기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
보안
AWS 인프라에 시스템을 빌드하면 보안 책임은 사용자와 AWS가 분담합니다. 이 공동 책임 모델
IAM 역할
AWS Identity and Access Management(IAM) 역할을 통해 고객은 AWS 클라우드의 서비스 및 사용자에게 세분화된 액세스 정책 및 권한을 할당할 수 있습니다. 이 솔루션은 솔루션의 AWS Lambda 함수에 리전 리소스를 생성할 수 있는 액세스 권한을 부여하는 IAM 역할을 생성합니다.
Amazon CloudFront
이 솔루션은 Amazon CloudFront에서 배포하는 Amazon S3 버킷에 호스팅된 웹 UI를 배포합니다. Amazon CloudFront 지연 시간을 줄이고 보안을 강화하기 위해이 솔루션에는 솔루션 웹 사이트의 버킷 콘텐츠에 대한 퍼블릭 액세스를 제공하는 CloudFront 사용자인 오리진 액세스 ID가 있는 CloudFront 배포가 포함됩니다. 기본적으로 CloudFront 배포는 TLS 1.2를 사용하여 최고 수준의 보안 프로토콜을 적용합니다. 자세한 내용은 Amazon CloudFront 개발자 안내서의 Amazon S3 오리진에 대한 액세스 제한을 참조하세요. Amazon CloudFront
CloudFront는 추가 보안 완화를 활성화하여 각 최종 사용자 응답에 HTTP 보안 헤더를 추가합니다. 자세한 내용은 CloudFront 응답에서 HTTP 헤더 추가 또는 제거를 참조하세요.
이 솔루션은 TLS v1.0의 최소 지원 보안 프로토콜이 있는 기본 CloudFront 인증서를 사용합니다. TLS v1.2 또는 TLS v1.3 사용을 적용하려면 기본 CloudFront 인증서 대신 사용자 지정 SSL 인증서를 사용해야 합니다. 자세한 내용은 SSL/TLS 인증서를 사용하도록 CloudFront 배포를 구성하려면 어떻게 해야 합니까?를 참조하세요
Amazon API Gateway
이 솔루션은 엣지 최적화 Amazon API Gateway 엔드포인트를 배포하여 사용자 지정 도메인이 아닌 기본 APIs Gateway 엔드포인트를 사용하여 로드 테스트 기능에 대한 RESTful API를 제공합니다. 기본 엔드포인트를 사용하는 엣지 최적화 APIs의 경우 API Gateway는 TLS-1-0 보안 정책을 사용합니다. 자세한 내용은 Amazon APIs의 REST API 작업을 참조하세요. Amazon API Gateway
이 솔루션은 TLS v1.0의 최소 지원 보안 프로토콜이 있는 기본 API Gateway 인증서를 사용합니다. TLS v1.2 또는 TLS v1.3 사용을 적용하려면 기본 API Gateway 인증서 대신 사용자 지정 SSL 인증서가 있는 사용자 지정 도메인을 사용해야 합니다. 자세한 내용은 REST APIs.
AWS Fargate 보안 그룹
기본적으로이 솔루션은 AWS Fargate 보안 그룹의 아웃바운드 규칙을 퍼블릭으로 엽니다. AWS Fargate가 어디서나 트래픽을 전송하지 못하도록 차단하려면 아웃바운드 규칙을 특정 Classless Inter-Domain Routing(CIDR)으로 변경합니다.
또한이 보안 그룹에는 포트 50,000의 로컬 트래픽을 동일한 보안 그룹에 속하는 모든 소스로 허용하는 인바운드 규칙이 포함되어 있습니다. 이는 컨테이너가 서로 통신할 수 있도록 하는 데 사용됩니다.
Amazon VPC
VPC: Amazon VPC 서비스를 기반으로 하는 Virtual Private Cloud(VPC)는 AWS 클라우드에서 논리적으로 격리된 프라이빗 네트워크를 제공합니다.
배포 중에 AWS CloudFormation 파라미터에서 자체 VPC를 지정할 수 있습니다. VPC는 로드를 생성하는 ECS 작업에서만 사용되며 웹 콘솔과 API는이 VPC 내에 배포되지 않습니다. 기존 VPC를 지정하지 않으면 솔루션이 필요한 네트워킹 구성으로 새 VPC를 생성합니다. 기존 VPC를 사용하기로 선택한 경우 로드 테스트 작업을 성공적으로 실행하려면 다음 요구 사항을 충족해야 합니다.
VPC 요구 사항
AWS에서 분산 로드 테스트와 함께 사용할 VPC의 최소 요구 사항은 다음과 같습니다.
-
VPC에는 최소 2개의 AZs 포함되어야 합니다.
-
VPC에는 각각 별도의 AZ에 있는 서브넷이 두 개 이상 포함되어야 합니다.
-
VPC 서브넷은 퍼블릭 또는 프라이빗일 수 있지만 동일한 구성(둘 다 퍼블릭 또는 둘 다 프라이빗)을 사용해야 합니다.
-
VPC는 ECR, CloudWatch Logs, S3 및 IoT Core의 엔드포인트에 대한 액세스를 제공해야 합니다.
-
VPC는 로드 테스트의 대상이 되는 서비스(들)에 대한 액세스를 제공해야 합니다.
참고
이러한 기준을 충족하는 VPC가 없는 경우 VPC 마법사를 사용하여 VPC를 빠르게 생성할 수 있습니다. 자세한 내용은 VPC 생성을 참조하세요.
퍼블릭 서브넷은 다음을 포함하여 이러한 요구 사항을 충족할 수 있습니다.
-
VPC에 연결된 인터넷 게이트웨이
-
인터넷 게이트웨이에 대한 경로(0.0.0.0/0)
프라이빗 서브넷은 아래 설명된 대로 NAT 게이트웨이 또는 VPC 엔드포인트를 사용하여 이러한 요구 사항을 충족할 수 있습니다.
옵션 1: NAT 게이트웨이
-
프라이빗 서브넷이 있는 각 AZ에 NAT 게이트웨이 배포
-
NAT 게이트웨이를 통해 인터넷 바운드 트래픽(0.0.0.0/0)을 라우팅하도록 라우팅 테이블 구성
옵션 2: VPC 엔드포인트
VPC에서 다음 VPC 엔드포인트를 생성합니다.
-
Amazon ECR API 엔드포인트:
com.amazonaws.<region>.ecr.api -
Amazon ECR DKR 엔드포인트:
com.amazonaws.<region>.ecr.dkr -
Amazon CloudWatch Logs 엔드포인트:
com.amazonaws.<region>.logs -
Amazon S3 Gateway 엔드포인트:
com.amazonaws.<region>.s3 -
AWS IoT Core 엔드포인트(라이브 데이터 차트를 사용하는 경우 필수)
com.amazonaws.<region>.iot.data
다른 VPC 구성도 작동할 수 있습니다.
중요
각 VPC 엔드포인트 인터페이스에 연결된 보안 그룹은 ECS 태스크 보안 그룹에서 포트 443의 인바운드 TCP 트래픽을 허용해야 합니다.
보안 그룹 구성
배포 중에 솔루션은 VPC 내에 보안 그룹을 생성하여 ECS 클러스터의 작업으로 다음 트래픽을 허용합니다.
-
모든 아웃바운드 트래픽
-
동일한 보안 그룹의 다른 작업에서 포트 50000의 인바운드 트래픽으로 작업자와 리더 작업 간의 조정을 용이하게 합니다.
네트워크 스트레스 테스트
네트워크 스트레스 테스트 정책에
퍼블릭 사용자 인터페이스에 대한 액세스 제한
IAM 및 Amazon Cognito에서 제공하는 인증 및 권한 부여 메커니즘을 넘어 퍼블릭 사용자 인터페이스에 대한 액세스를 제한하려면 AWS WAF(웹 애플리케이션 방화벽) 보안 자동화 솔루션을
이 솔루션은 일반적인 웹 기반 공격을 필터링하는 AWS WAF 규칙 세트를 자동으로 배포합니다. 사용자는 AWS WAF 웹 액세스 제어 목록(웹 ACL)에 포함된 규칙을 정의하는 사전 구성된 보호 기능 중에서 선택할 수 있습니다.
MCP 서버 보안(선택 사항)
선택적 MCP 서버 통합을 배포하는 경우 솔루션은 AWS AgentCore Gateway를 사용하여 AI 에이전트의 로드 테스트 데이터에 대한 보안 액세스를 제공합니다. AgentCore Gateway는 각 요청에 대해 Amazon Cognito 인증 토큰을 검증하여 권한이 있는 사용자만 MCP 서버에 액세스할 수 있도록 합니다. MCP Server Lambda 함수는 읽기 전용 액세스 패턴을 구현하여 AI 에이전트가 테스트 구성 또는 결과를 수정하지 못하도록 합니다. 모든 MCP 서버 상호 작용은 웹 콘솔과 동일한 권한 경계 및 액세스 제어를 사용합니다.
