Amazon API Gateway
개발자 안내서

AWS WAF를 사용하여 일반적인 웹 도용으로부터 Amazon API Gateway API 보호

AWS WAF는 웹 애플리케이션 방화벽으로, 사용자 정의 가능한 웹 보안 규칙과 조건을 기반으로 웹 요청을 허용, 차단하거나 계산하는 일련의 규칙(웹 액세스 제어 목록 또는 웹 ACL이라고 지칭)을 구성함으로써 웹 애플리케이션과 API를 공격으로부터 보호합니다. 자세한 내용은 AWS WAF 작동 방식을 참조하십시오.

AWS WAF를 사용하면 API 가용성과 성능에 영향을 주거나 보안 위협 또는 과도한 리소스 소비의 가능성이 있는 SQL 주입 및 XSS(교차 사이트 스크립팅) 공격 등 일반적인 웹 도용으로부터 API Gateway API를 보호할 수 있습니다. 예를 들어, 지정된 IP 주소 범위나 CIDR 블록의 요청 또는 특정 국가나 리전에서 시작하거나, 악성 SQL 코드를 포함하거나, 악성 스크립트를 포함하는 요청을 허용하거나 차단하는 규칙을 만들 수 있습니다. HTTP 헤더, 메서드, 쿼리 문자열, URI 및 요청 본문(처음 8KB로 제한)에 지정된 문자열이나 정규식 패턴과 일치하는 규칙을 만들 수도 있습니다. 또한 특정 사용자 에이전트, 불량 봇, 콘텐츠 스크래퍼의 공격을 차단하는 규칙을 만들 수 있습니다. 예를 들어, 비율 기반 규칙을 사용하여 연속적으로 업데이트되는 이후 5분 동안 각 클라이언트 IP에서 허용하는 웹 요청 수를 지정할 수 있습니다.

중요

AWS WAF는 웹 익스플로잇에 대한 방어벽 제1선입니다. API에서 AWS WAF가 활성화된 경우, AWS WAF 규칙은 다른 액세스 제어 기능(리소스 정책, IAM 정책, Lambda 권한 부여자, Amazon Cognito 권한 부여자)보다 먼저 평가됩니다 예를 들어 AWS WAF가 리소스 정책이 허용하는 CIDR 블록으로부터의 액세스를 차단할 경우, AWS WAF가 우선권을 가지므로 리소스 정책은 평가되지 않습니다.

AWS WAF를 API 메시지에 활성화하려면 다음을 수행해야 합니다.

  1. AWS WAF 콘솔, AWS SDK 또는 CLI를 사용하여 AWS WAF 관리형 규칙과 사용자 지정 규칙을 원하는 대로 조합한 리전 웹 ACL을 만듭니다. 자세한 내용은 AWS WAF 시작웹 ACL(웹 액세스 제어 목록) 생성 및 구성을 참조하십시오.

    중요

    API Gateway는 리전 웹 ACL이 필요합니다.

  2. AWS WAF 리전 웹 ACL과 API 단계를 연결합니다. 이 작업은 AWS WAF 콘솔, AWS SDK 또는 CLI를 사용하거나 API Gateway 콘솔, AWS SDK 또는 CLI를 사용하여 수행할 수 있습니다.

API Gateway 콘솔을 사용하여 API Gateway API 단계와 AWS WAF 리전 웹 ACL을 연결하려면

API Gateway 콘솔을 사용하여 AWS WAF 리전 웹 ACL을 기존 API Gateway API 단계와 연결하려면 다음 단계를 수행합니다.

  1. https://console.aws.amazon.com/apigateway에서 API Gateway 콘솔에 로그인합니다.

  2. APIs(API) 탐색 창에서 API를 선택한 다음 Stages(단계)를 선택합니다.

  3. 단계(Stages) 창에서 단계 이름을 선택합니다.

  4. Stage Editor(단계 편집기) 창에서 설정 탭을 선택합니다.

  5. 리전 웹 ACL과 API 단계를 연결하려면

    1. AWS WAF 웹 ACL 드롭다운 목록에서 이 단계와 연결할 리전 웹 ACL을 선택합니다.

      참고

      필요한 웹 ACL이 아직 없으면 Create WebACL(WebACL 생성)을 선택한 뒤 Go to AWS WAF(AWS WAF로 이동)를 선택해 새 브라우저 탭에서 WAF 콘솔을 열고 리전 웹 ACL을 만드십시오. 그런 다음 API Gateway 콘솔로 돌아가 웹 ACL을 단계와 연결합니다.

  6. 변경 사항 저장을 선택합니다.

AWS CLI를 사용하여 API Gateway API 단계와 AWS WAF 리전 웹 ACL을 연결

AWS CLI를 사용하여 AWS WAF 리전 웹 ACL을 기존 API Gateway API 단계와 연결하려면 다음 예와 같이 associate-web-acl 명령을 호출하십시오.

aws waf-regional associate-web-acl \ --web-acl-id 'aabc123a-fb4f-4fc6-becb-2b00831cadcf' \ --resource-arn 'arn:aws:apigateway:{region}::/restapis/4wk1k4onj3/stages/prod'

AWS WAF REST API를 사용하여 API 단계와 AWS WAF 리전 웹 ACL을 연결

AWS WAF REST API를 사용하여 AWS WAF 리전 웹 ACL을 기존 API Gateway API 단계와 연결하려면 다음 예와 같이 AssociateWebACL 명령을 호출하십시오.

import boto3 waf = boto3.client('wafregional') waf.associate_web_acl( WebACLId='aabc123a-fb4f-4fc6-becb-2b00831cadcf', ResourceArn='arn:aws:apigateway:{region}::/restapis/4wk1k4onj3/stages/prod' )