Firewall Manager 콘텐츠 감사 보안 그룹 정책에 사용자 지정 정책 규칙을 사용하려면 어떻게 해야 합니까?
AWS Firewall Manager 콘텐츠 감사 보안 그룹 정책에 사용자 지정 정책 규칙을 사용하려고 합니다.
간략한 설명
Firewall Manager 콘텐츠 감사 보안 그룹 정책을 사용하여 조직의 보안 그룹에서 사용 중인 규칙을 확인하고 관리할 수 있습니다. 콘텐츠 감사 보안 그룹 정책은 AWS Organizations에서 조직 내의 사용 중인 모든 보안 그룹에 적용됩니다. 사용 사례에 맞는 콘텐츠 감사 보안 그룹 정책에 대한 사용자 지정 정책 규칙을 생성할 수 있습니다.
자세한 내용은 콘텐츠 감사 보안 그룹 정책을 참조하십시오.
해결 방법
Firewall Manager 전제조건을 완료한 다음, 감사 보안 그룹 및 정책을 생성합니다.
- 시작하기 전에 Firewall Manager 전제조건을 완료하십시오.
- Firewall Manager 관리자 계정으로 감사 보안 그룹을 생성합니다. 보안 그룹 정책에 대한 모범 사례 및 보안 그룹 정책 제한 사항을 따르십시오.
- Firewall Manager 콘텐츠 감사 보안 그룹 정책 생성 단계를 따르십시오.
중요: 자동 문제 해결을 비활성화한 상태로 감사 보안 그룹 정책을 만드는 것이 가장 좋습니다. 자동 문제 해결을 활성화하기 전에 정책 생성에 따른 효과를 검토하십시오. 예상 효과를 검토한 후 정책을 편집한 다음, 자동 업데이트를 활성화할 수 있습니다. 자동 업데이트가 활성화되면 Firewall Manager는 범위 내 보안 그룹과 호환되지 않는 규칙을 업데이트하거나 제거합니다.
“감사 보안 그룹에 정의된 규칙만 허용” 정책 규칙
이 규칙은 모든 범위 내 보안 그룹에는 정책의 감사 보안 그룹 규칙의 허용 범위 내에 있는 규칙만 있어야 한다고 명시합니다. 이 경우 정책의 보안 그룹 규칙은 허용되는 작업의 예를 제공합니다.
사용 사례 예시
10.0.0.0/16 범위의 허용 목록에 있는 CIDR의 SSH를 허용하려면 10.0.0.0/16에서만 SSH(TCP 포트 22)를 허용하는 인바운드 규칙을 사용하십시오. 다른 범위(예: 10.0.0.0/8)에 있는 다른 CIDR의 SSH를 허용하는 보안 그룹 규칙은 허용되지 않습니다.
자세한 내용은 콘텐츠 감사 보안 그룹 정책을 참조하십시오.
“감사 보안 그룹에 정의된 모든 규칙의 사용 거부” 정책 규칙
이 규칙은 모든 범위 내 보안 그룹에는 정책의 감사 보안 그룹 규칙의 허용 범위 내에 있지 않은 규칙만 있어야 한다고 명시합니다. 이 경우 정책의 보안 그룹은 허용되지 않는 작업의 예를 제공합니다.
사용 사례 예시
포트 범위 102465535에서 인바운드 TCP 액세스를 거부하려면 0.0.0.0/0 범위의 TCP 트래픽을 허용하는 인바운드 규칙을 사용하십시오. 모든 CIDR에서 포트 범위 102465535의 TCP 트래픽을 허용하는 보안 그룹 규칙은 허용되지 않습니다.
관련 정보
관련 콘텐츠
- AWS 공식업데이트됨 10달 전
- AWS 공식업데이트됨 2년 전
