에 대한 새로운 콘솔 환경 소개 AWS WAF
이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 업데이트된 콘솔 환경 작업 섹션을 참조하십시오.
기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Shield 네트워크 보안 디렉터에 서비스 연결 역할 사용
이 섹션에서는 서비스 연결 역할을 사용하여 AWS Shield 네트워크 보안 디렉터에게 계정 AWS 의 리소스에 대한 액세스 권한을 부여하는 방법을 설명합니다.
AWS Shield 네트워크 보안 디렉터는 AWS Identity and Access Management (IAM) 서비스 연결 역할을 사용합니다. 서비스 연결 역할은 AWS Shield 네트워크 보안 디렉터에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 AWS Shield 네트워크 보안 디렉터가 사전 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.
서비스 연결 역할을 사용하면 필요한 권한을 수동으로 추가할 필요가 없으므로 AWS Shield 네트워크 보안 디렉터를 더 쉽게 설정할 수 있습니다. AWS Shield 네트워크 보안 디렉터는 서비스 연결 역할의 권한을 정의하며, 달리 정의되지 않은 한 AWS Shield 네트워크 보안 디렉터만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함됩니다. 이 권한 정책은 다른 어떤 IAM 엔터티에도 연결할 수 없습니다.
IAM 콘솔에서 전체 서비스 연결 역할인 NetworkSecurityDirectorServiceLinkedRolePolicy
IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 링크 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 권한 섹션을 참조하세요.
서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 IAM으로 작업하는AWS 서비스를 참조하고 서비스 연결 역할 열에 예가 있는 서비스를 찾습니다. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 링크가 있는 예를 선택합니다.
AWS Shield 네트워크 보안 디렉터에 대한 서비스 연결 역할 권한
NetworkSecurityDirectorServiceLinkedRolePolicy 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
network-director.amazonaws.com
는 AWS Shield 네트워크 보안 디렉터에게 사용자를 대신하여 다양한 AWS 리소스 및 서비스에 액세스하고 분석할 수 있는 권한을 NetworkSecurityDirectorServiceLinkedRolePolicy 부여합니다. 여기에는 다음이 포함됩니다.
Amazon EC2 리소스에서 네트워크 구성 및 보안 설정 검색
CloudWatch 지표에 액세스하여 네트워크 트래픽 패턴 분석
로드 밸런서 및 대상 그룹에 대한 정보 수집
AWS WAF 구성 및 규칙 수집
AWS Direct Connect 게이트웨이 정보 액세스
또한 아래 권한 목록에 자세히 설명되어 있습니다.
다음 목록은 특정 리소스로의 축소를 지원하지 않는 권한에 대한 것입니다. 나머지는 표시된 서비스 리소스에 대해 범위가 축소됩니다.
{ "Sid": "ResourceLevelPermissionNotSupported", "Effect": "Allow", "Action": [ "cloudwatch:GetMetricData", "cloudwatch:GetMetricStatistics", "ec2:DescribeAvailabilityZones", "ec2:DescribeCustomerGateways", "ec2:DescribeInstances", "ec2:DescribeInternetGateways", "ec2:DescribeManagedPrefixLists", "ec2:DescribeNatGateways", "ec2:DescribeNetworkAcls", "ec2:DescribeNetworkInterfaces", "ec2:DescribePrefixLists", "ec2:DescribeRegions", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeTransitGateways", "ec2:DescribeTransitGatewayVpcAttachments", "ec2:DescribeTransitGatewayAttachments", "ec2:DescribeTransitGatewayPeeringAttachments", "ec2:DescribeTransitGatewayRouteTables", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcEndpointServiceConfigurations", "ec2:DescribeVpcPeeringConnections", "ec2:DescribeVpcs", "ec2:DescribeVpnConnections", "ec2:DescribeVpnGateways", "ec2:GetTransitGatewayRouteTablePropagations", "ec2:GetManagedPrefixListEntries", "elasticloadbalancing:DescribeLoadBalancers", "elasticloadbalancing:DescribeTargetGroups", "elasticloadbalancing:DescribeTags", "elasticloadbalancing:DescribeListeners", "elasticloadbalancing:DescribeTargetHealth", "elasticloadbalancing:DescribeTargetGroupAttributes", "elasticloadbalancing:DescribeRules", "elasticloadbalancing:DescribeLoadBalancencerAttributes", "wafv2:ListWebACLs", "cloudfront:ListDistributions", "cloudfront:ListTagsForResource", "directconnect:DescribeDirectConnectGateways", "directconnect:DescribeVirtualInterfaces" ], "Resource": "*" }
NetworkSecurityDirectorServiceLinkedRolePolicy 서비스 연결 역할 권한
다음 목록은 NetworkSecurityDirectorServiceLinkedRolePolicy 서비스 연결 역할에서 활성화된 모든 권한을 다룹니다.
Amazon CloudFront
{ "Sid": "cloudfront", "Effect": "Allow", "Action": [ "cloudfront:GetDistribution" ], "Resource": "arn:aws:cloudfront::*:distribution/*" }
AWS WAF
{ "Sid": "wafv2", "Effect": "Allow", "Action": [ "wafv2:ListResourcesForWebACL", "wafv2:ListRuleGroups", "wafv2:ListAvailableManagedRuleGroups", "wafv2:GetRuleGroup", "wafv2:DescribeManagedRuleGroup", "wafv2:GetWebACL" ], "Resource": [ "arn:aws:wafv2:*:*:global/rulegroup/*", "arn:aws:wafv2:*:*:regional/rulegroup/*", "arn:aws:wafv2:*:*:global/managedruleset/*", "arn:aws:wafv2:*:*:regional/managedruleset/*", "arn:aws:wafv2:*:*:global/webacl/*/*", "arn:aws:wafv2:*:*:regional/webacl/*/*", "arn:aws:apprunner:*:*:service/*", "arn:aws:cognito-idp:*:*:userpool/*", "arn:aws:ec2:*:*:verified-access-instance/*" ] }
AWS WAF 클래식
{ "Sid": "classicWaf", "Effect": "Allow", "Action": [ "waf:ListWebACLs", "waf:GetWebACL" ], "Resource": [ "arn:aws:waf::*:webacl/*", "arn:aws:waf-regional:*:*:webacl/*" ] }
AWS Direct Connect
{ "Sid": "directconnect", "Effect": "Allow", "Action": [ "directconnect:DescribeConnections", "directconnect:DescribeDirectConnectGatewayAssociations", "directconnect:DescribeDirectConnectGatewayAttachments", "directconnect:DescribeVirtualGateways" ], "Resource": [ "arn:aws:directconnect::*:dx-gateway/*", "arn:aws:directconnect:*:*:dxcon/*", "arn:aws:directconnect:*:*:dxlag/*", "arn:aws:directconnect:*:*:dxvif/*" ] }
AWS Transit Gateway 경로
{ "Sid": "ec2Get", "Effect": "Allow", "Action": [ "ec2:SearchTransitGatewayRoutes" ], "Resource": [ "arn:aws:ec2:*:*:transit-gateway-route-table/*" ] }
AWS Network Firewall
{ "Sid": "networkFirewall", "Effect": "Allow", "Action": [ "network-firewall:ListFirewalls", "network-firewall:ListFirewallPolicies", "network-firewall:ListRuleGroups", "network-firewall:DescribeFirewall", "network-firewall:DescribeFirewallPolicy", "network-firewall:DescribeRuleGroup" ], "Resource": [ "arn:aws:network-firewall:*:*:*/*" ] }
Amazon API Gateway
{ "Sid": "apiGatewayGetAPI", "Effect": "Allow", "Action": [ "apigateway:GET" ], "Resource": [ "arn:aws:apigateway:*::/restapis", "arn:aws:apigateway:*::/restapis/*", "arn:aws:apigateway:*::/apis", "arn:aws:apigateway:*::/apis/*", "arn:aws:apigateway:*::/tags/*", "arn:aws:apigateway:*::/vpclinks", "arn:aws:apigateway:*::/vpclinks/*" ] }
AWS Shield 네트워크 보안 디렉터에 대한 서비스 연결 역할 생성
서비스 링크 역할은 수동으로 생성할 필요가 없습니다. 첫 번째 네트워크 분석을 실행하면 AWS Shield 네트워크 보안 디렉터가 서비스 연결 역할을 생성합니다.
이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. AWS Shield 네트워크 보안 디렉터 로깅을 활성화하면 AWS Shield 네트워크 보안 디렉터가 서비스 연결 역할을 다시 생성합니다.
AWS Shield 네트워크 보안 디렉터에 대한 서비스 연결 역할 편집
AWS Shield 네트워크 보안 디렉터는 NetworkSecurityDirectorServiceLinkedRolePolicy 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 편집을 참조하세요.
AWS Shield 네트워크 보안 디렉터에 대한 서비스 연결 역할 삭제
서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 링크 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.
이렇게 하면 리소스에 대한 액세스 권한을 실수로 제거할 수 없기 때문에 AWS Shield 네트워크 보안 디렉터 리소스가 보호됩니다.
참고
리소스를 삭제하려고 할 때 AWS Shield 네트워크 보안 디렉터 서비스가 역할을 사용하는 경우 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.
IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.
IAM 콘솔, IAM CLI 또는 IAM API를 사용하여 NetworkSecurityDirectorServiceLinkedRolePolicy 서비스 연결 역할을 삭제합니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 삭제를 참조하세요.
AWS Shield 네트워크 보안 디렉터 서비스 연결 역할에 지원되는 리전
참고
AWS Shield 네트워크 보안 디렉터는 공개 평가판 릴리스이며 변경될 수 있습니다.
AWS Shield 네트워크 보안 디렉터는 다음 리전에서 서비스 연결 역할 사용을 지원하며 이러한 리전의 리소스에 대한 데이터만 검색할 수 있습니다.
| 리전 이름 | 지역 |
|---|---|
| US East (N. Virginia) | us-east-1 |
| Europe (Stockholm) | eu-north-1 |
