AWS WAF에서 보호 팩(웹 ACL) 생성

Using the new console

이 섹션에서는 새로운 AWS 콘솔을 통해 보호 팩(웹 ACL)을 생성하는 절차를 제공합니다.

새 보호 팩(웹 ACL)을 생성하려면 이 페이지의 절차에 따라 보호 팩(웹 ACL) 생성 마법사를 사용합니다.

프로덕션 트래픽 위험

프로덕션 트래픽용 보호 팩(웹 ACL)의 변경 사항을 배포하기 전에 트래픽에 대한 잠재적 영향을 파악할 때까지 스테이징 또는 테스트 환경에서 이를 테스트하고 조정합니다. 그런 다음 업데이트된 규칙을 프로덕션 트래픽과 함께 계산 모드에서 테스트하고 조정한 다음 활성화하십시오. 자세한 지침은 AWS WAF 보호 기능 테스트 및 튜닝을 참조하세요.

참고

보호 팩(웹 ACL)에서 1,500개가 넘는 WCU를 사용하면 기본 보호 팩(웹 ACL) 가격을 초과하는 비용이 발생합니다. 자세한 내용은 AWS WAF에서 웹 ACL 용량 단위(WCU) 및 AWS WAF 요금을 참조하세요.

새 AWS Management 콘솔에 로그인하여 https://console.aws.amazon.com/wafv2-pro에서 AWS WAF 콘솔을 엽니다.
탐색 창에서 리소스 및 보호 팩(웹 ACL)을 선택합니다.
리소스 및 보호 팩(웹 ACL) 페이지에서 보호 팩(웹 ACL) 추가를 선택합니다.
앱에 대해 알려주기의 앱 범주에서 하나 이상의 앱 범주를 선택합니다.
트래픽 소스에서 API, 웹 또는 API 및 웹 모두와 같이 애플리케이션이 참여하는 트래픽 유형을 선택합니다.ffic
보호할 리소스에서 리소스 추가를 선택합니다.
이 보호 팩(웹 ACL)과 연결할 AWS 리소스 범주(Amazon CloudFront 배포 또는 리전 리소스)를 선택합니다. 자세한 내용은 보호를 AWS 리소스와 연결 또는 연결 해제 섹션을 참조하세요.
초기 보호 선택에서 권장, 필수 또는 빌드 중 원하는 보호 수준을 선택합니다.
(선택 사항) 빌드를 선택하는 경우 규칙을 빌드합니다.
1. (선택 사항) 자체 규칙을 추가하려는 경우 규칙 추가 페이지에서 사용자 지정 규칙을 선택한 후 다음을 선택합니다.
  1. 규칙 유형을 선택합니다.
  2. 작업에서 웹 요청과 일치할 때 규칙에서 수행할 작업을 선택합니다. 선택 사항에 대한 자세한 내용은 AWS WAF에서 규칙 작업 사용 및 AWS WAF에서 규칙 및 규칙 그룹과 함께 보호 팩(웹 ACL) 사용 단원을 참조하세요.
    
    CAPTCHA 또는 Challenge 작업을 사용하는 경우 규칙에 필요한 만큼 면제 시간 구성을 조정합니다. 설정을 지정하지 않으면 규칙이 보호 팩(웹 ACL)에서 설정을 상속합니다. 보호 팩(웹 ACL) 면제 시간 설정을 수정하려면 보호 팩(웹 ACL)을 생성한 후 편집합니다. 면제 시간에 대한 자세한 내용은 AWS WAF에서 타임스탬프 만료 및 토큰 면역 시간 설정 섹션을 참조하세요.
    
    참고
    규칙 중 하나에서 또는 규칙 그룹 내 규칙 작업 재정의로서 CAPTCHA 또는 Challenge 규칙 작업을 사용하는 경우 추가 요금이 부과됩니다. 자세한 내용은 AWS WAF요금을 참조하세요.
    
    요청 또는 응답을 사용자 지정하려면 해당 옵션을 선택하고 사용자 지정의 세부 정보를 입력합니다. 자세한 내용은 AWS WAF의 사용자 지정된 웹 요청 및 응답 섹션을 참조하세요.
    
    규칙을 통해 일치하는 웹 요청에 레이블이 추가되도록 하려면 해당 옵션을 선택하고 레이블 세부 정보를 채웁니다. 자세한 내용은 AWS WAF의 웹 요청 레이블 지정 섹션을 참조하세요.
  3. 이름에 이 규칙을 식별하는 데 사용할 이름을 입력합니다. AWS, Shield, PreFM 또는 PostFM으로 시작하는 이름은 사용하면 안 됩니다. 이러한 문자열은 예약되어 있거나 다른 서비스에서 관리되는 규칙 그룹과 혼동될 수 있습니다.
  4. 필요에 따라 규칙 정의를 입력합니다. 논리적 AND 및 OR 규칙 문 내에서 규칙을 결합할 수 있습니다. 마법사는 컨텍스트에 따라 각 규칙에 대한 옵션을 안내합니다. 규칙 옵션에 대한 자세한 내용은 AWS WAF 규칙 단원을 참조하세요.
  5. 규칙 생성을 선택합니다.
    
    참고
    하나 이상의 규칙을 보호 팩(웹 ACL)에 추가하는 경우 AWS WAF는 보호 팩(웹 ACL)에 규칙이 나열되는 순서대로 규칙을 평가합니다. 자세한 내용은 AWS WAF에서 규칙 및 규칙 그룹과 함께 보호 팩(웹 ACL) 사용 섹션을 참조하세요.
2. (선택 사항) 관리형 규칙 그룹을 추가하려는 경우 규칙 추가 페이지에서 AWS 관리형 규칙 그룹 또는 AWS 마켓플레이스 규칙 그룹을 선택한 후 다음을 선택합니다. 추가할 각 관리형 규칙 그룹에 대해 다음을 수행합니다.
  1. 규칙 추가 페이지에서 AWS 관리형 규칙 그룹의 목록이나 AWS Marketplace 판매자에 대한 목록을 확장합니다.
  2. 규칙 그룹의 버전을 선택합니다.
  3. 보호 팩(웹 ACL)에서 규칙 그룹을 사용하는 방식을 사용자 지정하려면 편집을 선택합니다. 다음은 일반적인 사용자 지정 설정입니다.
    - 검사 섹션에서 범위 축소문을 추가하여 규칙 그룹이 검사하는 웹 요청의 범위를 줄입니다. 이 옵션에 대한 자세한 내용은 AWS WAF에서 범위 축소 문 사용 섹션을 참조하세요.
    - 규칙 재정의에서 일부 또는 모든 규칙의 규칙 작업을 재정의합니다. 규칙에 대한 재정의 작업을 정의하지 않는 경우 평가 시 규칙 그룹 내부에 정의된 규칙 작업이 사용됩니다. 이 옵션에 대한 자세한 내용은 AWS WAF에서 규칙 그룹 작업 재정의 단원을 참조하세요.
    - 일부 관리형 규칙 그룹에서는 추가 구성을 제공해야 합니다. 관리형 규칙 그룹 공급자가 제공한 설명서를 참조하세요. AWS 관리형 규칙 그룹과 관련된 자세한 내용은 AWS WAF용 AWS 관리형 규칙 섹션을 참조하세요.
  4. 다음을 선택합니다.
3. (선택 사항) 자체 규칙 그룹을 추가하려는 경우 규칙 추가 페이지에서 사용자 지정 규칙 그룹을 선택한 다음, 다음을 선택합니다. 추가할 각 규칙 그룹에 대해 다음을 수행합니다.
  1. 이름에 이 보호 팩(웹 ACL)의 규칙 그룹 규칙에 사용할 이름을 입력합니다. AWS, Shield, PreFM 또는 PostFM으로 시작하는 이름은 사용하면 안 됩니다. 이러한 문자열은 예약되어 있거나 다른 서비스에서 관리되는 규칙 그룹과 혼동될 수 있습니다. 다른 서비스에서 제공하는 규칙 그룹 인지을(를) 참조하세요.
  2. 목록에서 규칙 그룹을 선택합니다.
  3. (선택 사항) 규칙 구성에서 규칙 재정의를 선택합니다. 관리형 규칙 그룹에 대해 수행할 수 있는 작업과 마찬가지로 규칙 작업을 유효한 작업 설정으로 재정의할 수 있습니다.
  4. (선택 사항) 레이블 추가에서 레이블 추가를 선택한 다음 규칙과 일치하는 요청에 추가할 레이블을 입력합니다. 나중에 동일한 보호 팩(웹 ACL)에서 평가되는 규칙은 이 규칙이 추가하는 레이블을 참조할 수 있습니다.
  5. 규칙 생성을 선택합니다.
이름 및 설명에 보호 팩(웹 ACL)의 이름을 입력합니다. 필요한 경우 설명을 입력합니다.
참고
보호 팩(웹 ACL)을 생성한 후에는 이름을 변경할 수 없습니다.
(선택 사항) 보호 팩(웹 ACL) 사용자 지정에서 기본 규칙 작업, 구성 및 로깅 대상을 구성합니다.
1. (선택 사항) 기본 규칙 작업에서 보호 팩(웹 ACL)의 기본 작업을 선택합니다. 이는 보호 팩(웹 ACL)의 규칙이 명시적으로 조치를 취하지 않을 때 요청에 대해 AWS WAF에서 수행하는 작업입니다. 자세한 내용은 AWS WAF의 사용자 지정된 웹 요청 및 응답 섹션을 참조하세요.
2. (선택 사항) 규칙 구성에서 보호 팩(웹 ACL)의 규칙에 대한 설정을 사용자 지정합니다.
  - 기본 속도 제한 - 가용성에 영향을 미치거나 보안을 손상시키거나 과도한 리소스를 소비할 수 있는 서비스 거부(DoS) 공격을 차단하도록 속도 제한을 설정합니다. 이 규칙 속도는 애플리케이션에 허용되는 속도를 초과하는 IP 주소당 요청을 차단합니다. 자세한 내용은 AWS WAF에서 속도 기반 규칙 문 사용 섹션을 참조하세요.
  - IP 주소 - 차단하거나 허용할 IP 주소를 입력합니다. 이 설정은 다른 규칙을 재정의합니다.
  - 국가별 오리진 - 지정된 국가의 요청을 차단하거나 모든 트래픽을 계산합니다.
3. 로깅 대상에서 로깅 대상 유형과 로그를 저장할 위치를 구성합니다. 자세한 내용은 AWS WAF 로깅 대상 섹션을 참조하세요.
설정을 검토하고 보호 팩(웹 ACL) 추가를 선택합니다.

Using the standard console

이 섹션에서는 AWS 콘솔을 통해 웹 ACL을 생성하는 절차를 제공합니다.

새 웹 ACL을 생성하려면 이 페이지의 절차에 따라 웹 ACL 생성 마법사를 사용합니다.

프로덕션 트래픽 위험

프로덕션 트래픽용 웹 ACL에 변경 사항을 배포하기 전에 트래픽에 대한 잠재적 영향을 파악할 때까지 스테이징 또는 테스트 환경에서 변경 사항을 테스트하고 조정하십시오. 그런 다음 업데이트된 규칙을 프로덕션 트래픽과 함께 계산 모드에서 테스트하고 조정한 다음 활성화하십시오. 자세한 지침은 AWS WAF 보호 기능 테스트 및 튜닝을 참조하세요.

참고

웹 ACL을 생성하려면

AWS Management 콘솔에 로그인하고 https://console.aws.amazon.com/wafv2/homev2에서 AWS WAF 콘솔을 엽니다.
탐색 창에서 웹 ACL을 선택한 다음 웹 ACL 생성을 선택합니다.
이름에 이 웹 ACL을 식별하는 데 사용할 이름을 입력합니다.

참고
웹 ACL을 생성한 후에는 명칭을 변경할 수 없습니다.
(선택 사항) 원할 경우 설명 - 선택 사항에 웹 ACL에 대한 자세한 설명을 입력합니다.
CloudWatch 지표 명칭에서 기본 명칭을 변경합니다(해당되는 경우). 유효한 문자를 보려면 콘솔의 지침을 따르십시오. 이름에는 특수 문자, 공백 또는 “All” 및 “Default_Action” 등 AWS WAF에 예약된 지표 이름을 포함할 수 없습니다.

참고
웹 ACL을 생성한 후에는 CloudWatch 지표 이름을 변경할 수 없습니다.
리소스 유형에서 이 웹 ACL과 연결할 AWS 리소스 범주(Amazon CloudFront 배포 또는 리전 리소스)를 선택합니다. 자세한 내용은 보호를 AWS 리소스와 연결 또는 연결 해제 섹션을 참조하세요.
리전 리소스 유형을 선택한 경우 리전에서 AWS WAF가 웹 ACL을 저장할 리전을 선택합니다.

리전 리소스 유형에 대해서만 이 옵션을 선택해야 합니다. CloudFront 배포의 경우 리전은 글로벌(CloudFront) 애플리케이션에 대해 미국 동부(버지니아 북부) 리전 us-east-1로 하드코딩됩니다.
(CloudFront, API Gateway, Amazon Cognito, App Runner, Verified Access) 웹 요청 검사 크기 제한 - 선택 사항의 경우 다른 본문 검사 크기 제한을 지정하려면 제한을 선택합니다. 기본값인 16KB를 초과하는 본문 크기를 검사할 경우 추가 비용이 발생할 수 있습니다. 이 옵션에 대한 자세한 내용은 AWS WAF에서 본문 검사 관리에 대한 고려 사항 단원을 참조하세요.
(선택 사항) 연결된 AWS 리소스의 경우(선택 사항), 지금 리소스를 지정하려면 AWS 리소스 추가를 선택합니다. 대화 상자에서 연결할 리소스를 선택한 다음 추가를 선택합니다. AWS WAF는 웹 ACL 설명 및 연결 AWS 리소스 설명 페이지로 돌아갑니다.

참고
Application Load Balancer를 웹 ACL과 연결하도록 선택하면 리소스 수준 DDoS 보호가 활성화됩니다. 자세한 내용은 AWS WAF 분산 서비스 거부(DDoS) 방지 섹션을 참조하세요.
다음을 선택합니다.
(선택 사항) 관리형 규칙 그룹을 추가하고 싶으면 규칙 및 규칙 그룹 추가 페이지에서 규칙 추가를 선택한 다음 관리형 규칙 그룹 추가를 선택합니다. 추가할 각 관리형 규칙 그룹에 대해 다음을 수행합니다.
1. 관리형 규칙 그룹 추가 페이지에서 AWS 관리형 규칙 그룹의 목록이나 선택한 AWS Marketplace 판매자에 대한 목록을 확장합니다.
2. 추가하려는 규칙 그룹에 대해 작업 열에서 웹 ACL에 추가 토글을 켭니다.
  
  웹 ACL에서 규칙 그룹을 사용하는 방식을 사용자 지정하려면 편집을 선택합니다. 다음은 일반적인 사용자 지정 설정입니다.
  - 일부 또는 모든 규칙의 규칙 작업을 재정의합니다. 규칙에 대한 재정의 작업을 정의하지 않는 경우 평가 시 규칙 그룹 내부에 정의된 규칙 작업이 사용됩니다. 이 옵션에 대한 자세한 내용은 AWS WAF에서 규칙 그룹 작업 재정의 단원을 참조하세요.
  - 범위 축소문을 추가하여 규칙 그룹이 검사하는 웹 요청의 범위를 줄입니다. 이 옵션에 대한 자세한 내용은 AWS WAF에서 범위 축소 문 사용 단원을 참조하세요.
  - 일부 관리형 규칙 그룹에서는 추가 구성을 제공해야 합니다. 관리형 규칙 그룹 공급자가 제공한 설명서를 참조하세요. AWS 관리형 규칙 그룹과 관련된 자세한 내용은 AWS WAF용 AWS 관리형 규칙 섹션을 참조하세요.
  설정을 완료했으면 규칙 저장을 선택합니다.
규칙 추가를 선택하여 관리형 규칙 추가를 완료하고 규칙 및 규칙 그룹 추가 페이지로 돌아갑니다.

참고
하나 이상의 규칙을 웹 ACL에 추가하는 경우 AWS WAF은 웹 ACL에 규칙이 나열되는 순서대로 규칙을 평가합니다. 자세한 내용은 AWS WAF에서 규칙 및 규칙 그룹과 함께 보호 팩(웹 ACL) 사용 섹션을 참조하세요.
(선택 사항) 자체 규칙 그룹을 추가하려면 규칙 및 규칙 그룹 추가 페이지에서 규칙 추가를 선택한 다음, 자체 규칙 및 규칙 그룹 추가를 선택합니다. 추가할 각 규칙 그룹에 대해 다음을 수행합니다.
1. 자체 규칙 및 규칙 그룹 추가에서 규칙 그룹을 선택합니다.
2. 이름에 이 웹 ACL의 규칙 그룹 규칙에 사용할 이름을 입력합니다. AWS, Shield, PreFM 또는 PostFM으로 시작하는 이름은 사용하면 안 됩니다. 이러한 문자열은 예약되어 있거나 다른 서비스에서 관리되는 규칙 그룹과 혼동될 수 있습니다. 다른 서비스에서 제공하는 규칙 그룹 인지을(를) 참조하세요.
3. 목록에서 규칙 그룹을 선택합니다.
  
  참고
  자체 규칙 그룹에 대한 규칙 작업을 재정의하려면 먼저 웹 ACL에 저장한 다음 웹 ACL의 규칙 목록에서 웹 ACL과 규칙 그룹 참조 문을 편집합니다. 관리형 규칙 그룹에 대해 수행할 수 있는 작업과 마찬가지로 규칙 작업을 유효한 작업 설정으로 재정의할 수 있습니다.
4. 규칙 추가를 선택합니다.
(선택 사항) 자체 규칙 그룹을 추가하려면 규칙 및 규칙 그룹 추가 페이지에서 규칙 추가, 자체 규칙 및 규칙 그룹 추가, 규칙 빌더, 그리고 규칙 시각적 편집기를 차례로 선택합니다.

참고
콘솔의 규칙 시각적 편집기에서는 한 수준의 중첩을 지원합니다. 예를 들어 단일 논리적 AND 또는 OR 문을 사용하고 그 안에 한 수준의 다른 명령문을 중첩할 수 있지만 논리적 문 내에 논리적 문을 중첩할 수는 없습니다. 보다 복잡한 규칙 문을 관리하려면 규칙 JSON 편집기를 사용합니다. 규칙의 모든 옵션에 대한 자세한 내용은 AWS WAF 규칙 단원을 참조하세요.
이 절차에서는 규칙 시각적 편집기에 대해 설명합니다.
1. 이름에 이 규칙을 식별하는 데 사용할 이름을 입력합니다. AWS, Shield, PreFM 또는 PostFM으로 시작하는 이름은 사용하면 안 됩니다. 이러한 문자열은 예약되어 있거나 다른 서비스에서 관리되는 규칙 그룹과 혼동될 수 있습니다.
2. 필요에 따라 규칙 정의를 입력합니다. 논리적 AND 및 OR 규칙 문 내에서 규칙을 결합할 수 있습니다. 마법사는 컨텍스트에 따라 각 규칙에 대한 옵션을 안내합니다. 규칙 옵션에 대한 자세한 내용은 AWS WAF 규칙 단원을 참조하세요.
3. 작업에서 웹 요청과 일치할 때 규칙에서 수행할 작업을 선택합니다. 선택 사항에 대한 자세한 내용은 AWS WAF에서 규칙 작업 사용 및 AWS WAF에서 규칙 및 규칙 그룹과 함께 보호 팩(웹 ACL) 사용 단원을 참조하세요.
  
  CAPTCHA 또는 Challenge 작업을 사용하는 경우 규칙에 필요한 만큼 면제 시간 구성을 조정합니다. 설정을 지정하지 않으면 규칙이 웹 ACL에서 설정을 상속합니다. 웹 ACL 면제 시간 설정을 수정하려면 웹 ACL을 생성한 후 편집합니다. 면제 시간에 대한 자세한 내용은 AWS WAF에서 타임스탬프 만료 및 토큰 면역 시간 설정 섹션을 참조하세요.
  
  참고
  규칙 중 하나에서 또는 규칙 그룹 내 규칙 작업 재정의로서 CAPTCHA 또는 Challenge 규칙 작업을 사용하는 경우 추가 요금이 부과됩니다. 자세한 내용은 AWS WAF요금을 참조하세요.
  
  요청 또는 응답을 사용자 지정하려면 해당 옵션을 선택하고 사용자 지정의 세부 정보를 입력합니다. 자세한 내용은 AWS WAF의 사용자 지정된 웹 요청 및 응답 섹션을 참조하세요.
  
  규칙을 통해 일치하는 웹 요청에 레이블이 추가되도록 하려면 해당 옵션을 선택하고 레이블 세부 정보를 채웁니다. 자세한 내용은 AWS WAF의 웹 요청 레이블 지정 섹션을 참조하세요.
4. 규칙 추가를 선택합니다.
웹 ACL에 대한 기본 작업을 Block 또는 Allow으로 선택합니다. 이는 웹 ACL의 규칙이 요청을 명시적으로 허용 또는 차단하지 않을 때 요청에 대해 AWS WAF에서 수행하는 작업입니다. 자세한 내용은 AWS WAF에서 보호 팩(웹 ACL) 기본 작업 설정 섹션을 참조하세요.

기본 작업을 사용자 지정하려면 해당 옵션을 선택하고 사용자 지정의 세부 정보를 입력합니다. 자세한 내용은 AWS WAF의 사용자 지정된 웹 요청 및 응답 섹션을 참조하세요.
토큰 도메인 목록을 정의하여 보호된 애플리케이션 간에 토큰을 공유하도록 할 수 있습니다. 토큰은 AWS WAF 사기 제어 계정 생성 사기 방지(ACFP), AWS WAF 사기 제어 계정 탈취 방지 (ATP) 및 AWS WAF Bot Control을 위한 AWS 관리형 규칙 그룹을 사용할 때 구현하는 애플리케이션 통합 SDK와 CAPTCHA 및 Challenge 작업에서 사용됩니다.

공개 접미사는 허용되지 않습니다. 예를 들면 gov.au 또는 co.uk를 토큰 도메인으로 사용할 수 없습니다.

기본적으로 AWS WAF는 보호된 리소스의 도메인에 대해서만 토큰만 허용합니다. 토큰 도메인 목록을 추가하는 경우 AWS WAF는 목록에 있는 모든 도메인과 관련 리소스의 도메인에 대해 토큰을 수락합니다. 자세한 내용은 AWS WAF 보호 팩(웹 ACL) 토큰 도메인 목록 구성 섹션을 참조하세요.
다음을 선택합니다.
규칙 우선 순위 설정 페이지에서 규칙 및 규칙 그룹을 선택하여 에서 처리하려는 AWS WAF 순서로 이동합니다. AWS WAF는 목록 위에서부터 규칙을 처리합니다. 웹 ACL은 저장하면 AWS WAF는 나열된 순서대로 규칙에 숫자 우선 순위 설정을 할당합니다. 자세한 내용은 규칙 우선 순위 설정 섹션을 참조하세요.
다음을 선택합니다.
지표 구성 페이지에서 옵션을 검토하고 필요한 업데이트를 적용합니다. 동일한 CloudWatch 지표 이름을 제공하여 여러 소스에서 지표를 결합할 수 있습니다.
다음을 선택합니다.
웹 ACL 검토 및 생성 페이지에서 사용자 정의를 확인합니다. 영역을 변경하려면 해당 영역에 대해 편집을 선택합니다. 그러면 웹 ACL 마법사의 페이지로 돌아갑니다. 변경한 후 페이지에서 계속 다음을 선택하여 웹 ACL 검토 및 생성 페이지로 돌아옵니다.
Create web ACL(웹 ACL 생성)을 선택합니다. 새 웹 ACL이 웹 ACL 페이지에 나열됩니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

보호 구성

보호 팩(웹 ACL) 편집