AWS WAF, AWS Firewall Manager 및 AWS Shield Advanced
개발자 가이드 (API 버전 2015-08-24)

AWS Firewall Manager 정책 생성

Firewall Manager-Shield Advanced 정책 또는 Firewall Manager-AWS WAF 정책을 생성하는 단계는 상당히 다릅니다. 필요한 정책 유형에 따라 올바른 절차를 사용해야 합니다.

중요

AWS Firewall Manager는 Amazon Route 53 또는 AWS Global Accelerator를 지원하지 않습니다. 이러한 리소스를 Shield Advanced로 보호해야 하는 경우 Firewall Manager 정책을 사용할 수 없습니다. 그 대신 더 많은 AWS 리소스에 AWS Shield Advanced 보호 추가의 지시 사항을 따릅니다.

Shield Advanced에 대한 Firewall Manager 정책을 생성하려면(콘솔)

  1. 사전 조건에서 설정한 Firewall Manager 관리자 계정을 사용하여 AWS Management 콘솔에 로그인한 다음(AWS Firewall Manager 사전 조건), https://console.aws.amazon.com/wafv2/fms에서 Firewall Manager 콘솔을 엽니다.

    참고

    Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 2단계: AWS Firewall Manager 관리자 계정 설정 단원을 참조하십시오.

  2. 탐색 창에서 보안 정책을 선택합니다.

  3. [Create policy]를 선택합니다.

  4. 이름에 기억하기 쉬운 이름을 입력합니다.

  5. Policy type(정책 유형)에서 Shield Advanced를 선택합니다.

    Shield Advanced 정책을 생성하려면 Shield Advanced에 가입된 상태여야 합니다. 가입되지 않은 경우 가입하라는 메시지가 나타납니다. 자세한 내용은 AWS Shield Advanced 요금 단원을 참조하십시오.

  6. 리전에서 AWS 리전을 선택합니다. Amazon CloudFront 리소스를 보호하려면 Global(글로벌)을 선택합니다.

    여러 리전에서 리소스를 보호하려면(CloudFront 리소스 제외) 각 리전에 대해 별도의 Firewall Manager 정책을 생성해야 합니다.

  7. [Next]를 선택합니다.

  8. 정책에 특정 계정만 포함시키려 하거나 정책에서 특정 계정을 제외하려면, Select accounts to include/exclude from this policy (optional)(이 정책에서 포함/제외하려는 계정 선택(선택 사항))를 선택합니다. Include only these accounts in this policy(이 정책에 이러한 계정만 포함) 또는 Exclude these accounts from this policy(이 정책에서 이러한 계정 제외)를 선택합니다. 옵션을 하나만 선택할 수 있습니다. 추가를 선택합니다. 포함하거나 제외할 계정 번호를 선택한 다음 확인을 선택합니다.

    참고

    이 옵션을 선택하지 않으면 Firewall Manager는 AWS Organizations에서 해당 조직의 모든 계정에 정책을 적용합니다. 조직에 새 계정을 추가하면 Firewall Manager에서 자동으로 해당 계정에 정책을 적용합니다.

  9. 보호할 리소스 유형을 선택합니다.

    Firewall Manager는 Amazon Route 53 또는 AWS Global Accelerator를 지원하지 않습니다. 이러한 리소스를 Shield Advanced로 보호해야 하는 경우 Firewall Manager 정책을 사용할 수 없습니다. 그 대신 더 많은 AWS 리소스에 AWS Shield Advanced 보호 추가의 지시 사항을 따릅니다.

  10. 특정 태그가 있는 리소스만 보호하거나 특정 태그가 있는 리소스를 제외하려면 Use tags to include/exclude resources(태그를 사용하여 리소스 포함/제외)를 선택하고 태그를 입력한 다음 Include(포함) 또는 Exclude(제외)를 선택합니다. 옵션을 하나만 선택할 수 있습니다.

    태그를 2개 이상 입력하고(쉼표로 구분) 리소스에 해당 태그 중 하나라도 있으면 일치한다고 간주합니다.

    태그에 대한 자세한 내용은 Tag Editor 작업을 참조하십시오.

  11. Create and apply this policy to existing and new resources(이 정책을 생성하고 기존 리소스와 새 리소스에 적용)를 선택합니다.

    이 옵션은 AWS Organizations에서 한 조직 내에 있는 각 적용 가능 계정에 Shield Advanced 보호를 적용하고, 이 보호를 계정의 지정 리소스와 연결합니다. 앞에서 설명한 기준(리소스 유형 및 태그)에 맞는 모든 새 리소스에 정책을 적용합니다. 그 대신, Create but do not apply this policy to existing or new resources(이 정책을 생성하지만 기존 리소스나 새로운 리소스에 적용 안 함)를 선택하면 Firewall Manager에서 Shield Advanced 보호가 리소스에 적용되지 않습니다. 나중에 정책을 리소스에 적용해야 합니다.

  12. [Next]를 선택합니다.

  13. 새 정책을 검토합니다. 변경하려면 Edit(편집)를 선택합니다. 정책이 마음에 들면 Create policy(정책 생성)를 선택합니다.

AWS WAF에 대한 Firewall Manager 정책을 생성하려면(콘솔)

  1. 사전 조건에서 설정한 Firewall Manager 관리자 계정을 사용하여 AWS Management 콘솔에 로그인한 다음(AWS Firewall Manager 사전 조건), https://console.aws.amazon.com/wafv2/fms에서 Firewall Manager 콘솔을 엽니다.

    참고

    Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 2단계: AWS Firewall Manager 관리자 계정 설정 단원을 참조하십시오.

  2. 탐색 창에서 보안 정책을 선택합니다.

  3. [Create policy]를 선택합니다.

  4. 정책에 추가할 규칙 그룹을 이미 생성한 경우 Create an AWS Firewall Manager policy and add existing rule groups(AWS Firewall Manager 정책 생성 및 기존 규칙 그룹 추가)를 선택합니다. 새 규칙 그룹을 생성하려면 Create an AWS Firewall Manager policy and add a new rule group(AWS Firewall Manager 정책 생성 및 새 규칙 그룹 추가)을 선택합니다.

  5. 기존 규칙 그룹을 사용하는 경우 이 단계를 건너뛰고 다음 단계로 이동합니다. 규칙 그룹을 만들려면 규칙 그룹 생성의 지침을 따릅니다. 규칙 그룹을 생성한 후 다음 단계를 계속 진행합니다.

  6. 정책 이름을 입력합니다.

  7. Policy type(정책 유형)에서 WAF를 선택합니다.

  8. 리전에서 AWS 리전을 선택합니다. Amazon CloudFront 리소스를 보호하려면 Global(글로벌)을 선택합니다.

    여러 리전에서 리소스를 보호하려면(CloudFront 리소스 제외) 각 리전에 대해 별도의 Firewall Manager 정책을 생성해야 합니다.

  9. 추가할 규칙 그룹을 선택한 후 Add rule group(규칙 그룹 추가)을 선택합니다.

  10. 정책에는 Action set by rule group(규칙 그룹에 설정된 작업) 및 Count(계산)라는 두 가지 가능한 작업이 있습니다. 정책과 규칙 그룹을 테스트하려면 작업을 Count(계산)로 설정합니다. 이 작업은 정책에 포함된 규칙 그룹으로 지정한 모든 차단 작업을 재정의합니다. 즉, 정책의 작업이 Count(계산)로 설정되면 요청이 계산되기만 하고 차단되지는 않습니다. 반대로 정책의 작업을 Action set by rule group(규칙 그룹에 설정된 작업)으로 설정하면 정책에 포함된 규칙 그룹의 작업이 사용됩니다. 적절한 작업을 선택합니다.

  11. [Next]를 선택합니다.

  12. 정책에 특정 계정만 포함시키려 하거나 정책에서 특정 계정을 제외하려면, Select accounts to include/exclude from this policy (optional)(이 정책에서 포함/제외하려는 계정 선택(선택 사항))를 선택합니다. Include only these accounts in this policy(이 정책에 이러한 계정만 포함) 또는 Exclude these accounts from this policy(이 정책에서 이러한 계정 제외)를 선택합니다. 옵션을 하나만 선택할 수 있습니다. 추가를 선택합니다. 포함하거나 제외할 계정 번호를 선택한 다음 확인을 선택합니다.

    참고

    이 옵션을 선택하지 않으면 Firewall Manager는 AWS Organizations에서 해당 조직의 모든 계정에 정책을 적용합니다. 조직에 새 계정을 추가하면 Firewall Manager에서 자동으로 해당 계정에 정책을 적용합니다.

  13. 보호할 리소스 유형을 선택합니다.

  14. 특정 태그가 있는 리소스만 보호하거나 특정 태그가 있는 리소스를 제외하려면 Use tags to include/exclude resources(태그를 사용하여 리소스 포함/제외)를 선택하고 태그를 입력한 다음 Include(포함) 또는 Exclude(제외)를 선택합니다. 옵션을 하나만 선택할 수 있습니다.

    태그를 2개 이상 입력하고(쉼표로 구분) 리소스에 해당 태그 중 하나라도 있으면 일치한다고 간주합니다.

    태그에 대한 자세한 내용은 Tag Editor 작업을 참조하십시오.

  15. 기존 리소스에 정책을 자동으로 적용하려면 Create and apply this policy to existing and new resources(이 정책을 생성하고 기존 리소스와 새 리소스에 적용)를 선택합니다.

    이 옵션은 AWS 조직의 조직 내 각 해당 계정에 웹 ACL을 만들고 계정의 리소스와 웹 ACL을 연결시킵니다. 앞에서 설명한 기준(리소스 유형 및 태그)에 맞는 모든 새 리소스에 정책을 적용합니다. 그 대신 Create but do not apply this policy to existing or new resources(이 정책을 생성하지만 기존 리소스나 새로운 리소스에 적용 안 함)를 선택하면 Firewall Manager에서는 조직 내의 각 적용 가능 계정에 웹 ACL이 생성되지만 리소스에 웹 ACL이 적용되지 않습니다. 나중에 정책을 리소스에 적용해야 합니다. 적절한 옵션을 선택합니다.

  16. [Next]를 선택합니다.

  17. 새 정책을 검토합니다. 변경하려면 Edit(편집)를 선택합니다. 정책이 마음에 들면 Create and apply policy(정책 생성 및 적용)를 선택합니다.