AWS Firewall Manager 정책 생성 - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced

AWS Firewall Manager 정책 생성

정책을 생성하는 단계는 정책 유형에 따라 다릅니다. 필요한 정책 유형에 대한 절차를 사용해야 합니다.

중요

AWS Firewall Manager는 Amazon Route 53 또는 AWS Global Accelerator를 지원하지 않습니다. 이러한 리소스를 Shield Advanced로 보호하려는 경우 Firewall Manager 정책을 사용할 수 없습니다. 그 대신 AWS 자원에 AWS Shield Advanced 보호 추가의 지시 사항을 따릅니다.

AWS WAF에 대한 AWS Firewall Manager 정책 생성

Firewall Manager AWS WAF 정책에서는 관리형 규칙 그룹을 사용할 수 있습니다. 관리형 규칙 그룹은 AWS 및 AWS Marketplace 판매자가 사용자를 위해 생성하고 유지 관리합니다. 사용자 고유의 규칙 그룹을 생성하고 사용할 수도 있습니다. 규칙 그룹에 대한 자세한 내용은 규칙 그룹 단원을 참조하십시오.

고유의 규칙 그룹을 사용하려는 경우 Firewall Manager AWS WAF 정책을 생성하기 전에 해당 규칙 그룹을 생성합니다. 자세한 지침은 자체 규칙 그룹 관리 단원을 참조하십시오. 개별 사용자 지정 규칙을 사용하려면 고유의 규칙 그룹을 정의하고, 해당 규칙 그룹 내에서 규칙을 정의한 다음, 정책에서 규칙 그룹을 사용해야 합니다.

Firewall Manager AWS WAF 정책에 대한 자세한 내용은 AWS WAF 정책 작동 방식 단원을 참조하십시오.

AWS WAF에 대한 Firewall Manager 정책을 생성하려면(콘솔)

  1. 사전 조건(AWS Firewall Manager 사전 조건)에서 설정한 Firewall Manager 관리자 계정을 사용하여 AWS Management 콘솔에 로그인한 다음, https://console.aws.amazon.com/wafv2/fms에서 Firewall Manager 콘솔을 엽니다.

    참고

    Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 2단계: AWS Firewall Manager 관리자 계정 설정 단원을 참조하십시오.

  2. 탐색 창에서 보안 정책을 선택합니다.

  3. [Create policy]를 선택합니다.

  4. 정책 유형에서 AWS WAF를 선택합니다.

  5. 리전에서 AWS 리전을 선택합니다. Amazon CloudFront 배포를 보호하려면 글로벌을 선택합니다.

    여러 리전에서 리소스를 보호하려면(CloudFront 배포 제외) 각 리전에 대해 별도의 Firewall Manager 정책을 생성해야 합니다.

  6. [Next]를 선택합니다.

  7. 정책 이름에 설명이 포함된 이름을 입력합니다. Firewall Manager에서는 생성된 웹 ACL의 이름에 정책 이름이 포함됩니다. 웹 ACL 이름은 FMManagedWebACLV2로 시작하고 여기에서 입력한 정책 이름이 뒤에 이어집니다.

  8. 정책 규칙에서 AWS WAF가 웹 ACL에서 첫 번째 및 마지막으로 평가할 규칙 그룹을 추가합니다. 개별 계정 관리자는 첫 번째 규칙 그룹과 마지막 규칙 그룹 사이에 규칙 및 규칙 그룹을 추가할 수 있습니다. 자세한 내용은 AWS WAF 정책 작동 방식 단원을 참조하십시오.

  9. 웹 ACL에 대한 기본 작업을 설정합니다. 이 작업은 웹 요청이 웹 ACL의 어떠한 규칙과도 일치하지 않는 경우 AWS WAF에서 수행하는 작업입니다. 자세한 내용은 웹 ACL에 대한 기본 작업 결정 단원을 참조하십시오.

  10. 조직 내의 각 적용 가능 계정에서 웹 ACL을 생성하려고 하지만 아직 웹 ACL을 리소스에 적용하지 않으려는 경우 정책 작업에서 정책 규칙을 준수하지 않지만 자동 문제 해결을 수행하지 않는 리소스 식별을 선택합니다. 나중에 옵션을 변경할 수 있습니다.

    그 대신 기존 범위 내 리소스에 정책을 자동으로 적용하려는 경우 비준수 리소스 자동 문제 해결을 선택합니다. 이 옵션은 AWS 조직 내의 각 적용 가능 계정에서 웹 ACL을 생성하고 이 웹 ACL을 계정의 리소스와 연결합니다.

    이 옵션을 사용하면 다른 활성 Firewall Manager 정책에 의해 관리되지 않는 웹 ACL에 대해 범위 내 리소스와의 기존 웹 ACL 연결을 제거하도록 선택할 수도 있습니다. 이 옵션을 선택하면 Firewall Manager에서 먼저 정책의 웹 ACL을 리소스와 연결한 다음 이전 연결을 제거합니다. 리소스에 다른 활성 Firewall Manager 정책으로 관리되는 다른 웹 ACL과 연결되어 있는 경우 이 옵션은 해당 연결에 영향을 주지 않습니다.

  11. [Next]를 선택합니다.

  12. 이 정책이 적용되는 AWS 계정의 경우 다음과 같이 옵션을 선택합니다.

    • 조직의 모든 계정에 정책을 적용하려면 기본 선택인 내 AWS 조직의 모든 계정 포함을 그대로 둡니다.

    • 특정 계정 또는 특정 AWS Organizations 조직 단위(OU)에 있는 계정에만 정책을 적용하려는 경우 지정된 계정과 조직 단위만 포함을 선택한 다음 포함할 계정과 OU를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU와 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 같습니다.

    • 특정 계정 집합 또는 AWS Organizations 조직 단위(OU)를 제외한 모든 항목에 정책을 적용하려는 경우 지정된 계정과 조직 단위를 제외한 기타 모든 항목 포함을 선택한 다음 제외할 계정과 OU를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU와 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 같습니다.

    옵션 중 하나만 선택할 수 있습니다.

    정책을 적용하면 Firewall Manager에서 설정에 대해 새 계정을 자동으로 평가합니다. 예를 들어 특정 계정만 포함하는 경우 Firewall Manager에서는 새 계정에 정책을 적용하지 않습니다. 또 다른 예로 OU를 포함하는 경우 OU나 하위 OU에 계정을 추가하면 Firewall Manager에서 새 계정에 정책을 자동으로 적용합니다.

  13. 리소스 유형에서 보호하려는 리소스 유형을 선택합니다.

  14. 특정 태그가 있는 리소스만 보호(또는 제외)하려는 경우 리소스에서 적절한 옵션을 선택한 다음 포함하거나 제외할 태그를 입력합니다. 옵션을 하나만 선택할 수 있습니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하십시오.

    태그를 두 개 이상 입력하는 경우 포함하거나 제외할 모든 태그가 리소스에 있어야 합니다.

  15. [Next]를 선택합니다.

  16. 정책 태그에서 Firewall Manager AWS WAF 정책에 대해 원하는 식별 태그를 추가합니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하십시오.

  17. [Next]를 선택합니다.

  18. 새 정책을 검토합니다. 변경하려면 변경할 영역에서 편집을 선택합니다. 그러면 생성 마법사의 해당 단계로 돌아갑니다. 정책이 마음에 들면 Create policy(정책 생성)를 선택합니다.

AWS WAF Classic에 대한 AWS Firewall Manager 정책 생성

AWS WAF Classic에 대한 Firewall Manager 정책을 생성하려면(콘솔)

  1. 사전 조건(AWS Firewall Manager 사전 조건)에서 설정한 Firewall Manager 관리자 계정을 사용하여 AWS Management 콘솔에 로그인한 다음, https://console.aws.amazon.com/wafv2/fms에서 Firewall Manager 콘솔을 엽니다.

    참고

    Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 2단계: AWS Firewall Manager 관리자 계정 설정 단원을 참조하십시오.

  2. 탐색 창에서 보안 정책을 선택합니다.

  3. [Create policy]를 선택합니다.

  4. 정책 유형에서 AWS WAF Classic을 선택합니다.

  5. 정책에 추가하려는 AWS WAF Classic 규칙 그룹을 이미 생성한 경우 Create an AWS Firewall Manager policy and add existing rule groups(AWS Firewall Manager 정책 생성 및 기존 규칙 그룹 추가)를 선택합니다. 새 규칙 그룹을 생성하려는 경우 Create a Firewall Manager policy and add a new rule group(Firewall Manager 정책 생성 및 새 규칙 그룹 추가)을 선택합니다.

  6. 리전에서 AWS 리전을 선택합니다. Amazon CloudFront 리소스를 보호하려면 Global(글로벌)을 선택합니다.

    여러 리전에서 리소스를 보호하려면(CloudFront 리소스 제외) 각 리전에 대해 별도의 Firewall Manager 정책을 생성해야 합니다.

  7. [Next]를 선택합니다.

  8. 규칙 그룹을 만들려면 AWS WAF Classic 규칙 그룹 생성의 지침을 따릅니다. 규칙 그룹을 생성한 후 다음 단계를 계속 진행합니다.

  9. 정책 이름을 입력합니다.

  10. 기존 규칙 그룹을 추가하는 경우 드롭다운 메뉴를 사용하여 추가할 규칙 그룹을 선택한 다음 Add rule group(규칙 그룹 추가)을 선택합니다.

  11. 정책에는 Action set by rule group(규칙 그룹에 설정된 작업) 및 Count(계산)라는 두 가지 가능한 작업이 있습니다. 정책과 규칙 그룹을 테스트하려면 작업을 Count(계산)로 설정합니다. 이 작업은 규칙 그룹 내 규칙으로 지정한 모든 차단 작업을 재정의합니다. 즉, 정책의 작업이 Count(계산)로 설정되면 요청이 계산되기만 하고 차단되지는 않습니다. 반대로 정책의 작업을 Action set by rule group(규칙 그룹에 설정된 작업)으로 설정하면 규칙 그룹 규칙의 작업이 사용됩니다. 적절한 작업을 선택합니다.

  12. [Next]를 선택합니다.

  13. 이 정책이 적용되는 AWS 계정의 경우 다음과 같이 옵션을 선택합니다.

    • 조직의 모든 계정에 정책을 적용하려면 기본 선택인 내 AWS 조직의 모든 계정 포함을 그대로 둡니다.

    • 특정 계정 또는 특정 AWS Organizations 조직 단위(OU)에 있는 계정에만 정책을 적용하려는 경우 지정된 계정과 조직 단위만 포함을 선택한 다음 포함할 계정과 OU를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU와 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 같습니다.

    • 특정 계정 집합 또는 AWS Organizations 조직 단위(OU)를 제외한 모든 항목에 정책을 적용하려는 경우 지정된 계정과 조직 단위를 제외한 기타 모든 항목 포함을 선택한 다음 제외할 계정과 OU를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU와 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 같습니다.

    옵션 중 하나만 선택할 수 있습니다.

    정책을 적용하면 Firewall Manager에서 설정에 대해 새 계정을 자동으로 평가합니다. 예를 들어 특정 계정만 포함하는 경우 Firewall Manager에서는 새 계정에 정책을 적용하지 않습니다. 또 다른 예로 OU를 포함하는 경우 OU나 하위 OU에 계정을 추가하면 Firewall Manager에서 새 계정에 정책을 자동으로 적용합니다.

  14. 보호할 리소스 유형을 선택합니다.

  15. 특정 태그가 있는 리소스만 보호하거나 특정 태그가 있는 리소스를 제외하려면 Use tags to include/exclude resources(태그를 사용하여 리소스 포함/제외)를 선택하고 태그를 입력한 다음 Include(포함) 또는 Exclude(제외)를 선택합니다. 옵션을 하나만 선택할 수 있습니다.

    태그를 2개 이상 입력하고(쉼표로 구분) 리소스에 해당 태그 중 하나라도 있으면 일치한다고 간주합니다.

    태그에 대한 자세한 내용은 Tag Editor 작업을 참조하십시오.

  16. 기존 리소스에 정책을 자동으로 적용하려면 Create and apply this policy to existing and new resources(이 정책을 생성하고 기존 리소스와 새 리소스에 적용)를 선택합니다.

    이 옵션은 AWS 조직 내에 있는 각 적용 가능 계정에서 웹 ACL을 만들고 이 웹 ACL을 계정의 리소스와 연결합니다. 앞에서 설명한 기준(리소스 유형 및 태그)에 맞는 모든 새 리소스에 정책을 적용합니다. 그 대신 Create but do not apply this policy to existing or new resources(이 정책을 생성하지만 기존 리소스나 새로운 리소스에 적용 안 함)를 선택하면 Firewall Manager에서는 조직 내의 각 적용 가능 계정에 웹 ACL이 생성되지만 리소스에 웹 ACL이 적용되지 않습니다. 나중에 정책을 리소스에 적용해야 합니다. 적절한 옵션을 선택합니다.

  17. Replace existing associated web ACLs(기존 웹 ACL 연결 바꾸기)를 사용하면 현재 범위 내 리소스에 대해 정의된 모든 웹 ACL 연결을 제거한 다음 이 정책으로 생성 중인 웹 ACL과의 연결로 바꿀 수 있습니다. 기본적으로 Firewall Manager는 새 웹 ACL 연결을 추가하기 전에 기존 웹 ACL 연결을 제거하지 않습니다. 기존 연결을 제거하려면 이 옵션을 선택합니다.

  18. [Next]를 선택합니다.

  19. 새 정책을 검토합니다. 변경하려면 Edit(편집)를 선택합니다. 정책이 마음에 들면 Create and apply policy(정책 생성 및 적용)를 선택합니다.

Shield Advanced에 대한 AWS Firewall Manager 정책 생성

Shield Advanced에 대한 Firewall Manager 정책을 생성하려면(콘솔)

  1. 사전 조건(AWS Firewall Manager 사전 조건)에서 설정한 Firewall Manager 관리자 계정을 사용하여 AWS Management 콘솔에 로그인한 다음, https://console.aws.amazon.com/wafv2/fms에서 Firewall Manager 콘솔을 엽니다.

    참고

    Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 2단계: AWS Firewall Manager 관리자 계정 설정 단원을 참조하십시오.

  2. 탐색 창에서 보안 정책을 선택합니다.

  3. [Create policy]를 선택합니다.

  4. 이름에 의미 있는 이름을 입력합니다.

  5. Policy type(정책 유형)에서 Shield Advanced를 선택합니다.

    Shield Advanced 정책을 생성하려면 Shield Advanced에 가입된 상태여야 합니다. 가입되지 않은 경우 가입하라는 메시지가 나타납니다. 자세한 내용은 AWS Shield 요금 단원을 참조하십시오.

  6. 리전에서 AWS 리전을 선택합니다. Amazon CloudFront 리소스를 보호하려면 Global(글로벌)을 선택합니다.

    여러 리전에서 리소스를 보호하려면(CloudFront 리소스 제외) 각 리전에 대해 별도의 Firewall Manager 정책을 생성해야 합니다.

  7. [Next]를 선택합니다.

  8. 이 정책이 적용되는 AWS 계정의 경우 다음과 같이 옵션을 선택합니다.

    • 조직의 모든 계정에 정책을 적용하려면 기본 선택인 내 AWS 조직의 모든 계정 포함을 그대로 둡니다.

    • 특정 계정 또는 특정 AWS Organizations 조직 단위(OU)에 있는 계정에만 정책을 적용하려는 경우 지정된 계정과 조직 단위만 포함을 선택한 다음 포함할 계정과 OU를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU와 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 같습니다.

    • 특정 계정 집합 또는 AWS Organizations 조직 단위(OU)를 제외한 모든 항목에 정책을 적용하려는 경우 지정된 계정과 조직 단위를 제외한 기타 모든 항목 포함을 선택한 다음 제외할 계정과 OU를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU와 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 같습니다.

    옵션 중 하나만 선택할 수 있습니다.

    정책을 적용하면 Firewall Manager에서 설정에 대해 새 계정을 자동으로 평가합니다. 예를 들어 특정 계정만 포함하는 경우 Firewall Manager에서는 새 계정에 정책을 적용하지 않습니다. 또 다른 예로 OU를 포함하는 경우 OU나 하위 OU에 계정을 추가하면 Firewall Manager에서 새 계정에 정책을 자동으로 적용합니다.

  9. 보호할 리소스 유형을 선택합니다.

    Firewall Manager는 Amazon Route 53 또는 AWS Global Accelerator를 지원하지 않습니다. 이러한 리소스를 Shield Advanced로 보호해야 하는 경우 Firewall Manager 정책을 사용할 수 없습니다. 그 대신 AWS 자원에 AWS Shield Advanced 보호 추가의 지시 사항을 따릅니다.

  10. 특정 태그가 있는 리소스만 보호하거나 특정 태그가 있는 리소스를 제외하려면 Use tags to include/exclude resources(태그를 사용하여 리소스 포함/제외)를 선택하고 태그를 입력한 다음 Include(포함) 또는 Exclude(제외)를 선택합니다. 옵션을 하나만 선택할 수 있습니다.

    태그를 2개 이상 입력하고(쉼표로 구분) 리소스에 해당 태그 중 하나라도 있으면 일치한다고 간주합니다.

    태그에 대한 자세한 내용은 Tag Editor 작업을 참조하십시오.

  11. Create and apply this policy to existing and new resources(이 정책을 생성하고 기존 리소스와 새 리소스에 적용)를 선택합니다.

    이 옵션은 AWS 조직 내에 있는 각 적용 가능 계정에 Shield Advanced 보호를 적용하고, 이 보호를 계정의 지정 리소스와 연결합니다. 앞에서 설명한 기준(리소스 유형 및 태그)에 맞는 모든 새 리소스에 정책을 적용합니다. 그 대신, Create but do not apply this policy to existing or new resources(이 정책을 생성하지만 기존 리소스나 새로운 리소스에 적용 안 함)를 선택하면 Firewall Manager에서 Shield Advanced 보호가 리소스에 적용되지 않습니다. 나중에 정책을 리소스에 적용해야 합니다.

  12. [Next]를 선택합니다.

  13. 새 정책을 검토합니다. 변경하려면 Edit(편집)를 선택합니다. 정책이 마음에 들면 Create policy(정책 생성)를 선택합니다.

AWS Firewall Manager 공통 보안 그룹 정책 생성

공통 보안 그룹 정책을 생성하려면 정책에 기본으로 사용할 보안 그룹을 Firewall Manager 관리자 계정에서 이미 생성한 상태여야 합니다. Amazon Virtual Private Cloud(Amazon VPC) 또는 Amazon Elastic Compute Cloud(Amazon EC2)를 통해 보안 그룹을 관리할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서보안 그룹 작업을 참조하십시오.

공통 보안 그룹 정책의 작동 방식에 대한 자세한 내용은 공통 보안 그룹 정책 단원을 참조하십시오.

공통 보안 그룹 정책을 생성하려면(콘솔)

  1. 사전 조건(AWS Firewall Manager 사전 조건)에서 설정한 Firewall Manager 관리자 계정을 사용하여 AWS Management 콘솔에 로그인한 다음, https://console.aws.amazon.com/wafv2/fms에서 Firewall Manager 콘솔을 엽니다.

    참고

    Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 2단계: AWS Firewall Manager 관리자 계정 설정 단원을 참조하십시오.

  2. 탐색 창에서 보안 정책을 선택합니다.

  3. [Create policy]를 선택합니다.

  4. 정책 유형에서 보안 그룹을 선택합니다.

  5. 보안 그룹 정책 유형에서 공통 보안 그룹을 선택합니다.

  6. 리전에서 AWS 리전을 선택합니다.

  7. 다음을 선택합니다.

  8. 정책 이름에 기억하기 쉬운 이름을 입력합니다.

  9. 정책 규칙에서 다음을 수행합니다.

    1. 규칙 옵션에서 보안 그룹 규칙과 정책 범위 내에 있는 리소스에 적용할 제한을 선택합니다.

    2. 기본 보안 그룹에서 기본 보안 그룹 추가를 선택한 다음, 사용할 보안 그룹을 선택합니다. Firewall Manager는 Firewall Manager 관리자 계정의 모든 Amazon VPC 인스턴스에서 기본 보안 그룹의 목록을 채웁니다. 정책의 기본 보안 그룹에 대한 기본 최대 수는 1입니다. 최대값 증가에 대한 자세한 내용은 AWS Firewall Manager 할당량 단원을 참조하십시오.

    3. 정책 작업에서 자동으로 문제를 해결하지 않는 옵션을 사용하여 정책을 생성하는 것이 좋습니다. 이렇게 하면 정책을 적용하기 전에 새 정책의 효과를 평가할 수 있습니다. 변경 내용이 원하는 대로 만족스러우면 정책을 편집하고 정책 작업을 변경하여 규정 미준수 리소스의 자동 문제 해결을 활성화합니다.

  10. [Next]를 선택합니다.

  11. 이 정책이 적용되는 AWS 계정의 경우 다음과 같이 옵션을 선택합니다.

    • 조직의 모든 계정에 정책을 적용하려면 기본 선택인 내 AWS 조직의 모든 계정 포함을 그대로 둡니다.

    • 특정 계정 또는 특정 AWS Organizations 조직 단위(OU)에 있는 계정에만 정책을 적용하려는 경우 지정된 계정과 조직 단위만 포함을 선택한 다음 포함할 계정과 OU를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU와 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 같습니다.

    • 특정 계정 집합 또는 AWS Organizations 조직 단위(OU)를 제외한 모든 항목에 정책을 적용하려는 경우 지정된 계정과 조직 단위를 제외한 기타 모든 항목 포함을 선택한 다음 제외할 계정과 OU를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU와 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 같습니다.

    옵션 중 하나만 선택할 수 있습니다.

    정책을 적용하면 Firewall Manager에서 설정에 대해 새 계정을 자동으로 평가합니다. 예를 들어 특정 계정만 포함하는 경우 Firewall Manager에서는 새 계정에 정책을 적용하지 않습니다. 또 다른 예로 OU를 포함하는 경우 OU나 하위 OU에 계정을 추가하면 Firewall Manager에서 새 계정에 정책을 자동으로 적용합니다.

  12. 리소스 유형에서 보호하려는 리소스 유형을 선택합니다.

    EC2 인스턴스를 선택한 경우 각 Amazon EC2 인스턴스에 모든 탄력적 네트워크 인터페이스를 포함하거나 각 인스턴스에 기본 인터페이스만 포함하도록 선택할 수 있습니다. 범위 내 Amazon EC2 인스턴스에 두 개 이상의 탄력적 네트워크 인터페이스가 있는 경우 모든 인터페이스를 포함하는 옵션을 선택하면 Firewall Manager에서 모든 인터페이스에 정책을 적용할 수 있습니다. 자동 문제 해결을 사용하도록 설정하면 Firewall Manager에서 Amazon EC2 인스턴스의 모든 탄력적 네트워크 인터페이스에 정책을 적용할 수 없는 경우 인스턴스가 비호환으로 표시됩니다.

  13. 리소스에서 AWS 계정 및 리소스 유형 파라미터 내에 있는 모든 리소스에 정책을 적용하려는 경우 선택한 리소스 유형과 일치하는 모든 리소스 포함을 선택합니다. 특정 리소스를 포함하거나 제외하려면 태그 지정을 사용하여 리소스를 지정한 다음, 적절한 옵션을 선택하고 태그를 목록에 추가합니다. 지정한 모든 태그가 있는 리소스를 제외한 모든 리소스에 정책을 적용하거나, 지정한 모든 태그가 있는 리소스에만 정책을 적용할 수 있습니다. 리소스 태그 지정에 대한 자세한 내용은 태그 편집기 작업을 참조하십시오.

    참고

    태그를 두 개 이상 입력하는 경우 리소스에 일치하는 모든 태그가 있어야 합니다.

  14. 다음을 선택합니다.

  15. 정책 설정을 검토하여 원하는 대로 설정되었는지 확인한 다음 정책 생성을 선택합니다.

Firewall Manager는 계정당 지원되는 Amazon VPC 최대 할당량까지 범위 내 계정 내에 포함된 모든 Amazon VPC 인스턴스에서 기본 보안 그룹의 복제본을 생성합니다. Firewall Manager는 복제본 보안 그룹을 각 범위 내 각 계정의 정책 범위 내에 있는 리소스에 연결합니다. 이 정책의 작동 방식에 대한 자세한 내용은 공통 보안 그룹 정책 단원을 참조하십시오.

AWS Firewall Manager 콘텐츠 감사 보안 그룹 정책 생성

콘텐츠 감사 보안 그룹 정책을 만들려면 정책에 대한 감사 보안 그룹으로 사용할 보안 그룹을 Firewall Manager 관리자 계정에서 이미 생성한 상태여야 합니다. Amazon Virtual Private Cloud(Amazon VPC) 또는 Amazon Elastic Compute Cloud(Amazon EC2)를 통해 보안 그룹을 관리할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서보안 그룹 작업을 참조하십시오.

감사 보안 그룹 규칙을 정책에서 허용되는 규칙에 대한 템플릿으로 사용하거나 정책에서 거부되는 규칙에 대한 템플릿으로 사용할 수 있습니다. 콘텐츠 감사 보안 그룹 정책의 작동 방식에 대한 자세한 내용은 콘텐츠 감사 보안 그룹 정책 단원을 참조하십시오.

콘텐츠 감사 보안 그룹 정책을 생성하려면(콘솔)

  1. 사전 조건(AWS Firewall Manager 사전 조건)에서 설정한 Firewall Manager 관리자 계정을 사용하여 AWS Management 콘솔에 로그인한 다음, https://console.aws.amazon.com/wafv2/fms에서 Firewall Manager 콘솔을 엽니다.

    참고

    Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 2단계: AWS Firewall Manager 관리자 계정 설정 단원을 참조하십시오.

  2. 탐색 창에서 보안 정책을 선택합니다.

  3. [Create policy]를 선택합니다.

  4. 정책 유형에서 보안 그룹을 선택합니다.

  5. 보안 그룹 정책 유형에서 보안 그룹 규칙의 감사 및 적용을 선택합니다.

  6. 리전에서 AWS 리전을 선택합니다.

  7. 다음을 선택합니다.

  8. 정책 이름에 기억하기 쉬운 이름을 입력합니다.

  9. 정책 규칙에서 다음을 수행합니다.

    1. 규칙 옵션에서 감사 보안 그룹에 정의된 규칙만 허용할지 또는 모든 규칙을 거부할지를 선택합니다. 이 선택 항목에 대한 자세한 내용은 콘텐츠 감사 보안 그룹 정책 단원을 참조하십시오.

    2. 감사 보안 그룹에서 감사 보안 그룹 추가를 선택한 다음, 사용할 보안 그룹을 선택합니다. Firewall Manager는 Firewall Manager 관리자 계정의 모든 Amazon VPC 인스턴스에서 감사 보안 그룹의 목록을 채웁니다. 정책의 감사 보안 그룹 수에 대한 기본 최대 할당량은 1입니다. 할당량 증가에 대한 자세한 내용은 AWS Firewall Manager 할당량 단원을 참조하십시오.

    3. 정책 작업에서 자동으로 문제를 해결하지 않는 옵션을 사용하여 정책을 생성해야 합니다. 이렇게 하면 정책을 적용하기 전에 새 정책의 효과를 평가할 수 있습니다. 변경 내용이 원하는 대로 만족스러우면 정책을 편집하고 정책 작업을 변경하여 규정 미준수 리소스의 자동 문제 해결을 활성화합니다.

  10. [Next]를 선택합니다.

  11. 이 정책이 적용되는 AWS 계정의 경우 다음과 같이 옵션을 선택합니다.

    • 조직의 모든 계정에 정책을 적용하려면 기본 선택인 내 AWS 조직의 모든 계정 포함을 그대로 둡니다.

    • 특정 계정 또는 특정 AWS Organizations 조직 단위(OU)에 있는 계정에만 정책을 적용하려는 경우 지정된 계정과 조직 단위만 포함을 선택한 다음 포함할 계정과 OU를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU와 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 같습니다.

    • 특정 계정 집합 또는 AWS Organizations 조직 단위(OU)를 제외한 모든 항목에 정책을 적용하려는 경우 지정된 계정과 조직 단위를 제외한 기타 모든 항목 포함을 선택한 다음 제외할 계정과 OU를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU와 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 같습니다.

    옵션 중 하나만 선택할 수 있습니다.

    정책을 적용하면 Firewall Manager에서 설정에 대해 새 계정을 자동으로 평가합니다. 예를 들어 특정 계정만 포함하는 경우 Firewall Manager에서는 새 계정에 정책을 적용하지 않습니다. 또 다른 예로 OU를 포함하는 경우 OU나 하위 OU에 계정을 추가하면 Firewall Manager에서 새 계정에 정책을 자동으로 적용합니다.

  12. 리소스 유형에서 보호하려는 리소스 유형을 선택합니다.

  13. 리소스에서 AWS 계정 및 리소스 유형 파라미터 내에 있는 모든 리소스에 정책을 적용하려는 경우 선택한 리소스 유형과 일치하는 모든 리소스 포함을 선택합니다. 특정 리소스를 포함하거나 제외하려면 태그 지정을 사용하여 리소스를 지정한 다음, 적절한 옵션을 선택하고 태그를 목록에 추가합니다. 지정한 모든 태그가 있는 리소스를 제외한 모든 리소스에 정책을 적용하거나, 지정한 모든 태그가 있는 리소스에만 정책을 적용할 수 있습니다. 리소스 태그 지정에 대한 자세한 내용은 태그 편집기 작업을 참조하십시오.

    참고

    태그를 두 개 이상 입력하는 경우 리소스에 일치하는 모든 태그가 있어야 합니다.

  14. 다음을 선택합니다.

  15. 정책 설정을 검토하여 원하는 대로 설정되었는지 확인한 다음 정책 생성을 선택합니다.

Firewall Manager에서는 정책 규칙 설정에 따라 감사 보안 그룹을 AWS 조직의 범위 내 보안 그룹과 비교합니다. AWS Firewall Manager 정책 콘솔에서 정책 상태를 검토할 수 있습니다. 정책이 생성된 후 정책을 편집하고 자동 문제 해결을 활성화하여 감사 보안 그룹 정책을 시행할 수 있습니다. 이 정책의 작동 방식에 대한 자세한 내용은 콘텐츠 감사 보안 그룹 정책 단원을 참조하십시오.

AWS Firewall Manager 사용 감사 보안 그룹 정책 생성

AWS Firewall Manager 사용 감사 보안 그룹 정책을 사용하면 조직에서 사용되지 않는 보안 그룹 및 중복 보안 그룹을 모니터링하고 선택적으로 정리를 수행할 수 있습니다. 사용 감사 보안 그룹 정책의 작동 방식에 대한 자세한 내용은 사용 감사 보안 그룹 정책 단원을 참조하십시오.

감사 감사 보안 그룹 정책을 생성하려면(콘솔)

  1. 사전 조건(AWS Firewall Manager 사전 조건)에서 설정한 Firewall Manager 관리자 계정을 사용하여 AWS Management 콘솔에 로그인한 다음, https://console.aws.amazon.com/wafv2/fms에서 Firewall Manager 콘솔을 엽니다.

    참고

    Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 2단계: AWS Firewall Manager 관리자 계정 설정 단원을 참조하십시오.

  2. 탐색 창에서 보안 정책을 선택합니다.

  3. [Create policy]를 선택합니다.

  4. 정책 유형에서 보안 그룹을 선택합니다.

  5. 보안 그룹 정책 유형에서 사용되지 않는 보안 그룹 및 중복 보안 그룹의 감사 및 적용을 선택합니다.

  6. 리전에서 AWS 리전을 선택합니다.

  7. 다음을 선택합니다.

  8. 정책 이름에 기억하기 쉬운 이름을 입력합니다.

  9. 정책 규칙에서 사용 가능한 옵션 중 하나 또는 둘 다를 선택합니다.

    • Security groups within this policy scope must be used by at least one resource.(이 정책 범위 내의 보안 그룹은 최소한 하나 이상의 리소스에서 사용되어야 합니다.)를 선택하면 Firewall Manager가 사용되지 않는 것으로 판단한 보안 그룹을 모두 제거합니다. 기본적으로 Firewall Manager는 보안 그룹이 일정 기간 동안 사용되지 않는 경우 이 정책 규칙을 미준수로 간주합니다. 필요에 따라 보안 그룹이 미준수로 간주되기 전에 사용되지 않은 상태로 존재할 수 있는 시간(분)을 지정할 수 있습니다. 이 규칙을 선택하면 Firewall Manager는 정책을 저장할 때 이 규칙을 마지막으로 실행합니다.

    • Security groups within this policy scope must be unique(이 정책 범위 내의 보안 그룹은 고유해야 합니다).를 선택하면 Firewall Manager는 정책 하나만 모든 리소스와 연결되도록 중복 보안 그룹을 통합합니다. 이 옵션을 선택하면 Firewall Manager는 정책을 저장할 때 이 옵션을 먼저 실행합니다.

  10. 정책 작업에서 자동으로 문제를 해결하지 않는 옵션을 사용하여 정책을 생성하는 것이 좋습니다. 이렇게 하면 정책을 적용하기 전에 새 정책의 효과를 평가할 수 있습니다. 변경 내용이 원하는 대로 만족스러우면 정책을 편집하고 정책 작업을 변경하여 규정 미준수 리소스의 자동 문제 해결을 활성화합니다.

  11. [Next]를 선택합니다.

  12. 이 정책이 적용되는 AWS 계정의 경우 다음과 같이 옵션을 선택합니다.

    • 조직의 모든 계정에 정책을 적용하려면 기본 선택인 내 AWS 조직의 모든 계정 포함을 그대로 둡니다.

    • 특정 계정 또는 특정 AWS Organizations 조직 단위(OU)에 있는 계정에만 정책을 적용하려는 경우 지정된 계정과 조직 단위만 포함을 선택한 다음 포함할 계정과 OU를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU와 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 같습니다.

    • 특정 계정 집합 또는 AWS Organizations 조직 단위(OU)를 제외한 모든 항목에 정책을 적용하려는 경우 지정된 계정과 조직 단위를 제외한 기타 모든 항목 포함을 선택한 다음 제외할 계정과 OU를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU와 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 같습니다.

    옵션 중 하나만 선택할 수 있습니다.

    정책을 적용하면 Firewall Manager에서 설정에 대해 새 계정을 자동으로 평가합니다. 예를 들어 특정 계정만 포함하는 경우 Firewall Manager에서는 새 계정에 정책을 적용하지 않습니다. 또 다른 예로 OU를 포함하는 경우 OU나 하위 OU에 계정을 추가하면 Firewall Manager에서 새 계정에 정책을 자동으로 적용합니다.

  13. 리소스에서 AWS 계정 및 리소스 유형 파라미터 내에 있는 모든 리소스에 정책을 적용하려는 경우 선택한 리소스 유형과 일치하는 모든 리소스 포함을 선택합니다. 특정 리소스를 포함하거나 제외하려면 태그 지정을 사용하여 리소스를 지정한 다음, 적절한 옵션을 선택하고 태그를 목록에 추가합니다. 지정한 모든 태그가 있는 리소스를 제외한 모든 리소스에 정책을 적용하거나, 지정한 모든 태그가 있는 리소스에만 정책을 적용할 수 있습니다. 리소스 태그 지정에 대한 자세한 내용은 태그 편집기 작업을 참조하십시오.

    참고

    태그를 두 개 이상 입력하는 경우 리소스에 일치하는 모든 태그가 있어야 합니다.

  14. 다음을 선택합니다.

  15. 정책 범위에서 Firewall Manager 관리자 계정을 제외하지 않은 경우 Firewall Manager에서 이 작업을 수행하라는 메시지가 표시됩니다. 이렇게 하면 Firewall Manager 관리자 계정에서 어떤 보안 그룹을 공통 및 감사 보안 그룹 정책에 사용할지를 수동으로 제어할 수 있습니다. 이 대화 상자에서 원하는 옵션을 선택합니다.

  16. 정책 설정을 검토하여 원하는 대로 설정되었는지 확인한 다음 정책 생성을 선택합니다.

보안 그룹이 고유해야 한다는 옵션을 선택한 경우 Firewall Manager에서는 각 범위 내 Amazon VPC 인스턴스에서 중복 보안 그룹을 검색합니다. 그런 다음 하나 이상의 리소스에서 각 보안 그룹을 사용하도록 선택한 경우 Firewall Manager가 규칙에 지정된 시간 동안 사용되지 않은 상태로 남아 있는 보안 그룹을 검색합니다. AWS Firewall Manager 정책 콘솔에서 정책 상태를 검토할 수 있습니다. 이 정책의 작동 방식에 대한 자세한 내용은 사용 감사 보안 그룹 정책 단원을 참조하십시오.