**에 대한 새로운 콘솔 환경 소개 AWS WAF**

이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 [콘솔 작업을 참조하세요](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Shield Advanced에 대한 서비스 연결 역할 사용
<a name="shd-using-service-linked-roles"></a>

이 섹션에서는 서비스 연결 역할을 사용하여 Shield Advanced에 AWS 계정의 리소스에 대한 액세스 권한을 부여하는 방법을 설명합니다.

AWS Shield Advanced 는 AWS Identity and Access Management (IAM)[ 서비스 연결 역할을](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) 사용합니다. 서비스 연결 역할은 Shield Advanced에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 Shield Advanced에서 사전 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.

필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할은 Shield Advanced를 더 쉽게 설정할 수 있습니다. Shield Advanced에서 서비스 연결 역할의 권한을 정의하므로 다르게 정의되지 않은 한, Shield Advanced만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함되며 이 권한 정책은 다른 IAM 엔터티에 연결할 수 없습니다.

먼저 관련 리소스를 삭제한 후에만 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 부주의로 삭제할 수 없기 때문에 Shield Advanced 리소스가 보호됩니다.

서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 [IAM으로 작업하는AWS 서비스](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)를 참조해 **서비스 연결 역할** 열이 **예(Yes)**인 서비스를 찾으세요. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 **예(Yes)** 링크를 선택합니다.

## Shield Advanced에 대한 서비스 연결 역할 권한
<a name="shd-slr-permissions"></a>

Shield Advanced는 **AWSServiceRoleForAWSShield**라는 서비스 연결 역할을 사용합니다. 이 역할을 통해 Shield Advanced는 사용자를 대신하여 애플리케이션 계층 DDoS 공격에 자동으로 대응하기 위해 AWS 리소스에 액세스하고 관리할 수 있습니다. 이 기능에 대한 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md)(을)를 참조하세요.

AWSServiceRoleForAWSShield 서비스 연결 역할은 역할을 수임하기 위해 다음 서비스를 신뢰합니다.
+ `shield.amazonaws.com`

AWSShieldServiceRolePolicy라는 역할 권한 정책은 Shield Advanced가 모든 AWS 리소스에서 다음 작업을 완료하도록 허용합니다.
+ `wafv2:GetWebACL`
+ `wafv2:UpdateWebACL`
+ `wafv2:GetWebACLForResource`
+ `wafv2:ListResourcesForWebACL`
+ `cloudfront:ListDistributions`
+ `cloudfront:GetDistribution`

모든 AWS 리소스에서 작업이 허용되는 경우 정책에 로 표시됩니다`"Resource": "*"`. 이는 서비스 연결 역할이 작업이 *지원하는* 모든 AWS 리소스에 대해 표시된 각 작업을 수행할 수 있음을 의미합니다. 예를 들어 `wafv2:GetWebACL` 작업은 `wafv2` 웹 ACL 리소스에 대해서만 지원됩니다.

Shield Advanced는 애플리케이션 계층 보호 기능을 활성화한 보호된 리소스 및 해당하는 보호된 리소스와 연결된 웹 ACL에 대해서만 리소스 수준 API 호출을 수행합니다.

IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 연결 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 IAM 사용 설명서**의 [서비스 연결 역할 권한](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) 섹션을 참조하세요.

## Shield Advanced에 대한 서비스 연결 역할 생성
<a name="shd-create-slr"></a>

서비스 연결 역할은 수동으로 생성할 필요가 없습니다. AWS Management Console AWS CLI, 또는 AWS API의 리소스에 대해 자동 애플리케이션 계층 DDoS 완화를 활성화하면 Shield Advanced가 서비스 연결 역할을 생성합니다.

이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. 리소스에 대한 자동 애플리케이션 계층 DDoS 완화를 활성화한 경우 Shield Advanced가 자동으로 다시 서비스 연결 역할을 생성합니다.

## Shield Advanced에 대한 서비스 연결 역할 편집
<a name="shd-edit-slr"></a>

Shield Advanced는 AWSServiceRoleForAWSShield 서비스 연결 역할을 편집하도록 허용하지 않습니다. 서비스 연결 역할을 생성한 후에는 다양한 개체가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서**의 [서비스 연결 역할 편집](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)을 참조하세요.

## Shield Advanced에 대한 서비스 연결 역할 삭제
<a name="shd-delete-slr"></a>

서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 연결 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.

**참고**  
리소스를 삭제할 때 Shield Advanced가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

**AWSServiceRoleForAWSShield에서 사용하는 Shield Advanced 리소스를 삭제하려면**

애플리케이션 계층 DDoS 보호가 구성된 모든 리소스에 대해 자동 애플리케이션 계층 DDoS 완화를 비활성화합니다. 콘솔 지침은 [애플리케이션 계층 DDoS 보호 구성](manage-protection.md#configure-app-layer-protection)(을)를 참조하세요.

**IAM을 사용하여 수동으로 서비스 연결 역할을 삭제하려면 다음을 수행하세요.**

IAM 콘솔 AWS CLI, 또는 AWS API를 사용하여 AWSServiceRoleForAWSShield 서비스 연결 역할을 삭제합니다. 자세한 내용은 [IAM 사용 설명서](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)의 *서비스 연결 역할 삭제*를 참조하세요.

## Shield Advanced 서비스 연결 역할에 대해 지원되는 리전
<a name="shd-slr-regions"></a>

Shield Advanced에서는 서비스를 사용할 수 있는 모든 리전에서 서비스 연결 역할 사용을 지원합니다. 자세한 내용은 [Shield Advanced 엔드포인트 및 할당량](https://docs.aws.amazon.com/general/latest/gr/shield.html)을 참조하세요.