SRT에 대한 액세스 권한 부여 - AWS WAF, AWS Firewall Manager 및 AWS Shield Advanced

SRT에 대한 액세스 권한 부여

이 페이지에서는 SRT가 AWS WAF 로그에 액세스하고 AWS Shield Advanced 및 AWS WAF API를 호출하여 보호를 관리할 수 있도록 SRT가 사용자를 대신하여 작업할 수 있는 권한을 부여하는 지침을 제공합니다.

애플리케이션 계층 DDoS 이벤트 동안, SRT는 AWS WAF 요청을 모니터링하여 변칙적 트래픽을 식별하고 문제가 되는 트래픽 소스를 완화하기 위한 사용자 지정 AWS WAF 규칙을 만드는 데 도움을 줄 수 있습니다.

또한 사용자는 Application Load Balancer, Amazon CloudFront 또는 타사 소스의 패킷 캡처 또는 로그와 같이 Amazon S3 버킷에 저장한 다른 데이터에 대한 액세스 권한을 SRT에 부여할 수 있습니다.

참고

Shield 대응팀(SRT)의 서비스를 이용하려면 Business Support 플랜 또는 Enterprise Support 플랜에 가입해야 합니다.

SRT의 권한을 관리하려면

  1. AWS Shield 콘솔 개요 페이지의 AWS SRT 지원 구성에서 SRT 액세스 편집을 선택합니다. AWS Shield 대응팀(SRT) 액세스 편집 페이지가 열립니다.

  2. SRT 액세스 설정의 경우, 다음 옵션 중 하나를 선택합니다.

    • SRT에 내 계정에 대한 액세스 권한을 부여하지 않음 - Shield는 이전에 SRT에 부여한 계정 및 리소스 액세스 권한을 제거합니다.

    • SRT가 내 계정에 액세스할 수 있도록 새 역할 만들기 - Shield는 SRT를 대표하는 서비스 주체 drt.shield.amazonaws.com를 신뢰하는 역할을 생성하고 여기에 관리형 정책 AWSShieldDRTAccessPolicy를 연결합니다. 관리형 정책을 사용하면 SRT가 사용자를 대신하여 AWS Shield Advanced 및 AWS WAF API를 호출하고 AWS WAF 로그에 액세스할 수 있습니다. 관리형 정책에 대한 자세한 내용은 AWS 관리형 정책: AWSShieldDRTAccessPolicy(을)를 참조하세요.

    • SRT가 내 계정에 액세스할 수 있도록 기존 역할 선택 - 이 옵션을 사용하려면 AWS Identity and Access Management(IAM)의 역할 구성을 다음과 같이 수정해야 합니다.

      • 관리형 정책 AWSShieldDRTAccessPolicy를 역할에 연계하십시오. 이 관리형 정책을 사용하면 SRT가 사용자를 대신하여 AWS Shield Advanced 및 AWS WAF API를 호출하고 AWS WAF 로그에 액세스할 수 있습니다. 관리형 정책에 대한 자세한 내용은 AWS 관리형 정책: AWSShieldDRTAccessPolicy(을)를 참조하세요. 관리형 정책을 역할에 연계하는 방법에 대한 자세한 설명은 IAM 정책 연계 및 분리를 참조하세요.

      • 서비스 담당자 drt.shield.amazonaws.com을 신뢰하도록 역할을 수정합니다. 이는 SRT를 대표하는 서비스 담당자입니다. 자세한 내용은 IAM JSON 정책 요소: 보안 주체를 참조하세요.

  3. (선택 사항): SRT에 Amazon S3 버킷에 대한 액세스 권한 부여의 경우, AWS WAF 웹 ACL 로그에 없는 데이터를 공유해야 하는 경우에 이 내용을 구성하십시오. Application Load Balancer 액세스 로그, Amazon CloudFront 로그 또는 타사 소스의 로그를 예로 들 수 있습니다.

    참고

    AWS WAF 웹 ACL 로그의 경우 이 작업을 수행하지 않아도 됩니다. 계정에 대한 액세스 권한을 부여하면 SRT가 해당 액세스 권한을 얻습니다.

    1. 다음 지침을 따라 Amazon S3 버킷을 구성합니다.

      • 버킷 위치는 이전 단계인 AWS Shield 대응 팀(SRT) 액세스 권한에서 SRT에 일반 액세스 권한을 부여한 동일한 AWS 계정에 있어야 합니다.

      • 버킷은 일반 텍스트이거나 SSE-S3로 암호화될 수 있습니다. Amazon S3 SSE-S3에 대한 자세한 내용은 Amazon S3 사용 설명서의 Amazon S3 관리형 암호화 키(SSE-S3)를 사용하는 서버 측 암호화로 데이터 보호를 참조하세요.

        SRT는 AWS Key Management Service(AWS KMS)에 저장된 키로 암호화된 버킷에 저장된 로그를 보거나 처리할 수 없습니다.

    2. Shield Advanced (선택 사항): SRT에 Amazon S3 버킷에 대한 액세스 권한 부여 섹션에서, 데이터 또는 로그가 저장된 각각의 Amazon S3 버킷에 대해 버킷 이름을 입력하고 버킷 추가를 선택합니다. 버킷을 최대 10개까지 추가할 수 있습니다.

      이렇게 하면 SRT에 각 버킷에 대한 s3:GetBucketLocation, s3:GetObjects3:ListBucket 권한이 부여됩니다.

      10개 이상의 버킷에 액세스할 수 있는 권한을 SRT에 부여하려면 추가 버킷 정책을 편집하고 여기에 나열된 SRT용 권한을 수동으로 부여하면 됩니다.

      다음 내용은 정책 목록의 예를 보여줍니다.

      {
    "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
    "Effect": "Allow",
    "Principal": {
        "Service": "drt.shield.amazonaws.com"
    },
    "Action": [
        "s3:GetBucketLocation",
        "s3:GetObject",
        "s3:ListBucket"
    ],
    "Resource": [
        "arn:aws:s3:::bucket-name",
        "arn:aws:s3:::bucket-name/*"
    ]
}

  4. 저장을 선택하여 변경 사항을 저장합니다.

또한 IAM 역할을 생성하고 AWSShieldDRTAccessPolicy 정책을 여기에 연결한 다음 AssociateDRTRole 작업에 역할을 전달하여 API를 통해 SRT를 승인할 수 있습니다.