**에 대한 새로운 콘솔 환경 소개 AWS WAF**

이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 [콘솔 작업을 참조하세요](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Firewall Manager AWS Shield Advanced 정책 설정
<a name="getting-started-fms-shield"></a>

 AWS Firewall Manager 를 사용하여 조직 전체에서 AWS Shield Advanced 보호를 활성화할 수 있습니다.

**중요**  
Firewall Manager는 Amazon Route 53 또는 AWS Global Accelerator을 지원하지 않습니다. 이러한 리소스를 Shield Advanced로 보호해야 하는 경우 Firewall Manager 정책을 사용할 수 없습니다. 그 대신 [AWS 리소스에 AWS Shield Advanced 보호 추가](configure-new-protection.md)의 지시 사항을 따릅니다.

Firewall Manager를 사용하여 Shield Advanced 보호를 활성화하려면 다음 단계를 순서대로 수행합니다.

**Topics**
+ [1단계: 사전 조건 완료](#complete-prereq-fms-shield)
+ [2단계: Shield Advanced 정책 생성 및 적용](#get-started-fms-shield-create-security-policy)
+ [3단계: (선택 사항) Shield 대응 팀(SRT)에 권한 부여](#get-started-fms-shield-authorize-srt)
+ [4단계: Amazon SNS 알림 및 Amazon CloudWatch 경보 구성](#get-started-fms-shield-cloudwatch)

## 1단계: 사전 조건 완료
<a name="complete-prereq-fms-shield"></a>

 AWS Firewall Manager의 계정을 준비하려면 몇 가지 필수 단계를 거쳐야 합니다. 이 단계는 [AWS Firewall Manager 사전 조건](fms-prereq.md)에서 설명합니다. [2단계: Shield Advanced 정책 생성 및 적용](#get-started-fms-shield-create-security-policy)으로 진행하기 전에 사전 조건을 모두 완료하십시오.

## 2단계: Shield Advanced 정책 생성 및 적용
<a name="get-started-fms-shield-create-security-policy"></a>

사전 조건을 완료한 후 AWS Firewall Manager Shield Advanced 정책을 생성합니다. Firewall Manager Shield Advanced 정책에는 Shield Advanced로 보호할 계정과 리소스가 포함되어 있습니다.

**중요**  
Firewall Manager는 Amazon Route 53 또는 AWS Global Accelerator을 지원하지 않습니다. 이러한 리소스를 Shield Advanced로 보호해야 하는 경우 Firewall Manager 정책을 사용할 수 없습니다. 그 대신 [AWS 리소스에 AWS Shield Advanced 보호 추가](configure-new-protection.md)의 지시 사항을 따릅니다.

**Firewall Manager Shield Advanced 정책을 생성하려면(콘솔)**

1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
**참고**  
Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.

1. 탐색 창에서 **보안 정책**을 선택합니다.

1. **정책 생성**을 선택합니다.

1. **정책 유형**으로는 **Shield Advanced**를 선택합니다.

   Shield Advanced 정책을 생성하려면 Firewall Manager 관리자 계정이 Shield Advanced를 구독한 상태여야 합니다. 가입되지 않은 경우 가입하라는 메시지가 나타납니다. 구독 비용에 관한 자세한 내용은 [AWS Shield Advanced 가격](https://aws.amazon.com/shield/pricing/)을 참조하세요.
**참고**  
각 회원 계정에서 수동으로 Shield Advanced를 구독할 필요가 없습니다. Firewall Manager는 정책을 생성할 때 이 작업을 수행합니다. 계정의 리소스를 계속해서 보호하려면 각 계정이 Firewall Manager 및 Shield Advanced를 계속 구독하고 있어야 합니다.

1. **리전**에서를 선택합니다 AWS 리전. Amazon CloudFront 리소스를 보호하려면 **글로벌**을 선택합니다.

   여러 지역에 있는 리소스(CloudFront 리소스 제외)를 보호하려면 각 지역에 대해 별도의 Firewall Manager 정책을 생성해야 합니다.

1. **다음**을 선택합니다.

1. **이름**에 설명하는 이름을 입력합니다.

1. (글로벌 리전 한정) **글로벌** 리전 정책에 한해 Shield Advanced의 자동 애플리케이션 계층 DDoS 완화 관리 여부를 선택할 수 있습니다. 이 자습서에서는 이 옵션을 기본 설정인 **무시**로 그대로 두십시오.

1. **정책 작업**에서 자동으로 문제를 해결하지 않는 옵션을 선택합니다.

1. **다음**을 선택합니다.

1. **AWS 계정 이 정책은에 적용**되므로 포함하거나 제외할 계정을 지정하여 정책의 범위를 좁힐 수 있습니다. 이 자습서에서는 **내 조직에 있는 모든 계정 포함**을 선택합니다.

1. 보호할 리소스 타입을 선택합니다.

   Firewall Manager는 Amazon Route 53 또는 AWS Global Accelerator을 지원하지 않습니다. 이러한 리소스를 Shield Advanced로 보호해야 하는 경우 Firewall Manager 정책을 사용할 수 없습니다. 대신 [AWS 리소스에 AWS Shield Advanced 보호 추가](configure-new-protection.md)의 Shield Advanced 지침을 따르십시오.

1. **리소스**의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 정책 범위를 정의하는 태그에 대한 자세한 내용은 [AWS Firewall Manager 정책 범위 사용](policy-scope.md) 섹션을 참조하세요.

   리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그 값을 생략하는 경우 Firewall Manager는 태그에 빈 문자열 값인 ""을 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.

1. **다음**을 선택합니다.

1. **정책 태그**에서 Firewall Manager 정책 리소스에 대해 추가하려는 식별 태그를 추가합니다. 태그에 대한 자세한 내용은 [Tag Editor 작업](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)을 참조하세요.

1. **다음**을 선택합니다.

1. 새 정책 설정을 검토하고 조정이 필요한 페이지로 돌아갑니다.

   **정책 작업**이 **Identify resources that don’t comply with the policy rules, but don’t auto remediate(정책 규칙을 준수하지 않는 리소스를 식별하지만 자동으로 문제를 해결하지 않음)**으로 설정되어 있는지 확인합니다. 이렇게 하면 정책이 활성화되기 전에 변경 사항을 검토할 수 있습니다.

1. 정책이 마음에 들면 **정책 생성**를 선택합니다.

   **AWS Firewall Manager 정책** 창에 귀하의 정책이 등재되어야 합니다. 이 정책은 계정 머리글 아래에 **보류 중**이 표시되고 **자동 문제 해결** 설정의 상태가 표시됩니다. 정책을 만들려면 몇 분 정도 걸릴 수 있습니다. **보류 중** 상태가 계정 수로 바뀐 후에는 정책 이름을 선택하여 계정과 리소스의 규정 준수 상태를 탐색할 수 있습니다. 자세한 내용은 [AWS Firewall Manager 정책에 대한 규정 준수 정보 보기](fms-compliance.md) 섹션을 참조하세요.

계속해서 [3단계: (선택 사항) Shield 대응 팀(SRT)에 권한 부여](#get-started-fms-shield-authorize-srt)로 이동하세요.

## 3단계: (선택 사항) Shield 대응 팀(SRT)에 권한 부여
<a name="get-started-fms-shield-authorize-srt"></a>

의 이점 중 하나는 Shield 대응 팀(SRT)의 지원 AWS Shield Advanced 입니다. 잠재적 DDoS 공격이 발생할 경우 [AWS Support 센터](https://console.aws.amazon.com/support/home#/)에 문의할 수 있습니다. 필요한 경우 지원 센터는 문제를 SRT로 에스컬레이션합니다. SRT는 의심스러운 활동을 분석하고 문제를 완화하기 위한 지원을 제공합니다. 이러한 완화에는 계정에서 AWS WAF 규칙 및 웹 ACLs 포함되는 경우가 많습니다. SRT는 AWS WAF 구성을 검사하고 AWS WAF 규칙 및 웹 ACLs 생성하거나 업데이트할 수 있지만 팀에서 그렇게 하려면 권한이 필요합니다. 설정의 일환으로 SRT에 필요한 권한을 AWS Shield Advanced사전에 제공하는 것이 좋습니다. 권한 부여를 미리 제공하면 실제 공격이 발생할 경우 완화 지연을 방지하는 데 도움이 됩니다.

계정 레벨에서 SRT에게 권한을 부여하고 문의합니다. 즉, 계정 소유자(Firewall Manager 관리자가 아님)가 다음 단계를 수행하여 SRT에게 공격을 완화할 수 있는 권한을 부여해야 합니다. Firewall Manager 관리자는 자신이 소유하는 계정에 대해서만 SRT에게 권한을 부여할 수 있습니다. 마찬가지로, 계정 소유자만 SRT에게 문의하여 지원을 요청할 수 있습니다.

**참고**  
SRT의 서비스를 사용하려면 [Business Support 플랜](https://aws.amazon.com/premiumsupport/business-support/) 또는 [Enterprise Support 플랜](https://aws.amazon.com/premiumsupport/enterprise-support/)을 구독해야 합니다.

SRT에게 사용자를 대신하여 잠재적 공격을 완화할 수 있는 권한을 부여하려면 [Shield 대응팀(SRT) 지원을 통한 관리형 DDoS 이벤트 응답](ddos-srt-support.md)의 지침을 따릅니다. 동일한 단계를 사용하여 언제든지 SRT 액세스 및 권한을 변경할 수 있습니다.

계속해서 [4단계: Amazon SNS 알림 및 Amazon CloudWatch 경보 구성](#get-started-fms-shield-cloudwatch)로 이동하세요.

## 4단계: Amazon SNS 알림 및 Amazon CloudWatch 경보 구성
<a name="get-started-fms-shield-cloudwatch"></a>

Amazon SNS 알림이나 CloudWatch 경보를 구성하지 않고 이 단계부터 계속할 수 있습니다. 그러나 이러한 경보 및 알림을 구성하면 가능한 DDoS 이벤트에 대한 가시성이 크게 향상됩니다.

Amazon SNS를 사용하여 보호 리소스의 잠재적 DDoS 활동 여부를 모니터링할 수 있습니다. 가능한 공격에 대한 알림을 수신하려면 각 리전에 대해 Amazon SNS 주제를 생성합니다.

**중요**  
잠재적 DDoS 활동에 대한 Amazon SNS 알림은 실시간으로 전송되지 않으며 지연될 수 있습니다. 또한 각 계정의 각 리소스 유형에 대해 보호된 리소스 1,000개의 Shield Advanced 할당량을 초과하는 경우 Firewall Manager 성능 제약으로 인해 DDoS 공격 알림이 성공적으로 전달되지 않을 수 있습니다. 자세한 내용은 [AWS Shield Advanced 할당량](shield-limits.md) 단원을 참조하십시오.  
잠재적 DDoS 활동에 대한 실시간 알림을 활성화하려면 CloudWatch 경보를 사용할 수 있습니다. 경보는 보호된 리소스가 있는 계정의 `DDoSDetected` 지표를 기반으로 해야 합니다.

**Firewall Manager에서 Amazon SNS 주제를 생성하려면(콘솔)**

1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
**참고**  
Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.

1. 탐색 창의 **AWS FMS**에서 **설정**을 선택합니다.

1. [**Create new topic**]을 선택합니다.

1. 주제 이름을 입력합니다.

1. Amazon SNS 메시지를 수신할 이메일 주소를 입력한 후 **이메일 주소 추가**를 선택합니다.

1. **Update SNS configuration(SNS 구성 업데이트)**을 선택합니다.

### Amazon CloudWatch 경보 구성
<a name="get-started-fms-shield-alarms"></a>

Shield Advanced는 모니터링할 수 있는 CloudWatch의 탐지, 완화 및 최고 기여자 지표를 기록합니다. 자세한 내용은 [AWS Shield Advanced 지표](shield-metrics.md) 단원을 참조하십시오. CloudWatch에는 추가 비용이 발생합니다. CloudWatch 요금에 대한 자세한 내용은 [Amazon CloudWatch 요금](https://aws.amazon.com/cloudwatch/pricing/)을 참조하세요.

CloudWatch 경보를 생성하려면 [Amazon CloudWatch 경보 사용](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)의 지침을 따르십시오. 기본적으로 Shield Advanced는 잠재적 DDoS 이벤트를 나타내는 1가지 지표가 탐지되었을 때 알릴 수 있도록 CloudWatch를 구성합니다. 필요한 경우 CloudWatch 콘솔에서 이러한 설정을 변경하여 여러 지표가 탐지된 후에만 알리도록 구성할 수 있습니다.

**참고**  
경보 외에도 CloudWatch 대시보드를 사용해 잠재적 DDoS 활동을 모니터링할 수 있습니다. 대시보드는 Shield Advanced에서 원시 데이터를 수집한 후 판독이 가능한 지표로 실시간에 가깝게 처리합니다. Amazon CloudWatch의 통계를 사용하여 웹 애플리케이션 또는 서비스가 어떻게 실행되고 있는지 전체적으로 더 잘 파악할 수 있습니다. 자세한 내용은 *Amazon CloudWatch 사용 설명서*에서 [CloudWatch란 무엇입니까?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html)를 참조하세요.  
CloudWatch 대시보드 생성에 관한 지침은 [Amazon CloudWatch를 사용한 모니터링](monitoring-cloudwatch.md)을 참조하세요. 대시보드에 추가할 수 있는 특정 Shield Advanced 지표에 대한 자세한 내용은 [AWS Shield Advanced 지표](shield-metrics.md)을 참조하세요.

Shield Advanced 구성을 완료했으면 [Shield Advanced를 사용한 DDoS 이벤트 가시성](ddos-viewing-events.md)에서 이벤트를 볼 수 있는 옵션을 숙지하십시오.