AWS Firewall Manager 정책 범위 사용 - AWS WAF, AWS Firewall Manager및 AWS Shield Advanced
정책 범위 구성정책 범위 관리

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Firewall Manager 정책 범위 사용

이 페이지에서는 Firewall Manager 정책 범위가 무엇이며 어떻게 작동하는지 설명합니다.

정책 범위는 정책이 적용되는 위치를 정의합니다. 중앙에서 제어하는 정책을 의 조직 내 모든 계정 및 리소스 AWS Organizations에 적용하거나 계정 및 리소스의 하위 집합에 적용할 수 있습니다. 정책 범위 설정 방법에 대한 지침은 AWS Firewall Manager 정책 생성을 참조하세요.

의 정책 범위 옵션 AWS Firewall Manager

조직에 새 계정이나 리소스를 추가하면 Firewall Manager가 각 정책의 설정을 기준으로 이를 자동으로 평가하고 이러한 설정을 기반으로 정책을 적용합니다. 예를 들어 지정된 목록에 있는 계정 번호를 제외한 모든 계정에 정책을 적용하도록 선택할 수 있으며 목록에 모든 태그가 있는 리소스에만 정책을 적용하도록 선택할 수도 있습니다.

AWS 계정 범위 내

정책의 AWS 계정 영향을 받는 를 정의하기 위해 제공하는 설정은 정책을 적용할 AWS 조직의 계정을 결정합니다. 다음 중 한 가지 방법으로 정책을 적용하도록 선택할 수 있습니다.

  • 조직의 모든 계정에 적용

  • 포함된 계정 번호 및 AWS Organizations 조직 단위의 특정 목록으로만 이동(OUs)

  • 제외된 계정 번호 및 AWS Organizations 조직 단위의 특정 목록을 제외한 모든 에(OUs)

에 대한 자세한 내용은 AWS Organizations 사용 설명서 단원을 AWS Organizations참조하세요.

범위 내 리소스

범위 내 계정 설정과 마찬가지로 리소스에 대해 제공하는 설정에 따라 정책을 적용할 범위 내 리소스 유형이 결정됩니다. 다음 중 하나를 선택할 수 있습니다.

  • 모든 리소스

  • 지정한 모든 태그가 있는 리소스

  • 지정한 모든 태그가 있는 리소스를 제외한 모든 리소스

null이 아닌 값으로만 리소스 태그를 지정할 수 있습니다. 값에 대해 아무 것도 제공하지 않으면 Firewall Manager는 태그에 빈 문자열 값인 “”을 저장합니다. 리소스 태그는 키와 값이 동일한 태그와만 일치합니다.

리소스 태그 지정에 대한 자세한 내용은 태그 편집기 작업을 참조하세요.

의 정책 범위 관리 AWS Firewall Manager

정책이 마련되면 Firewall Manager는 정책을 지속적으로 관리하고 정책 범위에 따라 정책이 추가될 때 새 AWS 계정 및 리소스에 적용합니다.

Firewall Manager가 AWS 계정 및 리소스를 관리하는 방법

계정 또는 리소스가 어떤 이유로든 범위를 벗어나는 경우 정책 범위를 벗어나 AWS Firewall Manager 는 리소스에서 보호 자동 제거 확인란을 선택하지 않는 한 는 보호를 자동으로 제거하거나 Firewall Manager 관리형 리소스를 삭제하지 않습니다.

참고

AWS Shield Advanced 또는 AWS WAF Classic 정책에는 정책 범위를 벗어나는 리소스에서 보호 자동 제거 옵션을 사용할 수 없습니다.

이 확인란을 선택하면 해당 계정이 정책 범위를 벗어날 때 Firewall Manager가 계정에 대해 관리하는 리소스를 자동으로 정리 AWS Firewall Manager 하도록 지시합니다. 예를 들어 고객 리소스가 정책 범위를 벗어나면 Firewall Manager가 관리하는 웹이 보호된 고객 리소스ACL에서 연결 해제됩니다.

고객 리소스가 정책 범위를 벗어나는 경우 보호에서 제거해야 하는 리소스를 결정하기 위해 Firewall Manager는 다음 지침을 따릅니다.

  • 기본 동작:

    • 연결된 AWS Config 관리형 규칙이 삭제됩니다. 이 동작은 확인란과 무관합니다.

    • 리소스가 포함되지 않은 연결된 AWS WAF 웹 액세스 제어 목록(웹 ACLs)이 삭제됩니다. 이 동작은 확인란과 무관합니다.

    • 범위를 벗어나는 보호된 리소스는 모두 연결되고 보호된 상태로 유지됩니다. 예를 들어 웹과 연결된 Application Load Balancer 또는 Gateway의 Application Load Balancer는 웹과 연결된 ACL 상태로 유지ACL되고 보호는 그대로 유지됩니다. API API

  • 정책 범위를 벗어나는 리소스에서 보호 자동 제거 확인란을 선택한 경우:

    • 연결된 AWS Config 관리형 규칙이 삭제됩니다. 이 동작은 확인란과 무관합니다.

    • 리소스가 포함되지 않은 연결된 AWS WAF 웹 액세스 제어 목록(웹 ACLs)이 삭제됩니다. 이 동작은 확인란과 무관합니다.

    • 범위를 벗어나는 보호된 리소스는 정책 범위를 벗어나면 자동으로 연결이 해제되고 Firewall Manager 보호에서 제거됩니다. 예를 들어 보안 그룹 정책의 경우 Elastic Inference 액셀러레이터 또는 Amazon EC2 인스턴스가 정책 범위를 벗어나면 복제된 보안 그룹과 자동으로 연결이 해제됩니다. 복제된 보안 그룹과 해당 리소스는 보호에서 자동으로 제거됩니다.