Eine AWS Firewall Manager Richtlinie erstellen

Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

Wählen Sie Create Policy (Richtlinie erstellen) aus.

Wählen Sie unter Policy type (Richtlinientyp) die Option AWS WAF.

Wählen Sie für Region eine AWS-Region. Um CloudFront Amazon-Distributionen zu schützen, wählen Sie Global.

Um Ressourcen in mehreren Regionen (außer CloudFront Verteilungen) zu schützen, müssen Sie separate Firewall Manager Manager-Richtlinien für jede Region erstellen.

Wählen Sie Weiter.

Geben Sie als Richtlinienname einen aussagekräftigen Namen ein. Firewall Manager nimmt den Richtliniennamen in die Namen des Webs aufACLs, das er verwaltet. Auf die ACL Webnamen FMManagedWebACLV2- folgen der Richtlinienname, den Sie hier eingeben-, und der Zeitstempel der ACL Weberstellung in UTC Millisekunden. Beispiel, FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

Bei einer Körperinspektion per Webanfrage können Sie optional die Körpergrößenbeschränkung ändern. Informationen zu Größenbeschränkungen bei Karosserieinspektionen, einschließlich Preisüberlegungen, finden Sie Verwaltung der Größenbeschränkungen für Körperinspektionen für AWS WAF im AWS WAF Entwicklerhandbuch.

Fügen Sie unter Richtlinienregeln die Regelgruppen hinzu, die Sie zuerst und zuletzt im Internet auswerten möchten AWS WAF ACL. Um die AWS WAF verwaltete Regelgruppen-Versionsverwaltung zu verwenden, aktivieren Sie die Option Versionierung aktivieren. Die einzelnen Kontomanager können zwischen den ersten Regelgruppen und den letzten Regelgruppen Regeln und Regelgruppen hinzufügen. Weitere Informationen zur Verwendung von AWS WAF Regelgruppen in Firewall Manager Manager-Richtlinien für AWS WAF finden Sie unterAWS WAF Richtlinien mit Firewall Manager verwenden.

(Optional) Um anzupassen, wie Ihre Website die Regelgruppe ACL verwendet, wählen Sie Bearbeiten. Im Folgenden finden Sie allgemeine Anpassungseinstellungen:

Wenn Sie mit Ihren Einstellungen fertig sind, wählen Sie Regel speichern aus.

Legen Sie die Standardaktion für das Web festACL. Dies ist die Aktion, AWS WAF die ausgeführt wird, wenn eine Webanforderung keiner der Regeln im Web entsprichtACL. Sie können benutzerdefinierte Header mit der Aktion Zulassen oder benutzerdefinierte Antworten mit der Aktion Blockieren hinzufügen. Weitere Informationen zu ACL Standard-Webaktionen finden Sie unterEinstellung der ACL Web-Standardaktion in AWS WAF. Informationen zum Einrichten benutzerdefinierter Webanfragen und -antworten finden Sie unterHinzufügen von benutzerdefinierten Webanfragen und Antworten in AWS WAF.

Wählen Sie für die Konfiguration der Protokollierung die Option Protokollierung aktivieren aus, um die Protokollierung zu aktivieren. Die Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrem Web analysiert wirdACL. Wählen Sie das Protokollierungsziel und dann das von Ihnen konfigurierte Protokollierungsziel aus. Sie müssen ein Protokollierungsziel auswählen, dessen Name mit aws-waf-logs- beginnt. Informationen zur Konfiguration eines AWS WAF Protokollierungsziels finden Sie unterAWS WAF Richtlinien mit Firewall Manager verwenden.

(Optional) Wenn Sie nicht möchten, dass bestimmte Felder und deren Werte in den Protokollen enthalten sind, machen Sie diese Felder unkenntlich. Wählen Sie das Feld aus, das unkenntlich gemacht werden soll, und klicken Sie dann auf Add (Hinzufügen). Wiederholen Sie diesen Vorgang nach Bedarf, um zusätzliche Felder unkenntlich zu machen. Die unkenntlich gemachten Felder werden als REDACTED in den Protokollen angezeigt. Wenn Sie beispielsweise das Feld schwärzen, wird das URIURIFeld in den Protokollen auch REDACTED geschwärzt.

(Optional) Wenn Sie nicht alle Anforderungen an die Protokolle senden möchten, fügen Sie Filterkriterien und -verhalten hinzu. Wählen Sie unter Filter logs (Protokolle filtern) für jeden Filter, den Sie anwenden möchten, Add filter (Filter hinzufügen) aus. Wählen Sie dann Ihre Filterkriterien und geben Sie an, ob Sie Anforderungen, die den Kriterien entsprechen, beibehalten oder löschen möchten. Wenn Sie mit dem Hinzufügen von Filtern fertig sind, ändern Sie bei Bedarf das Standardprotokollierungsverhalten. Weitere Informationen finden Sie unter Finden Sie Ihre ACL Webaufzeichnungen im AWS WAF -Entwicklerhandbuch.

Sie können eine Token-Domainliste definieren, um die gemeinsame Nutzung von Token zwischen geschützten Anwendungen zu ermöglichen. Tokens werden verwendet von CAPTCHA and Challenge Aktionen und durch die AnwendungsintegrationSDKs, die Sie implementieren, wenn Sie die Regelgruppen „ AWS Managed Rules“ zur Verhinderung von Kontoübernahmen (ATP) und zur AWS WAF Bot-Kontrolle bei der AWS WAF Betrugsbekämpfung verwenden.

Öffentliche Suffixe sind nicht zulässig. Beispielsweise können Sie gov.au oder nicht co.uk als Token-Domain verwenden.

AWS WAF Akzeptiert standardmäßig nur Token für die Domäne der geschützten Ressource. Wenn Sie Tokendomänen zu dieser Liste hinzufügen, AWS WAF akzeptiert Tokens für alle Domänen in der Liste und für die Domäne der zugehörigen Ressource. Weitere Informationen finden Sie unter AWS WAF Konfiguration der ACL Web-Token-Domainliste im AWS WAF -Entwicklerhandbuch.

Sie können die Immunitätszeiten des ACL Webs CAPTCHA und der Challenge-Immunität nur ändern, wenn Sie ein vorhandenes Web bearbeitenACL. Sie finden diese Einstellungen auf der Seite mit den Details zur Firewall Manager Manager-Richtlinie. Weitere Informationen zu diesen Einstellungen finden Sie unter Einstellen der Ablaufzeiten von Zeitstempeln und Token-Immunitätszeiten in AWS WAF. Wenn Sie die Einstellungen für die Zuordnungskonfiguration CAPTCHA, Herausforderung oder Token-Domänenliste in einer vorhandenen Richtlinie aktualisieren, überschreibt Firewall Manager Ihr lokales Web ACLs mit den neuen Werten. Wenn Sie jedoch die Einstellungen für die Zuordnungskonfiguration CAPTCHA, die Herausforderung oder die Token-Domänenliste der Richtlinie nicht aktualisieren, ACLs bleiben die Werte in Ihrer lokalen Website unverändert. Informationen zu dieser Option finden Sie Die Verwendung von CAPTCHA and Challenge in AWS WAF im AWS WAF Entwicklerhandbuch.

Wenn Sie möchten, dass Firewall Manager nicht verknüpfte Websites verwaltet, aktivieren Sie unter ACLWebverwaltung die ACLs Option Nicht zugeordnetes Web verwalten. ACLs Mit dieser Option erstellt Firewall Manager nur dann Websites ACLs in den Konten innerhalb des Richtlinienbereichs, wenn das Internet von mindestens einer Ressource verwendet ACLs wird. Wenn ein Konto zu irgendeinem Zeitpunkt in den Geltungsbereich der Richtlinie fällt, erstellt Firewall Manager automatisch ein Web ACL in dem Konto, sofern mindestens eine Ressource das Internet nutztACL. Nach der Aktivierung dieser Option führt Firewall Manager eine einmalige Bereinigung der nicht verknüpften Websites ACLs in Ihrem Konto durch. Der Bereinigungsprozess kann mehrere Stunden dauern. Wenn eine Ressource den Richtlinienbereich verlässt, nachdem Firewall Manager ein Web erstellt hatACL, trennt Firewall Manager die Zuordnung der Ressource zum WebACL, bereinigt das nicht verknüpfte Web jedoch nicht. ACL Firewall Manager bereinigt nicht verknüpfte Websites nur, ACLs wenn Sie die Verwaltung von nicht verknüpften Websites zum ersten Mal ACLs in einer Richtlinie aktivieren.

Wenn Sie für Richtlinienaktionen ACL in jedem zutreffenden Konto innerhalb der Organisation ein Web erstellen, das Web ACL aber noch nicht auf Ressourcen anwenden möchten, wählen Sie Ressourcen identifizieren, die nicht den Richtlinienregeln entsprechen, aber keine auto Korrektur durchführen, und wählen Sie nicht Nicht zugeordnetes Web verwalten aus. ACLs Sie können diese Optionen später ändern.

Wenn Sie die Richtlinie stattdessen automatisch auf vorhandene Ressourcen im Bereich anwenden möchten, wählen Sie Auto remediate any noncompliant resources (Alle nicht konformen Ressourcen automatisch korrigieren) aus. Wenn „Nicht zugeordnetes Web verwalten“ deaktiviert ACLs ist, erstellt die Option Nicht konforme Ressourcen automatisch korrigieren ACL in jedem entsprechenden Konto innerhalb der Organisation ein Web und ordnet das Internet den Ressourcen in ACL den Konten zu. Wenn „Nicht zugeordnetes Web verwalten“ aktiviert ACLs ist, erstellt die Option Nicht konforme Ressourcen automatisch korrigieren eine Website und ordnet sie nur Konten zu, deren Ressourcen für die Verknüpfung mit dem Internet ACL in Frage kommen. ACL

Wenn Sie die Option Nicht konforme Ressourcen automatisch korrigieren wählen, können Sie auch festlegen, dass bestehende ACL Webzuordnungen aus Ressourcen im Geltungsbereich für das Internet entfernt werden, ACLs die nicht durch eine andere aktive Firewall Manager Manager-Richtlinie verwaltet werden. Wenn Sie diese Option wählen, ordnet Firewall Manager zuerst das Web der Richtlinie ACL den Ressourcen zu und entfernt dann die vorherigen Verknüpfungen. Wenn eine Ressource mit einem anderen Web verknüpft istACL, das durch eine andere aktive Firewall Manager Manager-Richtlinie verwaltet wird, wirkt sich diese Auswahl nicht auf diese Zuordnung aus.

Wählen Sie Weiter.

Wenn AWS-Konten diese Richtlinie für gilt, wählen Sie die Option wie folgt aus:

Sie können nur eine der Optionen auswählen.

Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügenOUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

Wählen Sie unter Resource type (Ressourcentyp) die Arten von Ressourcen aus, die Sie schützen möchten.

Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

Wenn Sie mehrere Tags eingeben, muss eine Ressource über alle Tags verfügen, die eingeschlossen oder ausgeschlossen werden sollen.

Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

Wählen Sie Weiter.

Fügen Sie für Policy-Tags alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

Wählen Sie Weiter.

Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen.

Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf Create policy (Richtlinie erstellen). Im Bereich „AWS Firewall Manager Richtlinien“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „Ausstehend“ angezeigt, und es wird der Status der Einstellung Automatische Problembehebung angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status Pending (Ausstehend) durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen

Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

Wählen Sie Create Policy (Richtlinie erstellen) aus.

Wählen Sie unter Policy type (Richtlinientyp) die Option AWS WAF Classic aus.

Wenn Sie die AWS WAF klassische Regelgruppe, die Sie der Richtlinie hinzufügen möchten, bereits erstellt haben, wählen Sie AWS Firewall Manager Richtlinie erstellen und vorhandene Regelgruppen hinzufügen aus. Wenn Sie eine neue Regelgruppe erstellen möchten, wählen Sie Create a Firewall Manager Policy und fügen Sie eine neue Regelgruppe hinzu.

Wählen Sie für Region eine AWS-Region. Um CloudFront Amazon-Ressourcen zu schützen, wählen Sie Global.

Um Ressourcen in mehreren Regionen (außer CloudFront Ressourcen) zu schützen, müssen Sie separate Firewall Manager Manager-Richtlinien für jede Region erstellen.

Wählen Sie Weiter.

Wenn Sie eine Regelgruppe erstellen, befolgen Sie die Anweisungen unter Eine AWS WAF klassische Regelgruppe erstellen. Fahren Sie nach dem Erstellen der Regelgruppe mit den folgenden Schritten fort.

Geben Sie den Namen einer Richtlinie ein.

Wenn Sie eine vorhandene Regelgruppe hinzufügen, wählen Sie im Dropdownmenü die entsprechende Regelgruppe aus und wählen Sie dann die Option Add rule group (Regelgruppe hinzufügen).

Für eine Richtlinie sind zwei mögliche Aktionen vorhanden: Action set by rule group (Aktion durch Regelgruppe festgelegt) und Count (Zählen). Wenn Sie die Richtlinie und Regelgruppe testen möchten, legen Sie als Aktion Count (Zählen) fest. Diese Aktion setzt jede durch die Regeln in der Regelgruppe festgelegte Aktion zum Blockieren außer Kraft. Wenn als Aktion der Richtlinie Count (Zählen) festgelegt ist, bedeutet dies, dass solche Anforderungen nur gezählt und nicht blockiert werden. Wenn Sie als Aktion der Richtlinie dagegen Action set by rule group (Aktion durch Regelgruppe festgelegt) festlegen, werden Aktionen der Regelgruppenregeln verwendet. Wählen Sie die geeignete Aktion aus.

Wählen Sie Weiter.

Wenn AWS-Konten diese Richtlinie gilt für, wählen Sie die Option wie folgt aus:

Sie können nur eine der Optionen auswählen.

Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügenOUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

Wählen Sie den Ressourcentyp aus, der geschützt werden soll.

Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

Wenn Sie mehrere Tags eingeben, muss eine Ressource über alle Tags verfügen, die eingeschlossen oder ausgeschlossen werden sollen.

Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

Wenn die Richtlinie automatisch auf vorhandene Richtlinien angewendet werden soll, wählen Sie Create and apply this policy to existing and new resources (Diese Richtlinie erstellen und auf vorhandene und neue Ressourcen anwenden).

Mit dieser Option wird ACL in jedem entsprechenden Konto innerhalb einer AWS Organisation ein Web erstellt und das Web ACL den Ressourcen in den Konten zugeordnet. Diese Option wendet die Richtlinie auch auf alle neuen Ressourcen an, die den voranstehenden Kriterien (Ressourcentyp und Tags) entsprechen. Wenn Sie alternativ Richtlinie erstellen wählen, die Richtlinie aber nicht auf vorhandene oder neue Ressourcen anwenden, erstellt Firewall Manager ACL in jedem zutreffenden Konto innerhalb der Organisation ein Web, wendet das Web jedoch nicht auf Ressourcen ACL an. Sie müssen die Richtlinie zu einem späteren Zeitpunkt auf Ressourcen anwenden. Wählen Sie die geeignete Option aus.

Unter Bestehendes zugeordnetes Web ersetzen können Sie festlegenACLs, dass alle ACL Webzuordnungen entfernt werden, die derzeit für Ressourcen im Geltungsbereich definiert sind, und sie dann durch Verknüpfungen zu dem Web ersetzenACLs, das Sie mit dieser Richtlinie erstellen. Standardmäßig entfernt Firewall Manager vorhandene ACL Webzuordnungen nicht, bevor die neuen hinzugefügt werden. Wenn Sie die vorhandenen Zuordnungen entfernen möchten, wählen Sie diese Option aus.

Wählen Sie Weiter.

Überprüfen Sie die neue Richtlinie. Um Änderungen vorzunehmen, wählen Sie Edit (Bearbeiten). Wenn Sie mit der Richtlinie zufrieden sind, wählen Sie Create and apply Policy (Richtlinie erstellen und anwenden).

Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

Wählen Sie Create Policy (Richtlinie erstellen) aus.

Wählen Sie als Richtlinientyp Shield Advanced aus.

Um eine Shield Advanced-Richtlinie zu erstellen, müssen Sie Shield Advanced abonniert haben. Wenn Sie kein Abonnement eingerichtet haben, werden Sie dazu aufgefordert. Informationen zu den Kosten für ein Abonnement finden Sie unter AWS Shield Advanced Preise.

Wählen Sie für Region eine AWS-Region. Um CloudFront Amazon-Distributionen zu schützen, wählen Sie Global.

Für andere Regionen als Global müssen Sie zum Schutz von Ressourcen in mehreren Regionen eine separate Firewall Manager Manager-Richtlinie für jede Region erstellen.

Wählen Sie Weiter.

Geben Sie unter Name einen aussagekräftigen Namen ein.

Nur für Richtlinien für globale Regionen können Sie wählen, ob Sie die automatische DDoS Abwehr auf Anwendungsebene mit Shield Advanced verwalten möchten. Informationen zu dieser Shield Advanced-Funktion finden Sie unterAutomatisierung der DDoS Schadensbegrenzung auf Anwendungsebene mit Shield Advanced .

Sie können die automatische Schadensbegrenzung aktivieren oder deaktivieren oder sie ignorieren. Wenn Sie es ignorieren, verwaltet Firewall Manager die automatische Schadensbegrenzung für die Shield Advanced-Schutzmaßnahmen überhaupt nicht. Weitere Informationen zu diesen Richtlinienoptionen finden Sie unter. Verwenden der automatischen DDoS Risikominderung auf Anwendungsebene mit den erweiterten Richtlinien von Firewall Manager Shield

Wenn Sie möchten, dass Firewall Manager nicht verknüpfte Websites verwaltet, aktivieren Sie unter ACLWebverwaltung die ACLs Option Nicht zugeordnetes Web verwalten. ACLs Mit dieser Option erstellt Firewall Manager nur dann Websites ACLs in den Konten innerhalb des Richtlinienbereichs, wenn das Internet von mindestens einer Ressource verwendet ACLs wird. Wenn ein Konto zu irgendeinem Zeitpunkt in den Geltungsbereich der Richtlinie fällt, erstellt Firewall Manager automatisch ein Web ACL in dem Konto, sofern mindestens eine Ressource das Internet nutztACL. Nach der Aktivierung dieser Option führt Firewall Manager eine einmalige Bereinigung der nicht verknüpften Websites ACLs in Ihrem Konto durch. Der Bereinigungsprozess kann mehrere Stunden dauern. Wenn eine Ressource den Richtlinienbereich verlässt, nachdem Firewall Manager ein Web erstellt hatACL, trennt Firewall Manager die Ressource nicht vom WebACL. Um das Internet ACL in die einmalige Bereinigung einzubeziehen, müssen Sie zuerst die Ressourcen manuell vom Internet trennen ACL und dann die Option Nicht zugeordnetes Web verwalten aktivieren. ACLs

Für Richtlinienaktionen empfehlen wir, die Richtlinie mit der Option zu erstellen, dass nicht konforme Ressourcen nicht automatisch korrigiert werden. Wenn Sie die automatische Problembehebung deaktivieren, können Sie die Auswirkungen Ihrer neuen Richtlinie beurteilen, bevor Sie sie anwenden. Wenn Sie davon überzeugt sind, dass die Änderungen Ihren Wünschen entsprechen, bearbeiten Sie die Richtlinie und ändern Sie die Richtlinienaktion, um die automatische Korrektur zu aktivieren.

Wenn Sie die Richtlinie stattdessen automatisch auf vorhandene Ressourcen im Bereich anwenden möchten, wählen Sie Auto remediate any noncompliant resources (Alle nicht konformen Ressourcen automatisch korrigieren) aus. Diese Option wendet Shield Advanced-Schutzmaßnahmen für jedes entsprechende Konto innerhalb der AWS Organisation und jede entsprechende Ressource in den Konten an.

Wenn Sie bei Richtlinien für globale Regionen die Option Automatische Korrektur aller nicht konformen Ressourcen wählen, können Sie auch festlegen, dass Firewall Manager alle vorhandenen AWS WAF klassischen ACL Webzuordnungen automatisch durch neue Webzuordnungen ersetztACLs, die mit der neuesten Version von AWS WAF (v2) erstellt wurden. Wenn Sie diese Option wählen, entfernt Firewall Manager die Verknüpfungen mit der früheren Version Web ACLs und erstellt neue Verknüpfungen mit der neuesten Version WebACLs, nachdem ACLs in allen im Geltungsbereich befindlichen Konten, die sie noch nicht für die Richtlinie haben, ein neues leeres Web erstellt wurde. Weitere Informationen zu dieser Option finden Sie unter Ersetzen Sie AWS WAF Classic Web durch die neueste Web-Version ACLs ACLs.

Wählen Sie Weiter.

Wenn AWS-Konten diese Richtlinie für gilt, wählen Sie die Option wie folgt aus:

Sie können nur eine der Optionen auswählen.

Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügenOUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

Wählen Sie den Ressourcentyp aus, der geschützt werden soll.

Firewall Manager unterstützt Amazon Route 53 oder nicht AWS Global Accelerator. Wenn Sie Shield Advanced verwenden müssen, um Ressourcen vor diesen Diensten zu schützen, können Sie keine Firewall Manager Manager-Richtlinie verwenden. Folgen Sie stattdessen den Anweisungen von Shield Advanced unterAWS Ressourcen AWS Shield Advanced schützen.

Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

Wenn Sie mehrere Tags eingeben, muss eine Ressource über alle Tags verfügen, die eingeschlossen oder ausgeschlossen werden sollen.

Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

Wählen Sie Weiter.

Fügen Sie für Policy-Tags alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

Wählen Sie Weiter.

Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen.

Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf Create policy (Richtlinie erstellen). Im Bereich „AWS Firewall Manager Richtlinien“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „Ausstehend“ angezeigt, und es wird der Status der Einstellung Automatische Problembehebung angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status Pending (Ausstehend) durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen

Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

Wählen Sie Create Policy (Richtlinie erstellen) aus.

Wählen Sie für Policy type (Richtlinientyp) die Option Security group (Sicherheitsgruppe).

Wählen Sie für Security group policy type (Sicherheitsgruppenrichtlinientyp) die Option Common security groups (Gemeinsame Sicherheitsgruppen) aus.

Wählen Sie für Region eine AWS-Region.

Wählen Sie Weiter.

Geben Sie unter Policy name (Richtlinienname) einen Anzeigenamen ein.

Führen Sie für Policy rules (Richtlinienregeln), die folgenden Schritte aus:

1. Wählen Sie unter der Option Regeln die Einschränkungen aus, die Sie auf die Sicherheitsgruppenregeln und die Ressourcen anwenden möchten, die innerhalb des Richtlinienbereichs liegen. Wenn Sie Tags aus der primären Sicherheitsgruppe an die mit dieser Richtlinie erstellten Sicherheitsgruppen verteilen wählen, müssen Sie auch Identifizieren und melden auswählen, wenn die mit dieser Richtlinie erstellten Sicherheitsgruppen nicht mehr konform sind.

   Wichtig

   Firewall Manager verteilt keine Systemtags, die von AWS Diensten hinzugefügt wurden, an die Replikat-Sicherheitsgruppen. System-Tags beginnen mit dem Präfix aws:. Darüber hinaus aktualisiert Firewall Manager die Tags vorhandener Sicherheitsgruppen nicht und erstellt auch keine neuen Sicherheitsgruppen, wenn die Richtlinie Tags enthält, die mit der Tag-Richtlinie der Organisation in Konflikt stehen. Informationen zu Tag-Richtlinien finden Sie unter Tag-Richtlinien im AWS Organizations Benutzerhandbuch.

   Wenn Sie die Option Sicherheitsgruppenreferenzen von der primären Sicherheitsgruppe an die mit dieser Richtlinie erstellten Sicherheitsgruppen verteilen wählen, verteilt Firewall Manager die Sicherheitsgruppenreferenzen nur, wenn sie über eine aktive Peering-Verbindung in Amazon verfügen. VPC Informationen zu dieser Option finden Sie unter Einstellungen für Richtlinienregeln.

2. Wählen Sie für Primäre Sicherheitsgruppen die Option Sicherheitsgruppen hinzufügen und wählen Sie dann die Sicherheitsgruppen aus, die Sie verwenden möchten. Firewall Manager füllt die Liste der Sicherheitsgruppen aller VPC Amazon-Instances im Firewall Manager Manager-Administratorkonto aus.

   Standardmäßig beträgt die maximale Anzahl primärer Sicherheitsgruppen pro Richtlinie 3. Weitere Informationen zu dieser Einstellung finden Sie unter AWS Firewall Manager Kontingente.

3. Für Policy action (Richtlinienaktion) empfehlen wir, die Richtlinie mit der Option zu erstellen, die nicht automatisch korrigiert wird. Auf diese Weise können Sie die Auswirkungen Ihrer neuen Richtlinie prüfen, bevor Sie sie anwenden. Wenn Sie sich sicher sind, dass die Änderungen Ihren Wünschen entsprechen, bearbeiten Sie die Richtlinie und ändern Sie die Richtlinienaktion, um die automatische Korrektur nicht konformer Ressourcen zu aktivieren.

Wählen Sie Weiter.

Wenn AWS-Konten diese Richtlinie für gilt, wählen Sie die Option wie folgt aus:

Sie können nur eine der Optionen auswählen.

Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügenOUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

Wählen Sie unter Resource type (Ressourcentyp) die Arten von Ressourcen aus, die Sie schützen möchten.

Für die EC2Ressourcentyp-Instance können Sie wählen, ob Sie alle EC2 Amazon-Instances oder nur Instances, die nur über die standardmäßige, primäre elastic network interface () ENI verfügen, korrigieren möchten. Bei der letztgenannten Option behebt Firewall Manager keine Instanzen mit zusätzlichen ENI Anhängen. Wenn die automatische Wiederherstellung aktiviert ist, markiert Firewall Manager stattdessen nur den Konformitätsstatus dieser EC2 Instanzen und wendet keine Behebungsmaßnahmen an. Weitere Vorbehalte und Einschränkungen für den EC2 Amazon-Ressourcentyp finden Sie unterVorbehalte und Einschränkungen der Sicherheitsgruppenrichtlinien.

Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

Wenn Sie mehrere Tags eingeben, muss eine Ressource über alle Tags verfügen, die eingeschlossen oder ausgeschlossen werden sollen.

Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

Wenn Sie die Richtlinie für gemeinsam genutzte VPC Ressourcen zusätzlich zu den Ressourcen anwenden möchtenVPCs, die den VPCs Konten gehören, wählen Sie Ressourcen aus gemeinsam genutzten Ressourcen einbeziehen aus VPCs.

Wählen Sie Weiter.

Überprüfen Sie die Richtlinieneinstellungen, um sicherzustellen, dass sie Ihren Wünschen entsprechen, und wählen Sie dann Create policy (Richtlinie erstellen).

Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

Wählen Sie Create Policy (Richtlinie erstellen) aus.

Wählen Sie für Policy type (Richtlinientyp) die Option Security group (Sicherheitsgruppe).

Wählen Sie für Security group policy type (Sicherheitsgruppenrichtlinientyp) die Option Auditing and enforcement of security group rules (Überwachung und Durchsetzung von Sicherheitsgruppenregeln).

Wählen Sie für Region eine AWS-Region.

Wählen Sie Weiter.

Geben Sie unter Policy name (Richtlinienname) einen Anzeigenamen ein.

Wählen Sie unter Richtlinienregeln die Option für verwaltete oder benutzerdefinierte Richtlinienregeln aus, die Sie verwenden möchten.

1. Gehen Sie unter „Regeln für verwaltete Überwachungsrichtlinien konfigurieren“ wie folgt vor:

   1. Wählen Sie unter Sicherheitsgruppenregeln für die Überwachung konfigurieren den Typ der Sicherheitsgruppenregeln aus, für die Ihre Überwachungsrichtlinie gelten soll.

   2. Wenn Sie beispielsweise Regeln auf der Grundlage der Protokolle, Ports und CIDR Bereichseinstellungen in Ihren Sicherheitsgruppen überprüfen möchten, wählen Sie Übermäßig zulässige Sicherheitsgruppenregeln überprüfen und wählen Sie die gewünschten Optionen aus.

      Für die Auswahlregel lässt den gesamten Datenverkehr zu, können Sie eine benutzerdefinierte Anwendungsliste angeben, in der Sie die Anwendungen angeben, die Sie überwachen möchten. Informationen zu benutzerdefinierten Anwendungslisten und deren Verwendung in Ihrer Richtlinie finden Sie unter Verwaltete Listen verwenden undVerwenden von verwalteten Listen.

      Für Auswahlen, die Protokolllisten verwenden, können Sie vorhandene Listen verwenden und neue Listen erstellen. Informationen zu Protokolllisten und deren Verwendung in Ihrer Richtlinie finden Sie unter Verwaltete Listen verwenden undVerwenden von verwalteten Listen.

   3. Wenn Sie hochriskante Anwendungen auf der Grundlage ihres Zugriffs auf reservierte oder nicht reservierte CIDR Bereiche prüfen möchten, wählen Sie Anwendungen mit hohem Risiko prüfen und wählen Sie die gewünschten Optionen aus.

      Die folgenden Auswahlen schließen sich gegenseitig aus: Anwendungen, die nur auf reservierte Bereiche zugreifen können, und Anwendungen, denen der Zugriff auf nicht reservierte CIDR Bereiche gestattet ist. CIDR Sie können in jeder Richtlinie höchstens eine davon auswählen.

      Für Auswahlen, die Anwendungslisten verwenden, können Sie vorhandene Listen verwenden und neue Listen erstellen. Informationen zu Anwendungslisten und deren Verwendung in Ihrer Richtlinie finden Sie unter Verwaltete Listen verwenden undVerwenden von verwalteten Listen.

   4. Verwenden Sie die Einstellungen für Außerkraftsetzungen, um andere Einstellungen in der Richtlinie explizit zu überschreiben. Sie können festlegen, dass bestimmte Sicherheitsgruppenregeln immer zugelassen oder verweigert werden, unabhängig davon, ob sie den anderen Optionen entsprechen, die Sie für die Richtlinie festgelegt haben.

      Für diese Option geben Sie eine Audit-Sicherheitsgruppe als Vorlage für zulässige Regeln oder verweigerte Regeln an. Wählen Sie für Überwachungssicherheitsgruppen die Option Auditsicherheitsgruppen hinzufügen und wählen Sie dann die Sicherheitsgruppe aus, die Sie verwenden möchten. Firewall Manager füllt die Liste der Audit-Sicherheitsgruppen aus allen VPC Amazon-Instances im Firewall Manager Manager-Administratorkonto aus. Das standardmäßige Höchstkontingent für die Anzahl der Überwachungssicherheitsgruppen für eine Richtlinie ist eine. Informationen zum Erhöhen des Kontingents finden Sie unter AWS Firewall Manager Kontingente.

2. Gehen Sie wie folgt vor, um benutzerdefinierte Richtlinienregeln zu konfigurieren:

   1. Wählen Sie aus den Regeloptionen aus, ob nur die Regeln zugelassen werden sollen, die in den Prüfungssicherheitsgruppen definiert sind, oder ob alle Regeln abgelehnt werden sollen. Weitere Informationen zu dieser Auswahl finden Sie unter Verwenden von Inhaltsüberwachungs-Sicherheitsgruppenrichtlinien mit Firewall Manager.

   2. Wählen Sie für Audit-Sicherheitsgruppen die Option Audit-Sicherheitsgruppen hinzufügen und wählen Sie dann die Sicherheitsgruppe aus, die Sie verwenden möchten. Firewall Manager füllt die Liste der Audit-Sicherheitsgruppen aus allen VPC Amazon-Instances im Firewall Manager Manager-Administratorkonto aus. Das standardmäßige Höchstkontingent für die Anzahl der Überwachungssicherheitsgruppen für eine Richtlinie ist eine. Informationen zum Erhöhen des Kontingents finden Sie unter AWS Firewall Manager Kontingente.

   3. Für Policy action (Richtlinienaktion) müssen Sie die Richtlinie mit der Option erstellen, die nicht automatisch korrigiert wird. Auf diese Weise können Sie die Auswirkungen Ihrer neuen Richtlinie prüfen, bevor Sie sie anwenden. Wenn Sie sich sicher sind, dass die Änderungen Ihren Wünschen entsprechen, bearbeiten Sie die Richtlinie und ändern Sie die Richtlinienaktion, um die automatische Korrektur nicht konformer Ressourcen zu aktivieren.

Wählen Sie Weiter.

Wenn AWS-Konten diese Richtlinie für gilt, wählen Sie die Option wie folgt aus:

Sie können nur eine der Optionen auswählen.

Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügenOUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

Wählen Sie unter Resource type (Ressourcentyp) die Ressourcentypen aus, die Sie schützen möchten.

Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

Wenn Sie mehrere Tags eingeben, muss eine Ressource über alle Tags verfügen, die eingeschlossen oder ausgeschlossen werden sollen.

Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

Wählen Sie Weiter.

Überprüfen Sie die Richtlinieneinstellungen, um sicherzustellen, dass sie Ihren Wünschen entsprechen, und wählen Sie dann Create policy (Richtlinie erstellen).

Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

Wählen Sie Create Policy (Richtlinie erstellen) aus.

Wählen Sie für Policy type (Richtlinientyp) die Option Security group (Sicherheitsgruppe).

Wählen Sie als Gruppenrichtlinientyp die Option Überwachung und Säuberung nicht zugeordneter und redundanter Sicherheitsgruppen aus.

Wählen Sie für Region eine aus. AWS-Region

Wählen Sie Weiter.

Geben Sie unter Policy name (Richtlinienname) einen Anzeigenamen ein.

Wählen Sie für Policy rules (Richtlinienregeln) eine oder beide der verfügbaren Optionen aus.

Für Policy action (Richtlinienaktion) empfehlen wir, die Richtlinie mit der Option zu erstellen, die nicht automatisch korrigiert wird. Auf diese Weise können Sie die Auswirkungen Ihrer neuen Richtlinie prüfen, bevor Sie sie anwenden. Wenn Sie sich sicher sind, dass die Änderungen Ihren Wünschen entsprechen, bearbeiten Sie die Richtlinie und ändern Sie die Richtlinienaktion, um die automatische Korrektur nicht konformer Ressourcen zu aktivieren.

Wählen Sie Weiter.

Wenn AWS-Konten diese Richtlinie für gilt, wählen Sie die Option wie folgt aus:

Sie können nur eine der Optionen auswählen.

Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügenOUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

Wenn Sie mehrere Tags eingeben, muss eine Ressource über alle Tags verfügen, die eingeschlossen oder ausgeschlossen werden sollen.

Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

Wählen Sie Weiter.

Wenn Sie das Firewall Manager-Administratorkonto nicht aus dem Geltungsbereich der Richtlinie ausgeschlossen haben, werden Sie von Firewall Manager dazu aufgefordert. Dadurch unterliegen die Sicherheitsgruppen im Firewall Manager Manager-Administratorkonto, das Sie für allgemeine Sicherheitsgruppenrichtlinien und Überwachungsrichtlinien verwenden, Ihrer manuellen Kontrolle. Wählen Sie in diesem Dialog die gewünschte Option aus.

Überprüfen Sie die Richtlinieneinstellungen, um sicherzustellen, dass sie Ihren Wünschen entsprechen, und wählen Sie dann Create policy (Richtlinie erstellen).

Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

Wählen Sie Create Policy (Richtlinie erstellen) aus.

Wählen Sie als Richtlinientyp die Option Netzwerk ausACL.

Wählen Sie für Region eine aus AWS-Region.

Wählen Sie Weiter.

Geben Sie als Richtlinienname einen aussagekräftigen Namen ein.

Definieren Sie für Richtlinienregeln die Regeln, die Sie immer in dem Netzwerk ausführen möchtenACLs, das Firewall Manager für Sie verwaltet. Das Netzwerk ACLs überwacht und verarbeitet eingehenden und ausgehenden Datenverkehr. Daher definieren Sie in Ihrer Richtlinie die Regeln für beide Richtungen.

Für beide Richtungen definieren Sie Regeln, die immer zuerst ausgeführt werden sollen, und Regeln, die Sie immer zuletzt ausführen möchten. In dem NetzwerkACLs, das Firewall Manager verwaltet, können Kontoinhaber benutzerdefinierte Regeln definieren, die zwischen diesen ersten und letzten Regeln ausgeführt werden.

Wenn Sie unter Richtlinienaktion nicht konforme Subnetze und Netzwerke identifizieren möchtenACLs, aber noch keine Korrekturmaßnahmen ergreifen möchten, wählen Sie Ressourcen identifizieren, die nicht den Richtlinienregeln entsprechen, aber keine auto Korrektur durchführen aus. Sie können diese Optionen später ändern.

Wenn Sie die Richtlinie stattdessen automatisch auf bestehende Subnetze im Geltungsbereich anwenden möchten, wählen Sie Automatische Korrektur aller nicht konformen Ressourcen. Mit dieser Option geben Sie auch an, ob die Behebung erzwungen werden soll, wenn das Verhalten der Richtlinienregeln bei der Verarbeitung des Datenverkehrs mit benutzerdefinierten Regeln im Netzwerk kollidiert. ACL Unabhängig davon, ob Sie die Behebung erzwingen, meldet Firewall Manager widersprüchliche Regeln bei seinen Compliance-Verstößen.

Wählen Sie Weiter.

Wenn AWS-Konten diese Richtlinie für gilt, wählen Sie die Option wie folgt aus:

Sie können nur eine der Optionen auswählen.

Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf andere, neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügenOUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

Für den Ressourcentyp ist die Einstellung auf Subnetze festgelegt.

Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

Wenn Sie mehrere Tags eingeben, muss eine Ressource über alle Tags verfügen, die eingeschlossen oder ausgeschlossen werden sollen.

Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

Wählen Sie Weiter.

Überprüfen Sie die Richtlinieneinstellungen, um sicherzustellen, dass sie Ihren Wünschen entsprechen, und wählen Sie dann Create policy (Richtlinie erstellen).

Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

Wählen Sie Create Policy (Richtlinie erstellen) aus.

Wählen Sie unter Policy type (Richtlinientyp) die Option AWS Network Firewall.

Wählen Sie unter Firewall-Management-Typ aus, wie Firewall Manager die Firewalls der Richtlinie verwalten soll. Wählen Sie aus den folgenden Optionen aus:

Wählen Sie für Region eine AWS-Region. Um Ressourcen in mehreren Regionen zu schützen, müssen Sie für jede Region separate Richtlinien erstellen.

Wählen Sie Weiter.

Geben Sie als Richtlinienname einen aussagekräftigen Namen ein. Firewall Manager nimmt den Richtliniennamen in die Namen der Netzwerk-Firewall-Firewalls und der Firewall-Richtlinien auf, die er erstellt.

Konfigurieren Sie in der AWS Network Firewall Richtlinienkonfiguration die Firewall-Richtlinie wie in der Network Firewall. Fügen Sie Ihre statusfreien und statusbehafteten Regelgruppen hinzu und geben Sie die Standardaktionen der Richtlinie an. Sie können optional die Reihenfolge der Statusregelauswertung und die Standardaktionen der Richtlinie sowie die Protokollierungskonfiguration festlegen. Informationen zur Verwaltung von Firewall-Richtlinien für AWS Network Firewall Netzwerkfirewalls finden Sie unter Firewallrichtlinien im AWS Network Firewall Entwicklerhandbuch.

Wenn Sie die Firewall Manager-Netzwerk-Firewall-Richtlinie erstellen, erstellt Firewall Manager Firewall-Richtlinien für die Konten, die in den Geltungsbereich fallen. Einzelne Kontomanager können Regelgruppen zu den Firewall-Richtlinien hinzufügen, aber sie können die Konfiguration, die Sie hier angeben, nicht ändern.

Wählen Sie Weiter.

Führen Sie je nach dem Firewall-Verwaltungstyp, den Sie im vorherigen Schritt ausgewählt haben, einen der folgenden Schritte aus:

Wählen Sie Weiter.

Wenn Ihre Richtlinie einen verteilten Firewallverwaltungstyp verwendet, wählen Sie unter Routenverwaltung aus, ob Firewall Manager den Datenverkehr, der durch die jeweiligen Firewallendpunkte geleitet werden muss, überwacht und Warnmeldungen dazu sendet.

Fügen Sie als Verkehrstyp optional die Datenverkehrsendpunkte hinzu, über die Sie den Datenverkehr zur Firewall-Inspektion weiterleiten möchten.

Wenn Sie diese Option aktivieren, behandelt Firewall Manager für Availability Zones, die keinen eigenen Firewall-Endpunkt haben, für Availability Zones, die keinen eigenen Firewall-Endpunkt haben, erforderlichen Cross-AZ-Verkehr zulassen als konformes Routing, das Datenverkehr aus einer Availability Zone zur Überprüfung sendet. Availability Zones mit Endpunkten müssen immer ihren eigenen Datenverkehr überprüfen.

Wählen Sie Weiter.

Wählen Sie für den Geltungsbereich der Richtlinie unter AWS-Konten Diese Richtlinie gilt für die folgende Option aus:

Sie können nur eine der Optionen auswählen.

Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügenOUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

Der Ressourcentyp für Netzwerk-Firewall-Richtlinien ist VPC.

Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

Wenn Sie mehrere Tags eingeben, muss eine Ressource über alle Tags verfügen, die eingeschlossen oder ausgeschlossen werden sollen.

Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

Wählen Sie Weiter.

Fügen Sie für Policy-Tags alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

Wählen Sie Weiter.

Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen.

Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf Create policy (Richtlinie erstellen). Im Bereich „AWS Firewall Manager Richtlinien“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „Ausstehend“ angezeigt, und es wird der Status der Einstellung Automatische Problembehebung angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status Pending (Ausstehend) durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen

Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

Wählen Sie Create Policy (Richtlinie erstellen) aus.

Wählen Sie als Richtlinientyp die Option Amazon Route 53 Resolver DNSFirewall aus.

Wählen Sie für Region eine aus AWS-Region. Um Ressourcen in mehreren Regionen zu schützen, müssen Sie für jede Region separate Richtlinien erstellen.

Wählen Sie Weiter.

Geben Sie als Richtlinienname einen aussagekräftigen Namen ein.

Fügen Sie in der Richtlinienkonfiguration die Regelgruppen hinzu, die die DNS Firewall zuerst und zuletzt unter Ihren VPCs Regelgruppenzuordnungen auswerten soll. Sie können der Richtlinie bis zu zwei Regelgruppen hinzufügen.

Wenn Sie die Firewall DNS Manager-Firewall-Richtlinie erstellen, erstellt Firewall Manager die Regelgruppenzuordnungen mit den von Ihnen angegebenen Zuordnungsprioritäten für die Konten VPCs und die Konten, die innerhalb des Gültigkeitsbereichs liegen. Die einzelnen Kontomanager können Regelgruppenzuordnungen zwischen Ihren ersten und letzten Verknüpfungen hinzufügen, sie können jedoch die hier definierten Zuordnungen nicht ändern. Weitere Informationen finden Sie unter Verwenden von Amazon Route 53 DNS Resolver-Firewall-Richtlinien im Firewall Manager.

Wählen Sie Weiter.

Wenn AWS-Konten diese Richtlinie für gilt, wählen Sie die Option wie folgt aus:

Sie können nur eine der Optionen auswählen.

Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügenOUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

Der Ressourcentyp für DNS Firewall-Richtlinien ist VPC.

Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

Wenn Sie mehrere Tags eingeben, muss eine Ressource über alle Tags verfügen, die eingeschlossen oder ausgeschlossen werden sollen.

Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

Wählen Sie Weiter.

Fügen Sie für Policy-Tags alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

Wählen Sie Weiter.

Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen.

Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf Create policy (Richtlinie erstellen). Im Bereich „AWS Firewall Manager Richtlinien“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „Ausstehend“ angezeigt, und es wird der Status der Einstellung Automatische Problembehebung angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status Pending (Ausstehend) durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen

Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

Wählen Sie Create Policy (Richtlinie erstellen) aus.

Wählen Sie als Richtlinientyp Palo Alto Networks Cloud NGFW aus. Wenn Sie den Palo Alto Networks NGFW Cloud-Dienst im AWS Marketplace noch nicht abonniert haben, müssen Sie dies zuerst tun. Um im AWS Marketplace ein Abonnement abzuschließen, wählen Sie AWS Marketplace-Details anzeigen.

Wählen Sie als Bereitstellungsmodell entweder das verteilte Modell oder das zentralisierte Modell. Das Bereitstellungsmodell bestimmt, wie Firewall Manager Endpunkte für die Richtlinie verwaltet. Beim verteilten Modell verwaltet Firewall Manager Firewall-Endpunkte in allen BereichenVPC, die innerhalb des Richtlinienbereichs liegen. Mit dem zentralisierten Modell verwaltet Firewall Manager bei einer Inspektion einen einzigen EndpunktVPC.

Wählen Sie für Region eine AWS-Region. Um Ressourcen in mehreren Regionen zu schützen, müssen Sie für jede Region separate Richtlinien erstellen.

Wählen Sie Weiter.

Geben Sie als Richtlinienname einen aussagekräftigen Namen ein.

Wählen Sie in der Richtlinienkonfiguration die Palo Alto Networks NGFW Cloud-Firewall-Richtlinie aus, die dieser Richtlinie zugeordnet werden soll. Die Liste der Palo Alto Networks NGFW Cloud-Firewall-Richtlinien enthält alle Palo Alto Networks NGFW Cloud-Firewall-Richtlinien, die Ihrem Palo Alto Networks Cloud-Mandanten zugeordnet sind. NGFW Informationen zur Erstellung und Verwaltung von Palo Alto Networks NGFW Cloud-Firewall-Richtlinien finden Sie im Abschnitt Deploy Palo Alto Networks Cloud NGFW for AWS mit dem AWS Firewall Manager Thema im Leitfaden Palo Alto Networks Cloud for Deployment. NGFW AWS

Für die Palo Alto Networks NGFW Cloud-Protokollierung — optional — wählen Sie optional, welche Palo Alto Networks NGFW Cloud-Protokolltypen für Ihre Richtlinie protokolliert werden sollen. Informationen zu den Palo Alto Networks NGFW Cloud-Protokolltypen finden Sie unter Configure Logging for Palo Alto Networks Cloud NGFW on AWS im Leitfaden zur Bereitstellung von Palo Alto Networks Cloud. NGFW AWS

Geben Sie als Protokollziel an, wohin Firewall Manager Protokolle schreiben soll.

Wählen Sie Weiter.

Führen Sie unter Firewall-Endpunkt eines Drittanbieters konfigurieren einen der folgenden Schritte aus, je nachdem, ob Sie für die Erstellung Ihrer Firewall-Endpunkte das verteilte oder das zentralisierte Bereitstellungsmodell verwenden:

Wenn Sie die CIDR Blöcke bereitstellen möchten, die Firewall Manager für Firewall-Subnetze in Ihren verwenden sollVPCs, müssen sie alle CIDR /28-Blöcke sein. Geben Sie einen Block pro Zeile ein. Wenn Sie diese weglassen, wählt Firewall Manager IP-Adressen für Sie aus den aus, die in der VPCs verfügbar sind.

Wählen Sie Weiter.

Wählen Sie für den Geltungsbereich der Richtlinie unter „AWS-Konten Diese Richtlinie gilt für“ die Option wie folgt aus:

Sie können nur eine der Optionen auswählen.

Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügenOUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

Der Ressourcentyp für Netzwerk-Firewall-Richtlinien ist VPC.

Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

Wenn Sie mehrere Tags eingeben, muss eine Ressource über alle Tags verfügen, die eingeschlossen oder ausgeschlossen werden sollen.

Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

Wählen Sie für Kontoübergreifenden Zugriff gewähren die Option AWS CloudFormation Vorlage herunterladen aus. Dadurch wird eine AWS CloudFormation Vorlage heruntergeladen, mit der Sie einen AWS CloudFormation Stack erstellen können. Dieser Stack erstellt eine AWS Identity and Access Management Rolle, die Firewall Manager kontoübergreifende Berechtigungen zur Verwaltung von Palo Alto Networks NGFW Cloud-Ressourcen gewährt. Informationen zu Stacks finden Sie unter Arbeiten mit Stacks im Benutzerhandbuch.AWS CloudFormation

Wählen Sie Weiter.

Fügen Sie für Policy-Tags alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

Wählen Sie Weiter.

Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen.

Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf Create policy (Richtlinie erstellen). Im Bereich „AWS Firewall Manager Richtlinien“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „Ausstehend“ angezeigt, und es wird der Status der Einstellung Automatische Problembehebung angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status Pending (Ausstehend) durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen

Melden Sie sich AWS Management Console mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unterhttps://console.aws.amazon.com/wafv2/fmsv2. Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter AWS Firewall Manager Voraussetzungen.

Wählen Sie im Navigationsbereich Security policies (Sicherheitsrichtlinien) aus.

Wählen Sie Create Policy (Richtlinie erstellen) aus.

Wählen Sie als Richtlinientyp Fortigate Cloud Native Firewall (CNF) as a Service aus. Wenn Sie den CNFFortigate-Service im AWS Marketplace noch nicht abonniert haben, müssen Sie dies zuerst tun. Um im AWS Marketplace ein Abonnement abzuschließen, wählen Sie AWS Marketplace-Details anzeigen.

Wählen Sie als Bereitstellungsmodell entweder das verteilte Modell oder das zentralisierte Modell. Das Bereitstellungsmodell bestimmt, wie Firewall Manager Endpunkte für die Richtlinie verwaltet. Beim verteilten Modell verwaltet Firewall Manager Firewall-Endpunkte in allen BereichenVPC, die innerhalb des Richtlinienbereichs liegen. Mit dem zentralisierten Modell verwaltet Firewall Manager bei einer Inspektion einen einzigen EndpunktVPC.

Wählen Sie für Region eine AWS-Region. Um Ressourcen in mehreren Regionen zu schützen, müssen Sie für jede Region separate Richtlinien erstellen.

Wählen Sie Weiter.

Geben Sie als Richtlinienname einen aussagekräftigen Namen ein.

Wählen Sie in der Richtlinienkonfiguration die CNF Fortigate-Firewall-Richtlinie aus, die dieser Richtlinie zugeordnet werden soll. Die Liste der CNF Fortigate-Firewall-Richtlinien enthält alle CNF Fortigate-Firewall-Richtlinien, die Ihrem Fortigate-Mandanten zugeordnet sind. CNF Informationen zur Erstellung und Verwaltung von Fortigate-Mandanten finden Sie in der Fortinet-DokumentationCNF.

Wählen Sie Weiter.

Führen Sie unter Firewall-Endpunkt eines Drittanbieters konfigurieren einen der folgenden Schritte aus, je nachdem, ob Sie für die Erstellung Ihrer Firewall-Endpunkte das verteilte oder das zentralisierte Bereitstellungsmodell verwenden:

Wenn Sie die CIDR Blöcke bereitstellen möchten, die Firewall Manager für Firewall-Subnetze in Ihren verwenden sollVPCs, müssen sie alle CIDR /28-Blöcke sein. Geben Sie einen Block pro Zeile ein. Wenn Sie diese weglassen, wählt Firewall Manager IP-Adressen für Sie aus den aus, die in der VPCs verfügbar sind.

Wählen Sie Weiter.

Wählen Sie für den Geltungsbereich der Richtlinie unter „AWS-Konten Diese Richtlinie gilt für“ die Option wie folgt aus:

Sie können nur eine der Optionen auswählen.

Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügenOUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

Der Ressourcentyp für Netzwerk-Firewall-Richtlinien ist VPC.

Bei Ressourcen können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

Wenn Sie mehrere Tags eingeben, muss eine Ressource über alle Tags verfügen, die eingeschlossen oder ausgeschlossen werden sollen.

Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

Wählen Sie für Kontoübergreifenden Zugriff gewähren die Option AWS CloudFormation Vorlage herunterladen aus. Dadurch wird eine AWS CloudFormation Vorlage heruntergeladen, mit der Sie einen AWS CloudFormation Stack erstellen können. Dieser Stack erstellt eine AWS Identity and Access Management Rolle, die Firewall Manager kontoübergreifende Berechtigungen zur Verwaltung von CNF Fortigate-Ressourcen gewährt. Informationen zu Stacks finden Sie unter Arbeiten mit Stacks im Benutzerhandbuch.AWS CloudFormation Um einen Stack zu erstellen, benötigen Sie die Konto-ID aus dem CNF Fortigate-Portal.

Wählen Sie Weiter.

Fügen Sie für Policy-Tags alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter Arbeiten mit dem Tag Editor.

Wählen Sie Weiter.

Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen.

Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf Create policy (Richtlinie erstellen). Im Bereich „AWS Firewall Manager Richtlinien“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „Ausstehend“ angezeigt, und es wird der Status der Einstellung Automatische Problembehebung angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status Pending (Ausstehend) durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen