AWS Firewall Manager 정책 범위 - AWS WAF, AWS Firewall Manager, 및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Firewall Manager 정책 범위

정책 범위는 정책이 적용되는 위치를 정의합니다. 중앙 제어 정책을 조직 내 모든 계정 및 리소스 또는 일부 계정 및 리소스에 적용할 수 있습니다. AWS Organizations정책 범위 설정 방법에 대한 지침은 AWS Firewall Manager 정책 생성을 참조하세요.

정책 범위 옵션은 다음과 같습니다. AWS Firewall Manager

조직에 새 계정이나 리소스를 추가하면 Firewall Manager가 각 정책의 설정을 기준으로 이를 자동으로 평가하고 이러한 설정을 기반으로 정책을 적용합니다. 예를 들어 지정된 목록에 있는 계정 번호를 제외한 모든 계정에 정책을 적용하도록 선택할 수 있으며 목록에 모든 태그가 있는 리소스에만 정책을 적용하도록 선택할 수도 있습니다.

AWS 계정 범위 내

정책의 AWS 계정 영향을 받는 항목을 정의하기 위해 제공하는 설정에 따라 정책을 적용할 AWS 조직의 계정이 결정됩니다. 다음 중 한 가지 방법으로 정책을 적용하도록 선택할 수 있습니다.

  • 조직의 모든 계정에 적용

  • 포함된 계정 번호 및 AWS Organizations 조직 단위(OU)의 특정 목록만

  • 제외된 계정 번호 및 AWS Organizations 조직 단위(OU)의 특정 목록을 제외한 모든 항목

에 대한 AWS Organizations자세한 내용은 AWS Organizations 사용 설명서를 참조하십시오.

범위 내 리소스

범위 내 계정 설정과 마찬가지로 리소스에 대해 제공하는 설정에 따라 정책을 적용할 범위 내 리소스 유형이 결정됩니다. 다음 중 하나를 선택할 수 있습니다.

  • 모든 리소스

  • 지정한 모든 태그가 있는 리소스

  • 지정한 모든 태그가 있는 리소스를 제외한 모든 리소스

null이 아닌 값을 가진 리소스 태그만 지정할 수 있습니다. 값을 입력하지 않으면 Firewall Manager는 빈 문자열 값 “" 과 함께 태그를 저장합니다. 리소스 태그는 키와 값이 같은 태그와만 일치합니다.

리소스 태그 지정에 대한 자세한 내용은 태그 편집기 작업을 참조하세요.

의 정책 범위 관리 AWS Firewall Manager

정책이 수립되면 Firewall Manager는 정책을 지속적으로 관리하고 정책 범위에 따라 정책이 추가되는 대로 새 AWS 계정 리소스와 리소스에 적용합니다.

방화벽 관리자가 리소스를 AWS 계정 관리하는 방법

어떤 이유로든 계정 또는 리소스가 범위를 벗어나는 경우 정책 범위를 벗어나는 리소스에서 자동으로 보호 제거 확인란을 선택하지 않는 한 보호 기능이 자동으로 제거되거나 Firewall Manager에서 관리하는 리소스가 삭제되지 AWS Firewall Manager 않습니다.

참고

정책 범위를 벗어나는 리소스에서 보호를 자동으로 제거하는 옵션은 또는 클래식 정책에는 사용할 수 없습니다. AWS Shield Advanced AWS WAF

이 확인란을 선택하면 계정이 정책 범위를 벗어날 때 Firewall Manager가 계정에 대해 관리하는 리소스를 자동으로 AWS Firewall Manager 정리하도록 지시합니다. 예를 들어 Firewall Manager는 고객 리소스가 정책 범위를 벗어날 때 보호된 고객 리소스에서 Firewall Manager 관리형 웹 ACL의 연결을 해제합니다.

고객 리소스가 정책 범위를 벗어나는 경우 보호에서 제거해야 하는 리소스를 결정하기 위해 Firewall Manager는 다음 지침을 따릅니다.

  • 기본 동작:

    • 연결된 AWS Config 관리형 규칙이 삭제됩니다. 이 동작은 확인란과 무관합니다.

    • 리소스가 전혀 포함되지 않은 모든 관련 AWS WAF 웹 액세스 제어 목록 (웹 ACL) 은 삭제됩니다. 이 동작은 확인란과 무관합니다.

    • 범위를 벗어나는 보호된 리소스는 모두 연결되고 보호된 상태로 유지됩니다. 예를 들어 웹 ACL과 연결된 API Gateway의 Application Load Balancer 또는 API는 웹 ACL과 연결된 상태로 유지되며 보호 기능은 그대로 유지됩니다.

  • 정책 범위를 벗어나는 리소스에서 보호 자동 제거 확인란을 선택한 경우:

    • 연결된 AWS Config 관리형 규칙이 삭제됩니다. 이 동작은 확인란과 무관합니다.

    • 리소스가 전혀 포함되지 않은 모든 관련 AWS WAF 웹 액세스 제어 목록 (웹 ACL) 은 삭제됩니다. 이 동작은 확인란과 무관합니다.

    • 범위를 벗어나는 보호된 리소스는 정책 범위를 벗어나면 자동으로 연결이 끊기고 Firewall Manager 보호에서 제거됩니다. 예를 들어 보안 그룹 정책의 경우 Elastic Inference 가속기 또는 Amazon EC2 인스턴스가 정책 범위를 벗어나면 복제된 보안 그룹과의 연결이 자동으로 끊깁니다. 복제된 보안 그룹과 해당 리소스는 보호에서 자동으로 제거됩니다.