사전 배포 도구(레거시)

개요

이 페이지의 지침을 따르지 말고 대신 다음을 따르십시오, Cloud Connected 와 클라우드 연결 Panther 인스턴스 설정 지침. 이 페이지는 역사적 참고용으로만 존재합니다.

Panther는 조직에서 배포할 때 사용할 수 있는 도구 세트를 제공합니다 Cloud Connected Panther 인스턴스:

준비성 검사 도구: 이 도구는 배포 역할에 의해 정의된 작업을 AWS 계정에 대해 시뮬레이션하여 Panther 배포와 충돌할 수 있어 추가 검토가 필요한 조직 정책을 식별합니다. 또한 AWS 계정에 Amazon S3 Select가 활성화되어 있는지 확인합니다.
- 이 도구가 성공적으로 실행되면 IAM 또는 S3 Select 관련 배포 문제를 겪을 가능성이 낮다는 강력한 지표가 되며 Panther 측의 배포 프로세스를 간소화할 수 있습니다.
Snowflake 자격 증명 부트스트랩 도구: 이 도구는 AWS에서 Panther 인프라를 처음 배포하기 전에(초기 Snowflake 구성 포함) Snowflake 자격 증명을 AWS 계정 내부에 저장하는 데 도움이 됩니다. 이를 통해 다음과 같은 이점을 얻을 수 있습니다:
- Panther 직원과의 수동 전달을 포함하여 자격 증명이 AWS 계정 밖으로 유출되는 것을 방지할 수 있습니다.
- 설정 과정 초기에 자격 증명의 정확성을 검증할 수 있습니다.

이 도구들은 다음을 사용하여 구축된 CloudFormation 템플릿으로 정의된 람다 함수 모음으로 배포됩니다, AWS SAM. 이러한 유틸리티의 소스는 다음에 있습니다, 이 panther-auxiliary GitHub 저장소.

도구 세트 배포

전제 조건

설정은 PantherDeploymentRole CloudFormation 스택이 이미 배포되어 있어야 합니다.
- 다음에서 이를 완료했어야 합니다, 클라우드 연결을 위한 AWS 구성의 3단계 프로세스.

사전 배포 도구 CloudFormation 템플릿 배포

CloudFormation 템플릿이 저장된 S3 URL을 구성하려면 아래 URL의 <region> 을(를) Panther를 배포하려는 리전으로 교체하십시오: https://panther-public-cloudformation-templates.s3.us-west-2.amazonaws.com/panther-preflight-tools-<region>/latest/template.yml
구성한 S3 URL을 사용하여 템플릿을 배포하십시오. 템플릿에서 CloudFormation 스택을 생성하는 방법에 대한 지침은 CloudFormation 문서를 참조하십시오, CloudFormation 콘솔을 사용하여 또는 AWS CLI를 사용하여.
- Panther와PantherDeploymentRoleSnowflake 계정이 위치한 AWS 리전을 선택하십시오.
- 스택 이름으로는 다음을 사용하는 것을 권장합니다, PantherPreflightToolsStack콘텐츠와의 일관성을 위해.
- 이 스택에는 구성할 매개변수가 없습니다.

준비성 검사 도구 사용

준비성 검사를 호출하는 데는 페이로드가 필요하지 않습니다. AWS CLI나 AWS 콘솔에서 호출할 수 있습니다.

AWS 콘솔에서 호출:

인증된 AWS 콘솔 세션에서 다음의 테스트 페이지로 이동하십시오, PantherReadinessCheck 람다 유틸리티: https://console.aws.amazon.com/lambda/home#/functions/PantherReadinessCheck?tab=testing
다음 이벤트 이름 필드에 이름을 입력하십시오.
다음 이벤트 JSON 필드에 빈 페이로드를 입력하십시오.
오른쪽 상단에서 클릭하십시오 테스트.
테스트가 완료되면 세부 정보 결과를 보려면 드롭다운을 사용하세요.
- 성공적인 실행이 완료될 때까지 진행하지 마세요. 이 도구를 성공적으로 실행하는 데 문제가 있는 경우 Panther 지원팀에 문의하세요.

명령줄에서 다음을 사용하여 호출: aws CLI:

다음을 실행하세요:

  aws lambda invoke --function-name "PantherReadinessCheck"\
  --cli-binary-format raw-in-base64-out output.json

이 예에서 결과는 output.json:

[12:18] user@host $> aws lambda invoke --function-name "PantherReadinessCheck" --cli-binary-format raw-in-base64-out output.json
[12:18] user@host $> cat output.json
{"Message": "모든 평가가 배포 역할에 대해 성공적으로 완료되었습니다"}

성공적인 실행이 완료될 때까지 진행하지 마세요. 이 도구를 성공적으로 실행하는 데 문제가 있는 경우 Panther 지원팀에 문의하세요.

준비 상태 검사 실패 사유

준비 상태 검사 실행이 실패하면 다음 중 하나 때문일 수 있습니다.

서비스 제어 정책

명령의 출력이 다음과 같다면 일부 평가가 허용되지 않았습니다! 실패한 작업 목록과 함께, 조직의 서비스 제어 정책(SCP) 에서PantherDeploymentRole 가 성공적인 배포를 보장하기 위해 필요한 작업을 수행할 수 있도록 허용하세요.

컨트롤 타워 가드레일

배포를 차단하는 AWS Control Tower 가드레일 정책이 있을 수 있습니다.

Amazon S3 Select가 활성화되어 있지 않음

명령의 출력에 다음이 포함된 경우 "s3_select_enabled": false, Panther 지원팀에 문의하세요. Panther는 AWS와 협력하여 Amazon S3 Select 를 귀하의 계정에 활성화할 것입니다.

Snowflake 자격 증명 부트스트랩 도구 사용하기

도구를 사용하려면 다음을 실행합니다. PantherSnowflakeCredentialBootstrap 람다를 두 번 실행하고 그 사이에 한 단계를 수행합니다. 첫 번째 람다 실행은 비밀을 AWS 계정에 시드하며—출력은 자격 증명을 추가하도록 비밀을 수정할 수 있는 AWS의 페이지로 안내합니다. 두 번째 람다 실행은 새로 생성된 비밀을 사용해 Snowflake 계정과의 연결을 확인하고, 새로 검증된 비밀의 ARN을 반환합니다.

AWS 콘솔에서 Lambda 서비스로 이동하세요.
- Snowflake 계정이 배포된 것과 동일한 리전에서 작업하고 있는지 확인하세요.
다음에서 찾으세요: PantherSnowflakeCredentialBootstrap 람다.
다음 항목을 클릭하십시오 테스트 탭을 클릭하십시오.
에 테스트 이벤트 작업 확인하세요 새 이벤트 생성 이 선택되어 있는지.
다음 이벤트 이름 필드, 이름을 입력하세요.
다음 이벤트 JSON 편집기에서 내용 전체를 하나의 키/값 쌍으로 교체하세요. 키는 host 이고 값은 귀하의 Snowflake 계정 URL입니다:
```
{
    "host": "<org-name>-<account-name>.snowflakecomputing.com"
}
```
오른쪽 상단에서 클릭하십시오 테스트.
테스트가 완료되고(성공적으로 실행되면) 클릭하십시오 세부 정보 결과를 보려면 드롭다운을 사용하세요.
출력된 URL을 복사하여 새 브라우저 탭에서 엽니다.
시크릿을 수정하십시오:
1. 페이지에서 시크릿 값 타일에서, 클릭 시크릿 값 가져오기.
2. 클릭 편집을 클릭하고.
3. 값을 업데이트하십시오 비밀번호 키를 귀하의 비밀번호로 pantheraccountadmin Snowflake 사용자.
4. 클릭 저장.
브라우저 탭으로 돌아가십시오 PantherSnowflakeCredentialBootstrap 람다.
여전히 테스트 탭에서, 이벤트 JSON 편집기에서 이벤트를 다음으로 업데이트하십시오:
```
{
    "validate": "true"
}
```
오른쪽 상단에서 클릭하십시오 테스트.
- 이 호출에 대한 응답은 성공할 경우 새로 생성된 시크릿의 ARN을 포함합니다.
나중 단계에서 Panther 지원팀에 제공해야 하므로 출력된 ARN 값을 안전한 장소에 저장하십시오.