AWS Firewall Manager 정책 생성

Firewall Manager 관리자 계정을 AWS Management Console 사용하여 에 로그인한 다음 에서 Firewall Manager 콘솔을 엽니다https://console.aws.amazon.com/wafv2/fmsv2. Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 전제 조건을 참조하세요.

탐색 창에서 보안 정책을 선택합니다.

정책 생성을 선택합니다.

정책 타입에서 AWS WAF를 선택합니다.

리전 에서 를 선택합니다 AWS 리전. Amazon CloudFront 배포를 보호하려면 전역 을 선택합니다.

여러 리전( CloudFront 배포 제외)의 리소스를 보호하려면 각 리전에 대해 별도의 Firewall Manager 정책을 생성해야 합니다.

Next(다음)를 선택합니다.

정책 명칭에 서술적 명칭을 입력하십시오. Firewall Manager는 ACLs 관리하는 웹의 이름에 정책 이름을 포함합니다. 웹 ACL 이름 FMManagedWebACLV2- 뒤에 여기에 입력하는 정책 이름인 -와 웹 ACL 생성 타임스탬프가 UTC밀리초 단위로 표시됩니다. 예: FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

웹 요청 본문 검사의 경우 본문 크기 제한을 선택적으로 변경할 수 있습니다. 가격 고려 사항을 포함한 본문 검사 크기 제한에 대한 자세한 내용은 AWS WAF 개발자 안내서를 참조하세요다음에 대한 신체 검사 크기 제한 관리 AWS WAF.

정책 규칙 에서 웹 에서 처음과 마지막으로 AWS WAF 평가할 규칙 그룹을 추가합니다ACL. AWS WAF 관리형 규칙 그룹 버전 관리를 사용하려면 버전 관리 활성화를 토글합니다. 개별 계정 관리자는 첫 번째 규칙 그룹과 마지막 규칙 그룹 사이에 규칙 및 규칙 그룹을 추가할 수 있습니다. 에 대한 Firewall Manager 정책에서 AWS WAF 규칙 그룹을 사용하는 방법에 대한 자세한 내용은 섹션을 AWS WAF참조하세요Firewall Manager에서 AWS WAF 정책 사용.

(선택 사항) 웹에서 규칙 그룹을 ACL 사용하는 방법을 사용자 지정하려면 편집을 선택합니다. 다음은 일반적인 사용자 지정 설정입니다.

설정을 완료했으면 규칙 저장을 선택합니다.

웹 에 대한 기본 작업을 설정합니다ACL. 이는 웹 요청이 웹 의 규칙과 일치하지 않을 때 수행되는 AWS WAF 작업입니다ACL. 허용 작업을 사용하여 사용자 지정 헤더를 추가하거나 차단 작업에 대한 사용자 지정 응답을 추가할 수 있습니다. 기본 웹 ACL 작업에 대한 자세한 내용은 섹션을 참조하세요에서 웹 ACL 기본 동작 설정 AWS WAF. 웹 요청 및 응답을 사용자 지정하는 방법에 대한 자세한 내용은 에 사용자 지정 웹 요청 및 응답 추가 AWS WAF을 참조하세요.

로깅 구성의 경우 로깅 활성화를 선택하여 로깅을 활성화합니다. 로깅은 웹에서 분석하는 트래픽에 대한 자세한 정보를 제공합니다ACL. 로깅 대상 유형을 선택한 다음 구성한 로깅 대상을 선택합니다. 이름이 aws-waf-logs-로 시작하는 로깅 대상을 선택해야 합니다. AWS WAF 로깅 대상 구성에 대한 자세한 내용은 섹션을 참조하세요Firewall Manager에서 AWS WAF 정책 사용.

(선택 사항) 로그에 포함된 특정 필드와 그 값이 필요하지 않은 경우 해당 필드를 삭제합니다. 삭제할 필드를 선택한 후 추가를 선택합니다. 필요에 따라 이 작업을 반복하여 추가 필드를 삭제합니다. 삭제된 필드는 로그에서 REDACTED(으)로 표시됩니다. 예를 들어 URI 필드를 수정하면 로그의 URI 필드가 가 됩니다REDACTED.

(선택 사항) 모든 요청을 로그로 전송하지 않으려면 필터링 기준과 동작을 추가합니다. 필터 로그에서 적용하려는 각 필터에 대해 필터 추가를 선택한 다음 기준과 일치하는 요청을 유지할지 아니면 삭제할지 여부를 지정합니다. 필터 추가를 완료할 때 필요 시 기본 로깅 동작을 수정합니다. 자세한 내용은 AWS WAF 개발자 안내서의 웹 ACL 레코드 찾기을 참조하세요.

토큰 도메인 목록을 정의하여 보호된 애플리케이션 간에 토큰을 공유하도록 할 수 있습니다. 토큰은 CAPTCHA 그리고 Challenge AWS WAF 사기 제어 계정 탈취 방지(ATP) 및 AWS WAF 봇 제어를 위해 AWS 관리형 규칙 규칙 그룹을 사용할 때 구현SDKs하는 애플리케이션 통합을 통해 및 작업을 수행할 수 있습니다.

공개 접미사는 허용되지 않습니다. 예를 들면 gov.au 또는 co.uk를 토큰 도메인으로 사용할 수 없습니다.

기본적으로 는 보호된 리소스의 도메인에 대해서만 토큰을 AWS WAF 허용합니다. 이 목록에 토큰 도메인을 추가하는 경우 는 목록의 모든 도메인과 연결된 리소스의 도메인에 대해 토큰을 AWS WAF 허용합니다. 자세한 내용은 AWS WAF 개발자 안내서의 AWS WAF 웹 ACL 토큰 도메인 목록 구성을 참조하세요.

기존 웹 을 편집할 때만 웹 ACL을 변경CAPTCHA하고 면제 시간을 확인할 수 있습니다ACL. Firewall Manager 정책 세부 정보 페이지에서 이러한 설정을 찾을 수 있습니다. 이 설정에 대한 내용은 타임스탬프 만료 및 토큰 면역 시간 설정 AWS WAF을 참조하세요. 기존 정책에서 연결 구성 , , CAPTCHA챌린지 또는 토큰 도메인 목록 설정을 업데이트하면 Firewall Manager가 로컬 웹을 ACLs 새 값으로 덮어씁니다. 그러나 정책의 연결 구성 , , CAPTCHA 챌린지 또는 토큰 도메인 목록 설정을 업데이트하지 않으면 로컬 웹의 값은 ACLs 변경되지 않습니다. 이 옵션에 대한 자세한 내용은 AWS WAF 개발자 안내서의 사용 CAPTCHA 그리고 Challenge 인 AWS WAF을 참조하세요.

웹 ACL 관리에서 Firewall Manager가 연결되지 않은 웹을 관리하도록 하려면 연결되지 않은 웹 관리를 ACLs ACLs활성화합니다. 이 옵션을 사용하면 Firewall ManagerACLs는 하나 이상의 리소스ACLs에서 웹을 사용하는 경우에만 정책 범위 내에서 계정에 웹을 생성합니다. 언제든지 계정이 정책 범위에 속하는 경우 Firewall Manager는 하나 이상의 리소스ACL가 웹 를 사용하는 경우 계정에 웹을 자동으로 생성합니다ACL. 이 옵션을 활성화하면 Firewall Manager는 계정에서 연결되지 않은 웹ACLs을 일회성으로 정리합니다. 정리 프로세스에는 몇 시간이 걸릴 수 있습니다. Firewall Manager가 웹 을 생성한 후 리소스가 정책 범위를 벗어나면 ACLFirewall Manager는 웹 에서 리소스를 연결 해제ACL하지만 연결되지 않은 웹 는 정리하지 않습니다ACL. Firewall Manager는 정책ACLs에서 연결되지 않은 웹 관리를 처음 활성화한 ACLs 경우에만 연결되지 않은 웹을 정리합니다.

정책 작업 ACL에서 조직 내 각 해당 계정에 웹을 생성하지만 아직 리소스ACL에 웹을 적용하지 않으려면 정책 규칙을 준수하지 않지만 자동 수정하지 않고 연결되지 않은 웹 관리를 선택하지 않는 리소스 식별을 선택합니다. ACLs 나중에 옵션을 변경할 수 있습니다.

그 대신 기존 범위 내 리소스에 정책을 자동으로 적용하려는 경우 비준수 리소스 자동 문제 해결을 선택합니다. 연결되지 않은 웹 관리ACLs가 비활성화된 경우 규정 미준수 리소스 자동 수정 옵션은 조직 내 ACL 각 해당 계정에 웹을 생성하고 웹을 계정의 리소스ACL와 연결합니다. 연결되지 않은 웹 관리ACLs가 활성화된 경우 규정 미준수 리소스 자동 수정 옵션은 웹에 연결할 수 있는 리소스가 있는 계정ACL에서만 웹을 생성하고 연결합니다ACL.

규정 미준수 리소스 자동 해결을 선택하면 다른 활성 Firewall Manager 정책에서 관리하지 ACLs 않는 웹에 대해 범위 내 리소스에서 기존 웹 ACL 연결을 제거하도록 선택할 수도 있습니다. 이 옵션을 선택하면 Firewall Manager가 먼저 정책의 웹을 리소스ACL에 연결한 다음 이전 연결을 제거합니다. 리소스에 다른 활성 Firewall Manager 정책으로 관리ACL되는 다른 웹과의 연결이 있는 경우 이 선택은 해당 연결에 영향을 주지 않습니다.

Next(다음)를 선택합니다.

이 정책이 적용되는AWS 계정 의 경우 다음과 같이 옵션을 선택합니다.

옵션 중 하나만 선택할 수 있습니다.

정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예컨대, 귀하가 특정 계정만 포함하는 경우, Firewall Manager는 해당 정책을 새 계정에 적용하지 않습니다. 또 다른 예로, OU를 포함하는 경우 OU 또는 하위 에 계정을 추가할 때 OUsFirewall Manager는 새 계정에 정책을 자동으로 적용합니다.

리소스 유형에서 보호하려는 리소스 유형을 선택합니다.

리소스 의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하세요.

태그를 두 개 이상 입력하는 경우, 포함하거나 제외할 모든 태그가 리소스에 있어야 합니다.

리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그의 값을 생략하면 Firewall Manager가 빈 문자열 값인 “”으로 태그를 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.

Next(다음)를 선택합니다.

정책 태그 의 경우 Firewall Manager 정책 리소스에 추가할 식별 태그를 추가합니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하세요.

Next(다음)를 선택합니다.

새 정책 설정을 검토하고 조정이 필요한 페이지로 돌아갑니다.

정책이 마음에 들면 정책 생성를 선택합니다. AWS Firewall Manager 정책 창에 귀하의 정책이 등재되어야 합니다. 계정 제목 아래에 보류 중이 표시되고 자동 수정 설정 상태가 표시됩니다. 정책을 만들려면 몇 분 정도 걸릴 수 있습니다. 보류 중 상태가 계정 수로 바뀐 후에는 정책 이름을 선택하여 계정과 리소스의 규정 준수 상태를 탐색할 수 있습니다. 자세한 정보는 AWS Firewall Manager 정책에 대한 규정 준수 정보 보기을 참조하세요.

Firewall Manager 관리자 계정을 AWS Management Console 사용하여 에 로그인한 다음 에서 Firewall Manager 콘솔을 엽니다https://console.aws.amazon.com/wafv2/fmsv2. Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 전제 조건을 참조하세요.

탐색 창에서 보안 정책을 선택합니다.

정책 생성을 선택합니다.

정책 타입에서 AWS WAF Classic을 선택합니다.

정책에 추가할 AWS WAF Classic 규칙 그룹을 이미 생성한 경우 AWS Firewall Manager 정책 생성을 선택하고 기존 규칙 그룹을 추가합니다. 새 규칙 그룹을 생성하려면 Firewall Manager 정책 생성 및 새 규칙 그룹 추가를 선택합니다.

리전 에서 를 선택합니다 AWS 리전. Amazon CloudFront 리소스를 보호하려면 전역 을 선택합니다.

여러 리전( CloudFront 리소스 제외)의 리소스를 보호하려면 각 리전에 대해 별도의 Firewall Manager 정책을 생성해야 합니다.

Next(다음)를 선택합니다.

규칙 그룹을 만들려면 AWS WAF Classic 규칙 그룹 생성의 지침을 따릅니다. 규칙 그룹을 생성한 후 다음 단계를 계속 진행합니다.

정책 이름을 입력합니다.

기존 규칙 그룹을 추가하는 경우 드롭다운 메뉴를 사용하여 추가할 규칙 그룹을 선택한 다음 Add rule group(규칙 그룹 추가)을 선택합니다.

정책에는 Action set by rule group(규칙 그룹에 설정된 작업) 및 Count(계산)라는 두 가지 가능한 작업이 있습니다. 정책과 규칙 그룹을 테스트하려면 작업을 Count(계산)로 설정합니다. 이 작업은 규칙 그룹 내 규칙으로 지정한 모든 차단 작업을 재정의합니다. 즉, 정책의 작업이 Count(계산)로 설정되면 요청이 계산되기만 하고 차단되지는 않습니다. 반대로 정책의 작업을 Action set by rule group(규칙 그룹에 설정된 작업)으로 설정하면 규칙 그룹 규칙의 작업이 사용됩니다. 적절한 작업을 선택합니다.

Next(다음)를 선택합니다.

이 정책이 적용되는AWS 계정 의 경우 다음과 같이 옵션을 선택합니다.

옵션 중 하나만 선택할 수 있습니다.

정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예컨대, 귀하가 특정 계정만 포함하는 경우, Firewall Manager는 해당 정책을 새 계정에 적용하지 않습니다. 또 다른 예로, OU를 포함하는 경우 OU 또는 하위 에 계정을 추가할 때 OUsFirewall Manager는 새 계정에 정책을 자동으로 적용합니다.

보호할 리소스 유형을 선택합니다.

리소스 의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하세요.

태그를 두 개 이상 입력하는 경우, 포함하거나 제외할 모든 태그가 리소스에 있어야 합니다.

리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그의 값을 생략하면 Firewall Manager가 빈 문자열 값인 “”으로 태그를 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.

기존 리소스에 정책을 자동으로 적용하려면 Create and apply this policy to existing and new resources(이 정책을 생성하고 기존 리소스와 새 리소스에 적용)를 선택합니다.

이 옵션은 조직 내 ACL 각 해당 계정에 웹을 AWS 생성하고 웹을 계정의 리소스ACL와 연결합니다. 앞에서 설명한 기준(리소스 타입 및 태그)에 맞는 모든 새 리소스에 정책을 적용합니다. 또는 정책 생성을 선택했지만 기존 또는 새 리소스에 정책을 적용하지 않는 경우 Firewall Manager는 조직 내 ACL 각 해당 계정에 웹을 생성하지만 리소스에는 웹ACL을 적용하지 않습니다. 나중에 정책을 리소스에 적용해야 합니다. 적절한 옵션을 선택합니다.

기존 연결 웹 교체 ACLs에서 범위 내 리소스에 대해 현재 정의된 웹 ACL 연결을 제거한 다음 이 정책을 사용하여 생성하는 웹에 대한 연결로 바꾸ACLs도록 선택할 수 있습니다. 기본적으로 Firewall Manager는 새 웹 연결을 추가하기 전에 기존 웹 ACL 연결을 제거하지 않습니다. 기존 연결을 제거하려면 이 옵션을 선택합니다.

Next(다음)를 선택합니다.

새 정책을 검토합니다. 변경하려면 Edit(편집)를 선택합니다. 정책이 마음에 들면 Create and apply policy(정책 생성 및 적용)를 선택합니다.

Firewall Manager 관리자 계정을 AWS Management Console 사용하여 에 로그인한 다음 에서 Firewall Manager 콘솔을 엽니다https://console.aws.amazon.com/wafv2/fmsv2. Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 전제 조건을 참조하세요.

탐색 창에서 보안 정책을 선택합니다.

정책 생성을 선택합니다.

정책 유형으로는 Shield Advanced를 선택합니다.

Shield Advanced 정책을 생성하려면 Shield Advanced를 구독해야 합니다. 가입되지 않은 경우 가입하라는 메시지가 나타납니다. 구독 비용에 관한 자세한 내용은 AWS Shield Advanced 가격을 참조하세요.

리전 에서 를 선택합니다 AWS 리전. Amazon CloudFront 배포를 보호하려면 전역 을 선택합니다.

글로벌을 제외한 리전 선택의 경우 여러 리전에서 리소스를 보호하려면 각 리전에 대해 별도의 Firewall Manager 정책을 생성해야 합니다.

Next(다음)를 선택합니다.

이름에 설명하는 이름을 입력합니다.

글로벌 리전 정책에 대해서만 Shield Advanced 자동 애플리케이션 계층 DDoS 완화를 관리할지 여부를 선택할 수 있습니다. 이 Shield Advanced 기능에 대한 자세한 내용은 Shield Advanced를 사용한 애플리케이션 계층 DDoS 완화 자동화 을 참조하세요.

자동 완화를 사용하거나 사용 중지하도록 선택하거나 무시하도록 선택할 수 있습니다. 이를 무시하도록 선택하면 Firewall Manager는 Shield Advanced 보호에 대한 자동 완화 기능을 전혀 관리하지 않습니다. 이러한 정책 옵션에 대한 자세한 내용은 Firewall Manager Shield Advanced 정책과 함께 자동 애플리케이션 계층 DDoS 완화 사용을 참조하세요.

웹 ACL 관리에서 Firewall Manager가 연결되지 않은 웹을 관리하도록 하려면 연결되지 않은 웹 관리를 ACLs ACLs활성화합니다. 이 옵션을 사용하면 Firewall ManagerACLs는 하나 이상의 리소스ACLs에서 웹을 사용하는 경우에만 정책 범위 내에서 계정에 웹을 생성합니다. 언제든지 계정이 정책 범위에 속하는 경우 Firewall Manager는 하나 이상의 리소스ACL가 웹 를 사용하는 경우 계정에 웹을 자동으로 생성합니다ACL. 이 옵션을 활성화하면 Firewall Manager는 계정에서 연결되지 않은 웹ACLs을 일회성으로 정리합니다. 정리 프로세스에는 몇 시간이 걸릴 수 있습니다. Firewall Manager가 웹 을 생성한 후 리소스가 정책 범위를 벗어나는 경우 ACLFirewall Manager는 웹 에서 리소스를 연결 해제하지 않습니다ACL. 일회성 정리ACL에 웹을 포함하려면 먼저 웹에서 리소스를 수동으로 연결 해제ACL한 다음 연결되지 않은 웹 관리를 ACLs활성화해야 합니다.

정책 작업에서 미준수 리소스의 문제를 자동으로 해결하지 않는 옵션을 사용하여 정책을 생성하는 것이 좋습니다. 자동 수정을 비활성화하면 새 정책을 적용하기 전에 그 효과를 평가할 수 있습니다. 변경 내용이 원하는 대로 만족스러우면 정책을 편집하고 정책 작업을 변경하여 자동 문제 해결을 활성화합니다.

그 대신 기존 범위 내 리소스에 정책을 자동으로 적용하려는 경우 비준수 리소스 자동 문제 해결을 선택합니다. 이 옵션은 AWS 조직 내 각 해당 계정과 계정의 각 해당 리소스에 대해 Shield Advanced 보호를 적용합니다.

글로벌 리전 정책만 해당 에서 규정 미준수 리소스 자동 해결을 선택한 경우 Firewall Manager가 기존 AWS WAF Classic 웹 ACL 연결을 최신 버전 AWS WAF (v2)을 사용하여 ACLs 생성된 웹에 대한 새 연결로 자동으로 교체하도록 선택할 수도 있습니다. 이 옵션을 선택하면 Firewall Manager가 이전 버전 웹과의 연결을 제거하고 정책에 대해 아직 없는 범위 ACLs 내 계정에 빈 웹을 새로 생성한 ACLs후 최신 버전 웹과의 새 ACLs 연결을 생성합니다. 이 옵션에 대한 자세한 내용은 AWS WAF Classic 웹을 최신 버전 웹ACLs으로 교체 ACLs을 참조하세요.

Next(다음)를 선택합니다.

이 정책이 적용되는AWS 계정 의 경우 다음과 같이 옵션을 선택합니다.

옵션 중 하나만 선택할 수 있습니다.

정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예컨대, 귀하가 특정 계정만 포함하는 경우, Firewall Manager는 해당 정책을 새 계정에 적용하지 않습니다. 또 다른 예로, OU를 포함하는 경우 OU 또는 하위 에 계정을 추가하면 OUsFirewall Manager가 새 계정에 정책을 자동으로 적용합니다.

보호할 리소스 유형을 선택합니다.

Firewall Manager는 Amazon Route 53 또는 AWS Global Accelerator을 지원하지 않습니다. Shield Advanced를 사용하여 이러한 서비스로부터 리소스를 보호해야 하는 경우 Firewall Manager 정책을 사용할 수 없습니다. 대신 AWS 리소스에 AWS Shield Advanced 보호 추가의 Shield Advanced 지침을 따르십시오.

리소스 의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하세요.

태그를 두 개 이상 입력하는 경우, 포함하거나 제외할 모든 태그가 리소스에 있어야 합니다.

리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그의 값을 생략하면 Firewall Manager가 빈 문자열 값인 “”으로 태그를 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.

Next(다음)를 선택합니다.

정책 태그 의 경우 Firewall Manager 정책 리소스에 추가할 식별 태그를 추가합니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하세요.

Next(다음)를 선택합니다.

새 정책 설정을 검토하고 조정이 필요한 페이지로 돌아갑니다.

정책이 마음에 들면 정책 생성를 선택합니다. AWS Firewall Manager 정책 창에 귀하의 정책이 등재되어야 합니다. 계정 제목 아래에 보류 중이 표시되며 자동 수정 설정 상태가 표시됩니다. 정책을 만들려면 몇 분 정도 걸릴 수 있습니다. 보류 중 상태가 계정 수로 바뀐 후에는 정책 이름을 선택하여 계정과 리소스의 규정 준수 상태를 탐색할 수 있습니다. 자세한 정보는 AWS Firewall Manager 정책에 대한 규정 준수 정보 보기을 참조하세요.

Firewall Manager 관리자 계정을 AWS Management Console 사용하여 에 로그인한 다음 에서 Firewall Manager 콘솔을 엽니다https://console.aws.amazon.com/wafv2/fmsv2. Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 전제 조건을 참조하세요.

탐색 창에서 보안 정책을 선택합니다.

정책 생성을 선택합니다.

정책 유형에서 보안 그룹을 선택합니다.

보안 그룹 정책 유형에서 공통 보안 그룹을 선택합니다.

리전 에서 를 선택합니다 AWS 리전.

Next(다음)를 선택합니다.

정책 이름에 기억하기 쉬운 이름을 입력합니다.

정책 규칙에서 다음을 수행합니다.

1. 규칙 옵션에서 보안 그룹 규칙과 정책 범위 내에 있는 리소스에 적용할 제한을 선택합니다. 기본 보안 그룹의 태그를 이 정책으로 생성된 보안 그룹에 배포하도록 선택한 경우 이 정책에 따라 생성된 보안 그룹이 규정을 준수하지 않을 경우 식별 및 보고도 선택해야 합니다.

   중요

   Firewall Manager는 AWS 서비스에 의해 추가된 시스템 태그를 복제본 보안 그룹에 배포하지 않습니다. 시스템 태그는 aws: 접두사로 시작합니다. 정책에 조직의 태그 정책과 충돌하는 태그가 있는 경우 Firewall Manager는 기존 보안 그룹의 태그를 업데이트하거나 새 보안 그룹을 만들지 않습니다. 태그 정책에 대한 자세한 내용은 AWS Organizations 사용 설명서의 태그 정책을 참조하세요.

   기본 보안 그룹에서 이 정책 에 의해 생성된 보안 그룹으로 보안 그룹 참조 배포를 선택하면 Firewall Manager는 Amazon 에 활성 피어링 연결이 있는 경우에만 보안 그룹 참조를 배포합니다VPC. 이 옵션에 대한 자세한 내용은 정책 규칙 설정을 참조하세요.

2. 기본 보안 그룹 에서 보안 그룹 추가를 선택한 다음 사용할 보안 그룹을 선택합니다. Firewall Manager는 Firewall Manager 관리자 계정의 모든 Amazon VPC 인스턴스에서 보안 그룹 목록을 채웁니다.

   기본적으로 정책당 기본 보안 그룹의 최대 수는 3개입니다. 이 설정에 대한 자세한 내용은 AWS Firewall Manager 할당량 섹션을 참조하세요.

3. 정책 작업에서 자동으로 문제를 해결하지 않는 옵션을 사용하여 정책을 생성하는 것이 좋습니다. 이렇게 하면 정책을 적용하기 전에 새 정책의 효과를 평가할 수 있습니다. 변경 내용이 원하는 대로 만족스러우면 정책을 편집하고 정책 작업을 변경하여 규정 미준수 리소스의 자동 문제 해결을 활성화합니다.

Next(다음)를 선택합니다.

이 정책이 적용되는AWS 계정 의 경우 다음과 같이 옵션을 선택합니다.

옵션 중 하나만 선택할 수 있습니다.

정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예컨대, 귀하가 특정 계정만 포함하는 경우, Firewall Manager는 해당 정책을 새 계정에 적용하지 않습니다. 또 다른 예로, OU를 포함하는 경우 OU 또는 하위 에 계정을 추가하면 OUsFirewall Manager가 새 계정에 정책을 자동으로 적용합니다.

리소스 유형에서 보호하려는 리소스 유형을 선택합니다.

리소스 유형 EC2 인스턴스 의 경우 모든 Amazon EC2 인스턴스를 수정하거나 기본 기본 탄력적 네트워크 인터페이스()만 있는 인스턴스만 수정할 수 있습니다ENI. 후자 옵션의 경우 Firewall Manager는 추가 ENI 첨부 파일이 있는 인스턴스를 수정하지 않습니다. 대신 자동 수정이 활성화되면 Firewall Manager는 이러한 EC2 인스턴스의 규정 준수 상태만 표시하고 수정 작업은 적용하지 않습니다. 에서 Amazon EC2 리소스 유형에 대한 추가 주의 사항 및 제한을 참조하세요보안 그룹 정책 유의 사항 및 제한 사항.

리소스 의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하세요.

태그를 두 개 이상 입력하는 경우, 포함하거나 제외할 모든 태그가 리소스에 있어야 합니다.

리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그의 값을 생략하면 Firewall Manager가 빈 문자열 값인 “”으로 태그를 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.

공유 VPC 리소스 의 경우 공유 의 리소스에 정책을 적용하려면 계정이 소유VPCs한 VPCs외에도 공유 의 리소스 포함을 VPCs선택합니다.

Next(다음)를 선택합니다.

정책 설정을 검토하여 원하는 대로 설정되었는지 확인한 다음 정책 생성을 선택합니다.

Firewall Manager 관리자 계정을 AWS Management Console 사용하여 에 로그인한 다음 에서 Firewall Manager 콘솔을 엽니다https://console.aws.amazon.com/wafv2/fmsv2. Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 전제 조건을 참조하세요.

탐색 창에서 보안 정책을 선택합니다.

정책 생성을 선택합니다.

정책 유형에서 보안 그룹을 선택합니다.

보안 그룹 정책 유형에서 보안 그룹 규칙의 감사 및 적용을 선택합니다.

리전 에서 를 선택합니다 AWS 리전.

Next(다음)를 선택합니다.

정책 이름에 기억하기 쉬운 이름을 입력합니다.

정책 규칙의 경우 사용하려는 관리형 또는 사용자 지정 정책 규칙 옵션을 선택합니다.

1. 관리형 감사 정책 규칙 구성에 대해 다음을 수행합니다.

   1. 감사할 보안 그룹 규칙 구성의 경우 감사 정책을 적용할 보안 그룹 규칙 유형을 선택합니다.

   2. 보안 그룹에서 프로토콜, 포트 및 CIDR 범위 설정을 기반으로 하는 감사 규칙과 같은 작업을 수행하려면 지나치게 허용되는 보안 그룹 규칙 감사를 선택하고 원하는 옵션을 선택합니다.

      모든 트래픽 규칙 허용을 선택하면 감사하려는 애플리케이션을 지정하는 사용자 지정 애플리케이션 목록을 제공할 수 있습니다. 사용자 정의 애플리케이션 목록 및 정책에서 이를 사용하는 방법에 대한 자세한 내용은 관리형 목록 사용 및 관리형 목록 사용을 참조하세요.

      프로토콜 목록을 사용하는 선택 항목의 경우 기존 목록을 사용하고 새 목록을 만들 수 있습니다. 프로토콜 목록 및 정책에서 이를 사용하는 방법에 대한 자세한 내용은 관리형 목록 사용 및 관리형 목록 사용을 참조하세요.

   3. 예약 범위 또는 예약되지 않은 CIDR 범위에 대한 액세스를 기반으로 고위험을 감사하려면 고위험 애플리케이션 감사를 선택하고 원하는 옵션을 선택합니다.

      다음 선택 사항은 상호 배타적입니다. 예약된 CIDR 범위 에만 액세스할 수 있는 애플리케이션 및 예약되지 않은 CIDR 범위 에 액세스할 수 있는 애플리케이션. 모든 정책에서 최대 한 개만 선택할 수 있습니다.

      애플리케이션 목록을 사용하는 선택 항목의 경우 기존 목록을 사용하고 새 목록을 만들 수 있습니다. 애플리케이션 목록 및 정책에서 이를 사용하는 방법에 대한 자세한 내용은 관리형 목록 사용 및 관리형 목록 사용을 참조하세요.

   4. 재정의 설정을 사용하면 정책의 다른 설정을 명시적으로 재정의할 수 있습니다. 정책에 설정한 다른 옵션을 준수하는지 여부에 관계없이 특정 보안 그룹 규칙을 항상 허용하거나 항상 거부하도록 선택할 수 있습니다.

      이 옵션의 경우 감사 보안 그룹을 허용 규칙 또는 거부 규칙 템플릿으로 제공합니다. 감사 보안 그룹에서 감사 보안 그룹 추가를 선택하고 사용하려는 보안 그룹을 선택합니다. Firewall Manager는 Firewall Manager 관리자 계정의 모든 Amazon VPC 인스턴스에서 감사 보안 그룹 목록을 채웁니다. 정책의 감사 보안 그룹 수에 대한 기본 최대 할당량은 1입니다. 할당량 증가에 대한 자세한 내용은 AWS Firewall Manager 할당량을 참조하세요.

2. 사용자 지정 정책 규칙 설정에서 다음을 수행합니다.

   1. 규칙 옵션에서 감사 보안 그룹에 정의된 규칙만 허용할지 또는 모든 규칙을 거부할지를 선택합니다. 이 옵션에 대한 자세한 내용은 Firewall Manager에서 콘텐츠 감사 보안 그룹 정책 사용을 참조하세요.

   2. 감사 보안 그룹에서 감사 보안 그룹 추가를 선택하고 사용하려는 보안 그룹을 선택합니다. Firewall Manager는 Firewall Manager 관리자 계정의 모든 Amazon VPC 인스턴스에서 감사 보안 그룹 목록을 채웁니다. 정책의 감사 보안 그룹 수에 대한 기본 최대 할당량은 1입니다. 할당량 증가에 대한 자세한 내용은 AWS Firewall Manager 할당량을 참조하세요.

   3. 정책 작업에서 자동으로 문제를 해결하지 않는 옵션을 사용하여 정책을 생성해야 합니다. 이렇게 하면 정책을 적용하기 전에 새 정책의 효과를 평가할 수 있습니다. 변경 내용이 원하는 대로 만족스러우면 정책을 편집하고 정책 작업을 변경하여 규정 미준수 리소스의 자동 문제 해결을 활성화합니다.

Next(다음)를 선택합니다.

이 정책이 적용되는AWS 계정 의 경우 다음과 같이 옵션을 선택합니다.

옵션 중 하나만 선택할 수 있습니다.

정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예컨대, 귀하가 특정 계정만 포함하는 경우, Firewall Manager는 해당 정책을 새 계정에 적용하지 않습니다. 또 다른 예로, OU를 포함하는 경우 OU 또는 하위 에 계정을 추가하면 OUsFirewall Manager가 새 계정에 정책을 자동으로 적용합니다.

리소스 유형에서 보호하려는 리소스 유형을 선택합니다.

리소스 의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하세요.

태그를 두 개 이상 입력하는 경우, 포함하거나 제외할 모든 태그가 리소스에 있어야 합니다.

리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그의 값을 생략하면 Firewall Manager가 빈 문자열 값인 “”으로 태그를 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.

Next(다음)를 선택합니다.

정책 설정을 검토하여 원하는 대로 설정되었는지 확인한 다음 정책 생성을 선택합니다.

Firewall Manager 관리자 계정을 AWS Management Console 사용하여 에 로그인한 다음 에서 Firewall Manager 콘솔을 엽니다https://console.aws.amazon.com/wafv2/fmsv2. Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 전제 조건을 참조하세요.

탐색 창에서 보안 정책을 선택합니다.

정책 생성을 선택합니다.

정책 유형에서 보안 그룹을 선택합니다.

보안 그룹 정책 유형에서 연결되지 않은 보안 그룹 및 중복 보안 그룹의 감사 및 적용을 선택합니다.

리전 에서 를 선택합니다 AWS 리전.

Next(다음)를 선택합니다.

정책 이름에 기억하기 쉬운 이름을 입력합니다.

정책 규칙에서 사용 가능한 옵션 중 하나 또는 둘 다를 선택합니다.

정책 작업에서 자동으로 문제를 해결하지 않는 옵션을 사용하여 정책을 생성하는 것이 좋습니다. 이렇게 하면 정책을 적용하기 전에 새 정책의 효과를 평가할 수 있습니다. 변경 내용이 원하는 대로 만족스러우면 정책을 편집하고 정책 작업을 변경하여 규정 미준수 리소스의 자동 문제 해결을 활성화합니다.

Next(다음)를 선택합니다.

이 정책이 적용되는AWS 계정 의 경우 다음과 같이 옵션을 선택합니다.

옵션 중 하나만 선택할 수 있습니다.

정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예컨대, 귀하가 특정 계정만 포함하는 경우, Firewall Manager는 해당 정책을 새 계정에 적용하지 않습니다. 또 다른 예로, OU를 포함하는 경우 OU 또는 하위 에 계정을 추가하면 OUsFirewall Manager가 새 계정에 정책을 자동으로 적용합니다.

리소스 의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하세요.

태그를 두 개 이상 입력하는 경우, 포함하거나 제외할 모든 태그가 리소스에 있어야 합니다.

리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그의 값을 생략하면 Firewall Manager가 빈 문자열 값인 “”으로 태그를 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.

Next(다음)를 선택합니다.

정책 범위에서 Firewall Manager 관리자 계정을 제외하지 않은 경우 Firewall Manager에서 이 작업을 수행하라는 메시지가 표시됩니다. 이렇게 하면 Firewall Manager 관리자 계정에서 어떤 보안 그룹을 공통 및 감사 보안 그룹 정책에 사용할지를 수동으로 제어할 수 있습니다. 이 대화 상자에서 원하는 옵션을 선택합니다.

정책 설정을 검토하여 원하는 대로 설정되었는지 확인한 다음 정책 생성을 선택합니다.

Firewall Manager 관리자 계정을 AWS Management Console 사용하여 에 로그인한 다음 에서 Firewall Manager 콘솔을 엽니다https://console.aws.amazon.com/wafv2/fmsv2. Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 전제 조건을 참조하세요.

탐색 창에서 보안 정책을 선택합니다.

정책 생성을 선택합니다.

정책 유형 에서 네트워크 를 ACL선택합니다.

리전 에서 를 선택합니다 AWS 리전.

Next(다음)를 선택합니다.

정책 명칭에 서술적 명칭을 입력하십시오.

정책 규칙 에서 ACLs Firewall Manager가 관리하는 네트워크에서 항상 실행할 규칙을 정의합니다. 네트워크는 인바운드 및 아웃바운드 트래픽을 ACLs 모니터링하고 처리하므로 정책에서 양방향에 대한 규칙을 정의합니다.

어느 방향이든 항상 먼저 실행할 규칙과 항상 마지막으로 실행할 규칙을 정의합니다. Firewall Manager가 관리하는 네트워크에서 계정 소유자ACLs는 이러한 첫 번째 규칙과 마지막 규칙 사이에 실행할 사용자 지정 규칙을 정의할 수 있습니다.

정책 작업 에서 규정 미준수 서브넷 및 네트워크를 식별ACLs하지만 아직 수정 조치를 취하지 않으려면 정책 규칙을 준수하지 않지만 자동 수정하지 않는 리소스 식별을 선택합니다. 나중에 옵션을 변경할 수 있습니다.

대신 기존 범위 내 서브넷에 정책을 자동으로 적용하려면 규정을 준수하지 않는 리소스 자동 수정을 선택합니다. 이 옵션을 사용하면 정책 규칙의 트래픽 처리 동작이 네트워크 에 있는 사용자 지정 규칙과 충돌할 때 강제로 문제를 해결할지 여부도 지정합니다ACL. 강제 수정 여부에 관계없이 Firewall Manager는 규정 준수 위반 시 충돌하는 규칙을 보고합니다.

Next(다음)를 선택합니다.

이 정책이 적용되는AWS 계정 의 경우 다음과 같이 옵션을 선택합니다.

옵션 중 하나만 선택할 수 있습니다.

정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예를 들어 특정 계정만 포함하는 경우 Firewall Manager는 정책을 다른 새 계정에 적용하지 않습니다. 또 다른 예로, OU를 포함하는 경우 OU 또는 하위 에 계정을 추가하면 OUsFirewall Manager가 새 계정에 정책을 자동으로 적용합니다.

리소스 유형 의 경우 설정은 서브넷 에 고정됩니다.

리소스 의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하세요.

태그를 두 개 이상 입력하는 경우, 포함하거나 제외할 모든 태그가 리소스에 있어야 합니다.

리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그의 값을 생략하면 Firewall Manager가 빈 문자열 값인 “”으로 태그를 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.

Next(다음)를 선택합니다.

정책 설정을 검토하여 원하는 대로 설정되었는지 확인한 다음 정책 생성을 선택합니다.

Firewall Manager 관리자 계정을 AWS Management Console 사용하여 에 로그인한 다음 에서 Firewall Manager 콘솔을 엽니다https://console.aws.amazon.com/wafv2/fmsv2. Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 전제 조건을 참조하세요.

탐색 창에서 보안 정책을 선택합니다.

정책 생성을 선택합니다.

정책 타입에서 AWS Network Firewall를 선택합니다.

방화벽 관리 유형에서 Firewall Manager에서 정책의 방화벽을 관리하는 방법을 선택합니다. 다음 옵션 중 하나를 선택합니다.

리전 에서 를 선택합니다 AWS 리전. 여러 리전의 리소스를 보호하려면 각 리전에 대해 별도의 정책을 생성해야 합니다.

Next(다음)를 선택합니다.

정책 명칭에 서술적 명칭을 입력하십시오. Firewall Manager는 생성하는 네트워크 방화벽 방화벽 및 방화벽 정책의 이름에 정책 이름을 포함합니다.

AWS Network Firewall 정책 구성에서 네트워크 방화벽에서와 같이 방화벽 정책을 구성합니다. 상태 비저장 및 상태 저장 규칙 그룹을 추가하고 정책의 기본 동작을 지정합니다. 선택적으로 정책의 상태 저장 규칙 평가 순서와 기본 동작, 로깅 구성을 설정할 수 있습니다. 네트워크 방화벽 방화벽 정책 관리에 대한 자세한 내용은 AWS Network Firewall 개발자 안내서의 AWS Network Firewall 방화벽 정책을 참조하세요.

Firewall Manager 네트워크 방화벽 정책을 생성하면 Firewall Manager는 범위 내에 있는 계정에 대한 방화벽 정책을 생성합니다. 개별 계정 관리자는 방화벽 정책에 규칙 그룹을 추가할 수 있지만 여기에서 제공하는 구성을 변경할 수는 없습니다.

Next(다음)를 선택합니다.

이전 단계에서 선택한 방화벽 관리 유형에 따라 다음 중 하나를 수행합니다.

Next(다음)를 선택합니다.

정책이 분산 방화벽 관리 유형을 사용하는 경우 경로 관리에서 Firewall Manager가 각 방화벽 엔드포인트를 통해 라우팅되어야 하는 트래픽을 모니터링하고 이에 대해 경고할지 여부를 선택합니다.

트래픽 유형에는 방화벽 검사를 위해 트래픽을 라우팅할 트래픽 엔드포인트를 선택적으로 추가할 수 있습니다.

필수 AZ 간 트래픽 허용의 경우 이 옵션을 활성화하면 Firewall Manager는 자체 방화벽 엔드포인트가 없는 가용 영역에 대해 검사를 위해 가용 영역 밖으로 트래픽을 보내는 규정을 준수하는 라우팅으로 간주합니다. 엔드포인트가 있는 가용 영역은 항상 자체 트래픽을 검사해야 합니다.

Next(다음)를 선택합니다.

정책 범위의 경우 이 정책이 적용되는AWS 계정 에서 다음과 같이 옵션을 선택합니다.

옵션 중 하나만 선택할 수 있습니다.

정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예컨대, 귀하가 특정 계정만 포함하는 경우, Firewall Manager는 해당 정책을 새 계정에 적용하지 않습니다. 또 다른 예로, OU를 포함하는 경우 OU 또는 하위 에 계정을 추가하면 OUsFirewall Manager가 새 계정에 정책을 자동으로 적용합니다.

네트워크 방화벽 정책의 리소스 유형은 입니다VPC.

리소스 의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하세요.

태그를 두 개 이상 입력하는 경우, 포함하거나 제외할 모든 태그가 리소스에 있어야 합니다.

리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그의 값을 생략하면 Firewall Manager가 빈 문자열 값인 “”으로 태그를 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.

Next(다음)를 선택합니다.

정책 태그 의 경우 Firewall Manager 정책 리소스에 추가할 식별 태그를 추가합니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하세요.

Next(다음)를 선택합니다.

새 정책 설정을 검토하고 조정이 필요한 페이지로 돌아갑니다.

정책이 마음에 들면 정책 생성를 선택합니다. AWS Firewall Manager 정책 창에 귀하의 정책이 등재되어야 합니다. 계정 제목 아래에 보류 중이 표시되며 자동 수정 설정 상태가 표시됩니다. 정책을 만들려면 몇 분 정도 걸릴 수 있습니다. 보류 중 상태가 계정 수로 바뀐 후에는 정책 이름을 선택하여 계정과 리소스의 규정 준수 상태를 탐색할 수 있습니다. 자세한 정보는 AWS Firewall Manager 정책에 대한 규정 준수 정보 보기을 참조하세요.

Firewall Manager 관리자 계정을 AWS Management Console 사용하여 에 로그인한 다음 에서 Firewall Manager 콘솔을 엽니다https://console.aws.amazon.com/wafv2/fmsv2. Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 전제 조건을 참조하세요.

탐색 창에서 보안 정책을 선택합니다.

정책 생성을 선택합니다.

정책 유형 에서 Amazon Route 53 Resolver DNS 방화벽 을 선택합니다.

리전 에서 를 선택합니다 AWS 리전. 여러 리전의 리소스를 보호하려면 각 리전에 대해 별도의 정책을 생성해야 합니다.

Next(다음)를 선택합니다.

정책 명칭에 서술적 명칭을 입력하십시오.

정책 구성에서 의 규칙 그룹 연결 중에서 DNS 방화벽이 처음과 마지막으로 평가할 VPCs규칙 그룹을 추가합니다. 정책에는 최대 2개의 규칙 그룹을 추가할 수 있습니다.

Firewall Manager DNS 방화벽 정책을 생성할 때 Firewall Manager는 범위 내에 있는 VPCs 및 계정에 대해 제공한 연결 우선 순위와 함께 규칙 그룹 연결을 생성합니다. 개별 계정 관리자는 첫 번째 연결과 마지막 연결 사이에 규칙 그룹 연결을 추가할 수 있지만 여기서 정의한 연결을 변경할 수는 없습니다. 자세한 내용은 Firewall Manager에서 Amazon Route 53 Resolver DNS 방화벽 정책 사용을 참조하세요.

Next(다음)를 선택합니다.

이 정책이 적용되는AWS 계정 의 경우 다음과 같이 옵션을 선택합니다.

옵션 중 하나만 선택할 수 있습니다.

정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예컨대, 귀하가 특정 계정만 포함하는 경우, Firewall Manager는 해당 정책을 새 계정에 적용하지 않습니다. 또 다른 예로, OU를 포함하는 경우 OU 또는 하위 에 계정을 추가하면 OUsFirewall Manager가 새 계정에 정책을 자동으로 적용합니다.

DNS 방화벽 정책의 리소스 유형은 입니다VPC.

리소스 의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하세요.

태그를 두 개 이상 입력하는 경우, 포함하거나 제외할 모든 태그가 리소스에 있어야 합니다.

리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그의 값을 생략하면 Firewall Manager가 빈 문자열 값인 “”으로 태그를 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.

Next(다음)를 선택합니다.

정책 태그 의 경우 Firewall Manager 정책 리소스에 추가할 식별 태그를 추가합니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하세요.

Next(다음)를 선택합니다.

새 정책 설정을 검토하고 조정이 필요한 페이지로 돌아갑니다.

정책이 마음에 들면 정책 생성를 선택합니다. AWS Firewall Manager 정책 창에 귀하의 정책이 등재되어야 합니다. 계정 제목 아래에 보류 중이 표시되며 자동 수정 설정 상태가 표시됩니다. 정책을 만들려면 몇 분 정도 걸릴 수 있습니다. 보류 중 상태가 계정 수로 바뀐 후에는 정책 이름을 선택하여 계정과 리소스의 규정 준수 상태를 탐색할 수 있습니다. 자세한 정보는 AWS Firewall Manager 정책에 대한 규정 준수 정보 보기을 참조하세요.

Firewall Manager 관리자 계정을 AWS Management Console 사용하여 에 로그인한 다음 에서 Firewall Manager 콘솔을 엽니다https://console.aws.amazon.com/wafv2/fmsv2. Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 전제 조건을 참조하세요.

탐색 창에서 보안 정책을 선택합니다.

정책 생성을 선택합니다.

정책 유형 에서 Palo Alto Networks Cloud NGFW를 선택합니다. AWS Marketplace에서 Palo Alto Networks Cloud NGFW 서비스를 아직 구독하지 않은 경우 먼저 구독해야 합니다. AWS Marketplace에서 구독하려면 AWS Marketplace 세부 정보 보기를 선택합니다.

배포 모델의 경우, 분산 모델 또는 중앙 집중식 모델을 선택합니다. 배포 모델은 Firewall Manager가 정책의 엔드포인트를 관리하는 방법을 결정합니다. 분산 모델을 사용하면 Firewall Manager는 정책 범위 내에 VPC 있는 각 방화벽 엔드포인트를 유지합니다. 중앙 집중식 모델을 사용하면 Firewall Manager가 검사 에서 단일 엔드포인트를 유지합니다VPC.

리전 에서 를 선택합니다 AWS 리전. 여러 리전의 리소스를 보호하려면 각 리전에 대해 별도의 정책을 생성해야 합니다.

Next(다음)를 선택합니다.

정책 명칭에 서술적 명칭을 입력하십시오.

정책 구성에서 Palo Alto Networks Cloud NGFW 방화벽 정책을 선택하여 이 정책과 연결합니다. Palo Alto Networks Cloud NGFW 방화벽 정책 목록에는 Palo Alto Networks Cloud NGFW 테넌트와 연결된 모든 Palo Alto Networks Cloud NGFW 방화벽 정책이 포함되어 있습니다. Palo Alto Networks Cloud NGFW 방화벽 정책 생성 및 관리에 대한 자세한 내용은 배포 가이드용 Palo Alto Networks Cloud의 주제와 NGFW AWS 함께 AWS Firewall Manager 용 Palo Alto Networks Cloud 배포를 참조하세요. NGFW AWS

Palo Alto Networks 클라우드 NGFW 로깅 - 선택 사항인 경우, 선택적으로 정책에 대해 로깅할 Palo Alto Networks 클라우드 NGFW 로그 유형(들)을 선택합니다. Palo Alto Networks Cloud NGFW 로그 유형에 대한 자세한 내용은 배포 가이드용 Palo Alto Networks Cloud의 NGFW에서 Palo Alto Networks Cloud에 대한 로깅 구성을 AWS 참조하세요. NGFW AWS

로그 대상의 경우, Firewall Manager에서 로그를 기록해야 하는 시기를 지정합니다.

Next(다음)를 선택합니다.

방화벽 엔드포인트를 생성할 때 분산 배포 모델을 사용하는지 아니면 중앙 집중식 배포 모델을 사용하는지에 따라 제3자 방화벽 엔드포인트 구성에서 다음 중 하나를 수행하십시오.

Firewall Manager가 의 방화벽 서브넷에 사용할 CIDR 블록을 제공하려면 모두 /28 CIDR 블록이어야 VPCs합니다. 줄마다 블록 하나를 입력합니다. 이를 생략하면 Firewall Manager는 에서 사용할 수 있는 IP 주소 중에서 IP 주소를 선택합니다VPCs.

Next(다음)를 선택합니다.

정책 범위의 경우 이 정책이 적용되는AWS 계정 에서 다음과 같이 옵션을 선택합니다.

옵션 중 하나만 선택할 수 있습니다.

정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예컨대, 귀하가 특정 계정만 포함하는 경우, Firewall Manager는 해당 정책을 새 계정에 적용하지 않습니다. 또 다른 예로, OU를 포함하는 경우 OU 또는 하위 에 계정을 추가하면 OUsFirewall Manager가 새 계정에 정책을 자동으로 적용합니다.

네트워크 방화벽 정책의 리소스 유형은 입니다VPC.

리소스 의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하세요.

태그를 두 개 이상 입력하는 경우, 포함하거나 제외할 모든 태그가 리소스에 있어야 합니다.

리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그의 값을 생략하면 Firewall Manager가 빈 문자열 값인 “”으로 태그를 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.

크로스 계정 액세스 권한 부여에서 AWS CloudFormation 템플릿 다운로드를 선택합니다. 이렇게 하면 AWS CloudFormation 스택을 생성하는 데 사용할 수 있는 AWS CloudFormation 템플릿이 다운로드됩니다. 이 스택은 Palo Alto Networks Cloud NGFW 리소스를 관리할 수 있는 Firewall Manager 교차 계정 권한을 부여하는 AWS Identity and Access Management 역할을 생성합니다. 스택에 대한 자세한 설명은 AWS CloudFormation 사용자 가이드의 스택 작업을 참조하세요.

Next(다음)를 선택합니다.

정책 태그 의 경우 Firewall Manager 정책 리소스에 추가할 식별 태그를 추가합니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하세요.

Next(다음)를 선택합니다.

새 정책 설정을 검토하고 조정이 필요한 페이지로 돌아갑니다.

정책이 마음에 들면 정책 생성를 선택합니다. AWS Firewall Manager 정책 창에 귀하의 정책이 등재되어야 합니다. 계정 제목 아래에 보류 중이 표시되며 자동 수정 설정 상태가 표시됩니다. 정책을 만들려면 몇 분 정도 걸릴 수 있습니다. 보류 중 상태가 계정 수로 바뀐 후에는 정책 이름을 선택하여 계정과 리소스의 규정 준수 상태를 탐색할 수 있습니다. 자세한 정보는 AWS Firewall Manager 정책에 대한 규정 준수 정보 보기을 참조하세요.

Firewall Manager 관리자 계정을 AWS Management Console 사용하여 에 로그인한 다음 에서 Firewall Manager 콘솔을 엽니다https://console.aws.amazon.com/wafv2/fmsv2. Firewall Manager 관리자 계정 설정에 대한 자세한 내용은 AWS Firewall Manager 전제 조건을 참조하세요.

탐색 창에서 보안 정책을 선택합니다.

정책 생성을 선택합니다.

정책 유형 에서 Fortigate 클라우드 네이티브 방화벽(CNF)을 서비스로 선택합니다. AWS Marketplace 에서 Fortigate CNF 서비스를 아직 구독하지 않은 경우 먼저 구독해야 합니다. AWS Marketplace에서 구독하려면 AWS Marketplace 세부 정보 보기를 선택합니다.

배포 모델의 경우, 분산 모델 또는 중앙 집중식 모델을 선택합니다. 배포 모델은 Firewall Manager가 정책의 엔드포인트를 관리하는 방법을 결정합니다. 분산 모델을 사용하면 Firewall Manager는 정책 범위 내에 VPC 있는 각 방화벽 엔드포인트를 유지합니다. 중앙 집중식 모델을 사용하면 Firewall Manager가 검사 에서 단일 엔드포인트를 유지합니다VPC.

리전 에서 를 선택합니다 AWS 리전. 여러 리전의 리소스를 보호하려면 각 리전에 대해 별도의 정책을 생성해야 합니다.

Next(다음)를 선택합니다.

정책 명칭에 서술적 명칭을 입력하십시오.

정책 구성에서 이 정책과 연결할 Fortigate CNF 방화벽 정책을 선택합니다. Fortigate CNF 방화벽 정책 목록에는 Fortigate CNF 테넌트와 연결된 모든 Fortigate CNF 방화벽 정책이 포함되어 있습니다. Fortigate CNF 테넌트 생성 및 관리에 대한 자세한 내용은 Fortinet 설명서를 참조하세요.

Next(다음)를 선택합니다.

방화벽 엔드포인트를 생성할 때 분산 배포 모델을 사용하는지 아니면 중앙 집중식 배포 모델을 사용하는지에 따라 제3자 방화벽 엔드포인트 구성에서 다음 중 하나를 수행하십시오.

Firewall Manager가 의 방화벽 서브넷에 사용할 CIDR 블록을 제공하려면 모두 /28 CIDR 블록이어야 VPCs합니다. 줄마다 블록 하나를 입력합니다. 이를 생략하면 Firewall Manager는 에서 사용할 수 있는 IP 주소 중에서 IP 주소를 선택합니다VPCs.

Next(다음)를 선택합니다.

정책 범위의 경우 이 정책이 적용되는AWS 계정 에서 다음과 같이 옵션을 선택합니다.

옵션 중 하나만 선택할 수 있습니다.

정책을 적용하면 Firewall Manager가 새 계정을 귀하의 설정값에 대비하여 자동으로 평가합니다. 예컨대, 귀하가 특정 계정만 포함하는 경우, Firewall Manager는 해당 정책을 새 계정에 적용하지 않습니다. 또 다른 예로, OU를 포함하는 경우 OU 또는 하위 에 계정을 추가하면 OUsFirewall Manager가 새 계정에 정책을 자동으로 적용합니다.

네트워크 방화벽 정책의 리소스 유형은 입니다VPC.

리소스 의 경우 지정한 태그가 있는 리소스를 포함하거나 제외하여 태그 지정을 사용하여 정책의 범위를 좁힐 수 있습니다. 포함 또는 제외를 사용할 수 있으며 둘 다 사용할 수는 없습니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하세요.

태그를 두 개 이상 입력하는 경우, 포함하거나 제외할 모든 태그가 리소스에 있어야 합니다.

리소스 태그는 null이 아닌 값만 가질 수 있습니다. 태그의 값을 생략하면 Firewall Manager가 빈 문자열 값인 “”으로 태그를 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.

크로스 계정 액세스 권한 부여에서 AWS CloudFormation 템플릿 다운로드를 선택합니다. 이렇게 하면 AWS CloudFormation 스택을 생성하는 데 사용할 수 있는 AWS CloudFormation 템플릿이 다운로드됩니다. 이 스택은 Fortigate CNF 리소스를 관리할 수 있는 Firewall Manager 교차 계정 권한을 부여하는 AWS Identity and Access Management 역할을 생성합니다. 스택에 대한 자세한 설명은 AWS CloudFormation 사용자 가이드의 스택 작업을 참조하세요. 스택을 생성하려면 Fortigate CNF 포털에서 계정 ID가 필요합니다.

Next(다음)를 선택합니다.

정책 태그 의 경우 Firewall Manager 정책 리소스에 추가할 식별 태그를 추가합니다. 태그에 대한 자세한 내용은 Tag Editor 작업을 참조하세요.

Next(다음)를 선택합니다.

새 정책 설정을 검토하고 조정이 필요한 페이지로 돌아갑니다.

정책이 마음에 들면 정책 생성를 선택합니다. AWS Firewall Manager 정책 창에 귀하의 정책이 등재되어야 합니다. 계정 제목 아래에 보류 중이 표시되며 자동 수정 설정 상태가 표시됩니다. 정책을 만들려면 몇 분 정도 걸릴 수 있습니다. 보류 중 상태가 계정 수로 바뀐 후에는 정책 이름을 선택하여 계정과 리소스의 규정 준수 상태를 탐색할 수 있습니다. 자세한 정보는 AWS Firewall Manager 정책에 대한 규정 준수 정보 보기을 참조하세요.