에서 리소스 보호 관리 AWS Shield Advanced - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced
리소스에 보호 추가보호 구성리소스에서 보호 제거

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에서 리소스 보호 관리 AWS Shield Advanced

이 섹션의 지침을 사용하여 리소스에 대한 Shield Advanced 보호를 관리하십시오.

참고

쉴드 어드밴스드는 쉴드 어드밴스드 또는 쉴드 어드밴스드 정책을 통해 지정한 리소스만 보호합니다. AWS Firewall Manager 이 기능은 리소스를 자동으로 보호하지 않습니다.

AWS Firewall Manager Shield Advanced 정책을 사용하는 경우 정책 범위 내에 있는 리소스에 대한 보호를 관리할 필요가 없습니다. Firewall Manager는 정책 구성에 따라 정책 범위 내에 있는 계정 및 리소스에 대한 보호를 자동으로 관리합니다. 자세한 정보는 AWS Shield Advanced 정책을 참조하세요.

리소스에 AWS Shield AdvancedAWS 보호 추가

이 섹션의 지침에 따라 하나 이상의 리소스에 Shield Advanced 보호를 추가하십시오.

AWS 리소스에 대한 보호를 추가하려면

  1. AWS Management Console 로그인하고 https://console.aws.amazon.com/wafv2/ 에서 AWS WAF & Shield 콘솔을 엽니다.

  2. 탐색 창에서 보호된 리소스를 AWS Shield 선택합니다.

  3. 보호할 리소스 추가를 선택합니다.

  4. Shield Advanced로 보호할 리소스 선택 페이지의 지역 및 리소스 타입 지정에서 보호하려는 리소스에 대해 지역 및 리소스 타입 사양을 제공합니다. 모든 지역을 선택하여 여러 지역의 리소스를 보호할 수 있으며, 글로벌을 선택하여 글로벌 리소스로 선택 범위를 좁힐 수 있습니다. 보호하지 않으려는 모든 리소스 타입을 선택 취소할 수 있습니다. 리소스 타입의 보호에 대한 자세한 설명은 AWS Shield Advanced 리소스 유형별 보호을 참조하세요.

  5. 리소스 로딩을 선택합니다. Shield Advanced는 리소스 선택 섹션을 기준에 맞는 AWS 리소스로 채웁니다.

  6. 리소스 선택 섹션에서, 리소스 목록에서 검색할 문자열을 입력하여 리소스 목록을 필터링할 수 있습니다.

    보호할 리소스를 선택합니다.

  7. 태그 섹션에서 생성 중인 Shield Advanced 보호에 태그를 추가하려면 해당 태그를 지정하세요. AWS 리소스 태그 지정에 대한 자세한 설명은 태그 편집기 작업을 참조하세요.

  8. Shield Advanced로 보호하기를 선택하세요. 이렇게 하면 리소스에 Shield Advanced 보호 기능이 추가됩니다.

AWS Shield Advanced 보호 구성

언제든지 AWS Shield Advanced 보호 설정을 변경할 수 있습니다. 이렇게 하려면 선택된 보호 옵션을 살펴본 후 변경해야 하는 설정을 수정합니다.

보호된 리소스를 관리하려면

  1. AWS Management Console 로그인하고 https://console.aws.amazon.com/wafv2/ 에서 AWS WAF & Shield 콘솔을 엽니다.

  2. AWS Shield 탐색 창에서 보호된 리소스를 선택합니다.

  3. 보호 탭에서 보호할 리소스를 선택합니다.

  4. 보호 구성 및 원하는 리소스 사양 옵션을 선택합니다.

  5. 각 리소스 보호 옵션을 살펴보면서 필요에 따라 변경하십시오.

애플리케이션 계층 DDoS 보호 구성

Amazon CloudFront 및 Application Load Balancer 리소스에 대한 공격으로부터 보호하기 위해 AWS WAF 웹 ACL을 추가하고 속도 기반 규칙을 추가할 수 있습니다. 이에 대한 자세한 내용은 Shield Advanced 애플리케이션 레이어 AWS WAF 웹 ACL 및 요금 기반 규칙 섹션을 참조하세요.

또한 Shield Advanced에 자동 애플리케이션 계층 DDoS 완화를 활성화할 수 있습니다. 작동 방식에 AWS WAF 대한 자세한 내용은 을 참조하십시오. AWS WAF 자동 완화 기능에 대한 자세한 내용은 Shield Advanced 자동 애플리케이션 계층 DDoS 완화을 참조하세요.

중요

Shield Advanced 정책을 AWS Firewall Manager 사용하여 Shield Advanced 보호를 관리하는 경우 여기에서 애플리케이션 계층 보호를 관리할 수 없습니다. 모든 다른 자원의 경우, 웹 ACL에 규칙이 포함되어 있지 않더라도 각 리소스에 웹 ACL을 적어도 하나 연결하는 것이 좋습니다.

참고

리소스에 대한 자동 애플리케이션 계층 DDoS 완화를 활성화하면 필요한 경우 작업이 계정에 서비스 연결 역할을 자동으로 추가하여 Shield Advanced에 웹 ACL 보호를 관리하는 데 필요한 권한을 부여합니다. 자세한 내용은 Shield Advanced에 대한 서비스 연결 역할 사용을 참조하세요.

애플리케이션 계층 DDoS 보호를 구성하려면

  1. 계층 7 DDoS 보호 구성 페이지에서 리소스가 아직 웹 ACL과 연결되어 있지 않은 경우 기존 웹 ACL을 선택하거나 직접 만들 수 있습니다.

    웹 ACL을 생성하려면 아래 단계를 따르십시오.

    1. Create web ACL(웹 ACL 생성)을 선택합니다.

    2. 명칭을 입력합니다. 웹 ACL을 생성한 후에는 명칭을 변경할 수 없습니다.

    3. 생성을 선택하세요.

    참고

    리소스가 이미 웹 ACL과 연결되어 있으면 다른 웹 ACL로 변경할 수 없습니다. 웹 ACL을 변경하려면 먼저 연결된 웹 ACL을 리소스에서 제거해야 합니다. 자세한 내용은 웹 ACL을 리소스와 연결 또는 연결 해제 AWS을 참조하세요.

  2. 웹 ACL에 속도 기반 규칙이 정의되어 있지 않은 경우 속도 제한 규칙 추가를 선택하고 다음 단계를 수행하여 속도 기반 규칙을 추가할 수 있습니다.

    1. 명칭을 입력합니다.

    2. 비율 제한을 입력합니다. 이 값은 속도 기반 규칙 작업이 IP 주소에 적용되기 전, 단일 IP 주소에서 5분 동안 허용되는 최대 요청 수를 말합니다. IP 주소의 요청이 한도 아래로 떨어지면 작업이 중단됩니다.

    3. 요청 수가 제한을 초과하는 동안 IP 주소의 요청을 계산하거나 차단하도록 규칙 작업을 설정합니다. 규칙 적용 및 제거 조치는 IP 주소 요청 비율이 변경된 후 1~2분 후에 적용될 수 있습니다.

    4. 규칙 추가를 선택합니다.

  3. 자동 애플리케이션 계층 DDoS 완화에 대해 다음과 같이 Shield Advanced가 사용자 대신 DDoS 공격을 자동으로 완화하도록 할지 여부를 선택합니다.

    • 자동 완화를 활성화하려면 [Enable] 을 선택한 다음 Shield Advanced가 사용자 지정 규칙에서 사용할 AWS WAF 규칙 작업을 선택합니다. 선택할 수 있는 옵션은 Count 및 Block입니다. 이러한 AWS WAF 규칙 조치에 대한 자세한 내용은 을 참조하십시오규칙 작업. Shield Advanced가 이 작업 설정을 관리하는 방법에 대한 자세한 내용은 Shield Advanced가 규칙 작업 설정을 관리하는 방법을(를) 참조하세요.

    • 자동 완화 기능을 비활성화하려면 비활성화를 선택합니다.

    • 관리 중인 리소스의 자동 완화 설정을 변경하지 않고 그대로 두려면 기본 선택인 현재 설정 유지를 그대로 두십시오.

    Shield Advanced 자동 애플리케이션 계층 DDoS 완화에 대한 자세한 내용은 Shield Advanced 자동 애플리케이션 계층 DDoS 완화을 참조하세요.

  4. 다음을 선택합니다.

경보 및 알림 생성

다음 절차는 보호된 리소스에 대한 CloudWatch 경보를 관리하는 방법을 보여줍니다.

참고

CloudWatch 추가 비용이 발생합니다. CloudWatch 요금은 Amazon CloudWatch 요금을 참조하십시오.

경보 및 알림을 생성하려면

  1. 경보 및 알림 생성 - 선택 사항 보호 페이지에서 수신할 경보 및 알림에 대한 SNS 주제를 구성합니다. 알림을 받지 않으려는 리소스의 경우 주제 없음을 선택합니다. Amazon SNS 주제를 추가하거나 새로운 주제를 생성할 수 있습니다.

  2. Amazon SNS 주제를 생성하려면 아래 단계를 따르십시오.

    1. 드롭다운 목록에서 SNS 주제 생성을 선택합니다.

    2. 주제 이름을 입력합니다.

    3. 선택 사항으로 Amazon SNS 메시지를 수신할 이메일 주소를 입력한 후 이메일 추가를 선택합니다. 하나 이상을 입력할 수 있습니다.

    4. 생성을 선택하세요.

  3. 다음을 선택합니다.

AWS 리소스에서 AWS Shield Advanced 보호 제거

언제든지 모든 AWS 리소스에서 AWS Shield Advanced 보호를 제거할 수 있습니다.

중요

리소스를 삭제해도 AWS 리소스는 제거되지 않습니다 AWS Shield Advanced. 또한 이 절차에 설명된 대로 에서 AWS Shield Advanced리소스에 대한 보호를 제거해야 합니다.

AWS 리소스에서 AWS Shield Advanced 보호 제거

  1. AWS Management Console 로그인하고 https://console.aws.amazon.com/wafv2/ 에서 AWS WAF & Shield 콘솔을 엽니다.

  2. AWS Shield 탐색 창에서 보호된 리소스를 선택합니다.

  3. 보호 탭에서 보호를 제거하려는 리소스를 선택합니다.

  4. 삭제 보호를 선택합니다.

    1. 보호를 위해 Amazon CloudWatch 경보가 구성된 경우 보호와 함께 경보를 삭제할 수 있는 옵션이 제공됩니다. 이때 경보를 삭제하지 않기로 선택한 경우 CloudWatch 콘솔을 사용하여 나중에 삭제할 수 있습니다.

    참고

    Amazon Route 53 상태 확인이 구성된 보호의 경우 나중에 보호를 다시 추가하면 보호에 상태 확인이 포함됩니다.

이전 단계는 특정 AWS 리소스의 AWS Shield Advanced 보호를 제거합니다. AWS Shield Advanced 구독을 취소하지는 않습니다. 서비스 요금은 계속 청구됩니다. AWS Shield Advanced 구독에 대한 자세한 내용은 AWS Support 센터에 문의하세요.

Shield Advanced 보호 기능에서 CloudWatch 알람 제거하기

Shield Advanced 보호 기능에서 CloudWatch 경보를 제거하려면 다음 중 하나를 수행하십시오.

  • AWS 리소스에서 AWS Shield Advanced 보호 제거에서 설명하는 대로 보호를 삭제합니다. 이때 Also delete related DDoSDetection alarm(관련 DDoSDetection 경보도 삭제) 옆에 있는 확인란을 반드시 선택해야 합니다.

  • CloudWatch 콘솔을 사용하여 알람을 삭제합니다. 삭제할 알람 이름은 DetectedAlarmForProtectionDDoS로 시작합니다.