**에 대한 새로운 콘솔 환경 소개 AWS WAF**
이제 업데이트된 환경을 사용하여 콘솔의 모든 위치에서 AWS WAF 기능에 액세스할 수 있습니다. 자세한 내용은 [콘솔 작업을 참조하세요](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# AWS Firewall Manager 정책 사용
AWS Firewall Manager 는 다음과 같은 유형의 정책을 제공합니다. 각 정책 유형에 대해 다음을 정의합니다.
+ **AWS WAF** **정책** - Firewall Manager는 AWS WAF 및 AWS WAF Classic 정책을 지원합니다. 두 버전 모두에 대해 정책으로 보호되는 리소스를 정의합니다.
+ AWS WAF 정책 유형은 웹 ACL에서 처음과 마지막으로 실행할 규칙 그룹 세트를 사용합니다. 그런 다음, 웹 ACL을 적용하는 계정에서 계정 소유자는 두 집합 사이에서 실행할 규칙 및 규칙 그룹을 추가할 수 있습니다.
+ AWS WAF Classic 정책 유형은 웹 ACL에서 실행할 단일 규칙 그룹을 사용합니다.
+ **Shield Advanced 정책** - 이 정책 유형은 지정한 리소스 유형에 대해 조직 전체에 Shield Advanced 보호를 적용합니다.
+ **Amazon VPC 보안 그룹 정책** – 이 유형의 정책을 사용하면 조직 전체에서 사용 중인 보안 그룹을 제어할 수 있으며 조직 전체에 기본 규칙 세트를 적용할 수 있습니다.
+ **Amazon VPC 네트워크 액세스 제어 목록(ACL) 정책** - 이 정책 유형은 조직 전체에서 사용 중인 네트워크 ACL을 제어하고 조직 전체에서 네트워크 ACL의 기준 세트를 적용할 수 있도록 합니다.
+ **네트워크 방화벽 정책** - 이 정책 유형은 조직의 VPC에 AWS Network Firewall 보호를 적용합니다.
+ **Amazon Route 53 Resolver DNS 방화벽 정책** — 이 정책은 조직의 VPC에 DNS 방화벽 보호를 적용합니다.
+ **타사 방화벽 정책** - 이 정책 유형은 타사 방화벽 보호를 적용합니다. 타사 방화벽은 Marketplace의 AWS Marketplace 콘솔을 통해 구독할 수 [AWS 있습니다](https://aws.amazon.com/marketplace).
+ **Palo Alto Networks Cloud NGFW 정책** - 이 정책 유형은 Palo Alto Networks Cloud Next Generation Firewall(NGFW) 보호 및 Palo Alto Networks Cloud NGFW 룰스택을 조직의 VPC에 적용합니다.
+ **서비스형 Fortigate Cloud Native Firewall(CNF) 정책** - 이 정책 유형은 서비스형 Fortigate Cloud Native Firewall(CNF) 보호를 적용합니다. Fortigate CNF는 업계 최고의 고급 위협 방지, 스마트 웹 애플리케이션 방화벽(WAF) 및 API 보호를 통해 제로데이(Zero-Day) 위협을 차단하고 클라우드 인프라를 보호하는 클라우드 중심 솔루션입니다.
Firewall Manager 정책은 개별 정책 유형에 따라 상이합니다. 계정 전체에 여러 가지 정책 유형을 적용하려는 경우 여러 개의 정책을 생성할 수 있습니다. 각 유형에 대해 둘 이상의 정책을 생성할 수 있습니다.
생성한 조직에 새 계정을 추가하면 AWS Organizations Firewall Manager는 정책의 범위 내에 있는 해당 계정의 리소스에 정책을 자동으로 적용합니다.
## AWS Firewall Manager 정책에 대한 일반 설정
AWS Firewall Manager 관리형 정책에는 몇 가지 일반적인 설정과 동작이 있습니다. 모든 경우 이름을 지정하고 정책 범위를 정의하며 리소스 태깅을 사용하여 정책 범위를 제어할 수 있습니다. 수정 조치를 취하지 않고 규정을 위반하는 계정과 리소스를 보거나 규정 미준수 리소스를 자동으로 문제 해결하도록 선택할 수 있습니다.
정책 범위에 대한 자세한 내용은 [AWS Firewall Manager 정책 범위 사용](policy-scope.md)을 참조하세요.
# AWS Firewall Manager 정책 생성
정책을 생성하는 단계는 정책 유형에 따라 다릅니다. 필요한 정책 유형에 대한 절차를 사용해야 합니다.
**중요**
AWS Firewall Manager 는 Amazon Route 53 또는를 지원하지 않습니다 AWS Global Accelerator. 이러한 리소스를 Shield Advanced로 보호하려는 경우 Firewall Manager 정책을 사용할 수 없습니다. 그 대신 [AWS 리소스에 AWS Shield Advanced 보호 추가](configure-new-protection.md)의 지시 사항을 따릅니다.
**Topics**
+ [에 대한 AWS Firewall Manager 정책 생성 AWS WAF](#creating-firewall-manager-policy-for-waf)
+ [AWS WAF Classic에 대한 AWS Firewall Manager 정책 생성](#creating-firewall-manager-policy-for-classic-waf)
+ [에 대한 AWS Firewall Manager 정책 생성 AWS Shield Advanced](#creating-firewall-manager-policy-for-shield-advanced)
+ [AWS Firewall Manager 공통 보안 그룹 정책 생성](#creating-firewall-manager-policy-common-security-group)
+ [AWS Firewall Manager 콘텐츠 감사 보안 그룹 정책 생성](#creating-firewall-manager-policy-audit-security-group)
+ [AWS Firewall Manager 사용 감사 보안 그룹 정책 생성](#creating-firewall-manager-policy-usage-security-group)
+ [AWS Firewall Manager 네트워크 ACL 정책 생성](#creating-firewall-manager-policy-network-acl)
+ [에 대한 AWS Firewall Manager 정책 생성 AWS Network Firewall](#creating-firewall-manager-policy-for-network-firewall)
+ [Amazon Route 53 Resolver DNS 방화벽에 대한 AWS Firewall Manager 정책 생성](#creating-firewall-manager-policy-for-dns-firewall)
+ [Palo Alto Networks Cloud NGFW에 대한 AWS Firewall Manager 정책 생성](#creating-cloud-ngfw-policy)
+ [서비스형 Fortigate Cloud Native Firewall(CNF)에 대한 AWS Firewall Manager 정책 생성](#creating-fortigate-cnf-policy)
## 에 대한 AWS Firewall Manager 정책 생성 AWS WAF
Firewall Manager AWS WAF 정책에서 AWS 및 AWS Marketplace 판매자가 자동으로 생성하고 유지 관리하는 관리형 규칙 그룹을 사용할 수 있습니다. 사용자 고유의 규칙 그룹을 생성하고 사용할 수도 있습니다. 규칙 그룹에 대한 자세한 내용은 [AWS WAF 규칙 그룹](waf-rule-groups.md)을 참조하세요.
고유의 규칙 그룹을 사용하려는 경우 Firewall Manager AWS WAF 정책을 생성하기 전에 해당 규칙 그룹을 생성합니다. 자세한 지침은 [자체 규칙 그룹 관리](waf-user-created-rule-groups.md)을 참조하세요. 개별 사용자 지정 규칙을 사용하려면 고유의 규칙 그룹을 정의하고, 해당 규칙 그룹 내에서 규칙을 정의한 다음, 정책에서 규칙 그룹을 사용해야 합니다.
Firewall Manager AWS WAF 정책에 대한 자세한 내용은 섹션을 참조하세요[Firewall Manager에서 AWS WAF 정책 사용](waf-policies.md).
**에 대한 Firewall Manager 정책을 생성하려면 AWS WAF (콘솔)**
1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
**참고**
Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
1. 탐색 창에서 **보안 정책**을 선택합니다.
1. **정책 생성**을 선택합니다.
1. **정책 타입**에서 **AWS WAF**를 선택합니다.
1. **리전**에서를 선택합니다 AWS 리전. Amazon CloudFront 배포를 보호하려면 **글로벌**을 선택합니다.
여러 리전에서 리소스를 보호하려면(CloudFront 배포 제외) 각 리전에 대해 별도의 Firewall Manager 정책을 생성해야 합니다.
1. **다음**을 선택합니다.
1. **정책 명칭**에 서술적 명칭을 입력하세요. Firewall Manager는 관리하는 웹 ACL의 명칭에 정책 명칭을 포함합니다. 웹 ACL 명칭에는 `FMManagedWebACLV2-` 뒤에 여기에 입력한 정책 명칭인 `-` 및 웹 ACL 생성 타임스탬프(UTC 밀리초)가 있습니다. 예를 들어 `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`입니다.
1. **웹 요청 본문 검사**의 경우 본문 크기 제한을 선택적으로 변경할 수 있습니다. 가격 고려 사항을 포함한 본문 검사 크기 제한에 대한 자세한 내용은 *AWS WAF 개발자 안내서*를 참조하세요[에서 본문 검사 관리에 대한 고려 사항 AWS WAF](web-acl-setting-body-inspection-limit.md).
1. **정책 규칙**에서 웹 ACL에서 처음과 마지막으로 AWS WAF 평가할 규칙 그룹을 추가합니다. AWS WAF 관리형 규칙 그룹 버전 관리를 사용하려면 **버전 관리 활성화**를 전환합니다. 개별 계정 관리자는 첫 번째 규칙 그룹과 마지막 규칙 그룹 사이에 규칙 및 규칙 그룹을 추가할 수 있습니다. 에 대한 Firewall Manager 정책에서 AWS WAF 규칙 그룹을 사용하는 방법에 대한 자세한 내용은 섹션을 AWS WAF참조하세요[Firewall Manager에서 AWS WAF 정책 사용](waf-policies.md).
(선택 사항) 웹 ACL에서 규칙 그룹을 사용하는 방식을 사용자 지정하려면 **편집**을 선택합니다. 다음은 일반적인 사용자 지정 설정입니다.
+ 관리형 규칙 그룹의 경우 일부 또는 모든 규칙에 대한 규칙 동작을 재정의하십시오. 규칙에 대한 재정의 작업을 정의하지 않는 경우 평가 시 규칙 그룹 내부에 정의된 규칙 작업이 사용됩니다. 이 옵션에 대한 자세한 내용은 *AWS WAF 개발자 안내서*의 [에서 규칙 그룹 작업 재정의 AWS WAF](web-acl-rule-group-override-options.md)을 참조하세요.
+ 일부 관리형 규칙 그룹에서는 추가 구성을 제공해야 합니다. 관리형 규칙 그룹 공급자가 제공한 설명서를 참조하세요. AWS 관리형 규칙 규칙 그룹에 대한 자세한 내용은 *AWS WAF 개발자 안내서*의 섹션을 참조[AWS 에 대한 관리형 규칙 AWS WAF](aws-managed-rule-groups.md)하세요.
설정을 완료했으면 **규칙 저장**을 선택합니다.
1. 웹 ACL에 대한 기본 작업을 설정합니다. 웹 요청이 웹 ACL의 규칙과 일치하지 않을 때 AWS WAF가 수행하는 작업입니다. **허용** 작업을 사용하여 사용자 지정 헤더를 추가하거나 **차단** 작업에 대한 사용자 지정 응답을 추가할 수 있습니다. 기본 웹 ACL 작업에 대한 자세한 내용은 [에서 보호 팩(웹 ACL) 기본 작업 설정 AWS WAF](web-acl-default-action.md) 섹션을 참조하세요. 웹 요청 및 응답을 사용자 지정하는 방법에 대한 자세한 내용은 [의 사용자 지정 웹 요청 및 응답 AWS WAF](waf-custom-request-response.md)을 참조하세요.
1. **로깅 구성의** 경우 **로깅 활성화**를 선택하여 로깅을 활성화합니다. 로깅은 웹 ACL에서 분석한 트래픽에 대한 자세한 정보를 기록합니다. 로깅 대상 유형을 선택한 다음 구성한 **로깅 대상**을 선택합니다. 이름이 `aws-waf-logs-`로 시작하는 로깅 대상을 선택해야 합니다. AWS WAF 로깅 대상 구성에 대한 자세한 내용은 섹션을 참조하세요[Firewall Manager에서 AWS WAF 정책 사용](waf-policies.md).
1. (선택 사항) 로그에 포함된 특정 필드와 그 값이 필요하지 않은 경우 해당 필드를 삭제합니다. 삭제할 필드를 선택한 후 **추가**를 선택합니다. 필요에 따라 이 작업을 반복하여 추가 필드를 삭제합니다. 삭제된 필드는 로그에서 `REDACTED`(으)로 표시됩니다. 예를 들어 **URI** 필드를 삭제한 경우 로그에서 **URI** 필드가 `REDACTED`로 나타납니다.
1. (선택 사항) 모든 요청을 로그로 전송하지 않으려면 필터링 기준과 동작을 추가합니다. **필터 로그**에서 적용하려는 각 필터에 대해 **필터 추가**를 선택한 다음 기준과 일치하는 요청을 유지할지 아니면 삭제할지 여부를 지정합니다. 필터 추가를 완료할 때 필요 시 **기본 로깅 동작**을 수정합니다. 자세한 내용은 *AWS WAF 개발자 안내서*의 [보호 팩(웹 ACL) 레코드 찾기](logging-management.md)을 참조하세요.
1. **토큰 도메인 목록**을 정의하여 보호된 애플리케이션 간에 토큰을 공유하도록 할 수 있습니다. 토큰은 CAPTCHA 사기 제어 계정 탈취 방지(ATP) 및 AWS WAF Bot AWS WAF Control에 AWS 관리형 규칙 그룹을 사용할 때 구현하는 및 Challenge 작업과 애플리케이션 통합 SDKs에서 사용됩니다.
공개 접미사는 허용되지 않습니다. 예를 들면 `gov.au` 또는 `co.uk`를 토큰 도메인으로 사용할 수 없습니다.
기본적으로는 보호된 리소스의 도메인에 대해서만 토큰을 AWS WAF 허용합니다. 이 목록에 토큰 도메인을 추가하면는 목록의 모든 도메인과 연결된 리소스의 도메인에 대한 토큰을 AWS WAF 수락합니다. 자세한 내용은 *AWS WAF 개발자 안내서*의 [AWS WAF 보호 팩(웹 ACL) 토큰 도메인 목록 구성](waf-tokens-domains.md#waf-tokens-domain-lists)을 참조하세요.
기존 웹 ACL을 편집할 때는 웹 ACL의 CAPTCHA와 챌린지 **면제 시간**만 변경할 수 있습니다. Firewall Manager **정책 세부 정보** 페이지에서 이러한 설정을 찾을 수 있습니다. 이 설정에 대한 내용은 [에서 타임스탬프 만료 및 토큰 면제 시간 설정 AWS WAF](waf-tokens-immunity-times.md)을 참조하세요. 기존 정책에서 **연결 구성**, **CAPTCHA**, **챌린지** 또는 **토큰 도메인 목록** 설정을 업데이트하는 경우 Firewall Manager가 로컬 웹 ACL을 새 값으로 덮어씁니다. 하지만 정책의 **연결 구성**, **CAPTCHA**, **챌린지** 또는 **토큰 도메인 목록** 설정을 업데이트하지 않는 경우 로컬 웹 ACL의 값은 변경되지 않습니다. 이 옵션에 대한 자세한 내용은 *AWS WAF 개발자 안내서*의 [CAPTCHA Challenge의 및 AWS WAF](waf-captcha-and-challenge.md)을 참조하세요.
1. **웹 ACL 관리**에서 Firewall Manager가 웹 ACL 생성을 관리하고 정리하는 방법을 선택합니다.
1. **연결되지 않은 웹 ACL 관리**에서 Firewall Manager가 연결되지 않은 웹 ACL을 관리할지 여부를 선택합니다. 이 옵션을 사용하면 Firewall Manager는 하나 이상의 리소스에서 웹 ACL을 사용할 경우에만 정책 범위 내 계정용 웹 ACL을 생성합니다. 계정이 정책 범위에 포함되는 경우, 하나 이상의 리소스가 웹 ACL을 사용할 경우 Firewall Manager는 계정에 웹 ACL을 자동으로 생성합니다.
이 옵션을 활성화하면 Firewall Manager는 계정에서 연결되지 않은 웹 ACL을 한 번 정리합니다. 정리 프로세스에는 몇 시간이 걸릴 수 있습니다. Firewall Manager가 웹 ACL을 생성한 후 리소스가 정책 범위를 벗어나는 경우 Firewall Manager는 웹 ACL에서 리소스를 분리하지만 연결되지 않은 웹 ACL을 정리하지는 않습니다. Firewall Manager는 정책에서 연결되지 않은 웹 ACL의 관리를 처음 활성화한 경우에만 연결되지 않은 웹 ACL을 정리합니다.
1. **웹 ACL 소스**의 경우 범위 내 리소스에 대한 모든 새 웹 ACL을 생성할지 아니면 가능한 경우 기존 웹 ACL을 새로 장착할지 지정합니다. Firewall Manager는 범위 내 계정에서 소유한 웹 ACL을 개량할 수 있습니다.
기본 동작은 모든 새 웹 ACL을 생성하는 것입니다. 이 옵션을 선택하면 Firewall Manager에서 관리하는 모든 웹 ACL의 이름이 `FMManagedWebACLV2`로 시작됩니다. 기존 웹 ACL을 새로 고치도록 선택하면 새로 고쳐진 웹 ACL의 원래 이름이 지정되고 Firewall Manager에서 생성한 이름의 이름이 `FMManagedWebACLV2`로 시작됩니다.
1. 조직 내의 각 적용 가능 계정에서 웹 ACL을 생성하려고 하지만 아직 웹 ACL을 리소스에 적용하지 않으려는 경우 **정책 작업**에서 **정책 규칙을 준수하지 않지만 자동 문제 해결을 수행하지 않는 리소스 식별**을 선택합니다. **연결되지 않은 웹 ACL 관리**를 선택하지 마세요. 나중에 옵션을 변경할 수 있습니다.
그 대신 기존 범위 내 리소스에 정책을 자동으로 적용하려는 경우 **비준수 리소스 자동 문제 해결**을 선택합니다. **Manage unassociated web ACLs**를 사용하지 않도록 설정한 경우 **비준수 리소스 자동 수정** 옵션은 조직 내 각 해당 계정에 웹 ACL을 만들고 웹 ACL을 계정의 리소스와 연결합니다. **Manage unassociated web ACLs**를 사용하도록 설정한 경우 **비준수 리소스 자동 수정** 옵션은 웹 ACL에 연결할 수 있는 리소스가 있는 계정에서만 웹 ACL을 만들고 연결합니다.
**비준수 리소스 자동 문제 해결**을 선택하면 다른 활성 Firewall Manager 정책에 의해 관리되지 않는 웹 ACL에 대해 범위 내 리소스에서 기존 웹 ACL 연결을 제거하도록 선택할 수도 있습니다. 이 옵션을 선택하면 Firewall Manager는 먼저 정책의 웹 ACL을 해당 리소스와 연결한 다음 이전 연결을 제거합니다. 리소스에 다른 활성 Firewall Manager 정책으로 관리되는 다른 웹 ACL과 연결되어 있는 경우 이 옵션은 해당 연결에 영향을 주지 않습니다.
1. **다음**을 선택합니다.
1. **이 정책이 적용되는AWS 계정 **의 경우 다음과 같이 옵션을 선택합니다.
+ 조직의 모든 계정에 정책을 적용하려면 기본 선택인 ** AWS 내 조직의 모든 계정 포함**을 그대로 둡니다.
+ 정책을 특정 계정 또는 특정 AWS Organizations 조직 단위(OUs)에 있는 계정에만 적용하려면 **지정된 계정 및 조직 단위만 포함을** 선택한 다음 포함하려는 계정 및 OUs를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
+ 특정 계정 집합 또는 AWS Organizations 조직 단위(OU)를 제외한 모든 항목에 정책을 적용하려는 경우, **지정된 계정과 조직 단위를 제외한 기타 모든 항목 포함**을 선택한 다음 제외할 계정과 OU를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
옵션 중 하나만 선택할 수 있습니다.
정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예컨대, 귀하가 특정 계정만 포함하는 경우, Firewall Manager는 해당 정책을 새 계정에 적용하지 않습니다. 또 다른 예로 OU를 포함하는 경우, OU나 하위 OU에 계정을 추가하면 Firewall Manager는 새 계정에 정책을 자동으로 적용합니다.
1. **리소스 유형**에서 보호하려는 리소스 유형을 선택합니다.
1. **리소스**의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 정책 범위를 정의하는 태그에 대한 자세한 내용은 [AWS Firewall Manager 정책 범위 사용](policy-scope.md) 섹션을 참조하세요.
리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그 값을 생략하는 경우 Firewall Manager는 태그에 빈 문자열 값인 ""을 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.
1. **다음**을 선택합니다.
1. **정책 태그**에서 Firewall Manager 정책 리소스에 대해 추가하려는 식별 태그를 추가합니다. 태그에 대한 자세한 내용은 [Tag Editor 작업](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)을 참조하세요.
1. **다음**을 선택합니다.
1. 새 정책 설정을 검토하고 조정이 필요한 페이지로 돌아갑니다.
정책이 마음에 들면 **정책 생성**를 선택합니다. **AWS Firewall Manager 정책** 창에 귀하의 정책이 등재되어야 합니다. 이 정책은 계정 머리글 아래에 **보류 중**이 표시되고 **자동 문제 해결** 설정의 상태가 표시됩니다. 정책을 만들려면 몇 분 정도 걸릴 수 있습니다. **보류 중** 상태가 계정 수로 바뀐 후에는 정책 이름을 선택하여 계정과 리소스의 규정 준수 상태를 탐색할 수 있습니다. 자세한 내용은 [AWS Firewall Manager 정책에 대한 규정 준수 정보 보기](fms-compliance.md) 섹션을 참조하세요.
## AWS WAF Classic에 대한 AWS Firewall Manager 정책 생성
**AWS WAF Classic에 대한 Firewall Manager 정책을 생성하려면(콘솔)**
1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
**참고**
Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
1. 탐색 창에서 **보안 정책**을 선택합니다.
1. **정책 생성**을 선택합니다.
1. **정책 타입**에서 **AWS WAF Classic**을 선택합니다.
1. 정책에 추가할 AWS WAF Classic 규칙 그룹을 이미 생성한 경우 ** AWS Firewall Manager 정책 생성을 선택하고 기존 규칙 그룹을 추가합니다**. 새 규칙 그룹을 생성하려면 **Firewall Manager 정책 생성 및 새 규칙 그룹 추가**를 선택합니다.
1. **리전**에서를 선택합니다 AWS 리전. Amazon CloudFront 리소스를 보호하려면 **글로벌**을 선택합니다.
여러 지역에 있는 리소스(CloudFront 리소스 제외)를 보호하려면 각 지역에 대해 별도의 Firewall Manager 정책을 생성해야 합니다.
1. **다음**을 선택합니다.
1. 규칙 그룹을 만들려면 [AWS WAF Classic 규칙 그룹 생성](classic-create-rule-group.md)의 지침을 따릅니다. 규칙 그룹을 생성한 후 다음 단계를 계속 진행합니다.
1. 정책 이름을 입력합니다.
1. 기존 규칙 그룹을 추가하는 경우 드롭다운 메뉴를 사용하여 추가할 규칙 그룹을 선택한 다음 **Add rule group(규칙 그룹 추가)**을 선택합니다.
1. 정책에는 **Action set by rule group**(규칙 그룹에 설정된 작업) 및 **Count**(계산)라는 두 가지 가능한 작업이 있습니다. 정책과 규칙 그룹을 테스트하려면 작업을 **Count**(계산)로 설정합니다. 이 작업은 규칙 그룹 내 규칙으로 지정한 모든 *차단* 작업을 재정의합니다. 즉, 정책의 작업이 **Count**(계산)로 설정되면 요청이 계산되기만 하고 차단되지는 않습니다. 반대로 정책의 작업을 **Action set by rule group(규칙 그룹에 설정된 작업)**으로 설정하면 규칙 그룹 규칙의 작업이 사용됩니다. 적절한 작업을 선택합니다.
1. **다음**을 선택합니다.
1. **이 정책이 적용되는AWS 계정 **의 경우 다음과 같이 옵션을 선택합니다.
+ 조직의 모든 계정에 정책을 적용하려면 기본 선택인 **내 AWS 조직의 모든 계정 포함**을 그대로 둡니다.
+ 정책을 특정 계정 또는 특정 AWS Organizations 조직 단위(OUs)에 있는 계정에만 적용하려면 **지정된 계정 및 조직 단위만 포함을** 선택한 다음 포함하려는 계정 및 OUs를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
+ 특정 계정 또는 AWS Organizations 조직 단위(OUs)를 제외한 모든 계정에 정책을 적용하려면 **지정된 계정 및 조직 단위 제외를 선택하고 다른 모든** 계정 및 OU를 추가한 다음 제외하려는 계정 및 OUs를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
옵션 중 하나만 선택할 수 있습니다.
정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예컨대, 귀하가 특정 계정만 포함하는 경우, Firewall Manager는 해당 정책을 새 계정에 적용하지 않습니다. 또 다른 예로 OU를 포함하는 경우, OU나 하위 OU에 계정을 추가하면 Firewall Manager는 새 계정에 정책을 자동으로 적용합니다.
1. 보호할 리소스 유형을 선택합니다.
1. **리소스**의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 정책 범위를 정의하는 태그에 대한 자세한 내용은 [AWS Firewall Manager 정책 범위 사용](policy-scope.md) 섹션을 참조하세요.
리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그 값을 생략하는 경우 Firewall Manager는 태그에 빈 문자열 값인 ""을 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.
1. 기존 리소스에 정책을 자동으로 적용하려면 **Create and apply this policy to existing and new resources**(이 정책을 생성하고 기존 리소스와 새 리소스에 적용)를 선택합니다.
이 옵션은 AWS 조직 내에 있는 각 적용 가능 계정에서 웹 ACL을 만들고 이 웹 ACL을 계정의 리소스와 연결합니다. 앞에서 설명한 기준(리소스 타입 및 태그)에 맞는 모든 새 리소스에 정책을 적용합니다. 그 대신 **이 정책을 생성하지만 기존 리소스나 새로운 리소스에 적용 안 함**을 선택하면 Firewall Manager에서는 조직 내의 각 적용 가능 계정에 웹 ACL이 생성되지만 리소스에 웹 ACL이 적용되지 않습니다. 나중에 정책을 리소스에 적용해야 합니다. 적절한 옵션을 선택합니다.
1. **Replace existing associated web ACLs(기존 웹 ACL 연결 바꾸기)**를 사용하면 현재 범위 내 리소스에 대해 정의된 모든 웹 ACL 연결을 제거한 다음 이 정책으로 생성 중인 웹 ACL과의 연결로 바꿀 수 있습니다. 기본적으로 Firewall Manager는 새 웹 ACL 연결을 추가하기 전에 기존 웹 ACL 연결을 제거하지 않습니다. 기존 연결을 제거하려면 이 옵션을 선택합니다.
1. **다음**을 선택합니다.
1. 새 정책을 검토합니다. 변경하려면 **Edit**(편집)를 선택합니다. 정책이 마음에 들면 **Create and apply policy**(정책 생성 및 적용)를 선택합니다.
## 에 대한 AWS Firewall Manager 정책 생성 AWS Shield Advanced
**Shield Advanced용 Firewall Manager 정책을 생성하려면(콘솔)**
1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
**참고**
Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
1. 탐색 창에서 **보안 정책**을 선택합니다.
1. **정책 생성**을 선택합니다.
1. **정책 유형**에서 **Shield Advanced**를 선택합니다.
Shield Advanced 정책을 생성하려면 Shield Advanced를 구독해야 합니다. 가입되지 않은 경우 가입하라는 메시지가 나타납니다. 구독 비용에 관한 자세한 내용은 [AWS Shield Advanced 가격](https://aws.amazon.com/shield/pricing/)을 참조하세요.
1. **리전**에서을 선택합니다 AWS 리전. Amazon CloudFront 배포를 보호하려면 **글로벌**을 선택합니다.
**글로벌**을 제외한 리전 선택의 경우 여러 리전에서 리소스를 보호하려면 각 리전에 대해 별도의 Firewall Manager 정책을 생성해야 합니다.
1. **다음**을 선택합니다.
1. **이름**에 설명하는 이름을 입력합니다.
1. **글로벌** 리전 정책에 한해 Shield Advanced의 자동 애플리케이션 계층 DDoS 완화 관리 여부를 선택할 수 있습니다. 이 Shield Advanced 기능에 대한 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md)을 참조하세요.
자동 완화를 사용하거나 사용 중지하도록 선택하거나 무시하도록 선택할 수 있습니다. 이를 무시하도록 선택하면 Firewall Manager는 Shield Advanced 보호에 대한 자동 완화 기능을 전혀 관리하지 않습니다. 이러한 정책 옵션에 대한 자세한 내용은 [Firewall Manager Shield Advanced 정책과 함께 자동 애플리케이션 계층 DDoS 완화 사용](shield-policies-auto-app-layer-mitigation.md)을 참조하세요.
1. **웹 ACL 관리**에서 Firewall Manager가 연결되지 않은 웹 ACL을 관리하도록 하려면 **연결되지 않은 웹 ACL 관리**를 활성화하십시오. 이 옵션을 사용하면 Firewall Manager는 하나 이상의 리소스에서 웹 ACL을 사용할 경우에만 정책 범위 내 계정에 웹 ACL을 생성합니다. 계정이 정책 범위에 포함되는 경우, 하나 이상의 리소스가 웹 ACL을 사용할 경우 Firewall Manager는 계정에 웹 ACL을 자동으로 생성합니다. 이 옵션을 활성화하면 Firewall Manager는 계정에서 연결되지 않은 웹 ACL을 한 번 정리합니다. 정리 프로세스에는 몇 시간이 걸릴 수 있습니다. Firewall Manager가 웹 ACL을 생성한 후 리소스가 정책 범위를 벗어나는 경우 Firewall Manager는 웹 ACL에서 리소스를 연결을 해제하지 않습니다. 일회성 정리에 웹 ACL을 포함하려면 먼저 웹 ACL에서 리소스를 수동으로 분리한 다음 **연결되지 않은 웹 ACL 관리**를 활성화해야 합니다.
1. **정책 작업**에서 미준수 리소스의 문제를 자동으로 해결하지 않는 옵션을 사용하여 정책을 생성하는 것이 좋습니다. 자동 수정을 비활성화하면 새 정책을 적용하기 전에 그 효과를 평가할 수 있습니다. 변경 내용이 원하는 대로 만족스러우면 정책을 편집하고 정책 작업을 변경하여 자동 문제 해결을 활성화합니다.
그 대신 기존 범위 내 리소스에 정책을 자동으로 적용하려는 경우 **비준수 리소스 자동 문제 해결**을 선택합니다. 이 옵션은 AWS 조직 내 각 해당 계정과 계정의 각 해당 리소스에 대해 Shield Advanced 보호를 적용합니다.
**글로벌** 리전 정책에서만 **규정 미준수 리소스 자동 해결을** 선택하는 경우 Firewall Manager가 기존 AWS WAF Classic 웹 ACL 연결을 최신 버전 AWS WAF (v2)을 사용하여 생성된 웹 ACLs에 대한 새 연결로 자동으로 교체하도록 선택할 수도 있습니다. 이 옵션을 선택하면 Firewall Manager는 정책에 대한 웹 ACL이 아직 없는 범위 내 계정에 빈 웹 ACL을 새로 만든 후 이전 버전의 웹 ACL과의 연결을 제거하고 최신 버전 웹 ACL과의 연결을 새로 생성합니다. 이 옵션에 대한 자세한 내용은 [AWS WAF Classic 웹 ACLs 최신 버전의 웹 ACLs로 대체](shield-policies-auto-app-layer-mitigation.md#shield-policies-auto-app-layer-update-waf-version)을 참조하세요.
1. **다음**을 선택합니다.
1. **이 정책이 적용되는AWS 계정 **의 경우 다음과 같이 옵션을 선택합니다.
+ 조직의 모든 계정에 정책을 적용하려면 기본 선택인 **내 AWS 조직의 모든 계정 포함**을 그대로 유지합니다.
+ 정책을 특정 계정 또는 특정 AWS Organizations 조직 단위(OUs)에 있는 계정에만 적용하려면 **지정된 계정 및 조직 단위만 포함을** 선택한 다음 포함하려는 계정 및 OUs를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
+ 특정 계정 또는 AWS Organizations 조직 단위(OUs) 세트를 제외한 모든 계정에 정책을 적용하려면 **지정된 계정 및 조직 단위 제외를 선택하고 다른 모든 계정 및 OU를 추가**한 다음 제외하려는 계정 및 OUs를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
옵션 중 하나만 선택할 수 있습니다.
정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예컨대, 귀하가 특정 계정만 포함하는 경우, Firewall Manager는 해당 정책을 새 계정에 적용하지 않습니다. 또 다른 예로 OU를 포함하는 경우, OU나 하위 OU에 계정을 추가하면 Firewall Manager는 새 계정에 정책을 자동으로 적용합니다.
1. 보호할 리소스 유형을 선택합니다.
Firewall Manager는 Amazon Route 53 또는 AWS Global Accelerator을 지원하지 않습니다. Shield Advanced를 사용하여 이러한 서비스로부터 리소스를 보호해야 하는 경우 Firewall Manager 정책을 사용할 수 없습니다. 대신 [AWS 리소스에 AWS Shield Advanced 보호 추가](configure-new-protection.md)의 Shield Advanced 지침을 따르십시오.
1. **리소스**의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 정책 범위를 정의하는 태그에 대한 자세한 내용은 [AWS Firewall Manager 정책 범위 사용](policy-scope.md) 섹션을 참조하세요.
리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그 값을 생략하는 경우 Firewall Manager는 태그에 빈 문자열 값인 ""을 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.
1. **다음**을 선택합니다.
1. **정책 태그**에서 Firewall Manager 정책 리소스에 대해 추가하려는 식별 태그를 추가합니다. 태그에 대한 자세한 내용은 [Tag Editor 작업](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)을 참조하세요.
1. **다음**을 선택합니다.
1. 새 정책 설정을 검토하고 조정이 필요한 페이지로 돌아갑니다.
정책이 마음에 들면 **정책 생성**를 선택합니다. **AWS Firewall Manager 정책** 창에 귀하의 정책이 등재되어야 합니다. 이 정책은 계정 머리글 아래에 **보류 중**이 표시되고 **자동 문제 해결** 설정의 상태가 표시됩니다. 정책을 만들려면 몇 분 정도 걸릴 수 있습니다. **보류 중** 상태가 계정 수로 바뀐 후에는 정책 이름을 선택하여 계정과 리소스의 규정 준수 상태를 탐색할 수 있습니다. 자세한 내용은 [AWS Firewall Manager 정책에 대한 규정 준수 정보 보기](fms-compliance.md) 섹션을 참조하세요.
## AWS Firewall Manager 공통 보안 그룹 정책 생성
공통 보안 그룹 정책의 작동 방식에 대한 자세한 내용은 [Firewall Manager로 공통 보안 그룹 정책 사용](security-group-policies-common.md)을 참조하세요.
공통 보안 그룹 정책을 생성하려면 정책에 기본으로 사용할 보안 그룹을 Firewall Manager 관리자 계정에서 이미 생성한 상태여야 합니다. Amazon Virtual Private Cloud(Amazon VPC) 또는 Amazon Elastic Compute Cloud(Amazon EC2)를 통해 보안 그룹을 관리할 수 있습니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [보안 그룹 작업](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)을 참조하세요.
**공통 보안 그룹 정책을 생성하려면(콘솔)**
1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
**참고**
Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
1. 탐색 창에서 **보안 정책**을 선택합니다.
1. **정책 생성**을 선택합니다.
1. **정책 유형**에서 **보안 그룹**을 선택합니다.
1. **보안 그룹 정책 유형**에서 **공통 보안 그룹**을 선택합니다.
1. **리전**에서를 선택합니다 AWS 리전.
1. **다음**을 선택합니다.
1. **정책 이름**에 기억하기 쉬운 이름을 입력합니다.
1. **정책 규칙**에서 다음을 수행합니다.
1. 규칙 옵션에서 보안 그룹 규칙과 정책 범위 내에 있는 리소스에 적용할 제한을 선택합니다. **기본 보안 그룹의 태그를 이 정책으로 생성된 보안 그룹에 배포**하도록 선택한 경우 **이 정책에 따라 생성된 보안 그룹이 규정을 준수하지 않을 경우 식별 및 보고**도 선택해야 합니다.
**중요**
Firewall Manager는 AWS 서비스에 의해 추가된 시스템 태그를 복제본 보안 그룹에 배포하지 않습니다. 시스템 태그는 `aws:` 접두사로 시작합니다. 정책에 조직의 태그 정책과 충돌하는 태그가 있는 경우 Firewall Manager는 기존 보안 그룹의 태그를 업데이트하거나 새 보안 그룹을 만들지 않습니다. 태그 정책에 대한 자세한 내용은 AWS Organizations 사용 설명서의 [태그 정책을](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) 참조하세요.
**기본 보안 그룹의 보안 그룹 참조를 이 정책에 따라 생성된 보안 그룹에 배포**를 선택하면 Firewall Manager는 Amazon VPC에서 활성 피어링 연결이 있는 보안 그룹 참조만 배포합니다. 이 옵션에 대한 자세한 내용은 [Firewall Manager로 공통 보안 그룹 정책 사용](security-group-policies-common.md) 섹션을 참조하세요.
1. **프라이머리 보안 그룹**에서 **보안 그룹 추가**를 선택하고 사용하려는 보안 그룹을 선택합니다. Firewall Manager는 Firewall Manager 관리자 계정에 있는 모든 Amazon VPC 인스턴스의 보안 그룹 목록을 채웁니다.
기본적으로 정책당 프라이머리 보안 그룹에 대한 최대 수는 3입니다. 이 설정에 대한 자세한 내용은 [AWS Firewall Manager 할당량](fms-limits.md) 섹션을 참조하세요.
1. **정책 작업**에서 자동으로 문제를 해결하지 않는 옵션을 사용하여 정책을 생성하는 것이 좋습니다. 이렇게 하면 정책을 적용하기 전에 새 정책의 효과를 평가할 수 있습니다. 변경 내용이 원하는 대로 만족스러우면 정책을 편집하고 정책 작업을 변경하여 규정 미준수 리소스의 자동 문제 해결을 활성화합니다.
1. **다음**을 선택합니다.
1. **이 정책이 적용되는AWS 계정 **의 경우 다음과 같이 옵션을 선택합니다.
+ 조직의 모든 계정에 정책을 적용하려면 기본 선택인 **내 AWS 조직의 모든 계정 포함**을 그대로 둡니다.
+ 정책을 특정 계정 또는 특정 AWS Organizations 조직 단위(OUs)에 있는 계정에만 적용하려면 **지정된 계정 및 조직 단위만 포함을** 선택한 다음 포함하려는 계정 및 OUs를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
+ 특정 계정 또는 AWS Organizations 조직 단위(OUs)를 제외한 모든 계정에 정책을 적용하려면 **지정된 계정 및 조직 단위 제외를 선택하고 다른 모든** 계정 및 OU를 추가한 다음 제외하려는 계정 및 OUs를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
옵션 중 하나만 선택할 수 있습니다.
정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예컨대, 귀하가 특정 계정만 포함하는 경우, Firewall Manager는 해당 정책을 새 계정에 적용하지 않습니다. 또 다른 예로 OU를 포함하는 경우, OU나 하위 OU에 계정을 추가하면 Firewall Manager는 새 계정에 정책을 자동으로 적용합니다.
1. **리소스 유형**에서 보호하려는 리소스 유형을 선택합니다.
리소스 유형 **EC2 인스턴스**의 경우 모든 Amazon EC2 인스턴스를 수정하거나 기본값인 기본 탄력적 네트워크 인터페이스(ENI)만 있는 인스턴스만 수정하도록 선택할 수 있습니다. 후자 옵션의 경우 Firewall Manager는 추가 ENI 첨부 파일이 있는 인스턴스를 수정하지 않습니다. 대신 자동 수정이 활성화되면 Firewall Manager는 이러한 EC2 인스턴스의 규정 준수 상태만 표시하고 수정 작업은 적용하지 않습니다. [보안 그룹 정책 주의 사항 및 제한 사항](security-group-policies.md#security-groups-limitations)에서 Amazon EC2 리소스 유형에 대한 추가 주의 사항 및 제한 사항을 참조하세요.
1. **리소스**의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 정책 범위를 정의하는 태그에 대한 자세한 내용은 [AWS Firewall Manager 정책 범위 사용](policy-scope.md) 섹션을 참조하세요.
리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그 값을 생략하는 경우 Firewall Manager는 태그에 빈 문자열 값인 ""을 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.
1. **공유 VPC 리소스**의 경우 계정이 소유한 VPC 외에도 공유 VPC의 리소스에 정책을 적용하는 경우 **공유 VPC의 리소스 포함**을 선택합니다.
1. **다음**을 선택합니다.
1. 정책 설정을 검토하여 원하는 대로 설정되었는지 확인한 다음 **정책 생성**을 선택합니다.
Firewall Manager는 범위 내 계정에 포함된 모든 Amazon VPC 인스턴스에서 계정당 지원되는 Amazon VPC 최대 할당량까지 기본 보안 그룹의 복제본을 생성합니다. Firewall Manager는 각 범위 내 계정의 정책 범위 내에 있는 리소스에 복제본 보안 그룹을 연결합니다. 이 정책의 작동 방식에 대한 자세한 내용은 [Firewall Manager로 공통 보안 그룹 정책 사용](security-group-policies-common.md)을 참조하세요.
## AWS Firewall Manager 콘텐츠 감사 보안 그룹 정책 생성
콘텐츠 감사 보안 그룹 정책의 작동 방식에 대한 자세한 내용은 [Firewall Manager로 콘텐츠 감사 보안 그룹 정책 사용](security-group-policies-audit.md)을 참조하세요.
일부 콘텐츠 감사 정책 설정의 경우 Firewall Manager가 템플릿으로 사용할 감사 보안 그룹을 제공해야 합니다. 예를 들어 어떤 보안 그룹에서도 허용하지 않는 모든 규칙을 포함하는 감사 보안 그룹이 있을 수 있습니다. 정책에서 사용할 수 있으려면 먼저 Firewall Manager 관리자 계정을 사용하여 이러한 감사 보안 그룹을 만들어야 합니다. Amazon Virtual Private Cloud(Amazon VPC) 또는 Amazon Elastic Compute Cloud(Amazon EC2)를 통해 보안 그룹을 관리할 수 있습니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [보안 그룹 작업](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)을 참조하세요.
**콘텐츠 감사 보안 그룹 정책을 생성하려면(콘솔)**
1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
**참고**
Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
1. 탐색 창에서 **보안 정책**을 선택합니다.
1. **정책 생성**을 선택합니다.
1. **정책 유형**에서 **보안 그룹**을 선택합니다.
1. **보안 그룹 정책 유형**에서 **보안 그룹 규칙의 감사 및 적용**을 선택합니다.
1. **리전**에서를 선택합니다 AWS 리전.
1. **다음**을 선택합니다.
1. **정책 이름**에 기억하기 쉬운 이름을 입력합니다.
1. **정책 규칙**의 경우 사용하려는 관리형 또는 사용자 지정 정책 규칙 옵션을 선택합니다.
1. **관리형 감사 정책 규칙 구성**에 대해 다음을 수행합니다.
1. **감사할 보안 그룹 규칙 구성**의 경우 감사 정책을 적용할 보안 그룹 규칙 유형을 선택합니다.
1. 보안 그룹의 프로토콜, 포트 및 CIDR 범위 설정을 기반으로 하는 감사 규칙 등의 작업을 수행하려면 **지나치게 허용적인 보안 그룹 규칙 감사**를 선택하고 원하는 옵션을 선택하십시오.
**모든 트래픽 규칙 허용**을 선택하면 감사하려는 애플리케이션을 지정하는 사용자 지정 애플리케이션 목록을 제공할 수 있습니다. 사용자 정의 애플리케이션 목록 및 정책에서 이를 사용하는 방법에 대한 자세한 내용은 [관리형 목록 사용](working-with-managed-lists.md) 및 [관리형 목록 사용](working-with-managed-lists.md#using-managed-lists)을 참조하세요.
프로토콜 목록을 사용하는 선택 항목의 경우 기존 목록을 사용하고 새 목록을 만들 수 있습니다. 프로토콜 목록 및 정책에서 이를 사용하는 방법에 대한 자세한 내용은 [관리형 목록 사용](working-with-managed-lists.md) 및 [관리형 목록 사용](working-with-managed-lists.md#using-managed-lists)을 참조하세요.
1. 예약된 CIDR 범위나 예약되지 않은 CIDR 범위에 대한 액세스를 기반으로 고위험 애플리케이션을 감사하려면 **고위험 애플리케이션 감사**를 선택하고 원하는 옵션을 선택합니다.
**예약된 CIDR 범위에만 액세스할 수 있는 애플리케이션**과 **예약되지 않은 CIDR 범위에 액세스할 수 있는 애플리케이션**은 상호 배타적입니다. 모든 정책에서 최대 한 개만 선택할 수 있습니다.
애플리케이션 목록을 사용하는 선택 항목의 경우 기존 목록을 사용하고 새 목록을 만들 수 있습니다. 애플리케이션 목록 및 정책에서 이를 사용하는 방법에 대한 자세한 내용은 [관리형 목록 사용](working-with-managed-lists.md) 및 [관리형 목록 사용](working-with-managed-lists.md#using-managed-lists)을 참조하세요.
1. **재정의** 설정을 사용하면 정책의 다른 설정을 명시적으로 재정의할 수 있습니다. 정책에 설정한 다른 옵션을 준수하는지 여부에 관계없이 특정 보안 그룹 규칙을 항상 허용하거나 항상 거부하도록 선택할 수 있습니다.
이 옵션의 경우 감사 보안 그룹을 허용 규칙 또는 거부 규칙 템플릿으로 제공합니다. **감사 보안 그룹**에서 **감사 보안 그룹 추가**를 선택하고 사용하려는 보안 그룹을 선택합니다. Firewall Manager는 Firewall Manager 관리자 계정에 있는 모든 Amazon VPC 인스턴스의 감사 보안 그룹 목록을 채웁니다. 정책의 감사 보안 그룹 수에 대한 기본 최대 할당량은 1입니다. 할당량 증가에 대한 자세한 내용은 [AWS Firewall Manager 할당량](fms-limits.md)을 참조하세요.
1. **사용자 지정 정책 규칙 설정**에서 다음을 수행합니다.
1. 규칙 옵션에서 감사 보안 그룹에 정의된 규칙만 허용할지 또는 모든 규칙을 거부할지를 선택합니다. 이 옵션에 대한 자세한 내용은 [Firewall Manager로 콘텐츠 감사 보안 그룹 정책 사용](security-group-policies-audit.md)을 참조하세요.
1. **감사 보안 그룹**에서 **감사 보안 그룹 추가**를 선택하고 사용하려는 보안 그룹을 선택합니다. Firewall Manager는 Firewall Manager 관리자 계정에 있는 모든 Amazon VPC 인스턴스의 감사 보안 그룹 목록을 채웁니다. 정책의 감사 보안 그룹 수에 대한 기본 최대 할당량은 1입니다. 할당량 증가에 대한 자세한 내용은 [AWS Firewall Manager 할당량](fms-limits.md)을 참조하세요.
1. **정책 작업**에서 자동으로 문제를 해결하지 않는 옵션을 사용하여 정책을 생성해야 합니다. 이렇게 하면 정책을 적용하기 전에 새 정책의 효과를 평가할 수 있습니다. 변경 내용이 원하는 대로 만족스러우면 정책을 편집하고 정책 작업을 변경하여 규정 미준수 리소스의 자동 문제 해결을 활성화합니다.
1. **다음**을 선택합니다.
1. **이 정책이 적용되는AWS 계정 **의 경우 다음과 같이 옵션을 선택합니다.
+ 조직의 모든 계정에 정책을 적용하려면 기본 선택인 **내 AWS 조직의 모든 계정 포함**을 그대로 둡니다.
+ 정책을 특정 계정 또는 특정 AWS Organizations 조직 단위(OUs)에 있는 계정에만 적용하려면 **지정된 계정 및 조직 단위만 포함을** 선택한 다음 포함하려는 계정 및 OUs를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
+ 특정 계정 또는 AWS Organizations 조직 단위(OUs)를 제외한 모든 계정에 정책을 적용하려면 **지정된 계정 및 조직 단위 제외를 선택하고 다른 모든** 계정 및 OU를 추가한 다음 제외하려는 계정 및 OUs를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
옵션 중 하나만 선택할 수 있습니다.
정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예컨대, 귀하가 특정 계정만 포함하는 경우, Firewall Manager는 해당 정책을 새 계정에 적용하지 않습니다. 또 다른 예로 OU를 포함하는 경우, OU나 하위 OU에 계정을 추가하면 Firewall Manager는 새 계정에 정책을 자동으로 적용합니다.
1. **리소스 유형**에서 보호하려는 리소스 유형을 선택합니다.
1. **리소스**의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 정책 범위를 정의하는 태그에 대한 자세한 내용은 [AWS Firewall Manager 정책 범위 사용](policy-scope.md) 섹션을 참조하세요.
리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그 값을 생략하는 경우 Firewall Manager는 태그에 빈 문자열 값인 ""을 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.
1. **다음**을 선택합니다.
1. 정책 설정을 검토하여 원하는 대로 설정되었는지 확인한 다음 **정책 생성**을 선택합니다.
Firewall Manager에서는 정책 규칙 설정에 따라 감사 보안 그룹을 AWS 조직의 범위 내 보안 그룹과 비교합니다. 정책 콘솔에서 AWS Firewall Manager 정책 상태를 검토할 수 있습니다. 정책이 생성된 후 정책을 편집하고 자동 문제 해결을 활성화하여 감사 보안 그룹 정책을 시행할 수 있습니다. 이 정책의 작동 방식에 대한 자세한 내용은 [Firewall Manager로 콘텐츠 감사 보안 그룹 정책 사용](security-group-policies-audit.md)을 참조하세요.
## AWS Firewall Manager 사용 감사 보안 그룹 정책 생성
사용 감사 보안 그룹 정책의 작동 방식에 대한 자세한 내용은 [Firewall Manager에서 사용량 감사 보안 그룹 정책 사용](security-group-policies-usage.md)을 참조하세요.
**감사 감사 보안 그룹 정책을 생성하려면(콘솔)**
1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
**참고**
Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
1. 탐색 창에서 **보안 정책**을 선택합니다.
1. **정책 생성**을 선택합니다.
1. **정책 유형**에서 **보안 그룹**을 선택합니다.
1. **보안 그룹 정책 유형**에서 **연결되지 않은 보안 그룹 및 중복 보안 그룹의 감사 및 적용**을 선택합니다.
1. **리전**에서를 선택합니다 AWS 리전.
1. **다음**을 선택합니다.
1. **정책 이름**에 기억하기 쉬운 이름을 입력합니다.
1. **정책 규칙**에서 사용 가능한 옵션 중 하나 또는 둘 다를 선택합니다.
+ **이 정책 범위 내의 보안 그룹은 최소한 하나 이상의 리소스에서 사용되어야 합니다**를 선택하면 Firewall Manager가 사용되지 않는 것으로 판단한 보안 그룹을 모두 제거합니다. 이 규칙이 활성화되면 Firewall Manager는 정책을 저장할 때 이 규칙을 마지막으로 실행합니다.
Firewall Manager가 사용량과 문제 해결 시기를 결정하는 방법에 대한 자세한 내용은 [Firewall Manager에서 사용량 감사 보안 그룹 정책 사용](security-group-policies-usage.md) 섹션을 참조하세요.
**참고**
이 사용량 감사 보안 그룹 정책 유형을 사용하는 경우 짧은 시간 내에 범위 내 보안 그룹의 연결 상태를 여러 번 변경하지 마세요. 그렇게 하면 Firewall Manager가 해당 이벤트를 놓칠 수 있습니다.
기본적으로 Firewall Manager는 보안 그룹이 사용되지 않는 즉시 이 정책 규칙을 미준수로 간주합니다. 필요에 따라 보안 그룹이 미준수로 간주되기 전에 사용되지 않은 상태로 존재할 수 있는 시간(분)을 최대 525,600분(365일)까지 지정할 수 있습니다. 이 설정을 사용하면 새 보안 그룹을 리소스와 연결할 시간을 확보할 수 있습니다.
**중요**
기본값인 0 이외의 시간(분)을 지정하는 경우 AWS Config에서 간접 관계를 활성화해야 합니다. 그렇지 않으면 사용량 감사 보안 그룹 정책이 의도한 대로 작동하지 않습니다. 의 간접 관계에 대한 자세한 내용은 *AWS Config 개발자 안내서*의의 간접 관계를 AWS Config참조하세요. [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/faq.html#faq-2)
+ **이 정책 범위 내의 보안 그룹은 고유해야 합니다**를 선택하면 Firewall Manager는 정책 하나만 모든 리소스와 연결되도록 중복 보안 그룹을 통합합니다. 이 항목을 선택하면 Firewall Manager는 정책을 저장할 때 이 규칙을 첫 번째로 실행합니다.
1. **정책 작업**에서 자동으로 문제를 해결하지 않는 옵션을 사용하여 정책을 생성하는 것이 좋습니다. 이렇게 하면 정책을 적용하기 전에 새 정책의 효과를 평가할 수 있습니다. 변경 내용이 원하는 대로 만족스러우면 정책을 편집하고 정책 작업을 변경하여 규정 미준수 리소스의 자동 문제 해결을 활성화합니다.
1. **다음**을 선택합니다.
1. **이 정책이 적용되는AWS 계정 **의 경우 다음과 같이 옵션을 선택합니다.
+ 조직의 모든 계정에 정책을 적용하려면 기본 선택인 **내 AWS 조직의 모든 계정 포함**을 그대로 둡니다.
+ 정책을 특정 계정 또는 특정 AWS Organizations 조직 단위(OUs)에 있는 계정에만 적용하려면 **지정된 계정 및 조직 단위만 포함을** 선택한 다음 포함하려는 계정 및 OUs를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
+ 특정 계정 또는 AWS Organizations 조직 단위(OUs) 세트를 제외한 모든 계정에 정책을 적용하려면 **지정된 계정 및 조직 단위 제외를 선택하고 다른 모든** 계정 및 OU를 추가한 다음 제외하려는 계정 및 OUs를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
옵션 중 하나만 선택할 수 있습니다.
정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예컨대, 귀하가 특정 계정만 포함하는 경우, Firewall Manager는 해당 정책을 새 계정에 적용하지 않습니다. 또 다른 예로 OU를 포함하는 경우, OU나 하위 OU에 계정을 추가하면 Firewall Manager는 새 계정에 정책을 자동으로 적용합니다.
1. **리소스**의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 정책 범위를 정의하는 태그에 대한 자세한 내용은 [AWS Firewall Manager 정책 범위 사용](policy-scope.md) 섹션을 참조하세요.
리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그 값을 생략하는 경우 Firewall Manager는 태그에 빈 문자열 값인 ""을 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.
1. **다음**을 선택합니다.
1. 정책 범위에서 Firewall Manager 관리자 계정을 제외하지 않은 경우 Firewall Manager에서 이 작업을 수행하라는 메시지가 표시됩니다. 이렇게 하면 Firewall Manager 관리자 계정에서 어떤 보안 그룹을 공통 및 감사 보안 그룹 정책에 사용할지를 수동으로 제어할 수 있습니다. 이 대화 상자에서 원하는 옵션을 선택합니다.
1. 정책 설정을 검토하여 원하는 대로 설정되었는지 확인한 다음 **정책 생성**을 선택합니다.
보안 그룹이 고유해야 한다는 옵션을 선택한 경우 Firewall Manager에서는 각 범위 내 Amazon VPC 인스턴스에서 중복 보안 그룹을 검색합니다. 그런 다음 하나 이상의 리소스에서 각 보안 그룹을 사용하도록 선택한 경우 Firewall Manager가 규칙에 지정된 시간 동안 사용되지 않은 상태로 남아 있는 보안 그룹을 검색합니다. 정책 콘솔에서 AWS Firewall Manager 정책 상태를 검토할 수 있습니다. 이 정책의 작동 방식에 대한 자세한 내용은 [Firewall Manager에서 사용량 감사 보안 그룹 정책 사용](security-group-policies-usage.md)을 참조하세요.
## AWS Firewall Manager 네트워크 ACL 정책 생성
네트워크 ACL 정책 작동 방식에 대한 내용은 [네트워크 ACL 정책](network-acl-policies.md) 섹션을 참조하세요.
네트워크 ACL 정책을 생성하려면 Amazon VPC 서브넷과 함께 사용할 네트워크 ACL을 정의하는 방법을 알고 있어야 합니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [네트워크 ACL을 사용하여 서브넷으로의 트래픽 제어](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) 및 [네트워크 ACL 작업](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks)을 참조하세요.
**네트워크 ACL 정책을 생성하려면(콘솔)**
1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
**참고**
Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
1. 탐색 창에서 **보안 정책**을 선택합니다.
1. **정책 생성**을 선택합니다.
1. **정책 유형**에서 **네트워크 ACL**을 선택합니다.
1. **리전**에서를 선택합니다 AWS 리전.
1. **다음**을 선택합니다.
1. **정책 명칭**에 서술적 명칭을 입력하세요.
1. **정책 규칙**에서 Firewall Manager가 관리하는 네트워크 ACL에서 항상 실행할 규칙을 정의합니다. 네트워크 ACL 인바운드 및 아웃바운드 트래픽을 모니터링하고 처리하므로 정책에서 양방향에 대한 규칙을 정의합니다.
어느 방향이든 항상 먼저 실행할 규칙과 항상 마지막으로 실행할 규칙을 정의합니다. Firewall Manager가 관리하는 네트워크 ACL에서 계정 소유자는 이러한 첫 번째 규칙과 마지막 규칙 간에 실행할 사용자 지정 규칙을 정의할 수 있습니다.
1. **정책 작업**에서 규정을 준수하지 않는 서브넷 및 네트워크 ACL을 식별하지만 아직 수정 조치를 취하지 않으려면 **정책 규칙을 준수하지 않지만 자동 수정하지 않는 리소스 식별**을 선택합니다. 나중에 옵션을 변경할 수 있습니다.
그 대신 기존 범위 내 서브넷에 정책을 자동으로 적용하려는 경우 **비준수 리소스 자동 문제 해결**을 선택합니다. 이 옵션을 사용하면 정책 규칙의 트래픽 처리 동작이 네트워크 ACL에 있는 사용자 지정 규칙과 충돌할 때 강제로 문제를 해결할지 여부도 지정합니다. 강제 수정 여부에 관계없이 Firewall Manager는 규정 준수 위반 시 충돌하는 규칙을 보고합니다.
1. **다음**을 선택합니다.
1. **이 정책이 적용되는AWS 계정 **의 경우 다음과 같이 옵션을 선택합니다.
+ 조직의 모든 계정에 정책을 적용하려면 기본 선택인 **내 AWS 조직의 모든 계정 포함**을 그대로 둡니다.
+ 정책을 특정 계정 또는 특정 AWS Organizations 조직 단위(OUs)에 있는 계정에만 적용하려면 **지정된 계정 및 조직 단위만 포함을** 선택한 다음 포함하려는 계정 및 OUs를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
+ 특정 계정 또는 AWS Organizations 조직 단위(OUs) 세트를 제외한 모든 계정에 정책을 적용하려면 **지정된 계정 및 조직 단위 제외를 선택하고 다른 모든 계정 및 OU를 추가**한 다음 제외하려는 계정 및 OUs를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
옵션 중 하나만 선택할 수 있습니다.
정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예컨대, 귀하가 특정 계정만 포함하는 경우, Firewall Manager는 해당 정책을 다른 새 계정에 적용하지 않습니다. 또 다른 예로 OU를 포함하는 경우, OU나 하위 OU에 계정을 추가하면 Firewall Manager는 새 계정에 정책을 자동으로 적용합니다.
1. **리소스 유형**의 경우 설정은 **서브넷**에 고정됩니다.
1. **리소스**의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 정책 범위를 정의하는 태그에 대한 자세한 내용은 [AWS Firewall Manager 정책 범위 사용](policy-scope.md) 섹션을 참조하세요.
리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그 값을 생략하는 경우 Firewall Manager는 태그에 빈 문자열 값인 ""을 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.
1. **다음**을 선택합니다.
1. 정책 설정을 검토하여 원하는 대로 설정되었는지 확인한 다음 **정책 생성**을 선택합니다.
Firewall Manager는 정책을 생성하고 설정에 따라 범위 내 네트워크 ACL을 모니터링하고 관리하기 시작합니다. 이 정책의 작동 방식에 대한 자세한 내용은 [네트워크 ACL 정책](network-acl-policies.md)을 참조하세요.
## 에 대한 AWS Firewall Manager 정책 생성 AWS Network Firewall
Firewall Manager 네트워크 방화벽 정책에서는 AWS Network Firewall에서 관리하는 규칙 그룹을 사용합니다. 규칙 그룹 관리에 대한 자세한 내용은 *네트워크 방화벽 개발자 안내서*의 [AWS Network Firewall 규칙 그룹](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html)을 참조하세요.
Firewall Manager 네트워크 방화벽 정책에 대한 자세한 설명은 [Firewall Manager에서 AWS Network Firewall 정책 사용](network-firewall-policies.md)을 참조하세요.
**에 대한 Firewall Manager 정책을 생성하려면 AWS Network Firewall (콘솔)**
1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
**참고**
Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
1. 탐색 창에서 **보안 정책**을 선택합니다.
1. **정책 생성**을 선택합니다.
1. **정책 타입**에서 **AWS Network Firewall**를 선택합니다.
1. **방화벽 관리 유형**에서 Firewall Manager에서 정책의 방화벽을 관리하는 방법을 선택합니다. 다음 옵션 중 하나를 선택합니다.
+ **분산** - Firewall Manager는 정책 범위 내에 있는 각 VPC에서 방화벽 엔드포인트를 생성 및 유지 관리합니다.
+ **중앙 집중식** - Firewall Manager는 단일 검사 VPC에서 엔드포인트를 생성하고 유지 관리합니다.
+ **기존 방화벽 가져오기** - Firewall Manager는 리소스 세트를 사용하여 네트워크 방화벽에서 기존 방화벽을 가져옵니다. 리소스 세트에 대한 자세한 내용은 [Firewall Manager에서 리소스 그룹화](fms-resource-sets.md)을 참조하세요.
1. **리전**에서를 선택합니다 AWS 리전. 여러 리전의 리소스를 보호하려면 각 리전에 대해 별도의 정책을 생성해야 합니다.
1. **다음**을 선택합니다.
1. **정책 명칭**에 서술적 명칭을 입력하십시오. Firewall Manager는 생성하는 네트워크 방화벽 방화벽 및 방화벽 정책의 이름에 정책 이름을 포함합니다.
1. **AWS Network Firewall 정책 구성**에서 네트워크 방화벽에서와 같이 방화벽 정책을 구성합니다. 상태 비저장 및 상태 저장 규칙 그룹을 추가하고 정책의 기본 동작을 지정합니다. 선택적으로 정책의 상태 저장 규칙 평가 순서와 기본 동작, 로깅 구성을 설정할 수 있습니다. 네트워크 방화벽 방화벽 정책 관리에 대한 자세한 내용은 *AWS Network Firewall 개발자 안내서*의 [AWS Network Firewall 방화벽 정책](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html)을 참조하세요.
Firewall Manager 네트워크 방화벽 정책을 생성하면 Firewall Manager는 범위 내에 있는 계정에 대한 방화벽 정책을 생성합니다. 개별 계정 관리자는 방화벽 정책에 규칙 그룹을 추가할 수 있지만 여기에서 제공하는 구성을 변경할 수는 없습니다.
1. **다음**을 선택합니다.
1. 이전 단계에서 선택한 **방화벽 관리 유형**에 따라 다음 중 하나를 수행합니다.
+ **분산** 방화벽 관리 유형을 사용하는 경우 **방화벽 엔드포인트 위치**의 **AWS Firewall Manager 엔드포인트 구성**에서 다음 옵션 중 하나를 선택합니다.
+ **사용자 지정 엔드포인트 구성** - Firewall Manager는 정책 범위 내 지정한 가용 영역에서 각 VPC에 대한 방화벽을 생성합니다. 각 방화벽에는 하나 이상의 방화벽 엔드포인트가 포함됩니다.
+ **가용 영역**에서 방화벽 엔드포인트를 생성할 가용 영역을 선택합니다. **가용 영역 명칭** 또는 **가용 영역 ID**별로 가용 영역을 선택할 수 있습니다.
+ Firewall Manager가 VPC의 방화벽 서브넷에 사용할 CIDR 블록을 제공하려면 해당 블록은 모두 /28 CIDR 블록이어야 합니다. 줄마다 블록 하나를 입력합니다. 이를 생략하면 Firewall Manager가 VPC에서 사용할 수 있는 IP 주소 중에서 사용자를 대신하여 IP 주소를 선택합니다.
**참고**
자동 수정은 AWS Firewall Manager Network Firewall 정책에 대해 자동으로 수행되므로 여기에서 자동 수정을 선택하지 않는 옵션이 표시되지 않습니다.
+ **자동 엔드포인트 구성** - Firewall Manager는 VPC의 퍼블릭 서브넷이 있는 가용 영역에 방화벽 엔드포인트를 자동으로 생성합니다.
+ **방화벽 엔드포인트** 구성의 경우 Firewall Manager에서 방화벽 엔드포인트를 관리하는 방법을 지정합니다. 고가용성을 위해 여러 엔드포인트를 사용하는 것이 좋습니다.
+ 이 정책에 **중앙 집중식** 방화벽 관리 유형을 사용하는 경우 **검사 VPC 구성**의 **AWS Firewall Manager 엔드포인트 구성**에서 검사 VPC 소유자의 AWS 계정 ID와 검사 VPC의 VPC ID를 입력합니다.
+ **가용 영역**에서 방화벽 엔드포인트를 생성할 가용 영역을 선택합니다. **가용 영역 명칭** 또는 **가용 영역 ID**별로 가용 영역을 선택할 수 있습니다.
+ Firewall Manager가 VPC의 방화벽 서브넷에 사용할 CIDR 블록을 제공하려면 해당 블록은 모두 /28 CIDR 블록이어야 합니다. 줄마다 블록 하나를 입력합니다. 이를 생략하면 Firewall Manager가 VPC에서 사용할 수 있는 IP 주소 중에서 사용자를 대신하여 IP 주소를 선택합니다.
**참고**
자동 수정은 AWS Firewall Manager Network Firewall 정책에 대해 자동으로 수행되므로 여기에서 자동 수정을 선택하지 않는 옵션이 표시되지 않습니다.
+ **기존 방화벽 가져오기** 방화벽 관리 유형을 사용하는 경우 **리소스 세트**에 리소스 세트를 하나 이상 추가합니다. 리소스 세트는 이 정책에서 중앙에서 관리하려는 조직 계정이 소유한 기존 네트워크 방화벽 방화벽을 정의합니다. 리소스 세트를 정책에 추가하려면 먼저 콘솔 또는 [PutResourceSet](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutResourceSet.html) API를 사용하여 리소스 세트를 생성해야 합니다. 리소스 세트에 대한 자세한 내용은 [Firewall Manager에서 리소스 그룹화](fms-resource-sets.md)을 참조하세요. Network Firewall에서 기존 방화벽을 가져오는 방법에 대한 자세한 내용은 섹션을 참조하세요[Firewall Manager가 방화벽 엔드포인트를 생성하는 방법](fms-create-firewall-endpoints.md).
1. **다음**을 선택합니다.
1. 정책이 분산 방화벽 관리 유형을 사용하는 경우 **경로 관리**에서 Firewall Manager가 각 방화벽 엔드포인트를 통해 라우팅되어야 하는 트래픽을 모니터링하고 이에 대해 경고할지 여부를 선택합니다.
**참고**
**모니터링**을 선택하면 나중에 설정을 **끄기**로 변경할 수 없습니다. 모니터링은 정책을 삭제할 때까지 계속됩니다.
1. **트래픽 유형**에는 방화벽 검사를 위해 트래픽을 라우팅할 트래픽 엔드포인트를 선택적으로 추가할 수 있습니다.
1. **필수 AZ 간 트래픽 허용**의 경우 이 옵션을 활성화하면 Firewall Manager는 자체 방화벽 엔드포인트가 없는 가용 영역에 대해 검사를 위해 가용 영역 밖으로 트래픽을 보내는 규정을 준수하는 라우팅으로 간주합니다. 엔드포인트가 있는 가용 영역은 항상 자체 트래픽을 검사해야 합니다.
1. **다음**을 선택합니다.
1. **정책 범위**의 경우 **이 정책이 적용되는AWS 계정 **에서 다음과 같이 옵션을 선택합니다.
+ 조직의 모든 계정에 정책을 적용하려면 기본 선택인 **내 AWS 조직의 모든 계정 포함**을 그대로 둡니다.
+ 정책을 특정 계정 또는 특정 AWS Organizations 조직 단위(OUs)에 있는 계정에만 적용하려면 **지정된 계정 및 조직 단위만 포함을** 선택한 다음 포함하려는 계정 및 OUs를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
+ 특정 계정 또는 AWS Organizations 조직 단위(OUs) 세트를 제외한 모든 계정에 정책을 적용하려면 **지정된 계정 및 조직 단위 제외를 선택하고 다른 모든 계정 및 OU를 추가**한 다음 제외하려는 계정 및 OUs를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
옵션 중 하나만 선택할 수 있습니다.
정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예컨대, 귀하가 특정 계정만 포함하는 경우, Firewall Manager는 해당 정책을 새 계정에 적용하지 않습니다. 또 다른 예로 OU를 포함하는 경우, OU나 하위 OU에 계정을 추가하면 Firewall Manager는 새 계정에 정책을 자동으로 적용합니다.
1. Network Firewall 정책의 **리소스 타입**은 **VPC**입니다.
1. **리소스**의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 정책 범위를 정의하는 태그에 대한 자세한 내용은 [AWS Firewall Manager 정책 범위 사용](policy-scope.md) 섹션을 참조하세요.
리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그 값을 생략하는 경우 Firewall Manager는 태그에 빈 문자열 값인 ""을 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.
1. **다음**을 선택합니다.
1. **정책 태그**에서 Firewall Manager 정책 리소스에 대해 추가하려는 식별 태그를 추가합니다. 태그에 대한 자세한 내용은 [Tag Editor 작업](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)을 참조하세요.
1. **다음**을 선택합니다.
1. 새 정책 설정을 검토하고 조정이 필요한 페이지로 돌아갑니다.
정책이 마음에 들면 **정책 생성**를 선택합니다. **AWS Firewall Manager 정책** 창에 귀하의 정책이 등재되어야 합니다. 이 정책은 계정 머리글 아래에 **보류 중**이 표시되고 **자동 문제 해결** 설정의 상태가 표시됩니다. 정책을 만들려면 몇 분 정도 걸릴 수 있습니다. **보류 중** 상태가 계정 수로 바뀐 후에는 정책 이름을 선택하여 계정과 리소스의 규정 준수 상태를 탐색할 수 있습니다. 자세한 내용은 [AWS Firewall Manager 정책에 대한 규정 준수 정보 보기](fms-compliance.md) 섹션을 참조하세요.
## Amazon Route 53 Resolver DNS 방화벽에 대한 AWS Firewall Manager 정책 생성
Firewall Manager DNS 방화벽 정책에서는 Amazon Route 53 Resolver DNS 방화벽에서 관리하는 규칙 그룹을 사용합니다. 규칙 그룹 관리에 대한 자세한 내용은 *Amazon Route 53 개발자 안내서*의 [ DNS 방화벽 규칙 그룹 및 규칙 관리](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-group-managing.html)를 참조하세요.
Firewall Manager DNS 방화벽 정책에 대한 자세한 설명은 [Firewall Manager에서 Amazon Route 53 Resolver DNS 방화벽 정책 사용](dns-firewall-policies.md)을 참조하세요.
**Amazon Route 53 Resolver DNS 방화벽용 Firewall Manager 정책을 생성하려면(콘솔)**
1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
**참고**
Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
1. 탐색 창에서 **보안 정책**을 선택합니다.
1. **정책 생성**을 선택합니다.
1. **정책 유형**에서 **Amazon Route 53 Resolver DNS Firewall**을 선택합니다.
1. **리전**에서를 선택합니다 AWS 리전. 여러 리전의 리소스를 보호하려면 각 리전에 대해 별도의 정책을 생성해야 합니다.
1. **다음**을 선택합니다.
1. **정책 명칭**에 서술적 명칭을 입력하십시오.
1. 정책 구성에서 DNS Firewall이 VPC의 규칙 그룹 연결 중 첫 번째와 마지막으로 평가하도록 하려는 규칙 그룹을 추가합니다. 정책에는 최대 2개의 규칙 그룹을 추가할 수 있습니다.
Firewall Manager DNS 방화벽 정책을 생성하면 Firewall Manager는 사용자가 제공한 연결 우선 순위에 따라 범위 내에 있는 VPC와 계정에 대해 규칙 그룹 연결을 생성합니다. 개별 계정 관리자는 첫 번째 연결과 마지막 연결 사이에 규칙 그룹 연결을 추가할 수 있지만 여기서 정의한 연결을 변경할 수는 없습니다. 자세한 내용은 [Firewall Manager에서 Amazon Route 53 Resolver DNS 방화벽 정책 사용](dns-firewall-policies.md)을 참조하세요.
1. **다음**을 선택합니다.
1. **이 정책이 적용되는AWS 계정 **의 경우 다음과 같이 옵션을 선택합니다.
+ 조직의 모든 계정에 정책을 적용하려면 기본 선택인 **내 AWS 조직의 모든 계정 포함**을 그대로 둡니다.
+ 정책을 특정 계정 또는 특정 AWS Organizations 조직 단위(OUs)에 있는 계정에만 적용하려면 **지정된 계정 및 조직 단위만 포함을** 선택한 다음 포함하려는 계정 및 OUs를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
+ 특정 계정 또는 AWS Organizations 조직 단위(OUs)를 제외한 모든 계정에 정책을 적용하려면 **지정된 계정 및 조직 단위 제외를 선택하고 다른 모든 계정 및 OU를 추가**한 다음 제외하려는 계정 및 OUs를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
옵션 중 하나만 선택할 수 있습니다.
정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예컨대, 귀하가 특정 계정만 포함하는 경우, Firewall Manager는 해당 정책을 새 계정에 적용하지 않습니다. 또 다른 예로 OU를 포함하는 경우, OU나 하위 OU에 계정을 추가하면 Firewall Manager는 새 계정에 정책을 자동으로 적용합니다.
1. DNS 방화벽 정책의 **리소스 유형**은 **VPC**입니다.
1. **리소스**의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 정책 범위를 정의하는 태그에 대한 자세한 내용은 [AWS Firewall Manager 정책 범위 사용](policy-scope.md) 섹션을 참조하세요.
리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그 값을 생략하는 경우 Firewall Manager는 태그에 빈 문자열 값인 ""을 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.
1. **다음**을 선택합니다.
1. **정책 태그**에서 Firewall Manager 정책 리소스에 대해 추가하려는 식별 태그를 추가합니다. 태그에 대한 자세한 내용은 [Tag Editor 작업](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)을 참조하세요.
1. **다음**을 선택합니다.
1. 새 정책 설정을 검토하고 조정이 필요한 페이지로 돌아갑니다.
정책이 마음에 들면 **정책 생성**를 선택합니다. **AWS Firewall Manager 정책** 창에 귀하의 정책이 등재되어야 합니다. 이 정책은 계정 머리글 아래에 **보류 중**이 표시되고 **자동 문제 해결** 설정의 상태가 표시됩니다. 정책을 만들려면 몇 분 정도 걸릴 수 있습니다. **보류 중** 상태가 계정 수로 바뀐 후에는 정책 이름을 선택하여 계정과 리소스의 규정 준수 상태를 탐색할 수 있습니다. 자세한 내용은 [AWS Firewall Manager 정책에 대한 규정 준수 정보 보기](fms-compliance.md) 섹션을 참조하세요.
## Palo Alto Networks Cloud NGFW에 대한 AWS Firewall Manager 정책 생성
Palo Alto Networks Cloud Next Generation Firewall(Palo Alto Networks Cloud NGFW)에 대한 Firewall Manager 정책을 사용하면 Firewall Manager를 사용하여 Palo Alto Networks Cloud NGFW 리소스를 배포하고 모든 AWS 계정에서 NGFW 규칙 스택을 중앙에서 관리할 수 있습니다.
Firewall Manager Palo Alto Networks Cloud NGFW 정책에 대한 자세한 내용은 [Firewall Manager용 Palo Alto Networks Cloud NGFW 정책 사용](cloud-ngfw-policies.md)을 참조하세요. Firewall Manager에 대한 Palo Alto Networks Cloud NGFW를 구성하고 관리하는 방법에 대한 자세한 내용은 AWS설명서에서 *[Palo Alto Networks Palo Alto Networks Cloud NGFW](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)*를 참조하세요.
### 사전 조건
AWS Firewall Manager의 계정을 준비하려면 몇 가지 필수 단계를 거쳐야 합니다. 이 단계는 [AWS Firewall Manager 사전 조건](fms-prereq.md)에서 설명합니다. 그 다음 단계로 진행하기 전에 사전 조건을 모두 완료하십시오.
**Palo Alto Networks Cloud NGFW에 대한 Firewall Manager 정책을 생성하려면(콘솔)**
1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
**참고**
Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
1. 탐색 창에서 **보안 정책**을 선택합니다.
1. **정책 생성**을 선택합니다.
1. **정책 유형**에서 **Palo Alto Networks Cloud NGFW**를 선택합니다. AWS Marketplace에서 Palo Alto Networks Cloud NGFW 서비스를 아직 구독하지 않은 경우 먼저 구독해야 합니다. AWS Marketplace에서 구독하려면 ** AWS Marketplace 세부 정보 보기를** 선택합니다.
1. **배포 모델**의 경우, **분산 모델** 또는 **중앙 집중식 모델**을 선택합니다. 배포 모델은 Firewall Manager가 정책의 엔드포인트를 관리하는 방법을 결정합니다. 분산 모델을 사용하면 Firewall Manager는 정책 범위 내에 있는 각 VPC에서 방화벽 엔드포인트를 유지 관리합니다. 중앙 집중식 모델을 사용하면 Firewall Manager는 검열 VPC에 단일 엔드포인트를 유지합니다.
1. **리전**에서를 선택합니다 AWS 리전. 여러 리전의 리소스를 보호하려면 각 리전에 대해 별도의 정책을 생성해야 합니다.
1. **다음**을 선택합니다.
1. **정책 명칭**에 서술적 명칭을 입력하십시오.
1. 정책 구성에서 이 정책과 연결할 Palo Alto Networks Cloud NGFW 방화벽 정책을 선택합니다. Palo Alto Networks Cloud NGFW 방화벽 정책 목록에는 Palo Alto Networks Cloud NGFW 테넌트와 관련된 모든 Palo Alto Networks Cloud NGFW 방화벽 정책이 포함되어 있습니다. Palo Alto Networks Cloud NGFW 방화벽 정책 생성 및 관리에 대한 자세한 내용은 *[Palo Alto Networks Cloud NGFW 배포 가이드의 주제 AWS 와 함께 AWS Firewall Manager](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/getting-started-with-cloud-ngfw-for-aws/deploy-cloud-ngfw-for-aws-with-the-aws-firewall-manager.html)* 용 Palo Alto Networks Cloud NGFW 배포를 참조하세요. * AWS *
1. **Palo Alto Networks Cloud NGFW 로깅의 경우, 선택 사항이며**, 정책에 대해 로그할 Palo Alto Networks Cloud NGFW 로그 유형을 선택할 수 있습니다. Palo Alto Networks Cloud NGFW 로그 유형에 대한 자세한 내용은 배포 가이드[용 Palo Alto Networks Cloud NGFW의 Configure Logging for AWS](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/create-cloud-ngfw-instances-and-endpoints/configure-logging-for-the-cloud-ngfw-on-aws.html) Palo Alto Networks Cloud NGFW on 섹션을 참조하세요. * AWS *
**로그 대상**의 경우, Firewall Manager에서 로그를 기록해야 하는 시기를 지정합니다.
1. **다음**을 선택합니다.
1. 방화벽 엔드포인트를 생성할 때 분산 배포 모델을 사용하는지 아니면 중앙 집중식 배포 모델을 사용하는지에 따라 **제3자 방화벽 엔드포인트 구성**에서 다음 중 하나를 수행하십시오.
+ 이 정책에 분산 배포 모델을 사용하는 경우, **가용 영역**에서 방화벽 엔드포인트를 만들 가용 영역을 선택합니다. **가용 영역 명칭** 또는 **가용 영역 ID**별로 가용 영역을 선택할 수 있습니다.
+ 이 정책에 중앙 집중식 배포 모델을 사용하는 경우, **검사 VPC 구성**의 **AWS Firewall Manager 엔드포인트 구성**에서 검사 VPC 소유자의 AWS 계정 ID와 검사 VPC의 VPC ID를 입력합니다.
+ **가용 영역**에서 방화벽 엔드포인트를 생성할 가용 영역을 선택합니다. **가용 영역 명칭** 또는 **가용 영역 ID**별로 가용 영역을 선택할 수 있습니다.
1. Firewall Manager가 VPC의 방화벽 서브넷에 사용할 CIDR 블록을 제공하려면 해당 블록은 모두 /28 CIDR 블록이어야 합니다. 줄마다 블록 하나를 입력합니다. 이를 생략하면 Firewall Manager가 VPC에서 사용할 수 있는 IP 주소 중에서 사용자를 대신하여 IP 주소를 선택합니다.
**참고**
자동 수정은 AWS Firewall Manager Network Firewall 정책에 대해 자동으로 수행되므로 여기에서 자동 수정을 선택하지 않는 옵션이 표시되지 않습니다.
1. **다음**을 선택합니다.
1. **정책 범위**의 경우 **이 정책이 적용되는AWS 계정 **에서 다음과 같이 옵션을 선택합니다.
+ 조직의 모든 계정에 정책을 적용하려면 기본 선택인 **내 AWS 조직의 모든 계정 포함**을 그대로 둡니다.
+ 정책을 특정 계정 또는 특정 AWS Organizations 조직 단위(OUs)에 있는 계정에만 적용하려면 **지정된 계정 및 조직 단위만 포함을** 선택한 다음 포함하려는 계정 및 OUs를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
+ 특정 계정 또는 AWS Organizations 조직 단위(OUs)를 제외한 모든 계정에 정책을 적용하려면 **지정된 계정 및 조직 단위 제외를 선택하고 다른 모든** 계정 및 OU를 추가한 다음 제외하려는 계정 및 OUs를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
옵션 중 하나만 선택할 수 있습니다.
정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예컨대, 귀하가 특정 계정만 포함하는 경우, Firewall Manager는 해당 정책을 새 계정에 적용하지 않습니다. 또 다른 예로 OU를 포함하는 경우, OU나 하위 OU에 계정을 추가하면 Firewall Manager는 새 계정에 정책을 자동으로 적용합니다.
1. Network Firewall 정책의 **리소스 타입**은 **VPC**입니다.
1. **리소스**의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 정책 범위를 정의하는 태그에 대한 자세한 내용은 [AWS Firewall Manager 정책 범위 사용](policy-scope.md) 섹션을 참조하세요.
리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그 값을 생략하는 경우 Firewall Manager는 태그에 빈 문자열 값인 ""을 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.
1. **크로스 계정 액세스 권한 부여**에서 ** CloudFormation 템플릿 다운로드**를 선택합니다. 그러면 CloudFormation 스택을 생성하는 데 사용할 수 있는 CloudFormation 템플릿이 다운로드됩니다. 이 스택은 Palo Alto Networks Cloud NGFW 리소스를 관리할 수 있는 Firewall Manager 교차 계정 권한을 부여하는 AWS Identity and Access Management 역할을 생성합니다. 스택에 대한 자세한 설명은 *CloudFormation 사용자 가이드*의 [스택 작업](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacks.html)을 참조하세요.
1. **다음**을 선택합니다.
1. **정책 태그**에서 Firewall Manager 정책 리소스에 대해 추가하려는 식별 태그를 추가합니다. 태그에 대한 자세한 내용은 [Tag Editor 작업](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)을 참조하세요.
1. **다음**을 선택합니다.
1. 새 정책 설정을 검토하고 조정이 필요한 페이지로 돌아갑니다.
정책이 마음에 들면 **정책 생성**를 선택합니다. **AWS Firewall Manager 정책** 창에 귀하의 정책이 등재되어야 합니다. 이 정책은 계정 머리글 아래에 **보류 중**이 표시되고 **자동 문제 해결** 설정의 상태가 표시됩니다. 정책을 만들려면 몇 분 정도 걸릴 수 있습니다. **보류 중** 상태가 계정 수로 바뀐 후에는 정책 이름을 선택하여 계정과 리소스의 규정 준수 상태를 탐색할 수 있습니다. 자세한 내용은 [AWS Firewall Manager 정책에 대한 규정 준수 정보 보기](fms-compliance.md) 섹션을 참조하세요.
## 서비스형 Fortigate Cloud Native Firewall(CNF)에 대한 AWS Firewall Manager 정책 생성
Fortigate CNF에 대한 Firewall Manager 정책을 사용하면 Firewall Manager를 사용하여 모든 AWS 계정에 Fortigate CNF 리소스를 배포하고 관리할 수 있습니다.
Fortigate CNF 정책의 Firewall Manager에 대한 자세한 설명은 [Firewall Manager용 서비스 정책으로서 Fortigate Cloud Native Firewall(CNF) 사용](fortigate-cnf-policies.md)을 참조하세요. Firewall Manager와 함께 사용하도록 Fortigate CNF를 구성하는 방법에 대한 자세한 내용은 [Fortinet 설명서]( https://docs.fortinet.com/product/fortigate-cnf )를 참조하세요.
### 사전 조건
AWS Firewall Manager의 계정을 준비하려면 몇 가지 필수 단계를 거쳐야 합니다. 이 단계는 [AWS Firewall Manager 사전 조건](fms-prereq.md)에서 설명합니다. 그 다음 단계로 진행하기 전에 사전 조건을 모두 완료하십시오.
**Fortigate CNF의 Firewall Manager 정책을 생성하려면(콘솔)**
1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
**참고**
Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
1. 탐색 창에서 **보안 정책**을 선택합니다.
1. **정책 생성**을 선택합니다.
1. **정책 유형**에서, **서비스형 Fortigate Cloud Native Firewall(CNF)**를 선택하세요. [AWS Marketplace에서 Fortigate CNF 서비스를](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i) 아직 구독하지 않은 경우 먼저 구독해야 합니다. AWS Marketplace에서 구독하려면 ** AWS Marketplace 세부 정보 보기를** 선택합니다.
1. **배포 모델**의 경우, **분산 모델** 또는 **중앙 집중식 모델**을 선택합니다. 배포 모델은 Firewall Manager가 정책의 엔드포인트를 관리하는 방법을 결정합니다. 분산 모델을 사용하면 Firewall Manager는 정책 범위 내에 있는 각 VPC에서 방화벽 엔드포인트를 유지 관리합니다. 중앙 집중식 모델을 사용하면 Firewall Manager는 검열 VPC에 단일 엔드포인트를 유지합니다.
1. **리전**에서를 선택합니다 AWS 리전. 여러 리전의 리소스를 보호하려면 각 리전에 대해 별도의 정책을 생성해야 합니다.
1. **다음**을 선택합니다.
1. **정책 명칭**에 서술적 명칭을 입력하십시오.
1. 정책 구성에서 이 정책과 연계할 Fortigate CNF 방화벽 정책을 선택합니다. Fortigate CNF 방화벽 정책 목록에는 Fortigate CNF 테넌트와 관련된 모든 Fortigate CNF 방화벽 정책이 포함되어 있습니다. Fortigate CNF 테넌트 생성 및 관리에 대한 자세한 내용은 [Fortigate 설명서](https://docs.fortinet.com/product/fortigate-cnf)를 참조하세요.
1. **다음**을 선택합니다.
1. 방화벽 엔드포인트를 생성할 때 분산 배포 모델을 사용하는지 아니면 중앙 집중식 배포 모델을 사용하는지에 따라 **제3자 방화벽 엔드포인트 구성**에서 다음 중 하나를 수행하십시오.
+ 이 정책에 분산 배포 모델을 사용하는 경우, **가용 영역**에서 방화벽 엔드포인트를 만들 가용 영역을 선택합니다. **가용 영역 명칭** 또는 **가용 영역 ID**별로 가용 영역을 선택할 수 있습니다.
+ 이 정책에 중앙 집중식 배포 모델을 사용하는 경우, **검사 VPC 구성**의 **AWS Firewall Manager 엔드포인트 구성**에서 검사 VPC 소유자의 AWS 계정 ID와 검사 VPC의 VPC ID를 입력합니다.
+ **가용 영역**에서 방화벽 엔드포인트를 생성할 가용 영역을 선택합니다. **가용 영역 명칭** 또는 **가용 영역 ID**별로 가용 영역을 선택할 수 있습니다.
1. Firewall Manager가 VPC의 방화벽 서브넷에 사용할 CIDR 블록을 제공하려면 해당 블록은 모두 /28 CIDR 블록이어야 합니다. 줄마다 블록 하나를 입력합니다. 이를 생략하면 Firewall Manager가 VPC에서 사용할 수 있는 IP 주소 중에서 사용자를 대신하여 IP 주소를 선택합니다.
**참고**
자동 수정은 AWS Firewall Manager Network Firewall 정책에 대해 자동으로 수행되므로 여기에서 자동 수정을 선택하지 않는 옵션이 표시되지 않습니다.
1. **다음**을 선택합니다.
1. **정책 범위**의 경우 **이 정책이 적용되는AWS 계정 **에서 다음과 같이 옵션을 선택합니다.
+ 조직의 모든 계정에 정책을 적용하려면 기본 선택인 ** AWS 내 조직의 모든 계정 포함**을 그대로 둡니다.
+ 정책을 특정 계정 또는 특정 AWS Organizations 조직 단위(OUs)에 있는 계정에만 적용하려면 **지정된 계정 및 조직 단위만 포함을** 선택한 다음 포함하려는 계정 및 OUs를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
+ 특정 계정 또는 AWS Organizations 조직 단위(OUs)를 제외한 모든 계정에 정책을 적용하려면 **지정된 계정 및 조직 단위 제외를 선택하고 다른 모든** 계정 및 OU를 추가한 다음 제외하려는 계정 및 OUs를 추가합니다. OU를 지정하는 것은 나중에 추가되는 모든 하위 OU 및 계정을 포함하여 OU 및 하위 OU의 모든 계정을 지정하는 것과 동등합니다.
옵션 중 하나만 선택할 수 있습니다.
정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예컨대, 귀하가 특정 계정만 포함하는 경우, Firewall Manager는 해당 정책을 새 계정에 적용하지 않습니다. 또 다른 예로 OU를 포함하는 경우, OU나 하위 OU에 계정을 추가하면 Firewall Manager는 새 계정에 정책을 자동으로 적용합니다.
1. Network Firewall 정책의 **리소스 타입**은 **VPC**입니다.
1. **리소스**의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 정책 범위를 정의하는 태그에 대한 자세한 내용은 [AWS Firewall Manager 정책 범위 사용](policy-scope.md) 섹션을 참조하세요.
리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그 값을 생략하는 경우 Firewall Manager는 태그에 빈 문자열 값인 ""을 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.
1. **크로스 계정 액세스 권한 부여**에서 ** CloudFormation 템플릿 다운로드**를 선택합니다. 그러면 CloudFormation 스택을 생성하는 데 사용할 수 있는 CloudFormation 템플릿이 다운로드됩니다. 이 스택은 Firewall Manager에 Fortigate CNF 리소스를 관리할 수 있는 교차 계정 권한을 부여하는 AWS Identity and Access Management 역할을 생성합니다. 스택에 대한 자세한 설명은 *CloudFormation 사용자 가이드*의 [스택 작업](https://docs.aws.amazon.com/AWSCloudFormation/latest/gsg/stacks.html)을 참조하세요. 스택을 생성하려면 Fortigate CNF 포털의 계정 ID가 필요합니다.
1. **다음**을 선택합니다.
1. **정책 태그**에서 Firewall Manager 정책 리소스에 대해 추가하려는 식별 태그를 추가합니다. 태그에 대한 자세한 내용은 [Tag Editor 작업](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)을 참조하세요.
1. **다음**을 선택합니다.
1. 새 정책 설정을 검토하고 조정이 필요한 페이지로 돌아갑니다.
정책이 마음에 들면 **정책 생성**를 선택합니다. **AWS Firewall Manager 정책** 창에 귀하의 정책이 등재되어야 합니다. 이 정책은 계정 머리글 아래에 **보류 중**이 표시되고 **자동 문제 해결** 설정의 상태가 표시됩니다. 정책을 만들려면 몇 분 정도 걸릴 수 있습니다. **보류 중** 상태가 계정 수로 바뀐 후에는 정책 이름을 선택하여 계정과 리소스의 규정 준수 상태를 탐색할 수 있습니다. 자세한 내용은 [AWS Firewall Manager 정책에 대한 규정 준수 정보 보기](fms-compliance.md) 섹션을 참조하세요.
# AWS Firewall Manager 정책 삭제
다음 단계를 수행하여 Firewall Manager 정책을 삭제할 수 있습니다.
**정책을 삭제하려면(콘솔)**
1. 탐색 창에서 **보안 정책**을 선택합니다.
1. 삭제할 정책 옆에 있는 옵션을 선택합니다.
1. **삭제**를 선택합니다.
**참고**
Firewall Manager 공통 보안 그룹 정책을 삭제할 때 정책의 복제본 보안 그룹을 제거하려면 정책에서 생성한 리소스를 정리하는 옵션을 선택합니다. 그렇지 않으면 기본 정책이 삭제된 후 복제본이 그대로 유지되며 각 Amazon VPC 인스턴스에서 수동으로 관리해야 합니다.
**중요**
Firewall Manager Shield Advanced 정책을 삭제하면 정책이 삭제되지만 계정은 Shield Advanced를 구독하는 상태로 유지됩니다.
# AWS Firewall Manager 정책 범위 사용
이 페이지에서는 Firewall Manager 정책 범위가 무엇이며 어떻게 작동하는지 설명합니다.
정책 범위는 정책이 적용되는 위치를 정의합니다. 중앙에서 제어하는 정책을 다음에 적용할 수 있습니다.
+ AWS Organizations의 조직 내 모든 계정 및 리소스.
+ AWS Organizations에서 조직 내 계정 및 리소스의 하위 집합.
정책 범위 설정 방법에 대한 지침은 [AWS Firewall Manager 정책 생성](create-policy.md)을 참조하세요.
## 의 정책 범위 옵션 AWS Firewall Manager
조직에 새 계정이나 리소스를 추가하면 Firewall Manager가 각 정책의 설정을 기준으로 이를 자동으로 평가하고 이러한 설정을 기반으로 정책을 적용합니다. 예를 들어 지정된 목록의 계정 번호를 제외한 모든 계정에 정책을 적용하도록 선택할 수 있습니다. 리소스 태그를 사용하여 정책 범위를 정의할 수도 있습니다. 목록에 모든 태그가 있는 리소스를 제외하거나 포함시켜 정책을 적용하도록 선택할 수 있습니다. 또는 목록에 지정된 태그가 있는 리소스에만 정책을 적용하도록 선택할 수 있습니다.
**AWS 계정 범위 내**
정책의 AWS 계정 영향을 받는를 정의하기 위해 제공하는 설정에 따라 정책을 적용할 AWS 조직의 계정이 결정됩니다. 다음 중 한 가지 방법으로 정책을 적용하도록 선택할 수 있습니다.
+ 조직의 모든 계정에 적용
+ 포함된 계정 번호 및 AWS Organizations 조직 단위(OU)의 특정 목록만 적용
+ 제외된 계정 번호 및 AWS Organizations 조직 단위(OU)의 특정 목록을 제외한 모든 항목에 적용
에 대한 자세한 내용은 [AWS Organizations 사용 설명서를](https://docs.aws.amazon.com/organizations/latest/userguide/) AWS Organizations참조하세요.
**범위 내 리소스**
범위 내 계정 설정과 마찬가지로 리소스에 대해 제공하는 설정에 따라 정책을 적용할 범위 내 리소스 유형이 결정됩니다. 다음 중 하나를 선택할 수 있습니다.
+ 모든 리소스
+ 지정한 모든 태그가 있는 리소스
+ 지정한 모든 태그가 있는 리소스를 제외한 모든 리소스
+ 지정한 모든 태그가 있는 리소스만
+ 지정한 태그가 있는 리소스만 제외한 모든 리소스
null이 아닌 값으로만 리소스 태그를 지정할 수 있습니다. 값에 대해 아무 것도 제공하지 않으면 Firewall Manager는 태그에 빈 문자열 값인 ""을 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.
리소스 태그 지정에 대한 자세한 내용은 [태그 편집기 작업](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)을 참조하세요.
## 의 정책 범위 관리 AWS Firewall Manager
정책이 적용되면 Firewall Manager는 정책을 지속적으로 관리하고 정책 범위에 따라 정책이 추가될 때 새 AWS 계정 및 리소스에 적용합니다.
**Firewall Manager가 AWS 계정 및 리소스를 관리하는 방법**
계정 또는 리소스가 어떤 이유로든 범위를 벗어나는 경우 정책 범위를 벗어나 AWS Firewall Manager 는 리소스에서 보호 자동 제거 확인란을 선택하지 않는 한는 보호를 자동으로 제거하거나 Firewall Manager 관리형 리소스를 삭제하지 않습니다. ****
**참고**
**정책 범위를 벗어나는 리소스에서 보호 자동 제거** 옵션은 AWS Shield Advanced 또는 AWS WAF Classic 정책에 사용할 수 없습니다.
이 확인란을 선택하면 해당 계정이 정책 범위를 벗어날 때 Firewall Manager가 계정에 대해 관리하는 리소스를 자동으로 정리 AWS Firewall Manager 하도록에 지시합니다. 예를 들어 Firewall Manager는 고객 리소스가 정책 범위를 벗어날 때 보호된 고객 리소스에서 Firewall Manager 관리형 웹 ACL의 연결을 해제합니다.
고객 리소스가 정책 범위를 벗어나는 경우 보호에서 제거해야 하는 리소스를 결정하기 위해 Firewall Manager는 다음 지침을 따릅니다.
+ *기본 동작*:
+ 연결된 AWS Config 관리형 규칙이 삭제됩니다. 이 동작은 확인란과 무관합니다.
+ 리소스가 포함되지 않은 모든 연결된 AWS WAF 웹 액세스 제어 목록(웹 ACLs)이 삭제됩니다. 이 동작은 확인란과 무관합니다.
+ 범위를 벗어나는 보호된 리소스는 모두 연결되고 보호된 상태로 유지됩니다. 예를 들어 웹 ACL과 연결된 API Gateway의 Application Load Balancer 또는 API는 웹 ACL과 연결된 상태로 유지되며 보호 기능은 그대로 유지됩니다.
+ ***정책 범위를 벗어나는 리소스에서 보호 자동 제거** 확인란을 선택한 경우*:
+ 연결된 AWS Config 관리형 규칙이 삭제됩니다. 이 동작은 확인란과 무관합니다.
+ 리소스가 포함되지 않은 모든 연결된 AWS WAF 웹 액세스 제어 목록(웹 ACLs)이 삭제됩니다. 이 동작은 확인란과 무관합니다.
+ 보호 대상 리소스가 범위를 벗어나면 해당 리소스가 정책 범위를 벗어나면 자동으로 연결이 해제되고 Firewall Manager 보호 대상에서 제거됩니다. 예를 들어 보안 그룹 정책의 경우 Elastic Inference 액셀러레이터 또는 Amazon EC2 인스턴스는 정책 범위를 벗어나면 복제된 보안 그룹과의 연결이 자동으로 해제됩니다. 복제된 보안 그룹과 해당 리소스는 보호에서 자동으로 제거됩니다.
+ Firewall Manager는 멤버 계정이 범위를 벗어나거나 정책이 삭제될 때 리소스 정리 옵션 값에 관계없이 로깅 구성을 삭제합니다.
# Firewall Manager에서 AWS WAF 정책 사용
이 섹션에서는 Firewall Manager에서 AWS WAF 정책을 사용하는 방법을 설명합니다. Firewall Manager AWS WAF 정책에서 정책 범위 내에 있는 모든 리소스를 보호하는 데 사용할 AWS WAF 규칙 그룹을 지정합니다. 정책을 적용하면 Firewall Manager는 지정된 규칙 그룹 및 기타 정책 구성을 사용하여 범위 내 리소스에 대한 웹 ACL 관리를 시작합니다.
범위 내 리소스에 대한 모든 새 웹 ACL을 생성하고 관리하도록 정책을 구성하여 이미 사용 중인 모든 웹 ACL을 대체할 수 있습니다. 또는 범위 내 리소스와 이미 연결된 웹 ACL을 유지하도록 정책을 구성하고 정책에서 사용하도록 정책을 새로 고칠 수 있습니다. 이 두 번째 옵션을 사용하면 Firewall Manager는 웹 ACL 연결이 아직 없는 리소스에 대해서만 새 웹 ACL을 생성합니다.
생성 방식에 관계없이 Firewall Manager가 관리하는 웹 ACL에서 개별 계정은 Firewall Manager 정책에 정의한 규칙 그룹 외에도 자체 규칙 및 규칙 그룹을 관리할 수 있습니다.
Firewall Manager AWS WAF 정책을 생성하는 절차는 섹션을 참조하세요[에 대한 AWS Firewall Manager 정책 생성 AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).
# AWS WAF 정책에 대한 규칙 그룹 관리
Firewall Manager AWS WAF 정책에서 관리하는 웹 ACLs에는 세 가지 규칙 세트가 포함되어 있습니다. 이러한 집합은 웹 ACL의 규칙 및 규칙 그룹에 대해 더 높은 수준의 우선 순위를 제공합니다.
+ Firewall Manager AWS WAF 정책에서 사용자가 정의한 첫 번째 규칙 그룹은 이러한 규칙 그룹을 먼저 AWS WAF 평가합니다.
+ 웹 ACL에서 계정 관리자가 정의한 규칙 및 규칙 그룹입니다. AWS WAF 는 계정 관리형 규칙 또는 규칙 그룹을 다음에 평가합니다.
+ Firewall Manager AWS WAF 정책에서 사용자가 정의한 마지막 규칙 그룹은 이러한 규칙 그룹을 마지막으로 AWS WAF 평가합니다.
이러한 각 규칙 세트 내에서는 세트 내의 우선 순위 설정에 따라 규칙과 규칙 그룹을 평소와 같이 AWS WAF 평가합니다.
정책의 첫 번째 및 마지막 규칙 그룹 집합에서는 규칙 그룹만 추가할 수 있고 개별 규칙은 안됩니다. 관리형 규칙 및 AWS Marketplace 판매자가 자동으로 생성하고 유지 관리하는 AWS 관리형 규칙 그룹을 사용할 수 있습니다. 사용자 고유의 규칙 그룹을 관리하고 사용할 수도 있습니다. 이러한 옵션에 대한 자세한 내용은 [AWS WAF 규칙 그룹](waf-rule-groups.md)을 참조하세요.
고유의 규칙 그룹을 사용하려는 경우 Firewall Manager AWS WAF 정책을 생성하기 전에 해당 규칙 그룹을 생성합니다. 자세한 지침은 [자체 규칙 그룹 관리](waf-user-created-rule-groups.md)을 참조하세요. 개별 사용자 지정 규칙을 사용하려면 고유의 규칙 그룹을 정의하고, 해당 규칙 그룹 내에서 규칙을 정의한 다음, 정책에서 규칙 그룹을 사용해야 합니다.
Firewall Manager를 통해 관리하는 첫 번째 및 마지막 AWS WAF 규칙 그룹에는 `POSTFMManaged-`이름이 각각 `PREFMManaged-` 또는 로 시작하고 그 뒤에 Firewall Manager 정책 이름과 규칙 그룹 생성 타임스탬프가 UTC 밀리초 단위로 표시됩니다. 예를 들어 `PREFMManaged-MyWAFPolicyName-1621880555123`입니다.
가 웹 요청을 AWS WAF 평가하는 방법에 대한 자세한 내용은 섹션을 참조하세요[에서 규칙 및 규칙 그룹과 함께 보호 팩(웹 ACLs) 사용 AWS WAF](web-acl-processing.md).
Firewall Manager는 AWS WAF 정책에 대해 정의한 규칙 그룹의 샘플링 및 Amazon CloudWatch 지표를 활성화합니다.
개별 계정 소유자는 정책의 관리형 웹 ACL에 추가하는 모든 규칙 또는 규칙 그룹의 지표와 샘플링 구성을 완벽하게 제어할 수 있습니다.
**참고**
멤버 계정에 AWS WAF 마켓플레이스 규칙 그룹에 대한 구독이 없는 경우 Firewall Manager는 사용자 지정 또는 관리형 규칙 그룹을 해당 계정에 전파할 수 없습니다.
# AWS WAF 정책에 대한 웹 ACL 관리
Firewall Manager는 구성 설정 및 일반 정책 관리에 따라 범위 내 리소스에 대한 웹 ACL을 생성하고 관리합니다.
**참고**
다른 Firewall Manager Shield 정책에 의한 [고급 자동 애플리케이션 계층 DDoS 완화](ddos-automatic-app-layer-response.md)로 구성된 리소스가 해당 Firewall Manager Shield AWS WAF 정책에 의해 리소스의 웹 ACL이 생성된 정책의 범위에 포함되는 경우 Firewall Manager는 AWS WAF 정책 보호를 리소스에 적용할 수 없으며 리소스를 규정 미준수로 표시합니다.
고객이 고객 소유 웹 ACL을 리소스와 수동으로 연결하는 경우에도 Firewall Manager AWS WAF 정책은 해당 고객 웹 ACL을 Firewall Manager AWS WAF 정책 웹 ACL로 재정의합니다.
**연결되지 않은 웹 ACL 구성 관리**
리소스에서 웹 ACL을 사용하지 않을 때 Firewall Manager가 계정의 웹 ACL을 관리하는 방법을 지정하는 정책 구성 설정입니다. 연결되지 않은 웹 ACL의 관리를 활성화하면 Firewall Manager는 하나 이상의 리소스에서 웹 ACL을 사용할 경우에만 정책 범위 내의 계정에 웹 ACL을 생성합니다. 이 옵션을 활성화하지 않으면 Firewall Manager는 웹 ACL 사용 여부에 관계없이 각 계정에 웹 ACL이 있는지 자동으로 확인합니다.
이 옵션이 활성화되어 있고 계정이 정책 범위에 포함되는 경우, 하나 이상의 리소스가 웹 ACL을 사용할 경우 Firewall Manager는 계정에 웹 ACL을 자동으로 생성합니다.
또한 연결되지 않은 웹 ACL의 관리를 정책 성성에서 활성화하면 Firewall Manager는 계정에서 연결되지 않은 웹 ACL을 한 번 정리합니다. 해당 정리 중에 Firewall Manager는 생성 후 수정한 웹 ACL을 건너뛰습니다(예: 웹 ACL에 규칙 그룹을 추가하거나 설정을 수정한 경우). 정리 프로세스에는 몇 시간이 걸릴 수 있습니다. Firewall Manager가 웹 ACL을 생성한 후 리소스가 정책 범위를 벗어나는 경우 Firewall Manager는 웹 ACL에서 리소스를 분리하지만 연결되지 않은 웹 ACL을 정리하지는 않습니다. Firewall Manager는 정책에서 연결되지 않은 웹 ACL의 관리를 처음 활성화한 경우에만 연결되지 않은 웹 ACL을 정리합니다.
API에서 이 설정은 [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html) 데이터 유형의 `optimizeUnassociatedWebACL`입니다. 예시: `\"optimizeUnassociatedWebACL\":false`
**웹 ACL 소스 구성: 새로 만들거나 기존 것을 수정하시겠습니까?**
범위 내 리소스와 연결된 기존 웹 ACL에서 Firewall Manager가 수행하는 작업을 지정하는 정책 구성 설정입니다.
기본적으로 Firewall Manager는 범위 내 리소스에 대한 모든 새 웹 ACL을 생성합니다. 새로 고침을 사용하면 Firewall Manager는 이미 사용 중인 기존 웹 ACL을 사용하고 아직 연결되지 않은 리소스에 대해 새 웹 ACL만 생성합니다.
정책이 추가 장착하도록 구성된 경우 범위 내 리소스와 연결된 모든 웹 ACL이 추가 장착되거나 규정 미준수로 표시됩니다.
Firewall Manager는 다음 요구 사항을 충족하는 경우에만 웹 ACL을 개량합니다.
+ 웹 ACL은 고객 계정에서 소유합니다.
+ 웹 ACL은 범위 내 리소스에만 연결됩니다.
**작은 정보**
새로 고침을 위한 AWS WAF 정책을 구성하기 전에 정책의 범위 내 리소스와 연결된 웹 ACLs이 out-of-scope 리소스와 연결되지 않았는지 확인합니다.
**작은 정보**
연결된 리소스를 삭제하려면 먼저 웹 ACL에서 연결을 해제합니다. 범위 외 리소스와의 연결로 인해 웹 ACL이 규정을 준수하지 않는 경우 먼저 웹 ACL과 연결 해제하지 않고 범위 외 리소스를 삭제하면 웹 ACL이 규정 준수 상태가 될 수 있으며 Firewall Manager는 문제 해결을 통해 웹 ACL을 개량할 수 있지만 이 상황에서의 문제 해결은 최대 24시간 지연될 수 있습니다.
규정 준수 위반 세부 정보에 액세스하는 방법에 대한 자세한 내용은 [AWS Firewall Manager 정책에 대한 규정 준수 정보 보기](fms-compliance.md) 섹션을 참조하세요.
웹 ACL을 추가 장착할 수 있는 경우 Firewall Manager는 다음과 같이 이를 수정합니다.
+ Firewall Manager는 웹 ACL의 기존 규칙 앞에 AWS WAF 정책의 첫 번째 규칙 그룹을 삽입하고 끝에 AWS WAF 정책의 마지막 규칙 그룹을 추가합니다. 규칙 그룹 관리에 대한 자세한 내용은 [AWS WAF 정책에 대한 규칙 그룹 관리](waf-policies-rule-groups.md) 섹션을 참조하세요.
+ 정책에 로깅 구성이 있는 경우 Firewall Manager는 웹 ACL이 아직 로깅용으로 구성되지 않은 경우에만 웹 ACL에 추가합니다. 웹 ACL에 계정에 의해 구성된 로깅이 있는 경우 Firewall Manager는 개량 및 정책의 로깅 구성에 대한 후속 업데이트를 위해 이를 그대로 둡니다.
+ Firewall Manager는 다른 웹 ACL 속성을 확인하거나 구성하지 않습니다. 예를 들어 Firewall Manager는 웹 ACL의 기본 작업, 사용자 지정 요청 헤더 CAPTCHA 또는 Challenge 구성 또는 토큰 도메인 목록을 수정하지 않습니다. Firewall Manager는 Firewall Manager가 생성하는 웹 ACL에서만 이러한 다른 속성을 구성합니다.
Firewall Manager가 연결된 모든 기존 웹 ACL을 새로 고치면 웹 ACL이 없는 범위 내 리소스에 대해 Firewall Manager는 기본 정책 동작에 따라 리소스를 처리합니다. 보호할 AWS WAF 수 있는 리소스인 경우 Firewall Manager는 Firewall Manager 웹 ACL을 생성하고 해당 리소스와 연결합니다.
API에서 웹 ACL 소스 설정은 [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html) 데이터 유형의 `webACLSource`에 있습니다. 예시: `\"webACLSource\":\"RETROFIT_EXISTING\"`
**샘플링 및 CloudWatch 지표**
AWS Firewall Manager 는 AWS WAF 정책에 대해 생성하는 웹 ACLs 및 규칙 그룹에 대한 샘플링 및 Amazon CloudWatch 지표를 활성화합니다.
**웹 ACL 이름 지정**
Firewall Manager가 생성하는 웹 ACL은 AWS WAF 정책 이름을 로 지정합니다`FMManagedWebACLV2-policy name-timestamp`. 타임스탬프는 UTC 밀리초 단위입니다. 예를 들어 `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`입니다.
Firewall Manager가 새로 고치는 웹 ACL에는 생성 시 고객 계정이 지정한 이름이 있습니다. 웹 ACL 명칭은 생성 후에는 변경될 수 없습니다.
**참고**
[고급 자동 애플리케이션 계층 DDoS 완화](ddos-automatic-app-layer-response.md)로 구성된 리소스가 AWS WAF 정책의 범위에 포함되는 경우 Firewall Manager는 AWS WAF 정책에 의해 생성된 웹 ACL을 리소스에 연결할 수 없습니다.
# AWS WAF 정책에 대한 로깅
AWS WAF 정책에 대한 중앙 집중식 로깅을 활성화하여 조직 내 웹 ACL에서 분석한 트래픽에 대한 자세한 정보를 얻을 수 있습니다.는 AWS WAF Classic이 AWS WAFV2아닌에 대해이 옵션을 AWS Firewall Manager 지원합니다.
로그의 정보에는가 보호된 AWS 리소스로부터 요청을 AWS WAF 받은 시간, 요청에 대한 세부 정보, 모든 범위 내 계정에서 각 요청이 일치하는 규칙에 대한 작업이 포함됩니다. AWS WAF 로깅에 대한 자세한 내용은 *AWS WAF 개발자 안내서*[AWS WAF 보호 팩(웹 ACL) 트래픽 로깅](logging.md)의 섹션을 참조하세요.
Amazon Data Firehose 데이터 스트림 또는 Amazon Simple Storage Service(S3) 버킷으로 로그를 전송할 수 있습니다. Firewall Manager가 범위 내 리소스 및 계정에서 AWS WAF 로깅을 관리할 수 있으려면 각 대상 유형에 몇 가지 추가 구성이 필요합니다. 뒤 이은 섹션에서 세부 정보가 제공됩니다.
정책에 웹 ACL 추가 설정이 활성화된 경우 Firewall Manager는 기존 웹 ACL에 있는 로깅 구성을 재정의하지 않습니다. 추가 장착에 대한 자세한 내용은 [AWS WAF 정책에 대한 웹 ACL 관리](how-fms-manages-web-acls.md)의 웹 ACL 소스 구성 정보를 참조하세요.
**참고**
Firewall Manager 인터페이스를 통해서만 Firewall Manager 정책에 대한 로깅을 수정하거나 비활성화합니다. AWS WAF 를 사용하여 Firewall Manager에서 관리하는 웹 ACL의 로깅 구성을 업데이트하거나 삭제하는 경우 Firewall Manager는 변경 사항을 자동으로 감지하지 않습니다. 를 사용한 경우 AWS WAF 정책의 규칙을 재평가하여 Firewall Manager 정책에 대한 업데이트를 수동으로 프롬프트할 AWS WAF수 있습니다 AWS Config. 이렇게 하려면 AWS Config 콘솔에서 Firewall Manager 정책에 대한 AWS Config 규칙을 찾아 재평가 작업을 선택합니다.
**Topics**
+ [로깅 대상](waf-policies-logging-destinations.md)
+ [Firewall Manager에서 AWS WAF 정책에 대한 로깅 활성화](waf-policies-enabling-logging.md)
+ [Firewall Manager에서 AWS WAF 정책에 대한 로깅 비활성화](waf-policies-disabling-logging.md)
# 로깅 대상
이 섹션에서는 AWS WAF 정책 로그를 전송하도록 선택할 수 있는 로깅 대상에 대해 설명합니다. 각 섹션에서는 대상 유형에 대한 로깅을 구성하기 위한 지침과 대상 유형과 관련된 모든 동작에 대한 정보를 제공합니다. 로깅 대상을 구성한 후 Firewall Manager AWS WAF 정책에 해당 사양을 제공하여 로깅을 시작할 수 있습니다.
Firewall Manager는 로깅 구성을 생성한 후 로그 실패를 확인할 수 없습니다. 로그 전달이 의도한 대로 작동하는지 확인하는 것은 사용자의 책임입니다.
Firewall Manager는 조직 구성원 계정의 기존 로깅 구성을 수정하지 않습니다.
**Topics**
+ [Amazon Data Firehose 데이터 스트림](#waf-policies-logging-destinations-kinesis-data-firehose)
+ [Amazon Simple Storage Service 버킷](#waf-policies-logging-destinations-s3)
## Amazon Data Firehose 데이터 스트림
이 주제는 Amazon Data Firehose 데이터 스트림에 웹 ACL 트래픽 로그를 전송하는 방법에 대한 정보를 제공합니다.
Amazon Data Firehose 로깅을 활성화하면 Firewall Manager는 정책의 웹 ACL에서 스토리지 대상을 구성한 Amazon Data Firehose로 로그를 전송합니다. 로깅을 활성화하면는 Kinesis Data Firehose의 HTTPS 엔드포인트를 통해 구성된 각 웹 ACL에 대한 로그를 구성된 스토리지 대상으로 AWS WAF 전송합니다. 전송 스트림을 사용하기 전에 테스트하여 조직의 로그를 수용할 만큼 처리량이 충분한지 확인하십시오. Amazon Kinesis Data Firehose 생성 및 저장된 로그 검토에 대한 자세한 내용은 [Amazon Data Firehose란 무엇인가요?](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)를 참조하세요.
Kinesis로 로깅을 활성화하려면 다음 권한이 있어야 합니다.
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`
AWS WAF 정책에 Amazon Data Firehose 로깅 대상을 구성하면 Firewall Manager는 다음과 같이 Firewall Manager 관리자 계정에서 정책에 대한 웹 ACL을 생성합니다.
+ Firewall Manager는 계정이 정책 범위 내에 있는지 여부와 상관없이 Firewall Manager 관리자 계정에 웹 ACL을 생성합니다.
+ 웹 ACL에는 로그 이름 `FMManagedWebACLV2-Loggingpolicy name-timestamp`과 함께 로깅이 활성화되어 있습니다. 여기서 타임스탬프는 로그가 웹 ACL에 대해 활성화된 UTC 시간(밀리초)입니다. 예를 들어 `FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180`입니다. 웹 ACL에는 규칙 그룹과 관련 리소스가 없습니다.
+ AWS WAF 요금 지침에 따라 웹 ACL에 대한 요금이 부과됩니다. 자세한 내용은 [AWS WAF 요금](https://aws.amazon.com/waf/pricing/)을 참조하세요.
+ Firewall Manager는 정책을 삭제할 때 웹 ACL을 삭제합니다.
서비스 연결 역할 및 `iam:CreateServiceLinkedRole` 권한에 대한 자세한 내용은 [에 대한 서비스 연결 역할 사용 AWS WAF](using-service-linked-roles.md) 섹션을 참조하세요.
전송 스트림 생성에 관한 자세한 내용은 [Amazon Data Firehose 전송 스트림 생성](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html)을 참조하세요.
## Amazon Simple Storage Service 버킷
이 주제는 Amazon S3 버킷으로 웹 ACL 트래픽 로그를 전송하기 위한 정보를 제공합니다.
로깅 대상으로 선택한 버킷은 Firewall Manager 관리자 계정이 소유해야 합니다. 로깅을 위한 Amazon S3 버킷 생성 요구 사항 및 버킷 이름 지정 요구 사항에 대한 자세한 내용은 *AWS WAF 개발자 안내서*의 [Amazon Simple Storage Service](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html)를 참조하세요.
**최종 일관성**
Amazon S3 로깅 대상으로 구성된 AWS WAF 정책을 변경하면 Firewall Manager가 버킷 정책을 업데이트하여 로깅에 필요한 권한을 추가합니다. 이 경우 Firewall Manager는 Amazon Simple Storage Service가 따르는 최후의 시맨틱 및 데이터 정합성 모델을 따릅니다. Firewall Manager 콘솔 또는 [PutPolicy](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutPolicy.html) API를 통해 Amazon S3 대상에 여러 정책을 동시에 업데이트하는 경우 일부 권한이 저장되지 않을 수 있습니다. Amazon S3 데이터 일관성 모델에 대한 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [Amazon S3 데이터 정합성 모델](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html#ConsistencyModel)을 참조하세요.
### Amazon S3 버킷에 로그를 게시하는 데 필요한 권한
AWS WAF 정책에서 Amazon S3 버킷에 대한 웹 ACL 트래픽 로깅을 구성하려면 다음 권한 설정이 필요합니다. Firewall Manager는 Amazon S3를 로깅 대상으로 구성하여 서비스에 로그를 버킷에 게시할 권한을 부여하는 경우 Amazon S3 버킷에 이러한 권한을 자동으로 연결합니다. 로깅 및 Firewall Manager 리소스에 대한 보다 세분화된 액세스를 관리하려는 경우 이러한 권한을 직접 설정할 수 있습니다. 권한 관리에 관한 자세한 내용은 *IAM 사용 설명서*의 [AWS 리소스에 대한 액세스 관리](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)를 참조하세요. AWS WAF 관리형 정책에 대한 자세한 내용은 섹션을 참조하세요[AWS 에 대한 관리형 정책 AWS WAF](security-iam-awsmanpol.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "AWSLogDeliveryForFirewallManager",
"Statement": [
{
"Sid": "AWSLogDeliveryAclCheckFMS",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix"
},
{
"Sid": "AWSLogDeliveryWriteFMS",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
```
------
서비스 간에 혼동되는 대리인 문제를 방지하려면 버킷 정책에서 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 및 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 글로벌 조건 컨텍스트 키를 추가합니다. 이러한 키를 추가하려면 로깅 대상을 구성할 때 Firewall Manager가 생성하는 정책을 수정하거나, 세부적인 제어를 원하는 경우 자체 정책을 만들 수 있습니다. 로깅 대상 정책에 이러한 조건을 추가하는 경우 Firewall Manager는 혼동되는 보조 보호를 검증하거나 모니터링하지 않습니다. 혼동된 대리자 문제에 관한 일반적인 내용은 *IAM 사용 설명서*의 [혼동된 대리자 문제](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)를 참조하세요.
`sourceAccount` 추가 `sourceArn` 속성을 추가하면 버킷 정책 크기가 커집니다. `sourceAccount` 추가 `sourceArn` 속성의 긴 목록을 추가하는 경우 Amazon S3 [버킷 정책 크기](https://docs.aws.amazon.com/general/latest/gr/s3.html#limits_s3) 할당량을 초과하지 않도록 주의하십시오.
다음 예는 버킷 정책에서 `aws:SourceArn` 및 `aws:SourceAccount` 글로벌 조건 컨텍스트 키를 사용하여 혼동된 대리자 문제를 방지하는 방법을 보여줍니다. *member-account-id*를 조직 구성원의 계정 ID로 바꾸십시오.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id":"AWSLogDeliveryForFirewallManager",
"Statement":[
{
"Sid":"AWSLogDeliveryAclCheckFMS",
"Effect":"Allow",
"Principal":{
"Service":"delivery.logs.amazonaws.com"
},
"Action":"s3:GetBucketAcl",
"Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
"Condition":{
"StringEquals":{
"aws:SourceAccount":[
"111122223333",
"444455556666"
]
},
"ArnLike":{
"aws:SourceArn":[
"arn:aws:logs:*:111122223333:*",
"arn:aws:logs:*:444455556666:*"
]
}
}
},
{
"Sid":"AWSLogDeliveryWriteFMS",
"Effect":"Allow",
"Principal":{
"Service":"delivery.logs.amazonaws.com"
},
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
"Condition":{
"StringEquals":{
"s3:x-amz-acl":"bucket-owner-full-control",
"aws:SourceAccount":[
"111122223333",
"444455556666"
]
},
"ArnLike":{
"aws:SourceArn":[
"arn:aws:logs:*:111122223333:*",
"arn:aws:logs:*:444455556666:*"
]
}
}
}
]
}
```
------
#### Amazon S3 버킷의 서버 측 암호화
Amazon S3 서버 측 암호화를 활성화하거나 S3 버킷에서 AWS Key Management Service 고객 관리형 키를 사용할 수 있습니다. AWS WAF 로그에 Amazon S3 버킷의 기본 Amazon S3 암호화를 사용하도록 선택한 경우 특별한 조치를 취할 필요가 없습니다. 그러나 고객이 제공한 암호화 키를 사용하여 Amazon S3 저장 데이터를 암호화하도록 선택한 경우 AWS Key Management Service 키 정책에 다음 권한 문을 추가해야 합니다.
```
{
"Sid": "Allow Logs Delivery to use the key",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```
Amazon S3와 고객 제공 암호화 키 사용에 대한 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [고객 제공 키(SSE-C)로 서버 측 암호화 사용](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html)을 참조하세요.
# Firewall Manager에서 AWS WAF 정책에 대한 로깅 활성화
다음 절차에서는 Firewall Manager 콘솔에서 AWS WAF 정책에 대한 로깅을 활성화하는 방법을 설명합니다.
**AWS WAF 정책에 대한 로깅을 활성화하려면**
1. 로깅을 활성화하려면 먼저 로깅 대상 리소스를 다음과 같이 구성해야 합니다.
+ **Amazon Kinesis Data Streams** - Firewall Manager 관리자 계정을 사용하여 Amazon Data Firehose를 생성합니다. 접두사 `aws-waf-logs-`로 시작하는 이름을 사용하세요. 예를 들어 `aws-waf-logs-firewall-manager-central`입니다. 작업하려는 리전에서 `PUT` 소스를 사용하여 Data Firehose를 생성합니다. Amazon CloudFront에 대한 로그를 캡처하고 있는 경우, 미국 동부(버지니아 북부)에서 Firehose를 생성합니다. 전송 스트림을 사용하기 전에 테스트하여 조직의 로그를 수용할 만큼 처리량이 충분한지 확인하십시오. 자세한 내용은 [Amazon Data Firehose 전송 스트림 생성](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html)을 참조하세요.
+ **Amazon Simple Storage Service 버킷** - *AWS WAF 개발자 안내서*의 [Amazon Simple Storage Service](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html) 주제에 있는 지침에 따라 Amazon S3 버킷을 생성합니다. 또한 [Amazon S3 버킷에 로그를 게시하는 데 필요한 권한](waf-policies-logging-destinations.md#waf-policies-logging-s3-permissions)에 나열된 권한으로 Amazon S3 버킷을 구성해야 합니다.
1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
**참고**
Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
1. 탐색 창에서 **보안 정책**을 선택합니다.
1. 로깅을 활성화할 AWS WAF 정책을 선택합니다. AWS WAF 로깅에 대한 자세한 내용은 [AWS WAF 보호 팩(웹 ACL) 트래픽 로깅](logging.md)을 참조하세요.
1. **정책 규칙** 섹션의 **정책 세부 정보** 탭에서 **편집**을 선택합니다.
1. **로깅 구성의** 경우 **로깅 활성화**를 선택하여 로깅을 활성화합니다. 로깅은 웹 ACL에서 분석한 트래픽에 대한 자세한 정보를 기록합니다. 로깅 대상 유형을 선택한 다음 구성한 **로깅 대상**을 선택합니다. 이름이 `aws-waf-logs-`로 시작하는 로깅 대상을 선택해야 합니다. AWS WAF 로깅 대상 구성에 대한 자세한 내용은 섹션을 참조하세요[Firewall Manager에서 AWS WAF 정책 사용](waf-policies.md).
1. (선택 사항) 로그에 포함된 특정 필드와 그 값이 필요하지 않은 경우 해당 필드를 삭제합니다. 삭제할 필드를 선택한 후 **추가**를 선택합니다. 필요에 따라 이 작업을 반복하여 추가 필드를 삭제합니다. 삭제된 필드는 로그에서 `REDACTED`(으)로 표시됩니다. 예를 들어 **URI** 필드를 삭제한 경우 로그에서 **URI** 필드가 `REDACTED`로 나타납니다.
1. (선택 사항) 모든 요청을 로그로 전송하지 않으려면 필터링 기준과 동작을 추가합니다. **필터 로그**에서 적용하려는 각 필터에 대해 **필터 추가**를 선택한 다음 기준과 일치하는 요청을 유지할지 아니면 삭제할지 여부를 지정합니다. 필터 추가를 완료할 때 필요 시 **기본 로깅 동작**을 수정합니다. 자세한 내용은 *AWS WAF 개발자 안내서*의 [보호 팩(웹 ACL) 레코드 찾기](logging-management.md)을 참조하세요.
1. **다음**을 선택합니다.
1. 설정을 검토한 다음 **저장**을 선택하여 변경 내용을 정책에 저장합니다.
# Firewall Manager에서 AWS WAF 정책에 대한 로깅 비활성화
다음 절차에서는 Firewall Manager 콘솔에서 AWS WAF 정책에 대한 로깅을 비활성화하는 방법을 설명합니다.
**AWS WAF 정책에 대한 로깅을 비활성화하려면**
1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
**참고**
Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
1. 탐색 창에서 **보안 정책**을 선택합니다.
1. 로깅을 비활성화할 AWS WAF 정책을 선택합니다.
1. **정책 규칙** 섹션의 **정책 세부 정보** 탭에서 **편집**을 선택합니다.
1. **로깅 구성 상태**에서 **비활성화**를 선택합니다.
1. **다음**을 선택합니다.
1. 설정을 검토한 다음 **저장**을 선택하여 변경 내용을 정책에 저장합니다.
**참고**
Firewall Manager 인터페이스를 통해서만 Firewall Manager 정책에 대한 로깅을 수정하거나 비활성화합니다. AWS WAF 를 사용하여 Firewall Manager에서 관리하는 웹 ACL의 로깅 구성을 업데이트하거나 삭제하는 경우 Firewall Manager는 변경 사항을 자동으로 감지하지 않습니다. 를 사용한 경우 AWS WAF 정책의 규칙을 재평가하여 Firewall Manager 정책에 대한 업데이트를 수동으로 프롬프트할 AWS WAF수 있습니다 AWS Config. 이렇게 하려면 AWS Config 콘솔에서 Firewall Manager 정책의 AWS Config 규칙을 찾아 재평가 작업을 선택합니다.
# Firewall Manager에서 AWS Shield Advanced 정책 사용
이 페이지에서는 Firewall Manager에서 AWS Shield 정책을 사용하는 방법을 설명합니다. Firewall Manager AWS Shield 정책에서 보호하려는 리소스를 선택합니다. 자동 수정이 활성화된 상태에서 정책을 적용하면 AWS WAF 웹 ACL과 아직 연결되지 않은 각 범위 내 리소스에 대해 Firewall Manager가 빈 AWS WAF 웹 ACL을 연결합니다. 빈 웹 ACL은 Shield 모니터링 용도로 사용됩니다. 그런 다음 다른 웹 ACL을 리소스에 연결하면 Firewall Manager는 빈 웹 ACL 연결을 제거합니다.
**참고**
AWS WAF 정책의 범위에 있는 리소스가 [자동 애플리케이션 계층 DDoS 완화](ddos-automatic-app-layer-response.md)로 구성된 Shield Advanced 정책의 범위에 포함되는 경우 Firewall Manager는 AWS WAF 정책에 의해 생성된 웹 ACL을 연결한 후에만 Shield Advanced 보호를 적용합니다.
## Shield 정책에서가 연결되지 않은 웹 ACLs AWS Firewall Manager 관리하는 방법
Firewall Manager가 연결되지 않은 웹 ACL을 정책에서 **연결되지 않은 웹 ACL 관리** 설정을 통해 구성하거나 API의 [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html) 데이터 유형에서 `optimizeUnassociatedWebACLs` 설정을 통해 구성하도록 선택할 수 있습니다. 정책 내 연결되지 않은 웹 ACL의 관리를 활성화하면 Firewall Manager는 하나 이상의 리소스에서 웹 ACL을 사용할 경우에만 정책 범위 내의 계정에 웹 ACL을 생성합니다. 계정이 정책 범위에 포함되는 경우, 하나 이상의 리소스가 웹 ACL을 사용할 경우 Firewall Manager는 계정에 웹 ACL을 자동으로 생성합니다.
연결되지 않은 웹 ACL의 관리를 활성화하면 Firewall Manager는 계정에서 연결되지 않은 웹 ACL을 한 번 정리합니다. 정리 프로세스에는 몇 시간이 걸릴 수 있습니다. Firewall Manager가 웹 ACL을 생성한 후 리소스가 정책 범위를 벗어나는 경우 Firewall Manager는 웹 ACL에서 리소스를 연결하지 않습니다. Firewall Manager가 웹 ACL을 정리하도록 하려면 먼저 웹 ACL에서 리소스를 수동으로 분리한 다음 정책에서 연결되지 않은 웹 ACL 관리 옵션을 활성화해야 합니다.
이 옵션을 활성화하지 않는 경우 Firewall Manager는 연결되지 않은 웹 ACL을 관리하지 않으며 Firewall Manager는 정책 범위 내에 있는 각 계정에 웹 ACL을 자동으로 생성합니다.
## 가 Shield 정책의 범위 변경을 AWS Firewall Manager 관리하는 방법
계정 및 리소스는 정책 범위 설정 변경, 리소스의 태그 변경, 조직에서 계정 제거와 같은 여러 변경 사항으로 인해 AWS Firewall Manager Shield Advanced 정책의 범위를 벗어날 수 있습니다. 정책 범위 설정에 대한 일반적인 내용은 [AWS Firewall Manager 정책 범위 사용](policy-scope.md)을 참조하세요.
AWS Firewall Manager Shield Advanced 정책을 사용하면 계정 또는 리소스가 범위를 벗어나면 Firewall Manager는 계정 또는 리소스 모니터링을 중지합니다.
조직에서 제거되어 계정이 범위를 벗어나는 경우에도 해당 계정은 Shield Advanced를 계속 구독합니다. 이 계정은 더 이상 통합 결제 패밀리의 일부가 아니기 때문에 계정에 비례 할당으로 계산된 Shield Advanced 가입 요금이 발생합니다. 반면, 범위를 벗어났지만 조직에 남아 있는 계정은 추가 요금이 발생하지 않습니다.
Classic WebACL을 사용하는 Shield 정책의 경우 리소스가 범위를 벗어나도 Shield Advanced로 계속 보호되며 Shield Advanced 데이터 전송 요금이 계속 발생합니다.
# Firewall Manager Shield Advanced 정책과 함께 자동 애플리케이션 계층 DDoS 완화 사용
이 페이지에서는 자동 애플리케이션 계층 DDoS 완화가 Firewall Manager와 작동하는 방법을 설명합니다.
Shield Advanced 정책을 Amazon CloudFront 배포 또는 Application Load Balancer에 적용하는 경우 정책에서 Shield Advanced의 자동 애플리케이션 계층 DDoS 완화를 구성할 수 있습니다.
Shield Advanced 자동 완화에 대한 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md)을 참조하세요.
Shield Advanced 자동 애플리케이션 계층 DDoS 완화에는 다음과 같은 요구 사항이 있습니다.
+ 자동 애플리케이션 계층 DDoS 완화는 Amazon CloudFront 배포와 Application Load Balancer에서만 작동합니다.
Shield Advanced 정책을 Amazon CloudFront 배포에 적용하는 경우, **글로벌** 리전에 대해 생성하는 Shield Advanced 정책에 대해 이 옵션을 선택할 수 있습니다. Application Load Balancer에 보호를 적용하는 경우 Firewall Manager가 지원하는 모든 리전에 정책을 적용할 수 있습니다.
+ 자동 애플리케이션 계층 DDoS 완화는 (v2)의 최신 버전을 사용하여 생성된 보호 팩 AWS WAF (웹 ACLs)에서만 작동합니다.
따라서 AWS WAF Classic 웹 ACLs을 사용하는 정책이 있는 경우 정책을의 최신 버전을 자동으로 사용하는 새 정책으로 바꾸 AWS WAF거나 Firewall Manager가 기존 정책에 대한 새 버전 웹 ACLs을 생성하고 이를 사용하도록 전환하도록 해야 합니다. 이러한 옵션에 대한 자세한 내용은 [AWS WAF Classic 웹 ACLs 최신 버전의 웹 ACLs로 대체](#shield-policies-auto-app-layer-update-waf-version)을 참조하세요.
## 자동 완화 구성
Firewall Manager Shield Advanced 정책의 자동 애플리케이션 계층 DDoS 완화 옵션은 Shield Advanced 자동 완화 기능을 정책의 범위 내 계정 및 리소스에 적용합니다. 이 Shield Advanced 기능에 대한 자세한 내용은 [Shield Advanced를 사용하여 애플리케이션 계층 DDoS 자동화](ddos-automatic-app-layer-response.md)을 참조하세요.
Firewall Manager가 정책 범위 내에 있는 CloudFront 배포 또는 Application Load Balancer에 대한 자동 완화 기능을 활성화 또는 비활성화하도록 선택하거나, Shield Advanced 자동 완화 설정을 정책이 무시하도록 선택할 수 있습니다.
+ **활성화** - 자동 완화를 활성화하도록 선택한 경우 Shield Advanced 규칙 완화 시 일치하는 웹 요청을 카운트할지 아니면 차단할지 여부도 지정합니다. Firewall Manager는 자동 완화 기능이 활성화되어 있지 않거나 정책에 지정한 것과 일치하지 않는 규칙 동작을 사용하는 경우 범위 내 리소스를 비준수로 표시합니다. 자동 수정을 위한 정책을 구성하면 Firewall Manager는 필요에 따라 비준수 리소스를 업데이트합니다.
+ **비활성화** - 자동 완화를 사용하지 않도록 선택하면 Firewall Manager는 범위 내 리소스에 자동 완화 기능이 활성화되어 있는 경우 해당 리소스를 비준수로 표시합니다. 자동 수정을 위한 정책을 구성하면 Firewall Manager는 필요에 따라 비준수 리소스를 업데이트합니다.
+ **무시** - 자동 완화를 무시하도록 선택하면 Firewall Manager는 정책에 대한 수정 작업을 수행할 때 Shield 정책의 자동 완화 설정을 고려하지 않습니다. 이 설정을 사용하면 Firewall Manager가 해당 설정을 덮어쓰지 않고도 Shield Advanced를 통해 자동 완화 기능을 제어할 수 있습니다. Shield Advanced를 통해 관리되는 Classic Load Balancer 또는 Elastic IP 리소스에는 이 설정이 적용되지 않습니다. Shield Advanced는 현재 해당 리소스에 대한 L7 자동 완화를 지원하지 않기 때문입니다.
## AWS WAF Classic 웹 ACLs 최신 버전의 웹 ACLs로 대체
자동 애플리케이션 계층 DDoS 완화는 (v2)의 최신 버전을 사용하여 생성된 보호 팩 AWS WAF (웹 ACLs)에서만 작동합니다.
Shield Advanced 정책의 웹 ACL 버전을 확인하려면 [Shield Advanced 정책에서 AWS WAF 사용하는 버전 확인](shield-policies-identify-waf-version.md)을 참조하세요.
Shield Advanced 정책에서 자동 완화를 사용하려는 경우 정책에서 현재 AWS WAF Classic 웹 ACLs 사용하는 경우 새 Shield Advanced 정책을 생성하여 현재 정책을 대체하거나이 섹션에 설명된 옵션을 사용하여 이전 버전 웹 ACLs을 현재 Shield Advanced 정책 내의 새 (v2) 웹 ACLs로 대체할 수 있습니다. 새 정책은 항상 최신 버전의를 사용하여 웹 ACLs을 생성합니다 AWS WAF. 전체 정책을 교체하는 경우 정책을 삭제할 때 Firewall Manager에서 이전 버전의 웹 ACL도 모두 삭제하도록 할 수 있습니다. 이 섹션의 나머지 부분에서는 기존 정책 내의 웹 ACL을 교체하기 위한 옵션에 대해 설명합니다.
Amazon CloudFront 리소스에 대한 기존 Shield Advanced 정책을 수정하면 Firewall Manager는 v2 웹 ACL이 아직 없는 범위 내 계정에서 정책에 대한 새 빈 AWS WAF (v2) 웹 ACL을 자동으로 생성할 수 있습니다. Firewall Manager가 새 웹 ACL을 생성할 때 정책에 이미 동일한 계정에 AWS WAF Classic 웹 ACL이 있는 경우 Firewall Manager는 기존 웹 ACL과 동일한 기본 작업 설정으로 새 버전 웹 ACL을 구성합니다. 기존 AWS WAF Classic 웹 ACL이 없는 경우 Firewall Manager는 새 웹 ACLAllow에서 기본 작업을 로 설정합니다. Firewall Manager에서 새 웹 ACL을 생성한 후 AWS WAF 콘솔을 통해 필요에 따라 이를 사용자 지정할 수 있습니다.
다음 정책 구성 옵션 중 하나를 선택하면 Firewall Manager는 아직 해당 옵션이 없는 범위 내 계정에 대해 새 (v2) 웹 ACL을 생성합니다.
+ 자동 애플리케이션 계층 DDoS 완화를 활성화 또는 비활성화하는 경우. 이 선택만 해도 Firewall Manager는 새 웹 ACL을 생성할 뿐 정책의 범위 내 리소스에 있는 기존 AWS WAF 클래식 웹 ACL 연결을 대체하지 않습니다.
+ 자동 문제 해결의 정책 작업을 선택하고 AWS WAF Classic 웹 ACLs을 AWS WAF (v2) 웹 ACLs로 바꾸는 옵션을 선택합니다. 자동 애플리케이션 계층 DDoS 완화에 대한 구성 선택 사항과 상관없이 이전 버전의 웹 ACL을 교체하도록 선택할 수 있습니다.
대체 옵션을 선택하면 Firewall Manager는 필요에 따라 새 버전의 웹 ACL을 생성한 다음 정책의 범위 내 리소스에 대해 다음을 수행합니다.
+ 리소스가 다른 활성 Firewall Manager 정책의 웹 ACL과 연결된 경우 Firewall Manager는 연결을 그대로 둡니다.
+ 다른 경우 Firewall Manager는 AWS WAF Classic 웹 ACL과의 연결을 제거하고 리소스를 정책의 AWS WAF (v2) 웹 ACL과 연결합니다.
원하는 경우 Firewall Manager에서 이전 버전의 웹 ACL을 새 버전의 웹 ACL로 교체하도록 선택할 수 있습니다. 이전에 정책의 AWS WAF 클래식 웹 ACL을 사용자 지정한 경우 Firewall Manager에서 대체 단계를 수행하도록 선택하기 전에 새 버전의 웹 ACL을 유사한 설정으로 업데이트할 수 있습니다.
AWS WAF 또는 AWS WAF Classic용 동일 버전 콘솔을 통해 정책의 웹 ACL 버전에 액세스할 수 있습니다.
Firewall Manager는 정책 자체를 삭제할 때까지 교체된 AWS WAF Classic 웹 ACLs을 삭제하지 않습니다. 정책에서 AWS WAF Classic 웹 ACLs을 더 이상 사용하지 않으면 원하는 경우 삭제할 수 있습니다.
# Shield Advanced 정책에서 AWS WAF 사용하는 버전 확인
이 페이지에서는 Shield Advanced 정책에서 사용하는 AWS WAF 웹 ACL 버전을 확인하는 방법을 설명합니다.
정책의 AWS Config 서비스 연결 규칙에서 파라미터 키를 확인하여 AWS WAF Firewall Manager Shield Advanced 정책에서 사용하는 버전을 확인할 수 있습니다. 사용 중인 AWS WAF 버전이 최신 버전인 경우 파라미터 키에는 `policyId` 및가 포함됩니다`webAclArn`. 이전 버전인 AWS WAF Classic인 경우 파라미터 키에는 `webAclId` 및가 포함됩니다`resourceTypes`.
AWS Config 규칙은 정책이 범위 내 리소스와 함께 현재 사용 중인 웹 ACLs에 대한 키만 나열합니다.
**AWS WAF Firewall Manager Shield Advanced 정책에서 사용하는 버전을 확인하려면**
1. Shield Advanced 정책의 정책 ID를 검색하십시오.
1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
1. 탐색 창에서 **보안 정책**을 선택합니다.
1. 정책의 리전을 선택합니다. CloudFront 배포의 경우 `Global`과 같습니다.
1. 원하는 정책을 찾아 해당 **정책 ID**의 값을 복사하십시오.
정책 ID 예제: `1111111-2222-3333-4444-a55aa5aaa555`.
1. 문자열에 정책 ID를 추가하여 정책의 AWS Config 규칙 이름을 생성합니다`FMManagedShieldConfigRule`.
AWS Config 규칙 이름의 예: `FMManagedShieldConfigRule1111111-2222-3333-4444-a55aa5aaa555`.
1. 연결된 AWS Config 규칙의 파라미터에서 `policyId` 및 라는 키를 검색합니다`webAclArn`.
1. [https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) AWS Config 콘솔을 엽니다.
1. 탐색 창에서 **규칙**을 선택합니다.
1. 목록에서 Firewall Manager 정책의 AWS Config 규칙 이름을 찾아 선택합니다. 역할 페이지가 열립니다.
1. **파라미터** 섹션의 **규칙 세부 정보**에서 키를 확인합니다. 이름이 `policyId` 및 `webAclArn`인 키를 찾은 경우 정책은 최신 버전의 AWS WAF을 사용하여 만든 웹 ACL을 사용합니다. `webAclId` 및 라는 키를 찾으면 `resourceTypes`정책은 이전 버전인 AWS WAF Classic을 사용하여 생성된 웹 ACLs을 사용합니다.
# Firewall Manager의 보안 그룹 정책을 사용하여 Amazon VPC 보안 그룹 관리
이 페이지에서는 AWS Firewall Manager 보안 그룹 정책을 사용하여 조직의 Amazon Virtual Private Cloud 보안 그룹을 관리하는 방법을 설명합니다 AWS Organizations. 중앙에서 제어하는 보안 그룹 정책을 전체 조직 또는 선택한 계정 및 리소스 하위 집합에 적용할 수 있습니다. 또한 감사 및 사용 보안 그룹 정책을 사용하여 조직에서 사용 중인 보안 그룹 정책을 모니터링하고 관리할 수 있습니다.
Firewall Manager는 정책을 지속적으로 유지 관리하고 조직 전체에서 추가되거나 업데이트되는 계정과 리소스에 적용합니다. 에 대한 자세한 내용은 [AWS Organizations 사용 설명서를](https://docs.aws.amazon.com/organizations/latest/userguide/) AWS Organizations참조하세요.
Amazon Virtual Private Cloud 보안 그룹에 관한 자세한 내용은 *Amazon VPC 사용 설명서*의 [VPC의 보안 그룹](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)을 참조하세요.
Firewall Manager 보안 그룹 정책을 사용하여 AWS 조직 전체에서 다음을 수행할 수 있습니다.
+ 지정된 계정과 리소스에 공통 보안 그룹을 적용합니다.
+ 보안 그룹 규칙을 감사하여 규정 미준수 규칙을 찾고 문제를 해결합니다.
+ 보안 그룹의 사용을 감사하여 사용되지 않는 보안 그룹과 중복 보안 그룹을 정리합니다.
이 단원에서는 Firewall Manager 보안 그룹 정책의 작동 방식을 다루고 정책 사용 지침을 제공합니다. 보안 그룹 정책을 생성하는 절차는 [AWS Firewall Manager 정책 생성](create-policy.md)을 참조하세요.
## 보안 그룹 정책의 모범 사례
이 단원에서는 AWS Firewall Manager를 사용하여 보안 그룹을 관리하기 위한 권장 사항을 설명합니다.
**Firewall Manager 관리자 계정 제외**
정책 범위를 설정할 때 Firewall Manager 관리자 계정을 제외합니다. 콘솔을 통해 사용 감사 보안 그룹 정책을 생성할 때는 이 작업이 기본 옵션입니다.
**자동 문제 해결이 비활성화된 상태로 시작**
콘텐츠 또는 사용 감사 보안 그룹 정책의 경우 자동 문제 해결이 비활성화된 상태로 시작합니다. 정책 세부 정보를 검토하여 자동 문제 해결이 미칠 수 있는 영향을 확인합니다. 변경 내용이 원하는 대로 만족스러우면 정책을 편집하여 자동 문제 해결을 활성화합니다.
**외부 소스도 사용하여 보안 그룹을 관리하는 경우 충돌 방지**
Firewall Manager 이외의 도구 또는 서비스를 사용하여 보안 그룹을 관리하는 경우 Firewall Manager의 설정과 외부 소스의 설정 간에 충돌이 발생하지 않도록 주의하십시오. 자동 문제 해결을 사용할 때 설정이 충돌하는 경우 충돌하는 문제 해결 주기가 생성되어 양쪽에서 리소스를 소비할 수 있습니다.
예를 들어 AWS 리소스 집합에 대한 보안 그룹을 유지 관리하도록 다른 서비스를 구성하고 동일한 리소스의 일부 또는 전체에 대해 또 다른 보안 그룹을 유지 관리하도록 Firewall Manager 정책을 구성한다고 가정합니다. 한 서비스를 다른 보안 그룹이 범위 내 리소스와 연결되지 않도록 구성하면 해당 서비스가 다른 서비스에서 유지 관리하는 보안 그룹 연결을 제거합니다. 양측 모두 이러한 방식으로 구성되면 충돌하는 연결 해제 및 연결 주기가 발생할 수 있습니다.
또한 Firewall Manager 감사 정책을 만들어 다른 서비스의 보안 그룹 구성과 충돌하는 보안 그룹 구성을 적용한다고 가정해 보겠습니다. Firewall Manager 감사 정책에 의해 적용된 문제 해결이 해당 보안 그룹을 업데이트하거나 삭제하여 다른 서비스가 규정 준수에서 벗어날 수 있습니다. 다른 서비스가 발견된 문제를 모니터링하고 자동으로 해결하도록 구성된 경우 이 서비스가 보안 그룹을 다시 생성하거나 업데이트하여 다시 Firewall Manager 감사 정책을 준수하지 않게 됩니다. Firewall Manager 감사 정책이 자동 문제 해결로 구성된 경우 이 정책이 다시 외부 보안 그룹을 업데이트하거나 삭제하는 식으로 계속 반복됩니다.
이와 같은 충돌을 피하려면 Firewall Manager와 외부 소스 간에 상호 배타적인 구성을 만들어야 합니다.
태그 지정을 사용하여 Firewall Manager 정책에 따라 외부 보안 그룹을 자동 문제 해결에서 제외할 수 있습니다. 이렇게 하려면 보안 그룹 또는 외부 소스에서 관리하는 다른 리소스에 태그를 하나 이상 추가합니다. 그런 다음 Firewall Manager 정책 범위를 정의할 때 리소스 사양에서 추가한 태그가 있는 리소스를 제외합니다.
마찬가지로 외부 도구 또는 서비스에서 Firewall Manager가 관리하는 보안 그룹을 관리 또는 감사 활동에서 제외합니다. Firewall Manager 리소스를 가져오거나 외부 관리에서 제외하기 위해 Firewall Manager 고유 태그를 지정하지 마십시오.
**사용량 감사 보안 그룹 정책의 모범 사례**
사용량 감사 보안 그룹 정책을 사용할 때는 다음 지침을 따르세요.
+ 15분 기간 이내와 같이 짧은 시간 내에 보안 그룹의 연결 상태를 여러 번 변경하지 마세요. 그렇게 하면 Firewall Manager가 해당 이벤트의 일부 또는 전부를 놓칠 수 있습니다. 예를 들어 보안 그룹을 탄력적 네트워크 인터페이스와 빠르게 연결하고 연결 해제하지 마세요.
## 보안 그룹 정책 주의 사항 및 제한 사항
이 섹션에는 Firewall Manager 보안 그룹 정책 사용에 대한 주의 사항 및 제한 사항이 나와 있습니다.
**리소스 유형: Amazon EC2 인스턴스**
이 섹션에는 Firewall Manager 보안 그룹 정책을 사용하여 Amazon EC2 인스턴스를 보호하기 위한 주의 사항 및 제한 사항이 나와 있습니다.
+ Amazon EC2 탄력적 네트워크 인터페이스(ENI)를 보호하는 보안 그룹을 사용하는 경우, 보안 그룹에 대한 변경 사항은 Firewall Manager에 즉시 표시되지 않습니다. Firewall Manager는 일반적으로 몇 시간 내에 변경 사항을 탐지하지만 탐지는 최대 6시간까지 지연될 수 있습니다.
+ Firewall Manager는 Amazon 관계형 데이터베이스 서비스에서 생성한 Amazon EC2 ENI의 보안 그룹을 지원하지 않습니다.
+ Firewall Manager는 Fargate 서비스 유형을 사용하여 생성된 Amazon EC2 ENI의 보안 그룹 업데이트를 지원하지 않습니다. 하지만 Amazon ECS 서비스 유형을 사용하여 Amazon EC2 ENI에 대한 보안 그룹을 업데이트할 수 있습니다.
+ Firewall Manager는 요청자 관리형 Amazon EC2 ENI의 보안 그룹 업데이트를 지원하지 않습니다. Firewall Manager는 이를 수정할 권한이 없기 때문입니다.
+ 일반적인 보안 그룹 정책의 경우 이러한 주의 사항은 EC2 인스턴스에 연결된 탄력적 네트워크 인터페이스(ENI) 수와 추가되지 않은 EC2 인스턴스만 수정할지 또는 모든 인스턴스를 수정할지 지정하는 정책 옵션 간의 상호 작용과 관련이 있습니다. 모든 EC2 인스턴스에는 기본값인 기본 ENI가 있으며 더 많은 ENI를 연결할 수 있습니다. API에서 이 선택에 대한 정책 옵션 설정은 `ApplyToAllEC2InstanceENIs`입니다.
범위 내 EC2 인스턴스에 추가 ENI가 연결되어 있고 정책이 기본 ENI만 있는 EC2 인스턴스만 포함하도록 구성된 경우 Firewall Manager는 EC2 인스턴스에 대한 문제 해결을 시도하지 않습니다. 또한 인스턴스가 정책 범위를 벗어나는 경우 Firewall Manager는 인스턴스에 대해 설정했을 수 있는 보안 그룹 연결을 연결 해제하려고 시도하지 않습니다.
다음 엣지 사례의 경우 리소스 정리 중에 Firewall Manager는 정책의 리소스 정리 사양에 관계없이 복제된 보안 그룹 연결을 그대로 둘 수 있습니다.
+ 추가 ENI가 있는 인스턴스가 이전에 모든 EC2 인스턴스를 포함하도록 구성된 정책에 의해 문제 해결된 경우, 그러면 인스턴스가 정책 범위를 벗어났거나 추가 ENI 없는 인스턴스만 포함하도록 변경되었습니다.
+ 추가 ENI가 없는 인스턴스가 추가 ENI가 없는 인스턴스만 포함하도록 구성된 정책에 의해 문제 해결된 경우, 그러면 다른 ENI가 인스턴스에 연결된 다음 인스턴스가 정책 범위를 벗어났습니다.
**기타 주의 사항 및 제한 사항**
다음은 Firewall Manager 보안 그룹 정책에 대한 기타 경고 및 제한 사항입니다.
+ Firewall Manager 보안 그룹 정책은를 통해 공유되는 보안 그룹을 지원하지 않습니다 AWS RAM.
+ AWS RAM 를 사용하여 조직 전체에서 접두사 목록을 공유하는 것은 Firewall Manager에서 공식적으로 지원되는 기능이 아닙니다. 현재는 작동하지만가 해당 사용 사례에 대한 지원을 AWS 제공할 의무나 계속 작동한다는 보장은 없습니다.
+ Amazon ECS ENI 업데이트는 롤링 업데이트(Amazon ECS) 배포 컨트롤러를 사용하는 Amazon ECS 서비스에 대해서만 가능합니다. CODE\$1DEPLOY 또는 외부 컨트롤러와 같은 다른 Amazon ECS 배포 컨트롤러의 경우 현재 Firewall Manager는 ENI를 업데이트할 수 없습니다.
+ Firewall Manager는 Network Load Balancer에 대한 ENI의 보안 그룹 업데이트를 지원하지 않습니다.
+ 공통 보안 그룹 정책에서 공유 VPC가 나중에 계정과 공유되지 않는 경우 Firewall Manager는 계정의 복제본 보안 그룹을 삭제하지 않습니다.
+ 사용량 감사 보안 그룹 정책을 사용하면 모든 범위가 동일한 사용자 지정 지연 시간 설정으로 여러 정책을 생성하는 경우 규정 준수 조사 결과가 포함된 첫 번째 정책은 조사 결과를 보고하는 정책이 됩니다.
## 보안 그룹 정책 사용 사례
AWS Firewall Manager 공통 보안 그룹 정책을 사용하여 Amazon VPC 인스턴스 간 통신을 위한 호스트 방화벽 구성을 자동화할 수 있습니다. 이 단원에서는 표준 Amazon VPC 아키텍처를 나열하고 Firewall Manager 공통 보안 그룹 정책을 사용하여 각 아키텍처를 보호하는 방법을 설명합니다. 이러한 보안 그룹 정책을 사용하면 통합된 규칙 세트를 적용하여 다양한 계정의 리소스를 선택하고 Amazon Elastic Compute Cloud 및 Amazon VPC에서 계정별 구성을 피할 수 있습니다.
Firewall Manager 공통 보안 그룹 정책을 사용하면 다른 Amazon VPC의 인스턴스와 통신하는 데 필요한 EC2 탄력적 네트워크 인터페이스에만 태그를 지정할 수 있습니다. 동일한 Amazon VPC의 다른 인스턴스는 더 안전하게 보호되고 격리됩니다.
**사용 사례: Application Load Balancer 및 Classic Load Balancer에 대한 요청 모니터링 및 제어**
Firewall Manager 공통 보안 그룹 정책을 사용하여 범위 내 로드 밸런서가 처리해야 하는 요청을 정의할 수 있습니다. Firewall Manager 콘솔을 통해 이를 구성할 수 있습니다. 보안 그룹의 인바운드 규칙을 준수하는 요청만 로드 밸런서에 도달할 수 있으며, 로드 밸런서는 아웃바운드 규칙을 충족하는 요청만 배포합니다.
**사용 사례: 인터넷에 액세스할 수 있는 퍼블릭 Amazon VPC**
Firewall Manager 공통 보안 그룹 정책을 사용하여 퍼블릭 Amazon VPC를 보호할 수 있습니다. 예를 들면, 인바운드 포트 443만 허용할 수 있습니다. 이렇게 하면 퍼블릭 VPC에 대한 인바운드 HTTPS 트래픽만 허용하는 것과 같습니다. VPC 내의 퍼블릭 리소스(예: “PublicVpc”)에 태그를 지정한 다음 Firewall Manager 정책 범위를 해당 태그가 있는 리소스만으로 설정할 수 있습니다. Firewall Manager는 해당 리소스에 정책을 자동으로 적용합니다.
**사용 사례: 퍼블릭 및 프라이빗 Amazon VPC 인스턴스**
인터넷에서 액세스할 수 있는 퍼블릭 Amazon VPC 인스턴스에 대한 이전 사용 사례에서 권장되는 것과 동일한 공통 보안 그룹 정책을 퍼블릭 리소스에 사용할 수 있습니다. 두 번째 공통 보안 그룹 정책을 사용하여 퍼블릭 리소스와 프라이빗 리소스 간의 통신을 제한할 수 있습니다. 퍼블릭 및 프라이빗 Amazon VPC 인스턴스의 리소스에 “PublicPribate”과 같은 태그를 지정하여 두 번째 정책을 이러한 리소스에 적용합니다. 세 번째 정책을 사용하여 프라이빗 리소스와 기타 기업 또는 프라이빗 Amazon VPC 인스턴스 간에 허용되는 통신을 정의할 수 있습니다. 이 정책의 경우 프라이빗 리소스에서 다른 식별 태그를 사용할 수 있습니다.
**사용 사례: 허브 및 스포크 Amazon VPC 인스턴스**
공통 보안 그룹 정책을 사용하여 허브 Amazon VPC 인스턴스와 스포크 Amazon VPC 인스턴스 간의 통신을 정의할 수 있습니다. 두 번째 정책을 사용하여 각 스포크 Amazon ECS 인스턴스에서 허브 Amazon ECS 인스턴스로 연결되는 통신을 정의할 수 있습니다.
**사용 사례: Amazon EC2 인스턴스의 기본 네트워크 인터페이스**
공통 보안 그룹 정책을 사용하여 내부 SSH 및 패치/OS 업데이트 서비스와 같은 표준 통신만 허용하고 다른 안전하지 않은 통신을 허용하지 않을 수 있습니다.
**사용 사례: 공개 권한이 있는 리소스 식별**
감사 보안 그룹 정책을 사용하여 퍼블릭 IP 주소와 통신할 권한이 있거나 타사 공급업체에 속한 IP 주소가 있는 조직 내의 모든 리소스를 식별할 수 있습니다.
# Firewall Manager로 공통 보안 그룹 정책 사용
이 페이지에서는 Firewall Manager 공통 보안 그룹 정책이 작동하는 방식을 설명합니다.
공통 보안 그룹 정책을 사용하면 Firewall Manager는 조직 전체에서 계정과 리소스에 대한 보안 그룹의 연결을 중앙에서 제어할 수 있습니다. 조직에서 정책을 적용할 위치와 방법을 지정합니다.
다음과 같은 리소스 유형에 공통 보안 그룹 정책을 적용할 수 있습니다.
+ Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스
+ 탄력적 네트워크 인터페이스
+ Application Load Balancer
+ Classic Load Balancer
콘솔을 사용하여 공통 보안 그룹 정책을 생성하는 방법에 대한 지침은 [공통 보안 그룹 정책 생성](create-policy.md#creating-firewall-manager-policy-common-security-group)을 참조하세요.
**공유 VPC**
공통 보안 그룹 정책에 대한 정책 범위 설정에서 공유 VPC를 포함하도록 선택할 수 있습니다. 이 옵션에는 다른 계정이 소유하고 범위 내 계정과 공유되는 VPC가 포함됩니다. 범위 내 계정이 소유한 VPC는 항상 포함됩니다. 공유 VPC에 대한 자세한 내용은 *Amazon VPC 사용 설명서*의 [공유 VPC 작업](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)을 참조하세요.
공유 VPC 포함에는 다음과 같은 주의 사항이 적용됩니다. 다음은 [보안 그룹 정책 주의 사항 및 제한 사항](security-group-policies.md#security-groups-limitations)에서 보안 그룹 정책에 대한 일반적인 주의 사항에 추가됩니다.
+ Firewall Manager는 범위 내 각 계정에 대해 기본 보안 그룹을 VPC에 복제합니다. 공유 VPC의 경우, Firewall Manager는 VPC가 공유되는 범위 내 각 계정에 대해 기본 보안 그룹을 한 번 복제합니다. 이로 인해 단일 공유 VPC에 여러 개의 복제본이 생성될 수 있습니다.
+ 새 공유 VPC를 생성하면 정책 범위 내에 있는 VPC에 리소스를 하나 이상 생성할 때까지 해당 공유 VPC가 Firewall Manager 보안 그룹 정책 세부 정보에 표시되지 않습니다.
+ 공유 VPC가 활성화된 정책에서 공유 VPC를 비활성화하면 공유 VPC에서 Firewall Manager는 리소스와 연결되지 않은 복제본 보안 그룹을 삭제합니다. Firewall Manager는 나머지 복제본 보안 그룹을 그대로 두지만 관리를 중단합니다. 나머지 보안 그룹을 제거하려면 각 공유 VPC 인스턴스에서 수동으로 관리해야 합니다.
**기본 보안 그룹**
각 공통 보안 그룹 정책에 대해 AWS Firewall Manager 하나 이상의 기본 보안 그룹을 제공합니다.
+ 기본 보안 그룹은 Firewall Manager 관리자 계정으로 생성해야 하며 계정의 모든 Amazon VPC 인스턴스에 상주할 수 있습니다.
+ Amazon Virtual Private Cloud(Amazon VPC) 또는 Amazon Elastic Compute Cloud(Amazon EC2)를 통해 기본 보안 그룹을 관리할 수 있습니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [보안 그룹 작업](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)을 참조하세요.
+ 하나 이상의 보안 그룹을 Firewall Manager 보안 그룹 정책의 기본 그룹으로 지정할 수 있습니다. 기본적으로 정책에 허용된 보안 그룹 수는 1이지만 요청을 제출하여 수를 증가시킬 수 있습니다. 자세한 내용은 [AWS Firewall Manager 할당량](fms-limits.md)을 참조하세요.
**정책 규칙 설정**
공통 보안 그룹 정책의 보안 그룹 및 리소스에 대해 다음 변경 제어 동작 중 하나 이상을 선택할 수 있습니다.
+ 로컬 사용자가 변경한 내용을 식별하고 복제본 보안 그룹으로 되돌립니다.
+ 정책 범위 내에 있는 AWS 리소스에서 다른 보안 그룹을 연결 해제합니다.
+ 기본 그룹의 태그를 복제본 보안 그룹에 배포합니다.
**중요**
Firewall Manager는 AWS 서비스에 의해 추가된 시스템 태그를 복제본 보안 그룹에 배포하지 않습니다. 시스템 태그는 `aws:` 접두사로 시작합니다. 정책에 조직의 태그 정책과 충돌하는 태그가 있는 경우 Firewall Manager는 기존 보안 그룹의 태그를 업데이트하거나 새 보안 그룹을 만들지 않습니다. 태그 정책에 대한 자세한 내용은 AWS Organizations 사용 설명서의 [태그 정책을](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) 참조하세요.
+ 기본 그룹에서 복제본 보안 그룹으로 보안 그룹을 배포합니다.
이를 통해 모든 범위 내 리소스에서 지정된 보안 그룹의 VPC와 연결된 인스턴스에 대해 공통 보안 그룹 참조 규칙을 쉽게 설정할 수 있습니다. 이 옵션을 활성화하면 Firewall Manager는 보안 그룹이 Amazon Virtual Private Cloud의 피어 보안 그룹을 참조하는 경우에만 보안 그룹 참조를 전파합니다. 복제 보안 그룹이 피어 보안 그룹을 올바르게 참조하지 않는 경우 Firewall Manager는 이러한 복제된 보안 그룹을 비준수로 표시합니다. Amazon VPC에서 피어 보안 그룹을 참조하는 방법에 대한 자세한 내용은 [Amazon VPC 피어링 안내서](https://docs.aws.amazon.com/vpc/latest/peering/)의 [피어링된 보안 그룹을 참조하도록 보안 그룹 업데이트](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html)를 참조하세요.
이 옵션을 활성화하지 않으면 Firewall Manager는 보안 그룹 참조를 복제본 보안 그룹에 전파하지 않습니다. Amazon VPC의 VPC 피어링에 대한 자세한 내용은 [Amazon VPC 피어링 안내서](https://docs.aws.amazon.com/vpc/latest/peering/)를 참조하세요.
**정책 생성 및 관리**
공통 보안 그룹 정책을 생성하면 Firewall Manager는 기본 보안 그룹을 정책 범위 내의 모든 Amazon VPC 인스턴스에 복제하고 복제된 보안 그룹을 정책 범위에 있는 계정과 리소스에 연결합니다. 기본 보안 그룹을 수정하면 Firewall Manager는 변경 사항을 복제본에 전파합니다.
공통 보안 그룹 정책을 삭제하면 정책에서 생성된 리소스를 정리할지 여부를 선택할 수 있습니다. Firewall Manager 공통 보안 그룹의 경우 이러한 리소스는 복제본 보안 그룹입니다. 정책을 삭제한 후 각 개별 복제본을 수동으로 관리하려는 경우가 아니면 정리 옵션을 선택합니다. 대부분의 경우 정리 옵션을 선택하는 것이 가장 간단한 접근 방식입니다.
**복제본을 관리하는 방법**
Amazon VPC 인스턴스의 복제본 보안 그룹은 다른 Amazon VPC 보안 그룹과 같은 방식으로 관리됩니다. 자세한 정보는 *Amazon VPC 사용 설명서*의 [VPC의 보안 그룹](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)을 참조하세요.
# Firewall Manager로 콘텐츠 감사 보안 그룹 정책 사용
이 페이지에서는 Firewall Manager 콘텐츠 감사 보안 그룹 정책이 작동하는 방법을 설명합니다.
AWS Firewall Manager 콘텐츠 감사 보안 그룹 정책을 사용하여 조직의 보안 그룹에서 사용 중인 규칙에 정책 작업을 감사하고 적용합니다. 콘텐츠 감사 보안 그룹 정책은 정책에서 정의한 범위에 따라 AWS 조직에서 사용 중인 모든 고객 생성 보안 그룹에 적용됩니다.
콘솔을 사용한 콘텐츠 감사 보안 그룹 정책 생성에 대한 지침은 [콘텐츠 감사 보안 그룹 정책 생성](create-policy.md#creating-firewall-manager-policy-audit-security-group)을 참조하세요.
**정책 범위 리소스 유형**
다음과 같은 리소스 유형에 콘텐츠 감사 보안 그룹 정책을 적용할 수 있습니다.
+ Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스
+ 탄력적 네트워크 인터페이스
+ Amazon VPC 보안 그룹
보안 그룹이 명시적으로 범위 내에 있거나 범위 내에 있는 리소스와 연결되어 있는 경우 보안 그룹은 정책 범위 내에서 고려됩니다.
**정책 규칙 옵션**
각 콘텐츠 감사 정책에는 관리형 정책 규칙 또는 사용자 지정 정책 규칙을 사용할 수 있지만 둘 다 사용할 수는 없습니다.
+ **관리형 정책 규칙** - 관리형 규칙이 포함된 정책에서는 애플리케이션 및 프로토콜 목록을 사용하여 Firewall Manager가 감사하고 준수 또는 비준수로 표시하는 규칙을 제어할 수 있습니다. Firewall Manager에서 관리하는 목록을 사용할 수 있습니다. 자체 애플리케이션 및 프로토콜 목록을 만들어 사용할 수도 있습니다. 이러한 유형의 목록 및 사용자 지정 목록의 관리 옵션에 대한 자세한 내용은 [Firewall Manager 관리형 목록 사용](working-with-managed-lists.md)을 참조하세요.
+ **사용자 지정 정책 규칙** - 사용자 지정 정책 규칙이 포함된 정책에서는 기존 보안 그룹을 정책의 감사 보안 그룹으로 지정합니다. 감사 보안 그룹 규칙을 Firewall Manager가 감사하고 준수 또는 비준수로 표시하는 규칙을 정의하는 템플릿으로 사용할 수 있습니다.
**감사 보안 그룹**
정책에서 사용할 수 있으려면 먼저 Firewall Manager 관리자 계정을 사용하여 이러한 감사 보안 그룹을 만들어야 합니다. Amazon Virtual Private Cloud(Amazon VPC) 또는 Amazon Elastic Compute Cloud(Amazon EC2)를 통해 보안 그룹을 관리할 수 있습니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [보안 그룹 작업](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)을 참조하세요.
콘텐츠 감사 보안 그룹 정책에 사용하는 보안 그룹은 Firewall Manager에서 정책의 범위에 있는 보안 그룹에 대한 비교 참조로만 사용됩니다. Firewall Manager는 이를 조직의 어떤 리소스와도 연결하지 않습니다.
감사 보안 그룹에서 규칙을 정의하는 방법은 정책 규칙 설정에 따라 달라집니다.
+ **관리형 정책 규칙** - 관리형 정책 규칙 설정의 경우 감사 보안 그룹을 사용하여 정책의 다른 설정을 재정의하고 다른 규정 준수 결과를 초래할 수 있는 규칙을 명시적으로 허용하거나 거부합니다.
+ 감사 보안 그룹에 정의된 규칙을 항상 *허용*하도록 선택하면 감사 보안 그룹에 정의된 규칙과 일치하는 모든 규칙이 다른 정책 설정과 상관없이 정책을 *준수*하는 것으로 간주됩니다.
+ 감사 보안 그룹에 정의된 규칙을 항상 *거부*하도록 선택하면 감사 보안 그룹에 정의된 규칙과 일치하는 모든 규칙이 다른 정책 설정과 상관없이 정책을 *미준수*하는 것으로 간주됩니다.
+ **사용자 지정 정책 규칙** - 사용자 지정 정책 규칙 설정의 경우 감사 보안 그룹은 범위 내 보안 그룹 규칙에 허용되거나 허용되지 않는 항목의 예를 제공합니다.
+ 규칙 사용을 *허용하도록* 선택한 경우 범위 내 모든 보안 그룹에는 정책의 감사 보안 그룹 규칙의 허용 범위 *내에* 있는 규칙만 있어야 합니다. *이 경우 정책의 보안 그룹 규칙은 수행하도록 허용할 수 있는 작업의 예를 제공합니다.*
+ 규칙 사용을 *거부하도록* 선택한 경우 범위 내 모든 보안 그룹에는 정책의 감사 보안 그룹 규칙의 허용 범위 *내에 없는* 규칙만 있어야 합니다. *이 경우 정책의 보안 그룹은 수행하도록 허용할 수 없는 작업의 예를 제공합니다.*
**정책 생성 및 관리**
감사 보안 그룹 정책을 생성할 때 자동 문제 해결을 비활성화해야 합니다. 자동 문제 해결을 활성화하기 전에 정책 생성의 효과를 검토하는 것이 좋습니다. 예상되는 효과를 검토한 후 정책을 편집하고 자동 문제 해결을 활성화할 수 있습니다. 자동 문제 해결을 활성화하면 Firewall Manager는 범위 내 보안 그룹에서 규정을 준수하지 않는 규칙을 업데이트하거나 제거합니다.
**감사 보안 그룹 정책의 영향을 받는 보안 그룹**
조직에서 고객이 생성한 모든 보안 그룹은 감사 보안 그룹 정책의 범위에 속할 수 있습니다.
복제본 보안 그룹은 고객이 생성한 것이 아니므로 감사 보안 그룹 정책의 범위에 직접 포함될 수 없습니다. 하지만 복제본 보안 그룹은 정책의 자동 문제 해결 활동의 결과로 업데이트될 수 있습니다. 공통 보안 그룹 정책의 기본 보안 그룹은 고객이 생성하며 감사 보안 그룹 정책의 범위에 속할 수 있습니다. 감사 보안 그룹 정책에 따라 기본 보안 그룹이 변경되는 경우 Firewall Manager는 이러한 변경 사항을 복제본에 자동으로 전파합니다.
## 콘텐츠 감사 보안 그룹 정책에 대한 주의 사항 및 제한 사항
콘텐츠 감사 보안 그룹 정책에서는 피어 보안 그룹을 참조할 수 없습니다.
모든 Firewall Manager 보안 그룹의 기타 고려 사항에 대한 자세한 내용은 [보안 그룹 정책 주의 사항 및 제한 사항](security-group-policies.md#security-groups-limitations) 섹션을 참조하세요.
# Firewall Manager에서 사용량 감사 보안 그룹 정책 사용
이 페이지에서는 Firewall Manager 사용량 감사 보안 그룹 정책이 작동하는 방식을 설명합니다.
AWS Firewall Manager 사용량 감사 보안 그룹 정책을 사용하여 조직에 미사용 및 중복 보안 그룹이 있는지 모니터링하고 선택적으로 정리를 수행합니다. 이 정책에 대해 자동 문제 해결을 활성화하면 Firewall Manager에서 다음을 수행합니다.
1. 해당 옵션을 선택한 경우 중복 보안 그룹을 통합합니다.
1. 해당 옵션을 선택한 경우 사용하지 않는 보안 그룹을 제거합니다.
다음과 같은 리소스 유형에 사용 감사 보안 그룹 정책을 적용할 수 있습니다.
+ Amazon VPC 보안 그룹
콘솔을 사용한 사용 감사 보안 그룹 정책 생성에 대한 지침은 [사용 감사 보안 그룹 정책 생성](create-policy.md#creating-firewall-manager-policy-usage-security-group)을 참조하세요.
**Firewall Manager가 중복 보안 그룹을 탐지하고 해결하는 방법**
보안 그룹을 중복 보안 그룹으로 간주하려면 보안 그룹에 정확히 동일한 규칙이 설정된 상태여야 하며 보안 그룹이 동일한 Amazon VPC 인스턴스에 있어야 합니다.
중복 보안 그룹 세트의 문제를 해결하려면 Firewall Manager는 해당 세트의 보안 그룹 중에서 유지할 보안 그룹 하나를 선택한 다음, 해당 보안 그룹을 세트 내의 다른 보안 그룹과 연결된 모든 리소스에 연결합니다. 그런 다음 Firewall Manager는 연결된 리소스에서 다른 보안 그룹을 분리하여 사용하지 않게 합니다.
**참고**
사용되지 않는 보안 그룹을 제거하도록 선택한 경우 Firewall Manager는 다음에 이 작업을 수행합니다. 그러면 중복 집합에 있는 보안 그룹이 제거될 수 있습니다.
**Firewall Manager가 사용되지 않는 보안 그룹을 탐지하고 해결하는 방법**
Firewall Manager는 다음 두 가지가 모두 참인 경우 보안 그룹을 사용하지 않는 것으로 간주합니다.
+ 보안 그룹이 Amazon EC2 인스턴스 또는 Amazon EC2 탄력적 네트워크 인터페이스에서 사용되지 않습니다.
+ Firewall Manager가 정책 규칙 기간에 지정된 시간(분) 내에 이에 대한 구성 항목을 수신하지 못했습니다.
정책 규칙 기간에는 기본 설정이 0분이지만 최대 365일(525,600분)까지 시간을 늘려 새 보안 그룹을 리소스와 연결할 시간을 확보할 수 있습니다.
**중요**
기본값인 0 이외의 시간(분)을 지정하는 경우 AWS Config에서 간접 관계를 활성화해야 합니다. 그렇지 않으면 사용량 감사 보안 그룹 정책이 의도한 대로 작동하지 않습니다. 의 간접 관계에 대한 자세한 내용은 *AWS Config 개발자 안내서*의의 간접 관계를 AWS Config참조하세요. [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/faq.html#faq-2)
Firewall Manager는 규칙 설정에 따라 계정에서 사용하지 않는 보안 그룹을 삭제하여 문제를 해결합니다. Firewall Manager가 보안 그룹을 삭제할 수 없는 경우 정책을 준수하지 않는 것으로 표시됩니다. Firewall Manager는 다른 보안 그룹에서 참조한 보안 그룹을 삭제할 수 없습니다.
문제 해결 시기는 기본 기간 설정 또는 사용자 지정 설정을 사용하는지 여부에 따라 달라집니다.
+ **기본값인 0으로 설정된 기간** - 이 설정을 사용하면 Amazon EC2 인스턴스 또는 탄력적 네트워크 인터페이스에서 보안 그룹을 사용하지 않는 즉시 사용되지 않는 것으로 간주됩니다.
이 0 기간 설정의 경우 Firewall Manager는 보안 그룹을 즉시 문제 해결합니다.
+ **0보다 긴 기간** - 이 설정을 사용하면 Amazon EC2 인스턴스 또는 탄력적 네트워크 인터페이스에서 보안 그룹을 사용하지 않고 Firewall Manager가 지정된 시간(분) 내에 구성 항목을 받지 못한 경우 미사용으로 간주됩니다.
0이 아닌 기간 설정의 경우 Firewall Manager는 24시간 동안 사용되지 않는 상태로 유지된 후 보안 그룹을 문제 해결합니다.
**기본 계정 사양**
콘솔을 통해 사용 감사 보안 그룹 정책을 생성할 때 Firewall Manager는 **지정된 계정 제외 및 기타 모든 계정 포함**을 자동으로 선택합니다. 그런 다음 이 서비스는 제외할 목록에 Firewall Manager 관리자 계정을 넣습니다. 이 방법이 권장되는 접근 방식이며 이렇게 하면 Firewall Manager 관리자 계정에 속한 보안 그룹을 수동으로 관리할 수 있습니다.
# Firewall Manager에서 Amazon VPC 네트워크 액세스 제어 목록(ACL) 정책 사용
이 섹션에서는 AWS Firewall Manager 네트워크 ACL 정책의 작동 방식을 다루고 이를 사용하기 위한 지침을 제공합니다. 콘솔을 사용하여 네트워크 ACL 정책을 생성하는 방법에 대한 지침은 [네트워크 ACL 정책 생성](create-policy.md#creating-firewall-manager-policy-network-acl) 섹션을 참조하세요.
Amazon VPC 네트워크 액세스 제어 목록(ACL)에 관한 내용은 *Amazon VPC 사용 설명서*의 [네트워크 ACL을 사용하여 서브넷에 대한 트래픽 제어](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)를 참조하세요.
Firewall Manager 네트워크 ACL 정책을 사용하여 AWS Organizations에서 조직의 Amazon Virtual Private Cloud(Amazon VPC) 네트워크 액세스 제어 목록(ACL)을 관리할 수 있습니다. 정책의 네트워크 ACL 규칙 설정과 설정을 적용할 계정 및 서브넷을 정의합니다. Firewall Manager는 계정과 서브넷이 조직 전체에 추가되거나 업데이트될 때 거기에 정책 설정을 적용합니다. 정책 범위 및에 대한 자세한 내용은 [AWS Firewall Manager 정책 범위 사용](policy-scope.md) 및 [AWS Organizations 사용 설명서를](https://docs.aws.amazon.com/organizations/latest/userguide/) AWS Organizations참조하세요.
Firewall Manager 네트워크 ACL 정책을 정의할 때 이름 및 범위와 같은 표준 Firewall Manager 정책 설정 외에도 다음을 제공합니다.
+ 인바운드 및 아웃바운드 트래픽 처리를 위한 첫 번째 및 마지막 규칙입니다. Firewall Manager는 정책의 범위에 속하는 네트워크 ACL에서 이러한 항목의 존재 및 순서를 적용하거나 규정 미준수를 보고합니다. 개별 계정에서는 정책의 첫 번째 규칙과 마지막 규칙 간에 실행할 사용자 지정 규칙을 생성할 수 있습니다.
+ 네트워크 ACL의 규칙 간에 트래픽 관리 충돌이 발생할 때 문제 해결을 강제할 수 있는지 여부입니다. 이는 정책에 대한 문제 해결이 활성화된 경우에만 적용됩니다.
## Firewall Manager 네트워크 ACL 정책 사용 모범 사례
이 섹션에서는 Firewall Manager 네트워크 ACL 정책 및 관리형 네트워크 ACL을 사용할 때 권장 사항이 나와 있습니다.
**`FMManaged` 태그를 참조하여 Firewall Manager에서 관리하는 네트워크 ACL 식별**
Firewall Manager가 관리하는 네트워크 ACL에는 `FMManaged` 태그가 `true`로 설정되어 있습니다. 이 태그를 사용하면 Firewall Manager를 통해 관리하는 사용자 지정 네트워크 ACL과 사용자 지정 네트워크 ACL을 구분할 수 있습니다.
**네트워크 ACL에서 `FMManaged` 태그 값 수정 금지**
Firewall Manager는 이 태그를 사용하여 네트워크 ACL을 사용하여 관리 상태를 설정하고 결정합니다.
**Firewall Manager 관리형 네트워크 ACL이 있는 서브넷의 연결 수정 금지**
Firewall Manager에서 관리하는 네트워크 ACL과 서브넷 간의 연결을 수동으로 변경하지 마세요. 이렇게 하면 Firewall Manager가 해당 서브넷에 대한 보호를 관리하는 기능을 비활성화할 수 있습니다. `true`의 `FMManaged` 태그 설정을 찾아 Firewall Manager에서 관리하는 네트워크 ACL을 식별할 수 있습니다.
Firewall Manager 정책 관리에서 서브넷을 제거하려면 Firewall Manager 정책 범위 설정을 사용해서 서브넷을 제외합니다. 예를 들어 서브넷에 태그를 지정한 다음 정책 범위에서 해당 태그를 제외할 수 있습니다. 자세한 내용은 [AWS Firewall Manager 정책 범위 사용](policy-scope.md) 단원을 참조하십시오.
**관리형 네트워크 ACL을 업데이트할 때 Firewall Manager에서 관리하는 규칙 수정 금지**
Firewall Manager에서 관리하는 네트워크 ACL에서는 [Firewall Manager에서 네트워크 ACL 규칙 및 태그 지정 사용](network-acls-fms-managed.md)에 설명된 번호 체계를 준수하여 사용자 지정 규칙을 정책 규칙과 분리해 둡니다. 숫자가 5,000\$132,000인 규칙만 추가하거나 수정할 수 있습니다.
**계정 한도에 너무 많은 규칙 추가 방지**
네트워크 ACL의 문제 해결 동안 Firewall Manager는 일반적으로 네트워크 ACL 규칙 수를 일시적으로 증가시킵니다. 규정 미준수 문제를 방지하려면 사용 중인 규칙을 위한 충분한 공간이 있어야 합니다. 자세한 내용은 [Firewall Manager가 규정 미준수 관리형 네트워크 ACL을 문제 해결하는 방법](network-acls-remediation.md) 단원을 참조하십시오.
**자동 문제 해결이 비활성화된 상태로 시작**
자동 문제 해결이 비활성화된 상태로 시작하여 정책 세부 정보를 검토하여 자동 문제 해결이 미칠 수 있는 영향을 확인합니다. 변경 내용이 원하는 대로 만족스러우면 정책을 편집하여 자동 문제 해결을 활성화합니다.
## Firewall Manager 네트워크 ACL 정책 주의 사항
이 섹션에는 Firewall Manager 네트워크 ACL 정책 사용에 대한 주의 사항 및 제한 사항이 나와 있습니다.
+ **다른 정책보다 느린 업데이트 시간** - Firewall Manager는 일반적으로 Amazon EC2 네트워크 ACL API가 요청을 처리할 수 있는 속도의 제한으로 인해 다른 Firewall Manager 정책보다 네트워크 ACL 정책 및 정책 변경을 더 느리게 적용합니다. 정책 변경 사항은 다른 Firewall Manager 정책과 유사한 변경 사항보다 더 오래 걸릴 수 있으며, 특히 정책을 처음 추가할 때 더욱 그렇습니다.
+ **초기 서브넷 보호를 위해 Firewall Manager가 이전 정책을 선호함** – 이는 Firewall Manager 네트워크 ACL 정책에 의해 아직 보호되지 않는 서브넷에만 적용됩니다. 서브넷이 둘 이상의 네트워크 ACL 정책 범위에 동시에 포함되는 경우 Firewall Manager는 가장 오래된 정책을 사용하여 서브넷을 보호합니다.
+ **정책이 서브넷 보호를 중지하는 이유** - 서브넷의 네트워크 ACL을 관리하는 정책은 다음 중 하나가 발생할 때까지 관리를 유지합니다.
+ 서브넷이 정책의 범위를 벗어납니다.
+ 정책이 삭제됩니다.
+ 서브넷의 연결을 다른 Firewall Manager 정책으로 관리되고 서브넷이 범위에 있는 네트워크 ACL로 수동 변경합니다.
**Topics**
+ [Firewall Manager 네트워크 ACL 정책 사용 모범 사례](#network-acls-best-practice)
+ [Firewall Manager 네트워크 ACL 정책 주의 사항](#network-acls-caveats)
+ [Firewall Manager에서 네트워크 ACL 규칙 및 태그 지정 사용](network-acls-fms-managed.md)
+ [Firewall Manager가 서브넷에 대한 네트워크 ACL 관리를 시작하는 방법](network-acls-initialization.md)
+ [Firewall Manager가 규정 미준수 관리형 네트워크 ACL을 문제 해결하는 방법](network-acls-remediation.md)
+ [Firewall Manager 네트워크 ACL 정책 삭제](network-acls-deletion.md)
# Firewall Manager에서 네트워크 ACL 규칙 및 태그 지정 사용
이 섹션에서는 Firewall Manager에서 관리하는 네트워크 ACL 정책 규칙 사양과 네트워크 ACL에 대해 설명합니다.
**관리형 네트워크 ACL에 태그 지정**
Firewall Manager는 값이 `true`인 `FMManaged` 태그로 관리형 네트워크 ACL에 태그를 지정합니다. Firewall Manager는 이 태그 설정이 있는 네트워크 ACL에 대해서만 문제 해결을 수행합니다.
**정책에 정의한 규칙**
네트워크 ACL 정책 사양에서 인바운드 트래픽에 대해 처음 및 마지막으로 실행할 규칙과 아웃바운드 트래픽에 대해 처음 및 마지막으로 실행할 규칙을 정의합니다.
기본적으로 정책의 첫 번째 규칙과 마지막 규칙의 조합에 사용할 인바운드 규칙을 최대 5개까지 정의할 수 있습니다. 마찬가지로 최대 5개의 아웃바운드 규칙을 정의할 수 있습니다. 이러한 한도에 대한 내용은 [소프트 할당량](fms-limits.md#fms-limits-mutable) 섹션을 참조하세요. 네트워크 ACL의 일반적인 한도에 관한 내용은 *Amazon VPC 사용 설명서*의 [네트워크 ACL의 Amazon VPC 할당량](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls)을 참조하세요.
정책 규칙에 규칙 번호를 할당하지 않습니다. 대신 평가하려는 순서대로 규칙을 지정하면 Firewall Manager는 해당 순서를 사용하여 관리하는 네트워크 ACL에 규칙 번호를 할당합니다.
이 외에 Amazon VPC를 통해 네트워크 ACL의 규칙을 관리하는 것처럼 정책의 네트워크 ACL 규칙 사양을 관리합니다. Amazon VPC의 네트워크 ACL 관리에 대한 자세한 내용은 **Amazon VPC 사용 설명서**의 [네트워크 ACL을 사용하여 서브넷으로의 트래픽 제어](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) 및 [네트워크 ACL 작업](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks)을 참조하세요.
**관리형 네트워크 ACL의 규칙**
Firewall Manager는 개별 계정 관리자가 정의하는 사용자 지정 규칙 전후에 정책의 첫 번째와 마지막 규칙을 배치하여 관리하는 네트워크 ACL의 규칙을 구성합니다. Firewall Manager는 사용자 지정 규칙의 순서를 유지합니다. 네트워크 ACL은 번호가 가장 낮은 규칙부터 평가됩니다.
Firewall Manager가 네트워크 ACL을 처음 생성할 때 다음 번호 지정으로 규칙을 정의합니다.
+ **첫 번째 규칙: 1, 2, ...** – Firewall Manager 네트워크 ACL 정책에서 사용자가 정의합니다.
Firewall Manager는 1부터 시작하여 1씩 증분하여 규칙 번호를 할당하며, 규칙은 정책 사양에서 순서에 따라 순서대로 정렬됩니다.
+ **사용자 지정 규칙: 5,000, 5,100, ...** – Amazon VPC를 통해 개별 계정 관리자가 관리합니다.
Firewall Manager는 5,000부터 시작하여 각 후속 규칙에 대해 100씩 증가하는 숫자를 이러한 규칙에 할당합니다.
+ **마지막 규칙: ... 32,765, 32,766** - Firewall Manager 네트워크 ACL 정책에서 사용자가 정의합니다.
Firewall Manager는 정책 사양에서 순서에 따라 규칙을 정렬하여 1씩 증분하여 가능한 한 가장 높은 수인 32,766으로 끝나는 규칙 번호를 할당합니다.
네트워크 ACL 초기화 후 Firewall Manager는 관리형 네트워크 ACL에서 개별 계정이 수행하는 변경 사항을 제어하지 않습니다. 개별 계정은 규정 준수에서 벗어나지 않고 네트워크 ACL을 변경할 수 있습니다. 단, 사용자 지정 규칙은 정책의 첫 번째 규칙과 마지막 규칙 사이에 번호가 매겨져 있고 첫 번째 규칙과 마지막 규칙은 지정된 순서를 유지합니다. 사용자 지정 규칙을 관리할 때는 이 섹션에 설명된 번호를 준수하는 것이 가장 좋습니다.
# Firewall Manager가 서브넷에 대한 네트워크 ACL 관리를 시작하는 방법
이 섹션에서는 Firewall Manager가 서브넷에 대한 네트워크 ACL 관리를 시작하는 방법을 설명합니다.
Firewall Manager는 Firewall Manager가 생성하여 `true`로 설정된 `FMManaged`를 태그하는 네트워크 ACL과 서브넷을 연결할 때 서브넷에 대한 네트워크 ACL 관리를 시작합니다.
네트워크 ACL 정책을 준수하려면 서브넷의 네트워크 ACL이 정책에 지정된 순서대로 정책의 첫 번째 규칙을 처음에, 마지막 규칙을 마지막에, 다른 사용자 지정 규칙은 중간에 배치해야 합니다. 이러한 요구 사항은 서브넷이 이미 연결된 관리형 네트워크 ACL 또는 관리형 네트워크 ACL에서 충족할 수 있습니다.
Firewall Manager가 관리되지 않는 네트워크 ACL과 연결된 서브넷에 네트워크 ACL 정책을 적용하면 Firewall Manager는 실행 가능한 옵션을 식별할 때 중지하면서 다음을 순서대로 확인합니다.
1. **연결된 네트워크 ACL이 이미 준수됨** - 현재 서브넷과 연결된 네트워크 ACL이 준수되면 Firewall Manager는 해당 연결을 그대로 유지하고 서브넷에 대한 네트워크 ACL 관리를 시작하지 않습니다.
Firewall Manager는 소유하지 않은 네트워크 ACL을 변경하거나 달리 관리하지 않지만, 규정을 준수하는 한 Firewall Manager는 그대로 두고 정책 준수를 모니터링하기만 하면 됩니다.
1. **규정 준수 관리형 네트워크 ACL 사용 가능** - Firewall Manager가 이미 필수 구성을 준수하는 네트워크 ACL을 관리하고 있는 경우 이 옵션을 선택합니다. 문제 해결이 활성화된 경우 Firewall Manager는 서브넷을 해당 서브넷에 연결합니다. 문제 해결이 비활성화된 경우 Firewall Manager는 서브넷을 규정 미준수로 표시하고 네트워크 ACL 연결을 문제 해결 옵션으로 대체할 것을 제안합니다.
1. **새 규정 준수 관리형 네트워크 ACL 생성** - 문제 해결이 활성화된 경우 Firewall Manager는 새 네트워크 ACL을 생성하고 이를 서브넷과 연결합니다. 그렇지 않으면 Firewall Manager는 서브넷을 비준수로 표시하고 새 네트워크 ACL을 생성하고 네트워크 ACL 연결을 대체하는 문제 해결 옵션을 제공합니다.
이러한 단계가 실패하면 Firewall Manager는 서브넷에 대한 규정 미준수를 보고합니다.
Firewall Manager는 서브넷이 처음 범위에 들어가고 서브넷의 관리되지 않는 네트워크 ACL이 규정 준수를 벗어날 때 다음 단계를 따릅니다.
# Firewall Manager가 규정 미준수 관리형 네트워크 ACL을 문제 해결하는 방법
이 섹션에서는 Firewall Manager가 정책을 준수하지 않을 때 관리형 네트워크 ACL을 문제 해결하는 방법을 설명합니다. Firewall Manager는 `FMManaged` 태그가 `true`로 설정된 관리형 네트워크 ACL만 문제 해결합니다. Firewall Manager에서 관리하지 않는 네트워크 ACL은 [초기 네트워크 ACL 관리](network-acls-initialization.md) 섹션을 참조하세요.
문제 해결은 첫 번째, 사용자 지정 및 마지막 규칙의 상대 위치를 복구하고 첫 번째 및 마지막 규칙의 순서를 복구합니다. 문제 해결 중에 Firewall Manager는 규칙을 네트워크 ACL 초기화에서 사용하는 규칙 번호로 반드시 이동하지는 않습니다. 이러한 규칙 범주의 초기 숫자 설정 및 설명은 [초기 네트워크 ACL 관리](network-acls-initialization.md) 섹션을 참조하세요.
규정 준수 규칙 및 규칙 순서를 설정하려면 Firewall Manager가 네트워크 ACL 내부로 규칙을 이동해야 할 수 있습니다. Firewall Manager는 기존 규정 준수 규칙 순서를 그대로 유지하여 네트워크 ACL의 보호를 최대한 유지합니다. 예를 들어 새 위치에 규칙을 일시적으로 복제한 다음 원래 규칙을 순서대로 제거하여 프로세스 중에 상대적 위치를 보존할 수 있습니다.
이 접근 방식은 설정을 보호하지만 임시 규칙을 위해 네트워크 ACL의 공간도 필요합니다. Firewall Manager가 네트워크 ACL의 규칙 한도에 도달하면 문제 해결이 중지됩니다. 이 경우 네트워크 ACL은 규정 준수를 벗어나고 Firewall Manager는 이유를 보고합니다.
계정이 Firewall Manager에서 관리하는 네트워크 ACL에 사용자 지정 규칙을 추가하고 이러한 규칙이 Firewall Manager 복구를 방해하는 경우 Firewall Manager는 네트워크 ACL에서 모든 복구 활동을 중지하고 충돌을 보고합니다.
**강제 문제 해결**
정책에 대한 자동 문제 해결을 선택하는 경우 첫 번째 규칙 또는 마지막 규칙에 대한 강제 수정 여부도 지정합니다.
Firewall Manager에서 사용자 지정 규칙과 정책 규칙 간의 트래픽 처리가 충돌하는 경우 해당 강제 문제 해결 설정을 참조합니다. 강제 문제 해결이 활성화된 경우 Firewall Manager는 충돌에도 불구하고 문제 해결을 적용합니다. 이 옵션을 활성화하지 않으면 Firewall Manager가 문제 해결을 중지합니다. 어떤 경우든 Firewall Manager는 규칙 충돌을 보고하고 문제 해결 옵션을 제공합니다.
**규칙 수 요구 사항 및 제한 사항**
문제 해결 중에 Firewall Manager는 규칙이 제공하는 보호를 변경하지 않고 규칙을 이동하기 위해 규칙을 일시적으로 복제할 수 있습니다.
인바운드 또는 아웃바운드 규칙의 경우 Firewall Manager가 문제 해결을 수행하는 데 필요할 수 있는 가장 많은 수의 규칙은 다음과 같습니다.
```
2 * (the number of rules defined in the policy for the traffic direction)
+
the number of custom rules defined in the network ACL for the traffic direction
```
네트워크 ACL 및 네트워크 ACL 정책에는 변경 가능한 규칙 제한이 적용됩니다. Firewall Manager가 문제 해결 작업의 제한에 도달하면 문제 해결 시도를 중지하고 규정 미준수를 보고합니다.
Firewall Manager가 문제 작업을 수행할 수 있는 공간을 확보하려면 한도 증가를 요청할 수 있습니다. 또는 정책 또는 네트워크 ACL의 구성을 변경하여 사용되는 규칙 수를 줄일 수 있습니다.
네트워크 ACL 한도에 관한 내용은 *Amazon VPC 사용 설명서*의 [네트워크 ACL의 Amazon VPC 할당량](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls)을 참조하세요.
**문제 해결 실패 시**
네트워크 ACL을 업데이트하는 동안 어떤 이유로든 Firewall Manager를 중지해야 하는 경우 변경 사항을 롤백하지 않고 대신 네트워크 ACL을 임시 상태로 둡니다. `FMManaged` 태그가 `true`로 설정된 네트워크 ACL에 중복 규칙이 표시되는 경우 Firewall Manager가 해당 규칙을 문제 해결하는 중일 수 있습니다. 일정 기간 동안 변경이 부분적으로 완료될 수 있지만 Firewall Manager가 문제를 해결하기 위해 취하는 접근 방식으로 인해 트래픽을 중단하거나 연결된 서브넷에 대한 보호를 줄이지 않습니다.
Firewall Manager가 규정을 준수하지 않는 네트워크 ACL 완전히 수정하지 않으면 연결된 서브넷에 대한 규정 미준수를 보고하고 가능한 문제 해결 옵션을 제안합니다.
**문제 해결 실패 후 재시도**
대부분의 경우 Firewall Manager가 네트워크 ACL에 대한 문제 변경을 완료하지 못하면 결국 변경을 다시 시도합니다.
이에 대한 예외는 복구가 네트워크 ACL 규칙 수 제한 또는 VPC 네트워크 ACL 수 제한에 도달하는 경우입니다. Firewall Manager는 제한 설정을 초과하는 AWS 리소스를 가져오는 문제 해결 활동을 수행할 수 없습니다. 이러한 경우 계속하려면 수를 줄이거나 한도를 늘려야 합니다. 한도에 관한 내용은 *Amazon VPC 사용 설명서*의 [네트워크 ACL의 Amazon VPC 할당량](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls)을 참조하세요.
## Firewall Manager 네트워크 ACL 규정 준수 보고
Firewall Manager는 범위 내 서브넷에 연결된 모든 네트워크 ACL의 규정 준수를 모니터링하고 보고합니다.
일반적으로 규정 미준수는 잘못된 규칙 순서 또는 정책 규칙과 사용자 지정 규칙 간의 트래픽 처리 동작 충돌과 같은 상황에서 발생합니다. 규정 미준수 보고에는 규정 준수 위반 및 수정 옵션이 포함됩니다.
Firewall Manager는 다른 정책 유형과 동일한 방식으로 네트워크 ACL 정책에 대한 규정 준수 위반을 보고합니다. 규정 준수 보고에 대한 자세한 내용은 [AWS Firewall Manager 정책에 대한 규정 준수 정보 보기](fms-compliance.md) 섹션을 참조하세요.
**정책 업데이트 중 규정 미준수**
네트워크 ACL 정책을 수정한 후 Firewall Manager가 정책 범위에 속하는 네트워크 ACL을 업데이트할 때까지 Firewall Manager는 해당 네트워크 ACL 비준수로 표시합니다. Firewall Manager는 네트워크 ACL이 엄격하게 규정을 준수할 수 있더라도 이 작업을 수행합니다.
예를 들어 정책 사양에서 규칙을 제거하는 경우 범위 내 네트워크 ACL에 여전히 추가 규칙이 있는 경우 해당 규칙 정의가 정책을 준수할 수 있습니다. 그러나 추가 규칙은 Firewall Manager가 관리하는 규칙의 일부이므로 Firewall Manager는 이를 현재 정책 설정의 위반으로 간주합니다. 이는 Firewall Manager가 Firewall Manager 관리형 네트워크 ACL에 추가하는 사용자 지정 규칙을 보는 방식과 다릅니다.
# Firewall Manager 네트워크 ACL 정책 삭제
이 섹션에서는 Firewall Manager 네트워크 ACL 정책을 삭제할 때 Firewall Manager에서 어떤 일이 발생하는지 설명합니다.
Firewall Manager 네트워크 ACL 정책을 삭제하면 Firewall Manager는 정책에 대해 관리 중인 모든 네트워크 ACL에서 `FMManaged` 태그 값을 `false`로 변경합니다.
또한 정책에서 생성한 리소스를 정리할지 여부를 선택할 수 있습니다. 정리를 선택하면 Firewall Manager는 다음 단계를 순서대로 시도합니다.
1. **연결을 원래대로 되돌리기** - Firewall Manager는 Firewall Manager가 관리를 시작하기 전에 서브넷을 연결된 네트워크 ACL에 다시 연결하려고 합니다.
1. **네트워크 ACL에서 첫 번째 및 마지막 규칙 제거** - 연결을 변경할 수 없는 경우 Firewall Manager는 정책의 첫 번째 및 마지막 규칙을 제거하려고 시도하며 서브넷과 연결된 네트워크 ACL에 사용자 지정 규칙만 남깁니다.
1. **규칙 또는 연결에 아무 작업도 수행하지 않음** - 위의 작업 중 하나를 수행할 수 없는 경우 Firewall Manager는 네트워크 ACL과 해당 연결을 그대로 유지합니다.
정리 옵션을 선택하지 않으면 정책이 삭제된 후 각 네트워크 ACL을 수동으로 관리해야 합니다. 대부분의 경우 정리 옵션을 선택하는 것이 가장 간단한 접근 방식입니다.
# Firewall Manager에서 AWS Network Firewall 정책 사용
이 섹션에서는 Firewall Manager에서 AWS Network Firewall 정책을 사용하는 방법을 설명합니다.
AWS Firewall Manager Network Firewall *정책을* 사용하여 *조직* 전체의 Amazon Virtual Private Cloud *VPCs*에 대한 AWS Network Firewall *방화벽*을 관리할 수 있습니다 AWS Organizations. 중앙에서 제어하는 방화벽을 전체 조직 또는 선택한 계정 및 VPC 하위 집합에 적용할 수 있습니다.
네트워크 방화벽은 VPC의 퍼블릭 서브넷에 대한 네트워크 트래픽 필터링 보호를 제공합니다. Firewall Manager는 정책에 정의된 *방화벽 관리 유형*에 따라 방화벽을 생성하고 관리합니다. Firewall Manager는 다음과 같은 방화벽 관리 모델을 제공합니다.
+ **분산** - 정책 범위 내에 있는 각 계정 및 VPC에 대해 Firewall Manager는 네트워크 방화벽 방화벽을 만들고 VPC 서브넷에 방화벽 엔드포인트를 배포하여 네트워크 트래픽을 필터링합니다.
+ **중앙 집중식** - Firewall Manager는 단일 Amazon VPC에 단일 네트워크 방화벽을 생성합니다.
+ **기존 방화벽 가져오기** - Firewall Manager는 단일 Firewall Manager 정책으로 기존 방화벽을 가져와서 관리합니다. 정책에 따라 관리되는 가져온 방화벽에 추가 규칙을 적용하여 방화벽이 보안 표준을 충족하는지 확인할 수 있습니다.
**참고**
Firewall Manager 네트워크 방화벽 정책은 조직 전체의 VPC에 대한 네트워크 방화벽 보호를 관리하는 데 사용하는 Firewall Manager 정책입니다.
네트워크 방화벽 보호는 방화벽 정책이라고 하는 네트워크 방화벽 서비스의 리소스에 지정됩니다.
네트워크 방화벽 사용에 관한 자세한 내용은 [AWS Network Firewall 개발자 안내서](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)를 참조하세요.
다음 섹션에서는 Firewall Manager 네트워크 방화벽 정책을 사용하기 위한 요구 사항을 다루고 정책의 작동 방식을 설명합니다. 정책을 생성하는 절차는 [에 대한 AWS Firewall Manager 정책 생성 AWS Network Firewall](create-policy.md#creating-firewall-manager-policy-for-network-firewall)을 참조하세요.
**중요**
**리소스 공유를 활성화해야 합니다.** 네트워크 방화벽 정책은 조직 내 계정 전체에서 네트워크 방화벽 규칙 그룹을 공유합니다. 이 기능을 사용하려면 AWS Organizations에 대한 리소스 공유를 사용하도록 설정해야 합니다. 리소스 공유를 활성화하는 방법에 대한 자세한 내용은 [네트워크 방화벽 및 DNS 방화벽 정책에 대한 리소스 공유](resource-sharing.md)를 참조하세요.
**중요**
**네트워크 방화벽 규칙 그룹을 정의해야 합니다. ** 새 Network Firewall 정책을 지정할 때는를 AWS Network Firewall 직접 사용할 때와 마찬가지로 방화벽 정책을 정의합니다. 추가할 상태 비저장 규칙 그룹, 기본 상태 비저장 작업 및 상태 저장 규칙 그룹을 지정합니다. 규칙 그룹을 정책에 포함하려면 Firewall Manager 관리자 계정에 규칙 그룹이 이미 있어야 합니다. 네트워크 방화벽 규칙 그룹을 만드는 방법에 대한 자세한 내용은 [AWS Network Firewall 규칙 그룹](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html)을 참조하세요.
**Topics**
+ [Firewall Manager가 방화벽 엔드포인트를 생성하는 방법](fms-create-firewall-endpoints.md)
+ [Firewall Manager가 방화벽 서브넷을 관리하는 방법](fms-manage-firewall-subnets.md)
+ [Firewall Manager가 네트워크 방화벽 리소스를 관리하는 방법](fms-manage-network-firewall.md)
+ [Firewall Manager가 정책에 대한 VPC 라우팅 테이블을 관리하고 모니터링하는 방법](fms-manage-vpc-route-tables.md)
+ [AWS Network Firewall 정책에 대한 로깅 구성](nwfw-policies-logging-config.md)
# Firewall Manager가 방화벽 엔드포인트를 생성하는 방법
이 섹션에서는 Firewall Manager가 방화벽 엔드포인트를 생성하는 방법에 대해 설명합니다.
정책의 *방화벽 관리 유형*에 따라 Firewall Manager가 방화벽을 생성하는 방법이 결정됩니다. 정책에 따라 *분산* 방화벽, *중앙 집중식* 방화벽을 만들거나 **기존 방화벽을 가져올** 수 있습니다.
+ **분산** - 분산 배포 모델을 사용하면 Firewall Manager는 정책 범위 내에 있는 각 VPC에 대한 엔드포인트를 생성합니다. 방화벽 엔드포인트를 생성할 가용 영역을 지정하여 엔드포인트 위치를 사용자 지정하거나, Firewall Manager가 퍼블릭 서브넷이 있는 가용 영역에 엔드포인트를 자동으로 생성할 수 있습니다. 가용 영역을 수동으로 선택하는 경우 가용 영역당 허용된 CIDR 세트를 제한할 수 있습니다. Firewall Manager에서 엔드포인트를 자동으로 생성하도록 하려면 서비스가 VPC 내에 단일 엔드포인트를 생성할지 아니면 여러 방화벽 엔드포인트를 생성할지도 지정해야 합니다.
+ 방화벽 엔드포인트가 여러 개인 경우, Firewall Manager는 라우팅 테이블에 인터넷 게이트웨이 또는 Firewall Manager가 생성한 방화벽 엔드포인트 경로가 있는 서브넷을 포함하는 각 가용 영역에 방화벽 엔드포인트를 배포합니다. 네트워크 방화벽 정책의 기본 옵션입니다.
+ 단일 방화벽 엔드포인트의 경우 Firewall Manager는 인터넷 게이트웨이 경로가 있는 모든 서브넷의 단일 가용 영역에 방화벽 엔드포인트를 배포합니다. 이 옵션을 사용할 경우 다른 영역의 트래픽이 방화벽으로 필터링되려면 영역 경계를 넘어야 합니다.
**참고**
이 두 옵션 모두 IPv4/prefixlist 경로가 포함된 라우팅 테이블에 연결된 서브넷이 있어야 합니다. Firewall Manager는 다른 리소스를 확인하지 않습니다.
+ **중앙 집중식** - 중앙 집중식 배포 모델을 사용하면 Firewall Manager는 *검사 VPC* 내에 하나 이상의 방화벽 엔드포인트를 생성합니다. 검사 VPC는 Firewall Manager가 엔드포인트를 시작하는 중앙 VPC입니다. 중앙 집중식 배포 모델을 사용할 때는 방화벽 엔드포인트를 생성할 가용 영역도 지정합니다. 정책을 생성한 후에는 검사 VPC를 변경할 수 없습니다. 다른 검사 VPC를 사용하려면 새 정책을 생성해야 합니다.
+ **기존 방화벽 가져오기** - 기존 방화벽을 가져올 때는 정책에 하나 이상의 *리소스 세트*를 추가하여 정책에서 관리할 방화벽을 선택합니다. 리소스 세트는 조직의 계정으로 관리되는 리소스(이 경우 네트워크 방화벽의 기존 방화벽)의 모음입니다. 정책에서 리소스 세트를 사용하기 전에 먼저 리소스 세트를 생성해야 합니다. Firewall Manager 리소스 세트에 대한 자세한 내용은 [Firewall Manager에서 리소스 그룹화](fms-resource-sets.md)를 참조하세요.
가져온 방화벽으로 작업할 때는 다음 고려 사항에 유의하십시오.
+ 가져온 방화벽이 규정을 준수하지 않는 경우 Firewall Manager는 다음과 같은 경우를 제외하고 위반 사항을 자동으로 해결하려고 시도합니다.
+ Firewall Manager와 네트워크 방화벽 정책의 상태 저장 또는 상태 비저장 기본 동작이 일치하지 않는 경우
+ 가져온 방화벽의 방화벽 정책에 있는 규칙 그룹이 Firewall Manager 정책의 규칙 그룹과 동일한 우선 순위를 갖는 경우
+ 가져온 방화벽이 정책의 리소스 세트에 속하지 않는 방화벽과 연결된 방화벽 정책을 사용하는 경우. 방화벽에는 정확히 하나의 방화벽 정책이 있을 수 있지만 단일 방화벽 정책이 여러 방화벽에 연결될 수 있기 때문에 이런 일이 발생할 수 있습니다.
+ 가져온 방화벽의 방화벽 정책에 속하며 Firewall Manager 정책에도 지정된 기존 규칙 그룹에 다른 우선 순위가 부여되는 경우
+ 정책에서 리소스 정리를 활성화하면 Firewall Manager는 리소스 세트 범위 내의 방화벽에서 FMS 가져오기 정책에 포함된 규칙 그룹을 제거합니다.
+ Firewall Manager에서 관리하는 방화벽 가져오기 기존 방화벽 관리 유형은 한 번에 하나의 정책으로만 관리할 수 있습니다. 여러 개의 네트워크 방화벽 가져오기 정책에 동일한 리소스 세트를 추가하면 리소스 세트에 추가된 첫 번째 정책에서 리소스 세트의 방화벽을 관리하고 두 번째 정책에서는 무시합니다.
+ Firewall Manager는 현재 예외 정책 구성을 스트리밍하지 않습니다. 스트림 예외 정책에 대한 자세한 내용은 *AWS Network Firewall 개발자 안내서*의 [스트림 예외 정책](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-settings.html#:~:text=Stream%20exception%20policy)을 참조하세요.
+ 기존 방화벽 가져오기는 Transit 게이트웨이 연결 방화벽 가져오기를 지원하지 않습니다.
분산 또는 중앙 집중식 방화벽 관리를 사용하여 정책의 가용 영역 목록을 변경하는 경우 Firewall Manager는 과거에 생성되었지만 현재 정책 범위에 포함되지 않은 엔드포인트를 정리하려고 시도합니다. Firewall Manager는 범위를 벗어난 엔드포인트를 참조하는 라우팅 테이블 경로가 없는 경우에만 엔드포인트를 제거합니다. Firewall Manager는 이러한 엔드포인트를 삭제할 수 없는 것으로 확인되면 방화벽 서브넷을 비준수로 표시하고 삭제해도 안전할 때까지 엔드포인트 제거를 계속 시도합니다.
# Firewall Manager가 방화벽 서브넷을 관리하는 방법
이 섹션에서는 Firewall Manager가 방화벽 서브넷을 관리하는 방법에 대해 설명합니다.
방화벽 서브넷은 Firewall Manager가 네트워크 트래픽을 필터링하는 방화벽 엔드포인트에 대해 생성하는 VPC 서브넷입니다. 각 방화벽 엔드포인트는 전용 VPC 서브넷에 배포되어야 합니다. Firewall Manager는 정책 범위 내에 있는 각 VPC에 방화벽 서브넷을 하나 이상 생성합니다.
자동 엔드포인트 구성과 함께 분산 배포 모델을 사용하는 정책의 경우 Firewall Manager는 인터넷 게이트웨이 경로가 있는 서브넷 또는 Firewall Manager가 정책용으로 만든 방화벽 엔드포인트로 연결되는 경로가 있는 서브넷이 있는 가용 영역에만 방화벽 서브넷을 생성합니다. 자세한 내용은 *Amazon VPC 사용 설명서*의 [VPC 및 서브넷](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-subnet-basics)을 참조하세요.
Firewall Manager가 방화벽 엔드포인트를 생성할 가용 영역을 지정하는 분산 또는 중앙 집중식 모델을 사용하는 정책의 경우, Firewall Manager는 가용 영역에 다른 리소스가 있는지 여부에 관계없이 특정 가용 영역에 엔드포인트를 생성합니다.
네트워크 방화벽 정책을 처음 정의할 때는 Firewall Manager가 범위 내에 있는 각 VPC의 방화벽 서브넷을 관리하는 방법을 지정합니다. 나중에 이 선택 항목을 변경할 수 없습니다.
자동 엔드포인트 구성과 함께 분산 배포 모델을 사용하는 정책의 경우 다음 옵션 중에서 선택할 수 있습니다.
+ 퍼블릭 서브넷이 있는 모든 가용 영역에 방화벽 서브넷을 배포합니다. 이는 기본 설정 동작입니다. 이는 트래픽 필터링 보호의 고가용성을 제공합니다.
+ 1개의 가용 영역에 단일 방화벽 서브넷을 배포합니다. 이 옵션을 선택하면 Firewall Manager는 VPC에서 퍼블릭 서브넷이 가장 많은 영역을 식별하고 해당 영역에 방화벽 서브넷을 생성합니다. 단일 방화벽 엔드포인트는 VPC의 모든 네트워크 트래픽을 필터링합니다. 이렇게 하면 방화벽 비용을 줄일 수 있지만 가용성이 높지는 않으며 필터링하려면 다른 영역의 트래픽이 영역 경계를 넘어야 합니다.
사용자 지정 엔드포인트가 구성된 분산 배포 모델 또는 중앙 집중식 배포 모델을 사용하는 정책의 경우 Firewall Manager는 정책 범위 내에 있는 지정된 가용 영역에 서브넷을 생성합니다.
Firewall Manager가 방화벽 서브넷에 사용할 VPC CIDR 블록을 제공하거나 방화벽 엔드포인트 주소의 선택은 Firewall Manager가 결정하도록 맡길 수 있습니다.
+ CIDR 블록을 제공하지 않는 경우 Firewall Manager는 VPC를 쿼리하여 사용할 수 있는 IP 주소를 찾습니다.
+ CIDR 블록 목록을 제공하는 경우 Firewall Manager는 사용자가 제공하는 CIDR 블록에서만 새 서브넷을 검색합니다. /28 CIDR 블록을 사용해야 합니다. Firewall Manager가 생성하는 각 방화벽 서브넷에 대해 CIDR 블록 목록을 검토하여 가용 영역 및 VPC에 적용되고 사용 가능한 주소가 있는 첫 번째 방화벽 서브넷을 사용합니다. Firewall Manager가 VPC에서 빈 공간을 찾을 수 없는 경우(제한이 있든 없든), 해당 서비스는 VPC에 방화벽을 만들지 않습니다.
Firewall Manager가 가용 영역에 필수 방화벽 서브넷을 만들 수 없는 경우 해당 서브넷을 정책을 준수하지 않는 것으로 표시합니다. 영역이 이 상태에 있는 동안 다른 영역의 엔드포인트에 의해 필터링되려면 해당 영역의 트래픽이 영역 경계를 넘어야 합니다. 이는 단일 방화벽 서브넷 시나리오와 유사합니다.
# Firewall Manager가 네트워크 방화벽 리소스를 관리하는 방법
이 섹션에서는 Firewall Manager에서 Network Firewall 리소스를 관리하는 방법을 설명합니다.
Firewall Manager에서 정책을 정의할 때 표준 AWS Network Firewall 방화벽 정책의 네트워크 트래픽 필터링 동작을 제공합니다. 상태 비저장 및 상태 저장 네트워크 방화벽 규칙 그룹을 추가하고 상태 비저장 규칙과 일치하지 않는 패킷에 대한 기본 동작을 지정합니다. 에서 방화벽 정책을 사용하는 방법에 대한 자세한 내용은 [AWS Network Firewall 방화벽 정책을](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html) AWS Network Firewall참조하세요.
분산 및 중앙 집중식 정책의 경우 네트워크 방화벽 정책을 저장하면 Firewall Manager는 정책 범위 내에 있는 각 VPC에 방화벽 및 방화벽 정책을 생성합니다. Firewall Manager는 다음 값을 연결하여 이러한 네트워크 방화벽 리소스의 이름을 지정합니다.
+ 리소스 유형에 따라 고정 문자열(`FMManagedNetworkFirewall`또는`FMManagedNetworkFirewallPolicy`)이 달라집니다.
+ Firewall Manager 정책 이름입니다. 정책을 생성할 때 할당하는 이름입니다.
+ Firewall Manager 정책 이름. Firewall Manager 정책의 AWS 리소스 ID입니다.
+ Amazon VPC ID입니다. Firewall Manager가 방화벽 및 방화벽 정책을 생성하는 VPC의 AWS 리소스 ID입니다.
다음은 Firewall Manager에서 관리하는 방화벽의 이름 예시입니다.
```
FMManagedNetworkFirewallEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId
```
다음은 방화벽 정책 이름의 예입니다.
```
FMManagedNetworkFirewallPolicyEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId
```
정책을 만든 후에는 VPC의 구성원 계정이 방화벽 정책 설정이나 규칙 그룹을 재정의할 수 없지만 Firewall Manager가 생성한 방화벽 정책에 규칙 그룹을 추가할 수는 있습니다.
# Firewall Manager가 정책에 대한 VPC 라우팅 테이블을 관리하고 모니터링하는 방법
이 섹션에서는 Firewall Manager가 정책에 대한 VPC 라우팅 테이블을 관리하고 모니터링하는 방법에 관해 설명합니다.
**참고**
중앙 집중식 배포 모델을 사용하는 정책에는 현재 라우팅 테이블 관리가 지원되지 않습니다.
Firewall Manager는 방화벽 엔드포인트를 생성할 때 해당 엔드포인트에 대한 VPC 라우팅 테이블도 생성합니다. 하지만 Firewall Manager는 VPC 라우팅 테이블을 관리하지 않습니다. 네트워크 트래픽이 Firewall Manager에서 생성한 방화벽 엔드포인트로 전달되도록 VPC 라우팅 테이블을 구성해야 합니다. Amazon VPC 수신 라우팅 개선 기능을 사용하여 새 방화벽 엔드포인트를 통해 트래픽을 라우팅하도록 라우팅 테이블을 변경하십시오. 변경 시 보호하려는 서브넷과 외부 위치 사이에 방화벽 엔드포인트를 삽입해야 합니다. 필요로 하는 정확한 라우팅은 아키텍처와 해당 구성 요소에 따라 다릅니다.
현재 Firewall Manager를 사용하면 인터넷 게이트웨이로 향하는 모든 트래픽, 즉 방화벽을 우회하는 트래픽에 대한 VPC 라우팅 테이블 경로를 모니터링할 수 있습니다. Firewall Manager는 NAT 게이트웨이와 같은 다른 대상 게이트웨이를 지원하지 않습니다.
VPC의 라우팅 테이블 관리에 대한 자세한 내용은 *Amazon Virtual Private Cloud 사용 설명서*의 [VPC의 라우팅 테이블 관리](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)를 참조하세요. 네트워크 방화벽의 라우팅 테이블 관리에 대한 자세한 내용은 *AWS Network Firewall 개발자 안내서*의 [AWS Network Firewall에 대한 라우팅 테이블 구성](https://docs.aws.amazon.com/network-firewall/latest/developerguide/route-tables.html)을 참조하세요.
정책에 대한 모니터링을 활성화하면 Firewall Manager는 VPC 경로 구성을 지속적으로 모니터링하고 해당 VPC에 대한 방화벽 검사를 우회하는 트래픽에 대해 경고합니다. 서브넷에 방화벽 엔드포인트 경로가 있는 경우 Firewall Manager는 다음 경로를 찾습니다.
+ 네트워크 방화벽 엔드포인트로 트래픽을 보내기 위한 경로입니다.
+ 네트워크 방화벽 엔드포인트에서 인터넷 게이트웨이로 트래픽을 전달하는 경로입니다.
+ 인터넷 게이트웨이에서 네트워크 방화벽 엔드포인트까지의 인바운드 경로입니다.
+ 방화벽 서브넷의 경로.
서브넷에 네트워크 방화벽 경로가 있지만 네트워크 방화벽 및 인터넷 게이트웨이 라우팅 테이블에 비대칭 라우팅이 있는 경우 Firewall Manager는 해당 서브넷을 규정을 준수하지 않는 것으로 보고합니다. 또한 Firewall Manager는 Firewall Manager가 생성한 방화벽 라우팅 테이블과 서브넷의 라우팅 테이블에서 인터넷 게이트웨이로 가는 경로를 탐지하여 이를 비준수로 보고합니다. 네트워크 방화벽 서브넷 라우팅 테이블 및 인터넷 게이트웨이 라우팅 테이블의 추가 경로도 규정을 준수하지 않는 것으로 보고됩니다. Firewall Manager는 위반 유형에 따라 경로 구성을 준수하기 위한 수정 조치를 제안합니다. Firewall Manager는 모든 경우에 제안 사항을 제공하지는 않습니다. 예를 들어 고객 서브넷에 Firewall Manager 외부에서 생성된 방화벽 엔드포인트가 있는 경우 Firewall Manager는 수정 조치를 제안하지 않습니다.
기본적으로 Firewall Manager는 검사 대상 가용 영역 경계를 넘는 모든 트래픽을 비준수로 표시합니다. 하지만 VPC에 단일 엔드포인트를 자동으로 생성하도록 선택한 경우, Firewall Manager는 가용 영역 경계를 넘는 트래픽을 규정 비준수로 표시하지 않습니다.
사용자 지정 엔드포인트 구성과 함께 분산 배포 모델을 사용하는 정책의 경우 방화벽 엔드포인트가 없는 가용 영역에서 가용 영역 경계를 넘는 트래픽을 규정 준수로 표시할지 비준수로 표시할지 선택할 수 있습니다.
**참고**
Firewall Manager는 IPv6 및 접두사 목록 경로와 같은 비 IPv4 경로에 대한 수정 조치를 제안하지 않습니다.
`DisassociateRouteTable` API 호출을 사용하여 이루어진 호출을 감지하는 데 최대 12시간이 걸릴 수 있습니다.
Firewall Manager는 방화벽 엔드포인트가 포함된 서브넷에 대해 네트워크 방화벽 라우팅 테이블을 생성합니다. Firewall Manager는 이 라우팅 테이블에 유효한 인터넷 게이트웨이와 VPC 기본 경로만 포함되어 있다고 가정합니다. 이 라우팅 테이블의 추가 경로나 유효하지 않은 경로는 규정을 준수하지 않는 것으로 간주됩니다.
Firewall Manager 정책을 구성할 때 **모니터링** 모드를 선택하면 Firewall Manager는 리소스 위반 및 리소스에 대한 수정 세부 정보를 제공합니다. 이렇게 제안된 수정 조치를 사용하여 라우팅 테이블의 경로 문제를 해결할 수 있습니다. **끄기** 모드를 선택하면 Firewall Manager가 라우팅 테이블 콘텐츠를 모니터링하지 않습니다. 이 옵션을 사용하면 VPC 라우팅 테이블을 직접 관리할 수 있습니다. 이러한 리소스 위반에 대한 자세한 내용은 [AWS Firewall Manager 정책에 대한 규정 준수 정보 보기](fms-compliance.md)을 참조하세요.
**주의**
정책을 생성할 때 저** AWS Network Firewall 라우팅 구성** **모니터링을** 선택하면 해당 정책에 대해 끌 수 없습니다. 하지만 **끄기**를 선택하면 나중에 활성화할 수 있습니다.
# AWS Network Firewall 정책에 대한 로깅 구성
이 섹션에서는 Network 방화벽 정책에 대한 중앙 집중식 로깅을 활성화하여 조직 내 트래픽에 대한 세부 정보를 얻는 방법에 대해 설명합니다. 흐름 로깅을 선택하여 네트워크 트래픽 흐름을 캡처하거나, 경고 로깅을 선택하여 규칙 동작이 `DROP` 또는 `ALERT`로 설정된 규칙과 일치하는 트래픽을 보고할 수 있습니다. AWS Network Firewall 로깅에 대한 자세한 내용은 AWS Network Firewall개발자 안내서AWS Network Firewall 의 [에서 로깅 네트워크 트래픽 로깅](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html) *을 참조하세요*.
정책의 네트워크 방화벽 방화벽에서 Amazon S3 버킷으로 로그를 전송합니다. 로깅을 활성화한 후는 예약된 AWS Firewall Manager 접두사를 사용하여 선택한 Amazon S3 버킷에 로그를 AWS Network Firewall 전송하도록 방화벽 설정을 업데이트하여 구성된 각 Network Firewall에 대한 로그를 전달합니다`-`.
**참고**
Firewall Manager는 이 접두사를 사용하여 Firewall Manager에서 로깅 구성을 추가했는지 아니면 계정 소유자가 추가했는지 여부를 결정합니다. 계정 소유자가 자신의 사용자 지정 로깅에 예약된 접두사를 사용하려고 하면 Firewall Manager 정책의 로깅 구성이 해당 접두사를 덮어씁니다.
Amazon S3 버킷을 생성하고 저장된 로그를 검토하는 방법에 대한 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*의 [Amazon S3이란 무엇인가요?](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)를 참조하세요.
로깅을 활성화하려면 다음 요구 사항을 충족해야 합니다.
+ Firewall Manager 정책에 지정된 Amazon S3가 존재해야 합니다.
+ 이 경우 다음 권한이 있어야 합니다.
+ `logs:CreateLogDelivery`
+ `s3:GetBucketPolicy`
+ `s3:PutBucketPolicy`
+ 로깅 대상인 Amazon S3 버킷이에 저장된 키로 서버 측 암호화를 사용하는 경우 Firewall Manager가 CloudWatch Logs 로그 그룹에 로깅할 수 있도록 AWS KMS 고객 관리형 키에 다음 정책을 추가해야 AWS Key Management Service합니다.
```
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"kms:Encrypt*",
"kms:Decrypt*",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*"
}
```
단, Firewall Manager 관리자 계정의 버킷만 AWS Network Firewall 중앙 로깅에 사용할 수 있습니다.
네트워크 방화벽 정책에서 중앙 집중식 로깅을 활성화하면 Firewall Manager는 사용자 계정에서 다음과 같은 작업을 수행합니다.
+ Firewall Manager는 선택한 S3 버킷에 대한 권한을 업데이트하여 로그 전송을 허용합니다.
+ Firewall Manager는 정책 범위 내의 각 구성원 계정에 대해 S3 버킷에 디렉토리를 생성합니다. 각 계정의 로그는 `/-/AWSLogs/`에서 찾을 수 있습니다.
**네트워크 방화벽 정책에 대한 로깅을 활성화하려면**
1. Firewall Manager 관리자 계정을 사용하여 Amazon S3 버킷을 생성합니다. 자세한 내용은 *Amazon Simple Storage Service 사용 설명서*에서 [버킷 생성](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)을 참조하세요.
1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
**참고**
Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
1. 탐색 창에서 **보안 정책**을 선택합니다.
1. 로깅을 활성화하려는 네트워크 방화벽 정책을 선택합니다. AWS Network Firewall 로깅에 대한 자세한 내용은 *AWS Network Firewall 개발자 안내서*의 [에서 네트워크 트래픽 로깅 AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html)을 참조하세요.
1. **정책 규칙** 섹션의 **정책 세부 정보** 탭에서 **편집**을 선택합니다.
1. 로그를 활성화하고 집계하려면 **로깅 구성**에서 하나 이상의 옵션을 선택합니다.
+ **흐름 로그 활성화 및 집계**
+ **알림 로그 활성화 및 집계**
1. 로그를 전송할 Amazon S3 버킷을 선택합니다. 활성화한 각 로그 유형에 맞는 버킷을 선택해야 합니다. 두 로그 유형에 동일한 버킷을 사용할 수 있습니다.
1. (선택 사항) 사용자 지정 구성원 계정 생성 로깅을 정책의 로깅 구성으로 대체하려면 **기존 로깅 구성 재정의**를 선택합니다.
1. **다음**을 선택합니다.
1. 설정을 검토한 다음 **저장**을 선택하여 변경 내용을 정책에 저장합니다.
**Network 방화벽 정책에 대한 로깅을 비활성화하려면**
1. Firewall Manager 관리자 계정을 AWS Management Console 사용하여에 로그인한 다음에서 Firewall Manager 콘솔을 엽니다[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
**참고**
Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 [AWS Firewall Manager 사전 조건](fms-prereq.md)을 참조하세요.
1. 탐색 창에서 **보안 정책**을 선택합니다.
1. 로깅을 비활성화하려는 Network 방화벽 정책을 선택합니다.
1. **정책 규칙** 섹션의 **정책 세부 정보** 탭에서 **편집**을 선택합니다.
1. **로깅 구성 상태**에서 **흐름 로그 활성화 및 집계**와 **알림 로그 활성화 및 집계**가 선택되어 있는 경우 이를 선택 취소합니다.
1. **다음**을 선택합니다.
1. 설정을 검토한 다음 **저장**을 선택하여 변경 내용을 정책에 저장합니다.
# Firewall Manager에서 Amazon Route 53 Resolver DNS 방화벽 정책 사용
이 페이지에서는 AWS Firewall Manager DNS 방화벽 정책을 사용하여 *조직* 전체의 Amazon Route 53 Resolver DNS 방화벽 규칙 그룹과 Amazon Virtual Private Cloud *VPCs* 간의 연결을 관리하는 방법을 설명합니다 AWS Organizations. 중앙에서 제어하는 규칙 그룹을 전체 조직 또는 선택한 계정 및 VPC 하위 집합에 적용할 수 있습니다.
DNS Firewall은 VPC의 아웃바운드 DNS 트래픽에 대한 필터링 및 규제를 제공합니다. DNS Firewall 규칙 그룹에 재사용 가능한 필터링 규칙 컬렉션을 생성하고 규칙 그룹을 VPC에 연결합니다. Firewall Manager 정책을 적용하면 정책 범위 내에 있는 각 계정 및 VPC에 대해 Firewall Manager는 Firewall Manager 정책에 지정된 연결 우선 순위 설정을 사용하여 정책의 각 DNS Firewall 규칙 그룹과 정책 범위 내에 있는 각 VPC 간의 연결을 생성합니다.
DNS 방화벽 사용에 대한 자세한 설명은 [Amazon Route 53 개발자 가이드](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)의 [Amazon Route 53 Resolver DNS 방화벽](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html)을 참조하세요.
다음 섹션에서는 Firewall Manager DNS 방화벽 정책을 사용하기 위한 요구 사항을 다루고 정책의 작동 방식을 설명합니다. 정책을 생성하는 절차는 [Amazon Route 53 Resolver DNS 방화벽에 대한 AWS Firewall Manager 정책 생성](create-policy.md#creating-firewall-manager-policy-for-dns-firewall)을 참조하세요.
**중요**
**리소스 공유를 활성화해야 합니다.** DNS 방화벽 정책은 조직 내 계정 전체에서 DNS 방화벽 규칙 그룹을 공유합니다. 이렇게 하려면에서 리소스 공유를 활성화해야 합니다 AWS Organizations. 리소스 공유를 활성화하는 방법에 대한 자세한 내용은 [네트워크 방화벽 및 DNS 방화벽 정책에 대한 리소스 공유](resource-sharing.md)를 참조하세요.
**중요**
**DNS 방화벽 규칙 그룹을 정의해야 합니다.** 새 DNS 방화벽 정책을 지정할 때는 Amazon Route 53 Resolver DNS Firewall을 직접 사용할 때와 동일하게 규칙 그룹을 정의합니다. 규칙 그룹을 정책에 포함하려면 Firewall Manager 관리자 계정에 규칙 그룹이 이미 있어야 합니다. DNS 방화벽 규칙 그룹 생성에 대한 자세한 내용은 [DNS 방화벽 규칙 그룹 및 규칙](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-groups.html)을 참조하세요.
**가장 낮은 우선순위와 가장 높은 우선순위의 규칙 그룹 연결을 정의합니다**
Firewall Manager DNS 방화벽 정책을 통해 관리하는 DNS Firewall 규칙 그룹 연결에는 VPC에 대한 가장 낮은 우선 순위의 연결과 가장 높은 우선 순위의 연결이 포함됩니다. 정책 구성에서 이들은 첫 번째 및 마지막 규칙 그룹으로 나타납니다.
DNS Firewall은 VPC의 DNS 트래픽을 다음 순서로 필터링합니다.
1. Firewall Manager DNS 방화벽 정책에 사용자가 정의한 첫 번째 규칙 그룹입니다. 유효한 값은 1\$199입니다.
1. 개별 계정 관리자가 DNS Firewall을 통해 연결하는 DNS Firewall 규칙 그룹입니다.
1. Firewall Manager DNS 방화벽 정책에 사용자가 정의한 마지막 규칙 그룹입니다. 유효한 값은 9,901\$110,000입니다.
**Firewall Manager가 생성한 규칙 그룹 연결의 이름을 지정하는 방법**
DNS 방화벽 정책을 저장할 때 자동 수정을 활성화한 경우 Firewall Manager는 정책에 제공한 규칙 그룹과 정책 범위 내에 있는 VPC 간에 DNS Firewall 연결을 생성합니다. Firewall Manager는 다음 값을 연결하여 이러한 연결의 이름을 지정합니다.
+ 고정 문자열 `FMManaged_`
+ Firewall Manager 정책 이름. Firewall Manager 정책의 AWS 리소스 ID입니다.
다음은 Firewall Manager에서 관리하는 방화벽의 이름 예시입니다.
```
FMManaged_EXAMPLEDNSFirewallPolicyId
```
정책을 생성한 후 VPC의 계정 소유자가 방화벽 정책 설정이나 규칙 그룹 연결을 재정의하는 경우 Firewall Manager는 정책을 비준수로 표시하고 해결 조치를 제안하려고 합니다. 계정 소유자는 다른 DNS Firewall 규칙 그룹을 DNS 방화벽 정책 범위에 속하는 VPC에 연결할 수 있습니다. 개별 계정 소유자가 생성하는 모든 연결에는 첫 번째 규칙 그룹 연결과 마지막 규칙 그룹 연결 간의 우선 순위 설정이 있어야 합니다.
# Firewall Manager DNS 방화벽 정책에서 규칙 그룹 삭제
**규칙 그룹 삭제**
Firewall Manager DNS 방화벽 정책에서 규칙 그룹을 삭제하려면 다음 단계를 수행해야 합니다.
**중요**
Firewall Manager DNS 방화벽 정책에서 규칙 그룹을 제거하면 DNS 방화벽 규칙 그룹에서 규칙 그룹도 삭제하는지 여부에 관계없이 정책이 적용된 VPCs에서 해당 효과가 제거됩니다. 규칙 그룹 삭제는 영구적인 작업이며 실행 취소할 수 없습니다.
1. Firewall Manager DNS 방화벽 정책에서 해당 규칙 그룹을 제거합니다.
1. 에서 규칙 그룹의 공유를 해제합니다 AWS Resource Access Manager. 소유하고 있는 규칙 그룹을 공유 해제하려면 리소스 공유에서 제거해야 합니다. AWS RAM 콘솔 또는 AWS CLI를 사용하여이 작업을 수행할 수 있습니다. 리소스 공유 해제에 대한 자세한 내용은 *AWS RAM 사용 설명서*의 AWS RAM리소[스 공유 업데이트를 참조하세요](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html).
1. DNS 방화벽 콘솔 또는 AWS CLI를 사용하여 규칙 그룹을 삭제합니다.
# Firewall Manager용 Palo Alto Networks Cloud NGFW 정책 사용
Palo Alto Networks Cloud Next Generation Firewall(NGFW)은 AWS Firewall Manager 정책에 사용할 수 있는 타사 방화벽 서비스입니다. Firewall Manager용 Palo Alto Networks Cloud NGFW를 사용하면 모든 AWS 계정에 Palo Alto Networks Cloud NGFW 리소스 및 규칙 스택을 생성하고 중앙에서 배포할 수 있습니다.
Palo Alto Networks Cloud NGFW를 Firewall Manager와 함께 사용하려면 먼저 AWS Marketplace에서 [Palo Alto Networks Cloud NGFW 종Pay-As-You-Go](https://aws.amazon.com/marketplace/pp/prodview-nkug66dl4df4i) 서비스를 구독해야 합니다. 구독 후에는 Palo Alto Networks Cloud NGFW 서비스에서 일련의 단계를 수행하여 계정 및 Cloud NGFW 설정을 구성합니다. 그런 다음 Firewall Manager Cloud FMS 정책을 생성하여 AWS Organizations의 모든 계정에 Palo Alto Networks Cloud NGFW 리소스 및 규칙을 중앙에서 배포하고 관리합니다.
Firewall Manager 정책을 생성하는 절차는 [Palo Alto Networks Cloud NGFW에 대한 AWS Firewall Manager 정책 생성](create-policy.md#creating-cloud-ngfw-policy)을 참조하세요. Firewall Manager에 대한 Palo Alto Networks Cloud NGFW를 구성하고 관리하는 방법에 대한 자세한 내용은 AWS설명서에서 *[Palo Alto Networks Palo Alto Networks Cloud NGFW](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)*를 참조하세요. 지원되는 AWS 리전은 *[AWS 지원되는 리전 및 영역에 대한 Cloud NGFW를 참조하세요](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)*.
# Firewall Manager용 서비스 정책으로서 Fortigate Cloud Native Firewall(CNF) 사용
Fortigate Cloud Native Firewall(CNF) as a Service는 AWS Firewall Manager 정책에 사용할 수 있는 타사 방화벽 서비스입니다. Fortigate CNF는 클라우드 네트워크를 보호하고 보안 정책을 쉽게 관리할 수 있게 해주는 차세대 방화벽 서비스입니다. Firewall Manager용 Fortigate CNF를 사용하면 모든 AWS 계정에 Fortigate CNF 리소스 및 정책 세트를 생성하고 중앙에서 배포할 수 있습니다.
Firewall Manager에서 Fortigate CNF를 사용하려면 먼저 [AWS Marketplace에서 서비스로 Fortigate Cloud Native Firewall(CNF)을 구독해야 합니다](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i). 구독 후에는 Fortigate CNF 서비스에서 일련의 단계를 수행하여 글로벌 정책 세트 및 기타 설정을 구성합니다. 그런 다음 Firewall Manager 정책을 생성하여 AWS Organizations의 모든 계정에 Fortigate CNF 리소스를 중앙에서 배포하고 관리합니다.
Fortigate CNF Firewall Manager 정책을 생성하는 절차는 [서비스형 Fortigate Cloud Native Firewall(CNF)에 대한 AWS Firewall Manager 정책 생성](create-policy.md#creating-fortigate-cnf-policy)을 참조하세요. Firewall Manager와 함께 사용하도록 Fortigate CNF를 구성 및 관리하는 방법에 대한 자세한 내용은 [Fortinet CNF 설명서]( https://docs.fortinet.com/product/fortigate-cnf)를 참조하세요.
# 네트워크 방화벽 및 DNS 방화벽 정책에 대한 리소스 공유
Firewall Manager Network Firewall 및 DNS Firewall 정책을 관리하려면 AWS Organizations 에서 와의 리소스 공유를 활성화해야 합니다 AWS Resource Access Manager. 이렇게 하면 Firewall Manager에서 이러한 정책 유형을 생성할 때 계정 전체에 보호 기능을 배포할 수 있습니다.
리소스 공유를 활성화하려면 *AWS Resource Access Manager 사용 설명서*의 [AWS Organizations공유 활성화](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)의 지침을 따르십시오.
**리소스 공유 관련 문제**
를 사용하여 리소스 공유 AWS RAM 를 활성화하거나 필요한 Firewall Manager 정책에서 작업할 때 리소스 공유에 문제가 발생할 수 있습니다.
이러한 문제의 예는 다음과 같습니다.
+ 지침에 따라 공유를 활성화하면 AWS RAM 콘솔에서 **와 공유 활성화 AWS Organizations** 선택이 회색으로 표시되고 선택할 수 없습니다.
+ Firewall Manager에서 리소스 공유가 필요한 정책을 적용하면 정책이 비준수로 표시되고 리소스 공유 또는 AWS RAM 이 활성화되지 않았음을 나타내는 메시지가 표시됩니다.
리소스 공유에 문제가 발생하는 경우 다음 절차에 따라 활성화해 보십시오.
**리소스 공유 활성화 재시도**
+ 다음 옵션 중 하나를 사용하여 공유를 다시 활성화합니다.
+ (선택 사항) AWS RAM 콘솔을 통해 *AWS Resource Access Manager 사용 설명서*의 [와 공유 활성화 AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)의 지침을 따릅니다.
+ (선택 사항) AWS RAM API를 사용하여를 호출합니다`EnableSharingWithAwsOrganization`. [EnableSharingWithAwsOrganization](https://docs.aws.amazon.com/ram/latest/APIReference/API_EnableSharingWithAwsOrganization.html)의 문서를 참조하세요.