클라우드 연결된 Panther 인스턴스 설정하기
panther-cloud-connected-setup CLI 도구 사용하기
개요
프로비저닝하려면 Cloud Connected Panther 인스턴스를 배포하려면 다음을 사용합니다 panther-cloud-connected-setup CLI 도구와 수동 절차를 함께 사용합니다. Cloud Connected Panther 인스턴스는 AWS 및 Snowflake 또는 Databricks에 배포됩니다.
아래의 CLI 도구에 대해 읽은 후 설정 프로세스를 시작하세요.
이 페이지의 지침은 새로운 Cloud Connected 배포를 설정하기 위한 것입니다. 기존의 Panther-호스팅(서비스형 SaaS) 인스턴스를 Cloud Connected 배포로 전환하려면 이 단계를 따르지 말고 Panther 지원팀에 문의하여 전환을 요청하세요.
사용자를 사용할 것이며, panther-cloud-connected-setup 도구
panther-cloud-connected-setup 도구Cloud Connected Panther 인스턴스를 설정하는 과정의 일부는 panther-cloud-connected-setup CLI 도구를 실행하는 것입니다. 이 도구는 로컬 머신 또는 AWS, Snowflake, Databricks 계정 내에서 모든 작업을 수행하며 Panther와 자격 증명이나 정보를 공유하지 않습니다.
도구가 수행하는 작업
이 도구를 실행하면:
AWS 계정 내에서:
다음을 배포합니다
PantherDeploymentRoleIAM 롤다음을 설치합니다
PantherDeploymentUpdaterRole로, 이는 당신의PantherDeploymentRole업데이트 상태를 유지합니다다음을 배포하고 실행합니다
PantherReadinessCheck사전 배포 도구로, 배포 문제에 직면할 가능성을 확인합니다제공한 루트 도메인에 따라 다음 서브도메인에 대한 SSL 인증서를 등록합니다:
<desired panther subdomain>.yourdomain.com*.<desired panther subdomain>.yourdomain.com
(선택 사항) 인증서 검증을 위해 Route 53에 DNS 검증 레코드를 생성합니다
(Snowflake 사용 시) 다음을 사용하여 AWS 환경에서 Snowflake 자격 증명을 프로비저닝합니다:
(권장) Panther가 대신 생성해 주는 Snowflake 계정과 관리 사용자
(권장하지 않음) 아래의 지침에 따라 생성된, 당신이 제공한 이미 생성된(빈) Snowflake 계정과 관리 사용자이 경로는
panther-cloud-connected-setup도구가 GLOBALORGADMIN 롤을 가진 Snowflake 사용자를 사용하도록 허용할 수 없는 경우 매력적일 수 있습니다(이 사용자의 자격 증명은 Panther와 절대 공유되지 않습니다.)
Databricks를 데이터 저장소로 사용하는 경우, CLI 도구는 Databricks에서 어떠한 작업도 수행하지 않습니다.
도구가 상태를 저장하는 방법
사용자를 사용할 것이며, panther-cloud-connected-setup 도구는 상태를 panther-cli-state.db 파일에 저장합니다. 도구가 처음 실행에서 Panther 인스턴스를 성공적으로 프로비저닝하지 못하면, 이 파일은 이미 성공적으로 완료된 단계를 추적하여 재실행을 더 간단하게 만듭니다.
이 파일은 민감한 정보를 저장합니다. Panther 인스턴스를 성공적으로 프로비저닝한 후에는 파일을 정리하거나 ./panther-cloud-connected-setup --clean 명령을 실행하여 파일을 정리하거나 디스크에서 파일을 삭제하는 것이 권장됩니다.
Cloud Connected Panther 인스턴스 설정 방법
사전 요구 사항
도구 설치 전제 조건
시작하기 전에 반드시 panther-cloud-connected-setup 도구에서 실행되었습니다.
macOS 및 Linux
다음을 설치합니다 panther-cloud-connected-setup 도구를 사용하여 Homebrew 다음 명령을 실행하여:
첫 번째 명령은 Panther의 자체 GitHub Homebrew 탭 저장소를 참조합니다.
Windows
다음을 설치합니다 panther-cloud-connected-setup 도구를 panther-cli 리포지토리의 Releases 페이지에서 패키지로 사용합니다.
도구가 올바르게 설정되었는지 확인하려면 다음을 실행하세요:
이 명령은 다음과 유사한 출력을 생성해야 합니다:
AWS 전제 조건
당신에게는 AWS 조직.
다음 중 하나의 아래에 설명된 방법을 사용하여 AWS에 인증할 수 있어야 합니다:
(권장) AWS 계정의 루트 사용자 (또는 이에 상응하는 권한을 가진 다른 IAM 사용자).
다음 최소 권한을 가진 IAM 사용자:
배포할 수 있는 권한 CloudFormation 템플릿
AWS Certificate Manager(ACM)에서 인증서를 생성할 수 있는 권한 인증서를 생성할 수 있는 권한
Lambda를 생성하고 호출할 수 있는 권한 Lambda를 생성하고 호출할 수 있는 권한
읽기/쓰기를 할 수 있는 권한 시크릿 관리자
귀하의 AWS 조직에 서비스 제어 정책(SCPs) 와 Control Tower 가드레일 조직 수준의 정책이 있는 경우, 이를 업데이트하거나 예외를 생성할 수 있는 권한이 있는 것이 권장됩니다. 이러한 정책은 CLI 도구의 작업을 방해하여 프로비저닝 실패를 초래할 수 있습니다.
AWS로 인증하기
사용자를 사용할 것이며, panther-cloud-connected-setup 도구는 다음 두 가지 AWS 인증을 지원합니다:
명시적으로 정의된 AWS 액세스 키 ID 및 시크릿 액세스 키 (및 선택적으로 세션 토큰)를
config.yml파일에표준 환경 구성(예: 환경 변수 또는
~/.aws/config파일)
AWS에 인증을 시도할 때 도구는 먼저 config.yml 파일에서 명시적으로 정의된 자격 증명을 찾습니다 (AWSConfig.AccessKeyID 와 AWSConfig.SecretAccessKey).
자격 증명이 config.yml에서 발견되면, 이러한 자격 증명을 사용하여 인증을 시도합니다. 만약 config.yml에서 자격 증명이 발견되지 않으면, 표준 AWS 클라이언트 라이브러리의 일반적인 해결 전략을 사용하여 환경에서 AWS 자격 증명을 로드하려고 시도합니다.
기타 전제 조건
사용자 지정 도메인이 등록되어 있어야 합니다.
사용자 지정 도메인 등록에 도움이 필요하고 AWS를 도메인 등록 기관으로 사용하려면, 다음을 따르세요 이 Amazon Route 53 문서.
(Snowflake 사용 시) Snowflake 전제 조건
당신은 Snowflake 조직.
을 보유하고 있어야 합니다
panther-cloud-connected-setup(도구가 추천하는 대로 Snowflake 계정과 관리 사용자를 대신 프로비저닝하도록 하려면) 다음을 갖춘 Snowflake 사용자가 필요합니다:다음이 GLOBALORGADMIN 롤을 가진 Snowflake 사용자를 사용하도록 허용할 수 없는 경우 매력적일 수 있습니다 첨부된
사용자를 사용할 것이며, Snowflake 문서는 ORGADMIN 역할이 제거될 것이라고 언급합니다그 전에는 GLOBALORGADMIN 대신 ORGADMIN 역할을 가진 사용자를 대신 사용할 수 있습니다.
RSA 키-페어 인증을 사용합니다. RSA 키-페어를 설정해야 하는 경우, 다음을 따르세요 Snowflake의 키-페어 인증 구성 지침.
다음의 일치하는 값을 가집니다
NAME와LOGIN_NAME을 확인하려면 다음 명령을 Snowflake 워크시트에서 실행하세요 Snowflake 워크시트:
(권장하지 않음) 이미 생성된 Snowflake 계정과 관리 사용자를 제공할 경우, 아래 지침에 따라 생성된 빈 Snowflake 계정과 관리 사용자가 있어야 합니다.
일부 Panther 기능은 Snowflake Enterprise 이거나 그 이상입니다. 여기에서 자세히 알아보기.
(권장하지 않음) Panther용으로 수동으로 새 Snowflake 계정 및 사용자 생성하기
대신 panther-cloud-connected-setup 도구가 Snowflake 계정과 사용자를 프로비저닝하도록 허용하는 것이 권장됩니다.
Snowflake 계정 및 사용자를 수동으로 생성하려면:
Snowflake 조직에서 아래 템플릿을 사용하여 Panther 전용의 새 Snowflake 계정을 생성하세요.
<YOUR_REGION>은 다음 중 하나여야 합니다 지원되는 AWS 리전 (및 Panther 인스턴스가 최종적으로 배포될 동일한 AWS 리전 이어야 합니다). 이 명령은 계정을 생성합니다 및 계정의 첫 번째 사용자도 생성하며, 해당 사용자에게는ACCOUNTADMIN역할이 할당됩니다. 이 사용자는 Panther에 제공되지 않습니다. 전체 구문 지침은CREATE ACCOUNT명령어 에 대해 더 읽을 수 있습니다.다음 명령으로 Snowflake 계정 URL을 구성하세요:
URL 형식은 다음과 같습니다:
<org-name>-<account-name>.snowflakecomputing.com이 값을 안전한 위치에 저장하세요; 이 프로세스의 이후 단계에서 필요합니다.
다음 명령으로 RSA 키페어를 생성하세요:
openssl genrsa 4096 | openssl pkcs8 -topk8 -inform PEM -out panther_rsa_key.p8 -nocrypt && openssl rsa -in panther_rsa_key.p8 -pubout -out panther_rsa_key.pub추가 안내는 다음을 참조하세요 Snowflake의 키-페어 인증 구성 문서.
1단계에서 생성한 관리자 사용자에게 RSA 공개 키를 할당하세요:
(Databricks 사용 시) Databricks 전제 조건
환경에서 Fluentd 시작에 관해서는 사전 요구 사항 켜기 Panther용 Databricks 구성하기.
1단계: 새 AWS 계정 생성
AWS 조직에서, 새 계정을 생성하세요필요한 경우. (기존의 빈 계정을 사용할 수도 있습니다.)
Panther 인스턴스는 기존 리소스가 있는 AWS 계정에 배포될 수 없습니다.
2단계: Panther에 값 요청
이 단계는 Panther Cloud Connected 인스턴스를 처음 설정하는 경우에만 필요합니다. 이전에 설정한 적이 있다면(예: 여러 Panther 인스턴스를 관리하는 경우) 값은 변경되지 않으므로 이전 값을 사용할 수 있습니다.
Cloud Connected 인스턴스를 배포한다고 Panther 지원팀에 알리고 다음 값들을 요청하세요:
CloudFormationConfig.IdentityAccountId와CloudFormationConfig.OpsAccountId이 값들은 3단계에서 사용됩니다.
3단계: 구성 파일 작성
다음 템플릿 중 하나를 복사하여 로컬에 구성 파일을 생성하세요:
Snowflake를 사용하는 경우:
도구가 Snowflake 계정과 관리 사용자를 대신 프로비저닝해야 하는 경우:
panther-cloud-connected-setupexample-config-new-snowflake-acct.yml 이미 생성된 빈 Snowflake 계정과 관리 사용자를 제공할 경우:example-config-existing-snowflake-acct.yml Databricks를 사용하는 경우:
example-config-databricks.yml 템플릿의 지침을 따르고 아래 사항을 참고하여 키의 값을 업데이트하세요:
다음 값 입력 시
PantherAccountConfig.Region
에 대해서는지원되는 AWS Panther 리전 중 하나를 사용하세요 이 리전은 Panther 인스턴스가 배포될 위치입니다.이 리전은 Panther 인스턴스가 배포될 위치입니다.(만약 사용 중이라면 이미 생성된 빈 Snowflake 계정과 관리 사용자를 제공할 경우:) 입력할 때
SnowflakeConfig.NewAccountConfig.SnowflakeEdition, 특정 Panther 기능이 필요하다는 점에 유의하세요 Snowflake Enterprise 이거나 그 이상입니다. 여기에서 자세히 알아보기.사용자를 사용할 것이며,
AutoRegisterValidationDomains필드는 필요한 인증서를 발급하기 위해 도구가 대신 DNS 레코드를 생성할 수 있게 해줍니다. 이를부울 값로 설정하면 Panther 배포에 사용된 AWS 계정이 Panther 도메인의 DNS 레코드도 관리해야 합니다.
4단계: 실행 panther-cloud-connected-setup 도구
panther-cloud-connected-setup 도구다음 명령으로 도구를 실행하세요:
유용할 수 있는 추가 플래그:
--verbose: 자세한 로깅 출력--snowflake-logging: Snowflake 상세 로깅 출력--force-check-certificates: 이미 발급됨으로 표시되어 있어도 인증서를 강제로 확인
도구에 대한 자세한 내용은 README.md.
5단계(필요한 경우): 인증서 요청을 검증하기 위한 DNS 레코드 생성
이전 단계에서 panther-cloud-connected-setup 도구를 실행하면 고객을 대신하여 SSL 인증서를 요청했으며, 만약 AutoRegisterValidationDomains: true 를 구성 파일에 설정했다면 Route 53에 DNS 검증 레코드를 생성했습니다.
만약 AutoRegisterValidationDomains: false로 설정한 경우, DNS 검증 레코드를 수동으로 생성해야 합니다.
자동 DNS 레코드 생성(활성화된 경우)
만약 AutoRegisterValidationDomains: true 를 구성 파일 그리고 도메인이 동일한 AWS 계정의 Route 53에 호스팅되어 있으면, panther-cloud-connected-setup 는 필요한 DNS 검증 레코드를 자동으로 생성하려 시도합니다.
확인을 위해 도구 출력 내용을 확인하세요:
다음을 보았다면
Successfully created DNS validation record메시지는 DNS 레코드가 자동으로 생성되었음을 의미하므로 아래 수동 단계를 건너뛸 수 있습니다.다음을 보았다면
Failed to auto-register validation domains경고가 표시되거나 인증서가 미발급으로 표시되면 아래 수동 단계를 진행하세요.
수동 DNS 레코드 생성
만약 AutoRegisterValidationDomains: false 를 구성 파일 또는 자동 등록에 실패한 경우 DNS 검증 레코드를 수동으로 생성하세요:
도구가 성공적으로 실행되면 계정 정보가 포함된 파일을 출력합니다. 이 파일에서
panther_certificate와wildcard_certificate노드를 찾으세요:validation_details.record_name
가와validation_details.record_value값이 위의panther_certificate와wildcard_certificate노드들 간에 다른지, 또는 동일한지 확인하세요.
AWS Route53(또는 선택한 다른 DNS 서비스)에서:
도구가 Snowflake 계정과 관리 사용자를 대신 프로비저닝해야 하는 경우:
가와validation_details.record_value값이 위의panther_certificate와wildcard_certificate노드들에서 동일하면 하나의 CNAME DNS 레코드를 생성하세요.위의 예시 출력 파일에서는 값이 동일하므로 다음과 같이 단 하나의 DNS 레코드만 생성하면 됩니다:
이름:
_8f65a0a68b4ca63ae9b9baa41429bf89.panther.coolsystems.net.값:
_2b5df93054bace85f6a84fb07235830d.zfyfvmchrl.acm-validations.aws.유형:
CNAME
도구가 Snowflake 계정과 관리 사용자를 대신 프로비저닝해야 하는 경우:
가와validation_details.record_value값이 위의panther_certificate와wildcard_certificate노드들에서 값이 다르면 두 개의 CNAME DNS 레코드를 생성하세요.
6단계: 출력된 파일을 Panther에 제공
도구가 성공적으로 실행되면 계정 정보가 포함된 파일을 출력합니다. 이 파일을 Panther 지원팀에 제공하세요.
여기서 중지하고 Panther가 계속 진행해도 된다는 알림을 보낼 때까지 기다리세요.
7단계: CNAME 레코드 생성
AWS 콘솔에서 EC2 서비스를 찾으세요.
다음의 AWS 제공 DNS 이름을 찾으세요
웹로드 밸런서:
Route53(또는 선택한 다른 DNS 서비스)로 이동하세요.
기본 서브도메인(
<your_desired_Panther_subdomain>.<company_name>.com)이 이 로드 밸런서의 DNS 이름을 가리키도록 새 CNAME 레코드를 생성하세요.웹로드 밸런서.
EC2에서 다음의 AWS 제공 DNS 이름을 찾으세요
http-ingest-alb로드 밸런서:
Route53(또는 선택한 다른 DNS 서비스)로 이동하세요.
로그 서브도메인(
logs.<your_desired_Panther_subdomain>.<company_name>.com)이 이 로드 밸런서의 DNS 이름을 가리키도록 새 CNAME 레코드를 생성하세요.http-ingest-alb로드 밸런서.
)이 이 로드 밸런서를 가리키도록 새 CNAME 레코드를 생성하세요.
를 선택하고 Panther가 설치된 계정 ID를 입력하십시오. AWS 콘솔에서 API Gateway 서비스로 이동하세요. > APIs.
사용자 지정 도메인 이름
API 서브도메인 이름을 클릭하세요 ().일반 구성 api.<your_desired_Panther_subdomain>.<company_name>.com 섹션에서 엔드포인트 구성 값을 복사하세요.
Route53(또는 선택한 다른 DNS 서비스)로 이동하세요.
API Gateway 도메인 이름
API 서브도메인 이름을 클릭하세요 (API 서브도메인( 엔드포인트 구성 값을 복사하세요.
)이 이
(선택 사항) 방금 생성한 세 개의 CNAME 레코드를 검증하세요:
기본 엔드포인트가 작동하는지 검증하려면:
Panther 콘솔에 로그인합니다.
웹 브라우저에서 기본 서브도메인으로 이동하세요.
Panther에서 HTTP 소스를 다음 설명을 따라 설정하세요 Panther 분석 도구(PAT):
GraphQL API 엔드포인트 식별
다음 명령 실행명령을 사용하세요:check-connection
pipenv run panther_analysis_tool check-connection --api-host $YOUR_GRAPHQL_ENDPOINT --api-token $YOUR_TOKEN
다음을 따르세요 8단계: API Gateway 및 CodeBuild 할당량 증액 요청 이 AWS 문서를 통해
다음 할당량 증액을 요청하세요:API Gateway 제한 할당량
CodeBuild
ARM/Large 환경에 대한 동시 실행 빌드(또는ARM BUILD_GENERAL1_LARGE): 2개 이상으로 설정
Linux/Large 환경에 대한 동시 실행 빌드(또는ARM BUILD_GENERAL1_LARGE
Linux BUILD_GENERAL1_LARGE Panther는 자동으로 귀하의 Lambda 동시 실행 할당량
을 2,000으로 증액 요청합니다.
9단계(데이터브릭스 사용 시): Panther용 Databricks 구성
Databricks를 사용하는 경우 이 단계에서 Panther 콘솔은 접근 가능하지만 완전하게 작동하지 않을 수 있습니다. Panther용 Databricks 구성하기.
설정 후 권장사항
모든 지침을 완료하세요
Panther 1단계(권장): AWS 리소스에 대한 Panther 정의 태그 활성화 은 AWS 리소스에 다음 태그들을 정의합니다 8단계: API Gateway 및 CodeBuild 할당량 증액 요청 당신의 Panther 배포를 위해 생성된 리소스에 대해. 이러한 태그를 활성화하려면
를 따르세요.
2단계(선택 사항): Panther에 AWS 리소스용 사용자 지정 태그 제공 Panther 정의 태그 외에도 원한다면 자신만의 사용자 지정 태그를
Panther 배포를 위해 생성된 AWS 리소스에 추가할 수 있습니다. 이렇게 하려면 태그 키와 값 목록을 Panther 지원팀에 제공하세요.
마지막 업데이트
도움이 되었나요?