기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Shield Advanced에 대한 서비스 연결 역할 사용
이 섹션에서는 서비스 연결 역할을 사용하여 Shield Advanced에 AWS 계정의 리소스에 대한 액세스 권한을 부여하는 방법을 설명합니다.
AWS Shield Advanced은 AWS Identity and Access Management(IAM) 서비스 연결 역할을 사용합니다. 서비스 연결 역할은 Shield Advanced에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 Shield Advanced에서 사전 정의하며 서비스에서 사용자 대신 다른 AWS 서비스를 호출하기 위해 필요한 모든 권한을 포함합니다.
필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할은 Shield Advanced를 더 쉽게 설정할 수 있습니다. Shield Advanced에서 서비스 연결 역할의 권한을 정의하므로 다르게 정의되지 않은 한, Shield Advanced만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.
먼저 관련 리소스를 삭제한 후에만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 부주의로 삭제할 수 없기 때문에 Shield Advanced 리소스가 보호됩니다.
서비스 연결 역할을 지원하는 기타 서비스에 대해 자세히 알아보려면 IAM으로 작업하는 AWS 서비스를 참조하여 서비스 연결 역할 열이 예인 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 링크가 있는 예를 선택합니다.
Shield Advanced에 대한 서비스 연결 역할 권한
Shield Advanced는 AWSServiceRoleForAWSShield라는 서비스 연결 역할을 사용합니다. 이 역할을 통해 Shield Advanced가 사용자 대신 자동으로 애플리케이션 계층 DDoS 공격에 대응하기 위해 AWS 리소스에 액세스하고 이를 관리할 수 있습니다. 이 기능에 대한 자세한 내용은 Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화 (을)를 참조하세요.
AWSServiceRoleForAWSShield 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
-
shield.amazonaws.com
AWSShieldServiceRolePolicy라는 역할 권한 정책을 설정하면 Shield Advanced가 모든 AWS 리소스에서 다음 작업을 완료할 수 있습니다.
-
wafv2:GetWebACL
-
wafv2:UpdateWebACL
-
wafv2:GetWebACLForResource
-
wafv2:ListResourcesForWebACL
-
cloudfront:ListDistributions
-
cloudfront:GetDistribution
모든 AWS 리소스에서 작업이 허용되는 경우 이는 정책에서 "Resource": "*"
(으)로 표시됩니다. 이는 서비스 연결 역할이 작업이 지원되는 모든 AWS 리소스에서 표시된 각 작업을 수행할 수 있음을 의미할 뿐입니다. 예를 들어 wafv2:GetWebACL
작업은 wafv2
웹 ACL 리소스에 대해서만 지원됩니다.
Shield Advanced는 애플리케이션 계층 보호 기능을 활성화한 보호된 리소스 및 해당하는 보호된 리소스와 연결된 웹 ACL에 대해서만 리소스 수준 API 호출을 수행합니다.
IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 링크 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 권한 섹션을 참조하세요.
Shield Advanced에 대한 서비스 연결 역할 생성
서비스 링크 역할은 수동으로 생성할 필요가 없습니다. AWS Management Console, AWS CLI 또는 AWS API에서 리소스에 대한 자동 애플리케이션 계층 DDoS 완화를 활성화하는 경우, Shield Advanced가 사용자를 위해 서비스 연결 역할을 생성합니다.
이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. 리소스에 대한 자동 애플리케이션 계층 DDoS 완화를 활성화한 경우 Shield Advanced가 자동으로 다시 서비스 연결 역할을 생성합니다.
Shield Advanced에 대한 서비스 연결 역할 편집
Shield Advanced는 AWSServiceRoleForAWSShield 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 링크 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 편집을 참조하세요.
Shield Advanced에 대한 서비스 연결 역할 삭제
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 링크 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.
참고
리소스를 삭제할 때 Shield Advanced가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.
AWSServiceRoleForAWSShield에서 사용하는 Shield Advanced 리소스를 삭제하려면
애플리케이션 계층 DDoS 보호가 구성된 모든 리소스에 대해 자동 애플리케이션 계층 DDoS 완화를 비활성화합니다. 콘솔 지침은 애플리케이션 계층 DDoS 보호 구성(을)를 참조하세요.
IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면
IAM 콘솔, AWS CLI 또는 AWS API를 사용하여 AWSServiceRoleForAWSShield 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 삭제를 참조하세요.
Shield Advanced 서비스 연결 역할에 대해 지원되는 리전
Shield Advanced에서는 서비스를 사용할 수 있는 모든 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 Shield Advanced 엔드포인트 및 할당량을 참조하세요.