기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Amazon Connect의 보안 모범 사례
<a name="security-best-practices"></a>

Amazon Connect는 사용자가 자체 보안 정책을 개발하고 구현할 때 고려해야 할 여러 보안 기능을 제공합니다. 다음 모범 사례는 일반적인 지침이며 완벽한 보안 솔루션을 나타내지는 않습니다. 이러한 모범 사례는 환경에 적절하지 않거나 충분하지 않을 수 있으므로 참고용으로만 사용하세요.

**Topics**
+ [Amazon Connect 예방적 보안 모범 사례](#bp-security-profiles)
+ [Amazon Connect Detective 보안 모범 사례](#bp-security-detective)
+ [Amazon Connect Chat의 보안 모범 사례](#bp-security-chat)
+ [Amazon Connect WebRTC의 보안 모범 사례](#bp-webrtc-security)

## Amazon Connect 예방적 보안 모범 사례
<a name="bp-security-profiles"></a>
+ 모든 프로필 권한이 최대한 제한적인지 확인합니다. 사용자의 역할에 절대적으로 필요한 리소스에 대한 액세스를 허용합니다. 예를 들어, Amazon Connect에서 사용자를 생성하거나 읽거나 업데이트할 수 있는 권한을 에이전트에 부여하지 마세요.
+ 사용 사례에 더 적합한 경우 SAML 2.0 자격 증명 공급자 또는 Radius 서버를 통해 멀티 팩터 인증(MFA)을 설정해야 합니다. MFA를 설정한 후에는 두 번째 요소를 제공하기 위한 세 번째 텍스트 상자가 Amazon Connect 로그인 페이지에 표시됩니다.
+ 자격 증명 관리를 위해 Directory Service 또는 SAML 기반 인증을 통해 기존 디렉터리를 사용하는 경우 사용 사례에 적합한 모든 보안 요구 사항을 따라야 합니다.
+  AWS 콘솔의 인스턴스 페이지에 있는 **긴급 액세스용 로그인** URL은 일상적인 사용이 아닌 긴급 상황에서만 사용합니다. 자세한 내용은 [Amazon Connect 관리자 웹 사이트에 긴급 로그인](emergency-admin-login.md) 단원을 참조하십시오.

### 서비스 제어 정책(SCP) 사용
<a name="use-scp"></a>

서비스 제어 정책(SCP)은 조직의 권한을 관리하는 데 사용할 수 있는 조직 정책 유형입니다. SCP는 계정 관리자가 영향을 받는 계정의 사용자 및 역할에 위임할 수 있는 작업에 대해 권한 범위를 정의하거나 제한을 설정합니다. SCP를 사용하여 Amazon Connect 워크로드와 관련된 중요한 리소스를 보호할 수 있습니다.

#### 중요한 리소스가 삭제되지 않도록 서비스 제어 정책 설정
<a name="set-scp"></a>

SAML 2.0 기반 인증을 사용하고 Amazon Connect 사용자를 인증하는 데 사용되는 AWS IAM 역할을 삭제하는 경우 사용자는 Amazon Connect 인스턴스에 로그인할 수 없습니다. 새 역할에 연결하려면 사용자를 삭제하고 다시 만들어야 합니다. 이렇게 하면 해당 사용자와 관련된 모든 데이터가 삭제됩니다.

중요한 리소스의 실수로 삭제되는 것을 방지하고 Amazon Connect 인스턴스의 가용성을 보호하기 위해 [서비스 제어 정책](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)(SCP)을 추가 제어로 설정할 수 있습니다.

다음은 Amazon Connect 인스턴스 및 관련 역할의 삭제를 방지하기 위해 AWS 계정, 조직 단위 또는 조직 루트에 적용할 수 있는 SCP의 예입니다.

------
#### [ JSON ]

****  

```
{    
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AmazonConnectRoleDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "iam:DeleteRole"
      ],
      "Resource": [
        "arn:aws:iam::*:role/ConnectUserRole"
      ]
    },
    {
      "Sid": "AmazonConnectInstanceDenyDeletion",
      "Effect": "Deny",
      "Action": [
        "connect:DeleteInstance"         
      ],
      "Resource": [
         "arn:aws:connect:us-east-1:111122223333:instance/InstanceId"
      ]
    }
  ]
}
```

------

## Amazon Connect Detective 보안 모범 사례
<a name="bp-security-detective"></a>

로깅 및 모니터링은 고객 센터의 가용성, 안정성 및 성능에 중요합니다. Amazon Connect 흐름에서 [CloudWatch에 관련 정보를 기록](contact-flow-logs.md)하고 이를 기반으로 [경보 및 알림을 생성](contact-flow-log-alerts.md)해야 합니다.

로그 보존 요구 사항 및 수명 주기 정책을 조기에 정의하고, 가능한 한 빨리 로그 파일을 비용 효율적인 스토리지 위치로 옮길 계획을 세워야 합니다. Amazon Connect 퍼블릭 API는 CloudTrail에 로깅됩니다. 자세한 내용은 [를 사용하여 Amazon Connect API 호출 로깅 AWS CloudTrail](logging-using-cloudtrail.md) 섹션을 참조하세요. CloudTrail 로그를 기반으로 설정된 작업을 검토하고 자동화해야 합니다.

특히 로그 데이터를 기본 형식으로 감사할 수 있어야 하는 규정 준수 프로그램을 운영하는 조직의 경우 로그 데이터의 장기 보존 및 아카이빙을 위해 Amazon S3를 권장합니다. 로그 데이터가 Amazon S3 버킷에 저장되고 나면 수명 주기 규칙을 정의하여 보존 정책을 자동으로 적용하고 이러한 객체를 Amazon S3 Standard - 자주 액세스하지 않는 액세스(Standard - IA) 또는 Amazon Glacier와 같은 다른 비용 효율적인 스토리지 클래스로 이동하세요.

 AWS 클라우드는 정교한 파트너 제품과 자체 관리형 중앙 집중식 로깅 솔루션을 모두 지원하는 유연한 인프라와 도구를 제공합니다. 여기에는 Amazon OpenSearch Service 및 Amazon CloudWatch Logs와 같은 솔루션이 포함됩니다.

요구 사항에 따라 Amazon Connect 흐름을 사용자 지정하여 수신 고객 응대에 대한 사기 탐지 및 방지를 구현할 수 있습니다. 예를 들어 수신 고객 응대를 Dynamo DB의 이전 고객 응대 활동과 비교하여 확인한 다음 거부 목록에 있는 고객 응대 연결을 끊는 등의 조치를 취할 수 있습니다.

## Amazon Connect Chat의 보안 모범 사례
<a name="bp-security-chat"></a>

Amazon Connect Participant Service와 직접 통합(또는 Amazon Connect Chat Java Script 라이브러리 사용)하고 WebSocket 또는 스트리밍 엔드포인트를 사용하여 프론트엔드 애플리케이션 또는 웹 사이트에 대한 메시지를 수신하는 경우 애플리케이션을 DOM 기반 XSS(크로스 사이트 스크립팅) 공격으로부터 보호해야 합니다.

다음 보안 권장 사항은 XSS 공격으로부터 보호하는 데 도움이 될 수 있습니다.
+ 악성 스크립트가 실행되지 않도록 적절한 출력 인코딩을 구현합니다.
+ DOM을 직접 변경하지 마세요. 예를 들어 `innerHTML`을 사용하여 채팅 응답 콘텐츠를 렌더링하지 마세요. XSS 공격으로 이어질 수 있는 악성 Javascript 코드가 포함되어 있을 수 있습니다. React와 같은 프론트엔드 라이브러리를 사용하여 채팅 응답에 포함된 실행 코드를 이스케이프하고 소독합니다.
+ 콘텐츠 보안 정책(CSP)을 구현하여 애플리케이션이 스크립트, 스타일 및 기타 리소스를 로드할 수 있는 소스를 제한합니다. 이렇게 하면 보호 계층이 추가됩니다.

## Amazon Connect WebRTC의 보안 모범 사례
<a name="bp-webrtc-security"></a>

WebRTC 및 채팅 고객 응대의 경우 참가자 토큰이 발급됩니다.이 토큰은 고객 응대 세션 내에서 고유하게 식별되는 보유자 토큰입니다. 이 토큰을 소유하면 액세스 권한이 부여되므로 노출이 위장 공격으로 이어질 수 있습니다. 따라서 이 토큰을 보호하는 것이 중요합니다.

다음 보안 권장 사항은 사칭 공격으로부터 보호하는 데 도움이 될 수 있습니다.
+ **토큰 발급 전에 사용자를 인증합니다**. 참가자 토큰을 클라이언트 또는 외부 서비스에 벤딩하기 전에 강력한 인증 및 권한 부여 검사를 수행해야 합니다.
+ **토큰 노출을 최소화합니다**. 참가자 토큰을 로깅하거나 URLs에 포함하지 마세요. 모든 토큰 교환에 보안 전송(HTTPS/TLS)을 사용합니다.
+ **토큰 누출에 신속하게 대응합니다**. 토큰 누출이 감지되면 연결된 연락처를 즉시 종료하거나 중지하여 무단 액세스를 방지합니다.
+ **최소 권한 원칙을 사용합니다**. 가능한 경우 토큰 수명을 제한하여 토큰이 필요한 기간 동안만 유효한지 확인합니다.
+ **모니터링 및 감사**. 토큰 사용과 접근 패턴을 추적하여 이상 징후나 잠재적 남용을 탐지합니다.