기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# 를 사용하도록 설정 AWS Certificate Manager
<a name="setup"></a>

 AWS Certificate Manager (ACM)을 사용하면 AWS 기반 웹 사이트 및 애플리케이션에 대한 SSL/TLS 인증서를 프로비저닝하고 관리할 수 있습니다. ACM을 사용해서 인증서를 생성하거나 가져온 다음 관리합니다. 다른 AWS 서비스를 사용하여 인증서를 웹 사이트 또는 애플리케이션에 배포해야 합니다. ACM에 통합된 서비스에 대한 자세한 내용은 [ACM에 통합된 서비스](acm-services.md) 섹션을 참조하세요. 다음 섹션에서는 ACM을 사용하기 이전에 수행해야 하는 단계를 설명합니다.

**Topics**
+ [에 가입 AWS 계정](#sign-up-for-aws)
+ [관리자 액세스 권한이 있는 사용자 생성](#create-an-admin)
+ [ACM에 대한 도메인 이름 등록](#setup-domain)
+ [(선택 사항) CAA 레코드 구성](#setup-caa)

## 에 가입 AWS 계정
<a name="sign-up-for-aws"></a>

이 없는 경우 다음 단계를 AWS 계정완료하여 생성합니다.

**에 가입하려면 AWS 계정**

1. [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup)을 엽니다.

1. 온라인 지시 사항을 따르세요.

   등록 절차 중 전화 또는 텍스트 메시지를 받고 전화 키패드로 확인 코드를 입력하는 과정이 있습니다.

   에 가입하면 AWS 계정*AWS 계정 루트 사용자*이 생성됩니다. 루트 사용자에게는 계정의 모든 AWS 서비스 및 리소스에 액세스할 권한이 있습니다. 보안 모범 사례는 사용자에게 관리 액세스 권한을 할당하고, 루트 사용자만 사용하여 [루트 사용자 액세스 권한이 필요한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)을 수행하는 것입니다.

AWS 는 가입 프로세스가 완료된 후 확인 이메일을 보냅니다. 언제든지 [https://aws.amazon.com/](https://aws.amazon.com/)으로 이동하고 **내 계정**을 선택하여 현재 계정 활동을 확인하고 계정을 관리할 수 있습니다.

## 관리자 액세스 권한이 있는 사용자 생성
<a name="create-an-admin"></a>

에 가입한 후 일상적인 작업에 루트 사용자를 사용하지 않도록 관리 사용자를 AWS 계정보호 AWS IAM Identity Center, AWS 계정 루트 사용자활성화 및 생성합니다.

**보안 AWS 계정 루트 사용자**

1.  **루트 사용자를** 선택하고 AWS 계정 이메일 주소를 입력하여 계정 소유자[AWS Management Console](https://console.aws.amazon.com/)로에 로그인합니다. 다음 페이지에서 비밀번호를 입력합니다.

   루트 사용자를 사용하여 로그인하는 데 도움이 필요하면 *AWS Sign-In 사용 설명서*의 [루트 사용자로 로그인](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)을 참조하세요.

1. 루트 사용자의 다중 인증(MFA)을 활성화합니다.

   지침은 *IAM 사용 설명서*의 [AWS 계정 루트 사용자(콘솔)에 대한 가상 MFA 디바이스 활성화를 참조하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html).

**관리자 액세스 권한이 있는 사용자 생성**

1. IAM Identity Center를 활성화합니다.

   지침은 *AWS IAM Identity Center 사용 설명서*의 [AWS IAM Identity Center설정](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)을 참조하세요.

1. IAM Identity Center에서 사용자에게 관리 액세스 권한을 부여합니다.

   를 자격 증명 소스 IAM Identity Center 디렉터리 로 사용하는 방법에 대한 자습서는 사용 *AWS IAM Identity Center 설명서*[의 기본값으로 사용자 액세스 구성을 IAM Identity Center 디렉터리](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html) 참조하세요.

**관리 액세스 권한이 있는 사용자로 로그인**
+ IAM IDentity Center 사용자로 로그인하려면 IAM Identity Center 사용자를 생성할 때 이메일 주소로 전송된 로그인 URL을 사용합니다.

  IAM Identity Center 사용자를 사용하여 로그인하는 데 도움이 필요하면 *AWS Sign-In 사용 설명서*[의 AWS 액세스 포털에 로그인](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)을 참조하세요.

**추가 사용자에게 액세스 권한 할당**

1. IAM Identity Center에서 최소 권한 적용 모범 사례를 따르는 권한 세트를 생성합니다.

   지침은 *AWS IAM Identity Center 사용 설명서*의 [Create a permission set](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)를 참조하세요.

1. 사용자를 그룹에 할당하고, 그룹에 Single Sign-On 액세스 권한을 할당합니다.

   지침은 *AWS IAM Identity Center 사용 설명서*의 [그룹 추가](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)를 참조하세요.

## ACM에 대한 도메인 이름 등록
<a name="setup-domain"></a>

FQDN(Fully Qualified Domain Name)은 인터넷에서 최상위 수준 도메인 확장명(예: `.com ` 또는 `.org`) 앞에 오는 조직 또는 개인에 대한 고유한 이름입니다. 등록된 도메인 이름이 아직 없는 경우 Amazon Route 53 또는 여러 다른 등록 대행 기관을 통해 등록할 수 있습니다. 일반적으로 등록 대행 기관의 웹 사이트로 이동하여 도메인 이름을 요청합니다. 일반적으로 도메인 이름 등록은 설정된 기간(예: 1년 또는 2년)에 유지되며 그 이후에는 갱신해야 합니다.

Amazon Route 53을 사용하여 도메인 이름을 등록하는 자세한 방법은 *Amazon Route 53 개발자 가이드*의 [Route 53을 사용하여 도메인 이름 등록](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/registrar.html)을 참조하세요.

## (선택 사항) CAA 레코드 구성
<a name="setup-caa"></a>

CAA 레코드는 도메인 또는 하위 도메인에 대한 인증서 발급이 허용되는 인증 기관(CA)을 지정합니다. ACM에서 사용할 CAA 레코드를 생성하면 잘못된 CA가 도메인에 대한 인증서를 발급하는 것을 방지하는 데 도움이 됩니다. CAA 레코드는 인증 기관에서 지정한 보안 요구 사항(예: 도메인의 소유자임을 확인하기 위한 요구 사항) 대신 사용할 수 없습니다.

ACM은 인증서 요청 프로세스 중에 도메인을 검증한 후 인증서를 발급할 수 있도록 CAA 레코드의 존재를 확인합니다. CAA 레코드 구성은 선택 사항입니다.

CAA 레코드를 구성할 때 다음 값을 사용합니다.

**flags**  
**tag** 필드의 값이 ACM에서 지원되도록 할지 여부를 지정합니다. 이 값을 **0**으로 설정합니다.

**태그**  
**tag** 필드에는 다음 중 한 가지 값이 올 수 있습니다. **iodef** 필드는 현재 무시된다는 점에 유의하세요.    
**issue**  
**value** 필드에 지정한 ACM CA가 도메인 또는 하위 도메인에 대한 인증서를 발급하도록 승인되었음을 나타냅니다.  
**issuewild**  
**value** 필드에 지정한 ACM CA가 도메인 또는 하위 도메인에 대한 와일드 카드 인증서를 발급하도록 승인되었음을 나타냅니다. 와일드카드 인증서는 도메인 또는 하위 도메인 및 모든 하위 도메인에 적용됩니다. HTTP 검증을 사용할 계획인 경우, HTTP 검증이 와일드카드 인증서를 지원하지 않으므로 이 설정은 적용되지 않습니다. 와일드카드 인증서에는 대신 DNS 또는 이메일 검증을 사용하세요.

**USD 상당**  
이 필드의 값은 **tag** 필드의 값에 따라 달라집니다. 이 값은 인용 부호("")로 묶어야 합니다.    
**tag**가 **issue**인 경우  
**value** 필드에는 CA 도메인 이름이 포함됩니다. 이 필드에는 Amazon CA가 아닌 다른 CA의 이름이 포함될 수 있습니다. 그러나 다음 네 가지 Amazon CA 중 하나를 지정하는 CAA 레코드가 없으면 ACM은 해당 도메인 또는 하위 도메인에 인증서를 발급할 수 없습니다.  
+ amazon.com
+ amazontrust.com
+ awstrust.com
+ amazonaws.com을 위한 CNAME 별칭으로 구성해야 합니다
또한 **value** 필드에 세미콜론(;)을 포함하여 어떤 CA도 해당 도메인 또는 하위 도메인에 대해 인증서를 발급하도록 허용해서는 안 됨을 나타낼 수 있습니다. 어느 시점에 더는 특정 도메인에 인증서가 발급되지 않도록 하겠다고 결정을 내리게 되면 이 필드를 사용하세요.  
**tag**가 **issuewild**인 경우  
**value** 필드는 그 값이 와일드카드 인증서에 적용되는 경우를 제외하고는 **tag**가 **issue**인 경우의 값과 동일합니다.  
ACM CA 값이 포함되지 않은 **issuewild** CAA 레코드가 있는 경우 ACM이 와일드 카드를 발급할 수 없습니다. **issuewild**가 없지만 ACM에 대한 **issue** CAA 레코드가 있는 경우 ACM이 와일드 카드를 발급할 수 있습니다.

**Example CAA 레코드 예제**  
다음 예제에서는 도메인 이름이 먼저 나오고 뒤이어 레코드 유형(CAA)이 나옵니다. **flags** 필드의 값은 항상 0입니다. **tags** 필드는 **issue** 또는 **issuewild**일 수 있습니다. 필드가 **issue**이고 **value** 필드에 CA 서버의 도메인 이름을 입력하는 경우 CAA 레코드는 지정된 서버가 요청된 인증서를 발급할 권한이 있음을 나타냅니다. **value** 필드에 세미콜론(;)을 입력하면 CAA 레코드는 어떤 CA에서도 인증서를 발급할 권한이 없음을 나타냅니다. CAA 레코드의 구성은 DNS 공급자에 따라 달라집니다.  
CloudFront에서 HTTP 검증을 사용하려는 경우, HTTP 검증이 와일드카드 인증서를 지원하지 않으므로 **issuewild** 레코드를 구성할 필요가 없습니다. 와일드카드 인증서의 경우 DNS 또는 이메일 검증을 대신 사용합니다.

```
Domain       Record type  Flags  Tag      Value   
example.com.   CAA            0        issue      "SomeCA.com"
```

```
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazon.com"
```

```
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazontrust.com"
```

```
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "awstrust.com"
```

```
Domain       Record type  Flags  Tag      Value 
example.com.   CAA            0        issue      "amazonaws.com"
```

```
Domain       Record type  Flags  Tag      Value 
example.com    CAA            0        issue      ";"
```

DNS 레코드를 추가 또는 수정하는 방법에 대한 자세한 정보는 DNS 공급자에게 문의하세요. Route 53은 CAA 레코드를 지원합니다. Route 53이 DNS 공급자인 경우 레코드 생성에 대한 자세한 내용은 [CAA 형식](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#CAAFormat)을 참조하세요.