**에 대한 새로운 콘솔 환경 소개 AWS WAF** 이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 [콘솔 작업을 참조하세요](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # SRT에 대한 액세스 권한 부여 이 페이지에서는 SRT가 사용자를 대신하여 작업할 수 있는 권한을 부여하여 AWS WAF 로그에 액세스하고 AWS Shield Advanced 및 AWS WAF APIs를 호출하여 보호를 관리할 수 있도록 하는 지침을 제공합니다. 애플리케이션 계층 DDoS 이벤트 중에 SRT는 AWS WAF 요청을 모니터링하여 비정상적인 트래픽을 식별하고 사용자 지정 AWS WAF 규칙을 생성하여 문제가 되는 트래픽 소스를 완화할 수 있습니다. 또한 사용자는 Application Load Balancer, Amazon CloudFront 또는 타사 소스의 패킷 캡처 또는 로그와 같이 Amazon S3 버킷에 저장한 다른 데이터에 대한 액세스 권한을 SRT에 부여할 수 있습니다. **참고** Shield 대응팀(SRT)의 서비스를 이용하려면 [Business Support 플랜](https://aws.amazon.com/premiumsupport/business-support/) 또는 [Enterprise Support 플랜](https://aws.amazon.com/premiumsupport/enterprise-support/)에 가입해야 합니다. **SRT의 권한을 관리하려면** 1. AWS Shield 콘솔 **개요** 페이지의 ** AWS SRT 지원 구성**에서 **SRT 액세스 편집**을 선택합니다. ** AWS Shield 대응 팀(SRT) 액세스 편집** 페이지가 열립니다. 1. **SRT 액세스 설정**의 경우, 다음 옵션 중 하나를 선택합니다. + **SRT에 내 계정에 대한 액세스 권한을 부여하지 않음** - Shield는 이전에 SRT에 부여한 계정 및 리소스 액세스 권한을 제거합니다. + **SRT가 내 계정에 액세스할 수 있도록 새 역할 만들기** - Shield는 SRT를 대표하는 서비스 주체 `drt.shield.amazonaws.com`를 신뢰하는 역할을 생성하고 여기에 관리형 정책 `AWSShieldDRTAccessPolicy`를 연결합니다. 관리형 정책은 SRT AWS Shield Advanced 가 사용자를 대신하여 및 AWS WAF API를 호출하고 로그에 액세스할 수 있도록 AWS WAF 허용합니다. 관리형 정책에 대한 자세한 내용은 [AWS 관리형 정책: AWSShieldDRTAccessPolicy](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)섹션을 참조하세요. + **내 계정에 액세스할 SRT의 기존 역할 선택** -이 옵션의 경우 다음과 같이 AWS Identity and Access Management (IAM)에서 역할 구성을 수정해야 합니다. + 관리형 정책 `AWSShieldDRTAccessPolicy`를 역할에 연계하십시오. 이 관리형 정책은 SRT AWS Shield Advanced 가 사용자를 대신하여 및 AWS WAF API를 호출하고 로그에 액세스할 수 있도록 AWS WAF 허용합니다. 관리형 정책에 대한 자세한 내용은 [AWS 관리형 정책: AWSShieldDRTAccessPolicy](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)(을)를 참조하세요. 관리형 정책을 역할에 연계하는 방법에 대한 자세한 설명은 [IAM 정책 연계 및 분리](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)를 참조하세요. + 서비스 담당자 `drt.shield.amazonaws.com`을 신뢰하도록 역할을 수정합니다. 이는 SRT를 대표하는 서비스 담당자입니다. 자세한 내용은 [IAM JSON 정책 요소: 보안 주체](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)를 참조하세요. 1. **(선택 사항)의 경우: Amazon S3 버킷에 대한 SRT 액세스 권한을 부여합니다**. AWS WAF 웹 ACL 로그에 없는 데이터를 공유해야 하는 경우 이를 구성합니다. Application Load Balancer 액세스 로그, Amazon CloudFront 로그 또는 타사 소스의 로그를 예로 들 수 있습니다. **참고** AWS WAF 웹 ACL 로그에 대해서는이 작업을 수행할 필요가 없습니다. 계정에 대한 액세스 권한을 부여하면 SRT가 해당 액세스 권한을 얻습니다. 1. 다음 지침을 따라 Amazon S3 버킷을 구성합니다. + 버킷 위치는 이전 단계의 **AWS Shield 대응 팀(SRT) 액세스 권한에서 SRT에 일반 액세스 권한을** 부여한 AWS 계정 위치와 동일해야 합니다. + 버킷은 일반 텍스트이거나 SSE-S3로 암호화될 수 있습니다. Amazon S3 SSE-S3에 대한 자세한 내용은 Amazon S3 사용 설명서의 [Amazon S3 관리형 암호화 키(SSE-S3)를 사용하는 서버 측 암호화로 데이터 보호](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)를 참조하세요. SRT는 AWS Key Management Service ()에 저장된 키로 암호화된 버킷에 저장된 로그를 보거나 처리할 수 없습니다AWS KMS. 1. Shield Advanced **(선택 사항): SRT에 Amazon S3 버킷에 대한 액세스 권한 부여** 섹션에서, 데이터 또는 로그가 저장된 각각의 Amazon S3 버킷에 대해 버킷 이름을 입력하고 **버킷 추가**를 선택합니다. 버킷을 최대 10개까지 추가할 수 있습니다. 이렇게 하면 SRT에 각 버킷에 대한 `s3:GetBucketLocation`, `s3:GetObject` 및 `s3:ListBucket` 권한이 부여됩니다. 10개 이상의 버킷에 액세스할 수 있는 권한을 SRT에 부여하려면 추가 버킷 정책을 편집하고 여기에 나열된 SRT용 권한을 수동으로 부여하면 됩니다. 다음 내용은 정책 목록의 예를 보여줍니다. ``` { "Sid": "AWSDDoSResponseTeamAccessS3Bucket", "Effect": "Allow", "Principal": { "Service": "drt.shield.amazonaws.com" }, "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::{{bucket-name}}", "arn:aws:s3:::{{bucket-name}}/*" ] } ``` 1. **저장**을 선택하여 변경 사항을 저장합니다. 또한 IAM 역할을 생성하고 AWSShieldDRTAccessPolicy 정책을 여기에 연결한 다음 [AssociateDRTRole](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_AssociateDRTRole.html) 작업에 역할을 전달하여 API를 통해 SRT를 승인할 수 있습니다.