🕰️ 작성일 : 2025.11.05

Amazon Network Firewall의 정책 적용 시 타 계정에 속한 리소스에도 Tagged Resource Group을 적용하는 방법에 대한 테스트 자료입니다. 테스트 환경은 Production 계정의 Subnet을 Dev 계정에 공유한 상태이며, 같은 Subnet에 Production 및 Dev의 EC2 인스턴스를 배치했습니다.

테스트 환경

image.png

  1. Amazon Network Firewall은 Production 계정에서 활성화되어 있습니다. 또한 Production에 위치한 Private Subnet을 Dev 계정에 공유하고, Dev 계정에서도 Amazon EC2를 생성했습니다.
  2. Production 계정에서, Production 계정에 위치한 EC2 인스턴스를 Tag 기반으로 제어하기 위한 Tagged Resource Group을 생성 후 Role Group을 생성합니다.
  3. Dev 계정에서, Dev 계정에 위치한 EC2 인스턴스를 Tag 기반으로 제어하기 위한 Tagged Resource Group을 생성 후 Role Group을 생성합니다.
  4. Dev 계정에 생성한 Rule Group을 Resource Access Manager을 통해서 Production 계정으로 공유합니다. Production 계정의 Firewall Policy에서 Dev 계정에서 공유한 Rule Group을 추가합니다.

테스트 결과

  1. Network Firewall Policy에서 Production 계정의 Rule Group과 Dev 계정의 Resource Group을 모두 매핑합니다.

image.png

  1. Production 계정에서의 ICMP 테스트

    image.png

  2. Dev 계정의 EC2에서의 ICMP 테스트

    image.png

  3. Firewall Policy에서 Dev 계정의 Rule Group 제거 후, Dev 계정에서의 ICMP 테스트 → 실패

    image.png

image.png