Shield 대응 팀(SRT) 액세스 권한 구성 - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Shield 대응 팀(SRT) 액세스 권한 구성

Shield Response Team (SRT) 이 사용자를 대신하여 AWS WAF 로그에 액세스하고 AWS Shield Advanced 및 AWS WAF API를 호출하여 보호를 관리할 수 있는 권한을 부여할 수 있습니다. 애플리케이션 레이어 DDoS 이벤트 중에 SRT는 AWS WAF 요청을 모니터링하여 비정상적인 트래픽을 식별하고 문제가 되는 트래픽 소스를 완화하기 위한 사용자 지정 규칙을 만드는 데 도움을 줄 수 있습니다. AWS WAF

또한 Application Load Balancer, CloudFront Amazon 또는 타사 소스의 패킷 캡처 또는 로그와 같이 Amazon S3 버킷에 저장한 다른 데이터에 대한 액세스 권한을 SRT에 부여할 수 있습니다.

참고

Shield 대응팀(SRT)의 서비스를 이용하려면 Business Support 플랜 또는 Enterprise Support 플랜에 가입해야 합니다.

SRT의 권한을 관리하려면

  1. AWS Shield 콘솔 개요 페이지의 AWS SRT 지원 구성에서 SRT 액세스 편집을 선택합니다. 에디트 AWS 쉴드 대응팀 (SRT) 액세스 페이지가 열립니다.

  2. SRT 액세스 설정의 경우, 다음 옵션 중 하나를 선택합니다.

    • SRT에 내 계정에 대한 액세스 권한을 부여하지 않음 - Shield는 이전에 SRT에 부여한 계정 및 리소스 액세스 권한을 제거합니다.

    • SRT가 내 계정에 액세스할 수 있도록 새 역할 만들기 - Shield는 SRT를 대표하는 서비스 주체 drt.shield.amazonaws.com를 신뢰하는 역할을 생성하고 여기에 관리형 정책 AWSShieldDRTAccessPolicy를 연결합니다. 관리형 정책을 통해 SRT는 사용자를 대신하여 AWS WAF API를 AWS Shield Advanced 호출하고 로그에 액세스할 수 있습니다 AWS WAF . 관리형 정책에 대한 자세한 내용은 AWS 관리형 정책: AWSShieldDRTAccessPolicy섹션을 참조하세요.

    • SRT가 내 계정에 액세스할 수 있는 기존 역할 선택 — 이 옵션을 사용하려면 AWS Identity and Access Management (IAM) 의 역할 구성을 다음과 같이 수정해야 합니다.

      • 관리형 정책 AWSShieldDRTAccessPolicy를 역할에 연계하십시오. 이 관리형 정책을 통해 SRT는 사용자를 대신하여 AWS WAF API를 AWS Shield Advanced 호출하고 로그에 액세스할 수 있습니다. AWS WAF 관리형 정책에 대한 자세한 내용은 AWS 관리형 정책: AWSShieldDRTAccessPolicy(을)를 참조하세요. 관리형 정책을 역할에 연계하는 방법에 대한 자세한 설명은 IAM 정책 연계 및 분리를 참조하세요.

      • 서비스 담당자 drt.shield.amazonaws.com을 신뢰하도록 역할을 수정합니다. 이는 SRT를 대표하는 서비스 담당자입니다. 자세한 내용은 IAM JSON 정책 요소: 보안 주체를 참조하세요.

  3. 대상 (선택 사항): Amazon S3 버킷에 대한 SRT 액세스 권한을 부여하고, AWS WAF 웹 ACL 로그에 없는 데이터를 공유해야 하는 경우 이를 구성하십시오. Application Load Balancer 액세스 로그, Amazon CloudFront 로그 또는 타사 소스의 로그를 예로 들 수 있습니다.

    참고

    AWS WAF 웹 ACL 로그에는 이 작업을 수행할 필요가 없습니다. 계정에 대한 액세스 권한을 부여하면 SRT가 해당 액세스 권한을 얻습니다.

    1. 다음 지침을 따라 Amazon S3 버킷을 구성합니다.

      • 버킷 위치는 이전 단계 AWS Shield Response Team (SRT) 액세스 권한에서 SRT에 일반 액세스 권한을 부여한 위치와 AWS 계정 동일해야 합니다.

      • 버킷은 일반 텍스트이거나 SSE-S3로 암호화될 수 있습니다. Amazon S3 SSE-S3에 대한 자세한 내용은 Amazon S3 사용 설명서의 Amazon S3 관리형 암호화 키(SSE-S3)를 사용하는 서버 측 암호화로 데이터 보호를 참조하세요.

        SRT는 () 에 저장된 키로 암호화된 버킷에 저장된 로그를 보거나 처리할 수 없습니다. AWS Key Management Service AWS KMS

    2. Shield Advanced (선택 사항): SRT에 Amazon S3 버킷에 대한 액세스 권한 부여 섹션에서, 데이터 또는 로그가 저장된 각각의 Amazon S3 버킷에 대해 버킷 이름을 입력하고 버킷 추가를 선택합니다. 버킷을 최대 10개까지 추가할 수 있습니다.

      이렇게 하면 SRT에 각 버킷에 대한 s3:GetBucketLocation, s3:GetObjects3:ListBucket 권한이 부여됩니다.

      10개 이상의 버킷에 액세스할 수 있는 권한을 SRT에 부여하려면 추가 버킷 정책을 편집하고 여기에 나열된 SRT용 권한을 수동으로 부여하면 됩니다.

      다음 내용은 정책 목록의 예를 보여줍니다.

      {
    "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
    "Effect": "Allow",
    "Principal": {
        "Service": "drt.shield.amazonaws.com"
    },
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": [
        "arn:aws:s3:::bucket-name",
        "arn:aws:s3:::bucket-name/*"
    ]
}

  4. 저장을 선택하여 변경 사항을 저장합니다.

또한 IAM 역할을 생성하고 여기에 정책을 연결한 다음 이 역할을 AssociatedRrole 작업에 전달하여 API를 통해 AWSShieldDRTAccessPolicy SRT를 승인할 수 있습니다.