기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
보안
AWS 인프라에 시스템을 빌드하면 보안 책임은 사용자와 AWS가 분담합니다. 이 공유 모델은
IAM 역할
AWS Identity and Access Management(IAM) 역할을 사용하면 AWS 클라우드의 서비스 및 사용자에게 세분화된 액세스 정책 및 권한을 할당할 수 있습니다. 이 솔루션은 AWS Lambda 함수에이 솔루션에 사용되는 다른 AWS 서비스에 대한 액세스 권한을 부여하는 IAM 역할을 생성합니다.
Amazon Cognito
이 솔루션으로 생성된 Amazon Cognito 사용자는 이 솔루션의 RestAPI에만 액세스할 수 있는 권한을 가진 로컬 사용자입니다. 이 사용자는 AWS 계정의 다른 서비스에 액세스할 권한이 없습니다. 자세한 내용은 Amazon Cognito 개발자 안내서의 Amazon Cognito 사용자 풀을 참조하세요.
이 솔루션은 연동 자격 증명 공급자 구성 및 Amazon Cognito의 호스팅된 UI 기능을 통해 외부 SAML 로그인을 선택적으로 지원합니다.
Amazon CloudFront
이 기본 솔루션은 Amazon S3 버킷에 호스팅된 웹 콘솔을 배포합니다. 지연 시간을 줄이고 보안을 개선하기 위해 이 솔루션에는 솔루션의 웹 사이트 버킷 콘텐츠에 대한 퍼블릭 액세스를 제공하는 데 도움이 되는 CloudFront의 특수 사용자인 오리진 액세스 ID가 있는 Amazon CloudFront
스택 배포 중에 프라이빗 배포 유형을 선택한 경우 CloudFront 배포는 배포되지 않으며, 웹 콘솔을 호스팅하는 데 다른 웹 호스팅 서비스를 사용해야 합니다.
AWS WAF - Web Application Firewall
스택에서 선택한 배포 유형이 AWS WAF
중요
WAF IP 제한을 구성할 때 CMF 자동화 서버의 IP 주소 또는 발신 NAT 게이트웨이 IP가 허용된 CIDR 범위에 포함되어 있는지 확인합니다. 이는 솔루션의 API 엔드포인트에 액세스해야 하는 CMF 자동화 스크립트의 적절한 작동에 매우 중요합니다.
Amazon API Gateway
이 솔루션은 Amazon API Gateway REST APIs 배포하고 기본 API 엔드포인트와 SSL 인증서를 사용합니다. 기본 API 엔드포인트는 TLSv1 보안 정책을 지원합니다. TLS_1_2 보안 정책을 사용하여 사용자 지정 도메인 이름과 사용자 지정 SSL 인증서로 TLSv1.2+를 적용하는 것이 좋습니다. 자세한 내용은 Amazon API Gateway API Gateway 개발자 안내서의 API Gateway에서 사용자 지정 도메인의 최소 TLS 버전 선택 및 사용자 지정 도메인 구성을 참조하세요.
Amazon CloudWatch 경보/카나리아
Amazon CloudWatch 경보는 솔루션의 기능 및 보안 가정이 준수되고 있는지 모니터링하는 데 도움이 됩니다. 솔루션에는 AWS Lambda 함수 및 API Gateway 엔드포인트에 대한 로깅 및 지표가 포함되어 있습니다. 특정 사용 사례에 대해 추가 모니터링이 필요한 경우 다음을 모니터링하도록 CloudWatch 경보를 구성할 수 있습니다.
-
API Gateway 모니터링:
-
4XX 및 5XX 오류에 대한 경보를 설정하여 무단 액세스 시도 또는 API 문제 감지
-
API Gateway 지연 시간을 모니터링하여 성능 보장
-
API 요청 수를 추적하여 비정상적인 패턴 식별
-
-
AWS Lambda 함수 모니터링:
-
Lambda 함수 오류 및 제한 시간에 대한 경보 생성
-
Lambda 함수 기간을 모니터링하여 최적의 성능 보장
-
병목 현상을 방지하기 위해 동시 실행에 대한 경보 설정
-
CloudWatch 콘솔을 사용하거나 AWS CloudFormation 템플릿을 통해 이러한 경보를 생성할 수 있습니다. CloudWatch 경보 생성에 대한 자세한 지침은 Amazon CloudWatch 사용 설명서의 Amazon CloudWatch 경보 생성을 참조하세요. Amazon CloudWatch
고객 관리형 AWS KMS 키
이 솔루션은 저장 데이터 암호화를 사용하여 데이터를 보호하고 고객 데이터에 AWS 관리형 키를 사용합니다. 이러한 키는 스토리지 계층에 기록되기 전에 데이터를 자동으로 투명하게 암호화하는 데 사용됩니다. 일부 사용자는 데이터 암호화 프로세스를 더 잘 제어하기를 원할 수 있습니다. 이 접근 방식을 사용하면 자체 보안 자격 증명을 관리하여 더 높은 수준의 제어 및 가시성을 제공할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 기본 개념 및 AWS KMS 키를 참조하세요. https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys AWS Key Management Service
로그 보존
이 솔루션은 계정에서 Amazon CloudWatch logs를 캡처합니다. 기본적으로 로그는 10년 동안 보관됩니다. 각 로그 그룹에 대해 LogRetentionPeriod 파라미터를 조정하거나, 무기한 보존으로 전환하거나, 요구 사항에 따라 1일에서 10년 사이의 보존 기간을 선택할 수 있습니다. 자세한 내용은 Amazon CloudWatch Logs 사용 설명서의 Amazon CloudWatch Logs란 무엇입니까?를 참조하세요 Amazon CloudWatch.
Amazon Bedrock
솔루션은 CloudFormation 스택 배포 중에 해당 리전에 가장 적합한 파운데이션 모델을 자동으로 선택합니다. 선택 프로세스는를 호출list_foundation_models()하고이 우선 순위에서 사용 가능한 첫 번째 모델을 선택하는 Lambda 함수를 사용합니다.
-
anthropic.claude-sonnet-4-20250514-v1:0(Sonnet 4) -
anthropic.claude-3-7-sonnet-20250219-v1:0(Sonnet 3.7) -
anthropic.claude-3-5-sonnet-20241022-v2:0(Sonnet 3.5v2) -
anthropic.claude-3-5-sonnet-20240620-v1:0(Sonnet 3.5) -
anthropic.claude-3-sonnet-20240229-v1:0(Sonnet 3) -
amazon.nova-pro-v1:0(노바 프로)
GenAI 기능을 사용하려면 Bedrock 콘솔을 통해 AWS 계정에서 선택한 모델을 활성화해야 합니다. 이 솔루션의 핵심 기능은 GenAI 기능을 활성화하지 않고도 완벽하게 작동합니다. 고객은 AI 지원 기능을 사용하지 않으려는 경우 수동 입력과 함께 도구를 사용하도록 선택할 수 있습니다.
배포 후 WPMStack의 GenAISelectedModelArn 필드 아래에 있는 CloudFormation 스택 출력에서 선택한 모델 ARN을 찾을 수 있습니다.
이 솔루션의 기본 구성은 다음을 위해 Amazon Bedrock 가드레일을 배포합니다.
-
유해한 콘텐츠 필터링
-
사용 사례와 관련이 없는 블록 프롬프트 주입
자세한 내용은 Amazon Bedrock Guardrails
