사전 설정하기

사용자는 Samsung Cloud Platform Console을 통해 Config Inspection 서비스 이용을 위해 인증키 생성, 접근제어 IP 추가 등 클라우드 사전 설정을 진행해야 합니다.

참고
사용할 클라우드 종류에 따라 설정할 항목이 다릅니다. 해당 챕터를 참고해 클라우드별로 필요한 항목을 설정하세요.

Samsung Cloud Platform Console 설정하기

Config Inspection 서비스에서 Samsung Cloud Platform 및 외부 클라우드를 진단하려면 아래 항목을 설정하세요.

사용자 그룹에 연결된 정책 확인

안내
  • Config Inspection에서는 Samsung Cloud Platform 또는 외부 클라우드를 진단할 수 있습니다. 진단대상에 따라 사용자 그룹에 적절한 정책요건을 부여해 사용할 수 있습니다.
    • 원하는 진단대상에 맞는 사용자 그룹 정책이 설정되어 있는지 확인하세요.
    • 정책 생성이 필요한 경우 Account 관리자에게 문의하십시오.

사용자가 속한 사용자 그룹의 정책을 확인하려면, 다음 절차를 따르세요.

  1. 모든 서비스 > Management > IAM 메뉴를 클릭하세요. IAM의 Service Home 페이지로 이동합니다.
  2. Service Home 페이지에서 사용자 그룹 메뉴를 클릭하세요. 사용자 그룹 목록 페이지로 이동합니다.
  3. 사용자 그룹 목록 페이지에서 확인할 사용자 그룹을 클릭하세요. 사용자 그룹 상세 페이지로 이동합니다.
  4. 사용자 그룹 상세 페이지에서 정책 탭을 클릭하세요. 정책 탭 페이지로 이동합니다.
  5. 정책 탭 페이지에서 확인할 정책을 클릭하새요. 정책 상세 페이지로 이동합니다.
  6. 정책 상세 페이지에서 상세 정보를 확인하세요.

인증키 생성

Config Inspection 서비스에 사용할 인증키를 확인하고 생성할 수 있습니다.

안내
  • 인증키는 2개까지만 생성할 수 있습니다.
  • 새 인증키를 생성한 다음에는 반드시 사용하고 있는 서비스에 변경된 API 인증키를 적용해야 합니다.

Samsung Cloud Platform Console에서 인증키를 생성하려면 다음 절차를 따르세요.

  1. Console의 My 메뉴 > My info. 메뉴를 클릭하세요. My info. 상세 페이지로 이동합니다.
  2. My info. 상세 페이지로 인증키 관리 탭을 클릭하세요. 인증키 관리 탭 페이지로 이동합니다.
  3. 인증키 관리 탭 페이지에서 인증키 생성 버튼을 클릭하세요. 인증키 생성 페이지로 이동합니다.
    • 인증키 관리 페이지에서 인증키 목록을 확인할 수 있습니다.
  4. 인증키 생성 페이지에서 만료 기간을 입력한 후 확인 버튼을 클릭하세요.
  5. 인증키 목록에 생성한 인증키가 표시되는지 확인하세요.

접근 허용 IP 추가

Samsung Cloud Platform Console에서 접근 허용 IP를 추가할 수 있스니다.

Console의 접근 허용 IP를 추가하려면 다음 절차를 따르세요.

  1. Console의 My 메뉴 > My info. 메뉴를 클릭하세요. My info. 상세 페이지로 이동합니다.
  2. My info. 상세 페이지로 인증키 관리 탭을 클릭하세요. 인증키 관리 탭 페이지로 이동합니다.
  3. 인증키 관리 탭 페이지에서 보안 설정 항목의 수정 아이콘을 클릭하세요. 인증키 보안 설정 수정 팝업창이 열립니다.
  4. 인증키 보안 설정 수정 팝업창에서 인증 방식과 접근 허용 IP를 입력하세요.
    • 인증 방식을 인증키로 선택하세요.
    • 접근 허용 IP를 사용으로 설정하고, IP 주소를 입력하고 추가 버튼을 클릭하세요.
  5. 접근 허용 IP 추가가 완료되면 확인 버튼을 클릭하세요. 보안 설정 항목에 입력한 정보로 수정되었는지 확인합니다.

AWS 설정하기

Config Inspection 서비스에서 AWS(Amazone Web Services) 클라우드를 진단하려면 아래 항목을 설정하세요.

권한 정책 추가

AWS Console에서 사용자/사용자 그룹의 권한 정책을 추가할 수 있습니다.

사용자 권한 추가

AWS Console의 사용자 접근 권한 정책을 추가하려면 다음 절차를 따르세요.

  1. AWS Console의 IAM > 사용자를 클릭하세요.
  2. 사용자 목록에서 진단용 사용자 이름을 선택하세요.
  3. 사용자 정보 페이지에서 권한 탭을 클릭하세요.
  4. 권한 정책의 권한 추가를 선택하세요.
    • 권한 추가 시 ReadOnlyAccess, ViewOnlyAccess를 선택합니다.

사용자 그룹 권한 추가

AWS Console의 사용자 그룹 접근 권한 정책을 추가하려면 다음 절차를 따르세요.

  1. AWS Console의 IAM > 사용자 그룹을 클릭하세요.
  2. 사용자 그룹 목록에서 사용자가 속한 그룹을 선택하세요.
  3. 사용자 그룹 페이지에서 권한 탭을 클릭하세요.
  4. 권한 정책의 권한 추가를 선택하세요.
    • 권한 추가 시 ReadOnlyAccess, ViewOnlyAccess를 선택합니다.

접근 제어 IP 추가

IP 접근 통제 정책을 사용하는 경우, 해당 정책에 차단 예외 IP를 추가해야 합니다.

사용자 접근 제어 IP 추가

AWS Console의 사용자 접근 제어 IP를 추가하려면 다음 절차를 따르세요.

  1. AWS Console의 IAM > 사용자를 클릭하세요.
  2. 사용자 목록에서 진단용 사용자 이름을 선택하세요.
  3. 사용자 정보 페이지에서 권한 탭을 클릭하세요.
  4. 권한 정책 항목에서 IP 접근 통제 정책Edit를 클릭하세요.
    • 차단 예외 IP에 123.37.24.82를 추가합니다.

사용자 그룹 접근 제어 IP 추가

AWS Console의 사용자 그룹 접근 제어 IP를 추가하려면 다음 절차를 따르세요.

  1. AWS Console의 IAM > 사용자 그룹을 클릭하세요.
  2. 사용자 그룹 목록에서 사용자가 속한 그룹을 선택하세요.
  3. 사용자 그룹 페이지에서 권한 탭을 클릭하세요.
  4. 권한 정책 항목에서 IP 접근 통제 정책Edit를 클릭하세요.
    • 차단 예외 IP에 123.37.24.82를 추가합니다.

Access Key 생성

AWS Console의 Access Key를 생성하려면 다음 절차를 따르세요.

  1. AWS Console의 IAM > 사용자를 클릭하세요.
  2. 사용자 목록에서 진단용 사용자 이름을 선택하세요.
  3. 사용자 정보 페이지에서 보안 자격 증명 탭을 클릭하세요.
  4. 보안 자격 증명 페이지에서 액세스 키를 클릭하세요.
  5. 액세스 키 생성 페이지에서 서드 파티 서비스용 액세스 키를 생성하세요.
    • 생성한 액세스 키 정보를 반드시 저장하세요.
주의

Secret Key는 csv 파일로 다운로드하거나 별도로 기록하세요.

  • Secret key 정보는 액세스 키 생성 시에만 확인할 수 있으며 나중에 복구할 수 없습니다.

Azure 설정하기

Config Inspection 서비스에서 Azure 클라우드를 진단하려면 아래 항목을 설정하세요.

Entra ID Application 등록

Azure Console에 Entra ID Application 등록하려면 다음 절차를 따르세요.

  1. Azure Console의 Microsoft Entra ID > 앱 등록을 클릭하세요.
  2. 앱 등록 페이지에서 새 등록을 클릭하세요.
  3. 애플리케이션(클라이언트)ID를 등록하세요.
  4. 앱 등록이 완료되면 개요 페이지에서 앱 이름, 애플리케이션(클라이언트) ID, 디렉터리(테넌트) ID를 확인하세요.

API 사용 권한 추가

참고
Config Inspection 서비스를 이용하려면 Azure AD 역할 중 Global Administrator 역할이 부여된 계정에서 사전 설정해야 합니다.

Azure Console의 API 사용 권한을 추가하려면 다음 절차를 따르세요.

  1. Azure Console의 Microsoft Entra ID > 앱 등록(App registrations) > Entra ID Application 등록에서 생성한 App명 > API 사용 권한(App permissions) > 권한 추가(Add a permission) 를 클릭하세요.
  2. API 사용 권한 목록에서 권한을 추가할 Microsoft Graph를 선택하세요.
  3. API 사용 권한 요청 페이지에서 애플리케이션 사용 권한을 클릭하세요.
    • 권한 목록에서 Application.Read.All, Device.Read.All, Group.Read.All, User.Read.All, DeviceManagementManagedDevices.Read.All, AuditLog.Read.All, Directory.Read.All, Domain.Read.All, GroupMember.Read.All, Policy.Read.All, Reports.Read.All을 선택합니다.
  4. App API permission 등록에서 권한 추가 후 계정명에 대한 관리자 동의 허용(Grant admin consent for 계정명)을 클릭하세요.
    • 계정명에 대해 허용됨(Granted for 계정명) 상태로 변경되었는지 확인하세요.

Client Secret 생성

Azure Console의 Client Secret을 생성하려면 다음 절차를 따르세요.

  1. Azure Console의 Microsoft Entra ID > 앱 등록(App registrations) > Entra ID Application 등록에서 생성한 App명 > 인증서 및 암호(Certificates & secrets) 를 클릭하세요.
  2. 인증서 및 암호 목록에서 새 클라이언트 암호를 클릭하세요.
  3. 클라이언트 암호가 생성되면 목록에서 값(Value) 항목의 Client Secret을 확인합니다.
    • Client Secret 값은 반드시 저장하세요.
주의
Client Secret 값(Value)은 생성 시에만 확인할 수 있습니다. 반드시 별도로 기록하거나 저장하세요.

Azure Console에서 Subscription 접근 권한 추가

Azure Console의 구독 접근 권한은 테넌트 루트 그룹 또는 개별 Subscription에서 추가할 수 있습니다. 원하는 방법을 선택하여 Subscription 접근 권한을 추가하세요.

Tenant Root Group에서 권한 추가

Tenant Root Group에서 Azure Console의 구독 접근 권한을 추가하려면 다음 절차를 따르세요.

  1. Azure Console의 관리 그룹(Management groups) > 개요(Overview) 를 클릭하세요.
  2. Tenant Root Group > 액세스 제어(IAM) 를 클릭하세요.
    • Tenant Root Group 메뉴 진입이 불가한 경우 아래 설정을 변경하세요.
      • Microsoft Entra ID > 속성 > ‘계정명’ can manage access to all Azure subscriptions and management groups in this tenant. > 예(yes) 로 변경
    • 권한 추가 완료 후 반드시 아니오로 변경해야 합니다.
  3. 액세스 제어 페이지에서 추가(Add) > 역할 할당 추가(Add role assignment) 를 클릭하세요.
  4. 역할 할당 추가 페이지에서 상세 정보를 입력한 후 저장(Review+assign) 을 클릭하세요.
    • 역할 할당 정보 입력 시 역할구성원 탭에서 아래 정보를 선택하여 Entra ID Application 등록에서 생성한 App을 추가하세요. 아래 세 가지 권한을 모두 추가해야 합니다.
      구분권한
      독자(Reader)사용자, 그룹 또는 서비스 주체(Users, group, or service principal)
      Key Vault 읽기 권한자(Key Vault Reader)사용자, 그룹 또는 서비스 주체(Users, group, or service principal)
      읽기 권한자 및 데이터 액세스(Reader and Data Access)사용자, 그룹 또는 서비스 주체(Users, group, or service principal)
      표. 역할 할당 정보 입력 시 추가 권한 항목

개별 Subscription에서 권한 추가

개별 Subscription에서 Azure Console의 구독 접근 권한을 추가하려면 다음 절차를 따르세요.

  1. Azure Console의 구독(Subscription) > 개요(Overview) 를 클릭하세요.
    • 개요 페이지의 기본 정보에서 구독 ID(Subscription ID)를 확인하세요.
  2. 구독(Subscription) > 액세스 제어(IAM) 를 클릭하세요.
  3. 액세스 제어 페이지에서 추가(Add) > 역할 할당 추가(Add role assignment) 를 클릭하세요.
  4. 역할 할당 추가 페이지에서 상세 정보를 입력한 후 저장(Review+assign) 을 클릭하세요.
    • 역할 할당 정보 입력 시 역할구성원 탭에서 아래 정보를 선택하여 Entra ID Application 등록에서 생성한 App을 추가하세요. 아래 세 가지 권한을 모두 추가해야 합니다.
      구분권한
      독자(Reader)사용자, 그룹 또는 서비스 주체(Users, group, or service principal)
      Key Vault 읽기 권한자(Key Vault Reader)사용자, 그룹 또는 서비스 주체(Users, group, or service principal)
      읽기 권한자 및 데이터 액세스(Reader and Data Access)사용자, 그룹 또는 서비스 주체(Users, group, or service principal)
      표. 역할 할당 정보 입력 시 추가 권한 항목

PowerShell을 통한 접근 권한 추가

PowerShell을 사용하여 Azure Console의 구독 접근 권한을 추가하려면 다음 절차를 따르세요.

  1. Azure Console의 Cloud shell > PowerShell에서 아래 명령어를 실행하세요.
    • New-AzRoleAssignment -ObjectId “Enterprise Application에서 확인되는 App의 Object ID” -Scope “/providers/Microsoft.aadiam” -RoleDefinitionName ‘Reader’ -ObjectType ‘ServicePrincipal’
    • 명령어가 수행되지 않는 경우 아래 설정을 변경하세요.
      • Microsoft Entra ID > 속성(Properties) > ‘계정명’ can manage access to all Azure subscriptions and management groups in this tenant. > 예(yes) 로 변경
      • 권한 추가 완료 후 반드시 아니오(no) 로 변경해야 합니다
  2. 아래 명령어를 실행하여 설정 완료 여부를 확인하세요.
    • Get-AzRoleAssignment –ObjectId "Enterprise Application에서 확인되는 App의 Object ID" –Scope "/providers/Microsoft.aadiam"
    • 권한 삭제가 필요한 경우 아래 명령어를 실행합니다.
      • Remove-AzRoleAssignment -ObjectId “Enterprise Application에서 확인되는 App의 Object ID” -Scope “/providers/Microsoft.aadiam” -RoleDefinitionName ‘Reader’
진단 결과 관리
Release Note