AWS Network Firewall 정책 - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Network Firewall 정책

AWS Firewall Manager 네트워크 방화벽 정책을 사용하여 조직 전체의 Amazon Virtual Private Cloud VPC에 대한 AWS Network Firewall 방화벽을 관리할 수 있습니다. AWS Organizations중앙에서 제어하는 방화벽을 전체 조직 또는 선택한 계정 및 VPC 하위 집합에 적용할 수 있습니다.

네트워크 방화벽은 VPC의 퍼블릭 서브넷에 대한 네트워크 트래픽 필터링 보호를 제공합니다. Firewall Manager는 정책에 정의된 방화벽 관리 유형에 따라 방화벽을 생성하고 관리합니다. Firewall Manager는 다음과 같은 방화벽 관리 모델을 제공합니다.

  • 분산 - 정책 범위 내에 있는 각 계정 및 VPC에 대해 Firewall Manager는 네트워크 방화벽 방화벽을 만들고 VPC 서브넷에 방화벽 엔드포인트를 배포하여 네트워크 트래픽을 필터링합니다.

  • 중앙 집중식 - Firewall Manager는 단일 Amazon VPC에 단일 네트워크 방화벽을 생성합니다.

  • 기존 방화벽 가져오기 - Firewall Manager는 단일 Firewall Manager 정책으로 기존 방화벽을 가져와서 관리합니다. 정책에 따라 관리되는 가져온 방화벽에 추가 규칙을 적용하여 방화벽이 보안 표준을 충족하는지 확인할 수 있습니다.

참고

Firewall Manager 네트워크 방화벽 정책은 조직 전체의 VPC에 대한 네트워크 방화벽 보호를 관리하는 데 사용하는 Firewall Manager 정책입니다.

네트워크 방화벽 보호는 방화벽 정책이라고 하는 네트워크 방화벽 서비스의 리소스에 지정됩니다.

네트워크 방화벽 사용에 관한 자세한 내용은 AWS Network Firewall 개발자 안내서를 참조하세요.

다음 섹션에서는 Firewall Manager 네트워크 방화벽 정책을 사용하기 위한 요구 사항을 다루고 정책의 작동 방식을 설명합니다. 정책을 생성하는 절차는 에 대한 AWS Firewall Manager 정책 생성 AWS Network Firewall을 참조하세요.

리소스 공유를 활성화해야 합니다

네트워크 방화벽 정책은 조직 내 계정 전체에서 네트워크 방화벽 규칙 그룹을 공유합니다. 이 기능을 사용하려면 AWS Organizations에 대한 리소스 공유를 사용하도록 설정해야 합니다. 리소스 공유를 활성화하는 방법에 대한 자세한 내용은 네트워크 방화벽 및 DNS 방화벽 정책에 대한 리소스 공유을 참조하세요.

네트워크 방화벽 규칙 그룹을 정의해야 합니다.

새 Network Firewall 정책을 지정할 때는 방화벽 정책을 AWS Network Firewall 직접 사용할 때와 동일하게 방화벽 정책을 정의합니다. 추가할 상태 비저장 규칙 그룹, 기본 상태 비저장 작업 및 상태 저장 규칙 그룹을 지정합니다. 규칙 그룹을 정책에 포함하려면 Firewall Manager 관리자 계정에 규칙 그룹이 이미 있어야 합니다. 네트워크 방화벽 규칙 그룹을 만드는 방법에 대한 자세한 내용은 AWS Network Firewall 규칙 그룹을 참조하세요.

Firewall Manager가 방화벽 엔드포인트를 생성하는 방법

정책의 방화벽 관리 유형에 따라 Firewall Manager가 방화벽을 생성하는 방법이 결정됩니다. 정책에 따라 분산 방화벽, 중앙 집중식 방화벽을 만들거나 기존 방화벽을 가져올 수 있습니다.

  • 분산 - 분산 배포 모델을 사용하면 Firewall Manager는 정책 범위 내에 있는 각 VPC에 대한 엔드포인트를 생성합니다. 방화벽 엔드포인트를 생성할 가용 영역을 지정하여 엔드포인트 위치를 사용자 지정하거나, Firewall Manager가 퍼블릭 서브넷이 있는 가용 영역에 엔드포인트를 자동으로 생성할 수 있습니다. 가용 영역을 수동으로 선택하는 경우 가용 영역당 허용된 CIDR 세트를 제한할 수 있습니다. Firewall Manager에서 엔드포인트를 자동으로 생성하도록 하려면 서비스가 VPC 내에 단일 엔드포인트를 생성할지 아니면 여러 방화벽 엔드포인트를 생성할지도 지정해야 합니다.

    • 방화벽 엔드포인트가 여러 개인 경우, Firewall Manager는 라우팅 테이블에 인터넷 게이트웨이 또는 Firewall Manager가 생성한 방화벽 엔드포인트 경로가 있는 서브넷을 포함하는 각 가용 영역에 방화벽 엔드포인트를 배포합니다. 네트워크 방화벽 정책의 기본 옵션입니다.

    • 단일 방화벽 엔드포인트의 경우 Firewall Manager는 인터넷 게이트웨이 경로가 있는 모든 서브넷의 단일 가용 영역에 방화벽 엔드포인트를 배포합니다. 이 옵션을 사용할 경우 다른 영역의 트래픽이 방화벽으로 필터링되려면 영역 경계를 넘어야 합니다.

      참고

      이 두 옵션 모두 IPv4/prefixlist 경로가 포함된 라우팅 테이블에 연결된 서브넷이 있어야 합니다. Firewall Manager는 다른 리소스를 확인하지 않습니다.

  • 중앙 집중식 - 중앙 집중식 배포 모델을 사용하면 Firewall Manager는 검사 VPC 내에 하나 이상의 방화벽 엔드포인트를 생성합니다. 검사 VPC는 Firewall Manager가 엔드포인트를 시작하는 중앙 VPC입니다. 중앙 집중식 배포 모델을 사용할 때는 방화벽 엔드포인트를 생성할 가용 영역도 지정합니다. 정책을 생성한 후에는 검사 VPC를 변경할 수 없습니다. 다른 검사 VPC를 사용하려면 새 정책을 생성해야 합니다.

  • 기존 방화벽 가져오기 - 기존 방화벽을 가져올 때는 정책에 하나 이상의 리소스 세트를 추가하여 정책에서 관리할 방화벽을 선택합니다. 리소스 세트는 조직의 계정으로 관리되는 리소스(이 경우 네트워크 방화벽의 기존 방화벽)의 모음입니다. 정책에서 리소스 세트를 사용하기 전에 먼저 리소스 세트를 생성해야 합니다. Firewall Manager 리소스 세트에 대한 자세한 내용은 Firewall Manager에서 리소스 세트 관련 작업를 참조하세요.

    가져온 방화벽으로 작업할 때는 다음 고려 사항에 유의하십시오.

    • 가져온 방화벽이 규정을 준수하지 않는 경우 Firewall Manager는 다음과 같은 경우를 제외하고 위반 사항을 자동으로 해결하려고 시도합니다.

      • Firewall Manager와 네트워크 방화벽 정책의 상태 저장 또는 상태 비저장 기본 동작이 일치하지 않는 경우

      • 가져온 방화벽의 방화벽 정책에 있는 규칙 그룹이 Firewall Manager 정책의 규칙 그룹과 동일한 우선 순위를 갖는 경우

      • 가져온 방화벽이 정책의 리소스 세트에 속하지 않는 방화벽과 연결된 방화벽 정책을 사용하는 경우. 방화벽에는 정확히 하나의 방화벽 정책이 있을 수 있지만 단일 방화벽 정책이 여러 방화벽에 연결될 수 있기 때문에 이런 일이 발생할 수 있습니다.

      • 가져온 방화벽의 방화벽 정책에 속하며 Firewall Manager 정책에도 지정된 기존 규칙 그룹에 다른 우선 순위가 부여되는 경우

    • 정책에서 리소스 정리를 활성화하면 Firewall Manager는 리소스 세트 범위 내의 방화벽에서 FMS 가져오기 정책에 포함된 규칙 그룹을 제거합니다.

    • Firewall Manager에서 관리하는 방화벽 가져오기 기존 방화벽 관리 유형은 한 번에 하나의 정책으로만 관리할 수 있습니다. 여러 개의 네트워크 방화벽 가져오기 정책에 동일한 리소스 세트를 추가하면 리소스 세트에 추가된 첫 번째 정책에서 리소스 세트의 방화벽을 관리하고 두 번째 정책에서는 무시합니다.

    • Firewall Manager는 현재 예외 정책 구성을 스트리밍하지 않습니다. 스트림 예외 정책에 대한 자세한 내용은 AWS Network Firewall 개발자 안내서스트림 예외 정책을 참조하세요.

분산 또는 중앙 집중식 방화벽 관리를 사용하여 정책의 가용 영역 목록을 변경하는 경우 Firewall Manager는 과거에 생성되었지만 현재 정책 범위에 포함되지 않은 엔드포인트를 정리하려고 시도합니다. Firewall Manager는 범위를 벗어난 엔드포인트를 참조하는 라우팅 테이블 경로가 없는 경우에만 엔드포인트를 제거합니다. Firewall Manager는 이러한 엔드포인트를 삭제할 수 없는 것으로 확인되면 방화벽 서브넷을 비준수로 표시하고 삭제해도 안전할 때까지 엔드포인트 제거를 계속 시도합니다.

Firewall Manager가 방화벽 서브넷을 관리하는 방법

방화벽 서브넷은 Firewall Manager가 네트워크 트래픽을 필터링하는 방화벽 엔드포인트에 대해 생성하는 VPC 서브넷입니다. 각 방화벽 엔드포인트는 전용 VPC 서브넷에 배포되어야 합니다. Firewall Manager는 정책 범위 내에 있는 각 VPC에 방화벽 서브넷을 하나 이상 생성합니다.

자동 엔드포인트 구성과 함께 분산 배포 모델을 사용하는 정책의 경우 Firewall Manager는 인터넷 게이트웨이 경로가 있는 서브넷 또는 Firewall Manager가 정책용으로 만든 방화벽 엔드포인트로 연결되는 경로가 있는 서브넷이 있는 가용 영역에만 방화벽 서브넷을 생성합니다. 자세한 내용은 Amazon VPC 사용 설명서VPC 및 서브넷을 참조하세요.

Firewall Manager가 방화벽 엔드포인트를 생성할 가용 영역을 지정하는 분산 또는 중앙 집중식 모델을 사용하는 정책의 경우, Firewall Manager는 가용 영역에 다른 리소스가 있는지 여부에 관계없이 특정 가용 영역에 엔드포인트를 생성합니다.

네트워크 방화벽 정책을 처음 정의할 때는 Firewall Manager가 범위 내에 있는 각 VPC의 방화벽 서브넷을 관리하는 방법을 지정합니다. 나중에 이 선택 항목을 변경할 수 없습니다.

자동 엔드포인트 구성과 함께 분산 배포 모델을 사용하는 정책의 경우 다음 옵션 중에서 선택할 수 있습니다.

  • 퍼블릭 서브넷이 있는 모든 가용 영역에 방화벽 서브넷을 배포합니다. 이는 기본 설정 동작입니다. 이는 트래픽 필터링 보호의 고가용성을 제공합니다.

  • 1개의 가용 영역에 단일 방화벽 서브넷을 배포합니다. 이 옵션을 선택하면 Firewall Manager는 VPC에서 퍼블릭 서브넷이 가장 많은 영역을 식별하고 해당 영역에 방화벽 서브넷을 생성합니다. 단일 방화벽 엔드포인트는 VPC의 모든 네트워크 트래픽을 필터링합니다. 이렇게 하면 방화벽 비용을 줄일 수 있지만 가용성이 높지는 않으며 필터링하려면 다른 영역의 트래픽이 영역 경계를 넘어야 합니다.

사용자 지정 엔드포인트가 구성된 분산 배포 모델 또는 중앙 집중식 배포 모델을 사용하는 정책의 경우 Firewall Manager는 정책 범위 내에 있는 지정된 가용 영역에 서브넷을 생성합니다.

Firewall Manager가 방화벽 서브넷에 사용할 VPC CIDR 블록을 제공하거나 방화벽 엔드포인트 주소의 선택은 Firewall Manager가 결정하도록 맡길 수 있습니다.

  • CIDR 블록을 제공하지 않는 경우 Firewall Manager는 VPC를 쿼리하여 사용할 수 있는 IP 주소를 찾습니다.

  • CIDR 블록 목록을 제공하는 경우 Firewall Manager는 사용자가 제공하는 CIDR 블록에서만 새 서브넷을 검색합니다. /28 CIDR 블록을 사용해야 합니다. Firewall Manager가 생성하는 각 방화벽 서브넷에 대해 CIDR 블록 목록을 검토하여 가용 영역 및 VPC에 적용되고 사용 가능한 주소가 있는 첫 번째 방화벽 서브넷을 사용합니다. Firewall Manager가 VPC에서 빈 공간을 찾을 수 없는 경우(제한이 있든 없든), 해당 서비스는 VPC에 방화벽을 만들지 않습니다.

Firewall Manager가 가용 영역에 필수 방화벽 서브넷을 만들 수 없는 경우 해당 서브넷을 정책을 준수하지 않는 것으로 표시합니다. 영역이 이 상태에 있는 동안 다른 영역의 엔드포인트에 의해 필터링되려면 해당 영역의 트래픽이 영역 경계를 넘어야 합니다. 이는 단일 방화벽 서브넷 시나리오와 유사합니다.

Firewall Manager가 네트워크 방화벽 리소스를 관리하는 방법

Firewall Manager에서 정책을 정의할 때는 표준 AWS Network Firewall 방화벽 정책의 네트워크 트래픽 필터링 동작을 제공합니다. 상태 비저장 및 상태 저장 네트워크 방화벽 규칙 그룹을 추가하고 상태 비저장 규칙과 일치하지 않는 패킷에 대한 기본 동작을 지정합니다. 에서 AWS Network Firewall방화벽 정책을 사용하는 방법에 대한 자세한 내용은 AWS Network Firewall 방화벽 정책을 참조하십시오.

분산 및 중앙 집중식 정책의 경우 네트워크 방화벽 정책을 저장하면 Firewall Manager는 정책 범위 내에 있는 각 VPC에 방화벽 및 방화벽 정책을 생성합니다. Firewall Manager는 다음 값을 연결하여 이러한 네트워크 방화벽 리소스의 이름을 지정합니다.

  • 리소스 유형에 따라 고정 문자열(FMManagedNetworkFirewall또는FMManagedNetworkFirewallPolicy)이 달라집니다.

  • Firewall Manager 정책 이름입니다. 정책을 생성할 때 할당하는 이름입니다.

  • Firewall Manager 정책 이름. 방화벽 관리자 정책의 AWS 리소스 ID입니다.

  • Amazon VPC ID입니다. Firewall Manager가 방화벽 및 방화벽 정책을 생성하는 VPC의 AWS 리소스 ID입니다.

다음은 Firewall Manager에서 관리하는 방화벽의 이름 예시입니다.

FMManagedNetworkFirewallEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

다음은 방화벽 정책 이름의 예입니다.

FMManagedNetworkFirewallPolicyEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

정책을 만든 후에는 VPC의 구성원 계정이 방화벽 정책 설정이나 규칙 그룹을 재정의할 수 없지만 Firewall Manager가 생성한 방화벽 정책에 규칙 그룹을 추가할 수는 있습니다.

Firewall Manager가 정책에 대한 VPC 라우팅 테이블을 관리하고 모니터링하는 방법

참고

중앙 집중식 배포 모델을 사용하는 정책에는 현재 라우팅 테이블 관리가 지원되지 않습니다.

Firewall Manager는 방화벽 엔드포인트를 생성할 때 해당 엔드포인트에 대한 VPC 라우팅 테이블도 생성합니다. 하지만 Firewall Manager는 VPC 라우팅 테이블을 관리하지 않습니다. 네트워크 트래픽이 Firewall Manager에서 생성한 방화벽 엔드포인트로 전달되도록 VPC 라우팅 테이블을 구성해야 합니다. Amazon VPC 수신 라우팅 개선 기능을 사용하여 새 방화벽 엔드포인트를 통해 트래픽을 라우팅하도록 라우팅 테이블을 변경하십시오. 변경 시 보호하려는 서브넷과 외부 위치 사이에 방화벽 엔드포인트를 삽입해야 합니다. 필요로 하는 정확한 라우팅은 아키텍처와 해당 구성 요소에 따라 다릅니다.

현재 Firewall Manager를 사용하면 인터넷 게이트웨이로 향하는 모든 트래픽, 즉 방화벽을 우회하는 트래픽에 대한 VPC 라우팅 테이블 경로를 모니터링할 수 있습니다. Firewall Manager는 NAT 게이트웨이와 같은 다른 대상 게이트웨이를 지원하지 않습니다.

VPC의 라우팅 테이블 관리에 대한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서VPC의 라우팅 테이블 관리를 참조하세요. 네트워크 방화벽의 라우팅 테이블 관리에 대한 자세한 내용은 AWS Network Firewall 개발자 안내서AWS Network Firewall에 대한 라우팅 테이블 구성을 참조하세요.

정책에 대한 모니터링을 활성화하면 Firewall Manager는 VPC 경로 구성을 지속적으로 모니터링하고 해당 VPC에 대한 방화벽 검사를 우회하는 트래픽에 대해 경고합니다. 서브넷에 방화벽 엔드포인트 경로가 있는 경우 Firewall Manager는 다음 경로를 찾습니다.

  • 네트워크 방화벽 엔드포인트로 트래픽을 보내기 위한 경로입니다.

  • 네트워크 방화벽 엔드포인트에서 인터넷 게이트웨이로 트래픽을 전달하는 경로입니다.

  • 인터넷 게이트웨이에서 네트워크 방화벽 엔드포인트까지의 인바운드 경로입니다.

  • 방화벽 서브넷의 경로.

서브넷에 네트워크 방화벽 경로가 있지만 네트워크 방화벽 및 인터넷 게이트웨이 라우팅 테이블에 비대칭 라우팅이 있는 경우 Firewall Manager는 해당 서브넷을 규정을 준수하지 않는 것으로 보고합니다. 또한 Firewall Manager는 Firewall Manager가 생성한 방화벽 라우팅 테이블과 서브넷의 라우팅 테이블에서 인터넷 게이트웨이로 가는 경로를 탐지하여 이를 비준수로 보고합니다. 네트워크 방화벽 서브넷 라우팅 테이블 및 인터넷 게이트웨이 라우팅 테이블의 추가 경로도 규정을 준수하지 않는 것으로 보고됩니다. Firewall Manager는 위반 유형에 따라 경로 구성을 준수하기 위한 수정 조치를 제안합니다. Firewall Manager는 모든 경우에 제안 사항을 제공하지는 않습니다. 예를 들어 고객 서브넷에 Firewall Manager 외부에서 생성된 방화벽 엔드포인트가 있는 경우 Firewall Manager는 수정 조치를 제안하지 않습니다.

기본적으로 Firewall Manager는 검사 대상 가용 영역 경계를 넘는 모든 트래픽을 비준수로 표시합니다. 하지만 VPC에 단일 엔드포인트를 자동으로 생성하도록 선택한 경우, Firewall Manager는 가용 영역 경계를 넘는 트래픽을 규정 비준수로 표시하지 않습니다.

사용자 지정 엔드포인트 구성과 함께 분산 배포 모델을 사용하는 정책의 경우 방화벽 엔드포인트가 없는 가용 영역에서 가용 영역 경계를 넘는 트래픽을 규정 준수로 표시할지 비준수로 표시할지 선택할 수 있습니다.

참고
  • Firewall Manager는 IPv6 및 접두사 목록 경로와 같은 비 IPv4 경로에 대한 수정 조치를 제안하지 않습니다.

  • DisassociateRouteTable API 호출을 사용하여 이루어진 호출을 감지하는 데 최대 12시간이 걸릴 수 있습니다.

  • Firewall Manager는 방화벽 엔드포인트가 포함된 서브넷에 대해 네트워크 방화벽 라우팅 테이블을 생성합니다. Firewall Manager는 이 라우팅 테이블에 유효한 인터넷 게이트웨이와 VPC 기본 경로만 포함되어 있다고 가정합니다. 이 라우팅 테이블의 추가 경로나 유효하지 않은 경로는 규정을 준수하지 않는 것으로 간주됩니다.

Firewall Manager 정책을 구성할 때 모니터링 모드를 선택하면 Firewall Manager는 리소스 위반 및 리소스에 대한 수정 세부 정보를 제공합니다. 이렇게 제안된 수정 조치를 사용하여 라우팅 테이블의 경로 문제를 해결할 수 있습니다. 끄기 모드를 선택하면 Firewall Manager가 라우팅 테이블 콘텐츠를 모니터링하지 않습니다. 이 옵션을 사용하면 VPC 라우팅 테이블을 직접 관리할 수 있습니다. 이러한 리소스 위반에 대한 자세한 내용은 AWS Firewall Manager 정책에 대한 규정 준수 정보 보기을 참조하세요.

주의

정책을 생성할 때 AWS Network Firewall 경로 구성에서 Monitor를 선택하면 해당 정책에 대해 Monitor를 끌 수 없습니다. 하지만 끄기를 선택하면 나중에 활성화할 수 있습니다.

AWS Network Firewall 정책에 대한 로깅 구성

Network 방화벽 정책에 대한 중앙 집중식 로깅을 활성화하여 조직 내 트래픽에 대한 세부 정보를 얻을 수 있습니다. 흐름 로깅을 선택하여 네트워크 트래픽 흐름을 캡처하거나, 경고 로깅을 선택하여 규칙 동작이 DROP 또는 ALERT로 설정된 규칙과 일치하는 트래픽을 보고할 수 있습니다. AWS Network Firewall 로깅에 대한 자세한 내용은 AWS Network Firewall개발자 안내서AWS Network Firewall 의 에서 로깅 네트워크 트래픽 로깅 을 참조하세요.

정책의 네트워크 방화벽 방화벽에서 Amazon S3 버킷으로 로그를 전송합니다. 로깅을 활성화하면 예약된 AWS Firewall Manager 접두사 () 를 사용하여 선택한 Amazon S3 버킷에 로그를 전송하도록 방화벽 설정을 업데이트하여 구성된 각 Network Firewall에 대한 로그를 전송합니다. AWS Network Firewall <policy-name>-<policy-id>

참고

Firewall Manager는 이 접두사를 사용하여 Firewall Manager에서 로깅 구성을 추가했는지 아니면 계정 소유자가 추가했는지 여부를 결정합니다. 계정 소유자가 자신의 사용자 지정 로깅에 예약된 접두사를 사용하려고 하면 Firewall Manager 정책의 로깅 구성이 해당 접두사를 덮어씁니다.

Amazon S3 버킷을 생성하고 저장된 로그를 검토하는 방법에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서Amazon S3이란 무엇인가요?를 참조하세요.

로깅을 활성화하려면 다음 요구 사항을 충족해야 합니다.

  • Firewall Manager 정책에 지정된 Amazon S3가 존재해야 합니다.

  • 이 경우 다음 권한이 있어야 합니다.

    • logs:CreateLogDelivery

    • s3:GetBucketPolicy

    • s3:PutBucketPolicy

  • 로깅 대상인 Amazon S3 버킷이 키가 저장된 서버 측 암호화를 사용하는 경우 AWS Key Management Service, AWS KMS 고객 관리 키에 다음 정책을 추가하여 Firewall Manager가 Logs 로그 그룹에 기록할 수 CloudWatch 있도록 해야 합니다.

    { "Effect": "Allow", "Principal": { "Service": "delivery.logs.amazonaws.com" }, "Action": [ "kms:Encrypt*", "kms:Decrypt*", "kms:ReEncrypt*", "kms:GenerateDataKey*", "kms:Describe*" ], "Resource": "*" }

단, Firewall Manager 관리자 계정의 버킷만 AWS Network Firewall 중앙 로깅에 사용할 수 있습니다.

네트워크 방화벽 정책에서 중앙 집중식 로깅을 활성화하면 Firewall Manager는 사용자 계정에서 다음과 같은 작업을 수행합니다.

  • Firewall Manager는 선택한 S3 버킷에 대한 권한을 업데이트하여 로그 전송을 허용합니다.

  • Firewall Manager는 정책 범위 내의 각 구성원 계정에 대해 S3 버킷에 디렉토리를 생성합니다. 각 계정의 로그는 <bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id>에서 찾을 수 있습니다.

네트워크 방화벽 정책에 대한 로깅을 활성화하려면
  1. Firewall Manager 관리자 계정을 사용하여 Amazon S3 버킷을 생성합니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서에서 버킷 생성을 참조하세요.

  2. Firewall Manager 관리자 계정을 AWS Management Console 사용하여 로그인한 다음 에서 Firewall Manager 콘솔을 엽니다https://console.aws.amazon.com/wafv2/fmsv2. Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 전제 조건을 참조하세요.

    참고

    Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 전제 조건을 참조하세요.

  3. 탐색 창에서 보안 정책을 선택합니다.

  4. 로깅을 활성화하려는 네트워크 방화벽 정책을 선택합니다. AWS Network Firewall 로깅에 대한 자세한 내용은 AWS Network Firewall 개발자 안내서의 네트워크 트래픽 로깅을 참조하십시오. AWS Network Firewall

  5. 정책 규칙 섹션의 정책 세부 정보 탭에서 편집을 선택합니다.

  6. 로그를 활성화하고 집계하려면 로깅 구성에서 하나 이상의 옵션을 선택합니다.

    • 흐름 로그 활성화 및 집계

    • 알림 로그 활성화 및 집계

  7. 로그를 전송할 Amazon S3 버킷을 선택합니다. 활성화한 각 로그 유형에 맞는 버킷을 선택해야 합니다. 두 로그 유형에 동일한 버킷을 사용할 수 있습니다.

  8. (선택 사항) 사용자 지정 구성원 계정 생성 로깅을 정책의 로깅 구성으로 대체하려면 기존 로깅 구성 재정의를 선택합니다.

  9. 다음을 선택합니다.

  10. 설정을 검토한 다음 저장을 선택하여 변경 내용을 정책에 저장합니다.

Network 방화벽 정책에 대한 로깅을 비활성화하려면
  1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여 로그인한 다음 에서 Firewall Manager 콘솔을 엽니다https://console.aws.amazon.com/wafv2/fmsv2. Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 전제 조건을 참조하세요.

    참고

    Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 전제 조건을 참조하세요.

  2. 탐색 창에서 보안 정책을 선택합니다.

  3. 로깅을 비활성화하려는 Network 방화벽 정책을 선택합니다.

  4. 정책 규칙 섹션의 정책 세부 정보 탭에서 편집을 선택합니다.

  5. 로깅 구성 상태에서 흐름 로그 활성화 및 집계알림 로그 활성화 및 집계가 선택되어 있는 경우 이를 선택 취소합니다.

  6. 다음을 선택합니다.

  7. 설정을 검토한 다음 저장을 선택하여 변경 내용을 정책에 저장합니다.