기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 보안
AWS 인프라에 시스템을 빌드하면 보안 책임은 사용자와 AWS가 분담합니다. 이 [공유 모델은](https://aws.amazon.com/compliance/shared-responsibility-model/) AWS가 호스트 운영 체제 및 가상화 계층에서 서비스가 운영되는 시설의 물리적 보안에 이르기까지 구성 요소를 운영, 관리 및 제어할 때 운영 부담을 줄일 수 있습니다. AWS의 보안에 대한 자세한 내용은 [AWS 클라우드 보안을](https://aws.amazon.com/security) 참조하십시오.
## IAM 역할
AWS Identity and Access Management(IAM) 역할을 사용하면 AWS 클라우드의 서비스 및 사용자에게 세분화된 액세스 정책 및 권한을 할당할 수 있습니다. 이 솔루션은 AWS Lambda 함수에이 솔루션에 사용되는 다른 AWS 서비스에 대한 액세스 권한을 부여하는 IAM 역할을 생성합니다.
## Amazon Cognito
이 솔루션으로 생성된 Amazon Cognito 사용자는 이 솔루션의 RestAPI에만 액세스할 수 있는 권한을 가진 로컬 사용자입니다. 이 사용자는 AWS 계정의 다른 서비스에 액세스할 권한이 없습니다. 자세한 내용은 Amazon Cognito 개발자 안내서의 [Amazon Cognito 사용자 풀](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html)을 참조하세요.**
이 솔루션은 연동 자격 증명 공급자 구성 및 Amazon Cognito의 호스팅된 UI 기능을 통해 외부 SAML 로그인을 선택적으로 지원합니다.
## Amazon CloudFront
이 기본 솔루션은 Amazon S3 버킷에 [호스팅된](https://docs.aws.amazon.com/AmazonS3/latest/dev/WebsiteHosting.html) 웹 콘솔을 배포합니다. 지연 시간을 줄이고 보안을 개선하기 위해 이 솔루션에는 솔루션의 웹 사이트 버킷 콘텐츠에 대한 퍼블릭 액세스를 제공하는 데 도움이 되는 CloudFront의 특수 사용자인 오리진 액세스 ID가 있는 [Amazon CloudFront](https://aws.amazon.com/cloudfront/) 배포가 포함되어 있습니다. 자세한 내용을 알아보려면 Amazon CloudFront 개발자 안내서의 [오리진 액세스 ID(OAI)를 사용하여 Amazon S3 콘텐츠에 대한 액세스 제한](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)을 참조하세요.**
스택 배포 중에 **프라이빗** 배포 유형을 선택한 경우 CloudFront 배포는 배포되지 않으며, 웹 콘솔을 호스팅하는 데 다른 웹 호스팅 서비스를 사용해야 합니다.
## AWS WAF - Web Application Firewall
스택에서 선택한 배포 유형이 [AWS WAF](https://aws.amazon.com/waf/)에서 퍼블릭인 경우 CloudFormation은 CMF 솔루션에서 생성된 CloudFront, API Gateway 및 Cognito 엔드포인트를 보호하도록 구성된 필수 AWS WAF 웹 ACLs 및 규칙을 배포합니다. 이러한 엔드포인트는 지정된 소스 IP 주소만 이러한 엔드포인트에 액세스하는 것을 허용하도록 제한됩니다. 스택 배포 중에는 AWS WAF 콘솔을 통해 배포한 후 규칙을 추가하려면 두 개의 CIDR 범위를 시설에 제공해야 합니다.
**중요**
WAF IP 제한을 구성할 때 CMF 자동화 서버의 IP 주소 또는 발신 NAT 게이트웨이 IP가 허용된 CIDR 범위에 포함되어 있는지 확인합니다. 이는 솔루션의 API 엔드포인트에 액세스해야 하는 CMF 자동화 스크립트의 적절한 작동에 매우 중요합니다.
## Amazon API Gateway
이 솔루션은 Amazon API Gateway REST APIs 배포하고 기본 API 엔드포인트와 SSL 인증서를 사용합니다. 기본 API 엔드포인트는 TLSv1 보안 정책을 지원합니다. TLS\$11\$12 보안 정책을 사용하여 사용자 지정 도메인 이름과 사용자 지정 SSL 인증서로 TLSv1.2\$1를 적용하는 것이 좋습니다. 자세한 내용은 *Amazon API Gateway * [API Gateway 개발자 안내서의 API Gateway에서 사용자 지정 도메인의 최소 TLS 버전 선택](https://docs.aws.amazon.com/apigateway/latest/developerguide/apigateway-custom-domain-tls-version.html) 및 [사용자 지정 도메인 구성을](https://docs.aws.amazon.com/apigateway/latest/developerguide/how-to-custom-domains.html) 참조하세요.
## Amazon CloudWatch 경보/카나리아
Amazon CloudWatch 경보는 솔루션의 기능 및 보안 가정이 준수되고 있는지 모니터링하는 데 도움이 됩니다. 솔루션에는 AWS Lambda 함수 및 API Gateway 엔드포인트에 대한 로깅 및 지표가 포함되어 있습니다. 특정 사용 사례에 대해 추가 모니터링이 필요한 경우 다음을 모니터링하도록 CloudWatch 경보를 구성할 수 있습니다.
+ **API Gateway 모니터링:**
+ 4XX 및 5XX 오류에 대한 경보를 설정하여 무단 액세스 시도 또는 API 문제 감지
+ API Gateway 지연 시간을 모니터링하여 성능 보장
+ API 요청 수를 추적하여 비정상적인 패턴 식별
+ **AWS Lambda 함수 모니터링:**
+ Lambda 함수 오류 및 제한 시간에 대한 경보 생성
+ Lambda 함수 기간을 모니터링하여 최적의 성능 보장
+ 병목 현상을 방지하기 위해 동시 실행에 대한 경보 설정
CloudWatch 콘솔을 사용하거나 AWS CloudFormation 템플릿을 통해 이러한 경보를 생성할 수 있습니다. CloudWatch 경보 생성에 대한 자세한 지침은 [ Amazon CloudWatch 사용 설명서의 Amazon CloudWatch 경보 생성을 참조하세요](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html). *Amazon CloudWatch *
## 고객 관리형 AWS KMS 키
이 솔루션은 저장 데이터 암호화를 사용하여 데이터를 보호하고 고객 데이터에 AWS 관리형 키를 사용합니다. 이러한 키는 스토리지 계층에 기록되기 전에 데이터를 자동으로 투명하게 암호화하는 데 사용됩니다. 일부 사용자는 데이터 암호화 프로세스를 더 잘 제어하기를 원할 수 있습니다. 이 접근 방식을 사용하면 자체 보안 자격 증명을 관리하여 더 높은 수준의 제어 및 가시성을 제공할 수 있습니다. 자세한 내용은 AWS Key Management Service 개발자 안내서의 [기본 개념](https://docs.aws.amazon.com/kms/latest/cryptographic-details/basic-concepts.html) 및 AWS KMS 키를 참조하세요. [https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#kms_keys) *AWS Key Management Service *
## 로그 보존
이 솔루션은 계정에서 Amazon CloudWatch logs를 캡처합니다. 기본적으로 로그는 10년 동안 보관됩니다. 각 로그 그룹에 대해 LogRetentionPeriod 파라미터를 조정하거나, 무기한 보존으로 전환하거나, 요구 사항에 따라 1일에서 10년 사이의 보존 기간을 선택할 수 있습니다. 자세한 내용은 [ Amazon CloudWatch Logs 사용 설명서의 Amazon CloudWatch Logs란 무엇입니까?](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html#cloudwatch-logs-features)*를 참조하세요 Amazon CloudWatch*.
## Amazon Bedrock
솔루션은 CloudFormation 스택 배포 중에 해당 리전에 가장 적합한 파운데이션 모델을 자동으로 선택합니다. 선택 프로세스는를 호출`list_foundation_models()`하고이 우선 순위에서 사용 가능한 첫 번째 모델을 선택하는 Lambda 함수를 사용합니다.
1. `anthropic.claude-sonnet-4-20250514-v1:0` (Sonnet 4)
1. `anthropic.claude-3-7-sonnet-20250219-v1:0` (Sonnet 3.7)
1. `anthropic.claude-3-5-sonnet-20241022-v2:0` (Sonnet 3.5v2)
1. `anthropic.claude-3-5-sonnet-20240620-v1:0` (Sonnet 3.5)
1. `anthropic.claude-3-sonnet-20240229-v1:0` (Sonnet 3)
1. `amazon.nova-pro-v1:0` (노바 프로)
GenAI 기능을 사용하려면 Bedrock 콘솔을 통해 AWS 계정에서 선택한 모델을 활성화해야 합니다. 이 솔루션의 핵심 기능은 GenAI 기능을 활성화하지 않고도 완벽하게 작동합니다. 고객은 AI 지원 기능을 사용하지 않으려는 경우 수동 입력과 함께 도구를 사용하도록 선택할 수 있습니다.
배포 후 WPMStack의 `GenAISelectedModelArn` 필드 아래에 있는 CloudFormation 스택 출력에서 선택한 모델 ARN을 찾을 수 있습니다.
![\[선택한 GenAI 모델 ARN을 보여주는 CloudFormation 스택 출력\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/cloud-migration-factory-on-aws/images/cloudformation-genai-model-output.png)
![\[Amazon Bedrock 모델 활성화 인터페이스\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/cloud-migration-factory-on-aws/images/bedrock-model-enablement.png)
이 솔루션의 기본 구성은 다음을 위해 Amazon Bedrock 가드레일을 배포합니다.
+ 유해한 콘텐츠 필터링
+ 사용 사례와 관련이 없는 블록 프롬프트 주입
![\[Amazon Bedrock Guardrails 구성 인터페이스\]](http://docs.aws.amazon.com/ko_kr/solutions/latest/cloud-migration-factory-on-aws/images/bedrock-guardrails.png)
자세한 내용은 [Amazon Bedrock Guardrails](https://aws.amazon.com/bedrock/guardrails/)를 참조하세요. CMF 솔루션에서 가드레일을 옵트아웃하려면 템플릿 파라미터 섹션에서 false를 선택할 수 있습니다.