AWS WAF, AWS Firewall Manager 및 AWS Shield Advanced
개발자 가이드 (API 버전 2015-08-24)

AWS WAF에 서비스 연결 역할 사용

AWS WAF의 경우 AWS Identity and Access Management(IAM) 서비스 연결 역할을 사용합니다. 서비스 연결 역할은 AWS WAF에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 AWS WAF에서 사전 정의하며 서비스에서 다른 AWS 서비스를 자동으로 호출하기 위해 필요한 모든 권한을 포함합니다.

서비스 연결 역할을 통해 AWS WAF 설정이 쉬워지는 데 필요한 권한을 수동으로 추가할 필요가 없기 때문입니다. AWS WAF에서 서비스 연결 역할 권한을 정의하므로, 달리 정의되지 않은 한 AWS WAF에서만 해당 역할을 맡을 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함됩니다. 이 권한 정책은 다른 어떤 IAM 엔터티에도 연결할 수 없습니다.

먼저 역할의 관련 리소스를 삭제해야 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 부주의로 삭제할 수 없기 때문에 AWS WAF 리소스가 보호됩니다.

서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 정보는 IAM으로 작업하는 AWS 서비스를 참조하고 서비스 연결 역할 열에 가 있는 서비스를 찾으십시오. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 링크를 선택합니다.

AWS WAF에 대한 서비스 연결 역할 권한

AWS WAF에서는 다음과 같은 서비스 연결 역할을 사용합니다.

  • AWSServiceRoleForWAFLogging

  • AWSServiceRoleForWAFRegionalLogging

AWS WAF uses these service-linked roles to write logs to Amazon Kinesis Data Firehose. These roles are used only if you enable logging in AWS WAF. For more information, see 웹 ACL 트래픽 정보 로깅를 선택하십시오.

AWSServiceRoleForWAFLogging and AWSServiceRoleForWAFRegionalLogging 서비스 연결 역할은 역할을 각각 수임하기 위해 다음 서비스를 신뢰합니다.

  • waf.amazonaws.com

    waf-regional.amazonaws.com

역할의 권한 정책은 AWS WAF가 지정된 리소스에서 다음 작업을 완료하도록 허용합니다.

  • 작업: "aws-waf-logs-"로 시작하는 이름을 가진 firehose:PutRecord and firehose:PutRecordBatch의 Amazon Kinesis Data Firehose data stream resources. 예: aws-waf-logs-us-east-2-analytics.

IAM 개체(사용자, 그룹, 역할 등)가 서비스 연결 역할을 작성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 IAM 사용 설명서서비스 연결 역할 권한을 참조하십시오.

AWS WAF에 대한 서비스 연결 역할 생성

서비스 연결 역할은 수동으로 생성할 필요가 없습니다. AWS Management 콘솔에서 enable AWS WAF logging하거나, AWS WAF CLI 또는 AWS WAF API에서 PutLoggingConfiguration 요청을 수행할 경우 AWS WAF는 서비스 연결 역할을 생성합니다.

로깅을 활성화하려면 iam:CreateServiceLinkedRole 권한이 있어야 합니다.

이 서비스 연결 역할을 삭제한 다음 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. enable AWS WAF logging 시 AWS WAF에서 서비스 연결 역할을 다시 생성합니다.

AWS WAF에 대한 서비스 연결 역할 편집

AWS WAF에서는 AWSServiceRoleForWAFLogging and AWSServiceRoleForWAFRegionalLogging 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 그러나 IAM를 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서서비스에 연결 역할 편집을 참조하십시오.

AWS WAF에 대한 서비스 연결 역할 삭제

서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제할 것을 권합니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 개체가 없도록 합니다. 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.

참고

리소스를 삭제하려 할 때 AWS WAF 서비스가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하십시오.

AWSServiceRoleForWAFLogging and AWSServiceRoleForWAFRegionalLogging에서 사용하는 AWS WAF 리소스를 삭제하려면

  1. AWS WAF 콘솔에서 모든 웹 ACL의 로깅을 제거합니다. 자세한 내용은 웹 ACL 트래픽 정보 로깅 단원을 참조하십시오.

  2. API 또는 CLI를 사용하여 로깅이 활성화된 각 웹 ACL에 대한 DeleteLoggingConfiguration 요청을 제출합니다. 자세한 내용은 AWS WAF API 참조를 참조하십시오.

IAM을 사용하여 서비스 연결 역할을 수동으로 삭제하려면

IAM 콘솔, IAM CLI 또는 IAM API를 사용하여 AWSServiceRoleForWAFLogging and AWSServiceRoleForWAFRegionalLogging 서비스 연결 역할을 삭제할 수 있습니다. 자세한 정보는 IAM 사용 설명서서비스에 연결 역할 삭제 단원을 참조하십시오.

AWS WAF 서비스 연결 역할에 대해 지원되는 리전

AWS WAF는 다음 AWS 리전에서 서비스 연결 역할 사용을 지원합니다.

리전 이름 리전 자격 증명 AWS WAF의 지원
미국 동부(버지니아 북부) us-east-1
미국 동부(오하이오) us-east-2
미국 서부(캘리포니아 북부 지역) us-west-1
미국 서부(오레곤) us-west-2
아시아 태평양(뭄바이) ap-south-1
아시아 태평양(오사카-로컬) ap-northeast-3
아시아 태평양(서울) ap-northeast-2
아시아 태평양(싱가포르) ap-southeast-1
아시아 태평양(시드니) ap-southeast-2
아시아 태평양(도쿄) ap-northeast-1
캐나다(중부) ca-central-1
EU(프랑크푸르트) eu-central-1
EU(아일랜드) eu-west-1
EU(런던) eu-west-2
EU(파리) eu-west-3
남아메리카(상파울루) sa-east-1