Firewall Manager로 공통 보안 그룹 정책 사용 - AWS WAF, AWS Firewall Manager및 AWS Shield Advanced

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Firewall Manager로 공통 보안 그룹 정책 사용

이 페이지에서는 Firewall Manager 공통 보안 그룹 정책이 작동하는 방식을 설명합니다.

공통 보안 그룹 정책을 사용하면 Firewall Manager는 조직 전체에서 계정과 리소스에 대한 보안 그룹의 연결을 중앙에서 제어할 수 있습니다. 조직에서 정책을 적용할 위치와 방법을 지정합니다.

다음과 같은 리소스 유형에 공통 보안 그룹 정책을 적용할 수 있습니다.

  • Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스

  • 탄력적 네트워크 인터페이스

  • Application Load Balancer

  • Classic Load Balancer

콘솔을 사용하여 공통 보안 그룹 정책을 생성하는 방법에 대한 지침은 공통 보안 그룹 정책 생성을 참조하세요.

공유 VPC

공통 보안 그룹 정책에 대한 정책 범위 설정에서 공유 VPC를 포함하도록 선택할 수 있습니다. 이 옵션에는 다른 계정이 소유하고 범위 내 계정과 공유되는 VPC가 포함됩니다. 범위 내 계정이 소유한 VPC는 항상 포함됩니다. 공유 VPC에 대한 자세한 내용은 Amazon VPC 사용 설명서공유 VPC 작업을 참조하세요.

공유 VPC 포함에는 다음과 같은 주의 사항이 적용됩니다. 다음은 보안 그룹 정책 주의 사항 및 제한 사항에서 보안 그룹 정책에 대한 일반적인 주의 사항에 추가됩니다.

  • Firewall Manager는 범위 내 각 계정에 대해 기본 보안 그룹을 VPC에 복제합니다. 공유 VPC의 경우, Firewall Manager는 VPC가 공유되는 범위 내 각 계정에 대해 기본 보안 그룹을 한 번 복제합니다. 이로 인해 단일 공유 VPC에 여러 개의 복제본이 생성될 수 있습니다.

  • 새 공유 VPC를 생성하면 정책 범위 내에 있는 VPC에 리소스를 하나 이상 생성할 때까지 해당 공유 VPC가 Firewall Manager 보안 그룹 정책 세부 정보에 표시되지 않습니다.

  • 공유 VPC가 활성화된 정책에서 공유 VPC를 비활성화하면 공유 VPC에서 Firewall Manager는 리소스와 연결되지 않은 복제본 보안 그룹을 삭제합니다. Firewall Manager는 나머지 복제본 보안 그룹을 그대로 두지만 관리를 중단합니다. 나머지 보안 그룹을 제거하려면 각 공유 VPC 인스턴스에서 수동으로 관리해야 합니다.

기본 보안 그룹

각 공통 보안 그룹 정책에 대해 하나 이상의 기본 보안 그룹을 AWS Firewall Manager에 제공합니다.

  • 기본 보안 그룹은 Firewall Manager 관리자 계정으로 생성해야 하며 계정의 모든 Amazon VPC 인스턴스에 상주할 수 있습니다.

  • Amazon Virtual Private Cloud(Amazon VPC) 또는 Amazon Elastic Compute Cloud(Amazon EC2)를 통해 기본 보안 그룹을 관리할 수 있습니다. 자세한 내용은 Amazon VPC 사용 설명서보안 그룹 작업을 참조하세요.

  • 하나 이상의 보안 그룹을 Firewall Manager 보안 그룹 정책의 기본 그룹으로 지정할 수 있습니다. 기본적으로 정책에 허용된 보안 그룹 수는 1이지만 요청을 제출하여 수를 증가시킬 수 있습니다. 자세한 내용은 AWS Firewall Manager 할당량 섹션을 참조하세요.

정책 규칙 설정

공통 보안 그룹 정책의 보안 그룹 및 리소스에 대해 다음 변경 제어 동작 중 하나 이상을 선택할 수 있습니다.

  • 로컬 사용자가 변경한 내용을 식별하고 복제본 보안 그룹으로 되돌립니다.

  • 정책 범위 내에 있는 AWS 리소스에서 다른 보안 그룹의 연결을 해제합니다.

  • 기본 그룹의 태그를 복제본 보안 그룹에 배포합니다.

    중요

    Firewall Manager는 AWS 서비스에서 추가한 시스템 태그를 복제본 보안 그룹에 배포하지 않습니다. 시스템 태그는 aws: 접두사로 시작합니다. 정책에 조직의 태그 정책과 충돌하는 태그가 있는 경우 Firewall Manager는 기존 보안 그룹의 태그를 업데이트하거나 새 보안 그룹을 만들지 않습니다. 태그 정책에 관한 자세한 내용은 AWS Organizations 사용 설명서의 태그 정책을 참조하세요.

  • 기본 그룹에서 복제본 보안 그룹으로 보안 그룹을 배포합니다.

    이를 통해 모든 범위 내 리소스에서 지정된 보안 그룹의 VPC와 연결된 인스턴스에 대해 공통 보안 그룹 참조 규칙을 쉽게 설정할 수 있습니다. 이 옵션을 활성화하면 Firewall Manager는 보안 그룹이 Amazon Virtual Private Cloud의 피어 보안 그룹을 참조하는 경우에만 보안 그룹 참조를 전파합니다. 복제 보안 그룹이 피어 보안 그룹을 올바르게 참조하지 않는 경우 Firewall Manager는 이러한 복제된 보안 그룹을 비준수로 표시합니다. Amazon VPC에서 피어 보안 그룹을 참조하는 방법에 대한 자세한 내용은 Amazon VPC 피어링 안내서피어링된 보안 그룹을 참조하도록 보안 그룹 업데이트를 참조하세요.

    이 옵션을 활성화하지 않으면 Firewall Manager는 보안 그룹 참조를 복제본 보안 그룹에 전파하지 않습니다. Amazon VPC의 VPC 피어링에 대한 자세한 내용은 Amazon VPC 피어링 안내서를 참조하세요.

정책 생성 및 관리

공통 보안 그룹 정책을 생성하면 Firewall Manager는 기본 보안 그룹을 정책 범위 내의 모든 Amazon VPC 인스턴스에 복제하고 복제된 보안 그룹을 정책 범위에 있는 계정과 리소스에 연결합니다. 기본 보안 그룹을 수정하면 Firewall Manager는 변경 사항을 복제본에 전파합니다.

공통 보안 그룹 정책을 삭제하면 정책에서 생성된 리소스를 정리할지 여부를 선택할 수 있습니다. Firewall Manager 공통 보안 그룹의 경우 이러한 리소스는 복제본 보안 그룹입니다. 정책을 삭제한 후 각 개별 복제본을 수동으로 관리하려는 경우가 아니면 정리 옵션을 선택합니다. 대부분의 경우 정리 옵션을 선택하는 것이 가장 간단한 접근 방식입니다.

복제본을 관리하는 방법

Amazon VPC 인스턴스의 복제본 보안 그룹은 다른 Amazon VPC 보안 그룹과 같은 방식으로 관리됩니다. 자세한 정보는 Amazon VPC 사용 설명서VPC의 보안 그룹을 참조하세요.