**에 대한 새로운 콘솔 환경 소개 AWS WAF**

이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 [콘솔 작업을 참조하세요](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Shield 네트워크 보안 디렉터에 대한 자격 증명 기반 정책 예제
<a name="security-nsd-with-iam-id-based-policies"></a>

**참고**  
 AWS Shield 네트워크 보안 디렉터 사용을 시작하면 모든 최소 권한 요구 사항을 충족하는 서비스 연결 역할이 자동으로 생성됩니다. 자체 자격 증명 기반 정책 생성 및 관리는 선택 사항입니다.

네트워크 보안 디렉터에 대한 적절한 액세스를 제공하기 위해 관리 및 읽기 전용 액세스에 필요한 권한을 부여하는 자격 증명 기반 정책을 생성할 수 있습니다.

IAM 정책 생성 및 관리에 대한 자세한 내용은 *IAM 사용자 가이드*의 [관리형 정책과 인라인 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)을 참조하세요.

이러한 권한을 통해 AWS Shield 네트워크 보안 책임자는 포괄적인 보안 분석을 수행하고 정확한 네트워크 보안 권장 사항을 제공할 수 있습니다. 이 가이드에 제공된 정책 예제는 일반적인 사용 사례를 위해 설계되었습니다. 이러한 정책을 시작점으로 사용하고 특정 요구 사항에 맞춰 필요에 따라 수정할 수 있습니다.

 **이 가이드의 정책 예제** 
+  [관리 액세스 자격 증명 기반 정책](#nsd-security-admin-id-based-policy) 
+  [읽기 전용 액세스 자격 증명 기반 정책](#nsd-security-readonly-id-based-policy) 

## 정책 모범 사례
<a name="security_iam_nsd-with-iam-policy-best-practices"></a>

자격 증명 기반 정책에 따라 계정에서 네트워크 보안 디렉터 리소스를 생성, 액세스 또는 삭제할 수 있는지 여부가 결정됩니다. 이 작업으로 인해 AWS 계정에 비용이 발생할 수 있습니다. ID 기반 정책을 생성하거나 편집할 때는 다음 지침과 권장 사항을 따르세요.
+ ** AWS 관리형 정책을 시작하고 최소 권한으로 전환 -** 사용자 및 워크로드에 권한 부여를 시작하려면 많은 일반적인 사용 사례에 대한 권한을 부여하는 *AWS 관리형 정책을* 사용합니다. 에서 사용할 수 있습니다 AWS 계정. 사용 사례에 맞는 AWS 고객 관리형 정책을 정의하여 권한을 추가로 줄이는 것이 좋습니다. 자세한 내용은 *IAM 사용 설명서*의 [AWS 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) 또는 [AWS 직무에 대한 관리형 정책](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)을 참조하세요.
+ **최소 권한 적용** – IAM 정책을 사용하여 권한을 설정하는 경우, 작업을 수행하는 데 필요한 권한만 부여합니다. 이렇게 하려면 *최소 권한*으로 알려진 특정 조건에서 특정 리소스에 대해 수행할 수 있는 작업을 정의합니다. IAM을 사용하여 권한을 적용하는 방법에 대한 자세한 정보는 *IAM 사용 설명서*에 있는 [IAM의 정책 및 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)을 참조하세요.
+ **IAM 정책의 조건을 사용하여 액세스 추가 제한** – 정책에 조건을 추가하여 작업 및 리소스에 대한 액세스를 제한할 수 있습니다. 예를 들어, SSL을 사용하여 모든 요청을 전송해야 한다고 지정하는 정책 조건을 작성할 수 있습니다. AWS 서비스와 같은 특정를 통해 사용되는 경우 조건을 사용하여 서비스 작업에 대한 액세스 권한을 부여할 수도 있습니다 CloudFormation. 자세한 내용은 *IAM 사용 설명서*의 [IAM JSON 정책 요소: 조건](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)을 참조하세요.
+ **IAM Access Analyzer를 통해 IAM 정책을 확인하여 안전하고 기능적인 권한 보장** - IAM Access Analyzer에서는 IAM 정책 언어(JSON)와 모범 사례가 정책에서 준수되도록 새로운 및 기존 정책을 확인합니다. IAM Access Analyzer는 100개 이상의 정책 확인 항목과 실행 가능한 추천을 제공하여 안전하고 기능적인 정책을 작성하도록 돕습니다. 자세한 내용은 *IAM 사용 설명서*의 [IAM Access Analyzer에서 정책 검증](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)을 참조하세요.
+ **다중 인증(MFA) 필요 -**에서 IAM 사용자 또는 루트 사용자가 필요한 시나리오가 있는 경우 추가 보안을 위해 MFA를 AWS 계정켭니다. API 작업을 직접적으로 호출할 때 MFA가 필요하면 정책에 MFA 조건을 추가합니다. 자세한 내용은 *IAM 사용 설명서*의 [MFA를 통한 보안 API 액세스](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)를 참조하세요.

IAM의 모범 사례에 대한 자세한 내용은 *IAM 사용 설명서*의 [IAM의 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)를 참조하세요.

## 자격 증명 기반 정책 업데이트
<a name="security-nsd-with-iam-id-based-policies-updates"></a>

네트워크 보안 디렉터에 업데이트 및 기능이 추가되면 추가 권한을 포함하도록 자격 증명 기반 정책을 업데이트해야 할 수 있습니다. 필요할 수 있는 새 권한에 대한 자세한 내용은 이 가이드를 참조하세요.

 AWS 관리형 정책과 달리 고객 관리형 정책은 자동으로 업데이트되지 않습니다. 필요에 따라 이러한 정책을 유지 관리하고 업데이트할 책임은 사용자에게 있습니다.

자세한 내용은 *IAM 사용 설명서*의 [사용자에게 권한 추가](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)를 참조하세요.

## 관리 액세스 자격 증명 기반 정책
<a name="nsd-security-admin-id-based-policy"></a>

다음 예제를 통해 자격 증명 기반 정책을 생성하여 네트워크 보안 디렉터 작업에 대한 전체 관리 액세스 권한과 필요한 서비스 연결 역할을 생성할 수 있는 기능을 제공합니다.

**정책 이름**: NetworkSecurityDirectorAdminPolicy

**정책 설명**: AWS Shield 네트워크 보안 디렉터 작업에 대한 전체 관리 액세스를 허용하고 Network Security Director에 대한 서비스 연결 역할을 생성하거나 삭제할 수 있는 액세스 권한도 제공합니다.

------
#### [ JSON ]

****  

```
 {
   "Version":"2012-10-17",		 	 	 
   "Statement": [
     {
       "Effect": "Allow",
       "Action": [
         "network-security-director:*"
       ],
       "Resource": "*"
     },
     {
       "Effect": "Allow",
       "Action": [
         "iam:CreateServiceLinkedRole"
       ],
       "Resource": "arn:aws:iam::*:role/aws-service-role/network-security-director.amazonaws.com/AWSServiceRoleForNetworkSecurityDirector"
     }
   ]
 }
```

------

## 읽기 전용 액세스 자격 증명 기반 정책
<a name="nsd-security-readonly-id-based-policy"></a>

다음 정책 예제를 통해 자격 증명 기반 정책을 생성하여 네트워크 보안 디렉터 작업에 대한 읽기 전용 액세스를 제공합니다.

**정책 이름**: NetworkSecurityDirectorReadOnlyPolicy

**정책 설명**: AWS Shield 네트워크 보안 디렉터에 대한 읽기 전용 액세스를 허용합니다.

------
#### [ JSON ]

****  

```
 {
   "Version":"2012-10-17",		 	 	 
   "Statement": [
     {
       "Effect": "Allow",
       "Action": [
         "network-security-director:Get*",
         "network-security-director:List*"
       ],
       "Resource": "*"
     }
   ]
 }
```

------