**에 대한 새로운 콘솔 환경 소개 AWS WAF**
이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 [콘솔 작업을 참조하세요](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 에서 보호 구성 AWS WAF
이 페이지에서는 보호 팩(웹 ACL)의 개념 및 작동 방식에 대해 설명합니다.
보호 팩(웹 ACL)을 사용하면 보호된 리소스가 응답하는 모든 HTTP 웹 요청을 세밀하게 제어할 수 있습니다. Amazon CloudFront, Amazon API Gateway, Application Load Balancer AWS AppSync, Amazon Cognito, AWS App Runner, AWS Amplify Amazon CloudWatch 및 AWS Verified Access 리소스를 보호할 수 있습니다.
다음과 같은 기준을 사용하여 요청을 허용하거나 차단할 수 있습니다.
+ 요청의 출처 IP 주소
+ 요청의 출처 국가
+ 요청의 일부로 포함된 문자열 일치 또는 정규 표현식(정규식) 일치
+ 요청의 특정 부분의 크기
+ 악성 SQL 코드 또는 스크립팅 감지
또한 이러한 조건의 조합을 테스트할 수 있습니다. 지정된 조건을 충족할 뿐 아니라 단 1분간 지정된 요청 수를 초과하는 웹 요청을 차단 또는 계수할 수 있습니다. 논리적 연산자를 사용하여 조건을 결합할 수 있습니다. 또한 CAPTCHA 퍼즐을 실행하고 요청에 대해 클라이언트 세션 챌린지를 자동으로 실행할 수도 있습니다.
AWS WAF 규칙 문에서 일치 기준과 일치에 대해 수행할 작업을 제공합니다. 보호 팩(웹 ACL) 내에서 직접 그리고 보호 팩(웹 ACL)에서 사용하는 재사용 가능한 규칙 그룹에서 규칙문을 정의할 수 있습니다. 옵션의 전체 목록은 [에서 규칙 문 사용 AWS WAF](waf-rule-statements.md) 및 [에서 규칙 작업 사용 AWS WAF](waf-rule-action.md) 단원을 참조하세요.
보호 팩(웹 ACL)을 생성할 때 사용할 리소스 유형을 지정합니다. 자세한 내용은 [에서 보호 팩(웹 ACL) 생성 AWS WAF](web-acl-creating.md) 단원을 참조하세요. 보호 팩(웹 ACL)을 정의한 후 리소스와 연결하여 리소스에 보호 기능을 제공할 수 있습니다. 자세한 내용은 [보호와 AWS 리소스의 연결 또는 연결 해제](web-acl-associating-aws-resource.md) 단원을 참조하십시오.
**참고**
경우에 따라 요청 허용 또는 차단 여부에 대한 관련 AWS 리소스에 대한 응답을 지연시키는 내부 오류가 AWS WAF 발생할 수 있습니다. 이러한 경우, CloudFront는 일반적으로 요청을 허용하거나 콘텐츠를 제공하는 반면 리전 서비스는 일반적으로 요청을 거부하고 콘텐츠를 제공하지 않습니다.
**프로덕션 트래픽 위험**
프로덕션 트래픽용 보호 팩(웹 ACL)의 변경 사항을 배포하기 전에 트래픽에 대한 잠재적 영향을 파악할 때까지 스테이징 또는 테스트 환경에서 변경 사항을 테스트하고 조정합니다. 그런 다음 업데이트된 규칙을 프로덕션 트래픽과 함께 계산 모드에서 테스트하고 조정한 다음 활성화하십시오. 자세한 지침은 [AWS WAF 보호 기능 테스트 및 튜닝](web-acl-testing.md)을 참조하세요.
**참고**
보호 팩(웹 ACL)에서 1,500개가 넘는 WCU를 사용하면 기본 보호 팩(웹 ACL) 가격을 초과하는 비용이 발생합니다. 자세한 내용은 [의 웹 ACL 용량 단위(WCUs) AWS WAF](aws-waf-capacity-units.md) 및 [AWS WAF 요금](https://aws.amazon.com/waf/pricing/)을 참조하세요.
**업데이트 중 일시적인 불일치**
보호 팩(웹 ACL) 또는 기타 AWS WAF 리소스를 생성하거나 변경하면 리소스가 저장된 모든 영역에 변경 사항이 전파되는 데 약간의 시간이 걸립니다. 전파 시간은 몇 초\$1몇 분이 걸릴 수 있습니다.
다음은 변경 전파 중에 표시될 수 있는 일시적 불일치의 예입니다.
+ 보호 팩(웹 ACL)을 생성한 후 이를 리소스에 연결하려고 하면 보호 팩(웹 ACL)을 사용할 수 없다는 예외가 발생할 수 있습니다.
+ 보호 팩(웹 ACL)에 규칙 그룹을 추가한 후 새 규칙 그룹 규칙이 보호 팩(웹 ACL)이 사용되는 한 영역에는 적용되고 다른 영역에서는 적용되지 않을 수 있습니다.
+ 규칙 작업 설정을 변경한 후 일부 위치에서 이전 작업이 표시되고 다른 위치에서는 새 작업이 표시될 수 있습니다.
+ 차단 규칙에서 사용되는 IP 집합에 IP 주소를 추가한 후 새 주소가 한 영역에서는 차단되는데 다른 영역에서 계속 허용될 수도 있습니다.
**Topics**
+ [에서 보호 팩(웹 ACL) 생성 AWS WAF](web-acl-creating.md)
+ [에서 보호 팩(웹 ACL) 편집 AWS WAF](web-acl-editing.md)
+ [규칙 그룹 동작 관리](web-acl-rule-group-settings.md)
+ [보호와 AWS 리소스의 연결 또는 연결 해제](web-acl-associating-aws-resource.md)
+ [에서 규칙 및 규칙 그룹과 함께 보호 팩(웹 ACLs) 사용 AWS WAF](web-acl-processing.md)
+ [에서 보호 팩(웹 ACL) 기본 작업 설정 AWS WAF](web-acl-default-action.md)
+ [에서 본문 검사 관리에 대한 고려 사항 AWS WAF](web-acl-setting-body-inspection-limit.md)
+ [에서 CAPTCHA, 챌린지 및 토큰 구성 AWS WAF](web-acl-captcha-challenge-token-domains.md)
+ [에서 웹 트래픽 지표 보기 AWS WAF](web-acl-working-with.md)
+ [보호 팩(웹 ACL) 삭제](web-acl-deleting.md)
# 에서 보호 팩(웹 ACL) 생성 AWS WAF
------
#### [ Using the new console ]
이 섹션에서는 새 AWS 콘솔을 통해 보호 팩(웹 ACLs)을 생성하는 절차를 제공합니다.
새 보호 팩(웹 ACL)을 생성하려면 이 페이지의 절차에 따라 보호 팩(웹 ACL) 생성 마법사를 사용합니다.
**프로덕션 트래픽 위험**
프로덕션 트래픽용 보호 팩(웹 ACL)의 변경 사항을 배포하기 전에 트래픽에 대한 잠재적 영향을 파악할 때까지 스테이징 또는 테스트 환경에서 변경 사항을 테스트하고 조정합니다. 그런 다음 업데이트된 규칙을 프로덕션 트래픽과 함께 계산 모드에서 테스트하고 조정한 다음 활성화하십시오. 자세한 지침은 [AWS WAF 보호 기능 테스트 및 튜닝](web-acl-testing.md)을 참조하세요.
**참고**
보호 팩(웹 ACL)에서 1,500개가 넘는 WCU를 사용하면 기본 보호 팩(웹 ACL) 가격을 초과하는 비용이 발생합니다. 자세한 내용은 [의 웹 ACL 용량 단위(WCUs) AWS WAF](aws-waf-capacity-units.md) 및 [AWS WAF 요금](https://aws.amazon.com/waf/pricing/)을 참조하세요.
1. 새에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro) AWS WAF 콘솔을 엽니다.
1. 탐색 창에서 **리소스 및 보호 팩(웹 ACL)**을 선택합니다.
1. **리소스 및 보호 팩(웹 ACL)** 페이지에서 **보호 팩(웹 ACL) 추가**를 선택합니다.
1. **앱에 대해 알려주기**의 **앱 범주**에서 하나 이상의 앱 범주를 선택합니다.
1. **트래픽 소스**에서 **API**, **웹** 또는 **API 및 웹 모두**와 같이 애플리케이션이 참여하는 트래픽 유형을 선택합니다.ffic
1. **보호할 리소스**에서 **리소스 추가**를 선택합니다.
1. 이 보호 팩(웹 ACL)과 연결할 AWS 리소스 범주(Amazon CloudFront 배포 또는 리전 리소스)를 선택합니다. 자세한 내용은 [보호와 AWS 리소스의 연결 또는 연결 해제](web-acl-associating-aws-resource.md) 단원을 참조하십시오.
1. **초기 보호 선택**에서 **권장**, **필수** 또는 **빌드** 중 원하는 보호 수준을 선택합니다.
1. (선택 사항) **빌드**를 선택하는 경우 규칙을 빌드합니다.
1. (선택 사항) 자체 규칙을 추가하려는 경우 **규칙 추가** 페이지에서 **사용자 지정 규칙**을 선택한 후 **다음**을 선택합니다.
1. 규칙 유형을 선택합니다.
1. **작업**에서 웹 요청과 일치할 때 규칙에서 수행할 작업을 선택합니다. 선택 사항에 대한 자세한 내용은 [에서 규칙 작업 사용 AWS WAF](waf-rule-action.md) 및 [에서 규칙 및 규칙 그룹과 함께 보호 팩(웹 ACLs) 사용 AWS WAF](web-acl-processing.md) 단원을 참조하세요.
**CAPTCHA** 또는 **Challenge** 작업을 사용하는 경우 규칙에 필요한 만큼 **면제 시간** 구성을 조정합니다. 설정을 지정하지 않으면 규칙이 보호 팩(웹 ACL)에서 설정을 상속합니다. 보호 팩(웹 ACL) 면제 시간 설정을 수정하려면 보호 팩(웹 ACL)을 생성한 후 편집합니다. 면제 시간에 대한 자세한 내용은 [에서 타임스탬프 만료 및 토큰 면제 시간 설정 AWS WAF](waf-tokens-immunity-times.md) 섹션을 참조하세요.
**참고**
규칙 중 하나에서 또는 규칙 그룹 내 규칙 작업 재정의로서 CAPTCHA 또는 Challenge 규칙 작업을 사용하는 경우 추가 요금이 부과됩니다. 자세한 내용은 [AWS WAF 요금](https://aws.amazon.com/waf/pricing/)을 참조하세요.
요청 또는 응답을 사용자 지정하려면 해당 옵션을 선택하고 사용자 지정의 세부 정보를 입력합니다. 자세한 내용은 [의 사용자 지정 웹 요청 및 응답 AWS WAF](waf-custom-request-response.md) 단원을 참조하십시오.
규칙을 통해 일치하는 웹 요청에 레이블이 추가되도록 하려면 해당 옵션을 선택하고 레이블 세부 정보를 채웁니다. 자세한 내용은 [의 웹 요청 레이블 지정 AWS WAF](waf-labels.md) 단원을 참조하십시오.
1. **이름**에 이 규칙을 식별하는 데 사용할 이름을 입력합니다. `AWS`, `Shield`, `PreFM` 또는 `PostFM`으로 시작하는 이름은 사용하면 안 됩니다. 이러한 문자열은 예약되어 있거나 다른 서비스에서 관리되는 규칙 그룹과 혼동될 수 있습니다.
1. 필요에 따라 규칙 정의를 입력합니다. 논리적 `AND` 및 `OR` 규칙 문 내에서 규칙을 결합할 수 있습니다. 마법사는 컨텍스트에 따라 각 규칙에 대한 옵션을 안내합니다. 규칙 옵션에 대한 자세한 내용은 [AWS WAF 규칙](waf-rules.md) 단원을 참조하세요.
1. **규칙 생성**을 선택합니다.
**참고**
보호 팩(웹 ACL)에 둘 이상의 규칙을 추가하는 경우는 보호 팩(웹 ACL)에 나열된 순서대로 규칙을 AWS WAF 평가합니다. 자세한 내용은 [에서 규칙 및 규칙 그룹과 함께 보호 팩(웹 ACLs) 사용 AWS WAF](web-acl-processing.md) 단원을 참조하십시오.
1. (선택 사항) 관리형 규칙 그룹을 추가하려는 경우 **규칙 추가** 페이지에서 **AWS관리형 규칙 그룹** 또는 **AWS 마켓플레이스 규칙 그룹**을 선택한 후 **다음**을 선택합니다. 추가할 각 관리형 규칙 그룹에 대해 다음을 수행합니다.
1. **규칙 추가** 페이지에서 관리형 규칙 그룹 또는 AWS Marketplace 판매자의 목록을 AWS 확장합니다.
1. 규칙 그룹의 버전을 선택합니다.
1. 보호 팩(웹 ACL)에서 규칙 그룹을 사용하는 방식을 사용자 지정하려면 **편집**을 선택합니다. 다음은 일반적인 사용자 지정 설정입니다.
+ **검사** 섹션에서 범위 축소문을 추가하여 규칙 그룹이 검사하는 웹 요청의 범위를 줄입니다. 이 옵션에 대한 자세한 내용은 [에서 범위 축소 문 사용 AWS WAF](waf-rule-scope-down-statements.md) 섹션을 참조하세요.
+ **규칙 재정의**에서 일부 또는 모든 규칙의 규칙 작업을 재정의합니다. 규칙에 대한 재정의 작업을 정의하지 않는 경우 평가 시 규칙 그룹 내부에 정의된 규칙 작업이 사용됩니다. 이 옵션에 대한 자세한 내용은 [에서 규칙 그룹 작업 재정의 AWS WAF](web-acl-rule-group-override-options.md) 단원을 참조하세요.
+ 일부 관리형 규칙 그룹에서는 추가 구성을 제공해야 합니다. 관리형 규칙 그룹 공급자가 제공한 설명서를 참조하세요. AWS 관리형 규칙 규칙 그룹에 대한 자세한 내용은 섹션을 참조하세요[AWS 에 대한 관리형 규칙 AWS WAF](aws-managed-rule-groups.md).
1. **다음**을 선택합니다.
1. (선택 사항) 자체 규칙 그룹을 추가하려는 경우 **규칙 추가** 페이지에서 **사용자 지정 규칙 그룹**을 선택한 다음, **다음**을 선택합니다. 추가할 각 규칙 그룹에 대해 다음을 수행합니다.
1. **이름**에 이 보호 팩(웹 ACL)의 규칙 그룹 규칙에 사용할 이름을 입력합니다. `AWS`, `Shield`, `PreFM` 또는 `PostFM`으로 시작하는 이름은 사용하면 안 됩니다. 이러한 문자열은 예약되어 있거나 다른 서비스에서 관리되는 규칙 그룹과 혼동될 수 있습니다. [다른 서비스에서 제공하는 규칙 그룹 인지](waf-service-owned-rule-groups.md)을(를) 참조하세요.
1. 목록에서 규칙 그룹을 선택합니다.
1. (선택 사항) **규칙 구성**에서 **규칙 재정의**를 선택합니다. 관리형 규칙 그룹에 대해 수행할 수 있는 작업과 마찬가지로 규칙 작업을 유효한 작업 설정으로 재정의할 수 있습니다.
1. (선택 사항) **레이블 추가**에서 **레이블 추가**를 선택한 다음 규칙과 일치하는 요청에 추가할 레이블을 입력합니다. 나중에 동일한 보호 팩(웹 ACL)에서 평가되는 규칙은 이 규칙이 추가하는 레이블을 참조할 수 있습니다.
1. **규칙 생성**을 선택합니다.
1. **이름 및 설명**에 보호 팩(웹 ACL)의 이름을 입력합니다. 필요한 경우 설명을 입력합니다.
**참고**
보호 팩(웹 ACL)을 생성한 후에는 이름을 변경할 수 없습니다.
1. (선택 사항) **보호 팩(웹 ACL) 사용자 지정**에서 기본 규칙 작업, 구성 및 로깅 대상을 구성합니다.
1. (선택 사항) **기본 규칙 작업**에서 보호 팩(웹 ACL)의 기본 작업을 선택합니다. 이는 보호 팩(웹 ACL)의 규칙이 명시적으로 조치를 AWS WAF 취하지 않을 때 요청을 처리하는 작업입니다. 자세한 내용은 [의 사용자 지정 웹 요청 및 응답 AWS WAF](waf-custom-request-response.md) 단원을 참조하십시오.
1. (선택 사항) 규칙 구성에서 보호 팩(웹 ACL)의 규칙에 대한 설정을 사용자 지정합니다.
+ **기본 속도 제한** - 가용성에 영향을 미치거나 보안을 손상시키거나 과도한 리소스를 소비할 수 있는 서비스 거부(DoS) 공격을 차단하도록 속도 제한을 설정합니다. 이 규칙 속도는 애플리케이션에 허용되는 속도를 초과하는 IP 주소당 요청을 차단합니다. 자세한 내용은 [에서 속도 기반 규칙 문 사용 AWS WAF](waf-rule-statement-type-rate-based.md) 섹션을 참조하세요.
+ **IP 주소** - 차단하거나 허용할 IP 주소를 입력합니다. 이 설정은 다른 규칙을 재정의합니다.
+ **국가별 오리진** - 지정된 국가의 요청을 차단하거나 모든 트래픽을 계산합니다.
1. **로깅 대상**에서 로깅 대상 유형과 로그를 저장할 위치를 구성합니다. 자세한 내용은 [AWS WAF 로깅 대상](logging-destinations.md) 단원을 참조하십시오.
1. 설정을 검토하고 **보호 팩(웹 ACL) 추가**를 선택합니다.
------
#### [ Using the standard console ]
이 섹션에서는 AWS 콘솔을 통해 웹 ACLs을 생성하는 절차를 제공합니다.
새 웹 ACL을 생성하려면 이 페이지의 절차에 따라 웹 ACL 생성 마법사를 사용합니다.
**프로덕션 트래픽 위험**
프로덕션 트래픽용 웹 ACL에 변경 사항을 배포하기 전에 트래픽에 대한 잠재적 영향을 파악할 때까지 스테이징 또는 테스트 환경에서 변경 사항을 테스트하고 조정하십시오. 그런 다음 업데이트된 규칙을 프로덕션 트래픽과 함께 계산 모드에서 테스트하고 조정한 다음 활성화하십시오. 자세한 지침은 [AWS WAF 보호 기능 테스트 및 튜닝](web-acl-testing.md)을 참조하세요.
**참고**
보호 팩(웹 ACL)에서 1,500개가 넘는 WCU를 사용하면 기본 보호 팩(웹 ACL) 가격을 초과하는 비용이 발생합니다. 자세한 내용은 [의 웹 ACL 용량 단위(WCUs) AWS WAF](aws-waf-capacity-units.md) 및 [AWS WAF 요금](https://aws.amazon.com/waf/pricing/)을 참조하세요.
**웹 ACL 생성**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) AWS WAF 콘솔을 엽니다.
1. 탐색 창에서 **웹 ACL**을 선택한 다음 **웹 ACL 생성**을 선택합니다.
1. **이름**에 이 웹 ACL을 식별하는 데 사용할 이름을 입력합니다.
**참고**
웹 ACL을 생성한 후에는 명칭을 변경할 수 없습니다.
1. (선택 사항) 원할 경우 **설명 - 선택 사항**에 웹 ACL에 대한 자세한 설명을 입력합니다.
1. **CloudWatch 지표 명칭**에서 기본 명칭을 변경합니다(해당되는 경우). 유효한 문자를 보려면 콘솔의 지침을 따르십시오. 이름은 "All" 및 "Default\$1Action" AWS WAF을 포함하여 특수 문자, 공백 또는 예약된 지표 이름을 포함할 수 없습니다.
**참고**
웹 ACL을 생성한 후에는 CloudWatch 지표 이름을 변경할 수 없습니다.
1. **리소스 유형에서** 이 웹 ACL과 연결할 AWS 리소스 범주(Amazon CloudFront 배포 또는 리전 리소스)를 선택합니다. 자세한 내용은 [보호와 AWS 리소스의 연결 또는 연결 해제](web-acl-associating-aws-resource.md) 단원을 참조하십시오.
1. **리전**에서 리전 리소스 유형을 선택한 경우 웹 ACL을 AWS WAF 저장할 리전을 선택합니다.
리전 리소스 유형에 대해서만 이 옵션을 선택해야 합니다. CloudFront 배포의 경우 리전은 글로벌(CloudFront) 애플리케이션에 대해 미국 동부(버지니아 북부) 리전 `us-east-1`로 하드코딩됩니다.
1. (CloudFront, API Gateway, Amazon Cognito, App Runner, Verified Access) **웹 요청 검사 크기 제한 - 선택 사항**의 경우 다른 본문 검사 크기 제한을 지정하려면 제한을 선택합니다. 기본값인 16KB를 초과하는 본문 크기를 검사할 경우 추가 비용이 발생할 수 있습니다. 이 옵션에 대한 자세한 내용은 [에서 본문 검사 관리에 대한 고려 사항 AWS WAF](web-acl-setting-body-inspection-limit.md) 섹션을 참조하세요.
1. (선택 사항) **연결된 AWS 리소스 - 선택 사항**에서 지금 리소스를 지정하려면 **리소스 추가 AWS **를 선택합니다. 대화 상자에서 연결할 리소스를 선택한 다음 **추가**를 선택합니다. **웹 ACL 및 관련 AWS 리소스 설명** 페이지로 AWS WAF 돌아갑니다.
**참고**
Application Load Balancer를 웹 ACL과 연결하도록 선택하면 **리소스 수준 DDoS 보호**가 활성화됩니다. 자세한 내용은 [AWS WAF 분산 서비스 거부(DDoS) 방지](waf-anti-ddos.md) 단원을 참조하십시오.
1. **다음**을 선택합니다.
1. (선택 사항) 관리형 규칙 그룹을 추가하고 싶으면 **규칙 및 규칙 그룹 추가** 페이지에서 **규칙 추가**를 선택한 다음 **관리형 규칙 그룹 추가**를 선택합니다. 추가할 각 관리형 규칙 그룹에 대해 다음을 수행합니다.
1. **관리형 규칙 그룹 추가** 페이지에서 관리형 규칙 그룹 또는 원하는 AWS Marketplace 판매자의 목록을 AWS 확장합니다.
1. 추가하려는 규칙 그룹에 대해 **작업** 열에서 **웹 ACL에 추가** 토글을 켭니다.
웹 ACL에서 규칙 그룹을 사용하는 방식을 사용자 지정하려면 **편집**을 선택합니다. 다음은 일반적인 사용자 지정 설정입니다.
+ 일부 또는 모든 규칙의 규칙 작업을 재정의합니다. 규칙에 대한 재정의 작업을 정의하지 않는 경우 평가 시 규칙 그룹 내부에 정의된 규칙 작업이 사용됩니다. 이 옵션에 대한 자세한 내용은 [에서 규칙 그룹 작업 재정의 AWS WAF](web-acl-rule-group-override-options.md) 단원을 참조하세요.
+ 범위 축소문을 추가하여 규칙 그룹이 검사하는 웹 요청의 범위를 줄입니다. 이 옵션에 대한 자세한 내용은 [에서 범위 축소 문 사용 AWS WAF](waf-rule-scope-down-statements.md) 단원을 참조하세요.
+ 일부 관리형 규칙 그룹에서는 추가 구성을 제공해야 합니다. 관리형 규칙 그룹 공급자가 제공한 설명서를 참조하세요. AWS 관리형 규칙 규칙 그룹에 대한 자세한 내용은 섹션을 참조하세요[AWS 에 대한 관리형 규칙 AWS WAF](aws-managed-rule-groups.md).
설정을 완료했으면 **규칙 저장**을 선택합니다.
**규칙 추가**를 선택하여 관리형 규칙 추가를 완료하고 **규칙 및 규칙 그룹 추가** 페이지로 돌아갑니다.
**참고**
웹 ACL에 둘 이상의 규칙을 추가하는 경우는 웹 ACL에 대해 나열된 순서대로 규칙을 AWS WAF 평가합니다. 자세한 내용은 [에서 규칙 및 규칙 그룹과 함께 보호 팩(웹 ACLs) 사용 AWS WAF](web-acl-processing.md) 단원을 참조하십시오.
1. (선택 사항) 자체 규칙 그룹을 추가하려면 **규칙 및 규칙 그룹 추가** 페이지에서 **규칙 추가**를 선택한 다음, **자체 규칙 및 규칙 그룹 추가**를 선택합니다. 추가할 각 규칙 그룹에 대해 다음을 수행합니다.
1. **자체 규칙 및 규칙 그룹 추가**에서 **규칙 그룹**을 선택합니다.
1. **이름**에 이 웹 ACL의 규칙 그룹 규칙에 사용할 이름을 입력합니다. `AWS`, `Shield`, `PreFM` 또는 `PostFM`으로 시작하는 이름은 사용하면 안 됩니다. 이러한 문자열은 예약되어 있거나 다른 서비스에서 관리되는 규칙 그룹과 혼동될 수 있습니다. [다른 서비스에서 제공하는 규칙 그룹 인지](waf-service-owned-rule-groups.md)을(를) 참조하세요.
1. 목록에서 규칙 그룹을 선택합니다.
**참고**
자체 규칙 그룹에 대한 규칙 작업을 재정의하려면 먼저 웹 ACL에 저장한 다음 웹 ACL의 규칙 목록에서 웹 ACL과 규칙 그룹 참조 문을 편집합니다. 관리형 규칙 그룹에 대해 수행할 수 있는 작업과 마찬가지로 규칙 작업을 유효한 작업 설정으로 재정의할 수 있습니다.
1. **규칙 추가**를 선택합니다.
1. (선택 사항) 자체 규칙 그룹을 추가하려면 **규칙 및 규칙 그룹 추가** 페이지에서 **규칙 추가**, **자체 규칙 및 규칙 그룹 추가**, **규칙 빌더**, 그리고 **규칙 시각적 편집기**를 차례로 선택합니다.
**참고**
콘솔의 **규칙 시각적 편집기**에서는 한 수준의 중첩을 지원합니다. 예를 들어 단일 논리적 `AND` 또는 `OR` 문을 사용하고 그 안에 한 수준의 다른 명령문을 중첩할 수 있지만 논리적 문 내에 논리적 문을 중첩할 수는 없습니다. 보다 복잡한 규칙 문을 관리하려면 **규칙 JSON 편집기**를 사용합니다. 규칙의 모든 옵션에 대한 자세한 내용은 [AWS WAF 규칙](waf-rules.md) 단원을 참조하세요.
이 절차에서는 **규칙 시각적 편집기**에 대해 설명합니다.
1. **이름**에 이 규칙을 식별하는 데 사용할 이름을 입력합니다. `AWS`, `Shield`, `PreFM` 또는 `PostFM`으로 시작하는 이름은 사용하면 안 됩니다. 이러한 문자열은 예약되어 있거나 다른 서비스에서 관리되는 규칙 그룹과 혼동될 수 있습니다.
1. 필요에 따라 규칙 정의를 입력합니다. 논리적 `AND` 및 `OR` 규칙 문 내에서 규칙을 결합할 수 있습니다. 마법사는 컨텍스트에 따라 각 규칙에 대한 옵션을 안내합니다. 규칙 옵션에 대한 자세한 내용은 [AWS WAF 규칙](waf-rules.md) 단원을 참조하세요.
1. **작업**에서 웹 요청과 일치할 때 규칙에서 수행할 작업을 선택합니다. 선택 사항에 대한 자세한 내용은 [에서 규칙 작업 사용 AWS WAF](waf-rule-action.md) 및 [에서 규칙 및 규칙 그룹과 함께 보호 팩(웹 ACLs) 사용 AWS WAF](web-acl-processing.md) 단원을 참조하세요.
**CAPTCHA** 또는 **Challenge** 작업을 사용하는 경우 규칙에 필요한 만큼 **면제 시간** 구성을 조정합니다. 설정을 지정하지 않으면 규칙이 웹 ACL에서 설정을 상속합니다. 웹 ACL 면제 시간 설정을 수정하려면 웹 ACL을 생성한 후 편집합니다. 면제 시간에 대한 자세한 내용은 [에서 타임스탬프 만료 및 토큰 면제 시간 설정 AWS WAF](waf-tokens-immunity-times.md) 섹션을 참조하세요.
**참고**
규칙 중 하나에서 또는 규칙 그룹 내 규칙 작업 재정의로서 CAPTCHA 또는 Challenge 규칙 작업을 사용하는 경우 추가 요금이 부과됩니다. 자세한 내용은 [AWS WAF 요금](https://aws.amazon.com/waf/pricing/)을 참조하세요.
요청 또는 응답을 사용자 지정하려면 해당 옵션을 선택하고 사용자 지정의 세부 정보를 입력합니다. 자세한 내용은 [의 사용자 지정 웹 요청 및 응답 AWS WAF](waf-custom-request-response.md) 단원을 참조하십시오.
규칙을 통해 일치하는 웹 요청에 레이블이 추가되도록 하려면 해당 옵션을 선택하고 레이블 세부 정보를 채웁니다. 자세한 내용은 [의 웹 요청 레이블 지정 AWS WAF](waf-labels.md) 단원을 참조하십시오.
1. **규칙 추가**를 선택합니다.
1. 웹 ACL에 대한 기본 작업을 Block 또는 Allow으로 선택합니다. 이는 웹 ACL의 규칙이 명시적으로 허용하거나 차단하지 않을 때 요청을 AWS WAF 처리하는 작업입니다. 자세한 내용은 [에서 보호 팩(웹 ACL) 기본 작업 설정 AWS WAF](web-acl-default-action.md) 단원을 참조하십시오.
기본 작업을 사용자 지정하려면 해당 옵션을 선택하고 사용자 지정의 세부 정보를 입력합니다. 자세한 내용은 [의 사용자 지정 웹 요청 및 응답 AWS WAF](waf-custom-request-response.md) 단원을 참조하십시오.
1. **토큰 도메인 목록**을 정의하여 보호된 애플리케이션 간에 토큰을 공유하도록 할 수 있습니다. 토큰은 CAPTCHA 사기 제어 계정 생성 사기 방지(ACFP), AWS WAF 사기 제어 AWS WAF 계정 탈취 방지(ATP) 및 AWS WAF Bot Control에 관리 AWS 형 규칙 그룹을 사용할 때 및 Challenge 작업과 구현하는 애플리케이션 통합 SDKs에서 사용됩니다.
공개 접미사는 허용되지 않습니다. 예를 들면 `gov.au` 또는 `co.uk`를 토큰 도메인으로 사용할 수 없습니다.
기본적으로는 보호된 리소스의 도메인에 대해서만 토큰을 AWS WAF 허용합니다. 이 목록에 토큰 도메인을 추가하면는 목록의 모든 도메인과 연결된 리소스의 도메인에 대한 토큰을 AWS WAF 수락합니다. 자세한 내용은 [AWS WAF 보호 팩(웹 ACL) 토큰 도메인 목록 구성](waf-tokens-domains.md#waf-tokens-domain-lists) 단원을 참조하십시오.
1. **다음**을 선택합니다.
1. **규칙 우선 순위 설정** 페이지에서 규칙 및 규칙 그룹을 선택하고 처리 AWS WAF 하려는 순서로 이동합니다.는 목록 상단에서 시작하는 규칙을 AWS WAF 처리합니다. 웹 ACL은 저장하면 AWS WAF 는 나열된 순서대로 규칙에 숫자 우선 순위 설정을 할당합니다. 자세한 내용은 [규칙 우선 순위 설정](web-acl-processing-order.md) 단원을 참조하십시오.
1. **다음**을 선택합니다.
1. **지표 구성** 페이지에서 옵션을 검토하고 필요한 업데이트를 적용합니다. 동일한 **CloudWatch 지표 이름**을 제공하여 여러 소스에서 지표를 결합할 수 있습니다.
1. **다음**을 선택합니다.
1. **웹 ACL 검토 및 생성** 페이지에서 사용자 정의를 확인합니다. 영역을 변경하려면 해당 영역에 대해 **편집**을 선택합니다. 그러면 웹 ACL 마법사의 페이지로 돌아갑니다. 변경한 후 페이지에서 계속 **다음**을 선택하여 **웹 ACL 검토 및 생성** 페이지로 돌아옵니다.
1. **Create web ACL(웹 ACL 생성)**을 선택합니다. 새 웹 ACL이 **웹 ACL** 페이지에 나열됩니다.
------
# 에서 보호 팩(웹 ACL) 편집 AWS WAF
------
#### [ Using the new console ]
이 섹션에서는 AWS 콘솔을 통해 보호 팩(웹 ACLs)을 편집하는 절차를 제공합니다.
보호 팩(웹 ACL)에서 규칙을 추가 또는 제거하거나 구성 설정을 변경하려면 이 페이지의 절차를 사용하여 보호 팩(웹 ACL)에 액세스합니다. 보호 팩(웹 ACL)을 업데이트하는 동안는 보호 팩(웹 ACL)과 연결된 리소스에 지속적인 적용 범위를 AWS WAF 제공합니다.
**프로덕션 트래픽 위험**
프로덕션 트래픽용 보호 팩(웹 ACL)의 변경 사항을 배포하기 전에 트래픽에 대한 잠재적 영향을 파악할 때까지 스테이징 또는 테스트 환경에서 변경 사항을 테스트하고 조정합니다. 그런 다음 업데이트된 규칙을 프로덕션 트래픽과 함께 계산 모드에서 테스트하고 조정한 다음 활성화하십시오. 자세한 지침은 [AWS WAF 보호 기능 테스트 및 튜닝](web-acl-testing.md)을 참조하세요.
**참고**
보호 팩(웹 ACL)에서 1,500개가 넘는 WCU를 사용하면 기본 보호 팩(웹 ACL) 가격을 초과하는 비용이 발생합니다. 자세한 내용은 [의 웹 ACL 용량 단위(WCUs) AWS WAF](aws-waf-capacity-units.md) 및 [AWS WAF 요금](https://aws.amazon.com/waf/pricing/)을 참조하세요.
**보호 팩(웹 ACL) 편집**
1. 새에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro) AWS WAF 콘솔을 엽니다.
1. 탐색 창에서 **리소스 및 보호 팩(웹 ACL)**을 선택합니다.
1. 편집하려는 보호 팩(웹 ACL)을 선택합니다. 콘솔을 사용하면 기본 보호 팩(웹 ACL) 카드를 편집할 수 있으며 편집할 수 있는 세부 정보가 포함된 사이드 패널도 열립니다.
1. 필요에 따라 보호 팩(웹 ACL)을 편집합니다.
다음은 편집 가능한 보호 팩(웹 ACL) 구성의 구성 요소입니다.
이 섹션에서는 AWS 콘솔을 통해 웹 ACLs을 편집하는 절차를 제공합니다.
웹 ACL에서 규칙을 추가 또는 제거하거나 구성 설정을 변경하려면 이 페이지의 절차를 사용하여 웹 ACL에 액세스합니다. 웹 ACL을 업데이트하는 동안는 웹 ACL과 연결된 리소스에 대한 지속적인 적용 범위를 AWS WAF 제공합니다.
**프로덕션 트래픽 위험**
프로덕션 트래픽용 웹 ACL에 변경 사항을 배포하기 전에 트래픽에 대한 잠재적 영향을 파악할 때까지 스테이징 또는 테스트 환경에서 변경 사항을 테스트하고 조정하십시오. 그런 다음 업데이트된 규칙을 프로덕션 트래픽과 함께 계산 모드에서 테스트하고 조정한 다음 활성화하십시오. 자세한 지침은 [AWS WAF 보호 기능 테스트 및 튜닝](web-acl-testing.md)을 참조하세요.
**참고**
보호 팩(웹 ACL)에서 1,500개가 넘는 WCU를 사용하면 기본 보호 팩(웹 ACL) 가격을 초과하는 비용이 발생합니다. 자세한 내용은 [의 웹 ACL 용량 단위(WCUs) AWS WAF](aws-waf-capacity-units.md) 및 [AWS WAF 요금](https://aws.amazon.com/waf/pricing/)을 참조하세요.
**업데이트 중 일시적인 불일치**
보호 팩(웹 ACL) 또는 기타 AWS WAF 리소스를 생성하거나 변경할 때 리소스가 저장된 모든 영역에 변경 사항이 전파되는 데 약간의 시간이 걸립니다. 전파 시간은 몇 초\$1몇 분이 걸릴 수 있습니다.
다음은 변경 전파 중에 표시될 수 있는 일시적 불일치의 예입니다.
+ 보호 팩(웹 ACL)을 생성한 후 이를 리소스에 연결하려고 하면 보호 팩(웹 ACL)을 사용할 수 없다는 예외가 발생할 수 있습니다.
+ 보호 팩(웹 ACL)에 규칙 그룹을 추가한 후 새 규칙 그룹 규칙이 보호 팩(웹 ACL)이 사용되는 한 영역에는 적용되고 다른 영역에서는 적용되지 않을 수 있습니다.
+ 규칙 작업 설정을 변경한 후 일부 위치에서 이전 작업이 표시되고 다른 위치에서는 새 작업이 표시될 수 있습니다.
+ 차단 규칙에서 사용되는 IP 집합에 IP 주소를 추가한 후 새 주소가 한 영역에서는 차단되는데 다른 영역에서 계속 허용될 수도 있습니다.
------
#### [ Using the standard console ]
이 섹션에서는 AWS 콘솔을 통해 웹 ACL을 편집하는 절차를 제공합니다.
웹 ACL에서 규칙을 추가 또는 제거하거나 구성 설정을 변경하려면 이 페이지의 절차를 사용하여 웹 ACL에 액세스합니다. 웹 ACL을 업데이트하는 동안는 웹 ACL과 연결된 리소스에 대한 지속적인 적용 범위를 AWS WAF 제공합니다.
**프로덕션 트래픽 위험**
프로덕션 트래픽용 웹 ACL에 변경 사항을 배포하기 전에 트래픽에 대한 잠재적 영향을 파악할 때까지 스테이징 또는 테스트 환경에서 변경 사항을 테스트하고 조정하십시오. 그런 다음 업데이트된 규칙을 프로덕션 트래픽과 함께 계산 모드에서 테스트하고 조정한 다음 활성화하십시오. 자세한 지침은 [AWS WAF 보호 기능 테스트 및 튜닝](web-acl-testing.md)을 참조하세요.
**참고**
보호 팩(웹 ACL)에서 1,500개가 넘는 WCU를 사용하면 기본 보호 팩(웹 ACL) 가격을 초과하는 비용이 발생합니다. 자세한 내용은 [의 웹 ACL 용량 단위(WCUs) AWS WAF](aws-waf-capacity-units.md) 및 [AWS WAF 요금](https://aws.amazon.com/waf/pricing/)을 참조하세요.
**웹 ACL을 편집하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) AWS WAF 콘솔을 엽니다.
1. 탐색 창에서 **웹 ACL**을 선택합니다.
1. 편집하려는 웹 ACL의 명칭을 선택합니다. 콘솔에서 웹 ACL의 설명으로 이동합니다.
1. 필요에 따라 웹 ACL을 편집합니다. 관심 있는 구성 영역의 탭을 선택하고 변경 가능한 설정을 편집합니다. 편집하는 각 설정에 대해 **저장**을 선택하고 웹 ACL의 설명 페이지로 돌아가면 콘솔에서 웹 ACL에 대한 변경 내용이 저장됩니다.
다음 목록에는 웹 ACL 구성 구성 요소를 포함하는 탭이 나와 있습니다.
+ **규칙** 탭
+ **웹 ACL에 정의된 규칙** - 웹 ACL을 생성할 때와 마찬가지로 웹 ACL에 정의한 규칙을 편집하고 관리할 수 있습니다.
**참고**
웹 ACL에 직접 추가하지 않은 규칙의 이름은 변경하면 안 됩니다. 다른 서비스를 사용하여 규칙을 관리하는 경우 이름을 변경하면 의도한 보호를 제공할 수 있는 기능이 제거되거나 줄어들 수 있습니다. AWS Shield Advanced 및 AWS Firewall Manager 둘 다 웹 ACL에서 규칙을 생성할 수 있습니다. 자세한 내용은 [다른 서비스에서 제공하는 규칙 그룹 인지](waf-service-owned-rule-groups.md) 단원을 참조하세요.
**참고**
규칙 이름을 변경하고 규칙의 지표 이름에 변경 사항이 반영되도록 하려면 지표 이름도 업데이트해야 합니다. 규칙 이름을 변경할 때 AWS WAF 는 규칙의 지표 이름을 자동으로 업데이트하지 않습니다. 콘솔에서 규칙을 편집할 때 규칙 JSON 편집기를 사용하여 지표 이름을 변경할 수 있습니다. API와 보호 팩(웹 ACL) 또는 규칙 그룹을 정의하는 데 사용하는 JSON 목록을 통해 두 이름을 모두 변경할 수도 있습니다.
규칙 및 규칙 그룹 설정에 대한 자세한 내용은 [AWS WAF 규칙](waf-rules.md) 및 [AWS WAF 규칙 그룹](waf-rule-groups.md) 섹션을 참조하세요.
+ **사용된 웹 ACL 규칙 용량 단위** - 웹 ACL의 현재 용량 사용량입니다. 보기 전용입니다.
+ **어떤 규칙과도 일치하지 않는 요청에 대한 기본 웹 ACL 작업** - 이 설정에 대한 자세한 내용은 [에서 보호 팩(웹 ACL) 기본 작업 설정 AWS WAF](web-acl-default-action.md) 섹션을 참조하세요.
+ **웹 ACL CAPTCHA 및 챌린지 구성** - 이러한 면제 시간은 CAPTCHA 또는 챌린지 토큰의 획득 후 유효 기간을 결정합니다. 이 설정은 웹 ACL을 생성한 후에만 여기에서 수정할 수 있습니다. 이 설정에 대한 내용은 [에서 타임스탬프 만료 및 토큰 면제 시간 설정 AWS WAF](waf-tokens-immunity-times.md)을 참조하세요.
+ **토큰 도메인 목록** - 목록의 모든 도메인과 연결된 리소스의 도메인에 대한 토큰을 AWS WAF 수락합니다. 자세한 내용은 [AWS WAF 보호 팩(웹 ACL) 토큰 도메인 목록 구성](waf-tokens-domains.md#waf-tokens-domain-lists) 단원을 참조하십시오.
+ **연결된 AWS 리소스** 탭
+ **웹 요청 검사 크기 제한** — CloudFront 배포를 보호하는 웹 ACL에만 포함됩니다. 본문 검사 크기 제한은 검사를 AWS WAF 위해에 전달되는 본문 구성 요소의 양을 결정합니다. 이 설정에 대한 자세한 내용을 알아보려면 [에서 본문 검사 관리에 대한 고려 사항 AWS WAF](web-acl-setting-body-inspection-limit.md) 섹션을 참조하세요.
+ **연결된 AWS 리소스** — 웹 ACL이 현재 연결되어 보호하고 있는 리소스 목록입니다. 웹 ACL과 동일한 리전 내에 있는 리소스를 찾아 웹 ACL에 연결할 수 있습니다. 자세한 내용은 [보호와 AWS 리소스의 연결 또는 연결 해제](web-acl-associating-aws-resource.md) 단원을 참조하십시오.
+ **사용자 지정 응답 본문** 탭
+ 작업이 Block으로 설정된 웹 ACL 규칙에서 사용할 수 있는 사용자 지정 응답 본문입니다. 자세한 내용은 [Block 작업에 대한 사용자 지정 응답 전송](customizing-the-response-for-blocked-requests.md) 단원을 참조하십시오.
+ **로깅 및 지표** 탭
+ **로깅** - 웹 ACL에서 평가하는 트래픽에 대한 로깅입니다. 자세한 내용은 [AWS WAF 보호 팩(웹 ACL) 트래픽 로깅](logging.md) 단원을 참조하세요.
+ **Security Lake 통합** - Amazon Security Lake에서 웹 ACL에 대해 구성한 모든 데이터 수집의 상태입니다. 자세한 내용은 *Amazon Security Lake 사용 설명서*의 [AWS 서비스에서 데이터 수집](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html)을 참조하세요.
+ **샘플링된 요청** - 웹 요청과 일치하는 규칙에 대한 정보입니다. 샘플링된 요청 보기에 대한 자세한 내용은 [웹 요청 샘플 보기](web-acl-testing-view-sample.md) 섹션을 참조하세요.
+ **데이터 보호 설정** - 웹 ACL에 사용할 수 있는 모든 데이터와가 구성된 웹 ACL 로깅 대상으로 AWS WAF 전송하는 데이터에 대해서만 웹 트래픽 데이터 편집 및 필터링을 구성할 수 있습니다. 데이터 보호에 대한 자세한 내용은 [보호 팩(웹 ACL) 트래픽에 대한 데이터 AWS WAF 보호 및 로깅](waf-data-protection-and-logging.md) 섹션을 참조하세요.
+ **CloudWatch 지표** — 웹 ACL의 규칙에 대한 지표입니다. Amazon CloudWatch 지표에 대한 자세한 내용은 [Amazon CloudWatch를 사용한 모니터링](monitoring-cloudwatch.md) 섹션을 참조하세요.
**업데이트 중 일시적인 불일치**
보호 팩(웹 ACL) 또는 기타 AWS WAF 리소스를 생성하거나 변경할 때 리소스가 저장된 모든 영역에 변경 사항이 전파되는 데 약간의 시간이 걸립니다. 전파 시간은 몇 초\$1몇 분이 걸릴 수 있습니다.
다음은 변경 전파 중에 표시될 수 있는 일시적 불일치의 예입니다.
+ 보호 팩(웹 ACL)을 생성한 후 이를 리소스에 연결하려고 하면 보호 팩(웹 ACL)을 사용할 수 없다는 예외가 발생할 수 있습니다.
+ 보호 팩(웹 ACL)에 규칙 그룹을 추가한 후 새 규칙 그룹 규칙이 보호 팩(웹 ACL)이 사용되는 한 영역에는 적용되고 다른 영역에서는 적용되지 않을 수 있습니다.
+ 규칙 작업 설정을 변경한 후 일부 위치에서 이전 작업이 표시되고 다른 위치에서는 새 작업이 표시될 수 있습니다.
+ 차단 규칙에서 사용되는 IP 집합에 IP 주소를 추가한 후 새 주소가 한 영역에서는 차단되는데 다른 영역에서 계속 허용될 수도 있습니다.
------
# 규칙 그룹 동작 관리
이 섹션에서는 보호 팩(웹 ACL)에서 규칙 그룹을 사용하는 방법을 수정하는 옵션에 대해 설명합니다. 이 정보는 모든 규칙 그룹 유형에 적용됩니다. 보호 팩(웹 ACL)에 규칙 그룹을 추가한 후 규칙 그룹에 있는 개별 규칙의 작업을 Count 또는 다른 유효한 규칙 작업 설정으로 재정의할 수 있습니다. 또한 규칙 그룹의 결과 작업을 Count로 재정의할 수 있으며, 이 경우 규칙 그룹 내에서 규칙이 평가되는 방식에는 영향이 미치지 않습니다.
이러한 옵션에 대한 자세한 내용은 [에서 규칙 그룹 작업 재정의 AWS WAF](web-acl-rule-group-override-options.md) 섹션을 참조하세요.
## 규칙 그룹에 대한 규칙 작업 재정의
보호 팩(웹 ACL)의 각 규칙 그룹에서 모든 규칙 또는 일부 규칙에 대해 포함된 규칙의 작업을 재정의할 수 있습니다.
가장 일반적인 사용 사례는 규칙 작업을 Count로 재정의하여 새 규칙 또는 업데이트된 규칙을 테스트하는 경우입니다. 지표가 활성화된 경우에는 재정의하는 각 규칙에 대해 지표를 수신하게 됩니다. 테스트에 대한 자세한 내용은 [AWS WAF 보호 기능 테스트 및 튜닝](web-acl-testing.md) 섹션을 참조하세요.
이러한 변경은 보호 팩(웹 ACL)에 관리형 규칙 그룹을 추가할 때 수행할 수 있으며 보호 팩(웹 ACL)을 편집할 때 모든 유형의 규칙 그룹에 변경을 수행할 수 있습니다. 이러한 지침은 보호 팩(웹 ACL)에 이미 추가된 규칙 그룹에 적용됩니다. 이 옵션에 대한 추가 정보는 [규칙 그룹 규칙 작업 재정의](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules) 섹션을 참조하세요.
------
#### [ Using the new console ]
**규칙 그룹에 대한 규칙 작업을 재정의하려면**
1. 편집하려는 보호 팩(웹 ACL)을 선택합니다. 콘솔을 사용하면 기본 보호 팩(웹 ACL) 카드를 편집할 수 있으며 편집할 수 있는 세부 정보가 포함된 사이드 패널도 열립니다.
1. 보호 팩(웹 ACL) 카드에서 **규칙** 옆의 **편집** 링크를 선택하여 **규칙 관리** 패널을 엽니다.
1. 규칙 그룹의 **규칙 관리** 섹션에서 관리형 규칙을 선택하여 작업 설정을 엽니다.
+ **규칙 그룹 재정의** - 규칙 그룹 작업을 개수 모드로 변경하지만 모든 개별 규칙 작업은 변경되지 않습니다.
+ **모든 규칙 작업 재정의** - 모든 규칙에 규칙 작업을 적용하여 현재 상태를 재정의합니다.
+ **단일 규칙 재정의** - 개별 규칙에 규칙 작업을 적용합니다.
1. 변경 작업을 마치면 **규칙 저장**을 선택합니다.
------
#### [ Using the standard console ]
**규칙 그룹에 대한 규칙 작업을 재정의하려면**
1. 웹 ACL을 편집합니다.
1. 웹 ACL 페이지의 **규칙** 탭에서 규칙 그룹을 선택한 다음 **편집**을 선택합니다.
1. 규칙 그룹의 **규칙** 섹션에서 필요에 따라 작업 설정을 관리합니다.
+ **모든 규칙** - 규칙 그룹의 모든 규칙에 대해 재정의 작업을 설정하려면 **모든 규칙 작업 재정의** 드롭다운을 열고 재정의 작업을 선택합니다. 모든 규칙의 재정의를 제거하려면 **모든 재정의 제거**를 선택합니다.
+ **단일 규칙** - 단일 규칙에 대해 재정의 작업을 설정하려면 규칙의 드롭다운을 열고 재정의 작업을 선택합니다. 규칙의 재정의를 제거하려면 규칙의 드롭다운을 열고 **재정의 제거**를 선택합니다.
1. 변경 작업을 마치면 **규칙 저장**을 선택합니다. 규칙 작업 및 재정의 작업 설정은 규칙 그룹 페이지에 나열되어 있습니다.
------
다음의 JSON 목록 예제는 규칙 `CategoryVerifiedSearchEngine` 및 `CategoryVerifiedSocialMedia`에 대한 규칙 작업을 Count로 재정의하는 보호 팩(웹 ACL) 내부의 규칙 그룹 선언을 보여줍니다. JSON에서는 각 개별 규칙마다 `RuleActionOverrides` 항목을 제공하여 모든 규칙 작업을 재정의합니다.
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet",
"RuleActionOverrides": [
{
"ActionToUse": {
"Count": {}
},
"Name": "CategoryVerifiedSearchEngine"
},
{
"ActionToUse": {
"Count": {}
},
"Name": "CategoryVerifiedSocialMedia"
}
],
"ExcludedRules": []
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
}
}
```
## 규칙 그룹의 평가 결과를 Count로 재정의
규칙 그룹의 규칙이 구성되거나 평가되는 방식을 변경하지 않고도 규칙 그룹 평가로 인해 발생하는 작업을 재정의할 수 있습니다. 이 옵션은 일반적으로 사용되지 않습니다. 규칙 그룹의 규칙 중 하나라도 일치하는 경우 이 재정의는 규칙 그룹의 결과 동작을 Count로 설정합니다.
**참고**
이는 흔하지 않은 사용 사례입니다. 대부분의 작업 재정의는 [규칙 그룹에 대한 규칙 작업 재정의](#web-acl-rule-group-rule-action-override)에 설명된 대로 규칙 그룹 내에서 규칙 수준에서 수행됩니다.
규칙 그룹을 추가하거나 편집할 때 보호 팩(웹 ACL)에서 규칙 그룹의 결과 작업을 재정의할 수 있습니다. 콘솔에서 규칙 그룹의 **규칙 그룹 재정의(선택 사항)** 창을 열고 재정의를 활성화합니다. JSON에서는 다음 예제 목록에 표시된 것처럼 규칙 그룹 문에서 `OverrideAction`을 설정합니다.
```
{
"Name": "AWS-AWSBotControl-Example",
"Priority": 5,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesBotControlRuleSet"
}
},
"OverrideAction": {
"Count": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSBotControl-Example"
}
}
```
# 보호와 AWS 리소스의 연결 또는 연결 해제
AWS WAF 를 사용하여 보호 팩(웹 ACLs)과 리소스 간에 다음과 같은 연결을 생성할 수 있습니다.
+ 리전 보호 팩(웹 ACL)을 아래 나열된 리전 리소스 중 하나와 연결합니다. 이 옵션의 경우 보호 팩(웹 ACL)이 리소스와 동일한 리전에 있어야 합니다.
+ Amazon API Gateway REST API
+ Application Load Balancer
+ AWS AppSync GraphQL API
+ Amazon Cognito 사용자 풀
+ AWS App Runner 서비스
+ AWS Verified·Access 인스턴스
+ AWS Amplify
+ 글로벌 보호 팩(웹 ACL)을 Amazon CloudFront 배포와 연결합니다. 글로벌 보호 팩(웹 ACL)에 미국 동부 (버지니아 북부) 리전이 하드 코딩됩니다.
배포 자체를 생성하거나 업데이트할 때 CloudFront 배포와 보호 팩(웹 ACL)을 연결할 수도 있습니다. 자세한 내용은 *Amazon CloudFront 개발자 안내서*의 [AWS WAF 를 사용하여 콘텐츠에 대한 액세스 제어를 참조하세요](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html).
**다중 연결에 대한 제한 사항**
다음 제한 사항에 따라 단일 보호 팩(웹 ACL)을 하나 이상의 AWS 리소스와 연결할 수 있습니다.
+ 각 AWS 리소스를 하나의 보호 팩(웹 ACL)에만 연결할 수 있습니다. 보호 팩(웹 ACL)과 AWS 리소스 간의 관계는 one-to-many입니다.
+ 보호 팩(웹 ACL)을 하나 이상의 CloudFront 배포와 연결할 수 있습니다. CloudFront 배포와 연결한 보호 팩(웹 ACL)을 다른 AWS 리소스 유형과 연결할 수 없습니다.
**추가 제한 사항**
보호 팩(웹 ACL) 연결에 적용되는 추가 제한은 다음과 같습니다.
+ 보호 팩(웹 ACL)은 AWS 리전안에 있는 Application Load Balancer에만 연결할 수 있습니다. 예를 들어, AWS Outposts에 있는 Application Load Balancer에는 보호 팩(웹 ACL)을 연결할 수 없습니다.
+ Amazon Cognito 사용자 풀을 AWS WAF 사기 제어 계정 생성 사기 방지(ACFP) 관리형 규칙 그룹 `AWSManagedRulesACFPRuleSet` 또는 AWS WAF 사기 제어 계정 탈취 방지(ATP) 관리형 규칙 그룹를 사용하는 보호 팩(웹 ACL)과 연결할 수 없습니다`AWSManagedRulesATPRuleSet`. 계정 생성 사기 방지에 대한 자세한 내용은 [AWS WAF 사기 제어 계정 생성 사기 방지(ACFP)](waf-acfp.md) 섹션을 참조하세요. 계정 탈취 방지에 대한 자세한 내용은 [AWS WAF 사기 제어 계정 탈취 방지(ATP)](waf-atp.md) 섹션을 참조하세요.
**프로덕션 트래픽 위험**
프로덕션 트래픽용 보호 팩(웹 ACL)을 배포하기 전에 트래픽에 대한 잠재적 영향을 파악할 때까지 스테이징 또는 테스트 환경에서 이를 테스트하고 조정합니다. 그런 다음 프로덕션 트래픽을 사용하여 규칙을 계수 모드에서 테스트하고 조정한 다음 활성화합니다. 자세한 지침은 [AWS WAF 보호 기능 테스트 및 튜닝](web-acl-testing.md)을 참조하세요.
# 보호와 AWS 리소스 연결
------
#### [ Using the new console ]
1. 편집하려는 보호 팩(웹 ACL)을 선택합니다. 콘솔을 사용하면 기본 보호 팩(웹 ACL) 카드를 편집할 수 있으며 편집할 수 있는 세부 정보가 포함된 사이드 패널도 열립니다.
1. 보호 팩(웹 ACL) 카드에서 **리소스** 옆의 **편집** 링크를 선택하여 **리소스 관리 **패널을 엽니다.
1. 규칙 그룹의 **리소스 관리** 섹션에서 **리전 리소스 추가** 또는 **글로벌 리소스 추가**를 선택합니다.
1. 리소스를 선택한 다음 **추가**를 선택합니다.
------
#### [ Using the standard console ]
웹 ACL을 AWS 리소스와 연결하려면 다음 절차를 수행합니다.
**웹 ACL을 AWS 리소스와 연결하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) AWS WAF 콘솔을 엽니다.
1. 탐색 창에서 **웹 ACL**을 선택합니다.
1. 리소스와 연결할 웹 ACL 이름을 선택합니다. 콘솔에서 웹 ACL의 설명으로 이동하여 여기에서 설명을 편집할 수 있습니다.
1. **연결된 AWS 리소스** 탭에서 ** AWS 리소스 추가**를 선택합니다.
1. 메시지가 표시되면 리소스 유형을 선택하고 연결할 리소스 옆에 있는 라디오 버튼을 선택한 다음 **추가**를 선택합니다.
------
# AWS 리소스에서 보호 연결 해제
------
#### [ Using the new console ]
1. 편집하려는 보호 팩(웹 ACL)을 선택합니다. 콘솔을 사용하면 기본 보호 팩(웹 ACL) 카드를 편집할 수 있으며 편집할 수 있는 세부 정보가 포함된 사이드 패널도 열립니다.
1. 보호 팩(웹 ACL) 카드에서 **리소스** 옆의 **편집** 링크를 선택하여 **리소스 관리 **패널을 엽니다.
1. 규칙 그룹의 **리소스 관리** 섹션에서 연결을 해제할 리소스를 선택한 다음 **연결 해제**를 선택합니다.
**참고**
한 번에 하나의 리소스만 연결 해제해야 합니다. 리소스를 여러 개 선택하지 마세요.
1. 확인 페이지에서 "연결 해제"를 입력한 다음 **연결 해제**를 선택합니다.
------
#### [ Using the standard console ]
AWS 리소스에서 웹 ACL을 연결 해제하려면 다음 절차를 수행합니다.
**AWS 리소스에서 웹 ACL을 연결 해제하려면**
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) AWS WAF 콘솔을 엽니다.
1. 탐색 창에서 **웹 ACL**을 선택합니다.
1. 리소스에서 연결을 해제할 웹 ACL의 이름을 선택합니다. 콘솔에서 웹 ACL의 설명으로 이동하여 여기에서 설명을 편집할 수 있습니다.
1. **연결된 AWS 리소스** 탭에서이 웹 ACL의 연결을 해제할 리소스를 선택합니다.
**참고**
한 번에 하나의 리소스만 연결 해제해야 합니다. 리소스를 여러 개 선택하지 마세요.
**참고**
Application Load Balancer를 webACL과 연결하도록 선택하면 **리소스 수준 DDoS 보호**가 활성화됩니다. 자세한 내용은 [AWS WAF 분산 서비스 거부(DDoS) 방지](waf-anti-ddos.md) 단원을 참조하십시오.
1. **연결 해제**를 선택합니다. 콘솔에 확인 대화상자가 열립니다. 웹 ACL을 AWS 리소스에서 연결 해제하도록 선택했는지 확인합니다.
------
# 에서 규칙 및 규칙 그룹과 함께 보호 팩(웹 ACLs) 사용 AWS WAF
이 섹션에서는 보호 팩(웹 ACL)이 규칙 및 규칙 그룹과 작동하는 방법에 대해 소개합니다.
보호 팩(웹 ACL)이 웹 요청을 처리하는 방법은 다음에 따라 다릅니다.
+ 보호 팩(웹 ACL) 및 규칙 그룹 내부에 있는 규칙의 숫자 우선 순위 설정
+ 규칙 및 보호 팩(웹 ACL)에 대한 작업 설정
+ 추가하는 규칙 그룹의 규칙에 적용하는 모든 재정의
규칙 작업 설정 목록은 [에서 규칙 작업 사용 AWS WAF](waf-rule-action.md)을 참조하세요.
규칙 작업 설정 및 기본 보호 팩(웹 ACL) 작업 설정에 요청 및 응답 처리를 사용자 지정할 수 있습니다. 자세한 내용은 [의 사용자 지정 웹 요청 및 응답 AWS WAF](waf-custom-request-response.md) 섹션을 참조하세요.
**Topics**
+ [규칙 우선 순위 설정](web-acl-processing-order.md)
+ [가 규칙 및 규칙 그룹 작업을 AWS WAF 처리하는 방법](web-acl-rule-actions.md)
+ [에서 규칙 그룹 작업 재정의 AWS WAF](web-acl-rule-group-override-options.md)
# 규칙 우선 순위 설정
이 섹션에서는 AWS WAF 가 숫자 우선 순위 설정을 사용하여 규칙의 평가 순서를 설정하는 방법을 설명합니다.
보호 팩(웹 ACL)과 모든 규칙 그룹 내에서 숫자 우선 순위 설정을 사용하여 규칙의 평가 순서를 결정합니다. 보호 팩(웹 ACL)의 각 규칙에 대해 해당 보호 팩(웹 ACL) 내에서 고유한 우선 순위 설정을 지정하고, 규칙 그룹의 각 규칙에 대해 해당 규칙 그룹 내에서 고유한 우선 순위 설정을 지정해야 합니다.
**참고**
규칙 그룹을 관리할 때 콘솔을 통해 보호 팩(웹 ACLs)은 목록의 규칙 순서에 따라 고유한 숫자 우선 순위 설정을 AWS WAF 할당합니다. AWS WAF 는 목록 상단의 규칙에 가장 낮은 숫자 우선 순위를 할당하고 하단의 규칙에 가장 높은 숫자 우선 순위를 할당합니다.
가 웹 요청에 대해 규칙 그룹, 보호 팩(웹 ACL)을 AWS WAF 평가할 때 평가를 종료하거나 모든 규칙을 소진하는 일치 항목을 찾을 때까지의 가장 낮은 숫자 우선 순위 설정에서 규칙을 평가합니다.
예를 들어 보호 팩(웹 ACL)에 다음과 같이 우선 순위가 지정된 다음 규칙 및 규칙 그룹이 있다고 가정해 보겠습니다.
+ 규칙 1 — 우선순위 0
+ 규칙 그룹 A — 우선순위 100
+ 규칙 A1 — 우선순위 10,000
+ 규칙 A2 — 우선순위 20,000
+ 규칙 2 — 우선순위 200
+ 규칙 그룹 B — 우선순위 300
+ 규칙 B1 — 우선순위 0
+ 규칙 B2 — 우선순위 1
AWS WAF 는이 보호 팩(웹 ACL)에 대한 규칙을 다음 순서로 평가합니다.
+ 규칙 1
+ 규칙 그룹 A 규칙 A1
+ 규칙 그룹 A 규칙 A2
+ 규칙 2
+ 규칙 그룹 B 규칙 B1
+ 규칙 그룹 B 규칙 B2
# 가 규칙 및 규칙 그룹 작업을 AWS WAF 처리하는 방법
이 섹션에서는가 규칙 및 규칙 그룹을 AWS WAF 사용하여 작업을 처리하는 방법을 설명합니다.
규칙 및 규칙 그룹을 구성할 때 일치하는 웹 요청을 AWS WAF 처리할 방법을 선택합니다.
+ **Allow 및 Block에서 작업 종료 중** - Allow 및 Block 작업이 일치하는 웹 요청에서 보호 팩(웹 ACL)의 다른 모든 처리를 중지합니다. 보호 팩(웹 ACL)의 규칙이 요청과 일치하는 항목을 찾고 규칙 작업이 Allow 또는 인 경우 Block해당 일치에 따라 보호 팩(웹 ACL)에 대한 웹 요청의 최종 처리가 결정됩니다. AWS WAF 는 일치하는 규칙 다음에 오는 보호 팩(웹 ACL)의 다른 규칙을 처리하지 않습니다. 이러한 원칙은 보호 팩(웹 ACL)에 직접 추가하는 규칙과 추가된 규칙 그룹 내에 있는 규칙에 적용됩니다. Block 작업을 수행하면 보호된 리소스가 웹 요청을 받거나 처리하지 않습니다.
+ **Count는 비종료 작업임** – Count 작업이 있는 규칙이 요청과 일치하면 AWS WAF 는 요청을 개수한 다음, 보호 팩(웹 ACL) 규칙 세트에 따르는 규칙을 계속 처리합니다.
+ **CAPTCHA 및는 비종료 또는 종료 작업일 Challenge 수 있음 -** 이러한 작업 중 하나가 있는 규칙이 요청과 일치하면는 토큰 상태를 AWS WAF 확인합니다. 요청에 유효한 토큰이 있는 경우는 일치 항목과 유사한 Count 일치 항목을 AWS WAF 처리한 다음 보호 팩(웹 ACL) 규칙 세트에서 따르는 규칙을 계속 처리합니다. 요청에 유효한 토큰이 없는 경우는 평가를 AWS WAF 종료하고 클라이언트에 CAPTCHA 퍼즐 또는 자동 백그라운드 클라이언트 세션 챌린지를 전송하여 해결합니다.
규칙 평가로 인해 종료 작업이 발생하지 않는 경우는 요청에 보호 팩(웹 ACL) 기본 작업을 AWS WAF 적용합니다. 자세한 내용은 [에서 보호 팩(웹 ACL) 기본 작업 설정 AWS WAF](web-acl-default-action.md) 단원을 참조하세요.
보호 팩(웹 ACL)에서는 규칙 그룹 내 규칙에 대한 작업 설정을 재정의하고 규칙 그룹에서 반환되는 작업을 재정의할 수 있습니다. 자세한 내용은 [에서 규칙 그룹 작업 재정의 AWS WAF](web-acl-rule-group-override-options.md) 단원을 참조하세요.
**작업과 우선 순위 설정 간의 상호 작용**
웹 요청에 AWS WAF 적용되는 작업은 보호 팩(웹 ACL)에 있는 규칙의 숫자 우선 순위 설정의 영향을 받습니다. 예를 들어 보호 팩(웹 ACL)에 Allow 작업을 포함하고 숫자 우선 순위가 50인 규칙과 Count 작업을 포함하고 숫자 우선 순위가 100인 규칙이 있다고 가정해 보겠습니다. AWS WAF 는 가장 낮은 설정부터 시작하여 우선 순위에 따라 보호 팩(웹 ACL)의 규칙을 평가하므로 개수 규칙보다 허용 규칙을 먼저 평가합니다. 두 규칙과 일치하는 웹 요청은 허용 규칙과 먼저 일치합니다. Allow는 종료 작업이므로 AWS WAF 는이 일치 시 평가를 중지하고 개수 규칙에 대해 요청을 평가하지 않습니다.
+ 허용 규칙과 일치하지 않는 요청만 개수 규칙 지표에 포함하려는 경우에는 규칙의 우선 순위 설정이 적합합니다.
+ 반면 허용 규칙과 일치하는 요청에도 개수 규칙의 개수 지표를 적용하려면 허용 규칙보다 더 낮은 숫자 우선 순위 설정을 개수 규칙에 지정하여 먼저 실행되도록 해야 합니다.
우선 순위 설정에 대한 자세한 내용은 [규칙 우선 순위 설정](web-acl-processing-order.md) 섹션을 참조하세요.
# 에서 규칙 그룹 작업 재정의 AWS WAF
이 섹션에서는 규칙 그룹 작업을 재정의하는 방법을 설명합니다.
보호 팩(웹 ACL)에 규칙 그룹을 추가하면 일치하는 웹 요청에 대해 수행하는 작업을 재정의할 수 있습니다. 보호 팩(웹 ACL) 구성 내의 규칙 그룹에 대한 작업을 재정의해도 규칙 그룹 자체는 변경되지 않습니다. 보호 팩(웹 ACL)의 컨텍스트에서가 규칙 그룹을 AWS WAF 사용하는 방법만 변경됩니다.
## 규칙 그룹 규칙 작업 재정의
이제 규칙 그룹에 있는 규칙의 작업을 유효한 규칙 작업 중 하나로 재정의할 수 있습니다. 이렇게 하면 구성된 규칙의 작업이 재정의 설정인 것처럼 일치 요청이 정확하게 처리됩니다.
**참고**
규칙 작업은 종료일 수도 있고 종료되지 않을 수도 있습니다. 종료 작업은 요청의 보호 팩(웹 ACL) 평가를 중지하고 보호된 애플리케이션을 계속 실행하도록 허용하거나 차단합니다.
다음은 규칙 작업 옵션입니다.
+ **Allow** - 처리 및 응답을 위해 보호된 AWS 리소스로 요청을 전달할 수 AWS WAF 있습니다. 이 작업은 종료 작업입니다. 정의한 규칙에서는 요청을 보호된 리소스로 전달하기 전에 사용자 지정 헤더를 요청에 삽입할 수 있습니다.
+ **Block** - 요청을 AWS WAF 차단합니다. 이 작업은 종료 작업입니다. 기본적으로 보호된 AWS 리소스는 HTTP `403 (Forbidden)` 상태 코드로 응답합니다. 정의한 규칙에서 응답을 사용자 지정할 수 있습니다. 가 요청을 AWS WAF 차단하면 Block 작업 설정에 따라 보호된 리소스가 클라이언트로 다시 보내는 응답이 결정됩니다.
+ **Count** - 요청을 AWS WAF 계산하지만 요청을 허용할지 또는 차단할지는 결정하지 않습니다. 이 작업은 비종료 작업입니다. AWS WAF 는 보호 팩(웹 ACL)의 나머지 규칙을 계속 처리합니다. 정의한 규칙에서 요청에 사용자 지정 헤더를 삽입하면 다른 규칙과 일치시킬 수 있는 레이블을 추가할 수 있습니다.
+ **CAPTCHA 및 Challenge** - CAPTCHA 퍼즐과 자동 챌린지를 AWS WAF 사용하여 요청이 봇에서 오지 않는지 확인하고 토큰을 AWS WAF 사용하여 최근에 성공한 클라이언트 응답을 추적합니다.
CAPTCHA 퍼즐 및 자동 문제는 브라우저가 HTTPS 엔드포인트에 액세스하는 경우에만 실행할 수 있습니다. 토큰을 획득하려면 브라우저 클라이언트가 안전한 컨텍스트에서 실행되어야 합니다.
**참고**
규칙 중 하나에서 또는 규칙 그룹 내 규칙 작업 재정의로서 CAPTCHA 또는 Challenge 규칙 작업을 사용하는 경우 추가 요금이 부과됩니다. 자세한 내용은 [AWS WAF 요금](https://aws.amazon.com/waf/pricing/)을 참조하세요.
이러한 규칙 작업은 요청의 토큰 상태에 따라 종료되거나 종료되지 않을 수 있습니다.
+ **유효하고 만료되지 않은 토큰에 대한 비종료 -** 구성된 CAPTCHA 또는 챌린지 면제 시간에 따라 토큰이 유효하고 만료되지 않은 경우는 Count 작업과 유사한 요청을 AWS WAF 처리합니다.는 AWS WAF 보호 팩(웹 ACL)의 나머지 규칙을 기반으로 웹 요청을 계속 검사합니다. Count 구성과 마찬가지로, 정의한 규칙에서도 요청에 삽입할 사용자 지정 헤더를 사용하여 이러한 작업을 선택적으로 구성하고 다른 규칙과 일치시킬 수 있는 레이블을 추가할 수 있습니다.
+ **유효하지 않거나 만료된 토큰에 대한 차단된 요청으로 종료** - 토큰이 유효하지 않거나 표시된 타임스탬프가 만료된 경우는 Block 작업과 마찬가지로 웹 요청 검사를 AWS WAF 종료하고 요청을 차단합니다. AWS WAF 그런 다음는 사용자 지정 응답 코드로 클라이언트에 응답합니다. CAPTCHA의 경우 요청 콘텐츠가 클라이언트 브라우저에서 처리할 수 있는 콘텐츠로 표시되면 AWS WAF 는 인간 클라이언트를 봇과 구분하기 위해 고안된 JavaScript 중간 광고를 통해 CAPTCHA 퍼즐을 전송합니다. Challenge 작업의 경우는 일반 브라우저와 봇이 실행 중인 세션을 구분하도록 설계된 자동 챌린지가 포함된 JavaScript 중간 광고를 AWS WAF 보냅니다.
자세한 내용은 [CAPTCHA Challenge의 및 AWS WAF](waf-captcha-and-challenge.md) 섹션을 참조하세요.
이 옵션을 사용하는 방법에 대한 자세한 방법은 [규칙 그룹에 대한 규칙 작업 재정의](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override) 섹션을 참조하세요.
### 규칙 작업을 Count로 재정의
규칙 작업 재정의의 가장 일반적인 사용 사례는 규칙 그룹을 프로덕션 환경에 배치하기 전에 규칙 그룹의 동작을 테스트 및 모니터링하기 위해 규칙 작업의 일부 또는 전체를 Count로 재정의하는 것입니다.
또한 이 방법을 사용하여 거짓 긍정을 생성하는 규칙 그룹의 문제를 해결할 수도 있습니다. 거짓 긍정은 차단될 것으로 예상되지 않는 트래픽을 규칙 그룹에서 차단할 때 발생합니다. 규칙 그룹 내에서 허용하려는 요청을 차단하는 규칙을 식별한 경우 해당 규칙에 대한 계산 작업 재정의를 유지하여 해당 규칙이 요청에 적용되지 않고 제외되도록 할 수 있습니다.
테스트에서 규칙 작업 재정의를 사용하는 방법에 대한 자세한 내용은 [AWS WAF 보호 기능 테스트 및 튜닝](web-acl-testing.md) 섹션을 참조하세요.
### JSON 목록: `RuleActionOverrides`에서 `ExcludedRules` 대체
2022년 10월 27일 이전에 보호 팩(웹 ACL) 구성Count에서 규칙 그룹 규칙 작업을 로 설정하면가 보호 팩(웹 ACL) JSON에 재정의를 로 AWS WAF 저장했습니다`ExcludedRules`. 이제 규칙을 Count로 재정의하기 위한 JSON 설정은 `RuleActionOverrides` 설정에 있습니다.
작업이 Count로 설정되어 있는 상태에서 JSON 목록의 모든 `ExcludedRules` 설정을 `RuleActionOverrides` 설정으로 업데이트하는 것이 좋습니다. API는 두 설정 중 하나를 허용하지만 새 `RuleActionOverrides` 설정만 사용하는 경우 콘솔 작업과 API 작업 간에 JSON 목록의 일관성이 유지됩니다.
**참고**
AWS WAF 콘솔에서 보호 팩(웹 ACL) **샘플링된 요청** 탭에는 이전 설정의 규칙에 대한 샘플이 표시되지 않습니다. 자세한 내용은 [웹 요청 샘플 보기](web-acl-testing-view-sample.md) 단원을 참조하십시오.
AWS WAF 콘솔을 사용하여 기존 규칙 그룹 설정을 편집하면 콘솔은 JSON의 모든 `ExcludedRules` 설정을 `RuleActionOverrides` 설정으로 자동 변환하고 재정의 작업은 로 설정됩니다Count.
+ 현재 설정 예:
```
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesAdminProtectionRuleSet",
"RuleActionOverrides": [
{
"Name": "AdminProtection_URIPATH",
"ActionToUse": {
"Count": {}
}
}
]
```
+ 이전 설정 예:
```
OLD SETTING
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesAdminProtectionRuleSet",
"ExcludedRules": [
{
"Name": "AdminProtection_URIPATH"
}
]
OLD SETTING
```
## 규칙 그룹 반환 작업을 Count로 재정의
규칙 그룹이 반환하는 작업을 Count로 설정하여 재정의할 수 있습니다.
**참고**
이는가 규칙 그룹 자체를 AWS WAF 평가하는 방법을 변경하지 않으므로 규칙 그룹에서 규칙을 테스트하는 데 적합하지 않습니다. 이는가 규칙 그룹 평가에서 보호 팩(웹 ACL)으로 반환된 결과를 AWS WAF 처리하는 방법에만 영향을 미칩니다. 규칙 그룹의 규칙을 테스트하려면 이전 섹션인 [규칙 그룹 규칙 작업 재정의](#web-acl-rule-group-override-options-rules)에 설명된 옵션을 사용하십시오.
규칙 그룹 작업을 로 재정의하면가 규칙 그룹 평가를 정상적으로 Count AWS WAF 처리합니다.
규칙 그룹에 일치하는 규칙이 없거나 모든 일치 규칙에 Count 작업이 있는 경우 이 재정의는 규칙 그룹 또는 보호 팩(웹 ACL)의 처리에 영향을 주지 않습니다.
웹 요청과 일치하고 종료 규칙 작업이 있는 규칙 그룹의 첫 번째 규칙은 AWS WAF 가 규칙 그룹 평가를 중지하고 종료 작업 결과를 보호 팩(웹 ACL) 평가 수준으로 반환합니다. 이 시점에서이 재정의는 보호 팩(웹 ACL) 평가에서 적용됩니다.는 규칙 그룹 평가의 결과가 작업일 뿐이 되도록 종료 Count 작업을 AWS WAF 재정의합니다. AWS WAF 그런 다음는 보호 팩(웹 ACL)의 나머지 규칙을 계속 처리합니다.
이 옵션을 사용하는 방법에 대한 자세한 방법은 [규칙 그룹의 평가 결과를 Count로 재정의](web-acl-rule-group-settings.md#web-acl-rule-group-action-override) 섹션을 참조하세요.
# 에서 보호 팩(웹 ACL) 기본 작업 설정 AWS WAF
이 섹션에서는 보호 팩(웹 ACL) 기본 작업의 작동 방식에 대해 설명합니다.
보호 팩(웹 ACL)을 생성하고 구성할 때는 보호 팩(웹 ACL) 기본 작업을 설정해야 합니다. AWS WAF 는 종료 작업을 적용하지 않고 모든 보호 팩(웹 ACL)의 규칙 평가를 통과하는 모든 웹 요청에 이 작업을 적용합니다. 종료 작업은 요청의 보호 팩(웹 ACL) 평가를 중지하고 보호된 애플리케이션을 계속 실행하도록 허용하거나 차단합니다. 규칙 작업에 대한 자세한 내용은 [에서 규칙 작업 사용 AWS WAF](waf-rule-action.md) 섹션을 참조하세요.
보호 팩(웹 ACL) 기본 작업은 웹 요청의 최종 처리를 결정해야 하므로 종료 작업입니다.
+ **Allow** – 대부분의 사용자가 웹 사이트에 액세스할 수 있도록 허용하려고 하지만 지정된 IP 주소에서 요청이 시작되거나 요청에 악성 SQL 코드 도는 지정된 값이 포함된 것으로 보이는 공격자에게는 액세스를 차단하려는 경우 기본 작업으로 Allow을 선택합니다. 그런 다음 보호 팩(웹 ACL)에 규칙을 추가할 때 차단할 특정 요청을 식별하고 차단하는 규칙을 추가합니다. 이 작업에서는 요청을 보호된 리소스로 전달하기 전에 사용자 지정 헤더를 요청에 삽입할 수 있습니다.
+ **Block** – 대부분의 사용자가 웹 사이트에 액세스하지 못하도록 하려고 하지만 지정된 IP 주소에서 요청이 시작되거나 요청에 지정된 값이 포함된 사용자에게 액세스를 허용하려는 경우 기본 작업으로 Block을 선택합니다. 그런 다음 보호 팩(웹 ACL)에 규칙을 추가할 때 허용할 특정 요청을 식별하고 허용하는 규칙을 추가합니다. 기본적으로 Block 작업의 경우 AWS 리소스는 HTTP `403 (Forbidden)` 상태 코드로 응답하지만 응답을 사용자 지정할 수 있습니다.
요청 및 응답을 사용자 지정하는 방법에 대한 자세한 내용은 [의 사용자 지정 웹 요청 및 응답 AWS WAF](waf-custom-request-response.md) 섹션을 참조하세요.
자체 규칙 및 규칙 그룹의 구성은 대부분의 웹 요청을 허용할지 또는 차단할지에 따라 부분적으로 달라집니다. 예를 들어 대부분의 요청을 *허용*하려면 보호 팩(웹 ACL) 기본 작업을 Allow하도록 설정한 후 다음과 같이 *차단*할 웹 요청을 식별하는 규칙을 추가합니다.
+ 합당하지 않은 수의 요청을 수행하는 IP 주소에서 기원되는 요청
+ 사업을 운영하지 않거나 공격이 빈번하게 발생하는 국가에서 시작되는 요청
+ `User-agent` 헤더에 가짜 값이 포함된 요청
+ 악성 SQL 코드가 포함된 것으로 보이는 요청
관리형 규칙 그룹 규칙은 일반적으로 Block 작업을 사용하지만 그렇지 않은 규칙도 있습니다. 예를 들면 Bot Control에 사용되는 일부 규칙에는 CAPTCHA 및 Challenge 작업 설정이 사용됩니다. 관리형 규칙 그룹에 대한 자세한 내용은 [에서 관리형 규칙 그룹 사용 AWS WAF](waf-managed-rule-groups.md) 단원을 참조하세요.
# 에서 본문 검사 관리에 대한 고려 사항 AWS WAF
본문 검사 크기 제한은가 검사할 AWS WAF 수 있는 최대 요청 본문 크기입니다. 웹 요청 본문이 제한보다 큰 경우 기본 호스트 서비스는 검사를 AWS WAF 위해 제한 내에 있는 콘텐츠만에 전달합니다.
+ Application Load Balancer 및 AWS AppSync의 경우 제한은 8KB(8,192바이트)로 고정됩니다.
+ CloudFront, API Gateway, Amazon Cognito, App Runner 및 Verified Access의 경우 기본 제한은 16KB(16,384바이트)이며 리소스 유형에 대한 제한을 16KB씩 최대 64KB까지 늘릴 수 있습니다. 설정 옵션은 16KB, 32KB, 48KB 및 64KB입니다.
**중요**
AWS WAF 는 gRPC 트래픽에 대한 요청 본문 검사 규칙을 지원하지 않습니다. CloudFront 배포 또는 Application Load Balancer의 보호 팩(웹 ACL)에서 이러한 규칙을 활성화한 경우 gRPC를 사용하는 모든 요청은 요청 본문 검사 규칙을 무시합니다. 다른 모든 AWS WAF 규칙은 계속 적용됩니다. 자세한 내용은 *Amazon CloudFront 개발자 안내서*의 [AWS WAF 배포](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/WAF-one-click.html) 활성화를 참조하세요.
**너무 큰 본문 처리**
웹 트래픽에 한도보다 큰 본문이 포함되는 경우 구성된 과대 처리가 적용됩니다. 과대 처리 옵션에 대한 자세한 내용은 [에서 웹 요청 구성 요소 크기 초과 AWS WAF](waf-oversize-request-components.md) 섹션을 참조하세요.
**제한 설정 증가에 대한 요금 고려 사항**
AWS WAF 는 리소스 유형의 기본 제한 내에 있는 트래픽을 검사하는 기본 요금을 부과합니다.
CloudFront, API Gateway, Amazon Cognito, App Runner 및 Verified Access 리소스의 경우 제한 설정을 늘리면가 검사할 AWS WAF 수 있는 트래픽에 새 제한까지의 본문 크기가 포함됩니다. 본문 크기가 기본 16KB보다 큰 요청을 검사하는 경우에만 추가 요금이 부과됩니다. 요금에 대한 자세한 내용은 [AWS WAF 요금](https://aws.amazon.com/waf/pricing/)을 참조하십시오.
**본문 검사 크기 제한을 수정하는 옵션**
CloudFront, API Gateway, Amazon Cognito, App Runner 또는 Verified Access 리소스에 대한 본문 검사 크기 제한을 구성할 수 있습니다.
보호 팩(웹 ACL)을 생성하거나 편집할 때 리소스 연결 구성에서 본문 검사 크기 제한을 수정할 수 있습니다. API의 경우 [AssociationConfig](https://docs.aws.amazon.com/waf/latest/APIReference/API_AssociationConfig.html)에서 보호 팩(웹 ACL)의 연결 구성을 참조하세요. 콘솔의 경우 보호 팩(웹 ACL)의 연결된 리소스를 지정하는 페이지에 있는 구성을 참조하세요. 콘솔 구성에 대한 지침은 [에서 웹 트래픽 지표 보기 AWS WAF](web-acl-working-with.md) 섹션을 참조하세요.
# 에서 CAPTCHA, 챌린지 및 토큰 구성 AWS WAF
CAPTCHA 또는 Challenge 규칙 작업을 사용하는 규칙과 AWS WAF 관리형 보호에 대한 자동 클라이언트 문제를 관리하는 애플리케이션 통합 SDKs에 대해 보호 팩(웹 ACL)에서 옵션을 구성할 수 있습니다.
이러한 기능을 사용하면 최종 사용자에게 CAPTCHA 퍼즐을 제시하고 클라이언트 세션에 자동 챌린지를 제공하여 봇 활동을 줄일 수 있습니다. 클라이언트가 성공적으로 응답하면 AWS WAF 는 웹 요청에 사용할 토큰을 클라이언트에 제공합니다. 이 토큰에는 마지막으로 성공한 퍼즐 및 챌린지 응답이 타임스탬프로 지정됩니다. 자세한 내용은 [의 지능형 위협 완화 AWS WAF](waf-managed-protections.md) 단원을 참조하십시오.
보호 팩(웹 ACL) 구성에서가 이러한 토큰을 AWS WAF 관리하는 방법을 구성할 수 있습니다.
+ **CAPTCHA 및 챌린지 면제 시간** — CAPTCHA 또는 챌린지 타임스탬프가 유효 상태로 유지되는 시간을 지정합니다. 보호 팩(웹 ACL) 설정은 자체 면제 시간 설정이 구성되어 있지 않은 모든 규칙과 애플리케이션 통합 SDK에 상속됩니다. 자세한 내용은 [에서 타임스탬프 만료 및 토큰 면제 시간 설정 AWS WAF](waf-tokens-immunity-times.md) 단원을 참조하십시오.
+ **토큰 도메인** - 기본적으로는 보호 팩(웹 ACL)이 연결된 리소스의 도메인에 대해서만 토큰을 AWS WAF 허용합니다. 토큰 도메인 목록을 구성하는 경우는 목록의 모든 도메인과 연결된 리소스의 도메인에 대한 토큰을 AWS WAF 수락합니다. 자세한 내용은 [AWS WAF 보호 팩(웹 ACL) 토큰 도메인 목록 구성](waf-tokens-domains.md#waf-tokens-domain-lists) 단원을 참조하십시오.
# 에서 웹 트래픽 지표 보기 AWS WAF
이 섹션에서는 웹 트래픽 지표 요약에 액세스하는 방법을 설명합니다.
사용 중인 모든 보호 팩(웹 ACL)의 경우 AWS WAF 콘솔의 트래픽 **개요** 탭에서 보호 팩(웹 ACL) 페이지에 있는 웹 트래픽 지표 요약에 액세스할 수 있습니다. 콘솔 대시보드는가 애플리케이션 웹 트래픽을 평가할 때 AWS WAF 수집하는 Amazon CloudWatch 지표에 대한 실시간에 가까운 요약을 제공합니다. 대시보드에 대한 자세한 내용은 [보호 팩(웹 ACL)용 트래픽 개요 대시보드](web-acl-dashboards.md) 섹션을 참조하세요. 보호 팩(웹 ACL) 트래픽 모니터링에 대한 추가적인 내용은 [AWS WAF 보호 모니터링 및 튜닝](web-acl-testing-activities.md) 섹션을 참조하세요.
# 보호 팩(웹 ACL) 삭제
이 섹션에서는 AWS 콘솔을 통해 보호 팩(웹 ACLs)을 삭제하는 절차를 제공합니다.
**중요**
보호 팩(웹 ACL) 삭제는 영구적이며 취소할 수 없습니다.
보호 팩(웹 ACL)을 삭제하려면 먼저 보호 팩(웹 ACL)에서 모든 AWS 리소스의 연결을 해제합니다. 다음 절차를 수행합니다.
------
#### [ Using the new console ]
1. 새에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2-pro](https://console.aws.amazon.com/wafv2-pro) AWS WAF 콘솔을 엽니다.
1. 탐색 창에서 **리소스 및 보호 팩(웹 ACL)**을 선택합니다.
1. 보호 팩(웹 ACL) 카드에서 **리소스** 옆의 **편집** 링크를 선택하여 **리소스 관리 **패널을 엽니다.
1. 규칙 그룹의 **리소스 관리** 섹션에서 연결을 해제할 리소스를 선택한 다음 **연결 해제**를 선택합니다.
**참고**
한 번에 하나의 리소스만 연결 해제해야 합니다. 리소스를 여러 개 선택하지 마세요.
1. 확인 페이지에서 "연결 해제"를 입력한 다음 **연결 해제**를 선택합니다. 이 단계를 반복하여 보호 팩(웹 ACL)의 각 리소스 연결을 해제합니다.
1. 삭제하려는 보호 팩(웹 ACL)을 선택합니다. 콘솔을 사용하면 기본 보호 팩(웹 ACL) 카드를 편집할 수 있으며 편집할 수 있는 세부 정보가 포함된 사이드 패널도 열립니다.
1. 세부 정보 패널에서 휴지통 아이콘을 선택합니다.
1. 확인 페이지에 ‘삭제’를 입력한 다음 **삭제**를 선택합니다.
------
#### [ Using the standard console ]
1. 에 로그인 AWS Management Console 하고 [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2) AWS WAF 콘솔을 엽니다.
1. 탐색 창에서 **웹 ACL**을 선택합니다.
1. 삭제하려는 웹 ACL의 이름을 선택합니다. 콘솔에서 웹 ACL의 설명으로 이동하여 여기에서 설명을 편집할 수 있습니다.
**참고**
삭제하려는 웹 ACL이 표시되지 않으면 웹 ACL 섹션의 리전 선택이 올바른지 확인합니다. Amazon CloudFront 배포를 보호하는 웹 ACL은 **글로벌(CloudFront)**에 있습니다.
1. **연결된 AWS 리소스** 탭의 연결된 각 리소스에 대해 리소스 이름 옆의 라디오 버튼을 선택한 다음 **연결 해제를** 선택합니다. 이렇게 하면 AWS 리소스에서 보호 팩(웹 ACL)의 연결이 해제됩니다.
1. 탐색 창에서 **웹 ACL**을 선택합니다.
1. 삭제할 웹 ACL 옆에 있는 라디오 단추를 선택한 다음 **삭제**를 선택합니다.
------