AWS Firewall Manager AWS WAF 및 AWS WAF 클래식 정책에 대한 웹 ACL 연결 동작이란 무엇입니까?

4분 분량
0

AWS Firewall Manager AWS WAF 정책을 사용하여 웹 ACL을 생성했습니다. 그러나 웹 ACL이 범위 내 리소스와 올바르게 연결되지 않습니다. -또는- Firewall Manager 정책이 비준수 상태입니다.

해결 방법

Firewall Manager AWS WAF 정책에 대한 웹 ACL 연결 동작은 다음에 따라 달라집니다.

  • 자동 개선조치 구성 방법
  • 범위 내 리소스에 이미 웹 ACL이 연결되어 있는 경우

AWS WAF 클래식용 AWS Firewall Manager 정책을 생성하거나 AWS WAF에 대한 Firewall Manager 정책을 생성할 때는 다음 시나리오를 고려하십시오.

비준수 리소스에 대한 자동 개선조치가 설정되어 있지 않으면 Firewall Manager에서 만든 웹 ACL이 범위 내 리소스와 연결되지 않습니다.

비준수 리소스에 자동 개선조치가 설정되어 있는 경우에만 다음과 같은 상황이 발생합니다.

  • AWS 계정이 정책 범위 내에 있는 규정을 준수하지 않는 경우 Firewall Manager는 이름이 FMManagedWebACLV2 로 시작하는 웹 ACL을 생성합니다. 이 웹 ACL에는 정책에 정의된 규칙 그룹이 포함됩니다.
  • Firewall Manager는 웹 ACL을 계정의 모든 비준수 리소스와 연결합니다. 그러나 범위 내 리소스에 이미 연결된 웹 ACL이 있는 경우에는 기존 웹 ACL을 Firewall Manager 정책 웹 ACL로 대체하지 않습니다.

비준수 리소스에 대한 자동 개선조치현재 범위 내 리소스와 연결된 웹 ACL을 이 정책에서 만든 웹 ACL로 대체함으로 설정하면 다음과 같은 상황이 발생합니다.

Firewall Manager AWS WAF 클래식 정책의 경우

범위 내 리소스에 다음이 있는 경우:

  • 사용자 지정 AWS WAF 클래식 웹 ACL이 있는 경우, Firewall Manager AWS WAF 클래식 정책 웹 ACL에 의해 리소스가 재정의됩니다.
  • 사용자 지정 AWS WAF 웹 ACL이 있는 경우, 리소스가 Firewall Manager AWS WAF 클래식 정책 웹 ACL에 의해 재정의되지 않습니다.
  • AWS Shield Advanced 정책에 의해 생성된 웹 ACL이 있는 경우, Firewall Manager AWS WAF 클래식 정책 웹 ACL로 대체됩니다.
  • Firewall Manager AWS WAF 클래식 정책에 의해 생성된 웹 ACL이 있는 경우, Firewall Manager AWS WAF 클래식 정책 웹 ACL로 대체되지 않습니다.
  • Firewall Manager AWS WAF 정책에 의해 생성된 웹 ACL이 있는 경우, Firewall Manager AWS WAF 클래식 정책 웹 ACL로 대체되지 않습니다.

예를 들어, AWS WAF 클래식에 범위 내 리소스가 포함된 정책 A정책 B라는 두 개의 정책이 있다고 가정해 보겠습니다. 정책 A의 범위 내에 있는 리소스를 정책 B에서 만든 웹 ACL로 바꾸려면 정책 A 정책 범위를 편집하여 특정 리소스를 제외해야 합니다. 리소스가 정책 A에서 제외되면 리소스에 대한 해당 웹 ACL 연결이 제거됩니다. 리소스가 현재 정책 B의 범위에 있는 경우, 리소스는 정책 B에 의해 생성된 웹 ACL과 연결됩니다.

Firewall Manager AWS WAF 정책의 경우

범위 내 리소스에 다음이 있는 경우:

  • 사용자 지정 AWS WAF 클래식 웹 ACL이 있는 경우, Firewall Manager AWS WAF 정책 웹 ACL에 의해 리소스가 재정의됩니다.
  • 사용자 지정 AWS WAF 웹 ACL이 있는 경우, Firewall Manager AWS WAF 정책 웹 ACL에 의해 리소스가 재정의됩니다.
  • AWS Shield Advanced 정책에 의해 생성된 웹 ACL이 있는 경우, Firewall Manager AWS WAF 정책 웹 ACL로 대체됩니다.
  • Firewall Manager AWS WAF 클래식 정책에 의해 생성된 웹 ACL이 있는 경우, Firewall Manager AWS WAF 정책 웹 ACL로 대체되지 않습니다.
  • Firewall Manager AWS WAF 정책에 의해 생성된 웹 ACL이 있는 경우, Firewall Manager AWS WAF 정책 웹 ACL로 대체되지 않습니다.

예를 들어, AWS WAF에 범위 내 리소스가 포함된 정책 A정책 B라는 두 개의 정책이 있다고 가정해 보겠습니다. 리소스 정리 정책이 정책 범위를 벗어나는 리소스에서 보호를 자동으로 제거함으로 설정되지 않으면 다음이 발생합니다.

  • 리소스가 정책 범위를 벗어나는 경우 정책 A에서 만든 웹 ACL은 리소스에서 자동으로 연결 해제되지 않습니다.
  • 해당하는 범위 내 리소스를 사용하여 새 AWS WAF 정책 B를 생성하면 새 정책이 이전 AWS WAF 정책 웹 ACL을 재정의합니다.
  • 해당하는 범위 내 리소스를 사용하여 새 AWS WAF 클래식 정책 B를 생성하는 경우, 새 정책이 이전 AWS WAF 정책 웹 ACL을 재정의하지 않습니다.

정책 범위 옵션에 대한 자세한 내용은 AWS Firewall Manager 정책 범위를 참조하세요.


AWS 공식
AWS 공식업데이트됨 2년 전