AWS WAF, AWS Firewall Manager 및 AWS Shield Advanced
개발자 가이드 (API 버전 2015-08-24)

4단계: (선택 사항) DDoS 대응 팀에 권한 부여

AWS Shield Advanced의 이점 중 하나는 DDoS 대응 팀(DRT)의 지원입니다. 잠재적 DDoS 공격이 발생할 경우 AWS Support Center에 문의할 수 있습니다. 필요한 경우 지원 센터는 문제를 DRT로 에스컬레이션합니다. DRT는 의심스러운 활동을 분석하고 문제를 완화하기 위한 지원을 제공합니다. 이 완화에는 계정에서 AWS WAF 규칙 및 웹 ACL을 생성하거나 업데이트하는 작업이 관련됩니다. DRT는 사용자를 위해 AWS WAF 구성을 검사하고 AWS WAF 규칙과 웹 ACL을 생성하거나 업데이트할 수 있지만 팀이 그렇게 하려면 사용자의 권한 부여가 필요합니다. AWS Shield Advanced 설정의 일부로 DRT에 필요한 권한 부여를 사전에 제공하는 것이 좋습니다. 권한 부여를 미리 제공하면 실제 공격이 발생할 경우 완화 지연을 방지하는 데 도움이 됩니다.

DRT에 사용자를 대신하여 잠재적 공격을 완화할 수 있는 권한을 부여하지 않으려면, Do not grant the DRT access to my account(DRT에 내 계정에 대한 액세스 권한을 부여하지 않음)를 선택한 후 Save settings(설정 저장)를 선택합니다. 그렇지 않은 경우 다음 단계를 계속합니다.

참고

DRT의 서비스를 사용하려면 Business Support 플랜 또는 Enterprise Support 플랜을 구독해야 합니다.

DRT에게 사용자를 대신하여 잠재적 공격을 완화할 수 있는 권한을 부여하려면

  1. Create new role for the DRT to access my account(DRT가 내 계정에 액세스할 수 있도록 새 역할 만들기) 또는 Choose an existing role for the DRT to access my account(DRT가 내 계정에 액세스할 수 있도록 기존 역할 선택)를 선택합니다.

    기존 역할을 사용하기로 선택한 경우, 역할에 AWSShieldDRTAccessPolicy 관리형 정책을 연결해야 합니다. 자세한 내용은 IAM 정책 연결 및 분리 단원을 참조하십시오. Create new role for the DRT to access my account(DRT가 내 계정에 액세스할 수 있도록 새 역할 만들기)를 선택하면 이 정책이 해당 역할에 자동으로 연결됩니다.

    기존 역할을 사용하기로 선택한 경우, 역할이 서비스 보안 주체 drt.shield.amazonaws.com도 신뢰해야 합니다. 자세한 내용은 IAM JSON 정책 요소: 보안 주체를 참조하십시오.

    AWSShieldDRTAccessPolicy 관리형 정책은 DRT에 AWS WAF 및 Shield 리소스에 액세스할 수 있는 모든 권한을 부여합니다. 이 정책을 통해 DRT는 사용자를 대신하여 AWS WAF 구성을 검사하고 AWS WAF 규칙과 웹 ACL을 생성하거나 업데이트할 수 있습니다. DRT는 명시적으로 권한을 부여받은 경우에만 이러한 작업을 수행합니다.

  2. 새 역할 이름 또는 기존 역할 이름 중 필요한 정보를 작성합니다.

  3. (선택 사항) Amazon S3 버킷에 저장된 흐름 로그에 액세스할 수 있는 권한을 DRT에게 부여하려면 해당 로그가 저장된 Amazon S3 버킷의 이름을 입력합니다. Add bucket(버킷 추가)을 선택합니다. 필요에 따라 반복하여 버킷을 더 추가합니다(최대 10개).

    버킷을 목록에 추가하면 다음 권한이 DRT에게 부여됩니다. s3:GetBucketLocation, s3:GetObjects3:ListBucket.

  4. 계정과 연결된 이메일 주소로 DDoS 활동에 대한 알림이 전송됩니다. 추가 이메일 주소로 알림을 받고자 하는 경우, 상자에 각 주소를 입력하고 Add email address(이메일 주소 추가)를 선택합니다. 필요에 따라 반복하여 이메일 주소를 더 추가합니다(최대 10개).

  5. Save settings(설정 저장)를 선택합니다.

AWS Shield Advanced 설정 편집의 지침에 따라 언제든 DRT 액세스 및 권한을 변경할 수 있습니다.

계속해서 5단계: Amazon CloudWatch 경보 구성로 이동하십시오.