Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Tutorial: Erstellen einer AWS Firewall Manager-Richtlinie mit hierarchischen Regeln
Warnung
AWS WAF Der klassische Support endet am 30. September 2025.
Anmerkung
Dies ist die AWS WAF Classic-Dokumentation. Sie sollten diese Version nur verwenden, wenn Sie AWS WAF Ressourcen wie Regeln und Websites ACLs AWS WAF vor November 2019 erstellt und diese noch nicht auf die neueste Version migriert haben. Informationen zur Migration Ihrer Website finden Sie ACLs unterMigrieren Sie Ihre AWS WAF Classic-Ressourcen zu AWS WAF.
Die neueste Version von finden AWS WAF Sie unterAWS WAF.
Mit AWS Firewall Manager können Sie AWS WAF klassische Schutzrichtlinien erstellen und anwenden, die hierarchische Regeln enthalten. Das heißt, Sie können bestimmte Regeln zentral erstellen und durchsetzen, die Erstellung und Wartung kontospezifischer Regeln aber anderen Personen überlassen. Sie können die zentral angewendeten (gemeinsamen) Regeln auf versehentliches Entfernen oder fehlerhafte Behandlung überwachen und so ihre konsistente Anwendung sicherstellen. Die kontospezifischen Regeln bieten weiteren an die Anforderungen einzelner Teams angepassten Schutz hinzu.
Anmerkung
In der neuesten Version von AWS WAF ist diese Funktion integriert und erfordert keine besondere Behandlung. Wenn Sie AWS WAF Classic noch nicht verwenden, verwenden Sie stattdessen die neueste Version. Siehe Eine AWS Firewall Manager Richtlinie erstellen für AWS WAF.
Das folgende Tutorial beschreibt die Erstellung eines hierarchischen Satzes von Schutzregeln.
Themen
- Schritt 1: Bestimmen Sie ein Firewall Manager Manager-Administratorkonto
- Schritt 2: Erstellen Sie eine Regelgruppe mit dem Firewall Manager Manager-Administratorkonto
- Schritt 3: Erstellen Sie eine Firewall Manager Manager-Richtlinie und fügen Sie die allgemeine Regelgruppe hinzu
- Schritt 4: Hinzufügen kontospezifischer Regeln
- Schlussfolgerung
Schritt 1: Bestimmen Sie ein Firewall Manager Manager-Administratorkonto
Zur Verwendung AWS Firewall Manager müssen Sie ein Konto in Ihrer Organisation als Firewall Manager Manager-Administratorkonto festlegen. Dieses Konto kann entweder das Verwaltungskonto oder ein Mitgliedskonto in der Organisation sein.
Sie können das Firewall Manager Manager-Administratorkonto verwenden, um eine Reihe allgemeiner Regeln zu erstellen, die Sie auf andere Konten in der Organisation anwenden. Andere Konten in der Organisation können diese zentral angewendeten Regeln nicht ändern.
Um ein Konto als Firewall Manager-Administratorkonto festzulegen und weitere Voraussetzungen für die Verwendung von Firewall Manager zu erfüllen, finden Sie die Anweisungen unterAWS Firewall Manager Voraussetzungen. Wenn die Voraussetzungen bereits erfüllt sind, können Sie zu Schritt 2 dieses Tutorials springen.
In diesem Tutorial bezeichnen wir das Administratorkonto als Firewall-Administrator-Account.
Schritt 2: Erstellen Sie eine Regelgruppe mit dem Firewall Manager Manager-Administratorkonto
Erstellen Sie dann mithilfe von Firewall-Administrator-Account eine Regelgruppe. Diese Regelgruppe enthält die gemeinsamen Regeln, die Sie für alle Mitgliedskonten anwenden, die der im nächsten Schritt erstellten Richtlinie unterliegen. Nur das Firewall-Administrator-Account kann Änderungen an diesen Regeln und der Container-Regelgruppe vornehmen.
In diesem Tutorial bezeichnen wir diese Container-Regelgruppe als Common-Rule-Group.
Zur Erstellung einer Regelgruppe vgl. die Anweisungen in Eine AWS WAF klassische Regelgruppe erstellen. Denken Sie daran, sich mit Ihrem Firewall Manager Manager-Administratorkonto (Firewall-Administrator-Account) bei der Konsole anzumelden, wenn Sie diese Anweisungen befolgen.
Schritt 3: Erstellen Sie eine Firewall Manager Manager-Richtlinie und fügen Sie die allgemeine Regelgruppe hinzu
Erstellen Sie mitFirewall-Administrator-Account, eine Firewall Manager Manager-Richtlinie. Wenn Sie diese Richtlinie erstellen, müssen Sie Folgendes tun:
-
Fügen Sie
Common-Rule-Groupzu der neuen Richtlinie hinzu. -
Schließen Sie alle Konten in der Organisation ein, auf die
Common-Rule-Groupangewendet werden soll. -
Fügen Sie alle Ressourcen hinzu, auf die
Common-Rule-Groupangewendet werden soll.
Anleitungen zum Erstellen einer Richtlinie finden Sie unter Eine AWS Firewall Manager Richtlinie erstellen.
Dadurch wird ACL in jedem angegebenen Konto ein Web erstellt und jedem dieser Webs hinzugefügt Common-Rule-GroupACLs. Nachdem Sie die Richtlinie erstellt haben, werden dieses Web ACL und die allgemeinen Regeln für alle angegebenen Konten bereitgestellt.
In diesem Tutorial bezeichnen wir dieses Web ACL alsAdministrator-Created-ACL. Jetzt besteht in jedem angegebenen Mitgliedskonto der Organisation eine eindeutige Administrator-Created-ACL.
Schritt 4: Hinzufügen kontospezifischer Regeln
Jedes Mitgliedskonto der Organisation kann jetzt seine eigenen kontospezifischen Regeln zu der Administrator-Created-ACL in ihrem Konto hinzufügen. Die bereits geltenden allgemeinen Regeln gelten Administrator-Created-ACL weiterhin, ebenso wie die neuen, kontospezifischen Regeln. AWS WAF prüft Webanfragen auf der Grundlage der Reihenfolge, in der die Regeln im Internet erscheinen. ACL Dies gilt für Administrator-Created-ACL und für kontospezifische Regeln.
Informationen zum Hinzufügen von Regeln finden Sie Administrator-Created-ACL unterEin Web bearbeiten ACL in AWS WAF.
Schlussfolgerung
Sie verfügen jetzt über eine WebsiteACL, die allgemeine Regeln enthält, die vom Firewall Manager Manager-Administratorkonto verwaltet werden, sowie kontospezifische Regeln, die von jedem Mitgliedskonto verwaltet werden.
Die Administrator-Created-ACL in jedem Konto verweist auf die einzelne Referenzen Common-Rule-Group. Daher werden future Änderungen durch das Firewall Manager Manager-Administratorkonto Common-Rule-Group sofort für jedes Mitgliedskonto wirksam.
Mitgliedskonten können die gemeinsamen Regeln in Common-Rule-Group nicht ändern oder entfernen.
Kontospezifische Regeln wirken sich nicht auf andere Konten aus.
