를 확인하고, 추가하거나 변경 또는 삭제할 수 있습니다.

작업 이력

Config Inspection 목록 페이지에서 선택한 자원의 작업 이력을 확인할 수 있습니다.

Config Inspection 자원 관리하기

Config Inspection 자원의 상태 조회 및 진단 요청이 필요한 경우에는 Config Inspection 목록 또는 Config Inspection 상세 페이지에서 작업을 수행할 수 있습니다.

인증키 수정하기

진단 대상 별로 진단에 사용할 인증키를 선택할 수 있습니다.

서비스의 인증키를 수정하려면 다음 절차를 따르세요.

1. 모든 서비스 > Security > Config Inspection 메뉴를 클릭하세요. Config Inspection의 Service Home 페이지로 이동합니다.
2. Service Home 페이지에서 Config Inspection 메뉴를 클릭하세요. Config Inspection 목록 페이지로 이동합니다.
3. Config Inspection 목록 페이지에서 인증키를 수정할 자원을 클릭하세요. Config Inspection 상세 페이지로 이동합니다.
4. 인증키를 확인하고 수정 아이콘을 클릭하세요. 인증키 수정 팝업창이 나타납니다.
5. 인증키 수정 팝업창에서 등록된 인증키를 선택하고 확인 버튼을 클릭하세요.

   구분	상세 설명
   Access Key	인증키의 Access Key 정보
   생성 일시	Access Key 생성 일자
   만료 일시	Access Key 만료 일자
   상태	인증키의 상태 사용: 사용 가능 상태 만료: 사용 기간 만료 상태

   표. 인증키 수정 팝업창 항목

진단 요청하기

설정된 체크 리스트를 기준으로 Console의 진단을 요청할 수 있습니다.

Console 진단을 요청하려면 다음 절차를 따르세요.

1. 모든 서비스 > Security > Config Inspection 메뉴를 클릭하세요. Config Inspection의 Service Home 페이지로 이동합니다.

2. Service Home 페이지에서 Config Inspection 메뉴를 클릭하세요. Config Inspection 목록 페이지로 이동합니다.

3. Config Inspection 목록 페이지에서 진단을 요청할 자원을 클릭하세요. Config Inspection 상세 페이지로 이동합니다.

4. Config Inspection 상세 페이지에서 진단 요청 버튼을 클릭하세요. 진단 요청 팝업창이 나타납니다.

5. 진단 요청 팝업창에서 진단에 필요한 정보를 입력하고 확인 버튼을 클릭하세요.

   • 진단 요청 팝업창의 항목은 선택한 Console에 따라 달라집니다.

     구분	상세 설명
     콘솔 접근방식	Console을 접근하는 방식으로 인증키 방식 고정
     체크 리스트	SCP 선택 시 Best Practice로 고정
     인증키	SCP를 선택한 경우 사전에 생성한 인증키 선택
     Access Key	AWS를 선택한 경우 Access Key 입력
     Secret Key	AWS를 선택한 경우 Secret Key 입력
     Client ID	Azure를 선택한 경우 Client ID 입력
     Client Secret	Azure를 선택한 경우 Client Secret 입력
     Tenant ID	Azure를 선택한 경우 Tenant ID 입력

     표. 진단 요청 팝업창 항목

6. Config Inspection 목록 페이지에서 상태 값을 확인하세요.

   • 진단 요청이 완료되면 상태 값은 Completed 또는 Error로 표시됩니다.
   • Completed의 경우에는 진단 결과 메뉴에서 진단 요청 결과를 확인할 수 있습니다. 자세한 내용은 Report 관리를 참고하세요.

Config Inspection 해지하기

사용하지 않는 Config Inspection 서비스를 해지할 수 있습니다. 단, Config Inspection을 해지하면 저장중인 진단 데이터가 모두 삭제됩니다.

Config Inspection을 해지하려면 다음 절차를 따르세요.

1. 모든 서비스 > Security > Config Inspection 메뉴를 클릭하세요. Config Inspection의 Service Home 페이지로 이동합니다.
2. Service Home 페이지에서 Config Inspection 메뉴를 클릭하세요. Config Inspection 목록 페이지로 이동합니다.
3. Config Inspection 목록 페이지에서 해지할 자원을 클릭하세요. Config Inspection 상세 페이지로 이동합니다.
4. Config Inspection 상세 페이지에서 서비스 해지 버튼을 클릭하세요.
5. 해지가 완료되면, Config Inspection 목록 페이지에서 자원이 해지되었는지 확인하세요.

2.1 - 대시보드 확인

사용자는 Samsung Cloud Platform Console을 통해 Config Inspection 서비스의 진단 결과를 대시보드에서 한 눈에 확인할 수 있습니다.

대시보드 확인하기

대시보드 페이지에서는 Config Inspection의 진단대상 현황 및 진단 이력 등을 확인할 수 있습니다.

대시보드를 확인하려면 다음 절차를 따르세요.

1. 모든 서비스 > Security > Config Inspection 메뉴를 클릭하세요. Config Inspection의 Service Home 페이지로 이동합니다.
2. Service Home 페이지에서 대시보드 메뉴를 클릭하세요. 대시보드 페이지로 이동합니다.
3. 대시보드 페이지에서 진단 결과 요약 정보를 확인하세요.
   • 대시보드 페이지 상단에서 기간이나 진단명을 기준으로 대시보드 정보를 확인할 수 있습니다.
     • 기간: 이번 달을 기준으로 6개월 내의 기간을 설정해 진단 결과 요약 정보를 확인할 수 있습니다.
     • 진단명: 전체를 선택하면 진단 내역 전체 결과를 요약해 볼 수 있으며, 진단 계정을 선택하면 해당 진단 결과의 상세 내역을 확인할 수 있습니다.
   • 다운로드 버튼을 클릭하면 대시보드 페이지에 표시된 정보를 PDF 파일로 다운로드할 수 있습니다.

     구분	상세 설명
     보안 수준(전체)	모든 진단대상의 최신 진단 결과 평균값 표시 최근 진단 결과가 목록에 표시됨 진단 점수 계산 공식 = 전체 – (Fail + Error + Check)) / 전체 x 100
     기간별 진단 현황	검색 기간 중 진단 대상별 진단 현황 표시 진단 완료: 최근 진단 완료 내역 표시 진단 오류: 최근 진단 오류 내역 표시, 진단명 선택 시 진단 결과 상세 페이지로 이동
     기간별 진단결과 요약(전체)	검색 기간 중 진단 결과 요약(전체) 정보 표시 목록에서 진단명을 선택하면 진단 결과 상세 페이지로 이동

     표. 전체 진단 결과에 대한 대시보드 상세 항목 설명

     구분	상세 설명
     보안 수준	선택한 진단 계정의 마지막 진단 결과 점수 표시 최근 진단 결과가 목록에 표시됨
     기간별 진단 결과 요약	검색 기간 중 마지막 진단 계정의 진단 결과 요약 표시
     기간별 취약점 현황	검색 기간 중 진단 계정의 취약점 진단 결과를 그래프로 표시 그래프 선택 시 진단 결과 중 취약 향목의 상세 정보 표시

     표. 진단 계정별 진단 결과에 대한 대시보드 상세 항목 설명

2.2 - 진단 결과 관리

Config Inspection 진단 요청 결과를 진단 결과 페이지에서 확인하고 진단 결과를 변경할 수 있습니다.

진단 결과 확인하기

진단 결과 페이지에서는 진단 요청 결과를 확인할 수 있습니다.

진단 결과 목록 확인하기

진단 결과 목록을 확인하려면 다음 절차를 따르세요.

1. 모든 서비스 > Security > Config Inspection 메뉴를 클릭하세요. Config Inspection의 Service Home 페이지로 이동합니다.
2. Service Home 페이지에서 진단 결과 메뉴를 클릭하세요. 진단 결과 목록 페이지로 이동합니다.
3. 진단 결과 목록 페이지에서 진단 결과 요약 정보를 확인하세요.

   구분	상세 설명
   진단명	자원명
   진단 계정	진단 대상이 되는 Console 정보
   체크 리스트	진단 결과의 기준이 되는 진단 항목 모음
   PASS	체크 리스트 중 진단 결과가 PASS(정상)인 항목 개수
   FAIL	체크 리스트 중 진단 결과가 FAIL(취약)인 항목 개수
   CHECK	체크 리스트 중 진단 결과가 CHECK(확인 필요)인 항목 개수
   ERROR	체크 리스트 중 진단 결과가 ERROR(진단 불가)인 항목 개수
   N/A	체크 리스트 중 진단 결과가 N/A(해당없음)인 항목 개수
   전체	체크 리스트 전체 항목 개수
   진단 결과	진단 요청 결과 완료: 진단 요청이 정상적으로 완료된 상태 오류: 진단 요청이 정상적으로 완료되지 않은 상태, 오류 상태 항목은 상세 내용을 확인할 수 없음
   진단 일시	진단 요청 일시

   표. 진단 결과 목록 항목

진단 결과 상세 정보 확인하기

진단 결과의 상세 정보를 확인하려면 다음 절차를 따르세요.

1. 모든 서비스 > Security > Config Inspection 메뉴를 클릭하세요. Config Inspection의 Service Home 페이지로 이동합니다.

2. Service Home 페이지에서 진단 결과 메뉴를 클릭하세요. 진단 결과 목록 페이지로 이동합니다.

   • 진단 결과 목록 페이지의 검색 영역에 진단명을 입력하거나 상세 검색 버튼을 클릭해 검색할 수 있습니다.

3. 진단 결과 목록 페이지에서 진단 결과가 완료인 항목을 클릭하세요. 진단 결과 상세 페이지로 이동합니다.

   • 진단 결과가 오류 상태인 항목은 상세 정보를 표시하지 않습니다.

4. 진단 결과 상세 페이지에서 상세 진단 결과를 확인하세요.

   구분	상세 설명
   엑셀 다운로드	진단 결과 상세 목록을 엑셀 파일로 다운로드
   더보기 > 진단 결과 관리	진단 결과 관리 페이지로 이동
   체크 리스트	진단 결과의 기준이 되는 진단 항목 모음
   영역	진단 범위(Samsung Cloud Platform의 서비스)
   진단 항목	서비스별 설정에 권고하는 보안 기준
   결과	진단 항목 기준 점검 결과

   표. 진단 결과 상세 항목

5. 상세 정보를 확인할 진단 항목을 클릭하세요. 진단 항목 상세 팝업창으로 이동합니다.

   • 진단 항목 상세 팝업창에서는 다음과 같은 정보를 확인할 수 있습니다.

     구분	상세 설명
     영역	진단 범위(Samsung Cloud Platform의 서비스)
     진단 항목	서비스별 설정에 권고하는 보안 기준
     결과	진단 항목 기준 점검 결과
     진단 기준	결과 판단 기준
     진단 방법	현재 설정 확인 방법
     조치 가이드	보안 기준에 적합한 설정 방법
     상세 결과	진단 항목에 해당하는 자원 정보 및 설정
     진단 결과 변경	진단 결과를 변경할 수 있는 버튼

     표. Config Inspection 진단 항목 상세

진단 결과 관리하기

진단 결과 페이지에서는 진단 결과가 CHECK 상태인 항목의 결과를 변경할 수 있습니다.

진단 결과 변경하기

진단 결과를 변경하려면 다음 절차를 따르세요.

1. 모든 서비스 > Security > Config Inspection 메뉴를 클릭하세요. Config Inspection의 Service Home 페이지로 이동합니다.

2. Service Home 페이지에서 진단 결과 메뉴를 클릭하세요. 진단 결과 목록 페이지로 이동합니다.

3. 진단 결과 목록 페이지에서 진단 결과가 완료인 항목을 클릭하세요. 진단 결과 상세 페이지로 이동합니다.

   • 진단 결과가 오류 상태인 항목은 상세 정보를 표시하지 않습니다.

4. 진단 결과 상세 페이지에서 상단의 진단 결과 관리 버튼을 클릭하세요. 진단 결과 관리 페이지로 이동합니다.

5. 진단 결과 관리 페이지에서 진단 결과를 변경할 항목의 결과 변경 버튼을 클릭하세요. 결과 변경 팝업창으로 이동합니다.

6. 결과 변경 팝업창에서 결과 변경에 필요한 정보를 선택하거나 입력하세요.

   구분	필수 여부	상세 설명
   등록자	-	진단 결과 변경 등록자 이메일
   유효 기간	필수	진단 결과 유효 기간을 설정
   결과 변경	필수	Pass, Check, Fail 중 변경할 진단 결과 선택
   상세 사유	필수	결과를 변경하는 상세 사유를 자세하게 입력
   첨부 파일	선택	결과 변경 확인 시 필요한 파일을 업로드 파일첨부 버튼을 클릭해 파일 업로드, 최대 5개까지 등록 가능
   점검결과	-	상세 점검 결과 표시

   표. 진단 결과 변경 상세 항목

7. 입력한 정보를 확인하고 등록 버튼을 클릭하세요. 진단 결과 관리 목록에서 진단 결과가 변경되었는지 확인합니다.

진단 결과 변경 내역 삭제하기

진단 결과 변경 내역을 삭제하려면 다음 절차를 따르세요.

1. 모든 서비스 > Security > Config Inspection 메뉴를 클릭하세요. Config Inspection의 Service Home 페이지로 이동합니다.
2. Service Home 페이지에서 진단 결과 메뉴를 클릭하세요. 진단 결과 목록 페이지로 이동합니다.
3. 진단 결과 목록 페이지에서 진단 결과가 완료인 항목을 클릭하세요. 진단 결과 상세 페이지로 이동합니다.
   • 진단 결과가 오류 상태인 항목은 상세 정보를 표시하지 않습니다.
4. 진단 결과 상세 페이지에서 상단의 진단 결과 관리 버튼을 클릭하세요. 진단 결과 관리 페이지로 이동합니다.
5. 진단 결과 관리 페이지에서 진단 결과를 변경할 항목의 결과 확인 버튼을 클릭하세요. 결과 확인 팝업창으로 이동합니다.
6. 결과 확인 팝업창에서 삭제 버튼을 클릭하세요.

2.3 - 사전 설정하기

사용자는 Samsung Cloud Platform Console을 통해 Config Inspection 서비스 이용을 위해 인증키 생성, 접근제어 IP 추가 등 클라우드 사전 설정을 진행해야 합니다.

Samsung Cloud Platform Console 설정하기

Config Inspection 서비스에서 Samsung Cloud Platform 및 외부 클라우드를 진단하려면 아래 항목을 설정하세요.

사용자 그룹에 연결된 정책 확인

사용자가 속한 사용자 그룹의 정책을 확인하려면, 다음 절차를 따르세요.

1. 모든 서비스 > Management > IAM 메뉴를 클릭하세요. IAM의 Service Home 페이지로 이동합니다.
2. Service Home 페이지에서 사용자 그룹 메뉴를 클릭하세요. 사용자 그룹 목록 페이지로 이동합니다.
3. 사용자 그룹 목록 페이지에서 확인할 사용자 그룹을 클릭하세요. 사용자 그룹 상세 페이지로 이동합니다.
4. 사용자 그룹 상세 페이지에서 정책 탭을 클릭하세요. 정책 탭 페이지로 이동합니다.
5. 정책 탭 페이지에서 확인할 정책을 클릭하새요. 정책 상세 페이지로 이동합니다.
6. 정책 상세 페이지에서 상세 정보를 확인하세요.

인증키 생성

Config Inspection 서비스에 사용할 인증키를 확인하고 생성할 수 있습니다.

Samsung Cloud Platform Console에서 인증키를 생성하려면 다음 절차를 따르세요.

1. Console의 My 메뉴 > My info. 메뉴를 클릭하세요. My info. 상세 페이지로 이동합니다.
2. My info. 상세 페이지로 인증키 관리 탭을 클릭하세요. 인증키 관리 탭 페이지로 이동합니다.
3. 인증키 관리 탭 페이지에서 인증키 생성 버튼을 클릭하세요. 인증키 생성 페이지로 이동합니다.
   • 인증키 관리 페이지에서 인증키 목록을 확인할 수 있습니다.
4. 인증키 생성 페이지에서 만료 기간을 입력한 후 확인 버튼을 클릭하세요.
5. 인증키 목록에 생성한 인증키가 표시되는지 확인하세요.

접근 허용 IP 추가

Samsung Cloud Platform Console에서 접근 허용 IP를 추가할 수 있스니다.

Console의 접근 허용 IP를 추가하려면 다음 절차를 따르세요.

1. Console의 My 메뉴 > My info. 메뉴를 클릭하세요. My info. 상세 페이지로 이동합니다.
2. My info. 상세 페이지로 인증키 관리 탭을 클릭하세요. 인증키 관리 탭 페이지로 이동합니다.
3. 인증키 관리 탭 페이지에서 보안 설정 항목의 수정 아이콘을 클릭하세요. 인증키 보안 설정 수정 팝업창이 열립니다.
4. 인증키 보안 설정 수정 팝업창에서 인증 방식과 접근 허용 IP를 입력하세요.
   • 인증 방식을 인증키로 선택하세요.
   • 접근 허용 IP를 사용으로 설정하고, IP 주소를 입력하고 추가 버튼을 클릭하세요.
5. 접근 허용 IP 추가가 완료되면 확인 버튼을 클릭하세요. 보안 설정 항목에 입력한 정보로 수정되었는지 확인합니다.

AWS 설정하기

Config Inspection 서비스에서 AWS(Amazone Web Services) 클라우드를 진단하려면 아래 항목을 설정하세요.

권한 정책 추가

AWS Console에서 사용자/사용자 그룹의 권한 정책을 추가할 수 있습니다.

사용자 권한 추가

AWS Console의 사용자 접근 권한 정책을 추가하려면 다음 절차를 따르세요.

1. AWS Console의 IAM > 사용자를 클릭하세요.
2. 사용자 목록에서 진단용 사용자 이름을 선택하세요.
3. 사용자 정보 페이지에서 권한 탭을 클릭하세요.
4. 권한 정책의 권한 추가를 선택하세요.
   • 권한 추가 시 ReadOnlyAccess, ViewOnlyAccess를 선택합니다.

사용자 그룹 권한 추가

AWS Console의 사용자 그룹 접근 권한 정책을 추가하려면 다음 절차를 따르세요.

1. AWS Console의 IAM > 사용자 그룹을 클릭하세요.
2. 사용자 그룹 목록에서 사용자가 속한 그룹을 선택하세요.
3. 사용자 그룹 페이지에서 권한 탭을 클릭하세요.
4. 권한 정책의 권한 추가를 선택하세요.
   • 권한 추가 시 ReadOnlyAccess, ViewOnlyAccess를 선택합니다.

접근 제어 IP 추가

IP 접근 통제 정책을 사용하는 경우, 해당 정책에 차단 예외 IP를 추가해야 합니다.

사용자 접근 제어 IP 추가

AWS Console의 사용자 접근 제어 IP를 추가하려면 다음 절차를 따르세요.

1. AWS Console의 IAM > 사용자를 클릭하세요.
2. 사용자 목록에서 진단용 사용자 이름을 선택하세요.
3. 사용자 정보 페이지에서 권한 탭을 클릭하세요.
4. 권한 정책 항목에서 IP 접근 통제 정책의 Edit를 클릭하세요.
   • 차단 예외 IP에 123.37.24.82를 추가합니다.

사용자 그룹 접근 제어 IP 추가

AWS Console의 사용자 그룹 접근 제어 IP를 추가하려면 다음 절차를 따르세요.

1. AWS Console의 IAM > 사용자 그룹을 클릭하세요.
2. 사용자 그룹 목록에서 사용자가 속한 그룹을 선택하세요.
3. 사용자 그룹 페이지에서 권한 탭을 클릭하세요.
4. 권한 정책 항목에서 IP 접근 통제 정책의 Edit를 클릭하세요.
   • 차단 예외 IP에 123.37.24.82를 추가합니다.

Access Key 생성

AWS Console의 Access Key를 생성하려면 다음 절차를 따르세요.

1. AWS Console의 IAM > 사용자를 클릭하세요.
2. 사용자 목록에서 진단용 사용자 이름을 선택하세요.
3. 사용자 정보 페이지에서 보안 자격 증명 탭을 클릭하세요.
4. 보안 자격 증명 페이지에서 액세스 키를 클릭하세요.
5. 액세스 키 생성 페이지에서 서드 파티 서비스용 액세스 키를 생성하세요.
   • 생성한 액세스 키 정보를 반드시 저장하세요.

Azure 설정하기

Config Inspection 서비스에서 Azure 클라우드를 진단하려면 아래 항목을 설정하세요.

Entra ID Application 등록

Azure Console에 Entra ID Application 등록하려면 다음 절차를 따르세요.

1. Azure Console의 Microsoft Entra ID > 앱 등록을 클릭하세요.
2. 앱 등록 페이지에서 새 등록을 클릭하세요.
3. 애플리케이션(클라이언트)ID를 등록하세요.
4. 앱 등록이 완료되면 개요 페이지에서 앱 이름, 애플리케이션(클라이언트) ID, 디렉터리(테넌트) ID를 확인하세요.

API 사용 권한 추가

Azure Console의 API 사용 권한을 추가하려면 다음 절차를 따르세요.

1. Azure Console의 Microsoft Entra ID > 앱 등록(App registrations) > Entra ID Application 등록에서 생성한 App명 > API 사용 권한(App permissions) > 권한 추가(Add a permission) 를 클릭하세요.
2. API 사용 권한 목록에서 권한을 추가할 Microsoft Graph를 선택하세요.
3. API 사용 권한 요청 페이지에서 애플리케이션 사용 권한을 클릭하세요.
   • 권한 목록에서 Application.Read.All, Device.Read.All, Group.Read.All, User.Read.All, DeviceManagementManagedDevices.Read.All, AuditLog.Read.All, Directory.Read.All, Domain.Read.All, GroupMember.Read.All, Policy.Read.All, Reports.Read.All을 선택합니다.
4. App API permission 등록에서 권한 추가 후 계정명에 대한 관리자 동의 허용(Grant admin consent for 계정명)을 클릭하세요.
   • 계정명에 대해 허용됨(Granted for 계정명) 상태로 변경되었는지 확인하세요.

Client Secret 생성

Azure Console의 Client Secret을 생성하려면 다음 절차를 따르세요.

1. Azure Console의 Microsoft Entra ID > 앱 등록(App registrations) > Entra ID Application 등록에서 생성한 App명 > 인증서 및 암호(Certificates & secrets) 를 클릭하세요.
2. 인증서 및 암호 목록에서 새 클라이언트 암호를 클릭하세요.
3. 클라이언트 암호가 생성되면 목록에서 값(Value) 항목의 Client Secret을 확인합니다.
   • Client Secret 값은 반드시 저장하세요.

Azure Console에서 Subscription 접근 권한 추가

Azure Console의 구독 접근 권한은 테넌트 루트 그룹 또는 개별 Subscription에서 추가할 수 있습니다. 원하는 방법을 선택하여 Subscription 접근 권한을 추가하세요.

Tenant Root Group에서 권한 추가

Tenant Root Group에서 Azure Console의 구독 접근 권한을 추가하려면 다음 절차를 따르세요.

1. Azure Console의 관리 그룹(Management groups) > 개요(Overview) 를 클릭하세요.
2. Tenant Root Group > 액세스 제어(IAM) 를 클릭하세요.
   • Tenant Root Group 메뉴 진입이 불가한 경우 아래 설정을 변경하세요.
     • Microsoft Entra ID > 속성 > ‘계정명’ can manage access to all Azure subscriptions and management groups in this tenant. > 예(yes) 로 변경
   • 권한 추가 완료 후 반드시 아니오로 변경해야 합니다.
3. 액세스 제어 페이지에서 추가(Add) > 역할 할당 추가(Add role assignment) 를 클릭하세요.
4. 역할 할당 추가 페이지에서 상세 정보를 입력한 후 저장(Review+assign) 을 클릭하세요.
   • 역할 할당 정보 입력 시 역할과 구성원 탭에서 아래 정보를 선택하여 Entra ID Application 등록에서 생성한 App을 추가하세요. 아래 세 가지 권한을 모두 추가해야 합니다.

     구분	권한
     독자(Reader)	사용자, 그룹 또는 서비스 주체(Users, group, or service principal)
     Key Vault 읽기 권한자(Key Vault Reader)	사용자, 그룹 또는 서비스 주체(Users, group, or service principal)
     읽기 권한자 및 데이터 액세스(Reader and Data Access)	사용자, 그룹 또는 서비스 주체(Users, group, or service principal)

     표. 역할 할당 정보 입력 시 추가 권한 항목

개별 Subscription에서 권한 추가

개별 Subscription에서 Azure Console의 구독 접근 권한을 추가하려면 다음 절차를 따르세요.

1. Azure Console의 구독(Subscription) > 개요(Overview) 를 클릭하세요.
   • 개요 페이지의 기본 정보에서 구독 ID(Subscription ID)를 확인하세요.
2. 구독(Subscription) > 액세스 제어(IAM) 를 클릭하세요.
3. 액세스 제어 페이지에서 추가(Add) > 역할 할당 추가(Add role assignment) 를 클릭하세요.
4. 역할 할당 추가 페이지에서 상세 정보를 입력한 후 저장(Review+assign) 을 클릭하세요.
   • 역할 할당 정보 입력 시 역할과 구성원 탭에서 아래 정보를 선택하여 Entra ID Application 등록에서 생성한 App을 추가하세요. 아래 세 가지 권한을 모두 추가해야 합니다.

     구분	권한
     독자(Reader)	사용자, 그룹 또는 서비스 주체(Users, group, or service principal)
     Key Vault 읽기 권한자(Key Vault Reader)	사용자, 그룹 또는 서비스 주체(Users, group, or service principal)
     읽기 권한자 및 데이터 액세스(Reader and Data Access)	사용자, 그룹 또는 서비스 주체(Users, group, or service principal)

     표. 역할 할당 정보 입력 시 추가 권한 항목

PowerShell을 통한 접근 권한 추가

PowerShell을 사용하여 Azure Console의 구독 접근 권한을 추가하려면 다음 절차를 따르세요.

1. Azure Console의 Cloud shell > PowerShell에서 아래 명령어를 실행하세요.
   • New-AzRoleAssignment -ObjectId “Enterprise Application에서 확인되는 App의 Object ID” -Scope “/providers/Microsoft.aadiam” -RoleDefinitionName ‘Reader’ -ObjectType ‘ServicePrincipal’
   • 명령어가 수행되지 않는 경우 아래 설정을 변경하세요.
     • Microsoft Entra ID > 속성(Properties) > ‘계정명’ can manage access to all Azure subscriptions and management groups in this tenant. > 예(yes) 로 변경
     • 권한 추가 완료 후 반드시 아니오(no) 로 변경해야 합니다
2. 아래 명령어를 실행하여 설정 완료 여부를 확인하세요.
   • Get-AzRoleAssignment –ObjectId ＂Enterprise Application에서 확인되는 App의 Object ID＂ –Scope ＂/providers/Microsoft.aadiam＂
   • 권한 삭제가 필요한 경우 아래 명령어를 실행합니다.
     • Remove-AzRoleAssignment -ObjectId “Enterprise Application에서 확인되는 App의 Object ID” -Scope “/providers/Microsoft.aadiam” -RoleDefinitionName ‘Reader’

3 - Release Note

Config Inspection