**에 대한 새로운 콘솔 환경 소개 AWS WAF**

이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 [콘솔 작업을 참조하세요](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Shield
<a name="shield-chapter"></a>

DDoS(분산 서비스 거부) 공격으로부터 보호하는 것은 인터넷 연계 애플리케이션에서 가장 중요합니다. 애플리케이션을 빌드할 때 AWS 에서 제공하는 보호를 추가 비용 없이 사용할 AWS수 있습니다. 또한 AWS Shield Advanced 관리형 위협 보호 서비스를 사용하여 추가 DDoS 탐지, 완화 및 대응 기능으로 보안 태세를 개선할 수 있습니다.

AWS 는 인터넷상의 악의적인 행위자에 대한 방어에서 고가용성, 보안 및 복원력을 보장하는 데 도움이 되는 도구, 모범 사례 및 서비스를 제공하기 위해 최선을 다하고 있습니다. 이 가이드는 IT 의사 결정권자와 보안 엔지니어가 Shield 및 Shield Advanced를 사용하여 DDoS 공격 및 기타 외부 위협으로부터 애플리케이션을 더 잘 보호하는 방법을 이해할 수 있도록 도움을 주기 위해 제공됩니다.

애플리케이션을 빌드하면 UDP 반사 공격 및 TCP SYN flood와 같은 일반적인 볼륨 측정 DDoS 공격 벡터에 AWS 대해가 AWS자동으로 보호합니다. 이러한 보호를 활용하여 DDoS 복원성을 위한 아키텍처를 설계하고 구성 AWS 하여 실행하는 애플리케이션의 가용성을 보장할 수 있습니다.

이 가이드에서는 DDoS 복원력을 위한 애플리케이션 아키텍처를 설계, 생성 및 구성하는 데 도움이 되는 권장 사항을 제공합니다. 이 가이드에 제공된 모범 사례를 준수하는 애플리케이션은 대규모 DDoS 공격과 광범위한 DDoS 공격 벡터의 표적이 될 때 가용성 연속성 개선의 이점을 누릴 수 있습니다. 또한 이 가이드에서는 Shield Advanced를 사용하여 중요한 애플리케이션에 최적화된 DDoS 보호 태세를 구현하는 방법을 보여줍니다. 여기에는 고객에게 일정 수준의 가용성을 보장한 애플리케이션과 DDoS 이벤트 AWS 중에의 운영 지원이 필요한 애플리케이션이 포함됩니다.

보안은 AWS 와 사용자 간의 공동 책임입니다. [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)은 이를 클라우드*의* 보안과 클라우드 *내* 보안으로 설명합니다.
+ **클라우드 보안 **- AWS 는에서 AWS 서비스를 실행하는 인프라를 보호할 책임이 있습니다 AWS 클라우드. AWS 또한는 안전하게 사용할 수 있는 서비스를 제공합니다. 서드 파티 감사자는 정기적으로 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/)의 일환으로 보안 효과를 테스트하고 검증합니다. Shield Advanced에 적용되는 규정 준수 프로그램에 대한 자세한 설명은 [규정 준수 프로그램 제공 범위 내의AWS 서비스](https://aws.amazon.com/compliance/services-in-scope/)를 참조하세요.
+ **클라우드의 보안** - 사용자의 책임은 사용하는 AWS 서비스에 따라 결정됩니다. 또한 데이터의 민감도, 조직의 요건 및 관련 법률 및 규정을 비롯한 기타 요소에 대해서도 책임이 있습니다.

![\[다이어그램은 가로로 분할된 직사각형을 보여줍니다. 위쪽 절반은 고객: 클라우드 '내' 보안에 대한 책임이라는 제목이고, 아래쪽 절반은 AWS: 클라우드'의' 보안 책임이라는 제목입니다. 상위 고객 절반에는 네 가지 계층이 있습니다. 가장 상위에 있는 것은 고객 데이터입니다. 두 번째는 플랫폼, 애플리케이션, ID 및 액세스 관리입니다. 세 번째는 작동 시스템, 네트워크 및 방화벽 구성입니다. 고객 영역의 네 번째와 최하위 계층은 나란히 있는 세 개의 섹션으로 나뉘어 있습니다. 왼쪽은 클라이언트 측 데이터, 암호화 및 데이터 무결성, 인증입니다. 가운데 하나는 서버 측 암호화(파일 시스템 및/또는 데이터)입니다. 오른쪽은 네트워킹 트래픽 보호(암호화, 무결성, ID)입니다. 이상으로 그림의 상위 고객 절반에 대한 내용을 마칩니다. 그림의 하단 AWS 절반에는 소프트웨어라는 제목의 계층, 하드웨어/AWS 글로벌 인프라라는 제목의 계층이 포함되어 있습니다. 소프트웨어 티어는 컴퓨팅, 스토리지, 데이터베이스, 네트워킹이라는 네 개의 하위 섹션으로 나란히 배치되어 있습니다. 하드웨어 티어는 지역, 가용 영역, 엣지 로케이션을 표시하는 세 개의 하위 섹션으로 나란히 배치되어 있습니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shared-responsibility-model.png)


# AWS Shield 및 Shield Advanced 작동 방식
<a name="ddos-overview"></a>

이 페이지에서는 AWS Shield Standard 와의 차이점을 설명합니다 AWS Shield Advanced. 또한 Shield가 탐지하는 공격 클래스에 대해서도 설명합니다.

AWS Shield Standard 및 AWS Shield Advanced 는 네트워크 및 전송 계층(계층 3 및 4)과 애플리케이션 계층(계층 7)의 리소스에 대한 AWS 분산 서비스 거부(DDoS) 공격으로부터 보호합니다. DDoS 공격은 손상된 여러 시스템이 표적에 트래픽을 폭주시키려고 시도하는 공격입니다. DDoS 공격은 합법적 사용자의 표적 서비스 액세스를 방해할 수 있으며 과도한 트래픽 볼륨으로 인해 표적에 충돌이 발생할 수 있습니다.

AWS Shield 는 알려진 다양한 DDoS 공격 벡터 및 제로데이 공격 벡터에 대한 보호를 제공합니다. Shield 탐지 및 완화 기능은 탐지 당시 서비스에 해당 위협이 명시적으로 알려지지 않았더라도 위협에 대한 적용 범위를 제공하도록 설계되었습니다.

Shield Standard는 AWS사용 시 추가 비용 없이 자동으로 제공됩니다. 공격으로부터 더 높은 수준의 보호를 위해 AWS Shield Advanced을(를) 구독할 수 있습니다.

Shield가 탐지하는 공격 클래스는 다음과 같습니다.
+ **네트워크 대규모 공격(계층 3)** – 인프라 계층 공격 벡터의 하위 범주입니다. 이러한 벡터는 표적 네트워크 또는 리소스의 용량을 포화 상태로 만들어 합법적인 사용자에 대한 서비스를 거부하려고 합니다.
+ **네트워크 프로토콜 공격(계층 4)** – 인프라 계층 공격 벡터의 하위 범주입니다. 이러한 벡터는 프로토콜을 악용하여 대상 리소스에 대한 서비스를 거부합니다. 네트워크 프로토콜 공격의 일반적인 예로는 서버, 로드 밸런서 또는 방화벽과 같은 리소스의 연결 상태를 고갈시킬 수 있는 TCP SYN flood가 있습니다. 네트워크 프로토콜 공격은 대규모 공격일 수도 있습니다. 예를 들어, TCP SYN flood가 커지면 네트워크 용량이 포화되는 동시에 대상 리소스 또는 중간 리소스의 상태가 고갈될 수 있습니다.
+ **애플리케이션 계층 공격(계층 7)** – 이 범주의 공격 벡터는 웹 요청 flood와 같이 대상에 유효한 쿼리를 애플리케이션에 폭주시켜 합법적인 사용자에 대한 서비스를 거부하려고 합니다.

**Contents**
+ [AWS Shield Standard 개요](ddos-standard-summary.md)
+ [AWS Shield Advanced 개요](ddos-advanced-summary.md)
+ [가 AWS Shield Advanced 보호하는 AWS 리소스 목록](ddos-advanced-summary-protected-resources.md)
+ [AWS Shield Advanced 기능 및 옵션](ddos-advanced-summary-capabilities.md)
+ [추가 보호를 구독 AWS Shield Advanced 하고 적용할지 여부 결정](ddos-advanced-summary-deciding.md)
+ [DDoS 공격의 예시](types-of-ddos-attacks.md)
+ [가 이벤트를 AWS Shield 감지하는 방법](ddos-event-detection.md)
  + [AWS Shield 인프라 계층 위협에 대한 탐지 로직(계층 3 및 계층 4)](ddos-event-detection-infrastructure.md)
  + [애플리케이션 계층 위협(계층 7)에 대한 Shield Advanced 탐지 로직](ddos-event-detection-application.md)
  + [애플리케이션 내 여러 리소스에 대한 탐지 로직](ddos-event-detection-multiple-resources.md)
+ [가 이벤트를 AWS Shield 완화하는 방법](ddos-event-mitigation.md)
  + [AWS Shield DDoS 완화 기능 목록](ddos-event-mitigation-features.md)
  + [AWS Shield CloudFront 및 Route 53에 대한 완화 로직](ddos-event-mitigation-logic-continuous-inspection.md)
  + [AWS Shield AWS 리전에 대한 완화 로직](ddos-event-mitigation-logic-regions.md)
  + [AWS Shield AWS Global Accelerator 표준 액셀러레이터에 대한 완화 로직](ddos-event-mitigation-logic-gax.md)
  + [AWS Shield Advanced 탄력IPs에 대한 완화 로직](ddos-event-mitigation-logic-adv-eip.md)
  + [AWS Shield Advanced 웹 애플리케이션에 대한 완화 로직](ddos-event-mitigation-logic-adv-web-app.md)

# AWS Shield Standard 개요
<a name="ddos-standard-summary"></a>

AWS Shield 는 애플리케이션의 경계를 보호하는 관리형 위협 보호 서비스입니다. 경계는 AWS 네트워크 외부에서 들어오는 애플리케이션 트래픽의 첫 번째 진입점입니다.

애플리케이션 경계의 위치를 결정하려면 사용자가 인터넷에서 애플리케이션에 액세스하는 방법을 고려해 보십시오. 첫 번째 진입점이 AWS 리전에 있는 경우 애플리케이션 경계는 Amazon Virtual Private Cloud(VPC)입니다. 사용자가 Amazon Route 53에서 애플리케이션으로 이동하고 먼저 Amazon CloudFront 또는를 사용하여 애플리케이션에 액세스하는 경우 애플리케이션 경계 AWS Global Accelerator는 AWS 네트워크 엣지에서 시작됩니다.

Shield는에서 실행되는 모든 애플리케이션에 DDoS 탐지 및 완화 이점을 제공 AWS하지만 애플리케이션 아키텍처를 설계할 때 내리는 결정은 DDoS 복원력 수준에 영향을 미칩니다. DDoS 복원력이란 공격 중에도 예상 파라미터 내에서 계속 작동할 수 있는 애플리케이션의 능력입니다.

모든 AWS 고객은 추가 비용 없이 Shield Standard의 자동 보호를 이용할 수 있습니다. Shield Standard는 웹 사이트 또는 애플리케이션을 대상으로 하는 가장 흔하고 자주 발생하는 네트워크 및 전송 계층 DDoS 공격을 방어합니다. Shield Standard는 모든 AWS 고객을 보호하는 데 도움이 되지만 Amazon Route 53 호스팅 영역, Amazon CloudFront 배포 및 AWS Global Accelerator 표준 액셀러레이터를 사용하면 특별한 이점을 얻을 수 있습니다. 이러한 리소스는 알려진 모든 네트워크 및 전송 계층 공격에 대한 포괄적인 가용성 보호를 받습니다.

# AWS Shield Advanced 개요
<a name="ddos-advanced-summary"></a>

AWS Shield Advanced 는 DDoS 공격, 볼륨 측정 봇, 취약성 악용 시도와 같은 외부 위협으로부터 애플리케이션을 보호하는 데 도움이 되는 관리형 서비스입니다. 공격으로부터 더 높은 수준의 보호를 위해 AWS Shield Advanced을(를) 구독할 수 있습니다.

Shield Advanced를 구독하고 리소스에 보호 기능을 추가하면 Shield Advanced는 해당 리소스에 대한 확장된 DDoS 공격 보호를 제공합니다. Shield Advanced에서 받는 보호 기능은 아키텍처 및 구성 선택에 따라 달라질 수 있습니다. 이 가이드의 정보를 사용하여 Shield Advanced를 사용하여 복원력이 뛰어난 애플리케이션을 구축 및 보호하고, 전문가의 도움이 필요한 경우 에스컬레이션하십시오.

**Shield Advanced 구독 및 AWS WAF 비용**  
Shield Advanced 구독에는 Shield Advanced로 보호하는 리소스에 표준 AWS WAF 기능을 사용하는 비용이 포함됩니다. Shield Advanced 보호가 적용되는 표준 AWS WAF 요금은 보호 팩당 비용(웹 ACL), 규칙당 비용, 웹 요청 검사에 대한 백만 요청당 기본 가격, 최대 1,500WCUs 및 기본 본문 크기입니다.

Shield Advanced 자동 애플리케이션 계층 DDoS 완화를 활성화하면 150개의 보호 팩(웹 ACL) 용량 단위(WCU)를 사용하는 규칙 그룹이 웹 ACL에 추가됩니다. 이러한 WCU는 보호 팩(웹 ACL)의 WCU 사용량에 포함됩니다. 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md), [Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호](ddos-automatic-app-layer-response-rg.md), [의 웹 ACL 용량 단위(WCUs) AWS WAF](aws-waf-capacity-units.md) 섹션을 참조하세요.

Shield Advanced 구독은 Shield Advanced를 사용하여 보호하지 않는 리소스에 AWS WAF 대한 사용을 다루지 않습니다. 또한 보호된 리소스에 대한 비표준 추가 AWS WAF 비용도 부담하지 않습니다. 비표준 AWS WAF 비용의 예로는 Bot Control, CAPTCHA 규칙 작업, 1,500개 이상의 WCUs ACLs, 기본 본문 크기를 초과하는 요청 본문 검사 등이 있습니다. 전체 목록은 AWS WAF 요금 페이지에 나와 있습니다. Shield Advanced 구독에는 계층 7 DDoS Amazon Managed Rule 그룹에 대한 액세스 권한이 포함됩니다. 구독의 일부로 한 달에 최대 500억 개의 Shield Advanced 보호 AWS WAF 리소스 요청을 받게 됩니다. 500억 개를 초과하는 요청은 AWS Shield Advanced 요금 페이지에 따라 청구됩니다.

전체 정보 및 요금 예는 [Shield 요금](https://aws.amazon.com/shield/pricing/) 및 [AWS WAF 요금](https://aws.amazon.com/waf/pricing/)을 참조하세요.

**Shield Advanced 구독 결제**  
 AWS 채널 리셀러인 경우 계정 팀에 자세한 내용과 지침을 문의하세요. 이 결제 정보는 AWS 채널 리셀러가 아닌 고객을 위한 것입니다.

그 외의 모든 경우에는 다음과 같은 가입 및 결제 지침이 적용됩니다.
+  AWS Organizations 조직의 멤버인 계정의 경우는 지급인 계정 자체의 구독 여부에 관계없이 조직의 지급인 계정에 대해 Shield Advanced 구독을 AWS 청구합니다.
+ 동일한 [AWS Organizations 통합 결제 계정 패밀리](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)에 속하는 여러 계정에 가입하는 경우, 하나의 가입 요금이 패밀리 내 모든 가입 계정에 적용됩니다. 조직은 모든 AWS 계정 와(과) 모든 리소스를 소유해야 합니다.
+ 여러 조직의 여러 계정에 가입하는 경우에도 모든 조직, 계정, 리소스를 소유하고 있다면 모든 조직, 계정, 리소스에 대해 하나의 가입 요금을 지불할 수 있습니다. 계정 관리자 또는 AWS 지원팀에 문의하여 조직 중 하나를 제외한 모든 조직의 AWS Shield Advanced 구독 요금에 대한 수수료 면제를 요청합니다.

자세한 요금 정보 및 예는 [AWS Shield 요금](https://aws.amazon.com/shield/pricing/) 섹션을 참조하세요.

**Topics**

# 가 AWS Shield Advanced 보호하는 AWS 리소스 목록
<a name="ddos-advanced-summary-protected-resources"></a>

**참고**  
Shield Advanced 보호는 Shield Advanced에서 명시적으로 지정했거나 Shield Advanced AWS Firewall Manager 정책을 통해 보호하는 리소스에 대해서만 활성화됩니다. Shield Advanced는 리소스를 자동으로 보호하지 않습니다.

다음 리소스 유형을 포함한 고급 모니터링 및 보호에 Shield Advanced를 사용할 수 있습니다.
+ Amazon CloudFront 배포. CloudFront 지속적 배포의 경우, Shield Advanced는 보호된 기본 배포와 연결된 모든 스테이징 배포를 보호합니다.
+ Amazon Route 53 호스팅 영역.
+ AWS Global Accelerator 표준 액셀러레이터.
+ Amazon EC2 탄력적 IP 주소. Shield Advanced는 보호된 탄력적 IP 주소와 연결된 리소스를 보호합니다.
+ Amazon EC2 인스턴스, Amazon EC2 탄력적 IP 주소와의 연결을 통해.
+ 다음 유형의 Elastic Load Balancing(ELB) 로드 밸런서:
  + Application Load Balancers.
  + Classic Load Balancer
  + Network Load Balancer, Amazon EC2 탄력적 IP 주소와의 연결을 통해.

리소스 유형의 보호에 대한 추가 정보는 [가 AWS Shield Advanced 보호하는 리소스 목록](ddos-protections-by-resource-type.md) 섹션을 참조하세요.

# AWS Shield Advanced 기능 및 옵션
<a name="ddos-advanced-summary-capabilities"></a>

AWS Shield Advanced 구독에는 다음과 같은 기능과 옵션이 포함됩니다. 이는 이미 받은 DDoS 탐지 및 완화 기능을 보완합니다 AWS.
+ **AWS WAF 통합** - Shield Advanced는 애플리케이션 계층 보호의 일부로 AWS WAF 웹 ACLs, 규칙 및 규칙 그룹을 사용합니다. 에 대한 자세한 내용은 단원을 AWS WAF참조하십시오[AWS WAF 작동 방식](how-aws-waf-works.md).
**참고**  
Shield Advanced 구독에는 Shield Advanced로 보호하는 리소스에 표준 AWS WAF 기능을 사용하는 비용이 포함됩니다. Shield Advanced 보호가 적용되는 표준 AWS WAF 요금은 보호 팩당 비용(웹 ACL), 규칙당 비용, 웹 요청 검사에 대한 백만 요청당 기본 가격, 최대 1,500WCUs 및 기본 본문 크기입니다.  
Shield Advanced 자동 애플리케이션 계층 DDoS 완화를 활성화하면 150개의 보호 팩(웹 ACL) 용량 단위(WCU)를 사용하는 규칙 그룹이 웹 ACL에 추가됩니다. 이러한 WCU는 보호 팩(웹 ACL)의 WCU 사용량에 포함됩니다. 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md), [Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호](ddos-automatic-app-layer-response-rg.md), [의 웹 ACL 용량 단위(WCUs) AWS WAF](aws-waf-capacity-units.md) 섹션을 참조하세요.  
Shield Advanced 구독에는 Shield Advanced를 사용하여 보호하지 않는 리소스에 AWS WAF 대한 사용이 포함되지 않습니다. 또한 보호된 리소스에 대한 비표준 추가 AWS WAF 비용도 부담하지 않습니다. 비표준 AWS WAF 비용의 예로는 Bot Control, CAPTCHA 규칙 작업, 1,500개 이상의 WCUs ACLs, 기본 본문 크기를 초과하는 요청 본문 검사 등이 있습니다. 전체 목록은 AWS WAF 요금 페이지에 나와 있습니다. Shield Advanced 구독에는 계층 7 DDoS Amazon Managed Rule 그룹에 대한 액세스 권한이 포함됩니다. 구독의 일부로 한 달에 최대 500억 개의 Shield Advanced 보호 AWS WAF 리소스 요청을 받게 됩니다. 500억 개를 초과하는 요청은 AWS Shield Advanced 요금 페이지에 따라 청구됩니다.  
전체 정보 및 요금 예는 [Shield 요금](https://aws.amazon.com/shield/pricing/) 및 [AWS WAF 요금](https://aws.amazon.com/waf/pricing/)을 참조하세요.
+ **자동 애플리케이션 계층 DDoS 완화** – 보호된 리소스에 대한 애플리케이션 계층(계층 7) 공격을 완화하기 위해 자동으로 대응하도록 Shield Advanced를 구성할 수 있습니다. 자동 완화를 통해 Shield Advanced는 알려진 DDoS 소스의 요청에 AWS WAF 속도 제한을 적용하고 탐지된 DDoS 공격에 대응하여 사용자 지정 AWS WAF 보호를 자동으로 추가하고 관리합니다. 공격의 일부인 웹 요청을 계수하거나 차단하도록 자동 완화를 구성할 수 있습니다.

  자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md) 섹션을 참조하세요.
+ **상태 기반 탐지** – Shield Advanced와 함께 Amazon Route 53 상태 확인을 사용하여 이벤트 탐지 및 완화 조치를 알릴 수 있습니다. 상태 확인은 사양에 따라 애플리케이션을 모니터링하여 사양이 충족되면 정상으로 보고하고, 충족되지 않으면 비정상으로 보고합니다. Shield Advanced와 함께 상태 확인을 사용하면 오탐지를 방지하고 보호된 리소스가 비정상일 때 더 빠르게 탐지 및 완화할 수 있습니다. Route 53 호스팅 영역을 제외한 모든 리소스 유형에 상태 기반 탐지를 사용할 수 있습니다. Shield Advanced 선제적 대응은 상태 기반 탐지가 활성화된 리소스에만 사용할 수 있습니다.

  자세한 내용은 [Shield Advanced 및 Route 53에서 상태 확인을 사용한 상태 기반 감지](ddos-advanced-health-checks.md) 섹션을 참조하세요.
+ **보호 그룹** – 보호 그룹을 사용하여 보호된 리소스를 논리적으로 그룹화하여 그룹 전체에 대한 탐지 및 완화 기능을 강화할 수 있습니다. 새로 보호된 리소스가 자동으로 포함되도록 보호 그룹의 멤버십 기준을 정의할 수 있습니다. 보호된 리소스는 다중 보호 그룹에 속할 수 있습니다.

  자세한 내용은 [AWS Shield Advanced 보호 그룹화](ddos-protection-groups.md) 섹션을 참조하세요.
+ **DDoS 이벤트 및 공격에 대한 가시성 향상** – Shield Advanced는 고급 실시간 지표 및 보고서에 액세스하여 보호된 AWS 리소스에 대한 이벤트 및 공격에 대한 광범위한 가시성을 제공합니다. Shield Advanced API와 콘솔, 그리고 Amazon CloudWatch 지표를 통해 이 정보에 액세스할 수 있습니다.

  자세한 내용은 [Shield Advanced를 사용한 DDoS 이벤트 가시성](ddos-viewing-events.md) 섹션을 참조하세요.
+ ** AWS Firewall Manager(을)를 통한 Shield Advanced 보호의 중앙 집중식 관리** - Firewall Manager를 사용하여 새 계정 및 리소스에 Shield Advanced 보호를 자동으로 적용하고 웹 ACL에 AWS WAF 규칙을 배포할 수 있습니다. Shield Advanced 고객에게는 Firewall Manager Shield Advanced 보호 정책이 추가 비용 없이 포함됩니다. 또한 Amazon Simple Notification Service(SNS) 주제 또는 AWS Security Hub CSPM와 함께 Firewall Manager를 사용하거나 계정에 대한 Shield Advanced 모니터링 활동을 중앙 집중식으로 관리할 수도 있습니다.

  Firewall Manager를 사용하여 Shield Advanced 보호를 관리하는 방법에 대한 자세한 내용은 [AWS Firewall Manager](fms-chapter.md) 및 [Firewall Manager에서 AWS Shield Advanced 정책 사용](shield-policies.md) 섹션을 참조하세요. Firewall Manager 요금에 대한 자세한 내용은 [AWS Firewall Manager 요금](https://aws.amazon.com/firewall-manager/pricing/) 섹션을 참조하세요.
+ **AWS Shield 대응 팀(SRT)** - SRT는 AWS Amazon.com 및 자회사를 보호하는 데 풍부한 경험을 보유하고 있습니다. AWS Shield Advanced 고객으로서, 사용자는 애플리케이션 가용성에 영향을 미치는 DDoS 공격이 발생하는 동안 언제든지 SRT에 문의하여 지원을 받을 수 있습니다. 또한 SRT와 협력하여 리소스에 대한 사용자 지정 방어 수단을 만들고 관리할 수도 있습니다. SRT의 서비스를 사용하려면 [Business Support 플랜](https://aws.amazon.com/premiumsupport/business-support/) 또는 [Enterprise Support 플랜](https://aws.amazon.com/premiumsupport/enterprise-support/)을 구독해야 합니다.

  자세한 내용은 [Shield 대응팀(SRT) 지원을 통한 관리형 DDoS 이벤트 응답](ddos-srt-support.md) 섹션을 참조하세요.
+ **선제적 대응** – 선제적 대응을 사용할 경우, Shield Advanced에서 탐지된 이벤트가 발생했을 때 보호된 리소스와 연결된 Amazon Route 53 상태 확인에서 위험한 것으로 나타나면 Shield 대응 팀(SRT)이 직접 연락을 드립니다. 따라서 수상한 공격으로 인해 애플리케이션을 사용하지 못할 수도 있는 상황이 발생했을 때 더 신속하게 전문가와 연락을 취할 수 있습니다.

  자세한 내용은 [SRT가 직접 연락할 수 있도록 사전 참여 설정](ddos-srt-proactive-engagement.md) 단원을 참조하십시오.
+ **비용 보호 기회** - Shield Advanced는 보호된 리소스에 대한 DDoS 공격으로 인해 발생할 수 있는 AWS 청구서 급증에 대한 일부 비용 보호를 제공합니다. 여기에는 Shield Advanced 데이터 전송(DTO) 사용 요금 급증에 대한 보장이 포함될 수 있습니다. Shield Advanced는 Shield Advanced 서비스 크레딧의 형태로 모든 비용 보호를 제공합니다.

  자세한 내용은 [공격 AWS Shield Advanced 후에서 크레딧 요청](ddos-request-service-credit.md) 단원을 참조하십시오.

# 추가 보호를 구독 AWS Shield Advanced 하고 적용할지 여부 결정
<a name="ddos-advanced-summary-deciding"></a>

구독할 AWS Shield Advanced 계정과 추가 보호를 적용할 위치를 결정하는 데 도움이 필요하면 이 섹션의 시나리오를 검토하십시오. Shield Advanced를 사용하면 통합 결제 계정으로 생성된 모든 계정에 대해 월 1회의 구독료와 전송된 데이터 GB를 기준으로 한 사용 요금을 지불합니다. Shield Advanced 요금에 대한 자세한 내용은 [AWS Shield Advanced 요금](https://aws.amazon.com/shield/pricing/) 섹션을 참조하세요.

Shield Advanced를 사용하여 애플리케이션과 해당 리소스를 보호하려면 애플리케이션을 관리하는 계정을 Shield Advanced에 등록한 다음 애플리케이션 리소스에 보호 기능을 추가합니다. 계정 구독 및 리소스 보호에 대한 자세한 내용은 [설 AWS Shield Advanced정](getting-started-ddos.md) 섹션을 참조하세요.

**Shield Advanced 구독 및 AWS WAF 비용**  
Shield Advanced 구독에는 Shield Advanced로 보호하는 리소스에 표준 AWS WAF 기능을 사용하는 비용이 포함됩니다. Shield Advanced 보호가 적용되는 표준 AWS WAF 요금은 보호 팩당 비용(웹 ACL), 규칙당 비용, 웹 요청 검사에 대한 백만 요청당 기본 가격, 최대 1,500WCUs 및 기본 본문 크기입니다.

Shield Advanced 자동 애플리케이션 계층 DDoS 완화를 활성화하면 150개의 보호 팩(웹 ACL) 용량 단위(WCU)를 사용하는 규칙 그룹이 웹 ACL에 추가됩니다. 이러한 WCU는 보호 팩(웹 ACL)의 WCU 사용량에 포함됩니다. 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md), [Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호](ddos-automatic-app-layer-response-rg.md), [의 웹 ACL 용량 단위(WCUs) AWS WAF](aws-waf-capacity-units.md) 섹션을 참조하세요.

Shield Advanced 구독은 Shield Advanced를 사용하여 보호하지 않는 리소스에 AWS WAF 대한 사용을 다루지 않습니다. 또한 보호된 리소스에 대한 비표준 추가 AWS WAF 비용도 부담하지 않습니다. 비표준 AWS WAF 비용의 예로는 Bot Control, CAPTCHA 규칙 작업, 1,500개 이상의 WCUs ACLs, 기본 본문 크기를 초과하는 요청 본문 검사 등이 있습니다. 전체 목록은 AWS WAF 요금 페이지에 나와 있습니다. Shield Advanced 구독에는 계층 7 DDoS Amazon Managed Rule 그룹에 대한 액세스 권한이 포함됩니다. 구독의 일부로 한 달에 최대 500억 개의 Shield Advanced 보호 AWS WAF 리소스 요청을 받게 됩니다. 500억 개를 초과하는 요청은 AWS Shield Advanced 요금 페이지에 따라 청구됩니다.

전체 정보 및 요금 예는 [Shield 요금](https://aws.amazon.com/shield/pricing/) 및 [AWS WAF 요금](https://aws.amazon.com/waf/pricing/)을 참조하세요.

**Shield Advanced 구독 결제**  
 AWS 채널 리셀러인 경우 계정 팀에 자세한 내용과 지침을 문의하세요. 이 결제 정보는 AWS 채널 리셀러가 아닌 고객을 위한 것입니다.

그 외의 모든 경우에는 다음과 같은 가입 및 결제 지침이 적용됩니다.
+  AWS Organizations 조직의 멤버인 계정의 경우는 지급인 계정 자체의 구독 여부에 관계없이 조직의 지급인 계정에 대해 Shield Advanced 구독을 AWS 청구합니다.
+ 동일한 [AWS Organizations 통합 결제 계정 패밀리](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)에 속하는 여러 계정에 가입하는 경우, 하나의 가입 요금이 패밀리 내 모든 가입 계정에 적용됩니다. 조직은 모든 AWS 계정 와(과) 모든 리소스를 소유해야 합니다.
+ 여러 조직의 여러 계정에 가입하는 경우에도 모든 조직, 계정, 리소스를 소유하고 있다면 모든 조직, 계정, 리소스에 대해 하나의 가입 요금을 지불할 수 있습니다. 계정 관리자 또는 AWS 지원팀에 문의하여 조직 중 하나를 제외한 모든 조직의 AWS Shield Advanced 구독 요금에 대한 수수료 면제를 요청합니다.

자세한 요금 정보 및 예는 [AWS Shield 요금](https://aws.amazon.com/shield/pricing/) 섹션을 참조하세요.

**보호할 애플리케이션 식별**  
다음 중 하나가 필요한 애플리케이션에는 Shield Advanced 보호를 구현하는 것을 고려해 보십시오.
+ 애플리케이션 사용자의 가용성이 보장됩니다.
+ 애플리케이션이 DDoS 공격의 영향을 받는 경우 DDoS 방어 전문가에게 신속하게 액세스할 수 있습니다.
+ 애플리케이션이 DDoS 공격의 영향을 받을 수 AWS 있음을 인식하고 보안 또는 운영 팀의 공격에 대한 알림을 AWS 받고 보안 또는 운영 팀에 에스컬레이션합니다.
+ DDoS 공격이 AWS 서비스 사용에 영향을 미치는 시기를 포함하여 클라우드 비용을 예측할 수 있습니다. 

애플리케이션 또는 해당 리소스에 위와 같은 사항이 필요한 경우 관련 계정에 대한 구독을 생성하는 것을 고려해 보십시오.

**보호할 리소스 식별**  
각 구독 계정에 대해 다음과 같은 특징을 가진 각 리소스에 Shield Advanced 보호를 추가하는 것을 고려해 보십시오.
+ 이 리소스는 인터넷 상의 외부 사용자에게 서비스를 제공합니다.
+ 리소스는 인터넷에 노출되며 중요한 애플리케이션의 일부이기도 합니다. 인터넷에서 사용자가 액세스할 수 있도록 의도했는지 여부와 상관없이 노출된 모든 리소스를 고려하십시오.
+ 리소스는 AWS WAF 웹 ACL로 보호됩니다.

리소스에 대한 보호를 생성하고 관리하는 방법에 대한 자세한 내용은 [의 리소스 보호 AWS Shield Advanced](ddos-resource-protections.md) 섹션을 참조하세요.

또한 이 가이드의 권장 사항을 따르면 DDoS 복원력을 위한 애플리케이션을 설계하고 최적의 보호를 위해 Shield Advanced의 기능을 적절하게 구성했는지 확인하는 데 도움이 됩니다.

# DDoS 공격의 예시
<a name="types-of-ddos-attacks"></a>

AWS Shield Advanced 는 다양한 유형의 공격에 대한 확장된 보호를 제공합니다.

다음 목록에서는 몇 가지 일반적인 공격 유형에 대해 설명합니다.



**UDP(User Datagram Protocol) 반사 공격**  
UDP 반사 공격 시 공격자는 요청의 소스를 스푸핑하고 UDP를 사용하여 서버에서 대규모 응답을 끌어낼 수 있습니다. 공격을 받는 스푸핑된 IP 주소에 추가 네트워크 트래픽이 유도되면 대상 서버의 속도가 느려질 수 있으며 합법적인 최종 사용자가 필요한 리소스에 액세스하지 못할 수 있습니다.

**TCP SYN flood**  
TCP SYN flood 공격의 목적은 연결을 절반 정도 열린 상태로 유지하여 시스템에서 사용 가능한 리소스가 고갈되도록 하는 것입니다. 사용자가 웹 서버와 같은 TCP 서비스에 연결하면 클라이언트는 TCP SYN 패킷을 전송합니다. 서버는 승인을 반환하고 클라이언트는 자체 승인을 반환하여 3방향 핸드셰이크를 완료합니다. TCP SYN flood에서 세 번째 승인은 반환되지 않고 서버는 응답을 대기하는 상태로 유지됩니다. 이로 인해 다른 사용자가 서버에 연결하지 못할 수 있습니다.

**DNS 쿼리 flood**  
DNS 쿼리 플러드에서 공격자는 여러 DNS 쿼리를 사용하여 DNS 서버의 리소스를 소진합니다.는 Route 53 DNS 서버의 DNS 쿼리 플러드 공격으로부터 보호하는 데 도움이 될 AWS Shield Advanced 수 있습니다.

**HTTP flood/캐시 버스팅(계층 7) 공격**  
`GET` 및 `POST` flood를 포함한 HTTP flood 공격에서 공격자는 웹 애플리케이션의 실제 사용자로부터 나온 것처럼 보이는 여러 HTTP 요청을 전송합니다. 캐시 버스팅 공격은 HTTP 요청 쿼리 문자열에서 변형을 사용하여 에지 로케이션 캐시 콘텐츠 사용을 가로막고 콘텐츠가 오리진 웹 서버에서 제공되도록 강제하여 오리진 웹 서버에 손상을 일으킬 수 있는 추가 부담을 발생시키는 일종의 HTTP flood입니다.

# 가 이벤트를 AWS Shield 감지하는 방법
<a name="ddos-event-detection"></a>

AWS 는 AWS 네트워크 및 개별 AWS 서비스에 대한 서비스 수준 탐지 시스템을 운영하여 DDoS 공격 중에도 계속 사용할 수 있도록 합니다. 또한 리소스 수준 감지 시스템은 각 개별 AWS 리소스를 모니터링하여 리소스에 대한 트래픽이 예상 파라미터 내에 유지되도록 합니다. 이 조합은 알려진 잘못된 패킷을 삭제하고, 잠재적으로 악의적인 트래픽을 강조 표시하고, 최종 사용자의 트래픽 우선 순위를 지정하는 완화 조치를 적용하여 대상 AWS 리소스와 AWS 서비스를 모두 보호합니다.

감지된 이벤트는 Shield Advanced 이벤트 요약, 공격 세부 정보 및 Amazon CloudWatch 지표에 DDoS 공격 벡터의 명칭 또는 시그니처 대신 트래픽 볼륨에 근거하여 평가한 경우, `Volumetric`으로 표시됩니다. `DDoSDetected` CloudWatch 지표 내에서 사용할 수 있는 공격 벡터 차원에 대한 자세한 설명은 [AWS Shield Advanced 지표](shield-metrics.md)을 참조하세요.

**Topics**
+ [AWS Shield 인프라 계층 위협에 대한 탐지 로직(계층 3 및 계층 4)](ddos-event-detection-infrastructure.md)
+ [애플리케이션 계층 위협(계층 7)에 대한 Shield Advanced 탐지 로직](ddos-event-detection-application.md)
+ [애플리케이션 내 여러 리소스에 대한 탐지 로직](ddos-event-detection-multiple-resources.md)

# AWS Shield 인프라 계층 위협에 대한 탐지 로직(계층 3 및 계층 4)
<a name="ddos-event-detection-infrastructure"></a>

이 페이지에서는 인프라(네트워크 및 전송) 계층에 대한 이벤트 탐지의 작동 방식을 설명합니다.

인프라 계층(계층 3 및 계층 4)의 DDoS 공격으로부터 대상 AWS 리소스를 보호하는 데 사용되는 탐지 로직은 리소스 유형과 리소스가 보호되는지 여부에 따라 달라집니다 AWS Shield Advanced.

**Amazon CloudFront 및 Amazon Route 53에 대한 감지**  
CloudFront 및 Route 53으로 웹 애플리케이션을 서비스하는 경우, 완전한 인라인 DDoS 완화 시스템이 애플리케이션에 대한 모든 패킷을 검사하므로 지연 시간이 거의 발생하지 않습니다. CloudFront 배포 및 Route 53 호스팅 영역에 대한 DDoS 공격은 실시간으로 완화됩니다. 이러한 보호는 AWS Shield Advanced사용 여부에 관계없이 적용됩니다.

가능한 경우, CloudFront와 Route 53을 웹 애플리케이션의 진입점으로 사용하는 모범 사례를 따라 DDoS 이벤트를 가장 빠르게 감지하고 완화하십시오.

**AWS Global Accelerator 및 리전 서비스 탐지**  
리소스 수준 감지는 Classic Load Balancer, Application Load Balancer, 탄력적 IP 주소(EIPs)와 같은 AWS 리전에서 시작되는 AWS Global Accelerator 표준 액셀러레이터와 리소스를 보호합니다. 이러한 리소스 타입은 완화가 필요한 DDoS 공격의 존재를 나타낼 수 있는 트래픽 상승 여부를 모니터링합니다. 1분마다 각 AWS 리소스에 대한 트래픽이 평가됩니다. 리소스에 대한 트래픽이 증가하면 리소스의 용량을 측정하기 위한 추가 검사가 수행됩니다.

Shield는 다음과 같은 표준 검사를 수행합니다.
+ **Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, Amazon EC2 인스턴스에 연계된 EIP** — Shield는 보호된 리소스에서 용량을 검색합니다. 용량은 대상의 인스턴스 타입, 인스턴스 크기 및 인스턴스가 향상된 네트워킹을 사용하는지 여부와 같은 기타 요인에 따라 달라집니다.
+ **Classic Load Balancer와 Application Load Balancer** - Shield는 대상 로드 밸런서 노드에서 용량을 검색합니다.
+ **Network Load Balancer에 연계된 EIP** - Shield는 대상 로드 밸런서에서 용량을 검색합니다. 용량은 대상 로드 밸런서의 그룹 구성과 무관합니다.
+ **AWS Global Accelerator 표준 액셀러레이터** - Shield는 엔드포인트 구성을 기반으로 용량을 검색합니다.

이러한 평가는 포트 및 프로토콜과 같은 다양한 네트워크 트래픽 차원에 걸쳐 이루어집니다. 대상 리소스의 용량이 초과되면 Shield는 DDoS 완화 조치를 취합니다. Shield가 도입한 완화 조치는 DDoS 트래픽을 감소시키지만 제거하지는 못할 수도 있습니다. Shield는 알려진 DDoS 공격 벡터와 일치하는 트래픽 차원에서 리소스 용량의 일부가 초과되는 경우에도 완화할 수 있습니다. Shield는 이 완화 조치를 TTL(Time to Live)로 설정하며, 이 기간은 공격이 진행되는 한 연장됩니다.

**참고**  
Shield가 도입한 완화 조치는 DDoS 트래픽을 감소시키지만 제거하지는 못할 수도 있습니다. AWS Network Firewall 또는와 같은 온호스트 방화벽으로 Shield를 보강iptables하여 애플리케이션이 애플리케이션에 유효하지 않거나 합법적인 최종 사용자가 생성하지 않은 트래픽을 처리하지 못하도록 할 수 있습니다.

Shield Advanced 보호 기능은 기존 Shield 감지 활동에 다음을 추가합니다.
+ **더 낮은 감지 임계값** - Shield Advanced는 계산된 용량의 절반에 완화 기능을 적용합니다. 이렇게 하면 느리게 증가하는 공격을 더 빠르게 완화하고 볼륨 측정 시그니처가 더 모호한 공격을 완화할 수 있습니다.
+ **간헐적 공격 보호** - Shield Advanced는 공격 빈도와 지속 시간을 기준으로 TTL(Time to Live)을 기하급수적으로 늘려 방어 체계를 구축합니다. 따라서 리소스를 자주 표적으로 삼는 경우와 짧은 시간에 공격이 발생하는 경우, 방어 조치를 더 오래 유지할 수 있습니다.
+ **상태 기반 감지** - Route 53 상태 체크를 Shield Advanced의 보호 리소스와 연계하면 상태 체크의 상태가 감지 로직에 사용됩니다. 감지된 이벤트 중에 상태 체크가 정상이면 Shield Advanced는 완화 조치를 취하기 전에 해당 이벤트가 공격이라는 확신을 더 높여야 합니다. 대신 상태 체크가 정상적이지 않은 경우, Shield Advanced는 신뢰가 설정되기 전에도 완화 조치를 취할 수 있습니다. 이 기능을 사용하면 오감지를 방지하고 애플리케이션에 영향을 미치는 공격에 더 빠르게 대응할 수 있습니다. Shield Advanced의 상태 체크에 대한 자세한 설명은 [Shield Advanced 및 Route 53에서 상태 확인을 사용한 상태 기반 감지](ddos-advanced-health-checks.md)을 참조하세요.

# 애플리케이션 계층 위협(계층 7)에 대한 Shield Advanced 탐지 로직
<a name="ddos-event-detection-application"></a>

이 페이지에서는 애플리케이션 계층에서 이벤트 탐지 작동 방법에 관해 설명합니다.

AWS Shield Advanced 는 보호된 Amazon CloudFront 배포 및 Application Load Balancer에 대한 웹 애플리케이션 계층 감지를 제공합니다. Shield Advanced로 이러한 리소스 타입을 보호하는 경우, AWS WAF 웹 ACL을 보호 기능과 연계하여 웹 애플리케이션 계층 감지를 활성화할 수 있습니다. Shield Advanced는 관련 웹 ACL에 대한 요청 데이터를 사용하고 애플리케이션에 대한 트래픽 기준을 구축합니다. 웹 애플리케이션 계층 감지는 Shield Advanced와 AWS WAF간의 기본 통합에 근거하여 합니다. AWS WAF 웹 ACL을 Shield Advanced 보호 리소스에 연결하는 등 애플리케이션 계층 보호에 대해 자세히 알아보려면 섹션을 참조하세요[AWS Shield Advanced 및를 사용하여 애플리케이션 계층(계층 7) 보호 AWS WAF](ddos-app-layer-protections.md).

웹 애플리케이션 계층 감지의 경우, Shield Advanced는 애플리케이션 트래픽을 모니터링하고 이를 과거 기준선과 비교하여 이상 징후를 찾습니다. 이 모니터링은 총 볼륨과 트래픽 구성을 다룹니다. DDoS 공격 중에는 트래픽의 양과 구성이 모두 변할 것으로 예상되며, Shield Advanced는 이벤트를 선언하기 위해 두 가지 모두에 통계적으로 유의미한 편차가 있어야 합니다.

Shield Advanced는 과거 시간 창을 기준으로 측정을 수행합니다. 이 접근 방식은 트래픽 볼륨의 합법적인 변동이나 예상 패턴과 일치하는 트래픽 변화(예: 매일 같은 시간에 제공되는 판매)로 인한 오감지 알림을 줄입니다.

**참고**  
Shield Advanced에 정상적이고 합법적인 트래픽 패턴을 표시하는 기준을 설정할 시간을 주어 오감지를 방지하세요. Shield Advanced는 웹 ACL을 보호된 리소스와 연결할 때 기준 정보를 수집하기 시작합니다. 웹 트래픽에 비정상적인 패턴을 유발할 수 있는 계획된 이벤트가 발생하기 최소 24시간 전에 웹 ACL을 보호 대상 리소스와 연계하세요. Shield Advanced 웹 애플리케이션 계층 감지는 30일 동안 정상 트래픽을 관찰했을 때 가장 정확합니다.

Shield Advanced가 이벤트를 감지하는 데 걸리는 시간은 관찰되는 트래픽 양의 변화 정도에 영향을 받습니다. 볼륨 변화가 적은 경우, Shield Advanced는 이벤트가 발생하고 있다는 확신을 주기 위해 더 오랜 기간 동안 트래픽을 관찰합니다. 볼륨 변화가 많은 경우, Shield Advanced는 이벤트를 더 빠르게 감지하고 보고합니다.

웹 ACL의 속도 기반 규칙은 사용자가 추가하든 또는 Shield Advanced 자동 애플리케이션 계층 완화 기능에 추가하든 관계없이 탐지 가능한 수준에 도달하기 전에 공격을 완화할 수 있습니다. 자동 애플리케이션 계층 DDoS 완화에 대한 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md) 섹션을 참조하세요.

**참고**  
트래픽 증가나 부하 증가에 대응하여 확장되도록 애플리케이션을 설계하여 요청 플러드 규모가 작아도 영향을 받지 않도록 할 수 있습니다. Shield Advanced를 사용하면 보호된 리소스에 비용 보호가 적용됩니다. 이를 통해 DDoS 공격으로 인해 발생할 수 있는 예상치 못한 클라우드 요금 인상으로부터 보호할 수 있습니다. Shield Advanced 비용 보호에 대한 자세한 설명은 [공격 AWS Shield Advanced 후에서 크레딧 요청](ddos-request-service-credit.md)을 참조하세요.

# 애플리케이션 내 여러 리소스에 대한 탐지 로직
<a name="ddos-event-detection-multiple-resources"></a>

애플리케이션의 여러 리소스에서 이벤트 탐지가 어떻게 구현되는지를 이해합니다.

 AWS Shield Advanced 보호 그룹을 사용하여 동일한 애플리케이션의 일부인 보호된 리소스 모음을 생성할 수 있습니다. 그룹에 배치할 보호 리소스를 선택하거나 동일한 타입의 모든 리소스를 하나의 그룹으로 취급하도록 지정할 수 있습니다. 예를 들어, 모든 Application Load Balancer로 구성된 그룹을 생성할 수 있습니다. 보호 그룹을 만들면 Shield Advanced 감지는 그룹 내 보호된 리소스에 대한 모든 트래픽을 집계합니다. 이는 리소스가 많고 각 리소스의 트래픽 양은 적지만 총 볼륨이 큰 경우에 유용합니다. 보호된 리소스 간에 트래픽이 전송되는 블루-그린 배포의 경우, 보호 그룹을 사용하여 애플리케이션 기준을 유지할 수도 있습니다.

다음 방법 중 하나로 보호 그룹의 트래픽을 집계하도록 선택할 수 있습니다.
+ **합계** - 이 집계는 보호 그룹 내 리소스 전반의 모든 트래픽을 합산합니다. 이 집계를 사용하면 새로 만든 리소스에 기존 기준이 적용되도록 하고 감지 민감도를 낮춰 오감지를 방지할 수 있습니다.
+ **평균** - 이 집계에는 보호 그룹 전체의 모든 트래픽의 평균이 사용됩니다. 로드 밸런서와 같이 리소스 간 트래픽이 균일한 애플리케이션에 이 집계를 사용할 수 있습니다.
+ **최대** - 이 집계는 보호 그룹에 있는 모든 리소스 중 가장 많은 트래픽을 사용합니다. 보호 그룹에 여러 계층의 애플리케이션이 있는 경우, 이 집계를 사용할 수 있습니다. 예컨대, CloudFront 배포, 해당 Application Load Balancer 오리진, Application Load Balancer의 Amazon EC2 인스턴스 대상을 포함하는 보호 그룹이 있을 수 있습니다.

또한 보호 그룹을 사용하여 여러 인터넷 경계 엘라스틱 IP 또는 AWS Global Accelerator 표준 액셀러레이터를 대상으로 하는 공격에 대해 Shield Advanced가 방어 조치를 적용하는 속도를 개선할 수 있습니다. 보호 그룹의 한 리소스를 대상으로 하는 경우, Shield Advanced는 그룹 내 다른 리소스에 대한 신뢰를 설정합니다. 이렇게 하면 Shield Advanced 감지에 대한 경고가 발생하여 추가 완화 조치를 만드는 데 필요한 시간을 줄일 수 있습니다.

보호 그룹에 대한 자세한 설명은 [AWS Shield Advanced 보호 그룹화](ddos-protection-groups.md) 섹션을 참조하세요.

# 가 이벤트를 AWS Shield 완화하는 방법
<a name="ddos-event-mitigation"></a>

이 페이지에서는 AWS Shield 이벤트 완화의 작동 방식을 소개합니다.

애플리케이션을 보호하는 완화 로직은 애플리케이션 아키텍처에 따라 달라질 수 있습니다. Amazon CloudFront와 Amazon Route 53으로 웹 애플리케이션을 보호하면 웹 및 DNS 사용 사례에만 적용되고 서비스에 대한 모든 트래픽을 보호하는 완화 기능을 활용할 수 있습니다. 애플리케이션의 진입점이 리전에서 실행되는 리소스인 AWS 경우 완화 로직은 서비스, 리소스 유형 및 사용에 따라 달라집니다 AWS Shield Advanced.

AWS DDoS 완화 시스템은 Shield 엔지니어가 개발하며 AWS 서비스와 긴밀하게 통합됩니다. 엔지니어는 대상 리소스의 용량 및 상태와 같은 아키텍처 측면을 고려합니다. Shield 엔지니어는 DDoS 방어 시스템의 효과와 성능을 지속적으로 모니터링하며 새로운 위협이 발견되거나 예측되면 신속하게 대응할 수 있습니다.

트래픽이나 부하 증가에 대응하여 규모를 조정하도록 애플리케이션을 설계하여 요청 폭주 규모가 작아도 영향을 받지 않도록 할 수 있습니다. Shield Advanced를 사용하여 리소스를 보호하면 DDoS 공격으로 인해 발생할 수 있는 예상치 못한 클라우드 요금 증가에 대비할 수 있습니다.

**인프라 완화**  
인프라 계층 공격의 경우 AWS 네트워크 경계와 AWS 엣지 로케이션에 AWS Shield DDoS 완화 시스템이 있습니다. AWS 인프라 전체에 여러 수준의 보안 제어를 배치하면 클라우드 애플리케이션에 defense-in-depth를 제공할 수 있습니다.

Shield는 인터넷의 모든 수신 지점에서 DDoS 방어 시스템을 유지 관리합니다. Shield는 DDoS 공격을 탐지하면 각 진입 지점에 대해 동일한 위치에 있는 DDoS 방어 시스템을 통해 트래픽을 다시 라우팅합니다. 이로 인해 추가 지연 시간이 발생하지 않으며 모든 AWS 리전 및 모든 엣지 로케이션에서 초당 100테라비트(Tbps) 이상의 방어 용량이 제공됩니다. Shield는 트래픽을 외부 또는 원격 스크러빙 센터로 다시 라우팅하지 않고도 리소스 가용성을 보호하므로 지연 시간이 늘어날 수 있습니다.
+  AWS 네트워크 경계에서 모든 AWS 서비스 또는 리소스에 대해 DDoS 완화 시스템은 인터넷에서 발생하는 인프라 계층 공격을 완화합니다. 시스템은 Shield 탐지 또는 Shield 대응 팀(SRT)의 엔지니어가 신호를 받으면 완화 조치를 수행합니다.
+  AWS 엣지 로케이션에서 DDoS 완화 시스템은 오리진에 관계없이 Amazon CloudFront 배포 및 Amazon Route 53 호스팅 영역으로 전달되는 모든 패킷을 지속적으로 검사합니다. 필요한 경우 시스템은 웹 및 DNS 트래픽을 위해 특별히 설계된 완화 기능을 적용합니다. Amazon CloudFront와 Amazon Route 53를 사용하여 웹 애플리케이션을 보호할 때 얻을 수 있는 또 다른 이점은 Shield 탐지 신호 없이도 DDoS 공격을 즉시 완화할 수 있다는 것입니다.

**애플리케이션 계층 완화**  
Shield Advanced는 Shield Advanced 보호를 활성화한 Amazon CloudFront 배포와 Application Load Balancer를 위한 웹 애플리케이션 계층 완화 기능을 제공합니다. 보호를 활성화하면 AWS WAF 웹 ACL을 리소스와 연결하여 웹 애플리케이션 계층 감지를 활성화합니다. 또한 자동 애플리케이션 계층 완화를 활성화하여 Shield Advanced가 DDoS 공격 중에 보호 기능을 관리하도록 지시하는 옵션도 있습니다.

Shield는 Shield Advanced를 활성화한 리소스에 대한 애플리케이션 계층 공격에 대한 사용자 지정 완화 기능과 자동 애플리케이션 계층 완화만 제공합니다. 자동 완화를 통해 Shield Advanced는 알려진 DDoS 소스의 요청에 AWS WAF 속도 제한을 적용하고 탐지된 DDoS 공격에 대응하여 사용자 지정 AWS WAF 보호를 자동으로 추가하고 관리합니다. 이러한 유형의 완화 조치에 대한 자세한 내용은 [Shield Advanced가 자동 완화를 관리하는 방법](ddos-automatic-app-layer-response-behavior.md) 섹션을 참조하세요.

웹 ACL의 속도 기반 규칙은 사용자가 추가하든 Shield Advanced 자동 애플리케이션 계층 완화 기능에 추가 여부와 관계없이 감지 가능한 수준에 도달하기 전에 공격을 완화할 수 있습니다. 탐지에 대한 자세한 내용은 [애플리케이션 계층 위협(계층 7)에 대한 Shield Advanced 탐지 로직](ddos-event-detection-application.md) 섹션을 참조하세요.

**Topics**
+ [AWS Shield DDoS 완화 기능 목록](ddos-event-mitigation-features.md)
+ [AWS Shield CloudFront 및 Route 53에 대한 완화 로직](ddos-event-mitigation-logic-continuous-inspection.md)
+ [AWS Shield AWS 리전에 대한 완화 로직](ddos-event-mitigation-logic-regions.md)
+ [AWS Shield AWS Global Accelerator 표준 액셀러레이터에 대한 완화 로직](ddos-event-mitigation-logic-gax.md)
+ [AWS Shield Advanced 탄력IPs에 대한 완화 로직](ddos-event-mitigation-logic-adv-eip.md)
+ [AWS Shield Advanced 웹 애플리케이션에 대한 완화 로직](ddos-event-mitigation-logic-adv-web-app.md)

# AWS Shield DDoS 완화 기능 목록
<a name="ddos-event-mitigation-features"></a>

 AWS Shield DDoS 완화의 주요 기능은 다음과 같습니다.
+ **패킷 검증** — 이렇게 하면 검사된 모든 패킷이 예상 구조를 준수하고 해당 프로토콜에 유효한지 확인할 수 있습니다. 지원되는 프로토콜 검증에는 IP, TCP(헤더 및 옵션 포함), UDP, ICMP, DNS 및 NTP가 포함됩니다.
+ **액세스 제어 목록(ACL) 및 셰이퍼** — ACL은 특정 속성을 기준으로 트래픽을 평가하여 일치하는 트래픽을 삭제하거나 셰이퍼에 매핑합니다. 셰이퍼는 일치하는 트래픽의 패킷 속도를 제한하여 대상에 도달하는 볼륨을 포함하도록 초과 패킷을 삭제합니다. AWS Shield 탐지 및 Shield 대응 팀(SRT) 엔지니어는 예상 트래픽에 대한 전용 속도 할당과 알려진 DDoS 공격 벡터와 일치하는 속성을 가진 트래픽에 대한 보다 제한적인 속도 할당을 제공할 수 있습니다. ACL이 일치시킬 수 있는 속성에는 포트, 프로토콜, TCP 플래그, 목적지 주소, 소스 국가, 패킷 페이로드의 임의 패턴 등이 있습니다.
+ **의심 점수 산정** — Shield가 예상 트래픽을 파악하여 모든 패킷에 점수를 적용합니다. 알려진 정상 트래픽 패턴과 더 밀접하게 일치하는 패킷에는 더 낮은 의심 점수가 할당됩니다. 알려진 불량 트래픽 속성을 관찰하면 패킷의 의심 점수를 높일 수 있습니다. 속도 제한 패킷이 필요한 경우 Shield는 의심 점수가 높은 패킷을 먼저 삭제합니다. 이를 통해 Shield는 알려진 DDoS 공격과 제로 데이 DDoS 공격을 모두 완화하는 동시에 오탐지를 피할 수 있습니다.
+ **TCP SYN 프록시** — TCP SYN 쿠키를 전송하여 새 연결을 시도한 다음 보호된 서비스로 전달하도록 허용함으로써 TCP SYN flood를 방지합니다. Shield DDoS 방어 기능이 제공하는 TCP SYN 프록시는 상태 비저장 방식이므로, 알려진 최대 규모의 TCP SYN flood 공격을 상태 소진 없이 완화할 수 있습니다. 이는 클라이언트와 보호된 AWS 서비스 간에 지속적인 프록시를 유지하는 대신 서비스와 통합하여 연결 상태를 전달합니다. TCP SYN 프록시는 현재 Amazon CloudFront와 Amazon Route 53에서 사용할 수 있습니다.
+ **속도 분산** — 이렇게 하면 보호된 리소스로 향하는 트래픽의 수신 패턴을 기반으로 위치별 셰이퍼 값이 지속적으로 조정됩니다. 이렇게 하면 AWS 네트워크에 균등하게 들어가지 않을 수 있는 고객 트래픽의 속도 제한이 방지됩니다.

# AWS Shield CloudFront 및 Route 53에 대한 완화 로직
<a name="ddos-event-mitigation-logic-continuous-inspection"></a>

이 페이지에서는 Shield DDoS 완화 기능은 CloudFront와 Route 53의 트래픽을 지속적으로 검사하는 방법을 설명합니다. 이러한 서비스는 Shield의 DDoS 완화 용량에 대한 광범위한 액세스를 제공하고 최종 사용자에게 더 가까운 인프라에서 애플리케이션을 제공하는 전 세계에 분산된 AWS 엣지 로케이션 네트워크에서 운영됩니다.

**중요**  
AWS Shield Advanced 는 CloudFront 테넌트를 지원하지 않습니다.
+ **CloudFront** — Shield DDoS 완화 기능은 웹 애플리케이션에 유효한 트래픽만 서비스로 전달하도록 허용합니다. 이를 통해 UDP 반사 공격과 같은 여러 일반적인 DDoS 벡터로부터 자동으로 보호됩니다.

  CloudFront는 애플리케이션 오리진에 대한 지속적인 연결을 유지하고, Shield TCP SYN 프록시 기능과의 통합을 통해 TCP SYN flood를 자동으로 완화하며 엣지에서 전송 계층 보안(TLS)을 종료합니다. 이러한 결합 특성을 통해 애플리케이션 오리진은 올바른 형식의 웹 요청만 수신하고 하위 계층 DDoS 공격, 연결 flood 및 TLS 남용으로부터 보호됩니다.

  CloudFront는 DNS 트래픽 방향과 애니캐스트 라우팅을 함께 사용합니다. 이러한 기술은 소스에 가까운 공격을 완화하고, 장애를 격리하고, 알려진 최대 규모의 공격을 완화할 수 있는 용량에 대한 액세스를 보장함으로써 애플리케이션의 복원력을 개선합니다.
+ **Route 53** — Shield 완화 기능은 유효한 DNS 요청만 서비스에 도달하도록 허용합니다. Shield는 알려진 양호한 쿼리의 우선 순위를 지정하고 의심스럽거나 알려진 DDoS 공격 속성이 포함된 쿼리의 우선 순위를 낮추는 의심 점수를 사용하여 DNS 쿼리 flood를 완화합니다.

  Route 53은 셔플 샤딩을 사용하여 IPv4와 IPv6 모두에 대해 모든 호스팅 영역에 4개의 리졸버 IP 주소로 구성된 고유한 세트를 제공합니다. 각 IP 주소는 Route 53 위치의 다른 하위 집합에 해당합니다. 각 위치 하위 집합은 다른 하위 집합의 인프라와 부분적으로만 겹치는 신뢰할 수 있는 DNS 서버로 구성됩니다. 이렇게 하면 사용자 쿼리가 실패한 이유가 무엇이든 재시도 시 성공적으로 처리됩니다.

  Route 53은 애니캐스트 라우팅을 사용하여 네트워크 근접성을 기반으로 DNS 쿼리를 가장 가까운 엣지 로케이션에 전달합니다. 또한 애니캐스트는 DDoS 트래픽을 여러 엣지 로케이션으로 전송하여 공격이 단일 위치에 집중되는 것을 방지합니다.

CloudFront와 Route 53은 완화 속도 외에도 전 세계에 분산된 Shield의 용량에 대한 광범위한 액세스를 제공합니다. 이러한 기능을 활용하려면 이러한 서비스를 동적 또는 정적 웹 애플리케이션의 진입점으로 사용하십시오.

CloudFront와 Route 53을 사용하여 웹 애플리케이션을 보호하는 방법에 대해 자세히 알아보려면 [Amazon CloudFront와 Amazon Route 53을 사용하여 DDoS 공격으로부터 동적 웹 애플리케이션을 보호하는 방법](https://aws.amazon.com/blogs/security/how-to-protect-dynamic-web-applications-against-ddos-attacks-by-using-amazon-cloudfront-and-amazon-route-53/) 섹션을 참조하세요. Route 53의 장애 격리에 대해 자세히 알아보려면 [글로벌 장애 격리에 관한 사례 연구](https://aws.amazon.com/blogs/architecture/a-case-study-in-global-fault-isolation/) 섹션을 참조하세요.

# AWS Shield AWS 리전에 대한 완화 로직
<a name="ddos-event-mitigation-logic-regions"></a>

이 페이지에서는 AWS 리전에서 Shield 이벤트 완화 로직이 작동하는 방식을 설명합니다.

 AWS 리전에서 시작된 리소스는 Shield 리소스 수준 탐지로 배치된 AWS Shield DDoS 완화 시스템으로 보호됩니다. 리전 리소스에는 탄력적 IP(EIP), Classic Load Balancer, Application Load Balancer가 포함됩니다.

Shield는 완화 조치를 취하기 전에 대상 리소스와 해당 용량을 식별합니다. Shield는 용량을 사용하여 완화 기능을 통해 리소스에 전달할 수 있는 최대 총 트래픽을 결정합니다. 완화 기능에 포함된 액세스 제어 목록(ACL) 및 기타 셰이퍼를 사용하면 알려진 DDoS 공격 벡터와 일치하거나 대량으로 유입될 것으로 예상되지 않는 트래픽과 같은 일부 트래픽에 허용되는 볼륨이 감소할 수 있습니다. 이로 인해 UDP 반사 공격이나 TCP SYN 또는 FIN 플래그가 있는 TCP 트래픽에 대해 완화 방법으로 허용하는 트래픽의 양이 더욱 제한됩니다.

Shield는 용량을 결정하고 각 리소스 유형별로 완화 조치를 다르게 적용합니다.
+ Amazon EC2 인스턴스 또는 Amazon EC2 인스턴스에 연결된 EIP의 경우, Shield는 인스턴스 유형 및 기타 인스턴스 속성(예: 인스턴스에 향상된 네트워킹 기능이 활성화되어 있는지 여부)을 기반으로 용량을 계산합니다.
+ Application Load Balancer 또는 Classic Load Balancer의 경우, Shield는 로드 밸런서의 각 대상 노드에 대해 개별적으로 용량을 계산합니다. 이러한 리소스에 대한 DDoS 공격 완화는 Shield DDoS 완화와 로드 밸런서의 자동 규모 조정을 조합하여 제공됩니다. Shield 대응 팀(SRT)은 Application Load Balancer 또는 Classic Load Balancer 리소스에 대한 공격에 연루되면 추가 보호 조치로 규모 조정을 가속화할 수 있습니다.
+ Shield는 기본 AWS 인프라의 가용 용량을 기반으로 일부 AWS 리소스의 용량을 계산합니다. 이러한 리소스 유형에는 Network Load Balancer(NLBs)와 Gateway Load Balancer 또는를 통해 트래픽을 라우팅하는 리소스가 포함됩니다 AWS Network Firewall.

**참고**  
Shield Advanced로 보호되는 EIP를 연결하여 Network Load Balancer를 보호하십시오. SRT를 활용하여 기본 애플리케이션의 예상 트래픽 및 용량을 기반으로 맞춤형 완화 기능을 구축할 수 있습니다.

Shield가 완화 조치를 취하면 Shield가 완화 로직에서 정의한 초기 속도 제한이 모든 Shield DDoS 방어 시스템에 동일하게 적용됩니다. 예를 들어 Shield가 초당 100,000개의 패킷(pps) 한도로 완화 조치를 취한다면 처음에는 모든 위치에서 100,000pps를 허용할 것입니다. 그런 다음 Shield는 지속적으로 완화 지표를 집계하여 실제 트래픽 비율을 결정하고 이 비율을 사용하여 각 위치의 속도 제한을 조정합니다. 이렇게 하면 오탐지를 방지하고 완화 조치가 지나치게 관대하지 않도록 할 수 있습니다.

# AWS Shield AWS Global Accelerator 표준 액셀러레이터에 대한 완화 로직
<a name="ddos-event-mitigation-logic-gax"></a>

이 페이지에서는 AWS Global Accelerator 표준 액셀러레이터에서 Shield 이벤트 완화 로직이 작동하는 방식을 설명합니다. Shield 완화 기능은 유효한 트래픽만 Global Accelerator 표준 액셀러레이터의 리스너 엔드포인트에 도달하도록 허용합니다.

표준 액셀러레이터는 전 세계에 배포되며 트래픽을 모든 AWS 리전의 AWS 리소스로 라우팅하는 데 사용할 수 있는 IP 주소를 제공합니다. Shield가 Global Accelerator 완화 조치를 위해 적용하는 속도 제한은 표준 액셀러레이터가 트래픽을 라우팅하는 리소스의 용량을 기반으로 합니다. Shield는 총 트래픽이 결정된 속도를 초과하는 경우 및 알려진 DDoS 벡터에 대해 해당 속도의 일부가 초과되는 경우에 완화 조치를 취합니다.

표준 액셀러레이터를 구성할 때는 애플리케이션의 트래픽을 라우팅할 각 AWS 리전의 엔드포인트 그룹을 정의합니다. Shield는 완화 조치를 취하면 각 엔드포인트 그룹의 용량을 계산하고 이에 따라 각 Shield DDoS 방어 시스템의 속도 제한을 업데이트합니다. 속도는 트래픽이 인터넷에서 AWS 리소스로 라우팅되는 방식에 대한 Shield의 가정에 따라 각 위치에 따라 달라집니다. 엔드포인트 그룹의 용량은 그룹 내 리소스 수에 그룹 내 리소스의 최소 용량을 곱한 값으로 계산됩니다. Shield는 정기적으로 애플리케이션 용량을 재계산하고 필요에 따라 속도 제한을 업데이트합니다.

**참고**  
트래픽 다이얼을 사용하여 엔드포인트 그룹으로 전달되는 트래픽의 비율을 변경해도 Shield가 속도 제한을 계산하거나 DDoS 방어 시스템에 분배하는 방식은 바뀌지 않습니다. 트래픽 다이얼을 사용하는 경우 리소스 유형 및 수량 측면에서 엔드포인트 그룹이 서로를 미러링하도록 구성하십시오. 이렇게 하면 Shield에서 계산한 용량이 애플리케이션의 트래픽을 처리하는 리소스를 대표하는지 확인할 수 있습니다.

Global Accelerator의 엔드포인트 그룹 및 트래픽 다이얼에 대한 자세한 내용은 [AWS Global Accelerator 표준 액셀러레이터의 엔드포인트 그룹](https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoint-groups.html) 섹션을 참조하세요.

# AWS Shield Advanced 탄력IPs에 대한 완화 로직
<a name="ddos-event-mitigation-logic-adv-eip"></a>

이 페이지에서는를 사용하는 탄력적 IPs에 대해 Shield 이벤트 완화 로직이 작동하는 방법을 설명합니다 AWS Shield Advanced. 를 사용하여 탄력적 IP(EIP)를 보호하면 AWS Shield Advanced Shield Advanced는 DDoS 이벤트 중에 Shield가 발생시키는 완화 조치를 개선합니다.

Shield Advanced DDoS 완화 시스템은 EIP가 연결된 퍼블릭 서브넷의 네트워크 ACL(NACL) 구성을 복제합니다. 예를 들어 NACL이 모든 UDP 트래픽을 차단하도록 구성된 경우 Shield Advanced는 해당 규칙을 Shield가 적용하는 완화 기능에 병합합니다.

이 추가 기능을 사용하면 애플리케이션에 유효하지 않은 트래픽으로 인한 가용성 위험을 피할 수 있습니다. 또한 NACL을 사용하여 개별 소스 IP 주소 또는 소스 IP 주소 CIDR 범위를 차단할 수 있습니다. 이는 분산되지 않은 DDoS 공격에 대한 유용한 방어 도구가 될 수 있습니다. 또한 AWS 엔지니어의 개입에 의존하지 않고도 자체 허용 목록을 쉽게 관리하거나 애플리케이션과 통신해서는 안 되는 IP 주소를 차단할 수 있습니다.

# AWS Shield Advanced 웹 애플리케이션에 대한 완화 로직
<a name="ddos-event-mitigation-logic-adv-web-app"></a>

AWS Shield Advanced 는 AWS WAF 를 사용하여 웹 애플리케이션 계층 공격을 완화합니다. AWS WAF 는 추가 비용 없이 Shield Advanced에 포함되어 있습니다.

**표준 애플리케이션 계층 보호**  
Amazon CloudFront 배포 또는 Application Load Balancer를 Shield Advanced로 보호할 때 아직 연결되지 않은 경우 Shield Advanced를 사용하여 AWS WAF 웹 ACL을 보호된 리소스와 연결할 수 있습니다. 웹 ACL을 아직 구성하지 않은 경우, Shield Advanced 콘솔 마법사를 사용하여 ACL을 생성하고 속도 기반 규칙을 추가할 수 있습니다. 속도 기반 규칙은 각 IP 주소의 5분 기간당 요청 수를 제한하여 웹 애플리케이션 계층 요청 flood에 대한 기본적인 보호를 제공합니다. 최저 10부터 시작하여 속도를 구성할 수 있습니다. 자세한 내용은 [AWS WAF 웹 ACLs 및 Shield Advanced를 사용하여 애플리케이션 계층 보호](ddos-app-layer-web-ACL-and-rbr.md) 단원을 참조하십시오.

 AWS WAF 서비스를 사용하여 웹 ACL을 관리할 수도 있습니다. 를 통해 웹 ACL 구성을 확장하여 특정 웹 요청 구성 요소에 문자열 일치 또는 패턴이 있는지 검사하고, 사용자 지정 요청 및 응답 처리를 추가하고, 요청 오리진의 지리적 위치와 일치시키는 등의 작업을 수행할 AWS WAF수 있습니다. AWS WAF 규칙에 대한 자세한 내용은 섹션을 참조하세요[AWS WAF 규칙](waf-rules.md).

**자동 애플리케이션 계층 완화**  
보호 기능을 강화하려면 Shield Advanced 자동 애플리케이션 계층 완화를 활성화하십시오. 이 옵션을 사용하면 Shield Advanced는 알려진 DDoS 소스의 요청에 대한 AWS WAF 속도 제한 규칙을 유지하고 탐지된 DDoS 공격에 대한 사용자 지정 완화를 제공합니다.

Shield Advanced가 보호된 리소스에 대한 공격을 탐지할 때, Shield Advanced는 애플리케이션으로 향하는 일반 트래픽으로부터 공격 트래픽을 분리하는 공격 시그니처를 식별하려고 시도합니다. Shield Advanced는 공격을 받고 있는 리소스뿐 아니라 동일한 웹 ACL과 연결된 다른 모든 리소스의 과거 트래픽 패턴을 기준으로 식별된 공격 시그니처를 평가합니다.

Shield Advanced는 공격 서명이 DDoS 공격과 관련된 트래픽만 격리한다고 판단하면 연결된 웹 ACL 내의 AWS WAF 규칙에 서명을 구현합니다. Shield Advanced에 일치하는 트래픽만 계산하거나 차단하는 완화 기능을 배치하도록 지시할 수 있으며 언제든지 설정을 변경할 수 있습니다. Shield Advanced는 완화 규칙이 더 이상 필요하지 않다고 판단되면 해당 완화 규칙을 웹 ACL에서 제거합니다. 애플리케이션 계층 이벤트 완화에 대한 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md)을(를) 참조하세요.

Shield Advanced 애플리케이션 계층 완화에 대한 자세한 정보는 [AWS Shield Advanced 및를 사용하여 애플리케이션 계층(계층 7) 보호 AWS WAF](ddos-app-layer-protections.md)을(를) 참조하세요.

# Shield Advanced를 사용하여 기본 DDoS 복원 아키텍처 구축
<a name="ddos-resiliency"></a>

이 페이지에서는 분산 서비스 거부(DDoS) 복원력을 설명하고 두 가지 예제 아키텍처를 소개합니다.

DDoS 복원력이란 합법적인 최종 사용자에게 계속 서비스를 제공하면서 DDoS 공격을 견딜 수 있는 애플리케이션 아키텍처의 능력입니다. 복원력이 뛰어난 애플리케이션은 오류 또는 지연 시간과 같은 성능 지표에 미치는 영향을 최소화하면서 공격 중에도 계속 사용 가능한 상태로 유지될 수 있습니다. 이 섹션에서는 몇 가지 일반적인 아키텍처의 예를 보여주고 AWS 및 Shield Advanced에서 제공하는 DDoS 탐지 및 완화 기능을 사용하여 DDoS 복원력을 높이는 방법을 설명합니다.

이 섹션의 예제 아키텍처는 배포된 애플리케이션에 가장 큰 DDoS 복원력 이점을 제공하는 AWS 서비스를 강조합니다. 강조된 서비스의 이점은 다음과 같습니다.
+ **글로벌 분산 네트워크 용량에 대한 액세스** - Amazon CloudFront AWS Global Accelerator및 Amazon Route 53 서비스는 AWS 글로벌 엣지 네트워크에서 인터넷 및 DDoS 완화 용량에 대한 액세스를 제공합니다. 이는 테라비트에 이르는 대규모 공격을 완화하는 데 유용합니다. 모든 AWS 리전에서 애플리케이션을 실행하고 이러한 서비스를 사용하여 가용성을 보호하고 합법적인 사용자의 성능을 최적화할 수 있습니다.
+ **웹 애플리케이션 계층 DDoS 공격 벡터로부터 보호** — 웹 애플리케이션 계층 DDoS 공격은 애플리케이션 규모와 웹 애플리케이션 방화벽(WAF) 조합을 통해 가장 효과적으로 완화할 수 있습니다. Shield Advanced는의 웹 요청 검사 로그 AWS WAF 를 사용하여 자동으로 또는 Shield 대응 팀(SRT)과의 계약을 통해 완화할 수 있는 이상을 탐지합니다 AWS . 자동 완화는 배포된 AWS WAF 속도 기반 규칙뿐만 아니라 Shield Advanced 애플리케이션 계층 DDoS 자동 완화를 통해서도 적용 가능합니다.

이러한 예를 검토하는 것 외에도, [DDoS 복원력에 대한AWS 모범 사례](https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency)에서 적용 가능한 모범 사례를 검토하고 따르십시오.

**Topics**
+ [공통 웹 애플리케이션을 위한 예제 Shield Advanced DDoS 복원력 아키텍처](ddos-resiliency-example-web.md)
+ [TCP 및 UDP 애플리케이션을 위한 예제 Shield Advanced DDoS 복원력 아키텍처](ddos-resiliency-example-tcp-udp.md)

# 공통 웹 애플리케이션을 위한 예제 Shield Advanced DDoS 복원력 아키텍처
<a name="ddos-resiliency-example-web"></a>

이 페이지에서는 AWS 웹 애플리케이션을 사용한 DDoS 공격에 대한 복원력을 극대화하기 위한 예제 아키텍처를 제공합니다.

모든 AWS 리전에서 웹 애플리케이션을 구축하고가 리전에서 AWS 제공하는 탐지 및 완화 기능으로부터 자동 DDoS 보호를 받을 수 있습니다.

이 예시는 Classic Load Balancer, Application Load Balancer, Network Load Balancer, AWS Marketplace 솔루션 또는 고객의 자체 프록시 계층과 같은 리소스를 사용하여 사용자를 웹 애플리케이션으로 라우팅하는 아키텍처를 위한 것입니다. 이러한 AWS WAF 웹 애플리케이션 리소스와 사용자 간에 Amazon Route 53 호스팅 영역, Amazon CloudFront 배포 및 웹 ACLs을 삽입하여 DDoS 복원력을 개선할 수 있습니다. 이러한 삽입으로 애플리케이션 오리진을 난독화하고, 최종 사용자에게 더 가까운 요청을 처리하고, 애플리케이션 계층 요청 폭주를 감지하고 완화할 수 있습니다. CloudFront 및 Route 53을 통해 사용자에게 정적 또는 동적 콘텐츠를 제공하는 애플리케이션은 인프라 계층 공격을 실시간으로 완화하는 통합된 완전 인라인 DDoS 완화 시스템으로 보호됩니다.

이러한 아키텍처 개선 사항을 적용하면 Shield Advanced를 사용하여 Route 53 호스팅 영역과 CloudFront 배포를 보호할 수 있습니다. CloudFront 배포를 보호하면 Shield Advanced는 AWS WAF 웹 ACLs을 연결하고 이에 대한 속도 기반 규칙을 생성하라는 메시지를 표시하고 자동 애플리케이션 계층 DDoS 완화 또는 선제적 참여를 활성화할 수 있는 옵션을 제공합니다. 선제적 대응 및 자동 애플리케이션 계층 DDoS 완화는 리소스에 연결하는 Route 53 상태 확인을 사용합니다. 이러한 옵션에 대해 자세히 알아보려면 [의 리소스 보호 AWS Shield Advanced](ddos-resource-protections.md)(을)를 참조하세요.

다음 참조 다이어그램은 이러한 DDoS에 복원력이 있는 웹 애플리케이션용 아키텍처를 보여줍니다.

![\[다이어그램은 AWS cloud(이)라는 제목이 붙은 사각형을 나타내며, 왼쪽에는 사용자 그룹이 있습니다. 클라우드 사각형 안에는 두 개의 다른 직사각형이 나란히 놓여져 있습니다. 왼쪽 사각형에는 AWS Shield Advanced(이)라는 제목이, 오른쪽 사각형에는 VPC(이)라는 제목이 지정되어 있습니다. 왼쪽 AWS Shield Advanced 삼각형에는 세로로 누적된 세 개의 AWS 아이콘이 있습니다. 위에서 아래로 아이콘은 Amazon Route 53, Amazon CloudFront 및 입니다 AWS WAF. CloudFront 아이콘에는 AWS WAF아이콘과 오고 가는 화살표가 있습니다. 사용자 그룹 오른쪽에는 가로 방향으로 나오는 화살표가 있는데, 이는 분할되어 Route 53 및 CloudFront의 아이콘을 가리킵니다. Shield Advanced 사각형 오른쪽에 있는 VPC 사각형에는 두 개의 아이콘이 나란히 놓여져 있습니다. 이 아이콘은 왼쪽에서 오른쪽 방향으로 Elastic Load Balancing과 Amazon Elastic Compute Cloud입니다. CloudFront 아이콘 오른쪽에는 가로 방향으로 나오는 화살표가 있는데, 이는 Elastic Load Balancing 아이콘으로 이어집니다. Elastic Load Balancing 아이콘 오른쪽에는 가로 방향으로 나오는 화살표가 있는데, 이는 Amazon EC2 아이콘으로 이어집니다. 따라서 사용자 요청은 Route 53 및 CloudFront로 전송됩니다. CloudFront는 AWS WAF 과(와) 상호 작용하고 로드 밸런서로 요청을 전송하며, 로드 밸런서는 결국 Amazon EC2에 요청을 전송합니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-resilient-web-app-arch.png)


이 접근 방식이 웹 애플리케이션에 제공하는 이점은 다음과 같습니다.
+ 탐지 지연 없이 자주 사용되는 인프라 계층(계층 3 및 계층 4) DDoS 공격으로부터 보호합니다. 또한 리소스가 자주 표적이 되는 경우 Shield Advanced는 완화 기능을 더 길게 적용합니다. 또한 Shield Advanced는 네트워크 ACL(NACL)에서 추론된 애플리케이션 컨텍스트를 사용하여 업스트림에서 원치 않는 트래픽을 차단합니다. 이를 통해 소스에 더 가까운 장애를 격리하여 합법적인 사용자에게 미치는 영향을 최소화합니다.
+ TCP SYN flood로부터 보호합니다. CloudFront, Route 53과 통합되고 새로운 연결 시도에 도전하고 합법적인 사용자만 처리하는 TCP SYN 프록시 기능을 AWS Global Accelerator 제공하는 DDoS 완화 시스템입니다.
+ Route 53은 신뢰할 수 있는 DNS 응답을 처리하므로 DNS 애플리케이션 계층 공격으로부터 보호됩니다.
+ 웹 애플리케이션 계층 요청 폭주로부터 보호합니다. AWS WAF 웹 ACL에서 구성하는 속도 기반 규칙은 규칙이 허용하는 것보다 더 많은 요청을 전송할 때 소스 IPs를 차단합니다.
+ 이 옵션을 활성화하기로 선택하는 경우 CloudFront 배포에 대한 자동 애플리케이션 계층 DDoS 완화가 적용됩니다. 자동 DDoS 완화를 통해 Shield Advanced는 배포의 연결된 AWS WAF 웹 ACL에 알려진 DDoS 소스의 요청 볼륨을 제한하는 속도 기반 규칙을 유지합니다. 또한, Shield Advanced는 애플리케이션 상태에 영향을 미치는 이벤트를 탐지하면 웹 ACL에서 완화 규칙을 자동으로 생성, 테스트 및 관리합니다.
+ 이 옵션을 활성화하기로 선택하는 경우, Shield 대응 팀(SRT)을 통한 선제적 대응이 적용됩니다. Shield Advanced가 애플리케이션 상태에 영향을 미치는 이벤트를 감지하면, SRT는 고객이 제공한 연락처 정보를 사용하여 이에 대응하고 고객의 보안 또는 운영 팀과 함께 사전에 대응합니다. SRT는 트래픽의 패턴을 분석하고 AWS WAF 규칙을 업데이트하여 공격을 차단할 수 있습니다.

# TCP 및 UDP 애플리케이션을 위한 예제 Shield Advanced DDoS 복원력 아키텍처
<a name="ddos-resiliency-example-tcp-udp"></a>

이 예제는 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스 또는 탄력적 IP(EIP) 주소를 사용하는 AWS 리전의 TCP 및 UDP 애플리케이션을 위한 DDoS에 복원력이 있는 아키텍처를 보여줍니다.

이러한 일반적인 예시를 따라 다음 애플리케이션 유형에 대한 DDoS 복원력을 개선할 수 있습니다.
+ TCP 또는 UDP 애플리케이션. 게임, IoT, VoIP 등에 사용되는 애플리케이션을 예로 들 수 있습니다.
+ 고정 IP 주소가 필요하거나 Amazon CloudFront에서 지원하지 않는 프로토콜을 사용하는 웹 애플리케이션. 예를 들어 애플리케이션에는 사용자가 방화벽 허용 목록에 추가할 수 있고 다른 AWS 고객이 사용하지 않는 IP 주소가 필요할 수 있습니다.

Amazon Route 53 및 AWS Global Accelerator을(를) 도입하여 이러한 애플리케이션 유형의 DDoS 복원력을 개선할 수 있습니다. 이러한 서비스는 사용자를 애플리케이션으로 라우팅하고 AWS 글로벌 엣지 네트워크 전체에서 애니캐스트 라우팅되는 고정 IP 주소를 애플리케이션에 제공할 수 있습니다. Global Accelerator 표준 액셀러레이터는 사용자 지연 시간을 최대 60%까지 개선할 수 있습니다. 웹 애플리케이션이 있는 경우 Application Load Balancer에서 애플리케이션을 실행한 다음 웹 ACL로 Application Load Balancer를 보호하여 AWS WAF 웹 애플리케이션 계층 요청 플러드를 감지하고 완화할 수 있습니다.

애플리케이션을 구축한 후에는 Shield Advanced를 사용하여 Route 53 호스팅 영역, Global Accelerator 표준 액셀러레이터 및 모든 Application Load Balancer를 보호하십시오. Application Load Balancer를 보호할 때 AWS WAF 웹 ACLs 연결하고 이에 대한 속도 기반 규칙을 생성할 수 있습니다. 신규 또는 기존의 Route 53 상태 확인을 연결하여 Global Accelerator 표준 액셀러레이터와 Application Load Balancer 모두에 대해 SRT를 통한 선제적 대응을 구성할 수 있습니다. 옵션에 대해 자세히 알아보려면 [의 리소스 보호 AWS Shield Advanced](ddos-resource-protections.md)(을)를 참조하세요.

다음 참조 다이어그램은 이러한 DDoS에 복원력이 있는 TCP 및 UDP 애플리케이션용 아키텍처 예시를 보여줍니다.

![\[다이어그램은 Route 53 및에 연결된 사용자를 보여줍니다 AWS Global Accelerator. 액셀러레이터는 AWS Shield Advanced 및 로 보호되는 Elastic Load Balancing 아이콘에 연결됩니다 AWS WAF. Elastic Load Balancing은 자체적으로 Amazon EC2 인스턴스에 연결되어 있습니다. 이 Elastic Load Balancing 인스턴스와 Amazon EC2 인스턴스는 리전 1에 있습니다. 또한 AWS Global Accelerator 는 보호된 Elastic Load Balancing 인스턴스 뒤에 있지 않은 다른 Amazon EC2 인스턴스에 직접 연결됩니다. 이 두 번째 Amazon EC2 인스턴스는 리전 n에 있습니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-resilient-tcp-udp-app-arch.png)


이 접근 방식이 애플리케이션에 제공하는 이점은 다음과 같습니다.
+ 알려진 최대 규모의 인프라 계층(계층 3 및 계층 4) DDoS 공격으로부터 보호합니다. 공격 볼륨으로 인해 업스트림에서 정체 AWS가 발생하는 경우 장애는 소스에 더 가깝게 격리되고 합법적인 사용자에게 미치는 영향이 최소화됩니다.
+ Route 53은 신뢰할 수 있는 DNS 응답을 처리하므로 DNS 애플리케이션 계층 공격으로부터 보호됩니다.
+ 웹 애플리케이션을 사용하는 경우, 이 접근 방식을 통해 웹 애플리케이션 계층 요청 폭주를 방지할 수 있습니다. AWS WAF 웹 ACL에서 구성하는 속도 기반 규칙은 규칙이 허용하는 것보다 더 많은 요청을 보내는 동안 소스 IPs를 차단합니다.
+ 적합한 리소스에 대해 이 옵션을 활성화하기로 선택하는 경우의 Shield 대응 팀(SRT)을 통한 선제적 대응. Shield Advanced가 애플리케이션 상태에 영향을 미치는 이벤트를 감지하면, SRT는 고객이 제공한 연락처 정보를 사용하여 이에 대응하고 고객의 보안 또는 운영 팀과 함께 사전에 대응합니다.

# Shield Advanced를 다른와 결합 AWS 서비스
<a name="aws-shield-use-case"></a>

Shield Advanced를 사용하여 여러 타입의 시나리오에서 리소스를 보호할 수 있습니다. 그러나 일부 경우에는 보호 기능을 향상시키기 위해 다른 서비스를 사용하거나 다른 서비스를 Shield Advanced와 결합해야 합니다. 다음은 Shield Advanced 또는 기타 AWS 서비스를 사용하여 리소스를 보호하는 방법의 예입니다.


| Goal | 제안된 서비스 | 관련 서비스 설명서 | 
| --- | --- | --- | 
| DDoS 공격에 대해 웹 애플리케이션 및 RESTful API 보호 | Amazon CloudFront 배포와 Application Load Balancer를 보호하는 Shield Advanced | [Elastic Load Balancing 설명서](https://docs.aws.amazon.com/elasticloadbalancing/), [Amazon CloudFront 설명서](https://docs.aws.amazon.com/cloudfront/) | 
| DDoS 공격에 대해 TCP 기반 애플리케이션 보호 |  AWS Global Accelerator 표준 액셀러레이터를 보호하는 Shield Advanced, 탄력적 IP 주소에 연결됨 | [AWS Global Accelerator 설명서](https://docs.aws.amazon.com/global-accelerator/), [Elastic Load Balancing 설명서](https://docs.aws.amazon.com/elasticloadbalancing/) | 
| DDoS 공격에 대해 UDP 기반 게임 서버 보호 | 탄력적 IP 주소에 연계된 Amazon EC2 인스턴스를 보호하는 Shield Advanced | [Amazon Elastic Compute Cloud 설명서](https://docs.aws.amazon.com/ec2/) | 

예컨대, Shield Advanced를 사용하여 탄력적 IP 주소를 보호하는 경우, Shield Advanced는 이와 관련된 모든 리소스를 보호합니다. 공격 중에 Shield Advanced는 네트워크 경계에 AWS 네트워크 ACLs을 자동으로 배포합니다. 네트워크 ACL이 네트워크의 경계에 있는 경우, Shield Advanced에서는 더 큰 DDoS 이벤트에 대한 보호를 제공할 수 있습니다. 일반적으로 네트워크 ACL은 Amazon VPC 내에서 근접한 Amazon EC2 인스턴스에 적용됩니다. 네트워크 ACL은 Amazon VPC와 인스턴스가 처리할 수 있을 정도의 큰 공격만 완화할 수 있습니다. Amazon EC2 인스턴스에 연계된 네트워크 인터페이스가 최대 10Gbps를 처리할 수 있는 경우, 10Gbps를 초과하는 볼륨은 느려지며 해당 인스턴스에 대한 트래픽이 차단될 수 있습니다. 공격 시에 Shield Advanced는 네트워크 ACL을 AWS 경계로 승격시켜 다수 테라바이트의 트래픽을 처리할 수 있습니다. 네트워크 ACL은 네트워크의 일반적인 용량 이상으로 리소스에 대한 보호를 제공할 수 있습니다. 네트워크 ACL에 대한 자세한 설명은 [네트워크 ACL](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html)을 참조하세요.

# 설 AWS Shield Advanced정
<a name="getting-started-ddos"></a>

이 자습서에서는 Shield Advanced 콘솔 AWS Shield Advanced 사용을 시작하는 방법을 안내합니다.

**참고**  
Shield Advanced에는 구독이 필요하지만 AWS Shield Standard 에는 필요하지 않습니다. Shield Standard에서 제공하는 보호는 모든 AWS 고객에게 무료로 제공됩니다.

Shield Advanced는 네트워크 계층(계층 3), 전송 계층(계층 4) 및 애플리케이션 계층(계층 7) 공격에 대한 첨단 DDoS 감지 및 완화 보호를 제공합니다. Shield Advanced에 대한 자세한 설명은 [AWS Shield Advanced 개요](ddos-advanced-summary.md) 섹션을 참조하세요.

 AWS 기술 커뮤니티는 코드형 인프라(IaC) 도구 AWS CloudFormation 및 Terraform을 사용하여 Shield Advanced를 구성하는 자동화된 프로세스의 예를 게시했습니다. 계정이의 조직에 속 AWS Organizations 하고 Amazon Route 53 또는를 제외한 리소스 유형을 보호하는 경우이 솔루션과 AWS Firewall Manager 함께를 사용할 수 있습니다 AWS Global Accelerator. 이 옵션을 탐색하려면 [aws-samples / aws-shield-advanced-one-click-deployment](https://github.com/aws-samples/aws-shield-advanced-one-click-deployment)의 코드 리포지토리와 [Shield Advanced의 원클릭 배포](https://youtu.be/LCA3FwMk_QE)의 자습서를 참조하세요.

**참고**  
분산 서비스 거부(DDoS) 이벤트가 발생하기 전에 Shield Advanced를 완전히 구성하는 것이 중요합니다. 구성을 완료하여 애플리케이션이 보호되고 애플리케이션이 DDoS 공격의 영향을 받는 경우, 대응할 준비가 되었는지 확인하십시오.

Shield Advanced 사용을 시작하려면 다음 단계를 순서대로 수행합니다.

**Contents**
+ [구독 AWS Shield Advanced](enable-ddos-prem.md)
+ [Shield Advanced를 사용하여 리소스 보호 추가 및 구성](ddos-choose-resources.md)
  + [를 사용하여 애플리케이션 계층(계층 7) DDoS 보호 구성 AWS WAF](ddos-get-started-web-acl-rbr.md)
  + [Shield Advanced 및 Route 53을 사용하여 보호를 위한 상태 기반 탐지 구성](ddos-get-started-health-checks.md)
  + [Shield Advanced 및 Amazon SNS를 사용하여 경보 및 알림 구성](ddos-get-started-create-alarms.md)
  + [Shield Advanced에서 보호 구성 검토 및 완료](ddos-get-started-review-and-configure.md)
+ [DDoS 이벤트 응답에 대한 AWS Shield 대응 팀(SRT) 지원 설정](authorize-srt.md)
+ [CloudWatch에 DDoS 대시보드 생성 및 CloudWatch 경보 설정](deploy-waf-dashboard.md)

# 구독 AWS Shield Advanced
<a name="enable-ddos-prem"></a>

이 페이지에서는 Shield Advanced에 계정에 가입하고 서비스 사용을 시작하는 방법에 대해 설명합니다.

보호 AWS 계정 하려는 각에 대해 Shield Advanced를 구독해야 합니다. Shield Standard는 구독할 필요가 없습니다.

**Shield Advanced 구독 결제**  
 AWS 채널 리셀러인 경우 계정 팀에 자세한 내용과 지침을 문의하세요. 이 결제 정보는 AWS 채널 리셀러가 아닌 고객을 위한 것입니다.

그 외의 모든 경우에는 다음과 같은 가입 및 결제 지침이 적용됩니다.
+  AWS Organizations 조직의 멤버인 계정의 경우는 지급인 계정 자체의 구독 여부에 관계없이 조직의 지급인 계정에 대해 Shield Advanced 구독을 AWS 청구합니다.
+ 동일한 [AWS Organizations 통합 결제 계정 패밀리](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)에 속하는 여러 계정에 가입하는 경우, 하나의 가입 요금이 패밀리 내 모든 가입 계정에 적용됩니다. 조직은 모든 AWS 계정 와(과) 모든 리소스를 소유해야 합니다.
+ 여러 조직의 여러 계정에 가입하는 경우에도 모든 조직, 계정, 리소스를 소유하고 있다면 모든 조직, 계정, 리소스에 대해 하나의 가입 요금을 지불할 수 있습니다. 계정 관리자 또는 AWS 지원팀에 문의하여 조직 중 하나를 제외한 모든 조직의 AWS Shield Advanced 구독 요금에 대한 수수료 면제를 요청합니다.

자세한 요금 정보 및 예는 [AWS Shield 요금](https://aws.amazon.com/shield/pricing/) 섹션을 참조하세요.

**를 사용하여 구독 간소화 고려 AWS Firewall Manager**  
계정이 조직의 일부인 경우, 가능하면 AWS Firewall Manager 를 사용하여 조직에 대한 가입 및 보호를 자동화하는 것이 좋습니다. Firewall Manager는 Amazon Route 53 및 AWS Global Accelerator을 제외한 모든 보호 리소스 타입을 지원합니다. Firewall Manager를 사용하려면 [AWS Firewall Manager](fms-chapter.md) 및 [AWS Firewall Manager AWS Shield Advanced 정책 설정](getting-started-fms-shield.md)을 참조하세요.

Firewall Manager를 사용하지 않는 경우, 보호할 리소스가 있는 각 계정에 대해 다음 절차를 사용하여 가입하고 보호 기능을 추가하십시오.

**계정을 구독하려면 AWS Shield Advanced**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.

1. **AWS Shield** 탐색 모음에서 **시작하기**를 선택합니다. **Shield Advanced 가입**을 선택합니다.

1. **Shield Advanced 가입** 페이지에서 각 계약 약관을 읽은 후 모든 확인란을 선택하여 약관에 동의함을 나타냅니다. 통합 결제 패밀리에 속하는 계정의 경우, 각 계정의 약관에 동의해야 합니다.
**중요**  
가입한 경우, 가입을 해지하려면 [AWS Support](https://console.aws.amazon.com/support)에 문의해야 합니다.  
가입의 자동 갱신을 비활성화하려면 Shield API 작업 [UpdateSubscription](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_UpdateSubscription.html) 또는 CLI 명령 [update-subscription](https://docs.aws.amazon.com/cli/latest/reference/shield/update-subscription.html)을 사용해야 합니다.

   **Shield Advanced 가입**을 선택합니다. 이렇게 하면 Shield Advanced에 계정에 가입하고 서비스가 활성화됩니다.

계정이 가입되었습니다. Shield Advanced로 계정의 리소스를 보호하려면 다음 단계를 계속 진행하세요.

**참고**  
Shield Advanced는 가입 후 리소스를 자동으로 보호하지 않습니다. Shield Advanced에서 보호할 리소스를 지정해야 합니다.

# Shield Advanced를 사용하여 리소스 보호 추가 및 구성
<a name="ddos-choose-resources"></a>

이 페이지에서는 리소스에 대한 보호를 추가하고 구성하는 방법을 제공합니다.

Shield Advanced는 Shield Advanced를 통해 또는 Firewall Manager Shield Advanced 정책에서 지정한 리소스만 보호합니다. 가입한 계정의 리소스를 자동으로 보호하지는 않습니다.

**참고**  
보호에 AWS Firewall Manager Shield Advanced 정책을 사용하는 경우이 단계를 수행할 필요가 없습니다. 보호할 리소스 타입으로 정책을 구성하면 Firewall Manager가 정책 범위 내에 있는 리소스에 자동으로 보호를 추가합니다.

Firewall Manager를 사용하지 않는 경우, 보호할 리소스가 있는 각 계정에 대해 다음 절차를 진행합니다.

**Shield Advanced를 사용하여 보호할 리소스를 선택하려면**

1. 이전 절차의 가입 확인 페이지나 **보호된 리소스** 또는 **개요** 페이지에서 **보호할 리소스 추가**를 선택합니다.

1. **Shield Advanced로 보호할 리소스 선택** 페이지의 **지역 및 리소스 타입 지정**에서 보호하려는 리소스에 대해 지역 및 리소스 타입 사양을 제공합니다. **모든 지역**을 선택하여 여러 지역의 리소스를 보호할 수 있으며, **글로벌**을 선택하여 글로벌 리소스로 선택 범위를 좁힐 수 있습니다. 보호하지 않으려는 모든 리소스 타입을 선택 취소할 수 있습니다. 리소스 타입의 보호에 대한 자세한 설명은 [가 AWS Shield Advanced 보호하는 리소스 목록](ddos-protections-by-resource-type.md)을 참조하세요.

1. **리소스 로딩**을 선택합니다. Shield Advanced는 **리소스 선택** 섹션을 기준에 맞는 AWS 리소스로 채웁니다.

1. **리소스 선택** 섹션에서, 리소스 목록에서 검색할 문자열을 입력하여 리소스 목록을 필터링할 수 있습니다.

   보호할 리소스를 선택합니다.

1. **태그** 섹션에서 생성 중인 Shield Advanced 보호에 태그를 추가하려면 해당 태그를 지정하세요. AWS 리소스 태그 지정에 대한 자세한 설명은 [태그 편집기 작업](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)을 참조하세요.

1. **Shield Advanced로 보호하기**를 선택하세요. 이렇게 하면 리소스에 Shield Advanced 보호 기능이 추가됩니다.

콘솔 마법사 화면을 계속 진행하여 리소스 보호 구성을 완료하세요.

**Topics**
+ [를 사용하여 애플리케이션 계층(계층 7) DDoS 보호 구성 AWS WAF](ddos-get-started-web-acl-rbr.md)
+ [Shield Advanced 및 Route 53을 사용하여 보호를 위한 상태 기반 탐지 구성](ddos-get-started-health-checks.md)
+ [Shield Advanced 및 Amazon SNS를 사용하여 경보 및 알림 구성](ddos-get-started-create-alarms.md)
+ [Shield Advanced에서 보호 구성 검토 및 완료](ddos-get-started-review-and-configure.md)

# 를 사용하여 애플리케이션 계층(계층 7) DDoS 보호 구성 AWS WAF
<a name="ddos-get-started-web-acl-rbr"></a>

이 페이지에서는 AWS WAF 웹 ACLs.

애플리케이션 계층 리소스를 보호하기 위해 Shield Advanced는 속도 기반 규칙이 있는 AWS WAF 웹 ACL을 시작점으로 사용합니다. AWS WAF 는 애플리케이션 계층 리소스로 전달되는 HTTP 및 HTTPS 요청을 모니터링하고 요청의 특성에 따라 콘텐츠에 대한 액세스를 제어할 수 있는 웹 애플리케이션 방화벽입니다. 속도 기반 규칙은 요청 집계 기준에 따라 트래픽 양을 제한하여 애플리케이션에 기본적인 DDoS 보호를 제공합니다. 자세한 내용은 [AWS WAF 작동 방식](how-aws-waf-works.md) 및 [에서 속도 기반 규칙 문 사용 AWS WAF](waf-rule-statement-type-rate-based.md) 섹션을 참조하세요.

또한 Shield Advanced의 자동 애플리케이션 계층 DDoS 완화를 활성화하여 Shield Advanced에서 알려진 DDoS 소스로부터의 제한 요청을 평가하고 자동으로 인시던트별 보호를 제공하도록 할 수도 있습니다.

**중요**  
Shield Advanced 정책을 AWS Firewall Manager 사용하여를 통해 Shield Advanced 보호를 관리하는 경우 여기에서 애플리케이션 계층 보호를 관리할 수 없습니다. Firewall Manager Shield Advanced 정책에서 관리해야 합니다.

**Shield Advanced 구독 및 AWS WAF 비용**  
Shield Advanced 구독에는 Shield Advanced로 보호하는 리소스에 표준 AWS WAF 기능을 사용하는 비용이 포함됩니다. Shield Advanced 보호가 적용되는 표준 AWS WAF 요금은 보호 팩당 비용(웹 ACL), 규칙당 비용, 웹 요청 검사에 대한 백만 요청당 기본 가격, 최대 1,500WCUs 및 기본 본문 크기입니다.

Shield Advanced 자동 애플리케이션 계층 DDoS 완화를 활성화하면 150개의 보호 팩(웹 ACL) 용량 단위(WCU)를 사용하는 규칙 그룹이 웹 ACL에 추가됩니다. 이러한 WCU는 보호 팩(웹 ACL)의 WCU 사용량에 포함됩니다. 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md), [Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호](ddos-automatic-app-layer-response-rg.md), [의 웹 ACL 용량 단위(WCUs) AWS WAF](aws-waf-capacity-units.md) 섹션을 참조하세요.

Shield Advanced 구독은 Shield Advanced를 사용하여 보호하지 않는 리소스에 AWS WAF 대한 사용을 다루지 않습니다. 또한 보호된 리소스에 대한 비표준 추가 AWS WAF 비용도 부담하지 않습니다. 비표준 AWS WAF 비용의 예로는 Bot Control, CAPTCHA 규칙 작업, 1,500개 이상의 WCUs ACLs, 기본 본문 크기를 초과하는 요청 본문 검사 등이 있습니다. 전체 목록은 AWS WAF 요금 페이지에 나와 있습니다. Shield Advanced 구독에는 계층 7 DDoS Amazon Managed Rule 그룹에 대한 액세스 권한이 포함됩니다. 구독의 일부로 한 달에 최대 500억 개의 Shield Advanced 보호 AWS WAF 리소스 요청을 받게 됩니다. 500억 개를 초과하는 요청은 AWS Shield Advanced 요금 페이지에 따라 청구됩니다.

전체 정보 및 요금 예는 [Shield 요금](https://aws.amazon.com/shield/pricing/) 및 [AWS WAF 요금](https://aws.amazon.com/waf/pricing/)을 참조하세요.

**지역에 대한 계층 7 DDoS 보호를 구성하려면**

Shield Advanced는 선택한 리소스가 위치한 각 지역에 대해 계층 7 DDoS 완화를 구성할 수 있는 옵션을 제공합니다. 여러 지역에 보호 기능을 추가하는 경우, 마법사가 각 지역에 대해 다음 절차를 안내합니다.

1. **계층 7 DDoS 보호 구성** 페이지에는 아직 웹 ACL과 연계되지 않은 각 리소스가 열거됩니다. 이들 각각에 대해 기존 웹 ACL을 선택하거나 새 웹 ACL을 생성하십시오. 이미 연결된 웹 ACL이 있는 리소스의 경우 먼저 현재 ACL의 연결을 해제하여 웹 ACLs을 변경할 수 있습니다 AWS WAF. 자세한 내용은 [보호와 AWS 리소스의 연결 또는 연결 해제](web-acl-associating-aws-resource.md) 단원을 참조하십시오.

   아직 요금 기반 규칙이 없는 웹 ACL의 경우, 구성 마법사가 속도 기반 규칙을 추가하라는 메시지를 표시합니다. 속도 기반 규칙은 많은 양의 요청을 보내는 IP 주소의 트래픽을 제한합니다. 속도 기반 규칙은 웹 요청 플러드로부터 애플리케이션을 보호하는 데 도움이 되며, 잠재적인 DDoS 공격으로 이어질 수 있는 갑작스러운 트래픽 급증에 대한 알림을 제공할 수 있습니다. **속도 제한 규칙 추가**를 선택한 다음 속도 제한 및 규칙 조치를 제공하여 속도 기반 규칙을 웹 ACL에 추가합니다. 를 통해 웹 ACL에서 추가 보호를 구성할 수 있습니다 AWS WAF.

   속도 기반 규칙의 추가 구성 옵션을 포함하여 Shield Advanced 보호에서 웹 ACL 및 속도 기반 규칙을 사용하는 방법에 대한 자세한 설명은 [AWS WAF 웹 ACLs 및 Shield Advanced를 사용하여 애플리케이션 계층 보호](ddos-app-layer-web-ACL-and-rbr.md)을 참조하세요.

1. **자동 애플리케이션 계층 DDoS 완화**의 경우 Shield Advanced가 애플리케이션 계층 리소스에 대한 DDoS 공격을 자동으로 완화하도록 하려면 **활성화**를 선택한 다음 Shield Advanced가 사용자 지정 AWS WAF 규칙에 사용할 규칙 작업을 선택합니다. 이 설정은 이 마법사 세션에서 관리하는 리소스의 모든 웹 ACL에 적용됩니다.

   자동 애플리케이션 계층 DDoS 완화를 통해 Shield Advanced는 알려진 DDoS 소스의 요청 볼륨을 제한하는 속도 기반 규칙을 리소스의 AWS WAF 웹 ACL에 유지합니다. 또한, Shield Advanced는 현재 트래픽 패턴을 과거 트래픽 베이스라인과 비교하여 DDoS 공격을 표시할 수 있는 편차를 감지합니다. Shield Advanced는 DDoS 공격을 탐지하면 사용자 지정 AWS WAF 규칙을 생성, 평가 및 배포하여 대응합니다. 맞춤 규칙이 사용자 대신 공격을 계수 또는 차단할지를 지정합니다.
**참고**  
자동 애플리케이션 계층 DDoS 완화는 (v2)의 최신 버전을 사용하여 생성된 보호 팩 AWS WAF (웹 ACLs)에서만 작동합니다.

   이 기능 사용에 대한 주의 사항 및 모범 사례를 포함하여 Shield Advanced 자동 애플리케이션 계층 DDoS 완화에 대한 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md) 섹션을 참조하세요.

1. **다음**을 선택합니다. 콘솔 마법사는 상태 기반 감지 페이지로 이동합니다.

# Shield Advanced 및 Route 53을 사용하여 보호를 위한 상태 기반 탐지 구성
<a name="ddos-get-started-health-checks"></a>

이 페이지에서는 상태 기반 탐지를 사용하도록 Shield Advanced를 구성하기 위한 지침을 제공합니다. 이를 통해 공격 탐지 및 완화의 응답성과 정확도를 개선할 수 있습니다.

이벤트를 정확하게 탐지하려면 잘 구성된 상태 확인이 필수적입니다. Route 53 호스팅 영역을 제외한 모든 리소스 유형에 대해 상태 기반 탐지를 구성할 수 있습니다.

상태 기반 탐지를 사용하려면 Route 53에서 리소스의 상태 확인을 정의한 다음 상태 확인을 Shield Advanced 보호와 연계합니다. 구성한 상태 체크가 리소스의 상태를 정확하게 반영하는 것이 중요합니다. Shield Advanced와 함께 사용할 상태 확인을 구성하는 방법에 대한 자세한 내용 및 예는 [Shield Advanced 및 Route 53에서 상태 확인을 사용한 상태 기반 감지](ddos-advanced-health-checks.md) 섹션을 참조하세요.

Shield 대응팀(SRT)의 전향적 연계 지원을 위해서는 상태 체크가 필요합니다. 전향적 연계에 대한 자세한 설명은 [SRT가 직접 연락할 수 있도록 사전 참여 설정](ddos-srt-proactive-engagement.md)을 참조하세요.

**참고**  
상태 체크를 Shield Advanced 보호 기능과 연계할 때는 상태 확인이 건전 상태를 보고해야 합니다.

**상태 기반 탐지를 구성하려면**

1. **연계된 상태 체크**에서 보호와 연계하려는 상태 체크의 ID를 선택합니다.
**참고**  
필요한 상태 체크가 보이지 않으면 Route 53 콘솔로 이동하여 상태 체크와 해당 ID를 확인하십시오. 자세한 설명은 [상태 확인 생성 및 업데이트](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html)를 참조하세요.

1. **다음**을 선택합니다. 콘솔 마법사가 경보 및 알림 페이지로 이동합니다.

# Shield Advanced 및 Amazon SNS를 사용하여 경보 및 알림 구성
<a name="ddos-get-started-create-alarms"></a>

이 페이지에서는 감지된 Amazon CloudWatch 경보 및 속도 기반 규칙 활동에 대해 Amazon Simple Notification Service 알림을 선택적으로 구성하기 위한 지침을 제공합니다. 이를 사용하여 Shield가 보호된 리소스에서 이벤트를 감지하거나 속도 기반 규칙에 구성된 속도 제한이 초과될 때 알림을 받을 수 있습니다.

Shield Advanced CloudWatch 지표에 대한 자세한 설명은 [AWS Shield Advanced 지표](shield-metrics.md) 섹션을 참조하세요. Amazon SNS에 대한 자세한 설명은 [Amazon Simple Notification Service 개발자 가이드](https://docs.aws.amazon.com/sns/latest/dg/)를 참조하세요.

**경보 및 알림을 구성하려면**

1. 알림을 받을 Amazon SNS 주제를 선택합니다. 모든 보호된 리소스 및 속도 기반 규칙에 대해 단일 Amazon SNS 주제를 사용하거나 조직에 맞게 맞춤된 다른 주제를 선택할 수 있습니다. 예를 들어, 특정 리소스 집합에 대한 인시던트 대응을 담당하는 각 팀을 위한 SNS 주제를 만들 수 있습니다.

1. **다음**을 선택합니다. 콘솔 마법사는 리소스 보호 검토 페이지로 이동합니다.

# Shield Advanced에서 보호 구성 검토 및 완료
<a name="ddos-get-started-review-and-configure"></a>

**설정을 검토 및 완료하려면**

1. **DDoS 완화 및 가시성 검토 및 구성** 페이지에서 설정을 검토하십시오. 수정하려면 수정하려는 영역에서 **편집**을 선택합니다. 그러면 콘솔 마법사의 관련 페이지로 돌아갑니다. 변경한 후 **DDoS 완화 및 가시성 검토 및 구성** 페이지로 돌아갈 때까지 이후 페이지에서 **다음**을 선택합니다.

1. **구성 완료**를 선택합니다. **보호된 리소스** 페이지에는 새로 보호되는 리소스가 열거됩니다.

# DDoS 이벤트 응답에 대한 AWS Shield 대응 팀(SRT) 지원 설정
<a name="authorize-srt"></a>

이 페이지에서는 Shield 대응팀(SRT) 지원을 설정하는 지침을 제공합니다.

SRT에는 DDoS 이벤트 대응을 전문으로 하는 보안 엔지니어가 포함됩니다. DDoS 이벤트 중에 SRT가 사용자를 대신하여 리소스를 관리할 수 있는 권한을 선택적으로 추가할 수 있습니다. 또한, 감지된 이벤트 중에 보호된 리소스와 관련된 Route 53 상태 체크가 비정상인 경우, 사전에 조치를 취하도록 SRT를 구성할 수 있습니다. 보호 기능에 이러한 두 가지 기능을 추가하면 DDoS 이벤트에 더 빠르게 대응할 수 있습니다.

**참고**  
Shield 대응팀(SRT)의 서비스를 이용하려면 [Business Support 플랜](https://aws.amazon.com/premiumsupport/business-support/) 또는 [Enterprise Support 플랜](https://aws.amazon.com/premiumsupport/enterprise-support/)에 가입해야 합니다.

SRT는 애플리케이션 계층 이벤트 중에 AWS WAF 요청 데이터와 로그를 모니터링하여 비정상적인 트래픽을 식별할 수 있습니다. 이를 통해 사용자 지정 AWS WAF 규칙을 만들어 문제가 되는 트래픽 소스를 완화할 수 있습니다. 필요에 따라 SRT는 리소스를 권장 사항에 더 잘 맞추는 데 도움이 되는 아키텍처 AWS 권장 사항을 제공할 수 있습니다.

SRT에 대한 자세한 내용은 [Shield 대응팀(SRT) 지원을 통한 관리형 DDoS 이벤트 응답](ddos-srt-support.md)(을)를 참조하세요.

**SRT에 권한을 부여하려면**

1.  AWS Shield 콘솔 **개요** 페이지의 ** AWS SRT 지원 구성**에서 **SRT 액세스 편집**을 선택합니다. ** AWS Shield 대응 팀(SRT) 액세스 편집** 페이지가 열립니다.

1. **SRT 액세스 설정**의 경우, 다음 옵션 중 하나를 선택합니다.
   + **SRT에 내 계정에 대한 액세스 권한을 부여하지 않음** - Shield는 이전에 SRT에 부여한 계정 및 리소스 액세스 권한을 제거합니다.
   + **SRT가 내 계정에 액세스할 수 있도록 새 역할 만들기** - Shield는 SRT를 대표하는 서비스 주체 `drt.shield.amazonaws.com`를 신뢰하는 역할을 생성하고 여기에 관리형 정책 `AWSShieldDRTAccessPolicy`를 연결합니다. 관리형 정책은 SRT AWS Shield Advanced 가 사용자를 대신하여 및 AWS WAF API를 호출하고 로그에 액세스할 수 있도록 AWS WAF 허용합니다. 관리형 정책에 대한 자세한 내용은 [AWS 관리형 정책: AWSShieldDRTAccessPolicy](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)섹션을 참조하세요.
   + **내 계정에 액세스할 SRT의 기존 역할 선택** -이 옵션의 경우 다음과 같이 AWS Identity and Access Management (IAM)에서 역할 구성을 수정해야 합니다.
     + 관리형 정책 `AWSShieldDRTAccessPolicy`를 역할에 연계하십시오. 이 관리형 정책은 SRT AWS Shield Advanced 가 사용자를 대신하여 및 AWS WAF API를 호출하고 로그에 액세스할 수 있도록 AWS WAF 허용합니다. 관리형 정책에 대한 자세한 내용은 [AWS 관리형 정책: AWSShieldDRTAccessPolicy](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)(을)를 참조하세요. 관리형 정책을 역할에 연계하는 방법에 대한 자세한 설명은 [IAM 정책 연계 및 분리](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)를 참조하세요.
     + 서비스 담당자 `drt.shield.amazonaws.com`을 신뢰하도록 역할을 수정합니다. 이는 SRT를 대표하는 서비스 담당자입니다. 자세한 설명은 [IAM JSON 정책 요소: 담당자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)를 참조하세요.

1. **저장**을 선택하여 변경 사항을 저장합니다.

SRT에 보호 및 데이터에 대한 액세스 권한을 부여하는 방법에 대한 자세한 설명은 [SRT에 대한 액세스 권한 부여](ddos-srt-access.md)을 참조하세요.

**SRT 전향적 연계를 활성화하려면**

1.  AWS Shield 콘솔 **개요** 페이지의 **선제적 참여 및 연락처**의 연락처 영역에서 **편집**을 선택합니다.

   **연락처 편집** 페이지에서 SRT가 전향적 연계를 위해 연락할 담당자의 연락처 정보를 입력합니다.

   둘 이상의 연락처를 제공하는 경우, **주**에 각 연락처를 사용해야 하는 경우를 표시하십시오. 기본 및 보조 연락처 지정을 포함하고 각 연락처의 이용 가능 시간과 시간대를 제공하십시오.

   연락처 메모 예시: 
   + 이 핫라인은 연중무휴 24시간 운영됩니다. 담당 분석가에게 문의하면 적절한 담당자를 통화 중에 연결해 드립니다.
   + 5분 이내에 핫라인이 응답하지 않으면 저에게 연락하십시오.

1. **저장**을 선택합니다.

   **개요** 페이지에는 업데이트된 연락처 정보가 반영됩니다.

1. **전향적 연계 기능 편집**을 선택하고 **활성화**를 선택한 다음 **저장**을 선택하여 전향적 연계를 활성화합니다.

전향적 연계에 대한 자세한 설명은 [SRT가 직접 연락할 수 있도록 사전 참여 설정](ddos-srt-proactive-engagement.md)을 참조하세요.

# CloudWatch에 DDoS 대시보드 생성 및 CloudWatch 경보 설정
<a name="deploy-waf-dashboard"></a>

이 페이지에서는 CloudWatch에서 DDoS 대시보드를 생성하고 CloudWatch 경보를 설정하는 지침을 제공합니다.

Shield Advanced에서 원시 데이터를 수집하여 읽기 가능하며 실시간에 가까운 지표로 처리하는 Amazon CloudWatch를 통해 잠재적 DDoS 활동을 모니터링할 수 있습니다. CloudWatch의 통계를 사용하여 웹 애플리케이션 또는 서비스가 어떻게 실행되고 있는지 전체적으로 더 잘 파악할 수 있습니다. CloudWatch 사용에 대한 자세한 설명은 *Amazon CloudWatch 사용자 가이드*의 [CloudWatch란 무엇인가](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html)를 참조하세요.
+ CloudWatch 대시보드 생성 지침은 [Amazon CloudWatch를 사용한 모니터링](monitoring-cloudwatch.md) 섹션을 참조하세요.
+ 대시보드에 추가할 수 있는 Shield Advanced 지표에 대한 설명은 [AWS Shield Advanced 지표](shield-metrics.md) 섹션을 참조하세요.

Shield Advanced는 진행 중인 이벤트가 없을 때보다 DDoS 이벤트가 발생하는 동안 더 자주 리소스 지표를 CloudWatch에 보고합니다. Shield Advanced는 이벤트 중에는 1분에 한 번, 그리고 이벤트 종료 직후에 한 번 지표를 보고합니다. 진행 중인 이벤트가 없을 때 Shield Advanced는 지표를 하루에 한 번 리소스에 지정된 시간에 보고합니다. 이 주기적 보고는 지표를 활성 상태로 유지하며 맞춤 CloudWatch 경보에 사용 가능합니다.

이것으로 Shield Advanced 시작하기를 위한 자습서를 마칩니다. 선택한 보호 기능을 최대한 활용하려면 Shield Advanced의 기능 및 옵션을 계속 살펴보세요. 먼저, [Shield Advanced를 사용한 DDoS 이벤트 가시성](ddos-viewing-events.md) 및 [에서 DDoS 이벤트에 응답 AWS](ddos-responding.md)에서 이벤트를 보고 응답할 수 있는 옵션을 숙지하세요.

# Shield 대응팀(SRT) 지원을 통한 관리형 DDoS 이벤트 응답
<a name="ddos-srt-support"></a>

이 페이지에서는 Shield 대응팀(SRT)의 함수를 설명합니다.

SRT는 Shield Advanced 고객에게 추가 지원을 제공합니다. SRT는 DDoS 이벤트 대응을 전문으로 하는 보안 엔지니어입니다. AWS Support 계획에 대한 추가 지원 계층으로 SRT와 직접 협력하여 SRT의 전문 지식을 이벤트 대응 워크플로의 일부로 활용할 수 있습니다. 옵션 및 구성 지침에 대한 자세한 내용은 이어지는 항목을 참조하세요.

**참고**  
Shield 대응팀(SRT)의 서비스를 이용하려면 [Business Support 플랜](https://aws.amazon.com/premiumsupport/business-support/) 또는 [Enterprise Support 플랜](https://aws.amazon.com/premiumsupport/enterprise-support/)에 가입해야 합니다.
Shield 대응 팀(SRT)은 Shield Advanced를 사용할 수 있는 리전과 GovCloud 리전, AWS GovCloud(미국 동부) 및 AWS GovCloud(미국 서부)의 고객에게 서비스를 제공합니다.

**SRT 지원 활동**  
SRT와 관련된 대응의 주요 목표는 애플리케이션의 가용성과 성능을 보호하는 것입니다. DDoS 이벤트의 유형과 애플리케이션의 아키텍처에 따라 SRT는 다음 중 하나 이상의 조치를 수행할 수 있습니다.
+ **AWS WAF 로그 분석 및 규칙** - AWS WAF 웹 ACL을 사용하는 리소스의 경우 SRT는 AWS WAF 로그를 분석하여 애플리케이션 웹 요청의 공격 특성을 식별할 수 있습니다. 대응 기간 동안 고객의 승인을 받으면, SRT는 웹 ACL 변경 사항을 적용하여 식별된 공격을 차단할 수 있습니다.
+ **맞춤형 네트워크 완화 장치 구축** — SRT는 인프라 계층 공격에 대비하여 고객을 대신하여 사용자 지정 완화 조치를 작성할 수 있습니다. SRT는 고객과 협력하여 애플리케이션에 예상되는 트래픽을 파악하고, 예상치 못한 트래픽을 차단하고, 초당 패킷 전송 속도 제한을 최적화할 수 있습니다. 자세한 내용은 [SRT를 사용하여 DDoS 공격에 대한 사용자 지정 완화 설정](ddos-srt-custom-mitigations.md) 단원을 참조하십시오.
+ **네트워크 트래픽 엔지니어링** - SRT는 AWS 네트워킹 팀과 긴밀하게 협력하여 Shield Advanced 고객을 보호합니다. 필요한 경우는 네트워크에 인터넷 트래픽이 AWS 도착하는 방식을 AWS 변경하여 애플리케이션에 더 많은 완화 용량을 할당할 수 있습니다.
+ **아키텍처 권장 사항** - SRT는 공격에 대한 최상의 완화를 위해 AWS 모범 사례에 더 잘 부합하기 위해 아키텍처 변경이 필요하다고 판단할 수 있으며 이러한 사례의 구현을 지원하는 데 도움이 됩니다. 자세한 내용은 [DDoS 복원력에 대한AWS 모범 사례](https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency)를 참조하세요.

다음 섹션에서는 SRT에 참여하기 위한 지침을 제공합니다.

**Topics**
+ [SRT에 대한 액세스 권한 부여](ddos-srt-access.md)
+ [SRT가 직접 연락할 수 있도록 사전 참여 설정](ddos-srt-proactive-engagement.md)
+ [의심되는 DDoS 이벤트에 대한 도움이 필요한 경우 SRT에 문의](ddos-srt-contacting.md)
+ [SRT를 사용하여 DDoS 공격에 대한 사용자 지정 완화 설정](ddos-srt-custom-mitigations.md)

# SRT에 대한 액세스 권한 부여
<a name="ddos-srt-access"></a>

이 페이지에서는 SRT가 사용자를 대신하여 작업할 수 있는 권한을 부여하여 AWS WAF 로그에 액세스하고 AWS Shield Advanced 및 AWS WAF APIs를 호출하여 보호를 관리할 수 있도록 하는 지침을 제공합니다.

 애플리케이션 계층 DDoS 이벤트 중에 SRT는 AWS WAF 요청을 모니터링하여 비정상적인 트래픽을 식별하고 사용자 지정 AWS WAF 규칙을 생성하여 문제가 되는 트래픽 소스를 완화할 수 있습니다.

또한 사용자는 Application Load Balancer, Amazon CloudFront 또는 타사 소스의 패킷 캡처 또는 로그와 같이 Amazon S3 버킷에 저장한 다른 데이터에 대한 액세스 권한을 SRT에 부여할 수 있습니다.

**참고**  
Shield 대응팀(SRT)의 서비스를 이용하려면 [Business Support 플랜](https://aws.amazon.com/premiumsupport/business-support/) 또는 [Enterprise Support 플랜](https://aws.amazon.com/premiumsupport/enterprise-support/)에 가입해야 합니다.

**SRT의 권한을 관리하려면**

1.  AWS Shield 콘솔 **개요** 페이지의 ** AWS SRT 지원 구성**에서 **SRT 액세스 편집**을 선택합니다. ** AWS Shield 대응 팀(SRT) 액세스 편집** 페이지가 열립니다.

1. **SRT 액세스 설정**의 경우, 다음 옵션 중 하나를 선택합니다.
   + **SRT에 내 계정에 대한 액세스 권한을 부여하지 않음** - Shield는 이전에 SRT에 부여한 계정 및 리소스 액세스 권한을 제거합니다.
   + **SRT가 내 계정에 액세스할 수 있도록 새 역할 만들기** - Shield는 SRT를 대표하는 서비스 주체 `drt.shield.amazonaws.com`를 신뢰하는 역할을 생성하고 여기에 관리형 정책 `AWSShieldDRTAccessPolicy`를 연결합니다. 관리형 정책은 SRT AWS Shield Advanced 가 사용자를 대신하여 및 AWS WAF API를 호출하고 로그에 액세스할 수 있도록 AWS WAF 허용합니다. 관리형 정책에 대한 자세한 내용은 [AWS 관리형 정책: AWSShieldDRTAccessPolicy](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)섹션을 참조하세요.
   + **내 계정에 액세스할 SRT의 기존 역할 선택** -이 옵션의 경우 다음과 같이 AWS Identity and Access Management (IAM)에서 역할 구성을 수정해야 합니다.
     + 관리형 정책 `AWSShieldDRTAccessPolicy`를 역할에 연계하십시오. 이 관리형 정책은 SRT AWS Shield Advanced 가 사용자를 대신하여 및 AWS WAF API를 호출하고 로그에 액세스할 수 있도록 AWS WAF 허용합니다. 관리형 정책에 대한 자세한 내용은 [AWS 관리형 정책: AWSShieldDRTAccessPolicy](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)(을)를 참조하세요. 관리형 정책을 역할에 연계하는 방법에 대한 자세한 설명은 [IAM 정책 연계 및 분리](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)를 참조하세요.
     + 서비스 담당자 `drt.shield.amazonaws.com`을 신뢰하도록 역할을 수정합니다. 이는 SRT를 대표하는 서비스 담당자입니다. 자세한 내용은 [IAM JSON 정책 요소: 보안 주체](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)를 참조하세요.

1. **(선택 사항)의 경우: Amazon S3 버킷에 대한 SRT 액세스 권한을 부여합니다**. AWS WAF 웹 ACL 로그에 없는 데이터를 공유해야 하는 경우 이를 구성합니다. Application Load Balancer 액세스 로그, Amazon CloudFront 로그 또는 타사 소스의 로그를 예로 들 수 있습니다.
**참고**  
 AWS WAF 웹 ACL 로그에 대해서는이 작업을 수행할 필요가 없습니다. 계정에 대한 액세스 권한을 부여하면 SRT가 해당 액세스 권한을 얻습니다.

   1. 다음 지침을 따라 Amazon S3 버킷을 구성합니다.
      + 버킷 위치는 이전 단계의 **AWS Shield 대응 팀(SRT) 액세스 권한에서 SRT에 일반 액세스 권한을** 부여한 AWS 계정 위치와 동일해야 합니다.
      + 버킷은 일반 텍스트이거나 SSE-S3로 암호화될 수 있습니다. Amazon S3 SSE-S3에 대한 자세한 내용은 Amazon S3 사용 설명서의 [Amazon S3 관리형 암호화 키(SSE-S3)를 사용하는 서버 측 암호화로 데이터 보호](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)를 참조하세요.

        SRT는 AWS Key Management Service ()에 저장된 키로 암호화된 버킷에 저장된 로그를 보거나 처리할 수 없습니다AWS KMS.

   1. Shield Advanced **(선택 사항): SRT에 Amazon S3 버킷에 대한 액세스 권한 부여** 섹션에서, 데이터 또는 로그가 저장된 각각의 Amazon S3 버킷에 대해 버킷 이름을 입력하고 **버킷 추가**를 선택합니다. 버킷을 최대 10개까지 추가할 수 있습니다.

      이렇게 하면 SRT에 각 버킷에 대한 `s3:GetBucketLocation`, `s3:GetObject` 및 `s3:ListBucket` 권한이 부여됩니다.

      10개 이상의 버킷에 액세스할 수 있는 권한을 SRT에 부여하려면 추가 버킷 정책을 편집하고 여기에 나열된 SRT용 권한을 수동으로 부여하면 됩니다.

      다음 내용은 정책 목록의 예를 보여줍니다.

      ```
      {
          "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
          "Effect": "Allow",
          "Principal": {
              "Service": "drt.shield.amazonaws.com"
          },
          "Action": [
              "s3:GetBucketLocation",
              "s3:GetObject",
              "s3:ListBucket"
          ],
          "Resource": [
              "arn:aws:s3:::bucket-name",
              "arn:aws:s3:::bucket-name/*"
          ]
      }
      ```

1. **저장**을 선택하여 변경 사항을 저장합니다.

또한 IAM 역할을 생성하고 AWSShieldDRTAccessPolicy 정책을 여기에 연결한 다음 [AssociateDRTRole](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_AssociateDRTRole.html) 작업에 역할을 전달하여 API를 통해 SRT를 승인할 수 있습니다.

# SRT가 직접 연락할 수 있도록 사전 참여 설정
<a name="ddos-srt-proactive-engagement"></a>

이 페이지에서는 SRT와의 사전 참여 설정에 대한 지침을 제공합니다.

SRT는 선제적 대응이 구성되어 있는 경우 가능한 공격으로 인해 애플리케이션의 가용성이나 성능이 영향을 받는 경우 고객에게 직접 연락을 취합니다. 이 대응 모델은 가장 빠른 SRT 대응을 제공하고 SRT가 고객과 연락을 취하기도 전에 문제 해결을 시작할 수 있으므로 이 대응 모델을 사용하는 것이 좋습니다.

선제적 참여는 탄력적 IP 주소 및 AWS Global Accelerator 표준 액셀러레이터의 네트워크 계층 및 전송 계층 이벤트와 Amazon CloudFront 배포 및 Application Load Balancer의 웹 요청 플러드에 사용할 수 있습니다. 선제적 대응은 연결된 Amazon Route 53 상태 확인이 있는 Shield Advanced 리소스 보호에 한해 사용할 수 있습니다. 상태 확인 관리 및 사용에 대한 자세한 내용은 [Shield Advanced 및 Route 53에서 상태 확인을 사용한 상태 기반 감지](ddos-advanced-health-checks.md)(을)를 참조하세요.

Shield Advanced에서 이벤트가 감지되면 SRT는 상태 확인 상태를 바탕으로 해당 이벤트에 대한 선제적 대응이 가능한지 여부를 판단합니다. 그럴 경우 SRT는 선제적 대응 구성에 제공된 연락처 지침에 따라 연락을 드릴 것입니다.

선제적 대응을 위해 연락처를 최대 10개까지 구성할 수 있으며 SRT가 연락하는 데 도움이 되는 참고 사항을 제공할 수 있습니다. 이벤트 동안 SRT와 소통할 수 있는 선제적 대응 담당자가 있어야 합니다. 고객에게 연중무휴 운영 센터가 없는 경우, 호출기 연락처를 제공하고 연락처 참고 사항에 해당 연락처 선호 사항을 기재할 수 있습니다.

선제적 대응이 가능하려면 고객이 다음을 수행해야 합니다.
+ [Business Support 플랜](https://aws.amazon.com/premiumsupport/business-support/) 또는 [Enterprise Support 플랜](https://aws.amazon.com/premiumsupport/enterprise-support/)을 구독해야 합니다.
+ Amazon Route 53 상태 확인을 선제적 대응으로 보호하려는 모든 리소스와 연결해야 합니다. SRT는 상태 확인의 상태를 사용하여 이벤트에 선제적 대응이 필요한지 여부를 판단할 수 있으므로 상태 확인에서 보호 대상 리소스의 상태를 정확하게 반영하는 것이 중요합니다. 자세한 정보 및 지침은 [Shield Advanced 및 Route 53에서 상태 확인을 사용한 상태 기반 감지](ddos-advanced-health-checks.md)(을)를 참조하세요.
+  AWS WAF 웹 ACL이 연결된 리소스의 경우 최신 버전인 AWS WAF (v2)를 사용하여 웹 ACL을 생성해야 합니다 AWS WAF.
+ SRT가 이벤트 동안 선제적 대응에 사용할 연락처를 한 곳 이상 제공해야 합니다. 연락처 정보를 완전하게 최신 상태로 유지하세요.

**SRT 전향적 연계를 활성화하려면**

1.  AWS Shield 콘솔 **개요** 페이지의 **선제적 참여 및 고객 응대**의 고객 응대 영역에서 **편집**을 선택합니다.

   **연락처 편집** 페이지에서 SRT가 전향적 연계를 위해 연락할 담당자의 연락처 정보를 입력합니다.

   둘 이상의 연락처를 제공하는 경우, **주**에 각 연락처를 사용해야 하는 경우를 표시하십시오. 기본 및 보조 연락처 지정을 포함하고 각 연락처의 이용 가능 시간과 시간대를 제공하십시오.

   연락처 메모 예시: 
   + 이 핫라인은 연중무휴 24시간 운영됩니다. 담당 분석가에게 문의하면 적절한 담당자를 통화 중에 연결해 드립니다.
   + 5분 이내에 핫라인이 응답하지 않으면 저에게 연락하십시오.

1. **저장**을 선택합니다.

   **개요** 페이지에는 업데이트된 연락처 정보가 반영됩니다.

1. **전향적 연계 기능 편집**을 선택하고 **활성화**를 선택한 다음 **저장**을 선택하여 전향적 연계를 활성화합니다.

# 의심되는 DDoS 이벤트에 대한 도움이 필요한 경우 SRT에 문의
<a name="ddos-srt-contacting"></a>

다음 중 한 가지 방법으로 SRT에 연락할 수 있습니다.

**지원 사례**  
**AWS 지원 센터** 콘솔의 **AWS Shield** 아래에서 케이스를 시작할 수 있습니다.

지원 사례 생성에 대한 지침은 [AWS Support 센터](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html)를 참조하세요.

상황에 적합한 심각도를 선택하고 연락처 세부 정보를 제공합니다. 설명에서 최대한 자세한 내용을 제공하십시오. 영향을 받을 수 있다고 생각되는 보호된 리소스 및 최종 사용자 환경의 현재 상태에 대한 정보를 제공합니다. 예를 들어 사용자 환경이 저하되거나 애플리케이션의 일부를 현재 사용할 수 없는 경우 해당 정보를 제공합니다.
+ **의심되는 DDoS 공격의 경우** – 현재 발생 가능한 DDoS 공격으로 인해 애플리케이션의 가용성 또는 성능이 영향을 받는 경우, 다음의 심각도 및 연락처 옵션을 선택하십시오.
  + 심각도에 대해서는 지원 플랜에서 사용할 수 있는 가장 높은 심각도를 선택합니다.
    + 비즈니스 지원의 경우, 이 내용은 **프로덕션 시스템 중단: 1시간 이내**입니다.
    + 엔터프라이즈 지원의 경우, 이 내용은 **비즈니스 크리티컬 시스템 중단: 15분 이내**입니다.
  + 연락처 옵션의 경우, **전화** 또는 **채팅**을 선택하고 세부 정보를 제공합니다. 실시간 연락 방법을 사용하면 가장 빠른 응답을 받을 수 있습니다.

**선제적 대응**  
 AWS Shield Advanced 사전 대응을 통해 SRT는 감지된 이벤트 중에 보호된 리소스와 연결된 Amazon Route 53 상태 확인이 비정상이 되면 사용자에게 직접 연락합니다. 이 옵션에 대한 자세한 내용은 [SRT가 직접 연락할 수 있도록 사전 참여 설정](ddos-srt-proactive-engagement.md) 섹션을 참조하세요.

# SRT를 사용하여 DDoS 공격에 대한 사용자 지정 완화 설정
<a name="ddos-srt-custom-mitigations"></a>

이 페이지에서는 SRT와 협력하여 DDoS 공격에 대한 사용자 지정 완화 조치를 구축하는 방법에 대한 지침을 제공합니다.

탄력적 IPs(EIPs) 및 AWS Global Accelerator 표준 액셀러레이터의 경우 SRT와 협력하여 사용자 지정 완화를 구성할 수 있습니다. 이는 완화 조치를 적용할 때 실행해야 하는 특정 로직을 알고 있는 경우에 유용합니다. 예를 들어 특정 국가에서 발송된 트래픽만 허용하거나, 특정 속도 제한을 적용하거나, 선택적 검증을 구성하거나, 조각을 허용하지 않거나, 패킷 페이로드의 특정 패턴과 일치하는 트래픽만 허용할 수 있습니다.

다음은 일반적인 사용자 지정 완화 조치의 예입니다.
+ **패턴 매칭** — 클라이언트 측 애플리케이션과 상호 작용하는 서비스를 운영하는 경우 해당 애플리케이션 특유의 알려진 패턴을 기준으로 매칭하도록 선택할 수 있습니다. 예를 들어, 고객사에서 배포하는 특정 소프트웨어를 최종 사용자가 설치해야 하는 게임 또는 통신 서비스를 운영할 수 있습니다. 애플리케이션이 고객사의 서비스로 전송하는 모든 패킷에 매직 넘버를 포함할 수 있습니다. 최대 128바이트(분리 또는 연속)의 조각화되지 않은 TCP 또는 UDP 패킷 페이로드와 헤더를 기준으로 매칭할 수 있습니다. 일치는 16진수 표기법으로 패킷 페이로드 시작 부분으로부터의 특정 오프셋 또는 알려진 값 이후의 동적 오프셋으로 나타낼 수 있습니다. 예를 들어, 완화 기능은 바이트 `0x01`을(를) 찾은 후 `0x12345678`을(를) 다음 4바이트로 예상할 수 있습니다.
+ **DNS 관련** — Global Accelerator 또는 Amazon Elastic Compute Cloud(Amazon EC2)와 같은 서비스를 사용하여 신뢰할 수 있는 자체 DNS 서비스를 운영하는 경우, 패킷이 유효한 DNS 쿼리인지 확인하는 사용자 지정 완화 조치를 요청하고 DNS 트래픽과 관련된 속성을 평가하는 의심 점수를 적용할 수 있습니다.

SRT와 협력하여 사용자 지정 완화 조치를 구축하는 방법에 대해 문의하려면 AWS Shield아래에서 지원 케이스를 생성하십시오. AWS Support 사례 생성에 대한 자세한 내용은 [시작하기를 참조하세요 AWS Support](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html).

# 의 리소스 보호 AWS Shield Advanced
<a name="ddos-resource-protections"></a>

리소스에 대한 AWS Shield Advanced 보호를 추가하고 구성할 수 있습니다. 단일 리소스에 대한 보호를 관리하고 더 나은 이벤트 관리가 가능하도록 보호된 리소스를 논리적 모음으로 그룹화할 수 있습니다. 를 사용하여 Shield Advanced 보호에 대한 변경 사항을 추적할 수도 있습니다 AWS Config.

**참고**  
Shield Advanced는 Shield Advanced에서 또는 Shield Advanced AWS Firewall Manager 정책을 통해 지정한 리소스만 보호합니다. 이 기능은 리소스를 자동으로 보호하지 않습니다.

 AWS Firewall Manager Shield Advanced 정책을 사용하는 경우 정책 범위에 있는 리소스에 대한 보호를 관리할 필요가 없습니다. Firewall Manager는 정책 구성에 따라 정책 범위 내에 있는 계정 및 리소스에 대한 보호를 자동으로 관리합니다. 자세한 내용은 [Firewall Manager에서 AWS Shield Advanced 정책 사용](shield-policies.md) 단원을 참조하십시오.

**Topics**
+ [가 AWS Shield Advanced 보호하는 리소스 목록](ddos-protections-by-resource-type.md)
+ [Shield Advanced로 Amazon EC2 인스턴스 및 Network Load Balancer 보호](ddos-protections-ec2-nlb.md)
+ [AWS Shield Advanced 및를 사용하여 애플리케이션 계층(계층 7) 보호 AWS WAF](ddos-app-layer-protections.md)
+ [Shield Advanced 및 Route 53에서 상태 확인을 사용한 상태 기반 감지](ddos-advanced-health-checks.md)
+ [AWS 리소스에 AWS Shield Advanced 보호 추가](configure-new-protection.md)
+ [AWS Shield Advanced 보호 편집](manage-protection.md)
+ [Shield Advanced로 보호하는 리소스에 대해 경보 및 알림 생성](add-alarm-ddos.md)
+ [AWS 리소스에서 AWS Shield Advanced 보호 제거](remove-protection.md)
+ [AWS Shield Advanced 보호 그룹화](ddos-protection-groups.md)
+ [에서 Shield Advanced 리소스 보호 변경 사항 추적 AWS Config](ddos-add-config.md)

# 가 AWS Shield Advanced 보호하는 리소스 목록
<a name="ddos-protections-by-resource-type"></a>

이 섹션에서는 각 리소스 유형에 대한 Shield Advanced 보호에 대한 정보를 제공합니다.

Shield Advanced는 네트워크 및 전송 계층(계층 3 및 4)과 애플리케이션 계층(계층 7)의 AWS 리소스를 보호합니다. 일부 리소스는 직접 보호하고 다른 리소스는 보호된 리소스와의 연결을 통해 보호할 수 있습니다. Shield Advanced는 IPv4를 지원하지만 IPv6는 지원하지 않습니다.

**참고**  
Shield Advanced는 Shield Advanced를 통해 또는 AWS Firewall Manager Shield Advanced 정책을 통해 지정한 리소스만 보호합니다. 이 기능은 리소스를 자동으로 보호하지 않습니다.

다음 리소스 유형을 포함한 고급 모니터링 및 보호에 Shield Advanced를 사용할 수 있습니다.
+ Amazon CloudFront 배포. CloudFront 지속적 배포의 경우, Shield Advanced는 보호된 기본 배포와 연결된 모든 스테이징 배포를 보호합니다.
+ Amazon Route 53 호스팅 영역.
+ AWS Global Accelerator 표준 액셀러레이터.
+ Amazon EC2 탄력적 IP 주소. Shield Advanced는 보호된 탄력적 IP 주소와 연결된 리소스를 보호합니다.
+ Amazon EC2 인스턴스, Amazon EC2 탄력적 IP 주소와의 연결을 통해.
+ 다음 유형의 Elastic Load Balancing(ELB) 로드 밸런서:
  + Application Load Balancers.
  + Classic Load Balancer
  + Network Load Balancer, Amazon EC2 탄력적 IP 주소와의 연결을 통해.

**참고**  
그 외의 리소스 유형은 Shield Advanced를 사용하여 보호할 수 없습니다. 예를 들어 AWS Global Accelerator 사용자 지정 라우팅 액셀러레이터나 Gateway Load Balancer는 보호할 수 없습니다.

**참고**  
NAT 게이트웨이는 아웃바운드 트래픽만 처리하는 반면, Shield Advanced는 인바운드 DDoS로부터 보호합니다. 아웃바운드 트래픽 보호의 경우를 사용합니다[AWS Network Firewall](https://docs.aws.amazon.com//network-firewall/latest/developerguide/what-is-aws-network-firewall.html).

각 리소스 유형에 대해 AWS 계정당 최대 1,000개의 리소스를 모니터링하고 보호할 수 있습니다. 예를 들어, 단일 계정에서, 1,000개의 Amazon EC2 Elastic IP 주소, 1,000개의 CloudFront 배포 및 1,000개의 Application Load Balancer를 보호할 수 있습니다. [https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/)의 Service Quotas 콘솔을 통해 Shield Advanced로 보호할 수 있는 리소스 수를 늘려줄 것을 요청할 수 있습니다.

# Shield Advanced로 Amazon EC2 인스턴스 및 Network Load Balancer 보호
<a name="ddos-protections-ec2-nlb"></a>

이 페이지에서는 Amazon EC2 인스턴스 및 Network Load Balancer에 대한 AWS Shield Advanced 보호를 사용하는 방법을 설명합니다.

먼저 이러한 리소스를 탄력적 IP 주소에 연결한 다음 Shield Advanced에서 탄력적 IP 주소를 보호함으로써 Amazon EC2 인스턴스와 Network Load Balancer를 보호할 수 있습니다.

탄력적 IP 주소를 보호하는 경우, Shield Advanced는 탄력적 IP 주소가 연결된 리소스를 식별하고 보호합니다. Shield Advanced는 탄력적 IP 주소에 연결된 리소스 유형을 자동으로 식별하고 해당 리소스에 적절한 탐지 및 완화 조치를 적용합니다. 여기에는 탄력적 IP 주소에 따라 네트워크 ACL을 구성하는 작업도 포함됩니다. AWS 리소스와 함께 탄력적 IP 주소를 사용하는 방법에 대한 자세한 내용은 다음 가이드를 참조하세요: [Amazon Elastic Compute Cloud 설명서](https://docs.aws.amazon.com/ec2/) 또는 [Elastic Load Balancing 설명서](https://docs.aws.amazon.com/elasticloadbalancing/)를 참조하세요.

공격 중에 Shield Advanced는 네트워크 경계에 AWS 네트워크 ACLs을 자동으로 배포합니다. 네트워크 ACL이 네트워크의 경계에 있는 경우, Shield Advanced에서는 더 큰 DDoS 이벤트에 대한 보호를 제공할 수 있습니다. 일반적으로 네트워크 ACL은 Amazon VPC 내에서 근접한 Amazon EC2 인스턴스에 적용됩니다. 네트워크 ACL은 Amazon VPC와 인스턴스가 처리할 수 있을 정도의 큰 공격만 완화할 수 있습니다. 예를 들어, Amazon EC2 인스턴스에 연결된 네트워크 인터페이스가 최대 10Gbps를 처리할 수 있는 경우, 10Gbps를 초과하는 볼륨은 느려지며 해당 인스턴스에 대한 트래픽이 차단될 수 있습니다. 공격 시에 Shield Advanced는 네트워크 ACL을 AWS 경계로 승격시켜 다수 테라바이트의 트래픽을 처리할 수 있습니다. 네트워크 ACL은 네트워크의 일반적인 용량 이상으로 리소스에 대한 보호를 제공할 수 있습니다. 네트워크 ACL에 대한 자세한 내용은 [네트워크 ACL](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html)을 참조하세요.

와 같은 일부 조정 도구를 사용하면 탄력적 IP 주소를 Network Load Balancer에 자동으로 연결할 수 AWS Elastic Beanstalk없습니다. 이러한 경우에는 탄력적 IP 주소를 수동으로 연결해야 합니다.

# AWS Shield Advanced 및를 사용하여 애플리케이션 계층(계층 7) 보호 AWS WAF
<a name="ddos-app-layer-protections"></a>

이 페이지에서는 Shield Advanced와가 함께 AWS WAF 작동하여 애플리케이션 계층(계층 7)에서 리소스를 보호하는 방법을 설명합니다.

Shield Advanced로 애플리케이션 계층 리소스를 보호하려면 먼저 AWS WAF 웹 ACL을 리소스에 연계하고 여기에 하나 이상의 속도 기반 규칙을 추가합니다. 또한 자동 애플리케이션 계층 DDoS 완화를 활성화하여 Shield Advanced가 DDoS 공격에 대응하여 사용자 대신 웹 ACL 규칙을 자동으로 생성하고 관리하도록 할 수 있습니다.

Shield Advanced로 애플리케이션 계층 리소스를 보호하는 경우, Shield Advanced는 시간 경과에 따른 트래픽을 분석하여 기준을 설정하고 유지합니다. Shield Advanced는 이러한 기준을 사용하여 DDoS 공격을 나타낼 수 있는 트래픽 패턴의 이상을 감지합니다. Shield Advanced가 공격을 감지하는 시점은 Shield Advanced가 공격 이전에 관찰할 수 있었던 트래픽과 웹 애플리케이션에 사용하는 아키텍처에 따라 달라집니다. Shield Advanced 동작에 영향을 줄 수 있는 아키텍처 변형에는 사용하는 인스턴스 타입, 인스턴스 크기, 인스턴스 타입이 향상된 네트워킹을 지원하는지 여부 등이 포함됩니다. 애플리케이션 계층 공격에 대한 완화 기능을 자동으로 배치하도록 Shield Advanced를 구성할 수도 있습니다.

**Shield Advanced 구독 및 AWS WAF 비용**  
Shield Advanced 구독에는 Shield Advanced로 보호하는 리소스에 표준 AWS WAF 기능을 사용하는 비용이 포함됩니다. Shield Advanced 보호가 적용되는 표준 AWS WAF 요금은 보호 팩당 비용(웹 ACL), 규칙당 비용, 웹 요청 검사에 대한 백만 요청당 기본 가격, 최대 1,500WCUs 및 기본 본문 크기입니다.

Shield Advanced 자동 애플리케이션 계층 DDoS 완화를 활성화하면 150개의 보호 팩(웹 ACL) 용량 단위(WCU)를 사용하는 규칙 그룹이 웹 ACL에 추가됩니다. 이러한 WCU는 보호 팩(웹 ACL)의 WCU 사용량에 포함됩니다. 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md), [Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호](ddos-automatic-app-layer-response-rg.md), [의 웹 ACL 용량 단위(WCUs) AWS WAF](aws-waf-capacity-units.md) 섹션을 참조하세요.

Shield Advanced 구독은 Shield Advanced를 사용하여 보호하지 않는 리소스에 AWS WAF 대한 사용을 다루지 않습니다. 또한 보호된 리소스에 대한 비표준 추가 AWS WAF 비용도 부담하지 않습니다. 비표준 AWS WAF 비용의 예로는 Bot Control, CAPTCHA 규칙 작업, 1,500개 이상의 WCUs ACLs, 기본 본문 크기를 초과하는 요청 본문 검사 등이 있습니다. 전체 목록은 AWS WAF 요금 페이지에 나와 있습니다. Shield Advanced 구독에는 계층 7 DDoS Amazon Managed Rule 그룹에 대한 액세스 권한이 포함됩니다. 구독의 일부로 한 달에 최대 500억 개의 Shield Advanced 보호 AWS WAF 리소스 요청을 받게 됩니다. 500억 개를 초과하는 요청은 AWS Shield Advanced 요금 페이지에 따라 청구됩니다.

전체 정보 및 요금 예는 [Shield 요금](https://aws.amazon.com/shield/pricing/) 및 [AWS WAF 요금](https://aws.amazon.com/waf/pricing/)을 참조하세요.

**Topics**
+ [Shield Advanced를 사용한 애플리케이션 계층 이벤트 감지 및 마이그레이션에 영향을 미치는 요인 목록](ddos-app-layer-detection-mitigation.md)
+ [AWS WAF 웹 ACLs 및 Shield Advanced를 사용하여 애플리케이션 계층 보호](ddos-app-layer-web-ACL-and-rbr.md)
+ [AWS WAF 속도 기반 규칙 및 Shield Advanced를 사용하여 애플리케이션 계층 보호](ddos-app-layer-rbr.md)
+ [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md)

# Shield Advanced를 사용한 애플리케이션 계층 이벤트 감지 및 마이그레이션에 영향을 미치는 요인 목록
<a name="ddos-app-layer-detection-mitigation"></a>

이 섹션에서는 Shield Advanced의 애플리케이션 계층 이벤트 감지 및 완화에 영향을 미치는 요인에 대해 설명합니다.

**건전성 체크**  
애플리케이션의 전반적인 상태를 정확하게 보고하는 상태 확인은 애플리케이션이 겪고 있는 트래픽 조건에 대한 정보를 Shield Advanced에 제공합니다. Shield Advanced는 애플리케이션이 비정상으로 보고될 때 잠재적 공격을 가리키는 정보를 적게 요구하고 애플리케이션이 정상으로 보고될 경우 공격에 대한 증거를 더 많이 요구합니다.

애플리케이션 상태를 정확하게 보고하도록 상태 확인을 구성하는 것이 중요합니다. 자세한 정보 및 지침은 [Shield Advanced 및 Route 53에서 상태 확인을 사용한 상태 기반 감지](ddos-advanced-health-checks.md)(을)를 참조하세요.

**트래픽 기준**  
트래픽 기준은 애플리케이션의 정상 트래픽 특성에 대한 Shield Advanced 정보를 제공합니다. Shield Advanced는 이러한 기준을 사용하여 애플리케이션이 정상 트래픽을 수신하지 못하는 시점을 인식하므로, 사용자에게 알리고, 구성된 대로 완화 옵션을 고안하고 테스트하여 잠재적 공격에 대응할 수 있습니다. Shield Advanced가 트래픽 기준을 사용하여 잠재적 이벤트를 감지하는 방법에 대한 자세한 내용은 개요 [애플리케이션 계층 위협(계층 7)에 대한 Shield Advanced 탐지 로직](ddos-event-detection-application.md) 섹션을 참조하세요.

Shield Advanced는 보호된 리소스와 연결된 웹 ACL에서 제공하는 정보에서 기준을 생성합니다. Shield Advanced가 애플리케이션의 기준을 안정적으로 결정하기 전에 웹 ACL을 최소 24시간에서 최대 30일 동안 리소스에 연결해야 합니다. 필요한 시간은 Shield Advanced 또는 AWS WAF를 통해 웹 ACL을 연결할 때 시작됩니다.

Shield Advanced 애플리케이션 계층 보호와 함께 웹 ACL을 사용하는 방법에 대한 자세한 내용은 [AWS WAF 웹 ACLs 및 Shield Advanced를 사용하여 애플리케이션 계층 보호](ddos-app-layer-web-ACL-and-rbr.md) 섹션을 참조하세요.

**속도 기반 규칙**  
속도 기반 규칙은 공격을 완화하는 데 도움이 될 수 있습니다. 또한 정상적인 트래픽 기준 또는 상태 확인 상태 보고에 표시할 수 있을 만큼 충분히 큰 문제가 되기 전에 공격을 완화하여 공격을 숨길 수도 있습니다.

Shield Advanced로 애플리케이션 리소스를 보호할 때는 웹 ACL에서 속도 기반 규칙을 사용하는 것이 좋습니다. 완화 조치로 인해 잠재적 공격이 가려질 수 있지만, 이는 중요한 1차 방어선으로, 합법적인 고객이 애플리케이션을 계속 사용할 수 있도록 하는 데 도움이 됩니다. 속도 기반 규칙이 감지하는 트래픽과 속도 제한은 AWS WAF 지표에 표시됩니다.

자체 속도 기반 규칙 외에도 자동 애플리케이션 계층 DDoS 완화를 활성화하면 Shield Advanced는 공격을 완화하는 데 사용하는 규칙 그룹을 웹 ACL에 추가합니다. 이 규칙 그룹에서 Shield Advanced에는 항상 DDoS 공격의 원인으로 알려진 IP 주소의 요청 양을 제한하는 장소에 속도 기반 규칙이 있습니다. Shield Advanced 규칙에서 완화하는 트래픽에 대한 지표는 볼 수 없습니다.

속도 기반 규칙에 대한 자세한 내용은 [에서 속도 기반 규칙 문 사용 AWS WAF](waf-rule-statement-type-rate-based.md) 섹션을 참조하세요. Shield Advanced에서 자동 애플리케이션 계층 DDoS 완화를 위해 사용하는 속도 기반 규칙에 대한 내용은 [Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호](ddos-automatic-app-layer-response-rg.md) 섹션을 참조하세요.

Shield Advanced 및 AWS WAF 지표에 대한 자세한 내용은 섹션을 참조하세요[Amazon CloudWatch를 사용한 모니터링](monitoring-cloudwatch.md).

# AWS WAF 웹 ACLs 및 Shield Advanced를 사용하여 애플리케이션 계층 보호
<a name="ddos-app-layer-web-ACL-and-rbr"></a>

이 페이지에서는 AWS WAF 웹 ACLs과 Shield Advanced가 함께 작동하여 기본 애플리케이션 계층 보호를 생성하는 방법을 설명합니다.

Shield Advanced로 애플리케이션 계층 리소스를 보호하려면 먼저 웹 ACL을 AWS WAF 리소스와 연결합니다. AWS WAF 는 애플리케이션 계층 리소스로 전달되는 HTTP 및 HTTPS 요청을 모니터링하고 요청의 특성에 따라 콘텐츠에 대한 액세스를 제어할 수 있는 웹 애플리케이션 방화벽입니다. 요청이 기원된 위치, 쿼리 문자열 및 쿠키의 내용, 단일 IP 주소에서 들어오는 요청의 비율과 같은 요소에 근거하여 요청을 모니터링하고 관리하도록 웹 ACL을 구성할 수 있습니다. Shield Advanced 보호를 사용하려면 최소한 웹 ACL을 속도 기반 규칙과 연계해야 합니다. 이 규칙은 각 IP 주소에 대한 요청 속도를 제한합니다.

연계된 웹 ACL에 속도 기반 규칙이 정의되어 있지 않은 경우, Shield Advanced는 하나 이상의 규칙을 정의하라는 메시지를 표시합니다. 속도 기반 규칙은 소스 IP가 정의된 임계값을 초과하는 경우, 소스 IP의 트래픽을 자동으로 차단합니다. 속도 기반 규칙은 웹 요청 홍수로부터 애플리케이션을 보호하는 데 도움이 되며, 잠재적인 DDoS 공격으로 이어질 수 있는 갑작스러운 트래픽 급증에 대한 알림을 제공할 수 있습니다.

**참고**  
속도 기반 규칙은 규칙이 모니터링하는 트래픽의 급증에 매우 빠르게 응답합니다. 따라서 속도 기반 규칙은 공격뿐만 아니라 Shield Advanced 탐지를 통한 잠재적 공격 탐지도 방지할 수 있습니다. 이러한 트레이드 오프는 공격 패턴에 대한 완전한 가시성보다 예방에 유리합니다. 속도 기반 규칙을 공격에 대한 1차 방어선으로 사용하는 것이 좋습니다.

웹 ACL을 사용하면 DDoS 공격이 발생할 경우, 웹 ACL에서 규칙을 추가하고 관리하여 완화를 적용할 수 있습니다. 이 작업은 Shield 대응팀(SRT)의 도움을 받아 직접 수행하거나 자동 애플리케이션 계층 DDoS 완화를 통해 자동으로 수행할 수 있습니다.

**중요**  
자동 애플리케이션 계층 DDoS 완화도 사용하는 경우 [자동 애플리케이션 계층 DDoS 완화 사용의 모범 사례](ddos-automatic-app-layer-response-bp.md)에서 웹 ACL을 관리하는 모범 사례를 참조하세요.

 AWS WAF 를 사용하여 웹 요청 모니터링 및 관리 규칙을 관리하는 방법에 대한 자세한 내용은 섹션을 참조하세요[에서 보호 팩(웹 ACL) 생성 AWS WAF](web-acl-creating.md).

# AWS WAF 속도 기반 규칙 및 Shield Advanced를 사용하여 애플리케이션 계층 보호
<a name="ddos-app-layer-rbr"></a>

이 페이지에서는 AWS WAF 속도 기반 규칙과 Shield Advanced가 협력하여 기본 애플리케이션 계층 보호를 생성하는 방법을 설명합니다.

기본 구성과 함께 속도 기반 규칙을 사용하는 경우는 이전 5분 기간의 트래픽을 AWS WAF 주기적으로 평가합니다.는 요청 속도가 허용 가능한 수준으로 떨어질 때까지 규칙의 임계값을 초과하는 IP 주소의 요청을 AWS WAF 차단합니다. Shield Advanced를 통해 속도 기반 규칙을 구성할 때는 5분 내에 하나의 소스 IP에서 예상하는 정상 트래픽 속도보다 큰 값으로 속도 임계값을 구성합니다.

웹 ACL에서 속도 기반 규칙을 두 개 이상 사용하고 싶을 수도 있습니다. 예컨대, 임계값이 높은 모든 트래픽에 대한 속도 기반 규칙 하나와 웹 애플리케이션의 특정 부분과 일치하도록 구성되고 임계값이 더 낮은 추가 규칙을 하나 이상 추가할 수 있습니다. 예를 들어, URI `/login.html`를 낮은 임계값으로 일치시켜 로그인 페이지에 대한 침해를 완화할 수 있습니다.

다른 평가 기간을 사용하고 헤더 값, 레이블 및 쿼리 인수와 같은 여러 요청 구성 요소별로 요청을 집계하도록 속도 기반 규칙을 구성할 수 있습니다. 자세한 내용은 [에서 속도 기반 규칙 문 사용 AWS WAF](waf-rule-statement-type-rate-based.md) 단원을 참조하십시오.

추가 정보 및 지침은 보안 블로그 게시물 [가장 중요한 세 가지 AWS WAF 속도 기반 규칙을](https://aws.amazon.com/blogs/security/three-most-important-aws-waf-rate-based-rules/) 참조하세요.

**를 통해 구성 옵션 확장 AWS WAF**  
Shield Advanced 콘솔을 사용하면 속도 기반 규칙을 추가하고 기초, 기본 설정으로 구성할 수 있습니다. 를 통해 속도 기반 규칙을 관리하여 추가 구성 옵션을 정의할 수 있습니다 AWS WAF. 예컨대, 전달된 IP 주소, 쿼리 문자열, 레이블 등의 키 기준의 요청을 집계하도록 규칙을 구성할 수 있습니다. 규칙에 범위 축소 문을 추가하여 평가 및 속도 제한에서 일부 요청을 필터링할 수도 있습니다. 자세한 내용은 [에서 속도 기반 규칙 문 사용 AWS WAF](waf-rule-statement-type-rate-based.md) 단원을 참조하십시오.

# Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화
<a name="ddos-automatic-app-layer-response"></a>

**참고**  
2026년 3월 26일부터 용 안티 DDoS 관리형 규칙 그룹(항 DDOS AMR)이 HTTP 요청 플러드 공격으로부터 보호하기 위한 기본 솔루션이 AWS WAF 됩니다([항 DDoS AMR 시작 블로그](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-the-aws-waf-application-layer-ddos-protection/) 참조). 계층 7 자동 완화(L7AM) 기능을 대체합니다. 기존 Shield Advanced 고객인 경우 기존 계정 또는 새 AWS 계정에서 레거시 솔루션을 계속 사용할 수 있습니다. 그러나 Anti-DDoS 관리형 규칙 그룹을 채택하는 것이 좋습니다. Anti-DDoS 관리형 규칙 그룹은 몇 분 이내에 공격을 탐지하고 완화합니다. Shield Advanced를 처음 사용하는 고객이 레거시 솔루션에 액세스해야 하는 경우 AWS Support에 문의하세요.

이 페이지에서는 자동 애플리케이션 계층 DDoS 완화에 대한 주제를 소개하고 관련 주의 사항을 나열합니다.

보호된 애플리케이션 계층 리소스에 대한 애플리케이션 계층(계층 7) 공격을 완화하도록 Shield Advanced를 구성하여 공격의 일부인 웹 요청을 세거나 차단함으로써 자동으로 대응하도록 구성할 수 있습니다. 이 옵션은 AWS WAF 웹 ACL 및 자체 속도 기반 규칙을 사용하여 Shield Advanced를 통해 추가하는 애플리케이션 계층 보호에 추가됩니다.

리소스에 대해 자동 완화가 활성화되면 Shield Advanced는 리소스를 대표하여 완화 규칙을 관리하는 리소스의 관련 웹 ACL에 규칙 그룹을 유지 관리합니다. 규칙 그룹에는 DDoS 공격의 소스로 알려진 IP 주소의 요청 양을 추적하는 속도 기반 규칙이 포함되어 있습니다.

또한, Shield Advanced는 현재 트래픽 패턴을 과거 트래픽 베이스라인과 비교하여 DDoS 공격을 표시할 수 있는 편차를 감지합니다. Shield Advanced는 규칙 그룹에서 추가 사용자 지정 AWS WAF 규칙을 생성, 평가 및 배포하여 탐지된 DDoS 공격에 대응합니다.

## 자동 애플리케이션 계층 DDoS 완화 사용에 관한 주의 사항
<a name="ddos-automatic-app-layer-response-caveats"></a>

다음 목록은 Shield Advanced 자동 애플리케이션 계층 DDoS 완화에 대한 경고 사항을 설명하고 이에 대응하여 취해야 할 조치를 설명합니다.
+ 자동 애플리케이션 계층 DDoS 완화는 (v2)의 최신 버전을 사용하여 생성된 보호 팩 AWS WAF (웹 ACLs)에서만 작동합니다.
+ Shield Advanced는 애플리케이션의 정상적이고 과거 트래픽의 기준을 설정하는 데 시간이 필요하며, 이를 활용하여 정상 트래픽에서 공격 트래픽을 탐지하고 격리하여 공격 트래픽을 완화합니다. 기준 설정 시간은 웹 ACL을 보호된 애플리케이션 리소스와 연결한 시간으로부터 24시간에서 30일 사이입니다. 트래픽 기준에 대한 자세한 내용은 [Shield Advanced를 사용한 애플리케이션 계층 이벤트 감지 및 마이그레이션에 영향을 미치는 요인 목록](ddos-app-layer-detection-mitigation.md) 섹션을 참조하세요.
+ 자동 애플리케이션 계층 DDoS 완화를 활성화하면 150개의 보호 팩(웹 ACL) 용량 단위(WCU)를 사용하는 규칙 그룹이 웹 ACL에 추가됩니다. 이러한 WCU는 보호 팩(웹 ACL)의 WCU 사용량에 포함됩니다. 자세한 내용은 [Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호](ddos-automatic-app-layer-response-rg.md) 및 [의 웹 ACL 용량 단위(WCUs) AWS WAF](aws-waf-capacity-units.md) 섹션을 참조하세요.
+ Shield Advanced 규칙 그룹은 AWS WAF 지표를 생성하지만 볼 수 없습니다. 이는 AWS 관리형 규칙 그룹과 같이 보호 팩(웹 ACL)에서 사용하지만 소유하지 않는 다른 규칙 그룹의 경우와 동일합니다. AWS WAF 지표에 대한 자세한 내용은 섹션을 참조하세요[AWS WAF 지표 및 차원](waf-metrics.md). 이 Shield Advanced 보호 옵션에 대한 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](#ddos-automatic-app-layer-response)을 참조하세요.
+ 여러 리소스를 보호하는 웹 ACL의 경우 자동 완화는 보호되는 리소스에 부정적인 영향을 미치지 않는 사용자 지정 완화만 배포합니다.
+ DDoS 공격이 시작된 시점부터 Shield Advanced가 사용자 지정 자동 완화 규칙을 적용하는 시점까지의 시간은 각 이벤트에 따라 다릅니다. 일부 DDoS 공격은 사용자 지정 규칙이 배포되기 전에 종료될 수 있습니다. 완화 조치가 이미 마련되어 있을 때 다른 공격이 발생할 수 있으며, 따라서 이벤트 시작부터 이러한 규칙에 의해 완화될 수 있습니다. 또한 웹 ACL 및 Shield Advanced 규칙 그룹의 속도 기반 규칙은 가능한 이벤트로 감지되기 전에 공격 트래픽을 완화할 수 있습니다.
+ Amazon CloudFront와 같은 콘텐츠 배포 네트워크(CDN)를 통해 트래픽을 수신하는 Application Load Balancer의 경우, 해당 Application Load Balancer 리소스에 대한 Shield Advanced의 애플리케이션 계층 자동 완화 기능이 감소합니다. Shield Advanced는 클라이언트 트래픽 속성을 사용하여 애플리케이션으로 들어오는 일반 트래픽으로부터 공격 트래픽을 식별하고 분리하며, CDN은 원래 클라이언트 트래픽 속성을 보존하거나 전달하지 않을 수 있습니다. CloudFront를 사용하는 경우, CloudFront 배포에서 자동 완화 기능을 활성화하는 것이 좋습니다.
+ 자동 애플리케이션 계층 DDoS 완화는 보호 그룹과 상호 작용하지 않습니다. 보호 그룹에 있는 리소스에 대해 자동 완화를 활성화할 수 있지만 Shield Advanced는 보호 그룹 결과에 근거하여 공격 완화를 자동으로 적용하지 않습니다. Shield Advanced는 개별 리소스에 대한 자동 공격 완화 기능을 적용합니다.

**Contents**
+ [자동 애플리케이션 계층 DDoS 완화 사용에 관한 주의 사항](#ddos-automatic-app-layer-response-caveats)
+ [자동 애플리케이션 계층 DDoS 완화 사용의 모범 사례](ddos-automatic-app-layer-response-bp.md)
+ [자동 애플리케이션 계층 DDoS 완화 활성화](ddos-automatic-app-layer-response-config.md)
  + [자동 완화 기능을 활성화하면 발생하는 상황](ddos-automatic-app-layer-response-config.md#ddos-automatic-app-layer-response-enable)
+ [Shield Advanced가 자동 완화를 관리하는 방법](ddos-automatic-app-layer-response-behavior.md)
  + [Shield Advanced가 자동 방어 기능을 통해 DDoS 공격에 대응하는 방법](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-ddos-attack)
  + [Shield Advanced가 규칙 작업 설정을 관리하는 방법](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)
  + [공격이 감소할 때 Shield Advanced가 완화 기능을 관리하는 방법](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-after-attack)
  + [자동 완화 기능을 비활성화하면 발생하는 상황](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-disable)
+ [Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호](ddos-automatic-app-layer-response-rg.md)
+ [리소스에 대한 자동 애플리케이션 계층 DDoS 완화 구성 보기](view-automatic-app-layer-response-configuration.md)
+ [자동 애플리케이션 계층 DDoS 완화 활성화 및 비활성화](enable-disable-automatic-app-layer-response.md)
+ [자동 애플리케이션 계층 DDoS 완화에 사용되는 조치 변경](change-action-of-automatic-app-layer-response.md)
+ [자동 애플리케이션 계층 DDoS 완화와 AWS CloudFormation 함께 사용](manage-automatic-mitigation-in-cfn.md)

# 자동 애플리케이션 계층 DDoS 완화 사용의 모범 사례
<a name="ddos-automatic-app-layer-response-bp"></a>

자동 완화를 사용할 때는 이 섹션에 제공된 지침을 준수하세요.

**일반 보호 및 관리**  
자동 완화 보호를 계획하고 구현하려면 다음 지침을 따르십시오.
+ Shield Advanced를 통해 또는를 사용하여 Shield Advanced 자동 완화 설정을 관리하는 경우 Firewall Manager AWS Firewall Manager 를 통해 모든 자동 완화 보호를 관리합니다. Shield Advanced와 Firewall Manager를 혼용하여 이러한 보호 기능을 관리하지 마십시오.
+ 동일한 웹 ACL과 보호 설정을 사용하여 유사한 리소스를 관리하고, 서로 다른 웹 ACL을 사용하여 서로 다른 리소스를 관리하세요. Shield Advanced는 보호된 리소스에 대한 DDoS 공격을 방어할 때 해당 리소스와 연계된 웹 ACL에 대한 규칙을 정의한 다음 웹 ACL과 연계된 모든 리소스의 트래픽에 대해 규칙을 테스트합니다. Shield Advanced는 관련 리소스에 부정적인 영향을 미치지 않는 경우에만 규칙을 적용합니다. 자세한 설명은 [Shield Advanced가 자동 완화를 관리하는 방법](ddos-automatic-app-layer-response-behavior.md) 섹션을 참조하세요.
+ Amazon CloudFront 배포를 통해 모든 인터넷 트래픽이 프록시되는 Application Load Balancer의 경우, CloudFront 배포에서만 자동 완화를 활성화하십시오. CloudFront 배포에는 원래 트래픽 속성이 항상 가장 많으며, Shield Advanced는 이를 활용하여 공격을 완화합니다.

**탐지 및 완화 최적화**  
다음 지침에 따라 자동 완화가 보호된 리소스에 제공하는 보호를 최적화합니다. 애플리케이션 계층 감지 및 완화에 대한 개요는 [Shield Advanced를 사용한 애플리케이션 계층 이벤트 감지 및 마이그레이션에 영향을 미치는 요인 목록](ddos-app-layer-detection-mitigation.md) 섹션을 참조하세요.
+ 보호된 리소스에 대한 상태 확인을 구성하고 이를 사용하여 Shield Advanced 보호에서 상태 기반 감지를 활성화합니다. 자세한 지침은 [Shield Advanced 및 Route 53에서 상태 확인을 사용한 상태 기반 감지](ddos-advanced-health-checks.md)을 참조하세요.
+ Shield Advanced가 정상적이고 기록적인 트래픽에 대한 기준을 설정할 때까지 Count 모드에서 자동 완화를 활성화합니다. Shield Advanced는 기준을 설정하는 데 24시간에서 30일까지 필요합니다.

  정상 트래픽 패턴의 기준을 설정하려면 다음이 필요합니다.
  + 웹 ACL과 보호된 리소스의 연결입니다. Shield Advanced 애플리케이션 계층 보호를 활성화하고 사용할 웹 ACL을 지정할 때를 사용하여 웹 ACL을 AWS WAF 직접 연결하거나 Shield Advanced가 연결하도록 할 수 있습니다.
  + 보호된 애플리케이션으로의 정상적인 트래픽 흐름입니다. 애플리케이션이 시작되기 전과 같이 정상적인 트래픽이 발생하지 않거나 장기간 프로덕션 트래픽이 부족한 경우 기록 데이터를 수집할 수 없습니다.

**웹 ACL 관리**  
자동 완화 기능과 함께 사용되는 웹 ACL을 관리하려면 다음 지침을 따르세요.
+ 보호된 리소스와 연결된 웹 ACL을 교체해야 하는 경우 순서대로 다음을 변경합니다.

  1. Shield Advanced에서 자동 완화를 비활성화합니다.

  1. 에서 이전 웹 ACL의 연결을 AWS WAF해제하고 새 웹 ACL을 연결합니다.

  1. Shield Advanced에서 자동 완화를 활성화합니다.

  Shield Advanced는 이전 웹 ACL에서 새 웹 ACL로 자동 완화를 자동으로 전송하지 않습니다.
+ 명칭이 `ShieldMitigationRuleGroup`으로 시작하는 웹 ACL에서 규칙 그룹 규칙을 삭제하지 마십시오. 이 규칙 그룹을 삭제하려는 경우 웹 ACL과 연계된 모든 리소스에 대해 Shield Advanced 자동 완화 기능이 제공하는 보호 기능을 비활성화합니다. 또한 Shield Advanced가 변경 알림을 받고 설정을 업데이트하는 데 다소 시간이 걸릴 수 있습니다. 이 기간 동안에는 Shield Advanced 콘솔 페이지에 올바르지 않은 정보가 표시됩니다.

  규칙 그룹에 대한 자세한 내용은 [Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호](ddos-automatic-app-layer-response-rg.md) 섹션을 참조하세요.
+ 명칭이 `ShieldMitigationRuleGroup`으로 시작하는 규칙 그룹 규칙의 명칭은 수정하지 마세요. 이렇게 하면 웹 ACL을 통한 Shield Advanced 자동 완화 기능이 제공하는 보호 기능에 방해가 될 수 있습니다.
+ 규칙과 규칙 그룹을 생성할 때는 `ShieldMitigationRuleGroup`으로 시작하는 명칭을 사용하지 마세요. 이 문자열은 Shield Advanced에서 자동 완화 기능을 관리하는 데 사용됩니다.
+ 웹 ACL 규칙을 관리할 때 우선 순위 설정을 10,000,000으로 지정하지 마세요. Shield Advanced는 자동 완화 규칙 그룹 규칙을 추가할 때 이 우선 순위 설정을 자동 완화 규칙 그룹 규칙에 할당합니다.
+ `ShieldMitigationRuleGroup` 규칙의 우선 순위를 지정하여 웹 ACL의 다른 규칙과 관련하여 원하는 시간에 실행되도록 하세요. Shield Advanced는 우선 순위가 10,000,000인 규칙 그룹 규칙을 웹 ACL에 추가하여 다른 규칙 이후에 실행합니다. AWS WAF 콘솔 마법사를 사용하여 웹 ACL을 관리하는 경우 웹 ACL에 규칙을 추가한 후 필요에 따라 우선 순위 설정을 조정합니다.
+  AWS CloudFormation 를 사용하여 웹 ACLs 관리하는 경우 `ShieldMitigationRuleGroup` 규칙 그룹 규칙을 관리할 필요가 없습니다. [자동 애플리케이션 계층 DDoS 완화와 AWS CloudFormation 함께 사용](manage-automatic-mitigation-in-cfn.md)의 지침을 따르십시오.

# 자동 애플리케이션 계층 DDoS 완화 활성화
<a name="ddos-automatic-app-layer-response-config"></a>

이 페이지에서는 애플리케이션 계층 공격에 자동으로 대응하도록 Shield Advanced를 구성하는 방법에 대해 설명합니다.

Shield Advanced 자동 완화는 리소스에 대한 애플리케이션 계층 DDoS 보호의 일부로 활성화합니다. 콘솔을 통해 이를 수행하는 방법은 [애플리케이션 계층 DDoS 보호 구성](manage-protection.md#configure-app-layer-protection) 섹션을 참조하세요.

자동 완화 기능을 사용하려면 다음을 수행해야 합니다.
+ **웹 ACL을 리소스에 연계** - 이는 모든 Shield Advanced 애플리케이션 계층 보호에 필요합니다. 여러 리소스에 동일한 웹 ACL을 사용할 수 있습니다. 트래픽이 비슷한 리소스에만 이 방법을 사용하는 것이 좋습니다. 여러 리소스와 함께 사용하기 위한 요구 사항을 포함하여 웹 ACL에 대한 자세한 설명은 [AWS WAF 작동 방식](how-aws-waf-works.md)을 참조하세요.
+ **Shield Advanced의 자동 애플리케이션 레이어 DDoS 방어 활성화 및 구성** - 이 기능을 활성화하면 Shield Advanced에서 DDoS 공격의 일부로 판단되는 웹 요청을 자동으로 차단 또는 계수할지 여부를 지정합니다. Shield Advanced는 관련 웹 ACL에 규칙 그룹을 추가하고 이를 사용하여 리소스에 대한 DDoS 공격에 대한 대응을 동적으로 관리합니다. 규칙 작업 옵션에 대한 자세한 내용은 [에서 규칙 작업 사용 AWS WAF](waf-rule-action.md) 섹션을 참조하세요.
+ **(선택 사항이지만 권장됨) 웹 ACL에 속도 기반 규칙 추가** - 기본적으로 속도 기반 규칙은 개별 IP 주소가 짧은 시간에 너무 많은 요청을 보내는 것을 방지하여 DDoS 공격에 대한 기본적인 리소스 보호 기능을 제공합니다. 맞춤 요청 집계 옵션 및 예를 비롯한 속도 기반 규칙에 대한 자세한 설명은 [에서 속도 기반 규칙 문 사용 AWS WAF](waf-rule-statement-type-rate-based.md)을 참조하세요.

## 자동 완화 기능을 활성화하면 발생하는 상황
<a name="ddos-automatic-app-layer-response-enable"></a>

Shield Advanced는 자동 완화 기능을 활성화하면 다음과 같은 작업을 수행합니다.
+ **필요에 따라는 Shield Advanced 사용을 위한 규칙 그룹을 추가합니다**. 리소스와 연결한 AWS WAF 웹 ACL에 자동 애플리케이션 계층 DDoS 완화 전용 AWS WAF 규칙 그룹 규칙이 아직 없는 경우 Shield Advanced는 규칙을 추가합니다.

  규칙 그룹 규칙의 명칭은 `ShieldMitigationRuleGroup`으로 시작합니다. 규칙 그룹에는 `ShieldKnownOffenderIPRateBasedRule`으로 명명된 속도 기반 규칙이 항상 포함되어 있으며 이는 DDoS 공격의 소스로 알려진 IP 주소의 요청 양을 제한합니다. Shield Advanced 규칙 그룹 및 이를 참조하는 웹 ACL 규칙에 대한 자세한 설명은 [Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호](ddos-automatic-app-layer-response-rg.md)을 참조하세요.
+ **리소스에 대한 DDoS 공격 대응 시작** - Shield Advanced는 보호된 리소스에 대한 DDoS 공격에 자동으로 대응합니다. Shield Advanced는 항상 존재하는 속도 기반 규칙 외에도 규칙 그룹을 사용하여 DDoS 공격 완화를 위한 사용자 지정 AWS WAF 규칙을 배포합니다. Shield Advanced는 이러한 규칙을 애플리케이션과 애플리케이션에서 발생하는 공격에 맞게 조정하고 배포하기 전에 리소스의 과거 트래픽에 대해 테스트합니다.

Shield Advanced는 자동 완화에 사용하는 모든 웹 ACL에서 단일 규칙 그룹 규칙을 사용합니다. Shield Advanced가 다른 보호 리소스에 대한 규칙 그룹을 이미 추가한 경우 웹 ACL에 다른 규칙 그룹을 추가하지 않습니다.

자동 애플리케이션 계층 DDoS 완화는 공격을 완화하기 위한 규칙 그룹의 존재 여부에 따라 달라집니다. 어떤 이유로든 규칙 그룹이 AWS WAF 웹 ACL에서 제거되면 웹 ACL과 연결된 모든 리소스에 대한 자동 완화가 비활성화됩니다.

# Shield Advanced가 자동 완화를 관리하는 방법
<a name="ddos-automatic-app-layer-response-behavior"></a>

섹션의 주제에서는 Shield Advanced가 자동 애플리케이션 계층 DDoS 완화를 위한 구성 변경을 처리하는 방법과 자동 완화가 활성화된 경우 DDoS 공격을 처리하는 방법을 설명합니다.

**Topics**
+ [Shield Advanced가 자동 방어 기능을 통해 DDoS 공격에 대응하는 방법](#ddos-automatic-app-layer-response-ddos-attack)
+ [Shield Advanced가 규칙 작업 설정을 관리하는 방법](#ddos-automatic-app-layer-response-rule-action)
+ [공격이 감소할 때 Shield Advanced가 완화 기능을 관리하는 방법](#ddos-automatic-app-layer-response-after-attack)
+ [자동 완화 기능을 비활성화하면 발생하는 상황](#ddos-automatic-app-layer-response-disable)

## Shield Advanced가 자동 방어 기능을 통해 DDoS 공격에 대응하는 방법
<a name="ddos-automatic-app-layer-response-ddos-attack"></a>

보호된 리소스에 자동 완화를 사용하도록 설정하면 Shield Advanced 규칙 그룹의 속도 기반 규칙 `ShieldKnownOffenderIPRateBasedRule`은(는) 알려진 DDoS 소스로부터 증가하는 트래픽 볼륨에 자동으로 응답합니다. 이 속도 제한은 신속하게 적용되며 공격에 대해 최전선 방어 역할을 합니다.

Shield Advanced는 공격을 탐지하면 다음과 같은 조치를 취합니다.

1. 애플리케이션으로 향하는 일반 트래픽으로부터 공격 트래픽을 분리하는 공격 시그니처를 식별하려고 시도합니다. 목표는 적용 시 공격 트래픽에만 영향을 미치고 애플리케이션에 대한 일반 트래픽에는 영향을 미치지 않는 고품질 DDoS 완화 규칙을 만드는 것입니다.

1. 공격을 받고 있는 리소스는 물론 동일한 웹 ACL과 연계된 다른 모든 리소스의 과거 트래픽 패턴을 기준으로 식별된 공격 시그니처를 평가합니다. Shield Advanced는 이벤트에 대한 응답으로 규칙을 배포하기 전에 이 작업을 수행합니다.

   평가 결과에 따라 Shield Advanced는 다음 중 하나를 수행합니다.
   + Shield Advanced는 공격 시그니처가 DDoS 공격과 관련된 트래픽만 격리한다고 판단하면 웹 ACL의 Shield Advanced 완화 AWS WAF 규칙 그룹에 속하는 규칙에 서명을 구현합니다. Shield Advanced는 리소스의 자동 완화를 위해 구성한 작업 설정(Count 또는 Block)을 이러한 규칙에 제공합니다.
   + 그렇지 않으면 Shield Advanced는 완화 조치를 취하지 않습니다.

공격 내내 Shield Advanced는 기본 Shield Advanced 애플리케이션 계층 보호와 동일한 알림을 보내고 동일한 이벤트 정보를 제공합니다. Shield Advanced 이벤트 콘솔에서 이벤트 및 DDoS 공격에 대한 정보와 공격에 대한 Shield Advanced 완화 조치에 대한 정보를 확인할 수 있습니다. 자세한 설명은 [Shield Advanced를 사용한 DDoS 이벤트 가시성](ddos-viewing-events.md)을 참조하세요.

Block 규칙 동작을 사용하도록 자동 완화를 구성했는데 Shield Advanced가 배포한 완화 규칙에서 오감지가 발생하는 경우, 규칙 조치를 Count로 변경할 수 있습니다. 이를 위한 방법에 관한 정보는 [자동 애플리케이션 계층 DDoS 완화에 사용되는 조치 변경](change-action-of-automatic-app-layer-response.md) 섹션을 참조하세요.

## Shield Advanced가 규칙 작업 설정을 관리하는 방법
<a name="ddos-automatic-app-layer-response-rule-action"></a>

자동 완화에 대한 규칙 조치를 Block 또는 Count(으)로 설정할 수 있습니다.

보호된 리소스에 대한 자동 완화 규칙 작업 설정을 변경하면 Shield Advanced는 해당 리소스에 대한 모든 규칙 설정을 업데이트합니다. Shield Advanced 규칙 그룹의 리소스에 대해 현재 적용되는 모든 규칙을 업데이트하고 새 규칙을 생성할 때 새 작업 설정을 사용합니다.

동일한 웹 ACL을 사용하는 리소스의 경우 다른 작업을 지정하는 경우 Shield Advanced는 규칙 그룹의 속도 기반 규칙 `ShieldKnownOffenderIPRateBasedRule`에 대한 Block 작업 설정을 사용합니다. Shield Advanced는 특정 보호 리소스를 대표하여 규칙 그룹에서 다른 규칙을 생성 및 관리하고, 리소스에 대해 지정한 작업 설정을 사용합니다. 웹 ACL의 Shield Advanced 규칙 그룹에 있는 모든 규칙은 모든 관련 리소스의 웹 트래픽에 적용됩니다.

작업 설정 변경 내용이 전파되는 데 몇 초 가량 걸릴 수 있습니다. 이 시간 동안 규칙 그룹이 사용 중인 일부 위치에서는 이전 설정이 표시되고 다른 위치에서는 새 설정이 표시될 수 있습니다.

콘솔의 이벤트 페이지와 애플리케이션 계층 구성 페이지를 통해 자동 완화 구성에 대한 규칙 작업 설정을 변경할 수 있습니다. 이벤트 페이지에 대한 자세한 설명은 [에서 DDoS 이벤트에 응답 AWS](ddos-responding.md) 섹션을 참조하세요. 구성 페이지에 대한 자세한 설명은 [애플리케이션 계층 DDoS 보호 구성](manage-protection.md#configure-app-layer-protection) 섹션을 참조하세요.

## 공격이 감소할 때 Shield Advanced가 완화 기능을 관리하는 방법
<a name="ddos-automatic-app-layer-response-after-attack"></a>

Shield Advanced는 특정 공격에 배포된 완화 규칙이 더 이상 필요하지 않다고 판단되면 Shield Advanced 완화 규칙 그룹에서 해당 완화 규칙을 제거합니다.

완화 규칙이 제거된다고 해서 반드시 공격이 종료되는 시점은 아닙니다. Shield Advanced는 보호된 리소스에서 감지한 공격 패턴을 모니터링합니다. 공격의 초기 발생에 대비하여 배포한 규칙을 그대로 유지함으로써 특정 시그니처를 사용한 공격의 재발을 사전에 방지할 수 있습니다. Shield Advanced는 필요에 따라 규칙을 제자리에 유지하는 시간을 늘립니다. 이렇게 하면 Shield Advanced가 특정 시그니처를 사용한 반복적인 공격이 보호된 리소스에 영향을 미치기 전에 이를 완화할 수 있습니다.

Shield Advanced는 절대 속도 기반 규칙 `ShieldKnownOffenderIPRateBasedRule`을(를) 제거하지 않으며 이는 DDoS 공격의 소스로 알려진 IP 주소의 요청 양을 제한합니다.

## 자동 완화 기능을 비활성화하면 발생하는 상황
<a name="ddos-automatic-app-layer-response-disable"></a>

Shield Advanced는 리소스에 대한 자동 완화 기능을 비활성화하면 다음 작업을 수행합니다: 
+ **DDoS 공격에 대한 자동 대응 중지** - Shield Advanced는 해당 리소스에 대한 자동 대응 활동을 중단합니다.
+ **Shield Advanced 규칙 그룹에서 불필요한 규칙 제거** - Shield Advanced가 보호된 리소스를 대신하여 관리형 규칙 그룹의 규칙을 유지 관리하는 경우, 해당 규칙을 제거합니다.
+ **더 이상 사용하지 않는 경우, Shield Advanced 규칙 그룹 제거** - 리소스에 연계한 웹 ACL이 자동 완화가 활성화된 다른 리소스에 연계되지 않은 경우, Shield Advanced는 해당 규칙 그룹 규칙을 웹 ACL에서 제거합니다.

# Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호
<a name="ddos-automatic-app-layer-response-rg"></a>

이 페이지에서는 Shield Advanced 규칙 그룹이 웹 ACL에서 작동하는 방법을 설명합니다.

Shield Advanced는 사용자를 대신하여 소유하고 관리하는 규칙 그룹의 규칙을 사용하여 자동 완화 활동을 관리합니다. Shield Advanced는 보호된 리소스와 연결한 웹 ACL의 규칙을 사용하여 규칙 그룹을 참조합니다.

**웹 ACL의 규칙 그룹 규칙**  
웹 ACL의 Shield Advanced 규칙 그룹 규칙에는 다음과 같은 속성이 있습니다.
+ **명칭** – `ShieldMitigationRuleGroup``_account-id_web-acl-id_unique-identifier`
+ **웹 ACL 용량 단위(WCU)** – 150. 이러한 WCU는 웹 ACL의 WCU 사용량에 포함됩니다.

Shield Advanced는 우선 순위 설정이 10,000,000인 웹 ACL에이 규칙을 생성하므로 웹 ACL의 다른 규칙 및 규칙 그룹 이후에 실행됩니다.는 가장 낮은 숫자 우선 순위 설정부터 웹 ACL의 규칙을 AWS WAF 실행합니다. 웹 ACL을 관리하는 동안 이 우선순위 설정은 변경될 수 있습니다.

자동 완화 기능은 웹 ACL에 있는 규칙 그룹에서 사용되는 WCU 외의 계정에서 추가 AWS WAF 리소스를 소비하지 않습니다. 예컨대, Shield Advanced 규칙 그룹은 계정의 규칙 그룹 중 하나로 간주되지 않습니다. 의 계정 제한에 대한 자세한 내용은 섹션을 AWS WAF참조하세요[AWS WAF 할당량](limits.md).

**규칙 그룹의 규칙**  
참조된 Shield Advanced 규칙 그룹 내에서 Shield Advanced는 속도 기반 규칙 `ShieldKnownOffenderIPRateBasedRule`을(를) 유지하며 이는 DDoS 공격의 소스로 알려진 IP 주소의 요청 양을 제한합니다. 이 규칙은 항상 규칙 그룹에 존재하며 공격을 억제하기 위해 트래픽 패턴 분석에 의존하지 않기 때문에 모든 공격에 대한 1차 방어선 역할을 합니다. 이 규칙의 작업은 규칙 그룹의 다른 규칙과 마찬가지로 자동 완화를 위해 선택한 작업으로 설정됩니다. 속도 기반 규칙에 대한 자세한 내용은 [에서 속도 기반 규칙 문 사용 AWS WAF](waf-rule-statement-type-rate-based.md) 섹션을 참조하세요.

**참고**  
속도 기반 규칙 `ShieldKnownOffenderIPRateBasedRule`은 Shield Advanced 이벤트 감지와 독립적으로 작동합니다. 자동 완화가 활성화되어 있는 동안 이 규칙 속도는 DDoS 공격의 소스로 알려진 IP 주소를 제한합니다. 이러한 IP 주소의 경우 규칙의 속도 제한이 공격을 방지하고 Shield Advanced 탐지 정보에 공격이 표시되지 않도록 할 수 있습니다. 이러한 트레이드 오프는 공격 패턴에 대한 완전한 가시성보다 예방에 유리합니다.

상기 설명한 규칙 그룹에는 영구 속도 기반 규칙 외에도 Shield Advanced가 현재 DDoS 공격을 완화하는 데 사용 중인 모든 규칙이 포함됩니다. Shield Advanced는 필요에 따라 이러한 규칙을 추가, 수정 및 제거합니다. 자세한 내용은 [Shield Advanced가 자동 완화를 관리하는 방법](ddos-automatic-app-layer-response-behavior.md) 단원을 참조하세요.

**Metrics**  
규칙 그룹은 AWS WAF 지표를 생성하지만이 규칙 그룹은 Shield Advanced의 소유이므로 이러한 지표를 볼 수 없습니다. 자세한 내용은 [AWS WAF 지표 및 차원](waf-metrics.md) 단원을 참조하십시오.

# 리소스에 대한 자동 애플리케이션 계층 DDoS 완화 구성 보기
<a name="view-automatic-app-layer-response-configuration"></a>

**보호된 리소스** 페이지 및 개별 보호 페이지에서 리소스에 대한 자동 애플리케이션 계층 DDoS 완화 구성을 볼 수 있습니다.

**자동 애플리케이션 계층 DDoS 완화 구성을 보려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.

1.  AWS Shield 탐색 창에서 **보호된 리소스를** 선택합니다. 보호된 리소스 목록에서 **자동 애플리케이션 계층 DDoS 완화** 열에는 자동 완화 기능이 활성화되어 있는지 여부와 Shield Advanced가 완화 기능에 사용할 조치가 표시됩니다.

   애플리케이션 계층 리소스를 선택하여 해당 리소스의 보호 페이지에 열거된 것과 동일한 정보를 볼 수도 있습니다.

# 자동 애플리케이션 계층 DDoS 완화 활성화 및 비활성화
<a name="enable-disable-automatic-app-layer-response"></a>

다음 절차에서는 보호된 리소스에 대한 자동 대응을 활성화 또는 비활성화하는 방법을 보여 줍니다.

**단일 리소스에 대한 자동 애플리케이션 계층 DDoS 완화를 활성화 또는 비활성화하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.

1.  AWS Shield 탐색 창에서 **보호된 리소스를** 선택합니다.

1. **보호** 탭에서 자동 완화를 활성화하려는 애플리케이션 계층 리소스를 선택합니다. 해당 리소스에 대한 보호 페이지가 열립니다.

1. 리소스의 보호 페이지에서 **편집**을 선택합니다.

1. **글로벌 리소스에 대한 계층 7 DDoS 완화 구성 - *선택 사항*** 페이지에서 **자동 애플리케이션 계층 DDoS 완화**에 대해 자동 완화에 사용할 옵션을 선택합니다. 콘솔의 옵션은 다음과 같습니다: 
   + **현재 설정 유지** - 보호된 리소스의 자동 완화 설정을 변경하지 않습니다.
   + **활성화** - 보호된 리소스에 대한 자동 완화를 활성화합니다. 이 옵션을 선택하는 경우, 웹 ACL 규칙에서 자동 완화 기능을 사용할 규칙 작업도 선택하십시오. 규칙 작업 설정에 대한 자세한 내용은 [에서 규칙 작업 사용 AWS WAF](waf-rule-action.md) 섹션을 참조하세요.

     보호된 리소스에 아직 정상적인 애플리케이션 트래픽 기록이 없는 경우 Shield Advanced가 기준을 설정할 수 있을 때까지 Count 모드에서 자동 완화를 활성화합니다. Shield Advanced는 웹 ACL을 보호된 리소스와 연결할 때 기준 정보를 수집하기 시작하며, 정상 트래픽의 양호한 기준을 설정하는 데 24시간에서 30일까지 걸릴 수 있습니다.
   + **비활성화** - 보호된 리소스에 대한 자동 완화를 비활성화합니다.

1. 구성을 완료하고 저장할 때까지 나머지 페이지를 계속 살펴보세요.

**보호** 페이지에서 리소스에 대한 자동 완화 설정이 업데이트됩니다.

# 자동 애플리케이션 계층 DDoS 완화에 사용되는 조치 변경
<a name="change-action-of-automatic-app-layer-response"></a>

콘솔의 여러 위치에서 Shield Advanced가 애플리케이션 계층 자동 대응에 사용하는 작업을 변경할 수 있습니다.
+ **자동 완화 구성** - 리소스에 대한 자동 완화를 구성할 때 조치를 변경하세요. 절차에 대해서는 이전 [자동 애플리케이션 계층 DDoS 완화 활성화 및 비활성화](enable-disable-automatic-app-layer-response.md) 섹션을 참조하세요.
+ **이벤트 세부 정보 페이지** - 콘솔에서 이벤트 정보를 볼 때 이벤트 세부 정보 페이지에서 작업을 변경하십시오. 자세한 설명은 [AWS Shield Advanced 이벤트 세부 정보 보기](ddos-event-details.md)을 참조하세요.

웹 ACL을 공유하는 두 개의 보호된 리소스가 있고 둘 중 하나에 대해서는 Count(으)로 작업을 설정하고 다른 하나에 대해서는 Block(으)로 설정한 경우 Shield Advanced는 규칙 그룹의 속도 기반 규칙 `ShieldKnownOffenderIPRateBasedRule`에 대한 작업을 Block(으)로 설정합니다.

# 자동 애플리케이션 계층 DDoS 완화와 AWS CloudFormation 함께 사용
<a name="manage-automatic-mitigation-in-cfn"></a>

이 페이지에서는를 CloudFormation 사용하여 보호 및 AWS WAF 웹 ACLs을 관리하는 방법을 설명합니다.

**자동 애플리케이션 계층 DDoS 완화 활성화 또는 비활성화**  
`AWS::Shield::Protection` 리소스를 AWS CloudFormation사용하여를 통해 자동 애플리케이션 계층 DDoS 완화를 활성화 및 비활성화할 수 있습니다. 콘솔이나 다른 인터페이스를 통해 기능을 활성화하거나 비활성화할 때와 같은 효과가 나타납니다. CloudFormation 리소스에 대한 자세한 내용은 *AWS CloudFormation 사용 설명서*의 [AWS::Shield::Protection](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-shield-protection.html)을 참조하세요.

**자동 완화 기능과 함께 사용되는 웹 ACL 관리**  
Shield Advanced는 보호된 리소스의 AWS WAF 웹 ACL에서 규칙 그룹 규칙을 사용하여 보호된 리소스에 대한 자동 완화를 관리합니다. AWS WAF 콘솔 및 APIs를 통해 웹 ACL 규칙에 이름이 로 시작하는 규칙이 나열됩니다`ShieldMitigationRuleGroup`. 이 규칙은 자동 애플리케이션 계층 DDoS 완화 전용이며 Shield Advanced 및 AWS WAF에서 관리합니다. 자세한 내용은 [Shield Advanced 규칙 그룹으로 애플리케이션 계층 보호](ddos-automatic-app-layer-response-rg.md) 및 [Shield Advanced가 자동 완화를 관리하는 방법](ddos-automatic-app-layer-response-behavior.md) 섹션을 참조하세요.

 CloudFormation 를 사용하여 웹 ACLs 관리하는 경우 Shield Advanced 규칙 그룹 규칙을 웹 ACL 템플릿에 추가하지 마십시오. 자동 완화 보호와 함께 사용되는 웹 ACL을 업데이트하면가 웹 ACL에서 규칙 그룹 규칙을 AWS WAF 자동으로 관리합니다.

를 통해 관리하는 다른 웹 ACLs을 확인할 수 있습니다. CloudFormation
+ CloudFormation 는 Shield Advanced 규칙 그룹 규칙을 사용하는 웹 ACL의 실제 구성과 규칙 없이 웹 ACL 템플릿 간의 스택 드리프트 상태의 드리프트를 보고하지 않습니다. Shield Advanced 규칙은 드리프트 세부 정보의 리소스에 대한 실제 목록에 표시되지 않습니다.

  콘솔 또는 API를 AWS WAF통해 AWS WAF 검색하는 웹 ACL 목록에서 Shield Advanced 규칙 그룹 규칙을 볼 수 있습니다. AWS WAF APIs
+ 스택에서 웹 ACL 템플릿을 수정하면 AWS WAF Shield Advanced는 업데이트된 웹 ACL에서 Shield Advanced 자동 완화 규칙을 자동으로 유지합니다. Shield Advanced에서 제공하는 자동 완화 보호 기능은 웹 ACL을 업데이트해도 중단되지 않습니다.

 CloudFormation 웹 ACL 템플릿에서 Shield Advanced 규칙을 관리하지 마십시오. 웹 ACL 템플릿에는 Shield Advanced 규칙이 열거되어서는 안 됩니다. [자동 애플리케이션 계층 DDoS 완화 사용의 모범 사례](ddos-automatic-app-layer-response-bp.md) 에서 웹 ACL 관리 모범 사례를 따르십시오.

# Shield Advanced 및 Route 53에서 상태 확인을 사용한 상태 기반 감지
<a name="ddos-advanced-health-checks"></a>

상태 기반 탐지를 사용하도록 Shield Advanced를 구성하여 공격 탐지 및 완화의 응답성과 정확성을 개선할 수 있습니다. Route 53 호스팅 영역을 제외한 모든 리소스 타입에서 이 옵션을 사용할 수 있습니다.

상태 기반 탐지를 구성하려면 Route 53에서 리소스의 상태 확인을 정의하고 정상으로 보고되는지 확인한 다음 Shield Advanced 보호와 연결합니다. Route 53 상태 확인에 대한 자세한 내용은 [Amazon Route 53이 리소스 상태를 확인하는 방법](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/welcome-health-checks.html) 및 Amazon Route 53 개발자 안내서의 [상태 확인 생성, 업데이트 및 삭제](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html) 섹션을 참조하세요.

**참고**  
Shield 대응팀(SRT)의 전향적 연계 지원을 위해서는 상태 확인이 필요합니다. 전향적 연계에 대한 자세한 설명은 [SRT가 직접 연락할 수 있도록 사전 참여 설정](ddos-srt-proactive-engagement.md)을 참조하세요.

상태 확인은 사용자가 정의한 요구 사항을 기반으로 리소스의 상태를 측정합니다. 상태 확인 상태는 Shield Advanced 감지 메커니즘에 대한 중요한 입력을 제공하여 특정 애플리케이션의 현재 상태에 대한 민감도를 높입니다.

Route 53 호스팅 영역을 제외한 모든 리소스 유형에 대해 상태 기반 탐지를 활성화할 수 있습니다.
+ **네트워크 및 전송 계층(계층 3/계층 4) 리소스** – 상태 기반 탐지는 Network Load Balancer, 탄력적 IP 주소, Global Accelerator 표준 액셀러레이터에 대한 네트워크 계층 및 전송 계층 이벤트 탐지 및 완화의 정확도를 개선합니다. Shield Advanced로 이러한 리소스 유형을 보호하면 Shield Advanced는 트래픽이 애플리케이션 용량 내에 있는 경우에도 소규모 공격에 대한 완화 기능과 더 빠른 공격 완화를 제공할 수 있습니다.

  관련 상태 확인이 비정상인 기간 동안 상태 기반 탐지를 추가하면 Shield Advanced는 훨씬 더 빠르게 더 낮은 임계값으로 위험을 완화할 수 있습니다.
+ **애플리케이션 계층(계층 7) 리소스** – 상태 기반 탐지는 CloudFront 배포 및 Application Load Balancer에 대한 웹 요청 flood 탐지의 정확도를 개선합니다. Shield Advanced로 이러한 리소스 유형을 보호하면 요청 특성에 따른 트래픽 패턴의 현저한 변화와 함께 트래픽 양에 통계적으로 유의한 편차가 있을 때 웹 요청 flood 감지 알림을 받게 됩니다.

  상태 기반 탐지를 사용하면 연결된 Route 53 상태 확인이 비정상인 기간 동안 Shield Advanced에서 경고에 대한 편차가 더 적어야 하며 이벤트를 더 빠르게 보고합니다. 연결된 Route 53 상태 확인이 정상인 경우 Shield Advanced에서는 경고에 대해 더 큰 편차가 필요합니다.

애플리케이션이 허용 가능한 파라미터 내에서 실행될 때만 상태 확인이 정상이라고 보고하고, 그렇지 않을 때는 비정상이라고 보고하는 경우 Shield Advanced의 상태 확인을 사용하면 가장 큰 이점을 얻을 수 있습니다. 이 섹션의 지침을 사용하여 Shield Advanced에서 상태 확인 연결을 관리합니다.

**참고**  
Shield Advanced는 상태 확인을 자동으로 관리하지 않습니다.

Shield Advanced에서 상태 확인을 사용하려면 다음이 필요합니다.
+ 상태 확인을 Shield Advanced 보호와 연결하면 정상 상태로 보고되어야 합니다.
+ 상태 확인은 보호 대상 리소스의 상태와 관련이 있어야 합니다. 애플리케이션의 특정 요구 사항에 따라 애플리케이션 상태를 정확하게 보고하는 상태 확인을 정의하고 유지 관리할 책임이 있습니다.
+ 상태 확인은 Shield Advanced 보호 기능을 통해 계속 사용할 수 있어야 합니다. Shield Advanced 보호를 위해 사용 중인 Route 53의 상태 확인을 삭제하지 마십시오.

**Contents**
+ [Shield Advanced의 상태 확인 사용 모범 사례](health-checks-best-practices.md)
+ [Shield Advanced의 상태 확인에 공통적으로 사용하는 CloudWatch 지표](health-checks-metrics.md)
  + [애플리케이션 상태 모니터링에 사용하는 지표](health-checks-metrics.md#health-checks-metrics-common)
  + [각 리소스 유형에 대한 Amazon CloudWatch 지표](health-checks-metrics.md#health-checks-protected-resource-metrics)
+ [상태 확인과 Shield Advanced로 보호하는 리소스를 연결](associate-health-check.md)
+ [상태 확인을 Shield Advanced로 보호하는 리소스로부터 연결 해제](disassociate-health-check.md)
+ [Shield Advanced에서 상태 확인 연결 상태 보기](health-check-association-status.md)
+ [Shield Advanced의 상태 확인 예제](health-checks-examples.md)
  + [Amazon CloudFront 배포](health-checks-examples.md#health-checks-example-cloudfront)
  + [로드 밸런서](health-checks-examples.md#health-checks-example-load-balancer)
  + [Amazon EC2 탄력적 IP 주소(EIP)](health-checks-examples.md#health-checks-example-elastic-ip)

# Shield Advanced의 상태 확인 사용 모범 사례
<a name="health-checks-best-practices"></a>

Shield Advanced를 사용하여 상태 확인을 생성하고 사용할 때는 이 섹션의 모범 사례를 따르십시오.
+ 모니터링하려는 인프라 구성 요소를 식별하여 상태 확인을 계획하십시오. 상태 확인을 위해 다음과 같은 리소스 유형을 고려해 보십시오.
  + 중요 리소스
  + Shield Advanced 탐지 및 완화에서 더 높은 민감도를 원하는 모든 리소스.
  + Shield Advanced가 사전에 연락하기를 원하는 리소스. 상태 확인은 상태 확인 상태를 기반으로 선제적 대응에 반영됩니다.

  모니터링할 수 있는 리소스의 예로는 Amazon CloudFront 배포, 인터넷 연결 로드 밸런서, Amazon EC2 인스턴스 등이 있습니다.
+ 알림을 최대한 적게 하고 애플리케이션 오리진의 상태를 정확하게 반영하는 상태 확인을 정의하십시오.
  + 애플리케이션을 사용할 수 없거나 허용 가능한 파라미터 내에서 작동하지 않는 경우에만 상태가 좋지 않다고 표시하도록 상태 확인을 작성하십시오. 애플리케이션의 특정 요구 사항에 따라 상태 확인을 정의하고 유지 관리할 책임은 귀하에게 있습니다.
  + 애플리케이션 상태를 정확하게 보고하면서 상태 확인을 최대한 적게 사용하십시오. 예를 들어 애플리케이션의 여러 영역에서 발생하여 모두 동일한 문제를 보고하는 경보가 여러 개 있으면 정보 가치를 추가하지 않고도 대응 활동에 오버헤드가 가중될 수 있습니다.
  + 계산된 상태 확인을 사용하면 Amazon CloudWatch 지표의 조합을 사용하여 애플리케이션 상태를 모니터링할 수 있습니다. 예를 들어 애플리케이션 서버의 지연 시간과 5xx 오류율을 기반으로 종합 상태를 계산할 수 있습니다. 이는 오리진 서버가 요청을 이행하지 않았음을 나타냅니다.
  + 필요에 따라 자체 애플리케이션 상태 지표를 생성하여 CloudWatch 사용자 지정 지표를 게시하고 이를 계산된 상태 확인에 사용하십시오.
+ 상태 확인을 구현하고 관리하여 탐지를 개선하고 불필요한 유지 관리 활동을 줄이십시오.
  + 상태 확인을 Shield Advanced 보호와 연결하기 전에 상태가 정상인지 확인하십시오. 비정상으로 보고된 상태 확인을 연결하면 보호 대상 리소스에 대한 Shield Advanced 탐지 메커니즘이 왜곡될 수 있습니다.
  + Shield Advanced에서 건강 검진을 계속 사용할 수 있도록 하십시오. Shield Advanced 보호를 위해 사용 중인 Route 53의 상태 확인을 삭제하지 마십시오.
  + 스테이징 및 테스트 환경은 상태 확인을 테스트하는 용도로만 사용하십시오. 프로덕션 수준의 성능과 가용성이 필요한 환경에 대해서만 상태 확인 연결을 유지하십시오. 스테이징 및 테스트 환경을 위해 Shield Advanced에서 상태 확인 연결을 유지하지 마십시오.

# Shield Advanced의 상태 확인에 공통적으로 사용하는 CloudWatch 지표
<a name="health-checks-metrics"></a>

이 섹션에는 분산 서비스 거부(DDoS) 이벤트 중에 애플리케이션 상태를 측정하기 위해 상태 확인에 일반적으로 사용되는 Amazon CloudWatch 지표가 나열되어 있습니다. 각 리소스 유형의 CloudWatch 지표에 대한 자세한 내용은 표 다음에 이어지는 목록을 참조하세요.

**Topics**
+ [애플리케이션 상태 모니터링에 사용하는 지표](#health-checks-metrics-common)
+ [각 리소스 유형에 대한 Amazon CloudWatch 지표](#health-checks-protected-resource-metrics)

## 애플리케이션 상태 모니터링에 사용하는 지표
<a name="health-checks-metrics-common"></a>


| Resource | 지표 | 설명 | 
| --- | --- | --- | 
| Route 53 | `HealthCheckStatus` | 상태 확인 엔드포인트의 상태입니다. | 
| CloudFront | `5xxErrorRate` | HTTP 상태 코드가 5xx인 모든 요청의 백분율입니다. 이는 애플리케이션에 영향을 미치는 공격을 나타냅니다. | 
| Application Load Balancer | `HTTPCode_ELB_5XX_Count` | 로드 밸런서에서 생성된 HTTP 5xx 클라이언트 오류 코드 수입니다. | 
| Application Load Balancer | `RejectedConnectionCount` | 로드 밸런서가 최대 연결 수에 도달하여 거부된 연결 수. | 
| Application Load Balancer | `TargetConnectionErrorCount` | 로드 밸런서와 대상 사이에 성공적으로 구성되지 않은 연결 수. | 
| Application Load Balancer | `TargetResponseTime` |  로드 밸런서에서 요청 신호를 전송한 후 대상에서 응답 신호가 수신될 때까지 경과된 시간(초).  | 
| Application Load Balancer | `UnHealthyHostCount` | 비정상 상태로 간주되는 대상 수. | 
| Amazon EC2 | `CPUUtilization` | 현재 사용 중인 할당된 EC2 컴퓨팅 유닛(ECU)의 비율(%). | 

## 각 리소스 유형에 대한 Amazon CloudWatch 지표
<a name="health-checks-protected-resource-metrics"></a>

보호 대상 리소스에 사용할 수 있는 지표에 대한 추가 정보는 리소스 가이드의 다음 섹션을 참조하세요.
+ Amazon Route 53 – Amazon Route 53 개발자 안내서의 [상태 확인 및 Amazon CloudWatch를 사용하여 리소스 모니터링](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-cloudwatch.html)
+ Amazon CloudFront – Amazon CloudFront 개발자 안내서의 [Amazon CloudWatch를 사용하여 CloudFront 모니터링](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/monitoring-using-cloudwatch.html)
+ Application Load Balancer – Application Load Balancer 사용 설명서의 [Application Load Balancer에 대한 CloudWatch 지표](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)
+ Network Load Balancer – Network Load Balancer 사용 설명서의 [Network Load Balancer에 대한 CloudWatch 지표](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)
+ AWS Global Accelerator - AWS Global Accelerator 개발자 안내서의 [에서 Amazon CloudWatch 사용 AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/cloudwatch-monitoring.html).
+ Amazon Elastic Compute Cloud – https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/의 [인스턴스에 사용할 수 있는 CloudWatch 지표 나열하기](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/viewing_metrics_with_cloudwatch.html).
+ Amazon EC2 Auto Scaling – Amazon EC2 Auto Scaling 사용 설명서의 [Auto Scaling 그룹 및 인스턴스에 대한 CloudWatch 지표 모니터링](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-monitoring.html)

# 상태 확인과 Shield Advanced로 보호하는 리소스를 연결
<a name="associate-health-check"></a>

다음 절차에서는 Amazon Route 53 상태 확인을 보호된 리소스와 연결하는 방법을 보여줍니다.

**참고**  
상태 확인을 Shield Advanced 보호와 연결하기 전에 상태가 정상인지 확인하십시오. 자세한 내용은 Amazon Route 53 개발자 안내서의 [상태 확인 상태 모니터링 및 알림 받기](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-monitor-view-status.html) 섹션을 참조하세요.

**상태 확인**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.

1.  AWS Shield 탐색 창에서 **보호된 리소스를** 선택합니다.

1. **보호** 탭에서 상태 확인과 연결할 리소스를 선택합니다.

1. **보호 구성**을 선택합니다.

1. **상태 확인 기반 DDoS 탐지 구성 - *선택 사항*** 페이지가 표시될 때까지 **다음**을 선택합니다.

1. **연계된 상태 체크**에서 보호와 연계하려는 상태 체크의 ID를 선택합니다.
**참고**  
필요한 상태 체크가 보이지 않으면 Route 53 콘솔로 이동하여 상태 체크와 해당 ID를 확인하십시오. 자세한 내용은 [상태 확인 생성 및 업데이트](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html) 섹션을 참조하세요.

1. 구성을 완료할 때까지 나머지 페이지를 살펴보십시오. **보호** 페이지에는 리소스에 대한 업데이트된 상태 확인 연결이 나열되어 있습니다.

1. **보호** 페이지에서 새로 연결된 상태 확인이 정상으로 보고되고 있는지 확인합니다.

   상태 확인이 비정상으로 보고되는 동안에는 Shield Advanced의 상태 확인 사용을 성공적으로 시작할 수 없습니다. 이렇게 하면 Shield Advanced가 매우 낮은 임계값에서 오탐지를 감지하고 Shield 대응 팀(SRT)이 리소스에 대한 선제적 대응을 제공하는 능력에도 부정적인 영향을 미칠 수 있습니다.

   새로 연결된 상태 확인이 비정상으로 보고되면 다음과 같이 하십시오.

   1. Shield Advanced의 상태 확인과 보호 기능을 분리하십시오.

   1. Amazon Route 53의 상태 확인 사양을 다시 살펴보고 전반적인 애플리케이션 성능 및 가용성을 확인하십시오.

   1. 애플리케이션이 정상 상태 파라미터 내에서 수행되고 상태 확인이 정상으로 보고되면 Shield Advanced에서 상태 확인을 다시 연결해 보십시오.

새 상태 확인 연결을 설정하고 Shield Advanced에서 정상 상태를 보고하면 상태 확인 연결 절차가 완료됩니다.

# 상태 확인을 Shield Advanced로 보호하는 리소스로부터 연결 해제
<a name="disassociate-health-check"></a>

다음 절차는 Amazon Route 53 상태 확인과 보호된 리소스의 연결을 해제하는 방법을 보여줍니다.

**상태 확인 연결을 해제하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.

1.  AWS Shield 탐색 창에서 **보호된 리소스를** 선택합니다.

1. **보호** 탭에서 상태 확인에서 연결을 해제할 리소스를 선택합니다.

1. **보호 구성**을 선택합니다.

1. **상태 확인 기반 DDoS 탐지 구성 - *선택 사항*** 페이지가 표시될 때까지 **다음**을 선택합니다.

1. **연결된 상태 확인**에서 **-**로 표시된 빈 옵션을 선택합니다.

1. 구성을 완료할 때까지 나머지 페이지를 살펴보십시오.

**보호** 페이지에서 리소스의 상태 확인 필드는 **-**로 설정되어 있으며, 이는 상태 확인 연결이 없음을 나타냅니다.

# Shield Advanced에서 상태 확인 연결 상태 보기
<a name="health-check-association-status"></a>

 AWS WAF 및 Shield 콘솔 **보호 리소스** 페이지 및 각 리소스의 세부 정보 페이지에서 보호와 관련된 상태 확인 상태를 확인할 수 있습니다.
+ **정상** – 상태 확인을 사용할 수 있으며 정상으로 보고됩니다.
+ **비정상** – 상태 확인을 사용할 수 있으며 비정상으로 보고됩니다.
+ **사용 불가** – Shield Advanced에서 상태 확인을 사용할 수 없습니다 .

****사용 불가** 상태 확인 문제를 해결하려면**

새 상태 확인을 생성하여 사용하십시오. Shield Advanced에서 상태 확인을 사용할 수 없는 상태가 된 후에는 다시 연결을 시도하지 마십시오.

이러한 단계를 수행하는 방법에 대한 자세한 지침은 이전 항목을 참조하세요.

1. Shield Advanced에서, 리소스에서 상태 확인의 연결을 해제합니다.

1. Route 53에서, 리소스에 대한 새 상태 확인을 생성하고 해당 ID를 기록해 둡니다. 자세한 내용은 Amazon Route 53 개발자 안내서의 [상태 확인 생성 및 업데이트](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html) 섹션을 참조하세요.

1. Shield Advanced에서, 새 상태 확인을 리소스에 연결합니다.

# Shield Advanced의 상태 확인 예제
<a name="health-checks-examples"></a>

이 섹션에서는 계산된 상태 확인에 사용할 수 있는 상태 확인의 예시를 보여줍니다. 계산된 상태 확인은 여러 개별 상태 확인을 사용하여 통합 상태를 결정합니다. 각 개별 상태 확인의 상태는 엔드포인트의 상태 또는 Amazon CloudWatch 지표의 상태를 기반으로 합니다. 상태 확인을 계산된 상태 확인으로 결합한 다음 개별 상태 확인의 통합 상태를 기반으로 상태를 보고하도록 계산된 상태 확인을 구성합니다. 애플리케이션 성능 및 가용성에 대한 요구 사항에 따라 계산된 상태 확인의 민감도를 조정하십시오.

계산된 상태 확인에 대한 자세한 내용은 Amazon Route 53 개발자 안내서의 [기타 상태 확인(계산된 상태 확인) 모니터링](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-values.html#health-checks-creating-values-calculated) 섹션을 참조하세요. 자세한 내용은 블로그 게시물 [Route 53 개선 사항 – 계산된 상태 확인 및 지연 시간 검사](https://aws.amazon.com/blogs/aws/route-53-improvements-calculated-health-checks-and-latency-checks/) 섹션을 참조하세요.

**Topics**
+ [Amazon CloudFront 배포](#health-checks-example-cloudfront)
+ [로드 밸런서](#health-checks-example-load-balancer)
+ [Amazon EC2 탄력적 IP 주소(EIP)](#health-checks-example-elastic-ip)

## Amazon CloudFront 배포
<a name="health-checks-example-cloudfront"></a>

다음 예시는 CloudFront 배포의 계산된 상태 확인으로 결합할 수 있는 상태 확인을 설명합니다.
+ 동적 콘텐츠를 제공하는 배포의 경로에 도메인 이름을 지정하여 엔드포인트를 모니터링합니다. 정상 응답에는 HTTP 응답 코드 2xx 및 3xx가 포함됩니다.
+ CloudFront 오리진의 상태를 측정하는 CloudWatch 경보의 상태를 모니터링합니다. 예를 들어, Application Load Balancer `TargetResponseTime` 지표에서 CloudWatch 경보를 유지 관리하고 경보 상태를 반영하는 상태 확인을 생성할 수 있습니다. 요청이 로드 밸런서에서 나가는 시점부터 로드 밸런서가 대상으로부터 응답을 받을 때까지의 응답 시간이 경보에 구성된 임계값을 초과할 경우, 상태 확인이 비정상적일 수 있습니다.
+ 응답의 HTTP 상태 코드가 5xx 인 요청의 백분율을 측정하는 CloudWatch 경보의 상태를 모니터링합니다. CloudFront 배포의 5xx 오류율이 CloudWatch 경보에 정의된 임계값보다 높으면 이 상태 확인의 상태가 비정상으로 전환됩니다.

## 로드 밸런서
<a name="health-checks-example-load-balancer"></a>

다음 예시에서는 Application Load Balancer, Network Load Balancer 또는 Global Accelerator 표준 액셀러레이터의 계산된 상태 확인에 사용할 수 있는 상태 확인에 사용할 수 있는 상태 확인에 대해 설명합니다.
+ 클라이언트가 로드 밸런서에 설정한 새 연결 수를 측정하는 CloudWatch 경보의 상태를 모니터링합니다. 평균 신규 연결 수에 대한 경보 임계값을 일일 평균보다 어느 정도 높게 설정할 수 있습니다. 각 리소스 유형의 지표는 다음과 같습니다.
  + Application Load Balancer: `NewConnectionCount`
  + Network Load Balancer: `ActiveFlowCount`
  + Global Accelerator: `NewFlowCount`
+ Application Load Balancer 및 Network Load Balancer의 경우 정상으로 간주되는 로드 밸런서의 수를 측정하는 CloudWatch 경보의 상태를 모니터링하십시오. 가용 영역 또는 로드 밸런서에 필요한 정상 호스트의 최소 수에 대해 경보 임계값을 설정할 수 있습니다. 로드 밸런서 리소스에 사용할 수 있는 지표는 다음과 같습니다.
  + Application Load Balancer: `HealthyHostCount`
  + Network Load Balancer: `HealthyHostCount`
+ Application Load Balancer의 경우 로드 밸런서 대상에서 생성된 HTTP 5xx 응답 코드의 수를 측정하는 CloudWatch 경보의 상태를 모니터링하십시오. Application Load Balancer의 경우 지표 `HTTPCode_Target_5XX_Count`을(를) 사용하고 로드 밸런서에 대한 모든 5xx 오류의 합계를 기준으로 경보 임계값을 설정할 수 있습니다.

## Amazon EC2 탄력적 IP 주소(EIP)
<a name="health-checks-example-elastic-ip"></a>

다음 예시의 상태 확인을 Amazon EC2 탄력적 IP 주소의 계산된 상태 확인에 결합할 수 있습니다.
+ 탄력적 IP 주소에 IP 주소를 지정하여 엔드포인트를 모니터링합니다. IP 주소를 기반으로 하는 리소스와 TCP 연결을 설정할 수 있는 한 상태 확인은 정상적으로 유지됩니다.
+ 인스턴스에서 현재 사용 중인 할당된 Amazon EC2 컴퓨팅 유닛의 비율을 측정하는 CloudWatch 경보의 상태를 모니터링합니다. Amazon EC2 지표 `CPUUtilization`을(를) 사용하고 애플리케이션의 CPU 사용률이 높다고 생각하는 비율(예: 90%)을 기준으로 경보 임계값을 설정할 수 있습니다.

# AWS 리소스에 AWS Shield Advanced 보호 추가
<a name="configure-new-protection"></a>

이 섹션의 지침에 따라 하나 이상의 리소스에 Shield Advanced 보호를 추가하십시오.

**AWS 리소스에 대한 보호를 추가하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.

1. 탐색 창의 아래에서 **보호된 리소스를** AWS Shield 선택합니다.

1. **보호할 리소스 추가**를 선택합니다.

1. **Shield Advanced로 보호할 리소스 선택** 페이지의 **지역 및 리소스 타입 지정**에서 보호하려는 리소스에 대해 지역 및 리소스 타입 사양을 제공합니다. **모든 지역**을 선택하여 여러 지역의 리소스를 보호할 수 있으며, **글로벌**을 선택하여 글로벌 리소스로 선택 범위를 좁힐 수 있습니다. 보호하지 않으려는 모든 리소스 타입을 선택 취소할 수 있습니다. 리소스 타입의 보호에 대한 자세한 설명은 [가 AWS Shield Advanced 보호하는 리소스 목록](ddos-protections-by-resource-type.md)을 참조하세요.

1. **리소스 로딩**을 선택합니다. Shield Advanced는 **리소스 선택** 섹션을 기준에 맞는 AWS 리소스로 채웁니다.

1. **리소스 선택** 섹션에서, 리소스 목록에서 검색할 문자열을 입력하여 리소스 목록을 필터링할 수 있습니다.

   보호할 리소스를 선택합니다.

1. **태그** 섹션에서 생성 중인 Shield Advanced 보호에 태그를 추가하려면 해당 태그를 지정하세요. AWS 리소스 태그 지정에 대한 자세한 설명은 [태그 편집기 작업](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)을 참조하세요.

1. **Shield Advanced로 보호하기**를 선택하세요. 이렇게 하면 리소스에 Shield Advanced 보호 기능이 추가됩니다.

# AWS Shield Advanced 보호 편집
<a name="manage-protection"></a>

언제든지 AWS Shield Advanced 보호 설정을 변경할 수 있습니다. 이렇게 하려면 선택된 보호 옵션을 살펴본 후 변경해야 하는 설정을 수정합니다.

**보호된 리소스를 관리하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.

1.  AWS Shield 탐색 창에서 **보호된 리소스를** 선택합니다.

1. **보호** 탭에서 보호할 리소스를 선택합니다.

1. **보호 구성** 및 원하는 리소스 사양 옵션을 선택합니다.

1. 각 리소스 보호 옵션을 살펴보면서 필요에 따라 변경하십시오.

## 애플리케이션 계층 DDoS 보호 구성
<a name="configure-app-layer-protection"></a>

Amazon CloudFront 및 Application Load Balancer 리소스에 대한 공격으로부터 보호하기 위해 AWS WAF 웹 ACLs 추가하고 속도 기반 규칙을 추가할 수 있습니다. 이에 대한 자세한 내용은 [AWS WAF 웹 ACLs 및 Shield Advanced를 사용하여 애플리케이션 계층 보호](ddos-app-layer-web-ACL-and-rbr.md) 섹션을 참조하세요.

또한 Shield Advanced에 자동 애플리케이션 계층 DDoS 완화를 활성화할 수 있습니다. AWS WAF 작동 방식에 대한 자세한 내용은 단원을 참조하십시오[AWS WAF](waf-chapter.md). 자동 완화 기능에 대한 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md)을 참조하세요.

**중요**  
Shield Advanced 정책을 AWS Firewall Manager 사용하여를 통해 Shield Advanced 보호를 관리하는 경우 여기에서 애플리케이션 계층 보호를 관리할 수 없습니다. 모든 다른 자원의 경우, 웹 ACL에 규칙이 포함되어 있지 않더라도 각 리소스에 웹 ACL을 적어도 하나 연결하는 것이 좋습니다.

**참고**  
리소스에 대한 자동 애플리케이션 계층 DDoS 완화를 활성화하면 필요한 경우 작업이 계정에 서비스 연결 역할을 자동으로 추가하여 Shield Advanced에 웹 ACL 보호를 관리하는 데 필요한 권한을 부여합니다. 자세한 내용은 [Shield Advanced에 대한 서비스 연결 역할 사용](shd-using-service-linked-roles.md)을 참조하세요.

**애플리케이션 계층 DDoS 보호를 구성하려면**

1. **계층 7 DDoS 보호 구성** 페이지에서 리소스가 아직 웹 ACL과 연결되어 있지 않은 경우 기존 웹 ACL을 선택하거나 직접 만들 수 있습니다.

   웹 ACL을 생성하려면 아래 단계를 따르십시오.

   1. **Create web ACL(웹 ACL 생성)**을 선택합니다.

   1. 명칭을 입력합니다. 웹 ACL을 생성한 후에는 명칭을 변경할 수 없습니다.

   1. **생성(Create)**을 선택합니다.
**참고**  
리소스가 이미 웹 ACL과 연결되어 있으면 다른 웹 ACL로 변경할 수 없습니다. 웹 ACL을 변경하려면 먼저 연결된 웹 ACL을 리소스에서 제거해야 합니다. 자세한 내용은 [보호와 AWS 리소스의 연결 또는 연결 해제](web-acl-associating-aws-resource.md)을 참조하세요.

1. 웹 ACL에 속도 기반 규칙이 정의되어 있지 않은 경우 **속도 제한 규칙 추가**를 선택하고 다음 단계를 수행하여 속도 기반 규칙을 추가할 수 있습니다.

   1. 명칭을 입력합니다.

   1. 비율 제한을 입력합니다. 이 값은 속도 기반 규칙 작업이 IP 주소에 적용되기 전, 단일 IP 주소에서 5분 동안 허용되는 최대 요청 수를 말합니다. IP 주소의 요청이 한도 아래로 떨어지면 작업이 중단됩니다.

   1. 요청 수가 제한을 초과하는 동안 IP 주소의 요청을 계산하거나 차단하도록 규칙 작업을 설정합니다. 규칙 적용 및 제거 조치는 IP 주소 요청 비율이 변경된 후 1\$12분 후에 적용될 수 있습니다.

   1. **규칙 추가**를 선택합니다.

1. **자동 애플리케이션 계층 DDoS 완화**에 대해 다음과 같이 Shield Advanced가 사용자 대신 DDoS 공격을 자동으로 완화하도록 할지 여부를 선택합니다.
   + 자동 완화를 활성화하려면 **활성화**를 선택한 다음 Shield Advanced가 사용자 지정 AWS WAF 규칙에 사용할 규칙 작업을 선택합니다. 선택할 수 있는 옵션은 Count 및 Block입니다. 이러한 AWS WAF 규칙 작업에 대한 자세한 내용은 섹션을 참조하세요[에서 규칙 작업 사용 AWS WAF](waf-rule-action.md). Shield Advanced가 이 작업 설정을 관리하는 방법에 대한 자세한 내용은 [Shield Advanced가 규칙 작업 설정을 관리하는 방법](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)을(를) 참조하세요.
   + 자동 완화 기능을 비활성화하려면 **비활성화**를 선택합니다.
   + 관리 중인 리소스의 자동 완화 설정을 변경하지 않고 그대로 두려면 기본 선택인 **현재 설정 유지**를 그대로 두십시오.

   Shield Advanced 자동 애플리케이션 계층 DDoS 완화에 대한 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md)을 참조하세요.

1. **다음**을 선택합니다.

# Shield Advanced로 보호하는 리소스에 대해 경보 및 알림 생성
<a name="add-alarm-ddos"></a>

다음 절차에서는 보호된 리소스에 대한 CloudWatch 경보를 관리하는 방법을 보여줍니다.

**참고**  
CloudWatch에는 추가 비용이 발생합니다. CloudWatch 요금에 대한 자세한 내용은 [Amazon CloudWatch 요금](https://aws.amazon.com/cloudwatch/pricing/)을 참조하세요.

**경보 및 알림을 생성하려면**

1. ** 경보 및 알림 생성 - *선택 사항*** 보호 페이지에서 수신할 경보 및 알림에 대한 SNS 주제를 구성합니다. 알림을 받지 않으려는 리소스의 경우 **주제 없음**을 선택합니다. Amazon SNS 주제를 추가하거나 새로운 주제를 생성할 수 있습니다.

1. Amazon SNS 주제를 생성하려면 아래 단계를 따르십시오.

   1. 드롭다운 목록에서 **SNS 주제 생성**을 선택합니다.

   1. 주제 이름을 입력합니다.

   1. 선택 사항으로 Amazon SNS 메시지를 수신할 이메일 주소를 입력한 후 **이메일 추가**를 선택합니다. 하나 이상을 입력할 수 있습니다.

   1. **생성**을 선택합니다.

1. **다음**을 선택합니다.

# AWS 리소스에서 AWS Shield Advanced 보호 제거
<a name="remove-protection"></a>

언제든지 AWS 리소스에서 AWS Shield Advanced 보호를 제거할 수 있습니다.

**중요**  
 AWS 리소스를 삭제해도 리소스가 제거되지는 않습니다 AWS Shield Advanced. 또한이 절차에 설명된 AWS Shield Advanced대로에서 리소스에 대한 보호를 제거해야 합니다.

**AWS 리소스에서 AWS Shield Advanced 보호 제거**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.

1.  AWS Shield 탐색 창에서 **보호된 리소스를** 선택합니다.

1. **보호** 탭에서 보호를 제거하려는 리소스를 선택합니다.

1. **삭제 보호**를 선택합니다.

   1. 이 보호에 Amazon CloudWatch 경보를 구성한 경우 보호와 함께 경보를 삭제할 수 있는 옵션이 제공됩니다. 이때 경보를 삭제하지 않더라도 나중에 CloudWatch 콘솔에서 삭제할 수 있습니다.
**참고**  
Amazon Route 53 상태 확인이 구성된 보호의 경우 나중에 보호를 다시 추가하면 보호에 상태 확인이 포함됩니다.

이전 단계에서는 특정 AWS 리소스에서 AWS Shield Advanced 보호를 제거합니다. 구독은 취소되지 않습니다 AWS Shield Advanced . 서비스 요금은 계속 청구됩니다. AWS Shield Advanced 구독에 대한 자세한 내용은 [AWS Support 센터에](https://console.aws.amazon.com/support/home#/) 문의하세요.

## Shield Advanced 보호에서 CloudWatch 경보 제거
<a name="remove-cloudwatch-ddos"></a>

Shield Advanced 보호에서 CloudWatch 경보를 제거하려면 다음 중 하나를 수행합니다.
+ [AWS 리소스에서 AWS Shield Advanced 보호 제거](#remove-protection)에서 설명하는 대로 보호를 삭제합니다. 이때 **Also delete related DDoSDetection alarm(관련 DDoSDetection 경보도 삭제)** 옆에 있는 확인란을 반드시 선택해야 합니다.
+ CloudWatch 콘솔을 사용해 경보를 삭제합니다. 삭제할 경보의 이름은 **DDoSDetectedAlarmForProtection**로 시작합니다.

# AWS Shield Advanced 보호 그룹화
<a name="ddos-protection-groups"></a>

보호 그룹을 사용하면 보호된 리소스의 논리적 컬렉션을 만들고 보호를 그룹으로 관리할 수 있습니다. 리소스 보호 관리에 대한 자세한 정보는 [AWS Shield Advanced 보호 편집](manage-protection.md) 섹션을 참조하세요.

**참고**  
자동 애플리케이션 계층 DDoS 완화는 보호 그룹과 상호 작용하지 않습니다. 보호 그룹에 있는 리소스에 대해 자동 완화를 활성화할 수 있지만 Shield Advanced는 보호 그룹 결과에 근거하여 공격 완화를 자동으로 적용하지 않습니다. Shield Advanced는 개별 리소스에 대한 자동 공격 완화 기능을 적용합니다.

AWS Shield Advanced 보호 그룹은 여러 보호된 리소스를 단일 단위로 처리하여 탐지 및 완화 범위를 사용자 지정할 수 있는 셀프 서비스 방법을 제공합니다. 리소스 그룹화는 여러 가지 이점을 제공할 수 있습니다.
+ 탐지 정확도를 개선하십시오.
+ 실행 불가능한 이벤트 알림을 줄이십시오.
+ 이벤트 중에 영향을 받을 수도 있는 보호 리소스를 포함하도록 완화 조치의 적용 범위를 늘리십시오.
+ 유사한 표적이 여러 개 있는 공격을 완화하는 데 걸리는 시간을 단축하십시오.
+ 새로 생성된 보호 리소스의 자동 보호를 촉진합니다.

보호 그룹은 리소스가 0에 가까운 부하와 완전히 로드된 상태 사이에서 번갈아 나타나는 블루/그린 스왑과 같은 상황에서 오탐지를 줄이는 데 도움이 될 수 있습니다. 또 다른 예로 그룹 구성원 간에 공유되는 부하 수준을 유지하면서 리소스를 자주 만들고 삭제하는 경우를 들 수 있습니다. 이러한 상황에서 개별 리소스를 모니터링하면 오탐지가 발생할 수 있지만 리소스 그룹의 상태를 모니터링하면 그렇지 않을 수 있습니다.

모든 보호된 리소스, 특정 리소스 유형의 모든 리소스 또는 개별적으로 지정된 리소스를 포함하도록 보호 그룹을 구성할 수 있습니다. 보호 그룹 기준을 충족하는 새로 보호된 리소스는 보호 그룹에 자동으로 포함됩니다. 보호된 리소스는 다중 보호 그룹에 속할 수 있습니다.

# Shield Advanced 보호 그룹 생성
<a name="protection-group-creating"></a>

**보호 그룹을 생성하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.

1.  AWS Shield 탐색 창에서 **보호된 리소스를** 선택합니다.

1. **보호 그룹** 탭을 선택한 다음, **보호 그룹 만들기**를 선택합니다.

1. **보호 그룹 만들기** 페이지에서 그룹 이름을 입력합니다. 이 이름을 사용하여 보호된 리소스 목록에 있는 그룹을 식별할 수 있습니다. 보호 그룹을 생성한 후에는 해당 이름을 변경할 수 없습니다.

1. **보호 그룹화 기준**의 경우, Shield Advanced가 그룹에 포함할 보호된 리소스를 식별하는 데 사용할 기준을 선택합니다. 선택한 기준에 따라 추가 항목을 선택합니다.

1. **집계**의 경우, Shield Advanced가 그룹의 리소스 데이터를 결합하여 이벤트를 탐지, 완화 및 보고하는 방법을 선택합니다.
   + **합계** – 그룹 전체의 총 트래픽을 사용합니다. 대부분의 경우에서 이 방법을 선택하는 것이 좋습니다. 수동 또는 자동으로 확장되는 Amazon EC2 인스턴스의 탄력적 IP 주소를 예로 들 수 있습니다.
   + **평균** – 그룹 전체 트래픽의 평균을 사용합니다. 트래픽을 균일하게 공유하는 리소스에 적합합니다. 액셀러레이터와 로드 밸런서를 예로 들 수 있습니다.
   + **최대** – 각 리소스에서 가장 많은 트래픽을 사용합니다. 이는 트래픽을 공유하지 않는 리소스와 불균일한 방식으로 트래픽을 공유하는 리소스에 유용합니다. Amazon CloudFront 배포와 CloudFront 배포를 위한 오리진 리소스를 예로 들 수 있습니다.

1. **저장**을 선택하여 보호 그룹을 저장하고 **보호된 리소스** 페이지로 돌아가십시오.

**Shield** **이벤트** 페이지에서 보호 그룹에 대한 이벤트를 보고 그룹에 있는 보호 리소스에 대한 추가 정보를 드릴다운하여 볼 수 있습니다.

# Shield Advanced 보호 그룹 업데이트
<a name="protection-group-updating"></a>

**보호 그룹을 업데이트하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.

1.  AWS Shield 탐색 창에서 **보호된 리소스를** 선택합니다.

1. **보호 그룹** 탭에서 수정할 보호 그룹 옆의 확인란을 선택합니다.

1. 보호 그룹 페이지에서 **편집**을 선택합니다. 보호 그룹 설정을 변경합니다.

1. **저장**을 선택하여 변경 사항을 저장합니다.

# Shield Advanced 보호 그룹 삭제
<a name="protection-group-deleting"></a>

**보호 그룹을 삭제하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.

1.  AWS Shield 탐색 창에서 **보호된 리소스를** 선택합니다.

1. **보호 그룹** 탭에서 제거할 보호 그룹 옆의 확인란을 선택합니다.

1. 보호 그룹 페이지에서 **삭제**를 선택하고 작업을 확인합니다.

# 에서 Shield Advanced 리소스 보호 변경 사항 추적 AWS Config
<a name="ddos-add-config"></a>

이 페이지에서는를 사용하여 리소스 AWS Shield Advanced 보호에 대한 변경 사항을 기록하는 방법을 설명합니다 AWS Config. 그런 다음 감사 및 문제 해결을 목적으로 이 정보를 사용해 구성 변경 이력을 유지할 수 있습니다.

보호 변경 사항을 기록하려면 추적하려는 각 리소스에 AWS Config 대해를 활성화합니다. 자세한 내용은 *AWS Config 개발자 가이드*에서 [AWS Config시작하기](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html)를 참조하세요.

추적된 리소스 AWS 리전 가 포함된 각 AWS Config 에 대해를 활성화해야 합니다. 를 AWS Config 수동으로 활성화하거나 *CloudFormation 사용 설명서*의 [CloudFormation StackSets 샘플](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html) CloudFormation 템플릿에서 "활성화 AWS Config" 템플릿을 사용할 수 있습니다.

를 활성화하면 [AWS Config 요금](https://aws.amazon.com/config/pricing/) 페이지에 설명된 대로 요금이 청구 AWS Config됩니다.

**참고**  
필요한 리전 및 리소스에 대해를 이미 AWS Config 활성화한 경우 리소스의 보호 변경 사항에 대한 anything. AWS Config logs를 수행할 필요가 없습니다.

활성화한 후 AWS Config 콘솔에서 미국 동부(버지니아 북부) 리전을 AWS Config사용하여 AWS Shield Advanced 글로벌 리소스에 대한 구성 변경 기록을 봅니다.

미국 동부(버지니아 북부), 미국 동부(오하이오), 미국 서부(오레곤), 미국 서부(캘리포니아 북부), 유럽(아일랜드), 유럽(프랑크푸르트), 아시아 태평양(도쿄) 및 아시아 태평양(시드니) 리전의 AWS Config 콘솔을 통해 AWS Shield Advanced 리전 리소스에 대한 변경 기록을 봅니다.

# Shield Advanced를 사용한 DDoS 이벤트 가시성
<a name="ddos-viewing-events"></a>

AWS Shield 는 다음 이벤트 및 이벤트 활동 범주에 대한 가시성을 제공합니다.
+ **글로벌** — 모든 고객이 지난 2주간의 글로벌 위협 활동을 집계하여 볼 수 있습니다. 이 정보는 AWS Shield 콘솔의 **시작하기** 및 **글로벌 위협 대시보드** 페이지에서 확인할 수 있습니다. 자세한 내용은 [AWS Shield 글로벌 및 계정 활동 보기](ddos-standard-event-visibility.md) 단원을 참조하십시오.
+ **계정** - 모든 고객은 해당 계정의 전년도 이벤트 요약에 액세스할 수 있습니다. AWS Shield 콘솔의 **시작하기** 페이지에서이 정보를 볼 수 있습니다. 자세한 내용은 [AWS Shield 글로벌 및 계정 활동 보기](ddos-standard-event-visibility.md) 단원을 참조하십시오.

Shield Advanced를 구독하고 리소스에 대한 보호를 추가하면 보호되는 리소스의 이벤트 및 DDoS 공격에 대한 추가 정보에 액세스할 수 있습니다.
+ **보호된 리소스의 이벤트** - Shield Advanced는 AWS Shield 콘솔의 **이벤트** 페이지를 통해 각 이벤트에 대한 자세한 정보를 제공합니다. 자세한 내용은 [AWS Shield Advanced 이벤트 보기](ddos-events.md) 단원을 참조하십시오.
+ **보호된 리소스에 대한 이벤트 지표** - Shield Advanced는 보호하는 모든 리소스에 대한 탐지, 완화 및 최고 기여자 Amazon CloudWatch 지표를 게시합니다. 이러한 지표를 사용하여 CloudWatch 대시보드 및 경보를 구성할 수 있습니다. 자세한 내용은 [AWS Shield Advanced 지표](shield-metrics.md) 단원을 참조하십시오.
+ **보호된 리소스에 대한 교차 계정 이벤트 가시성 -** AWS Firewall Manager 를 사용하여 Shield Advanced 보호를 관리하는 경우 Firewall Manager를와 함께 사용하여 여러 계정의 보호에 대한 가시성을 활성화할 수 있습니다 AWS Security Hub CSPM. 자세한 내용은 [AWS Firewall Manager 및를 AWS 계정 사용하여 여러에서 Shield Advanced 이벤트 보기 AWS Security Hub CSPM](ddos-viewing-multiple-accounts.md) 단원을 참조하십시오.

애플리케이션 계층 보호를 위해 자동 애플리케이션 계층 DDoS 완화를 활성화하면 Shield Advanced는 자동 보호를 관리하는 데 사용하는 규칙 그룹을 보호 팩(웹 ACL)에 추가합니다. 이 규칙 그룹은 AWS WAF 지표를 생성하지만 볼 수 없습니다. 이는 AWS 관리형 규칙 그룹과 같이 보호 팩(웹 ACL)에서 사용하지만 소유하지 않는 다른 규칙 그룹의 경우와 동일합니다. AWS WAF 지표에 대한 자세한 내용은 섹션을 참조하세요[AWS WAF 지표 및 차원](waf-metrics.md). 이 Shield Advanced 보호 옵션에 대한 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md)을 참조하세요.

**Topics**
+ [AWS Shield 글로벌 및 계정 활동 보기](ddos-standard-event-visibility.md)
+ [AWS Shield Advanced 이벤트 보기](ddos-events.md)
+ [AWS Firewall Manager 및를 AWS 계정 사용하여 여러에서 Shield Advanced 이벤트 보기 AWS Security Hub CSPM](ddos-viewing-multiple-accounts.md)

# AWS Shield 글로벌 및 계정 활동 보기
<a name="ddos-standard-event-visibility"></a>

이 페이지에서는 AWS Shield 콘솔 **시작하기** 및 글로벌 위협 **대시보드** 페이지에서 글로벌 위협 활동에 대한 집계 보기 및 계정당 이벤트 요약에 액세스하는 지침을 제공합니다.

다음 스크린샷은 **시작하기** 페이지의 예를 보여줍니다.

![\[AWS Shield 콘솔에는 글로벌 위협 및 계정 이벤트 요약 창이 포함된 시작하기 페이지가 표시됩니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-console-global-account.png)


**AWS Shield 콘솔에 액세스하려면**
+ 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.

Shield Advanced를 구독하지 않아도 글로벌 활동 및 계정 이벤트 요약 정보에 액세스할 수 있습니다.

**글로벌 활동**  
 이 정보는 AWS Shield 콘솔 **글로벌 위협 대시보드** 및 **시작하기** 페이지를 통해 확인할 수 있습니다. 다음 스크린샷은 글로벌 활동 창의 예를 보여줍니다.

![\[Shield에서 감지한 글로벌 활동이라는 콘솔 AWS Shield 창에는 지난 2주 동안 글로벌 위협이 감지된 영역에 대한 히트맵 표시로 중첩된 월드 맵이 표시됩니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-console-global-activity.png)


글로벌 활동은 모든 AWS 고객에서 관찰된 DDoS 이벤트를 설명합니다. 시간당 한 번, 지난 2주 동안의 정보를 AWS 업데이트합니다. 콘솔 창에서 AWS 결과를 리전별로 분할하여 세계 히트 맵에 표시할 수 있습니다. Shield는 맵 옆에 최대 규모 패킷 공격, 최대 비트 전송률, 가장 일반적인 벡터, 총 공격 수, 위협 수준 등의 요약 정보를 표시합니다. 위협 수준은 현재의 글로벌 활동을 AWS 에서 일반적으로 관찰되는 활동과 비교한 평가입니다. 기본 위협 수준 값은 **보통**입니다. DDoS 활동이 증가하면 AWS 에서 **높음**으로 값이 자동으로 업데이트됩니다.

또한 **글로벌 위협 대시보드**는 시계열 지표를 제공하며 여러 기간 사이에서 변경할 수 기능을 사용자에게 제공합니다. 중요한 DDoS 공격의 기록을 보려면 마지막 날부터 지난 2주간의 뷰에 맞게 대시보드를 사용자 지정할 수 있습니다. 시계열 지표는 선택한 기간 AWS 동안에서 실행되는 애플리케이션에 대해가 감지한 모든 이벤트에 AWS Shield 대해 가장 큰 비트 전송률, 패킷 전송률 또는 요청 전송률을 보여줍니다.

**계정 활동**  
이 정보는 AWS Shield 콘솔 **시작하기** 페이지에서 확인할 수 있습니다.

다음 스크린샷은 계정 활동 창의 예를 보여줍니다.

![\[Shield에서 감지한 계정 활동이라는 콘솔 AWS Shield 창에는 총 이벤트 수, 최대 패킷 속도 및 요청 속도와 같은 정보와 함께 지난 해의 이벤트 요약이 나열됩니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-console-account-activity.png)


계정 활동은 Shield Advanced의 보호를 받을 수 있는 사용자 리소스에 대해 Shield가 탐지한 DDoS 이벤트를 설명합니다. Shield는 매일 전날 00:00시(UTC)에 종료되는 연도의 요약 지표를 만든 다음 총 이벤트, 최대 비트 전송률, 최대 패킷 전송 속도 및 최대 요청률을 표시합니다.
+ 총 이벤트 지표는 Shield가 애플리케이션으로 향하는 트래픽에서 의심스러운 속성을 관찰한 모든 이벤트를 반영합니다. 의심스러운 속성에는 볼륨이 정상보다 높은 트래픽, 애플리케이션의 기록 프로파일과 일치하지 않는 트래픽 또는 유효한 애플리케이션 트래픽에 대해 Shield에서 정의한 휴리스틱과 일치하지 않는 트래픽이 포함될 수 있습니다.
+ 모든 리소스에 대해 최대 비트 전송률 및 최대 패킷 전송 속도 통계가 제공됩니다.
+ 가장 큰 요청 속도 통계는 연결된 AWS WAF 웹 ACL이 있는 Amazon CloudFront 배포 및 Application Load Balancer에만 사용할 수 있습니다.

**참고**  
 AWS Shield API 작업 [DescribeAttackStatistics](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DescribeAttack.html)를 통해 계정 수준 이벤트 요약에 액세스할 수도 있습니다.

# AWS Shield Advanced 이벤트 보기
<a name="ddos-events"></a>

이 페이지에서는 Shield Advanced의 이벤트에 대한 정보에 액세스하기 위한 지침을 제공합니다.

Shield Advanced를 구독하고 리소스를 보호하면 리소스에 대한 추가 가시성 기능을 이용할 수 있습니다. 여기에는 Shield Advanced가 탐지한 이벤트에 대한 거의 실시간에 가까운 알림과 탐지된 이벤트 및 완화 조치에 대한 추가 정보가 포함됩니다.

**참고**  
Shield Advanced 콘솔의 이벤트 정보는 Shield Advanced 지표를 기준으로 합니다. Shield Advanced 지표에 대한 내용은 [AWS Shield Advanced 지표](shield-metrics.md) 섹션을 참조하세요.

AWS Shield 는 여러 차원을 따라 보호된 리소스에 대한 트래픽을 평가합니다. 이상 항목이 감지되는 경우 Shield Advanced는 영향을 받는 각 리소스에 대해 별도의 이벤트를 생성합니다.

Shield 콘솔의 **이벤트** 페이지를 통해 이벤트 요약 및 세부 정보에 액세스할 수 있습니다. 최상위 수준 **이벤트** 페이지는 현재 및 과거 이벤트에 대한 개요를 제공합니다.

다음 스크린샷은 진행 중인 이벤트가 한 개인 **이벤트** 페이지의 예를 보여줍니다. 이 활성 이벤트는 왼쪽 탐색 창에도 플래그 지정되어 있습니다.

![\[AWS Shield 콘솔 왼쪽 탐색 창에는 빨간색 원 안에 숫자 1이 있는 빨간색으로 강조 표시된 이벤트 선택 항목이 있습니다. 이벤트 페이지가 열리고 이벤트 목록에 단일 행이 표시됩니다. 행에는 CloudFront 배포 유형의 AWS 리소스가 나열됩니다. 현재 상태 필드에는 완화 작업 진행 중이라는 단어 옆에 빨간색 삼각형 아이콘이 있습니다. 공격 벡터 상태 필드에는 UDP 트래픽이 들어 있습니다. 시작 시간 필드에는 2020년 9월 16일 오후 2시 43분(SAST)이 들어 있습니다. 기간 필드에는 6분이 들어 있습니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-console-event-summary1.png)


Shield Advanced는 트래픽 유형과 구성된 보호 기능에 따라 공격에 대한 완화 조치를 자동으로 적용할 수도 있습니다. 이러한 완화 조치는 리소스에서 알려진 DDoS 공격 시그니처와 일치하는 트래픽이나 초과 트래픽을 수신하지 않도록 보호할 수 있습니다.

다음 스크린샷은 Shield Advanced에 의해 모든 이벤트가 완화되었거나 저절로 진정된 **이벤트** 목록의 예를 보여줍니다.

![\[이벤트라는 콘솔 AWS Shield 페이지에는 최근에 감지된 이벤트와 현재 상태가 나열됩니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-console-events.png)


**이벤트 발생 전에 리소스 보호**  
리소스가 DDoS 공격을 받기 전에 정상적인 예상 트래픽을 수신하는 동안 Shield Advanced로 리소스를 보호하여 이벤트 탐지의 정확도를 개선하십시오.

보호된 리소스에 대한 이벤트를 정확하게 보고하려면 Shield Advanced는 먼저 해당 리소스에 대한 예상 트래픽 패턴의 기준을 설정해야 합니다.
+ Shield Advanced는 리소스를 최소 15분 동안 보호한 후에 인프라 계층 이벤트를 보고합니다.
+ Shield Advanced는 리소스를 최소 24시간 동안 보호한 후에 리소스에 대한 웹 애플리케이션 계층 이벤트를 보고합니다. 애플리케이션 계층 이벤트의 탐지는 Shield Advanced가 30일 동안 예상 트래픽을 관찰한 이후에 가장 정확합니다.

**AWS Shield 콘솔에서 이벤트 정보에 액세스하려면**

1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) AWS WAF & Shield 콘솔을 엽니다.

1.  AWS Shield 탐색 창에서 **이벤트를** 선택합니다. 콘솔이 **이벤트** 페이지를 보여줍니다.

1. **이벤트** 페이지의 목록에 있는 이벤트를 선택하여 이벤트에 대한 추가 요약 정보 및 세부 정보를 볼 수 있습니다.

**Topics**
+ [AWS Shield Advanced 이벤트 요약의 필드 목록](ddos-event-summaries.md)
+ [AWS Shield Advanced 이벤트 세부 정보 보기](ddos-event-details.md)

# AWS Shield Advanced 이벤트 요약의 필드 목록
<a name="ddos-event-summaries"></a>

이 페이지에는 Shield Advanced 이벤트 요약의 필드가 나오고 정의되어 있습니다.

이벤트의 콘솔 페이지에서 이벤트에 대한 요약 및 세부 정보를 볼 수 있습니다. 이벤트 페이지를 열려면 **이벤트** 페이지 목록에서 해당 AWS 리소스 이름을 선택합니다.

다음 스크린샷은 네트워크 계층 이벤트에 대한 이벤트 요약의 예를 보여줍니다.

![\[AWS Shield 콘솔 이벤트 페이지의 요약 창에는 이벤트에 대한 정보가 나열되며 영향을 받는 AWS 리소스, 공격 벡터, 시작 및 종료 시간, 완화 및 상태 정보가 포함됩니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-console-event-summary2.png)


이벤트 페이지 요약 정보에는 다음 내용이 포함됩니다.
+ **현재 상태** — 이벤트의 상태와 Shield Advanced가 이벤트에 대해 취한 조치를 나타내는 값입니다. 상태 값은 인프라 계층(계층 3 또는 4) 및 애플리케이션 계층(계층 7)이벤트에 적용됩니다.
  + **식별됨(진행 중)** 및 **식별됨(진정됨)** — Shield Advanced가 이벤트를 감지했지만 지금까지 조치를 취하지 않았음을 나타냅니다. **식별됨(진정됨)** — Shield가 감지한 의심스러운 트래픽이 개입 없이 중단되었음을 나타냅니다.
  + **완화 조치 진행 중** 및 **완화됨** — Shield Advanced가 이벤트를 감지하고 조치를 취했음을 나타냅니다. **완화됨** 값은 대상 리소스가 자체 자동 인라인 완화 기능을 갖춘 Amazon CloudFront 배포 또는 Amazon Route 53 호스팅 영역인 경우에도 사용됩니다.
+ **공격 벡터** — DDoS 공격 벡터(예: TCP SYN flood) 및 Shield Advanced 탐지 휴리스틱(예: 요청 플러드). 이는 DDoS 공격의 지표가 될 수 있습니다.
+ **시작 시간** - 첫 번째 변칙적 트래픽 데이터 요소가 감지된 날짜 및 시간입니다.
+ **지속 시간 또는 종료 시간** — 이벤트 시작 시간과 Shield Advanced가 마지막으로 관찰한 변칙적 데이터 요소 사이에 경과된 시간을 나타냅니다. 이벤트가 진행되는 동안 이 값은 계속 증가할 것입니다.
+ **보호** - 리소스와 관련된 Shield Advanced 보호의 이름을 지정하고 보호 페이지로 연결되는 링크를 제공합니다. 이는 개별적인 이벤트 페이지에서 확인할 수 있습니다.
+ **자동 애플리케이션 계층 DDoS 완화** — 애플리케이션 계층 보호에 사용되며, Shield Advanced 자동 애플리케이션 계층 DDoS 완화가 리소스에 대해 활성화되었는지 여부를 나타냅니다. 활성화된 경우 구성에 액세스하고 관리할 수 있는 링크가 제공됩니다. 이는 개별적인 이벤트 페이지에서 확인할 수 있습니다.
+ **네트워크 계층 자동 완화** - 리소스에 네트워크 계층 자동 완화 기능이 있는지 여부를 나타냅니다. 리소스에 네트워크 계층 구성 요소가 있는 경우 이 구성 요소가 활성화됩니다. 이 정보는 개별적인 이벤트의 페이지에서 확인할 수 있습니다.

자주 표적이 되는 리소스의 경우, Shield는 초과 트래픽이 감소한 후에도 추가 재발을 방지하기 위해 완화 조치를 그대로 둘 수 있습니다.

**참고**  
또한 AWS Shield API 작업인 [ListAttacks](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_ListAttacks.html)를 통해 보호된 리소스에 대한 이벤트 요약에 액세스할 수도 있습니다.

# AWS Shield Advanced 이벤트 세부 정보 보기
<a name="ddos-event-details"></a>

콘솔 이벤트 페이지 하단 섹션에서 이벤트 탐지, 완화 조치 및 상위 기여자에 대한 세부 정보를 확인할 수 있습니다. 이 섹션에는 합법적인 트래픽과 잠재적으로 원치 않는 트래픽이 혼재되어 있을 수 있으며, 이 섹션은 보호된 리소스로 전달된 트래픽과 Shield 완화 조치로 차단된 트래픽 모두를 나타낼 수 있습니다.
+ **탐지 및 완화** — 관찰된 이벤트와 이에 대해 적용된 모든 완화 조치에 대한 정보를 제공합니다. 완화 이벤트에 대한 자세한 내용은 [에서 DDoS 이벤트에 응답 AWS](ddos-responding.md)(을)를 참조하세요.
+ **상위 기여자** — 이벤트와 관련된 트래픽을 분류하고 Shield가 카테고리별로 식별한 트래픽의 기본 소스를 나열합니다. 애플리케이션 계층 이벤트의 경우 상위 기여자 정보를 사용하여 이벤트의 특성에 대한 일반적인 아이디어를 얻지만 보안 결정에 AWS WAF 로그를 사용합니다. 자세한 내용은 이어지는 섹션을 참조하세요.

Shield Advanced 콘솔의 이벤트 정보는 Shield Advanced 지표를 기준으로 합니다. Shield Advanced 지표에 대한 내용은 [AWS Shield Advanced 지표](shield-metrics.md) 섹션을 참조하세요.

Amazon CloudFront 또는 Amazon Route 53 리소스에는 완화 지표가 포함되어 있지 않은데, 이러한 서비스는 항상 활성화되어 개별 리소스에 대한 완화 조치가 필요하지 않은 완화 시스템으로 보호되기 때문입니다.

세부 정보 섹션은 정보가 인프라 계층 이벤트 또는 애플리케이션 계층 이벤트에 대한 정보인지 여부에 따라 달라집니다.

**Topics**
+ [Shield Advanced에서 애플리케이션 계층(계층 7) 이벤트 세부 정보 보기](ddos-event-details-application-layer.md)
+ [Shield Advanced에서 인프라 계층(계층 3 또는 4) 이벤트 세부 정보 보기](ddos-event-details-infrastructure-layer.md)

# Shield Advanced에서 애플리케이션 계층(계층 7) 이벤트 세부 정보 보기
<a name="ddos-event-details-application-layer"></a>

이벤트에 대한 콘솔 페이지 하단 섹션에서 애플리케이션 계층 이벤트 탐지, 완화 조치 및 상위 기여자에 대한 세부 정보를 확인할 수 있습니다. 이 섹션에는 합법적인 트래픽과 잠재적으로 원치 않는 트래픽이 혼재되어 있을 수 있으며, 이 섹션은 보호된 리소스로 전달된 트래픽과 Shield Advanced 완화 조치로 차단된 트래픽 모두를 나타낼 수 있습니다.

완화 세부 정보는 공격에 대응하여 특별히 배포되는 규칙과 웹 ACL에 정의된 속도 기반 규칙을 포함하여 리소스와 연결된 웹 ACL의 모든 규칙에 대한 것입니다. 애플리케이션에 대해 자동 애플리케이션 계층 DDoS 완화를 활성화하는 경우 완화 지표에는 이러한 추가 규칙에 대한 지표가 포함됩니다. 이러한 애플리케이션 계층 보호에 대한 자세한 내용은 [AWS Shield Advanced 및를 사용하여 애플리케이션 계층(계층 7) 보호 AWS WAF](ddos-app-layer-protections.md) 섹션을 참조하세요.

## 감지 및 완화
<a name="ddos-event-details-application-layer-detection-mitigation"></a>

애플리케이션 계층(계층 7) 이벤트의 경우 **탐지 및 완화** 탭에는 AWS WAF 로그에서 얻은 정보를 기반으로 하는 탐지 지표가 표시됩니다. 완화 지표는 원치 않는 트래픽을 차단하도록 구성된, 연결된 웹 ACL의 AWS WAF 규칙을 기반으로 합니다.

Amazon CloudFront 배포의 경우, 자동 완화 기능을 적용하도록 Shield Advanced를 구성할 수 있습니다. 모든 애플리케이션 계층 리소스를 사용하여 웹 ACL에서 자체 완화 규칙을 정의하도록 선택하고 Shield 대응 팀(SRT)에 도움을 요청할 수 있습니다. 이러한 옵션에 대한 자세한 내용은 [에서 DDoS 이벤트에 응답 AWS](ddos-responding.md) 섹션을 참조하세요.

다음 스크린샷은 몇 시간 후에 진정된 애플리케이션 계층 이벤트에 대한 탐지 지표의 예를 보여줍니다.

![\[탐지 지표 그래프는 11:30부터 16:00에 감소할 때까지 요청 플러드 트래픽 감지를 보여줍니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-app-detection-metrics.png)


완화 규칙이 적용되기 전에 감소하는 이벤트 트래픽은 완화 지표에 표시되지 않습니다. 이로 인해 탐지 그래프에 표시된 웹 요청 트래픽과 완화 그래프에 표시된 허용 및 차단 지표 간에 차이가 발생할 수 있습니다.

## 상위 기여자
<a name="ddos-event-details-application-layer-top-contributors"></a>

애플리케이션 계층 이벤트에 대한 **상위 기여자** 탭에는 Shield가 검색한 AWS WAF 로그를 기반으로 이벤트에 대해 식별한 상위 5명의 기여자가 표시됩니다. Shield는 소스 IP, 소스 국가, 대상 URL과 같은 측정기준별로 상위 기여자 정보를 분류합니다.

**참고**  
애플리케이션 계층 이벤트에 기여하는 트래픽에 대한 가장 정확한 정보를 보려면 AWS WAF 로그를 사용합니다.

Shield 애플리케이션 계층의 상위 기여자 정보는 공격의 성격을 전반적으로 파악하기 위한 용도로만 사용하고, 이를 기반으로 보안 결정을 내리지 마십시오. 애플리케이션 계층 이벤트의 경우 AWS WAF 로그는 공격의 원인을 이해하고 완화 전략을 수립하는 데 가장 적합한 정보 소스입니다.

Shield 상위 기여자 정보가 항상 AWS WAF 로그의 데이터를 완전히 반영하는 것은 아닙니다. Shield는 로그를 수집할 때 로그에서 전체 데이터 세트를 검색하는 것보다 시스템 성능에 미치는 영향을 줄이는 것을 우선시합니다. 이로 인해 Shield에서 분석에 사용할 수 있는 데이터의 세부 수준이 손실될 수 있습니다. 대부분의 경우 대부분의 정보를 사용할 수 있지만, 어떤 공격에서든 상위 기여자 데이터가 어느 정도 왜곡될 수 있습니다.

다음 스크린샷은 애플리케이션 계층 이벤트에 대한 **상위 기여자** 탭의 예를 보여줍니다.

![\[애플리케이션 계층 이벤트의 상위 기여자 탭에서는 여러 웹 요청 특성에 대한 상위 5개의 기여자를 설명합니다. 화면에는 상위 5개의 소스 IP 주소, 상위 5개의 대상 URL, 상위 5개의 소스 국가, 상위 5개의 사용자 에이전트가 표시됩니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-app-event-top-contributors.png)


기여자 정보는 합법적인 트래픽과 잠재적으로 원치 않는 트래픽 모두에 대한 요청을 기반으로 합니다. 볼륨이 큰 이벤트와 요청 소스가 크게 분산되지 않은 이벤트는 식별 가능한 상위 기여자가 있을 가능성이 더 큽니다. 상당한 정도의 분산형 공격은 소스의 수가 여러 개일 수 있어 공격의 상위 기여자를 식별하기 어렵습니다. Shield Advanced가 특정 카테고리의 주요 기여자를 식별하지 못하면 데이터가 사용할 수 없음으로 표시됩니다.

# Shield Advanced에서 인프라 계층(계층 3 또는 4) 이벤트 세부 정보 보기
<a name="ddos-event-details-infrastructure-layer"></a>

이벤트에 대한 콘솔 페이지 하단 섹션에서 인프라 계층 이벤트 탐지, 완화 조치 및 상위 기여자에 대한 세부 정보를 확인할 수 있습니다. 이 섹션에는 합법적인 트래픽과 잠재적으로 원치 않는 트래픽이 혼재되어 있을 수 있으며, 이 섹션은 보호된 리소스로 전달된 트래픽과 Shield 완화 조치로 차단된 트래픽 모두를 나타낼 수 있습니다.

## 감지 및 완화
<a name="ddos-event-details-infrastructure-layer-detection-mitigation"></a>

인프라 계층(계층 3 또는 4)이벤트의 경우 **감지 및 완화** 탭에는 샘플링된 네트워크 흐름을 기반으로 하는 탐지 지표와 완화 시스템에서 관찰된 트래픽을 기반으로 하는 완화 지표가 표시됩니다. 완화 지표는 리소스로 유입되는 트래픽을 보다 정확하게 측정한 것입니다.

Shield는 보호된 리소스 유형인 탄력적 IP(EIP), Classic Load Balancer(CLB), Application Load Balancer(ALB) 및 AWS Global Accelerator 표준 액셀러레이터에 대한 완화를 자동으로 생성합니다. EIP 주소 및 AWS Global Accelerator 표준 액셀러레이터에 대한 완화 지표는 전달 및 삭제된 패킷 수를 나타냅니다.

다음 스크린샷은 인프라 계층 이벤트에 대한 **감지 및 완화** 탭의 예를 보여줍니다.

![\[네트워크 이벤트에 대한 감지 및 완화 그래프에서는 탐지 지표의 SYN flood 및 패킷 플러드 트래픽 증가를 나타내며, 이는 완화 지표에서는 몇 초 후에 트래픽을 감소시키는 완화 기능의 증가와 일치합니다. 완화 조치가 약 30초 동안 강화되면 트래픽 플러드가 멈춥니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-network-event-detection-mitigation.png)


Shield가 완화를 적용하기 전에 감소하는 이벤트 트래픽은 완화 지표에 표시되지 않습니다. 이로 인해 탐지 그래프에 표시된 트래픽과 완화 그래프에 표시된 허용 및 차단 지표 간에 차이가 발생할 수 있습니다.

## 상위 기여자
<a name="ddos-event-details-infrastructure-layer-top-contributors"></a>

인프라 계층 이벤트의 **상위 기여자** 탭에는 여러 트래픽 측정기준의 최대 100개의 상위 기여자에 대한 지표가 나열됩니다. 세부 정보에는 중요한 트래픽 소스를 5개 이상 식별할 수 있는 모든 측정기준에 대한 네트워크 계층 속성이 포함됩니다. 트래픽 소스의 예로는 소스 IP와 소스 ASN이 있습니다.

다음 스크린샷은 인프라 계층 이벤트에 대한 **상위 기여자** 탭의 예를 보여줍니다.

![\[네트워크 이벤트의 상위 기여자 탭에는 이벤트에 가장 많이 기여한 트래픽 카테고리가 표시됩니다. 이 경우 카테고리에는 프로토콜별 볼륨, 프로토콜 및 대상 포트별 볼륨, 프로토콜 및 소스 ASN별 볼륨, TCP 플래그별 볼륨이 포함됩니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-network-event-top-contributors.png)


기여자 지표는 합법적인 트래픽과 잠재적으로 원치 않는 트래픽 모두에 대해 샘플링된 네트워크 흐름을 기반으로 합니다. 볼륨이 큰 이벤트와 트래픽 소스가 크게 분산되지 않은 이벤트는 식별 가능한 상위 기여자가 있을 가능성이 더 큽니다. 상당한 정도의 분산형 공격은 소스의 수가 여러 개일 수 있어 공격의 상위 기여자를 식별하기 어렵습니다. Shield가 특정 지표나 카테고리의 주요 기여자를 식별하지 못하면 해당 데이터를 사용할 수 없음으로 표시합니다.

인프라 계층 DDoS 공격에서는 트래픽 소스가 스푸핑되거나 반영될 수 있습니다. 스푸핑된 소스는 공격자가 의도적으로 위조한 것입니다. 반영된 소스는 탐지된 트래픽의 실제 소스이지만 공격에 기꺼이 참여하지는 않습니다. 예를 들어 공격자는 일반적으로 합법적인 인터넷 서비스 비활성화 공격을 반영하여 표적으로 대량의 증폭된 트래픽을 생성할 수 있습니다. 이 경우 소스 정보는 공격의 실제 소스는 아니지만 유효할 수 있습니다. 이러한 요인으로 인해 패킷 헤더를 기반으로 소스를 차단하는 완화 기술의 실행 가능성이 제한될 수 있습니다.

# AWS Firewall Manager 및를 AWS 계정 사용하여 여러에서 Shield Advanced 이벤트 보기 AWS Security Hub CSPM
<a name="ddos-viewing-multiple-accounts"></a>

 AWS Firewall Manager 및 AWS Security Hub CSPM 를 사용하여 여러 계정에서 AWS Shield Advanced 보호된 리소스를 관리하고 모니터링할 수 있습니다.

Firewall Manager를 사용하면 모든 계정에서 DDoS 보호 규정 준수를 보고하고 강제 적용하는 Shield Advanced 보안 정책을 생성할 수 있습니다. Firewall Manager는 Shield Advanced 정책 범위에 할당되는 새 리소스에 보호 기능을 추가하는 것을 포함하여 보호된 리소스를 모니터링합니다.

Firewall Manager AWS Security Hub CSPM 를와 통합하여 Firewall Manager가 Shield Advanced 보안 정책을 준수하지 않는 리소스를 식별할 때 Shield Advanced 및 Firewall Manager 규정 준수 조사 결과에서 감지된 DDoS 이벤트를 보고하는 단일 대시보드를 얻을 수 있습니다.

다음 그림은 Firewall Manager 및 Security Hub CSPM을 사용하여 Shield Advanced 보호 리소스를 모니터링하기 위한 일반적인 아키텍처를 보여줍니다.

![\[그림 상단에 아이콘이 AWS Organizations 있습니다. 아래쪽을 가리키는 화살표가 한 개 있는데 이는 분할되어 나란히 있는 두 개의 아이콘을 가리킵니다. 왼쪽 아이콘에는 Production OU 제목이 있고 오른쪽 아이콘에는 Security OU 제목이 있습니다. 이 아이콘 아래에는 왼쪽에서 오른쪽으로 제목이 지정된 세 개의 아이콘인 AWS Shield Advanced, 및 AWS Firewall Manager가 있습니다 AWS Security Hub CSPM. Production OU 아이콘에는 아래로 Shield Advanced 아이콘을 가리키는 화살표가 있습니다. 보안 OU 아이콘에는 Firewall Manager 및 Security Hub CSPM 아이콘을 가리키도록 분할되는 아래쪽을 가리키는 화살표가 있습니다. Shield Advanced 아이콘에는 아래쪽으로 Shield Advanced protected resources(이)라는 제목의 사각형을 가리키는 화살표가 있습니다. 사각형 안에는 Application Load Balancer, CloudFront 배포, 탄력적 IP 주소 아이콘이 있습니다. Firewall Manager 아이콘에도 아래쪽으로 Shield Advanced protected resources 사각형을 가리키는 화살표가 있으며 Enforces compliance of protected resources(이)라는 레이블이 지정되어 있습니다. Shield Advanced 아이콘에는 Firewall Manager 아이콘을 가리키며 DDoS alarm 레이블이 지정된 가로 방향 화살표가 있습니다. Firewall Manager 아이콘에는 레이블이 지정된 Security Hub CSPM 아이콘을 가리키는 가로 화살표가 있습니다DDoS alarm and compliance findings.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-arch-fms-ash-integration.png)


Firewall Manager를 Security Hub CSPM과 통합하면 실행 중인 애플리케이션에 대한 다른 알림 및 규정 준수 상태 정보와 함께 한 곳에서 보안 조사 결과를 볼 수 있습니다 AWS.

다음 스크린샷은이 유형의 통합이 있을 때 Security Hub CSPM 콘솔 내에서 Shield Advanced 이벤트에 대해 볼 수 있는 정보를 강조 표시합니다.

![\[스크린샷은 Security Hub CSPM 콘솔 조사 결과 페이지를 보여 줍니다. 자막 조사 결과는 보안 문제 또는 실패한 보안 검사입니다. 섹션에는 다음과 같은 문자열을 강조 표시하는 빨간색 테두리가 있습니다. Title EQUALS Shield Advanced는 모니터링 대상 리소스에 대한 공격을 탐지했으며 제품명 EQUAL Firewall Manager입니다. 화면에는 특정 공격과 해당 상태에 대한 일체의 세부 정보가 표시됩니다.\]](http://docs.aws.amazon.com/ko_kr/waf/latest/developerguide/images/shield-console-security-hub-event.png)


Firewall Manager 및 Security Hub CSPM을 Shield Advanced와 통합하여 보호된 계정 전체에서 이벤트 및 규정 준수 모니터링을 중앙 집중화하는 방법을 알아보려면 AWS 보안 블로그 [ DDoS 이벤트에 대한 중앙 집중식 모니터링 설정 및 규정 미준수 리소스 자동 해결을](https://aws.amazon.com/blogs/security/set-up-centralized-monitoring-for-ddos-events-and-auto-remediate-noncompliant-resources/) 참조하세요.

# 에서 DDoS 이벤트에 응답 AWS
<a name="ddos-responding"></a>

이 페이지에서는가 DDoS 공격에 AWS 대응하는 방법을 설명하고 추가 대응 방법에 대한 옵션을 제공합니다.

AWS 는 네트워크 및 전송 계층(계층 3 및 계층 4) DDoS 공격을 자동으로 완화합니다. Shield Advanced를 사용하여 Amazon EC2 인스턴스를 보호하는 경우, 공격 중에 Shield Advanced는 Amazon VPC 네트워크 ACL을 AWS 네트워크 경계에 자동으로 배포합니다. 이를 통해 Shield Advanced는 대규모 DDoS 이벤트에 대한 보호 기능을 제공할 수 있습니다. 네트워크 ACL에 대한 자세한 내용은 [네트워크 ACL](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html)을 참조하세요.

애플리케이션 계층(계층 7) DDoS 공격의 경우 CloudWatch 경보를 통해 AWS Shield Advanced 고객을 감지하고 알리려고 AWS 시도합니다. 기본적으로, 유효한 사용자 트래픽이 실수로 차단되는 것을 방지하기 위해 완화 조치를 자동으로 적용하지 않습니다.

애플리케이션 계층(계층 7) 리소스의 경우, 공격에 대응하는 데 사용할 수 있는 옵션은 다음과 같습니다.
+ **자체 완화 조치 제공** - 직접 공격을 조사하고 완화할 수 있습니다. 자세한 내용은 [애플리케이션 계층 DDoS 공격을 수동으로 완화하기](ddos-responding-manual.md) 단원을 참조하세요.
+ **지원팀에 문의** — Shield Advanced 고객인 경우, [AWS Support 센터](https://console.aws.amazon.com/support/home#/)에 문의하여 완화 조치에 대한 도움을 받을 수 있습니다. 중요하고 긴급한 사례는 DDoS 전문가에게 직접 연결됩니다. 자세한 내용은 [애플리케이션 계층 DDoS 공격 중에 지원 센터에 문의하기](ddos-responding-contact-support.md) 단원을 참조하세요.

또한 공격이 발생하기 전에 다음과 같은 완화 옵션을 사전에 활성화할 수 있습니다.
+ **Amazon CloudFront 배포의 자동 완화** — 이 옵션을 사용하면 Shield Advanced가 웹 ACL에서 사용자를 대신하여 완화 규칙을 정의하고 관리합니다. 자동 애플리케이션 계층 완화에 대한 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md)(을)를 참조하세요.
+ **선제적 참여** -가 애플리케이션 중 하나에 대한 대규모 애플리케이션 계층 공격을 AWS Shield Advanced 탐지하면 SRT가 선제적으로 연락할 수 있습니다. SRT는 DDoS 이벤트를 분류하고 AWS WAF 완화를 생성합니다. SRT에서 고객에게 연락하여 고객의 동의 하에 AWS WAF 규칙을 적용할 수 있습니다. 이 옵션에 대한 자세한 내용은 [SRT가 직접 연락할 수 있도록 사전 참여 설정](ddos-srt-proactive-engagement.md) 섹션을 참조하세요.

# 애플리케이션 계층 DDoS 공격 중에 지원 센터에 문의하기
<a name="ddos-responding-contact-support"></a>

이 페이지에서는 애플리케이션 계층 DDoS 공격 중에 지원 센터에 문의하기 위한 지침을 제공합니다.

 AWS Shield Advanced 고객인 경우 [AWS Support 센터에](https://console.aws.amazon.com/support/home#/) 문의하여 완화 조치에 대한 도움을 받을 수 있습니다. 중요하고 긴급한 사례는 DDoS 전문가에게 직접 연결됩니다. AWS Shield Advanced를 사용하면 복잡한 사례를 AWS Shield 대응 팀(SRT)으로 에스컬레이션할 수 있습니다.이 팀은 AWS Amazon.com 및 그 자회사를 보호하는 데 풍부한 경험을 보유하고 있습니다. SRT에 대한 자세한 내용은 [Shield 대응팀(SRT) 지원을 통한 관리형 DDoS 이벤트 응답](ddos-srt-support.md)(을)를 참조하세요.

Shield 대응 팀(SRT)의 지원을 받으려면 [AWS Support 센터](https://console.aws.amazon.com/support/home#/)에 문의하세요. 사례에 대한 응답 시간은 선택한 심각도 및 [AWS Support 계획](https://aws.amazon.com/premiumsupport/compare-plans/) 페이지에 설명된 응답 시간에 따라 결정됩니다.

다음 옵션을 선택합니다.
+ 사례 유형: 기술 지원
+ 서비스: DDoS(분산 서비스 거부)
+ 범주:에 인바운드 AWS
+ 보안: *적절한 옵션 선택*

담당자와 상의할 때 DDoS 공격을 받을 가능성이 있는 AWS Shield Advanced 고객이라고 설명하세요. 담당자가 적절한 DDoS 전문가에게 통화를 연결합니다. **분산 서비스 거부(DDoS)** 서비스 유형을 사용하여 [AWS Support 센터](https://console.aws.amazon.com/support/home#/)에서 사례를 개설하는 경우 채팅 또는 전화로 DDoS 전문가와 직접 이야기할 수 있습니다. DDoS 지원 엔지니어는 공격을 식별하고, AWS 아키텍처 개선을 권장하고, DDoS 공격 완화를 위한 AWS 서비스 사용에 대한 지침을 제공할 수 있습니다.

애플리케이션 계층 공격의 경우, SRT에서 의심스러운 활동을 분석하도록 지원합니다. 리소스에 대한 자동 완화 조치를 활성화한 경우, SRT는 Shield Advanced가 공격에 맞서 자동으로 적용하는 완화 조치를 검토할 수 있습니다. 어떤 경우든 SRT는 문제를 검토하고 완화하는 데 도움을 줄 수 있습니다. SRT가 권장하는 완화 조치로 인해 SRT가 계정에서 AWS WAF 웹 액세스 제어 목록(웹 ACLs)을 생성하거나 업데이트해야 하는 경우가 많습니다. SRT가 이 작업을 수행하려면 고객의 허락이 필요합니다.

**중요**  
활성화의 일환으로의 단계에 AWS Shield Advanced따라 공격 중에 SRT가 사용자를 지원하는 데 필요한 권한을 [SRT에 대한 액세스 권한 부여](ddos-srt-access.md) 사전에 제공하는 것이 좋습니다. 허가를 미리 제공하면 실제 공격이 발생할 경우 지연을 방지하는 데 도움이 됩니다.

SRT는 DDoS 공격을 분류하여 공격 서명 및 패턴을 식별하도록 지원합니다. 사용자의 동의에 따라 SRT는 공격을 완화하는 AWS WAF 규칙을 생성하고 배포합니다.

가능한 공격 이전 또는 공격 중에 SRT에 문의하여 완화를 검토하고 사용자 지정 완화를 개발 및 배포할 수 있습니다. 예를 들어, 웹 애플리케이션을 실행하고 있으며 포트 80과 443만 열어야 하는 경우 SRT와 협력하여 포트 80과 443만 "허용"하도록 웹 ACL을 미리 구성할 수 있습니다.

계정 레벨에서 SRT에게 권한을 부여하고 문의합니다. 즉, Firewall Manager Shield Advanced 정책 내에서 Shield Advanced를 사용하는 경우 계정 소유자(Firewall Manager 관리자가 아님)가 SRT에게 문의하여 지원을 요청해야 합니다. Firewall Manager 관리자는 자신이 소유하는 계정에 대해서만 SRT에게 문의할 수 있습니다.

# 애플리케이션 계층 DDoS 공격을 수동으로 완화하기
<a name="ddos-responding-manual"></a>

이 페이지에서는 애플리케이션 계층 DDoS 공격을 수동으로 완화하기 위한 지침을 제공합니다.

리소스에 대한 이벤트 페이지의 활동이 DDoS 공격을 나타내는 것으로 확인되면 웹 ACL에서 자체 AWS WAF 규칙을 생성하여 공격을 완화할 수 있습니다. 이는 Shield Advanced 고객이 아닌 경우 사용할 수 있는 유일한 옵션입니다. AWS WAF 는 추가 비용 없이 AWS Shield Advanced 에 포함되어 있습니다. 웹 ACL의 규칙 생성에 대한 자세한 내용은 [에서 보호 구성 AWS WAF](web-acl.md)(을)를 참조하세요.

를 사용하는 경우 Firewall Manager AWS WAF 정책에 AWS WAF 규칙을 추가할 AWS Firewall Manager수 있습니다.

**잠재적인 애플리케이션 계층 DDoS 공격을 수동으로 완화하려면**

1. 웹 ACL에 비정상적인 동작과 일치하는 기준을 사용한 규칙 문을 생성하십시오. 먼저 일치하는 요청 수를 계수하도록 구성합니다. 웹 ACL 및 규칙 문 구성에 대한 자세한 내용은 [에서 규칙 및 규칙 그룹과 함께 보호 팩(웹 ACLs) 사용 AWS WAF](web-acl-processing.md) 및 [AWS WAF 보호 기능 테스트 및 튜닝](web-acl-testing.md)을(를) 참조하세요.
**참고**  
처음에는 Block 대신 Count 규칙 작업을 사용하여 항상 규칙을 먼저 테스트하십시오. 새 규칙이 올바른 요청을 식별한다고 확신할 수 있으면 해당 요청을 차단하도록 새 규칙을 수정할 수 있습니다.

1. 요청 수를 모니터링하여 일치하는 요청을 차단할지 여부를 결정합니다. 요청 볼륨이 계속해서 비정상적으로 많은데 규칙을 통해 큰 볼륨의 원인이 되는 요청을 캡처하고 있다고 확신하는 경우, 요청을 차단하도록 웹 ACL의 규칙을 변경합니다.

1. 이벤트 페이지를 계속 모니터링하여 트래픽이 원하는 대로 처리되고 있는지 확인하십시오.

AWS 는 빠르게 시작할 수 있도록 미리 구성된 템플릿을 제공합니다. 템플릿에는 일반적인 웹 기반 공격을 차단하는 데 사용자 지정하고 사용할 수 있는 AWS WAF 규칙 세트가 포함되어 있습니다. 자세한 내용은 [AWS WAF 보안 자동화](https://aws.amazon.com/solutions/aws-waf-security-automations/)를 참조하세요.

# 공격 AWS Shield Advanced 후에서 크레딧 요청
<a name="ddos-request-service-credit"></a>

를 구독 AWS Shield Advanced 하고 Shield Advanced 보호 리소스의 사용률을 높이는 DDoS 공격이 발생하는 경우 Shield Advanced에서 완화하지 않는 범위까지 사용률 향상과 관련된 요금에 대해 Shield Advanced 서비스 크레딧을 요청할 수 있습니다.

**참고**  
이 프로세스를 통해 받은 크레딧은 Shield Advanced 사용량에만 적용할 수 있습니다. Shield Advanced 크레딧은 다른 서비스와 함께 사용할 수 없습니다.

크레딧은 다음 유형의 요금에만 사용할 수 있습니다.
+ Shield Advanced 데이터 전송 
+ Amazon CloudFront HTTP/HTTPS 요청 
+ CloudFront 데이터 전송 
+ Amazon Route 53 쿼리 
+ AWS Global Accelerator 표준 액셀러레이터 데이터 전송 
+ Application Load Balancer에 대한 로드 밸런서 용량 단위 
+ 공격에 대한 응답으로 자동 조정 정책을 통해 생성된 보호된 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 대한 인스턴스 비용

**크레딧 요청을 위한 사전 요구 사항**  
크레딧을 받을 수 있는 자격이 되려면, 공격이 시작되기 전에 다음을 완료했어야만 합니다.
+ 크레딧을 요청하려는 리소스에 Shield Advanced 보호를 추가했어야 합니다. 공격 중에 추가된 보호된 리소스는 비용 보호 자격에 해당되지 않습니다.
**참고**  
에서 Shield Advanced를 활성화해도 개별 리소스에 대해 Shield Advanced 보호가 자동으로 활성화되지 AWS 계정 는 않습니다.

  Shield Advanced를 사용하여 AWS 리소스를 보호하는 방법에 대한 자세한 내용은 섹션을 참조하세요[AWS 리소스에 AWS Shield Advanced 보호 추가](configure-new-protection.md).
+ 적용 가능한 CloudFront 및 Application Load Balancer 보호 리소스의 경우 AWS WAF 웹 ACL을 연결하고 Block 모드에서 웹 ACL에 속도 기반 규칙을 구현해야 합니다. AWS WAF 속도 기반 규칙에 대한 자세한 내용은 [에서 속도 기반 규칙 문 사용 AWS WAF](waf-rule-statement-type-rate-based.md) 섹션을 참조하세요. 웹 ACLs[에서 보호 구성 AWS WAF](web-acl.md). AWS 
+ DDoS 공격 중에 비용을 최소화하는 방식으로 애플리케이션을 구성하려면 [DDoS 복원력AWS 모범 사례](https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency)의 적절한 모범 사례를 구현했어야 합니다.

**크레딧을 신청하는 방법**  
크레딧을 받을 자격이 되려면, 공격이 발생한 청구 월의 바로 다음 15일 이내에 크레딧 요청을 제출해야 합니다.

크레딧을 신청하려면, [AWS Support 센터](https://console.aws.amazon.com/support/home#/)를 통해 청구 사례를 제출하십시오. 요청에서 다음 내용을 포함합니다.
+ 제목 줄에 "DDoS 인정"이라는 단어
+ 크레딧을 요청하고 있는 각 이벤트 또는 가용 중단의 날짜 및 시간
+ 영향을 받은 AWS 서비스 및 특정 리소스 

요청을 제출한 후 AWS Shield 대응 팀(SRT)은 DDoS 공격이 발생했는지, 발생했을 경우 보호된 리소스가 DDoS 공격을 흡수하도록 조정되었는지 확인합니다. 가 보호된 리소스가 DDoS 공격을 흡수하도록 조정되었다고 판단하면 AWS AWS 는 DDoS 공격으로 인해 발생한 것으로 AWS 판단한 트래픽 부분에 대해 크레딧을 발행합니다. 크레딧은 12개월 동안 유효합니다.

# AWS Shield 서비스 사용 시 보안
<a name="shd-security"></a>

이 섹션에서는 공동 책임 모델을 적용하는 방법을 설명합니다 AWS Shield.

의 클라우드 보안 AWS 이 최우선 순위입니다. AWS 고객은 보안에 가장 민감한 조직의 요구 사항을 충족하도록 구축된 데이터 센터 및 네트워크 아키텍처의 이점을 누릴 수 있습니다.

**참고**  
이 섹션에서는 AWS Shield 서비스 및 Shield Advanced 보호와 같은 AWS 리소스 사용에 대한 표준 AWS 보안 지침을 제공합니다.  
Shield 및 Shield Advanced를 사용하여 AWS 리소스를 보호하는 방법에 대한 자세한 내용은 AWS Shield 가이드의 나머지 부분을 참조하세요.

보안은 AWS 와 사용자 간의 공동 책임입니다. [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)은 이를 클라우드*의* 보안과 클라우드 *내* 보안으로 설명합니다.
+ **클라우드 보안 **- AWS 는에서 AWS 서비스를 실행하는 인프라를 보호할 책임이 있습니다 AWS 클라우드. AWS 또한는 안전하게 사용할 수 있는 서비스를 제공합니다. 서드 파티 감사자는 정기적으로 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/)의 일환으로 보안 효과를 테스트하고 검증합니다. Shield에 적용되는 규정 준수 프로그램에 대한 자세한 설명은 [규정 준수 프로그램을 통한AWS 범위 내 서비스](https://aws.amazon.com/compliance/services-in-scope/) 섹션을 참조하세요.
+ **클라우드의 보안** - 사용자의 책임은 사용하는 AWS 서비스에 따라 결정됩니다. 또한 데이터의 민감도, 조직의 요건 및 관련 법률 및 규정을 비롯한 기타 요소에 대해서도 책임이 있습니다.

이 설명서는 Shield 사용 시 공동 책임 모델을 적용하는 방법을 이해하는 데 도움이 됩니다. 다음 주제에서는 보안 및 규정 준수 목표를 충족하도록 Shield를 구성하는 방법을 보여줍니다. 또한 Shield 리소스를 모니터링하고 보호하는 데 도움이 되는 다른 AWS 서비스를 사용하는 방법을 알아봅니다.

**Topics**
+ [Shield에서 데이터 보호](shd-data-protection.md)
+ [에서 IAM 사용 AWS Shield](shd-security-iam.md)
+ [Shield에서의 로깅 및 모니터링](shd-incident-response.md)
+ [Shield에서 규정 준수 검증](shd-security-compliance.md)
+ [Shield의 복원성을 위한 구축](shd-disaster-recovery-resiliency.md)
+ [의 인프라 보안 AWS Shield](shd-infrastructure-security.md)

# Shield에서 데이터 보호
<a name="shd-data-protection"></a>

이 섹션에서는 AWS 공동 책임 모델을 Shield의 데이터 보호에 적용하는 방법을 설명합니다.

 AWS [공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/)의 데이터 보호에 적용됩니다 AWS Shield. 이 모델에 설명된 대로 AWS 는 모든를 실행하는 글로벌 인프라를 보호할 책임이 있습니다 AWS 클라우드. 사용자는 이 인프라에 호스팅되는 콘텐츠에 대한 통제 권한을 유지할 책임이 있습니다. 사용하는 AWS 서비스 의 보안 구성과 관리 태스크에 대한 책임도 사용자에게 있습니다. 데이터 프라이버시에 관한 자세한 내용은 [데이터 프라이버시 FAQ](https://aws.amazon.com/compliance/data-privacy-faq/)를 참조하세요. 유럽의 데이터 보호에 대한 자세한 내용은 *AWS 보안 블로그*의 [AWS 공동 책임 모델 및 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 블로그 게시물을 참조하세요.

데이터 보호를 위해 자격 증명을 보호하고 AWS 계정 AWS IAM Identity Center 또는 AWS Identity and Access Management (IAM)를 사용하여 개별 사용자를 설정하는 것이 좋습니다. 이렇게 하면 개별 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여됩니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.
+ 각 계정에 다중 인증(MFA)을 사용합니다.
+ SSL/TLS를 사용하여 AWS 리소스와 통신합니다. TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
+ 를 사용하여 API 및 사용자 활동 로깅을 설정합니다 AWS CloudTrail. CloudTrail 추적을 사용하여 AWS 활동을 캡처하는 방법에 대한 자세한 내용은 *AWS CloudTrail 사용 설명서*의 [ CloudTrail 추적 작업을](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) 참조하세요.
+ 내부의 모든 기본 보안 제어와 함께 AWS 암호화 솔루션을 사용합니다 AWS 서비스.
+ Amazon S3에 저장된 민감한 데이터를 검색하고 보호하는 데 도움이 되는 Amazon Macie와 같은 고급 관리형 보안 서비스를 사용합니다.
+ 명령줄 인터페이스 또는 API를 AWS 통해에 액세스할 때 FIPS 140-3 검증 암호화 모듈이 필요한 경우 FIPS 엔드포인트를 사용합니다. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 [연방 정보 처리 표준(FIPS) 140-3](https://aws.amazon.com/compliance/fips/)을 참조하세요.

고객의 이메일 주소와 같은 기밀 정보나 중요한 정보는 태그나 **이름** 필드와 같은 자유 형식 텍스트 필드에 입력하지 않는 것이 좋습니다. 여기에는 Shield 또는 기타 AWS 서비스 에서 콘솔 AWS CLI, API 또는 AWS SDKs를 사용하여 작업하는 경우가 포함됩니다. 이름에 사용되는 태그 또는 자유 형식 텍스트 필드에 입력하는 모든 데이터는 청구 또는 진단 로그에 사용될 수 있습니다. 외부 서버에 URL을 제공할 때 해당 서버에 대한 요청을 검증하기 위해 자격 증명을 URL에 포함해서는 안 됩니다.

보호 등의 Shield 엔터티는 중국(베이징)과 중국(닝샤)를 포함하여 암호화를 사용할 수 없는 일부 지역을 제외하고 유휴 상태에서 암호화됩니다. 리전마다 고유한 암호화 키가 사용됩니다.

# 에서 IAM 사용 AWS Shield
<a name="shd-security-iam"></a>

이 섹션에서는에서 IAM을 사용하는 방법을 설명합니다 AWS Shield.



AWS Identity and Access Management (IAM)는 관리자가 AWS 리소스에 대한 액세스를 안전하게 제어할 수 AWS 서비스 있도록 도와주는 입니다. IAM 관리자는 누가 Shield 리소스를 사용하도록 *인증되고*(로그인되고) *권한이 부여되는지*(권한을 가지는지)를 제어합니다. IAM은 추가 비용 없이 사용할 수 AWS 서비스 있는 입니다.

**Topics**
+ [대상](#security_iam_audience)
+ [ID를 통한 인증](#security_iam_authentication)
+ [정책을 사용하여 액세스 관리](#security_iam_access-manage)
+ [AWS Shield 에서 IAM을 사용하는 방법](shd-security_iam_service-with-iam.md)
+ [에 대한 자격 증명 기반 정책 예제 AWS Shield](shd-security_iam_id-based-policy-examples.md)
+ [AWS 에 대한 관리형 정책 AWS Shield](shd-security-iam-awsmanpol.md)
+ [AWS Shield 자격 증명 및 액세스 문제 해결](shd-security_iam_troubleshoot.md)
+ [Shield Advanced에 대한 서비스 연결 역할 사용](shd-using-service-linked-roles.md)

## 대상
<a name="security_iam_audience"></a>

 AWS Identity and Access Management (IAM)를 사용하는 방법은 Shield에서 수행하는 작업에 따라 다릅니다.

**서비스 사용자** – Shield 서비스를 사용하여 작업을 수행하는 경우, 필요한 자격 증명과 권한을 관리자가 제공합니다. 더 많은 Shield 기능을 사용하여 작업을 수행하게 되면 추가 권한이 필요할 수 있습니다. 액세스 권한 관리 방법을 이해하면 관리자에게 올바른 권한을 요청하는 데 도움이 됩니다. Shield의 기능에 액세스할 수 없는 경우 [AWS Shield 자격 증명 및 액세스 문제 해결](shd-security_iam_troubleshoot.md)(을)를 참조하세요.

**서비스 관리자** - 회사에서 Shield 리소스를 책임지고 있는 경우 Shield에 대한 전체 액세스 권한을 가지고 있을 것입니다. 서비스 관리자는 서비스 사용자가 액세스해야 하는 Shield 기능과 리소스를 결정합니다. 그런 다음 IAM 관리자에게 요청을 제출하여 서비스 사용자의 권한을 변경해야 합니다. 이 페이지의 정보를 검토하여 IAM의 기본 개념을 이해하세요. 회사가 Shield에서 IAM을 사용하는 방법에 대해 자세히 알아보려면 [AWS Shield 에서 IAM을 사용하는 방법](shd-security_iam_service-with-iam.md)(을)를 참조하세요.

**IAM 관리자** - IAM 관리자라면 Shield에 대한 액세스 권한 관리 정책 작성 방법을 자세히 알고 싶을 것입니다. IAM에서 사용할 수 있는 Shield 자격 증명 기반 정책 예제를 보려면 [에 대한 자격 증명 기반 정책 예제 AWS Shield](shd-security_iam_id-based-policy-examples.md)(을)를 참조하세요.

## ID를 통한 인증
<a name="security_iam_authentication"></a>

인증은 자격 증명 자격 증명을 AWS 사용하여에 로그인하는 방법입니다. AWS 계정 루트 사용자, IAM 사용자 또는 IAM 역할을 수임하여 인증되어야 합니다.

 AWS IAM Identity Center (IAM Identity Center), Single Sign-On 인증 또는 Google/Facebook 자격 증명과 같은 자격 증명 소스의 자격 증명을 사용하여 페더레이션 자격 증명으로 로그인할 수 있습니다. 로그인하는 방법에 대한 자세한 내용은 *AWS Sign-In 사용 설명서*의 [AWS 계정에 로그인하는 방법](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) 섹션을 참조하세요.

프로그래밍 방식 액세스를 위해는 요청에 암호화 방식으로 서명할 수 있는 SDK 및 CLI를 AWS 제공합니다. 자세한 내용은 *IAM 사용 설명서*의 [API 요청용AWS Signature Version 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) 섹션을 참조하세요.

### AWS 계정 루트 사용자
<a name="security_iam_authentication-rootuser"></a>

 를 생성할 때 모든 AWS 서비스 및 리소스에 대한 완전한 액세스 권한이 있는 AWS 계정 *theroot 사용자*라는 하나의 로그인 자격 증명으로 AWS 계정시작합니다. 일상적인 태스크에 루트 사용자를 사용하지 않을 것을 강력히 권장합니다. 루트 사용자 자격 증명이 필요한 작업은 *IAM 사용 설명서*의 [루트 사용자 자격 증명이 필요한 작업](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) 섹션을 참조하세요.

### 페더레이션 ID
<a name="security_iam_authentication-federated"></a>

가장 좋은 방법은 인간 사용자에게 자격 증명 공급자와의 페더레이션을 사용하여 임시 자격 증명을 AWS 서비스 사용하여에 액세스하도록 요구하는 것입니다.

*페더레이션 자격 증명*은 엔터프라이즈 디렉터리, 웹 자격 증명 공급자 또는 자격 증명 소스의 자격 증명을 AWS 서비스 사용하여 Directory Service 에 액세스하는 사용자입니다. 페더레이션 ID는 임시 자격 증명을 제공하는 역할을 수임합니다.

중앙 집중식 액세스 관리를 위해 AWS IAM Identity Center를 추천합니다. 자세한 정보는 *AWS IAM Identity Center 사용 설명서*의 [What is IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)를 참조하세요.

### IAM 사용자 및 그룹
<a name="security_iam_authentication-iamuser"></a>

*[IAM 사용자](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*는 단일 개인 또는 애플리케이션에 대한 특정 권한을 가진 ID입니다. 장기 자격 증명이 있는 IAM 사용자 대신 임시 자격 증명을 사용하는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 자격 [증명 공급자와의 페더레이션을 사용하여 임시 자격 증명을 AWS 사용하여에 액세스하도록 인간 사용자에게 요구](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)하기를 참조하세요.

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)은 IAM 사용자 모음을 지정하고 대규모 사용자 집합에 대한 관리 권한을 더 쉽게 만듭니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM 사용자 사용 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) 섹션을 참조하세요.

### IAM 역할
<a name="security_iam_authentication-iamrole"></a>

*[IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*은 임시 자격 증명을 제공하는 특정 권한이 있는 자격 증명입니다. [사용자에서 IAM 역할(콘솔)로 전환하거나 또는 API 작업을 호출하여 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) 수임할 수 있습니다. AWS CLI AWS 자세한 내용은 *IAM 사용 설명서*의 [역할 수임 방법](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)을 참조하세요.

IAM 역할은 페더레이션 사용자 액세스, 임시 IAM 사용자 권한, 교차 계정 액세스, 교차 서비스 액세스 및 Amazon EC2에서 실행되는 애플리케이션에 유용합니다. 자세한 내용은 *IAM 사용 설명서*의 [교차 계정 리소스 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)를 참조하세요.

## 정책을 사용하여 액세스 관리
<a name="security_iam_access-manage"></a>

정책을 AWS 생성하고 자격 증명 또는 리소스에 연결하여 AWS 에서 액세스를 제어합니다. 정책은 자격 증명 또는 리소스와 연결될 때 권한을 정의합니다.는 보안 주체가 요청할 때 이러한 정책을 AWS 평가합니다. 대부분의 정책은에 JSON 문서 AWS 로 저장됩니다. JSON 정책 문서에 대한 자세한 내용은 *IAM 사용 설명서*의 [JSON 정책 개요](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) 섹션을 참조하세요.

정책을 사용하여 관리자는 어떤 **보안 주체**가 어떤 **리소스**에 대해 어떤 **조건**에서 **작업**을 수행할 수 있는지 정의하여 누가 무엇을 액세스할 수 있는지 지정합니다.

기본적으로 사용자 및 역할에는 어떠한 권한도 없습니다. IAM 관리자는 IAM 정책을 생성하고 사용자가 수임할 수 있는 역할에 추가합니다. IAM 정책은 작업을 수행하기 위해 사용하는 방법과 관계없이 작업에 대한 권한을 정의합니다.

### ID 기반 정책
<a name="security_iam_access-manage-id-based-policies"></a>

ID 기반 정책은 ID(사용자, 사용자 그룹 또는 역할)에 연결하는 JSON 권한 정책 문서입니다. 이러한 정책은 자격 증명이 수행할 수 있는 작업, 대상 리소스 및 이에 관한 조건을 제어합니다. ID 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*에서 [고객 관리형 정책으로 사용자 지정 IAM 권한 정의](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)를 참조하세요.

ID 기반 정책은 *인라인 정책*(단일 ID에 직접 포함) 또는 *관리형 정책*(여러 ID에 연결된 독립 실행형 정책)일 수 있습니다. 관리형 정책 또는 인라인 정책을 선택하는 방법을 알아보려면 *IAM 사용 설명서*의 [관리형 정책 및 인라인 정책 중에서 선택](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) 섹션을 참조하세요.

### 리소스 기반 정책
<a name="security_iam_access-manage-resource-based-policies"></a>

리소스 기반 정책은 리소스에 연결하는 JSON 정책 설명서입니다. 예를 들어 IAM *역할 신뢰 정책* 및 Amazon S3 *버킷 정책*이 있습니다. 리소스 기반 정책을 지원하는 서비스에서 서비스 관리자는 이러한 정책을 사용하여 특정 리소스에 대한 액세스를 통제할 수 있습니다. 리소스 기반 정책에서 [보안 주체를 지정](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)해야 합니다.

리소스 기반 정책은 해당 서비스에 있는 인라인 정책입니다. 리소스 기반 정책에서는 IAM의 AWS 관리형 정책을 사용할 수 없습니다.

### 액세스 제어 목록(ACL)
<a name="security_iam_access-manage-acl"></a>

액세스 제어 목록(ACL)은 어떤 위탁자(계정 멤버, 사용자 또는 역할)가 리소스에 액세스할 수 있는 권한을 가지고 있는지를 제어합니다. ACL은 JSON 정책 문서 형식을 사용하지 않지만 리소스 기반 정책과 유사합니다.

Amazon S3 AWS WAF및 Amazon VPC는 ACLs. ACL에 관한 자세한 내용은 *Amazon Simple Storage Service 개발자 가이드*의 [액세스 제어 목록(ACL) 개요](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)를 참조하세요.

### 기타 정책 타입
<a name="security_iam_access-manage-other-policies"></a>

AWS 는 보다 일반적인 정책 유형에서 부여한 최대 권한을 설정할 수 있는 추가 정책 유형을 지원합니다.
+ **권한 경계** - ID 기반 정책에서 IAM 엔터티에 부여할 수 있는 최대 권한을 설정합니다. 자세한 정보는 *IAM 사용 설명서*의 [IAM 엔터티의 권한 범위](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)를 참조하세요.
+ **서비스 제어 정책(SCP)** - AWS Organizations내 조직 또는 조직 단위에 대한 최대 권한을 지정합니다. 자세한 내용은AWS Organizations 사용 설명서의 [서비스 제어 정책](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)을 참조하세요.**
+ **리소스 제어 정책(RCP)** – 계정의 리소스에 사용할 수 있는 최대 권한을 설정합니다. 자세한 내용은 *AWS Organizations 사용 설명서*의 [리소스 제어 정책(RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)을 참조하세요.
+ **세션 정책** – 역할 또는 페더레이션 사용자에 대해 임시 세션을 프로그래밍 방식으로 생성할 때 파라미터로 전달하는 고급 정책입니다. 자세한 내용은 *IAM 사용 설명서*의 [세션 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)을 참조하세요.

### 여러 정책 유형
<a name="security_iam_access-manage-multiple-policies"></a>

여러 정책 유형이 요청에 적용되는 경우, 결과 권한은 이해하기가 더 복잡합니다. 에서 여러 정책 유형이 관련될 때 요청을 허용할지 여부를 AWS 결정하는 방법을 알아보려면 *IAM 사용 설명서*의 [정책 평가 로직](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)을 참조하세요.

# AWS Shield 에서 IAM을 사용하는 방법
<a name="shd-security_iam_service-with-iam"></a>

이 섹션에서는에서 IAM의 기능을 사용하는 방법을 설명합니다 AWS Shield.

IAM을 사용하여 Shield에 대한 액세스를 관리하기 전에 Shield와 함께 사용할 수 있는 IAM 기능을 알아보세요.






**에서 사용할 수 있는 IAM 기능 AWS Shield**  

| IAM 특성 | Shield 지원 | 
| --- | --- | 
|  [자격 증명 기반 정책](#shd-security_iam_service-with-iam-id-based-policies)  |   예  | 
|  [리소스 기반 정책](#shd-security_iam_service-with-iam-resource-based-policies)  |   아니요   | 
|  [정책 작업](#shd-security_iam_service-with-iam-id-based-policies-actions)  |   예  | 
|  [정책 리소스](#shd-security_iam_service-with-iam-id-based-policies-resources)  |   예  | 
|  [정책 조건 키(서비스별)](#shd-security_iam_service-with-iam-id-based-policies-conditionkeys)  |   예  | 
|  [ACL](#shd-security_iam_service-with-iam-acls)  |   아니요   | 
|  [ABAC(정책 내 태그)](#shd-security_iam_service-with-iam-tags)  |   부분적  | 
|  [임시 자격 증명](#shd-security_iam_service-with-iam-roles-tempcreds)  |   예  | 
|  [전달 액세스 세션(FAS)](#shd-security_iam_service-with-iam-principal-permissions)  |   예  | 
|  [서비스 역할](#shd-security_iam_service-with-iam-roles-service)  |   예  | 
|  [서비스 연결 역할](#shd-security_iam_service-with-iam-roles-service-linked)  |   예  | 

Shield 및 기타 AWS 서비스가 대부분의 IAM 기능과 작동하는 방식을 개괄적으로 알아보려면 *IAM 사용 설명서*의 [AWS IAM으로 작업하는 서비스를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 참조하세요.

## Shield에 대한 자격 증명 기반 정책
<a name="shd-security_iam_service-with-iam-id-based-policies"></a>

이 섹션에서는에 대한 자격 증명 기반 정책 예제를 제공합니다 AWS Shield.

**ID 기반 정책 지원:** 예

ID 기반 정책은 IAM 사용자, 사용자 그룹 또는 역할과 같은 ID에 연결할 수 있는 JSON 권한 정책 문서입니다. 이러한 정책은 사용자 및 역할이 어떤 리소스와 어떤 조건에서 어떤 작업을 수행할 수 있는지를 제어합니다. 자격 증명 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*에서 [고객 관리형 정책으로 사용자 지정 IAM 권한 정의](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)를 참조하세요.

IAM ID 기반 정책을 사용하면 허용되거나 거부되는 작업과 리소스뿐 아니라 작업이 허용되거나 거부되는 조건을 지정할 수 있습니다. JSON 정책에서 사용할 수 있는 모든 요소에 대해 알아보려면 *IAM 사용 설명서*의 [IAM JSON 정책 요소 참조](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)를 참조하세요.

Shield 자격 증명 기반 정책의 예를 보려면 [에 대한 자격 증명 기반 정책 예제 AWS Shield](shd-security_iam_id-based-policy-examples.md)(을)를 참조하세요.

## Shield 내 리소스 기반 정책
<a name="shd-security_iam_service-with-iam-resource-based-policies"></a>

**리소스 기반 정책 지원:** 아니요 

리소스 기반 정책은 리소스에 연결하는 JSON 정책 설명서입니다. 리소스 기반 정책의 예제는 IAM *역할 신뢰 정책*과 Amazon S3 *버킷 정책*입니다. 리소스 기반 정책을 지원하는 서비스에서 서비스 관리자는 이러한 정책을 사용하여 특정 리소스에 대한 액세스를 통제할 수 있습니다. 정책이 연결된 리소스의 경우 정책은 지정된 보안 주체가 해당 리소스와 어떤 조건에서 어떤 작업을 수행할 수 있는지를 정의합니다. 리소스 기반 정책에서 [보안 주체를 지정](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)해야 합니다. 보안 주체에는 계정, 사용자, 역할, 페더레이션 사용자 또는이 포함될 수 있습니다 AWS 서비스.

교차 계정 액세스를 활성화하려는 경우, 전체 계정이나 다른 계정의 IAM 개체를 리소스 기반 정책의 보안 주체로 지정할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM에서 교차 계정 리소스 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)를 참조하세요.

## Shield에 대한 정책 작업
<a name="shd-security_iam_service-with-iam-id-based-policies-actions"></a>

**정책 작업 지원:** 예

관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.

JSON 정책의 `Action`요소는 정책에서 액세스를 허용하거나 거부하는 데 사용할 수 있는 작업을 설명합니다. 연결된 작업을 수행할 수 있는 권한을 부여하기 위한 정책에 작업을 포함하세요.



Shield 작업 목록을 보려면 *서비스 권한 부여 참조*의 [AWS Shield에서 정의한 작업](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-actions-as-permissions)을 참조하세요.

Shield의 정책 작업은 작업 앞에 다음 접두사를 사용합니다.

```
shield
```

단일 문에서 여러 작업을 지정하려면 쉼표로 구분합니다.

```
"Action": [
      "shield:action1",
      "shield:action2"
         ]
```



와일드카드(\$1)를 사용하여 여러 작업을 지정할 수 있습니다. 예를 들어, `List`(으)로 시작하는 Shield의 모든 태스크를 지정하려면 다음 태스크를 포함합니다.

```
"Action": "shield:List*"
```

Shield 자격 증명 기반 정책의 예를 보려면 [에 대한 자격 증명 기반 정책 예제 AWS Shield](shd-security_iam_id-based-policy-examples.md)(을)를 참조하세요.

## Shield에 대한 정책 리소스
<a name="shd-security_iam_service-with-iam-id-based-policies-resources"></a>

**정책 리소스 지원:** 예

관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.

`Resource` JSON 정책 요소는 작업이 적용되는 하나 이상의 객체를 지정합니다. 모범 사례에 따라 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)을 사용하여 리소스를 지정합니다. 리소스 수준 권한을 지원하지 않는 작업의 경우, 와일드카드(\$1)를 사용하여 해당 문이 모든 리소스에 적용됨을 나타냅니다.

```
"Resource": "*"
```

Shield 리소스 유형 및 해당 ARN의 목록을 보려면 *서비스 권한 부여 참조*의 [AWS Shield에서 정의한 리소스](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-resources-for-iam-policies)를 참조하세요. 각 리소스의 ARN을 지정할 수 있는 작업을 알아보려면 [AWS Shield에서 정의한 작업](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-actions-as-permissions)을 참조하세요. Shield 리소스의 하위 집합에 대한 액세스를 허용하거나 거부하려면 리소스의 ARN을 정책의 `resource` 요소에 포함시킵니다.

에서 AWS Shield리소스는 *보호* 및 *공격*입니다. 다음 표에서처럼 이러한 리소스에는 고유한 Amazon 리소스 이름(ARN)이 연계됩니다.


****  

|  AWS Shield 콘솔의 이름 |  AWS Shield SDK/CLI의 이름 | ARN 형식  | 
| --- | --- | --- | 
| 이벤트 또는 공격 | AttackDetail |  `arn:aws:shield::account:attack/ID`  | 
| 보호 | Protection |  `arn:aws:shield::account:protection/ID`  | 

Shield 리소스의 하위 집합에 대한 액세스를 허용하거나 거부하려면 리소스의 ARN을 정책의 `resource` 요소에 포함시킵니다. Shield에 대한 ARN에는 다음과 같은 형식이 있습니다.

```
arn:partition:shield::account:resource/ID
```

*account*, *resource* 및 *ID* 변수를 유효한 값으로 대체합니다. 유효한 값은 다음과 같습니다.
+ *계정*:의 ID입니다 AWS 계정. 값을 지정해야 합니다.
+ *리소스*: Shield 리소스의 유형으로, `attack` 또는 `protection`입니다.
+ *ID*: 지정된 AWS 계정(와)과 연결되어 있는 지정된 유형의 모든 리소스를 나타내는 Shield 리소스의 ID 또는 와일드 카드(`*`)입니다.

예를 들어 다음 ARN은 계정 `111122223333`에 대한 모든 보호를 지정합니다.

```
arn:aws:shield::111122223333:protection/*
```

Shield 리소스에 대한 ARN의 형식은 다음과 같습니다.

```
arn:partition:shield:region:account-id:scope/resource-type/resource-name/resource-id
```

ARN 사양에 대한 일반 정보는 Amazon Web Services 일반 참조의 [Amazon 리소스 이름(ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)을 참조하세요.

다음은 `wafv2` 리소스의 ARN과 관련된 요구 사항 목록입니다.
+ *리전*: Amazon CloudFront 배포를 보호하는 데 사용하는 Shield 리소스의 경우 이 값을 `us-east-1`(으)로 설정합니다. 그렇지 않으면 보호 대상 리전 리소스에서 사용하는 리전으로 설정합니다.
+ *범위*: Amazon CloudFront 배포에 `global` 사용하거나가 AWS WAF 지원하는 리전 리소스에 `regional` 사용하려면 범위를 로 설정합니다. 리전 리소스는 Amazon API Gateway REST API, Application Load Balancer, an AWS AppSync GraphQL API, Amazon Cognito 사용자 풀, AWS App Runner 서비스 및 AWS Verified Access 인스턴스입니다.
+ *resource-type*: 이벤트 또는 공격에 대해 `attack`, 보호 기능에 대해 `protection` 값을 지정합니다.
+ *resource-name*: Shield 리소스에 지정한 이름을 지정하거나 와일드카드(`*`)를 지정하여 ARN의 나머지 사양을 충족하는 모든 리소스를 나타냅니다. 리소스 이름과 리소스 ID를 지정하거나 두 가지 모두에 대해 와일드카드를 지정해야 합니다.
+ *resource-id*: Shield 리소스의 ID를 지정하거나 와일드카드(`*`)를 지정하여 ARN의 나머지 사양을 충족하는 모든 리소스를 나타냅니다. 리소스 이름과 리소스 ID를 지정하거나 두 가지 모두에 대해 와일드카드를 지정해야 합니다.

예를 들어 다음 ARN은 `us-west-1` 리전에서 계정 `111122223333`에 대한 리전 범위가 있는 모든 웹 ACL을 지정합니다.

```
arn:aws:wafv2:us-west-1:111122223333:regional/webacl/*/*
```

다음 ARN은 `us-east-1` 리전의 `111122223333` 계정에 대해 글로벌 범위를 사용하는 `MyIPManagementRuleGroup`이라는 이름이 지정된 규칙 그룹을 지정합니다.

```
arn:aws:wafv2:us-east-1:111122223333:global/rulegroup/MyIPManagementRuleGroup/1111aaaa-bbbb-cccc-dddd-example-id
```

Shield 자격 증명 기반 정책의 예를 보려면 [에 대한 자격 증명 기반 정책 예제 AWS Shield](shd-security_iam_id-based-policy-examples.md)(을)를 참조하세요.

## Shield에 대한 정책 조건 키
<a name="shd-security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**서비스별 정책 조건 키 지원:** 예

관리자는 AWS JSON 정책을 사용하여 누가 무엇에 액세스할 수 있는지 지정할 수 있습니다. 즉, 어떤 **보안 주체**가 어떤 **리소스**와 어떤 **조건**에서 **작업**을 수행할 수 있는지를 지정할 수 있습니다.

`Condition` 요소는 정의된 기준에 따라 문이 실행되는 시기를 지정합니다. 같음(equals) 또는 미만(less than)과 같은 [조건 연산자](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)를 사용하여 정책의 조건을 요청의 값과 일치시키는 조건식을 생성할 수 있습니다. 모든 AWS 전역 조건 키를 보려면 *IAM 사용 설명서*의 [AWS 전역 조건 컨텍스트 키를](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) 참조하세요.

Shield 조건 키 목록을 보려면 *서비스 권한 부여 참조*의 [AWS Shield을(를) 위한 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-policy-keys)를 참조하세요. 조건 키를 사용할 수 있는 작업과 리소스를 알아보려면 [에서 정의한 작업을 AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-actions-as-permissions) 참조하세요.

Shield 자격 증명 기반 정책의 예를 보려면 [에 대한 자격 증명 기반 정책 예제 AWS Shield](shd-security_iam_id-based-policy-examples.md)(을)를 참조하세요.

## Shield의 ACL
<a name="shd-security_iam_service-with-iam-acls"></a>

**ACL 지원:** 아니요 

액세스 제어 목록(ACL)은 어떤 보안 주체(계정 멤버, 사용자 또는 역할)가 리소스에 액세스할 수 있는 권한을 가지고 있는지를 제어합니다. ACL은 JSON 정책 문서 형식을 사용하지 않지만 리소스 기반 정책과 유사합니다.

## Shield를 사용한 ABAC
<a name="shd-security_iam_service-with-iam-tags"></a>

**ABAC 지원(정책의 태그):** 부분적

속성 기반 액세스 제어(ABAC)는 태그라고 불리는 속성을 기반으로 권한을 정의하는 권한 부여 전략입니다. IAM 엔터티 및 AWS 리소스에 태그를 연결한 다음 보안 주체의 태그가 리소스의 태그와 일치할 때 작업을 허용하는 ABAC 정책을 설계할 수 있습니다.

태그에 근거하여 액세스를 제어하려면 `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`또는 `aws:TagKeys`조건 키를 사용하여 정책의 [조건 요소](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)에 태그 정보를 제공합니다.

서비스가 모든 리소스 유형에 대해 세 가지 조건 키를 모두 지원하는 경우, 값은 서비스에 대해 **예**입니다. 서비스가 일부 리소스 유형에 대해서만 세 가지 조건 키를 모두 지원하는 경우, 값은 **부분적**입니다.

ABAC에 대한 자세한 내용은 *IAM 사용 설명서*의 [ABAC 권한 부여를 통한 권한 정의](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)를 참조하세요. ABAC 설정 단계가 포함된 자습서를 보려면 *IAM 사용 설명서*의 [속성 기반 액세스 제어(ABAC) 사용](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)을 참조하세요.

## Shield를 통한 임시 자격 증명 사용
<a name="shd-security_iam_service-with-iam-roles-tempcreds"></a>

**임시 자격 증명 지원:** 예

임시 자격 증명은 AWS 리소스에 대한 단기 액세스를 제공하며 페더레이션을 사용하거나 역할을 전환할 때 자동으로 생성됩니다. 장기 액세스 키를 사용하는 대신 임시 자격 증명을 동적으로 생성하는 것이 AWS 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM의 임시 보안 자격 증명](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 및 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) 섹션을 참조하세요.

## Shield에 대한 전달 액세스 세션
<a name="shd-security_iam_service-with-iam-principal-permissions"></a>

**전달 액세스 세션(FAS) 지원:** 예

 전달 액세스 세션(FAS)은를 호출하는 보안 주체의 권한을 다운스트림 서비스에 AWS 서비스 대한 요청과 AWS 서비스함께 사용합니다. FAS 요청 시 정책 세부 정보는 [전달 액세스 세션](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)을 참조하세요.

## Shield에 대한 서비스 역할
<a name="shd-security_iam_service-with-iam-roles-service"></a>

**서비스 역할 지원:** 예

 서비스 역할은 서비스가 사용자를 대신하여 작업을 수행하는 것으로 가정하는 [IAM 역할](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)입니다. IAM 관리자는 IAM 내에서 서비스 역할을 생성, 수정 및 삭제할 수 있습니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 서비스 AWS에 권한을 위임할 역할 생성](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)을 참조하세요.

**주의**  
서비스 역할에 대한 권한을 변경하면 Shield 기능이 중단될 수 있습니다. Shield가 그렇게 하도록 관련 지침을 제공하는 경우에만 서비스 역할을 편집합니다.

## Shield에 대한 서비스 연결 역할
<a name="shd-security_iam_service-with-iam-roles-service-linked"></a>

**서비스 연결 역할 지원:** 예

 서비스 연결 역할은에 연결된 서비스 역할의 한 유형입니다 AWS 서비스. 서비스는 사용자를 대신하여 작업을 수행하기 위해 역할을 수임할 수 있습니다. 서비스 연결 역할은에 나타나 AWS 계정 며 서비스가 소유합니다. IAM 관리자는 서비스 연결 역할의 권한을 볼 수 있지만 편집은 할 수 없습니다.

Shield 서비스 연결 역할을 생성 또는 관리하는 방법에 대한 자세한 내용은 [Shield Advanced에 대한 서비스 연결 역할 사용](shd-using-service-linked-roles.md)(을)를 참조하세요.

# 에 대한 자격 증명 기반 정책 예제 AWS Shield
<a name="shd-security_iam_id-based-policy-examples"></a>

기본적으로 사용자 및 역할에는 Shield 리소스를 생성하거나 수정할 수 있는 권한이 없습니다. 사용자에게 사용자가 필요한 리소스에서 작업을 수행할 권한을 부여하려면 IAM 관리자가 IAM 정책을 생성하면 됩니다.

이러한 예제 JSON 정책 문서를 사용하여 IAM ID 기반 정책을 생성하는 방법을 알아보려면 *IAM 사용 설명서*의 [IAM 정책 생성(콘솔)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)을 참조하세요.

각 리소스 유형에 대한 ARN 형식을 포함하여 Shield에서 정의한 작업 및 리소스 유형에 대한 자세한 내용은 *서비스 권한 부여 참조*에서 [AWS Shield에 대한 작업, 리소스 및 조건 키](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html)를 참조하세요.

**Topics**
+ [정책 모범 사례](#shd-security_iam_service-with-iam-policy-best-practices)
+ [Shield 콘솔 사용](#shd-security_iam_id-based-policy-examples-console)
+ [사용자가 자신의 고유한 권한을 볼 수 있도록 허용](#shd-security_iam_id-based-policy-examples-view-own-permissions)
+ [Shield Advanced 보호에 대한 읽기 권한 부여](#shd-example0)
+ [Shield, CloudFront, CloudWatch에 대한 읽기 전용 액세스 권한 부여](#shd-example1)
+ [Shield, CloudFront, CloudWatch에 대한 전체 액세스 권한 부여](#shd-example2)

## 정책 모범 사례
<a name="shd-security_iam_service-with-iam-policy-best-practices"></a>

ID 기반 정책에 따라 계정에서 사용자가 Shield 리소스를 생성, 액세스 또는 삭제할 수 있는지 여부가 결정됩니다. 이 작업으로 인해 AWS 계정에 비용이 발생할 수 있습니다. ID 기반 정책을 생성하거나 편집할 때는 다음 지침과 권장 사항을 따르세요.
+ ** AWS 관리형 정책을 시작하고 최소 권한으로 전환 -** 사용자 및 워크로드에 권한 부여를 시작하려면 많은 일반적인 사용 사례에 대한 권한을 부여하는 *AWS 관리형 정책을* 사용합니다. 에서 사용할 수 있습니다 AWS 계정. 사용 사례에 맞는 AWS 고객 관리형 정책을 정의하여 권한을 추가로 줄이는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) 또는 [AWS 직무에 대한 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)을 참조하세요.
+ **최소 권한 적용** – IAM 정책을 사용하여 권한을 설정하는 경우, 작업을 수행하는 데 필요한 권한만 부여합니다. 이렇게 하려면 *최소 권한*으로 알려진 특정 조건에서 특정 리소스에 대해 수행할 수 있는 작업을 정의합니다. IAM을 사용하여 권한을 적용하는 방법에 대한 자세한 정보는 *IAM 사용 설명서*에 있는 [IAM의 정책 및 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)을 참조하세요.
+ **IAM 정책의 조건을 사용하여 액세스 추가 제한** – 정책에 조건을 추가하여 작업 및 리소스에 대한 액세스를 제한할 수 있습니다. 예를 들어, SSL을 사용하여 모든 요청을 전송해야 한다고 지정하는 정책 조건을 작성할 수 있습니다. AWS 서비스와 같은 특정를 통해 사용되는 경우 조건을 사용하여 서비스 작업에 대한 액세스 권한을 부여할 수도 있습니다 CloudFormation. 자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하세요.
+ **IAM Access Analyzer를 통해 IAM 정책을 확인하여 안전하고 기능적인 권한 보장** - IAM Access Analyzer에서는 IAM 정책 언어(JSON)와 모범 사례가 정책에서 준수되도록 새로운 및 기존 정책을 확인합니다. IAM Access Analyzer는 100개 이상의 정책 확인 항목과 실행 가능한 추천을 제공하여 안전하고 기능적인 정책을 작성하도록 돕습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM Access Analyzer에서 정책 검증](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)을 참조하세요.
+ **다중 인증(MFA) 필요 -**에서 IAM 사용자 또는 루트 사용자가 필요한 시나리오가 있는 경우 추가 보안을 위해 MFA를 AWS 계정켭니다. API 작업을 직접적으로 호출할 때 MFA가 필요하면 정책에 MFA 조건을 추가합니다. 자세한 내용은 *IAM 사용 설명서*의 [MFA를 통한 보안 API 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)를 참조하세요.

IAM의 모범 사례에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM의 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.

## Shield 콘솔 사용
<a name="shd-security_iam_id-based-policy-examples-console"></a>

 AWS Shield 콘솔에 액세스하려면 최소 권한 집합이 있어야 합니다. 이러한 권한은에서 Shield 리소스에 대한 세부 정보를 나열하고 볼 수 있도록 허용해야 합니다 AWS 계정. 최소 필수 권한보다 더 제한적인 ID 기반 정책을 생성하는 경우, 콘솔이 해당 정책에 연결된 엔티티(사용자 또는 역할)에 대해 의도대로 작동하지 않습니다.

 AWS CLI 또는 AWS API만 호출하는 사용자에게 최소 콘솔 권한을 허용할 필요는 없습니다. 대신, 수행하려는 API 작업과 일치하는 작업에만 액세스할 수 있도록 합니다.

 AWS 콘솔에 액세스하고 사용할 수 있는 사용자도 AWS Shield 콘솔에 액세스할 수 있습니다. 추가 권한은 필요하지 않습니다.

### 콘솔 전용 API
<a name="shd-serucity_iam_id-based-policy-examples-console-ddos"></a>

콘솔에서 다음과 같은 분산 서비스 거부(DDoS) 공격 정보에 액세스할 수 있습니다. 특정 작업을 허용하거나 거부하려면 IAM 정책에서 다음 API 권한을 지정합니다.


| 작업 | 설명 | 
| --- | --- | 
| DescribeAttackContributors |  특정 DDoS 공격의 기여자에 대한 자세한 정보를 가져올 수 있는 권한을 부여합니다.  | 
| ListMitigations |  DDoS 공격 중에 적용된 완화 작업 목록을 검색할 수 있는 권한을 부여합니다.  | 
| GetGlobalThreatData |   AWS Shield의 위협 모니터링 시스템에서 글로벌 위협 인텔리전스 데이터 및 추세를 검색할 수 있는 권한을 부여합니다.  | 

이 예제에서는 콘솔에서 DDoS 공격 정보를 볼 수 있도록 허용하는 정책을 생성하는 방법을 보여줍니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "shield:DescribeAttackContributors"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "shield:ListMitigations"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "shield:GetGlobalThreatData"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## 사용자가 자신의 고유한 권한을 볼 수 있도록 허용
<a name="shd-security_iam_id-based-policy-examples-view-own-permissions"></a>

이 예제는 IAM 사용자가 자신의 사용자 ID에 연결된 인라인 및 관리형 정책을 볼 수 있도록 허용하는 정책을 생성하는 방법을 보여줍니다. 이 정책에는 콘솔에서 또는 AWS CLI 또는 AWS API를 사용하여 프로그래밍 방식으로이 작업을 완료할 수 있는 권한이 포함됩니다.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Shield Advanced 보호에 대한 읽기 권한 부여
<a name="shd-example0"></a>

AWS Shield 는 교차 계정 리소스 액세스를 허용하지만 교차 계정 리소스 보호를 생성할 수는 없습니다. 이러한 리소스를 소유한 계정 내에서만 리소스에 대한 보호를 생성할 수 있습니다.

다음은 모든 리소스의 `shield:ListProtections` 작업에 대한 권한을 부여하는 정책의 예시입니다. Shield는 일부 API 작업에 리소스 ARN(리소스 수준 권한이라고도 함)을 사용하여 특정 리소스를 식별하는 작업을 지원하지 않으므로 와일드카드 문자(\$1)를 지정합니다. 이렇게 하면 `ListProtections` 작업을 통해 검색할 수 있는 리소스에만 액세스할 수 있습니다.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListProtections",
            "Effect": "Allow",
            "Action": [
                "shield:ListProtections"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Shield, CloudFront, CloudWatch에 대한 읽기 전용 액세스 권한 부여
<a name="shd-example1"></a>

다음 정책은 Amazon CloudFront 리소스 및 Amazon CloudWatch 지표를 포함하여 Shield 및 관련 리소스에 대한 읽기 전용 액세스 권한을 사용자에게 부여합니다. 이는 Shield 보호 및 공격의 설정을 확인하고 CloudWatch에서 지표를 모니터링하는 권한이 필요한 사용자에게 유용합니다. 이러한 사용자는 Shield 리소스를 생성, 업데이트 또는 삭제할 수 없습니다.

------
#### [ JSON ]

****  

```
{
        "Version":"2012-10-17",		 	 	 
        "Statement": [
            {
                "Sid": "ProtectedResourcesReadAccess",
                "Effect": "Allow",
                "Action": [
                    "cloudfront:List*",
                    "route53:List*",
                    "cloudfront:Describe*",
                    "elasticloadbalancing:Describe*",
                    "cloudwatch:Describe*",
                    "cloudwatch:Get*",
                    "cloudwatch:List*",
                    "cloudfront:GetDistribution*",
                    "globalaccelerator:ListAccelerators",
                    "globalaccelerator:DescribeAccelerator"
                ],
                "Resource": [
                    "arn:aws:elasticloadbalancing:*:*:*",
                    "arn:aws:cloudfront::*:*",
                    "arn:aws:route53:::hostedzone/*",
                    "arn:aws:cloudwatch:*:*:*:*",
                    "arn:aws:globalaccelerator::*:*"
                ]
            },
            {
                "Sid": "ShieldReadOnly",
                "Effect": "Allow",
                "Action": [
                    "shield:List*",
                    "shield:Describe*",
                    "shield:Get*"
                ],
                "Resource": "*"
            }
     ]
}
```

------

## Shield, CloudFront, CloudWatch에 대한 전체 액세스 권한 부여
<a name="shd-example2"></a>

사용자는 다음 정책을 사용하여 모든 Shield 작업과 CloudFront 웹 배포에 대한 모든 작업을 수행할 수 있으며 지표와 CloudWatch의 요청 샘플을 모니터링할 수 있습니다. 이 정책은 Shield 관리자인 사용자에게 유용합니다.

------
#### [ JSON ]

****  

```
{
        "Version":"2012-10-17",		 	 	 
        "Statement": [
            {
                "Sid": "ProtectedResourcesReadAccess",
                "Effect": "Allow",
                "Action": [
                    "cloudfront:List*",
                    "route53:List*",
                    "cloudfront:Describe*",
                    "elasticloadbalancing:Describe*",
                    "cloudwatch:Describe*",
                    "cloudwatch:Get*",
                    "cloudwatch:List*",
                    "cloudfront:GetDistribution*",
                    "globalaccelerator:ListAccelerators",
                    "globalaccelerator:DescribeAccelerator"
                ],
                "Resource": [
                    "arn:aws:elasticloadbalancing:*:*:*",
                    "arn:aws:cloudfront::*:*",
                    "arn:aws:route53:::hostedzone/*",
                    "arn:aws:cloudwatch:*:*:*:*",
                    "arn:aws:globalaccelerator::*:*"
                ]
            },
            {
                "Sid": "ShieldFullAccess",
                "Effect": "Allow",
                "Action": [
                    "shield:*"
                ],
                "Resource": "*"
            }
      ]
}
```

------

관리 권한이 있는 사용자에 대해 멀티 팩터 인증(MFA)을 구성하는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS에서 멀티 팩터 인증(MFA) 기기 사용하기](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingMFA.html)를 참조하세요.







# AWS 에 대한 관리형 정책 AWS Shield
<a name="shd-security-iam-awsmanpol"></a>

 AWS 관리형 정책은에서 생성하고 관리하는 독립 실행형 정책입니다 AWS. AWS 관리형 정책은 사용자, 그룹 및 역할에 권한 할당을 시작할 수 있도록 많은 일반적인 사용 사례에 대한 권한을 제공하도록 설계되었습니다.

 AWS 관리형 정책은 모든 AWS 고객이 사용할 수 있으므로 특정 사용 사례에 대해 최소 권한을 부여하지 않을 수 있습니다. 사용 사례에 고유한 [고객 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)을 정의하여 권한을 줄이는 것이 좋습니다.

 AWS 관리형 정책에 정의된 권한은 변경할 수 없습니다. 가 관리형 정책에 정의된 권한을 AWS 업데이트하는 AWS 경우 업데이트는 정책이 연결된 모든 보안 주체 자격 증명(사용자, 그룹 및 역할)에 영향을 미칩니다. AWS AWS 서비스 는 새가 시작되거나 기존 서비스에 새 API 작업을 사용할 수 있게 되면 AWS 관리형 정책을 업데이트할 가능성이 높습니다.

자세한 내용은 *IAM 사용자 가이드*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)을 참조하세요.

## AWS 관리형 정책: AWSShieldDRTAccessPolicy
<a name="shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy"></a>

이 섹션에서는 Shield에 대한 AWS 관리형 정책을 사용하는 방법을 설명합니다.

AWS Shield 는 Shield 대응 팀(SRT)에 사용자를 대신하여 작업할 수 있는 권한을 부여할 때이 관리형 정책을 사용합니다. 이 정책은 심각도가 높은 이벤트 발생 시 DDoS 공격 완화를 지원하기 위해 SRT에 AWS 계정에 대한 제한된 액세스 권한을 부여합니다. 이 정책은 SRT가 AWS WAF 규칙 및 Shield Advanced 보호를 관리하고 AWS WAF 로그에 액세스할 수 있도록 허용합니다.

SRT에게 대신 운영할 수 있는 권한을 부여하는 방법에 대한 자세한 내용은 [SRT에 대한 액세스 권한 부여](ddos-srt-access.md)을(를) 참조하세요.

이 정책에 대한 자세한 내용은 IAM 콘솔의 [AWSShieldDRTAccessPolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSShieldDRTAccessPolicy)를 참조하세요.

## AWS 관리형 정책: AWSShieldServiceRolePolicy
<a name="shd-security-iam-awsmanpol-AWSShieldServiceRolePolicy"></a>

Shield Advanced는 자동 애플리케이션 계층 DDoS 완화를 활성화할 때 이 관리형 정책을 사용하여 계정의 리소스를 관리하는 데 필요한 권한을 설정합니다. 이 정책을 통해 Shield Advanced는 보호된 리소스와 연결한 웹 ACLs에서 AWS WAF 규칙 및 규칙 그룹을 생성 및 적용하여 DDoS 공격에 자동으로 대응할 수 있습니다.

IAM 엔터티에 AWSShieldServiceRolePolicy를 연결할 수 없습니다. Shield는 이 정책을 Shield에서 사용자를 대신하여 작업을 수행할 수 있도록 서비스 연결 역할 `AWSServiceRoleForAWSShield`에 연결합니다.

Shield Advanced를 사용하면 자동 애플리케이션 계층 DDoS 완화를 활성화할 때 이 정책을 사용할 수 있습니다. 이 정책의 사용에 대한 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md)(을)를 참조하세요.

이 정책을 사용하는 서비스 연결 역할 AWSServiceRoleForAWSShield에 대한 자세한 내용은 [Shield Advanced에 대한 서비스 연결 역할 사용](shd-using-service-linked-roles.md)을(를) 참조하세요.

이 정책에 대한 자세한 내용은 IAM 콘솔의 [AWSShieldServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSShieldServiceRolePolicy)를 참조하세요.

## AWS 관리형 정책에 대한 Shield 업데이트
<a name="shd-security-iam-awsmanpol-updates"></a>



이 서비스가 이러한 변경 사항을 추적하기 시작한 이후부터 Shield의 AWS 관리형 정책 업데이트에 대한 세부 정보를 봅니다. 이 페이지의 변경 사항에 대한 자동 알림을 받으려면 [문서 기록](doc-history.md)의 Shield 문서 기록 페이지에서 RSS 피드를 구독하세요.




| 정책 | 변경 내용 설명 | Date | 
| --- | --- | --- | 
|  `AWSShieldServiceRolePolicy` 이 정책은 Shield가 사용자를 대신하여 애플리케이션 계층 DDoS 공격에 자동으로 대응하기 위해 AWS 리소스에 액세스하고 관리할 수 있도록 허용합니다. IAM 콘솔의 세부 정보: [AWSShieldServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSShieldServiceRolePolicy) 서비스 연결 역할 `AWSServiceRoleForAWSShield`(이)가 이 정책을 사용합니다. 자세한 내용은 [Shield Advanced에 대한 서비스 연결 역할 사용](shd-using-service-linked-roles.md) 단원을 참조하세요.  |  Shield Advanced에 자동 애플리케이션 계층 DDoS 완화 기능에 필요한 권한을 제공하기 위해 이 정책을 추가했습니다. 이 기능에 대한 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md)(을)를 참조하세요.  | 2021년 12월 1일 | 
|  Shield가 변경 내용 추적을 시작함  |  Shield는 AWS 관리형 정책에 대한 변경 사항 추적을 시작했습니다.  | 2021년 3월 3일 | 

# AWS Shield 자격 증명 및 액세스 문제 해결
<a name="shd-security_iam_troubleshoot"></a>

다음 정보를 사용하여 Shield 및 IAM에서 발생할 수 있는 공통적인 문제를 진단하고 수정할 수 있습니다.

**Topics**
+ [Shield에서 작업을 수행할 권한이 없음](#shd-security_iam_troubleshoot-no-permissions)
+ [iam:PassRole을 수행하도록 인증되지 않음](#shd-security_iam_troubleshoot-passrole)
+ [내 외부의 사람이 내 Shield 리소스에 액세스 AWS 계정 하도록 허용하고 싶습니다.](#shd-security_iam_troubleshoot-cross-account-access)

## Shield에서 작업을 수행할 권한이 없음
<a name="shd-security_iam_troubleshoot-no-permissions"></a>

작업을 수행할 권한이 없다는 오류가 표시되면 작업을 수행할 수 있도록 정책을 업데이트해야 합니다.

다음의 예제 오류는 `mateojackson` IAM 사용자가 콘솔을 사용하여 가상 `my-example-widget` 리소스에 대한 세부 정보를 보려고 하지만 가상 `shield:GetWidget` 권한이 없을 때 발생합니다.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: shield:GetWidget on resource: my-example-widget
```

이 경우, `shield:GetWidget` 작업을 사용하여 `my-example-widget` 리소스에 액세스할 수 있도록 `mateojackson` 사용자 정책을 업데이트해야 합니다.

도움이 필요한 경우 AWS 관리자에게 문의하세요. 관리자는 로그인 자격 증명을 제공한 사람입니다.

## iam:PassRole을 수행하도록 인증되지 않음
<a name="shd-security_iam_troubleshoot-passrole"></a>

`iam:PassRole` 작업을 수행할 수 있는 권한이 없다는 오류가 수신되면 Shield에 역할을 전달할 수 있도록 정책을 업데이트해야 합니다.

일부 AWS 서비스 에서는 새 서비스 역할 또는 서비스 연결 역할을 생성하는 대신 기존 역할을 해당 서비스에 전달할 수 있습니다. 이렇게 하려면 역할을 서비스에 전달할 권한이 있어야 합니다.

다음 예제 오류는 `marymajor`(이)라는 IAM 사용자가 콘솔을 사용하여 Shield에서 작업을 수행하려고 하는 경우에 발생합니다. 하지만 작업을 수행하려면 서비스 역할이 부여한 권한이 서비스에 있어야 합니다. Mary는 서비스에 역할을 전달할 권한이 없습니다.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

이 경우, Mary가 `iam:PassRole`작업을 수행할 수 있도록 Mary의 정책을 업데이트해야 합니다.

도움이 필요한 경우 AWS 관리자에게 문의하세요. 관리자는 로그인 자격 증명을 제공한 사람입니다.

## 내 외부의 사람이 내 Shield 리소스에 액세스 AWS 계정 하도록 허용하고 싶습니다.
<a name="shd-security_iam_troubleshoot-cross-account-access"></a>

다른 계정의 사용자 또는 조직 외부의 사람이 리소스에 액세스할 때 사용할 수 있는 역할을 생성할 수 있습니다. 역할을 수임할 신뢰할 수 있는 사람을 지정할 수 있습니다. 리소스 기반 정책 또는 액세스 제어 목록(ACL)을 지원하는 서비스의 경우, 이러한 정책을 사용하여 다른 사람에게 리소스에 대한 액세스 권한을 부여할 수 있습니다.

자세한 내용은 다음을 참조하세요.
+ Shield에서 이러한 기능을 지원하는지 여부를 알아보려면 [AWS Shield 에서 IAM을 사용하는 방법](shd-security_iam_service-with-iam.md)(을)를 참조하세요.
+ 소유 AWS 계정 한의 리소스에 대한 액세스 권한을 제공하는 방법을 알아보려면 [IAM 사용 설명서의 소유한 다른의 IAM 사용자에게 액세스 권한 제공을 참조 AWS 계정 하세요](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html). ** 
+ 리소스에 대한 액세스 권한을 타사에 제공하는 방법을 알아보려면 *IAM 사용 설명서*의 [타사가 AWS 계정 소유한에 대한 액세스 권한 제공을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) AWS 계정참조하세요.
+ ID 페더레이션을 통해 액세스 권한을 제공하는 방법을 알아보려면 *IAM 사용 설명서*의 [외부에서 인증된 사용자에게 액세스 권한 제공(ID 페더레이션)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)을 참조하십시오.
+ 교차 계정 액세스를 위한 역할과 리소스 기반 정책 사용의 차이점을 알아보려면 *IAM 사용 설명서*의 [IAM 역할과 리소스 기반 정책의 차이](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html)를 참조하십시오.

# Shield Advanced에 대한 서비스 연결 역할 사용
<a name="shd-using-service-linked-roles"></a>

이 섹션에서는 서비스 연결 역할을 사용하여 Shield Advanced에 AWS 계정의 리소스에 대한 액세스 권한을 부여하는 방법을 설명합니다.

AWS Shield Advanced 는 AWS Identity and Access Management (IAM)[ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 Shield Advanced에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 Shield Advanced에서 사전 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.

필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할은 Shield Advanced를 더 쉽게 설정할 수 있습니다. Shield Advanced에서 서비스 연결 역할의 권한을 정의하므로 다르게 정의되지 않은 한, Shield Advanced만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.

먼저 관련 리소스를 삭제한 후에만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 부주의로 삭제할 수 없기 때문에 Shield Advanced 리소스가 보호됩니다.

서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조해 **서비스 연결 역할** 열이 **예(Yes)**인 서비스를 찾으세요. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예(Yes)** 링크를 선택합니다.

## Shield Advanced에 대한 서비스 연결 역할 권한
<a name="shd-slr-permissions"></a>

Shield Advanced는 **AWSServiceRoleForAWSShield**라는 서비스 연결 역할을 사용합니다. 이 역할을 통해 Shield Advanced는 사용자를 대신하여 애플리케이션 계층 DDoS 공격에 자동으로 대응하기 위해 AWS 리소스에 액세스하고 관리할 수 있습니다. 이 기능에 대한 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md)(을)를 참조하세요.

AWSServiceRoleForAWSShield 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `shield.amazonaws.com`

AWSShieldServiceRolePolicy라는 역할 권한 정책은 Shield Advanced가 모든 AWS 리소스에서 다음 작업을 완료하도록 허용합니다.
+ `wafv2:GetWebACL`
+ `wafv2:UpdateWebACL`
+ `wafv2:GetWebACLForResource`
+ `wafv2:ListResourcesForWebACL`
+ `cloudfront:ListDistributions`
+ `cloudfront:GetDistribution`

모든 AWS 리소스에서 작업이 허용되는 경우 정책에 로 표시됩니다`"Resource": "*"`. 이는 서비스 연결 역할이 작업이 *지원하는* 모든 AWS 리소스에 대해 표시된 각 작업을 수행할 수 있음을 의미합니다. 예를 들어 `wafv2:GetWebACL` 작업은 `wafv2` 웹 ACL 리소스에 대해서만 지원됩니다.

Shield Advanced는 애플리케이션 계층 보호 기능을 활성화한 보호된 리소스 및 해당하는 보호된 리소스와 연결된 웹 ACL에 대해서만 리소스 수준 API 호출을 수행합니다.

IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 IAM 사용 설명서**의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) 섹션을 참조하세요.

## Shield Advanced에 대한 서비스 연결 역할 생성
<a name="shd-create-slr"></a>

서비스 연결 역할은 수동으로 생성할 필요가 없습니다. AWS Management Console AWS CLI, 또는 AWS API의 리소스에 대해 자동 애플리케이션 계층 DDoS 완화를 활성화하면 Shield Advanced가 서비스 연결 역할을 생성합니다.

이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. 리소스에 대한 자동 애플리케이션 계층 DDoS 완화를 활성화한 경우 Shield Advanced가 자동으로 다시 서비스 연결 역할을 생성합니다.

## Shield Advanced에 대한 서비스 연결 역할 편집
<a name="shd-edit-slr"></a>

Shield Advanced는 AWSServiceRoleForAWSShield 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서**의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.

## Shield Advanced에 대한 서비스 연결 역할 삭제
<a name="shd-delete-slr"></a>

서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.

**참고**  
리소스를 삭제할 때 Shield Advanced가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

**AWSServiceRoleForAWSShield에서 사용하는 Shield Advanced 리소스를 삭제하려면**

애플리케이션 계층 DDoS 보호가 구성된 모든 리소스에 대해 자동 애플리케이션 계층 DDoS 완화를 비활성화합니다. 콘솔 지침은 [애플리케이션 계층 DDoS 보호 구성](manage-protection.md#configure-app-layer-protection)(을)를 참조하세요.

**IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.**

IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 AWSServiceRoleForAWSShield 서비스 연결 역할을 삭제합니다. 자세한 내용은 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)의 *서비스 연결 역할 삭제*를 참조하세요.

## Shield Advanced 서비스 연결 역할에 대해 지원되는 리전
<a name="shd-slr-regions"></a>

Shield Advanced에서는 서비스를 사용할 수 있는 모든 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 [Shield Advanced 엔드포인트 및 할당량](https://docs.aws.amazon.com/general/latest/gr/shield.html)을 참조하세요.

# Shield에서의 로깅 및 모니터링
<a name="shd-incident-response"></a>

이 섹션에서는의 이벤트를 모니터링하고 응답하기 위한 AWS 도구를 사용하는 방법을 설명합니다 AWS Shield.

모니터링은 Shield 및 AWS 솔루션의 안정성, 가용성 및 성능을 유지하는 데 중요한 부분입니다. 다중 지점 장애가 발생할 경우 보다 쉽게 디버깅할 수 있도록 AWS 솔루션의 모든 부분에서 모니터링 데이터를 수집해야 합니다.는 Shield 리소스를 모니터링하고 잠재적 이벤트에 대응하기 위한 몇 가지 도구를 AWS 제공합니다.

**Amazon CloudWatch 경보**  
CloudWatch 경보를 사용하면 지정한 기간 동안 단일 지표를 감시할 수 있습니다. 지표가 지정된 임계값을 초과하면 CloudWatch가 Amazon SNS 주제 또는 AWS Auto Scaling 정책으로 알림을 전송합니다. 자세한 내용은 [Amazon CloudWatch를 사용한 모니터링](monitoring-cloudwatch.md) 단원을 참조하십시오.

**AWS CloudTrail 로그**  
CloudTrail은 Shield에서 사용자, 역할 또는 AWS 서비스가 수행한 작업에 대한 레코드를 제공합니다. CloudTrail에서 수집한 정보를 사용하여 Shield에 수행된 요청, 요청이 수행된 IP 주소, 요청을 수행한 사람, 요청이 수행된 시간 및 추가 세부 정보를 확인할 수 있습니다. 자세한 내용은 [을 사용하여 AWS CloudTrail API 호출 로깅](logging-using-cloudtrail.md) 단원을 참조하십시오.

# Shield에서 규정 준수 검증
<a name="shd-security-compliance"></a>

이 섹션에서는 사용 시 규정 준수 책임을 설명합니다 AWS Shield.

 AWS 서비스 가 특정 규정 준수 프로그램의 범위 내에 있는지 알아보려면 [AWS 서비스 규정 준수 프로그램 제공 범위 내](https://aws.amazon.com/compliance/services-in-scope/)를 참조하고 관심 있는 규정 준수 프로그램을 선택합니다. 일반 정보는 [AWS 규정 준수 프로그램](https://aws.amazon.com/compliance/programs/).

를 사용하여 타사 감사 보고서를 다운로드할 수 있습니다 AWS Artifact. 자세한 내용은 [Downloading Reports inDownloading AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)을 참조하세요.

사용 시 규정 준수 책임은 데이터의 민감도, 회사의 규정 준수 목표 및 관련 법률과 규정에 따라 AWS 서비스 결정됩니다. 사용 시 규정 준수 책임에 대한 자세한 내용은 [AWS 보안 설명서를](https://docs.aws.amazon.com/security/) AWS 서비스참조하세요.

# Shield의 복원성을 위한 구축
<a name="shd-disaster-recovery-resiliency"></a>

이 섹션에서는 AWS 아키텍처가에 대한 데이터 중복을 지원하는 방법을 설명합니다 AWS Shield.

 AWS 글로벌 인프라는 AWS 리전 및 가용 영역을 중심으로 구축됩니다.는 지연 시간이 짧고 처리량이 많으며 중복성이 높은 네트워킹과 연결된 물리적으로 분리되고 격리된 여러 가용 영역을 AWS 리전 제공합니다. 가용 영역을 사용하면 중단 없이 가용 영역 간에 자동으로 장애 조치가 이루어지는 애플리케이션 및 데이터베이스를 설계하고 운영할 수 있습니다. 가용 영역은 기존의 단일 또는 복수 데이터 센터 인프라보다 가용성, 내결함성, 확장성이 뛰어납니다.

 AWS 리전 및 가용 영역에 대한 자세한 내용은 [AWS 글로벌 인프라를](https://aws.amazon.com/about-aws/global-infrastructure/) 참조하세요.

# 의 인프라 보안 AWS Shield
<a name="shd-infrastructure-security"></a>

이 섹션에서는가 서비스 트래픽을 AWS Shield 격리하는 방법을 설명합니다.

관리형 서비스인는 AWS 글로벌 네트워크 보안으로 보호 AWS Shield 됩니다. AWS 보안 서비스 및가 인프라를 AWS 보호하는 방법에 대한 자세한 내용은 [AWS 클라우드 보안을](https://aws.amazon.com/security/) 참조하세요. 인프라 보안 모범 사례를 사용하여 환경을 설계하려면 *보안 원칙 AWS Well‐Architected Framework*의 [인프라 보호를](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) 참조하세요 AWS .

 AWS 에서 게시한 API 호출을 사용하여 네트워크를 통해 Shield에 액세스합니다. 클라이언트는 다음을 지원해야 합니다.
+ Transport Layer Security(TLS). TLS 1.2는 필수이며 TLS 1.3을 권장합니다.
+ DHE(Ephemeral Diffie-Hellman) 또는 ECDHE(Elliptic Curve Ephemeral Diffie-Hellman)와 같은 완전 전송 보안(PFS)이 포함된 암호 제품군. Java 7 이상의 최신 시스템은 대부분 이러한 모드를 지원합니다.

# AWS Shield Advanced 할당량
<a name="shield-limits"></a>

AWS Shield Advanced 에는 리전당 개체 수에 대한 기본 할당량이 있습니다. 이 할당량의 [증가를 요청](https://console.aws.amazon.com/servicequotas/home/services/shield/quotas)할 수 있습니다.


| Resource | 기본 할당량 | 
| --- | --- | 
|  계정당 보호를 AWS Shield Advanced 제공하는 각 리소스 유형에 대한 최대 보호 리소스 수입니다.  |  1,000  | 
|  계정당 보호 그룹의 최대수   |  100  | 
|  보호 그룹에 구체적으로 포함할 수 있는 개별 보호 리소스의 최대수입니다. API에서 이는 보호 그룹 `Pattern`을 `ARBITRARY` 설정할 때 지정하는 `Members`에 적용됩니다. 콘솔에서 이는 **보호된 리소스에서 선택** 보호 그룹에 대해 선택한 리소스에 적용됩니다.  |  1,000  |