Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden
Auf dieser Seite wird erklärt, was der Geltungsbereich der Firewall Manager Manager-Richtlinie ist und wie sie funktioniert.
Der Geltungsbereich der Richtlinie definiert, wo die Richtlinie gilt. Sie können entweder zentral gesteuerte Richtlinien auf alle Ihre Konten und Ressourcen innerhalb Ihrer Organisation oder auf eine Teilmenge Ihrer Konten und Ressourcen anwenden. AWS Organizations Anweisungen zur Festlegung des Geltungsbereichs von Richtlinien finden Sie unterEine AWS Firewall Manager Richtlinie erstellen.
Optionen für den Geltungsbereich der Richtlinie in AWS Firewall Manager
Wenn Sie Ihrer Organisation ein neues Konto oder eine neue Ressource hinzufügen, bewertet Firewall Manager es automatisch anhand Ihrer Einstellungen für jede Richtlinie und wendet die Richtlinie auf der Grundlage dieser Einstellungen an. Sie können beispielsweise festlegen, dass eine Richtlinie auf alle Konten mit Ausnahme der Kontonummern in einer bestimmten Liste angewendet wird. Sie können auch festlegen, dass eine Richtlinie nur auf Ressourcen angewendet wird, die alle Tags in einer Liste enthalten.
AWS-Konten im Geltungsbereich
Die Einstellungen, die Sie angeben, um die von der Richtlinie AWS-Konten betroffenen Personen zu definieren, bestimmen, auf welche der Konten in Ihrer AWS Organisation die Richtlinie angewendet werden soll. Sie können die Richtlinie auf eine der folgenden Arten anwenden:
-
Auf alle Konten in Ihrer Organisation
-
Nur zu einer bestimmten Liste der enthaltenen Kontonummern und AWS Organizations Organisationseinheiten (OUs)
-
Für alle außer einer bestimmten Liste ausgeschlossener Kontonummern und AWS Organizations Organisationseinheiten (OUs)
Informationen zu AWS Organizations finden Sie im AWS Organizations Benutzerhandbuch.
Ressourcen im Geltungsbereich
Ähnlich wie bei den Einstellungen für Konten im Geltungsbereich bestimmen die Einstellungen, die Sie für Ressourcen angeben, auf welche Ressourcentypen im Geltungsbereich die Richtlinie angewendet werden soll. Sie können eine der folgenden Optionen auswählen:
-
Alle Ressourcen
-
Ressourcen, die alle von Ihnen angegebenen Tags enthalten
-
Alle Ressourcen außer denen, die alle von Ihnen angegebenen Tags enthalten
Sie können nur Ressourcen-Tags mit Werten ungleich Null angeben. Wenn Sie für den Wert nichts angeben, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.
Weitere Informationen zum Kennzeichnen Ihrer Ressourcen finden Sie unter Arbeiten mit Tag-Editor.
Verwaltung des Richtlinienumfangs in AWS Firewall Manager
Sobald Richtlinien eingerichtet sind, verwaltet Firewall Manager sie kontinuierlich und wendet sie entsprechend dem Geltungsbereich der Richtlinie auf neue AWS-Konten Ressourcen an, sobald sie hinzugefügt werden.
Verwaltung AWS-Konten und Ressourcen durch Firewall Manager
Wenn ein Konto oder eine Ressource aus irgendeinem Grund den Geltungsbereich verlässt, AWS Firewall Manager werden Schutzmaßnahmen nicht automatisch entfernt oder von Firewall Manager verwaltete Ressourcen gelöscht, es sei denn, Sie aktivieren das Kontrollkästchen Schutz automatisch von Ressourcen entfernen, die den Geltungsbereich der Richtlinie verlassen.
Anmerkung
Die Option Automatisch den Schutz von Ressourcen entfernen, die den Geltungsbereich der Richtlinie verlassen, ist für Richtlinien oder Classic nicht verfügbar. AWS Shield Advanced AWS WAF
Wenn Sie dieses Kontrollkästchen aktivieren, werden AWS Firewall Manager die Ressourcen, die Firewall Manager für Konten verwaltet, automatisch bereinigt, wenn diese Konten den Richtlinienbereich verlassen. Beispielsweise trennt Firewall Manager die Zuordnung eines ACL von Firewall Manager verwalteten Webs zu einer geschützten Kundenressource, wenn die Kundenressource den Geltungsbereich der Richtlinie verlässt.
Um zu bestimmen, welche Ressourcen aus dem Schutz entfernt werden sollen, wenn eine Kundenressource den Richtlinienbereich verlässt, befolgt Firewall Manager die folgenden Richtlinien:
Standardverhalten:
Die zugehörigen AWS Config verwalteten Regeln werden gelöscht. Dieses Verhalten ist unabhängig vom Kontrollkästchen.
Alle zugehörigen AWS WAF Web-Zugriffskontrolllisten (WebACLs), die keine Ressourcen enthalten, werden gelöscht. Dieses Verhalten ist unabhängig vom Kontrollkästchen.
Jede geschützte Ressource, die den Gültigkeitsbereich überschreitet, bleibt zugeordnet und geschützt. Beispielsweise ACL bleibt ein Application Load Balancer oder API From API Gateway, der mit einem Web verknüpft ist, mit dem Web verbundenACL, und der Schutz bleibt bestehen.
Wenn das Kontrollkästchen Schutz von Ressourcen, die den Geltungsbereich der Richtlinie verlassen, automatisch entfernen aktiviert ist:
Die zugehörigen AWS Config verwalteten Regeln werden gelöscht. Dieses Verhalten ist unabhängig vom Kontrollkästchen.
Alle zugehörigen AWS WAF Web-Zugriffskontrolllisten (WebACLs), die keine Ressourcen enthalten, werden gelöscht. Dieses Verhalten ist unabhängig vom Kontrollkästchen.
Jede geschützte Ressource, die den Geltungsbereich verlässt, wird automatisch getrennt und aus dem Firewall Manager Manager-Schutz entfernt, wenn sie den Richtlinienbereich verlässt. Bei einer Sicherheitsgruppenrichtlinie wird beispielsweise ein Elastic Inference Accelerator oder eine EC2 Amazon-Instance automatisch von der replizierten Sicherheitsgruppe getrennt, wenn sie den Richtlinienbereich verlässt. Die replizierte Sicherheitsgruppe und ihre Ressourcen werden automatisch aus dem Schutz entfernt.
