View a markdown version of this page

AWS Shield 네트워크 보안 디렉터를 사용하도록 계정 설정 - AWS WAF, AWS Firewall Manager AWS Shield Advanced및 AWS Shield 네트워크 보안 디렉터
사전 조건AWS Organizations 통합 이해위임된 관리자 선택위임된 관리자의 IAM 요구 사항설정 체크리스트

에 대한 새로운 콘솔 환경 소개 AWS WAF

이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 콘솔 작업을 참조하세요.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Shield 네트워크 보안 디렉터를 사용하도록 계정 설정

참고

AWS Shield 네트워크 보안 디렉터는 공개 평가판 릴리스이며 변경될 수 있습니다.

AWS Shield 네트워크 보안 디렉터를 사용하려면 AWS Organizations가 조직의 여러 계정에서 보안을 관리해야 합니다. 이 주제에서는 Organizations 설정, 위임된 관리자 지정, 필요한 IAM 권한 구성을 포함하여 AWS 환경을 준비하기 위한 예비 단계를 설명합니다. 이러한 예비 설정 단계에는 요금이 부과되지 않습니다. 사용하는 AWS 서비스에 대해서만 요금이 부과됩니다.

사전 조건

AWS Shield 네트워크 보안 디렉터를 사용하려면 먼저 다음이 있어야 합니다.

  • AWS Organizations - AWS Shield Network Security Director는 AWS Organizations와만 협력하여 여러 계정에 대한 보안 분석을 제공합니다. 단일 독립 실행형 계정에서는 AWS Shield 네트워크 보안 디렉터를 사용할 수 없습니다.

  • 관리 계정 액세스 - AWS Shield 네트워크 보안 디렉터의 위임된 관리자를 지정하려면 AWS Organizations 관리 계정에 대한 액세스 권한이 필요합니다.

  • 위임된 관리자 계정 - AWS Shield 네트워크 보안 디렉터의 위임된 관리자 역할을 할 계정을 식별하거나 생성해야 합니다. 이 계정은 Organizations 관리 계정이 될 수 없습니다.

중요

AWS Shield 네트워크 보안 디렉터는 독립 실행형 AWS 계정에서 사용할 수 없습니다. 관리 계정 외에도 하나 이상의 멤버 계정으로 AWS Organizations를 구성해야 합니다.

AWS Organizations 통합 이해

AWS Organizations는 AWS 관리자가 여러 계정을 통합하고 관리할 수 있는 글로벌 AWS 계정 관리 서비스입니다. AWS Shield 네트워크 보안 디렉터는 Organizations와 통합되어 조직 전체에 중앙 집중식 보안 분석 및 관리를 제공합니다.

AWS Shield 네트워크 보안 디렉터를 AWS Organizations와 통합하는 경우:

  • Organizations 관리 계정은 AWS Shield 네트워크 보안 디렉터의 위임된 관리자를 지정합니다.

  • 위임된 관리자는 여러 계정 및 리전에서 AWS Shield 네트워크 보안 디렉터를 활성화할 수 있습니다.

  • 보안 분석 및 조사 결과는 위임된 관리자 계정을 통해 중앙에서 관리됩니다.

  • 서비스 연결 역할은 분석을 활성화하기 위해 멤버 계정에 자동으로 생성됩니다.

이 접근 방식은 AWS Security Hub와 같은 다른 AWS 보안 서비스와 유사하며 보안 도구 전반에 걸쳐 일관된 거버넌스를 제공합니다.

위임된 관리자 선택

위임된 관리자는 조직을 대신하여 AWS Shield 네트워크 보안 디렉터를 관리할 수 있는 권한이 부여된 조직의 AWS 계정입니다. 위임된 관리자는 서비스를 활성화하고, 정책을 생성하고, 모든 멤버 계정에서 보안 결과를 관리할 수 있습니다.

위임된 관리자 요구 사항:

  • AWS Organizations 구조의 멤버 계정이어야 합니다.

  • Organizations 관리 계정일 수 없음

  • 적절한 IAM 권한이 구성되어 있어야 합니다(다음 섹션 참조).

참고

일관된 거버넌스와 간소화된 관리를 위해 AWS 보안 서비스(예: Security Hub, GuardDuty, AWS Shield 네트워크 보안 디렉터) 전반에서 동일한 위임된 관리자 계정을 사용하는 것이 좋습니다.

위임된 관리자의 IAM 요구 사항

위임된 관리자 계정은 AWS Shield 네트워크 보안 디렉터를 효과적으로 관리하려면 특정 IAM 권한이 필요합니다. 위임된 관리자 계정에서 AWS Shield 네트워크 보안 디렉터를 관리할 IAM 사용자 또는 역할에 다음 정책을 연결해야 합니다.

AWS Shield 네트워크 보안 디렉터 위임된 관리자에게 필요한 IAM 정책:

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "network-security-director:*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetRole",
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": [
                "arn:aws:iam:::role/aws-service-role/AWSServiceRoleForNetworkSecurityDirector"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListRoots",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListAccountsForParent",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListDelegatedAdministrators",
                "organizations:DescribeOrganization",
                "organizations:CreatePolicy",
                "organizations:UpdatePolicy",
                "organizations:DeletePolicy",
                "organizations:AttachPolicy",
                "organizations:DetachPolicy",
                "organizations:EnablePolicyType",
                "organizations:DisablePolicyType",
                "organizations:DescribeOrganization",
                "organizations:DescribeOrganizationalUnit",
                "organizations:DescribeAccount",
                "organizations:ListRoots",
                "organizations:ListOrganizationalUnitsForParent",
                "organizations:ListParents",
                "organizations:ListChildren",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListTagsForResource",
                "organizations:ListDelegatedAdministrators",
                "organizations:ListHandshakesForAccount",
                "organizations:DescribePolicy",
                "organizations:DescribeEffectivePolicy",
                "organizations:ListPolicies",
                "organizations:ListPoliciesForTarget",
                "organizations:ListTargetsForPolicy"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

정책 설명:

  • network-security-director:* - 서비스 활성화, 정책 생성, 조사 결과 관리를 포함하여 모든 AWS Shield 네트워크 보안 디렉터 작업에 대한 전체 액세스 권한을 부여합니다.

  • IAM 권한 - 위임된 관리자가 AWS Shield 네트워크 보안 디렉터가 멤버 계정 전체에서 분석을 수행하는 데 사용하는 서비스 연결 역할을 관리할 수 있도록 허용합니다.

IAM 정책을 생성하고 연결하려면

  1. 위임된 관리자 계정을 사용하여 AWS Management Console에 로그인합니다.

  2. IAM 콘솔(https://console.aws.amazon.com/iam/)을 엽니다.

  3. 탐색 창에서 정책을 선택한 다음 정책 생성을 선택합니다.

  4. JSON 탭을 선택하고 위에 표시된 정책 문서를 붙여 넣습니다.

  5. 다음: 태그를 선택하고 다음: 검토를 선택합니다.

  6. 이름에서 NetworkSecurityDirectorDelegatedAdminPolicy을 입력합니다.

  7. Create policy(정책 생성)를 선택합니다.

  8. 위임된 관리자 계정에서 AWS Shield 네트워크 보안 디렉터를 관리할 IAM 사용자 또는 역할에이 정책을 연결합니다.

설정 체크리스트

AWS Shield 네트워크 보안 디렉터를 활성화하기 전에 다음 설정 작업을 완료했는지 확인합니다.

  • ✓ AWS 조직은 관리 계정과 하나 이상의 멤버 계정으로 구성됩니다.

  • ✓ 위임된 관리자 계정을 식별했습니다(관리 계정이 될 수 없음).

  • ✓ 필요한 IAM 정책이 생성되어 위임된 관리자 계정에 연결되었습니다.

  • ✓ Organizations 관리 계정과 위임된 관리자 계정 모두에 액세스할 수 있습니다.

이러한 설정 작업을 완료하면 로 이동하여 조직의 AWS Shield 네트워크 보안 디렉터를 활성화AWS Shield 네트워크 보안 디렉터 활성화할 수 있습니다.