기본 시스템 클라우드 구성 거버넌스 구성 키를 수집하는 데 필요한 클라우드 권한

  • 릴리스 버전: Australia
  • 업데이트 날짜 2026년 03월 12일
  • 소요 시간: 14분

    • 클라우드 구성 거버넌스는 클라우드에서 기본 시스템 구성 키를 수집하기 위해 적절한 클라우드 사용 권한이 필요합니다. 따라서 조직의 필요에 맞게 클라우드에 적절한 권한을 설정해야 합니다.

    주:
    버전 1.3.7부터 클라우드 구성 거버넌스 기본 시스템 컨텐츠는 .CCG 콘텐츠 팩 를 설치 CCG 콘텐츠 팩 하여 기본 시스템 클라우드 구성 거버넌스 컨텐츠에 액세스합니다.

    Amazon Web Services (AWS) 데이터센터

    클라우드 구성 거버넌스는 다음 항목을 사용하여 데이터센터 구성 키의 구성 키를 수집합니다.AWS

    • 자원 수집기: 클라우드 서비스 계정
    • 사용된 클라우드 API: 작업: DescribeRegions
    • 클라우드 권한: ec2: DescribeRegions
    표 1. AWS 데이터센터 구성 키
    구성 키 데이터 유형
    AWS:EC2:VM:DescribeRegions String

    AWS IAM(ID 및 액세스 관리) 사용자

    클라우드 구성 거버넌스 는 다음 항목을 사용하여 IAM 사용자 구성 키의 구성 키를 수집합니다 AWS .

    • 자원 수집기: AWS IAM 사용자 데이터 수집기
    • 사용된 클라우드 API:
      • 작업: GetCredentialReportGenerateCredentialReport
      • 서비스: AWS IAM service
    • 클라우드 권한: Iam:GetCredentialReportIam:GenerateCredentialReport
    표 2. AWS IAM 사용자 구성 키
    구성 키 데이터 유형
    AWS:IAM:Policy:ARN String
    AWS:IAM:Policy:AttachmentCount String
    AWS:IAM:Policy:CreateDate String
    AWS:IAM:Policy:PolicyName String
    AWS:IAM:Policy:UpdateDate String
    AWS:IAM:User:AccessKey1.active Boolean
    AWS:IAM:User:AccessKey1.lastRotated Date
    AWS:IAM:User:AccessKey1.lastUsedDate Date
    AWS:IAM:User:AccessKey1.lastUsedRegion String
    AWS:IAM:User:AccessKey1.lastUsedService String
    AWS:IAM:User:AccessKey2.active Boolean
    AWS:IAM:User:AccessKey2.lastRotated Date
    AWS:IAM:User:AccessKey2.lastUsedDate Date
    AWS:IAM:User:AccessKey2.lastUsedRegion String
    AWS:IAM:User:AccessKey2.lastUsedService String
    AWS:IAM:User:Certificate1.active Boolean
    AWS:IAM:User:Certificate1.lastRotated Date
    AWS:IAM:User:Certificate2.active Boolean
    AWS:IAM:User:Certificate2.lastRotated Date
    AWS:IAM:User:CreationTime Date
    AWS:IAM:User:LoginProfile.active Boolean
    AWS:IAM:User:MfaEnabled Boolean
    AWS:IAM:User:PasswordEnabled Boolean
    AWS:IAM:User:PasswordLastChanged String
    AWS:IAM:User:PasswordLastUsed Date
    AWS:IAM:User:PasswordNextRotation String

    AWS 객체 저장소

    클라우드 구성 거버넌스 는 다음 항목을 사용하여 IAM 사용자 구성 키의 구성 키를 수집합니다 AWS .

    • 구성 수집기: AWS S3 암호화 메트릭 수집기
    • 자원 수집기: AWS S3 자원 수집기
    • 사용된 클라우드 API: 작업: S3 서비스의 ListBucketsGetBucketEncryption
    • 클라우드 권한: s3:ListBuckets3:GetEncryptionConfiguration
    표 3. AWS 객체 저장소 구성 키
    구성 키 데이터 유형
    AWS:S3:Encryption:BucketKeyEnabled Boolean
    AWS:S3:Encryption:KMSMasterKeyID String
    AWS:S3:Encryption:ServerSideEncryptionEnabled Boolean
    AWS:S3:Encryption:SSEAlgorithm String
    • 구성 수집기: AWS S3 ACL 권한 메트릭 수집기
    • 자원 수집기: AWS S3 자원 수집기
    • 사용된 클라우드 API: 작업: GetBucketAcl
    • 클라우드 권한: s3:GetBucketAcl
    표 4. AWS 객체 저장소 구성 키
    구성 키 데이터 유형
    AWS:S3:ACL:AuthnUsersListing Boolean
    AWS:S3:ACL:AuthnUsersReadACL Boolean
    AWS:S3:ACL:AuthnUsersWrite Boolean
    AWS:S3:ACL:AuthnUsersWriteACL Boolean
    AWS:S3:ACL:OwnerFullControl Boolean
    AWS:S3:ACL:OwnerId String
    AWS:S3:ACL:OwnerListing Boolean
    AWS:S3:ACL:OwnerName String
    AWS:S3:ACL:OwnerReadACL Boolean
    AWS:S3:ACL:OwnerWrite Boolean
    AWS:S3:ACL:OwnerWriteACL Boolean
    AWS:S3:ACL:PublicListing Boolean
    AWS:S3:ACL:PublicReadACL Boolean
    AWS:S3:ACL:PublicWrite Boolean
    AWS:S3:ACL:PublicWriteACL Boolean

    AWS 가상 머신 인스턴스

    클라우드 구성 거버넌스 는 다음 항목을 사용하여 가상 머신 인스턴스 구성 키의 구성 키를 수집합니다 AWS .

    • 자원 수집기: AWS VM 데이터 수집기
    • 사용된 클라우드 API: 작업: DescribeInstancesAWS EC2 자원
    • 클라우드 권한: ec2:DescribeInstances
    표 5. AWS 가상 머신 인스턴스 구성 키
    구성 키 데이터 유형
    AWS:EC2:VM:CapacityReservationPreference String
    AWS:EC2:VM:CpuOptionsCoreCount Numeric
    AWS:EC2:VM:CpuOptionsThreadsPerCore Numeric
    AWS:EC2:VM:EbsOptimized Boolean
    AWS:EC2:VM:HardwareType String
    AWS:EC2:VM:ImageId String
    AWS:EC2:VM:InstanceState String
    AWS:EC2:VM:KeyName String
    AWS:EC2:VM:LaunchTime Date
    AWS:EC2:VM:MonitoringState String
    AWS:EC2:VM:Platform String
    AWS:EC2:VM:PrivateDnsName String
    AWS:EC2:VM:PrivateIpAddress String
    AWS:EC2:VM:PublicDnsName String
    AWS:EC2:VM:PublicIPAddress String
    AWS:EC2:VM:SecurityGroups String
    AWS:EC2:VM:SubnetId String
    AWS:EC2:VM:Tags Map
    AWS:EC2:VM:UsageOperation String
    AWS:EC2:VM:VpcId String

    AWS 최소 권한이 있는 프로파일

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "iam:GenerateCredentialReport",
                "s3:GetEncryptionConfiguration",
                "ec2:DescribeInstances",
                "s3:ListBucketVersions",
                "ec2:DescribeRegions",
                "s3:ListBucket",
                "iam:GetCredentialReport"
            ],
            "Resource": "*"
        }
    ]
}

    Microsoft Azure 가상 머신 인스턴스

    클라우드 구성 거버넌스 는 다음 항목을 사용하여 가상 머신 인스턴스 구성 키를 수집합니다 Azure .

    • 자원 수집기: Azure VM 데이터 수집기
    • 사용된 클라우드 API: Microsoft.ResourceGraph/resources
    • 클라우드 권한: Microsoft.ResourceGraph/resources
    표 6. Azure 가상 머신 인스턴스 구성 키
    구성 키 데이터 유형
    Azure:VM:HardwareType String
    Azure:VM:NICID String
    Azure:VM:OSDiskCaching String
    Azure:VM:OSDiskCreateoption String
    Azure:VM:OSDiskDeleteoption String
    Azure:VM:OSDiskId String
    Azure:VM:OSDiskName String
    Azure:VM:OSDiskOSType String
    Azure:VM:OSDiskSizeGB String
    Azure:VM:OSProfileAllowExtensionOperations Boolean
    Azure:VM:OSProfileComputerName String
    Azure:VM:OSProfileLinuxConfigurationDisablePasswordAuthentication Boolean
    Azure:VM:OSProfileLinuxConfigurationPatchSettingsAssessmentMode String
    Azure:VM:OSProfileLinuxConfigurationPatchSettingsPatchMode String
    Azure:VM:OSProfileLinuxConfigurationProvisionVmAgent Boolean
    Azure:VM:OSProfileLinuxConfigurationSSHKeyData Map
    Azure:VM:OSProfileLinuxConfigurationSSHPath Map
    Azure:VM:OSProfileRequireGuestProvisionSignal Boolean
    Azure:VM:OSWindowsConfigurationEnableAutomaticUpdates Boolean
    Azure:VM:OSWindowsConfigurationPatchSettingsAssessmentMode String
    Azure:VM:OSWindowsConfigurationPatchSettingsEnableHotpatching Boolean
    Azure:VM:OSWindowsConfigurationPatchSettingsPatchMode String
    Azure:VM:OSWindowsConfigurationProvisionVMAgent Boolean
    Azure:VM:PowerState String
    Azure:VM:ProvisioningState String
    Azure:VM:ResourceGroup String
    Azure:VM:StorageProfileDataDisksCaching String
    Azure:VM:StorageProfileDataDisksCreateOption String
    Azure:VM:StorageProfileDataDisksDeleteOption String
    Azure:VM:StorageProfileDataDisksDetachOption String
    Azure:VM:StorageProfileDataDisksDiskIopsReadWrite String
    Azure:VM:StorageProfileDataDisksDiskMBpsReadWrite String
    Azure:VM:StorageProfileDataDisksDiskSizeGb Numeric
    Azure:VM:StorageProfileDataDisksImage String
    Azure:VM:StorageProfileDataDisksLun Numeric
    Azure:VM:StorageProfileDataDisksManagedDiskDiskEncryptionSet String
    Azure:VM:StorageProfileDataDisksManagedDiskId String
    Azure:VM:StorageProfileDataDisksManagedDiskResourceGroup String
    Azure:VM:StorageProfileDataDisksManagedDiskStorageAccountType String
    Azure:VM:StorageProfileDataDisksManagedStorageAccountType String
    Azure:VM:StorageProfileDataDisksName String
    Azure:VM:StorageProfileDataDisksToBeDetached Boolean
    Azure:VM:StorageProfileDataDisksVhd String
    Azure:VM:StorageProfileDataDisksWriteAcceleratorEnabled Boolean
    Azure:VM:StorageProfileImageReferenceExactVersion String
    Azure:VM:StorageProfileImageReferenceId String
    Azure:VM:StorageProfileImageReferenceOffer String
    Azure:VM:StorageProfileImageReferencePublisher String
    Azure:VM:StorageProfileImageReferenceSharedGalleryImageId String
    Azure:VM:StorageProfileImageReferenceSku String
    Azure:VM:StorageProfileImageReferenceVersion String
    Azure:VM:Tags Map
    Azure:VM:VMId String
    • 자원 수집기: Azure VM 데이터 수집기
    • 구성 수집기: Azure VM 메트릭 수집기
    • 사용된 클라우드 API: Microsoft.ResourceGraph/resources
    • 클라우드 권한: Microsoft.ResourceGraph/resources
    표 7. Azure 가상 머신 인스턴스 구성 키
    구성 키 데이터 유형
    Azure:VM:PublicIPAddress String
    Azure:VM:PublicIPId String
    • 자원 수집기: Azure VM 데이터 수집기
    • 구성 수집기: Azure VM 모니터링 메트릭 수집기
    • 사용된 클라우드 API: Microsoft.Compute/virtualMachines/{vmName}/instanceView
    • 클라우드 권한: Microsoft.Compute/virtualMachines/{vmName}/instanceView
    표 8. Azure 가상 머신 인스턴스 구성 키
    구성 키 데이터 유형
    Azure:VM:MonitoringState String
    주:
    를 사용하고 scope=https://graph.microsoft.com/.default scope=https://management.azure.com/.default Azure 자원에 대한 oAuth 토큰을 가져옵니다.

    Azure 최소 권한이 있는 프로파일

    {
    "properties": {
        "roleName": "CCGAzureMinimalPermission",
        "description": "Grants access to scan compute resources from azure subscription",
        "assignableScopes": [
            "/subscriptions/${subscription_id}"
        ],
        "permissions": [
            {
                "actions": [
                    "Microsoft.ResourceGraph/resources/read",
                    "Microsoft.Compute/virtualMachines/instanceView/read"
                ],
                "notActions": [],
                "dataActions": [],
                "notDataActions": []
            }
        ]
    }
}