기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 오리진 보호 (BP1,BP5) 오리진이 내부에 CloudFront 있는 Amazon을 사용하는 경우 CloudFront 배포에서만 오리진에 요청을 전달할 수 있도록 하는 것이 좋습니다. VPC Edge-to-Origin 요청 헤더를 사용하면 요청을 오리진에 전달할 때 CloudFront 기존 요청 헤더의 값을 추가하거나 재정의할 수 있습니다. *Origin 사용자 지정* 헤더 (예: `X-Shared-Secret` 헤더) 를 사용하여 오리진에 보낸 요청이 보낸 것인지 확인하는 데 도움이 될 수 있습니다. CloudFront 오리진 *커스텀 헤더로 오리진을 보호하는 방법에 대한 자세한 내용은 오리진* [요청에 커스텀 헤더 [추가](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/add-origin-custom-headers.html) 및 애플리케이션 로드 밸런서에](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/add-origin-custom-headers.html) [대한 액세스 제한을](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/restrict-access-to-load-balancer.html) 참조하십시오. 오리진 액세스 제한을 위한 *Origin 사용자 지정 헤더의* 값을 자동으로 교체하는 샘플 솔루션을 구현하는 [방법에 대한 지침은 Secrets Manager를 사용하여 AWS WAF Amazon CloudFront 오리진 보안을 강화하는 방법을](https://aws.amazon.com/blogs/security/how-to-enhance-amazon-cloudfront-origin-security-with-aws-waf-and-aws-secrets-manager/) 참조하십시오. 또는 [AWS Lambda](https://aws.amazon.com/lambda/)함수를 사용하여 CloudFront 트래픽만 허용하도록 보안 그룹 규칙을 자동으로 업데이트할 수도 있습니다. 이렇게 하면 악의적인 사용자가 웹 애플리케이션을 우회하거나 웹 애플리케이션에 액세스할 AWS WAF 때 이를 방지할 CloudFront 수 있어 오리진의 보안이 향상됩니다. 보안 그룹과 `X-Shared-Secret` 헤더를 자동으로 업데이트하여 오리진을 보호하는 [방법에 대한 자세한 내용은 Amazon CloudFront 및 AWS WAF Us를 사용하여 보안 그룹을 자동으로 업데이트하는 방법을](https://aws.amazon.com/blogs/security/how-to-automatically-update-your-security-groups-for-amazon-cloudfront-and-aws-waf-by-using-aws-lambda/) 참조하십시오 AWS Lambda. 그러나 솔루션에는 추가 구성 및 Lambda 함수 실행 비용이 포함됩니다. 이를 단순화하기 위해 이제 오리진 연결 IP 주소에서만 오리진으로 CloudFront 향하는 HTTP HTTPS 인바운드/트래픽을 제한하는 [AWS-managed 접두사 목록을](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/LocationsOfEdgeServers.html#managed-prefix-list) 도입했습니다. CloudFront AWS-관리형 접두사 목록은 에서 생성 및 유지 관리하며 추가 비용 없이 사용할 AWS 수 있습니다. (AmazonVPC) 보안 그룹 규칙, 서브넷 라우팅 테이블, 공통 보안 그룹 규칙 및 관리형 접두사 목록을 사용할 수 있는 AWS Firewall Manager기타 AWS 리소스에서 [관리형 접두사](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html) 목록을 참조할 수 있습니다. CloudFront Amazon용 AWS-managed 접두사 목록 사용에 대한 자세한 내용은 CloudFront Amazon용 [AWS-managed 접두사 목록을 사용하여 원본에 대한 액세스 제한을](https://aws.amazon.com/blogs/networking-and-content-delivery/limit-access-to-your-origins-using-the-aws-managed-prefix-list-for-amazon-cloudfront/) 참조하십시오. CloudFront **참고** 이 문서의 다른 섹션에서 설명한 것처럼 보안 그룹을 사용하여 오리진을 보호하면 요청이 폭주하는 동안 [보안 그룹 연결 추적을](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-connection-tracking.html) 병목 현상으로 만들 수 있습니다. 캐싱을 활성화하는 캐싱 정책을 CloudFront 사용하여 악의적인 요청을 필터링할 수 없다면 보안 그룹을 사용하는 것보다 앞서 설명한 *Origin 사용자 지정 헤더를* 사용하여 오리진에 대한 요청이 보낸 것인지 확인하는 것이 더 나을 수 있습니다. CloudFront Application Load Balancer 리스너 규칙과 함께 사용자 지정 요청 헤더를 사용하면 로드 밸런서에 대한 새 연결 설정에 영향을 미칠 수 있는 추적 제한으로 인한 병목 현상이 방지되므로 Application Load Balancer는 공격 발생 시 트래픽 증가에 따라 규모를 조정할 수 있습니다. DDoS