**에 대한 새로운 콘솔 환경 소개 AWS WAF**

이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 [콘솔 작업을 참조하세요](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# Firewall Manager에서 AWS WAF 정책 사용
<a name="waf-policies"></a>

이 섹션에서는 Firewall Manager에서 AWS WAF 정책을 사용하는 방법을 설명합니다. Firewall Manager AWS WAF 정책에서 정책 범위 내에 있는 모든 리소스를 보호하는 데 사용할 AWS WAF 규칙 그룹을 지정합니다. 정책을 적용하면 Firewall Manager는 지정된 규칙 그룹 및 기타 정책 구성을 사용하여 범위 내 리소스에 대한 웹 ACL 관리를 시작합니다.

범위 내 리소스에 대한 모든 새 웹 ACL을 생성하고 관리하도록 정책을 구성하여 이미 사용 중인 모든 웹 ACL을 대체할 수 있습니다. 또는 범위 내 리소스와 이미 연결된 웹 ACL을 유지하도록 정책을 구성하고 정책에서 사용하도록 정책을 새로 고칠 수 있습니다. 이 두 번째 옵션을 사용하면 Firewall Manager는 웹 ACL 연결이 아직 없는 리소스에 대해서만 새 웹 ACL을 생성합니다.

생성 방식에 관계없이 Firewall Manager가 관리하는 웹 ACL에서 개별 계정은 Firewall Manager 정책에 정의한 규칙 그룹 외에도 자체 규칙 및 규칙 그룹을 관리할 수 있습니다.

Firewall Manager AWS WAF 정책을 생성하는 절차는 섹션을 참조하세요[에 대한 AWS Firewall Manager 정책 생성 AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).

# AWS WAF 정책에 대한 규칙 그룹 관리
<a name="waf-policies-rule-groups"></a>

Firewall Manager AWS WAF 정책에서 관리하는 웹 ACLs에는 세 가지 규칙 세트가 포함되어 있습니다. 이러한 집합은 웹 ACL의 규칙 및 규칙 그룹에 대해 더 높은 수준의 우선 순위를 제공합니다.
+ Firewall Manager AWS WAF 정책에서 사용자가 정의한 첫 번째 규칙 그룹은 이러한 규칙 그룹을 먼저 AWS WAF 평가합니다.
+ 웹 ACL에서 계정 관리자가 정의한 규칙 및 규칙 그룹입니다. AWS WAF 는 계정 관리형 규칙 또는 규칙 그룹을 다음에 평가합니다.
+ Firewall Manager AWS WAF 정책에서 사용자가 정의한 마지막 규칙 그룹은 이러한 규칙 그룹을 마지막으로 AWS WAF 평가합니다.

이러한 각 규칙 세트 내에서는 세트 내의 우선 순위 설정에 따라 규칙과 규칙 그룹을 평소와 같이 AWS WAF 평가합니다.

정책의 첫 번째 및 마지막 규칙 그룹 집합에서는 규칙 그룹만 추가할 수 있고 개별 규칙은 안됩니다. 관리형 규칙 및 AWS Marketplace 판매자가 자동으로 생성하고 유지 관리하는 AWS 관리형 규칙 그룹을 사용할 수 있습니다. 사용자 고유의 규칙 그룹을 관리하고 사용할 수도 있습니다. 이러한 옵션에 대한 자세한 내용은 [AWS WAF 규칙 그룹](waf-rule-groups.md)을 참조하세요.

고유의 규칙 그룹을 사용하려는 경우 Firewall Manager AWS WAF 정책을 생성하기 전에 해당 규칙 그룹을 생성합니다. 자세한 지침은 [자체 규칙 그룹 관리](waf-user-created-rule-groups.md)을 참조하세요. 개별 사용자 지정 규칙을 사용하려면 고유의 규칙 그룹을 정의하고, 해당 규칙 그룹 내에서 규칙을 정의한 다음, 정책에서 규칙 그룹을 사용해야 합니다.

Firewall Manager를 통해 관리하는 첫 번째 및 마지막 AWS WAF 규칙 그룹에는 `POSTFMManaged-`이름이 각각 `PREFMManaged-` 또는 로 시작하고 그 뒤에 Firewall Manager 정책 이름과 규칙 그룹 생성 타임스탬프가 UTC 밀리초 단위로 표시됩니다. 예를 들어 `PREFMManaged-MyWAFPolicyName-1621880555123`입니다.

가 웹 요청을 AWS WAF 평가하는 방법에 대한 자세한 내용은 섹션을 참조하세요[에서 규칙 및 규칙 그룹과 함께 보호 팩(웹 ACLs) 사용 AWS WAF](web-acl-processing.md).

Firewall Manager는 AWS WAF 정책에 대해 정의한 규칙 그룹의 샘플링 및 Amazon CloudWatch 지표를 활성화합니다.

개별 계정 소유자는 정책의 관리형 웹 ACL에 추가하는 모든 규칙 또는 규칙 그룹의 지표와 샘플링 구성을 완벽하게 제어할 수 있습니다.

**참고**  
멤버 계정에 AWS WAF 마켓플레이스 규칙 그룹에 대한 구독이 없는 경우 Firewall Manager는 사용자 지정 또는 관리형 규칙 그룹을 해당 계정에 전파할 수 없습니다.

# AWS WAF 정책에 대한 웹 ACL 관리
<a name="how-fms-manages-web-acls"></a>

Firewall Manager는 구성 설정 및 일반 정책 관리에 따라 범위 내 리소스에 대한 웹 ACL을 생성하고 관리합니다.

**참고**  
다른 Firewall Manager Shield 정책에 의한 [고급 자동 애플리케이션 계층 DDoS 완화](ddos-automatic-app-layer-response.md)로 구성된 리소스가 해당 Firewall Manager Shield AWS WAF 정책에 의해 리소스의 웹 ACL이 생성된 정책의 범위에 포함되는 경우 Firewall Manager는 AWS WAF 정책 보호를 리소스에 적용할 수 없으며 리소스를 규정 미준수로 표시합니다.  
고객이 고객 소유 웹 ACL을 리소스와 수동으로 연결하는 경우에도 Firewall Manager AWS WAF 정책은 해당 고객 웹 ACL을 Firewall Manager AWS WAF 정책 웹 ACL로 재정의합니다.

**연결되지 않은 웹 ACL 구성 관리**  
리소스에서 웹 ACL을 사용하지 않을 때 Firewall Manager가 계정의 웹 ACL을 관리하는 방법을 지정하는 정책 구성 설정입니다. 연결되지 않은 웹 ACL의 관리를 활성화하면 Firewall Manager는 하나 이상의 리소스에서 웹 ACL을 사용할 경우에만 정책 범위 내의 계정에 웹 ACL을 생성합니다. 이 옵션을 활성화하지 않으면 Firewall Manager는 웹 ACL 사용 여부에 관계없이 각 계정에 웹 ACL이 있는지 자동으로 확인합니다.

이 옵션이 활성화되어 있고 계정이 정책 범위에 포함되는 경우, 하나 이상의 리소스가 웹 ACL을 사용할 경우 Firewall Manager는 계정에 웹 ACL을 자동으로 생성합니다.

또한 연결되지 않은 웹 ACL의 관리를 정책 성성에서 활성화하면 Firewall Manager는 계정에서 연결되지 않은 웹 ACL을 한 번 정리합니다. 해당 정리 중에 Firewall Manager는 생성 후 수정한 웹 ACL을 건너뛰습니다(예: 웹 ACL에 규칙 그룹을 추가하거나 설정을 수정한 경우). 정리 프로세스에는 몇 시간이 걸릴 수 있습니다. Firewall Manager가 웹 ACL을 생성한 후 리소스가 정책 범위를 벗어나는 경우 Firewall Manager는 웹 ACL에서 리소스를 분리하지만 연결되지 않은 웹 ACL을 정리하지는 않습니다. Firewall Manager는 정책에서 연결되지 않은 웹 ACL의 관리를 처음 활성화한 경우에만 연결되지 않은 웹 ACL을 정리합니다.

API에서 이 설정은 [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html) 데이터 유형의 `optimizeUnassociatedWebACL`입니다. 예시: `\"optimizeUnassociatedWebACL\":false`

**웹 ACL 소스 구성: 새로 만들거나 기존 것을 수정하시겠습니까?**  
범위 내 리소스와 연결된 기존 웹 ACL에서 Firewall Manager가 수행하는 작업을 지정하는 정책 구성 설정입니다.

기본적으로 Firewall Manager는 범위 내 리소스에 대한 모든 새 웹 ACL을 생성합니다. 새로 고침을 사용하면 Firewall Manager는 이미 사용 중인 기존 웹 ACL을 사용하고 아직 연결되지 않은 리소스에 대해 새 웹 ACL만 생성합니다.

정책이 추가 장착하도록 구성된 경우 범위 내 리소스와 연결된 모든 웹 ACL이 추가 장착되거나 규정 미준수로 표시됩니다.

Firewall Manager는 다음 요구 사항을 충족하는 경우에만 웹 ACL을 개량합니다.
+ 웹 ACL은 고객 계정에서 소유합니다.
+ 웹 ACL은 범위 내 리소스에만 연결됩니다.
**작은 정보**  
새로 고침을 위한 AWS WAF 정책을 구성하기 전에 정책의 범위 내 리소스와 연결된 웹 ACLs이 out-of-scope 리소스와 연결되지 않았는지 확인합니다.
**작은 정보**  
연결된 리소스를 삭제하려면 먼저 웹 ACL에서 연결을 해제합니다. 범위 외 리소스와의 연결로 인해 웹 ACL이 규정을 준수하지 않는 경우 먼저 웹 ACL과 연결 해제하지 않고 범위 외 리소스를 삭제하면 웹 ACL이 규정 준수 상태가 될 수 있으며 Firewall Manager는 문제 해결을 통해 웹 ACL을 개량할 수 있지만 이 상황에서의 문제 해결은 최대 24시간 지연될 수 있습니다.

규정 준수 위반 세부 정보에 액세스하는 방법에 대한 자세한 내용은 [AWS Firewall Manager 정책에 대한 규정 준수 정보 보기](fms-compliance.md) 섹션을 참조하세요.

웹 ACL을 추가 장착할 수 있는 경우 Firewall Manager는 다음과 같이 이를 수정합니다.
+ Firewall Manager는 웹 ACL의 기존 규칙 앞에 AWS WAF 정책의 첫 번째 규칙 그룹을 삽입하고 끝에 AWS WAF 정책의 마지막 규칙 그룹을 추가합니다. 규칙 그룹 관리에 대한 자세한 내용은 [AWS WAF 정책에 대한 규칙 그룹 관리](waf-policies-rule-groups.md) 섹션을 참조하세요.
+ 정책에 로깅 구성이 있는 경우 Firewall Manager는 웹 ACL이 아직 로깅용으로 구성되지 않은 경우에만 웹 ACL에 추가합니다. 웹 ACL에 계정에 의해 구성된 로깅이 있는 경우 Firewall Manager는 개량 및 정책의 로깅 구성에 대한 후속 업데이트를 위해 이를 그대로 둡니다.
+ Firewall Manager는 다른 웹 ACL 속성을 확인하거나 구성하지 않습니다. 예를 들어 Firewall Manager는 웹 ACL의 기본 작업, 사용자 지정 요청 헤더 CAPTCHA 또는 Challenge 구성 또는 토큰 도메인 목록을 수정하지 않습니다. Firewall Manager는 Firewall Manager가 생성하는 웹 ACL에서만 이러한 다른 속성을 구성합니다.

Firewall Manager가 연결된 모든 기존 웹 ACL을 새로 고치면 웹 ACL이 없는 범위 내 리소스에 대해 Firewall Manager는 기본 정책 동작에 따라 리소스를 처리합니다. 보호할 AWS WAF 수 있는 리소스인 경우 Firewall Manager는 Firewall Manager 웹 ACL을 생성하고 해당 리소스와 연결합니다.

API에서 웹 ACL 소스 설정은 [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html) 데이터 유형의 `webACLSource`에 있습니다. 예시: `\"webACLSource\":\"RETROFIT_EXISTING\"` 

**샘플링 및 CloudWatch 지표**  
AWS Firewall Manager 는 AWS WAF 정책에 대해 생성하는 웹 ACLs 및 규칙 그룹에 대한 샘플링 및 Amazon CloudWatch 지표를 활성화합니다.

**웹 ACL 이름 지정**  
Firewall Manager가 생성하는 웹 ACL은 AWS WAF 정책 이름을 로 지정합니다`FMManagedWebACLV2-policy name-timestamp`. 타임스탬프는 UTC 밀리초 단위입니다. 예를 들어 `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`입니다.

Firewall Manager가 새로 고치는 웹 ACL에는 생성 시 고객 계정이 지정한 이름이 있습니다. 웹 ACL 명칭은 생성 후에는 변경될 수 없습니다.

**참고**  
[고급 자동 애플리케이션 계층 DDoS 완화](ddos-automatic-app-layer-response.md)로 구성된 리소스가 AWS WAF 정책의 범위에 포함되는 경우 Firewall Manager는 AWS WAF 정책에 의해 생성된 웹 ACL을 리소스에 연결할 수 없습니다.

# AWS WAF 정책에 대한 로깅
<a name="waf-policies-logging-config"></a>

 AWS WAF 정책에 대한 중앙 집중식 로깅을 활성화하여 조직 내 웹 ACL에서 분석한 트래픽에 대한 자세한 정보를 얻을 수 있습니다.는 AWS WAF Classic이 AWS WAFV2아닌에 대해이 옵션을 AWS Firewall Manager 지원합니다.

로그의 정보에는가 보호된 AWS 리소스로부터 요청을 AWS WAF 받은 시간, 요청에 대한 세부 정보, 모든 범위 내 계정에서 각 요청이 일치하는 규칙에 대한 작업이 포함됩니다. AWS WAF 로깅에 대한 자세한 내용은 *AWS WAF 개발자 안내서*[AWS WAF 보호 팩(웹 ACL) 트래픽 로깅](logging.md)의 섹션을 참조하세요.

Amazon Data Firehose 데이터 스트림 또는 Amazon Simple Storage Service(S3) 버킷으로 로그를 전송할 수 있습니다. Firewall Manager가 범위 내 리소스 및 계정에서 AWS WAF 로깅을 관리할 수 있으려면 각 대상 유형에 몇 가지 추가 구성이 필요합니다. 뒤 이은 섹션에서 세부 정보가 제공됩니다.

정책에 웹 ACL 추가 설정이 활성화된 경우 Firewall Manager는 기존 웹 ACL에 있는 로깅 구성을 재정의하지 않습니다. 추가 장착에 대한 자세한 내용은 [AWS WAF 정책에 대한 웹 ACL 관리](how-fms-manages-web-acls.md)의 웹 ACL 소스 구성 정보를 참조하세요.

**참고**  
Firewall Manager 인터페이스를 통해서만 Firewall Manager 정책에 대한 로깅을 수정하거나 비활성화합니다. AWS WAF 를 사용하여 Firewall Manager에서 관리하는 웹 ACL의 로깅 구성을 업데이트하거나 삭제하는 경우 Firewall Manager는 변경 사항을 자동으로 감지하지 않습니다. 를 사용한 경우 AWS WAF 정책의 규칙을 재평가하여 Firewall Manager 정책에 대한 업데이트를 수동으로 프롬프트할 AWS WAF수 있습니다 AWS Config. 이렇게 하려면 AWS Config 콘솔에서 Firewall Manager 정책에 대한 AWS Config 규칙을 찾아 재평가 작업을 선택합니다.

**Topics**
+ [로깅 대상](waf-policies-logging-destinations.md)
+ [Firewall Manager에서 AWS WAF 정책에 대한 로깅 활성화](waf-policies-enabling-logging.md)
+ [Firewall Manager에서 AWS WAF 정책에 대한 로깅 비활성화](waf-policies-disabling-logging.md)

# 로깅 대상
<a name="waf-policies-logging-destinations"></a>

이 섹션에서는 AWS WAF 정책 로그를 전송하도록 선택할 수 있는 로깅 대상에 대해 설명합니다. 각 섹션에서는 대상 유형에 대한 로깅을 구성하기 위한 지침과 대상 유형과 관련된 모든 동작에 대한 정보를 제공합니다. 로깅 대상을 구성한 후 Firewall Manager AWS WAF 정책에 해당 사양을 제공하여 로깅을 시작할 수 있습니다.

Firewall Manager는 로깅 구성을 생성한 후 로그 실패를 확인할 수 없습니다. 로그 전달이 의도한 대로 작동하는지 확인하는 것은 사용자의 책임입니다.

Firewall Manager는 조직 구성원 계정의 기존 로깅 구성을 수정하지 않습니다.

**Topics**
+ [Amazon Data Firehose 데이터 스트림](#waf-policies-logging-destinations-kinesis-data-firehose)
+ [Amazon Simple Storage Service 버킷](#waf-policies-logging-destinations-s3)

## Amazon Data Firehose 데이터 스트림
<a name="waf-policies-logging-destinations-kinesis-data-firehose"></a>

이 주제는 Amazon Data Firehose 데이터 스트림에 웹 ACL 트래픽 로그를 전송하는 방법에 대한 정보를 제공합니다.

Amazon Data Firehose 로깅을 활성화하면 Firewall Manager는 정책의 웹 ACL에서 스토리지 대상을 구성한 Amazon Data Firehose로 로그를 전송합니다. 로깅을 활성화하면는 Kinesis Data Firehose의 HTTPS 엔드포인트를 통해 구성된 각 웹 ACL에 대한 로그를 구성된 스토리지 대상으로 AWS WAF 전송합니다. 전송 스트림을 사용하기 전에 테스트하여 조직의 로그를 수용할 만큼 처리량이 충분한지 확인하십시오. Amazon Kinesis Data Firehose 생성 및 저장된 로그 검토에 대한 자세한 내용은 [Amazon Data Firehose란 무엇인가요?](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)를 참조하세요.

Kinesis로 로깅을 활성화하려면 다음 권한이 있어야 합니다.
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`

 AWS WAF 정책에 Amazon Data Firehose 로깅 대상을 구성하면 Firewall Manager는 다음과 같이 Firewall Manager 관리자 계정에서 정책에 대한 웹 ACL을 생성합니다.
+ Firewall Manager는 계정이 정책 범위 내에 있는지 여부와 상관없이 Firewall Manager 관리자 계정에 웹 ACL을 생성합니다.
+ 웹 ACL에는 로그 이름 `FMManagedWebACLV2-Loggingpolicy name-timestamp`과 함께 로깅이 활성화되어 있습니다. 여기서 타임스탬프는 로그가 웹 ACL에 대해 활성화된 UTC 시간(밀리초)입니다. 예를 들어 `FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180`입니다. 웹 ACL에는 규칙 그룹과 관련 리소스가 없습니다.
+  AWS WAF 요금 지침에 따라 웹 ACL에 대한 요금이 부과됩니다. 자세한 내용은 [AWS WAF 요금](https://aws.amazon.com/waf/pricing/)을 참조하세요.
+ Firewall Manager는 정책을 삭제할 때 웹 ACL을 삭제합니다.

서비스 연결 역할 및 `iam:CreateServiceLinkedRole` 권한에 대한 자세한 내용은 [에 대한 서비스 연결 역할 사용 AWS WAF](using-service-linked-roles.md) 섹션을 참조하세요.

전송 스트림 생성에 관한 자세한 내용은 [Amazon Data Firehose 전송 스트림 생성](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html)을 참조하세요.

## Amazon Simple Storage Service 버킷
<a name="waf-policies-logging-destinations-s3"></a>

이 주제는 Amazon S3 버킷으로 웹 ACL 트래픽 로그를 전송하기 위한 정보를 제공합니다.

로깅 대상으로 선택한 버킷은 Firewall Manager 관리자 계정이 소유해야 합니다. 로깅을 위한 Amazon S3 버킷 생성 요구 사항 및 버킷 이름 지정 요구 사항에 대한 자세한 내용은 *AWS WAF 개발자 안내서*의 [Amazon Simple Storage Service](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html)를 참조하세요.

**최종 일관성**  
Amazon S3 로깅 대상으로 구성된 AWS WAF 정책을 변경하면 Firewall Manager가 버킷 정책을 업데이트하여 로깅에 필요한 권한을 추가합니다. 이 경우 Firewall Manager는 Amazon Simple Storage Service가 따르는 최후의 시맨틱 및 데이터 정합성 모델을 따릅니다. Firewall Manager 콘솔 또는 [PutPolicy](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutPolicy.html) API를 통해 Amazon S3 대상에 여러 정책을 동시에 업데이트하는 경우 일부 권한이 저장되지 않을 수 있습니다. Amazon S3 데이터 일관성 모델에 대한 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [Amazon S3 데이터 정합성 모델](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html#ConsistencyModel)을 참조하세요.

### Amazon S3 버킷에 로그를 게시하는 데 필요한 권한
<a name="waf-policies-logging-s3-permissions"></a>

 AWS WAF 정책에서 Amazon S3 버킷에 대한 웹 ACL 트래픽 로깅을 구성하려면 다음 권한 설정이 필요합니다. Firewall Manager는 Amazon S3를 로깅 대상으로 구성하여 서비스에 로그를 버킷에 게시할 권한을 부여하는 경우 Amazon S3 버킷에 이러한 권한을 자동으로 연결합니다. 로깅 및 Firewall Manager 리소스에 대한 보다 세분화된 액세스를 관리하려는 경우 이러한 권한을 직접 설정할 수 있습니다. 권한 관리에 관한 자세한 내용은 *IAM 사용 설명서*의 [AWS 리소스에 대한 액세스 관리](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)를 참조하세요. AWS WAF 관리형 정책에 대한 자세한 내용은 섹션을 참조하세요[AWS 에 대한 관리형 정책 AWS WAF](security-iam-awsmanpol.md).

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "AWSLogDeliveryForFirewallManager",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryAclCheckFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix"
        },
        {
            "Sid": "AWSLogDeliveryWriteFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}
```

------

서비스 간에 혼동되는 대리인 문제를 방지하려면 버킷 정책에서 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 및 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 글로벌 조건 컨텍스트 키를 추가합니다. 이러한 키를 추가하려면 로깅 대상을 구성할 때 Firewall Manager가 생성하는 정책을 수정하거나, 세부적인 제어를 원하는 경우 자체 정책을 만들 수 있습니다. 로깅 대상 정책에 이러한 조건을 추가하는 경우 Firewall Manager는 혼동되는 보조 보호를 검증하거나 모니터링하지 않습니다. 혼동된 대리자 문제에 관한 일반적인 내용은 *IAM 사용 설명서*의 [혼동된 대리자 문제](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)를 참조하세요.

`sourceAccount` 추가 `sourceArn` 속성을 추가하면 버킷 정책 크기가 커집니다. `sourceAccount` 추가 `sourceArn` 속성의 긴 목록을 추가하는 경우 Amazon S3 [버킷 정책 크기](https://docs.aws.amazon.com/general/latest/gr/s3.html#limits_s3) 할당량을 초과하지 않도록 주의하십시오.

다음 예는 버킷 정책에서 `aws:SourceArn` 및 `aws:SourceAccount` 글로벌 조건 컨텍스트 키를 사용하여 혼동된 대리자 문제를 방지하는 방법을 보여줍니다. *member-account-id*를 조직 구성원의 계정 ID로 바꾸십시오.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Id":"AWSLogDeliveryForFirewallManager",
   "Statement":[
      {
         "Sid":"AWSLogDeliveryAclCheckFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:GetBucketAcl",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":[
               "111122223333",
               "444455556666"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
               "arn:aws:logs:*:111122223333:*",
               "arn:aws:logs:*:444455556666:*"
               ]
            }
         }
      },
      {
         "Sid":"AWSLogDeliveryWriteFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:PutObject",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
         "Condition":{
            "StringEquals":{
               "s3:x-amz-acl":"bucket-owner-full-control",
               "aws:SourceAccount":[
               "111122223333",
               "444455556666"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
               "arn:aws:logs:*:111122223333:*",
               "arn:aws:logs:*:444455556666:*"
               ]
            }
         }
      }
   ]
}
```

------

#### Amazon S3 버킷의 서버 측 암호화
<a name="waf-policies-logging-s3-kms-permissions"></a>

Amazon S3 서버 측 암호화를 활성화하거나 S3 버킷에서 AWS Key Management Service 고객 관리형 키를 사용할 수 있습니다. AWS WAF 로그에 Amazon S3 버킷의 기본 Amazon S3 암호화를 사용하도록 선택한 경우 특별한 조치를 취할 필요가 없습니다. 그러나 고객이 제공한 암호화 키를 사용하여 Amazon S3 저장 데이터를 암호화하도록 선택한 경우 AWS Key Management Service 키 정책에 다음 권한 문을 추가해야 합니다.

```
{
            "Sid": "Allow Logs Delivery to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
}
```

Amazon S3와 고객 제공 암호화 키 사용에 대한 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [고객 제공 키(SSE-C)로 서버 측 암호화 사용](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html)을 참조하세요.

# Firewall Manager에서 AWS WAF 정책에 대한 로깅 활성화
<a name="waf-policies-enabling-logging"></a>

다음 절차에서는 Firewall Manager 콘솔에서 AWS WAF 정책에 대한 로깅을 활성화하는 방법을 설명합니다.

**AWS WAF 정책에 대한 로깅을 활성화하려면**

1. 로깅을 활성화하려면 먼저 로깅 대상 리소스를 다음과 같이 구성해야 합니다.
   + **Amazon Kinesis Data Streams** - Firewall Manager 관리자 계정을 사용하여 Amazon Data Firehose를 생성합니다. 접두사 `aws-waf-logs-`로 시작하는 이름을 사용하세요. 예를 들어 `aws-waf-logs-firewall-manager-central`입니다. 작업하려는 리전에서 `PUT` 소스를 사용하여 Data Firehose를 생성합니다. Amazon CloudFront에 대한 로그를 캡처하고 있는 경우, 미국 동부(버지니아 북부)에서 Firehose를 생성합니다. 전송 스트림을 사용하기 전에 테스트하여 조직의 로그를 수용할 만큼 처리량이 충분한지 확인하십시오. 자세한 내용은 [Amazon Data Firehose 전송 스트림 생성](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html)을 참조하세요.
   + **Amazon Simple Storage Service 버킷** - *AWS WAF 개발자 안내서*의 [Amazon Simple Storage Service](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html) 주제에 있는 지침에 따라 Amazon S3 버킷을 생성합니다. 또한 [Amazon S3 버킷에 로그를 게시하는 데 필요한 권한](waf-policies-logging-destinations.md#waf-policies-logging-s3-permissions)에 나열된 권한으로 Amazon S3 버킷을 구성해야 합니다.

1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
**참고**  
Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.

1. 탐색 창에서 **보안 정책**을 선택합니다.

1. 로깅을 활성화할 AWS WAF 정책을 선택합니다. AWS WAF 로깅에 대한 자세한 내용은 [AWS WAF 보호 팩(웹 ACL) 트래픽 로깅](logging.md)을 참조하세요.

1. **정책 규칙** 섹션의 **정책 세부 정보** 탭에서 **편집**을 선택합니다.

1. **로깅 구성의** 경우 **로깅 활성화**를 선택하여 로깅을 활성화합니다. 로깅은 웹 ACL에서 분석한 트래픽에 대한 자세한 정보를 기록합니다. 로깅 대상 유형을 선택한 다음 구성한 **로깅 대상**을 선택합니다. 이름이 `aws-waf-logs-`로 시작하는 로깅 대상을 선택해야 합니다. AWS WAF 로깅 대상 구성에 대한 자세한 내용은 섹션을 참조하세요[Firewall Manager에서 AWS WAF 정책 사용](waf-policies.md).

1. (선택 사항) 로그에 포함된 특정 필드와 그 값이 필요하지 않은 경우 해당 필드를 삭제합니다. 삭제할 필드를 선택한 후 **추가**를 선택합니다. 필요에 따라 이 작업을 반복하여 추가 필드를 삭제합니다. 삭제된 필드는 로그에서 `REDACTED`(으)로 표시됩니다. 예를 들어 **URI** 필드를 삭제한 경우 로그에서 **URI** 필드가 `REDACTED`로 나타납니다.

1. (선택 사항) 모든 요청을 로그로 전송하지 않으려면 필터링 기준과 동작을 추가합니다. **필터 로그**에서 적용하려는 각 필터에 대해 **필터 추가**를 선택한 다음 기준과 일치하는 요청을 유지할지 아니면 삭제할지 여부를 지정합니다. 필터 추가를 완료할 때 필요 시 **기본 로깅 동작**을 수정합니다. 자세한 내용은 *AWS WAF 개발자 안내서*의 [보호 팩(웹 ACL) 레코드 찾기](logging-management.md)을 참조하세요.

1. **다음**을 선택합니다.

1. 설정을 검토한 다음 **저장**을 선택하여 변경 내용을 정책에 저장합니다.

# Firewall Manager에서 AWS WAF 정책에 대한 로깅 비활성화
<a name="waf-policies-disabling-logging"></a>

다음 절차에서는 Firewall Manager 콘솔에서 AWS WAF 정책에 대한 로깅을 비활성화하는 방법을 설명합니다.

**AWS WAF 정책에 대한 로깅을 비활성화하려면**

1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
**참고**  
Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.

1. 탐색 창에서 **보안 정책**을 선택합니다.

1. 로깅을 비활성화할 AWS WAF 정책을 선택합니다.

1. **정책 규칙** 섹션의 **정책 세부 정보** 탭에서 **편집**을 선택합니다.

1. **로깅 구성 상태**에서 **비활성화**를 선택합니다.

1. **다음**을 선택합니다.

1. 설정을 검토한 다음 **저장**을 선택하여 변경 내용을 정책에 저장합니다.

**참고**  
Firewall Manager 인터페이스를 통해서만 Firewall Manager 정책에 대한 로깅을 수정하거나 비활성화합니다. AWS WAF 를 사용하여 Firewall Manager에서 관리하는 웹 ACL의 로깅 구성을 업데이트하거나 삭제하는 경우 Firewall Manager는 변경 사항을 자동으로 감지하지 않습니다. 를 사용한 경우 AWS WAF 정책의 규칙을 재평가하여 Firewall Manager 정책에 대한 업데이트를 수동으로 프롬프트할 AWS WAF수 있습니다 AWS Config. 이렇게 하려면 AWS Config 콘솔에서 Firewall Manager 정책의 AWS Config 규칙을 찾아 재평가 작업을 선택합니다.