Amazon Route 53 Resolver DNS 방화벽 정책 - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Route 53 Resolver DNS 방화벽 정책

AWS Firewall Manager DNS 방화벽 정책을 사용하여 조직 전체의 Amazon Route 53 Resolver DNS 방화벽 규칙 그룹과 Amazon Virtual Private Cloud VPC 간의 연결을 관리할 수 있습니다. AWS Organizations중앙에서 제어하는 규칙 그룹을 전체 조직 또는 선택한 계정 및 VPC 하위 집합에 적용할 수 있습니다.

DNS Firewall은 VPC의 아웃바운드 DNS 트래픽에 대한 필터링 및 규제를 제공합니다. DNS Firewall 규칙 그룹에 재사용 가능한 필터링 규칙 컬렉션을 생성하고 규칙 그룹을 VPC에 연결합니다. Firewall Manager 정책을 적용하면 정책 범위 내에 있는 각 계정 및 VPC에 대해 Firewall Manager는 Firewall Manager 정책에 지정된 연결 우선 순위 설정을 사용하여 정책의 각 DNS Firewall 규칙 그룹과 정책 범위 내에 있는 각 VPC 간의 연결을 생성합니다.

DNS 방화벽 사용에 대한 자세한 설명은 Amazon Route 53 개발자 가이드Amazon Route 53 Resolver DNS 방화벽을 참조하세요.

다음 섹션에서는 Firewall Manager DNS 방화벽 정책을 사용하기 위한 요구 사항을 다루고 정책의 작동 방식을 설명합니다. 정책을 생성하는 절차는 Amazon Route 53 DNS 리졸버 방화벽에 대한 AWS Firewall Manager 정책 생성을 참조하세요.

리소스 공유를 활성화해야 합니다

DNS 방화벽 정책은 조직 내 계정 전체에서 DNS 방화벽 규칙 그룹을 공유합니다. 이 기능을 사용하려면 를 사용하여 리소스 공유를 활성화해야 합니다. AWS Organizations리소스 공유를 활성화하는 방법에 대한 자세한 내용은 네트워크 방화벽 및 DNS 방화벽 정책에 대한 리소스 공유을 참조하세요.

DNS 방화벽 규칙 그룹을 정의해야 합니다

새 DNS 방화벽 정책을 지정할 때는 Amazon Route 53 Resolver DNS Firewall을 직접 사용할 때와 동일하게 규칙 그룹을 정의합니다. 규칙 그룹을 정책에 포함하려면 Firewall Manager 관리자 계정에 규칙 그룹이 이미 있어야 합니다. DNS 방화벽 규칙 그룹 생성에 대한 자세한 내용은 DNS 방화벽 규칙 그룹 및 규칙을 참조하세요.

가장 낮은 우선순위와 가장 높은 우선순위의 규칙 그룹 연결을 정의합니다

Firewall Manager DNS 방화벽 정책을 통해 관리하는 DNS Firewall 규칙 그룹 연결에는 VPC에 대한 가장 낮은 우선 순위의 연결과 가장 높은 우선 순위의 연결이 포함됩니다. 정책 구성에서 이들은 첫 번째 및 마지막 규칙 그룹으로 나타납니다.

DNS Firewall은 VPC의 DNS 트래픽을 다음 순서로 필터링합니다.

  1. Firewall Manager DNS 방화벽 정책에 사용자가 정의한 첫 번째 규칙 그룹입니다. 유효한 값은 1~99입니다.

  2. 개별 계정 관리자가 DNS Firewall을 통해 연결하는 DNS Firewall 규칙 그룹입니다.

  3. Firewall Manager DNS 방화벽 정책에 사용자가 정의한 마지막 규칙 그룹입니다. 유효한 값은 9,901에서 10,000까지입니다.

규칙 그룹 삭제

Firewall Manager DNS 방화벽 정책에서 규칙 그룹을 삭제하려면 다음 단계를 수행해야 합니다.

  1. Firewall Manager DNS 방화벽 정책에서 해당 규칙 그룹을 제거합니다.

  2. 에서 규칙 그룹 공유를 취소하십시오. AWS Resource Access Manager소유하고 있는 규칙 그룹을 공유 해제하려면 리소스 공유에서 제거해야 합니다. AWS RAM 콘솔이나 AWS CLI를 사용하여 이 작업을 수행할 수 있습니다. 리소스 공유 해제에 대한 자세한 내용은 AWS RAM 사용 설명서의 AWS RAM리소스 공유 업데이트를 참조하세요.

  3. DNS 방화벽 콘솔 또는 AWS CLI를 사용하여 규칙 그룹을 삭제합니다.

Firewall Manager가 생성한 규칙 그룹 연결의 이름을 지정하는 방법

DNS 방화벽 정책을 저장할 때 자동 수정을 활성화한 경우 Firewall Manager는 정책에 제공한 규칙 그룹과 정책 범위 내에 있는 VPC 간에 DNS Firewall 연결을 생성합니다. Firewall Manager는 다음 값을 연결하여 이러한 연결의 이름을 지정합니다.

  • 고정 문자열 FMManaged_

  • Firewall Manager 정책 이름. 방화벽 관리자 정책의 AWS 리소스 ID입니다.

다음은 Firewall Manager에서 관리하는 방화벽의 이름 예시입니다.

FMManaged_EXAMPLEDNSFirewallPolicyId

정책을 생성한 후 VPC의 계정 소유자가 방화벽 정책 설정이나 규칙 그룹 연결을 재정의하는 경우 Firewall Manager는 정책을 비준수로 표시하고 해결 조치를 제안하려고 합니다. 계정 소유자는 다른 DNS Firewall 규칙 그룹을 DNS 방화벽 정책 범위에 속하는 VPC에 연결할 수 있습니다. 개별 계정 소유자가 생성하는 모든 연결에는 첫 번째 규칙 그룹 연결과 마지막 규칙 그룹 연결 간의 우선 순위 설정이 있어야 합니다.