Firewall Manager용 서비스 연결 역할 사용

AWS Firewall Manager AWS Identity and Access Management (IAM) 서비스 연결 역할을 사용합니다. 서비스 연결 역할은 Firewall Manager에 직접 연결된 고유한 유형의 IAM 역할입니다. 서비스 연결 역할은 Firewall Manager에서 미리 정의하며 서비스가 사용자를 대신하여 다른 AWS 서비스를 호출하는 데 필요한 모든 권한을 포함합니다.

필요한 권한을 수동으로 추가할 필요가 없으므로 서비스 연결 역할로 Firewall Manager를 더 쉽게 설정할 수 있습니다. Firewall Manager에서 서비스 연결 역할의 권한을 정의하므로 다르게 정의되지 않은 한, Firewall Manager만 해당 역할을 수임할 수 있습니다. 정의된 권한에는 신뢰 정책과 권한 정책이 포함됩니다. 이 권한 정책은 다른 어떤 IAM 엔터티에도 연결할 수 없습니다.

먼저 역할의 관련 리소스를 삭제해야 서비스 연결 역할을 삭제할 수 있습니다. 이렇게 하면 리소스에 대한 액세스 권한을 부주의로 삭제할 수 없기 때문에 Firewall Manager 리소스가 보호됩니다.

서비스 연결 역할을 지원하는 기타 서비스에 대한 자세한 내용은 IAM으로 작업하는AWS 서비스를 참조해 서비스 연결 역할 열이 예(Yes)인 서비스를 찾으세요. 해당 서비스에 대한 서비스 연결 역할 설명서를 보려면 링크가 있는 예를 선택합니다.

Firewall Manager에 대한 서비스 연결 역할 권한 관리

AWS Firewall Manager 는 서비스에 연결된 역할 이름을 AWSServiceRoleForFMS 사용하여 Firewall Manager가 사용자 대신 AWS 서비스를 호출하여 방화벽 정책 및 AWS Organizations 계정 리소스를 관리할 수 있도록 합니다. 이 정책은 AWS 관리형 역할에 연결됩니다. AWSServiceRoleForFMS 관리형 역할에 대한 자세한 내용은 AWS 관리형 정책: FMSServiceRolePolicy(을)를 참조하세요.

AWSServiceRoleForFMS 서비스 연결 역할은 역할을 맡을 서비스를 신뢰합니다. fms.amazonaws.com

역할 권한 정책은 Firewall Manager가 지정된 리소스에서 다음 작업을 완료하도록 허용합니다.

• waf- 계정의 AWS WAF 클래식 웹 ACL, 규칙 그룹 권한 및 웹 ACL 연결을 관리합니다.

• ec2 - 탄력적 네트워크 인터페이스 및 Amazon EC2 인스턴스 기반 보안 그룹을 관리합니다. Amazon VPC 서브넷의 네트워크 ACL을 관리합니다.

• vpc - Amazon VPC의 서브넷, 라우팅 테이블, 태그, 엔드포인트를 관리합니다.

• wafv2- 계정의 AWS WAF 웹 ACL, 규칙 그룹 권한 및 웹 ACL 연결을 관리합니다.

• cloudfront- 웹 ACL을 생성하여 배포를 보호하세요. CloudFront

• config- 계정에서 방화벽 관리자가 소유한 AWS Config 규칙을 관리합니다.

• iam- 이 서비스 연결 역할을 관리하고, 로깅 대상 및 AWS WAF Shield 정책을 구성하는 경우 필수 및 AWS WAF Shield 서비스 연결 역할을 생성합니다.

• organization- Firewall Manager가 소유하는 서비스 연결 역할을 생성하여 Firewall Manager에서 사용하는 AWS Organizations 리소스를 관리합니다.

• shield- 계정 내 리소스에 AWS Shield 대한 보호 및 L7 완화 구성을 관리합니다.

• ram- DNS 방화벽 규칙 그룹 및 Network Firewall 규칙 그룹의 AWS RAM 리소스 공유를 관리합니다.

• network-firewall- 방화벽 관리자가 소유한 AWS Network Firewall 리소스와 계정의 종속 Amazon VPC 리소스를 관리합니다.

• route53resolver - 계정에서 Firewall Manager 소유 DNS 방화벽 연결을 관리합니다.

IAM 콘솔: FMS에서 전체 정책을 참조하십시오. ServiceRolePolicy

IAM 엔터티(사용자, 그룹, 역할 등)가 서비스 링크 역할을 생성하고 편집하거나 삭제할 수 있도록 권한을 구성할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 권한 섹션을 참조하세요.

Firewall Manager용 서비스 연결 역할 생성

서비스 링크 역할은 수동으로 생성할 필요가 없습니다. Firewall Manager 로그온을 활성화하거나 Firewall Manager CLI 또는 Firewall Manager API에서 PutLoggingConfiguration 요청을 하면 Firewall Manager가 서비스 연결 역할을 대신 생성합니다. AWS Management Console

로깅을 활성화하려면 iam:CreateServiceLinkedRole 권한이 있어야 합니다.

이 서비스 연결 역할을 삭제했다가 다시 생성해야 하는 경우 동일한 프로세스를 사용하여 계정에서 역할을 다시 생성할 수 있습니다. Firewall Manager 로깅을 활성화하면, Firewall Manager가 사용자에 대한 서비스 연결 역할을 다시 생성합니다.

Firewall Manager용 서비스 연결 역할 편집

Firewall Manager에서는 AWSServiceRoleForFMS 서비스 연결 역할을 편집할 수 없습니다. 서비스 연결 역할을 생성한 후에는 다양한 엔터티가 역할을 참조할 수 있기 때문에 역할 이름을 변경할 수 없습니다. 하지만 IAM을 사용하여 역할의 설명을 편집할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 편집을 참조하세요.

Firewall Manager용 서비스 연결 역할 삭제

서비스 연결 역할이 필요한 기능 또는 서비스가 더 이상 필요 없는 경우에는 해당 역할을 삭제하는 것이 좋습니다. 따라서 적극적으로 모니터링하거나 유지하지 않는 미사용 엔터티가 없도록 합니다. 단, 서비스 링크 역할에 대한 리소스를 먼저 정리해야 수동으로 삭제할 수 있습니다.

참고

리소스를 삭제하려 할 때 Firewall Manager 서비스가 역할을 사용 중이면 삭제에 실패할 수 있습니다. 이 문제가 발생하면 몇 분 기다렸다가 작업을 다시 시도하세요.

IAM을 사용하여 서비스 연결 역할을 삭제하려면

IAM 콘솔, IAM CLI 또는 IAM API를 사용하여 서비스 연결 역할을 삭제합니다. AWSServiceRoleForFMS 자세한 내용은 IAM 사용 설명서의 서비스 연결 역할 삭제를 참조하세요.

Firewall Manager 서비스 연결 역할에 대해 지원되는 리전

Firewall Manager는 서비스가 제공되는 모든 리전에서 서비스 연결 역할을 사용하도록 지원합니다. 자세한 내용은 Firewall Manager 엔드포인트 및 할당량을 참조하세요.