자습서: 계층적 규칙을 사용한 AWS Firewall Manager정책 생성

참고

이것은 AWS WAF Classic 설명서입니다. 이 버전은 2019년 11월 AWS WAF 이전에 규칙 및 웹 ACL과 같은 AWS WAF 리소스를 만들었고 아직 최신 버전으로 마이그레이션하지 않은 경우에만 사용해야 합니다. 리소스를 마이그레이션하려면 AWS WAF Classic 리소스를 다음으로 마이그레이션하기 AWS WAF(을)를 참조하세요.

의 최신 버전에 대한 내용은 을 AWS WAF 참조하십시오. AWS WAF

를 사용하여 계층적 규칙이 포함된 AWS WAF 클래식 보호 정책을 만들고 적용할 수 있습니다. AWS Firewall Manager즉, 특정 규칙을 중앙에서 생성하고 적용할 수 있지만, 계정별 규칙의 생성과 유지 관리를 다른 개인에게 위임할 수 있습니다. 중앙에서 적용된(범용) 규칙을 모니터링하여 우발적인 제거 또는 처리 오류를 확인할 수 있으며, 이러한 방법으로 해당 규칙이 올바르게 적용되도록 보장할 수 있습니다. 계정별 규칙은 개별 팀의 필요에 맞게 사용자 지정된 추가 보호를 추가합니다.

참고

최신 AWS WAF버전에서는 이 기능이 기본 제공되므로 특별한 처리가 필요하지 않습니다. 아직 AWS WAF Classic을 사용하고 있지 않다면 최신 버전을 대신 사용하세요. 에 대한 AWS Firewall Manager 정책 생성 AWS WAF 섹션을 참조하세요.

다음 자습서에서는 계층적 보호 규칙 세트를 생성하는 방법을 설명합니다.

1단계: Firewall Manager 관리자 계정 지정

사용하려면 AWS Firewall Manager조직의 계정을 Firewall Manager 관리자 계정으로 지정해야 합니다. 이 계정은 조직의 관리 계정 또는 멤버 계정일 수 있습니다.

Firewall Manager 관리자 계정을 사용하여 조직의 다른 계정에 적용하는 범용 규칙 세트를 생성할 수 있습니다. 조직의 다른 계정은 중앙에서 적용된 이러한 규칙을 변경할 수 없습니다.

계정을 Firewall Manager 관리자 계정으로 지정하고 Firewall Manager에 대한 다른 사전 조건을 완료하려면 AWS Firewall Manager 전제 조건의 지침을 참조하세요. 사전 조건을 이미 완료한 경우 이 자습서의 2단계로 건너뛸 수 있습니다.

이 자습서에서는 관리자 계정을 Firewall-Administrator-Account이라고 합니다.

2단계: Firewall Manager 관리자 계정을 사용하여 규칙 그룹 생성

다음에는 Firewall-Administrator-Account를 사용하여 규칙 그룹을 생성합니다. 이 규칙 그룹에는 다음 단계에서 생성하는 정책을 따르는 모든 멤버 계정에 적용할 범용 규칙이 포함됩니다. Firewall-Administrator-Account만 이러한 규칙과 컨테이너 규칙 그룹을 변경할 수 있습니다.

이 자습서에서는 이 컨테이너 규칙 그룹을 Common-Rule-Group이라고 합니다.

규칙 그룹을 생성하려면 AWS WAF 클래식 규칙 그룹 생성의 지침을 참조하세요. 이 지침을 따를 때는 Firewall Manager 관리자 계정(Firewall-Administrator-Account)을 사용하여 콘솔에 로그인해야 합니다.

3단계: Firewall Manager 정책 생성 및 공통 규칙 그룹 연결

Firewall-Administrator-Account을 사용해 Firewall Manager 정책 생성. 이 정책을 생성하는 경우 다음을 수행해야 합니다.

• Common-Rule-Group을 새 정책에 추가합니다.

• Common-Rule-Group을 적용할 조직의 모든 계정을 포함시킵니다.

• Common-Rule-Group을 적용할 모든 리소스를 추가합니다.

정책 생성 지침은 AWS Firewall Manager 정책 생성을 참조하세요.

이렇게 하면 지정된 각 계정에 웹 ACL가 생성되고 Common-Rule-Group이 각 해당 웹 ACL에 추가됩니다. 정책을 생성한 후에는 이 웹 ACL과 범용 규칙이 모든 지정된 계정에 배포됩니다.

이 자습서에서는 이 웹 ACL을 Administrator-Created-ACL이라고 합니다. 이제 조직의 각 지정된 멤버 계정에 고유의 Administrator-Created-ACL이 존재합니다.

4단계: 계정별 규칙 추가

이제 조직의 각 멤버 계정은 계정에 존재하는 Administrator-Created-ACL에 고유의 계정별 규칙을 추가할 수 있습니다. 기존 공통 규칙이 새로운 계정별 규칙과 함께 Administrator-Created-ACL 계속 적용됩니다. AWS WAF 웹 ACL에 규칙이 나타나는 순서를 기준으로 웹 요청을 검사합니다. 이 동작은 Administrator-Created-ACL 및 계정별 규칙에 모두 적용됩니다.

Administrator-Created-ACL에 규칙을 추가하는 방법은 웹 ACL 편집을 참고하십시오.

결론

이제 Firewall Manager 관리자 계정이 관리하는 범용 규칙과 각 멤버 계정이 관리하는 계정별 규칙이 포함된 웹 ACL이 있습니다.

각 계정의 Administrator-Created-ACL은 단일 Common-Rule-Group을 참조합니다. 따라서 향후 Firewall Manager 관리자 계정이 Common-Rule-Group을 변경하면 해당 변경 사항은 즉시 각 멤버 계정에서 효과를 나타냅니다.

멤버 계정은 Common-Rule-Group에서 범용 규칙을 변경하거나 제거할 수 없습니다.

계정별 규칙은 다른 계정에 영향을 미치지 않습니다.