Firewall Manager 사용을 위해 AWS Config 활성화
Firewall Manager를 사용하려면 AWS Config을 활성화해야 합니다.
참고
AWS Config 요금에 따라 AWS Config 설정에 대한 요금이 발생합니다. 자세한 내용은 AWS Config 시작하기 섹션을 참조하세요.
참고
Firewall Manager가 정책 준수를 모니터링하려면 AWS Config는 보호된 리소스에 대한 구성 변경 사항을 지속적으로 기록해야 합니다. AWS Config 구성에서 레코딩 빈도는 기본 설정인 연속으로 설정되어야 합니다.
Firewall Manager의 AWS Config을 활성화하려면
-
Firewall Manager 관리자 계정을 포함하여 AWS Organizations 구성원의 각 계정에 대해 AWS Config을 활성화합니다. 자세한 내용은 AWS Config 시작하기 섹션을 참조하세요.
-
보호할 리소스가 포함된 각 AWS 리전에 대해 AWS Config를 활성화합니다. AWS Config를 수동으로 활성화하거나 사용 설명서의 AWS CloudFormation StackSets 샘플 템플릿에서 AWS CloudFormation 템플릿 “AWS Config 활성화”를 사용할 수 있습니다.
모든 리소스에 대해 AWS Config을 활성화하지 않으려면, 사용하는 Firewall Manager 정책 유형에 따라 다음을 활성화해야 합니다.
-
WAF 정책 — CloudFront Distribution, Application Load Balancer(목록에서 ElasticLoadBalancingV2 선택), API Gateway, WAF WebACL, WAF Regional WebACL 및 WAFv2 WebACL 리소스 유형에 대해 Config를 활성화합니다. CloudFront 배포를 보호하기 위해 AWS Config을 활성화하려면 미국 동부(버지니아 북부) 리전에 있어야 합니다. 다른 리전에는 CloudFront가 옵션으로 제공되지 않습니다.
-
Shield 정책 – Shield Protection, ShieldRegional Protection, Application Load Balancer, EC2 EIP, WAF WebACL, WAF Regional WebACL 및 WAFv2 WebACL 리소스 유형에 대해 Config를 활성화합니다.
-
보안 그룹 정책 – EC2 SecurityGroup, EC2 Instance 및 EC2 NetworkInterface 리소스 유형에 대해 Config를 활성화합니다.
-
네트워크 ACL 정책 - Amazon EC2 서브넷 및 Amazon EC2 네트워크 ACL 리소스 유형에 대한 구성을 활성화합니다.
-
네트워크 방화벽 정책 - NetworkFirewall FirewallPolicy, NetworkFirewall RuleGroup, EC2 VPC, EC2 InternetGateway, EC2 RouteTable 및 EC2 Subnet 리소스 유형에 대해 Config를 활성화합니다.
-
DNS 방화벽 정책 – EC2 VPC 리소스 유형에 대해 Config를 활성화합니다.
-
타사 방화벽 정책 – Amazon EC2 VPC, Amazon EC2 InternetGateway, Amazon EC2 RouteTable, Amazon EC2 Subnet 및 Amazon EC2 VPCEndpoint 리소스 유형에 대해 Config를 활성화합니다.
참고
사용자 지정 IAM 역할을 사용하도록 AWS Config 레코더를 구성하는 경우, IAM 정책에 Firewall Manager 정책의 필수 리소스 유형을 기록할 수 있는 적절한 권한이 있는지 확인해야 합니다. 적절한 권한이 없으면 필요한 리소스가 기록되지 않아 Firewall Manager가 리소스를 제대로 보호하지 못할 수 있습니다. Firewall Manager는 이러한 권한 구성 오류를 파악할 수 없습니다. AWS Config와(과) IAM을 사용하는 방법에 대한 자세한 내용은 AWS Config에 대한 IAM을 참조하십시오.
-
