**Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF**

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter [Arbeiten mit der Konsole](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AWS Firewall Manager
<a name="fms-chapter"></a>

AWS Firewall Manager vereinfacht Ihre Verwaltungs- und Wartungsaufgaben für mehrere Konten und Ressourcen und bietet eine Vielzahl von Schutzmaßnahmen AWS WAF AWS Shield Advanced, darunter Amazon VPC-Sicherheitsgruppen und -Netzwerk ACLs sowie Amazon Route 53 Resolver DNS Firewall. AWS Network Firewall Mit Firewall Manager richten Sie Ihre Schutzmaßnahmen nur einmal ein und der Service wendet sie automatisch auf Ihre Konten und Ressourcen an, auch wenn Sie neue Konten und Ressourcen hinzufügen. 

Firewall Manager bietet folgende Vorteile:
+ Schützt Ressourcen kontoübergreifend.
+ Hilft dabei, alle Ressourcen eines bestimmten Typs zu schützen, z. B. alle CloudFront Amazon-Distributionen
+ Schützt aller Ressourcen mit bestimmten Tags.
+ Wendet den Schutz automatisch auf Ressourcen an, die zu Ihrem Konto hinzugefügt werden.
+ Ermöglicht es Ihnen, alle Mitgliedskonten einer AWS Organizations Organisation zu abonnieren AWS Shield Advanced, und abonniert automatisch neue Konten, die der Organisation beitreten
+ Ermöglicht das Anwenden von Sicherheitsgruppenregeln auf alle Mitgliedskonten oder bestimmte Teilmengen von Konten in einer AWS Organizations -Organisation und wendet die Regeln automatisch auf neue Konten innerhalb des Bereichs an, die der Organisation beitreten.
+ Ermöglicht es Ihnen, Ihre eigenen Regeln zu verwenden oder verwaltete Regeln von zu erwerben AWS Marketplace

Firewall Manager ist besonders nützlich, wenn Sie Ihr gesamtes Unternehmen schützen möchten und nicht nur eine kleine Anzahl bestimmter Konten und Ressourcen, oder wenn Sie häufig neue Ressourcen hinzufügen, die Sie schützen möchten. Firewall Manager bietet auch eine zentrale Überwachung von DDo S-Angriffen in Ihrem gesamten Unternehmen.

**Anmerkung**  
Gebühren fallen für AWS Firewall Manager die zugrunde liegenden Dienste an, z. B. AWS WAF und AWS Config. Weitere Informationen finden Sie unter [AWS Firewall Manager - Preise](https://aws.amazon.com/firewall-manager/pricing/). 

**Topics**
+ [

# AWS Firewall Manager Voraussetzungen
](fms-prereq.md)
+ [

# AWS Firewall Manager Administratoren verwenden
](fms-administrators.md)
+ [

# AWS Firewall Manager Richtlinien einrichten
](getting-started-fms-intro.md)
+ [

# AWS Firewall Manager Richtlinien verwenden
](working-with-policies.md)
+ [

# Verwaltete Listen mit Firewall Manager verwenden
](working-with-managed-lists.md)
+ [

# Gruppieren Sie Ihre Ressourcen in Firewall Manager
](fms-resource-sets.md)
+ [

# Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen
](fms-compliance.md)
+ [

# AWS Firewall Manager Integration mit AWS Security Hub CSPM
](fms-findings.md)
+ [

# Sicherheit bei der Nutzung des AWS Firewall Manager Dienstes
](fms-security.md)
+ [

# AWS Firewall Manager Kontingente
](fms-limits.md)
+ [

# AWS WAF Classic Web ACLs in Firewall Manager migrieren
](migrate-waf-classic-fms.md)

# AWS Firewall Manager Voraussetzungen
<a name="fms-prereq"></a>

In diesem Thema erfahren Sie, wie Sie sich auf die Verwaltung AWS Firewall Manager vorbereiten. Sie verwenden ein Firewall Manager Manager-Administratorkonto, um alle Firewall Manager Manager-Sicherheitsrichtlinien für Ihr Unternehmen in zu verwalten AWS Organizations. Sofern nicht anders angegeben, führen Sie die erforderlichen Schritte mit dem Konto aus, das Sie als Firewall Manager Manager-Administrator verwenden werden. 

Bevor Sie Firewall Manager zum ersten Mal verwenden, führen Sie die folgenden Schritte nacheinander aus. 

**Topics**
+ [

# Beitritt und Konfiguration AWS Organizations für die Verwendung von Firewall Manager
](join-aws-orgs.md)
+ [

# Ein AWS Firewall Manager Standard-Administratorkonto erstellen
](enable-integration.md)
+ [

# Aktivierung AWS Config für die Verwendung von Firewall Manager
](enable-config.md)
+ [

# Abonnement im AWS Marketplace und Konfiguration von Drittanbietereinstellungen für Firewall Manager Manager-Drittanbieterrichtlinien
](fms-third-party-prerequisites.md)
+ [

# Aktivieren der gemeinsamen Nutzung von Ressourcen für Network Firewall- und DNS-Firewall-Richtlinien mit AWS RAM
](enable-ram.md)
+ [

# Verwendung AWS Firewall Manager in Regionen, die standardmäßig deaktiviert sind
](enable-disabled-region.md)

# Beitritt und Konfiguration AWS Organizations für die Verwendung von Firewall Manager
<a name="join-aws-orgs"></a>

Um Firewall Manager verwenden zu können, muss Ihr Konto Mitglied der Organisation in dem AWS Organizations Dienst sein, für den Sie Ihre Firewall Manager Manager-Richtlinien verwenden möchten. 

**Anmerkung**  
Informationen zu Organizations finden Sie im [AWS Organizations Benutzerhandbuch](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html). 

**So richten Sie die erforderliche AWS Organizations Mitgliedschaft und Konfiguration ein**

1. Wählen Sie unter Organizations ein Konto aus, das als Firewall Manager Manager-Administrator für die Organisation verwendet werden soll. 

1. Wenn das von Ihnen gewählte Konto noch kein Mitglied der Organisation ist, lassen Sie es beitreten. Folgen Sie den Anweisungen unter [Einen AWS-Konto einladen, Ihrer Organisation beizutreten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html).

1. AWS Organizations verfügt über zwei verfügbare Funktionen: *Funktionen zur konsolidierten Abrechnung* und *alle Funktionen*. Um Firewall Manager verwenden zu können, muss Ihr Unternehmen für alle Funktionen aktiviert sein. Wenn Ihre Organisation nur für die konsolidierte Fakturierung konfiguriert ist, folgen Sie den Anweisungen unter [Alle Funktionen in Ihrer Organisation aktivieren](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html).

# Ein AWS Firewall Manager Standard-Administratorkonto erstellen
<a name="enable-integration"></a>

Diese Seite enthält Anweisungen zum Erstellen eines AWS Firewall Manager Standard-Administratorkontos.

**Anmerkung**  
Bei diesem Verfahren werden das Konto und die Organisation verwendet, die Sie im vorherigen Schritt ausgewählt und konfiguriert haben.

Nur das Verwaltungskonto der Organisation kann Firewall Manager Manager-Standardadministratorkonten erstellen. Das erste Administratorkonto, das Sie erstellen, ist das *Standard-Administratorkonto*. Das Standard-Administratorkonto kann Firewalls von Drittanbietern verwalten und hat vollen administrativen Umfang. Wenn Sie das Standard-Administratorkonto einrichten, legt Firewall Manager es automatisch als AWS Organizations delegierten Administrator für Firewall Manager fest. Dadurch kann Firewall Manager auf Informationen über die Organisationseinheiten (OUs) in der Organisation zugreifen. Sie können OUs damit den Geltungsbereich Ihrer Firewall Manager Manager-Richtlinien angeben. Weitere Informationen zur Festlegung des Geltungsbereichs von Richtlinien finden Sie in den Anleitungen für die einzelnen Richtlinientypen unter[Eine AWS Firewall Manager Richtlinie erstellen](create-policy.md). Weitere Informationen zu Organizations und Verwaltungskonten finden Sie unter [AWS Konten in Ihrer Organisation verwalten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html).

**Erforderliche Einstellungen für das Verwaltungskonto der Organisation**  
Das Verwaltungskonto der Organisation muss über die folgenden Einstellungen verfügen, um die Organisation in Firewall Manager einzubinden und einen Standardadministrator zu erstellen: 
+ Es muss ein Mitglied der Organisation sein, AWS Organizations in der Sie Ihre Firewall Manager Manager-Richtlinien anwenden möchten. 

**Um das Standard-Administratorkonto einzurichten**

1. Melden Sie sich AWS-Managementkonsole mit einem vorhandenen AWS Organizations Verwaltungskonto beim Firewall Manager an. 

1. Öffnen Sie die Firewall Manager-Konsole unter [https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). 

1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).

1. Geben Sie die AWS Konto-ID des Kontos ein, das Sie als Firewall Manager Manager-Administrator verwenden möchten.
**Anmerkung**  
Der Standardadministrator hat den vollen administrativen Bereich. Vollständiger administrativer Geltungsbereich bedeutet, dass dieses Konto Richtlinien auf alle Konten und Organisationseinheiten (OUs) innerhalb der Organisation anwenden, Maßnahmen in allen Regionen ergreifen und alle Firewall Manager Manager-Richtlinientypen verwalten kann.

1. Wählen Sie **Administratorkonto erstellen**, um das Konto zu erstellen.

Weitere Informationen zur Verwaltung des Firewall Manager Manager-Administratorkontos finden Sie unter[AWS Firewall Manager Administratoren verwenden](fms-administrators.md).

# Aktivierung AWS Config für die Verwendung von Firewall Manager
<a name="enable-config"></a>

Um den Firewall Manager verwenden zu können, müssen Sie ihn aktivieren AWS Config. 

**Anmerkung**  
Für Ihre AWS Config Einstellungen fallen je nach AWS Config Preisgestaltung Gebühren an. Weitere Informationen finden Sie unter [Erste Schritte mit AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html).

**Anmerkung**  
Damit Firewall Manager die Einhaltung der Richtlinien überwachen kann, AWS Config müssen die Konfigurationsänderungen für geschützte Ressourcen kontinuierlich aufgezeichnet werden. In Ihrer AWS Config Konfiguration muss die Aufzeichnungsfrequenz auf **Kontinuierlich** eingestellt sein, was die Standardeinstellung ist. 

**Zur Aktivierung AWS Config für Firewall Manager**

1. Aktivieren Sie es AWS Config für jedes Ihrer AWS Organizations Mitgliedskonten, einschließlich des Firewall Manager Manager-Administratorkontos. Weitere Informationen finden Sie unter [Erste Schritte mit AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html).

1. Aktivieren Sie AWS-Region diese Option AWS Config für jede Ressource, die die Ressourcen enthält, die Sie schützen möchten. Sie können die AWS Config Option manuell aktivieren oder die CloudFormation Vorlage „Aktivieren AWS Config“ unter [AWS CloudFormation StackSets Beispielvorlagen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html) verwenden. 

   Wenn Sie die Aktivierung nicht AWS Config für alle Ressourcen durchführen möchten, müssen Sie je nach Art der verwendeten Firewall Manager Manager-Richtlinien Folgendes aktivieren: 
   + **WAF-Richtlinie** — Aktivieren Sie Config für die Ressourcentypen CloudFront Distribution, Application Load Balancer (wählen Sie **ElasticLoadBalancingV2** aus der Liste), API Gateway, WAF WebACL, WAF Regional WebACL und WebACL. WAFv2 Um eine CloudFront Distribution AWS Config zu aktivieren oder zu schützen, müssen Sie sich in der Region USA Ost (Nord-Virginia) befinden. In anderen Regionen ist diese CloudFront Option nicht verfügbar. 
   + **Shield-Richtlinie** — Aktivieren Sie Config für die Ressourcentypen Shield Protection, ShieldRegional Protection, Application Load Balancer, EC2 EIP, WAF WebACL, WAF Regional WebACL und WebACL. WAFv2 
   + **Sicherheitsgruppenrichtlinie** — Aktivieren Sie Config für die Ressourcentypen EC2 SecurityGroup, EC2 Instance und EC2. NetworkInterface
   + **Netzwerk-ACL-Richtlinie — Aktivieren Sie Config für die Ressourcentypen Amazon EC2-Subnet und Amazon EC2 EC2-Netzwerk-ACL**.
   + **Netzwerk-Firewall-Richtlinie** — Aktivieren Sie Config für die Ressourcentypen NetworkFirewall FirewallPolicy EC2 VPC, EC2 InternetGateway, EC2 und EC2 Subnet RouteTable. NetworkFirewall RuleGroup 
   + **DNS-Firewall-Richtlinie** — Aktivieren Sie Config für den Ressourcentyp EC2 VPC und Amazon Route 53. FirewallRuleGroupAssociation 
   + **Firewall-Richtlinie von Drittanbietern** — Aktivieren Sie Config für die Ressourcentypen Amazon EC2 VPC, Amazon EC2 InternetGateway, Amazon EC2, Amazon EC2 RouteTable Subnet und Amazon EC2. VPCEndpoint
**Anmerkung**  
Wenn Sie Ihren AWS Config Rekorder für die Verwendung einer benutzerdefinierten IAM-Rolle konfigurieren, müssen Sie sicherstellen, dass die IAM-Richtlinie über die richtigen Berechtigungen verfügt, um die erforderlichen Ressourcentypen der Firewall Manager Manager-Richtlinie aufzuzeichnen. Ohne die entsprechenden Berechtigungen werden die erforderlichen Ressourcen möglicherweise nicht aufgezeichnet, sodass Firewall Manager Ihre Ressourcen nicht ordnungsgemäß schützen kann. Firewall Manager hat keinen Einblick in diese Fehlkonfigurationen von Berechtigungen. Informationen zur Verwendung von IAM mit AWS Config finden Sie unter [IAM](https://docs.aws.amazon.com/config/latest/developerguide/security-iam.html) for. AWS Config

# Abonnement im AWS Marketplace und Konfiguration von Drittanbietereinstellungen für Firewall Manager Manager-Drittanbieterrichtlinien
<a name="fms-third-party-prerequisites"></a>

Erfüllen Sie die folgenden Voraussetzungen, um Firewall-Richtlinien von Drittanbietern für Firewall Manager einzurichten.

## Voraussetzungen für die Fortigate Cloud Native Firewall (CNF) as a Service-Richtlinie
<a name="fms-fortigate-cnf-prerequisites"></a>

**Um Fortigate CNF für Firewall Manager zu verwenden**

1. Abonnieren Sie den [Fortigate Cloud Native Firewall (CNF) as a Service Service](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i) im Marketplace. AWS 

1. Registrieren Sie zunächst einen Mandanten auf dem Fortigate CNF-Produktportal. Fügen Sie dann Ihr Firewall Manager Manager-Administratorkonto unter Ihrem Mandanten im Fortigate CNF-Produktportal hinzu. Weitere Informationen finden Sie in der [Fortigate](https://docs.fortinet.com/product/fortigate-cnf) CNF-Dokumentation.

Informationen zur Arbeit mit Fortigate CNF-Richtlinien finden Sie unter. [Verwendung von Fortigate Cloud Native Firewall (CNF) as a Service-Richtlinien für Firewall Manager](fortigate-cnf-policies.md)

## Voraussetzungen für die Cloud-Firewall-Richtlinie der nächsten Generation von Palo Alto Networks
<a name="fms-cloud-ngfw-prerequisites"></a>

**So verwenden Sie Palo Alto Networks Cloud NGFW für Firewall Manager**

1. Abonnieren Sie den [Pay-As-You-Go-Dienst Palo Alto Networks Cloud Next Generation Firewall](https://aws.amazon.com/marketplace/pp/prodview-nkug66dl4df4i) auf dem Marketplace. AWS 

1. *Führen Sie die im Abschnitt [Deploy Palo Alto Networks Cloud NGFW für Deploy Palo Alto Networks Cloud NGFW aufgeführten Schritte zur Bereitstellung von Palo Alto Networks Cloud NGFW anhand des AWS Firewall Manager Themas im Leitfaden Palo Alto Networks Cloud Next AWS Generation Firewall for](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/getting-started-with-cloud-ngfw-for-aws/deploy-cloud-ngfw-for-aws-with-the-aws-firewall-manager.html) Deployment durch. AWS *

Informationen zur Arbeit mit den NGFW-Richtlinien der Palo Alto Networks Cloud finden Sie unter. [Verwendung der Palo Alto Networks Cloud NGFW-Richtlinien für Firewall Manager](cloud-ngfw-policies.md)

# Aktivieren der gemeinsamen Nutzung von Ressourcen für Network Firewall- und DNS-Firewall-Richtlinien mit AWS RAM
<a name="enable-ram"></a>

Um die Netzwerkfirewall- und DNS-Firewall-Richtlinien von Firewall Manager zu verwalten, müssen Sie die gemeinsame Nutzung mit AWS Organizations in aktivieren AWS Resource Access Manager. Auf diese Weise kann Firewall Manager Schutzmaßnahmen für Ihre Konten bereitstellen, wenn Sie diese Richtlinientypen erstellen.

**Um das Teilen mit AWS Organizations zu aktivieren AWS Resource Access Manager**
+ Folgen Sie den Anweisungen unter [Teilen aktivieren mit AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) im *AWS Resource Access Manager Benutzerhandbuch*. 

Wenn Sie Probleme mit der gemeinsamen Nutzung von Ressourcen haben, finden Sie weitere Informationen in der Anleitung unter[Gemeinsame Nutzung von Ressourcen für Network Firewall- und DNS-Firewall-Richtlinien](resource-sharing.md). 

# Verwendung AWS Firewall Manager in Regionen, die standardmäßig deaktiviert sind
<a name="enable-disabled-region"></a>

Um Firewall Manager in einer Region zu verwenden, die standardmäßig deaktiviert ist, müssen Sie die Region sowohl für das Verwaltungskonto Ihrer AWS Organisation als auch für das Firewall Manager Manager-Standardadministratorkonto aktivieren. Informationen zu Regionen, die standardmäßig deaktiviert sind, und zu deren Aktivierung finden Sie unter [Verwaltung AWS-Regionen](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) in der *AWS allgemeinen Referenz*.

**So aktivieren Sie eine deaktivierte Region**
+ Folgen Sie sowohl für das Organisationsverwaltungskonto als auch für das Firewall Manager Manager-Standardadministratorkonto den Anweisungen unter [Region aktivieren](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) in der *AWS Allgemeinen Referenz*. 

Nachdem Sie diese Schritte ausgeführt haben, können Sie den Firewall Manager so konfigurieren, dass er mit dem Schutz Ihrer Ressourcen beginnt. Weitere Informationen finden Sie unter [AWS Firewall Manager AWS WAF Richtlinien einrichten](getting-started-fms.md).

# AWS Firewall Manager Administratoren verwenden
<a name="fms-administrators"></a>

Auf dieser Seite wird erklärt, was Firewall Manager Manager-Administratoren sind, und es werden verwandte Begriffe definiert.

Damit können AWS Firewall Manager Sie einen oder mehrere Administratoren haben, die die Firewall-Ressourcen Ihres Unternehmens verwalten können. Wenn Sie mehrere Firewall Manager Manager-Administratoren in Ihrer Organisation verwenden möchten, können Sie für jeden Administrator Bedingungen für den administrativen Geltungsbereich festlegen, um die Ressourcen zu definieren, die er verwalten kann. Dies gibt Ihnen die Flexibilität, innerhalb Ihrer Organisation unterschiedliche Administratorrollen zu haben, und hilft Ihnen, das Prinzip des geringsten Zugriffs beizubehalten. Sie können beispielsweise festlegen, dass ein Administrator eine Reihe von Organisationseinheiten (OUs) für Ihre Organisation verwaltet, während Sie gleichzeitig einen anderen Administrator mit der Verwaltung nur bestimmter Firewall Manager Manager-Richtlinientypen beauftragen. Weitere Informationen zu Organizations und Verwaltungskonten finden Sie unter [AWS Konten in Ihrer Organisation verwalten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html).

Die maximale Anzahl von Administratoren, die Sie pro Organisation haben können, finden Sie unter [AWS Firewall Manager Kontingente](fms-limits.md)

**Erste Schritte mit Firewall Manager Manager-Administratoren**  
Bevor Sie mit der Verwendung von Firewall Manager Manager-Administratoren beginnen, müssen Sie die unter aufgeführten Voraussetzungen erfüllen[AWS Firewall Manager Voraussetzungen](fms-prereq.md). In den Voraussetzungen integrieren Sie ein AWS Organizations Unternehmen in Firewall Manager und erstellen ein Standard-Administratorkonto für Firewall Manager. Ein Standard-Administratorkonto ist in der Lage, Firewalls von Drittanbietern zu verwalten, und verfügt über den vollen administrativen Bereich.

**Administrativer Geltungsbereich**  
Der *administrative Bereich* definiert die Ressourcen, die der Firewall Manager Manager-Administrator verwalten kann. Nachdem ein AWS Organizations Verwaltungskonto eine Organisation in Firewall Manager integriert hat, können mit dem Verwaltungskonto weitere Firewall Manager Manager-Administratoren mit unterschiedlichen Verwaltungsbereichen erstellt werden. Ein AWS Organizations Verwaltungskonto kann dem Administrator entweder **vollen** oder **eingeschränkten** Administratorbereich gewähren. Der vollständige Gültigkeitsbereich gewährt dem Administrator vollen Zugriff auf alle oben genannten Ressourcentypen. Eingeschränkter Geltungsbereich bezieht sich auf die Gewährung von Administratorberechtigungen nur für eine Teilmenge der vorherigen Ressourcen. Es wird empfohlen, Administratoren nur die Berechtigungen zu gewähren, die sie zur Erfüllung der Aufgaben ihrer Rolle benötigen. Sie können eine beliebige Kombination dieser Bedingungen für den administrativen Geltungsbereich auf einen Administrator anwenden:
+ Konten oder OUs in Ihrer Organisation, auf die der Administrator Richtlinien anwenden kann.
+ Regionen, in denen der Administrator Aktionen ausführen kann.
+ Firewall Manager Manager-Richtlinientypen, die der Administrator verwalten kann.

**Administratorrollen**  
In Firewall Manager gibt es zwei Arten von Administratorrollen: einen Standardadministrator und Firewall Manager Manager-Administratoren.
+ Standardadministrator — Das Verwaltungskonto der Organisation erstellt ein Firewall *Manager-Standardadministratorkonto*, wenn sie ihre Organisation bei Firewall Manager einbinden und gleichzeitig den Vorgang abschließen[AWS Firewall Manager Voraussetzungen](fms-prereq.md). Der Standardadministrator kann Firewalls von Drittanbietern verwalten und verfügt über den vollen administrativen Bereich, befindet sich aber ansonsten auf derselben Peer-Ebene wie andere Administratoren, falls Sie sich für mehrere Administratoren entscheiden.
+ Firewall Manager Manager-Administratoren — Ein Firewall Manager Manager-Administrator kann die Ressourcen verwalten, die ihm das AWS Organizations Verwaltungskonto in seiner Konfiguration mit administrativem Geltungsbereich zuweist. Die maximale Anzahl von Administratoren, die Sie pro Organisation haben können, finden Sie unter. [AWS Firewall Manager Kontingente](fms-limits.md) Bei der Erstellung eines Firewall Manager-Administratorkontos prüft der Dienst, ob es sich bei dem Konto bereits AWS Organizations um einen delegierten Administrator für Firewall Manager innerhalb der Organisation handelt. Wenn nicht, ruft Firewall Manager Organizations auf, um das Konto als delegierten Administrator für Firewall Manager einzurichten. Informationen zu delegierten Administratoren von Organizations finden Sie unter [AWS Organizations Terminologie und Konzepte](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) im *AWS Organizations Benutzerhandbuch*.

**Bestehende Administratoren**  
Wenn Sie bereits ein Firewall Manager Manager-Kunde sind und bereits einen Administrator eingerichtet haben, dann ist dieser bestehende Administrator der Firewall Manager Manager-Standardadministrator. Es sollte keine Auswirkungen auf Ihren bestehenden Ablauf geben. Wenn Sie weitere Administratoren hinzufügen möchten, können Sie dies tun, indem Sie die Verfahren in diesem Kapitel befolgen.

# Ein Firewall Manager Manager-Administratorkonto erstellen
<a name="fms-creating-administrators"></a>

Das folgende Verfahren beschreibt, wie Sie mit der Firewall Manager Manager-Konsole ein Firewall Manager Manager-Administratorkonto erstellen.

**Anmerkung**  
Nur das Verwaltungskonto einer Organisation kann Firewall Manager-Administratorkonten erstellen.

**So erstellen Sie ein Firewall Manager Manager-Administratorkonto**

1. Melden Sie sich AWS-Managementkonsole mit einem vorhandenen AWS Organizations Verwaltungskonto beim Firewall Manager an. 

1. Öffnen Sie die Firewall Manager-Konsole unter [https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). 

1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).

1. Wählen Sie **Administratorkonto erstellen**.

1. Geben Sie im Bereich **Details** als **AWS Konto-ID** die AWS ID eines Mitgliedskontos ein, das Sie als Firewall Manager Manager-Administrator hinzufügen möchten.

1. Wählen Sie für **den administrativen Bereich** eine der folgenden Optionen aus:
   + **Vollständig** — Dies gibt dem Administrator die Möglichkeit, Richtlinien auf alle Konten und Organisationseinheiten (OUs) innerhalb der Organisation anzuwenden, Maßnahmen in allen Regionen zu ergreifen und alle Firewall Manager Manager-Richtlinientypen anzuwenden, mit Ausnahme von Firewalls von Drittanbietern. Nur der Standardadministrator kann Firewalls von Drittanbietern erstellen und verwalten. Seien Sie vorsichtig, wenn Sie dem Administrator diese Berechtigungsebene gewähren. Im Sinne der geringsten Rechte empfehlen wir, dem Administrator nur die Berechtigungen zu gewähren, die er zur Erfüllung der Aufgaben seiner Rolle benötigt.
   + **Eingeschränkt** — Wenn Sie einen **eingeschränkten** Bereich anwenden, **konfigurieren Sie unter Administratorbereich** konfigurieren die Konten und Organisationseinheiten, Regionen und Richtlinientypen, die das Konto verwalten kann.

     Wählen Sie für **Konten und Organisationseinheiten** die Optionen wie folgt aus:
     + Wenn Sie Richtlinien auf alle Konten oder Organisationseinheiten in Ihrer Organisation anwenden möchten, wählen Sie **Alle Konten meiner AWS Organisation einbeziehen** aus. 
     + Wenn Sie Richtlinien nur auf bestimmte Konten oder Konten anwenden möchten, die sich in bestimmten AWS Organizations Organisationseinheiten befinden (OUs), wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzuOUs , die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
     + Wenn Sie Richtlinien für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** und fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

     Wählen Sie für **Regionen** die Optionen wie folgt aus:
     + Wenn Sie dem Administrator erlauben möchten, Aktionen in allen verfügbaren Regionen durchzuführen, wählen Sie **Alle Regionen einbeziehen** aus. 
     + Wenn Sie möchten, dass der Administrator Aktionen nur in bestimmten Regionen ausführt, wählen Sie **Nur die angegebenen Regionen einbeziehen** aus und geben Sie dann die Regionen an, die Sie einbeziehen möchten. 
**Anmerkung**  
Um eine Region einzubeziehen, die standardmäßig deaktiviert ist, müssen Sie die Region sowohl für das AWS Organizations Organisationsverwaltungskonto als auch für das Standard-Verwaltungskonto aktivieren. Informationen zum Aktivieren von Regionen für ein Konto finden Sie unter [Aktivieren einer Region](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) in der *Allgemeine Amazon Web Services-Referenz*.

     Wählen Sie für **Richtlinientypen** die folgenden Optionen aus:.
     + Wenn Sie dem Administrator die Verwaltung aller Richtlinientypen ermöglichen möchten, wählen Sie Alle **Richtlinientypen einbeziehen** aus. 
     + Wenn Sie möchten, dass der Administrator nur bestimmte Richtlinientypen verwaltet, wählen Sie **Nur die angegebenen Richtlinientypen einbeziehen** aus und geben Sie dann die Richtlinientypen an, die Sie einbeziehen möchten. 

1. Wählen Sie **Administratorkonto erstellen** aus, um das Administratorkonto zu erstellen. Nach der Erstellung ruft Firewall Manager an, AWS Organizations um festzustellen, ob der Administrator bereits ein delegierter Administrator für Ihr Unternehmen ist. Andernfalls weist Firewall Manager das Konto als delegierten Administrator zu. Informationen zu delegierten Administratoren in Organizations finden Sie unter [AWS Organizations Terminologie und Konzepten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) im *AWS Organizations Benutzerhandbuch*.

Wenn Sie den **eingeschränkten** administrativen Bereich verwenden, bewertet Firewall Manager automatisch alle neuen Ressourcen anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten hinzufügen OUs, nimmt Firewall Manager das Konto automatisch in den administrativen Bereich auf.

# Aktualisierung eines Firewall Manager Manager-Administratorkontos
<a name="fms-updating-administrators"></a>

Das folgende Verfahren beschreibt, wie Sie ein Firewall Manager Manager-Administratorkonto mithilfe der Firewall Manager Manager-Konsole aktualisieren.

**Anmerkung**  
Um den Geltungsbereich eines Administrators so zu aktualisieren, dass er eine Region einschließt, die standardmäßig deaktiviert ist, müssen Sie die Region sowohl für das AWS Organizations Organisationsverwaltungskonto als auch für das Standard-Administratorkonto aktivieren. Informationen zur Aktivierung von Regionen für ein Konto finden Sie unter [Aktivieren einer Region](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) in der *Allgemeine Amazon Web Services-Referenz*.  
Nur das Verwaltungskonto einer Organisation kann Firewall Manager-Administratorkonten aktualisieren.

**Um ein Administratorkonto (Konsole) zu aktualisieren**

1. Melden Sie sich AWS-Managementkonsole mit einem vorhandenen AWS Organizations Verwaltungskonto beim Firewall Manager an. 

1. Öffnen Sie die Firewall Manager-Konsole unter [https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). 

1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).

1. Wählen Sie in der **Administratortabelle von Firewall Manager** das Konto aus, das Sie aktualisieren möchten.

1. Wählen Sie **Bearbeiten** aus, um die Details des Administratorkontos zu ändern. Sie können die **Konto-ID** nicht ändern.

1. Wählen Sie **Speichern**, um Ihre Änderungen zu speichern.

# Widerrufen eines Firewall Manager Manager-Administratorkontos
<a name="fms-deleting-administrators"></a>

Das folgende Verfahren beschreibt, wie Sie ein Firewall Manager Manager-Administratorkonto widerrufen. Wenn Sie der Standardadministrator sind, müssen zunächst alle Firewall Manager Manager-Administratorkonten in Ihrer Organisation ihre eigenen Konten sperren, bevor Sie Ihr Konto sperren können. 

**Anmerkung**  
Nur ein einzelner Firewall Manager Manager-Administrator kann sein eigenes Administratorkonto widerrufen.

**Um ein Administratorkonto zu widerrufen (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).

1. Wählen Sie im Bereich **Administratorkonto** die Option **Administratorkonto widerrufen** aus, um Ihr Konto zu widerrufen.
**Wichtig**  
Wenn Sie einem Administratorkonto Administratorrechte entziehen, werden alle von diesem Konto erstellten Firewall Manager Manager-Richtlinien gelöscht.

# Ändern des standardmäßigen Firewall Manager Manager-Administratorkontos
<a name="fms-change-administrator"></a>

Das folgende Verfahren beschreibt, wie Sie das standardmäßige Firewall Manager Manager-Administratorkonto ändern. 

Sie können nur ein Konto in einer Organisation als Standard-Firewall Manager-Administratorkonto festlegen. Das Standard-Administratorkonto folgt dem Prinzip: zuerst rein, zuletzt raus. Um ein anderes Standard-Administratorkonto festzulegen, muss jedes einzelne Administratorkonto zunächst sein eigenes Konto sperren. Anschließend kann der bestehende Standardadministrator sein eigenes Konto sperren, wodurch die Organisation auch aus Firewall Manager ausgegliedert wird. Wenn ein Administrator sein Konto sperrt, werden alle von diesem Konto erstellten Firewall Manager Manager-Richtlinien gelöscht. Um ein neues Standard-Administratorkonto festzulegen, müssen Sie sich anschließend mit dem AWS Organizations Verwaltungskonto bei Firewall Manager anmelden, um ein neues Administratorkonto festzulegen. Gehen Sie wie folgt vor, um das Standard-Administratorkonto für eine Organisation zu ändern.

**Um das Standard-Administratorkonto zu ändern**

1. Melden Sie sich AWS-Managementkonsole mit einem vorhandenen AWS Organizations Verwaltungskonto beim Firewall Manager an. 

1. Öffnen Sie die Firewall Manager-Konsole unter [https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). 

1. Wählen Sie im Navigationsbereich **Settings** (Einstellungen).

1. Geben Sie die ID des Kontos ein, das Sie als Firewall Manager Manager-Administrator verwenden möchten. 
**Anmerkung**  
Dieses Konto ist berechtigt, Firewall Manager Manager-Richtlinien für alle Konten in Ihrer Organisation zu erstellen und zu verwalten.

1. Wählen Sie **Administratorkonto erstellen** aus.

1. Geben Sie die AWS ID des Kontos ein, das Sie als Firewall Manager Manager-Administrator verwenden möchten. 
**Anmerkung**  
Diesem Konto wird der volle Administratorbereich zugewiesen. Vollständiger administrativer Geltungsbereich bedeutet, dass dieses Konto Richtlinien auf alle Konten und Organisationseinheiten (OUs) innerhalb der Organisation anwenden, Maßnahmen in allen Regionen ergreifen und alle Firewall Manager Manager-Richtlinientypen verwalten kann.

1. Wählen Sie **Administratorkonto erstellen**, um das Standard-Administratorkonto zu erstellen.

# Änderungen an einem Firewall Manager Manager-Administratorkonto disqualifizieren
<a name="disqualified-admin-account"></a>

Einige Änderungen an einem Administratorkonto können dazu führen, dass es kein Administratorkonto mehr bleibt. 

In diesem Abschnitt werden die Änderungen beschrieben, die ein Administratorkonto disqualifizieren können, AWS und wie Firewall Manager mit diesen Änderungen umgeht. 

## Das Konto wurde aus der Organisation entfernt in AWS Organizations
<a name="admin-account-not-in-org"></a>

Wenn das AWS Firewall Manager Administratorkonto aus der Organisation entfernt wird AWS Organizations, kann es keine Richtlinien mehr für die Organisation verwalten. Firewall Manager führt eine der folgenden Aktionen aus: 
+ **Konto ohne Richtlinien** — Wenn das Firewall Manager-Administratorkonto keine Firewall Manager Manager-Richtlinien hat, sperrt Firewall Manager das Administratorkonto. 
+ **Konto mit Firewall Manager-Richtlinien** — Wenn das Firewall Manager Manager-Administratorkonto über Firewall Manager Manager-Richtlinien verfügt, sendet Ihnen Firewall Manager eine E-Mail, um Sie über die Situation zu informieren und Ihnen Optionen vorzuschlagen, die Sie mit Hilfe Ihres AWS Kundenbetreuers wählen können. 

## Konto geschlossen
<a name="closed-admin-account"></a>

Wenn Sie das Konto schließen, das Sie für den AWS Firewall Manager Administrator verwenden, AWS und Firewall Manager die Schließung wie folgt handhabt: 
+ AWS widerruft den Administratorzugriff des Kontos über Firewall Manager und Firewall Manager deaktiviert alle Richtlinien, die vom Administratorkonto verwaltet wurden. Die Schutzmaßnahmen, die durch diese Richtlinien bereitgestellt wurden, wurden unternehmensweit aufgehoben. 
+ AWS bewahrt die Firewall Manager Manager-Richtliniendaten für das Konto für einen Zeitraum von 90 Tagen ab dem Datum des Inkrafttretens der Schließung des Administratorkontos auf. Während dieses Zeitraums von 90 Tagen können Sie das geschlossene Konto erneut öffnen. 
  + Wenn Sie das geschlossene Konto innerhalb von 90 Tagen erneut öffnen, AWS weist es dem Konto erneut als Firewall Manager Manager-Administrator zu und stellt die Firewall Manager Manager-Richtliniendaten für das Konto wieder her. 
  + Andernfalls werden am Ende des 90-Tage-Zeitraums alle Firewall Manager Manager-Richtliniendaten für das Konto AWS dauerhaft gelöscht.

# AWS Firewall Manager Richtlinien einrichten
<a name="getting-started-fms-intro"></a>

Sie können sie verwenden AWS Firewall Manager , um eine Reihe verschiedener Arten von Sicherheitsrichtlinien zu aktivieren. Die Schritte zum Einrichten sind dafür jeweils etwas unterschiedlich. 

**Topics**
+ [

# AWS Firewall Manager AWS WAF Richtlinien einrichten
](getting-started-fms.md)
+ [

# AWS Firewall Manager AWS Shield Advanced Richtlinien einrichten
](getting-started-fms-shield.md)
+ [

# Einrichtung von AWS Firewall Manager Amazon VPC-Sicherheitsgruppenrichtlinien
](getting-started-fms-security-group.md)
+ [

# Einrichtung von AWS Firewall Manager Amazon VPC-Netzwerk-ACL-Richtlinien
](getting-started-fms-network-acl.md)
+ [

# AWS Firewall Manager AWS Network Firewall Richtlinien einrichten
](getting-started-fms-network-firewall.md)
+ [

# AWS Firewall Manager DNS-Firewall-Richtlinien einrichten
](getting-started-fms-dns-firewall.md)
+ [

# Einrichtung von AWS Firewall Manager Palo Alto Networks Cloud Next Generation Firewall-Richtlinien
](getting-started-fms-cloud-ngfw.md)
+ [

# Einrichtung von AWS Firewall Manager Fortigate CNF-Richtlinien
](getting-started-fms-fortigate-cnf.md)

# AWS Firewall Manager AWS WAF Richtlinien einrichten
<a name="getting-started-fms"></a>

Um AWS WAF Regeln in Ihrer gesamten Organisation AWS Firewall Manager zu aktivieren, führen Sie die folgenden Schritte nacheinander aus. 

**Topics**
+ [

## Schritt 1: Erfüllen der Voraussetzungen
](#complete-prereq)
+ [

## Schritt 2: Eine AWS WAF Richtlinie erstellen und anwenden
](#get-started-fms-create-security-policy)
+ [

## Schritt 3: Aufräumen
](#clean-up)

## Schritt 1: Erfüllen der Voraussetzungen
<a name="complete-prereq"></a>

Mehrere Schritte sind zur Vorbereitung Ihres Kontos auf AWS Firewall Manager zwingend erforderlich. Diese Schritte werden in [AWS Firewall Manager Voraussetzungen](fms-prereq.md) beschrieben. Erfüllen Sie alle Voraussetzungen, bevor Sie mit [Schritt 2: Eine AWS WAF Richtlinie erstellen und anwenden](#get-started-fms-create-security-policy) fortfahren.

## Schritt 2: Eine AWS WAF Richtlinie erstellen und anwenden
<a name="get-started-fms-create-security-policy"></a>

Eine Firewall Manager AWS WAF Manager-Richtlinie enthält die Regelgruppen, die Sie auf Ihre Ressourcen anwenden möchten. Firewall Manager erstellt in jedem Konto, auf das Sie die Richtlinie anwenden, eine Firewall Manager Manager-Web-ACL. Die einzelnen Accountmanager können neben den hier definierten Regelgruppen der resultierenden Web-ACL Regeln und Regelgruppen hinzufügen. Informationen zu den AWS WAF Richtlinien von Firewall Manager finden Sie unter[AWS WAF Richtlinien mit Firewall Manager verwenden](waf-policies.md).

**So erstellen Sie eine Firewall Manager AWS WAF Manager-Richtlinie (Konsole)**

Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie unter **Policy type (Richtlinientyp)** die Option **AWS WAF**. 

1. Wählen Sie für **Region** eine AWS-Region. Um CloudFront Amazon-Distributionen zu schützen, wählen Sie **Global**.

   Um Ressourcen in mehreren Regionen (außer CloudFront Verteilungen) zu schützen, müssen Sie separate Firewall Manager Manager-Richtlinien für jede Region erstellen.

1. Wählen Sie **Weiter** aus.

1. Geben Sie als **Richtlinienname** einen aussagekräftigen Namen ein. Firewall Manager nimmt den Richtliniennamen in die Namen des Webs auf ACLs , das er verwaltet. Auf die Web-ACL-Namen `FMManagedWebACLV2-` folgten der Richtlinienname, den Sie hier eingeben`-`, und der Zeitstempel für die Erstellung der Web-ACL in UTC-Millisekunden. Beispiel, `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`.
**Wichtig**  
Web-ACL-Namen können sich nach der Erstellung nicht ändern. Wenn Sie den Namen Ihrer Richtlinie aktualisieren, aktualisiert Firewall Manager den zugehörigen Web-ACL-Namen nicht. Damit Firewall Manager eine Web-ACL mit einem anderen Namen erstellt, müssen Sie eine neue Richtlinie erstellen.

1. Wählen Sie unter **Policy rules (Richtlinienregeln)** für **First rule groups (Erste Regelgruppen)** die Option **Add rule groups (Regelgruppen hinzufügen)** aus. Erweitern Sie die **AWS verwalteten Regelgruppen**. Aktivieren Sie unter **Core rule set (Kernregelsatz)** **Add to web ACL (Zu Web-ACL hinzufügen)**. Bei **AWS bekannten fehlerhaften Eingaben** aktivieren Sie die Option **Zur Web-ACL hinzufügen**. Wählen Sie **Add rules (Regeln hinzufügen)** aus

   Wählen Sie unter **Last rule groups (Letzte Regelgruppen)** die Option **Add rule groups (Regelgruppen hinzufügen)** aus. Erweitern Sie die **AWS verwalteten Regelgruppen** und aktivieren Sie für die **Amazon IP-Reputationsliste** die Option **Zur Web-ACL hinzufügen**. Wählen Sie **Add rules (Regeln hinzufügen)** aus

   Wählen Sie unter **Erste Regelgruppen** die Option **Kernregelsatz** und dann **Nach unten verschieben** aus. AWS WAF wertet Webanfragen anhand der Regelgruppe mit **AWS bekannten fehlerhaften Eingaben** aus, bevor sie anhand des **Core-Regelsatzes** ausgewertet werden. 

   Wenn Sie möchten, können Sie mit der Konsole auch Ihre eigenen AWS WAF Regelgruppen erstellen. AWS WAF Alle von Ihnen erstellten Regelgruppen werden unter **Your rule groups (Ihre Regelgruppen)** auf der Seite **Describe policy: Add rule groups (Richtlinie beschreiben: Regelgruppen hinzufügen)** angezeigt.

   Die ersten und letzten AWS WAF Regelgruppen, die Sie über Firewall Manager verwalten, haben Namen`POSTFMManaged-`, die mit dem `PREFMManaged-` Namen der Firewall Manager Manager-Richtlinie und dem Zeitstempel für die Erstellung der Regelgruppe in UTC-Millisekunden beginnen bzw. darauf folgen. Beispiel, `PREFMManaged-MyWAFPolicyName-1621880555123`.

1. Lassen Sie die Standardaktion für die Web-ACL bei **Allow (Zulassen)**. 

1. Lassen Sie die **Policy action (Richtlinienaktion)** bei der Standardeinstellung, um nicht konforme Ressourcen nicht automatisch zu korrigieren. Sie können die Option später ändern. 

1. Wählen Sie **Weiter** aus.

1. Für den **Policy scope (Richtlinienbereich)** geben Sie die Einstellungen für die Konten, Ressourcentypen und das Tagging an, die die Ressourcen identifizieren, auf die Sie die Richtlinie anwenden möchten. Verlassen Sie für dieses Tutorial die Einstellungen **AWS-Konten**und **Ressourcen** und wählen Sie einen oder mehrere Ressourcentypen aus.

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie **Weiter** aus.

1. Fügen Sie für **Policy-Tags** alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen. 

   Stellen Sie sicher, dass **Policy actions (Richtlinienaktionen)** auf **Identify resources that don’t comply with the policy rules, but don’t auto remediate (Ressourcen identifizieren, die nicht mit den Richtlinienregeln übereinstimmen, aber nicht automatisch korrigieren)** festgelegt ist. Auf diese Weise können Sie überprüfen, welche Änderungen Ihre Richtlinie vornehmen würde, bevor Sie sie aktivieren. 

1. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen).

   Im Bereich „**AWS Firewall Manager Richtlinien**“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „**Ausstehend**“ angezeigt, und es wird der Status der Einstellung **Automatische Problembehebung** angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status **Pending (Ausstehend)** durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter [Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md)

## Schritt 3: Aufräumen
<a name="clean-up"></a>

Um zu hohe Gebühren zu vermeiden, löschen Sie alle unnötigen Richtlinien und Ressourcen. 

**So löschen Sie eine Richtlinie (Konsole)**

1. Wählen Sie auf der Seite mit den **AWS Firewall Manager Richtlinien** das Optionsfeld neben dem Richtliniennamen und wählen Sie dann **Löschen** aus. 

1. Wählen Sie im Bestätigungsfeld **Delete (Löschen)** die Option **Delete all policy resources (Alle Richtlinienressourcen löschen)** aus und wählen Sie dann erneut **Delete (Löschen)**.

   AWS WAF entfernt die Richtlinie und alle zugehörigen Ressourcen, wie z. B. das Internet ACLs, die sie in Ihrem Konto erstellt hat. Es kann einige Minuten dauern, bis die Änderungen an alle Konten weitergegeben werden.

# AWS Firewall Manager AWS Shield Advanced Richtlinien einrichten
<a name="getting-started-fms-shield"></a>

Sie können sie verwenden AWS Firewall Manager , um AWS Shield Advanced Schutzmaßnahmen in Ihrer gesamten Organisation zu aktivieren. 

**Wichtig**  
Firewall Manager unterstützt Amazon Route 53 oder nicht AWS Global Accelerator. Wenn Sie diese Ressourcen mit Shield Advanced schützen müssen, können Sie keine Firewall Manager Manager-Richtlinie verwenden. Folgen Sie stattdessen den Anweisungen in [AWS Ressourcen AWS Shield Advanced schützen](configure-new-protection.md).

Um den Firewall Manager zur Aktivierung des Shield Advanced-Schutzes zu verwenden, führen Sie die folgenden Schritte nacheinander aus. 

**Topics**
+ [

## Schritt 1: Erfüllung der Voraussetzungen
](#complete-prereq-fms-shield)
+ [

## Schritt 2: Erstellen und Anwenden einer Shield Advanced-Richtlinie
](#get-started-fms-shield-create-security-policy)
+ [

## Schritt 3: (Optional) Autorisierung des Shield Response Teams (SRT)
](#get-started-fms-shield-authorize-srt)
+ [

## Schritt 4: Konfiguration von Amazon SNS SNS-Benachrichtigungen und Amazon-Alarmen CloudWatch
](#get-started-fms-shield-cloudwatch)

## Schritt 1: Erfüllung der Voraussetzungen
<a name="complete-prereq-fms-shield"></a>

Mehrere Schritte sind zur Vorbereitung Ihres Kontos auf AWS Firewall Manager zwingend erforderlich. Diese Schritte werden in [AWS Firewall Manager Voraussetzungen](fms-prereq.md) beschrieben. Erfüllen Sie alle Voraussetzungen, bevor Sie mit [Schritt 2: Erstellen und Anwenden einer Shield Advanced-Richtlinie](#get-started-fms-shield-create-security-policy) fortfahren.

## Schritt 2: Erstellen und Anwenden einer Shield Advanced-Richtlinie
<a name="get-started-fms-shield-create-security-policy"></a>

Nachdem Sie die Voraussetzungen erfüllt haben, erstellen Sie eine AWS Firewall Manager Shield Advanced-Richtlinie. Eine Firewall Manager Shield Advanced-Richtlinie enthält die Konten und Ressourcen, die Sie mit Shield Advanced schützen möchten.

**Wichtig**  
Firewall Manager unterstützt Amazon Route 53 oder nicht AWS Global Accelerator. Wenn Sie diese Ressourcen mit Shield Advanced schützen müssen, können Sie keine Firewall Manager Manager-Richtlinie verwenden. Folgen Sie stattdessen den Anweisungen in [AWS Ressourcen AWS Shield Advanced schützen](configure-new-protection.md). 

**So erstellen Sie eine Firewall Manager Shield Advanced-Richtlinie (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie als **Richtlinientyp** **Shield Advanced** aus. 

   Um eine Shield Advanced-Richtlinie zu erstellen, muss Ihr Firewall Manager Manager-Administratorkonto Shield Advanced abonniert haben. Wenn Sie kein Abonnement eingerichtet haben, werden Sie dazu aufgefordert. [Informationen zu den Kosten für ein Abonnement finden Sie unter AWS Shield Advanced Preise.](https://aws.amazon.com/shield/pricing/)
**Anmerkung**  
Sie müssen nicht jedes Mitgliedskonto manuell für Shield Advanced abonnieren. Firewall Manager erledigt dies für Sie, wenn er die Richtlinie erstellt. Jedes Konto muss weiterhin für Firewall Manager und Shield Advanced abonniert bleiben, um die Ressourcen im Konto weiterhin zu schützen.

1. Wählen Sie für **Region** eine AWS-Region. Um CloudFront Amazon-Ressourcen zu schützen, wählen Sie **Global**.

   Um Ressourcen in mehreren Regionen (außer CloudFront Ressourcen) zu schützen, müssen Sie separate Firewall Manager Manager-Richtlinien für jede Region erstellen.

1. Wählen Sie **Weiter** aus.

1. Geben Sie **unter Name** einen aussagekräftigen Namen ein. 

1. (Nur globale Region) Bei Richtlinien für **globale** Regionen können Sie wählen, ob Sie die automatische Abwehr der Anwendungsschicht DDo S mit Shield Advanced verwalten möchten. Behalten Sie für dieses Tutorial die Standardeinstellung **Ignorieren** für diese Auswahl bei.

1. Wählen Sie **unter Richtlinienaktion** die Option aus, die nicht automatisch behoben wird. 

1. Wählen Sie **Weiter** aus.

1. AWS-Konten Mit **dieser Richtlinie können Sie** den Geltungsbereich Ihrer Richtlinie einschränken, indem Sie Konten angeben, die ein- oder ausgeschlossen werden sollen. In diesem Tutorial wählen Sie **Include all accounts under my organization (Alle Konten in meiner Organisation einschließen)**. 

1. Wählen Sie die Ressourcentypen aus, die geschützt werden sollen.

   Firewall Manager unterstützt Amazon Route 53 oder nicht AWS Global Accelerator. Wenn Sie diese Ressourcen mit Shield Advanced schützen müssen, können Sie keine Firewall Manager Manager-Richtlinie verwenden. Folgen Sie stattdessen den Anweisungen von Shield Advanced unter[AWS Ressourcen AWS Shield Advanced schützen](configure-new-protection.md).

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie **Weiter** aus. 

1. Fügen Sie für **Policy-Tags** alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen. 

   Stellen Sie sicher, dass **Policy actions (Richtlinienaktionen)** auf **Identify resources that don’t comply with the policy rules, but don’t auto remediate (Ressourcen identifizieren, die nicht mit den Richtlinienregeln übereinstimmen, aber nicht automatisch korrigieren)** festgelegt ist. Auf diese Weise können Sie überprüfen, welche Änderungen Ihre Richtlinie vornehmen würde, bevor Sie sie aktivieren. 

1. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen).

   Im Bereich „**AWS Firewall Manager Richtlinien**“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „**Ausstehend**“ angezeigt, und es wird der Status der Einstellung **Automatische Problembehebung** angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status **Pending (Ausstehend)** durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter [Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md)

Fahren Sie fort mit [Schritt 3: (Optional) Autorisierung des Shield Response Teams (SRT)](#get-started-fms-shield-authorize-srt).

## Schritt 3: (Optional) Autorisierung des Shield Response Teams (SRT)
<a name="get-started-fms-shield-authorize-srt"></a>

Einer der Vorteile von AWS Shield Advanced ist die Unterstützung durch das Shield Response Team (SRT). Wenn Sie einen potenziellen DDo S-Angriff erleben, können Sie sich an das [AWS Support Center](https://console.aws.amazon.com/support/home#/) wenden. Falls erforderlich, leitet das Support Center Ihr Problem an das SRT weiter. Das SRT hilft Ihnen bei der Analyse der verdächtigen Aktivitäten und unterstützt Sie bei der Behebung des Problems. Diese Abhilfemaßnahme beinhaltet häufig die Erstellung oder Aktualisierung von AWS WAF Regeln und Websites ACLs in Ihrem Konto. Das SRT kann Ihre AWS WAF Konfiguration überprüfen und AWS WAF Regeln und das Web ACLs für Sie erstellen oder aktualisieren, aber das Team benötigt dafür Ihre Genehmigung. Wir empfehlen, dass Sie dem SRT im Rahmen der Einrichtung AWS Shield Advanced proaktiv die erforderlichen Autorisierungen erteilen. Die frühzeitige Autorisierung verhindert Verzögerungen bei der Problembehebung im Fall eines tatsächlichen Angriffs. 

Sie autorisieren und kontaktieren das SRT auf Kontoebene. Das heißt, der Kontoinhaber, nicht der Firewall Manager Manager-Administrator, muss die folgenden Schritte ausführen, um das SRT zur Abwehr potenzieller Angriffe zu autorisieren. Der Firewall Manager Manager-Administrator kann die SRT nur für Konten autorisieren, deren Eigentümer er ist. Ebenso kann nur der Kontoinhaber das SRT kontaktieren, um Support zu erhalten.

**Anmerkung**  
Um die Dienste des SRT nutzen zu können, müssen Sie den [Business Support Plan oder den [Enterprise Support](https://aws.amazon.com/premiumsupport/enterprise-support/) Plan](https://aws.amazon.com/premiumsupport/business-support/) abonniert haben.

Um das SRT zu autorisieren, potenzielle Angriffe in Ihrem Namen abzuwehren, folgen Sie den Anweisungen unter. [Verwaltete Reaktion auf DDo S-Ereignisse mit Unterstützung des Shield Response Team (SRT)](ddos-srt-support.md) Sie können den SRT-Zugriff und die Berechtigungen jederzeit ändern, indem Sie dieselben Schritte ausführen.

Fahren Sie fort mit [Schritt 4: Konfiguration von Amazon SNS SNS-Benachrichtigungen und Amazon-Alarmen CloudWatch](#get-started-fms-shield-cloudwatch).

## Schritt 4: Konfiguration von Amazon SNS SNS-Benachrichtigungen und Amazon-Alarmen CloudWatch
<a name="get-started-fms-shield-cloudwatch"></a>

Sie können mit diesem Schritt fortfahren, ohne Amazon SNS SNS-Benachrichtigungen oder CloudWatch -Alarme zu konfigurieren. Die Konfiguration dieser Alarme und Benachrichtigungen erhöht jedoch Ihren Überblick über mögliche DDo S-Ereignisse erheblich.

Mit Amazon SNS können Sie Ihre geschützten Ressourcen auf potenzielle DDo S-Aktivitäten überwachen. Um Benachrichtigungen über mögliche Angriffe zu erhalten, erstellen Sie für jede Region ein Amazon SNS SNS-Thema. 

**Wichtig**  
Amazon SNS SNS-Benachrichtigungen über potenzielle DDo S-Aktivitäten werden nicht in Echtzeit gesendet und können verzögert werden. Wenn Sie außerdem das Shield Advanced-Kontingent von 1.000 geschützten Ressourcen für jeden Ressourcentyp für jedes Konto überschreiten, können Leistungseinschränkungen von Firewall Manager die erfolgreiche Zustellung von DDo S-Angriffsbenachrichtigungen vollständig verhindern. Weitere Informationen finden Sie unter [AWS Shield Advanced Kontingente](shield-limits.md).   
Um Benachrichtigungen über potenzielle DDo S-Aktivitäten in Echtzeit zu aktivieren, können Sie einen CloudWatch Alarm verwenden. Ihr Alarm muss auf der `DDoSDetected` Metrik des Kontos basieren, in dem die geschützte Ressource vorhanden ist.

**Um ein Amazon SNS SNS-Thema in Firewall Manager (Konsole) zu erstellen**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich unter **AWS FMS** die Option **Einstellungen** aus.

1. Wählen Sie **Create new topic** (Neues Thema erstellen).

1. Geben Sie einen Themennamen ein.

1. Geben Sie eine E-Mail-Adresse ein, an die die Amazon SNS SNS-Nachrichten gesendet werden, und wählen Sie dann **E-Mail-Adresse hinzufügen**.

1. Wählen Sie **Update SNS configuration (SNS-Konfiguration aktualisieren)**.

### Konfiguration von CloudWatch Amazon-Alarmen
<a name="get-started-fms-shield-alarms"></a>

Shield Advanced zeichnet Kennzahlen zur Erkennung, Abwehr und wichtigsten Mitwirkenden auf CloudWatch , die Sie überwachen können. Weitere Informationen finden Sie unter. [AWS Shield Advanced Metriken](shield-metrics.md) CloudWatch verursacht zusätzliche Kosten. CloudWatch Die Preise finden Sie unter [ CloudWatch Amazon-Preise](https://aws.amazon.com/cloudwatch/pricing/).

Um einen CloudWatch Alarm zu erstellen, folgen Sie den Anweisungen unter [Amazon CloudWatch Alarms verwenden](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html). Standardmäßig ist Shield Advanced so konfiguriert, CloudWatch dass Sie nach nur einem Hinweis auf ein potenzielles DDo S-Ereignis gewarnt werden. Bei Bedarf können Sie die CloudWatch -Konsole verwenden, um diese Einstellung zu ändern, damit Sie erst benachrichtigt werden, wenn mehrere Indikatoren erkannt wurden. 

**Anmerkung**  
Zusätzlich zu den Alarmen können Sie auch ein CloudWatch Dashboard verwenden, um potenzielle DDo S-Aktivitäten zu überwachen. Das Dashboard sammelt und verarbeitet Rohdaten von Shield Advanced in lesbare Metriken, die nahezu in Echtzeit verfügbar sind. Sie können Statistiken in Amazon verwenden CloudWatch , um sich einen Überblick über die Leistung Ihrer Webanwendung oder Ihres Dienstes zu verschaffen. Weitere Informationen finden Sie unter [Was steht CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) im * CloudWatch Amazon-Benutzerhandbuch*.  
Anweisungen zum Erstellen eines CloudWatch Dashboards finden Sie unter[Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md). Informationen zu bestimmten Shield Advanced-Metriken, die Sie Ihrem Dashboard hinzufügen können, finden Sie unter[AWS Shield Advanced Metriken](shield-metrics.md). 

Wenn Sie Ihre Shield Advanced-Konfiguration abgeschlossen haben, machen Sie sich mit Ihren Optionen für die Anzeige von Ereignissen unter vertraut[Einblick in DDo S-Ereignisse mit Shield Advanced](ddos-viewing-events.md).

# Einrichtung von AWS Firewall Manager Amazon VPC-Sicherheitsgruppenrichtlinien
<a name="getting-started-fms-security-group"></a>

Um Amazon VPC-Sicherheitsgruppen in Ihrer Organisation AWS Firewall Manager zu aktivieren, führen Sie die folgenden Schritte nacheinander aus. 

**Topics**
+ [

## Schritt 1: Erfüllung der Voraussetzungen
](#complete-prereq-security-group)
+ [

## Schritt 2: Erstellen einer Sicherheitsgruppe zur Verwendung in Ihrer Richtlinie
](#get-started-fms-create-security-groups)
+ [

## Schritt 3: Eine gemeinsame Sicherheitsgruppenrichtlinie erstellen und anwenden
](#get-started-fms-sg-create-security-policy)

## Schritt 1: Erfüllung der Voraussetzungen
<a name="complete-prereq-security-group"></a>

Mehrere Schritte sind zur Vorbereitung Ihres Kontos auf AWS Firewall Manager zwingend erforderlich. Diese Schritte werden in [AWS Firewall Manager Voraussetzungen](fms-prereq.md) beschrieben. Erfüllen Sie alle Voraussetzungen, bevor Sie mit [Schritt 2: Erstellen einer Sicherheitsgruppe zur Verwendung in Ihrer Richtlinie](#get-started-fms-create-security-groups) fortfahren.

## Schritt 2: Erstellen einer Sicherheitsgruppe zur Verwendung in Ihrer Richtlinie
<a name="get-started-fms-create-security-groups"></a>

In diesem Schritt erstellen Sie eine Sicherheitsgruppe, die Sie mithilfe von Firewall Manager unternehmensweit anwenden können. 

**Anmerkung**  
In diesem Tutorial wenden Sie Ihre Sicherheitsgruppenrichtlinie nicht auf die Ressourcen in Ihrer Organisation an. Sie erstellen einfach die Richtlinie und sehen, was passieren würde, wenn Sie die Sicherheitsgruppe der Richtlinie auf Ihre Ressourcen anwenden würden. Sie tun dies, indem Sie die automatische Korrektur für die Richtlinie deaktivieren.

Wenn Sie bereits eine allgemeine Sicherheitsgruppe definiert haben, überspringen Sie diesen Schritt und fahren Sie mit [Schritt 3: Eine gemeinsame Sicherheitsgruppenrichtlinie erstellen und anwenden](#get-started-fms-sg-create-security-policy) fort. 

**So erstellen Sie eine Sicherheitsgruppe zur Verwendung in einer allgemeinen Sicherheitsgruppenrichtlinie von Firewall Manager**
+ Erstellen Sie eine Sicherheitsgruppe, die Sie auf alle Konten und Ressourcen in Ihrer Organisation anwenden können. Folgen Sie dabei den Anweisungen unter [Sicherheitsgruppen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) im [Amazon VPC-Benutzerhandbuch](https://docs.aws.amazon.com/vpc/latest/userguide/).

  Weitere Informationen zu den Optionen für Sicherheitsgruppenregeln finden Sie unter [Referenz zu Sicherheitsgruppenregeln](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html).

Sie können nun mit [Schritt 3: Eine gemeinsame Sicherheitsgruppenrichtlinie erstellen und anwenden](#get-started-fms-sg-create-security-policy) fortfahren.

## Schritt 3: Eine gemeinsame Sicherheitsgruppenrichtlinie erstellen und anwenden
<a name="get-started-fms-sg-create-security-policy"></a>

Nachdem Sie die Voraussetzungen erfüllt haben, erstellen Sie eine AWS Firewall Manager gemeinsame Sicherheitsgruppenrichtlinie. Eine gemeinsame Sicherheitsgruppenrichtlinie bietet eine zentral gesteuerte Sicherheitsgruppe für Ihr gesamtes AWS Unternehmen. Sie definiert auch die Ressourcen AWS-Konten und Ressourcen, für die die Sicherheitsgruppe gilt. Zusätzlich zu den allgemeinen Sicherheitsgruppenrichtlinien unterstützt Firewall Manager Sicherheitsgruppenrichtlinien zur Inhaltsüberwachung, um die in Ihrer Organisation verwendeten Sicherheitsgruppenregeln zu verwalten, und Sicherheitsgruppenrichtlinien zur Nutzungsüberwachung, um ungenutzte und redundante Sicherheitsgruppen zu verwalten. Weitere Informationen finden Sie unter [Verwenden von Sicherheitsgruppenrichtlinien in Firewall Manager zur Verwaltung von Amazon VPC-Sicherheitsgruppen](security-group-policies.md).

Für dieses Tutorial erstellen Sie eine gemeinsame Sicherheitsgruppenrichtlinie und legen deren Aktion so fest, dass sie nicht automatisch korrigiert wird. Auf diese Weise können Sie sehen, welche Auswirkungen die Richtlinie hätte, ohne Änderungen an Ihrer AWS Organisation vorzunehmen.

**So erstellen Sie eine allgemeine Sicherheitsgruppenrichtlinie für Firewall Manager (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus. 

1. Wenn Sie die Voraussetzungen nicht erfüllen, zeigt die Konsole Anweisungen zum Beheben vorliegender Problemen an. Folgen Sie den Anweisungen und kehren Sie dann zu diesem Schritt zurück, um eine gemeinsame Sicherheitsgruppenrichtlinie zu erstellen. 

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie für **Policy type (Richtlinientyp)** die Option **Security group (Sicherheitsgruppe)**. 

1. Wählen Sie für **Security group policy type (Sicherheitsgruppenrichtlinientyp)** die Option **Common security groups (Gemeinsame Sicherheitsgruppen)** aus.

1. Wählen Sie für **Region** eine AWS-Region. 

1. Wählen Sie **Weiter** aus.

1. Geben Sie als **Richtlinienname** einen aussagekräftigen Namen ein. 

1. Mit **Policy rules (Richtlinienregeln)** können Sie festlegen, wie die Sicherheitsgruppen in dieser Richtlinie angewendet und verwaltet werden. Lassen Sie die Optionen für dieses Tutorial deaktiviert. 

1. Wählen Sie **Add primary security group (Primäre Sicherheitsgruppe hinzufügen)**, wählen Sie die Sicherheitsgruppe aus, die Sie für dieses Tutorial erstellt haben, und wählen Sie **Add security group (Sicherheitsgruppe hinzufügen)** aus.

1. Wählen Sie für **Policy action (Richtlinienaktion)** **Identify resources that don’t comply with the policy rules, but don’t auto remediate (Ressourcen identifizieren, die nicht mit den Richtlinienregeln übereinstimmen, aber nicht automatisch korrigieren)**. 

1. Wählen Sie **Weiter** aus.

1. AWS-Konten Mit der Option „**von dieser Richtlinie betroffen**“ können Sie den Geltungsbereich Ihrer Richtlinie einschränken, indem Sie Konten angeben, die ein- oder ausgeschlossen werden sollen. In diesem Tutorial wählen Sie **Include all accounts under my organization (Alle Konten in meiner Organisation einschließen)**. 

1. Wählen Sie **unter Ressourcentyp** je nach den Ressourcen, die Sie für Ihre AWS Organisation definiert haben, einen oder mehrere Typen aus. 

1. Für **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie **Weiter** aus.

1. Fügen Sie für **Policy-Tags** alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen. 

   Stellen Sie sicher, dass **Policy actions (Richtlinienaktionen)** auf **Identify resources that don’t comply with the policy rules, but don’t auto remediate (Ressourcen identifizieren, die nicht mit den Richtlinienregeln übereinstimmen, aber nicht automatisch korrigieren)** festgelegt ist. Auf diese Weise können Sie überprüfen, welche Änderungen Ihre Richtlinie vornehmen würde, bevor Sie sie aktivieren. 

1. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen).

   Im Bereich „**AWS Firewall Manager Richtlinien**“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „**Ausstehend**“ angezeigt, und es wird der Status der Einstellung **Automatische Problembehebung** angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status **Pending (Ausstehend)** durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter [Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md)

1. Wenn Sie die für dieses Tutorial erstellte Richtlinie nicht beibehalten möchten, wählen Sie den Richtliniennamen aus, wählen Sie **Delete (Löschen)** und anschließend **Clean up resources created by this policy (Ressourcen bereinigen, die von dieser Richtlinie erstellt wurden)** aus und wählen Sie schließlich **Delete (Löschen)** aus. 

Weitere Informationen zu den Sicherheitsgruppenrichtlinien von Firewall Manager finden Sie unter[Verwenden von Sicherheitsgruppenrichtlinien in Firewall Manager zur Verwaltung von Amazon VPC-Sicherheitsgruppen](security-group-policies.md).

# Einrichtung von AWS Firewall Manager Amazon VPC-Netzwerk-ACL-Richtlinien
<a name="getting-started-fms-network-acl"></a>

Um das ACLs Netzwerk in Ihrem Unternehmen AWS Firewall Manager zu aktivieren, führen Sie die Schritte in diesem Abschnitt nacheinander aus. 

Informationen zum Netzwerk ACLs finden Sie unter [Steuern des Datenverkehrs zu Subnetzen über das Netzwerk ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) im *Amazon VPC-Benutzerhandbuch*.

**Topics**
+ [

## Schritt 1: Erfüllung der Voraussetzungen
](#complete-prereq-network-acl)
+ [

## Schritt 2: Erstellen einer Netzwerk-ACL-Richtlinie
](#get-started-fms-nacl-create-security-policy)

## Schritt 1: Erfüllung der Voraussetzungen
<a name="complete-prereq-network-acl"></a>

Mehrere Schritte sind zur Vorbereitung Ihres Kontos auf AWS Firewall Manager zwingend erforderlich. Diese Schritte werden in [AWS Firewall Manager Voraussetzungen](fms-prereq.md) beschrieben. Erfüllen Sie alle Voraussetzungen, bevor Sie mit [Schritt 2: Erstellen einer Netzwerk-ACL-Richtlinie](#get-started-fms-nacl-create-security-policy) fortfahren.

## Schritt 2: Erstellen einer Netzwerk-ACL-Richtlinie
<a name="get-started-fms-nacl-create-security-policy"></a>

Nachdem Sie die Voraussetzungen erfüllt haben, erstellen Sie eine Firewall Manager Manager-Netzwerk-ACL-Richtlinie. Eine Netzwerk-ACL-Richtlinie bietet eine zentral gesteuerte Netzwerk-ACL-Definition für Ihr gesamtes AWS Unternehmen. Sie definiert auch die Subnetze AWS-Konten und Subnetze, für die die Netzwerk-ACL gilt. 

Informationen zu den Netzwerk-ACL-Richtlinien von Firewall Manager finden Sie unter[Netzwerk-ACL-Richtlinien](network-acl-policies.md).

Allgemeine Informationen zu den Netzwerk-ACL-Richtlinien von Firewall Manager finden Sie unter[Netzwerk-ACL-Richtlinien](network-acl-policies.md).

**Anmerkung**  
In diesem Tutorial werden Sie Ihre Netzwerk-ACL-Richtlinie nicht auf die Subnetze in Ihrer Organisation anwenden. Sie erstellen einfach die Richtlinie und schauen, was passieren würde, wenn Sie die Netzwerk-ACL der Richtlinie auf Ihre Subnetze anwenden würden. Sie tun dies, indem Sie die automatische Korrektur für die Richtlinie deaktivieren.

**So erstellen Sie eine Firewall Manager Manager-Netzwerk-ACL-Richtlinie (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus. 

1. Wenn Sie die Voraussetzungen nicht erfüllen, zeigt die Konsole Anweisungen zum Beheben vorliegender Problemen an. Folgen Sie den Anweisungen und kehren Sie dann zu diesem Schritt zurück, um eine Netzwerk-ACL-Richtlinie zu erstellen. 

1. Wählen Sie **Richtlinie erstellen** aus. 

1. Wählen Sie für **Region** eine AWS-Region. 

1. Wählen Sie als **Richtlinientyp** die Option **Network ACL** aus. 

1. Wählen Sie **Weiter** aus.

1. Geben Sie als **Richtlinienname** einen beschreibenden Namen ein. 

1. Definieren Sie für **Netzwerk-ACL-Richtlinienregeln** die erste und letzte Regel für eingehenden und ausgehenden Datenverkehr. 

   Sie definieren Netzwerk-ACL-Regeln in Firewall Manager auf ähnliche Weise, wie Sie sie über Amazon VPC definieren. Der einzige Unterschied besteht darin, dass Sie die Regelnummern nicht selbst zuweisen, sondern die Reihenfolge für die Ausführung der einzelnen Regelsätze zuweisen. Firewall Manager weist Ihnen dann die Nummern zu, wenn Sie die Richtlinie speichern. Sie können bis zu 5 Regeln für eingehenden Datenverkehr definieren, die in beliebiger Weise zwischen der ersten und der letzten aufgeteilt werden können, und Sie können bis zu 5 Regeln für ausgehenden Datenverkehr definieren. 

   Anleitungen zur Angabe von Netzwerk-ACL-Regeln finden [Sie unter Netzwerk-ACL-Regeln hinzufügen und löschen](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#Rules) im *Amazon VPC-Benutzerhandbuch*.

   Die Regeln, die Sie in der Firewall Manager Manager-Richtlinie definieren, geben die Mindestregelkonfiguration an, die eine Netzwerk-ACL haben muss, um mit der Netzwerk-ACL-Richtlinie konform zu sein. Beispielsweise können die Regeln einer Netzwerk-ACL für eingehenden Datenverkehr nicht mit der Richtlinie konform sein, es sei denn, sie beginnen mit den Regeln für den ersten eingehenden Datenverkehr der Richtlinie, und zwar in derselben Reihenfolge, in der sie in der Richtlinie angegeben sind. Weitere Informationen finden Sie unter [Netzwerk-ACL-Richtlinien](network-acl-policies.md).

1. Wählen Sie für **Policy action (Richtlinienaktion)** **Identify resources that don’t comply with the policy rules, but don’t auto remediate (Ressourcen identifizieren, die nicht mit den Richtlinienregeln übereinstimmen, aber nicht automatisch korrigieren)**. 

1. Wählen Sie **Weiter** aus.

1. AWS-Konten Mit der Option „**von dieser Richtlinie betroffen**“ können Sie den Geltungsbereich Ihrer Richtlinie einschränken, indem Sie angeben, welche Konten ein- oder ausgeschlossen werden sollen. In diesem Tutorial wählen Sie **Include all accounts under my organization (Alle Konten in meiner Organisation einschließen)**. 

   Der **Ressourcentyp** für eine Netzwerk-ACL-Richtlinie ist immer Subnetz. 

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie **Weiter** aus.

1. Fügen Sie für **Policy-Tags** alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen. 

   Stellen Sie sicher, dass **Policy actions (Richtlinienaktionen)** auf **Identify resources that don’t comply with the policy rules, but don’t auto remediate (Ressourcen identifizieren, die nicht mit den Richtlinienregeln übereinstimmen, aber nicht automatisch korrigieren)** festgelegt ist. Auf diese Weise können Sie überprüfen, welche Änderungen Ihre Richtlinie vornehmen würde, bevor Sie sie aktivieren. 

1. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen).

   Im Bereich „**AWS Firewall Manager Richtlinien**“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „**Ausstehend**“ angezeigt, und es wird der Status der Einstellung **Automatische Problembehebung** angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status **Pending (Ausstehend)** durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter [Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md)

1. Wenn Sie mit der Suche fertig sind und die Richtlinie, die Sie für dieses Tutorial erstellt haben, nicht behalten möchten, wählen Sie den Richtliniennamen aus, klicken Sie auf **Löschen** und dann auf **Mit dieser Richtlinie erstellte Ressourcen bereinigen**. , und wählen Sie schließlich **Löschen**. 

Weitere Informationen zu den Netzwerk-ACL-Richtlinien von Firewall Manager finden Sie unter[Netzwerk-ACL-Richtlinien](network-acl-policies.md).

# AWS Firewall Manager AWS Network Firewall Richtlinien einrichten
<a name="getting-started-fms-network-firewall"></a>

Um eine AWS Network Firewall in Ihrem Unternehmen AWS Firewall Manager zu aktivieren, führen Sie die folgenden Schritte nacheinander aus. Informationen zu den Netzwerk-Firewall-Richtlinien von Firewall Manager finden Sie unter[AWS Network Firewall Richtlinien im Firewall Manager verwenden](network-firewall-policies.md).

**Topics**
+ [

## Schritt 1: Erfüllung der Voraussetzungen
](#complete-prereq-network-firewall)
+ [

## Schritt 2: Erstellen einer Netzwerk-Firewall-Regelgruppe zur Verwendung in Ihrer Richtlinie
](#get-started-fms-create-network-firewall-rule-group)
+ [

## Schritt 3: Erstellen und Anwenden einer Netzwerk-Firewall-Richtlinie
](#get-started-fms-network-firewall-create-policy)

## Schritt 1: Erfüllung der Voraussetzungen
<a name="complete-prereq-network-firewall"></a>

Mehrere Schritte sind zur Vorbereitung Ihres Kontos auf AWS Firewall Manager zwingend erforderlich. Diese Schritte werden in [AWS Firewall Manager Voraussetzungen](fms-prereq.md) beschrieben. Erfüllen Sie alle Voraussetzungen, bevor Sie mit dem nächsten Schritt fortfahren.

## Schritt 2: Erstellen einer Netzwerk-Firewall-Regelgruppe zur Verwendung in Ihrer Richtlinie
<a name="get-started-fms-create-network-firewall-rule-group"></a>

Um diesem Tutorial zu folgen, sollten Sie mit den Regelgruppen AWS Network Firewall und Firewall-Richtlinien vertraut sein und wissen, wie man sie konfiguriert. 

Sie müssen mindestens eine Regelgruppe in der Network Firewall haben, die in Ihrer AWS Firewall Manager Richtlinie verwendet wird. Wenn Sie in der Network Firewall noch keine Regelgruppe erstellt haben, tun Sie dies jetzt. Informationen zur Verwendung der Network Firewall finden Sie im [AWS Network Firewall Entwicklerhandbuch](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html). 

## Schritt 3: Erstellen und Anwenden einer Netzwerk-Firewall-Richtlinie
<a name="get-started-fms-network-firewall-create-policy"></a>

Nachdem Sie die Voraussetzungen erfüllt haben, erstellen Sie eine AWS Firewall Manager Netzwerk-Firewall-Richtlinie. Eine Netzwerk-Firewall-Richtlinie bietet eine zentral gesteuerte AWS Network Firewall Firewall für Ihr gesamtes AWS Unternehmen. Sie definiert auch die Ressourcen AWS-Konten und Ressourcen, für die die Firewall gilt. 

Weitere Informationen darüber, wie Firewall Manager Ihre Netzwerk-Firewall-Richtlinien verwaltet, finden Sie unter[AWS Network Firewall Richtlinien im Firewall Manager verwenden](network-firewall-policies.md).

**So erstellen Sie eine Firewall Manager Manager-Netzwerk-Firewall-Richtlinie (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus. 

1. Wenn Sie die Voraussetzungen nicht erfüllt haben, zeigt die Konsole Anweisungen zur Behebung von Problemen an. Folgen Sie den Anweisungen und kehren Sie dann zu diesem Schritt zurück, um eine Netzwerk-Firewall-Richtlinie zu erstellen. 

1. Wählen Sie **Sicherheitsrichtlinie erstellen** aus.

1. Wählen Sie unter **Policy type (Richtlinientyp)** die Option **AWS Network Firewall**. 

1. Wählen Sie für **Region** eine aus AWS-Region. 

1. Wählen Sie **Weiter** aus.

1. Geben Sie als **Richtlinienname** einen aussagekräftigen Namen ein. 

1. Die Richtlinienkonfiguration ermöglicht es Ihnen, die Firewall-Richtlinie zu definieren. Dies ist derselbe Prozess wie der, den Sie in der AWS Network Firewall Konsole verwenden. Sie fügen die Regelgruppen hinzu, die Sie in Ihrer Richtlinie verwenden möchten, und geben die standardmäßigen statusfreien Aktionen an. Für dieses Tutorial konfigurieren Sie diese Richtlinie wie eine Firewall-Richtlinie in Network Firewall. 
**Anmerkung**  
Die automatische Korrektur erfolgt automatisch für AWS Firewall Manager Netzwerk-Firewall-Richtlinien, sodass Sie hier keine Option sehen, mit der Sie die auto Korrektur deaktivieren können.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie für **Firewall-Endpunkte** die Option **Mehrere** Firewall-Endpunkte aus. Diese Option bietet Hochverfügbarkeit für Ihre Firewall. Wenn Sie die Richtlinie erstellen, erstellt Firewall Manager in jeder Availability Zone, in der Sie öffentliche Subnetze schützen müssen, ein Firewall-Subnetz. 

1. Wählen Sie für die **AWS Network Firewall Routenkonfiguration** die Option **Überwachen**, damit der Firewall Manager Sie VPCs auf Verstöße gegen die Routenkonfiguration überwacht und Sie mit Lösungsvorschlägen benachrichtigt, damit Sie die Richtlinien für die Routen einhalten können. Wenn Sie nicht möchten, dass Ihre Routenkonfigurationen von Firewall Manager überwacht werden und Sie diese Benachrichtigungen nicht erhalten, wählen Sie optional **Aus**.
**Anmerkung**  
Die Überwachung liefert Ihnen Details zu Ressourcen, die aufgrund einer fehlerhaften Routenkonfiguration nicht richtlinienkonform sind, und schlägt Korrekturmaßnahmen über die Firewall Manager `GetViolationDetails` Manager-API vor. Die Network Firewall warnt Sie beispielsweise, wenn der Datenverkehr nicht über die Firewall-Endpunkte geleitet wird, die durch Ihre Richtlinie erstellt wurden.
**Warnung**  
Wenn Sie **Monitor** wählen, können Sie es in future für dieselbe Richtlinie nicht mehr auf **Aus** ändern. Sie müssen eine neue Richtlinie erstellen.

1. Wählen Sie **unter Verkehrstyp** die Option **Zur Firewall-Richtlinie hinzufügen** aus, um den Datenverkehr über das Internet-Gateway weiterzuleiten.

1. AWS-Konten Mit der Option „**Von dieser Richtlinie betroffen**“ können Sie den Geltungsbereich Ihrer Richtlinie einschränken, indem Sie Konten angeben, die ein- oder ausgeschlossen werden sollen. In diesem Tutorial wählen Sie **Include all accounts under my organization (Alle Konten in meiner Organisation einschließen)**. 

   Der **Ressourcentyp** für eine Netzwerk-Firewall-Richtlinie ist immer **VPC**. 

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie **Weiter** aus.

1. Fügen Sie für **Policy-Tags** alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen. 

   Stellen Sie sicher, dass **Policy actions (Richtlinienaktionen)** auf **Identify resources that don’t comply with the policy rules, but don’t auto remediate (Ressourcen identifizieren, die nicht mit den Richtlinienregeln übereinstimmen, aber nicht automatisch korrigieren)** festgelegt ist. Auf diese Weise können Sie überprüfen, welche Änderungen Ihre Richtlinie vornehmen würde, bevor Sie sie aktivieren. 

1. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen).

   Im Bereich „**AWS Firewall Manager Richtlinien**“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „**Ausstehend**“ angezeigt, und es wird der Status der Einstellung **Automatische Problembehebung** angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status **Pending (Ausstehend)** durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter [Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md)

1. Wenn Sie mit der Suche fertig sind und die Richtlinie, die Sie für dieses Tutorial erstellt haben, nicht behalten möchten, wählen Sie den Richtliniennamen aus, klicken Sie auf **Löschen** und dann auf **Mit dieser Richtlinie erstellte Ressourcen bereinigen**. , und wählen Sie schließlich **Löschen**. 

Weitere Informationen zu den Netzwerk-Firewall-Richtlinien von Firewall Manager finden Sie unter[AWS Network Firewall Richtlinien im Firewall Manager verwenden](network-firewall-policies.md).

# AWS Firewall Manager DNS-Firewall-Richtlinien einrichten
<a name="getting-started-fms-dns-firewall"></a>

Um die Amazon Route 53 Resolver DNS Firewall in Ihrem Unternehmen zu aktivieren, führen Sie die folgenden Schritte nacheinander durch. AWS Firewall Manager Informationen zu den DNS-Firewallrichtlinien von Firewall Manager finden Sie unter[Verwenden der DNS-Firewall-Richtlinien von Amazon Route 53 Resolver im Firewall Manager](dns-firewall-policies.md).

**Topics**
+ [

## Schritt 1: Erfüllung der Voraussetzungen
](#complete-prereq-dns-firewall)
+ [

## Schritt 2: Erstellen Sie Ihre DNS-Firewall-Regelgruppen zur Verwendung in Ihrer Richtlinie
](#get-started-fms-create-dns-firewall-association)
+ [

## Schritt 3: Erstellen und Anwenden einer DNS-Firewall-Richtlinie
](#get-started-fms-dns-firewall-create-policy)

## Schritt 1: Erfüllung der Voraussetzungen
<a name="complete-prereq-dns-firewall"></a>

Mehrere Schritte sind zur Vorbereitung Ihres Kontos auf AWS Firewall Manager zwingend erforderlich. Diese Schritte werden in [AWS Firewall Manager Voraussetzungen](fms-prereq.md) beschrieben. Erfüllen Sie alle Voraussetzungen, bevor Sie mit dem nächsten Schritt fortfahren.

## Schritt 2: Erstellen Sie Ihre DNS-Firewall-Regelgruppen zur Verwendung in Ihrer Richtlinie
<a name="get-started-fms-create-dns-firewall-association"></a>

Um diesem Tutorial zu folgen, sollten Sie mit der Amazon Route 53 Resolver DNS Firewall vertraut sein und wissen, wie die Regelgruppen konfiguriert werden. 

Sie müssen mindestens eine Regelgruppe in der DNS-Firewall haben, die in Ihrer AWS Firewall Manager Richtlinie verwendet wird. Wenn Sie noch keine Regelgruppe in der DNS-Firewall erstellt haben, tun Sie dies jetzt. Informationen zur Verwendung der DNS-Firewall finden Sie unter [Amazon Route 53 Resolver DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) im [Amazon Route 53 Developer Guide](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html). 

## Schritt 3: Erstellen und Anwenden einer DNS-Firewall-Richtlinie
<a name="get-started-fms-dns-firewall-create-policy"></a>

Nachdem Sie die Voraussetzungen erfüllt haben, erstellen Sie eine AWS Firewall Manager DNS-Firewall-Richtlinie. Eine DNS-Firewallrichtlinie bietet eine Reihe von zentral gesteuerten Zuordnungen von DNS-Firewall-Regelgruppen für Ihr gesamtes AWS Unternehmen. Sie definiert auch die Ressourcen AWS-Konten und Ressourcen, für die die Firewall gilt. 

Weitere Informationen darüber, wie Firewall Manager Ihre DNS-Firewall-Regelgruppenzuordnungen verwaltet, finden Sie unter[Verwenden der DNS-Firewall-Richtlinien von Amazon Route 53 Resolver im Firewall Manager](dns-firewall-policies.md).

**So erstellen Sie eine Firewall Manager Manager-DNS-Firewall-Richtlinie (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus. 

1. Wenn Sie die Voraussetzungen nicht erfüllt haben, zeigt die Konsole Anweisungen zur Behebung von Problemen an. Folgen Sie den Anweisungen und kehren Sie dann zu diesem Schritt zurück, um eine DNS-Firewall-Richtlinie zu erstellen. 

1. Wählen Sie **Sicherheitsrichtlinie erstellen** aus.

1. Wählen Sie als **Richtlinientyp** **Amazon Route 53 Resolver DNS Firewall** aus. 

1. Wählen Sie für **Region** eine AWS-Region. 

1. Wählen Sie **Weiter** aus.

1. Geben Sie als **Richtlinienname** einen aussagekräftigen Namen ein. 

1. Die Richtlinienkonfiguration ermöglicht es Ihnen, die Zuordnungen der DNS-Firewall-Regelgruppen zu definieren, die Sie über Firewall Manager verwalten möchten. Sie fügen die Regelgruppen hinzu, die Sie in Ihrer Richtlinie verwenden möchten. Sie können eine Assoziation definieren, die zuerst für Sie bewertet wird, VPCs und eine, die zuletzt bewertet wird. Fügen Sie für dieses Tutorial je nach Bedarf eine oder zwei Regelgruppenzuordnungen hinzu. 

1. Wählen Sie **Weiter** aus.

1. AWS-Konten Mit der Option „**von dieser Richtlinie betroffen**“ können Sie den Geltungsbereich Ihrer Richtlinie einschränken, indem Sie Konten angeben, die ein- oder ausgeschlossen werden sollen. In diesem Tutorial wählen Sie **Include all accounts under my organization (Alle Konten in meiner Organisation einschließen)**. 

   Der **Ressourcentyp** für eine DNS-Firewall-Richtlinie ist immer **VPC**. 

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie **Weiter** aus.

1. Fügen Sie für **Policy-Tags** alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen. 

   Stellen Sie sicher, dass **Policy actions (Richtlinienaktionen)** auf **Identify resources that don’t comply with the policy rules, but don’t auto remediate (Ressourcen identifizieren, die nicht mit den Richtlinienregeln übereinstimmen, aber nicht automatisch korrigieren)** festgelegt ist. Auf diese Weise können Sie überprüfen, welche Änderungen Ihre Richtlinie vornehmen würde, bevor Sie sie aktivieren. 

1. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen).

   Im Bereich „**AWS Firewall Manager Richtlinien**“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „**Ausstehend**“ angezeigt, und es wird der Status der Einstellung **Automatische Problembehebung** angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status **Pending (Ausstehend)** durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter [Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md)

1. Wenn Sie mit der Suche fertig sind und die Richtlinie, die Sie für dieses Tutorial erstellt haben, nicht behalten möchten, wählen Sie den Richtliniennamen aus, klicken Sie auf **Löschen** und dann auf **Mit dieser Richtlinie erstellte Ressourcen bereinigen**. , und wählen Sie schließlich **Löschen**. 

Weitere Informationen zu den DNS-Firewallrichtlinien von Firewall Manager finden Sie unter[Verwenden der DNS-Firewall-Richtlinien von Amazon Route 53 Resolver im Firewall Manager](dns-firewall-policies.md).

# Einrichtung von AWS Firewall Manager Palo Alto Networks Cloud Next Generation Firewall-Richtlinien
<a name="getting-started-fms-cloud-ngfw"></a>

Führen Sie AWS Firewall Manager die folgenden Schritte nacheinander aus, um die Palo Alto Networks Cloud Next Generation Firewall (NGFW) -Richtlinien zu aktivieren. Informationen zu den Palo Alto Networks Cloud NGFW-Richtlinien finden Sie unter. [Verwendung der Palo Alto Networks Cloud NGFW-Richtlinien für Firewall Manager](cloud-ngfw-policies.md)

**Topics**
+ [

## Schritt 1: Erfüllung der allgemeinen Voraussetzungen
](#complete-fms-prereq)
+ [

## Schritt 2: Erfüllung der Voraussetzungen für die Palo Alto Networks Cloud NGFW-Richtlinie
](#complete-prereq-cloud-ngfw)
+ [

## Schritt 3: Erstellen und Anwenden einer Palo Alto Networks Cloud NGFW-Richtlinie
](#get-started-fms-cloud-ngfw-create-policy)

## Schritt 1: Erfüllung der allgemeinen Voraussetzungen
<a name="complete-fms-prereq"></a>

Mehrere Schritte sind zur Vorbereitung Ihres Kontos auf AWS Firewall Manager zwingend erforderlich. Diese Schritte werden in [AWS Firewall Manager Voraussetzungen](fms-prereq.md) beschrieben. Erfüllen Sie alle Voraussetzungen, bevor Sie mit dem nächsten Schritt fortfahren.

## Schritt 2: Erfüllung der Voraussetzungen für die Palo Alto Networks Cloud NGFW-Richtlinie
<a name="complete-prereq-cloud-ngfw"></a>

Es gibt einige zusätzliche obligatorische Schritte, die Sie ausführen müssen, um die Palo Alto Networks Cloud NGFW-Richtlinien verwenden zu können. Diese Schritte werden in [Voraussetzungen für die Cloud-Firewall-Richtlinie der nächsten Generation von Palo Alto Networks](fms-third-party-prerequisites.md#fms-cloud-ngfw-prerequisites) beschrieben. Erfüllen Sie alle Voraussetzungen, bevor Sie mit dem nächsten Schritt fortfahren.

## Schritt 3: Erstellen und Anwenden einer Palo Alto Networks Cloud NGFW-Richtlinie
<a name="get-started-fms-cloud-ngfw-create-policy"></a>

Nachdem Sie die Voraussetzungen erfüllt haben, erstellen Sie eine AWS Firewall Manager Palo Alto Networks Cloud NGFW-Richtlinie.

Weitere Informationen zu den Firewall Manager Manager-Richtlinien für Palo Alto Networks Cloud NGFW finden Sie unter. [Verwendung der Palo Alto Networks Cloud NGFW-Richtlinien für Firewall Manager](cloud-ngfw-policies.md)

**So erstellen Sie eine Firewall Manager Manager-Richtlinie für Palo Alto Networks Cloud NGFW (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie als **Richtlinientyp** **Palo Alto Networks Cloud NGFW** aus. Wenn Sie den Palo Alto Networks Cloud NGFW-Dienst noch nicht im AWS Marketplace abonniert haben, müssen Sie dies zuerst tun. Um im AWS Marketplace ein Abonnement abzuschließen, wählen Sie ** AWS Marketplace-Details anzeigen**.

1. Wählen Sie als **Bereitstellungsmodell** entweder das **verteilte Modell** oder das **zentralisierte Modell**. Das Bereitstellungsmodell bestimmt, wie Firewall Manager Endpunkte für die Richtlinie verwaltet. Beim verteilten Modell verwaltet Firewall Manager Firewall-Endpunkte in jeder VPC, die innerhalb des Richtlinienbereichs liegen. Mit dem zentralisierten Modell verwaltet Firewall Manager einen einzigen Endpunkt in einer Inspektions-VPC.

1. Wählen Sie für **Region** eine AWS-Region. Um Ressourcen in mehreren Regionen zu schützen, müssen Sie für jede Region separate Richtlinien erstellen. 

1. Wählen Sie **Weiter** aus.

1. Geben Sie als **Richtlinienname** einen aussagekräftigen Namen ein.

1. Wählen Sie in der Richtlinienkonfiguration die Palo Alto Networks Cloud NGFW-Firewallrichtlinie aus, die dieser Richtlinie zugeordnet werden soll. Die Liste der Palo Alto Networks Cloud NGFW-Firewallrichtlinien enthält alle Palo Alto Networks Cloud NGFW-Firewallrichtlinien, die Ihrem Palo Alto Networks Cloud NGFW-Mandanten zugeordnet sind. *Informationen zur Erstellung und Verwaltung von Palo Alto Networks Cloud NGFW-Firewallrichtlinien finden Sie im Abschnitt Deploy Palo Alto Networks Cloud NGFW for mit dem Thema im *[Leitfaden Palo Alto Networks Cloud NGFW for Deployment](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/getting-started-with-cloud-ngfw-for-aws/deploy-cloud-ngfw-for-aws-with-the-aws-firewall-manager.html)*. AWS AWS Firewall Manager AWS *

1. Für die **Palo Alto Networks Cloud NGFW-Protokollierung — optional — wählen Sie optional**, welche Palo Alto Networks Cloud NGFW-Protokolltypen für Ihre Richtlinie protokolliert werden sollen. *Informationen zu den NGFW-Protokolltypen in Palo Alto Networks Cloud finden [Sie unter Configure Logging for Palo Alto Networks Cloud NGFW on im Leitfaden Palo Alto Networks Cloud NGFW](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/create-cloud-ngfw-instances-and-endpoints/configure-logging-for-the-cloud-ngfw-on-aws.html) for Deployment. AWS AWS *

   Geben Sie als **Protokollziel** an, wohin Firewall Manager Protokolle schreiben soll.

1. Wählen Sie **Weiter** aus.

1. Führen **Sie unter Firewall-Endpunkt eines Drittanbieters konfigurieren** einen der folgenden Schritte aus, je nachdem, ob Sie für die Erstellung Ihrer Firewall-Endpunkte das verteilte oder das zentralisierte Bereitstellungsmodell verwenden:
   + Wenn Sie das verteilte Bereitstellungsmodell für diese Richtlinie verwenden, wählen Sie unter **Availability Zones** aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem **Namen der Availability Zone** oder nach der **Availability Zone ID** auswählen.
   + Wenn Sie das zentralisierte Bereitstellungsmodell für diese Richtlinie verwenden, geben Sie in der **AWS Firewall Manager Endpunktkonfiguration** unter **Inspektion-VPC-Konfiguration** die AWS Konto-ID des Besitzers der Inspektion-VPC und die VPC-ID der Inspektion-VPC ein.
     + Wählen Sie unter **Availability Zones** aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem **Namen der Availability Zone** oder nach der **Availability Zone ID** auswählen.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie für **den Geltungsbereich** der **Richtlinie unter „AWS-Konten Diese Richtlinie gilt für**“ die Option wie folgt aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügenOUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

   Der **Ressourcentyp** für Netzwerk-Firewall-Richtlinien ist **VPC**. 

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie für **Kontenübergreifenden Zugriff gewähren** die Option ** CloudFormation Vorlage herunterladen** aus. Dadurch wird eine CloudFormation Vorlage heruntergeladen, mit der Sie einen CloudFormation Stack erstellen können. Dieser Stack erstellt eine AWS Identity and Access Management Rolle, die Firewall Manager kontoübergreifende Berechtigungen zur Verwaltung von Palo Alto Networks Cloud NGFW-Ressourcen gewährt. *Informationen zu Stacks finden Sie unter [Arbeiten mit Stacks](https://docs.aws.amazon.com/AWSCloudFormation/latest/gsg/stacks.html) im Benutzerhandbuch.CloudFormation *

1. Wählen Sie **Weiter** aus.

1. Fügen Sie für **Policy-Tags** alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen. 

   Stellen Sie sicher, dass **Policy actions (Richtlinienaktionen)** auf **Identify resources that don’t comply with the policy rules, but don’t auto remediate (Ressourcen identifizieren, die nicht mit den Richtlinienregeln übereinstimmen, aber nicht automatisch korrigieren)** festgelegt ist. Auf diese Weise können Sie überprüfen, welche Änderungen Ihre Richtlinie vornehmen würde, bevor Sie sie aktivieren. 

1. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen).

   Im Bereich „**AWS Firewall Manager Richtlinien**“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „**Ausstehend**“ angezeigt, und es wird der Status der Einstellung **Automatische Problembehebung** angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status **Pending (Ausstehend)** durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter [Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md)

Weitere Informationen zu den Cloud NGFW-Richtlinien von Firewall Manager Palo Alto Networks finden Sie unter. [Verwendung der Palo Alto Networks Cloud NGFW-Richtlinien für Firewall Manager](cloud-ngfw-policies.md)

# Einrichtung von AWS Firewall Manager Fortigate CNF-Richtlinien
<a name="getting-started-fms-fortigate-cnf"></a>

Fortigate Cloud Native Firewall (CNF) as a Service ist ein Firewall-Service eines Drittanbieters, den Sie für Ihre Richtlinien verwenden können. AWS Firewall Manager Mit Fortigate CNF for Firewall Manager können Sie Fortigate CNF-Ressourcen und Richtliniensätze für all Ihre Konten erstellen und zentral bereitstellen. AWS Um Fortigate CNF-Richtlinien AWS Firewall Manager zu aktivieren, führen Sie die folgenden Schritte nacheinander aus. Weitere Informationen zu den Fortigate CNF-Richtlinien finden Sie unter. [Verwendung von Fortigate Cloud Native Firewall (CNF) as a Service-Richtlinien für Firewall Manager](fortigate-cnf-policies.md)

**Topics**
+ [

## Schritt 1: Erfüllung der allgemeinen Voraussetzungen
](#complete-fms-prereq-fortigate-cnf)
+ [

## Schritt 2: Erfüllung der Voraussetzungen für die Fortigate CNF-Richtlinie
](#complete-prereq-fortigate-cnf)
+ [

## Schritt 3: Erstellen und Anwenden einer Fortigate CNF-Richtlinie
](#get-started-fms-fortigate-cnf-create-policy)

## Schritt 1: Erfüllung der allgemeinen Voraussetzungen
<a name="complete-fms-prereq-fortigate-cnf"></a>

Mehrere Schritte sind zur Vorbereitung Ihres Kontos auf AWS Firewall Manager zwingend erforderlich. Diese Schritte werden in [AWS Firewall Manager Voraussetzungen](fms-prereq.md) beschrieben. Erfüllen Sie alle Voraussetzungen, bevor Sie mit dem nächsten Schritt fortfahren.

## Schritt 2: Erfüllung der Voraussetzungen für die Fortigate CNF-Richtlinie
<a name="complete-prereq-fortigate-cnf"></a>

Es gibt weitere obligatorische Schritte, die Sie ausführen müssen, um die Fortigate CNF-Richtlinien nutzen zu können. Diese Schritte werden in [Voraussetzungen für die Fortigate Cloud Native Firewall (CNF) as a Service-Richtlinie](fms-third-party-prerequisites.md#fms-fortigate-cnf-prerequisites) beschrieben. Erfüllen Sie alle Voraussetzungen, bevor Sie mit dem nächsten Schritt fortfahren.

## Schritt 3: Erstellen und Anwenden einer Fortigate CNF-Richtlinie
<a name="get-started-fms-fortigate-cnf-create-policy"></a>

Nachdem Sie die Voraussetzungen erfüllt haben, erstellen Sie eine AWS Firewall Manager Fortigate CNF-Richtlinie.

Weitere Informationen zu den Firewall Manager Manager-Richtlinien für Fortigate CNF finden Sie unter. [Verwendung von Fortigate Cloud Native Firewall (CNF) as a Service-Richtlinien für Firewall Manager](fortigate-cnf-policies.md)

**So erstellen Sie eine Firewall Manager Manager-Richtlinie für Fortigate CNF (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie als **Richtlinientyp** Fortigate CNF. Wenn Sie den Fortigate CNF-Service im AWS Marketplace noch nicht abonniert haben, müssen Sie dies zuerst tun. Um im AWS Marketplace ein Abonnement abzuschließen, wählen Sie ** AWS Marketplace-Details anzeigen**.

1. Wählen Sie als **Bereitstellungsmodell** entweder das **verteilte Modell** oder das **zentralisierte Modell**. Das Bereitstellungsmodell bestimmt, wie Firewall Manager Endpunkte für die Richtlinie verwaltet. Beim verteilten Modell verwaltet Firewall Manager Firewall-Endpunkte in jeder VPC, die innerhalb des Richtlinienbereichs liegen. Mit dem zentralisierten Modell verwaltet Firewall Manager einen einzigen Endpunkt in einer Inspektions-VPC.

1. Wählen Sie für **Region** eine AWS-Region. Um Ressourcen in mehreren Regionen zu schützen, müssen Sie für jede Region separate Richtlinien erstellen. 

1. Wählen Sie **Weiter** aus.

1. Wählen Sie in der Richtlinienkonfiguration die Fortigate CNF-Firewall-Richtlinie aus, die dieser Richtlinie zugeordnet werden soll. Die Liste der Fortigate CNF-Firewallrichtlinien enthält alle Fortigate CNF-Firewallrichtlinien, die Ihrem Fortigate CNF-Mandanten zugeordnet sind. [Informationen zur Erstellung und Verwaltung von Fortigate CNF-Firewallrichtlinien finden Sie in der Fortigate CNF-Dokumentation.](https://docs.fortinet.com/product/fortigate-cnf)

1. Wählen Sie **Weiter** aus.

1. Führen **Sie unter Firewall-Endpunkt eines Drittanbieters konfigurieren** einen der folgenden Schritte aus, je nachdem, ob Sie für die Erstellung Ihrer Firewall-Endpunkte das verteilte oder das zentralisierte Bereitstellungsmodell verwenden:
   + Wenn Sie das verteilte Bereitstellungsmodell für diese Richtlinie verwenden, wählen Sie unter **Availability Zones** aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem **Namen der Availability Zone** oder nach der **Availability Zone ID** auswählen.
   + Wenn Sie das zentralisierte Bereitstellungsmodell für diese Richtlinie verwenden, geben Sie in der **AWS Firewall Manager Endpunktkonfiguration** unter **Inspektion-VPC-Konfiguration** die AWS Konto-ID des Besitzers der Inspektion-VPC und die VPC-ID der Inspektion-VPC ein.
     + Wählen Sie unter **Availability Zones** aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem **Namen der Availability Zone** oder nach der **Availability Zone ID** auswählen.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie für **den Geltungsbereich** der **Richtlinie unter „AWS-Konten Diese Richtlinie gilt für**“ die Option wie folgt aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügen OUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

   **Der **Ressourcentyp** für Fortigate CNF-Richtlinien ist VPC.** 

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie für **Kontenübergreifenden Zugriff gewähren** die Option ** CloudFormation Vorlage herunterladen** aus. Dadurch wird eine CloudFormation Vorlage heruntergeladen, mit der Sie einen CloudFormation Stack erstellen können. Dieser Stack erstellt eine AWS Identity and Access Management Rolle, die Firewall Manager kontoübergreifende Berechtigungen zur Verwaltung von Fortigate CNF-Ressourcen gewährt. *Informationen zu Stacks finden Sie unter [Arbeiten mit Stacks](https://docs.aws.amazon.com/AWSCloudFormation/latest/gsg/stacks.html) im Benutzerhandbuch.CloudFormation * Um einen Stack zu erstellen, benötigen Sie die Konto-ID aus dem Fortigate CNF-Portal.

1. Wählen Sie **Weiter** aus.

1. Fügen Sie für **Policy-Tags** alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen. 

   Stellen Sie sicher, dass **Policy actions (Richtlinienaktionen)** auf **Identify resources that don’t comply with the policy rules, but don’t auto remediate (Ressourcen identifizieren, die nicht mit den Richtlinienregeln übereinstimmen, aber nicht automatisch korrigieren)** festgelegt ist. Auf diese Weise können Sie überprüfen, welche Änderungen Ihre Richtlinie vornehmen würde, bevor Sie sie aktivieren. 

1. Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen).

   Im Bereich „**AWS Firewall Manager Richtlinien**“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „**Ausstehend**“ angezeigt, und es wird der Status der Einstellung **Automatische Problembehebung** angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status **Pending (Ausstehend)** durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter [Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md)

Weitere Informationen zu den CNF-Richtlinien von Firewall Manager Fortigate finden Sie unter. [Verwendung von Fortigate Cloud Native Firewall (CNF) as a Service-Richtlinien für Firewall Manager](fortigate-cnf-policies.md)

# AWS Firewall Manager Richtlinien verwenden
<a name="working-with-policies"></a>

AWS Firewall Manager bietet die folgenden Arten von Richtlinien. Für jeden Richtlinientyp definieren Sie: 
+ **AWS WAF****Richtlinie** — Firewall Manager unterstützt AWS WAF AWS WAF klassische Richtlinien. Für beide Versionen legen Sie fest, welche Ressourcen durch die Richtlinie geschützt sind. 
  + Bei AWS WAF diesem Richtlinientyp werden Gruppen von Regelgruppen zuerst und zuletzt in der Web-ACL ausgeführt. Anschließend kann der Kontoinhaber in den Konten, auf die Sie die Web-ACL anwenden, Regeln und Regelgruppen hinzufügen, die zwischen den beiden Gruppen ausgeführt werden. 
  + Beim Richtlinientyp AWS WAF Classic muss eine einzelne Regelgruppe in der Web-ACL ausgeführt werden.
+ **Shield Advanced-Richtlinie** — Dieser Richtlinientyp wendet Shield Advanced-Schutzmaßnahmen in Ihrer gesamten Organisation für die von Ihnen angegebenen Ressourcentypen an. 
+ **Amazon VPC-Sicherheitsgruppenrichtlinie** — Dieser Richtlinientyp gibt Ihnen die Kontrolle über Sicherheitsgruppen, die in Ihrer gesamten Organisation verwendet werden, und ermöglicht es Ihnen, grundlegende Regeln in Ihrer gesamten Organisation durchzusetzen. 
+ **Amazon VPC-Richtlinie zur Netzwerkzugriffskontrollliste (Network Access Control List, ACL)** — Dieser Richtlinientyp gibt Ihnen ACLs die Kontrolle über Netzwerke, die in Ihrer gesamten Organisation verwendet werden, und ermöglicht es Ihnen, eine Reihe von Basisnetzwerken ACLs in Ihrer Organisation durchzusetzen. 
+ **Netzwerk-Firewall-Richtlinie** — Dieser Richtlinientyp wendet AWS Network Firewall Schutz auf die Richtlinie Ihres Unternehmens an VPCs. 
+ **Amazon Route 53 Resolver DNS-Firewall-Richtlinie** — Diese Richtlinie wendet DNS-Firewall-Schutzmaßnahmen auf die Ihres Unternehmens an. VPCs 
+ **Firewall-Richtlinie eines Drittanbieters** — Dieser Richtlinientyp wendet Firewall-Schutzmaßnahmen von Drittanbietern an. Firewalls von Drittanbietern sind als Abonnement über die AWS Marketplace-Konsole auf [AWS Marketplace](https://aws.amazon.com/marketplace) erhältlich.
  + **Palo Alto Networks Cloud NGFW-Richtlinie** — Dieser Richtlinientyp wendet die Palo Alto Networks Cloud Next Generation Firewall (NGFW) -Schutzmaßnahmen und die Palo Alto Networks Cloud NGFW-Regeln auf die NGFW-Regeln Ihres Unternehmens an. VPCs
  + **Fortigate Cloud Native Firewall (CNF) as a Service-Richtlinie — Dieser Richtlinientyp wendet die Schutzmaßnahmen der Fortigate Cloud Native Firewall (CNF) as a Service** an. Fortigate CNF ist eine Cloud-zentrierte Lösung, die Zero-Day-Bedrohungen blockiert und Cloud-Infrastrukturen mit branchenführender fortschrittlicher Bedrohungsabwehr, intelligenten Web Application Firewalls (WAF) und API-Schutz schützt.

Eine Firewall Manager Manager-Richtlinie ist spezifisch für den einzelnen Richtlinientyp. Wenn Sie mehrere Richtlinientypen kontenübergreifend durchsetzen möchten, können Sie mehrere Richtlinien erstellen. Sie können mehr als eine Richtlinie für jeden Typ erstellen. 

Wenn Sie einer Organisation AWS Organizations, mit der Sie das Konto erstellt haben, ein neues Konto hinzufügen, wendet Firewall Manager die Richtlinie automatisch auf die Ressourcen in diesem Konto an, die in den Geltungsbereich der Richtlinie fallen. 

## Allgemeine Einstellungen für AWS Firewall Manager Richtlinien
<a name="policies-general-settings"></a>

AWS Firewall Manager verwaltete Richtlinien haben einige allgemeine Einstellungen und Verhaltensweisen. Für alle geben Sie einen Namen an und definieren den Geltungsbereich der Richtlinie, und Sie können den Geltungsbereich der Richtlinie mithilfe von Ressourcen-Tagging steuern. Sie können die Konten und Ressourcen anzeigen, die nicht konform sind, ohne Korrekturmaßnahmen zu ergreifen oder nicht konforme Ressourcen automatisch zu korrigieren. 

Informationen zum Geltungsbereich der Richtlinie finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md). 

# Eine AWS Firewall Manager Richtlinie erstellen
<a name="create-policy"></a>

Die Schritte zum Erstellen einer Richtlinie variieren zwischen den verschiedenen Richtlinientypen. Stellen Sie sicher, dass Sie das Verfahren für den gewünschten Richtlinientyp verwenden.

**Wichtig**  
AWS Firewall Manager unterstützt Amazon Route 53 nicht oder AWS Global Accelerator. Wenn Sie diese Ressourcen mit Shield Advanced schützen möchten, können Sie keine Firewall Manager Manager-Richtlinie verwenden. Folgen Sie stattdessen den Anweisungen in [AWS Ressourcen AWS Shield Advanced schützen](configure-new-protection.md). 

**Topics**
+ [

## Eine AWS Firewall Manager Richtlinie erstellen für AWS WAF
](#creating-firewall-manager-policy-for-waf)
+ [

## Eine AWS Firewall Manager Richtlinie für Classic erstellen AWS WAF
](#creating-firewall-manager-policy-for-classic-waf)
+ [

## Erstellen einer AWS Firewall Manager Richtlinie für AWS Shield Advanced
](#creating-firewall-manager-policy-for-shield-advanced)
+ [

## Erstellen einer AWS Firewall Manager gemeinsamen Sicherheitsgruppenrichtlinie
](#creating-firewall-manager-policy-common-security-group)
+ [

## Eine Sicherheitsgruppenrichtlinie für die AWS Firewall Manager Inhaltsüberwachung erstellen
](#creating-firewall-manager-policy-audit-security-group)
+ [

## Eine Sicherheitsgruppenrichtlinie für die AWS Firewall Manager Nutzungsüberwachung erstellen
](#creating-firewall-manager-policy-usage-security-group)
+ [

## Eine AWS Firewall Manager Netzwerk-ACL-Richtlinie erstellen
](#creating-firewall-manager-policy-network-acl)
+ [

## Erstellen einer AWS Firewall Manager Richtlinie für AWS Network Firewall
](#creating-firewall-manager-policy-for-network-firewall)
+ [

## Eine AWS Firewall Manager Richtlinie für die Amazon Route 53 Resolver DNS Firewall erstellen
](#creating-firewall-manager-policy-for-dns-firewall)
+ [

## Eine AWS Firewall Manager Richtlinie für Palo Alto Networks Cloud NGFW erstellen
](#creating-cloud-ngfw-policy)
+ [

## Erstellen einer AWS Firewall Manager Richtlinie für Fortigate Cloud Native Firewall (CNF) as a Service
](#creating-fortigate-cnf-policy)

## Eine AWS Firewall Manager Richtlinie erstellen für AWS WAF
<a name="creating-firewall-manager-policy-for-waf"></a>

In einer Firewall Manager AWS WAF Manager-Richtlinie können Sie verwaltete Regelgruppen verwenden, die AWS von AWS Marketplace Verkäufern für Sie erstellt und verwaltet werden. Sie können auch eigene Regelgruppen erstellen und verwenden. Weitere Informationen zu Regelgruppen finden Sie unter [AWS WAF Regelgruppen](waf-rule-groups.md).

Wenn Sie Ihre eigenen Regelgruppen verwenden möchten, erstellen Sie diese, bevor Sie Ihre Firewall Manager AWS WAF Manager-Richtlinie erstellen. Anleitungen finden Sie unter [Verwaltung Ihrer eigenen Regelgruppen](waf-user-created-rule-groups.md). Um eine einzelne benutzerdefinierte Regel verwenden zu können, müssen Sie eine eigene Regelgruppe definieren, Ihre Regel darin definieren und dann die Regelgruppe in der Richtlinie verwenden.

Informationen zu den AWS WAF Richtlinien von Firewall Manager finden Sie unter[AWS WAF Richtlinien mit Firewall Manager verwenden](waf-policies.md).

**So erstellen Sie eine Firewall Manager Manager-Richtlinie für AWS WAF (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie unter **Policy type (Richtlinientyp)** die Option **AWS WAF**. 

1. Wählen Sie für **Region** eine AWS-Region. Um CloudFront Amazon-Distributionen zu schützen, wählen Sie **Global**.

   Um Ressourcen in mehreren Regionen (außer CloudFront Verteilungen) zu schützen, müssen Sie separate Firewall Manager Manager-Richtlinien für jede Region erstellen.

1. Wählen Sie **Weiter** aus.

1. Geben Sie als **Richtlinienname** einen aussagekräftigen Namen ein. Firewall Manager nimmt den Richtliniennamen in die Namen des Webs auf ACLs , das er verwaltet. Auf die Web-ACL-Namen `FMManagedWebACLV2-` folgten der Richtlinienname, den Sie hier eingeben`-`, und der Zeitstempel für die Erstellung der Web-ACL in UTC-Millisekunden. Beispiel, `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`.

1. Bei der **Körperinspektion von Webanfragen können Sie optional die Körpergrößenbeschränkung** ändern. Informationen zu Größenbeschränkungen bei Karosserieinspektionen, einschließlich Preisüberlegungen, finden Sie [Überlegungen zur Durchführung der Körperinspektion in AWS WAF](web-acl-setting-body-inspection-limit.md) im *AWS WAF Entwicklerhandbuch*.

1. Fügen Sie unter **Richtlinienregeln** die Regelgruppen, die Sie zuerst und zuletzt auswerten AWS WAF möchten, in der Web-ACL hinzu. Um die AWS WAF verwaltete Regelgruppen-Versionsverwaltung zu verwenden, aktivieren Sie die Option Versionierung **aktivieren**. Die einzelnen Kontomanager können zwischen den ersten Regelgruppen und den letzten Regelgruppen Regeln und Regelgruppen hinzufügen. Weitere Informationen zur Verwendung von AWS WAF Regelgruppen in Firewall Manager Manager-Richtlinien für AWS WAF finden Sie unter[AWS WAF Richtlinien mit Firewall Manager verwenden](waf-policies.md).

   (Optional) Um anzupassen, wie Ihre Web-ACL die Regelgruppe verwendet, wählen Sie **Bearbeiten**. Im Folgenden finden Sie allgemeine Anpassungseinstellungen: 
   + Überschreiben Sie bei verwalteten Regelgruppen die Regelaktionen für einige oder alle Regeln. Wenn Sie keine Aktion zum Außerkraftsetzen für eine Regel definieren, verwendet die Auswertung die Regelaktion, die innerhalb der Regelgruppe definiert ist. Informationen zu dieser Option finden Sie [Regelgruppenaktionen überschreiben in AWS WAF](web-acl-rule-group-override-options.md) im *AWS WAF Entwicklerhandbuch*. 
   + Bei einigen verwalteten Regelgruppen müssen Sie zusätzliche Konfigurationen angeben. Weitere Informationen finden Sie in der Dokumentation Ihres Anbieters für verwaltete Regelgruppen. Spezifische Informationen zu den Regelgruppen für AWS verwaltete Regeln finden Sie [AWS Verwaltete Regeln für AWS WAF](aws-managed-rule-groups.md) im *AWS WAF Entwicklerhandbuch*. 

   Wenn Sie mit Ihren Einstellungen fertig sind, wählen Sie **Regel speichern** aus.

1. Stellen Sie die Standardaktion für die Web-ACL ein. Dies ist die Aktion, die AWS WAF ergreift, wenn eine Webanforderung keiner der Regeln in der Web-ACL entspricht. Sie können benutzerdefinierte Header mit der Aktion **Zulassen** oder benutzerdefinierte Antworten mit der Aktion **Blockieren** hinzufügen. Weitere Informationen zu standardmäßigen Web-ACL-Aktionen finden Sie unter [Einstellung der Standardaktion für das Protection Pack (Web-ACL) in AWS WAF](web-acl-default-action.md). Informationen zum Einrichten benutzerdefinierter Webanfragen und -antworten finden Sie unter[Maßgeschneiderte Webanfragen und Antworten in AWS WAF](waf-custom-request-response.md).

1. Wählen Sie für die **Konfiguration der Protokollierung** die Option **Protokollierung aktivieren** aus, um die Protokollierung zu aktivieren. Die Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. Wählen Sie das **Logging-Ziel** und anschließend das von Ihnen konfigurierte Logging-Ziel aus. Sie müssen ein Protokollierungsziel auswählen, dessen Name mit `aws-waf-logs-` beginnt. Informationen zur Konfiguration eines AWS WAF Protokollierungsziels finden Sie unter[AWS WAF Richtlinien mit Firewall Manager verwenden](waf-policies.md).

1. (Optional) Wenn Sie nicht möchten, dass bestimmte Felder und deren Werte in den Protokollen enthalten sind, machen Sie diese Felder unkenntlich. Wählen Sie das Feld aus, das unkenntlich gemacht werden soll, und klicken Sie dann auf **Add (Hinzufügen)**. Wiederholen Sie diesen Vorgang nach Bedarf, um zusätzliche Felder unkenntlich zu machen. Die unkenntlich gemachten Felder werden als `REDACTED` in den Protokollen angezeigt. Wenn Sie beispielsweise das Feld **URI** unkenntlich machen, wird das Feld **URI** in den Protokollen als `REDACTED` angezeigt. 

1. (Optional) Wenn Sie nicht alle Anforderungen an die Protokolle senden möchten, fügen Sie Filterkriterien und -verhalten hinzu. Wählen Sie unter **Filter logs** (Protokolle filtern) für jeden Filter, den Sie anwenden möchten, **Add filter** (Filter hinzufügen) aus. Wählen Sie dann Ihre Filterkriterien und geben Sie an, ob Sie Anforderungen, die den Kriterien entsprechen, beibehalten oder löschen möchten. Wenn Sie mit dem Hinzufügen von Filtern fertig sind, ändern Sie bei Bedarf das **Standardprotokollierungsverhalten**. Weitere Informationen finden Sie unter [Suchen nach Ihren Protection Pack-Einträgen (Web-ACL)](logging-management.md) im *AWS WAF -Entwicklerhandbuch*.

1. Sie können eine **Token-Domänenliste** definieren, um die gemeinsame Nutzung von Token zwischen geschützten Anwendungen zu ermöglichen. Tokens werden von den Challenge Aktionen CAPTCHA und von der Anwendungsintegration verwendet, die Sie implementieren, wenn Sie SDKs die Regelgruppen mit AWS verwalteten Regeln für die Verhinderung von Kontoübernahmen (ATP) und die AWS WAF Bot-Kontrolle bei der AWS WAF Betrugsbekämpfung verwenden. 

   Öffentliche Suffixe sind nicht zulässig. Beispielsweise können Sie `gov.au` oder nicht `co.uk` als Token-Domain verwenden.

    AWS WAF Akzeptiert standardmäßig nur Token für die Domäne der geschützten Ressource. Wenn Sie Tokendomänen zu dieser Liste hinzufügen, AWS WAF akzeptiert Tokens für alle Domänen in der Liste und für die Domäne der zugehörigen Ressource. Weitere Informationen finden Sie unter [AWS WAF Konfiguration der Token-Domänenliste für das Protection Pack (Web-ACL)](waf-tokens-domains.md#waf-tokens-domain-lists) im *AWS WAF -Entwicklerhandbuch*.

   Sie können die CAPTCHA- und **Challenge-Immunitätszeiten** der Web-ACL nur ändern, wenn Sie eine bestehende Web-ACL bearbeiten. Sie finden diese Einstellungen auf der Seite mit den **Details zur Firewall Manager Manager-Richtlinie**. Weitere Informationen zu diesen Einstellungen finden Sie unter [Einstellen der Ablaufzeiten von Zeitstempeln und Token-Immunitätszeiten in AWS WAF](waf-tokens-immunity-times.md). Wenn Sie die Einstellungen für die **Zuordnungskonfiguration**, **CAPTCHA**, **Challenge** oder **Token-Domainliste** in einer vorhandenen Richtlinie aktualisieren, überschreibt Firewall Manager Ihr lokales Web ACLs mit den neuen Werten. Wenn Sie jedoch die Einstellungen für die **Zuordnungskonfiguration**, das **CAPTCHA**, die **Challenge-Liste** oder die **Token-Domainliste** der Richtlinie nicht aktualisieren, bleiben die Werte in Ihrer lokalen Website unverändert. ACLs Informationen zu dieser Option finden Sie [CAPTCHAund Challenge in AWS WAF](waf-captcha-and-challenge.md) im *AWS WAF Entwicklerhandbuch*. 

1. Wählen Sie unter **Web-ACL-Verwaltung** aus, wie Firewall Manager die Erstellung und Bereinigung von Web-ACLS verwaltet. 

   1. Wählen **Sie für Nicht zugeordnetes Web verwalten** aus ACLs, ob Firewall Manager nicht zugeordnetes Web verwaltet. ACLs Mit dieser Option erstellt Firewall Manager nur dann eine Website ACLs für die Konten im Richtlinienbereich, wenn das Internet von mindestens einer Ressource verwendet ACLs wird. Wenn ein Konto in den Richtlinienbereich fällt, erstellt Firewall Manager automatisch eine Web-ACL im Konto, sofern mindestens eine Ressource sie verwendet. 

      Wenn Sie diese Option aktivieren, führt Firewall Manager eine einmalige Bereinigung der nicht verknüpften Websites ACLs in Ihrem Konto durch. Der Bereinigungsprozess kann mehrere Stunden dauern. Wenn eine Ressource den Richtlinienbereich verlässt, nachdem Firewall Manager eine Web-ACL erstellt hat, trennt Firewall Manager die Zuordnung der Ressource von der Web-ACL, bereinigt aber nicht die nicht zugeordnete Web-ACL. Firewall Manager bereinigt nicht verknüpfte Websites nur, ACLs wenn Sie die Verwaltung von nicht verknüpften Websites ACLs in der Richtlinie zum ersten Mal aktivieren.

   1. Geben Sie für die **Web-ACL-Quelle** an, ob alle neuen Websites ACLs für im Geltungsbereich enthaltene Ressourcen erstellt oder bestehende Websites nach Möglichkeit nachgerüstet werden sollen. ACLs Firewall Manager kann Websites nachrüsten ACLs , die sich im Besitz von in den Geltungsbereich fallenden Konten befinden.

      Das Standardverhalten besteht darin, komplett neue Websites zu erstellen. ACLs Wenn Sie diese Option wählen, haben alle von Firewall Manager ACLs verwalteten Websites Namen, die mit beginnen`FMManagedWebACLV2`. Wenn Sie sich dafür entscheiden, ein vorhandenes Web nachzurüsten ACLs, ACLs erhält das nachgerüstete Web seine ursprünglichen Namen und die von Firewall Manager erstellten Websites haben Namen, die mit beginnen. `FMManagedWebACLV2` 

1. Wenn Sie für **Richtlinienaktion** eine Web-ACL für jedes entsprechende Konto innerhalb der Organisation erstellen, die Web-ACL aber noch nicht auf Ressourcen anwenden möchten, wählen Sie **Ressourcen identifizieren, die nicht den Richtlinienregeln entsprechen, aber keine auto Korrektur durchführen und wählen Sie nicht Nicht zugeordnetes** **Web verwalten** aus. ACLs Sie können diese Optionen später ändern.

   Wenn Sie die Richtlinie stattdessen automatisch auf vorhandene Ressourcen im Bereich anwenden möchten, wählen Sie **Auto remediate any noncompliant resources (Alle nicht konformen Ressourcen automatisch korrigieren)** aus. Wenn **„Nicht zugeordnetes Web verwalten**“ deaktiviert ACLs ist, erstellt die Option **Nicht konforme Ressourcen automatisch korrigieren** für jedes entsprechende Konto innerhalb der Organisation eine Web-ACL und ordnet die Web-ACL den Ressourcen in den Konten zu. Wenn **„Nicht verknüpfte Websites verwalten**“ aktiviert ACLs ist, erstellt die Option **Automatische Korrektur aller nicht kompatiblen Ressourcen** eine Web-ACL und ordnet sie nur Konten zu, deren Ressourcen für die Zuordnung zur Web-ACL in Frage kommen.

   Wenn Sie die Option **Nicht konforme Ressourcen automatisch korrigieren** wählen, können Sie auch festlegen, dass bestehende Web-ACL-Zuordnungen aus Ressourcen im Geltungsbereich für das Internet entfernt werden, ACLs die nicht durch eine andere aktive Firewall Manager Manager-Richtlinie verwaltet werden. Wenn Sie diese Option wählen, ordnet Firewall Manager zuerst die Web-ACL der Richtlinie den Ressourcen zu und entfernt dann die vorherigen Zuordnungen. Wenn eine Ressource mit einer anderen Web-ACL verknüpft ist, die von einer anderen aktiven Firewall Manager Manager-Richtlinie verwaltet wird, wirkt sich diese Auswahl nicht auf diese Zuordnung aus. 

1. Wählen Sie **Weiter** aus.

1. Wenn **AWS-Konten diese Richtlinie für gilt,** wählen Sie die Option wie folgt aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügen OUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

1. Wählen Sie unter **Resource type (Ressourcentyp)** die Arten von Ressourcen aus, die Sie schützen möchten.

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie **Weiter** aus.

1. Fügen Sie für **Policy-Tags** alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen. 

   Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen). Im Bereich „**AWS Firewall Manager Richtlinien**“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „**Ausstehend**“ angezeigt und es wird der Status der Einstellung **Automatische Problembehebung** angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status **Pending (Ausstehend)** durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter [Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md)

## Eine AWS Firewall Manager Richtlinie für Classic erstellen AWS WAF
<a name="creating-firewall-manager-policy-for-classic-waf"></a>

**So erstellen Sie eine Firewall Manager Manager-Richtlinie für AWS WAF Classic (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie unter **Policy type (Richtlinientyp)** die Option **AWS WAF Classic** aus. 

1. Wenn Sie die AWS WAF klassische Regelgruppe, die Sie der Richtlinie hinzufügen möchten, bereits erstellt haben, wählen Sie ** AWS Firewall Manager Richtlinie erstellen und vorhandene Regelgruppen hinzufügen** aus. Wenn Sie eine neue Regelgruppe erstellen möchten, wählen Sie **Create a Firewall Manager Policy und fügen Sie eine neue Regelgruppe** hinzu.

1. Wählen Sie für **Region** eine AWS-Region. Um CloudFront Amazon-Ressourcen zu schützen, wählen Sie **Global**.

   Um Ressourcen in mehreren Regionen (außer CloudFront Ressourcen) zu schützen, müssen Sie separate Firewall Manager Manager-Richtlinien für jede Region erstellen.

1. Wählen Sie **Weiter** aus.

1. Wenn Sie eine Regelgruppe erstellen, befolgen Sie die Anweisungen unter [Eine AWS WAF klassische Regelgruppe erstellen](classic-create-rule-group.md). Fahren Sie nach dem Erstellen der Regelgruppe mit den folgenden Schritten fort.

1. Geben Sie den Namen einer Richtlinie ein.

1. Wenn Sie eine vorhandene Regelgruppe hinzufügen, wählen Sie im Dropdownmenü die entsprechende Regelgruppe aus und wählen Sie dann die Option **Add rule group (Regelgruppe hinzufügen)**. 

1. Für eine Richtlinie sind zwei mögliche Aktionen vorhanden: **Action set by rule group** (Aktion durch Regelgruppe festgelegt) und **Count** (Zählen). Wenn Sie die Richtlinie und Regelgruppe testen möchten, legen Sie als Aktion **Count** (Zählen) fest. Diese Aktion setzt jede durch die Regeln in der Regelgruppe festgelegte Aktion zum *Blockieren* außer Kraft. Wenn als Aktion der Richtlinie **Count** (Zählen) festgelegt ist, bedeutet dies, dass solche Anforderungen nur gezählt und nicht blockiert werden. Wenn Sie als Aktion der Richtlinie dagegen **Action set by rule group (Aktion durch Regelgruppe festgelegt)** festlegen, werden Aktionen der Regelgruppenregeln verwendet. Wählen Sie die geeignete Aktion aus.

1. Wählen Sie **Weiter** aus.

1. Wenn **AWS-Konten diese Richtlinie gilt für,** wählen Sie die Option wie folgt aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügen OUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

1. Wählen Sie den Ressourcentyp aus, der geschützt werden soll.

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wenn die Richtlinie automatisch auf vorhandene Richtlinien angewendet werden soll, wählen Sie **Create and apply this policy to existing and new resources** (Diese Richtlinie erstellen und auf vorhandene und neue Ressourcen anwenden).

   Diese Option erstellt eine Web-ACL für alle entsprechenden Konten innerhalb einer AWS -Organisation und ordnet die Web-ACL den angegebenen Ressourcen in den Konten zu. Diese Option wendet die Richtlinie auch auf alle neuen Ressourcen an, die den voranstehenden Kriterien (Ressourcentyp und Tags) entsprechen. Alternativ erstellt Firewall Manager bei Wahl von **Create policy but do not apply the policy to existing or new resources** (Richtlinie erstellen, aber nicht auf vorhandene oder neue Ressourcen anwenden) in jedem entsprechenden Konto innerhalb der Organisation eine Web-ACL, wendet die Web-ACL jedoch nicht auf Ressourcen an. Sie müssen die Richtlinie zu einem späteren Zeitpunkt auf Ressourcen anwenden. Wählen Sie die geeignete Option aus.

1. Unter **Vorhandenes zugeordnetes Web ersetzen** können Sie festlegen ACLs, dass alle Web-ACL-Zuordnungen entfernt werden, die derzeit für Ressourcen innerhalb des Gültigkeitsbereichs definiert sind, und sie dann durch Verknüpfungen zu dem Web ersetzen ACLs, das Sie mit dieser Richtlinie erstellen. Standardmäßig entfernt Firewall Manager vorhandene Web-ACL-Zuordnungen nicht, bevor die neuen hinzugefügt werden. Wenn Sie die vorhandenen Zuordnungen entfernen möchten, wählen Sie diese Option aus. 

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neue Richtlinie. Um Änderungen vorzunehmen, wählen Sie **Edit** (Bearbeiten). Wenn Sie mit der Richtlinie zufrieden sind, wählen Sie **Create and apply Policy** (Richtlinie erstellen und anwenden).

## Erstellen einer AWS Firewall Manager Richtlinie für AWS Shield Advanced
<a name="creating-firewall-manager-policy-for-shield-advanced"></a>

**So erstellen Sie eine Firewall Manager Manager-Richtlinie für Shield Advanced (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie als **Richtlinientyp** **Shield Advanced** aus. 

   Um eine Shield Advanced-Richtlinie zu erstellen, müssen Sie Shield Advanced abonniert haben. Wenn Sie kein Abonnement eingerichtet haben, werden Sie dazu aufgefordert. [Informationen zu den Kosten für ein Abonnement finden Sie unter AWS Shield Advanced Preise.](https://aws.amazon.com/shield/pricing/) 

1. Wählen Sie für **Region** eine AWS-Region. Um CloudFront Amazon-Distributionen zu schützen, wählen Sie **Global**.

   Für andere Regionen als **Global** müssen Sie zum Schutz von Ressourcen in mehreren Regionen eine separate Firewall Manager Manager-Richtlinie für jede Region erstellen.

1. Wählen Sie **Weiter** aus.

1. Geben Sie **unter Name** einen aussagekräftigen Namen ein.

1. Nur für Richtlinien für **globale** Regionen können Sie wählen, ob Sie die automatische Abwehr von Shield Advanced auf Anwendungsebene DDo S verwalten möchten. Informationen zu dieser Shield Advanced-Funktion finden Sie unter[Automatisierung der Risikominderung auf Anwendungsebene DDo S mit Shield Advanced](ddos-automatic-app-layer-response.md).

   Sie können die automatische Schadensbegrenzung aktivieren oder deaktivieren oder sie ignorieren. Wenn Sie es ignorieren, verwaltet Firewall Manager die automatische Schadensbegrenzung für die Shield Advanced-Schutzmaßnahmen überhaupt nicht. Weitere Informationen zu diesen Richtlinienoptionen finden Sie unter. [Verwenden der automatischen Abwehr von Anwendungsschicht DDo S mit erweiterten Firewall Manager Shield-Richtlinien](shield-policies-auto-app-layer-mitigation.md)

1. Wenn Sie möchten, dass Firewall Manager nicht zugeordnetes **Web verwaltet, aktivieren Sie unter Web-ACL-Verwaltung** die ACLs Option **Nicht zugeordnetes Web verwalten**. ACLs Mit dieser Option erstellt Firewall Manager nur dann Websites ACLs in den Konten innerhalb des Richtlinienbereichs, wenn das Internet von mindestens einer Ressource verwendet ACLs wird. Wenn ein Konto zu irgendeinem Zeitpunkt in den Geltungsbereich der Richtlinie fällt, erstellt Firewall Manager automatisch eine Web-ACL in dem Konto, sofern mindestens eine Ressource die Web-ACL verwendet. Nach der Aktivierung dieser Option führt Firewall Manager eine einmalige Bereinigung der nicht verknüpften Websites ACLs in Ihrem Konto durch. Der Bereinigungsprozess kann mehrere Stunden dauern. Wenn eine Ressource den Richtlinienbereich verlässt, nachdem Firewall Manager eine Web-ACL erstellt hat, trennt Firewall Manager die Ressource nicht von der Web-ACL. Um die Web-ACL in die einmalige Bereinigung einzubeziehen, müssen Sie zuerst die Ressourcen manuell von der Web-ACL trennen und dann die Option Nicht zugeordnetes Web **verwalten** aktivieren. ACLs

1. Für **Richtlinienmaßnahmen** empfehlen wir, die Richtlinie mit der Option zu erstellen, dass nicht konforme Ressourcen nicht automatisch korrigiert werden. Wenn Sie die automatische Problembehebung deaktivieren, können Sie die Auswirkungen Ihrer neuen Richtlinie beurteilen, bevor Sie sie anwenden. Wenn Sie davon überzeugt sind, dass die Änderungen Ihren Wünschen entsprechen, bearbeiten Sie die Richtlinie und ändern Sie die Richtlinienaktion, um die automatische Korrektur zu aktivieren. 

   Wenn Sie die Richtlinie stattdessen automatisch auf vorhandene Ressourcen im Bereich anwenden möchten, wählen Sie **Auto remediate any noncompliant resources (Alle nicht konformen Ressourcen automatisch korrigieren)** aus. Diese Option wendet Shield Advanced-Schutzmaßnahmen für jedes entsprechende Konto innerhalb der AWS Organisation und jede entsprechende Ressource in den Konten an.

   Wenn Sie bei Richtlinien für **globale** Regionen die Option **Automatische Korrektur aller nicht konformen Ressourcen** wählen, können Sie auch festlegen, dass Firewall Manager alle vorhandenen AWS WAF klassischen Web-ACL-Zuordnungen automatisch durch neue Webzuordnungen ersetzt ACLs , die mit der neuesten Version von AWS WAF (v2) erstellt wurden. Wenn Sie diese Option wählen, entfernt Firewall Manager die Verknüpfungen mit der früheren Version Web ACLs und erstellt neue Verknüpfungen mit der neuesten Version Web ACLs, nachdem ACLs in allen im Geltungsbereich befindlichen Konten, die sie noch nicht für die Richtlinie haben, ein neues leeres Web erstellt wurde. Weitere Informationen zu dieser Option finden Sie unter [Ersetzen Sie AWS WAF Classic Web durch die neueste Web-Version ACLs ACLs](shield-policies-auto-app-layer-mitigation.md#shield-policies-auto-app-layer-update-waf-version).

1. Wählen Sie **Weiter** aus.

1. Wenn **AWS-Konten diese Richtlinie für gilt,** wählen Sie die Option wie folgt aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügen OUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

1. Wählen Sie den Ressourcentyp aus, der geschützt werden soll.

   Firewall Manager unterstützt Amazon Route 53 oder nicht AWS Global Accelerator. Wenn Sie Shield Advanced verwenden müssen, um Ressourcen vor diesen Diensten zu schützen, können Sie keine Firewall Manager Manager-Richtlinie verwenden. Folgen Sie stattdessen den Anweisungen von Shield Advanced unter[AWS Ressourcen AWS Shield Advanced schützen](configure-new-protection.md).

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie **Weiter** aus. 

1. Fügen Sie für **Policy-Tags** alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen. 

   Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen). Im Bereich „**AWS Firewall Manager Richtlinien**“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „**Ausstehend**“ angezeigt und es wird der Status der Einstellung **Automatische Problembehebung** angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status **Pending (Ausstehend)** durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter [Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md)

## Erstellen einer AWS Firewall Manager gemeinsamen Sicherheitsgruppenrichtlinie
<a name="creating-firewall-manager-policy-common-security-group"></a>

Informationen zur Funktionsweise gemeinsamer Sicherheitsgruppenrichtlinien finden Sie unter [Allgemeine Sicherheitsgruppenrichtlinien mit Firewall Manager verwenden](security-group-policies-common.md).

Um eine gemeinsame Sicherheitsgruppenrichtlinie zu erstellen, muss in Ihrem Firewall Manager Manager-Administratorkonto bereits eine Sicherheitsgruppe erstellt worden sein, die Sie als primäre Gruppe für Ihre Richtlinie verwenden möchten. Sie können Sicherheitsgruppen über Amazon Virtual Private Cloud (Amazon VPC) oder Amazon Elastic Compute Cloud (Amazon EC2) verwalten. Weitere Informationen finden Sie unter [Arbeiten mit Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) im *Amazon VPC-Benutzerhandbuch*. 

**So erstellen Sie eine gemeinsame Sicherheitsgruppenrichtlinie (Konsole):**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie für **Policy type (Richtlinientyp)** die Option **Security group (Sicherheitsgruppe)**. 

1. Wählen Sie für **Security group policy type (Sicherheitsgruppenrichtlinientyp)** die Option **Common security groups (Gemeinsame Sicherheitsgruppen)** aus.

1. Wählen Sie für **Region** eine AWS-Region. 

1. Wählen Sie **Weiter** aus.

1. Geben Sie unter **Policy name (Richtlinienname)** einen Anzeigenamen ein. 

1. Führen Sie für **Policy rules (Richtlinienregeln)**, die folgenden Schritte aus: 

   1. Wählen Sie unter der Option Regeln die Einschränkungen aus, die Sie auf die Sicherheitsgruppenregeln und die Ressourcen anwenden möchten, die innerhalb des Richtlinienbereichs liegen. Wenn Sie **Tags aus der primären Sicherheitsgruppe an die mit dieser Richtlinie erstellten Sicherheitsgruppen verteilen** wählen, müssen Sie auch **Identifizieren und melden auswählen, wenn die mit dieser Richtlinie erstellten Sicherheitsgruppen nicht mehr konform** sind.
**Wichtig**  
Firewall Manager verteilt keine Systemtags, die von AWS Diensten hinzugefügt wurden, an die Replikat-Sicherheitsgruppen. System-Tags beginnen mit dem Präfix `aws:`. Darüber hinaus aktualisiert Firewall Manager die Tags vorhandener Sicherheitsgruppen nicht und erstellt auch keine neuen Sicherheitsgruppen, wenn die Richtlinie Tags enthält, die mit der Tag-Richtlinie der Organisation in Konflikt stehen. Informationen zu Tag-Richtlinien finden Sie unter [Tag-Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) im AWS Organizations Benutzerhandbuch.

      Wenn Sie die Option **Sicherheitsgruppenreferenzen von der primären Sicherheitsgruppe an die mit dieser Richtlinie erstellten Sicherheitsgruppen verteilen** wählen, verteilt Firewall Manager die Sicherheitsgruppenreferenzen nur, wenn sie über eine aktive Peering-Verbindung in Amazon VPC verfügen. Weitere Informationen zu dieser Option finden Sie unter [Allgemeine Sicherheitsgruppenrichtlinien mit Firewall Manager verwenden](security-group-policies-common.md).

   1. Wählen Sie für **Primäre Sicherheitsgruppen** die Option **Sicherheitsgruppen hinzufügen** und wählen Sie dann die Sicherheitsgruppen aus, die Sie verwenden möchten. Firewall Manager füllt die Liste der Sicherheitsgruppen aus allen Amazon VPC-Instances im Firewall Manager Manager-Administratorkonto auf. 

      Standardmäßig beträgt die maximale Anzahl primärer Sicherheitsgruppen pro Richtlinie 3. Weitere Informationen zu dieser Einstellung finden Sie unter [AWS Firewall Manager Kontingente](fms-limits.md).

   1. Für **Policy action (Richtlinienaktion)** empfehlen wir, die Richtlinie mit der Option zu erstellen, die nicht automatisch korrigiert wird. Auf diese Weise können Sie die Auswirkungen Ihrer neuen Richtlinie prüfen, bevor Sie sie anwenden. Wenn Sie sich sicher sind, dass die Änderungen Ihren Wünschen entsprechen, bearbeiten Sie die Richtlinie und ändern Sie die Richtlinienaktion, um die automatische Korrektur nicht konformer Ressourcen zu aktivieren. 

1. Wählen Sie **Weiter** aus.

1. Wenn **AWS-Konten diese Richtlinie für gilt,** wählen Sie die Option wie folgt aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügen OUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

1. Wählen Sie unter **Resource type (Ressourcentyp)** die Arten von Ressourcen aus, die Sie schützen möchten. 

   Für den Ressourcentyp **EC2-Instance** können Sie wählen, ob Sie alle Amazon EC2 EC2-Instances oder nur Instances, die nur über das standardmäßige, primäre elastic network interface (ENI) verfügen, standardisieren möchten. Bei letzterer Option behebt Firewall Manager keine Instanzen mit zusätzlichen ENI-Anhängen. Wenn die automatische Wiederherstellung aktiviert ist, markiert Firewall Manager stattdessen nur den Konformitätsstatus dieser EC2-Instances und wendet keine Behebungsmaßnahmen an. Weitere Vorbehalte und Einschränkungen für den Amazon EC2 EC2-Ressourcentyp finden Sie unter. [Vorbehalte und Einschränkungen der Sicherheitsgruppenrichtlinien](security-group-policies.md#security-groups-limitations)

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wenn Sie die Richtlinie für **gemeinsam genutzte VPC-Ressourcen** zusätzlich zu den Ressourcen anwenden möchten VPCs, die den VPCs Konten gehören, wählen Sie **Ressourcen aus gemeinsam genutzten VPCs Ressourcen einbeziehen aus**. 

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die Richtlinieneinstellungen, um sicherzustellen, dass sie Ihren Wünschen entsprechen, und wählen Sie dann **Create policy (Richtlinie erstellen)**.

Firewall Manager erstellt ein Replikat der primären Sicherheitsgruppe in jeder Amazon VPC-Instance, die innerhalb der im Geltungsbereich enthaltenen Konten enthalten ist, bis zu dem unterstützten maximalen Amazon VPC-Kontingent pro Konto. Firewall Manager ordnet die Replikat-Sicherheitsgruppen den Ressourcen zu, die innerhalb des Richtlinienbereichs für jedes in den Geltungsbereich fallende Konto liegen. Weitere Information zur Funktionsweise dieser Richtlinie finden Sie unter [Allgemeine Sicherheitsgruppenrichtlinien mit Firewall Manager verwenden](security-group-policies-common.md).

## Eine Sicherheitsgruppenrichtlinie für die AWS Firewall Manager Inhaltsüberwachung erstellen
<a name="creating-firewall-manager-policy-audit-security-group"></a>

Informationen zur Funktionsweise der Inhaltsprüfungssicherheitsgruppenrichtlinie finden Sie unter [Verwenden von Inhaltsüberwachungs-Sicherheitsgruppenrichtlinien mit Firewall Manager](security-group-policies-audit.md). 

Für einige Einstellungen der Inhaltsüberwachungsrichtlinie müssen Sie eine Überwachungssicherheitsgruppe angeben, die Firewall Manager als Vorlage verwenden kann. Möglicherweise haben Sie eine Audit-Sicherheitsgruppe, die alle Regeln enthält, die Sie in keiner Sicherheitsgruppe zulassen. Sie müssen diese Audit-Sicherheitsgruppen mit Ihrem Firewall Manager Manager-Administratorkonto erstellen, bevor Sie sie in Ihrer Richtlinie verwenden können. Sie können Sicherheitsgruppen über Amazon Virtual Private Cloud (Amazon VPC) oder Amazon Elastic Compute Cloud (Amazon EC2) verwalten. Weitere Informationen finden Sie unter [Arbeiten mit Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) im *Amazon VPC-Benutzerhandbuch*. 

**So erstellen Sie eine Inhaltsprüfungssicherheitsgruppenrichtlinie (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie für **Policy type (Richtlinientyp)** die Option **Security group (Sicherheitsgruppe)**. 

1. Wählen Sie für **Security group policy type (Sicherheitsgruppenrichtlinientyp)** die Option **Auditing and enforcement of security group rules (Überwachung und Durchsetzung von Sicherheitsgruppenregeln)**.

1. Wählen Sie für **Region** eine AWS-Region. 

1. Wählen Sie **Weiter** aus.

1. Geben Sie unter **Policy name (Richtlinienname)** einen Anzeigenamen ein. 

1. Wählen Sie **unter Richtlinienregeln** die Option für verwaltete oder benutzerdefinierte Richtlinienregeln aus, die Sie verwenden möchten. 

   1. Gehen Sie unter „**Regeln für verwaltete Überwachungsrichtlinien konfigurieren**“ wie folgt vor: 

      1. Wählen **Sie unter Sicherheitsgruppenregeln für die Überwachung konfigurieren** den Typ der Sicherheitsgruppenregeln aus, für die Ihre Überwachungsrichtlinie gelten soll. 

      1. Wenn Sie beispielsweise Regeln auf der Grundlage der Protokolle, Ports und CIDR-Bereichseinstellungen in Ihren Sicherheitsgruppen **überprüfen möchten, wählen Sie Übermäßig zulässige Sicherheitsgruppenregeln** überwachen und wählen Sie die gewünschten Optionen aus. 

         Für die **Auswahlregel lässt den gesamten Datenverkehr** zu, können Sie eine benutzerdefinierte Anwendungsliste angeben, um die Anwendungen festzulegen, die Sie überwachen möchten. Informationen zu benutzerdefinierten Anwendungslisten und deren Verwendung in Ihrer Richtlinie finden Sie unter [Verwaltete Listen verwenden](working-with-managed-lists.md) und[Verwenden von verwalteten Listen](working-with-managed-lists.md#using-managed-lists).

         Für Auswahlen, die Protokolllisten verwenden, können Sie vorhandene Listen verwenden und neue Listen erstellen. Informationen zu Protokolllisten und deren Verwendung in Ihrer Richtlinie finden Sie unter [Verwaltete Listen verwenden](working-with-managed-lists.md) und[Verwenden von verwalteten Listen](working-with-managed-lists.md#using-managed-lists).

      1. Wenn Sie hochriskante Anwendungen auf der Grundlage ihres Zugriffs auf reservierte oder nicht reservierte CIDR-Bereiche prüfen möchten, wählen Sie **Anwendungen mit hohem Risiko prüfen** und wählen Sie die gewünschten Optionen aus. 

         Die folgenden Auswahlmöglichkeiten schließen sich gegenseitig aus: **Anwendungen, die nur auf reservierte CIDR-Bereiche zugreifen können, und Anwendungen, denen der Zugriff auf nicht reservierte CIDR-Bereiche** **gestattet ist**. Sie können in jeder Richtlinie höchstens eine davon auswählen.

         Für Auswahlen, die Anwendungslisten verwenden, können Sie vorhandene Listen verwenden und neue Listen erstellen. Informationen zu Anwendungslisten und deren Verwendung in Ihrer Richtlinie finden Sie unter [Verwaltete Listen verwenden](working-with-managed-lists.md) und[Verwenden von verwalteten Listen](working-with-managed-lists.md#using-managed-lists).

      1. Verwenden Sie die Einstellungen für **Außerkraftsetzungen**, um andere Einstellungen in der Richtlinie explizit zu überschreiben. Sie können festlegen, dass bestimmte Sicherheitsgruppenregeln immer zugelassen oder verweigert werden, unabhängig davon, ob sie den anderen Optionen entsprechen, die Sie für die Richtlinie festgelegt haben. 

         Für diese Option geben Sie eine Audit-Sicherheitsgruppe als Vorlage für zulässige Regeln oder verweigerte Regeln an. Wählen Sie für **Überwachungssicherheitsgruppen** die Option **Auditsicherheitsgruppen hinzufügen** und wählen Sie dann die Sicherheitsgruppe aus, die Sie verwenden möchten. Firewall Manager füllt die Liste der Audit-Sicherheitsgruppen aus allen Amazon VPC-Instances im Firewall Manager Manager-Administratorkonto aus. Das standardmäßige Höchstkontingent für die Anzahl der Überwachungssicherheitsgruppen für eine Richtlinie ist eine. Informationen zum Erhöhen des Kontingents finden Sie unter [AWS Firewall Manager Kontingente](fms-limits.md).

   1. Gehen Sie wie folgt vor, um **benutzerdefinierte Richtlinienregeln zu konfigurieren**: 

      1. Wählen Sie aus den Regeloptionen aus, ob nur die Regeln zugelassen werden sollen, die in den Prüfungssicherheitsgruppen definiert sind, oder ob alle Regeln abgelehnt werden sollen. Weitere Informationen zu dieser Auswahl finden Sie unter [Verwenden von Inhaltsüberwachungs-Sicherheitsgruppenrichtlinien mit Firewall Manager](security-group-policies-audit.md). 

      1. Wählen Sie für **Audit-Sicherheitsgruppen** die Option **Audit-Sicherheitsgruppen hinzufügen** und wählen Sie dann die Sicherheitsgruppe aus, die Sie verwenden möchten. Firewall Manager füllt die Liste der Audit-Sicherheitsgruppen aus allen Amazon VPC-Instances im Firewall Manager Manager-Administratorkonto aus. Das standardmäßige Höchstkontingent für die Anzahl der Überwachungssicherheitsgruppen für eine Richtlinie ist eine. Informationen zum Erhöhen des Kontingents finden Sie unter [AWS Firewall Manager Kontingente](fms-limits.md).

      1. Für **Policy action (Richtlinienaktion)** müssen Sie die Richtlinie mit der Option erstellen, die nicht automatisch korrigiert wird. Auf diese Weise können Sie die Auswirkungen Ihrer neuen Richtlinie prüfen, bevor Sie sie anwenden. Wenn Sie sich sicher sind, dass die Änderungen Ihren Wünschen entsprechen, bearbeiten Sie die Richtlinie und ändern Sie die Richtlinienaktion, um die automatische Korrektur nicht konformer Ressourcen zu aktivieren. 

1. Wählen Sie **Weiter** aus.

1. Wenn **AWS-Konten diese Richtlinie gilt für**, wählen Sie die Option wie folgt aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügen OUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

1. Wählen Sie unter **Resource type (Ressourcentyp)** die Ressourcentypen aus, die Sie schützen möchten.

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die Richtlinieneinstellungen, um sicherzustellen, dass sie Ihren Wünschen entsprechen, und wählen Sie dann **Create policy (Richtlinie erstellen)**.

Firewall Manager vergleicht die Audit-Sicherheitsgruppe gemäß Ihren Richtlinienregeleinstellungen mit den im Geltungsbereich enthaltenen Sicherheitsgruppen in Ihrer AWS Organisation. Sie können den Status der Richtlinie in der AWS Firewall Manager Richtlinienkonsole überprüfen. Nachdem die Richtlinie erstellt wurde, können Sie sie bearbeiten und die automatische Standardisierung aktivieren, um die Prüfungssicherheitsgruppenrichtlinie in Kraft zu setzen. Weitere Information zur Funktionsweise dieser Richtlinie finden Sie unter [Verwenden von Inhaltsüberwachungs-Sicherheitsgruppenrichtlinien mit Firewall Manager](security-group-policies-audit.md).

## Eine Sicherheitsgruppenrichtlinie für die AWS Firewall Manager Nutzungsüberwachung erstellen
<a name="creating-firewall-manager-policy-usage-security-group"></a>

Weitere Informationen zur Funktionsweise von Nutzungsprüfungssicherheitsgruppenrichtlinien finden Sie unter [Verwenden von Sicherheitsgruppenrichtlinien zur Nutzungsüberwachung mit Firewall Manager](security-group-policies-usage.md).

**So erstellen Sie eine Nutzungsprüfungssicherheitsgruppenrichtlinie (Konsole):**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie für **Policy type (Richtlinientyp)** die Option **Security group (Sicherheitsgruppe)**. 

1. Wählen Sie als **Gruppenrichtlinientyp** die Option **Überwachung und Säuberung nicht zugeordneter und redundanter Sicherheitsgruppen** aus.

1. Wählen Sie für **Region** eine aus. AWS-Region

1. Wählen Sie **Weiter** aus.

1. Geben Sie unter **Policy name (Richtlinienname)** einen Anzeigenamen ein. 

1. Wählen Sie für **Policy rules (Richtlinienregeln)** eine oder beide der verfügbaren Optionen aus. 
   + Wenn Sie die Option **Sicherheitsgruppen innerhalb dieses Richtlinienbereichs müssen von mindestens einer Ressource verwendet werden** wählen, entfernt Firewall Manager alle Sicherheitsgruppen, die er für unbenutzt hält. Wenn diese Regel aktiviert ist, führt Firewall Manager sie zuletzt aus, wenn Sie die Richtlinie speichern.

     Einzelheiten dazu, wie Firewall Manager die Nutzung und den Zeitpunkt der Behebung bestimmt, finden Sie unter[Verwenden von Sicherheitsgruppenrichtlinien zur Nutzungsüberwachung mit Firewall Manager](security-group-policies-usage.md).
**Anmerkung**  
Wenn Sie diesen Sicherheits-Gruppenrichtlinientyp „Nutzungsüberwachung“ verwenden, vermeiden Sie es, innerhalb kurzer Zeit mehrere Änderungen am Zuordnungsstatus der in den Geltungsbereich fallenden Sicherheitsgruppen vorzunehmen. Dies kann dazu führen, dass Firewall Manager entsprechende Ereignisse verpasst. 

     Standardmäßig betrachtet Firewall Manager Sicherheitsgruppen als nicht konform mit dieser Richtlinienregel, sobald sie nicht verwendet werden. Sie können optional eine Anzahl von Minuten angeben, für die eine Sicherheitsgruppe ungenutzt bestehen kann, bevor sie als nicht konform eingestuft wird, nämlich bis zu 525.600 Minuten (365 Tage). Sie können diese Einstellung verwenden, um sich Zeit zu nehmen, um neue Sicherheitsgruppen Ressourcen zuzuordnen. 
**Wichtig**  
Wenn Sie eine andere Anzahl von Minuten als den Standardwert Null angeben, müssen Sie indirekte Beziehungen in aktivieren AWS Config. Andernfalls funktionieren Ihre Sicherheitsgruppenrichtlinien für die Nutzungsüberwachung nicht wie vorgesehen. Informationen zu indirekten Beziehungen finden Sie unter [Indirekte Beziehungen AWS Config im AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/faq.html#faq-2) *Entwicklerhandbuch*. AWS Config
   + Wenn Sie die Option **Sicherheitsgruppen innerhalb dieses Richtlinienbereichs müssen eindeutig sein** wählen, konsolidiert Firewall Manager redundante Sicherheitsgruppen, sodass jeder Ressource nur eine zugeordnet ist. Wenn Sie diese Option wählen, führt Firewall Manager sie zuerst aus, wenn Sie die Richtlinie speichern. 

1. Für **Policy action (Richtlinienaktion)** empfehlen wir, die Richtlinie mit der Option zu erstellen, die nicht automatisch korrigiert wird. Auf diese Weise können Sie die Auswirkungen Ihrer neuen Richtlinie prüfen, bevor Sie sie anwenden. Wenn Sie sich sicher sind, dass die Änderungen Ihren Wünschen entsprechen, bearbeiten Sie die Richtlinie und ändern Sie die Richtlinienaktion, um die automatische Korrektur nicht konformer Ressourcen zu aktivieren. 

1. Wählen Sie **Weiter** aus.

1. Wenn **AWS-Konten diese Richtlinie für gilt,** wählen Sie die Option wie folgt aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügen OUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie **Weiter** aus.

1. Wenn Sie das Firewall Manager-Administratorkonto nicht aus dem Richtlinienbereich ausgeschlossen haben, werden Sie von Firewall Manager dazu aufgefordert. Dadurch bleiben die Sicherheitsgruppen im Firewall Manager Manager-Administratorkonto, das Sie für allgemeine Sicherheitsgruppenrichtlinien und Überwachungsrichtlinien verwenden, unter Ihrer manuellen Kontrolle. Wählen Sie in diesem Dialog die gewünschte Option aus.

1. Überprüfen Sie die Richtlinieneinstellungen, um sicherzustellen, dass sie Ihren Wünschen entsprechen, und wählen Sie dann **Create policy (Richtlinie erstellen)**.

Wenn Sie sich dafür entschieden haben, eindeutige Sicherheitsgruppen vorzuschreiben, sucht Firewall Manager in jeder Amazon VPC-Instance im Geltungsbereich nach redundanten Sicherheitsgruppen. Wenn Sie dann festlegen, dass jede Sicherheitsgruppe von mindestens einer Ressource verwendet werden muss, sucht Firewall Manager nach Sicherheitsgruppen, die für die in der Regel angegebenen Minuten ungenutzt geblieben sind. Sie können den Status der Richtlinie in der AWS Firewall Manager Richtlinienkonsole überprüfen. Weitere Information zur Funktionsweise dieser Richtlinie finden Sie unter [Verwenden von Sicherheitsgruppenrichtlinien zur Nutzungsüberwachung mit Firewall Manager](security-group-policies-usage.md).

## Eine AWS Firewall Manager Netzwerk-ACL-Richtlinie erstellen
<a name="creating-firewall-manager-policy-network-acl"></a>

Informationen zur Funktionsweise von Netzwerk-ACL-Richtlinien finden Sie unter[Netzwerk-ACL-Richtlinien](network-acl-policies.md).

Um eine Netzwerk-ACL-Richtlinie zu erstellen, müssen Sie wissen, wie Sie eine Netzwerk-ACL für die Verwendung mit Ihren Amazon VPC-Subnetzen definieren. Weitere Informationen finden Sie unter [Steuern des Datenverkehrs zu Subnetzen über das Netzwerk ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) und [Arbeiten mit dem Netzwerk ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) im *Amazon VPC-Benutzerhandbuch*. 

**So erstellen Sie eine Netzwerk-ACL-Richtlinie (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie als **Richtlinientyp** die Option **Network ACL** aus. 

1. Wählen Sie für **Region** eine AWS-Region. 

1. Wählen Sie **Weiter** aus.

1. Geben Sie als **Richtlinienname** einen aussagekräftigen Namen ein. 

1. Definieren Sie für **Richtlinienregeln** die Regeln, die Sie immer in dem Netzwerk ausführen möchten ACLs , das Firewall Manager für Sie verwaltet. Das Netzwerk ACLs überwacht und verarbeitet eingehenden und ausgehenden Datenverkehr. Daher definieren Sie in Ihrer Richtlinie die Regeln für beide Richtungen. 

   Für beide Richtungen definieren Sie Regeln, die immer zuerst ausgeführt werden sollen, und Regeln, die Sie immer zuletzt ausführen möchten. In dem Netzwerk ACLs , das Firewall Manager verwaltet, können Kontoinhaber benutzerdefinierte Regeln definieren, die zwischen diesen ersten und letzten Regeln ausgeführt werden. 

1. Wenn Sie **unter Richtlinienaktion** nicht konforme Subnetze und Netzwerke identifizieren möchten ACLs, aber noch keine Korrekturmaßnahmen ergreifen möchten, wählen Sie **Ressourcen identifizieren, die nicht den Richtlinienregeln entsprechen, aber keine** auto Korrektur durchführen aus. Sie können diese Optionen später ändern.

   Wenn Sie die Richtlinie stattdessen automatisch auf bestehende Subnetze im Geltungsbereich anwenden möchten, wählen Sie **Automatische Korrektur aller nicht konformen Ressourcen**. Mit dieser Option geben Sie auch an, ob die Behebung erzwungen werden soll, wenn das Verhalten der Richtlinienregeln bei der Verarbeitung des Datenverkehrs mit benutzerdefinierten Regeln in der Netzwerk-ACL kollidiert. Unabhängig davon, ob Sie die Behebung erzwingen, meldet Firewall Manager widersprüchliche Regeln bei seinen Compliance-Verstößen. 

1. Wählen Sie **Weiter** aus.

1. Wenn **AWS-Konten diese Richtlinie für gilt**, wählen Sie die Option wie folgt aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf andere, neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügen OUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

1. Für den **Ressourcentyp** ist die Einstellung auf **Subnetze** festgelegt. 

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die Richtlinieneinstellungen, um sicherzustellen, dass sie Ihren Wünschen entsprechen, und wählen Sie dann **Create policy (Richtlinie erstellen)**.

Firewall Manager erstellt die Richtlinie und beginnt mit der Überwachung und Verwaltung des integrierten Netzwerks ACLs gemäß Ihren Einstellungen. Weitere Information zur Funktionsweise dieser Richtlinie finden Sie unter [Netzwerk-ACL-Richtlinien](network-acl-policies.md).

## Erstellen einer AWS Firewall Manager Richtlinie für AWS Network Firewall
<a name="creating-firewall-manager-policy-for-network-firewall"></a>

In einer Firewall Manager Manager-Netzwerk-Firewall-Richtlinie verwenden Sie Regelgruppen, in denen Sie verwalten AWS Network Firewall. Informationen zur Verwaltung Ihrer Regelgruppen finden Sie unter [AWS Network Firewall Regelgruppen](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html) im *Network Firewall Developer Guide*.

Informationen zu den Netzwerk-Firewall-Richtlinien von Firewall Manager finden Sie unter[AWS Network Firewall Richtlinien im Firewall Manager verwenden](network-firewall-policies.md).

**So erstellen Sie eine Firewall Manager Manager-Richtlinie für AWS Network Firewall (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie unter **Policy type (Richtlinientyp)** die Option **AWS Network Firewall**.

1. Wählen Sie unter **Firewall-Management-Typ** aus, wie Firewall Manager die Firewalls der Richtlinie verwalten soll. Wählen Sie aus den folgenden Optionen aus:
   + **Verteilt** — Firewall Manager erstellt und verwaltet Firewall-Endpunkte in jeder VPC, die im Richtlinienbereich enthalten sind.
   +  **Zentralisiert** — Firewall Manager erstellt und verwaltet Endpoints in einer einzigen Inspektions-VPC.
   + **Importieren vorhandener Firewalls** — Firewall Manager importiert vorhandene Firewalls mithilfe von Ressourcensätzen aus der Network Firewall. Informationen zu Ressourcensätzen finden Sie unter. [Gruppieren Sie Ihre Ressourcen in Firewall Manager](fms-resource-sets.md)

1. Wählen Sie für **Region** eine AWS-Region. Um Ressourcen in mehreren Regionen zu schützen, müssen Sie für jede Region separate Richtlinien erstellen.

1. Wählen Sie **Weiter** aus.

1. Geben Sie als **Richtlinienname** einen aussagekräftigen Namen ein. Firewall Manager nimmt den Richtliniennamen in die Namen der Netzwerk-Firewall-Firewalls und der Firewall-Richtlinien auf, die er erstellt. 

1. Konfigurieren Sie in der **AWS Network Firewall Richtlinienkonfiguration** die Firewall-Richtlinie wie in der Network Firewall. Fügen Sie Ihre statusfreien und statusbehafteten Regelgruppen hinzu und geben Sie die Standardaktionen der Richtlinie an. Sie können optional die Reihenfolge der Statusregelauswertung und die Standardaktionen der Richtlinie sowie die Protokollierungskonfiguration festlegen. Informationen zur Verwaltung von Firewall-Richtlinien für [AWS Network Firewall Netzwerkfirewalls finden Sie unter Firewallrichtlinien](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html) im *AWS Network Firewall Entwicklerhandbuch*.

   Wenn Sie die Firewall Manager-Netzwerk-Firewall-Richtlinie erstellen, erstellt Firewall Manager Firewall-Richtlinien für die Konten, die in den Geltungsbereich fallen. Einzelne Kontomanager können Regelgruppen zu den Firewall-Richtlinien hinzufügen, aber sie können die Konfiguration, die Sie hier angeben, nicht ändern.

1. Wählen Sie **Weiter** aus.

1. Führen Sie je nach dem **Firewall-Verwaltungstyp**, den Sie im vorherigen Schritt ausgewählt haben, einen der folgenden Schritte aus:
   + Wenn Sie einen **verteilten** Firewall-Managementtyp verwenden, wählen Sie in der **AWS Firewall Manager Endpunktkonfiguration** unter **Standort des Firewall-Endpunkts** eine der folgenden Optionen aus:
     + **Benutzerdefinierte Endpunktkonfiguration** — Firewall Manager erstellt Firewalls für jede VPC innerhalb des Richtlinienbereichs in den von Ihnen angegebenen Availability Zones. Jede Firewall enthält mindestens einen Firewall-Endpunkt. 
       + Wählen Sie unter **Availability Zones** aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem **Namen der Availability Zone** oder nach der **Availability Zone ID** auswählen.
       + Wenn Sie die CIDR-Blöcke für Firewall Manager zur Verwendung für Firewall-Subnetze in Ihrem bereitstellen möchtenVPCs, müssen sie alle /28 CIDR-Blöcke sein. Geben Sie einen Block pro Zeile ein. Wenn Sie diese weglassen, wählt Firewall Manager IP-Adressen für Sie aus den aus, die in der VPCs verfügbar sind.
**Anmerkung**  
Die automatische Korrektur erfolgt automatisch für AWS Firewall Manager Netzwerk-Firewall-Richtlinien, sodass Sie hier keine Option sehen, die auto Korrektur abzulehnen.
     + **Automatische Endpunktkonfiguration** — Firewall Manager erstellt automatisch Firewall-Endpunkte in den Availability Zones mit öffentlichen Subnetzen in Ihrer VPC.
       + Geben Sie für die Konfiguration der **Firewall-Endpunkte** an, wie die Firewall-Endpunkte von Firewall Manager verwaltet werden sollen. Wir empfehlen die Verwendung mehrerer Endpunkte für eine hohe Verfügbarkeit.
   + Wenn Sie einen **zentralen** Firewall-Managementtyp verwenden, geben Sie in der **AWS Firewall Manager Endpunktkonfiguration** unter **Inspektion-VPC-Konfiguration** die AWS Konto-ID des Besitzers der Inspektion-VPC und die VPC-ID der Inspektion-VPC ein.
     + Wählen Sie unter **Availability Zones** aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem **Namen der Availability Zone** oder nach der **Availability Zone ID** auswählen.
     + Wenn Sie die CIDR-Blöcke für Firewall Manager zur Verwendung für Firewall-Subnetze in Ihrem bereitstellen möchtenVPCs, müssen sie alle /28 CIDR-Blöcke sein. Geben Sie einen Block pro Zeile ein. Wenn Sie diese weglassen, wählt Firewall Manager IP-Adressen für Sie aus den aus, die in der VPCs verfügbar sind.
**Anmerkung**  
Die automatische Korrektur erfolgt automatisch für AWS Firewall Manager Netzwerk-Firewall-Richtlinien, sodass Sie hier keine Option sehen, die auto Korrektur abzulehnen.
   + Wenn Sie den Firewall-Managementtyp **„Bestehende Firewalls importieren**“ verwenden, fügen Sie unter **Ressourcensätze** eine oder mehrere Ressourcensätze hinzu. Ein Ressourcensatz definiert die vorhandenen Netzwerk-Firewall-Firewalls, die dem Konto Ihrer Organisation gehören und die Sie in dieser Richtlinie zentral verwalten möchten. Um der Richtlinie einen Ressourcensatz hinzuzufügen, müssen Sie zunächst mithilfe der Konsole oder der [PutResourceSet](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutResourceSet.html)API einen Ressourcensatz erstellen. Informationen zu Ressourcensätzen finden Sie unter[Gruppieren Sie Ihre Ressourcen in Firewall Manager](fms-resource-sets.md). Weitere Informationen zum Importieren vorhandener Firewalls aus der Network Firewall finden Sie unter[So erstellt Firewall Manager Firewall-Endpunkte](fms-create-firewall-endpoints.md).

1. Wählen Sie **Weiter** aus.

1. Wenn Ihre Richtlinie einen verteilten Firewallverwaltungstyp verwendet, wählen Sie unter **Routenverwaltung** aus, ob Firewall Manager den Datenverkehr, der durch die jeweiligen Firewallendpunkte geleitet werden muss, überwacht und Warnmeldungen dazu sendet.
**Anmerkung**  
Wenn Sie „**Überwachen**“ wählen, können Sie die Einstellung zu einem späteren Zeitpunkt nicht auf **Aus** ändern. Die Überwachung wird fortgesetzt, bis Sie die Richtlinie löschen.

1. Fügen Sie als **Verkehrstyp** optional die Datenverkehrsendpunkte hinzu, über die Sie den Datenverkehr zur Firewall-Inspektion weiterleiten möchten.

1.  Wenn Sie diese Option für **Allow required cross-AZ traffic** aktivieren, behandelt Firewall Manager Availability Zones, die keinen eigenen Firewall-Endpunkt haben, als konformes Routing, das Datenverkehr aus einer Availability Zone zur Überprüfung sendet. Availability Zones mit Endpunkten müssen immer ihren eigenen Datenverkehr überprüfen. 

1. Wählen Sie **Weiter** aus.

1. Wählen Sie für **den Geltungsbereich** der **Richtlinie unter AWS-Konten Diese Richtlinie gilt für** die folgende Option aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügenOUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

1. Der **Ressourcentyp** für Netzwerk-Firewall-Richtlinien ist **VPC**. 

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie **Weiter** aus.

1. Fügen Sie für **Policy-Tags** alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen. 

   Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen). Im Bereich „**AWS Firewall Manager Richtlinien**“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „**Ausstehend**“ angezeigt und es wird der Status der Einstellung **Automatische Problembehebung** angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status **Pending (Ausstehend)** durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter [Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md)

## Eine AWS Firewall Manager Richtlinie für die Amazon Route 53 Resolver DNS Firewall erstellen
<a name="creating-firewall-manager-policy-for-dns-firewall"></a>

In einer Firewall Manager DNS-Firewall-Richtlinie verwenden Sie Regelgruppen, die Sie in Amazon Route 53 Resolver DNS Firewall verwalten. Informationen zur Verwaltung Ihrer Regelgruppen finden Sie unter [Verwaltung von Regelgruppen und Regeln in der DNS-Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-group-managing.html) im *Amazon Route 53 Developer Guide*.

Informationen zu den DNS-Firewallrichtlinien von Firewall Manager finden Sie unter[Verwenden der DNS-Firewall-Richtlinien von Amazon Route 53 Resolver im Firewall Manager](dns-firewall-policies.md).

**So erstellen Sie eine Firewall Manager Manager-Richtlinie für Amazon Route 53 Resolver DNS Firewall (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie als **Richtlinientyp** die Option **Amazon Route 53 Resolver DNS-Firewall** aus. 

1. Wählen Sie für **Region** eine AWS-Region. Um Ressourcen in mehreren Regionen zu schützen, müssen Sie für jede Region separate Richtlinien erstellen. 

1. Wählen Sie **Weiter** aus.

1. Geben Sie als **Richtlinienname** einen aussagekräftigen Namen ein. 

1. Fügen Sie in der Richtlinienkonfiguration die Regelgruppen hinzu, die die DNS-Firewall zuerst und zuletzt unter Ihren VPCs Regelgruppenzuordnungen auswerten soll. Sie können der Richtlinie bis zu zwei Regelgruppen hinzufügen.

   Wenn Sie die DNS-Firewall-Richtlinie von Firewall Manager erstellen, erstellt Firewall Manager die Regelgruppenzuordnungen mit den von Ihnen angegebenen Zuordnungsprioritäten für die Konten VPCs und die Konten, die innerhalb des Gültigkeitsbereichs liegen. Die einzelnen Kontomanager können Regelgruppenzuordnungen zwischen Ihrer ersten und letzten Zuordnung hinzufügen, aber sie können die Zuordnungen, die Sie hier definieren, nicht ändern. Weitere Informationen finden Sie unter [Verwenden der DNS-Firewall-Richtlinien von Amazon Route 53 Resolver im Firewall Manager](dns-firewall-policies.md).

1. Wählen Sie **Weiter** aus.

1. Wenn **AWS-Konten diese Richtlinie für gilt,** wählen Sie die Option wie folgt aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügenOUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

1. Der **Ressourcentyp** für DNS-Firewall-Richtlinien ist **VPC**. 

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie **Weiter** aus.

1. Fügen Sie für **Policy-Tags** alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen. 

   Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen). Im Bereich „**AWS Firewall Manager Richtlinien**“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „**Ausstehend**“ angezeigt und es wird der Status der Einstellung **Automatische Problembehebung** angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status **Pending (Ausstehend)** durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter [Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md)

## Eine AWS Firewall Manager Richtlinie für Palo Alto Networks Cloud NGFW erstellen
<a name="creating-cloud-ngfw-policy"></a>

Mit einer Firewall Manager-Richtlinie für die Palo Alto Networks Cloud Next Generation Firewall (Palo Alto Networks Cloud NGFW) verwenden Sie Firewall Manager, um Palo Alto Networks Cloud NGFW-Ressourcen bereitzustellen und NGFW-Regelstapel zentral für all Ihre Konten zu verwalten. AWS 

Informationen zu den Cloud NGFW-Richtlinien von Firewall Manager Palo Alto Networks finden Sie unter. [Verwendung der Palo Alto Networks Cloud NGFW-Richtlinien für Firewall Manager](cloud-ngfw-policies.md) Informationen zur Konfiguration und Verwaltung von Palo Alto Networks Cloud NGFW für Firewall Manager finden Sie in der Dokumentation *[Palo Alto Networks Cloud NGFW von Palo Alto Networks](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)*. AWS

### Voraussetzungen
<a name="complete-fms-prereq-cloud-ngfw"></a>

Mehrere Schritte sind zur Vorbereitung Ihres Kontos auf AWS Firewall Manager zwingend erforderlich. Diese Schritte werden in [AWS Firewall Manager Voraussetzungen](fms-prereq.md) beschrieben. Erfüllen Sie alle Voraussetzungen, bevor Sie mit dem nächsten Schritt fortfahren.

**So erstellen Sie eine Firewall Manager Manager-Richtlinie für Palo Alto Networks Cloud NGFW (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie als **Richtlinientyp** **Palo Alto Networks Cloud NGFW** aus. Wenn Sie den Palo Alto Networks Cloud NGFW-Dienst noch nicht im AWS Marketplace abonniert haben, müssen Sie dies zuerst tun. Um im AWS Marketplace ein Abonnement abzuschließen, wählen Sie ** AWS Marketplace-Details anzeigen**.

1. Wählen Sie als **Bereitstellungsmodell** entweder das **verteilte Modell** oder das **zentralisierte Modell**. Das Bereitstellungsmodell bestimmt, wie Firewall Manager Endpunkte für die Richtlinie verwaltet. Beim verteilten Modell verwaltet Firewall Manager Firewall-Endpunkte in jeder VPC, die innerhalb des Richtlinienbereichs liegen. Mit dem zentralisierten Modell verwaltet Firewall Manager einen einzigen Endpunkt in einer Inspektions-VPC.

1. Wählen Sie für **Region** eine AWS-Region. Um Ressourcen in mehreren Regionen zu schützen, müssen Sie für jede Region separate Richtlinien erstellen. 

1. Wählen Sie **Weiter** aus.

1. Geben Sie als **Richtlinienname** einen aussagekräftigen Namen ein.

1. Wählen Sie in der Richtlinienkonfiguration die Palo Alto Networks Cloud NGFW-Firewallrichtlinie aus, die dieser Richtlinie zugeordnet werden soll. Die Liste der Palo Alto Networks Cloud NGFW-Firewallrichtlinien enthält alle Palo Alto Networks Cloud NGFW-Firewallrichtlinien, die Ihrem Palo Alto Networks Cloud NGFW-Mandanten zugeordnet sind. *Informationen zur Erstellung und Verwaltung von Palo Alto Networks Cloud NGFW-Firewallrichtlinien finden Sie im Abschnitt Deploy Palo Alto Networks Cloud NGFW for mit dem Thema im *[Leitfaden Palo Alto Networks Cloud NGFW for Deployment](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/getting-started-with-cloud-ngfw-for-aws/deploy-cloud-ngfw-for-aws-with-the-aws-firewall-manager.html)*. AWS AWS Firewall Manager AWS *

1. Für die **Palo Alto Networks Cloud NGFW-Protokollierung — optional — wählen Sie optional**, welche Palo Alto Networks Cloud NGFW-Protokolltypen für Ihre Richtlinie protokolliert werden sollen. *Informationen zu den NGFW-Protokolltypen in Palo Alto Networks Cloud finden [Sie unter Configure Logging for Palo Alto Networks Cloud NGFW on im Leitfaden Palo Alto Networks Cloud NGFW](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/create-cloud-ngfw-instances-and-endpoints/configure-logging-for-the-cloud-ngfw-on-aws.html) for Deployment. AWS AWS *

   Geben Sie als **Protokollziel** an, wohin Firewall Manager Protokolle schreiben soll.

1. Wählen Sie **Weiter** aus.

1. Führen **Sie unter Firewall-Endpunkt eines Drittanbieters konfigurieren** einen der folgenden Schritte aus, je nachdem, ob Sie für die Erstellung Ihrer Firewall-Endpunkte das verteilte oder das zentralisierte Bereitstellungsmodell verwenden:
   + Wenn Sie das verteilte Bereitstellungsmodell für diese Richtlinie verwenden, wählen Sie unter **Availability Zones** aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem **Namen der Availability Zone** oder nach der **Availability Zone ID** auswählen.
   + Wenn Sie das zentralisierte Bereitstellungsmodell für diese Richtlinie verwenden, geben Sie in der **AWS Firewall Manager Endpunktkonfiguration** unter **Inspektion-VPC-Konfiguration** die AWS Konto-ID des Besitzers der Inspektion-VPC und die VPC-ID der Inspektion-VPC ein.
     + Wählen Sie unter **Availability Zones** aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem **Namen der Availability Zone** oder nach der **Availability Zone ID** auswählen.

1. Wenn Sie die CIDR-Blöcke für Firewall Manager zur Verwendung für Firewall-Subnetze in Ihrem bereitstellen möchtenVPCs, müssen sie alle /28 CIDR-Blöcke sein. Geben Sie einen Block pro Zeile ein. Wenn Sie diese weglassen, wählt Firewall Manager IP-Adressen für Sie aus den aus, die in der VPCs verfügbar sind.
**Anmerkung**  
Die automatische Korrektur erfolgt automatisch für AWS Firewall Manager Netzwerk-Firewall-Richtlinien, sodass Sie hier keine Option sehen, die auto Korrektur abzulehnen.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie für **den Geltungsbereich der Richtlinie** unter „**AWS-Konten Diese Richtlinie gilt für**“ die Option wie folgt aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügenOUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

1. Der **Ressourcentyp** für Netzwerk-Firewall-Richtlinien ist **VPC**. 

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie für **Kontenübergreifenden Zugriff gewähren** die Option ** CloudFormation Vorlage herunterladen** aus. Dadurch wird eine CloudFormation Vorlage heruntergeladen, mit der Sie einen CloudFormation Stack erstellen können. Dieser Stack erstellt eine AWS Identity and Access Management Rolle, die Firewall Manager kontoübergreifende Berechtigungen zur Verwaltung von Palo Alto Networks Cloud NGFW-Ressourcen gewährt. *Informationen zu Stacks finden Sie unter [Arbeiten mit Stacks](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacks.html) im Benutzerhandbuch.CloudFormation *

1. Wählen Sie **Weiter** aus.

1. Fügen Sie für **Policy-Tags** alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen. 

   Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen). Im Bereich „**AWS Firewall Manager Richtlinien**“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „**Ausstehend**“ angezeigt und es wird der Status der Einstellung **Automatische Problembehebung** angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status **Pending (Ausstehend)** durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter [Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md)

## Erstellen einer AWS Firewall Manager Richtlinie für Fortigate Cloud Native Firewall (CNF) as a Service
<a name="creating-fortigate-cnf-policy"></a>

Mit einer Firewall Manager-Richtlinie für Fortigate CNF können Sie den Firewall Manager verwenden, um Fortigate CNF-Ressourcen für all Ihre Konten bereitzustellen und zu verwalten. AWS 

Informationen zu den Fortigate CNF-Richtlinien von Firewall Manager finden Sie unter. [Verwendung von Fortigate Cloud Native Firewall (CNF) as a Service-Richtlinien für Firewall Manager](fortigate-cnf-policies.md) [Informationen zur Konfiguration von Fortigate CNF für die Verwendung mit Firewall Manager finden Sie in der Fortinet-Dokumentation.]( https://docs.fortinet.com/product/fortigate-cnf )

### Voraussetzungen
<a name="complete-fms-prereq-fortigate-cnf"></a>

Mehrere Schritte sind zur Vorbereitung Ihres Kontos auf AWS Firewall Manager zwingend erforderlich. Diese Schritte werden in [AWS Firewall Manager Voraussetzungen](fms-prereq.md) beschrieben. Erfüllen Sie alle Voraussetzungen, bevor Sie mit dem nächsten Schritt fortfahren.

**So erstellen Sie eine Firewall Manager Manager-Richtlinie für Fortigate CNF (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie als **Richtlinientyp** **Fortigate Cloud Native Firewall (CNF) as** a Service aus. Wenn Sie den [Fortigate CNF-Service im AWS Marketplace](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i) noch nicht abonniert haben, müssen Sie dies zuerst tun. Um im AWS Marketplace ein Abonnement abzuschließen, wählen Sie ** AWS Marketplace-Details anzeigen**.

1. Wählen Sie als **Bereitstellungsmodell** entweder das **verteilte Modell** oder das **zentralisierte Modell**. Das Bereitstellungsmodell bestimmt, wie Firewall Manager Endpunkte für die Richtlinie verwaltet. Beim verteilten Modell verwaltet Firewall Manager Firewall-Endpunkte in jeder VPC, die innerhalb des Richtlinienbereichs liegen. Mit dem zentralisierten Modell verwaltet Firewall Manager einen einzigen Endpunkt in einer Inspektions-VPC.

1. Wählen Sie für **Region** eine AWS-Region. Um Ressourcen in mehreren Regionen zu schützen, müssen Sie für jede Region separate Richtlinien erstellen. 

1. Wählen Sie **Weiter** aus.

1. Geben Sie als **Richtlinienname** einen aussagekräftigen Namen ein.

1. Wählen Sie in der Richtlinienkonfiguration die Fortigate CNF-Firewall-Richtlinie aus, die dieser Richtlinie zugeordnet werden soll. Die Liste der Fortigate CNF-Firewallrichtlinien enthält alle Fortigate CNF-Firewallrichtlinien, die Ihrem Fortigate CNF-Mandanten zugeordnet sind. [Informationen zur Erstellung und Verwaltung von Fortigate CNF-Mandanten finden Sie in der Fortinet-Dokumentation.](https://docs.fortinet.com/product/fortigate-cnf)

1. Wählen Sie **Weiter** aus.

1. Führen **Sie unter Firewall-Endpunkt eines Drittanbieters konfigurieren** einen der folgenden Schritte aus, je nachdem, ob Sie für die Erstellung Ihrer Firewall-Endpunkte das verteilte oder das zentralisierte Bereitstellungsmodell verwenden:
   + Wenn Sie das verteilte Bereitstellungsmodell für diese Richtlinie verwenden, wählen Sie unter **Availability Zones** aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem **Namen der Availability Zone** oder nach der **Availability Zone ID** auswählen.
   + Wenn Sie das zentralisierte Bereitstellungsmodell für diese Richtlinie verwenden, geben Sie in der **AWS Firewall Manager Endpunktkonfiguration** unter **Inspektion-VPC-Konfiguration** die AWS Konto-ID des Besitzers der Inspektion-VPC und die VPC-ID der Inspektion-VPC ein.
     + Wählen Sie unter **Availability Zones** aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem **Namen der Availability Zone** oder nach der **Availability Zone ID** auswählen.

1. Wenn Sie die CIDR-Blöcke für Firewall Manager zur Verwendung für Firewall-Subnetze in Ihrem bereitstellen möchtenVPCs, müssen sie alle /28 CIDR-Blöcke sein. Geben Sie einen Block pro Zeile ein. Wenn Sie diese weglassen, wählt Firewall Manager IP-Adressen für Sie aus den aus, die in der VPCs verfügbar sind.
**Anmerkung**  
Die automatische Korrektur erfolgt automatisch für AWS Firewall Manager Netzwerk-Firewall-Richtlinien, sodass Sie hier keine Option sehen, die auto Korrektur abzulehnen.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie für **den Geltungsbereich der Richtlinie** unter „**AWS-Konten Diese Richtlinie gilt für**“ die Option wie folgt aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügenOUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

1. Der **Ressourcentyp** für Netzwerk-Firewall-Richtlinien ist **VPC**. 

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie für **Kontenübergreifenden Zugriff gewähren** die Option ** CloudFormation Vorlage herunterladen** aus. Dadurch wird eine CloudFormation Vorlage heruntergeladen, mit der Sie einen CloudFormation Stack erstellen können. Dieser Stack erstellt eine AWS Identity and Access Management Rolle, die Firewall Manager kontoübergreifende Berechtigungen zur Verwaltung von Fortigate CNF-Ressourcen gewährt. *Informationen zu Stacks finden Sie unter [Arbeiten mit Stacks](https://docs.aws.amazon.com/AWSCloudFormation/latest/gsg/stacks.html) im Benutzerhandbuch.CloudFormation * Um einen Stack zu erstellen, benötigen Sie die Konto-ID aus dem Fortigate CNF-Portal.

1. Wählen Sie **Weiter** aus.

1. Fügen Sie für **Policy-Tags** alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen. 

   Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen). Im Bereich „**AWS Firewall Manager Richtlinien**“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „**Ausstehend**“ angezeigt und es wird der Status der Einstellung **Automatische Problembehebung** angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status **Pending (Ausstehend)** durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter [Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md)

# Löschen einer AWS Firewall Manager Richtlinie
<a name="policy-deleting"></a>

Sie können eine Firewall Manager-Richtlinie durch Ausführen der folgenden Schritte löschen.

**So löschen Sie eine Richtlinie (Konsole)**

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie die Option neben der Richtlinie aus, die Sie löschen möchten. 

1. Wählen Sie **Löschen** aus.

**Anmerkung**  
Wenn Sie eine allgemeine Sicherheitsgruppenrichtlinie von Firewall Manager löschen, um die replizierten Sicherheitsgruppen der Richtlinie zu entfernen, wählen Sie die Option zum Bereinigen der durch die Richtlinie erstellten Ressourcen. Andernfalls bleiben die Replikate nach dem Löschen der Primärdatei erhalten und müssen in jeder Amazon VPC-Instance manuell verwaltet werden. 

**Wichtig**  
Wenn Sie eine Firewall Manager Shield Advanced-Richtlinie löschen, wird die Richtlinie gelöscht, aber Ihre Konten haben weiterhin Shield Advanced abonniert.

# Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden
<a name="policy-scope"></a>

Auf dieser Seite wird erklärt, was der Geltungsbereich der Firewall Manager Manager-Richtlinie ist und wie sie funktioniert. 

Der Geltungsbereich der Richtlinie definiert, wo die Richtlinie gilt. Sie können zentral gesteuerte Richtlinien anwenden auf:
+ Alle Ihre Konten und Ressourcen innerhalb Ihrer Organisation in AWS Organizations.
+ Eine Teilmenge Ihrer Konten und Ressourcen innerhalb Ihrer Organisation in AWS Organizations.

Anweisungen zur Festlegung des Geltungsbereichs von Richtlinien finden Sie unter[Eine AWS Firewall Manager Richtlinie erstellen](create-policy.md).

## Optionen für den Geltungsbereich der Richtlinie in AWS Firewall Manager
<a name="when-in-scope"></a>

Wenn Sie Ihrer Organisation ein neues Konto oder eine neue Ressource hinzufügen, bewertet Firewall Manager es automatisch anhand Ihrer Einstellungen für jede Richtlinie und wendet die Richtlinie auf der Grundlage dieser Einstellungen an. Sie können beispielsweise festlegen, dass eine Richtlinie auf alle Konten angewendet wird, mit Ausnahme der Kontonummern in einer bestimmten Liste. Ressourcen-Tags können auch verwendet werden, um den Geltungsbereich von Richtlinien zu definieren. Sie können eine Richtlinie anwenden, indem Sie Ressourcen ausschließen oder einbeziehen, die alle Tags in einer Liste enthalten. Alternativ können Sie festlegen, dass eine Richtlinie nur auf Ressourcen angewendet wird, die eines der angegebenen Tags in einer Liste enthalten. 

**AWS-Konten im Geltungsbereich**  
Die Einstellungen, die Sie angeben, um die von der Richtlinie AWS-Konten betroffenen Personen zu definieren, bestimmen, auf welche der Konten in Ihrer AWS Organisation die Richtlinie angewendet werden soll. Sie können die Richtlinie auf eine der folgenden Arten anwenden: 
+ Auf alle Konten in Ihrer Organisation
+ Nur zu einer bestimmten Liste der enthaltenen Kontonummern und AWS Organizations Organisationseinheiten (OUs)
+ Für alle außer einer bestimmten Liste ausgeschlossener Kontonummern und AWS Organizations Organisationseinheiten (OUs)

Informationen zu AWS Organizations finden Sie im [AWS Organizations Benutzerhandbuch](https://docs.aws.amazon.com/organizations/latest/userguide/). 

**Ressourcen im Geltungsbereich**  
Ähnlich wie bei den Einstellungen für Konten im Geltungsbereich bestimmen die Einstellungen, die Sie für Ressourcen angeben, auf welche Ressourcentypen im Geltungsbereich die Richtlinie angewendet werden soll. Sie können eine der folgenden Optionen auswählen: 
+ Alle Ressourcen
+ Ressourcen, die alle von Ihnen angegebenen Tags enthalten
+ Alle Ressourcen außer denen, die alle von Ihnen angegebenen Tags enthalten
+ Nur Ressourcen, die über eines der von Ihnen angegebenen Tags verfügen
+ Alle Ressourcen außer nur Ressourcen, die eines der von Ihnen angegebenen Tags haben

Sie können nur Ressourcen-Tags mit Werten ungleich Null angeben. Wenn Sie für den Wert nichts angeben, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

Weitere Informationen zum Kennzeichnen Ihrer Ressourcen finden Sie unter [Arbeiten mit Tag-Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html). 

## Verwaltung des Richtlinienumfangs in AWS Firewall Manager
<a name="when-out-of-scope"></a>

Sobald Richtlinien eingerichtet sind, verwaltet Firewall Manager sie kontinuierlich und wendet sie entsprechend dem Geltungsbereich der Richtlinie auf neue AWS-Konten Ressourcen an, sobald sie hinzugefügt werden. 

**Verwaltung AWS-Konten und Ressourcen durch Firewall Manager**  
Wenn ein Konto oder eine Ressource aus irgendeinem Grund den Geltungsbereich verlässt, AWS Firewall Manager werden Schutzmaßnahmen nicht automatisch entfernt oder von Firewall Manager verwaltete Ressourcen gelöscht, es sei denn, Sie aktivieren das Kontrollkästchen **Schutz automatisch von Ressourcen entfernen, die den Geltungsbereich der Richtlinie verlassen**.

**Anmerkung**  
Die Option **Automatisch den Schutz von Ressourcen entfernen, die den Geltungsbereich der Richtlinie verlassen, ist für Richtlinien** oder Classic nicht verfügbar. AWS Shield Advanced AWS WAF 

Wenn Sie dieses Kontrollkästchen aktivieren, werden AWS Firewall Manager die Ressourcen, die Firewall Manager für Konten verwaltet, automatisch bereinigt, wenn diese Konten den Richtlinienbereich verlassen. Beispielsweise trennt Firewall Manager die Zuordnung einer von Firewall Manager verwalteten Web-ACL zu einer geschützten Kundenressource, wenn die Kundenressource den Geltungsbereich der Richtlinie verlässt.

Um zu bestimmen, welche Ressourcen aus dem Schutz entfernt werden sollen, wenn eine Kundenressource den Richtlinienbereich verlässt, befolgt Firewall Manager die folgenden Richtlinien:
+ *Standardverhalten*:
  + Die zugehörigen AWS Config verwalteten Regeln werden gelöscht. Dieses Verhalten ist unabhängig vom Kontrollkästchen.
  + Alle zugehörigen AWS WAF Web-Zugriffskontrolllisten (Web ACLs), die keine Ressourcen enthalten, werden gelöscht. Dieses Verhalten ist unabhängig vom Kontrollkästchen.
  + Jede geschützte Ressource, die den Gültigkeitsbereich überschreitet, bleibt zugeordnet und geschützt. Beispielsweise bleibt ein Application Load Balancer oder eine API von API Gateway, die mit einer Web-ACL verknüpft ist, mit der Web-ACL verknüpft, und der Schutz bleibt bestehen.
+ *Wenn das Kontrollkästchen **Schutz von Ressourcen, die den Geltungsbereich der Richtlinie verlassen, automatisch entfernen*** aktiviert ist:
  + Die zugehörigen AWS Config verwalteten Regeln werden gelöscht. Dieses Verhalten ist unabhängig vom Kontrollkästchen.
  + Alle zugehörigen AWS WAF Web-Zugriffskontrolllisten (Web ACLs), die keine Ressourcen enthalten, werden gelöscht. Dieses Verhalten ist unabhängig vom Kontrollkästchen.
  + Jede geschützte Ressource, die den Geltungsbereich verlässt, wird automatisch getrennt und aus dem Firewall Manager Manager-Schutz entfernt, wenn sie den Richtlinienbereich verlässt. Bei einer Sicherheitsgruppenrichtlinie wird beispielsweise ein Elastic Inference Accelerator oder eine EC2 Amazon-Instance automatisch von der replizierten Sicherheitsgruppe getrennt, wenn sie den Richtlinienbereich verlässt. Die replizierte Sicherheitsgruppe und ihre Ressourcen werden automatisch aus dem Schutz entfernt.
  + Firewall Manager löscht die Protokollierungskonfiguration unabhängig vom Wert der Option zur Ressourcenbereinigung, wenn ein Mitgliedskonto den Geltungsbereich verlässt oder wenn die Richtlinie gelöscht wird.

# AWS WAF Richtlinien mit Firewall Manager verwenden
<a name="waf-policies"></a>

In diesem Abschnitt wird erklärt, wie AWS WAF Richtlinien mit Firewall Manager verwendet werden. In einer Firewall Manager AWS WAF Manager-Richtlinie geben Sie die AWS WAF Regelgruppen an, die Sie verwenden möchten, um alle Ressourcen zu schützen, die innerhalb des Richtlinienbereichs liegen. Wenn Sie die Richtlinie anwenden, beginnt Firewall Manager mit der Verwaltung von Webressourcen ACLs für im Geltungsbereich enthaltene Ressourcen und verwendet dabei die angegebenen Regelgruppen und andere Richtlinienkonfigurationen. 

Sie können die Richtlinie so konfigurieren, dass alle neuen Webressourcen ACLs für in den Geltungsbereich fallende Ressourcen erstellt und verwaltet werden, sodass alle bereits ACLs verwendeten Websites ersetzt werden. Alternativ können Sie die Richtlinie so konfigurieren, ACLs dass alle Websites, die bereits mit Ressourcen im Geltungsbereich verknüpft sind, beibehalten werden, und sie für die Verwendung durch die Richtlinie nachrüsten. Mit dieser zweiten Option erstellt Firewall Manager nur neue Websites ACLs für Ressourcen, denen noch keine Web-ACL-Zuordnung zugewiesen wurde. 

Unabhängig davon, wie sie erstellt wurden, können einzelne Konten in dem von Firewall Manager verwalteten Web ACLs zusätzlich zu den Regelgruppen, die Sie in der Firewall Manager Manager-Richtlinie definieren, ihre eigenen Regeln und Regelgruppen verwalten. 

Informationen zum Erstellen einer Firewall Manager AWS WAF Manager-Richtlinie finden Sie unter[Eine AWS Firewall Manager Richtlinie erstellen für AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).

# Regelgruppenverwaltung für AWS WAF Richtlinien
<a name="waf-policies-rule-groups"></a>

Das Web ACLs , das durch Firewall Manager AWS WAF Manager-Richtlinien verwaltet wird, enthält drei Regelsätze. Diese Sätze bieten eine höhere Priorisierung für die Regeln und Regelgruppen in der Web-ACL: 
+ Erste Regelgruppen, von Ihnen in der Firewall Manager AWS WAF Manager-Richtlinie definiert. AWS WAF wertet diese Regelgruppen zuerst aus.
+ Regeln und Regelgruppen, die von den Account Managern im Internet ACLs definiert werden. AWS WAF wertet als Nächstes alle vom Konto verwalteten Regeln oder Regelgruppen aus. 
+ Letzte Regelgruppen, von Ihnen in der Firewall Manager AWS WAF Manager-Richtlinie definiert. AWS WAF wertet diese Regelgruppen zuletzt aus.

In jedem dieser Regelsätze werden Regeln und Regelgruppen wie üblich anhand ihrer Prioritätseinstellungen innerhalb des Satzes AWS WAF ausgewertet.

Im ersten und letzten Regelgruppensatz der Richtlinie können Sie nur Regelgruppen und keine einzelnen Regeln hinzufügen. Sie können verwaltete Regelgruppen verwenden, die von AWS verwalteten Regeln und AWS Marketplace Verkäufern für Sie erstellt und verwaltet werden. Sie können auch eigene Regelgruppen verwalten und verwenden. Weitere Informationen über alle diese Aktionen finden Sie unter [AWS WAF Regelgruppen](waf-rule-groups.md).

Wenn Sie Ihre eigenen Regelgruppen verwenden möchten, erstellen Sie diese, bevor Sie Ihre Firewall Manager AWS WAF Manager-Richtlinie erstellen. Anleitungen finden Sie unter [Verwaltung Ihrer eigenen Regelgruppen](waf-user-created-rule-groups.md). Um eine einzelne benutzerdefinierte Regel verwenden zu können, müssen Sie eine eigene Regelgruppe definieren, Ihre Regel darin definieren und dann die Regelgruppe in der Richtlinie verwenden.

Die ersten und letzten AWS WAF Regelgruppen, die Sie über Firewall Manager verwalten, haben Namen`POSTFMManaged-`, die mit dem `PREFMManaged-` Namen der Firewall Manager Manager-Richtlinie und dem Zeitstempel für die Erstellung der Regelgruppe in UTC-Millisekunden beginnen bzw. darauf folgen. Beispiel, `PREFMManaged-MyWAFPolicyName-1621880555123`.

Informationen darüber, wie Webanfragen AWS WAF ausgewertet werden, finden Sie unter. [Verwenden von Schutzpaketen (Web ACLs) mit Regeln und Regelgruppen in AWS WAF](web-acl-processing.md)

Firewall Manager ermöglicht Sampling und CloudWatch Amazon-Metriken für die Regelgruppen, die Sie für die AWS WAF Richtlinie definieren. 

Einzelne Kontoinhaber haben die vollständige Kontrolle über die Metriken und die Sampling-Konfiguration für jede Regel oder Regelgruppe, die sie dem verwalteten Web der Richtlinie hinzufügenACLs. 

**Anmerkung**  
Wenn Sie in Ihrem Mitgliedskonto kein Abonnement für AWS WAF Marketplace-Regelgruppen haben, kann Firewall Manager keine benutzerdefinierten oder verwalteten Regelgruppen an dieses Konto weitergeben.

# Web-ACL-Management für AWS WAF Richtlinien
<a name="how-fms-manages-web-acls"></a>

Firewall Manager erstellt und verwaltet Web-Ressourcen ACLs für unternehmensinterne Ressourcen gemäß Ihren Konfigurationseinstellungen und der allgemeinen Richtlinienverwaltung. 

**Anmerkung**  
Wenn eine Ressource, für die eine [erweiterte automatische Abwehr auf Anwendungsebene DDo S](ddos-automatic-app-layer-response.md) durch eine andere Firewall Manager Shield-Richtlinie konfiguriert wurde, in den Geltungsbereich einer AWS WAF Richtlinie fällt, bei der die Web-ACL auf der Ressource durch diese Firewall Manager Shield-Richtlinie erstellt wurde, kann Firewall Manager den AWS WAF Richtlinienschutz nicht auf die Ressource anwenden und markiert die Ressource als nicht konform.  
Wenn ein Kunde der Ressource manuell eine kundeneigene Web-ACL zuordnet, überschreibt die Firewall Manager AWS WAF Manager-Richtlinie immer noch diese Kunden-Web-ACL mit der Web-ACL der Firewall Manager AWS WAF Manager-Richtlinie.

**Webkonfiguration verwalten, die nicht verknüpft ist ACLs**  
Richtlinienkonfigurationseinstellung, die festlegt, wie Firewall Manager das Web ACLs für Konten verwaltet, wenn das Internet ACLs von keiner Ressource verwendet wird. Wenn Sie die Verwaltung von nicht verknüpften Websites aktivieren ACLs, erstellt Firewall Manager nur dann ACLs Web-In-Konten, die innerhalb des Richtlinienbereichs liegen, wenn das Web von mindestens einer Ressource verwendet ACLs wird. Wenn Sie diese Option nicht aktivieren, stellt Firewall Manager automatisch sicher, dass jedes Konto über eine Web-ACL verfügt, unabhängig davon, ob die Web-ACL verwendet wird. 

Wenn diese Option aktiviert ist und ein Konto in den Richtlinienbereich fällt, erstellt Firewall Manager nur dann automatisch eine Web-ACL im Konto, wenn mindestens eine Ressource die Web-ACL verwendet. 

Wenn Sie die Verwaltung von nicht verknüpften Websites aktivieren ACLs, führt Firewall Manager bei der Erstellung der Richtlinie außerdem eine einmalige Bereinigung der nicht verknüpften Websites ACLs in Ihrem Konto durch. Während dieser Bereinigung überspringt Firewall Manager alle Websites, ACLs die Sie nach ihrer Erstellung geändert haben, z. B. wenn Sie der Web-ACL eine Regelgruppe hinzugefügt oder deren Einstellungen geändert haben. Der Bereinigungsprozess kann mehrere Stunden dauern. Wenn eine Ressource den Richtlinienbereich verlässt, nachdem Firewall Manager eine Web-ACL erstellt hat, trennt Firewall Manager die Zuordnung der Ressource von der Web-ACL, bereinigt aber nicht die nicht verknüpfte Web-ACL. Firewall Manager bereinigt nicht verknüpfte Websites nur, ACLs wenn Sie die Verwaltung von nicht verknüpften Websites zum ersten Mal ACLs in einer Richtlinie aktivieren.

In der API ist diese Einstellung `optimizeUnassociatedWebACL` im Datentyp enthalten. [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html) Beispiel: `\"optimizeUnassociatedWebACL\":false`

**Konfiguration der Web-ACL-Quelle: Alles neu erstellen oder bestehende nachrüsten?**  
Richtlinienkonfigurationseinstellung, die festlegt, was Firewall Manager mit vorhandenen Websites macht ACLs , die mit Ressourcen innerhalb des Geltungsbereichs verknüpft sind. 

Standardmäßig erstellt Firewall Manager alle neuen Websites ACLs für Ressourcen im Geltungsbereich. Bei der Nachrüstung verwendet Firewall Manager alle vorhandenen Websites ACLs , die bereits verwendet werden, und erstellt nur neue Websites ACLs für Ressourcen, denen noch keines zugeordnet ist. 

Wenn eine Richtlinie für die Nachrüstung konfiguriert ist, werden alle Websites, ACLs die mit Ressourcen im Geltungsbereich verknüpft sind, nachgerüstet oder als nicht richtlinientreu markiert.

Firewall Manager aktualisiert eine Web-ACL nur, wenn sie die folgenden Anforderungen erfüllt: 
+ Die Web-ACL gehört einem Kundenkonto. 
+ Die Web-ACL ist nur Ressourcen zugeordnet, die im Geltungsbereich enthalten sind. 
**Tipp**  
Bevor Sie eine AWS WAF Richtlinie für die Nachrüstung konfigurieren, stellen Sie sicher, dass das Web ACLs , das den in den Geltungsbereich der Richtlinie fallenden Ressourcen zugeordnet ist, keinen Ressourcen zugeordnet ist. out-of-scope 
**Tipp**  
Wenn Sie eine zugeordnete Ressource löschen möchten, trennen Sie sie zunächst von der Web-ACL. Wenn eine Web-ACL aufgrund einer Zuordnung zu einer out-of-scope Ressource nicht konform ist, kann das Löschen der out-of-scope Ressource, ohne sie vorher von der Web-ACL zu trennen, die Web-ACL konform machen, und Firewall Manager kann dann die Web-ACL durch Behebung nachrüsten, aber die Wiederherstellung kann in diesem Fall um bis zu 24 Stunden verzögert werden. 

Informationen zum Zugriff auf Details zu Compliance-Verstößen finden Sie unter. [Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md)

Wenn eine Web-ACL nachgerüstet werden kann, ändert Firewall Manager sie wie folgt: 
+ Firewall Manager fügt die ersten Regelgruppen der AWS WAF Richtlinie vor die bestehenden Regeln der Web-ACL ein und hängt am Ende die letzten Regelgruppen der AWS WAF Richtlinie an. Informationen zur Verwaltung von Regelgruppen finden Sie unter[Regelgruppenverwaltung für AWS WAF Richtlinien](waf-policies-rule-groups.md).
+ Wenn die Richtlinie über eine Protokollierungskonfiguration verfügt, fügt Firewall Manager sie nur dann der Web-ACL hinzu, wenn die Web-ACL nicht bereits für die Protokollierung konfiguriert ist. Wenn für die Web-ACL die Protokollierung vom Konto konfiguriert wurde, behält Firewall Manager sie sowohl während der Nachrüstung als auch für alle nachfolgenden Aktualisierungen der Protokollierungskonfiguration der Richtlinie bei. 
+ Firewall Manager überprüft oder konfiguriert keine anderen Web-ACL-Eigenschaften. Beispielsweise ändert Firewall Manager nicht die Standardaktion der Web-ACL, die benutzerdefinierten Anforderungsheader CAPTCHA oder Challenge Konfigurationen oder Token-Domainlisten. Firewall Manager konfiguriert nur diese anderen Eigenschaften im Web ACLs , die Firewall Manager erstellt. 

Nachdem Firewall Manager alle vorhandenen verknüpften Websites nachgerüstet hat ACLs, behandelt Firewall Manager die Ressource für alle im Geltungsbereich enthaltenen Ressourcen, die keine Web-ACL haben, gemäß dem Standardrichtlinienverhalten. Wenn es sich um eine Ressource handelt, die schützen AWS WAF kann, erstellt Firewall Manager eine Firewall Manager Manager-Web-ACL und ordnet sie dieser Ressource zu.

In der API ist die Einstellung für die Web-ACL-Quelle `webACLSource` im [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html)Datentyp enthalten. Beispiel: `\"webACLSource\":\"RETROFIT_EXISTING\"` 

**Stichproben und CloudWatch Metriken**  
AWS Firewall Manager ermöglicht Stichproben und CloudWatch Amazon-Metriken für das Web ACLs und Regelgruppen, die es für eine AWS WAF Richtlinie erstellt. 

**Benennung von Web-ACLS**  
Eine Web-ACL, die Firewall Manager erstellt, ist wie folgt nach der AWS WAF Richtlinie benannt:`FMManagedWebACLV2-policy name-timestamp`. Der Zeitstempel ist in UTC-Millisekunden angegeben. Beispiel, `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`.

Eine Web-ACL, die Firewall Manager nachrüstet, hat den Namen, den das Kundenkonto bei der Erstellung angegeben hat. Ein Web-ACL-Name kann nach der Erstellung nicht geändert werden.

**Anmerkung**  
Wenn eine mit [erweiterter automatischer DDo App-Layer-S-Abwehr](ddos-automatic-app-layer-response.md) konfigurierte Ressource in den Geltungsbereich einer AWS WAF Richtlinie fällt, kann Firewall Manager die durch die AWS WAF Richtlinie erstellte Web-ACL der Ressource nicht zuordnen.

# Protokollierung für eine AWS WAF Richtlinie
<a name="waf-policies-logging-config"></a>

Sie können die zentrale Protokollierung für Ihre AWS WAF Richtlinien aktivieren, um detaillierte Informationen über den Datenverkehr zu erhalten, der von Ihrer Web-ACL innerhalb Ihrer Organisation analysiert wird. AWS Firewall Manager unterstützt diese Option für AWS WAFV2, nicht für AWS WAF Classic.

Zu den Informationen in den Protokollen gehören der Zeitpunkt, zu dem die Anfrage von Ihrer geschützten AWS Ressource AWS WAF empfangen wurde, detaillierte Informationen zu der Anfrage und die Aktion für die Regel, der jede Anfrage von allen Konten im Gültigkeitsbereich entsprach. Informationen zur AWS WAF Protokollierung finden Sie [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md) im *AWS WAF Entwicklerhandbuch*.

Sie können Ihre Protokolle an einen Amazon Data Firehose-Datenstream oder einen Amazon Simple Storage Service (S3) -Bucket senden. Für jeden Zieltyp ist eine zusätzliche Konfiguration erforderlich, damit Firewall Manager die AWS WAF Protokollierung für Ihre im Geltungsbereich befindlichen Ressourcen und Konten verwalten kann. Die folgenden Abschnitte enthalten Einzelheiten. 

Wenn für die Richtlinie die Nachrüstung von Web-ACLS aktiviert ist, überschreibt Firewall Manager keine Protokollierungskonfiguration, die im vorhandenen Web ACLs vorhanden ist. Informationen zur Nachrüstung finden Sie in den Konfigurationsinformationen der Web-ACL-Quelle unter. [Web-ACL-Management für AWS WAF Richtlinien](how-fms-manages-web-acls.md)

**Anmerkung**  
Ändern oder deaktivieren Sie die Protokollierung für Firewall Manager Manager-Richtlinien nur über die Firewall Manager Manager-Oberfläche. Wenn Sie AWS WAF die Protokollierungskonfiguration einer Web-ACL aktualisieren oder löschen, die von Firewall Manager verwaltet wird, erkennt Firewall Manager die Änderung nicht automatisch. Wenn Sie dies verwendet haben AWS WAF, können Sie manuell eine Aktualisierung der Firewall Manager AWS WAF Manager-Richtlinie veranlassen, indem Sie die Regel der Richtlinie unter neu bewerten. AWS Config Suchen Sie dazu in der AWS Config Konsole die AWS Config Regel für die Firewall Manager Manager-Richtlinie und wählen Sie die Aktion Neuauswertung aus. 

**Topics**
+ [

# Ziele protokollieren
](waf-policies-logging-destinations.md)
+ [

# Protokollierung für eine AWS WAF Richtlinie in Firewall Manager aktivieren
](waf-policies-enabling-logging.md)
+ [

# Deaktivieren der Protokollierung für eine AWS WAF Richtlinie in Firewall Manager
](waf-policies-disabling-logging.md)

# Ziele protokollieren
<a name="waf-policies-logging-destinations"></a>

In diesem Abschnitt werden die Protokollierungsziele beschrieben, an die Sie Ihre AWS WAF Richtlinienprotokolle senden können. Jeder Abschnitt enthält Anleitungen zum Konfigurieren der Protokollierung für den Zieltyp und Informationen zu jedem Verhalten, das für den jeweiligen Zieltyp spezifisch ist. Nachdem Sie Ihr Protokollierungsziel konfiguriert haben, können Sie dessen Spezifikationen für Ihre Firewall Manager AWS WAF Manager-Richtlinie angeben, um mit der Protokollierung zu beginnen.

Firewall Manager hat nach der Erstellung der Protokollierungskonfiguration keinen Einblick in Protokollfehler. Es liegt in Ihrer Verantwortung, zu überprüfen, ob die Protokollzustellung wie gewünscht funktioniert.

Firewall Manager ändert keine vorhandenen Protokollierungskonfigurationen in den Mitgliedskonten Ihrer Organisation. 

**Topics**
+ [

## Amazon Data Firehose-Datenströme
](#waf-policies-logging-destinations-kinesis-data-firehose)
+ [

## Amazon-Simple-Storage-Service-Buckets
](#waf-policies-logging-destinations-s3)

## Amazon Data Firehose-Datenströme
<a name="waf-policies-logging-destinations-kinesis-data-firehose"></a>

Dieses Thema enthält Informationen zum Senden Ihrer Web-ACL-Traffic-Logs an einen Amazon Data Firehose-Datenstream.

Wenn Sie die Amazon Data Firehose-Protokollierung aktivieren, sendet Firewall Manager Protokolle aus der Website Ihrer Richtlinie ACLs an eine Amazon Data Firehose, für die Sie ein Speicherziel konfiguriert haben. Nachdem Sie die Protokollierung aktiviert haben AWS WAF , werden Protokolle für jede konfigurierte Web-ACL über den HTTPS-Endpunkt von Kinesis Data Firehose an das konfigurierte Speicherziel gesendet. Bevor Sie ihn verwenden, testen Sie Ihren Lieferstream, um sicherzustellen, dass er über einen ausreichenden Durchsatz verfügt, um die Logs Ihres Unternehmens zu verarbeiten. Weitere Informationen zum Erstellen einer Amazon Kinesis Data Firehose und zum Überprüfen der gespeicherten Protokolle finden Sie unter [Was ist Amazon Data](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) Firehose?

Sie benötigen die folgenden Berechtigungen, um die Protokollierung mit einer Kinesis erfolgreich zu aktivieren:
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`

Wenn Sie ein Amazon Data Firehose-Protokollierungsziel für eine AWS WAF Richtlinie konfigurieren, erstellt Firewall Manager eine Web-ACL für die Richtlinie im Firewall Manager Manager-Administratorkonto wie folgt: 
+ Firewall Manager erstellt die Web-ACL im Firewall Manager Manager-Administratorkonto, unabhängig davon, ob das Konto in den Geltungsbereich der Richtlinie fällt.
+ Für die Web-ACL ist die Protokollierung mit einem Protokollnamen aktiviert`FMManagedWebACLV2-Loggingpolicy name-timestamp`, wobei der Zeitstempel die UTC-Zeit in Millisekunden angibt, zu der das Protokoll für die Web-ACL aktiviert wurde. Beispiel, `FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180`. Die Web-ACL hat keine Regelgruppen und keine zugehörigen Ressourcen. 
+ Die Web-ACL wird Ihnen gemäß den AWS WAF Preisrichtlinien in Rechnung gestellt. Weitere Informationen finden Sie unter [AWS WAF  – Preise](https://aws.amazon.com/waf/pricing/). 
+ Firewall Manager löscht die Web-ACL, wenn Sie die Richtlinie löschen. 

Weitere Informationen zu serviceverknüpften Rollen und zur `iam:CreateServiceLinkedRole`-Berechtigung finden Sie unter [Verwenden von serviceverknüpften Rollen für AWS WAF](using-service-linked-roles.md).

Weitere Informationen zur Erstellung Ihres Lieferdatenstroms finden Sie unter [Erstellen eines Amazon Data Firehose-Lieferdatenstroms](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).

## Amazon-Simple-Storage-Service-Buckets
<a name="waf-policies-logging-destinations-s3"></a>

In diesem Thema finden Sie Informationen zum Senden Ihrer Web-ACL-Datenverkehrsprotokolle an einen Amazon-S3-Bucket.

Der Bucket, den Sie als Logging-Ziel wählen, muss einem Firewall Manager Manager-Administratorkonto gehören. Informationen zu den Anforderungen für die Erstellung Ihres Amazon S3 S3-Buckets für die Protokollierung und zu den Anforderungen zur Bucket-Benennung finden Sie unter [Amazon Simple Storage Service](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html) im *AWS WAF Entwicklerhandbuch*.

**Letztendliche Datenkonsistenz**  
Wenn Sie AWS WAF Richtlinien ändern, die mit einem Amazon S3 S3-Protokollierungsziel konfiguriert sind, aktualisiert Firewall Manager die Bucket-Richtlinie, um die für die Protokollierung erforderlichen Berechtigungen hinzuzufügen. Dabei folgt Firewall Manager den last-writer-wins Semantik- und Datenkonsistenzmodellen, denen Amazon Simple Storage Service folgt. Wenn Sie in der Firewall Manager Manager-Konsole oder über die [PutPolicy](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutPolicy.html)API mehrere Richtlinienaktualisierungen für ein Amazon S3 S3-Ziel gleichzeitig vornehmen, werden einige Berechtigungen möglicherweise nicht gespeichert. Weitere Informationen zum Amazon S3 S3-Datenkonsistenzmodell finden Sie unter [Amazon S3 S3-Datenkonsistenzmodell](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html#ConsistencyModel) im *Amazon Simple Storage Service-Benutzerhandbuch*.

### Berechtigungen zum Veröffentlichen von Protokollen in einem Amazon S3 S3-Bucket
<a name="waf-policies-logging-s3-permissions"></a>

Für die Konfiguration der Web-ACL-Datenverkehrsprotokollierung für einen Amazon S3 S3-Bucket in einer AWS WAF Richtlinie sind die folgenden Berechtigungseinstellungen erforderlich. Firewall Manager fügt diese Berechtigungen automatisch Ihrem Amazon S3-Bucket zu, wenn Sie Amazon S3 als Ihr Protokollierungsziel konfigurieren, um dem Service die Erlaubnis zu erteilen, Protokolle im Bucket zu veröffentlichen. Wenn Sie den Zugriff auf Ihre Protokollierungs- und Firewall Manager Manager-Ressourcen detaillierter verwalten möchten, können Sie diese Berechtigungen selbst festlegen. Informationen zur Verwaltung von Berechtigungen finden Sie unter [Zugriffsverwaltung für AWS Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) im *IAM-Benutzerhandbuch*. Informationen zu den AWS WAF verwalteten Richtlinien finden Sie unter[AWS verwaltete Richtlinien für AWS WAF](security-iam-awsmanpol.md). 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "AWSLogDeliveryForFirewallManager",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryAclCheckFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix"
        },
        {
            "Sid": "AWSLogDeliveryWriteFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}
```

------

Um das Problem der dienstübergreifenden Verwirrung des Deputy zu vermeiden, können Sie der Richtlinie Ihres Buckets die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale Bedingung hinzufügen. Um diese Schlüssel hinzuzufügen, können Sie entweder die Richtlinie ändern, die Firewall Manager für Sie erstellt, wenn Sie das Protokollierungsziel konfigurieren, oder, wenn Sie eine detaillierte Kontrolle wünschen, können Sie Ihre eigene Richtlinie erstellen. Wenn Sie diese Bedingungen zu Ihrer Zielrichtlinie für die Protokollierung hinzufügen, überprüft oder überwacht Firewall Manager die Schutzmaßnahmen für verwirrte Stellvertreter nicht. Allgemeine Informationen zum Problem mit dem verwirrten Stellvertreter finden Sie unter [Das Problem mit dem verwirrten Stellvertreter](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) im *IAM-Benutzerhandbuch*. 

Wenn Sie die hinzugefügten `sourceArn` Eigenschaften `sourceAccount` hinzufügen, wird die Größe der Bucket-Richtlinie erhöht. Wenn Sie eine lange Liste von `sourceArn` Hinzufügeeigenschaften `sourceAccount` hinzufügen, achten Sie darauf, das [Größenkontingent der Amazon S3 S3-Bucket-Richtlinie](https://docs.aws.amazon.com/general/latest/gr/s3.html#limits_s3) nicht zu überschreiten.

Das folgende Beispiel zeigt, wie Sie das Problem mit dem verwirrten Stellvertreter verhindern können, indem Sie die Kontextschlüssel `aws:SourceArn` und die `aws:SourceAccount` globale Bedingung in der Richtlinie Ihres Buckets verwenden. *member-account-id*Ersetzen Sie es durch das Konto IDs der Mitglieder in Ihrer Organisation.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Id":"AWSLogDeliveryForFirewallManager",
   "Statement":[
      {
         "Sid":"AWSLogDeliveryAclCheckFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:GetBucketAcl",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":[
               "111122223333",
               "444455556666"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
               "arn:aws:logs:*:111122223333:*",
               "arn:aws:logs:*:444455556666:*"
               ]
            }
         }
      },
      {
         "Sid":"AWSLogDeliveryWriteFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:PutObject",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
         "Condition":{
            "StringEquals":{
               "s3:x-amz-acl":"bucket-owner-full-control",
               "aws:SourceAccount":[
               "111122223333",
               "444455556666"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
               "arn:aws:logs:*:111122223333:*",
               "arn:aws:logs:*:444455556666:*"
               ]
            }
         }
      }
   ]
}
```

------

#### Serverseitige Verschlüsselung für Amazon S3 S3-Buckets
<a name="waf-policies-logging-s3-kms-permissions"></a>

Sie können die serverseitige Amazon S3 S3-Verschlüsselung aktivieren oder einen vom AWS Key Management Service Kunden verwalteten Schlüssel für Ihren S3-Bucket verwenden. Wenn Sie sich dafür entscheiden, die standardmäßige Amazon S3 S3-Verschlüsselung in Ihrem Amazon S3 S3-Bucket für AWS WAF Protokolle zu verwenden, müssen Sie keine besonderen Maßnahmen ergreifen. Wenn Sie sich jedoch dafür entscheiden, einen vom Kunden bereitgestellten Verschlüsselungsschlüssel zu verwenden, um Ihre Amazon S3 S3-Daten im Ruhezustand zu verschlüsseln, müssen Sie Ihrer AWS Key Management Service Schlüsselrichtlinie die folgende Berechtigungserklärung hinzufügen:

```
{
            "Sid": "Allow Logs Delivery to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
}
```

Informationen zur Verwendung von vom Kunden bereitgestellten Verschlüsselungsschlüsseln mit Amazon S3 finden Sie unter [Verwenden der serverseitigen Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html) im *Amazon Simple* Storage Service-Benutzerhandbuch.

# Protokollierung für eine AWS WAF Richtlinie in Firewall Manager aktivieren
<a name="waf-policies-enabling-logging"></a>

Das folgende Verfahren beschreibt, wie die Protokollierung für eine AWS WAF Richtlinie in der Firewall Manager Manager-Konsole aktiviert wird.

**Um die Protokollierung für eine AWS WAF Richtlinie zu aktivieren**

1. Bevor Sie die Protokollierung aktivieren können, müssen Sie Ihre Zielressourcen für die Protokollierung wie folgt konfigurieren:
   + **Amazon Kinesis Data Streams** — Erstellen Sie eine Amazon Data Firehose mit Ihrem Firewall Manager Manager-Administratorkonto. Verwenden Sie einen Namen, der mit dem Präfix beginnt. `aws-waf-logs-` Beispiel, `aws-waf-logs-firewall-manager-central`. Erstellen Sie die Datenquelle mit einer `PUT` Quelle und in der Region, in der Sie tätig sind. Wenn Sie Logs für Amazon erfassen CloudFront, erstellen Sie die Firehose in USA East (Nord-Virginia). Bevor Sie ihn verwenden, testen Sie Ihren Lieferstream, um sicherzustellen, dass er über einen ausreichenden Durchsatz verfügt, um die Logs Ihrer Organisation zu speichern. Weitere Informationen finden Sie unter [Creating an Amazon Data Firehose delivery stream](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).
   + **Amazon Simple Storage Service-Buckets** — Erstellen Sie einen Amazon S3 S3-Bucket gemäß den Richtlinien im Thema [Amazon Simple Storage Service](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html) im *AWS WAF Entwicklerhandbuch*. Sie müssen Ihren Amazon S3 S3-Bucket auch mit den unter aufgeführten Berechtigungen konfigurieren[Berechtigungen zum Veröffentlichen von Protokollen in einem Amazon S3 S3-Bucket](waf-policies-logging-destinations.md#waf-policies-logging-s3-permissions).

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich die Option **Sicherheitsrichtlinien** aus.

1. Wählen Sie die AWS WAF Richtlinie aus, für die Sie die Protokollierung aktivieren möchten. Weitere Informationen zur AWS WAF -Protokollierung finden Sie unter [Protokollierung AWS WAF des Datenverkehrs mit dem Protection Pack (Web-ACL)](logging.md).

1. Wählen Sie auf der Registerkarte **Richtliniendetails** im Abschnitt **Richtlinienregeln** die Option **Bearbeiten** aus. 

1. Wählen Sie für die **Konfiguration der Protokollierung** die Option **Protokollierung aktivieren** aus, um die Protokollierung zu aktivieren. Die Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. Wählen Sie das **Logging-Ziel** und anschließend das von Ihnen konfigurierte Logging-Ziel aus. Sie müssen ein Protokollierungsziel auswählen, dessen Name mit `aws-waf-logs-` beginnt. Informationen zur Konfiguration eines AWS WAF Protokollierungsziels finden Sie unter[AWS WAF Richtlinien mit Firewall Manager verwenden](waf-policies.md).

1. (Optional) Wenn Sie nicht möchten, dass bestimmte Felder und deren Werte in den Protokollen enthalten sind, machen Sie diese Felder unkenntlich. Wählen Sie das Feld aus, das unkenntlich gemacht werden soll, und klicken Sie dann auf **Add (Hinzufügen)**. Wiederholen Sie diesen Vorgang nach Bedarf, um zusätzliche Felder unkenntlich zu machen. Die unkenntlich gemachten Felder werden als `REDACTED` in den Protokollen angezeigt. Wenn Sie beispielsweise das Feld **URI** unkenntlich machen, wird das Feld **URI** in den Protokollen als `REDACTED` angezeigt. 

1. (Optional) Wenn Sie nicht alle Anforderungen an die Protokolle senden möchten, fügen Sie Filterkriterien und -verhalten hinzu. Wählen Sie unter **Filter logs** (Protokolle filtern) für jeden Filter, den Sie anwenden möchten, **Add filter** (Filter hinzufügen) aus. Wählen Sie dann Ihre Filterkriterien und geben Sie an, ob Sie Anforderungen, die den Kriterien entsprechen, beibehalten oder löschen möchten. Wenn Sie mit dem Hinzufügen von Filtern fertig sind, ändern Sie bei Bedarf das **Standardprotokollierungsverhalten**. Weitere Informationen finden Sie unter [Suchen nach Ihren Protection Pack-Einträgen (Web-ACL)](logging-management.md) im *AWS WAF -Entwicklerhandbuch*.

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie Ihre Einstellungen und wählen Sie dann **Speichern**, um Ihre Änderungen an der Richtlinie zu speichern.

# Deaktivieren der Protokollierung für eine AWS WAF Richtlinie in Firewall Manager
<a name="waf-policies-disabling-logging"></a>

Das folgende Verfahren beschreibt, wie die Protokollierung für eine AWS WAF Richtlinie in der Firewall Manager Manager-Konsole deaktiviert wird.

**Um die Protokollierung für eine AWS WAF Richtlinie zu deaktivieren**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich die Option **Sicherheitsrichtlinien** aus.

1. Wählen Sie die AWS WAF Richtlinie aus, für die Sie die Protokollierung deaktivieren möchten.

1. Wählen Sie auf der Registerkarte **Richtliniendetails** im Abschnitt **Richtlinienregeln** die Option **Bearbeiten** aus. 

1. Wählen **Sie für den Status der Protokollierung der Konfiguration** die Option **Deaktiviert** aus.

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie Ihre Einstellungen und wählen Sie dann **Speichern**, um Ihre Änderungen an der Richtlinie zu speichern.

**Anmerkung**  
Ändern oder deaktivieren Sie die Protokollierung für Firewall Manager Manager-Richtlinien nur über die Firewall Manager Manager-Oberfläche. Wenn Sie AWS WAF die Protokollierungskonfiguration einer Web-ACL aktualisieren oder löschen, die von Firewall Manager verwaltet wird, erkennt Firewall Manager die Änderung nicht automatisch. Wenn Sie dies verwendet haben AWS WAF, können Sie manuell eine Aktualisierung der Firewall Manager AWS WAF Manager-Richtlinie veranlassen, indem Sie die Regel der Richtlinie unter neu bewerten. AWS Config Suchen Sie dazu in der AWS Config Konsole die AWS Config Regel für die Firewall Manager Manager-Richtlinie und wählen Sie die Aktion Neuauswertung aus. 

# AWS Shield Advanced Richtlinien im Firewall Manager verwenden
<a name="shield-policies"></a>

Auf dieser Seite wird erklärt, wie AWS Shield Richtlinien mit Firewall Manager verwendet werden. In einer Firewall Manager AWS Shield Manager-Richtlinie wählen Sie die Ressourcen aus, die Sie schützen möchten. Wenn Sie die Richtlinie mit aktivierter auto Korrektur anwenden, ordnet Firewall Manager für jede im Geltungsbereich befindliche Ressource, die noch keiner AWS WAF Web-ACL zugeordnet ist, eine leere AWS WAF Web-ACL zu. Die leere Web-ACL wird für Shield-Überwachungszwecke verwendet. Wenn Sie der Ressource dann eine andere Web-ACL zuordnen, entfernt Firewall Manager die leere Web-ACL-Zuordnung.

**Anmerkung**  
Wenn eine Ressource, die in den Geltungsbereich einer AWS WAF Richtlinie fällt, in den Geltungsbereich einer Shield Advanced-Richtlinie fällt, die mit [automatischer Abwehr der Anwendungsebene DDo S](ddos-automatic-app-layer-response.md) konfiguriert ist, wendet Firewall Manager den Shield Advanced-Schutz erst an, nachdem die durch die AWS WAF Richtlinie erstellte Web-ACL zugeordnet wurde.

## Wie AWS Firewall Manager verwaltet Shield-Richtlinien für nicht verknüpfte Websites ACLs
<a name="shield-policies-unused-web-acls"></a>

Sie können über die Einstellung Nicht zugeordnetes Web **verwalten in Ihrer Richtlinie oder über die ACLs Einstellung im [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html)Datentyp in der `optimizeUnassociatedWebACLs` API konfigurieren, ob Firewall Manager nicht zugeordnetes Web ACLs ** für Sie verwaltet. Wenn Sie ACLs in Ihrer Richtlinie die Verwaltung nicht verknüpfter Websites aktivieren, erstellt Firewall Manager nur dann Websites ACLs in den Konten innerhalb des Richtlinienbereichs, wenn das Internet von mindestens einer Ressource verwendet ACLs wird. Wenn ein Konto zu irgendeinem Zeitpunkt in den Geltungsbereich der Richtlinie fällt, erstellt Firewall Manager automatisch eine Web-ACL in dem Konto, sofern mindestens eine Ressource die Web-ACL verwendet.

Wenn Sie die Verwaltung von nicht verknüpften Websites aktivieren ACLs, führt Firewall Manager eine einmalige Bereinigung der nicht verknüpften Websites ACLs in Ihrem Konto durch. Der Säuberungsvorgang kann mehrere Stunden dauern. Wenn eine Ressource den Richtlinienbereich verlässt, nachdem Firewall Manager eine Web-ACL erstellt hat, trennt Firewall Manager die Ressource nicht von der Web-ACL. Wenn Sie möchten, dass Firewall Manager die Web-ACL bereinigt, müssen Sie zuerst die Ressourcen manuell von der Web-ACL trennen und dann die ACLs Option „Nicht zugeordnete Websites verwalten“ in Ihrer Richtlinie aktivieren.

Wenn Sie diese Option nicht aktivieren, verwaltet Firewall Manager keine nicht verknüpften Websites ACLs, und Firewall Manager erstellt automatisch eine Web-ACL für jedes Konto, das innerhalb des Richtlinienbereichs liegt.

## Wie geht man AWS Firewall Manager mit Umfangsänderungen der Shield-Richtlinien um?
<a name="shield-policies-changes-in-scope"></a>

Konten und Ressourcen können aufgrund einer Reihe von Änderungen, wie z. B. Änderungen an den Einstellungen des Richtlinienbereichs, Änderungen an den Tags auf einer Ressource und der Entfernung eines Kontos aus einer Organisation, den Geltungsbereich einer AWS Firewall Manager Shield Advanced-Richtlinie verlassen. Allgemeine Informationen zu den Einstellungen für den Geltungsbereich von Richtlinien finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

Bei einer AWS Firewall Manager Shield Advanced-Richtlinie beendet Firewall Manager die Überwachung des Kontos oder der Ressource, wenn ein Konto oder eine Ressource den Gültigkeitsbereich überschreitet. 

Wenn ein Konto nicht mehr gültig ist, weil es aus der Organisation entfernt wird, wird es weiterhin Shield Advanced abonniert. Da das Konto nicht mehr Teil der konsolidierten Fakturierungsfamilie ist, fällt für das Konto eine anteilige Shield Advanced-Abonnementgebühr an. Auf der anderen Seite fallen für ein Konto, das nicht mehr in den Geltungsbereich fällt, aber in der Organisation verbleibt, keine zusätzlichen Gebühren an. 

Bei Shield-Richtlinien, die Classic WebACL verwenden, gilt: Wenn eine Ressource den Geltungsbereich überschreitet, wird sie weiterhin durch Shield Advanced geschützt und es fallen weiterhin Shield Advanced-Datenübertragungsgebühren an.

# Verwenden der automatischen Abwehr von Anwendungsschicht DDo S mit erweiterten Firewall Manager Shield-Richtlinien
<a name="shield-policies-auto-app-layer-mitigation"></a>

Auf dieser Seite wird erklärt, wie die automatische Abwehr von Anwendungsschicht DDo S mit Firewall Manager funktioniert.

Wenn Sie eine Shield Advanced-Richtlinie auf CloudFront Amazon-Distributionen oder Application Load Balancers anwenden, haben Sie die Möglichkeit, die automatische Shield Advanced-Abwehr auf Anwendungsebene DDo S in der Richtlinie zu konfigurieren. 

Informationen zur automatischen Abwehr von Shield Advanced finden Sie unter[Automatisierung der Risikominderung auf Anwendungsebene DDo S mit Shield Advanced](ddos-automatic-app-layer-response.md).

Für die automatische Abwehr von Shield Advanced auf Anwendungsschicht DDo S gelten die folgenden Anforderungen: 
+ Die automatische Abwehr von Anwendungsschicht DDo S funktioniert nur mit CloudFront Amazon-Distributionen und Application Load Balancers.

  Wenn Sie Ihre Shield Advanced-Richtlinie auf CloudFront Amazon-Distributionen anwenden, können Sie diese Option für Shield Advanced-Richtlinien wählen, die Sie für die **globale** Region erstellen. Wenn Sie Schutzmaßnahmen auf Application Load Balancers anwenden, können Sie die Richtlinie auf jede Region anwenden, die Firewall Manager unterstützt.
+ Die automatische Abwehr auf Anwendungsebene DDo S funktioniert nur mit Schutzpaketen (Web ACLs), die mit der neuesten Version von AWS WAF (v2) erstellt wurden. 

  Aus diesem Grund müssen Sie, wenn Sie eine Richtlinie haben ACLs, die AWS WAF Classic Web verwendet, entweder die Richtlinie durch eine neue Richtlinie ersetzen, die automatisch die neueste Version von verwendet AWS WAF, oder Firewall Manager eine neue Webversion ACLs für Ihre bestehende Richtlinie erstellen lassen und zu deren Verwendung übergehen. Weitere Informationen zu diesen Optionen finden Sie unter [Ersetzen Sie AWS WAF Classic Web durch die neueste Web-Version ACLs ACLs](#shield-policies-auto-app-layer-update-waf-version).

## Konfiguration der automatischen Schadensbegrenzung
<a name="shield-policies-auto-app-layer-mitigation-config"></a>

Die automatische Schadensbegrenzungsoption auf Anwendungsebene DDo S für Firewall Manager Shield Advanced-Richtlinien wendet die automatische Schadensbegrenzungsfunktion von Shield Advanced auf die Konten und Ressourcen Ihrer Richtlinie an, die in den Geltungsbereich Ihrer Richtlinie fallen. Ausführliche Informationen zu dieser Shield Advanced-Funktion finden Sie unter[Automatisierung der Risikominderung auf Anwendungsebene DDo S mit Shield Advanced](ddos-automatic-app-layer-response.md).

Sie können wählen, ob Firewall Manager die automatische Risikominderung für die CloudFront Distributionen oder Application Load Balancer aktiviert oder deaktiviert, die in den Geltungsbereich der Richtlinie fallen, oder Sie können festlegen, dass die Richtlinie die automatischen Risikominderungseinstellungen von Shield Advanced ignoriert: 
+ **Aktivieren** — Wenn Sie die automatische Abwehr aktivieren möchten, geben Sie auch an, ob bei der Abwehr von Shield Advanced-Regeln übereinstimmende Webanfragen gezählt oder blockiert werden sollen. Firewall Manager markiert Ressourcen im Geltungsbereich als nicht konform, wenn für sie entweder keine automatische Schadensbegrenzung aktiviert ist oder wenn sie eine Regelaktion verwenden, die nicht der von Ihnen für die Richtlinie angegebenen entspricht. Wenn Sie die Richtlinie für die automatische Behebung konfigurieren, aktualisiert Firewall Manager nicht konforme Ressourcen nach Bedarf. 
+ **Deaktivieren** — Wenn Sie sich dafür entscheiden, die automatische Risikominderung zu deaktivieren, markiert Firewall Manager Ressourcen im Geltungsbereich als nicht konform, wenn für sie die automatische Risikominderung aktiviert ist. Wenn Sie die Richtlinie für die automatische Behebung konfigurieren, aktualisiert Firewall Manager nicht konforme Ressourcen nach Bedarf. 
+ **Ignorieren** — Wenn Sie sich dafür entscheiden, die automatische Risikominderung zu ignorieren, berücksichtigt Firewall Manager keine der Einstellungen für die automatische Risikominderung in Ihrer Shield-Richtlinie, wenn er Behebungsaktivitäten für die Richtlinie durchführt. Mit dieser Einstellung können Sie die automatische Abwehr über Shield Advanced steuern, ohne dass diese Einstellungen vom Firewall Manager überschrieben werden. Diese Einstellung gilt nicht für Classic Load Balancer- oder IPs Elastic-Ressourcen, die über Shield Advanced verwaltet werden, da Shield Advanced derzeit keine automatische L7-Abwehr für diese Ressourcen unterstützt.

  

## Ersetzen Sie AWS WAF Classic Web durch die neueste Web-Version ACLs ACLs
<a name="shield-policies-auto-app-layer-update-waf-version"></a>

Die automatische Schadensbegrenzung auf Anwendungsebene DDo S funktioniert nur mit Schutzpaketen (Web ACLs), die mit der neuesten Version von AWS WAF (v2) erstellt wurden. 

Informationen zur Bestimmung der Web-ACL-Version für Ihre Shield Advanced-Richtlinie finden Sie unter[Ermitteln der Version AWS WAF , die von einer Shield Advanced-Richtlinie verwendet wird](shield-policies-identify-waf-version.md). 

Wenn Sie die automatische Abwehr in Ihrer Shield Advanced-Richtlinie verwenden möchten und Ihre Richtlinie derzeit AWS WAF Classic Web verwendet ACLs, können Sie entweder eine neue Shield Advanced-Richtlinie erstellen, die Ihre aktuelle ersetzt, oder Sie können die in diesem Abschnitt beschriebenen Optionen verwenden, um die frühere Version Web ACLs ACLs innerhalb Ihrer aktuellen Shield Advanced-Richtlinie durch eine neue (v2) Web-Version zu ersetzen. Neue Richtlinien erstellen das Web immer ACLs mit der neuesten Version von AWS WAF. Wenn Sie die gesamte Richtlinie ersetzen und sie löschen, können Sie festlegen, dass Firewall Manager auch die gesamte frühere ACLs Webversion löscht. Im Rest dieses Abschnitts werden Ihre Optionen zum Ersetzen des Webs ACLs innerhalb Ihrer bestehenden Richtlinie beschrieben.

Wenn Sie eine bestehende Shield Advanced-Richtlinie für CloudFront Amazon-Ressourcen ändern, kann Firewall Manager automatisch eine neue leere AWS WAF (v2) Web-ACL für die Richtlinie erstellen, und zwar für jedes Konto im Geltungsbereich, das noch nicht über eine v2-Web-ACL verfügt. Wenn Firewall Manager eine neue Web-ACL erstellt und die Richtlinie bereits über eine AWS WAF klassische Web-ACL in demselben Konto verfügt, konfiguriert Firewall Manager die Web-ACL der neuen Version mit derselben Standardaktionseinstellung wie die vorhandene Web-ACL. Wenn keine AWS WAF klassische Web-ACL vorhanden ist, legt Firewall Manager die Standardaktion Allow in der neuen Web-ACL auf fest. Nachdem Firewall Manager eine neue Web-ACL erstellt hat, können Sie sie über die AWS WAF Konsole nach Bedarf anpassen. 

Wenn Sie eine der folgenden Richtlinienkonfigurationsoptionen wählen, erstellt Firewall Manager ein neues (v2) Web ACLs für in den Geltungsbereich fallende Konten, die noch nicht über diese verfügen: 
+ Wenn Sie die automatische Schadensbegrenzung auf Anwendungsebene DDo S aktivieren oder deaktivieren. Diese Wahl allein veranlasst den Firewall Manager nur, das neue Web zu erstellen ACLs, und ersetzt keine vorhandenen AWS WAF Classic-Web-ACL-Zuordnungen für die in den Geltungsbereich der Richtlinie fallenden Ressourcen. 
+ Wenn Sie sich für die Richtlinienaktion „Automatische Problembehebung“ entscheiden und die Option wählen, das AWS WAF klassische Web durch das Web ACLs AWS WAF (v2) zu ersetzen. ACLs Sie können sich ACLs unabhängig von Ihren Konfigurationsoptionen für die automatische Risikominderung auf Anwendungsebene DDo S dafür entscheiden, frühere Versionen von Web zu ersetzen. 

  Wenn Sie die Ersatzoption wählen, erstellt Firewall Manager die neue Version Web nach ACLs Bedarf und führt dann die folgenden Schritte für die in den Geltungsbereich der Richtlinie fallenden Ressourcen aus: 
  + Wenn eine Ressource mit einer Web-ACL aus einer anderen aktiven Firewall Manager-Richtlinie verknüpft ist, lässt Firewall Manager die Zuordnung unverändert. 
  + In allen anderen Fällen entfernt Firewall Manager jegliche Zuordnung zu einer AWS WAF klassischen Web-ACL und ordnet die Ressource der Web-ACL AWS WAF (v2) der Richtlinie zu. 

Sie können festlegen, dass Firewall Manager die frühere Version Web ACLs durch die neue Version Web ersetztACLs , wenn Sie möchten. Wenn Sie das AWS WAF klassische Web der Richtlinie zuvor angepasst haben ACLs, können Sie die neue Version Web ACLs auf vergleichbare Einstellungen aktualisieren, bevor Sie festlegen, dass Firewall Manager den Schritt zum Ersetzen durchführt. 

Sie können auf beide Versionen von Web-ACL für eine Richtlinie über dieselbe Version der Konsole für AWS WAF oder AWS WAF Classic zugreifen. 

Firewall Manager löscht kein ersetztes AWS WAF Classic Web, ACLs bis Sie die Richtlinie selbst löschen. Wenn die AWS WAF Classic Web ACLs nicht mehr von der Richtlinie verwendet werden, können Sie sie löschen, wenn Sie möchten.

# Ermitteln der Version AWS WAF , die von einer Shield Advanced-Richtlinie verwendet wird
<a name="shield-policies-identify-waf-version"></a>

Auf dieser Seite wird erklärt, wie Sie feststellen können, welche Version von AWS WAF Web-ACL Ihre Shield Advanced-Richtlinie verwendet.

Sie können feststellen, welche Version AWS WAF Ihrer Firewall Manager Shield Advanced-Richtlinie verwendet, indem Sie sich die Parameterschlüssel in der AWS Config serviceverknüpften Regel der Richtlinie ansehen. Wenn es sich bei der verwendeten AWS WAF Version um die neueste Version handelt, enthalten die Parameterschlüssel `policyId` und`webAclArn`. Wenn es sich um die frühere Version, AWS WAF Classic, handelt, enthalten die Parameterschlüssel `webAclId` und`resourceTypes`. 

 AWS Config In der Regel werden nur Schlüssel für das Web aufgeführt ACLs , die die Richtlinie derzeit mit Ressourcen innerhalb des Gültigkeitsbereichs verwendet. 

**So ermitteln Sie, welche Version AWS WAF Ihrer Firewall Manager Shield Advanced-Richtlinie verwendet**

1. Rufen Sie die Richtlinien-ID für die Shield Advanced-Richtlinie ab: 

   1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

   1. Wählen Sie im Navigationsbereich **Sicherheitsrichtlinien** aus.

   1. Wählen Sie die Region für die Richtlinie aus. Für CloudFront Distributionen ist `Global` dies.

   1. Suchen Sie die gewünschte Richtlinie und kopieren Sie den Wert der zugehörigen **Richtlinien-ID**. 

      Beispiel für eine Richtlinien-ID:`1111111-2222-3333-4444-a55aa5aaa555`.

1. Erstellen Sie den AWS Config Regelnamen der Richtlinie, indem Sie die Richtlinien-ID an die Zeichenfolge `FMManagedShieldConfigRule` anhängen. 

   Beispiel für einen AWS Config Regelnamen:`FMManagedShieldConfigRule1111111-2222-3333-4444-a55aa5aaa555`.

1. Suchen Sie in den Parametern für die zugehörige AWS Config Regel nach Schlüsseln mit den Namen `policyId` und`webAclArn`: 

   1. Öffnen Sie die AWS Config Konsole zu [https://console.aws.amazon.com/config/Hause](https://console.aws.amazon.com/config/home).

   1. Wählen Sie im Navigationsbereich **Regeln** aus.

   1. Suchen Sie den AWS Config Regelnamen Ihrer Firewall Manager Manager-Richtlinie in der Liste und wählen Sie ihn aus. Die Seite der Regel wird geöffnet. 

   1. Sehen Sie sich unter **Regeldetails** im Abschnitt **Parameter** die Schlüssel an. Wenn Sie Schlüssel mit dem Namen `policyId` und finden`webAclArn`, verwendet die Richtlinie Websites ACLs , die mit der neuesten Version von erstellt wurden AWS WAF. Wenn Sie Schlüssel mit dem Namen `webAclId` und finden`resourceTypes`, verwendet die Richtlinie Websites ACLs , die mit der früheren Version AWS WAF Classic erstellt wurden. 

# Verwenden von Sicherheitsgruppenrichtlinien in Firewall Manager zur Verwaltung von Amazon VPC-Sicherheitsgruppen
<a name="security-group-policies"></a>

Auf dieser Seite wird erklärt, wie Sie AWS Firewall Manager Sicherheitsgruppenrichtlinien verwenden, um Amazon Virtual Private Cloud-Sicherheitsgruppen für Ihr Unternehmen in zu verwalten AWS Organizations. Sie können zentral gesteuerte Sicherheitsgruppenrichtlinien auf Ihre gesamte Organisation oder auf eine ausgewählte Teilmenge Ihrer Konten und Ressourcen anwenden. Sie können auch die Sicherheitsgruppenrichtlinien, die in Ihrer Organisation verwendet werden, mit Prüfungs- und Verwendungssicherheitsgruppenrichtlinien überwachen und verwalten.

Firewall Manager verwaltet Ihre Richtlinien kontinuierlich und wendet sie auf Konten und Ressourcen an, sobald sie in Ihrem Unternehmen hinzugefügt oder aktualisiert werden. Weitere Informationen dazu AWS Organizations finden Sie im [AWS Organizations Benutzerhandbuch](https://docs.aws.amazon.com/organizations/latest/userguide/). 

Informationen zu Amazon Virtual Private Cloud-Sicherheitsgruppen finden Sie unter [Sicherheitsgruppen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) im *Amazon VPC-Benutzerhandbuch*.

Sie können die Sicherheitsgruppenrichtlinien von Firewall Manager verwenden, um in Ihrer gesamten AWS Organisation Folgendes zu tun: 
+ Anwenden gemeinsamer Sicherheitsgruppen auf bestimmte Konten und Ressourcen. 
+ Prüfen von Sicherheitsgruppenregeln, um nicht konforme Regeln zu finden und zu korrigieren. 
+ Prüfen der Verwendung von Sicherheitsgruppen, um nicht verwendete und redundante Sicherheitsgruppen zu bereinigen. 

Dieser Abschnitt beschreibt, wie die Sicherheitsgruppenrichtlinien von Firewall Manager funktionieren, und enthält Anleitungen zu ihrer Verwendung. Verfahren zum Erstellen von Sicherheitsgruppenrichtlinien finden Sie unter[Eine AWS Firewall Manager Richtlinie erstellen](create-policy.md). 

## Bewährte Methoden für Sicherheitsgruppenrichtlinien
<a name="security-groups-best-practice"></a>

In diesem Abschnitt werden Empfehlungen zum Verwalten von Sicherheitsgruppen mit AWS Firewall Manager erläutert:

**Schließen Sie das Firewall Manager Manager-Administratorkonto aus**  
Wenn Sie den Geltungsbereich der Richtlinie festlegen, schließen Sie das Firewall Manager Manager-Administratorkonto aus. Wenn Sie eine Nutzungsprüfungssicherheitsgruppenrichtlinie über die Konsole erstellen, ist dies die Standardoption. 

**Beginnen Sie mit deaktivierter automatischer Korrektur**  
Bei Content- oder Nutzungsprüfungssicherheitsgruppenrichtlinien sollten Sie die automatische Korrektur deaktivieren. Überprüfen Sie die Richtliniendetails, um festzustellen, welche Auswirkungen die automatische Korrektur haben würde. Wenn Sie sich sicher sind, dass die Änderungen Ihren Wünschen entsprechen, bearbeiten Sie die Richtlinie, um die automatische Korrektur zu aktivieren.

**Vermeiden Sie Konflikte, wenn Sie zum Verwalten von Sicherheitsgruppen auch externe Quellen verwenden**  
Wenn Sie zur Verwaltung von Sicherheitsgruppen ein anderes Tool oder einen anderen Dienst als Firewall Manager verwenden, achten Sie darauf, Konflikte zwischen Ihren Einstellungen in Firewall Manager und den Einstellungen in Ihrer externen Quelle zu vermeiden. Wenn Sie die automatische Korrektur verwenden und Ihre Einstellungen Konflikte verursachen, kann dies zu einer Kette von widersprüchlichen Korrekturen führen, bei der Ressourcen auf beiden Seiten verbraucht werden. 

Angenommen, Sie konfigurieren einen anderen Dienst, um eine Sicherheitsgruppe für eine Reihe von AWS Ressourcen zu verwalten, und Sie konfigurieren eine Firewall Manager Manager-Richtlinie, um eine andere Sicherheitsgruppe für einige oder alle derselben Ressourcen zu verwalten. Wenn Sie eine der beiden Seiten so konfigurieren, dass die Zuordnung einer anderen Sicherheitsgruppe zu den Ressourcen des Bereichs nicht zulässig ist, entfernt diese Seite die Zuordnung der Sicherheitsgruppe, die von der anderen Seite aufrechterhalten wird. Wenn beide Seiten auf diese Weise konfiguriert sind, kann dies zu einem Kreislauf widersprüchlicher Dissoziationen und Assoziationen führen. 

Nehmen wir außerdem an, Sie erstellen eine Firewall Manager Manager-Überwachungsrichtlinie, um eine Sicherheitsgruppenkonfiguration durchzusetzen, die mit der Sicherheitsgruppenkonfiguration des anderen Dienstes in Konflikt steht. Die von der Firewall Manager Manager-Überwachungsrichtlinie angewandte Korrektur kann diese Sicherheitsgruppe aktualisieren oder löschen, wodurch sie für den anderen Dienst nicht mehr richtlinientreu ist. Wenn der andere Dienst so konfiguriert ist, dass er alle gefundenen Probleme überwacht und automatisch behebt, erstellt er die Sicherheitsgruppe neu oder aktualisiert sie, wodurch sie erneut nicht mehr den Firewall-Manager-Überwachungsrichtlinien entspricht. Wenn die Firewall Manager Manager-Überwachungsrichtlinie mit automatischer Behebung konfiguriert ist, aktualisiert oder löscht sie erneut die externe Sicherheitsgruppe usw.

Um solche Konflikte zu vermeiden, sollten Sie Konfigurationen zwischen Firewall Manager und externen Quellen erstellen, die sich gegenseitig ausschließen. 

Sie können Tagging verwenden, um externe Sicherheitsgruppen von der automatischen Problembehebung durch Ihre Firewall Manager Manager-Richtlinien auszuschließen. Fügen Sie dazu den Sicherheitsgruppen oder anderen Ressourcen ein oder mehrere Tags hinzu, die von der externen Quelle verwaltet werden. Wenn Sie dann den Geltungsbereich der Firewall Manager Manager-Richtlinie definieren, schließen Sie in Ihrer Ressourcenspezifikation Ressourcen aus, die das oder die Tags haben, die Sie hinzugefügt haben. 

Ebenso sollten Sie in Ihrem externen Tool oder Dienst die von Firewall Manager verwalteten Sicherheitsgruppen von allen Verwaltungs- oder Überwachungsaktivitäten ausschließen. Importieren Sie die Firewall Manager Manager-Ressourcen entweder nicht oder verwenden Sie Firewall Manager-spezifisches Tagging, um sie von der externen Verwaltung auszuschließen.

**Bewährte Methoden für die Nutzungsprüfung und Sicherheitsgruppenrichtlinien**  
Beachten Sie diese Richtlinien, wenn Sie Sicherheitsgruppenrichtlinien für die Nutzungsüberwachung verwenden. 
+ Vermeiden Sie es, innerhalb kurzer Zeit, z. B. innerhalb eines Zeitfensters von 15 Minuten, mehrere Änderungen am Zuordnungsstatus einer Sicherheitsgruppe vorzunehmen. Dies kann dazu führen, dass Firewall Manager einige oder alle der entsprechenden Ereignisse verpasst. Ordnen Sie beispielsweise eine Sicherheitsgruppe nicht schnell einer elastic network interface zu oder trennen Sie sie. 

## Vorbehalte und Einschränkungen der Sicherheitsgruppenrichtlinien
<a name="security-groups-limitations"></a>

In diesem Abschnitt werden die Vorbehalte und Einschränkungen für die Verwendung von Firewall Manager Manager-Sicherheitsgruppenrichtlinien aufgeführt.

**Ressourcentyp: Amazon EC2 EC2-Instance**  
In diesem Abschnitt werden die Vorbehalte und Einschränkungen für den Schutz von Amazon EC2 EC2-Instances mit Firewall Manager Manager-Sicherheitsgruppenrichtlinien aufgeführt.
+ Bei Sicherheitsgruppen, die Amazon EC2 Elastic Network Interfaces (ENIs) schützen, sind Änderungen an einer Sicherheitsgruppe für Firewall Manager nicht sofort sichtbar. Der Firewall Manager erkennt Änderungen normalerweise innerhalb weniger Stunden, die Erkennung kann sich jedoch um bis zu sechs Stunden verzögern. 
+ Firewall Manager unterstützt keine Sicherheitsgruppen für Amazon EC2 ENIs , die vom Amazon Relational Database Service erstellt wurden. 
+ Firewall Manager unterstützt keine Aktualisierung von Sicherheitsgruppen für Amazon EC2 EC2-ENIs, die mit dem Fargate-Diensttyp erstellt wurden. Sie können jedoch Sicherheitsgruppen für Amazon ECS-ENIs mit dem Amazon EC2-Servicetyp aktualisieren. 
+ Firewall Manager unterstützt die Aktualisierung von Sicherheitsgruppen für Amazon EC2 ENIs, die vom Antragsteller verwaltet werden, nicht, da Firewall Manager nicht berechtigt ist, sie zu ändern. 
+ Bei gängigen Sicherheitsgruppenrichtlinien betreffen diese Vorbehalte das Zusammenspiel zwischen der Anzahl der Elastic Network Interfaces (ENIs), die an die EC2-Instance angehängt sind, und der Policy-Option, die festlegt, ob nur EC2-Instances ohne hinzugefügte Anhänge oder alle Instances repariert werden sollen. Jede EC2-Instance hat eine standardmäßige primäre ENI, und Sie können weitere hinzufügen. ENIs In der API lautet `ApplyToAllEC2InstanceENIs` die Richtlinienoptionseinstellung für diese Auswahl. 

  Wenn an eine EC2-Instance im Geltungsbereich zusätzliche ENIs angehängt sind und die Richtlinie so konfiguriert ist, dass sie nur EC2-Instances mit nur der primären ENI umfasst, versucht Firewall Manager nicht, eine Korrektur für die EC2-Instance durchzuführen. Wenn die Instanz den Richtlinienbereich verlässt, versucht Firewall Manager außerdem nicht, die Zuordnung von Sicherheitsgruppenzuordnungen aufzuheben, die er möglicherweise für die Instanz eingerichtet hat. 

  In den folgenden Ausnahmefällen kann Firewall Manager bei der Ressourcensäuberung replizierte Sicherheitsgruppenzuordnungen unabhängig von den Ressourcenbereinigungsspezifikationen der Richtlinie intakt lassen:
  + Wenn eine Instanz mit zusätzlichen ENIs zuvor durch eine Richtlinie behoben wurde, die so konfiguriert war, dass sie alle EC2-Instanzen einschließt, und dann entweder die Instanz den Richtlinienbereich verlassen hat oder die Richtlinieneinstellung so geändert wurde, dass sie nur Instances ohne zusätzliche einbezieht. ENIs 
  + Wenn eine Instanz ohne zusätzliche Instanzen durch eine Richtlinie behoben ENIs wurde, die so konfiguriert war, dass sie nur Instances ohne zusätzliche Instances einschloss ENIs, wurde der Instance eine weitere ENI hinzugefügt, sodass die Instance den Geltungsbereich der Richtlinie verließ. 

**Weitere Vorbehalte und Einschränkungen**  
Im Folgenden finden Sie verschiedene Vorbehalte und Einschränkungen für Firewall Manager Manager-Sicherheitsgruppenrichtlinien.
+ Die Sicherheitsgruppenrichtlinien von Firewall Manager unterstützen keine Sicherheitsgruppen, die gemeinsam genutzt werden AWS RAM. 
+ Die Verwendung von AWS RAM zur gemeinsamen Nutzung von Präfixlisten innerhalb einer Organisation ist keine offiziell unterstützte Funktion von Firewall Manager. Es mag zwar heute funktionieren, aber es besteht weder eine Verpflichtung, Support für diesen Anwendungsfall anzubieten, noch eine Garantie, dass es weiterhin funktioniert. AWS 
+ Die Aktualisierung von Amazon ECS ENIs ist nur für Amazon ECS-Services möglich, die den Rolling Update (Amazon ECS) Deployment Controller verwenden. Für andere Amazon ECS-Bereitstellungscontroller wie CODE\$1DEPLOY oder externe Controller kann Firewall Manager die derzeit nicht aktualisieren. ENIs 
+ Firewall Manager unterstützt die Aktualisierung von Sicherheitsgruppen ENIs für Network Load Balancers nicht. 
+ In gängigen Sicherheitsgruppenrichtlinien gilt Folgendes: Wenn eine gemeinsam genutzte VPC später nicht mehr mit einem Konto geteilt wird, löscht Firewall Manager die Replikat-Sicherheitsgruppen im Konto nicht.
+ Wenn Sie bei Sicherheitsgruppenrichtlinien zur Nutzungsüberwachung mehrere Richtlinien mit einer benutzerdefinierten Verzögerungszeiteinstellung erstellen, die alle denselben Geltungsbereich haben, ist die erste Richtlinie mit den Konformitätsergebnissen die Richtlinie, die die Ergebnisse meldet. 

## Anwendungsfälle für Sicherheitsgruppenrichtlinien
<a name="security-group-policies-use-cases"></a>

Sie können AWS Firewall Manager allgemeine Sicherheitsgruppenrichtlinien verwenden, um die Host-Firewall-Konfiguration für die Kommunikation zwischen Amazon VPC-Instances zu automatisieren. In diesem Abschnitt werden die Amazon VPC-Standardarchitekturen aufgeführt und beschrieben, wie die einzelnen Architekturen mithilfe der allgemeinen Sicherheitsgruppenrichtlinien von Firewall Manager gesichert werden können. Diese Sicherheitsgruppenrichtlinien können Ihnen helfen, ein einheitliches Regelwerk anzuwenden, um Ressourcen in verschiedenen Konten auszuwählen und Konfigurationen pro Konto in Amazon Elastic Compute Cloud und Amazon VPC zu vermeiden. 

Mit den allgemeinen Sicherheitsgruppenrichtlinien von Firewall Manager können Sie nur die EC2-Elastic Network-Schnittstellen taggen, die Sie für die Kommunikation mit Instances in einer anderen Amazon VPC benötigen. Die anderen Instances in derselben Amazon VPC sind dann sicherer und isolierter. 

**Anwendungsfall: Überwachung und Steuerung von Anfragen an Application Load Balancers und Classic Load Balancers**  
Sie können eine allgemeine Sicherheitsgruppenrichtlinie von Firewall Manager verwenden, um zu definieren, welche Anfragen Ihre Load Balancer im Geltungsbereich bearbeiten sollen. Sie können dies über die Firewall Manager Manager-Konsole konfigurieren. Nur Anfragen, die den Regeln der Sicherheitsgruppe für eingehende Nachrichten entsprechen, können Ihre Load Balancer erreichen, und die Load Balancer verteilen nur Anfragen, die den Regeln für ausgehende Nachrichten entsprechen. 

**Anwendungsfall: Über das Internet zugängliche, öffentliche Amazon VPC**  
Sie können eine allgemeine Sicherheitsgruppenrichtlinie von Firewall Manager verwenden, um eine öffentliche Amazon-VPC zu sichern, um beispielsweise nur den eingehenden Port 443 zuzulassen. Dies entspricht dem ausschließlichen Zulassen eingehenden HTTPS-Datenverkehrs für eine öffentliche VPC. Sie können öffentliche Ressourcen innerhalb der VPC taggen (z. B. als „PublicVPC“) und dann den Geltungsbereich der Firewall Manager Manager-Richtlinie auf nur Ressourcen mit diesem Tag festlegen. Firewall Manager wendet die Richtlinie automatisch auf diese Ressourcen an.

**Anwendungsfall: Öffentliche und private Amazon VPC-Instances**  
Sie können dieselbe gemeinsame Sicherheitsgruppenrichtlinie für öffentliche Ressourcen verwenden, die im vorherigen Anwendungsfall für über das Internet zugängliche, öffentliche Amazon VPC-Instances empfohlen wurde. Sie können eine zweite gemeinsame Sicherheitsgruppenrichtlinie verwenden, um die Kommunikation zwischen öffentlichen und privaten Ressourcen zu beschränken. Kennzeichnen Sie die Ressourcen in den öffentlichen und privaten Amazon VPC-Instances mit etwas wie "PublicPrivate", um die zweite Richtlinie auf sie anzuwenden. Sie können eine dritte Richtlinie verwenden, um die zulässige Kommunikation zwischen den privaten Ressourcen und anderen Unternehmens- oder privaten Amazon VPC-Instances zu definieren. Für diese Richtlinie können Sie ein anderes identifizierendes Tag für die privaten Ressourcen verwenden. 

**Anwendungsfall: Hub-and-Spoke-Amazon VPC-Instances**  
Sie können eine gemeinsame Sicherheitsgruppenrichtlinie verwenden, um die Kommunikation zwischen der Amazon VPC-Hub-Instance und Spoke-Amazon VPC-Instances zu definieren. Sie können eine zweite Richtlinie verwenden, um die Kommunikation von jeder Amazon VPC-Instance mit der Amazon VPC-Hub-Instance zu definieren. 

**Anwendungsfall: Standard-Netzwerkschnittstelle für Amazon EC2 EC2-Instances**  
Sie können eine gemeinsame Sicherheitsgruppenrichtlinie verwenden, um nur Standardkommunikation zuzulassen, z. B. interne SSH- und patch/OS Aktualisierungsdienste, und andere unsichere Kommunikation zu verbieten. 

**Anwendungsfall: Identifizieren Sie Ressourcen mit offenen Berechtigungen**  
Sie können eine Prüfungssicherheitsgruppenrichtlinie verwenden, um alle Ressourcen in Ihrer Organisation zu identifizieren, die über die Berechtigung zur Kommunikation mit öffentlichen IP-Adressen oder über IP-Adressen verfügen, die Drittanbietern gehören.

# Allgemeine Sicherheitsgruppenrichtlinien mit Firewall Manager verwenden
<a name="security-group-policies-common"></a>

Auf dieser Seite wird erklärt, wie die allgemeinen Sicherheitsgruppenrichtlinien von Firewall Manager funktionieren.

Mit einer gemeinsamen Sicherheitsgruppenrichtlinie ermöglicht Firewall Manager eine zentral gesteuerte Zuordnung von Sicherheitsgruppen zu Konten und Ressourcen in Ihrem Unternehmen. Sie geben an, wo und wie die Richtlinie in Ihrer Organisation angewendet werden soll. 

Sie können gemeinsame Sicherheitsgruppenrichtlinien auf die folgenden Ressourcentypen anwenden: 
+ Amazon Elastic Compute Cloud (Amazon EC2) -Instanz
+ Elastische Netzwerkschnittstelle
+ Application Load Balancer
+ Classic Load Balancer

Hinweise zur Erstellung einer gemeinsamen Sicherheitsgruppenrichtlinie mithilfe der Konsole finden Sie unter[Erstellen einer gemeinsamen Sicherheitsgruppenrichtlinie](create-policy.md#creating-firewall-manager-policy-common-security-group).

**Gemeinsam genutzt VPCs**  
In den Einstellungen für den Geltungsbereich einer gemeinsamen Sicherheitsgruppenrichtlinie können Sie festlegen, dass gemeinsam genutzte Richtlinien berücksichtigt werden VPCs. Zu dieser Auswahl gehören auch VPCs solche, die einem anderen Konto gehören und mit einem Konto geteilt werden, das in den Geltungsbereich fällt. VPCs dass Konten, die in den Geltungsbereich fallen, gehören, immer enthalten sind. Informationen zu Shared VPCs finden Sie unter [Working with shared VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) im *Amazon VPC-Benutzerhandbuch*. 

Die folgenden Vorbehalte gelten für das Einschließen gemeinsam genutzter Inhalte. VPCs Diese gelten zusätzlich zu den allgemeinen Vorsichtsmaßnahmen für Sicherheitsgruppenrichtlinien unter. [Vorbehalte und Einschränkungen der Sicherheitsgruppenrichtlinien](security-group-policies.md#security-groups-limitations)
+ Firewall Manager repliziert die primäre Sicherheitsgruppe in die VPCs für jedes in den Geltungsbereich fallende Konto. Bei einer gemeinsam genutzten VPC repliziert Firewall Manager die primäre Sicherheitsgruppe einmal für jedes Konto im Geltungsbereich, mit dem die VPC gemeinsam genutzt wird. Dies kann in einer einzelnen gemeinsam genutzten VPC zu mehreren Replikaten führen. 
+ Wenn Sie eine neue gemeinsam genutzte VPC erstellen, wird sie in den Details der Sicherheitsgruppenrichtlinie von Firewall Manager erst angezeigt, nachdem Sie mindestens eine Ressource in der VPC erstellt haben, die in den Geltungsbereich der Richtlinie fällt. 
+ Wenn Sie Shared VPCs in einer Policy deaktivieren, für die Shared VPCs aktiviert war, löscht Firewall Manager in der VPCs Shared die Replikat-Sicherheitsgruppen, die keiner Ressource zugeordnet sind. Firewall Manager behält die verbleibenden Replikatsicherheitsgruppen bei, verwaltet sie jedoch nicht mehr. Das Entfernen dieser verbleibenden Sicherheitsgruppen erfordert eine manuelle Verwaltung in jeder freigegebenen VPC-Instance.

**Primäre Sicherheitsgruppen**  
Für jede gemeinsame Sicherheitsgruppenrichtlinie geben AWS Firewall Manager Sie eine oder mehrere primäre Sicherheitsgruppen an:
+ Primäre Sicherheitsgruppen müssen vom Firewall Manager Manager-Administratorkonto erstellt werden und können sich in jeder Amazon VPC-Instance des Kontos befinden. 
+ Sie verwalten Ihre primären Sicherheitsgruppen über Amazon Virtual Private Cloud (Amazon VPC) oder Amazon Elastic Compute Cloud (Amazon EC2). Weitere Informationen finden Sie unter [Arbeiten mit Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) im *Amazon VPC-Benutzerhandbuch*. 
+ Sie können eine oder mehrere Sicherheitsgruppen als primäre Gruppen für eine Firewall Manager Manager-Sicherheitsgruppenrichtlinie benennen. Standardmäßig ist die Anzahl der zulässigen Sicherheitsgruppen in einer Richtlinie auf eine Sicherheitsgruppe eingeschränkt. Sie können jedoch eine Anforderung zum Erhöhen des Kontingents absenden. Weitere Informationen finden Sie unter [AWS Firewall Manager Kontingente](fms-limits.md).

**Richtlinienregeleinstellungen**  
Sie können eines oder mehrere der folgenden Verhaltensweisen zur Änderungskontrolle für die Sicherheitsgruppen und Ressourcen Ihrer gemeinsamen Sicherheitsgruppenrichtlinie wählen:
+ Identifizieren Sie alle Änderungen, die lokale Benutzer an replizierten Sicherheitsgruppen vorgenommen haben, und berichten Sie darüber. 
+ Trennen Sie alle anderen Sicherheitsgruppen von den AWS Ressourcen, die in den Geltungsbereich der Richtlinie fallen. 
+ Verteilen Sie Tags von der primären Gruppe an die replizierten Sicherheitsgruppen.
**Wichtig**  
Firewall Manager verteilt keine Systemtags, die von AWS Diensten hinzugefügt wurden, an die Replikat-Sicherheitsgruppen. System-Tags beginnen mit dem Präfix `aws:`. Darüber hinaus aktualisiert Firewall Manager die Tags vorhandener Sicherheitsgruppen nicht und erstellt auch keine neuen Sicherheitsgruppen, wenn die Richtlinie Tags enthält, die mit der Tag-Richtlinie der Organisation in Konflikt stehen. Informationen zu Tag-Richtlinien finden Sie unter [Tag-Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) im AWS Organizations Benutzerhandbuch.
+ Verteilen Sie Sicherheitsgruppenreferenzen von der primären Gruppe auf die replizierten Sicherheitsgruppen.

  Auf diese Weise können Sie auf einfache Weise allgemeine Regeln für die Referenzierung von Sicherheitsgruppen für alle im Geltungsbereich befindlichen Ressourcen für Instances einrichten, die der VPC der angegebenen Sicherheitsgruppe zugeordnet sind. Wenn Sie diese Option aktivieren, gibt Firewall Manager die Sicherheitsgruppenverweise nur dann weiter, wenn die Sicherheitsgruppen auf Peer-Sicherheitsgruppen in Amazon Virtual Private Cloud verweisen. Wenn die replizierten Sicherheitsgruppen nicht korrekt auf die Peer-Sicherheitsgruppe verweisen, markiert Firewall Manager diese replizierten Sicherheitsgruppen als nicht konform. Informationen zum Referenzieren von Peer-Sicherheitsgruppen in Amazon VPC finden Sie unter [Aktualisieren Sie Ihre Sicherheitsgruppen, um Peer-Sicherheitsgruppen zu referenzieren](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html) im [Amazon VPC Peering](https://docs.aws.amazon.com/vpc/latest/peering/) Guide.

   Wenn Sie diese Option nicht aktivieren, gibt Firewall Manager keine Sicherheitsgruppenverweise an die Replikatsicherheitsgruppen weiter. Informationen zum VPC-Peering in Amazon VPC finden Sie im Amazon VPC Peering [Guide](https://docs.aws.amazon.com/vpc/latest/peering/).

**Erstellung und Verwaltung von Richtlinien**  
Wenn Sie Ihre gemeinsame Sicherheitsgruppenrichtlinie erstellen, repliziert Firewall Manager die primären Sicherheitsgruppen auf jede Amazon VPC-Instance innerhalb des Richtlinienbereichs und ordnet die replizierten Sicherheitsgruppen Konten und Ressourcen zu, die in den Geltungsbereich der Richtlinie fallen. Wenn Sie eine primäre Sicherheitsgruppe ändern, leitet Firewall Manager die Änderung an die Replikate weiter.

Wenn Sie eine gemeinsame Sicherheitsgruppenrichtlinie löschen, können Sie auswählen, ob die von der Richtlinie erstellten Ressourcen bereinigt werden sollen. Für allgemeine Sicherheitsgruppen von Firewall Manager sind diese Ressourcen die Replikat-Sicherheitsgruppen. Wählen Sie die Bereinigungsoption, es sei denn, Sie möchten jedes einzelne Replikat manuell verwalten, nachdem die Richtlinie gelöscht wurde. In den meisten Situationen ist die Auswahl der Bereinigungsoption der einfachste Ansatz.

**Verwalten von Replikaten**  
Die Replikat-Sicherheitsgruppen in den Amazon VPC-Instances werden wie andere Amazon VPC-Sicherheitsgruppen verwaltet. Weitere Informationen finden Sie unter [Sicherheitsgruppen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) im *Amazon VPC-Benutzerhandbuch*. 

# Verwenden von Inhaltsüberwachungs-Sicherheitsgruppenrichtlinien mit Firewall Manager
<a name="security-group-policies-audit"></a>

Auf dieser Seite wird erklärt, wie die Sicherheitsgruppenrichtlinien für Content Audits von Firewall Manager funktionieren.

Verwenden Sie Sicherheitsgruppenrichtlinien für die AWS Firewall Manager Inhaltsüberwachung, um die Regeln, die in den Sicherheitsgruppen Ihres Unternehmens verwendet werden, zu überwachen und Richtlinienaktionen darauf anzuwenden. Die Sicherheitsgruppenrichtlinien für die Inhaltsüberwachung gelten für alle von Kunden erstellten Sicherheitsgruppen, die in Ihrer AWS Organisation verwendet werden, und zwar entsprechend dem von Ihnen in der Richtlinie definierten Geltungsbereich.

Hinweise zur Erstellung einer Sicherheitsgruppenrichtlinie für Inhaltsaudits mithilfe der Konsole finden Sie unter[Erstellen einer Inhaltsprüfungssicherheitsgruppenrichtlinie](create-policy.md#creating-firewall-manager-policy-audit-security-group).

**Richtlinienbereich-Ressourcentyp**  
Sie können Gruppenrichtlinien für die Inhaltsüberwachung auf die folgenden Ressourcentypen anwenden: 
+ Amazon Elastic Compute Cloud (Amazon EC2) -Instanz
+ Elastische Netzwerkschnittstelle
+ Amazon VPC-Sicherheitsgruppe

Sicherheitsgruppen werden im Geltungsbereich der Richtlinie berücksichtigt, wenn sie sich explizit im Geltungsbereich befinden oder wenn sie Ressourcen zugeordnet sind, die sich im Geltungsbereich befinden.

**Optionen für Richtlinienregeln**  
Sie können entweder verwaltete oder benutzerdefinierte Richtlinienregeln für jede Inhaltsüberwachungsrichtlinie verwenden, aber nicht beide.
+ **Verwaltete Richtlinienregeln** — In einer Richtlinie mit verwalteten Regeln können Sie mithilfe von Anwendungs- und Protokolllisten steuern, welche Regeln Firewall Manager prüft und entweder als konform oder nicht konform kennzeichnet. Sie können Listen verwenden, die von Firewall Manager verwaltet werden. Sie können auch Ihre eigenen Anwendungs- und Protokolllisten erstellen und verwenden. Informationen zu diesen Listentypen und Ihren Verwaltungsoptionen für benutzerdefinierte Listen finden Sie unter[Verwaltete Listen mit Firewall Manager verwenden](working-with-managed-lists.md).
+ **Benutzerdefinierte Richtlinienregeln** — In einer Richtlinie mit benutzerdefinierten Richtlinienregeln geben Sie eine vorhandene Sicherheitsgruppe als Überwachungssicherheitsgruppe für Ihre Richtlinie an. Sie können die Regeln für die Audit-Sicherheitsgruppe als Vorlage verwenden, die die Regeln definiert, die Firewall Manager prüft und entweder als konform oder nicht konform kennzeichnet. 

**Sicherheitsgruppen überwachen**  
Sie müssen Audit-Sicherheitsgruppen mit Ihrem Firewall Manager Manager-Administratorkonto erstellen, bevor Sie sie in Ihrer Richtlinie verwenden können. Sie können Sicherheitsgruppen über Amazon Virtual Private Cloud (Amazon VPC) oder Amazon Elastic Compute Cloud (Amazon EC2) verwalten. Weitere Informationen finden Sie unter [Arbeiten mit Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) im *Amazon VPC-Benutzerhandbuch*. 

Eine Sicherheitsgruppe, die Sie für eine Sicherheitsgruppenrichtlinie zur Inhaltsüberwachung verwenden, wird von Firewall Manager nur als Vergleichsreferenz für die Sicherheitsgruppen verwendet, die in den Geltungsbereich der Richtlinie fallen. Firewall Manager ordnet es keinen Ressourcen in Ihrer Organisation zu. 

Die Art und Weise, wie Sie die Regeln in der Audit-Sicherheitsgruppe definieren, hängt von Ihren Entscheidungen in den Einstellungen der Richtlinienregeln ab:
+ **Verwaltete Richtlinienregeln** — Bei Einstellungen für verwaltete Richtlinienregeln verwenden Sie eine Auditsicherheitsgruppe, um andere Einstellungen in der Richtlinie außer Kraft zu setzen und Regeln, die andernfalls zu einem anderen Konformitätsergebnis führen könnten, explizit zuzulassen oder abzulehnen. 
  + Wenn Sie festlegen, dass die in der Auditsicherheitsgruppe definierten Regeln immer *zugelassen* werden, gilt jede Regel, die einer Regel entspricht, die in der Auditsicherheitsgruppe definiert ist, unabhängig von den anderen Richtlinieneinstellungen als *richtlinienkonform*.
  + Wenn Sie festlegen, dass die in der Auditsicherheitsgruppe definierten Regeln immer *abgelehnt* werden, gilt jede Regel, die mit einer Regel übereinstimmt, die in der Auditsicherheitsgruppe definiert ist, unabhängig von den anderen Richtlinieneinstellungen als *nicht richtlinienkonform*.
+ **Benutzerdefinierte Richtlinienregeln** — Für benutzerdefinierte Richtlinienregeleinstellungen bietet die Audit-Sicherheitsgruppe ein Beispiel dafür, was in den im Geltungsbereich enthaltenen Sicherheitsgruppenregeln zulässig oder nicht akzeptabel ist: 
  + Wenn Sie sich dafür entscheiden, die Verwendung der Regeln *zuzulassen*, dürfen alle Sicherheitsgruppen, die in den Geltungsbereich fallen, nur Regeln haben, die *innerhalb* des zulässigen Bereichs der Überwachungssicherheitsgruppenregeln der Richtlinie liegen. *In diesem Fall sind die Sicherheitsgruppenregeln der Richtlinie ein Beispiel dafür, was zulässig ist.*
  + Wenn Sie sich dafür entscheiden, die Verwendung der Regeln zu *verweigern*, dürfen alle Sicherheitsgruppen im Geltungsbereich nur Regeln haben, die *nicht innerhalb* des zulässigen Bereichs der Überwachungssicherheitsgruppenregeln der Richtlinie liegen. *In diesem Fall ist die Sicherheitsgruppe der Richtlinie ein Beispiel dafür, was nicht zulässig ist.*

**Erstellung und Verwaltung von Richtlinien**  
Wenn Sie eine Prüfungssicherheitsgruppenrichtlinie erstellen, müssen Sie die automatische Korrektur deaktiviert haben. Die empfohlene Vorgehensweise besteht darin, die Auswirkungen der Richtlinienerstellung zu überprüfen, bevor die automatische Korrektur aktiviert wird. Nachdem Sie die erwarteten Auswirkungen überprüft haben, können Sie die Richtlinie bearbeiten und die automatische Korrektur aktivieren. Wenn die automatische Problembehebung aktiviert ist, aktualisiert oder entfernt Firewall Manager Regeln, die in den Geltungsbereich der Sicherheitsgruppen nicht konform sind.

**Sicherheitsgruppen, die von einer Prüfungssicherheitsgruppenrichtlinie betroffen sind**  
Alle Sicherheitsgruppen in Ihrer Organisation, die vom Kunden erstellt wurden, können im Geltungsbereich einer Prüfungssicherheitsgruppenrichtlinie liegen. 

Replikat-Sicherheitsgruppen werden nicht vom Kunden erstellt und können sich daher nicht direkt im Bereich einer Prüfungssicherheitsgruppenrichtlinie befinden. Sie können jedoch aufgrund der automatischen Korrekturaktivitäten der Richtlinie aktualisiert werden. Die primäre Sicherheitsgruppe einer gemeinsamen Sicherheitsgruppenrichtlinie wird vom Kunden erstellt und kann sich im Bereich einer Prüfungssicherheitsgruppenrichtlinie befinden. Wenn eine Audit-Sicherheitsgruppenrichtlinie Änderungen an einer primären Sicherheitsgruppe vornimmt, leitet Firewall Manager diese Änderungen automatisch an die Replikate weiter. 

## Vorbehalte und Einschränkungen bei den Sicherheitsgruppenrichtlinien für die Inhaltsüberwachung
<a name="policies-audit-limitations"></a>

In einer Sicherheitsgruppenrichtlinie für die Inhaltsüberwachung können Sie nicht auf Peer-Sicherheitsgruppen verweisen.

Informationen zu weiteren Überlegungen für alle Firewall Manager Manager-Sicherheitsgruppen finden Sie unter[Vorbehalte und Einschränkungen der Sicherheitsgruppenrichtlinien](security-group-policies.md#security-groups-limitations).

# Verwenden von Sicherheitsgruppenrichtlinien zur Nutzungsüberwachung mit Firewall Manager
<a name="security-group-policies-usage"></a>

Auf dieser Seite wird erklärt, wie die Sicherheitsgruppenrichtlinien für die Nutzungsüberwachung von Firewall Manager funktionieren.

Verwenden Sie Sicherheitsgruppenrichtlinien zur AWS Firewall Manager Nutzungsüberwachung, um Ihr Unternehmen auf ungenutzte und redundante Sicherheitsgruppen zu überwachen und optional eine Säuberung durchzuführen. Wenn Sie die automatische Wiederherstellung für diese Richtlinie aktivieren, geht Firewall Manager wie folgt vor:

1. Konsolidierung redundanter Sicherheitsgruppen, wenn Sie diese Option ausgewählt haben.

1. Entfernen nicht verwendeter Sicherheitsgruppen, wenn Sie diese Option ausgewählt haben. 

Sie können Sicherheitsgruppenrichtlinien für die Nutzungsüberwachung auf den folgenden Ressourcentyp anwenden: 
+ Amazon VPC-Sicherheitsgruppe

Hinweise zur Erstellung einer Sicherheitsgruppenrichtlinie für die Nutzungsüberwachung mithilfe der Konsole finden Sie unter[Erstellen einer Nutzungsprüfungssicherheitsgruppenrichtlinie](create-policy.md#creating-firewall-manager-policy-usage-security-group).

**Wie Firewall Manager redundante Sicherheitsgruppen erkennt und behebt**  
Damit Sicherheitsgruppen als redundant betrachtet werden können, müssen für sie genau dieselben Regeln festgelegt sein und sie müssen sich in derselben Amazon VPC-Instance befinden. 

Um einen redundanten Sicherheitsgruppensatz zu korrigieren, wählt Firewall Manager eine der Sicherheitsgruppen in der Gruppe aus, die beibehalten werden soll, und ordnet sie dann allen Ressourcen zu, die den anderen Sicherheitsgruppen in der Gruppe zugeordnet sind. Firewall Manager trennt dann die anderen Sicherheitsgruppen von den Ressourcen, denen sie zugeordnet waren, sodass sie nicht mehr verwendet werden. 

**Anmerkung**  
Wenn Sie sich auch dafür entschieden haben, nicht verwendete Sicherheitsgruppen zu entfernen, erledigt Firewall Manager dies als Nächstes. Möglicherweise werden dadurch die Sicherheitsgruppen entfernt, die sich in der redundanten Gruppe befinden.

**Wie Firewall Manager ungenutzte Sicherheitsgruppen erkennt und behebt**  
Firewall Manager betrachtet eine Sicherheitsgruppe als unbenutzt, wenn beide der folgenden Bedingungen zutreffen: 
+ Die Sicherheitsgruppe wird von keiner Amazon EC2 EC2-Instance oder Amazon EC2 EC2-Elastic elastic network interface verwendet.
+ Firewall Manager hat innerhalb der im Zeitraum der Richtlinienregel angegebenen Anzahl von Minuten kein Konfigurationselement dafür erhalten.

Der Zeitraum für die Richtlinienregel hat eine Standardeinstellung von null Minuten. Sie können den Zeitraum jedoch auf bis zu 365 Tage (525.600 Minuten) erhöhen, um Zeit zu haben, neue Sicherheitsgruppen Ressourcen zuzuordnen. 

**Wichtig**  
Wenn Sie eine andere Anzahl von Minuten als den Standardwert Null angeben, müssen Sie indirekte Beziehungen in aktivieren. AWS Config Andernfalls funktionieren Ihre Sicherheitsgruppenrichtlinien für die Nutzungsüberwachung nicht wie vorgesehen. Informationen zu indirekten Beziehungen finden Sie unter [Indirekte Beziehungen AWS Config im AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/faq.html#faq-2) *Entwicklerhandbuch*. AWS Config

Firewall Manager behebt ungenutzte Sicherheitsgruppen, indem er sie nach Möglichkeit gemäß Ihren Regeleinstellungen aus Ihrem Konto löscht. Wenn Firewall Manager eine Sicherheitsgruppe nicht löschen kann, wird sie als nicht richtlinienkonform markiert. Firewall Manager kann keine Sicherheitsgruppe löschen, auf die von einer anderen Sicherheitsgruppe verwiesen wird.

Der Zeitpunkt der Behebung hängt davon ab, ob Sie die Standardeinstellung für den Zeitraum oder eine benutzerdefinierte Einstellung verwenden: 
+ Der **Zeitraum ist auf Null gesetzt, die Standardeinstellung** — Mit dieser Einstellung gilt eine Sicherheitsgruppe als unbenutzt, sobald sie nicht von einer Amazon EC2 EC2-Instance oder einer elastic network interface verwendet wird. 

  Bei dieser Einstellung für einen Zeitraum von Null korrigiert Firewall Manager die Sicherheitsgruppe sofort. 
+ **Zeitraum größer als Null** — Mit dieser Einstellung gilt eine Sicherheitsgruppe als unbenutzt, wenn sie nicht von einer Amazon EC2 EC2-Instance oder elastic network interface verwendet wird und Firewall Manager innerhalb der angegebenen Anzahl von Minuten kein Konfigurationselement für sie erhalten hat. 

  Bei einer Zeitraumeinstellung ungleich Null behebt Firewall Manager die Sicherheitsgruppe, nachdem sie 24 Stunden lang im unbenutzten Zustand geblieben ist. 

**Standardkontenspezifikation**  
Wenn Sie über die Konsole eine Sicherheitsgruppenrichtlinie für die Nutzungsüberwachung erstellen, wählt Firewall Manager automatisch **die Option Die angegebenen Konten ausschließen und alle anderen einbeziehen**. Der Dienst fügt dann das Firewall Manager Manager-Administratorkonto in die Liste ein, die ausgeschlossen werden soll. Dies ist der empfohlene Ansatz, mit dem Sie die Sicherheitsgruppen, die zum Firewall Manager Manager-Administratorkonto gehören, manuell verwalten können. 

# Verwenden von Amazon VPC-Richtlinien für die Netzwerkzugriffskontrollliste (ACL) mit Firewall Manager
<a name="network-acl-policies"></a>

In diesem Abschnitt wird beschrieben, wie AWS Firewall Manager Netzwerk-ACL-Richtlinien funktionieren, und Anleitungen zu deren Verwendung bereitgestellt. Anleitungen zum Erstellen einer Netzwerk-ACL-Richtlinie mithilfe der Konsole finden Sie unter[Eine Netzwerk-ACL-Richtlinie erstellen](create-policy.md#creating-firewall-manager-policy-network-acl).

Informationen zu Amazon VPC-Netzwerkzugriffskontrolllisten (ACLs) finden Sie unter [Steuern des Datenverkehrs zu Subnetzen über das Netzwerk ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) im *Amazon VPC-Benutzerhandbuch*.

Sie können die Netzwerk-ACL-Richtlinien von Firewall Manager verwenden, um die Netzwerkzugriffskontrolllisten () von Amazon Virtual Private Cloud (Amazon VPCACLs) für Ihr Unternehmen in AWS Organizations zu verwalten. Sie definieren die Netzwerk-ACL-Regeleinstellungen der Richtlinie sowie die Konten und Subnetze, für die die Einstellungen durchgesetzt werden sollen. Firewall Manager wendet Ihre Richtlinieneinstellungen kontinuierlich auf Konten und Subnetze an, sobald diese in Ihrer Organisation hinzugefügt oder aktualisiert werden. Informationen zum Geltungsbereich und AWS Organizations zum Umfang der Richtlinie finden Sie unter [Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md) und im [AWS Organizations Benutzerhandbuch](https://docs.aws.amazon.com/organizations/latest/userguide/). 

Wenn Sie eine Firewall Manager Manager-Netzwerk-ACL-Richtlinie definieren, geben Sie zusätzlich zu den standardmäßigen Firewall Manager Manager-Richtlinieneinstellungen wie Name und Geltungsbereich Folgendes an:
+ Erste und letzte Regeln für den Umgang mit eingehendem und ausgehendem Datenverkehr. Firewall Manager erzwingt das Vorhandensein und die Reihenfolge der Dateien im Netzwerk ACLs , die in den Geltungsbereich der Richtlinie fallen, oder meldet Verstöße. Ihre individuellen Konten können benutzerdefinierte Regeln erstellen, die zwischen den ersten und letzten Regeln der Richtlinie ausgeführt werden.
+ Gibt an, ob eine Korrektur erzwungen werden soll, wenn die Behebung zu Konflikten bei der Verwaltung des Datenverkehrs zwischen den Regeln in der Netzwerk-ACL führen würde. Dies gilt nur, wenn die Behebung für die Richtlinie aktiviert ist. 

## Bewährte Methoden für die Verwendung von Netzwerk-ACL-Richtlinien von Firewall Manager
<a name="network-acls-best-practice"></a>

In diesem Abschnitt werden Empfehlungen für die Arbeit mit den Netzwerk-ACL-Richtlinien von Firewall Manager und dem verwalteten Netzwerk aufgeführt ACLs.

**Beziehen Sie sich auf das `FMManaged` Tag, um Netzwerke zu identifizieren ACLs , die von Firewall Manager verwaltet werden.**  
Für das Netzwerk ACLs , das Firewall Manager verwaltet, ist das `FMManaged` Tag auf gesetzt`true`. Verwenden Sie dieses Tag, um Ihr eigenes benutzerdefiniertes Netzwerk ACLs von denen zu unterscheiden, die Sie über Firewall Manager verwalten. 

**Ändern Sie nicht den Wert des `FMManaged` Tags in einer Netzwerk-ACL**  
Firewall Manager verwendet dieses Tag, um seinen Verwaltungsstatus mit einer Netzwerk-ACL festzulegen und zu bestimmen. 

**Ändern Sie nicht die Zuordnungen für Subnetze, deren Netzwerk von Firewall Manager verwaltet wird ACLs**  
Ändern Sie die Zuordnungen zwischen Ihren Subnetzen und Netzwerken ACLs , die von Firewall Manager verwaltet werden, nicht manuell. Dadurch kann die Fähigkeit von Firewall Manager, den Schutz für diese Subnetze zu verwalten, deaktiviert werden. Sie können Netzwerke identifizieren ACLs , die von Firewall Manager verwaltet werden, indem Sie nach den `FMManaged` Tag-Einstellungen von suchen`true`.

Um ein Subnetz aus der Firewall Manager Manager-Richtlinienverwaltung zu entfernen, verwenden Sie die Einstellungen für den Geltungsbereich der Firewall Manager Manager-Richtlinie, um das Subnetz auszuschließen. Sie können das Subnetz beispielsweise taggen und dieses Tag dann aus dem Geltungsbereich der Richtlinie ausschließen. Weitere Informationen finden Sie unter [Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md). 

**Wenn Sie eine verwaltete Netzwerk-ACL aktualisieren, ändern Sie nicht die Regeln, die von Firewall Manager verwaltet werden**  
Halten Sie in einer Netzwerk-ACL, die von Firewall Manager verwaltet wird, Ihre benutzerdefinierten Regeln von den Richtlinienregeln getrennt, indem Sie das unter beschriebene Nummerierungsschema einhalten. [Netzwerk-ACL-Regeln und Tagging in Firewall Manager verwenden](network-acls-fms-managed.md) Fügen Sie nur Regeln mit Zahlen zwischen 5.000 und 32.000 hinzu oder ändern Sie sie. 

**Vermeiden Sie es, zu viele Regeln für Ihre Kontolimits hinzuzufügen**  
Während der Wiederherstellung einer Netzwerk-ACL erhöht Firewall Manager die Anzahl der Netzwerk-ACL-Regeln normalerweise vorübergehend. Um Verstöße zu vermeiden, stellen Sie sicher, dass genügend Platz für die von Ihnen verwendeten Regeln vorhanden ist. Weitere Informationen finden Sie unter [So behebt Firewall Manager ein nicht richtlinienkonformes verwaltetes Netzwerk ACLs](network-acls-remediation.md). 

**Beginnen Sie mit deaktivierter automatischer Korrektur**  
Beginnen Sie mit deaktivierter automatischer Korrektur, und überprüfen Sie dann die Richtliniendetails, um festzustellen, welche Auswirkungen die automatische Korrektur haben würde. Wenn Sie sich sicher sind, dass die Änderungen Ihren Wünschen entsprechen, bearbeiten Sie die Richtlinie, um die automatische Korrektur zu aktivieren.

## Vorbehalte gegen Netzwerk-ACL-Richtlinien von Firewall Manager
<a name="network-acls-caveats"></a>

In diesem Abschnitt werden die Vorbehalte und Einschränkungen für die Verwendung der Netzwerk-ACL-Richtlinien von Firewall Manager aufgeführt.
+ **Langsamere Aktualisierungszeiten als bei anderen Richtlinien** — Firewall Manager wendet Netzwerk-ACL-Richtlinien und Richtlinienänderungen im Allgemeinen langsamer an als bei anderen Firewall Manager Manager-Richtlinien, was auf Einschränkungen bei der Geschwindigkeit zurückzuführen ist, mit der die EC2 Amazon-Netzwerk-ACL APIs Anfragen verarbeiten kann. Möglicherweise stellen Sie fest, dass Richtlinienänderungen länger dauern als ähnliche Änderungen mit anderen Firewall Manager Manager-Richtlinien, insbesondere wenn Sie eine Richtlinie zum ersten Mal hinzufügen. 
+ **Für den anfänglichen Subnetzschutz bevorzugt Firewall Manager ältere Richtlinien**. Dies gilt nur für Subnetze, die noch nicht durch eine Firewall Manager Manager-Netzwerk-ACL-Richtlinie geschützt sind. Wenn ein Subnetz gleichzeitig in den Geltungsbereich mehrerer Netzwerk-ACL-Richtlinien fällt, verwendet Firewall Manager die älteste Richtlinie, um das Subnetz zu schützen. 
+ **Gründe für eine Richtlinie zur Einstellung des Schutzes eines Subnetzes** — Eine Richtlinie, die die Netzwerk-ACL für ein Subnetz verwaltet, behält die Verwaltung bei, bis einer der folgenden Fälle eintritt: 
  + Das Subnetz fällt nicht mehr in den Geltungsbereich der Richtlinie.
  + Die Richtlinie wird gelöscht. 
  + Sie ändern die Zuordnung des Subnetzes manuell zu einer Netzwerk-ACL, die durch eine andere Firewall Manager Manager-Richtlinie verwaltet wird und für die das Subnetz gilt. 

**Topics**
+ [

## Bewährte Methoden für die Verwendung von Netzwerk-ACL-Richtlinien von Firewall Manager
](#network-acls-best-practice)
+ [

## Vorbehalte gegen Netzwerk-ACL-Richtlinien von Firewall Manager
](#network-acls-caveats)
+ [

# Netzwerk-ACL-Regeln und Tagging in Firewall Manager verwenden
](network-acls-fms-managed.md)
+ [

# So initiiert Firewall Manager die Netzwerk-ACL-Verwaltung für ein Subnetz
](network-acls-initialization.md)
+ [

# So behebt Firewall Manager ein nicht richtlinienkonformes verwaltetes Netzwerk ACLs
](network-acls-remediation.md)
+ [

# Löschen einer Firewall Manager Manager-Netzwerk-ACL-Richtlinie
](network-acls-deletion.md)

# Netzwerk-ACL-Regeln und Tagging in Firewall Manager verwenden
<a name="network-acls-fms-managed"></a>

In diesem Abschnitt werden die Netzwerk-ACL-Richtlinienregelspezifikationen und ACLs das Netzwerk beschrieben, die von Firewall Manager verwaltet werden. 

**Tagging auf einer verwalteten Netzwerk-ACL**  
Firewall Manager kennzeichnet eine verwaltete Netzwerk-ACL mit einem `FMManaged` Tag, das den Wert hat`true`. Firewall Manager führt die Wiederherstellung nur in Netzwerken durch ACLs , die über diese Tag-Einstellung verfügen.

**Regeln, die Sie in der Richtlinie definieren**  
In Ihrer Netzwerk-ACL-Richtlinienspezifikation definieren Sie die Regeln, die Sie zuerst und zuletzt für eingehenden Verkehr ausführen möchten, und die Regeln, die Sie zuerst und zuletzt für ausgehenden Verkehr ausführen möchten. 

Standardmäßig können Sie bis zu 5 Regeln für eingehenden Datenverkehr definieren, die in einer beliebigen Kombination aus ersten und letzten Regeln in der Richtlinie verwendet werden können. Ebenso können Sie bis zu 5 Regeln für ausgehenden Datenverkehr definieren. Weitere Informationen zu diesen Grenzwerten finden Sie unter[Weiche Kontingente](fms-limits.md#fms-limits-mutable). Informationen zu den allgemeinen ACLs Netzwerkbeschränkungen finden Sie unter [Amazon VPC-Kontingente im Netzwerk ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls) im *Amazon VPC-Benutzerhandbuch*.

Sie weisen den Richtlinienregeln keine Regelnummern zu. Stattdessen geben Sie die Regeln in der Reihenfolge an, in der sie ausgewertet werden sollen, und Firewall Manager verwendet diese Reihenfolge, um Regelnummern in dem von ihm ACLs verwalteten Netzwerk zuzuweisen. 

Darüber hinaus verwalten Sie die Netzwerk-ACL-Regelspezifikationen der Richtlinie so, wie Sie die Regeln in einer Netzwerk-ACL über Amazon VPC verwalten würden. Informationen zur Netzwerk-ACL-Management in Amazon VPC finden Sie unter [Steuern des Datenverkehrs zu Subnetzen mithilfe des Netzwerks ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) und [Arbeiten mit dem Netzwerk ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) im **Amazon VPC-Benutzerhandbuch**.

**Regeln in einer verwalteten Netzwerk-ACL**  
Firewall Manager konfiguriert die Regeln in einer Netzwerk-ACL, die er verwaltet, indem er die erste und letzte Regel der Richtlinie vor und hinter alle benutzerdefinierten Regeln platziert, die ein einzelner Account Manager definiert. Firewall Manager behält die Reihenfolge der benutzerdefinierten Regeln bei. Netzwerke ACLs werden ab der Regel mit der niedrigsten Nummer bewertet. 

Wenn Firewall Manager zum ersten Mal eine Netzwerk-ACL erstellt, definiert er die Regeln mit der folgenden Nummerierung: 
+ **Erste Regeln: 1, 2,...** — Von Ihnen in der Netzwerk-ACL-Richtlinie von Firewall Manager definiert. 

  Firewall Manager weist Regelnummern ab 1 in Schritten von 1 zu, wobei die Regeln so angeordnet sind, wie Sie sie in der Richtlinienspezifikation angeordnet haben. 
+ **Benutzerdefinierte Regeln: 5.000, 5.100,...** — Von einzelnen Kundenbetreuern über Amazon VPC verwaltet. 

  Firewall Manager weist diesen Regeln Zahlen zu, die bei 5.000 beginnen und für jede nachfolgende Regel um 100 erhöht werden. 
+ **Letzte Regeln:... 32.765, 32.766** — Von Ihnen in der Firewall Manager Manager-Netzwerk-ACL-Richtlinie definiert. 

  Firewall Manager weist Regelnummern zu, die auf der höchstmöglichen Zahl enden, 32766, in Schritten von 1, wobei die Regeln so angeordnet sind, wie Sie sie in der Richtlinienspezifikation angeordnet haben.

Nach der Initialisierung der Netzwerk-ACL kontrolliert Firewall Manager keine Änderungen, die einzelne Konten in ihrem verwalteten Netzwerk ACLs vornehmen. Einzelne Konten können eine Netzwerk-ACL ändern, ohne dass sie damit gegen die Richtlinien verstößt, vorausgesetzt, dass alle benutzerdefinierten Regeln zwischen den ersten und letzten Regeln der Richtlinie nummeriert bleiben und die erste und letzte Regel ihre festgelegte Reihenfolge beibehalten. Es hat sich bewährt, bei der Verwaltung benutzerdefinierter Regeln die in diesem Abschnitt beschriebene Nummerierung einzuhalten. 

# So initiiert Firewall Manager die Netzwerk-ACL-Verwaltung für ein Subnetz
<a name="network-acls-initialization"></a>

In diesem Abschnitt wird beschrieben, wie Firewall Manager die Netzwerk-ACL-Verwaltung für ein Subnetz initiiert.

Firewall Manager beginnt mit der Verwaltung der Netzwerk-ACL für ein Subnetz, wenn er das Subnetz einer Netzwerk-ACL zuordnet, die Firewall Manager erstellt und markiert hat, auf `FMManaged` gesetzt hat. `true` 

Die Einhaltung einer Netzwerk-ACL-Richtlinie setzt voraus, dass in der Netzwerk-ACL des Subnetzes die ersten Regeln der Richtlinie an erster Stelle stehen, und zwar in der in der Richtlinie angegebenen Reihenfolge, die letzten Regeln an letzter Stelle und alle anderen benutzerdefinierten Regeln in der Mitte. Diese Anforderungen können durch eine nicht verwaltete Netzwerk-ACL, der das Subnetz bereits zugeordnet ist, oder durch eine verwaltete Netzwerk-ACL erfüllt werden. 

Wenn Firewall Manager eine Netzwerk-ACL-Richtlinie auf ein Subnetz anwendet, das mit einer nicht verwalteten Netzwerk-ACL verknüpft ist, überprüft Firewall Manager die folgenden Punkte der Reihe nach und stoppt, wenn eine praktikable Option identifiziert wird: 

1. **Die zugeordnete Netzwerk-ACL ist bereits konform** — Wenn die Netzwerk-ACL, die derzeit dem Subnetz zugeordnet ist, konform ist, behält Firewall Manager diese Zuordnung bei und startet die Netzwerk-ACL-Management für das Subnetz nicht. 

   Firewall Manager ändert oder verwaltet keine Netzwerk-ACL, die ihm nicht gehört, aber solange sie konform ist, lässt Firewall Manager sie unverändert und überwacht sie lediglich auf die Einhaltung der Richtlinien. 

1. **Eine konforme verwaltete Netzwerk-ACL ist verfügbar** — Wenn Firewall Manager bereits eine Netzwerk-ACL verwaltet, die der erforderlichen Konfiguration entspricht, ist dies eine Option. Wenn die Wiederherstellung aktiviert ist, ordnet Firewall Manager dem Subnetz das Subnetz zu. Wenn die Wiederherstellung deaktiviert ist, markiert Firewall Manager das Subnetz als nicht konform und bietet als Wartungsoption an, die Netzwerk-ACL-Zuordnung zu ersetzen. 

1. **Eine neue konforme verwaltete Netzwerk-ACL erstellen** — Wenn die Wiederherstellung aktiviert ist, erstellt Firewall Manager eine neue Netzwerk-ACL und ordnet sie dem Subnetz zu. Andernfalls markiert Firewall Manager das Subnetz als nicht konform und bietet die Möglichkeit, die neue Netzwerk-ACL zu erstellen und die Netzwerk-ACL-Zuordnung zu ersetzen. 

Wenn diese Schritte fehlschlagen, meldet Firewall Manager die Nichtkonformität für das Subnetz.

Firewall Manager folgt diesen Schritten, wenn ein Subnetz zum ersten Mal in den Geltungsbereich fällt und wenn die nicht verwaltete Netzwerk-ACL eines Subnetzes nicht richtlinientreu ist.

# So behebt Firewall Manager ein nicht richtlinienkonformes verwaltetes Netzwerk ACLs
<a name="network-acls-remediation"></a>

In diesem Abschnitt wird beschrieben, wie Firewall Manager sein verwaltetes Netzwerk behebt, ACLs wenn es die Richtlinie nicht einhält. Firewall Manager behebt nur verwaltete Netzwerke ACLs, wenn das `FMManaged` Tag auf gesetzt ist. `true` Informationen zu Netzwerken ACLs , die nicht von Firewall Manager verwaltet werden, finden Sie unter[Anfängliche Netzwerk-ACL-Verwaltung](network-acls-initialization.md).

Bei der Korrektur werden die relativen Positionen der ersten, benutzerdefinierten und letzten Regel wiederhergestellt und die Reihenfolge der ersten und letzten Regel wiederhergestellt. Während der Behebung verschiebt Firewall Manager Regeln nicht unbedingt auf die Regelnummern, die er bei der Netzwerk-ACL-Initialisierung verwendet. Die anfänglichen Zahleneinstellungen und Beschreibungen dieser Regelkategorien finden Sie unter. [Anfängliche Netzwerk-ACL-Verwaltung](network-acls-initialization.md)

Um konforme Regeln und die Reihenfolge der Regeln festzulegen, muss Firewall Manager möglicherweise Regeln innerhalb der Netzwerk-ACL verschieben. Der Firewall Manager behält so weit wie möglich den Schutz der Netzwerk-ACL bei, indem er dabei die bestehende konforme Regelreihenfolge beibehält. Beispielsweise kann es Regeln vorübergehend an neuen Speicherorten duplizieren und dann eine geordnete Entfernung der ursprünglichen Regeln durchführen, wobei die relativen Positionen während des Vorgangs beibehalten werden. 

Dieser Ansatz schützt Ihre Einstellungen, erfordert aber auch Speicherplatz in der Netzwerk-ACL für die vorläufigen Regeln. Wenn Firewall Manager das Limit für Regeln in einer Netzwerk-ACL erreicht, wird die Wiederherstellung gestoppt. In diesem Fall ist die Netzwerk-ACL weiterhin nicht richtlinientreu und Firewall Manager meldet den Grund dafür. 

Wenn ein Konto einer Netzwerk-ACL, die von Firewall Manager verwaltet wird, benutzerdefinierte Regeln hinzufügt und diese Regeln die Firewall Manager-Wiederherstellung beeinträchtigen, stoppt Firewall Manager alle Wartungsaktivitäten auf der Netzwerk-ACL und meldet den Konflikt. 

**Erzwungene Behebung**  
Wenn Sie die auto Korrektur für die Richtlinie wählen, geben Sie auch an, ob die Korrektur für die ersten oder letzten Regeln erzwungen werden soll. 

Wenn Firewall Manager bei der Verarbeitung des Datenverkehrs einen Konflikt zwischen einer benutzerdefinierten Regel und einer Richtlinienregel feststellt, bezieht er sich auf die entsprechende Einstellung für die erzwungene Wiederherstellung. Wenn die erzwungene Wiederherstellung aktiviert ist, wendet Firewall Manager die Wiederherstellung trotz des Konflikts an. Wenn diese Option nicht aktiviert ist, stoppt Firewall Manager die Wiederherstellung. In beiden Fällen meldet Firewall Manager den Regelkonflikt und bietet Behebungsoptionen an. 

**Anforderungen und Einschränkungen für die Anzahl der Regeln**  
Während der Behebung dupliziert Firewall Manager möglicherweise vorübergehend Regeln, um sie zu verschieben, ohne den von ihnen bereitgestellten Schutz zu ändern. 

Für eingehende oder ausgehende Regeln ist die größte Anzahl von Regeln, die Firewall Manager möglicherweise benötigt, um die Wiederherstellung durchzuführen, die folgende: 

```
2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction
```

Netzwerk ACLs - und Netzwerk-ACL-Richtlinien sind an veränderbare Regelgrenzwerte gebunden. Wenn Firewall Manager bei seinen Behebungsbemühungen auf ein Limit stößt, beendet er den Versuch, eine Korrektur durchzuführen, und meldet die Nichtkonformität. 

Um Platz für Firewall Manager für die Durchführung seiner Behebungsaktivitäten zu schaffen, können Sie eine Erhöhung des Limits beantragen. Alternativ können Sie die Konfiguration in der Richtlinie oder der Netzwerk-ACL ändern, um die Anzahl der verwendeten Regeln zu reduzieren. 

Informationen zu den Netzwerk-ACL-Limits finden Sie unter [Amazon VPC-Kontingente ACLs im Netzwerk](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls) im *Amazon VPC-Benutzerhandbuch*.

**Wenn die Behebung fehlschlägt**  
Wenn Firewall Manager während der Aktualisierung einer Netzwerk-ACL aus irgendeinem Grund beendet werden muss, macht er die Änderungen nicht rückgängig, sondern belässt die Netzwerk-ACL in einem Zwischenzustand. Wenn Sie doppelte Regeln in einer Netzwerk-ACL sehen, für die das `FMManaged` Tag auf gesetzt ist`true`, ist Firewall Manager wahrscheinlich gerade dabei, diese zu korrigieren. Änderungen können für einen bestimmten Zeitraum teilweise abgeschlossen sein, aber aufgrund der Vorgehensweise, die Firewall Manager bei der Behebung verfolgt, wird dadurch weder der Datenverkehr unterbrochen noch der Schutz für zugehörige Subnetze beeinträchtigt. 

Wenn Firewall Manager Netzwerke, die nicht konform sind ACLs , nicht vollständig behebt, meldet er die Nichtkonformität für die zugehörigen Subnetze und schlägt mögliche Behebungsoptionen vor. 

**Ein erneuter Versuch nach der Behebung schlägt fehl**  
In den meisten Fällen, wenn Firewall Manager die Wartungsänderungen an einer Netzwerk-ACL nicht abschließen kann, wird er die Änderung irgendwann erneut versuchen. 

Eine Ausnahme ist, wenn die Wiederherstellung das Limit für die Anzahl der Netzwerk-ACL-Regeln oder das VPC-Netzwerk-ACL-Zähllimit erreicht. Firewall Manager kann keine Behebungsaktivitäten durchführen, bei denen AWS Ressourcen ihre Limiteinstellungen überschreiten. In diesen Fällen müssen Sie die Anzahl reduzieren oder die Grenzwerte erhöhen, um fortzufahren. Informationen zu den Beschränkungen finden Sie unter [Amazon VPC-Kontingente im Netzwerk ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls) im *Amazon VPC-Benutzerhandbuch*.

## Firewall Manager Manager-Netzwerk-ACL-Konformitätsberichte
<a name="network-acls-compliance"></a>

Firewall Manager überwacht und meldet die Konformität für alle Netzwerke ACLs , die an Subnetze im Geltungsbereich angeschlossen sind. 

Im Allgemeinen tritt eine Nichteinhaltung bei Situationen auf, z. B. bei einer falschen Reihenfolge der Regeln oder bei einem Konflikt zwischen Richtlinienregeln und benutzerdefinierten Regeln bei der Verarbeitung des Datenverkehrs. Die Berichterstattung über Verstöße umfasst Verstöße gegen die Einhaltung von Vorschriften und Optionen zur Behebung von Vorschriften.

Firewall Manager meldet Compliance-Verstöße für eine Netzwerk-ACL-Richtlinie genauso wie für andere Richtlinientypen. Informationen zur Compliance-Berichterstattung finden Sie unter[Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md). 

**Verstöße bei Richtlinienaktualisierungen**  
Nachdem Sie eine Netzwerk-ACL-Richtlinie geändert haben, markiert Firewall Manager diese Netzwerke als ACLs nicht konform ACLs, bis Firewall Manager das Netzwerk aktualisiert, das in den Geltungsbereich der Richtlinie fällt. Firewall Manager tut dies auch dann, wenn das Netzwerk streng genommen ACLs möglicherweise die Vorschriften einhält. 

Wenn Sie beispielsweise Regeln aus der Richtlinienspezifikation entfernen, obwohl das Netzwerk im Geltungsbereich ACLs noch über die zusätzlichen Regeln verfügt, entsprechen deren Regeldefinitionen möglicherweise immer noch der Richtlinie. Da die zusätzlichen Regeln jedoch Teil der Regeln sind, die Firewall Manager verwaltet, betrachtet Firewall Manager sie als Verstöße gegen die aktuellen Richtlinieneinstellungen. Dies unterscheidet sich davon, wie Firewall Manager benutzerdefinierte Regeln anzeigt, die Sie dem von Firewall Manager verwalteten Netzwerk hinzufügen ACLs. 

# Löschen einer Firewall Manager Manager-Netzwerk-ACL-Richtlinie
<a name="network-acls-deletion"></a>

In diesem Abschnitt wird beschrieben, was in Firewall Manager passiert, wenn Sie eine Firewall Manager Manager-Netzwerk-ACL-Richtlinie löschen.

Wenn Sie eine Firewall Manager-Netzwerk-ACL-Richtlinie löschen, ändert Firewall Manager die `FMManaged` Tag-Werte `false` auf für alle Netzwerke ACLs , die er für die Richtlinie verwaltet hat. 

Darüber hinaus können Sie wählen, ob die durch die Richtlinie erstellten Ressourcen bereinigt werden sollen. Wenn Sie „Aufräumen“ wählen, führt Firewall Manager die folgenden Schritte der Reihe nach durch: 

1. **Stellen Sie die Zuordnung wieder auf das Original zurück** — Firewall Manager versucht, das Subnetz wieder der Netzwerk-ACL zuzuordnen, der es zugeordnet war, bevor Firewall Manager mit der Verwaltung begann. 

1. **Erste und letzte Regel aus der Netzwerk-ACL entfernen** — Wenn die Zuordnung nicht geändert werden kann, versucht Firewall Manager, die ersten und letzten Regeln der Richtlinie zu entfernen, sodass nur die benutzerdefinierten Regeln in der Netzwerk-ACL verbleiben, die dem Subnetz zugeordnet ist. 

1. **Nichts an den Regeln oder der Assoziation** ändern — Wenn er keines der oben genannten Dinge tun kann, belässt Firewall Manager die Netzwerk-ACL und ihre Zuordnung unverändert. 

Wenn Sie die Bereinigungsoption nicht wählen, müssen Sie jede Netzwerk-ACL manuell verwalten, nachdem die Richtlinie gelöscht wurde. In den meisten Situationen ist die Auswahl der Bereinigungsoption der einfachste Ansatz. 

# AWS Network Firewall Richtlinien im Firewall Manager verwenden
<a name="network-firewall-policies"></a>

In diesem Abschnitt wird erklärt, wie AWS Network Firewall Richtlinien mit Firewall Manager verwendet werden.

Sie können AWS Firewall Manager *Netzwerk-Firewall-Richtlinien* verwenden, um AWS Network Firewall *Firewalls* für Ihre Amazon Virtual Private Cloud in Ihrer *VPCs*gesamten *Organisation* in AWS Organizations zu verwalten. Sie können zentral gesteuerte Firewalls auf Ihr gesamtes Unternehmen oder auf eine ausgewählte Teilmenge Ihrer Konten und anwenden. VPCs 

Die Network Firewall bietet Filterschutz für den Netzwerkverkehr für die öffentlichen Subnetze in Ihrem. VPCs Firewall Manager erstellt und verwaltet Ihre Firewalls auf der Grundlage des in Ihrer Richtlinie definierten *Firewall-Management-Typs*. Firewall Manager bietet die folgenden Firewall-Managementmodelle:
+ **Verteilt** — Für jedes Konto und jede VPC, die innerhalb des Richtlinienbereichs liegen, erstellt Firewall Manager eine Netzwerk-Firewall-Firewall und verteilt Firewall-Endpunkte in VPC-Subnetzen, um den Netzwerkverkehr zu filtern.
+ **Zentralisiert** — Firewall Manager erstellt eine einzige Netzwerk-Firewall-Firewall in einer einzigen Amazon-VPC.
+ **Vorhandene Firewalls importieren** — Firewall Manager importiert bestehende Firewalls zur Verwaltung in einer einzigen Firewall Manager Manager-Richtlinie. Sie können zusätzliche Regeln auf die importierten Firewalls anwenden, die gemäß Ihrer Richtlinie verwaltet werden, um sicherzustellen, dass Ihre Firewalls Ihren Sicherheitsstandards entsprechen.

**Anmerkung**  
Firewall Manager Network Firewall Firewall-Richtlinien sind Firewall Manager Manager-Richtlinien, mit denen Sie den Netzwerk-Firewall-Schutz für Ihr VPCs gesamtes Unternehmen verwalten.   
Der Netzwerk-Firewall-Schutz wird in Ressourcen im Netzwerk-Firewall-Dienst spezifiziert, die als Firewall-Richtlinien bezeichnet werden. 

Informationen zur Verwendung der Network Firewall finden Sie im [AWS Network Firewall Entwicklerhandbuch](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html).

In den folgenden Abschnitten werden die Anforderungen für die Verwendung von Firewall Manager Manager-Netzwerk-Firewall-Richtlinien behandelt und deren Funktionsweise beschrieben. Das Verfahren zum Erstellen der Richtlinie finden Sie unter[Erstellen einer AWS Firewall Manager Richtlinie für AWS Network Firewall](create-policy.md#creating-firewall-manager-policy-for-network-firewall). 

**Wichtig**  
**Sie müssen die gemeinsame Nutzung von Ressourcen aktivieren.** Eine Netzwerk-Firewall-Richtlinie teilt Netzwerkfirewall-Regelgruppen für alle Konten in Ihrer Organisation. Damit dies funktioniert, müssen Sie die gemeinsame Nutzung von Ressourcen für aktiviert haben AWS Organizations. Informationen zum Aktivieren der gemeinsamen Nutzung von Ressourcen finden Sie unter[Gemeinsame Nutzung von Ressourcen für Network Firewall- und DNS-Firewall-Richtlinien](resource-sharing.md).

**Wichtig**  
**Sie müssen Ihre Netzwerk-Firewall-Regelgruppen definiert haben.** Wenn Sie eine neue Netzwerk-Firewall-Richtlinie angeben, definieren Sie die Firewall-Richtlinie genauso wie bei der AWS Network Firewall direkten Verwendung. Sie geben die hinzuzufügenden statusfreien Regelgruppen, standardmäßige statusfreie Aktionen und statusbehaftete Regelgruppen an. Ihre Regelgruppen müssen bereits im Firewall Manager Manager-Administratorkonto vorhanden sein, damit Sie sie in die Richtlinie aufnehmen können. Informationen zum Erstellen von Netzwerkfirewall-Regelgruppen finden Sie unter [AWS Network Firewall Regelgruppen](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html).

**Topics**
+ [

# So erstellt Firewall Manager Firewall-Endpunkte
](fms-create-firewall-endpoints.md)
+ [

# So verwaltet Firewall Manager Ihre Firewall-Subnetze
](fms-manage-firewall-subnets.md)
+ [

# So verwaltet Firewall Manager Ihre Netzwerk-Firewall-Ressourcen
](fms-manage-network-firewall.md)
+ [

# So verwaltet und überwacht Firewall Manager VPC-Routing-Tabellen für Ihre Richtlinie
](fms-manage-vpc-route-tables.md)
+ [

# Konfiguration der Protokollierung für eine AWS Network Firewall Richtlinie
](nwfw-policies-logging-config.md)

# So erstellt Firewall Manager Firewall-Endpunkte
<a name="fms-create-firewall-endpoints"></a>

In diesem Abschnitt wird erklärt, wie Firewall Manager Firewall-Endpunkte erstellt.

Der *Firewall-Management-Typ* in Ihrer Richtlinie bestimmt, wie Firewall Manager Firewalls erstellt. Ihre Richtlinie kann *verteilte* Firewalls oder eine *zentralisierte* Firewall einrichten oder Sie können **vorhandene Firewalls importieren**:
+ **Verteilt** — Beim verteilten Bereitstellungsmodell erstellt Firewall Manager Endpunkte für jede VPC, die innerhalb des Richtlinienbereichs liegt. Sie können entweder den Endpunktstandort anpassen, indem Sie angeben, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen, oder Firewall Manager kann automatisch Endpunkte in den Availability Zones mit öffentlichen Subnetzen erstellen. Wenn Sie die Availability Zones manuell auswählen, haben Sie die Möglichkeit, die Anzahl der zulässigen Zonen CIDRs pro Availability Zone einzuschränken. Wenn Sie beschließen, dass Firewall Manager die Endpunkte automatisch erstellt, müssen Sie auch angeben, ob der Dienst einen einzelnen Endpunkt oder mehrere Firewall-Endpunkte innerhalb Ihres Geräts erstellt. VPCs
  + Für mehrere Firewall-Endpunkte stellt Firewall Manager einen Firewall-Endpunkt in jeder Availability Zone bereit, in der Sie ein Subnetz mit einem Internet-Gateway oder einer von Firewall Manager erstellten Firewall-Endpunktroute in der Routentabelle haben. Dies ist die Standardoption für eine Netzwerk-Firewall-Richtlinie.
  + Für einen einzelnen Firewall-Endpunkt stellt Firewall Manager einen Firewall-Endpunkt in einer einzelnen Availability Zone in jedem Subnetz bereit, das über eine Internet-Gateway-Route verfügt. Bei dieser Option muss der Verkehr in anderen Zonen Zonengrenzen überschreiten, um von der Firewall gefiltert zu werden.
**Anmerkung**  
Für beide Optionen muss ein Subnetz vorhanden sein, das mit einer Routing-Tabelle verknüpft ist, die eine IPv4 /prefixlist-Route enthält. Firewall Manager sucht nicht nach anderen Ressourcen.
+ **Zentralisiert** — Beim zentralisierten Bereitstellungsmodell erstellt Firewall Manager einen oder mehrere Firewall-Endpunkte innerhalb einer *Inspektions-VPC*. Eine Inspektions-VPC ist eine zentrale VPC, auf der Firewall Manager Ihre Endgeräte startet. Wenn Sie das zentralisierte Bereitstellungsmodell verwenden, geben Sie auch an, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können die Inspektions-VPC nicht ändern, nachdem Sie Ihre Richtlinie erstellt haben. Um eine andere Inspektions-VPC zu verwenden, müssen Sie eine neue Richtlinie erstellen.
+ **Vorhandene Firewalls importieren** — Wenn Sie vorhandene Firewalls importieren, wählen Sie die Firewalls aus, die in Ihrer Richtlinie verwaltet werden sollen, indem Sie Ihrer Richtlinie eine oder mehrere *Ressourcensätze* hinzufügen. Ein Ressourcensatz ist eine Sammlung von Ressourcen, in diesem Fall bestehende Firewalls in der Network Firewall, die von einem Konto in Ihrer Organisation verwaltet werden. Bevor Sie Ressourcensätze in Ihrer Richtlinie verwenden, müssen Sie zunächst eine Ressourcengruppe erstellen. Informationen zu Firewall Manager Manager-Ressourcensätzen finden Sie unter[Gruppieren Sie Ihre Ressourcen in Firewall Manager](fms-resource-sets.md).

  Beachten Sie bei der Arbeit mit importierten Firewalls die folgenden Überlegungen:
  + Wenn eine importierte Firewall nicht mehr konform ist, versucht Firewall Manager, den Verstoß automatisch zu beheben, außer unter den folgenden Umständen:
    + Wenn es eine Diskrepanz zwischen den statusbehafteten oder statusfreien Standardaktionen des Firewall-Managers und der Netzwerk-Firewall-Richtlinie gibt.
    + Wenn eine Regelgruppe in der Firewall-Richtlinie einer importierten Firewall dieselbe Priorität hat wie eine Regelgruppe in der Firewall Manager Manager-Richtlinie.
    + Wenn eine importierte Firewall eine Firewall-Richtlinie verwendet, die mit einer Firewall verknüpft ist, die nicht Teil des Ressourcensatzes der Richtlinie ist. Dies kann passieren, weil eine Firewall genau eine Firewall-Richtlinie haben kann, eine einzelne Firewall-Richtlinie jedoch mehreren Firewalls zugeordnet werden kann.
    + Wenn einer bereits vorhandenen Regelgruppe, die zur Firewall-Richtlinie einer importierten Firewall gehört, die auch in der Firewall Manager Manager-Richtlinie angegeben ist, eine andere Priorität zugewiesen wird.
  + Wenn Sie die Ressourcenbereinigung in der Richtlinie aktivieren, entfernt Firewall Manager die Regelgruppen, die in der FMS-Importrichtlinie enthalten waren, aus den Firewalls im Bereich des Ressourcensatzes.
  + Firewalls, die von einem Firewall Manager Manager-Import verwaltet werden, der vorhandene Firewall-Managementtyp kann jeweils nur mit einer Richtlinie verwaltet werden. Wenn derselbe Ressourcensatz zu mehreren importierten Netzwerk-Firewall-Richtlinien hinzugefügt wird, werden die Firewalls in der Ressourcengruppe von der ersten Richtlinie verwaltet, zu der der Ressourcensatz hinzugefügt wurde, und von der zweiten Richtlinie ignoriert.
  + Firewall Manager streamt derzeit keine Konfigurationen von Ausnahmerichtlinien. Informationen zu Stream-Ausnahmerichtlinien finden Sie unter [Stream-Ausnahmerichtlinie](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-settings.html#:~:text=Stream%20exception%20policy) im *AWS Network Firewall Entwicklerhandbuch*.
  + Der Import vorhandener Firewalls unterstützt den Import von Firewalls, die an ein Transit Gateway angeschlossen sind, nicht.

Wenn Sie die Liste der Availability Zones für Richtlinien ändern, die verteiltes oder zentrales Firewall-Management verwenden, versucht Firewall Manager, alle Endpoints zu bereinigen, die in der Vergangenheit erstellt wurden, aber derzeit nicht im Richtlinienbereich sind. Firewall Manager entfernt den Endpunkt nur, wenn es keine Routing-Tabellenrouten gibt, die auf den außerhalb des Gültigkeitsbereichs liegenden Endpunkt verweisen. Wenn Firewall Manager feststellt, dass er diese Endpunkte nicht löschen kann, markiert er das Firewall-Subnetz als nicht konform und versucht weiterhin, den Endpunkt zu entfernen, bis er sicher gelöscht werden kann.

# So verwaltet Firewall Manager Ihre Firewall-Subnetze
<a name="fms-manage-firewall-subnets"></a>

In diesem Abschnitt wird erklärt, wie Firewall Manager Ihre Firewall-Subnetze verwaltet.

Firewall-Subnetze sind die VPC-Subnetze, die Firewall Manager für die Firewall-Endpunkte erstellt, die Ihren Netzwerkverkehr filtern. Jeder Firewall-Endpunkt muss in einem dedizierten VPC-Subnetz bereitgestellt werden. Firewall Manager erstellt mindestens ein Firewall-Subnetz in jeder VPC, die in den Geltungsbereich der Richtlinie fällt.

Für Richtlinien, die das verteilte Bereitstellungsmodell mit automatischer Endpunktkonfiguration verwenden, erstellt Firewall Manager nur Firewall-Subnetze in Availability Zones, die ein Subnetz mit einer Internet-Gateway-Route oder ein Subnetz mit einer Route zu den Firewall-Endpunkten haben, die Firewall Manager für ihre Richtlinie erstellt hat. Weitere Informationen finden Sie unter [VPCs Subnetze](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-subnet-basics) im *Amazon VPC-Benutzerhandbuch*.

Für Richtlinien, die entweder das verteilte oder das zentralisierte Modell verwenden, bei dem Sie angeben, in welchen Availability Zones Firewall Manager die Firewall-Endpoints erstellt, erstellt Firewall Manager einen Endpunkt in diesen spezifischen Availability Zones, unabhängig davon, ob sich andere Ressourcen in der Availability Zone befinden.

Wenn Sie zum ersten Mal eine Netzwerk-Firewall-Richtlinie definieren, geben Sie an, wie Firewall Manager die Firewall-Subnetze in den einzelnen Subnetzen verwaltet VPCs , die in den Geltungsbereich fallen. Sie können diese Auswahl später nicht mehr ändern.

Für Richtlinien, die das verteilte Bereitstellungsmodell mit automatischer Endpunktkonfiguration verwenden, können Sie zwischen den folgenden Optionen wählen:
+ Stellen Sie ein Firewall-Subnetz für jede Availability Zone bereit, die über öffentliche Subnetze verfügt. Dies ist das Standardverhalten. Dadurch wird eine hohe Verfügbarkeit Ihrer Schutzmaßnahmen zur Filterung des Datenverkehrs gewährleistet. 
+ Stellen Sie ein einzelnes Firewall-Subnetz in einer Availability Zone bereit. Mit dieser Auswahl identifiziert Firewall Manager eine Zone in der VPC mit den meisten öffentlichen Subnetzen und erstellt dort das Firewall-Subnetz. Der einzelne Firewall-Endpunkt filtert den gesamten Netzwerkverkehr für die VPC. Dies kann die Firewallkosten senken, ist aber nicht hochverfügbar und erfordert, dass der Datenverkehr aus anderen Zonen die Zonengrenzen überschreitet, um gefiltert zu werden. 

Für Richtlinien, die ein verteiltes Bereitstellungsmodell mit benutzerdefinierter Endpunktkonfiguration oder das zentralisierte Bereitstellungsmodell verwenden, erstellt Firewall Manager die Subnetze in den angegebenen Availability Zones, die innerhalb des Richtlinienbereichs liegen.

Sie können VPC-CIDR-Blöcke bereitstellen, die Firewall Manager für die Firewall-Subnetze verwenden kann, oder Sie können die Auswahl der Firewall-Endpunktadressen dem Firewall Manager überlassen. 
+ Wenn Sie keine CIDR-Blöcke angeben, fragt Firewall Manager Sie VPCs nach verfügbaren IP-Adressen ab, die Sie verwenden können. 
+ Wenn Sie eine Liste von CIDR-Blöcken bereitstellen, sucht Firewall Manager nur in den CIDR-Blöcken, die Sie angeben, nach neuen Subnetzen. Sie müssen /28 CIDR-Blöcke verwenden. Für jedes Firewall-Subnetz, das Firewall Manager erstellt, durchsucht er Ihre CIDR-Sperrliste und verwendet das erste Subnetz, das für die Availability Zone und VPC gilt und über verfügbare Adressen verfügt. Wenn Firewall Manager keinen freien Speicherplatz in der VPC finden kann (mit oder ohne Einschränkung), erstellt der Dienst keine Firewall in der VPC.

Wenn Firewall Manager ein erforderliches Firewall-Subnetz in einer Availability Zone nicht erstellen kann, markiert er das Subnetz als nicht richtlinienkonform. Solange sich die Zone in diesem Zustand befindet, muss der Datenverkehr für die Zone die Zonengrenzen überschreiten, damit er von einem Endpunkt in einer anderen Zone gefiltert werden kann. Dies ähnelt dem Szenario mit einem einzelnen Firewall-Subnetz. 

# So verwaltet Firewall Manager Ihre Netzwerk-Firewall-Ressourcen
<a name="fms-manage-network-firewall"></a>

In diesem Abschnitt wird beschrieben, wie Sie Ihre Netzwerk-Firewall-Ressourcen in Firewall Manager verwalten.

Wenn Sie die Richtlinie in Firewall Manager definieren, geben Sie das Filterverhalten des Netzwerkverkehrs einer AWS Network Firewall Standard-Firewall-Richtlinie an. Sie fügen statusfreie und statusbehaftete Netzwerkfirewall-Regelgruppen hinzu und geben Standardaktionen für Pakete an, die keinen statusfreien Regeln entsprechen. [Informationen zur Arbeit mit Firewall-Richtlinien finden Sie in den AWS Network Firewall Firewall-Richtlinien.AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html)

Bei verteilten und zentralisierten Richtlinien erstellt Firewall Manager beim Speichern der Netzwerk-Firewall-Richtlinie eine Firewall und eine Firewall-Richtlinie in jeder VPC, die in den Geltungsbereich der Richtlinie fällt. Firewall Manager benennt diese Netzwerk-Firewall-Ressourcen, indem er die folgenden Werte verkettet: 
+ Eine feste Zeichenfolge, entweder `FMManagedNetworkFirewall` oder`FMManagedNetworkFirewallPolicy`, abhängig vom Ressourcentyp.
+ Name der Firewall Manager Manager-Richtlinie. Dies ist der Name, den Sie bei der Erstellung der Richtlinie vergeben.
+ Firewall Manager Manager-Richtlinien-ID. Dies ist die AWS Ressourcen-ID für die Firewall Manager Manager-Richtlinie.
+ Amazon VPC-ID. Dies ist die AWS Ressourcen-ID für die VPC, auf der Firewall Manager die Firewall und die Firewall-Richtlinie erstellt.

Im Folgenden sehen Sie einen Beispielnamen für eine Firewall, die von Firewall Manager verwaltet wird:

```
FMManagedNetworkFirewallEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId
```

Im Folgenden wird ein Beispiel für den Namen einer Firewall-Richtlinie gezeigt:

```
FMManagedNetworkFirewallPolicyEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId
```

Nachdem Sie die Richtlinie erstellt haben, VPCs können Mitgliedskonten in der Ihre Firewall-Richtlinieneinstellungen oder Ihre Regelgruppen nicht überschreiben, aber sie können Regelgruppen zu der Firewall-Richtlinie hinzufügen, die Firewall Manager erstellt hat.

# So verwaltet und überwacht Firewall Manager VPC-Routing-Tabellen für Ihre Richtlinie
<a name="fms-manage-vpc-route-tables"></a>

In diesem Abschnitt wird erklärt, wie Firewall Manager Ihre VPC-Routing-Tabellen verwaltet und überwacht.

**Anmerkung**  
Die Verwaltung von Routing-Tabellen wird derzeit nicht für Richtlinien unterstützt, die das zentralisierte Bereitstellungsmodell verwenden.

Wenn Firewall Manager Ihre Firewall-Endpoints erstellt, erstellt er auch die VPC-Routing-Tabellen für sie. Firewall Manager verwaltet Ihre VPC-Routing-Tabellen jedoch nicht. Sie müssen Ihre VPC-Routing-Tabellen so konfigurieren, dass der Netzwerkverkehr zu den Firewall-Endpunkten geleitet wird, die von Firewall Manager erstellt wurden. Ändern Sie mithilfe der Verbesserungen des Amazon VPC-Ingress-Routings Ihre Routing-Tabellen, um den Datenverkehr durch die neuen Firewall-Endpunkte zu leiten. Ihre Änderungen müssen die Firewall-Endpunkte zwischen den Subnetzen, die Sie schützen möchten, und externen Standorten einfügen. Das genaue Routing, das Sie durchführen müssen, hängt von Ihrer Architektur und ihren Komponenten ab.

Derzeit ermöglicht Firewall Manager die Überwachung Ihrer VPC-Routingtabellenrouten für jeglichen Datenverkehr, der an das Internet-Gateway gerichtet ist und die Firewall umgeht. Firewall Manager unterstützt keine anderen Ziel-Gateways wie NAT-Gateways.

Informationen zur Verwaltung von Routentabellen für Ihre VPC finden Sie unter [Verwaltung von Routentabellen für Ihre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*. Informationen zur Verwaltung Ihrer Routing-Tabellen für die Network Firewall finden Sie unter [Routentabellenkonfigurationen für AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/route-tables.html) im *AWS Network Firewall Entwicklerhandbuch*.

Wenn Sie die Überwachung für eine Richtlinie aktivieren, überwacht Firewall Manager kontinuierlich die VPC-Routenkonfigurationen und warnt Sie vor Datenverkehr, der die Firewall-Inspektion für diese VPC umgeht. Wenn ein Subnetz über eine Firewall-Endpunktroute verfügt, sucht Firewall Manager nach den folgenden Routen:
+ Routen zum Senden von Datenverkehr an den Netzwerkfirewall-Endpunkt. 
+ Routen zur Weiterleitung des Datenverkehrs vom Netzwerkfirewall-Endpunkt zum Internet-Gateway. 
+ Eingehende Routen vom Internet-Gateway zum Netzwerk-Firewall-Endpunkt. 
+ Routen vom Firewall-Subnetz.

Wenn ein Subnetz über eine Netzwerkfirewall-Route verfügt, die Network Firewall und Ihre Internet-Gateway-Routentabelle jedoch asymmetrisches Routing enthält, meldet Firewall Manager das Subnetz als nicht konform. Firewall Manager erkennt auch Routen zum Internet-Gateway in der Firewall-Routentabelle, die Firewall Manager erstellt hat, sowie in der Routing-Tabelle für Ihr Subnetz und meldet sie als nicht konform. Zusätzliche Routen in der Subnetz-Routentabelle der Netzwerkfirewall und Ihrer Internet-Gateway-Routentabelle werden ebenfalls als nicht konform gemeldet. Je nach Art des Verstoßes schlägt Firewall Manager Korrekturmaßnahmen vor, um die Routenkonfiguration auf Konformität zu bringen. Firewall Manager bietet nicht in allen Fällen Vorschläge. Wenn Ihr Kundensubnetz beispielsweise über einen Firewall-Endpunkt verfügt, der außerhalb von Firewall Manager erstellt wurde, schlägt Firewall Manager keine Behebungsmaßnahmen vor. 

Standardmäßig markiert Firewall Manager jeden Datenverkehr, der die Grenze der Availability Zone zur Überprüfung überschreitet, als nicht konform. Wenn Sie sich jedoch dafür entscheiden, automatisch einen einzelnen Endpunkt in Ihrer VPC zu erstellen, markiert Firewall Manager Datenverkehr, der die Availability Zone-Grenze überschreitet, nicht als nicht konform.

Bei Richtlinien, die verteilte Bereitstellungsmodelle mit benutzerdefinierter Endpunktkonfiguration verwenden, können Sie wählen, ob der Datenverkehr, der die Availability Zone-Grenze von einer Availability Zone ohne Firewall-Endpunkt überschreitet, als konform oder nicht konform markiert wird.

**Anmerkung**  
Firewall Manager schlägt keine Behebungsmaßnahmen für IPv4 Nicht-Routen vor, wie IPv6 z. B. Routen mit Präfixlisten.
Es kann bis zu 12 Stunden dauern, bis Anrufe erkannt werden, die über den `DisassociateRouteTable` API-Aufruf getätigt wurden.
Firewall Manager erstellt eine Netzwerk-Firewall-Routentabelle für ein Subnetz, das die Firewall-Endpunkte enthält. Firewall Manager geht davon aus, dass diese Routentabelle nur gültige Internet-Gateway- und VPC-Standardrouten enthält. Alle zusätzlichen oder ungültigen Routen in dieser Routentabelle gelten als nicht konform.

Wenn Sie bei der Konfiguration Ihrer Firewall Manager-Richtlinie den **Überwachungsmodus** wählen, stellt Firewall Manager Informationen zu Ressourcenverletzungen und Problembehebungen zu Ihren Ressourcen bereit. Sie können diese vorgeschlagenen Behebungsmaßnahmen verwenden, um Routenprobleme in Ihren Routing-Tabellen zu beheben. Wenn Sie den Modus **Aus** wählen, überwacht Firewall Manager den Inhalt Ihrer Routing-Tabelle nicht für Sie. Mit dieser Option verwalten Sie Ihre VPC-Routing-Tabellen selbst. Weitere Informationen zu diesen Ressourcenverletzungen finden Sie unter[Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md).

**Warnung**  
Wenn Sie bei der Erstellung Ihrer Richtlinie unter ** AWS Network Firewall Routenkonfiguration** die Option **Überwachen** auswählen, können Sie die Option für diese Richtlinie nicht deaktivieren. Wenn Sie jedoch **Aus** wählen, können Sie es später aktivieren.

# Konfiguration der Protokollierung für eine AWS Network Firewall Richtlinie
<a name="nwfw-policies-logging-config"></a>

In diesem Abschnitt wird erklärt, wie Sie die zentrale Protokollierung für Ihre Netzwerk-Firewall-Richtlinien aktivieren können, um detaillierte Informationen über den Datenverkehr innerhalb Ihres Unternehmens zu erhalten. Sie können die Datenflussprotokollierung auswählen, um den Netzwerkdatenfluss zu erfassen, oder die Warnungsprotokollierung, um Datenverkehr zu melden, der einer Regel entspricht, bei der die Regelaktion auf `DROP` oder gesetzt ist`ALERT`. Weitere Informationen zur AWS Network Firewall Protokollierung finden Sie AWS Network Firewall im *AWS Network Firewall Entwicklerhandbuch* unter [Protokollieren des Netzwerkverkehrs von](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html). 

Sie senden Protokolle von den Netzwerk-Firewall-Firewalls Ihrer Richtlinie an einen Amazon S3 S3-Bucket. Nachdem Sie die Protokollierung aktiviert haben, AWS Network Firewall werden Protokolle für jede konfigurierte Network Firewall bereitgestellt, indem die Firewall-Einstellungen aktualisiert werden, sodass Protokolle an Ihre ausgewählten Amazon S3 S3-Buckets mit dem reservierten AWS Firewall Manager Präfix, `<policy-name>-<policy-id>` gesendet werden. 

**Anmerkung**  
Dieses Präfix wird von Firewall Manager verwendet, um festzustellen, ob eine Protokollierungskonfiguration von Firewall Manager oder vom Kontoinhaber hinzugefügt wurde. Wenn der Kontoinhaber versucht, das reservierte Präfix für seine eigene benutzerdefinierte Protokollierung zu verwenden, wird es durch die Protokollierungskonfiguration in der Firewall Manager Manager-Richtlinie überschrieben. 

Weitere Informationen zum Erstellen eines Amazon S3-Buckets und zum Überprüfen der gespeicherten Protokolle finden Sie unter [Was ist Amazon S3?](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) im *Amazon Simple Storage Service-Benutzerhandbuch*. 

Um die Protokollierung zu aktivieren, müssen Sie die folgenden Anforderungen erfüllen:
+ Das Amazon S3, das Sie in Ihrer Firewall Manager Manager-Richtlinie angeben, muss vorhanden sein.
+ Sie benötigen die folgenden Berechtigungen:
  + `logs:CreateLogDelivery`
  + `s3:GetBucketPolicy`
  + `s3:PutBucketPolicy`
+ Wenn der Amazon S3 S3-Bucket, der Ihr Logging-Ziel ist, serverseitige Verschlüsselung mit Schlüsseln verwendet AWS Key Management Service, die in gespeichert sind, müssen Sie Ihrem AWS KMS vom Kunden verwalteten Schlüssel die folgende Richtlinie hinzufügen, damit Firewall Manager sich in Ihrer CloudWatch Logs-Protokollgruppe anmelden kann:

  ```
  {
      "Effect": "Allow",
      "Principal": {
          "Service": "delivery.logs.amazonaws.com"
      },
      "Action": [
          "kms:Encrypt*",
          "kms:Decrypt*",
          "kms:ReEncrypt*",
          "kms:GenerateDataKey*",
          "kms:Describe*"
      ],
      "Resource": "*"
  }
  ```

Beachten Sie, dass nur Buckets im Firewall Manager Manager-Administratorkonto für die AWS Network Firewall zentrale Protokollierung verwendet werden dürfen. 

Wenn Sie die zentrale Protokollierung für eine Netzwerk-Firewall-Richtlinie aktivieren, führt Firewall Manager die folgenden Aktionen für Ihr Konto durch: 
+ Firewall Manager aktualisiert die Berechtigungen für ausgewählte S3-Buckets, um die Protokollzustellung zu ermöglichen. 
+ Firewall Manager erstellt Verzeichnisse im S3-Bucket für jedes Mitgliedskonto im Geltungsbereich der Richtlinie. Die Protokolle für jedes Konto finden Sie unter`<bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id>`. 

**So aktivieren Sie die Protokollierung für eine Netzwerk-Firewall-Richtlinie**

1. Erstellen Sie mit Ihrem Firewall Manager Manager-Administratorkonto einen Amazon S3 S3-Bucket. Weitere Informationen finden Sie unter [Bucket erstellen](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) im *Amazon Simple Storage Service-Benutzerhandbuch*.

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich die Option **Sicherheitsrichtlinien** aus.

1. Wählen Sie die Netzwerk-Firewall-Richtlinie aus, für die Sie die Protokollierung aktivieren möchten. Weitere Informationen zur AWS Network Firewall Protokollierung finden Sie AWS Network Firewall im *AWS Network Firewall Entwicklerhandbuch* unter [Protokollieren von Netzwerkverkehr von](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html).

1. Wählen Sie auf der Registerkarte **Richtliniendetails** im Abschnitt **Richtlinienregeln** die Option **Bearbeiten** aus.

1. Um Protokolle zu aktivieren und zu aggregieren, wählen Sie unter **Protokollierungskonfiguration** eine oder mehrere Optionen aus:
   + **Aktivieren und aggregieren Sie Flow-Logs**
   + **Alert-Logs aktivieren und aggregieren**

1. Wählen Sie den Amazon S3 S3-Bucket aus, in den Ihre Logs geliefert werden sollen. Sie müssen für jeden Protokolltyp, den Sie aktivieren, einen Bucket auswählen. Sie können denselben Bucket für beide Protokolltypen verwenden.

1. (Optional) Wenn Sie möchten, dass die benutzerdefinierte, von Mitgliedskonten erstellte Protokollierung durch die Protokollierungskonfiguration der Richtlinie ersetzt wird, wählen Sie „**Bestehende Protokollierungskonfiguration überschreiben**“.

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie Ihre Einstellungen und wählen Sie dann **Speichern**, um Ihre Änderungen an der Richtlinie zu speichern.

**So deaktivieren Sie die Protokollierung für eine Netzwerk-Firewall-Richtlinie**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich die Option **Sicherheitsrichtlinien** aus.

1. Wählen Sie die Netzwerk-Firewall-Richtlinie aus, für die Sie die Protokollierung deaktivieren möchten.

1. Wählen Sie auf der Registerkarte **Richtliniendetails** im Abschnitt **Richtlinienregeln** die Option **Bearbeiten** aus.

1. Deaktivieren **Sie unter Status der Protokollierungskonfiguration** die Optionen **Flow-Logs aktivieren und aggregieren und Alert-Logs** **aktivieren und aggregieren**, falls sie ausgewählt sind.

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie Ihre Einstellungen und wählen Sie dann **Speichern**, um Ihre Änderungen an der Richtlinie zu speichern.

# Verwenden der DNS-Firewall-Richtlinien von Amazon Route 53 Resolver im Firewall Manager
<a name="dns-firewall-policies"></a>

Auf dieser Seite wird beschrieben, wie Sie AWS Firewall Manager DNS-Firewall-Richtlinien verwenden können, um Verknüpfungen zwischen Amazon Route 53 Resolver DNS-Firewall-Regelgruppen und Ihrer Amazon Virtual Private Cloud in Ihrer *VPCs*gesamten *Organisation* in AWS Organizations zu verwalten. Sie können zentral gesteuerte Regelgruppen auf Ihre gesamte Organisation oder auf eine ausgewählte Teilmenge Ihrer Konten und anwenden. VPCs 

Die DNS-Firewall bietet die Filterung und Regulierung des ausgehenden DNS-Datenverkehrs für Sie. VPCs Sie erstellen wiederverwendbare Sammlungen von Filterregeln in DNS-Firewall-Regelgruppen und ordnen die Regelgruppen Ihren VPCs zu. Wenn Sie die Firewall Manager-Richtlinie anwenden, erstellt Firewall Manager für jedes Konto und jede VPC, die innerhalb des Richtlinienbereichs liegen, eine Zuordnung zwischen jeder DNS-Firewall-Regelgruppe in der Richtlinie und jeder VPC, die in den Geltungsbereich der Richtlinie fällt. Dabei werden die Einstellungen für die Zuordnungspriorität verwendet, die Sie in der Firewall Manager Manager-Richtlinie angeben. 

Informationen zur Verwendung der DNS-Firewall finden Sie unter [Amazon Route 53 Resolver DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) im [Amazon Route 53 Developer Guide](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html).

In den folgenden Abschnitten werden die Anforderungen für die Verwendung der DNS-Firewall-Richtlinien von Firewall Manager behandelt und die Funktionsweise der Richtlinien beschrieben. Das Verfahren zum Erstellen der Richtlinie finden Sie unter[Eine AWS Firewall Manager Richtlinie für die Amazon Route 53 Resolver DNS Firewall erstellen](create-policy.md#creating-firewall-manager-policy-for-dns-firewall). 

**Wichtig**  
**Sie müssen die gemeinsame Nutzung von Ressourcen aktivieren.** Eine DNS-Firewall-Richtlinie teilt DNS-Firewall-Regelgruppen für alle Konten in Ihrer Organisation. Damit dies funktioniert, müssen Sie Resource Sharing mit aktiviert haben AWS Organizations. Informationen zum Aktivieren der gemeinsamen Nutzung von Ressourcen finden Sie unter[Gemeinsame Nutzung von Ressourcen für Network Firewall- und DNS-Firewall-Richtlinien](resource-sharing.md).

**Wichtig**  
**Sie müssen Ihre DNS-Firewall-Regelgruppen definiert haben.** Wenn Sie eine neue DNS-Firewall-Richtlinie angeben, definieren Sie die Regelgruppen genauso wie bei der direkten Verwendung der Amazon Route 53 Resolver DNS Firewall. Ihre Regelgruppen müssen bereits im Firewall Manager Manager-Administratorkonto vorhanden sein, damit Sie sie in die Richtlinie aufnehmen können. Informationen zum Erstellen von DNS-Firewall-Regelgruppen finden Sie unter [DNS-Firewall-Regelgruppen und Regeln](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-groups.html).

**Sie definieren die Zuordnungen der Regelgruppen mit der niedrigsten und der höchsten Priorität**  
Die Zuordnungen von DNS-Firewall-Regelgruppen, die Sie über die DNS-Firewall-Richtlinien von Firewall Manager verwalten, enthalten die Zuordnungen mit der niedrigsten Priorität und die Zuordnungen mit der höchsten Priorität für Ihre VPCs. In Ihrer Richtlinienkonfiguration werden diese als erste und letzte Regelgruppe angezeigt. 

Die DNS-Firewall filtert den DNS-Verkehr für die VPC in der folgenden Reihenfolge: 

1. Erste Regelgruppen, von Ihnen in der Firewall Manager Manager-DNS-Firewall-Richtlinie definiert. Gültige Werte liegen zwischen 1 und 99.

1. DNS-Firewall-Regelgruppen, die von einzelnen Kontomanagern über die DNS-Firewall zugeordnet werden. 

1. Letzte Regelgruppen, von Ihnen in der Firewall Manager Manager-DNS-Firewall-Richtlinie definiert. Gültige Werte liegen zwischen 9.901 und 10.000.

**So benennt Firewall Manager die von ihm erstellten Regelgruppenzuordnungen**  
Wenn Sie die DNS-Firewallrichtlinie speichern und die automatische Behebung aktiviert haben, erstellt Firewall Manager eine DNS-Firewall-Zuordnung zwischen den Regelgruppen, die Sie in der Richtlinie angegeben haben, und den Regelgruppen VPCs , die in den Geltungsbereich der Richtlinie fallen. Firewall Manager benennt diese Zuordnungen, indem er die folgenden Werte verkettet: 
+ Die feste Zeichenfolge,. `FMManaged_`
+ Die Firewall Manager Manager-Richtlinien-ID. Dies ist die AWS Ressourcen-ID für die Firewall Manager Manager-Richtlinie.

Im Folgenden sehen Sie einen Beispielnamen für eine Firewall, die von Firewall Manager verwaltet wird:

```
FMManaged_EXAMPLEDNSFirewallPolicyId
```

Wenn Kontoinhaber nach der Erstellung der Richtlinie Ihre Firewall-Richtlinieneinstellungen oder Ihre Regelgruppenzuordnungen VPCs überschreiben, markiert Firewall Manager die Richtlinie als nicht konform und versucht, eine Abhilfemaßnahme vorzuschlagen. Kontoinhaber können anderen DNS-Firewall-Regelgruppen zuordnen VPCs , die in den Geltungsbereich der DNS-Firewall-Richtlinie fallen. Für alle Verknüpfungen, die von den einzelnen Kontoinhabern erstellt werden, müssen Prioritätseinstellungen zwischen Ihrer ersten und letzten Regelgruppenverknüpfung festgelegt werden. 

# Löschen einer Regelgruppe aus einer Firewall Manager Manager-DNS-Firewall-Richtlinie
<a name="fms-delete-rule-group"></a>

**Löschen einer Regelgruppe**  
Um eine Regelgruppe aus einer Firewall Manager Manager-DNS-Firewall-Richtlinie zu löschen, müssen Sie die folgenden Schritte ausführen:

**Wichtig**  
Wenn Sie eine Regelgruppe aus Ihrer Firewall Manager Manager-DNS-Firewall-Richtlinie entfernen, wird ihre Wirkung dadurch aufgehoben, VPCs dass die Richtlinie angewendet wurde, unabhängig davon, ob Sie die Regelgruppe auch aus Ihren DNS-Firewall-Regelgruppen löschen. Das Löschen einer Regelgruppe ist eine permanente Aktion und kann nicht rückgängig gemacht werden.

1. Entfernen Sie die Regelgruppe aus Ihrer Firewall Manager Manager-DNS-Firewall-Richtlinie.

1. Heben Sie die gemeinsame Nutzung der Regelgruppe in auf AWS Resource Access Manager. Um die gemeinsame Nutzung einer Regelgruppe, deren Eigentümer Sie sind, rückgängig zu machen, müssen Sie sie aus der Ressourcenfreigabe entfernen. Sie können dies über die AWS RAM Konsole oder die AWS CLI tun. Informationen zum Aufheben der gemeinsamen Nutzung einer Ressource finden Sie unter [Aktualisieren einer Ressourcenfreigabe AWS RAM im AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html) *Benutzerhandbuch*.

1. Löschen Sie die Regelgruppe mithilfe der DNS-Firewall-Konsole oder AWS CLI.

# Verwendung der Palo Alto Networks Cloud NGFW-Richtlinien für Firewall Manager
<a name="cloud-ngfw-policies"></a>

Die Palo Alto Networks Cloud Next Generation Firewall (NGFW) ist ein Firewall-Service eines Drittanbieters, den Sie für Ihre Richtlinien verwenden können. AWS Firewall Manager Mit Palo Alto Networks Cloud NGFW for Firewall Manager können Sie Palo Alto Networks Cloud NGFW-Ressourcen und Regelstapel für all Ihre Konten erstellen und zentral bereitstellen. AWS 

Um Palo Alto Networks Cloud NGFW mit Firewall Manager zu verwenden, abonnieren Sie zunächst den [Palo Alto Networks Cloud NGFW](https://aws.amazon.com/marketplace/pp/prodview-nkug66dl4df4i) Pay-As-You-Go-Dienst im Marketplace. AWS Nach dem Abonnement führen Sie im Palo Alto Networks Cloud NGFW-Dienst eine Reihe von Schritten aus, um Ihr Konto und Ihre Cloud NGFW-Einstellungen zu konfigurieren. Anschließend erstellen Sie eine Firewall Manager Cloud FMS-Richtlinie, um Palo Alto Networks Cloud NGFW-Ressourcen und -Regeln für alle Konten in Ihren Organizations zentral bereitzustellen und zu verwalten. AWS 

Das Verfahren zum Erstellen der Firewall Manager Manager-Richtlinie finden Sie unter[Eine AWS Firewall Manager Richtlinie für Palo Alto Networks Cloud NGFW erstellen](create-policy.md#creating-cloud-ngfw-policy). Informationen zur Konfiguration und Verwaltung von Palo Alto Networks Cloud NGFW für Firewall Manager finden Sie in der Dokumentation *[Palo Alto Networks Cloud NGFW von Palo Alto Networks](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)*. AWS Informationen zu unterstützten AWS Regionen finden Sie unter *[Cloud](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)* NGFW für unterstützte Regionen und Zonen. AWS 

# Verwendung von Fortigate Cloud Native Firewall (CNF) as a Service-Richtlinien für Firewall Manager
<a name="fortigate-cnf-policies"></a>

Fortigate Cloud Native Firewall (CNF) as a Service ist ein Firewall-Service eines Drittanbieters, den Sie für Ihre Richtlinien verwenden können. AWS Firewall Manager Fortigate CNF ist ein Firewall-Service der nächsten Generation, der es Ihnen leicht macht, Ihre Cloud-Netzwerke zu schützen und Ihre Sicherheitsrichtlinien zu verwalten. Mit Fortigate CNF for Firewall Manager können Sie Fortigate CNF-Ressourcen und Richtliniensätze für all Ihre Konten erstellen und zentral bereitstellen. AWS 

Um Fortigate CNF mit Firewall Manager zu verwenden, abonnieren Sie zunächst die [Fortigate Cloud Native Firewall (CNF) as](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i) a Service im Marketplace. AWS Nach dem Abonnement führen Sie eine Reihe von Schritten im Fortigate CNF-Service durch, um Ihre globalen Richtliniensätze und andere Einstellungen zu konfigurieren. Anschließend erstellen Sie eine Firewall Manager Manager-Richtlinie, um Fortigate CNF-Ressourcen für alle Konten in Ihren Organizations zentral bereitzustellen und zu verwalten. AWS 

Das Verfahren zum Erstellen einer Fortigate CNF Firewall Manager Manager-Richtlinie finden Sie unter. [Erstellen einer AWS Firewall Manager Richtlinie für Fortigate Cloud Native Firewall (CNF) as a Service](create-policy.md#creating-fortigate-cnf-policy) Informationen zur Konfiguration und Verwaltung von Fortigate CNF für die Verwendung mit Firewall Manager finden Sie in der [Fortigate]( https://docs.fortinet.com/product/fortigate-cnf) CNF-Dokumentation.

# Gemeinsame Nutzung von Ressourcen für Network Firewall- und DNS-Firewall-Richtlinien
<a name="resource-sharing"></a>

Um die Netzwerkfirewall- und DNS-Firewall-Richtlinien von Firewall Manager zu verwalten, müssen Sie die gemeinsame Nutzung von Ressourcen mit AWS Organizations in aktivieren AWS Resource Access Manager. Auf diese Weise kann Firewall Manager Schutzmaßnahmen für Ihre Konten bereitstellen, wenn Sie diese Richtlinientypen erstellen.

Um die gemeinsame Nutzung von Ressourcen zu aktivieren, folgen Sie den Anweisungen unter [Gemeinsame Nutzung aktivieren mit AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) im *AWS Resource Access Manager Benutzerhandbuch*. 

**Probleme mit der gemeinsamen Nutzung von Ressourcen**  
Möglicherweise treten Probleme mit der gemeinsamen Nutzung von Ressourcen auf, entweder wenn Sie sie aktivieren oder wenn Sie an Firewall Manager Manager-Richtlinien arbeiten, die dies erfordern. AWS RAM 

Zu diesen Problemen gehören beispielsweise die folgenden: 
+ Wenn Sie den Anweisungen zum Aktivieren der Freigabe folgen, AWS Organizations ist die Option **Teilen aktivieren** in der AWS RAM Konsole ausgegraut und steht nicht zur Auswahl.
+ Wenn Sie in Firewall Manager an einer Richtlinie arbeiten, die die gemeinsame Nutzung von Ressourcen erfordert, wird die Richtlinie als nicht konform markiert und es werden Meldungen angezeigt, die darauf hinweisen, dass die gemeinsame Nutzung von Ressourcen aktiviert AWS RAM ist oder nicht aktiviert ist. 

Wenn Sie Probleme mit der gemeinsamen Nutzung von Ressourcen haben, versuchen Sie mit dem folgenden Verfahren, sie zu aktivieren. 

**Versuchen Sie erneut, die gemeinsame Nutzung von Ressourcen zu aktivieren**
+ Versuchen Sie erneut, die gemeinsame Nutzung mit einer der folgenden Optionen zu aktivieren: 
  + (Option) Folgen Sie über die AWS RAM Konsole den Anweisungen unter [Teilen aktivieren mit AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) im *AWS Resource Access Manager Benutzerhandbuch*.
  + (Option) Rufen Sie über die AWS RAM API auf`EnableSharingWithAwsOrganization`. Die Dokumentation finden Sie unter [EnableSharingWithAwsOrganization](https://docs.aws.amazon.com/ram/latest/APIReference/API_EnableSharingWithAwsOrganization.html).

# Verwaltete Listen mit Firewall Manager verwenden
<a name="working-with-managed-lists"></a>

In diesem Abschnitt wird erklärt, was verwaltete Listen sind und wie sie verwendet werden.

Verwaltete Anwendungs- und Protokolllisten vereinfachen die Konfiguration und Verwaltung von Sicherheitsgruppenrichtlinien für die AWS Firewall Manager Inhaltsüberwachung. Sie verwenden verwaltete Listen, um die Protokolle und Anwendungen zu definieren, die Ihre Richtlinie zulässt und welche nicht. Informationen zu Sicherheitsgruppenrichtlinien für Content Audits finden Sie unter[Verwenden von Inhaltsüberwachungs-Sicherheitsgruppenrichtlinien mit Firewall Manager](security-group-policies-audit.md). 

Sie können die folgenden Typen von verwalteten Listen in einer Sicherheitsgruppenrichtlinie für die Inhaltsüberwachung verwenden:
+ **Anwendungs- und Protokolllisten von Firewall Manager** — Firewall Manager verwaltet diese Listen. 
  + Die Anwendungslisten enthalten `FMS-Default-Public-Access-Apps-Allowed` und`FMS-Default-Public-Access-Apps-Denied`, in denen häufig verwendete Anwendungen beschrieben werden, die der Öffentlichkeit erlaubt oder verweigert werden sollten. 
  + Die Protokolllisten enthalten `FMS-Default-Protocols-Allowed` eine Liste häufig verwendeter Protokolle, die der Öffentlichkeit zugänglich sein sollten. Sie können jede Liste verwenden, die von Firewall Manager verwaltet wird, aber Sie können sie nicht bearbeiten oder löschen.
+ **Benutzerdefinierte Anwendungslisten und Protokolllisten** — Sie verwalten diese Listen. Sie können Listen beider Typen mit den Einstellungen erstellen, die Sie benötigen. Sie haben die volle Kontrolle über Ihre eigenen benutzerdefinierten verwalteten Listen und können sie nach Bedarf erstellen, bearbeiten und löschen.
**Anmerkung**  
Derzeit überprüft Firewall Manager keine Verweise auf eine benutzerdefinierte verwaltete Liste, wenn Sie sie löschen. Das bedeutet, dass Sie eine benutzerdefinierte Liste verwalteter Anwendungen oder Protokolle auch dann löschen können, wenn sie von einer aktiven Richtlinie verwendet wird. Dies kann dazu führen, dass die Richtlinie nicht mehr funktioniert. Löschen Sie eine Anwendungs- oder Protokollliste erst, nachdem Sie sich vergewissert haben, dass keine aktiven Richtlinien darauf verweisen.

Verwaltete Listen sind AWS Ressourcen. Sie können eine benutzerdefinierte verwaltete Liste taggen. Sie können eine verwaltete Liste von Firewall Manager nicht taggen.

## Versionierung verwalteter Listen
<a name="versioning-managed-lists"></a>

Für benutzerdefinierte verwaltete Listen gibt es keine Versionen. Wenn Sie eine benutzerdefinierte Liste bearbeiten, verwenden Richtlinien, die auf die Liste verweisen, automatisch die aktualisierte Liste. 

Von Firewall Manager verwaltete Listen sind versioniert. Das Firewall Manager Manager-Serviceteam veröffentlicht bei Bedarf neue Versionen, um die Listen mit den besten Sicherheitspraktiken zu versehen. 

Wenn Sie eine von Firewall Manager verwaltete Liste in einer Richtlinie verwenden, wählen Sie Ihre Versionsstrategie wie folgt aus: 
+ **Letzte verfügbare Version** — Wenn Sie keine explizite Versionseinstellung für die Liste angeben, verwendet Ihre Richtlinie automatisch die neueste Version. Dies ist die einzige Option, die über die Konsole verfügbar ist.
+ **Explizite Version** — Wenn Sie eine Version für die Liste angeben, verwendet Ihre Richtlinie diese Version. Ihre Richtlinie bleibt an die von Ihnen angegebene Version gebunden, bis Sie die Versionseinstellung ändern. Um die Version anzugeben, müssen Sie die Richtlinie außerhalb der Konsole definieren, z. B. über die CLI oder eine der SDKs. 

Weitere Informationen zur Auswahl der Versionseinstellung für eine Liste finden Sie unter[Verwenden verwalteter Listen in Ihren Sicherheitsgruppenrichtlinien für die Inhaltsüberwachung](#using-managed-lists).

## Verwenden verwalteter Listen in Ihren Sicherheitsgruppenrichtlinien für die Inhaltsüberwachung
<a name="using-managed-lists"></a>

Wenn Sie eine Gruppenrichtlinie für die Inhaltsüberwachung erstellen, können Sie festlegen, ob Sie Regeln für verwaltete Überwachungsrichtlinien verwenden möchten. Für einige Einstellungen für diese Option ist eine Liste verwalteter Anwendungen oder Protokolle erforderlich. Zu diesen Einstellungen gehören beispielsweise Protokolle, die in Sicherheitsgruppenregeln zulässig sind, und Anwendungen können auf das Internet zugreifen.

Die folgenden Einschränkungen gelten für jede Richtlinieneinstellung, die eine verwaltete Liste verwendet: 
+ Sie können für jede Einstellung höchstens eine von Firewall Manager verwaltete Liste angeben. Standardmäßig können Sie höchstens eine benutzerdefinierte Liste angeben. Bei dem Limit für benutzerdefinierte Listen handelt es sich um ein unverbindliches Kontingent, sodass Sie eine Erhöhung beantragen können. Weitere Informationen finden Sie unter [AWS Firewall Manager Kontingente](fms-limits.md).
+ Wenn Sie in der Konsole eine von Firewall Manager verwaltete Liste auswählen, können Sie die Version nicht angeben. Die Richtlinie verwendet immer die neueste Version der Liste. Um die Version anzugeben, müssen Sie die Richtlinie außerhalb der Konsole definieren, z. B. über die CLI oder eine der SDKs. Informationen zur Versionsverwaltung für verwaltete Listen mit Firewall Manager finden Sie unter[Versionierung verwalteter Listen](#versioning-managed-lists).

Informationen zum Erstellen einer Sicherheitsgruppenrichtlinie für die Inhaltsüberwachung über die Konsole finden Sie unter[Erstellen einer Inhaltsprüfungssicherheitsgruppenrichtlinie](create-policy.md#creating-firewall-manager-policy-audit-security-group).

# Erstellen einer benutzerdefinierten verwalteten Liste in Firewall Manager
<a name="creating-managed-list"></a>

Gehen Sie wie folgt vor, um eine benutzerdefinierte Liste verwalteter Anwendungen oder eine benutzerdefinierte verwaltete Protokollliste zu erstellen.

**Topics**
+ [

## Eine benutzerdefinierte Liste verwalteter Anwendungen erstellen
](#creating-custom-managed-application-list)
+ [

## Eine benutzerdefinierte Liste verwalteter Protokolle erstellen
](#creating-custom-managed-protocol-list)

## Eine benutzerdefinierte Liste verwalteter Anwendungen erstellen
<a name="creating-custom-managed-application-list"></a>

**Um eine benutzerdefinierte Liste verwalteter Anwendungen zu erstellen**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Anwendungslisten** aus.

1. Wählen Sie auf der Seite **Anwendungslisten** die Option **Anwendungsliste erstellen** aus. 

1. Geben **Sie auf der Seite „Anwendungsliste erstellen**“ Ihrer Liste einen Namen. Verwenden Sie das Präfix nicht, `fms-` da es für Firewall Manager reserviert ist. 

1. Geben Sie eine Anwendung an, indem Sie entweder das Protokoll und die Portnummer angeben oder indem Sie eine Anwendung aus der Dropdownliste **Typ** auswählen. Geben Sie Ihrer Anwendungsspezifikation einen Namen. 

1. Wählen **Sie Nach Bedarf weitere hinzufügen** und geben Sie die Anwendungsinformationen ein, bis Sie Ihre Liste abgeschlossen haben. 

1. (Optional) Fügen Sie Ihrer Liste Stichwörter hinzu. 

1. Wählen Sie **Speichern**, um Ihre Liste zu speichern und zur Seite mit den **Anwendungslisten** zurückzukehren. 

## Eine benutzerdefinierte Liste verwalteter Protokolle erstellen
<a name="creating-custom-managed-protocol-list"></a>

**Um eine benutzerdefinierte Liste verwalteter Protokolle zu erstellen**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Protokolllisten** aus.

1. Wählen Sie auf der Seite **Protokolllisten** die Option **Protokollliste erstellen** aus. 

1. Geben Sie auf der Seite zur Erstellung der Protokollliste Ihrer Liste einen Namen. Verwenden Sie das Präfix nicht, `fms-` da es für Firewall Manager reserviert ist. 

1. Geben Sie ein Protokoll an. 

1. Wählen Sie Nach Bedarf **weitere hinzufügen** und geben Sie die Protokollinformationen ein, bis Sie Ihre Liste abgeschlossen haben. 

1. (Optional) Fügen Sie Ihrer Liste Stichwörter hinzu. 

1. Wählen Sie **Speichern**, um Ihre Liste zu speichern und zur Seite mit den **Protokolllisten** zurückzukehren. 

# Eine verwaltete Liste in Firewall Manager anzeigen
<a name="viewing-managed-list"></a>

**Um eine Anwendungs- oder Protokollliste anzuzeigen**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Anwendungslisten** oder **Protokolllisten** aus.

   Auf der Seite werden alle Listen des ausgewählten Typs angezeigt, die für Sie verfügbar sind. Die von Firewall Manager verwalteten Listen haben ein **Y** in der **ManagedList**Spalte. 

1. Um die Details einer Liste zu sehen, wählen Sie ihren Namen. Auf der Detailseite werden der Inhalt der Liste und alle Tags angezeigt.

   Für verwaltete Listen mit Firewall Manager können Sie die verfügbaren Versionen auch anzeigen, indem Sie das Drop-down-Menü **Version** auswählen. 

# Löschen einer benutzerdefinierten verwalteten Liste in Firewall Manager
<a name="deleting-custom-managed-list"></a>

Sie können benutzerdefinierte verwaltete Listen löschen. Sie können die von Firewall Manager verwalteten Listen nicht bearbeiten oder löschen. 

**Anmerkung**  
Derzeit überprüft Firewall Manager keine Verweise auf eine benutzerdefinierte verwaltete Liste, wenn Sie sie löschen. Das bedeutet, dass Sie eine benutzerdefinierte Liste verwalteter Anwendungen oder Protokolle auch dann löschen können, wenn sie von einer aktiven Richtlinie verwendet wird. Dies kann dazu führen, dass die Richtlinie nicht mehr funktioniert. Löschen Sie eine Anwendungs- oder Protokollliste erst, wenn Sie sich vergewissert haben, dass keine aktiven Richtlinien darauf verweisen.

**Um eine benutzerdefinierte verwaltete Anwendungs- oder Protokollliste zu löschen**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Stellen Sie sicher, dass die Liste, die Sie löschen möchten, in keiner Ihrer Gruppenrichtlinien für Auditsicherheit verwendet wird, indem Sie wie folgt vorgehen: 

   1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

   1. Wählen und bearbeiten Sie auf der **AWS Firewall Manager Richtlinienseite** Ihre Auditsicherheitsgruppen und entfernen Sie alle Verweise auf die benutzerdefinierte Liste, die Sie löschen möchten. 

      Wenn Sie eine benutzerdefinierte verwaltete Liste löschen, die in einer Gruppenrichtlinie für Überwachungssicherheit verwendet wird, funktioniert die Richtlinie, die sie verwendet, möglicherweise nicht mehr. 

1. Wählen Sie im Navigationsbereich je nach Art der Liste, die Sie löschen möchten, **Anwendungslisten** **oder Protokolllisten** aus.

1. Wählen Sie auf der Listenseite die benutzerdefinierte Liste aus, die Sie löschen möchten, und klicken Sie auf **Löschen**.

# Gruppieren Sie Ihre Ressourcen in Firewall Manager
<a name="fms-resource-sets"></a>

In diesem Abschnitt wird beschrieben, was ein Ressourcensatz ist, und es werden Überlegungen zur Verwendung von Ressourcensätzen aufgeführt.

Ein AWS Firewall Manager *Ressourcensatz* ist eine Sammlung von Ressourcen, z. B. Firewalls, die Sie in einer Firewall Manager Manager-Richtlinie gruppieren und verwalten können. Mithilfe von Ressourcensätzen können Mitglieder in Ihrer Organisation detailliert steuern, welche Ressourcen in einer Richtlinie verwaltet werden sollen. Um Ressourcensätze zu verwenden, erstellen Sie einen Ressourcensatz in der Konsole oder mithilfe der [PutResourceSet](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutResourceSet.html)API und fügen Sie den Ressourcensatz dann zu Ihrer Firewall Manager Manager-Richtlinie hinzu.

Sie können Ressourcensätze für die folgenden Ressourcen- und Sicherheitsrichtlinientypen erstellen und verwalten:


| Ressourcentyp | Sicherheitsrichtlinientyp für Firewall Manager | 
| --- | --- | 
| AWS Network Firewall - Firewalls | Netzwerk-Firewall-Richtlinie — Verwenden Sie Ressourcensätze, um bestehende Firewalls aus der Network Firewall zu importieren. Informationen zur Verwendung von Ressourcensätzen in einer Netzwerk-Firewall-Richtlinie finden Sie im Verfahrensschritt Importieren vorhandener Firewalls. [Erstellen einer AWS Firewall Manager Richtlinie für AWS Network Firewall](create-policy.md#creating-firewall-manager-policy-for-network-firewall) | 

In den folgenden Abschnitten werden die Anforderungen für das Erstellen und Löschen von Ressourcensätzen behandelt.

**Topics**
+ [

## Überlegungen bei der Arbeit mit Ressourcensätzen in Firewall Manager
](#fms-resource-sets-considerations)
+ [

# Ressourcensätze in Firewall Manager erstellen
](fms-creating-resource-set.md)
+ [

# Löschen eines Ressourcensatzes in Firewall Manager
](fms-deleting-resource-set.md)

## Überlegungen bei der Arbeit mit Ressourcensätzen in Firewall Manager
<a name="fms-resource-sets-considerations"></a>

Beachten Sie bei der Arbeit mit Ressourcensätzen die folgenden Überlegungen.

**Verweise auf nicht existierende Ressourcen**  
Wenn Sie einer Ressourcengruppe eine Ressource hinzufügen, erstellen Sie mithilfe eines Amazon-Ressourcennamens (ARN) einen Verweis auf die Ressource. Firewall Manager überprüft, ob Amazon Resource Name (ARN) das richtige Format hat, aber Firewall Manager überprüft nicht, ob die referenzierte Ressource existiert. Wenn die Ressource noch nicht existiert und die ARN-Validierung bestanden hat, nimmt Firewall Manager die Ressourcenreferenz in die Ressourcengruppe auf. Wenn später eine neue Ressource mit demselben ARN erstellt wird, wendet Firewall Manager Regelgruppen aus der mit dem Ressourcensatz verknüpften Richtlinie auf die neue Ressource an.

**Gelöschte Ressourcen**  
Wenn eine Ressource in einem Ressourcensatz gelöscht wird, verbleibt der Verweis auf die Ressource in der Ressourcengruppe, bis er vom Firewall Manager Manager-Administrator entfernt wird.

**Ressourcen, die einem Mitgliedskonto gehören, das die AWS Organizations Organisation verlässt**  
Wenn ein Mitgliedskonto die Organisation verlässt, verbleiben alle Verweise auf Ressourcen, die diesem Mitgliedskonto gehören, in der Ressourcengruppe, werden aber nicht mehr durch Richtlinien verwaltet, mit denen die Ressourcengruppe verknüpft ist.

**Zuordnung zu mehreren Richtlinien**  
Ein Ressourcensatz kann mehreren Richtlinien zugeordnet werden, aber nicht alle Richtlinientypen unterstützen mehrere Richtlinien, die dieselbe Ressource verwalten. Informationen zu nicht unterstützten Szenarien finden Sie in der Dokumentation für Ihren spezifischen Richtlinientyp.

# Ressourcensätze in Firewall Manager erstellen
<a name="fms-creating-resource-set"></a>

**Um einen Ressourcensatz zu erstellen (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Resource Sets** aus.

1. Wählen Sie **Ressourcensatz erstellen** aus.

1. Geben Sie unter **Name des Ressourcensatzes** einen aussagekräftigen Namen ein.

1. (Optional) Geben Sie eine **Beschreibung** für den Ressourcensatz ein.

1. Wählen Sie **Weiter** aus.

1. **Wählen Sie unter Ressourcen** auswählen eine **AWS Konto-ID** und anschließend **Ressourcen auswählen aus, um Ressourcen**, die diesem Konto gehören und von diesem Konto verwaltet werden, dem Ressourcensatz hinzuzufügen. Nachdem Sie die Ressourcen ausgewählt haben, wählen Sie **Hinzufügen** aus, um die Ressourcen dem Ressourcensatz hinzuzufügen.

1. Wählen Sie **Weiter** aus.

1. Fügen Sie **unter Ressourcensatz-Tags** alle identifizierenden Tags hinzu, die Sie für den Ressourcensatz benötigen. Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Weiter** aus.

1. Prüfen Sie den neuen Ressourcensatz. Um Änderungen vorzunehmen, wählen Sie **Edit (Bearbeiten)** in dem Bereich, den Sie ändern möchten. Dadurch kehren Sie zum entsprechenden Schritt im Erstellungsassistenten zurück. Wenn Sie mit dem Ressourcensatz zufrieden sind, wählen Sie **Create Resource Set** aus.

# Löschen eines Ressourcensatzes in Firewall Manager
<a name="fms-deleting-resource-set"></a>

Bevor Sie einen Ressourcensatz löschen können, muss der Ressourcensatz von allen Richtlinien getrennt werden, die den Ressourcensatz verwenden. Sie können die Zuordnung von Ressourcengruppen auf der Seite mit den Richtliniendetails mithilfe der Konsole oder mit der [PutPolicy](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutPolicy.html)API aufheben.

**Um einen Ressourcensatz zu löschen (Konsole)**

1. Wählen Sie im Navigationsbereich **Resource Sets** aus.

1. Wählen Sie die Option neben dem Ressourcensatz aus, den Sie löschen möchten. 

1. Wählen Sie **Löschen** aus.

# Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen
<a name="fms-compliance"></a>

Dieser Abschnitt enthält Anleitungen zur Anzeige des Konformitätsstatus von Konten und Ressourcen, die in den Geltungsbereich einer AWS Firewall Manager Richtlinie fallen. Informationen zu den Kontrollen, die unter AWS zur Aufrechterhaltung der Sicherheit und Einhaltung von Vorschriften in der Cloud eingerichtet wurden, finden Sie unter[Konformitätsprüfung für Firewall Manager](fms-security-compliance.md).

**Anmerkung**  
Damit Firewall Manager die Einhaltung der Richtlinien überwachen kann, AWS Config müssen die Konfigurationsänderungen für geschützte Ressourcen kontinuierlich aufgezeichnet werden. In Ihrer AWS Config Konfiguration muss die Aufzeichnungsfrequenz auf **Kontinuierlich** eingestellt sein, was die Standardeinstellung ist. 

**Anmerkung**  
Um den ordnungsgemäßen Compliance-Status Ihrer geschützten Ressourcen aufrechtzuerhalten, sollten Sie es vermeiden, den Status der Firewall Manager Manager-Schutzmaßnahmen wiederholt zu ändern, entweder automatisch oder manuell. Firewall Manager verwendet Informationen von AWS Config , um Änderungen an Ressourcenkonfigurationen zu erkennen. Wenn Änderungen schnell genug angewendet werden, AWS Config kann der Überblick über einige Änderungen verloren gehen, was zum Verlust von Informationen über den Konformitäts- oder Behebungsstatus in Firewall Manager führen kann.   
Wenn Sie feststellen, dass eine Ressource, die Sie mit Firewall Manager schützen, einen falschen Konformitäts- oder Behebungsstatus hat, stellen Sie zunächst sicher, dass Sie keinen Prozess ausführen, der Ihren Firewall Manager Manager-Schutz ändert oder zurücksetzt, und aktualisieren Sie dann das AWS Config Tracking für die Ressource, indem Sie die zugehörigen Konfigurationsregeln unter neu bewerten. AWS Config  
Wenn Sie die Richtlinie oder die im Geltungsbereich enthaltenen Ressourcen ändern, kann es mehrere Minuten dauern, bis Aktualisierungen des Konformitätsstatus und der entsprechenden Informationen sichtbar werden.

Für alle AWS Firewall Manager Richtlinien können Sie den Konformitätsstatus der Konten und Ressourcen einsehen, die in den Geltungsbereich der Richtlinie fallen. Ein Konto oder eine Ressource entspricht einer Firewall Manager Manager-Richtlinie, wenn sich die Einstellungen in der Richtlinie in den Einstellungen für das Konto oder die Ressource widerspiegeln. Jeder Richtlinientyp hat seine eigenen Compliance-Anforderungen, die Sie bei der Definition der Richtlinie anpassen können. Bei einigen Richtlinien können Sie auch detaillierte Informationen zu Verstößen für in den jeweiligen Anwendungsbereich fallende Ressourcen einsehen, damit Sie Ihr Sicherheitsrisiko besser verstehen und steuern können.

**Um die Compliance-Informationen für eine Richtlinie einzusehen**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie eine Richtlinie aus. Auf der Registerkarte **Konten und Ressourcen** der Richtlinienseite listet Firewall Manager die Konten in Ihrer Organisation auf, gruppiert nach Konten, die innerhalb des Geltungsbereichs der Richtlinie liegen, und Konten, die außerhalb des Geltungsbereichs liegen. 

   Im Bereich **Konten im Geltungsbereich der Richtlinie** wird der Konformitätsstatus für jedes Konto aufgeführt. Der Status „**Konform**“ gibt an, dass die Richtlinie erfolgreich auf alle Ressourcen des Kontos angewendet wurde, die in den Geltungsbereich fallen. Der Status **Nicht konform** bedeutet, dass die Richtlinie nicht auf eine oder mehrere Ressourcen angewendet wurde, die in den Geltungsbereich des Kontos fallen. 

1. Wählen Sie ein Konto aus, das nicht konform ist. Auf der Kontoseite listet Firewall Manager die ID und den Typ für jede nicht konforme Ressource sowie den Grund für den Verstoß der Ressource gegen die Richtlinie auf. 
**Anmerkung**  
Für die Ressourcentypen `AWS::EC2::NetworkInterface` (ENI) und `AWS::EC2::Instance` zeigt Firewall Manager möglicherweise eine begrenzte Anzahl nicht konformer Ressourcen an. Um weitere nicht konforme Ressourcen aufzulisten, korrigieren Sie die Ressourcen, die ursprünglich für das Konto angezeigt wurden.

1. Wenn der Firewall Manager Manager-Richtlinientyp eine Inhaltsüberwachungs-Sicherheitsgruppenrichtlinie ist, können Sie auf detaillierte Informationen zu Verstößen für eine Ressource zugreifen. 

   Um Details zum Verstoß anzuzeigen, wählen Sie die Ressource aus. 
**Anmerkung**  
Ressourcen, die Firewall Manager vor dem Hinzufügen der detaillierten Seite mit den Ressourcenverstößen für nicht konform befunden hat, enthalten möglicherweise keine Verstoßdetails.

   Auf der Ressourcenseite listet Firewall Manager je nach Ressourcentyp spezifische Details zu der Verletzung auf. 
   + **`AWS::EC2::NetworkInterface`(ENI)** — Firewall Manager zeigt Informationen über die Sicherheitsgruppe an, der die Ressource nicht entspricht. Wählen Sie die Sicherheitsgruppe aus, um weitere Informationen zu dieser Gruppe zu erhalten. 
   + **`AWS::EC2::Instance`**— Firewall Manager zeigt die ENI an, die an die EC2 Instance angehängt ist, die nicht konform ist. Außerdem werden Informationen über die Sicherheitsgruppe angezeigt, der die Ressourcen nicht entsprechen. Wählen Sie die Sicherheitsgruppe aus, um weitere Informationen zu dieser Gruppe zu erhalten. 
   + **`AWS::EC2::SecurityGroup`**— Firewall Manager zeigt die folgenden Verstoßdetails an:
     + **Nichtkonforme Sicherheitsgruppenregel** — Die Regel, gegen die verstoßen wurde, einschließlich Protokoll, Portbereich, IP-CIDR-Bereich und Beschreibung. 
     + **Referenzierte Regel** — Die Audit-Sicherheitsgruppenregel, gegen die die nichtkonforme Sicherheitsgruppenregel verstößt, mit ihren Einzelheiten. 
     + **Gründe für den Verstoß** — Erläuterung des festgestellten Verstoßes.
     + **Abhilfemaßnahme** — Vorgeschlagene Maßnahme. Wenn der Firewall Manager keine sichere Behebungsaktion ermitteln kann, ist dieses Feld leer. 
   + **`AWS::EC2::Subnet`**— Dies wird für Netzwerk-ACL- und Netzwerk-Firewall-Richtlinien verwendet. 

     Firewall Manager zeigt die Subnetz-ID, VPC-ID und Availability Zone an. Falls zutreffend, enthält Firewall Manager zusätzliche Informationen zu dem Verstoß. Die Komponente zur Beschreibung des Verstoßes enthält eine Beschreibung des erwarteten Zustands der Ressource, des aktuellen Status, der nicht konform ist, und, falls verfügbar, eine Beschreibung der Ursache der Diskrepanz. 

     **Verstöße gegen die Network Firewall**
     + **Verstöße gegen die Routenverwaltung** — Für Netzwerk-Firewall-Richtlinien, die den Überwachungsmodus verwenden, zeigt Firewall Manager grundlegende Subnetzinformationen sowie erwartete und tatsächliche Routen in der Subnetz-, Internet-Gateway- und Netzwerkfirewall-Subnetz-Routentabelle an. Firewall Manager warnt Sie, dass ein Verstoß vorliegt, wenn die tatsächlichen Routen nicht mit den erwarteten Routen in der Routentabelle übereinstimmen. 
     + **Behebungsmaßnahmen bei Verstößen gegen die Routenverwaltung** — Für Netzwerk-Firewall-Richtlinien, die den Überwachungsmodus verwenden, schlägt Firewall Manager mögliche Behebungsmaßnahmen für Routenkonfigurationen vor, die Verstöße aufweisen.

     Angenommen, von einem Subnetz wird erwartet, dass es Datenverkehr über die Firewall-Endpunkte sendet, aber das aktuelle Subnetz sendet den Verkehr direkt an das Internet-Gateway. Dies ist ein Verstoß gegen die Routenverwaltung. Die vorgeschlagene Abhilfe könnte in diesem Fall eine Liste angeordneter Aktionen sein. Die erste ist eine Empfehlung, die erforderlichen Routen zur Routentabelle des Netzwerkfirewall-Subnetzes hinzuzufügen, um ausgehenden Verkehr an das Internet-Gateway und um eingehenden Verkehr für Ziele innerhalb der VPC weiterzuleiten. ``local`` Die zweite Empfehlung besteht darin, die Internet-Gateway-Route oder die ungültige Netzwerk-Firewall-Route in der Routing-Tabelle des Subnetzes zu ersetzen, um ausgehenden Verkehr an die Firewall-Endpunkte weiterzuleiten. Die dritte Empfehlung besteht darin, die erforderlichen Routen zur Routing-Tabelle des Internet-Gateways hinzuzufügen, um eingehenden Verkehr an die Firewall-Endpunkte weiterzuleiten. 
   + **`AWS::EC2:InternetGateway`**— Dies wird für Netzwerk-Firewall-Richtlinien verwendet, für die der Überwachungsmodus aktiviert ist.
     + **Verstöße gegen die Routenverwaltung** — Das Internet-Gateway ist nicht konform, wenn das Internet-Gateway keiner Routing-Tabelle zugeordnet ist oder wenn die Internet-Gateway-Routentabelle eine ungültige Route enthält.
     + **Behebungsmaßnahmen bei Verstößen gegen die Routenverwaltung** — Firewall Manager schlägt mögliche Behebungsmaßnahmen vor, um Verstöße gegen die Routenverwaltung zu beheben.   
**Example 1 — Verstöße gegen die Routenverwaltung und Vorschläge zur Behebung**  

     Ein Internet-Gateway ist keiner Routing-Tabelle zugeordnet. Bei den vorgeschlagenen Behebungsmaßnahmen kann es sich um eine Liste geordneter Aktionen handeln. Die erste Aktion besteht darin, eine Routentabelle zu erstellen. Die zweite Aktion besteht darin, die Routing-Tabelle dem Internet-Gateway zuzuordnen. Die dritte Aktion besteht darin, die erforderliche Route zur Internet-Gateway-Routentabelle hinzuzufügen.   
**Example 2 — Verstöße gegen die Routenverwaltung und Vorschläge zur Behebung**  

     Das Internet-Gateway ist mit einer gültigen Routing-Tabelle verknüpft, aber die Route ist falsch konfiguriert. Bei der vorgeschlagenen Abhilfemaßnahme könnte es sich um eine Liste angeordneter Aktionen handeln. Der erste Vorschlag besteht darin, die ungültige Route zu entfernen. Die zweite Möglichkeit besteht darin, die erforderliche Route zur Internet-Gateway-Routentabelle hinzuzufügen. 
   + **`AWS::NetworkFirewall::FirewallPolicy`**— Dies wird für Netzwerk-Firewall-Richtlinien verwendet. Firewall Manager zeigt Informationen über eine Netzwerk-Firewall-Richtlinie an, die so geändert wurde, dass sie nicht mehr konform ist. Die Informationen enthalten die erwartete Firewall-Richtlinie und die Richtlinie, die sie im Kundenkonto gefunden hat, sodass Sie die Namen und Prioritätseinstellungen für statusfreie und statusbehaftete Regelgruppen, benutzerdefinierte Aktionsnamen und Standardeinstellungen für statusfreie Aktionen vergleichen können. Die Komponente zur Beschreibung des Verstoßes enthält eine Beschreibung des erwarteten Zustands der Ressource, des aktuellen Status, der nicht konform ist, und, falls verfügbar, eine Beschreibung der Ursache der Diskrepanz. 
   + **`AWS::EC2::VPC`**— Dies wird für DNS-Firewall-Richtlinien verwendet. Firewall Manager zeigt Informationen über eine VPC an, die in den Geltungsbereich einer Firewall Manager Manager-DNS-Firewall-Richtlinie fällt und die nicht mit der Richtlinie konform ist. Die bereitgestellten Informationen umfassen die erwarteten Regelgruppen, die voraussichtlich der VPC zugeordnet werden, und die tatsächlichen Regelgruppen. Die Komponente zur Beschreibung des Verstoßes enthält eine Beschreibung des erwarteten Zustands der Ressource, des aktuellen Status, der nicht konform ist, und, falls verfügbar, eine Beschreibung der Ursache der Diskrepanz.
   + **`AWS::WAFv2::WebACL`**— Dies wird für AWS WAF Richtlinien verwendet, deren Konfiguration eine Nachrüstung für bestehende Websites vorsieht. ACLs Firewall Manager zeigt Informationen über eine Web-ACL an, die mit einer im Geltungsbereich befindlichen Ressource verknüpft ist, aber nicht vollständig mit der Nachrüstung durch Firewall Manager kompatibel ist. Wenn die Web-ACL beispielsweise auch mit einer Ressource verknüpft ist, die nicht in den Geltungsbereich der Richtlinie fällt, kann Firewall Manager sie nicht nachrüsten. 

# AWS Firewall Manager Integration mit AWS Security Hub CSPM
<a name="fms-findings"></a>

Auf dieser Seite wird erklärt, wie Sie Firewall Manager und Security Hub CSPM zusammen verwenden.

AWS Firewall Manager erstellt Ergebnisse für Ressourcen, die nicht richtlinientreu sind, und für Angriffe, die erkannt und an diese weitergeleitet werden. AWS Security Hub CSPM Informationen zu den Ergebnissen von Security Hub CSPM finden Sie unter [Ergebnisse](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html) in. AWS Security Hub CSPM

Wenn Sie Security Hub CSPM und Firewall Manager verwenden, sendet Firewall Manager Ihre Ergebnisse automatisch an Security Hub CSPM. Informationen zu den ersten Schritten mit Security Hub CSPM finden Sie unter [Einrichtung AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) im [AWS Security Hub CSPM Benutzerhandbuch](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html).

**Anmerkung**  
Firewall Manager aktualisiert nur Ergebnisse für Richtlinien, die von ihm verwaltet werden, und für Ressourcen, die er überwacht.   
Firewall Manager behebt die Ergebnisse für Folgendes nicht:   
Richtlinien, die gelöscht wurden.
Ressourcen, die gelöscht wurden.
Ressourcen, die den Geltungsbereich der Firewall Manager Manager-Richtlinie verlassen haben, z. B. aufgrund einer Änderung von Tags oder einer Änderung der Richtliniendefinition.

**Wie kann ich meine Firewall Manager Manager-Ergebnisse einsehen?**  
Um Ihre Firewall Manager Manager-Ergebnisse in Security Hub CSPM anzuzeigen, folgen Sie den Anweisungen unter [Arbeiten mit Ergebnissen in Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html#securityhub-managing-findings) und erstellen Sie einen Filter mit den folgenden Einstellungen: 
+ Attribut auf **Product name (Produktname)**gesetzt.
+ Operator auf **EQUALS (GLEICH)** gesetzt.
+ Wert auf `Firewall Manager` gesetzt. Bei dieser Einstellung wird die Groß- und Kleinschreibung unterschieden.

**Kann ich dies deaktivieren?**  
Sie können die Integration von AWS Firewall Manager Ergebnissen mit Security Hub CSPM über die Security Hub CSPM-Konsole deaktivieren. Wählen Sie in der Navigationsleiste **Integrationen** und dann im Bereich Firewall Manager die Option **Integration deaktivieren** aus. Weitere Informationen finden Sie im [AWS Security Hub CSPM -Benutzerhandbuch](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html).

**Topics**
+ [

# AWS WAF Ergebnisse des Policy Firewall Manager
](waf-policy-findings.md)
+ [

# AWS Shield Advanced Ergebnisse des Policy Firewall Manager
](shield-policy-findings.md)
+ [

# Allgemeine Richtlinie für Sicherheitsgruppen — Ergebnisse von Firewall Manager
](security-group-common-policy-findings.md)
+ [

# Audit-Richtlinie für Sicherheitsgruppeninhalte — Ergebnisse von Firewall Manager
](security-group-content-audit-policy-findings.md)
+ [

# Überwachungsrichtlinie für die Nutzung von Sicherheitsgruppen — Ergebnisse von Firewall Manager
](security-group-usage-audit-policy-findings.md)
+ [

# Amazon Route 53 Resolver DNS-Firewall-Richtlinie — Ergebnisse von Firewall Manager
](dns-firewall-policy-findings.md)
+ [

# AWS Config Ergebnisse von Firewall Manager
](aws-config-firewall-manager-findings.md)

# AWS WAF Ergebnisse des Policy Firewall Manager
<a name="waf-policy-findings"></a>

Auf dieser Seite werden die Ergebnisse von Firewall Manager für AWS WAF Richtlinien erläutert.

Sie können die AWS WAF Richtlinien von Firewall Manager verwenden, um AWS WAF Regelgruppen auf Ihre Ressourcen in anzuwenden AWS Organizations. Weitere Informationen finden Sie unter [AWS Firewall Manager Richtlinien verwenden](working-with-policies.md).

**Der Ressource fehlt die von Firewall Manager verwaltete Web-ACL.**  
Eine AWS Ressource verfügt nicht über die AWS Firewall Manager verwaltete Web-ACL-Zuordnung gemäß der Firewall Manager Manager-Richtlinie. Sie können die Firewall Manager Manager-Wiederherstellung für die Richtlinie aktivieren, um dies zu korrigieren. 
+ Schweregrad — 80
+ Statuseinstellungen — BESTANDEN/FEHLGESCHLAGEN
+ Updates — Wenn Firewall Manager die Behebungsaktion durchführt, aktualisiert er das Ergebnis und der Schweregrad wird von `HIGH` bis `INFORMATIONAL` herabgesetzt. Wenn Sie die Wiederherstellung durchführen, aktualisiert Firewall Manager das Ergebnis nicht. 

**Die von Firewall Manager verwaltete Web-ACL hat falsch konfigurierte Regelgruppen.**  
Dies ist eine AWS WAF klassische Richtlinienfeststellung. Die Regelgruppen in einer Web-ACL, die von Firewall Manager verwaltet wird, sind gemäß der Firewall Manager Manager-Richtlinie nicht korrekt konfiguriert. Dies bedeutet, dass der Web-ACL die Regelgruppen fehlen, die von der Richtlinie benötigt werden. Sie können die Firewall Manager Manager-Wiederherstellung für die Richtlinie aktivieren, um dies zu korrigieren. 
+ Schweregrad — 80
+ Statuseinstellungen — BESTANDEN/FEHLGESCHLAGEN
+ Updates — Wenn Firewall Manager die Behebungsaktion durchführt, aktualisiert er das Ergebnis und der Schweregrad wird von `HIGH` bis `INFORMATIONAL` herabgesetzt. Wenn Sie die Wiederherstellung durchführen, aktualisiert Firewall Manager das Ergebnis nicht. 

# AWS Shield Advanced Ergebnisse des Policy Firewall Manager
<a name="shield-policy-findings"></a>

Auf dieser Seite werden die Ergebnisse von Firewall Manager für AWS Shield Advanced Richtlinien erläutert.

Informationen zu AWS Shield Advanced Richtlinien finden Sie unter[Verwenden von Sicherheitsgruppenrichtlinien in Firewall Manager zur Verwaltung von Amazon VPC-Sicherheitsgruppen](security-group-policies.md).

**Der Ressource fehlt der Shield Advanced-Schutz.**  
Eine AWS Ressource, die gemäß der Firewall Manager Manager-Richtlinie über Shield Advanced-Schutz verfügen sollte, hat diesen nicht. Sie können die Firewall Manager Manager-Wiederherstellung für die Richtlinie aktivieren, wodurch der Schutz für die Ressource aktiviert wird. 
+ Schweregrad — 60
+ Statuseinstellungen — BESTANDEN/FEHLGESCHLAGEN
+ Updates — Wenn Firewall Manager die Behebungsaktion durchführt, aktualisiert er das Ergebnis und der Schweregrad wird von `HIGH` bis `INFORMATIONAL` herabgesetzt. Wenn Sie die Wiederherstellung durchführen, aktualisiert Firewall Manager das Ergebnis nicht. 

**Shield Advanced hat einen Angriff auf die überwachte Ressource erkannt.**  
Shield Advanced hat einen Angriff auf eine geschützte AWS Ressource erkannt. Sie können die Firewall Manager Manager-Wiederherstellung für die Richtlinie aktivieren.
+ Schweregrad — 70
+ Statuseinstellungen — Keine
+ Updates — Firewall Manager aktualisiert dieses Ergebnis nicht.

# Allgemeine Richtlinie für Sicherheitsgruppen — Ergebnisse von Firewall Manager
<a name="security-group-common-policy-findings"></a>

Auf dieser Seite werden die Ergebnisse von Firewall Manager für allgemeine Sicherheitsgruppenrichtlinien erläutert.

Hinweise zu allgemeinen Richtlinien für Sicherheitsgruppen finden Sie unter [Verwenden von Sicherheitsgruppenrichtlinien in Firewall Manager zur Verwaltung von Amazon VPC-Sicherheitsgruppen](security-group-policies.md).

**Die Ressource hat die Sicherheitsgruppe falsch konfiguriert.**  
Firewall Manager hat eine Ressource identifiziert, der die von Firewall Manager verwalteten Sicherheitsgruppenzuordnungen fehlen, die sie gemäß der Firewall Manager Manager-Richtlinie haben sollte. Sie können die Firewall Manager Manager-Wiederherstellung für die Richtlinie aktivieren, wodurch die Verknüpfungen gemäß den Richtlinieneinstellungen erstellt werden. 
+ Schweregrad — 70
+ Statuseinstellungen — BESTANDEN/FEHLGESCHLAGEN
+ Updates — Firewall Manager aktualisiert dieses Ergebnis.

**Die Firewall Manager Manager-Replikatsicherheitsgruppe ist nicht mit der primären Sicherheitsgruppe synchronisiert.**  
Eine Firewall Manager Manager-Replikatsicherheitsgruppe ist gemäß ihrer gemeinsamen Sicherheitsgruppenrichtlinie nicht mit ihrer primären Sicherheitsgruppe synchron. Sie können die Firewall Manager Manager-Wiederherstellung für die Richtlinie aktivieren, wodurch die Replikatsicherheitsgruppen mit der primären synchronisiert werden.
+ Schweregrad — 80
+ Statuseinstellungen — BESTANDEN/FEHLGESCHLAGEN
+ Updates — Firewall Manager aktualisiert dieses Ergebnis.

# Audit-Richtlinie für Sicherheitsgruppeninhalte — Ergebnisse von Firewall Manager
<a name="security-group-content-audit-policy-findings"></a>

Auf dieser Seite werden die Ergebnisse von Firewall Manager für Inhaltsüberwachungsrichtlinien für Sicherheitsgruppen erläutert.

Hinweise zu Sicherheitsgruppen-Inhaltsprüfungsrichtlinien finden Sie unter [Verwenden von Sicherheitsgruppenrichtlinien in Firewall Manager zur Verwaltung von Amazon VPC-Sicherheitsgruppen](security-group-policies.md).

**Es besteht keine Compliance zwischen Sicherheitsgruppe und Inhaltsprüfungssicherheitsgruppe.**  
Eine Inhaltsüberwachungsrichtlinie von Firewall Manager für Sicherheitsgruppen hat eine nicht konforme Sicherheitsgruppe identifiziert. Dies ist eine vom Kunden erstellte Sicherheitsgruppe, die sich im Bereich der Inhaltsprüfungsrichtlinie befindet, und die nicht mit den Einstellungen übereinstimmt, die von der Richtlinie und ihrer Prüfungssicherheitsgruppe definiert werden. Sie können die Firewall Manager Manager-Wiederherstellung für die Richtlinie aktivieren, wodurch die nicht konforme Sicherheitsgruppe geändert wird, um sie konform zu machen.
+ Schweregrad — 70
+ Statuseinstellungen — BESTANDEN/FEHLGESCHLAGEN
+ Updates — Firewall Manager aktualisiert dieses Ergebnis.

# Überwachungsrichtlinie für die Nutzung von Sicherheitsgruppen — Ergebnisse von Firewall Manager
<a name="security-group-usage-audit-policy-findings"></a>

Auf dieser Seite werden die Ergebnisse von Firewall Manager zu den Überwachungsrichtlinien für die Nutzung von Sicherheitsgruppen erläutert.

Hinweise zu Überwachungsrichtlinien für die Verwendung von Sicherheitsgruppen finden Sie unter [Verwenden von Sicherheitsgruppenrichtlinien in Firewall Manager zur Verwaltung von Amazon VPC-Sicherheitsgruppen](security-group-policies.md).

**Firewall Manager hat eine redundante Sicherheitsgruppe gefunden.**  
Das Audit zur Nutzung der Firewall Manager Manager-Sicherheitsgruppe hat eine redundante Sicherheitsgruppe identifiziert. Dies ist eine Sicherheitsgruppe mit identischen Regeln wie eine andere Sicherheitsgruppe innerhalb derselben Amazon Virtual Private Cloud Cloud-Instance. Sie können die automatische Wiederherstellung von Firewall Manager für die Nutzungsüberwachungsrichtlinie aktivieren, wodurch redundante Sicherheitsgruppen ersetzt werden, und zwar durch eine einzige Sicherheitsgruppe.
+ Schweregrad — 30
+ Statuseinstellungen — Keine
+ Updates — Firewall Manager aktualisiert dieses Ergebnis nicht.

**Der Firewall Manager hat eine unbenutzte Sicherheitsgruppe gefunden.**  
Das Audit zur Nutzung der Firewall Manager Manager-Sicherheitsgruppe hat eine ungenutzte Sicherheitsgruppe identifiziert. Dies ist eine Sicherheitsgruppe, auf die in keiner allgemeinen Sicherheitsgruppenrichtlinie von Firewall Manager verwiesen wird. Sie können die automatische Wiederherstellung von Firewall Manager für die Nutzungsüberwachungsrichtlinie aktivieren, wodurch nicht verwendete Sicherheitsgruppen entfernt werden.
+ Schweregrad — 30
+ Statuseinstellungen — Keine
+ Updates — Firewall Manager aktualisiert dieses Ergebnis nicht.

# Amazon Route 53 Resolver DNS-Firewall-Richtlinie — Ergebnisse von Firewall Manager
<a name="dns-firewall-policy-findings"></a>

Auf dieser Seite werden die Ergebnisse von Firewall Manager für Amazon Route 53 Resolver DNS-Firewall-Richtlinien erläutert.

Informationen zu DNS-Firewall-Richtlinien finden Sie unter[Verwenden der DNS-Firewall-Richtlinien von Amazon Route 53 Resolver im Firewall Manager](dns-firewall-policies.md).

**Der Ressource fehlt der DNS-Firewall-Schutz**  
In einer VPC fehlt eine DNS-Firewall-Regelgruppenzuordnung, die in der DNS-Firewall-Richtlinie von Firewall Manager definiert ist. Das Ergebnis listet die Regelgruppe auf, die in der Richtlinie angegeben ist.
+ Schweregrad — 80

# AWS Config Ergebnisse von Firewall Manager
<a name="aws-config-firewall-manager-findings"></a>

Auf dieser Seite werden die Ergebnisse von Firewall Manager für erläutert AWS Config.

Informationen zu finden AWS Config Sie unter[Aktivierung AWS Config für die Verwendung von Firewall Manager](enable-config.md).

**Das Konto AWS Config wurde in der Region nicht aktiviert.**  
Der Firewall Manager AWS Config muss in Ihrem Konto und Ihrer Region aktiviert sein. Um dieses Problem zu beheben, aktivieren Sie es AWS Config in dem Konto und der Region, in der Sie den Firewall Manager verwenden möchten.
+ Statuseinstellungen — BESTANDEN/FEHLGESCHLAGEN
+ Updates — Firewall Manager aktualisiert dieses Ergebnis.

**Anmerkung**  
Nach der Aktivierung ändert AWS Config sich der Konformitätsstatus auf PASS, der Schweregrad bleibt jedoch HOCH.

**Anmerkung**  
Damit Firewall Manager die Einhaltung der Richtlinien überwachen kann, AWS Config müssen die Konfigurationsänderungen für geschützte Ressourcen kontinuierlich aufgezeichnet werden. In Ihrer AWS Config Konfiguration muss die Aufzeichnungsfrequenz auf **Kontinuierlich** eingestellt sein, was die Standardeinstellung ist. 

# Sicherheit bei der Nutzung des AWS Firewall Manager Dienstes
<a name="fms-security"></a>

Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.

**Anmerkung**  
Dieser Abschnitt enthält AWS Standardsicherheitsrichtlinien für Ihre Nutzung des AWS Firewall Manager Dienstes und seiner AWS Ressourcen, wie z. B. Firewall Manager Manager-Netzwerk-Firewall-Richtlinien und Sicherheitsgruppenrichtlinien.   
Informationen zum Schutz Ihrer AWS Ressourcen mithilfe von Firewall Manager finden Sie im Rest des Firewall Manager Manager-Handbuchs. 

Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, auf der AWS Dienste in der ausgeführt AWS Cloud werden. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Die Wirksamkeit unserer Sicherheitsfunktionen wird regelmäßig von externen Prüfern im Rahmen des [AWS -Compliance-Programms getestet und überprüft](https://aws.amazon.com/compliance/programs/). Informationen zu den Compliance-Programmen, die für Firewall Manager gelten, finden Sie unter [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicherheit in der Cloud** — Ihre Verantwortung richtet sich nach dem AWS Dienst, den Sie nutzen. In Ihre Verantwortung fallen außerdem weitere Faktoren, wie z. B. die Vertraulichkeit der Daten, die Anforderungen Ihrer Organisation sowie geltende Gesetze und Vorschriften. 

Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von Firewall Manager anwenden können. In den folgenden Themen erfahren Sie, wie Sie Firewall Manager so konfigurieren, dass Sie Ihre Sicherheits- und Compliance-Ziele erreichen. Sie erfahren auch, wie Sie andere AWS Dienste verwenden können, mit denen Sie Ihre Firewall Manager Manager-Ressourcen überwachen und sichern können. 

**Topics**
+ [

# Datenschutz im Firewall Manager
](fms-data-protection.md)
+ [

# Identity and Access Management für AWS Firewall Manager
](fms-security-iam.md)
+ [

# Protokollierung und Überwachung in Firewall Manager
](fms-incident-response.md)
+ [

# Konformitätsprüfung für Firewall Manager
](fms-security-compliance.md)
+ [

# Resilienz im Firewall Manager
](fms-disaster-recovery-resiliency.md)
+ [

# Infrastruktursicherheit in AWS Firewall Manager
](fms-infrastructure-security.md)

# Datenschutz im Firewall Manager
<a name="fms-data-protection"></a>

Das [Modell der AWS gemeinsamen Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) und geteilter Verantwortung gilt für den Datenschutz in AWS Firewall Manager. Wie in diesem Modell beschrieben, AWS ist verantwortlich für den Schutz der globalen Infrastruktur, auf der alle Systeme laufen AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.

Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit dem Firewall Manager oder anderen AWS-Services über die Konsole AWS CLI, API oder arbeiten AWS SDKs. Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.

Firewall Manager Manager-Entitäten — wie Richtlinien — werden im Ruhezustand verschlüsselt, außer in bestimmten Regionen, in denen Verschlüsselung nicht verfügbar ist, darunter China (Peking) und China (Ningxia). Eindeutige Verschlüsselungsschlüssel werden für jede Region verwendet. 

# Identity and Access Management für AWS Firewall Manager
<a name="fms-security-iam"></a>

AWS Identity and Access Management (IAM) hilft einem Administrator AWS-Service , den Zugriff auf Ressourcen sicher zu AWS kontrollieren. IAM-Administratoren kontrollieren, wer *authentifiziert* (angemeldet) und *autorisiert* werden kann (über Berechtigungen verfügt), um Firewall Manager Manager-Ressourcen zu verwenden. IAM ist ein Programm AWS-Service , das Sie ohne zusätzliche Kosten nutzen können.

**Topics**
+ [

## Zielgruppe
](#security_iam_audience)
+ [

## Authentifizierung mit Identitäten
](#security_iam_authentication)
+ [

## Verwalten des Zugriffs mit Richtlinien
](#security_iam_access-manage)
+ [

# Wie AWS Firewall Manager funktioniert mit IAM
](fms-security_iam_service-with-iam.md)
+ [

# Beispiele für identitätsbasierte Richtlinien für AWS Firewall Manager
](fms-security_iam_id-based-policy-examples.md)
+ [

# AWS verwaltete Richtlinien für AWS Firewall Manager
](fms-security-iam-awsmanpol.md)
+ [

# Problembehandlung bei AWS Firewall Manager Identität und Zugriff
](fms-security_iam_troubleshoot.md)
+ [

# Verwenden von serviceverknüpften Rollen für Firewall Manager
](fms-using-service-linked-roles.md)
+ [

# Serviceübergreifende Confused-Deputy-Prävention
](cross-service-confused-deputy-prevention.md)

## Zielgruppe
<a name="security_iam_audience"></a>

Die Art und Weise, wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von der Arbeit ab, die Sie in Firewall Manager ausführen.

**Dienstbenutzer** — Wenn Sie den Firewall Manager Manager-Dienst für Ihre Arbeit verwenden, stellt Ihnen Ihr Administrator die Anmeldeinformationen und Berechtigungen zur Verfügung, die Sie benötigen. Da Sie für Ihre Arbeit mehr Funktionen von Firewall Manager verwenden, benötigen Sie möglicherweise zusätzliche Berechtigungen. Wenn Sie die Funktionsweise der Zugriffskontrolle nachvollziehen, wissen Sie bereits, welche Berechtigungen Sie von Ihrem Administrator anfordern müssen. Wenn Sie in Firewall Manager nicht auf eine Funktion zugreifen können, finden Sie weitere Informationen unter[Problembehandlung bei AWS Shield Identität und Zugriff](shd-security_iam_troubleshoot.md).

**Service-Administrator** — Wenn Sie in Ihrem Unternehmen für die Ressourcen von Firewall Manager verantwortlich sind, haben Sie wahrscheinlich vollen Zugriff auf Firewall Manager. Es ist Ihre Aufgabe, zu bestimmen, auf welche Funktionen und Ressourcen von Firewall Manager Ihre Service-Benutzer zugreifen sollen. Anschließend müssen Sie Anforderungen an Ihren IAM-Administrator senden, um die Berechtigungen der Servicebenutzer zu ändern. Lesen Sie die Informationen auf dieser Seite, um die Grundkonzepte von IAM nachzuvollziehen. Weitere Informationen darüber, wie Ihr Unternehmen IAM mit Firewall Manager verwenden kann, finden Sie unter[Wie AWS Shield funktioniert mit IAM](shd-security_iam_service-with-iam.md).

**IAM-Administrator** — Wenn Sie ein IAM-Administrator sind, möchten Sie vielleicht mehr darüber erfahren, wie Sie Richtlinien schreiben können, um den Zugriff auf Firewall Manager zu verwalten. Beispiele für identitätsbasierte Richtlinien von Firewall Manager, die Sie in IAM verwenden können, finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Shield](shd-security_iam_id-based-policy-examples.md)

## Authentifizierung mit Identitäten
<a name="security_iam_authentication"></a>

Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos

Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.

 AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.

### AWS-Konto Root-Benutzer
<a name="security_iam_authentication-rootuser"></a>

 Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*. 

### Verbundidentität
<a name="security_iam_authentication-federated"></a>

Es hat sich bewährt, dass menschliche Benutzer für den Zugriff AWS-Services mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden müssen.

Eine *föderierte Identität* ist ein Benutzer aus Ihrem Unternehmensverzeichnis, Ihrem Directory Service Web-Identitätsanbieter oder der AWS-Services mithilfe von Anmeldeinformationen aus einer Identitätsquelle zugreift. Verbundene Identitäten übernehmen Rollen, die temporäre Anmeldeinformationen bereitstellen.

Für die zentrale Zugriffsverwaltung empfehlen wir AWS IAM Identity Center. Weitere Informationen finden Sie unter [Was ist IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) im *AWS IAM Identity Center -Benutzerhandbuch*.

### IAM-Benutzer und -Gruppen
<a name="security_iam_authentication-iamuser"></a>

Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer den Verbund mit einem Identitätsanbieter verwenden müssen, um AWS mithilfe temporärer Anmeldeinformationen darauf zugreifen zu](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) können.

Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.

### IAM-Rollen
<a name="security_iam_authentication-iamrole"></a>

Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) oder indem Sie eine AWS Oder-API-Operation AWS CLI aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.

IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.

## Verwalten des Zugriffs mit Richtlinien
<a name="security_iam_access-manage"></a>

Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.

Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.

Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.

### Identitätsbasierte Richtlinien
<a name="security_iam_access-manage-id-based-policies"></a>

Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.

Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.

### Ressourcenbasierte Richtlinien
<a name="security_iam_access-manage-resource-based-policies"></a>

Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele hierfür sind *Vertrauensrichtlinien für IAM-Rollen* und Amazon S3*-Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).

Ressourcenbasierte Richtlinien sind Richtlinien innerhalb dieses Diensts. Sie können AWS verwaltete Richtlinien von IAM nicht in einer ressourcenbasierten Richtlinie verwenden.

### Zugriffskontrolllisten () ACLs
<a name="security_iam_access-manage-acl"></a>

Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.

Amazon S3 und Amazon VPC sind Beispiele für Dienste, die Unterstützung ACLs bieten. AWS WAF Weitere Informationen finden Sie unter [Übersicht über ACLs die Zugriffskontrollliste (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) im *Amazon Simple Storage Service Developer Guide*.

### Weitere Richtlinientypen
<a name="security_iam_access-manage-other-policies"></a>

AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.

### Mehrere Richtlinientypen
<a name="security_iam_access-manage-multiple-policies"></a>

Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die sich daraus ergebenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.

# Wie AWS Firewall Manager funktioniert mit IAM
<a name="fms-security_iam_service-with-iam"></a>

Bevor Sie IAM verwenden, um den Zugriff auf Firewall Manager zu verwalten, sollten Sie sich darüber informieren, welche IAM-Funktionen mit Firewall Manager verwendet werden können.






**IAM-Funktionen, die Sie mit verwenden können AWS Firewall Manager**  

| IAM-Feature | Unterstützung für Firewall Manager | 
| --- | --- | 
|  [Identitätsbasierte Richtlinien](#fms-security_iam_service-with-iam-id-based-policies)  |   Ja  | 
|  [Ressourcenbasierte Richtlinien](#fms-security_iam_service-with-iam-resource-based-policies)  |   Nein   | 
|  [Richtlinienaktionen](#fms-security_iam_service-with-iam-id-based-policies-actions)  |   Ja  | 
|  [Richtlinienressourcen](#fms-security_iam_service-with-iam-id-based-policies-resources)  |   Ja  | 
|  [Richtlinienbedingungsschlüssel (servicespezifisch)](#fms-security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Nein   | 
|  [ACLs](#fms-security_iam_service-with-iam-acls)  |   Nein   | 
|  [ABAC (Tags in Richtlinien)](#fms-security_iam_service-with-iam-tags)  |   Ja  | 
|  [Temporäre Anmeldeinformationen](#fms-security_iam_service-with-iam-roles-tempcreds)  |   Ja  | 
|  [Forward Access Sessions (FAS)](#fms-security_iam_service-with-iam-principal-permissions)  |   Ja  | 
|  [Servicerollen](#fms-security_iam_service-with-iam-roles-service)  |   Teilweise  | 
|  [Serviceverknüpfte Rollen](#fms-security_iam_service-with-iam-roles-service-linked)  |   Ja  | 

Einen allgemeinen Überblick darüber, wie Firewall Manager und andere AWS Dienste mit den meisten IAM-Funktionen funktionieren, finden Sie im [IAM-Benutzerhandbuch unter AWS Dienste, die mit *IAM* funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).

## Identitätsbasierte Richtlinien für Firewall Manager
<a name="fms-security_iam_service-with-iam-id-based-policies"></a>

**Unterstützt Richtlinien auf Identitätsbasis:** Ja

Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität anfügen können, wie z. B. IAM-Benutzern, -Benutzergruppen oder -Rollen. Diese Richtlinien steuern, welche Aktionen die Benutzer und Rollen für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.

Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen zugelassen oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.

Beispiele für identitätsbasierte Richtlinien von Firewall Manager finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)

### Beispiele für identitätsbasierte Richtlinien für Firewall Manager
<a name="fms-security_iam_service-with-iam-id-based-policies-examples"></a>



Beispiele für identitätsbasierte Richtlinien von Firewall Manager finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)

## Ressourcenbasierte Richtlinien in Firewall Manager
<a name="fms-security_iam_service-with-iam-resource-based-policies"></a>

**Unterstützt ressourcenbasierte Richtlinien:** Nein 

Ressourcenbasierte Richtlinien sind JSON-Richtliniendokumente, die Sie an eine Ressource anfügen. Beispiele für ressourcenbasierte Richtlinien sind IAM-*Rollen-Vertrauensrichtlinien* und Amazon-S3-*Bucket-Richtlinien*. In Services, die ressourcenbasierte Richtlinien unterstützen, können Service-Administratoren sie verwenden, um den Zugriff auf eine bestimmte Ressource zu steuern. Für die Ressource, an welche die Richtlinie angehängt ist, legt die Richtlinie fest, welche Aktionen ein bestimmter Prinzipal unter welchen Bedingungen für diese Ressource ausführen kann. Sie müssen in einer ressourcenbasierten Richtlinie [einen Prinzipal angeben](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). Zu den Prinzipalen können Konten, Benutzer, Rollen, Verbundbenutzer oder gehören. AWS-Services

Um kontoübergreifenden Zugriff zu ermöglichen, können Sie ein gesamtes Konto oder IAM-Entitäten in einem anderen Konto als Prinzipal in einer ressourcenbasierten Richtlinie angeben. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.

## Richtlinienaktionen für Firewall Manager
<a name="fms-security_iam_service-with-iam-id-based-policies-actions"></a>

**Unterstützt Richtlinienaktionen:** Ja

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.



Eine Liste der Firewall Manager Manager-Aktionen finden Sie unter [Aktionen definiert von AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-actions-as-permissions) in der *Service Authorization Reference*.

Richtlinienaktionen in Firewall Manager verwenden vor der Aktion das folgende Präfix:

```
fms
```

Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie mit Kommata:

```
"Action": [
      "fms:action1",
      "fms:action2"
         ]
```





Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `Describe` beginnen, einschließlich der folgenden Aktion:

```
"Action": "fms:Describe*"
```

Beispiele für identitätsbasierte Richtlinien von Firewall Manager finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)

## Richtlinienressourcen für Firewall Manager
<a name="fms-security_iam_service-with-iam-id-based-policies-resources"></a>

**Unterstützt Richtlinienressourcen:** Ja

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.

```
"Resource": "*"
```

Eine Liste der Firewall Manager Manager-Ressourcentypen und ihrer Eigenschaften ARNs finden Sie unter [Resources defined by AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-resources-for-iam-policies) in der *Service Authorization Reference*. Informationen zu den Aktionen, mit denen Sie den ARN einzelner Ressourcen angeben können, finden Sie unter [Von AWS Firewall Manager definierte Aktionen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-actions-as-permissions).





Beispiele für identitätsbasierte Richtlinien von Firewall Manager finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)

## Schlüssel für Richtlinienbedingungen für Firewall Manager
<a name="fms-security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Unterstützt servicespezifische Richtlinienbedingungsschlüssel:** Nein 

Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.

Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.

Eine Liste der Bedingungsschlüssel von Firewall Manager finden Sie unter [Bedingungsschlüssel für AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-policy-keys) in der *Service Authorization Reference*. Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie unter [Aktionen definiert von AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-actions-as-permissions).

Beispiele für identitätsbasierte Richtlinien von Firewall Manager finden Sie unter. [Beispiele für identitätsbasierte Richtlinien für AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)

## ACLs im Firewall Manager
<a name="fms-security_iam_service-with-iam-acls"></a>

**Unterstützt ACLs:** Nein 

Zugriffskontrolllisten (ACLs) steuern, welche Principals (Kontomitglieder, Benutzer oder Rollen) über Zugriffsberechtigungen für eine Ressource verfügen. ACLs ähneln ressourcenbasierten Richtlinien, verwenden jedoch nicht das JSON-Richtliniendokumentformat.

## ABAC mit Firewall Manager
<a name="fms-security_iam_service-with-iam-tags"></a>

**Unterstützt ABAC (Tags in Richtlinien):** Ja

Die attributbasierte Zugriffskontrolle (ABAC) ist eine Autorisierungsstrategie, bei der Berechtigungen basierend auf Attributen, auch als Tags bezeichnet, definiert werden. Sie können Tags an IAM-Entitäten und AWS -Ressourcen anhängen und dann ABAC-Richtlinien entwerfen, die Operationen zulassen, wenn das Tag des Prinzipals mit dem Tag auf der Ressource übereinstimmt.

Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden.

Wenn ein Service alle drei Bedingungsschlüssel für jeden Ressourcentyp unterstützt, lautet der Wert für den Service **Ja**. Wenn ein Service alle drei Bedingungsschlüssel für nur einige Ressourcentypen unterstützt, lautet der Wert **Teilweise**.

*Weitere Informationen zu ABAC finden Sie unter [Definieren von Berechtigungen mit ABAC-Autorisierung](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) im IAM-Benutzerhandbuch*. Um ein Tutorial mit Schritten zur Einstellung von ABAC anzuzeigen, siehe [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) verwenden im *IAM-Benutzerhandbuch*.

## Temporäre Anmeldeinformationen mit Firewall Manager verwenden
<a name="fms-security_iam_service-with-iam-roles-tempcreds"></a>

**Unterstützt temporäre Anmeldeinformationen:** Ja

Temporäre Anmeldeinformationen ermöglichen kurzfristigen Zugriff auf AWS Ressourcen und werden automatisch erstellt, wenn Sie einen Verbund verwenden oder die Rollen wechseln. AWS empfiehlt, temporäre Anmeldeinformationen dynamisch zu generieren, anstatt langfristige Zugriffsschlüssel zu verwenden. Weitere Informationen finden Sie unter [Temporäre Anmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) und [AWS-Services , die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.

## Zugriffssitzungen für Firewall Manager weiterleiten
<a name="fms-security_iam_service-with-iam-principal-permissions"></a>

**Unterstützt Forward Access Sessions (FAS):** Ja

 Forward-Access-Sitzungen (FAS) verwenden die Berechtigungen des Prinzipals, der einen aufruft AWS-Service, kombiniert mit der Anforderung, Anfragen AWS-Service an nachgelagerte Dienste zu stellen. Einzelheiten zu den Richtlinien für FAS-Anforderungen finden Sie unter [Zugriffssitzungen weiterleiten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Servicerollen für Firewall Manager
<a name="fms-security_iam_service-with-iam-roles-service"></a>

**Unterstützt Servicerollen:** Teilweise

 Eine Servicerolle ist eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html), die ein Service annimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM-Administrator kann eine Servicerolle innerhalb von IAM erstellen, ändern und löschen. Weitere Informationen finden Sie unter [Erstellen einer Rolle zum Delegieren von Berechtigungen an einen AWS-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) im *IAM-Benutzerhandbuch*. 

**Warnung**  
Durch das Ändern der Berechtigungen für eine Servicerolle kann die Funktionalität von Firewall Manager beeinträchtigt werden. Bearbeiten Sie Servicerollen nur, wenn Firewall Manager Sie dazu anleitet.

### Auswahl einer IAM-Rolle in Firewall Manager
<a name="fms-security_iam_service-with-iam-roles-choose"></a>

Um die *PutNotificationChannel* API-Aktion in Firewall Manager verwenden zu können, müssen Sie eine Rolle auswählen, mit der Firewall Manager auf Amazon SNS zugreifen kann, sodass der Service Amazon SNS SNS-Nachrichten in Ihrem Namen veröffentlichen kann. Weitere Informationen finden Sie unter [PutNotificationChannel](https://amazonaws.com/fms/2018-01-01/APIReference/API_PutNotificationChannel.html) in der *AWS Firewall Manager -API-Referenz*. 

Im Folgenden finden Sie ein Beispiel für eine Berechtigungseinstellung für ein SNS-Thema. Um diese Richtlinie mit Ihrer eigenen benutzerdefinierten Rolle zu verwenden, ersetzen Sie den `AWSServiceRoleForFMS` Amazon-Ressourcennamen (ARN) durch den `SnsRoleName` ARN.

```
{
  "Sid": "AWSFirewallManagerSNSPolicy",
  "Effect": "Allow",
  "Principal": {
    "AWS": "arn:aws:iam::account ID:role/aws-service-role/fms.amazonaws.com/AWSServiceRoleForFMS"
  },
  "Action": "sns:Publish",
  "Resource": "SNS topic ARN"
}
```

Weitere Informationen zu den Aktionen und Ressourcen von Firewall Manager finden Sie im AWS Identity and Access Management Leitfadenthema [Aktionen definiert von AWS Firewall Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsfirewallmanager.html#awsfirewallmanager-actions-as-permissions) 

## Dienstbezogene Rollen für Firewall Manager
<a name="fms-security_iam_service-with-iam-roles-service-linked"></a>

**Unterstützt serviceverknüpfte Rollen:** Ja

 Eine dienstbezogene Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM-Administrator kann die Berechtigungen für Service-verknüpfte Rollen anzeigen, aber nicht bearbeiten. 

Details zum Erstellen oder Verwalten von serviceverknüpften Rollen finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie in der Tabelle nach einem Service mit einem `Yes` in der Spalte **Service-linked role** (Serviceverknüpfte Rolle). Wählen Sie den Link **Yes** (Ja) aus, um die Dokumentation für die serviceverknüpfte Rolle für diesen Service anzuzeigen.

# Beispiele für identitätsbasierte Richtlinien für AWS Firewall Manager
<a name="fms-security_iam_id-based-policy-examples"></a>

Standardmäßig sind Benutzer und Rollen nicht berechtigt, Firewall Manager Manager-Ressourcen zu erstellen oder zu ändern. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.

Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von IAM-Richtlinien (Konsole)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) im *IAM-Benutzerhandbuch*.

Einzelheiten zu den von Firewall Manager definierten Aktionen und Ressourcentypen, einschließlich des Formats ARNs für die einzelnen Ressourcentypen, finden Sie unter [Aktionen, Ressourcen und Bedingungsschlüssel für AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html) in der *Service Authorization Reference*.

**Topics**
+ [

## Best Practices für Richtlinien
](#fms-security_iam_service-with-iam-policy-best-practices)
+ [

## Verwenden der Firewall Manager Manager-Konsole
](#fms-security_iam_id-based-policy-examples-console)
+ [

## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
](#fms-security_iam_id-based-policy-examples-view-own-permissions)
+ [

## Gewähren Sie Ihren Firewall Manager Manager-Sicherheitsgruppen Lesezugriff
](#fms-example0)

## Best Practices für Richtlinien
<a name="fms-security_iam_service-with-iam-policy-best-practices"></a>

Identitätsbasierte Richtlinien legen fest, ob jemand Firewall Manager Manager-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.

Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.

## Verwenden der Firewall Manager Manager-Konsole
<a name="fms-security_iam_id-based-policy-examples-console"></a>

Um auf die AWS Firewall Manager Konsole zugreifen zu können, benötigen Sie ein Mindestmaß an Berechtigungen. Diese Berechtigungen müssen es Ihnen ermöglichen, Details zu den Firewall Manager Manager-Ressourcen in Ihrem aufzulisten und anzuzeigen AWS-Konto. Wenn Sie eine identitätsbasierte Richtlinie erstellen, die strenger ist als die mindestens erforderlichen Berechtigungen, funktioniert die Konsole nicht wie vorgesehen für Entitäten (Benutzer oder Rollen) mit dieser Richtlinie.

Sie müssen Benutzern, die nur die API AWS CLI oder die AWS API aufrufen, keine Mindestberechtigungen für die Konsole gewähren. Stattdessen sollten Sie nur Zugriff auf die Aktionen zulassen, die der API-Operation entsprechen, die die Benutzer ausführen möchten.

Um sicherzustellen, dass Benutzer und Rollen die Firewall Manager-Konsole weiterhin verwenden können, fügen Sie den Entitäten auch den Firewall Manager `ConsoleAccess` oder die `ReadOnly` AWS verwaltete Richtlinie hinzu. Weitere Informationen finden Sie unter [Hinzufügen von Berechtigungen zu einem Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) im *IAM-Benutzerhandbuch*.

## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
<a name="fms-security_iam_id-based-policy-examples-view-own-permissions"></a>

In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API AWS CLI oder AWS .

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Gewähren Sie Ihren Firewall Manager Manager-Sicherheitsgruppen Lesezugriff
<a name="fms-example0"></a>

Der Firewall Manager ermöglicht den kontoübergreifenden Zugriff auf Ressourcen, aber es ist nicht möglich, kontenübergreifenden Ressourcenschutz zu erstellen. Sie können Schutz für Ressourcen nur aus dem Konto erstellen, das der Besitzer dieser Ressourcen ist. 

Im Folgenden finden Sie ein Beispiel für eine Richtlinie, die Berechtigungen für die `ec2:DescribeSecurityGroups` Aktionen `fms:Get``fms:List`, und für alle Ressourcen gewährt. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "fms:Get*",
                "fms:List*",
                "ec2:DescribeSecurityGroups"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

------







# AWS verwaltete Richtlinien für AWS Firewall Manager
<a name="fms-security-iam-awsmanpol"></a>





Eine AWS verwaltete Richtlinie ist eine eigenständige Richtlinie, die von erstellt und verwaltet wird AWS. AWS Verwaltete Richtlinien sind so konzipiert, dass sie Berechtigungen für viele gängige Anwendungsfälle bereitstellen, sodass Sie damit beginnen können, Benutzern, Gruppen und Rollen Berechtigungen zuzuweisen.

Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie allen AWS Kunden zur Verfügung stehen. Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie [vom Kunden verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind.

Sie können die in AWS verwalteten Richtlinien definierten Berechtigungen nicht ändern. Wenn die in einer AWS verwalteten Richtlinie definierten Berechtigungen AWS aktualisiert werden, wirkt sich das Update auf alle Prinzidentitäten (Benutzer, Gruppen und Rollen) aus, denen die Richtlinie zugeordnet ist. AWS aktualisiert eine AWS verwaltete Richtlinie höchstwahrscheinlich, wenn eine neue Richtlinie eingeführt AWS-Service wird oder neue API-Operationen für bestehende Dienste verfügbar werden.

Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) im *IAM-Benutzerhandbuch*.

## AWS verwaltete Richtlinie: `AWSFMAdminFullAccess`
<a name="security-iam-awsmanpol-AWSFMAdminFullAccess"></a>

Verwenden Sie die `AWSFMAdminFullAccess` AWS verwaltete Richtlinie, um Ihren Administratoren den Zugriff auf AWS Firewall Manager Ressourcen zu ermöglichen, einschließlich aller Firewall Manager Manager-Richtlinientypen. Diese Richtlinie beinhaltet keine Berechtigungen zum Einrichten von Amazon Simple Notification Service-Benachrichtigungen in AWS Firewall Manager. Informationen zum Einrichten des Zugriffs für Amazon Simple Notification Service finden Sie unter [Zugriff für Amazon Simple Notification Service einrichten](https://docs.aws.amazon.com/sns/latest/dg/sns-setting-up.html).

Eine Liste der Richtlinien und weitere Informationen finden Sie in der IAM-Konsole unter [AWSFMAdminFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminFullAccess$serviceLevelSummary). Der Rest dieses Abschnitts bietet einen Überblick über die Richtlinieneinstellungen.

**Erlaubniserklärungen**

Diese Richtlinie ist je nach Berechtigungssatz in Aussagen gruppiert.
+ **AWS Firewall Manager Richtlinienressourcen** — Ermöglicht vollständige Administratorrechte für Ressourcen AWS Firewall Manager, einschließlich aller Firewall Manager Manager-Richtlinientypen.
+ ** AWS WAF Protokolle in Amazon Simple Storage Service schreiben** — Ermöglicht Firewall Manager das Schreiben und Lesen von AWS WAF Protokollen in Amazon S3.
+ **Dienstverknüpfte Rolle erstellen** — Ermöglicht es dem Administrator, eine dienstverknüpfte Rolle zu erstellen, die es Firewall Manager ermöglicht, in Ihrem Namen auf Ressourcen in anderen Diensten zuzugreifen. Diese Berechtigung ermöglicht das Erstellen der dienstbezogenen Rolle nur für die Verwendung durch Firewall Manager. Informationen darüber, wie Firewall Manager dienstverknüpfte Rollen verwendet, finden Sie unter[Verwenden von serviceverknüpften Rollen für Firewall Manager](fms-using-service-linked-roles.md).
+ **AWS Organizations**— Ermöglicht Administratoren die Verwendung des Firewall Manager für eine Organisation in AWS Organizations. Nachdem der vertrauenswürdige Zugriff für Firewall Manager aktiviert wurde AWS Organizations, können Mitglieder des Administratorkontos die Ergebnisse in ihrer gesamten Organisation einsehen. Informationen zur Verwendung AWS Organizations mit AWS Firewall Manager finden Sie [unter Verwendung AWS Organizations mit anderen AWS Diensten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) im *AWS Organizations Benutzerhandbuch*.

**Kategorien von Berechtigungen**

Im Folgenden werden die in der Richtlinie enthaltenen Berechtigungstypen und die damit verbundenen Berechtigungen aufgeführt. 
+ `fms`— Arbeiten Sie mit AWS Firewall Manager Ressourcen.
+ `waf`und `waf-regional` — Arbeiten Sie mit AWS WAF klassischen Richtlinien.
+ `elasticloadbalancing`— Assoziieren Sie AWS WAF ACLsto Web-Elastic Load Balancers.
+ `firehose`— Informationen zu AWS WAF Protokollen anzeigen.
+ `organizations`— Arbeiten Sie mit den Ressourcen von AWS Organizations.
+ `shield`— Den Abonnementstatus von AWS Shield Richtlinien anzeigen.
+ `route53resolver`— Arbeiten Sie mit Route 53 Private DNS für VPCs Regelgruppen in einem Route 53 Private DNS für VPCs Richtlinien.
+ `wafv2`— Arbeiten Sie mit AWS WAFV2 Richtlinien.
+ `network-firewall`— Arbeite mit AWS Network Firewall Richtlinien.
+ `ec2`— Verfügbare Zonen und Regionen für Richtlinien anzeigen. 
+ `s3`— Informationen zu AWS WAF Protokollen anzeigen.

## AWS verwaltete Richtlinie: `FMSServiceRolePolicy`
<a name="security-iam-awsmanpol-FMSServiceRolePolicy"></a>

Diese Richtlinie ermöglicht AWS Firewall Manager die Verwaltung von AWS Ressourcen in Ihrem Namen im Firewall Manager und in integrierten Diensten. Diese Richtlinie ist mit der `AWSServiceRoleForFMS` dienstverknüpften Rolle verbunden. Weitere Informationen zur serviceverknüpften Rolle finden Sie unter [Verwenden von serviceverknüpften Rollen für Firewall Manager](fms-using-service-linked-roles.md). 

Einzelheiten zu den Richtlinien finden Sie in der IAM-Konsole unter [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary).

## AWS verwaltete Richtlinie: AWSFMAdmin ReadOnlyAccess
<a name="security-iam-awsmanpol-AWSFMAdminReadOnlyAccess"></a>

Gewährt schreibgeschützten Zugriff auf alle AWS Firewall Manager Manager-Ressourcen.

Die Richtlinienliste und weitere Informationen finden Sie in der IAM-Konsole unter. [AWSFMAdminReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminReadOnlyAccess$serviceLevelSummary) Der Rest dieses Abschnitts bietet einen Überblick über die Richtlinieneinstellungen.

**Kategorien von Berechtigungen**

Im Folgenden werden die in der Richtlinie enthaltenen Berechtigungstypen und die Informationen aufgeführt, für die die Berechtigungen nur Lesezugriff ermöglichen. 
+ `fms`— AWS Firewall Manager Ressourcen.
+ `waf`und `waf-regional` — AWS WAF Klassische Politiken.
+ `firehose`— AWS WAF Protokolle.
+ `organizations`— Ressourcen von AWS Organizations.
+ `shield`— AWS Shield Richtlinien.
+ `route53resolver`— Route 53 Private DNS für VPCs Regelgruppen in einem Route 53 Private DNS für VPCs Richtlinien.
+ `wafv2`— Ihre AWS WAFV2 Regelgruppen und Regelgruppen für AWS verwaltete Regeln, die in verfügbar sind AWS WAFV2.
+ `network-firewall`— AWS Network Firewall Regelgruppen und Regelgruppen-Metadaten.
+ `ec2`— AWS Network Firewall Richtlinien für Verfügbarkeitszonen und Regionen.
+ `s3`— AWS WAF Protokolle.

## AWS verwaltete Richtlinie: AWSFMMember ReadOnlyAccess
<a name="security-iam-awsmanpol-AWSFMMemberReadOnlyAccess"></a>

Gewährt nur Lesezugriff auf AWS Firewall Manager Mitgliederressourcen. Die Richtlinienliste und weitere Informationen finden Sie in der IAM-Konsole unter. [AWSFMMemberReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMMemberReadOnlyAccess$serviceLevelSummary)













## Firewall Manager Manager-Updates für AWS verwaltete Richtlinien
<a name="fms-security-iam-awsmanpol-updates"></a>

Sehen Sie sich Details zu Aktualisierungen der AWS verwalteten Richtlinien für Firewall Manager an, seit dieser Dienst begonnen hat, diese Änderungen zu verfolgen. Wenn Sie automatische Benachrichtigungen über Änderungen an dieser Seite erhalten möchten, abonnieren Sie den RSS-Feed auf der Seite mit dem Dokumentverlauf von Firewall Manager unter[Dokumentverlauf](doc-history.md).




| Änderungen | Beschreibung | Date | 
| --- | --- | --- | 
|  [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) – Richtlinie aktualisieren  | Der Firewall Manager Manager-Dienstrichtlinie wurden Berechtigungen hinzugefügt. Die folgenden für Amazon erforderlichen Berechtigungen wurden hinzugefügt CloudFront:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/waf/latest/developerguide/fms-security-iam-awsmanpol.html)  | 2025-05-21 | 
|  [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) – Richtlinie aktualisieren  | Der Firewall Manager Manager-Dienstrichtlinie wurden Berechtigungen hinzugefügt. Es wurden `BatchGetResourceConfig` Berechtigungen hinzugefügt, um den Status der Ressourcenkonfiguration stapelweise abzurufen. Die aktualisierte Richtlinie finden Sie in der IAM-Konsole:. [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)  | 2025-02-10 | 
|  [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) – Richtlinie aktualisieren  |  Der Firewall Manager Manager-Dienstrollenrichtlinie wurden Berechtigungen hinzugefügt.  Es wurde die Möglichkeit hinzugefügt, die TLS-Konfigurationsinformationen der Network Firewall zu lesen. Die aktualisierte Richtlinie finden Sie in der IAM-Konsole: [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary).  | 2024-07-22 | 
|  [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) – Richtlinie aktualisieren  |  Es wurden Berechtigungen für die Netzwerkverwaltung hinzugefügt. ACLs  Die aktualisierte Richtlinie finden Sie in der IAM-Konsole: [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary).  | 2024-04-22 | 
|  [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) – Richtlinie aktualisieren  |  Es wurden Berechtigungen hinzugefügt, mit denen Firewall Manager beschreiben kann, ob die angegebenen AWS Config Regeln konform sind. Die aktualisierte Richtlinie finden Sie in der IAM-Konsole: [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary).  | 2023-04-21 | 
|  [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) – Richtlinie aktualisieren  |  Es wurden Berechtigungen hinzugefügt, die es Firewall Manager ermöglichen, Amazon EC2 EC2-Instance- und Netzwerkschnittstellenattribute zu beschreiben. Sehen Sie sich die aktualisierte Richtlinie in der IAM-Konsole an:. [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)  | 15.11.2022 | 
|  [AWSFMAdminReadOnlyAccess](#security-iam-awsmanpol-AWSFMAdminReadOnlyAccess) – Richtlinie aktualisieren  |  Es wurden Berechtigungen zur Unterstützung von Shield AWS WAFV2, Network Firewall, DNS-Firewall, Amazon VPC-Sicherheitsgruppe und Richtlinien hinzugefügt. Sehen Sie sich die aktualisierte Richtlinie in der IAM-Konsole an:. [AWSFMAdminReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminReadOnlyAccess$serviceLevelSummary)  | 02.11.2022 | 
|  [AWSFMAdminFullAccess](#security-iam-awsmanpol-AWSFMAdminFullAccess) – Richtlinie aktualisieren  |  Es wurden Berechtigungen zur Unterstützung von Shield AWS WAFV2, Network Firewall, DNS-Firewall, Amazon VPC-Sicherheitsgruppe und Richtlinien hinzugefügt. Amazon SNS SNS-Berechtigungen wurden entfernt. Die aktualisierte Richtlinie finden Sie in der IAM-Konsole:. [AWSFMAdminFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminFullAccess$serviceLevelSummary)  | 21.10.2022 | 
|  `FMSServiceRolePolicy`— Neue Berechtigungen für Firewall-Richtlinien AWS Firewall Manager von Drittanbietern  |  Diese Änderung ermöglicht es Firewall Manager, die Amazon EC2 VPC-Endpunkte zu erstellen und zu löschen, die mit einer Firewall-Richtlinie eines Drittanbieters verknüpft sind.  | 30.03.2022 | 
|  `FMSServiceRolePolicy`— Neue Berechtigungen für Richtlinien AWS Network Firewall   |  Es wurden neue Berechtigungen hinzugefügt, um die Bereitstellung von Firewalls für Netzwerk-Firewall-Richtlinien zu unterstützen. Die neuen Berechtigungen ermöglichen das Abrufen von Informationen über Availability Zones für Konten, die in den Geltungsbereich einer Richtlinie fallen.   | 16.02.2022 | 
|  `FMSServiceRolePolicy`— Neue Berechtigungen für Richtlinien AWS Shield   |  Neue Berechtigungen zum Abrufen von Tags für AWS WAF regionale und AWS WAF globale Ressourcen hinzugefügt. Es wurden AWS WAF regionale Berechtigungen zum Abrufen ACLs von Websites mithilfe eines Ressourcen-ARN hinzugefügt. Es wurden Berechtigungen zur Unterstützung der automatischen Shield-Abwehr gegen Anwendungsschicht DDo S hinzugefügt.   | 07.01.2022 | 
|  `FMSServiceRolePolicy`— Neue Berechtigungen für Richtlinien AWS Shield   |  Neue Berechtigung zum Abrufen von Tags für Elastic Load Balancing Balancing-Ressourcen hinzugefügt.   | 18.11.2021 | 
|  `FMSServiceRolePolicy`— Neue Berechtigungen für Sicherheitsgruppen und Richtlinien AWS Network Firewall   |  Neue Berechtigungen wurden hinzugefügt, um die zentrale Protokollierung von AWS Network Firewall Richtlinien zu ermöglichen. Darüber hinaus wurden Amazon EC2 EC2-Berechtigungen mit Lesezugriff hinzugefügt, um Änderungen am Config-Service zu unterstützen, die sich darauf auswirken, wie Ressourcen nach AWS Firewall Manager Sicherheitsgruppenrichtlinien abgefragt werden.  | 29.09.2021 | 
|  `FMSServiceRolePolicy`— ARN-Formate für AWS WAF Ressourcen  |  Das wurde aktualisiert`FMSServiceRolePolicy`, um die ARN-Formate für AWS WAF Ressourcen zu standardisieren. Die aktualisierten ARN-Formate sind `arn:aws:waf:*:*:*` und`arn:aws:waf-regional:*:*:*`.  | 2021-08-12 | 
|  `FMSServiceRolePolicy`— Zusätzliche Regionen in China  |  AWS Firewall Manager hat `FMSServiceRolePolicy` für die Regionen BJS und ZHY in China aktiviert.  | 12.08.2021 | 
|  `FMSServiceRolePolicy`— Aktualisierung der bestehenden Richtlinie  |  Es wurden neue Berechtigungen hinzugefügt, um die Amazon Route 53 Resolver DNS-Firewall verwalten AWS Firewall Manager zu können. Diese Änderung ermöglicht es Firewall Manager, Amazon Route 53 Resolver DNS-Firewallzuordnungen zu konfigurieren. Auf diese Weise können Sie den Firewall Manager verwenden, um DNS-Firewall-Schutz für Ihr VPCs gesamtes Unternehmen in AWS Organizations bereitzustellen.  | 2021-03-17 | 
|  Firewall Manager hat begonnen, Änderungen zu verfolgen  |  Firewall Manager begann, Änderungen für seine AWS verwalteten Richtlinien zu verfolgen.  | 2021-03-02 | 

# Problembehandlung bei AWS Firewall Manager Identität und Zugriff
<a name="fms-security_iam_troubleshoot"></a>

Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Firewall Manager und IAM auftreten können.

**Topics**
+ [

## Ich bin nicht berechtigt, eine Aktion in Firewall Manager durchzuführen
](#fms-security_iam_troubleshoot-no-permissions)
+ [

## Ich bin nicht berechtigt, iam auszuführen: PassRole
](#fms-security_iam_troubleshoot-passrole)
+ [

## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Firewall Manager Manager-Ressourcen ermöglichen
](#fms-security_iam_troubleshoot-cross-account-access)

## Ich bin nicht berechtigt, eine Aktion in Firewall Manager durchzuführen
<a name="fms-security_iam_troubleshoot-no-permissions"></a>

Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht zur Durchführung einer Aktion berechtigt sind, müssen Ihre Richtlinien aktualisiert werden, damit Sie die Aktion durchführen können.

Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer `mateojackson` versucht, über die Konsole Details zu einer fiktiven `my-example-widget`-Ressource anzuzeigen, jedoch nicht über `fms:GetWidget`-Berechtigungen verfügt.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: fms:GetWidget on resource: my-example-widget
```

In diesem Fall muss die Richtlinie für den Benutzer `mateojackson` aktualisiert werden, damit er mit der `fms:GetWidget`-Aktion auf die `my-example-widget`-Ressource zugreifen kann.

Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.

## Ich bin nicht berechtigt, iam auszuführen: PassRole
<a name="fms-security_iam_troubleshoot-passrole"></a>

Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht autorisiert sind, die `iam:PassRole` Aktion auszuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Firewall Manager übergeben können.

Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.

Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Firewall Manager auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.

Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen zur Verfügung gestellt.

## Ich möchte Personen außerhalb von mir den Zugriff AWS-Konto auf meine Firewall Manager Manager-Ressourcen ermöglichen
<a name="fms-security_iam_troubleshoot-cross-account-access"></a>

Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.

Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Firewall Manager diese Funktionen unterstützt, finden Sie unter[Wie AWS Shield funktioniert mit IAM](shd-security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs auf einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [So unterscheiden sich IAM-Rollen von ressourcenbasierten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) im *IAM-Benutzerhandbuch*.

# Verwenden von serviceverknüpften Rollen für Firewall Manager
<a name="fms-using-service-linked-roles"></a>

AWS Firewall Manager verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Firewall Manager verknüpft ist. Dienstbezogene Rollen sind von Firewall Manager vordefiniert und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen. 

Eine dienstbezogene Rolle erleichtert die Einrichtung von Firewall Manager, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Firewall Manager definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, kann nur Firewall Manager seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann an keine andere IAM-Entität angefügt werden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dadurch werden Ihre Firewall Manager Manager-Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entfernen können.

Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie nach den Services, für die **Ja** in der Spalte **Serviceverknüpfte Rolle** angegeben ist. Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

## Dienstbezogene Rollenberechtigungen für Firewall Manager
<a name="fms-slr-permissions"></a>

AWS Firewall Manager verwendet den dienstverknüpften Rollennamen AWSService RoleFor FMS, damit Firewall Manager in Ihrem Namen AWS Dienste zur Verwaltung von Firewall-Richtlinien und AWS Organizations Kontoressourcen aufrufen kann. Diese Richtlinie ist der AWS verwalteten Rolle zugeordnet. `AWSServiceRoleForFMS` Weitere Informationen zur verwalteten Rolle finden Sie unter[AWS verwaltete Richtlinie: `FMSServiceRolePolicy`](fms-security-iam-awsmanpol.md#security-iam-awsmanpol-FMSServiceRolePolicy).

Die mit dem AWSService RoleFor FMS-Service verknüpfte Rolle vertraut darauf, dass der Dienst die Rolle übernimmt. `fms.amazonaws.com` 

Die Richtlinie für Rollenberechtigungen ermöglicht es Firewall Manager, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
+ `waf`- Verwalten Sie das AWS WAF klassische Web ACLs, die Regelgruppenberechtigungen und die ACLs Webzuordnungen in Ihrem Konto.
+ `ec2`- Verwalten Sie Sicherheitsgruppen auf elastischen Netzwerkschnittstellen und Amazon EC2 EC2-Instances. Verwalten Sie das Netzwerk ACLs in Amazon VPC-Subnetzen.
+ `vpc`- Verwalten Sie Subnetze, Routing-Tabellen, Tags und Endpunkte in Amazon VPC.
+ `wafv2`- Verwalten Sie das AWS WAF Web ACLs, die Berechtigungen für Regelgruppen und die ACLs Webzuordnungen in Ihrem Konto.
+ `cloudfront`- Erstellen Sie ein Web ACLs , um CloudFront Distributionen zu schützen.
+ `config`- Verwalte AWS Config Regeln, die dem Firewall Manager gehören, in deinem Konto.
+ `iam`- Verwaltet diese dienstbezogene Rolle und erstellt erforderliche AWS WAF Rollen und dienstgebundene Shield-Rollen, wenn Sie die Protokollierung für AWS WAF und Shield-Richtlinien konfigurieren.
+ `organization`- Erstellen Sie eine dienstbezogene Rolle, die Firewall Manager gehört, um die von Firewall Manager verwendeten AWS Organizations Ressourcen zu verwalten.
+ `shield`- Verwalten Sie AWS Shield Schutzmaßnahmen und Konfigurationen zur L7-Abwehr für Ressourcen in Ihrem Konto.
+ `ram`- Verwalten Sie die gemeinsame Nutzung von AWS RAM Ressourcen für DNS-Firewall-Regelgruppen und Netzwerk-Firewall-Regelgruppen.
+ `network-firewall`- Verwalten Sie Firewall Manager-eigene AWS Network Firewall Ressourcen und abhängige Amazon VPC-Ressourcen in Ihrem Konto.
+ `route53resolver`- Verwalten Sie DNS-Firewall-Zuordnungen, die dem Firewall Manager gehören, in Ihrem Konto.

Die vollständige Richtlinie finden Sie in der IAM-Konsole:. [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [serviceverknüpfte Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.

## Eine serviceverknüpfte Rolle für Firewall Manager erstellen
<a name="fms-create-slr"></a>

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie die AWS-Managementkonsole Firewall Manager-Anmeldung am aktivieren oder eine `PutLoggingConfiguration` Anfrage in der Firewall Manager Manager-CLI oder der Firewall Manager Manager-API stellen, erstellt Firewall Manager die dienstbezogene Rolle für Sie. 

Sie müssen über die `iam:CreateServiceLinkedRole`-Berechtigung verfügen, um die Protokollierung zu aktivieren.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie die Firewall Manager-Protokollierung aktivieren, erstellt Firewall Manager die dienstbezogene Rolle erneut für Sie. 

## Bearbeiten einer serviceverknüpften Rolle für Firewall Manager
<a name="fms-edit-slr"></a>

Mit Firewall Manager können Sie die mit dem AWSService RoleFor FMS-Service verknüpfte Rolle nicht bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.

## Löschen einer serviceverknüpften Rolle für Firewall Manager
<a name="fms-delete-slr"></a>

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

**Anmerkung**  
Wenn der Firewall Manager Manager-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

**Um die mit dem Dienst verknüpfte Rolle mithilfe von IAM zu löschen**

Verwenden Sie die IAM-Konsole, die IAM-CLI oder die IAM-API, um die mit dem AWSService RoleFor FMS-Service verknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.

## Unterstützte Regionen für serviceverknüpfte Firewall Manager Manager-Rollen
<a name="fms-slr-regions"></a>

Firewall Manager unterstützt die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Weitere Informationen finden Sie unter [Firewall Manager Manager-Endpunkte und Kontingente](https://docs.aws.amazon.com/general/latest/gr/firewallmanager.html).

# Serviceübergreifende Confused-Deputy-Prävention
<a name="cross-service-confused-deputy-prevention"></a>

Das Problem des verwirrten Stellvertreters ist ein Sicherheitsproblem, bei dem eine Entität, die keine Berechtigung zur Durchführung einer Aktion hat, eine privilegiertere Entität zur Durchführung der Aktion zwingen kann. In AWS kann ein dienstübergreifendes Identitätswechsels zu einem Problem mit dem verwirrten Stellvertreter führen. Ein dienstübergreifender Identitätswechsel kann auftreten, wenn ein Dienst (der *Anruf-Dienst*) einen anderen Dienst anruft (den *aufgerufenen Dienst*). Der aufrufende Service kann manipuliert werden, um seine Berechtigungen zu verwenden, um Aktionen auf die Ressourcen eines anderen Kunden auszuführen, für die er sonst keine Zugriffsberechtigung haben sollte. Um dies zu verhindern, bietet AWS Tools, mit denen Sie Ihre Daten für alle Services mit Serviceprinzipalen schützen können, die Zugriff auf Ressourcen in Ihrem Konto erhalten haben. 

Wir empfehlen, die Kontextschlüssel [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)und die [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globalen Bedingungsschlüssel in Ressourcenrichtlinien zu verwenden, um die Berechtigungen einzuschränken, die der AWS Firewall Manager Ressource einen anderen Dienst gewähren. Verwenden Sie `aws:SourceArn`, wenn Sie nur eine Ressource mit dem betriebsübergreifenden Zugriff verknüpfen möchten. Verwenden Sie `aws:SourceAccount`, wenn Sie zulassen möchten, dass Ressourcen in diesem Konto mit der betriebsübergreifenden Verwendung verknüpft werden.

Der effektivste Weg, um sich vor dem Confused-Deputy-Problem zu schützen, ist die Verwendung des globalen Bedingungskontext-Schlüssels `aws:SourceArn` mit dem vollständigen ARN der Ressource. Wenn Sie den vollständigen ARN der Ressource nicht kennen oder wenn Sie mehrere Ressourcen angeben, verwenden Sie den globalen Kontextbedingungsschlüssel `aws:SourceArn` mit Platzhalterzeichen (`*`) für die unbekannten Teile des ARN. Beispiel, `arn:aws:fms:*:account-id:*`. 

Wenn der `aws:SourceArn`-Wert die Konto-ID nicht enthält, z. B. einen Amazon-S3-Bucket-ARN, müssen Sie beide globale Bedingungskontextschlüssel verwenden, um Berechtigungen einzuschränken. 

Der Wert von `aws:SourceArn` muss das AWS Firewall Manager AWS Administratorkonto sein.

Die folgenden Beispiele zeigen, wie Sie den `aws:SourceArn` globalen Bedingungskontextschlüssel in Firewall Manager verwenden können, um das Problem des verwirrten Stellvertreters zu verhindern.

Das folgende Beispiel zeigt, wie Sie das Problem mit dem verwirrten Stellvertreter verhindern können, indem Sie den `aws:SourceArn` globalen Bedingungskontextschlüssel in der Firewall Manager Manager-Rollenvertrauensrichtlinie verwenden. Ersetzen Sie *Region* und *account-id* durch Ihre eigenen Informationen.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Sid": "ConfusedDeputyPreventionExamplePolicy",
        "Effect": "Allow",
        "Principal": {
            "Service": "servicename.amazonaws.com"
        },
        "Action": "sts:AssumeRole",
        "Condition": {
            "ArnLike": {
                "aws:SourceArn": [
                "arn:aws:fms:us-east-1:123456789012:${*}",
    "arn:aws:fms:us-east-1:123456789012:policy/*"
                ]
            },
            "StringEquals": {
                "aws:SourceAccount": "123456789012"
            }
        }
    }
}
```

------

# Protokollierung und Überwachung in Firewall Manager
<a name="fms-incident-response"></a>

Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Verfügbarkeit und Leistung von Firewall Manager und Ihren AWS Lösungen. Sie sollten Überwachungsdaten aus allen Teilen Ihrer AWS Lösung sammeln, damit Sie einen etwaigen Ausfall an mehreren Stellen leichter debuggen können. AWS bietet verschiedene Tools zur Überwachung Ihrer Firewall Manager Manager-Ressourcen und zur Reaktion auf potenzielle Ereignisse:

** CloudWatch Amazon-Alarme**  
Mithilfe von CloudWatch Alarmen beobachten Sie eine einzelne Metrik über einen von Ihnen angegebenen Zeitraum. Wenn die Metrik einen bestimmten Schwellenwert überschreitet, CloudWatch sendet eine Benachrichtigung an ein Amazon SNS SNS-Thema oder eine AWS Auto Scaling Richtlinie. Weitere Informationen finden Sie unter [Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md).

**AWS CloudTrail Logs**  
CloudTrail bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS Dienst in Firewall Manager ausgeführt wurden. Anhand der von gesammelten Informationen können Sie die Anfrage CloudTrail, die an Firewall Manager gestellt wurde, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details ermitteln. Weitere Informationen finden Sie unter [Protokollierung von AWS CloudTrail-API-Aufrufen mit](logging-using-cloudtrail.md).

# Konformitätsprüfung für Firewall Manager
<a name="fms-security-compliance"></a>

Informationen darüber, ob AWS-Service ein [AWS-Services in den Geltungsbereich bestimmter Compliance-Programme fällt, finden Sie unter Umfang nach Compliance-Programm AWS-Services unter](https://aws.amazon.com/compliance/services-in-scope/) . Wählen Sie dort das Compliance-Programm aus, an dem Sie interessiert sind. Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .

Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Berichte herunterladen unter ](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).

Ihre Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services hängt von der Vertraulichkeit Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. Weitere Informationen zu Ihrer Verantwortung für die Einhaltung der Vorschriften bei der Nutzung AWS-Services finden Sie in der [AWS Sicherheitsdokumentation](https://docs.aws.amazon.com/security/).

# Resilienz im Firewall Manager
<a name="fms-disaster-recovery-resiliency"></a>

Die AWS globale Infrastruktur basiert auf Availability AWS-Regionen Zones. AWS-Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Availability Zones ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser hoch verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren. 

Weitere Informationen zu Availability Zones AWS-Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.

# Infrastruktursicherheit in AWS Firewall Manager
<a name="fms-infrastructure-security"></a>

Als verwalteter Dienst AWS Firewall Manager ist er durch AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.

Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Firewall Manager zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.

# AWS Firewall Manager Kontingente
<a name="fms-limits"></a>

AWS Firewall Manager unterliegt den folgenden Kontingenten (früher als Beschränkungen bezeichnet). 

AWS Firewall Manager hat Standardkontingente, die Sie möglicherweise erhöhen können, und feste Kontingente.

Die Sicherheitsgruppenrichtlinien und Netzwerk-ACL-Richtlinien, die von Firewall Manager verwaltet werden, unterliegen den standardmäßigen Amazon VPC-Kontingenten. Weitere Informationen finden Sie unter [Amazon VPC-Kontingente](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) im [Amazon VPC-Benutzerhandbuch](https://docs.aws.amazon.com/vpc/latest/userguide/). 

Jede Firewall Manager Manager-Netzwerk-Firewall-Richtlinie erstellt eine Netzwerk-Firewall-Firewall mit einer zugehörigen Firewall-Richtlinie und ihren Regelgruppen. Diese Netzwerk-Firewall-Ressourcen unterliegen den Kontingenten, die im *Network Firewall Developer Guide* unter [AWS Network Firewall Kontingente](https://docs.aws.amazon.com/network-firewall/latest/developerguide/quotas.html) aufgeführt sind. 

## Weiche Kontingente
<a name="fms-limits-mutable"></a>

AWS Firewall Manager hat Standardkontingente für die Anzahl der Entitäten pro Region. Sie können [eine Erhöhung dieser Kontingente beantragen](https://console.aws.amazon.com/servicequotas/home/services/fms/quotas).


**Alle Richtlinientypen**  

| Ressource | Standardkontingent pro Region | 
| --- | --- | 
| Konten pro Organisation in AWS Organizations  | Variiert. Eine an ein Konto gesendete Einladung wird auf dieses Kontingent angerechnet. Die Anrechnung entfällt, wenn das eingeladene Konto ablehnt, das Verwaltungskonto die Einladung ablehnt oder die Einladung abgelaufen ist. | 
| Firewall Manager Manager-Richtlinien pro Organisation in AWS Organizations. | 50. Die Regionsangaben `Global` und `US East (N. Virginia) Region` beziehen sich auf dieselbe Region, sodass dieser Grenzwert für die Summe der kombinierten Richtlinien für beide gilt.  | 
| Organisationseinheiten im Geltungsbereich gemäß Firewall Manager Manager-Richtlinie. | 20  | 
| Konten im Geltungsbereich einer Firewall Manager Manager-Richtlinie, wenn Sie einzelne Konten explizit ein- und ausschließen. | 200  | 
| Konten im Geltungsbereich einer Firewall Manager Manager-Richtlinie, wenn Sie einzelne Konten nicht explizit ein- oder ausschließen. | 2.500  | 
| Konten, in denen eine Organisation enthalten AWS Organizations kann, damit die Organisation von Firewall Manager aufgenommen werden kann. Die Anzahl beinhaltet das Firewall Manager Manager-Administratorkonto.  | 10.000  | 
|  Tags, die Ressourcen pro Firewall Manager Manager-Richtlinie einschließen oder ausschließen.  | 8 | 
|  Anzahl der Ressourcensätze pro Konto.  | 20 | 
|  Anzahl der Ressourcen pro Ressourcensatz.  | 100 | 
|  Anzahl der Ressourcensätze pro Firewall Manager Manager-Richtlinie.  | 5 | 


**AWS WAF Richtlinien**  

| Ressource | Standardkontingent pro Region | 
| --- | --- | 
| AWS WAF Regelgruppen pro Firewall Manager Manager-Administratorkonto. | 100 | 
| AWS WAF Klassische Regelgruppen pro Firewall Manager Manager-Administratorkonto. | 10 | 
| Regelgruppen pro AWS WAF Richtlinie. | 50 | 
| Regelgruppen für Partner pro AWS WAF Richtlinie. | 1 | 


**Gemeinsame Sicherheitsgruppenrichtlinien**  

| Ressource | Standardkontingent pro Region. | 
| --- | --- | 
| Primäre Sicherheitsgruppen pro Richtlinie. | 3 | 
| Amazon VPC-Instances im Umfang pro Richtlinie pro Konto, einschließlich gemeinsam genutzter VPCs Instanzen. | 100 | 


**Inhaltsprüfungssicherheitsgruppenrichtlinien**  

| Ressource | Standardkontingent pro Region | 
| --- | --- | 
| Sicherheitsgruppen pro Richtlinie prüfen. | 1 | 
| Liste der Anwendungen pro Anwendung. | 50 | 
| Benutzerdefinierte verwaltete Anwendungslisten für Regeln, die den gesamten Datenverkehr zulassen. | 1 | 
| Benutzerdefiniert verwaltete Anwendungslisten nach Richtlinienregeln. | 1 | 
| Benutzerdefinierte verwaltete Anwendungslisten pro Konto. | 10 | 
| Liste der Protokolle pro Protokoll. | 5 | 
| Benutzerdefinierte verwaltete Protokolllisten für jede Einstellung in einer Richtlinie. | 1 | 
| Listen mit benutzerdefinierten verwalteten Protokollen pro Konto. | 10 | 


**Netzwerk-ACL-Richtlinien**  

| Ressource | Standardkontingent pro Region | 
| --- | --- | 
| Anzahl der Regeln für eingehenden Datenverkehr pro Netzwerk-ACL-Richtlinie, die für die ersten oder letzten Regeln verwendet werden. Sie können beispielsweise 5 erste und 0 letzte eingehende Regeln oder 2 erste und 3 letzte Regeln haben, aber Sie können nicht 4 erste und 2 letzte Regeln haben. | 5 | 
| Anzahl der ausgehenden Regeln pro Netzwerk-ACL-Richtlinie, die für die erste oder letzte Regel verwendet werden. Sie können beispielsweise 5 erste und 0 letzte ausgehende Regeln oder 2 erste und 3 letzte Regeln haben, aber Sie können nicht 4 erste und 2 letzte Regeln haben. | 5 | 


**Netzwerk-Firewall-Richtlinien**  

| Ressource | Standardkontingent pro Region | 
| --- | --- | 
| Die Anzahl davon IPV4 CIDRs , die Sie für eine einzelne Richtlinie angeben können. | 50 | 
| Stateful-Regelgruppenkapazität pro Netzwerk-Firewall-Richtlinie. | 30 000 | 


**DNS-Firewall-Richtlinien**  

| Ressource | Standardkontingent pro Region | 
| --- | --- | 
| DNS-Firewall-Regelgruppen pro DNS-Firewall-Richtlinie. | 2 | 

## Feste Kontingente
<a name="fms-limits-immutable"></a>

Die folgenden regionalen Kontingente, die sich auf Folgendes beziehen, AWS Firewall Manager können nicht geändert werden.


**Alle Richtlinientypen**  

| Ressource | Kontingent pro Region | 
| --- | --- | 
|  Die maximale Anzahl von Firewall Manager Manager-Administratoren, die Sie in einer AWS Organizations Organisation haben können. Sie müssen über einen Standardadministrator und bis zu neun weitere Firewall Manager Manager-Administratoren verfügen.  | 10 | 


**AWS WAF Richtlinien**  

| Ressource | Kontingent pro Region | 
| --- | --- | 
| Gesamtzahl der Web ACL Capacity Units (WCU) für die Regelgruppen in einer AWS WAF -Richtlinie. | 5,000 | 


**AWS WAF Klassische Richtlinien**  

| Ressource | Kontingent pro Region | 
| --- | --- | 
| AWS WAF Klassische Regelgruppen pro Richtlinie. | 2:1 vom Kunden erstellte Regelgruppe und 1 AWS Marketplace Regelgruppe. | 
| AWS WAF Klassische Regeln pro Firewall Manager AWS WAF Classic-Regelgruppe. | 10 | 


**Netzwerk-Firewall-Richtlinien**  

| Ressource | Kontingent pro Region | 
| --- | --- | 
|  Einige VPCs davon können für eine einzelne Richtlinie automatisch behoben werden.  | 1.000 | 
|  Stateless Regelgruppen pro Netzwerk-Firewall-Richtlinie.  | 20 | 
|  Stateful-Regelgruppen pro Netzwerk-Firewall-Richtlinie.  | 20 | 
|  Kapazität der statusfreien Regelgruppe pro Netzwerk-Firewall-Richtlinie.  | 30 000 | 

# AWS WAF Classic Web ACLs in Firewall Manager migrieren
<a name="migrate-waf-classic-fms"></a>

Es gibt zwei Szenarien, in denen Firewall Manager AWS WAF Classic Web verwenden könnteACLs:

1. Mit einer AWS WAF Classic Richtlinie

1. Mit einer Shield Advanced-Richtlinie, die vor Januar 2022 erstellt wurde

## Migration von ACLs Web-in-Richtlinien AWS WAF Classic
<a name="migrate-waf-classic-policy"></a>

Um das Web ACLs von einer AWS WAF Classic Richtlinie aus zu migrieren, müssen Sie zunächst alle AWS WAF Classic Regelgruppen zu AWS WAF (v2) -Regelgruppen migrieren. Anschließend können Sie mithilfe der migrierten Regelgruppen eine neue Richtlinie erstellen.

1. Migrieren Sie Ihre AWS WAF Classic Regelgruppen mithilfe dieses Migrationsskripts zu AWS WAF (v2) -Regelgruppen: [AWS WAF Massenmigrationsskript](https://github.com/aws-samples/sample-for-waf-classic-to-wafv2-migrate-and-cleanup/tree/main/scripts/waf-classic-migration        ).

1. Erstellen Sie eine neue AWS WAF Richtlinie mit den folgenden Einstellungen:
   + Verwenden Sie die neu migrierten Regelgruppen AWS WAF (v2)
   + Aktivieren Sie die automatische Problembehebung

1. Gehen Sie für jedes Konto, das Sie migrieren möchten, wie folgt vor:

   1. Entfernen Sie das Konto aus der alten AWS WAF Classic Richtlinie

   1. Warten Sie ungefähr 2-3 Minuten

   1. Fügen Sie das Konto dem Geltungsbereich der neuen AWS WAF Richtlinie hinzu

   1. (Optional) Verwenden Sie die Ressourcen-Tag-Filterung, um den Geltungsbereich der Richtlinie auf bestimmte Ressourcen einzuschränken

1. Überprüfen Sie die Migration:

   1. Vergewissern Sie sich, dass mit der neuen AWS WAF Richtlinie v2 Web erstellt wurde ACLs

   1. Stellen Sie sicher, dass Firewall Manager das neue Web ACLs mit den entsprechenden Ressourcen verknüpft hat

## Erweiterte Web ACLs in Shield-Richtlinien migrieren
<a name="migrate-shield-policy"></a>

Die automatische Abwehr von Anwendungsschicht DDo S in Firewall Manager funktioniert nur mit Websites ACLs , die mit AWS WAF (v2) erstellt wurden. Wenn Sie die automatische Abwehr in Ihren Firewall Manager Manager-Richtlinien verwenden möchten und Ihre Richtlinien derzeit das AWS WAF Classic Internet verwenden ACLs, müssen Sie sie auf AWS WAF (v2) migrieren. Sie können entweder alle Websites ACLs auf einmal migrieren oder sie für ein Konto nach dem anderen migrieren.

### Alle Websites ACLs auf einmal migrieren
<a name="migrate-shield-all"></a>

Um das gesamte Web ACLs in Ihrer Shield Advanced-Richtlinie auf einmal zu migrieren, können Sie die automatische Korrekturfunktion der Richtlinie verwenden:

1. Öffnen Sie die Firewall Manager-Konsole unter [https://console.aws.amazon.com/wafv2/fms](https://console.aws.amazon.com/wafv2/fms).

1. Wählen Sie Ihre Shield Advanced-Richtlinie.

1. Aktivieren Sie die automatische Problembehebung und wählen Sie die Option, AWS WAF Classic Web ACLs durch AWS WAF (v2) Web ACLs zu ersetzen.

Firewall Manager erstellt nach ACLs Bedarf ein neues AWS WAF (v2) Web und verwaltet die Migration von Ressourcenzuordnungen von Classic zu v2 Web ACLs.

### Web wird ACLs jeweils ein Konto nach dem anderen migriert
<a name="migrate-shield-account"></a>

Gehen Sie wie folgt vor, um ACLs ein Webkonto nach dem anderen zu migrieren:

1. Erstellen Sie eine neue Shield Advanced-Richtlinie mit den folgenden Einstellungen:
   + *Stellen Sie die automatische Schadensbegrenzung auf Anwendungsebene DDo S auf Deaktiviert*
   + Automatische Problembehebung aktivieren

1. Gehen Sie für jedes Konto, das Sie migrieren möchten, wie folgt vor:

   1. Entfernen Sie das Konto aus der alten Shield Advanced-Richtlinie

   1. Warten Sie ungefähr 2-3 Minuten

   1. Fügen Sie das Konto dem Geltungsbereich der neuen Shield Advanced-Richtlinie hinzu

   1. (Optional) Verwenden Sie die Ressourcen-Tag-Filterung, um den Geltungsbereich der Richtlinie auf bestimmte Ressourcen einzuschränken

1. Überprüfen Sie die Migration:

   1. Bestätigen Sie, dass die neue Shield Advanced-Richtlinie AWS WAF (v2) Web erstellt hat ACLs

   1. Stellen Sie sicher, dass Firewall Manager das neue Web ACLs mit den entsprechenden Ressourcen verknüpft hat