AWS Firewall Manager 정책 범위 사용 - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, 및 AWS Shield 네트워크 보안 디렉터
정책 범위 구성정책 범위 관리

AWS WAF에 대한 새로운 콘솔 환경 소개

이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 업데이트된 콘솔 환경 작업 섹션을 참조하십시오.

AWS Firewall Manager 정책 범위 사용

이 페이지에서는 Firewall Manager 정책 범위가 무엇이며 어떻게 작동하는지 설명합니다.

정책 범위는 정책이 적용되는 위치를 정의합니다. 중앙에서 제어하는 정책을 다음에 적용할 수 있습니다.

  • AWS Organizations의 조직 내 모든 계정 및 리소스.

  • AWS Organizations에서 조직 내 계정 및 리소스의 하위 집합.

정책 범위 설정 방법에 대한 지침은 AWS Firewall Manager 정책 생성을 참조하세요.

AWS Firewall Manager의 정책 범위 옵션

조직에 새 계정이나 리소스를 추가하면 Firewall Manager가 각 정책의 설정을 기준으로 이를 자동으로 평가하고 이러한 설정을 기반으로 정책을 적용합니다. 예를 들어 지정된 목록의 계정 번호를 제외한 모든 계정에 정책을 적용하도록 선택할 수 있습니다. 리소스 태그를 사용하여 정책 범위를 정의할 수도 있습니다. 목록에 모든 태그가 있는 리소스를 제외하거나 포함시켜 정책을 적용하도록 선택할 수 있습니다. 또는 목록에 지정된 태그가 있는 리소스에만 정책을 적용하도록 선택할 수 있습니다.

범위 내 AWS 계정

정책의 영향을 받는 AWS 계정을 정의하기 위해 제공하는 설정에 따라 AWS 조직의 어떤 계정에 정책을 적용하는지가 결정됩니다. 다음 중 한 가지 방법으로 정책을 적용하도록 선택할 수 있습니다.

  • 조직의 모든 계정에 적용

  • 포함된 계정 번호 및 AWS Organizations 조직 단위(OU)의 특정 목록만 적용

  • 제외된 계정 번호 및 AWS Organizations 조직 단위(OU)의 특정 목록을 제외한 모든 항목에 적용

AWS Organizations에 대한 자세한 내용은 AWS Organizations 사용 설명서를 참조하세요.

범위 내 리소스

범위 내 계정 설정과 마찬가지로 리소스에 대해 제공하는 설정에 따라 정책을 적용할 범위 내 리소스 유형이 결정됩니다. 다음 중 하나를 선택할 수 있습니다.

  • 모든 리소스

  • 지정한 모든 태그가 있는 리소스

  • 지정한 모든 태그가 있는 리소스를 제외한 모든 리소스

  • 지정한 모든 태그가 있는 리소스만

  • 지정한 태그가 있는 리소스만 제외한 모든 리소스

null이 아닌 값으로만 리소스 태그를 지정할 수 있습니다. 값에 대해 아무 것도 제공하지 않으면 Firewall Manager는 태그에 빈 문자열 값인 ""을 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.

리소스 태그 지정에 대한 자세한 내용은 태그 편집기 작업을 참조하세요.

AWS Firewall Manager 내 정책 범위 관리

정책이 수립되면 Firewall Manager는 정책을 지속적으로 관리하고 정책 범위에 따라 정책이 추가되는 대로 새 AWS 계정 및 리소스에 적용합니다.

Firewall Manager가 AWS 계정 및 리소스를 관리하는 방법

어떤 이유로든 계정 또는 리소스가 범위를 벗어나는 경우 정책 범위를 벗어나는 리소스에서 자동으로 보호 제거 확인란을 선택하지 않는 한 AWS Firewall Manager은 보호 기능을 자동으로 제거하거나 Firewall Manager에서 관리하는 리소스를 삭제하지 않습니다.

참고

정책 범위를 벗어나는 리소스에서 보호를 자동으로 제거하는 옵션은 AWS Shield Advanced 또는 AWS WAF 클래식 정책에는 사용할 수 없습니다.

이 확인란을 선택하면 해당 계정이 정책 범위를 벗어날 때 Firewall Manager가 계정에 대해 관리하는 리소스를 자동으로 정리하도록 AWS Firewall Manager에 지시합니다. 예를 들어 Firewall Manager는 고객 리소스가 정책 범위를 벗어날 때 보호된 고객 리소스에서 Firewall Manager 관리형 웹 ACL의 연결을 해제합니다.

고객 리소스가 정책 범위를 벗어나는 경우 보호에서 제거해야 하는 리소스를 결정하기 위해 Firewall Manager는 다음 지침을 따릅니다.

  • 기본 동작:

    • 관련 AWS Config 관리형 규칙이 삭제됩니다. 이 동작은 확인란과 무관합니다.

    • 리소스가 포함되지 않은 모든 관련 AWS WAF 웹 액세스 제어 목록(웹 ACL)은 삭제됩니다. 이 동작은 확인란과 무관합니다.

    • 범위를 벗어나는 보호된 리소스는 모두 연결되고 보호된 상태로 유지됩니다. 예를 들어 웹 ACL과 연결된 API Gateway의 Application Load Balancer 또는 API는 웹 ACL과 연결된 상태로 유지되며 보호 기능은 그대로 유지됩니다.

  • 정책 범위를 벗어나는 리소스에서 보호 자동 제거 확인란을 선택한 경우:

    • 관련 AWS Config 관리형 규칙이 삭제됩니다. 이 동작은 확인란과 무관합니다.

    • 리소스가 포함되지 않은 모든 관련 AWS WAF 웹 액세스 제어 목록(웹 ACL)은 삭제됩니다. 이 동작은 확인란과 무관합니다.

    • 보호 대상 리소스가 범위를 벗어나면 해당 리소스가 정책 범위를 벗어나면 자동으로 연결이 해제되고 Firewall Manager 보호 대상에서 제거됩니다. 예를 들어 보안 그룹 정책의 경우 Elastic Inference 액셀러레이터 또는 Amazon EC2 인스턴스는 정책 범위를 벗어나면 복제된 보안 그룹과의 연결이 자동으로 해제됩니다. 복제된 보안 그룹과 해당 리소스는 보호에서 자동으로 제거됩니다.