**Presentamos una nueva experiencia de consola para AWS WAF**

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte [Trabajar con la consola](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Creación de una AWS Firewall Manager política
<a name="create-policy"></a>

Los pasos para crear una política varían entre los diferentes tipos de políticas. Asegúrese de utilizar el procedimiento adecuado para el tipo de política que necesita.

**importante**  
AWS Firewall Manager no es compatible con Amazon Route 53 o AWS Global Accelerator. Si desea proteger estos recursos con Shield Avanzado, no puede utilizar una política de Firewall Manager. En su lugar, siga las instrucciones en [Añadir AWS Shield Advanced protección a AWS los recursos](configure-new-protection.md). 

**Topics**
+ [Crear una AWS Firewall Manager política para AWS WAF](#creating-firewall-manager-policy-for-waf)
+ [Crear una AWS Firewall Manager política para la AWS WAF versión clásica](#creating-firewall-manager-policy-for-classic-waf)
+ [Crear una AWS Firewall Manager política para AWS Shield Advanced](#creating-firewall-manager-policy-for-shield-advanced)
+ [Crear una política de grupo de seguridad AWS Firewall Manager común](#creating-firewall-manager-policy-common-security-group)
+ [Crear una política de grupo de seguridad de auditoría de AWS Firewall Manager contenido](#creating-firewall-manager-policy-audit-security-group)
+ [Crear una política de grupo de seguridad de auditoría de AWS Firewall Manager uso](#creating-firewall-manager-policy-usage-security-group)
+ [Crear una política AWS Firewall Manager de ACL de red](#creating-firewall-manager-policy-network-acl)
+ [Crear una AWS Firewall Manager política para AWS Network Firewall](#creating-firewall-manager-policy-for-network-firewall)
+ [Creación de una AWS Firewall Manager política para Amazon Route 53 Resolver DNS Firewall](#creating-firewall-manager-policy-for-dns-firewall)
+ [Creación de una AWS Firewall Manager política para el NGFW en la nube de Palo Alto Networks](#creating-cloud-ngfw-policy)
+ [Creación de una AWS Firewall Manager política para Fortigate Cloud Native Firewall (CNF) como servicio](#creating-fortigate-cnf-policy)

## Crear una AWS Firewall Manager política para AWS WAF
<a name="creating-firewall-manager-policy-for-waf"></a>

En una AWS WAF política de Firewall Manager, puedes usar grupos de reglas gestionados, que AWS AWS Marketplace los vendedores crean y mantienen por ti. También puede crear y utilizar sus propios grupos de reglas. Para obtener más información acerca de los grupos de reglas, consulte [AWS WAF grupos de reglas](waf-rule-groups.md).

Si desea utilizar sus propios grupos de reglas, créelos antes de crear su política de Firewall Manager de AWS WAF . Para obtener instrucciones, consulte [Administrar sus propios grupos de reglas](waf-user-created-rule-groups.md). Para utilizar una regla personalizada individual, debe definir su propio grupo de reglas, definir la regla dentro de él y, a continuación, utilizar el grupo de reglas en la política.

Para obtener información sobre AWS WAF las políticas de Firewall Manager, consulte[Uso de AWS WAF políticas con Firewall Manager](waf-policies.md).

**Para crear una política de Firewall Manager para AWS WAF (consola)**

1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**  
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).

1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).

1. Elija **Crear política**.

1. Para **Policy type** (Tipo de política), seleccione **AWS WAF**. 

1. En **Región**, elija una Región de AWS. Para proteger CloudFront las distribuciones de Amazon, elige **Global**.

   Para proteger los recursos en varias regiones (distintas de CloudFront las distribuciones), debe crear políticas de Firewall Manager independientes para cada región.

1. Elija **Siguiente**.

1. En **Nombre de política**, introduzca un nombre descriptivo. Firewall Manager incluye el nombre de la política en los nombres de la web ACLs que administra. Los nombres de las ACL web `FMManagedWebACLV2-` van seguidos del nombre de la política que se introduce aquí, `-`, y de la marca temporal de creación de las ACL web, en milisegundos UTC. Por ejemplo, `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`.

1. Para **inspeccionar el cuerpo de las solicitudes web**, si lo desea, puede cambiar el límite de tamaño corporal. Para obtener información sobre los límites de tamaño para la inspección corporal, incluidas las consideraciones de precio, consulte [Consideraciones para gestionar la inspección corporal en AWS WAF](web-acl-setting-body-inspection-limit.md) en la *Guía para desarrolladores de AWS WAF *.

1. En **Reglas de política**, agregue los grupos de reglas que desee AWS WAF evaluar primero y último en la ACL web. Para usar el control de versiones de grupos de reglas AWS WAF administrado, active la opción **Habilitar** el control de versiones. Los administradores de cuentas individuales pueden agregar reglas y grupos de reglas entre los primeros grupos de reglas y los últimos grupos de reglas. Para obtener más información sobre el uso de grupos de AWS WAF reglas en las políticas del Firewall Manager AWS WAF, consulte[Uso de AWS WAF políticas con Firewall Manager](waf-policies.md).

   (Opcional) Para personalizar la forma en que su ACL web utiliza el grupo de reglas, seleccione **Editar**. A continuación se muestra la configuración de personalización común: 
   + En el caso de los grupos de reglas administradas, anule las acciones de las reglas para algunas o todas las reglas. Si no define una acción de anulación para una regla, la evaluación utiliza la acción de la regla que está definida dentro del grupo de reglas. Para obtener información acerca de esta opción, consulte [Supervisar las acciones de un grupo de reglas en AWS WAF](web-acl-rule-group-override-options.md) en la *Guía para desarrolladores de AWS WAF *. 
   + Algunos grupos de reglas administradas requieren que se proporcione una configuración adicional. Consulte la documentación de su proveedor de grupos de reglas administradas. Para obtener información específica sobre los grupos de reglas de reglas AWS administradas, consulte [AWS Reglas administradas para AWS WAF](aws-managed-rule-groups.md) la *Guía para AWS WAF desarrolladores*. 

   Cuando haya terminado con la configuración, seleccione **Guardar regla**.

1. Establezca la acción predeterminada para la ACL web. Esta es la acción que realiza el AWS WAF cuando una solicitud web no coincide con ninguna de las reglas de la ACL web. Puede añadir encabezados personalizados con la acción **Permitir** o respuestas personalizadas para la acción **Bloquear**. Para obtener más información acerca de las acciones ACL web predeterminadas, consulte [Configuración de la acción predeterminada del paquete de protección (ACL web) en AWS WAF](web-acl-default-action.md). Para obtener información sobre cómo configurar las solicitudes y respuestas web personalizadas, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).

1. Para la **configuración del registro**, seleccione **Habilitar el registro** para activar el registro. El registro ofrece obtener información detallada sobre el tráfico que analiza su ACL web. Seleccione el **destino del registro** y, a continuación, seleccione el destino del registro que haya configurado. Debe elegir un destino de registro cuyo nombre comience con `aws-waf-logs-`. Para obtener información sobre la configuración de un destino de AWS WAF registro, consulte[Uso de AWS WAF políticas con Firewall Manager](waf-policies.md).

1. (Opcional) Si no desea determinados campos y sus valores incluidos en los registros, redacte esos campos. Elija el campo que se va a redactar y, a continuación, elija **Add (Añadir)**. Repita según sea necesario para redactar campos adicionales. Los campos redactados aparecen como `REDACTED` en los registros. Por ejemplo, si redacta el campo **URI**, el campo **URI** de los registros será `REDACTED`. 

1. (Opcional) Si no desea enviar todas las solicitudes a los registros, agregue sus criterios de filtrado y su comportamiento. En **Filtrar registros**, para cada filtro que desee aplicar, elija **Agregar filtro** y, a continuación, elija sus criterios de filtrado y especifique si desea conservar o eliminar las solicitudes que coincidan con los criterios. Cuando termine de agregar los filtros, si es necesario, modifique el **comportamiento de registro predeterminado**. Para obtener más información, consulte [Cómo encontrar los registros de su paquete de protección (ACL web)](logging-management.md) en la *Guía para desarrolladores de AWS WAF *.

1. Puede definir una **lista de dominios de token** para permitir el intercambio de tokens entre aplicaciones protegidas. Los tokens los utilizan las Challenge acciones CAPTCHA y la integración de aplicaciones SDKs que se implementan cuando se utilizan los grupos de reglas de reglas AWS gestionadas para el control del AWS WAF fraude, la prevención de apropiación de cuentas (ATP) y el control de AWS WAF bots. 

   No se admiten sufijos públicos. Por ejemplo, no puede usar `gov.au` o `co.uk` como dominio de token.

   De forma predeterminada, solo AWS WAF acepta los tokens del dominio del recurso protegido. Si agrega dominios simbólicos a esta lista, AWS WAF acepta los tokens para todos los dominios de la lista y para el dominio del recurso asociado. Para obtener más información, consulte [AWS WAF configuración de la lista de dominios simbólicos del paquete de protección (ACL web)](waf-tokens-domains.md#waf-tokens-domain-lists) en la *Guía para desarrolladores de AWS WAF *.

   Solo puede cambiar el CAPTCHA de la ACL web y desafiar los **tiempos de inmunidad** al editar una ACL web existente. Puede encontrar esta configuración en la página de **Detalles de las políticas** del Firewall Manager. Para obtener más información sobre esta configuración, consulte [Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF](waf-tokens-immunity-times.md). Si actualiza la **configuración de la asociación**, el **CAPTCHA**, el **desafío** o la **lista de dominios de token** en una política existente, Firewall Manager sobrescribirá la web local ACLs con los nuevos valores. Sin embargo, si no actualiza la **configuración de asociación**, el **CAPTCHA**, el **desafío** o la **lista de dominios de token** de la política, los valores de su web local permanecerán sin cambios. ACLs Para obtener información acerca de esta opción, consulte [CAPTCHAy Challenge en AWS WAF](waf-captcha-and-challenge.md) en la *Guía para desarrolladores de AWS WAF *. 

1. En **Administración de la ACL web**, elija cómo Firewall Manager administra la creación y limpieza de la ACL web. 

   1. En **Administrar la web no asociada ACLs**, elija si el Firewall Manager administra la web no asociada. ACLs Con esta opción, Firewall Manager crea la web ACLs para las cuentas incluidas en el ámbito de la política solo si la ACLs va a utilizar al menos un recurso. Cuando una cuenta entra en el alcance de la política, Firewall Manager crea automáticamente una ACL web en la cuenta si al menos un recurso utilizará la ACL web. 

      Al activar esta opción, el Firewall Manager realiza una limpieza única de la web no asociada de su ACLs cuenta. El proceso de limpieza puede tardar varias horas. Si un recurso sale del alcance de la política después de que el Firewall Manager haya creado una ACL web, Firewall Manager disociará el recurso de la ACL web, pero no realizará la limpieza de la ACL web no asociada. Firewall Manager solo limpia la web no asociada ACLs cuando habilita por primera vez la administración de la web no asociada ACLs en la política.

   1. Para la **fuente de ACL web**, especifique si desea crear una web ACLs completamente nueva para los recursos incluidos en el ámbito de aplicación o si desea modernizar la web existente siempre que sea posible. ACLs Firewall Manager puede modernizar sitios web ACLs que sean propiedad de cuentas integradas.

      El comportamiento predeterminado es crear una web completamente nueva. ACLs Si elige esta opción, todas las páginas web ACLs administradas por Firewall Manager tendrán nombres que comiencen por`FMManagedWebACLV2`. Si decide modernizar la web existente ACLs, la web actualizada ACLs tendrá sus nombres originales y las creadas por Firewall Manager tendrán nombres que comiencen por. `FMManagedWebACLV2` 

1. Para la **acción política**, si desea crear una ACL web en cada cuenta aplicable de la organización, pero no aplicar la ACL web a ningún recurso todavía, elija **Identificar los recursos que no cumplan con las reglas de la política, pero que no se corrijan automáticamente y no elija Administrar** **una web no asociada**. ACLs Puede cambiar estas opciones más adelante.

   Si, en su lugar, desea aplicar automáticamente la política a los recursos existentes dentro del ámbito, elija **Auto remediate any noncompliant resources (Solucionar automáticamente los recursos no conformes)**. Si la opción **Administrar la web no asociada ACLs** **está deshabilitada, la opción Corregir automáticamente cualquier recurso no compatible** crea una ACL web en cada cuenta aplicable de la organización y asocia la ACL web a los recursos de las cuentas. Si la opción **Administrar la web no asociada ACLs** está habilitada, la opción **Corregir automáticamente cualquier recurso que no cumpla con las normas** solo crea y asocia una ACL web en las cuentas que tienen recursos aptos para asociarse a la ACL web.

   Si elige **Corregir automáticamente cualquier recurso no conforme**, también puede optar por eliminar las asociaciones de ACL web existentes de los recursos incluidos en el ámbito, para la web, ACLs que no estén gestionados por otra política activa de Firewall Manager. Si elige este opción, Firewall Manager asociará primero la ACL web de la política con los recursos y después quitará las asociaciones anteriores. Si un recurso tiene una asociación con otra ACL web administrada por una política de Firewall Manager activa diferente, esta opción no afectará a esa asociación. 

1. Elija **Siguiente**.

1. En **Cuentas de AWS a las que se aplica esta política**, elija la opción de la siguiente manera: 
   + Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada, **Incluir todas las cuentas de mi organización. AWS ** 
   + Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona **Incluir solo las cuentas y unidades organizativas especificadas** y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente. 
   + Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija **Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás** y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente. 

   Solo puede elegir una de las opciones. 

   Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundarios OUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

1. En **Resource type (Tipo de recurso)**, elija los tipos de recurso que desea proteger.

1. En **Recursos**, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).

   Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor. 

1. Elija **Siguiente**.

1. En **Etiquetas de políticas**, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte [Trabajar con Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Elija **Siguiente**.

1. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio. 

   Cuando esté satisfecho con la política, elija **Crear política**. En el panel de **políticas de AWS Firewall Manager **, su política debe aparecer en la lista. Probablemente, indicará **Pendiente** bajo los encabezados de las cuentas e indicará el estado de la configuración **Corrección automática**. La creación de una política puede tardar varios minutos. Después de reemplazar el estado **Pending (Pendiente)** por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte [Visualización de la información de cumplimiento de una AWS Firewall Manager política](fms-compliance.md)

## Crear una AWS Firewall Manager política para la AWS WAF versión clásica
<a name="creating-firewall-manager-policy-for-classic-waf"></a>

**Para crear una política de Firewall Manager para AWS WAF Classic (consola)**

1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**  
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).

1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).

1. Elija **Crear política**.

1. En **Policy type (Tipo de política)**, seleccione **AWS WAF Classic**. 

1. Si ya creó el grupo de reglas AWS WAF clásico que desea agregar a la política, elija **Crear una AWS Firewall Manager política y agregar los grupos de reglas existentes**. Si desea crear un nuevo grupo de reglas, elija **Crear una política de Firewall Manager y agregar un nuevo grupo de reglas**.

1. En **Región**, elija una Región de AWS. Para proteger CloudFront los recursos de Amazon, elige **Global**.

   Para proteger los recursos de varias regiones (distintas de CloudFront los recursos), debe crear políticas de Firewall Manager independientes para cada región.

1. Elija **Siguiente**.

1. Si está creando un grupo de reglas, siga las instrucciones de [Creación de un grupo de reglas AWS WAF clásico](classic-create-rule-group.md). Después de crear el grupo de reglas, continúe con los pasos siguientes.

1. Escriba un nombre para la política.

1. Si agrega a un grupo de reglas existente, utilice el menú desplegable para seleccionar un grupo de reglas al que agregar y, a continuación, elija **Add rule group (Agregar grupo de reglas)**. 

1. Una política dispone de dos posibles acciones: **Action set by rule group** (Acción establecida por el grupo de reglas) y **Count** (Contar). Si desea probar la política y el grupo de reglas, establezca la acción en **Count** (Contar). Esta acción anula cualquier acción de *bloqueo* especificada por las reglas en el grupo de reglas. Es decir, si la acción de la política está establecida en **Count** (Contar), las solicitudes solo se contabilizan y no se bloquean. Por el contrario, si establece la acción de la política en **Action set by rule group (Acción establecida por el grupo de reglas)**, se utilizan las acciones del grupo de reglas. Elija la acción apropiada.

1. Elija **Siguiente**.

1. En **Cuentas de AWS a las que se aplica esta política**, elija la opción de la siguiente manera: 
   + Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada, **Incluir todas las cuentas de mi AWS organización**. 
   + Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona **Incluir solo las cuentas y unidades organizativas especificadas** y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente. 
   + Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija **Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás** y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente. 

   Solo puede elegir una de las opciones. 

   Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundarios OUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

1. Elija el tipo de recurso que desea proteger.

1. En **Recursos**, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).

   Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor. 

1. Si desea aplicar automáticamente la política a los recursos existentes, elija **Create and apply this policy to existing and new resources** (Crear y aplicar esta política a los recursos nuevos y existentes).

   Esta opción crea una ACL web en cada cuenta aplicable de una organización de AWS y asocia la ACL web a los recursos en las cuentas. Esta opción también aplica la política a todos los nuevos recursos que coinciden con los criterios precedentes (tipo de recurso y etiquetas). Por otro lado, si elige **Create policy but do not apply the policy to existing or new resources (Crear política pero no aplicarla a los recursos nuevos o existentes)**, Firewall Manager crea una ACL web en todas las cuentas de la organización que cumplen los requisitos necesarios, pero no la aplica a ningún recurso. Deberá aplicar la política a los recursos posteriormente. Elija la opción apropiada.

1. En el caso de **Reemplazar la web asociada existente ACLs**, puede optar por eliminar cualquier asociación de ACL web que esté definida actualmente para los recursos incluidos en el ámbito de aplicación y, a continuación, sustituirla por asociaciones a la web ACLs que vaya a crear con esta política. De forma predeterminada, Firewall Manager no elimina las asociaciones de ACL web existentes antes de agregar las nuevas. Si desea eliminar las existentes, seleccione esta opción. 

1. Elija **Siguiente**.

1. Revise la nueva política. Para realizar cualquier cambio, elija **Edit** (Editar). Cuando esté satisfecho con la política, elija **Create and apply policy** (Crear y aplicar política).

## Crear una AWS Firewall Manager política para AWS Shield Advanced
<a name="creating-firewall-manager-policy-for-shield-advanced"></a>

**Creación de una política de Firewall Manager para Shield Avanzado (consola)**

1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**  
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).

1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).

1. Elija **Crear política**.

1. Para **Tipo de política**, seleccione **Shield Avanzado**. 

   Para crear una política de Shield Avanzado, debe estar suscrito a Shield Avanzado. Se le pedirá que se suscriba si no lo ha hecho ya. Para obtener información sobre el coste de la suscripción, consulte [Precios de AWS Shield Advanced](https://aws.amazon.com/shield/pricing/). 

1. En **Región**, elija una Región de AWS. Para proteger CloudFront las distribuciones de Amazon, elige **Global**.

   En las opciones de región que no sean **Global**, para proteger recursos en varias regiones, debe crear una política de Firewall Manager independiente para cada región.

1. Elija **Siguiente**.

1. En **Nombre**, introduzca un nombre descriptivo.

1. Solo para las políticas de la región **global**, puede elegir si desea administrar la mitigación automática de la capa DDo S de aplicaciones de Shield Advanced. Para obtener información acerca de esta característica de Shield Avanzado, consulte [Automatizar la mitigación de la capa DDo S de aplicación con Shield Advanced](ddos-automatic-app-layer-response.md).

   Puede elegir habilitar o deshabilitar la mitigación automática, o puede elegir ignorarla. Si decide ignorarla, Firewall Manager no administra en absoluto la mitigación automática de las protecciones Shield Avanzado. Para obtener más información sobre estas opciones de la política, consulte [Uso de la mitigación automática de la capa DDo S de aplicaciones con políticas avanzadas de Firewall Manager Shield](shield-policies-auto-app-layer-mitigation.md).

1. En la **administración de ACL web**, si desea que Firewall Manager administre la web no asociada ACLs, habilite **Administrar la web no asociada**. ACLs Con esta opción, Firewall Manager crea la web ACLs en las cuentas incluidas en el ámbito de la política solo si la ACLs va a utilizar al menos un recurso. Si en algún momento, una cuenta entra en el alcance de la política, Firewall Manager crea automáticamente una ACL web en la cuenta si al menos un recurso utilizará la ACL web. Al activar esta opción, el Firewall Manager realiza una limpieza única de la web ACLs no asociada de su cuenta. El proceso de limpieza puede tardar varias horas. Si un recurso sale del alcance de la política después de que el Firewall Manager haya creado una ACL web, el Firewall Manager no disociará el recurso de la ACL web. **Para incluir la ACL web en la limpieza de una sola vez, primero debe desasociar manualmente los recursos de la ACL web y, a continuación, activar la opción Administrar la web no asociada. ACLs**

1. En **Acción de la política**, se recomienda crear la política con la opción que no corrige automáticamente los recursos no compatibles. Al deshabilitar la solución automática, puede evaluar los efectos de la nueva política antes de aplicarla. Cuando esté seguro de que los cambios son lo que desea, edite la política y cambie la acción de la política para habilitar la corrección automática. 

   Si, en su lugar, desea aplicar automáticamente la política a los recursos existentes dentro del ámbito, elija **Auto remediate any noncompliant resources (Solucionar automáticamente los recursos no conformes)**. Esta opción aplica las protecciones Shield Advanced a cada cuenta aplicable de la AWS organización y a cada recurso aplicable de las cuentas.

   Solo para las políticas de la región **global**, si elige **Corregir automáticamente cualquier recurso que no cumpla con** las normas, también puede optar por que Firewall Manager sustituya automáticamente cualquier asociación de ACL web AWS WAF clásica existente por nuevas asociaciones a la web ACLs que se hayan creado con la última versión de AWS WAF (v2). Si elige esta opción, Firewall Manager elimina las asociaciones con la versión web anterior ACLs y crea nuevas asociaciones con la última versión web ACLs, tras crear una nueva web vacía ACLs en todas las cuentas incluidas en el ámbito que aún no las tengan para la política. Para obtener más información acerca de esta opción, consulta [Sustituya la AWS WAF versión web ACLs clásica por la última versión web ACLs](shield-policies-auto-app-layer-mitigation.md#shield-policies-auto-app-layer-update-waf-version).

1. Elija **Siguiente**.

1. En **Cuentas de AWS a las que se aplica esta política**, elija la opción de la siguiente manera: 
   + Si desea aplicar la política a todas las cuentas de su organización, mantenga la selección predeterminada **Incluir todas las cuentas de mi organización AWS **. 
   + Si desea aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), elija **Incluir solo las cuentas y unidades organizativas especificadas** y, a continuación, agregue las cuentas OUs que desee incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente. 
   + Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija **Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás** y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente. 

   Solo puede elegir una de las opciones. 

   Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundarios OUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

1. Elija el tipo de recurso que desea proteger.

   Firewall Manager no es compatible con Amazon Route 53 o AWS Global Accelerator. Si necesita utilizar Shield Avanzado para proteger recursos de estos servicios, no puede utilizar una política de Firewall Manager. En su lugar, siga las instrucciones de Shield Avanzado en [Añadir AWS Shield Advanced protección a AWS los recursos](configure-new-protection.md).

1. En **Recursos**, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).

   Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor. 

1. Elija **Siguiente**. 

1. En **Etiquetas de políticas**, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte [Trabajar con Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Elija **Siguiente**.

1. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio. 

   Cuando esté satisfecho con la política, elija **Crear política**. En el panel de **políticas de AWS Firewall Manager **, su política debe aparecer en la lista. Probablemente, indicará **Pendiente** bajo los encabezados de las cuentas e indicará el estado de la configuración **Corrección automática**. La creación de una política puede tardar varios minutos. Después de reemplazar el estado **Pending (Pendiente)** por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte [Visualización de la información de cumplimiento de una AWS Firewall Manager política](fms-compliance.md)

## Crear una política de grupo de seguridad AWS Firewall Manager común
<a name="creating-firewall-manager-policy-common-security-group"></a>

Para obtener información sobre el funcionamiento de las políticas de grupos de seguridad comunes, consulte [Utilización de políticas del grupo de seguridad comunes con Firewall Manager](security-group-policies-common.md).

Para crear una política de grupo de seguridad común, debe tener un grupo de seguridad ya creado en la cuenta de administrador de Firewall Manager que desee utilizar como principal para la política. Puede administrar grupos de seguridad a través de Amazon Virtual Private Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon EC2). Para obtener información, consulte [Uso de grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) en la *Guía del usuario de Amazon VPC*. 

**Para crear una política de grupo de seguridad común (consola)**

1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**  
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).

1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).

1. Elija **Crear política**.

1. En **Policy type (Tipo de política)**, elija **Security group (Grupo de seguridad)**. 

1. En **Security group policy type (Tipo de política de grupo de seguridad)**, elija **Common security groups (Grupos de seguridad comunes)**.

1. En **Región**, elija una Región de AWS. 

1. Elija **Siguiente**.

1. En **Policy name (Nombre de la política)**, escriba un nombre fácil de recordar. 

1. En **Policy rules (Reglas de la política)**, haga lo siguiente: 

   1. En las opciones de reglas, elija las restricciones que desea aplicar a las reglas de grupo de seguridad y a los recursos que están dentro del ámbito de la política. Si elige **Distribuir etiquetas del grupo de seguridad principal a los grupos de seguridad creados por esta política**, también debe seleccionar **Identificar e informar cuando los grupos de seguridad creados por esta política dejen de cumplir las reglas**.
**importante**  
Firewall Manager no distribuirá las etiquetas de sistema agregadas por AWS los servicios en los grupos de seguridad de réplica. Las etiquetas del sistema comienzan por el prefijo `aws:`. Además, Firewall Manager no actualizará las etiquetas de los grupos de seguridad existentes ni creará nuevos grupos de seguridad si la política tiene etiquetas que entren en conflicto con la política de etiquetas de la organización. Para obtener información sobre las políticas de etiquetas, consulte [las políticas de etiquetas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) en la Guía del AWS Organizations usuario.

      Si elige **Distribuir las referencias a los grupos de seguridad del grupo de seguridad principal a los grupos de seguridad creados por esta política**, Firewall Manager solo distribuirá las referencias a los grupos de seguridad si tienen una conexión de pares activa en Amazon VPC. Para obtener más información acerca de esta opción, consulte [Utilización de políticas del grupo de seguridad comunes con Firewall Manager](security-group-policies-common.md).

   1. Para **los grupos de seguridad principales**, seleccione **Agregar grupos de seguridad** y, a continuación, elija los grupos de seguridad que desea usar. Firewall Manager rellena la lista de grupos de seguridad de todas las instancias de Amazon VPC de la cuenta de administrador de Firewall Manager. 

      El número máximo predeterminado de grupos de seguridad principales por política es 3. Para obtener información sobre esta configuración, consulte [AWS Firewall Manager cuotas](fms-limits.md).

   1. En **Policy action (Acción de la política)**, se recomienda crear la política sin la opción de corrección automática. Esto le permite evaluar los efectos de la nueva política antes de aplicarla. Cuando esté convencido de que los cambios son lo que desea, edite la política y cambie la acción de la política para habilitar la corrección automática de los recursos no conformes. 

1. Elija **Siguiente**.

1. En **Cuentas de AWS a las que se aplica esta política**, elija la opción de la siguiente manera: 
   + Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada, **Incluir todas las cuentas de mi AWS organización**. 
   + Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona **Incluir solo las cuentas y unidades organizativas especificadas** y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente. 
   + Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija **Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás** y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente. 

   Solo puede elegir una de las opciones. 

   Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundarios OUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

1. En **Resource type (Tipo de recurso)**, elija los tipos de recurso que desea proteger. 

   Para el tipo de recurso **instancia de EC2**, puede optar por corregir todas las instancias de Amazon EC2 o solo las instancias que solo tengan la interfaz de red elástica (ENI) principal predeterminada. Para esta última opción, Firewall Manager no corrige las instancias que tienen adjuntos ENI adicionales. En cambio, cuando la corrección automática está habilitada, Firewall Manager solo marca el estado de conformidad de estas instancias de EC2 y no aplica ninguna acción de corrección. Consulte las advertencias y limitaciones adicionales para el tipo de recurso de Amazon EC2 en [Limitaciones y advertencias de las políticas de grupos de seguridad](security-group-policies.md#security-groups-limitations).

1. En **Recursos**, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).

   Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor. 

1. En el caso de **los recursos de VPC compartidos**, si quieres aplicar la política a los recursos compartidos VPCs, además de los VPCs que poseen las cuentas, selecciona **Incluir recursos de los** compartidos. VPCs 

1. Elija **Siguiente**.

1. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija **Create policy (Crear política)**.

Firewall Manager crea una réplica del grupo de seguridad principal en cada instancia de Amazon VPC contenida dentro de las cuentas pertinentes, hasta el límite máximo admitido de Amazon VPC por cuenta. Firewall Manager asocia los grupos de seguridad réplica a los recursos que están dentro del alcance de la política para cada cuenta pertinente. Para obtener más información sobre cómo funciona esta política, consulte [Utilización de políticas del grupo de seguridad comunes con Firewall Manager](security-group-policies-common.md).

## Crear una política de grupo de seguridad de auditoría de AWS Firewall Manager contenido
<a name="creating-firewall-manager-policy-audit-security-group"></a>

Para obtener información sobre el funcionamiento de las políticas de grupos de seguridad de auditoría de contenido, consulte [Utilización de las políticas del grupo de seguridad de auditoría del contenido con Firewall Manager](security-group-policies-audit.md). 

Para algunas configuraciones de políticas de auditoría de contenido, debe proporcionar un grupo de seguridad de auditoría para que Firewall Manager lo utilice como plantilla. Por ejemplo, puede tener un grupo de seguridad de auditoría que contenga todas las reglas que no permite en ningún grupo de seguridad. Debe crear estos grupos de seguridad de auditoría con su cuenta de administrador de Firewall Manager para poder usarlos en su política. Puede administrar grupos de seguridad a través de Amazon Virtual Private Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon EC2). Para obtener información, consulte [Uso de grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) en la *Guía del usuario de Amazon VPC*. 

**Para crear una política de grupo de seguridad de auditoría de contenido (consola)**

1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**  
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).

1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).

1. Elija **Crear política**.

1. En **Policy type (Tipo de política)**, elija **Security group (Grupo de seguridad)**. 

1. En **Security group policy type (Tipo de política de grupo de seguridad)**, elija **Auditing and enforcement of security group rules (Auditoría y aplicación de reglas de grupo de seguridad)**.

1. En **Región**, elija una Región de AWS. 

1. Elija **Siguiente**.

1. En **Policy name (Nombre de la política)**, escriba un nombre fácil de recordar. 

1. En **Reglas de política**, elija la opción de reglas de política administradas o personalizadas que desee usar. 

   1. En **Configurar las reglas de políticas de auditoría administradas**, haga lo siguiente: 

      1. En **Configurar las reglas de los grupos de seguridad para auditar**, seleccione el tipo de reglas del grupo de seguridad al que desea que se aplique la política de auditoría. 

      1. Si desea realizar tareas como auditar las reglas en función de los protocolos, los puertos y la configuración del rango de CIDR de sus grupos de seguridad, seleccione **Auditar las reglas de los grupos de seguridad excesivamente permisivas** y seleccione las opciones que desee. 

         Para hacer la selección de **Regla que permite todo el tráfico**, puede proporcionar una lista de aplicaciones personalizada para designar las aplicaciones que desea auditar. Para obtener información sobre las listas de aplicaciones personalizadas y cómo utilizarlas en su política, consulte [Uso de listas administradas](working-with-managed-lists.md) y [Uso de listas administradas](working-with-managed-lists.md#using-managed-lists).

         Para las selecciones que utilizan listas de protocolos, puede utilizar las listas existentes y crear listas nuevas. Para obtener información sobre las listas de protocolos y cómo utilizarlas en su política, consulte [Uso de listas administradas](working-with-managed-lists.md) y [Uso de listas administradas](working-with-managed-lists.md#using-managed-lists).

      1. Si desea auditar aplicaciones de alto riesgo en función de su acceso a rangos de CIDR reservados o no reservados, seleccione **Auditar aplicaciones de alto riesgo** y seleccione las opciones que desee. 

         Las siguientes selecciones se excluyen mutuamente: **Aplicaciones que solo pueden acceder a rangos de CIDR reservados** y **Aplicaciones que pueden acceder a rangos de CIDR no reservados**. Puede seleccionar como máximo una de ellas en cualquier política.

         Para las selecciones que utilizan listas de aplicaciones, puede utilizar las listas existentes y crear listas nuevas. Para obtener información sobre las listas de aplicaciones y cómo utilizarlas en su política, consulte [Uso de listas administradas](working-with-managed-lists.md) y [Uso de listas administradas](working-with-managed-lists.md#using-managed-lists).

      1. Utilice la configuración de **Anulaciones** para anular de forma explícita otras configuraciones de la política. Puede optar por permitir siempre o denegar siempre reglas de grupos de seguridad específicos, independientemente de si cumplen con las demás opciones que haya establecido para la política. 

         Para esta opción, proporcione un grupo de seguridad de auditoría como plantilla de reglas permitidas o reglas rechazadas. Para los **grupos de seguridad de auditoría**, seleccione **Agregar grupo de seguridad de auditoría** y, a continuación, elija el grupo de seguridad que desea usar. Firewall Manager rellena la lista de grupos de seguridad de auditoría de todas las instancias de Amazon VPC de la cuenta de administrador de Firewall Manager. La cuota máxima predeterminada en el número de grupos de seguridad de auditoría para una política es uno. Para obtener información sobre cómo aumentar la cuota, consulte [AWS Firewall Manager cuotas](fms-limits.md).

   1. En **Configurar reglas de política personalizadas**, haga lo siguiente: 

      1. En las opciones de reglas, elija si desea permitir solo las reglas definidas en los grupos de seguridad de auditoría o denegar todas las reglas. Para obtener información sobre esta opción, consulte [Utilización de las políticas del grupo de seguridad de auditoría del contenido con Firewall Manager](security-group-policies-audit.md). 

      1. Para los **grupos de seguridad de auditoría**, seleccione **Agregar grupo de seguridad de auditoría** y, a continuación, elija el grupo de seguridad que desea usar. Firewall Manager rellena la lista de grupos de seguridad de auditoría de todas las instancias de Amazon VPC de la cuenta de administrador de Firewall Manager. La cuota máxima predeterminada en el número de grupos de seguridad de auditoría para una política es uno. Para obtener información sobre cómo aumentar la cuota, consulte [AWS Firewall Manager cuotas](fms-limits.md).

      1. En **Policy action (Acción de la política)**, debe crear la política sin la opción de corrección automática. Esto le permite evaluar los efectos de la nueva política antes de aplicarla. Cuando esté convencido de que los cambios son lo que desea, edite la política y cambie la acción de la política para habilitar la corrección automática de los recursos no conformes. 

1. Elija **Siguiente**.

1. En **Cuentas de AWS a las que se aplica esta política**, elija la opción de la siguiente manera: 
   + Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada, **Incluir todas las cuentas de mi AWS organización**. 
   + Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona **Incluir solo las cuentas y unidades organizativas especificadas** y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente. 
   + Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija **Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás** y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente. 

   Solo puede elegir una de las opciones. 

   Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundarios OUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

1. En **Resource type (Tipo de recurso)**, elija los tipos de recurso que desea proteger.

1. En **Recursos**, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).

   Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor. 

1. Elija **Siguiente**.

1. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija **Create policy (Crear política)**.

Firewall Manager compara el grupo de seguridad de auditoría con los grupos de seguridad dentro del ámbito de la organización de AWS , según la configuración de las reglas de su política. Puede revisar el estado de la política en la consola AWS Firewall Manager de políticas. Una vez creada la política, puede editarla y habilitar la corrección automática para aplicar su política de grupo de seguridad de auditoría. Para obtener más información sobre cómo funciona esta política, consulte [Utilización de las políticas del grupo de seguridad de auditoría del contenido con Firewall Manager](security-group-policies-audit.md).

## Crear una política de grupo de seguridad de auditoría de AWS Firewall Manager uso
<a name="creating-firewall-manager-policy-usage-security-group"></a>

Para obtener información sobre el funcionamiento de las políticas de grupos de seguridad de auditoría de uso, consulte [Uso de políticas del grupo de seguridad de auditoría de uso con Firewall Manager](security-group-policies-usage.md).

**Para crear una política de grupo de seguridad de auditoría de uso (consola)**

1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**  
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).

1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).

1. Elija **Crear política**.

1. En **Policy type (Tipo de política)**, elija **Security group (Grupo de seguridad)**. 

1. En **Tipo de política de grupo de seguridad**, elija **Auditoría y eliminación de grupos de seguridad redundantes y no asociados**.

1. En **Región**, elija una Región de AWS. 

1. Elija **Siguiente**.

1. En **Policy name (Nombre de la política)**, escriba un nombre fácil de recordar. 

1. En **Policy rules (Reglas de la política)**, elija una o ambas opciones disponibles. 
   + Si elige **Los grupos de seguridad dentro del alcance de esta política deben ser utilizados por al menos un recurso**, Firewall Manager elimina los grupos de seguridad que determine que no se utilizan. Si habilita esta regla, Firewall Manager la ejecuta en último lugar vez cuando guarde la política.

     Para obtener más información acerca de cómo Firewall Manager determina el uso y el momento de la corrección, consulte [Uso de políticas del grupo de seguridad de auditoría de uso con Firewall Manager](security-group-policies-usage.md).
**nota**  
Cuando utilice este tipo de política de auditoría de uso de los grupos de seguridad, evite hacer varios cambios en el estado de asociación de los grupos de seguridad incluidos en el ámbito de aplicación en poco tiempo. Si lo hace, es posible que Firewall Manager se saltee los eventos correspondientes. 

     De forma predeterminada, Firewall Manager considera a los grupos de seguridad no conformes con esta regla de políticas si no se utilizan durante un tiempo. Opcionalmente, puede especificar una cantidad de minutos en los que un grupo de seguridad puede existir sin utilizarse antes de que se considere no conforme, hasta 525 600 minutos (365 días). Puede utilizar esta configuración para disponer de tiempo para asociar nuevos grupos de seguridad a los recursos. 
**importante**  
Si especifica una cantidad de minutos distinta del valor predeterminado de cero, debe habilitar las relaciones indirectas en AWS Config. De lo contrario, las políticas de los grupos de seguridad de auditoría de uso no funcionarán según lo previsto. Para obtener información sobre las relaciones indirectas en AWS Config, consulte [Relaciones indirectas AWS Config en](https://docs.aws.amazon.com/config/latest/developerguide/faq.html#faq-2) la *Guía para AWS Config desarrolladores*.
   + Si elige **Los grupos de seguridad dentro del alcance de esta política deben ser únicos**, Firewall Manager consolida los grupos de seguridad redundantes, de modo que solo uno está asociado a los recursos. Si elige esta opción, Firewall Manager lo ejecuta en primer lugar cuando guarde la política. 

1. En **Policy action (Acción de la política)**, se recomienda crear la política sin la opción de corrección automática. Esto le permite evaluar los efectos de la nueva política antes de aplicarla. Cuando esté convencido de que los cambios son lo que desea, edite la política y cambie la acción de la política para habilitar la corrección automática de los recursos no conformes. 

1. Elija **Siguiente**.

1. En **Cuentas de AWS a las que se aplica esta política**, elija la opción de la siguiente manera: 
   + Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada, **Incluir todas las cuentas de mi AWS organización**. 
   + Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona **Incluir solo las cuentas y unidades organizativas especificadas** y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente. 
   + Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija **Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás** y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente. 

   Solo puede elegir una de las opciones. 

   Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundarios OUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

1. En **Recursos**, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).

   Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor. 

1. Elija **Siguiente**.

1. Si no ha excluido la cuenta de administrador de Firewall Manager del ámbito de la política, Firewall Manager le pedirá que lo haga. Al hacerlo, los grupos de seguridad de la cuenta de administrador de Firewall Manager que utiliza para políticas de grupos de seguridad comunes y de auditoría quedan bajo su control manual. Elija la opción que desee en este diálogo.

1. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija **Create policy (Crear política)**.

Si decide exigir grupos de seguridad únicos, Firewall Manager busca grupos de seguridad redundantes en cada instancia de Amazon VPC pertinente. A continuación, si decide exigir que cada grupo de seguridad sea utilizado por al menos un recurso, Firewall Manager busca grupos de seguridad que no se han utilizado durante los minutos especificados en la regla. Puede revisar el estado de la política en la consola AWS Firewall Manager de políticas. Para obtener más información sobre cómo funciona esta política, consulte [Uso de políticas del grupo de seguridad de auditoría de uso con Firewall Manager](security-group-policies-usage.md).

## Crear una política AWS Firewall Manager de ACL de red
<a name="creating-firewall-manager-policy-network-acl"></a>

Para obtener más información acerca de cómo funcionan las políticas de la ACL de red, consulte [Políticas de la ACL de red](network-acl-policies.md).

Para crear una política de la ACL de red, debe saber cómo definir una ACL de red para usarla con las subredes de Amazon VPC. Para obtener más información, consulte [Controlar el tráfico a las subredes mediante la red ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) y [Trabajar con la red ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) en la Guía del *usuario de Amazon VPC*. 

**Para crear una política de la ACL de red (consola)**

1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**  
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).

1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).

1. Elija **Crear política**.

1. En **Tipo de política**, elija **ACL de red**. 

1. En **Región**, elija una Región de AWS. 

1. Elija **Siguiente**.

1. En **Nombre de política**, introduzca un nombre descriptivo. 

1. En el **caso de las reglas de política**, defina las reglas que desee que se ejecuten siempre en la red ACLs que el Firewall Manager administra por usted. La red ACLs monitorea y gestiona el tráfico entrante y saliente, por lo que en tu política debes definir las reglas para ambas direcciones. 

   En cualquier dirección, se definen las reglas que quiera ejecutar siempre primero y las que se deben ejecutar siempre en último lugar. En la red ACLs que administra Firewall Manager, los propietarios de las cuentas pueden definir reglas personalizadas para que se ejecuten entre la primera y la última regla. 

1. Para la **acción de política**, si desea identificar las subredes y redes que no cumplen con las normas ACLs, pero no tomar ninguna medida correctiva todavía, elija **Identificar los recursos que no cumplen con las reglas de la política, pero que no se corrigen automáticamente**. Puede cambiar estas opciones más adelante.

   Si, en su lugar, desea aplicar automáticamente la política a los recursos existentes dentro del ámbito, elija **Solucionar automáticamente los recursos no conformes**. Con esta opción, también se especifica si se debe forzar la corrección cuando el comportamiento de las reglas de política en materia de administración del tráfico entre en conflicto con las reglas personalizadas que se encuentran en la ACL de la red. Independientemente de si fuerza o no una corrección, Firewall Manager informa sobre las reglas incompatibles en sus infracciones de conformidad. 

1. Elija **Siguiente**.

1. En **Cuentas de AWS a las que se aplica esta política**, elija la opción de la siguiente manera: 
   + Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada **Incluir todas las cuentas de mi organización. AWS ** 
   + Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona **Incluir solo las cuentas y unidades organizativas especificadas** y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente. 
   + Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija **Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás** y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente. 

   Solo puede elegir una de las opciones. 

   Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva o diferente. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundarios OUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

1. Para el **tipo de recurso**, la configuración está fija en **Subredes**. 

1. En **Recursos**, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).

   Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor. 

1. Elija **Siguiente**.

1. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija **Create policy (Crear política)**.

Firewall Manager crea la política y comienza a monitorear y administrar la red de alcance de ACLs acuerdo con su configuración. Para obtener más información sobre cómo funciona esta política, consulte [Políticas de la ACL de red](network-acl-policies.md).

## Crear una AWS Firewall Manager política para AWS Network Firewall
<a name="creating-firewall-manager-policy-for-network-firewall"></a>

En una política de Firewall Manager Network Firewall, se utilizan los grupos de reglas que se administran en AWS Network Firewall. Para obtener información sobre cómo administrar sus grupos de reglas, consulte [Grupos de reglas de AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html) en la *Guía para desarrolladores de Network Firewall*.

Para obtener información acerca de las políticas de Firewall Manager Network Firewall, consulte [Uso de AWS Network Firewall políticas en Firewall Manager](network-firewall-policies.md).

**Para crear una política de Firewall Manager para AWS Network Firewall (consola)**

1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**  
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).

1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).

1. Elija **Crear política**.

1. Para **Policy type** (Tipo de política), seleccione **AWS Network Firewall**.

1. En **Tipo de administración del firewall**, elija cómo desea que Firewall Manager administre los firewalls de la política. Puede elegir entre las siguientes opciones:
   + **Distribuido**: Firewall Manager crea y mantiene puntos de conexión de firewall en cada VPC que se encuentra dentro del alcance de la política.
   +  **Centralizado**: Firewall Manager crea y mantiene los puntos de conexión en una única VPC de inspección.
   + **Importar firewalls existentes**: Firewall Manager importa los firewalls existentes desde Network Firewall mediante conjuntos de recursos. Para obtener información acerca de los conjuntos de recursos, consulte [Agrupación de los recursos en Firewall Manager](fms-resource-sets.md).

1. En **Región**, elija una Región de AWS. Para proteger los recursos en varias regiones, debe crear políticas distintas para cada región.

1. Elija **Siguiente**.

1. En **Nombre de política**, introduzca un nombre descriptivo. Firewall Manager incluye el nombre de la política en los nombres de los firewalls de Network Firewall y las políticas de firewall que crea. 

1. En la **política de configuración de AWS Network Firewall **, configure la política de firewall como lo haría en Network Firewall. Agregue sus grupos de reglas sin estado y con estado y especifique las acciones predeterminadas de la política. Si lo desea, puede establecer el orden de evaluación de las reglas con estado de la política y las acciones predeterminadas, así como la configuración de registro. Para obtener información sobre la administración de políticas de firewall de Network Firewall, consulte [Políticas de firewall AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html) en la *Guía para desarrolladores de AWS Network Firewall *.

   Al crear la política de firewall de red de Firewall Manager Network Firewall, Firewall Manager crea políticas de firewall para las cuentas que están dentro del alcance. Los administradores de cuentas individuales pueden agregar grupos de reglas a las políticas de firewall, pero no pueden cambiar la configuración que proporciona aquí.

1. Elija **Siguiente**.

1. Realice una de las siguientes acciones, en función del **tipo de administración de firewall** que haya seleccionado en el paso anterior:
   + Si utiliza un tipo de administración de firewall **distribuido**, en **Configuración de punto de conexión de AWS Firewall Manager **, en **Ubicación del punto de conexión del firewall**, seleccione una de las siguientes opciones:
     + **Configuración de punto de conexión personalizada**: Firewall Manager crea firewalls para cada VPC dentro del alcance de la política, en las zonas de disponibilidad que especifique. Cada firewall contiene como mínimo un punto de conexión de firewall. 
       + En **Zonas de disponibilidad**, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por **Nombre de la zona de disponibilidad** o por **ID de la zona de disponibilidad**.
       + Si desea proporcionar los bloques CIDR para que Firewall Manager los utilice en sus subredes de firewallVPCs, todos deben ser bloques CIDR de /28. Ingrese un bloque por línea. Si las omite, Firewall Manager elegirá por usted direcciones IP de entre las que están disponibles en. VPCs
**nota**  
La corrección automática se realiza automáticamente para las políticas de AWS Firewall Manager Network Firewall, por lo que aquí no verá ninguna opción para elegir no realizar la corrección automática.
     + **Configuración automática de puntos de conexión**: Firewall Manager crea automáticamente puntos de conexión de firewall en las zonas de disponibilidad con subredes públicas en su VPC.
       + Para la configuración de los **puntos de conexión del firewall**, especifique cómo desea que Firewall Manager administre los puntos de conexión del firewall. Se recomienda utilizar varios puntos de conexión para una alta disponibilidad.
   + Si utiliza un tipo de administración de firewall **centralizada**, en **Configuración de punto de conexión de AWS Firewall Manager **, en **Configuración de VPC de inspección**, introduzca el ID de cuenta de AWS del propietario de la VPC de inspección y el ID de la VPC de inspección.
     + En **Zonas de disponibilidad**, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por **Nombre de la zona de disponibilidad** o por **ID de la zona de disponibilidad**.
     + Si desea proporcionar los bloques CIDR para que Firewall Manager los utilice en sus subredes de firewallVPCs, todos deben ser bloques CIDR de /28. Ingrese un bloque por línea. Si las omite, Firewall Manager elegirá por usted direcciones IP de entre las que están disponibles en. VPCs
**nota**  
La corrección automática se realiza automáticamente para las políticas de AWS Firewall Manager Network Firewall, por lo que aquí no verá ninguna opción para elegir no realizar la corrección automática.
   + Si está utilizando un tipo de administración de firewalls de **importación de firewalls existentes**, en **Conjuntos de recursos**, agregue uno o más conjuntos de recursos. Un conjunto de recursos define los firewalls existentes de Network Firewall que pertenecen a la cuenta de su organización y que desea administrar de forma centralizada en esta política. Para añadir un conjunto de recursos a la política, primero debe crear un conjunto de recursos mediante la consola o la [PutResourceSet](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutResourceSet.html)API. Para obtener información acerca de los conjuntos de recursos, consulte [Agrupación de los recursos en Firewall Manager](fms-resource-sets.md). Para obtener más información sobre la importación de firewalls existentes desde Network Firewall, consulte[Cómo crea Firewall Manager los puntos de conexión del firewall](fms-create-firewall-endpoints.md).

1. Elija **Siguiente**.

1. Si su política utiliza un tipo de administración de firewall distribuido, en **Administración de rutas**, elija si Firewall Manager supervisará y alertará sobre el tráfico que debe enrutarse a través de los puntos de conexión de firewall respectivos.
**nota**  
Si selecciona **Supervisar**, no podrá cambiar la configuración a **Desactivado** más adelante. La supervisión continúa hasta que elimine la política.

1. Para **Tipo de tráfico**, si lo desea, añada los puntos de conexión del tráfico por los que desee enrutar el tráfico para inspeccionar el firewall.

1.  En el caso de **Permitir el tráfico entre zonas de disponibilidad obligatorio**, si habilita esta opción, Firewall Manager considerará compatible el enrutamiento que envía tráfico fuera de una Zona de Disponibilidad para su inspección, en las Zonas de Disponibilidad que no tienen su propio punto de conexión de firewall. Las zonas de disponibilidad que tienen puntos de conexión siempre deben inspeccionar su propio tráfico. 

1. Elija **Siguiente**.

1. Para **Alcance de la política**, en **esta política se aplica a Cuentas de AWS **, elija la opción siguiente: 
   + Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada, **Incluir todas las cuentas de mi AWS organización**. 
   + Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona **Incluir solo las cuentas y unidades organizativas especificadas** y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente. 
   + Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija **Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás** y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente. 

   Solo puede elegir una de las opciones. 

   Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundariosOUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

1. El **Tipo de recurso** para las políticas de Network Firewall es **VPC**. 

1. En **Recursos**, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).

   Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor. 

1. Elija **Siguiente**.

1. En **Etiquetas de políticas**, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte [Trabajar con Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Elija **Siguiente**.

1. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio. 

   Cuando esté satisfecho con la política, elija **Crear política**. En el panel de **políticas de AWS Firewall Manager **, su política debe aparecer en la lista. Probablemente, indicará **Pendiente** bajo los encabezados de las cuentas e indicará el estado de la configuración **Corrección automática**. La creación de una política puede tardar varios minutos. Después de reemplazar el estado **Pending (Pendiente)** por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte [Visualización de la información de cumplimiento de una AWS Firewall Manager política](fms-compliance.md)

## Creación de una AWS Firewall Manager política para Amazon Route 53 Resolver DNS Firewall
<a name="creating-firewall-manager-policy-for-dns-firewall"></a>

En una política de DNS Firewall de Firewall Manager, utilice grupos de reglas que administra en Amazon Route 53 Resolver DNS Firewall. Para obtener información sobre la administración de sus grupos de reglas, consulte [Cómo administrar grupos de reglas y reglas en DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-group-managing.html) en la *Guía para desarrolladores de Amazon Route 53*.

Para obtener información acerca de las políticas de Firewall Manager DNS Firewall, consulte [Uso de las políticas de DNS Firewall de Amazon Route 53 Resolver en Firewall Manager](dns-firewall-policies.md).

**Creación de una política de Firewall Manager para Amazon Route 53 Resolver DNS Firewall (consola)**

1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**  
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).

1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).

1. Elija **Crear política**.

1. En **Tipo de política**, seleccione **Amazon Route 53 Resolver DNS Firewall**. 

1. En **Región**, elija una Región de AWS. Para proteger los recursos en varias regiones, debe crear políticas distintas para cada región. 

1. Elija **Siguiente**.

1. En **Nombre de política**, introduzca un nombre descriptivo. 

1. En la configuración de políticas, añada los grupos de reglas que desee que el Firewall de DNS evalúe primero y en último lugar entre sus VPCs «asociaciones de grupos de reglas». Puede añadir hasta dos grupos de reglas a la política.

   Al crear la política de firewall DNS de Firewall Manager, Firewall Manager crea las asociaciones de grupos de reglas, con las prioridades de asociación que haya proporcionado, para las cuentas VPCs y las que estén dentro del alcance. Los administradores de cuentas individuales pueden añadir asociaciones de grupos de reglas entre la primera y la última asociación, pero no pueden cambiar las asociaciones que defina aquí. Para obtener más información, consulte [Uso de las políticas de DNS Firewall de Amazon Route 53 Resolver en Firewall Manager](dns-firewall-policies.md).

1. Elija **Siguiente**.

1. En **Cuentas de AWS a las que se aplica esta política**, elija la opción de la siguiente manera: 
   + Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada, **Incluir todas las cuentas de mi AWS organización**. 
   + Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona **Incluir solo las cuentas y unidades organizativas especificadas** y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente. 
   + Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija **Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás** y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente. 

   Solo puede elegir una de las opciones. 

   Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundariosOUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

1. El **Tipo de recurso** para las políticas de DNS Firewall es **VPC**. 

1. En **Recursos**, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).

   Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor. 

1. Elija **Siguiente**.

1. En **Etiquetas de políticas**, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte [Trabajar con Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Elija **Siguiente**.

1. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio. 

   Cuando esté satisfecho con la política, elija **Crear política**. En el panel de **políticas de AWS Firewall Manager **, su política debe aparecer en la lista. Probablemente, indicará **Pendiente** bajo los encabezados de las cuentas e indicará el estado de la configuración **Corrección automática**. La creación de una política puede tardar varios minutos. Después de reemplazar el estado **Pending (Pendiente)** por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte [Visualización de la información de cumplimiento de una AWS Firewall Manager política](fms-compliance.md)

## Creación de una AWS Firewall Manager política para el NGFW en la nube de Palo Alto Networks
<a name="creating-cloud-ngfw-policy"></a>

Con una política de Firewall Manager para el Firewall de próxima generación en la nube de Palo Alto Networks (Palo Alto Networks Cloud NGFW), puede usar Firewall Manager para implementar los recursos de NGFW en la nube de Palo Alto Networks y administrar las pilas de NGFW de forma centralizada en todas sus cuentas. AWS 

Para obtener información sobre políticas de NGFW en la nube de Palo Alto Networks de Firewall Manager, consulte [El uso de políticas de Palo Alto Networks Cloud NGFW para Firewall Manager](cloud-ngfw-policies.md). Para obtener información sobre cómo configurar y administrar NGFW en la nube de Palo Alto Networks para Firewall Manager, consulte la documentación de *[NGFW en la nube de Palo Alto Networks en AWS](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)*.

### Requisitos previos
<a name="complete-fms-prereq-cloud-ngfw"></a>

Existen varios pasos obligatorios para preparar su cuenta de AWS Firewall Manager. Estos pasos se describen en [AWS Firewall Manager requisitos previos](fms-prereq.md). Complete todos los requisitos previos antes de continuar con el siguiente paso.

**Creación de una política de Firewall Manager para NGFW en la nube de Palo Alto Networks (consola)**

1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**  
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).

1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).

1. Elija **Crear política**.

1. En **Tipo de política**, seleccione **Palo Alto Networks Cloud NGFW**. Si aún no te has suscrito al servicio NGFW en la nube de Palo Alto Networks en AWS Marketplace, tendrás que hacerlo primero. Para suscribirte en AWS Marketplace, selecciona **Ver detalles del AWS Marketplace**.

1. Para **Modelo de implementación**, elija **Modelo distribuido** o **Modelo centralizado**. El modelo de implementación determina la forma en que Firewall Manager administra los puntos de conexión de la política. Con el modelo distribuido, Firewall Manager mantiene los puntos de conexión del firewall en cada VPC que se encuentre dentro del ámbito de aplicación de la política. Con el modelo centralizado, Firewall Manager mantiene un único punto de conexión en una VPC de inspección.

1. En **Región**, selecciona una Región de AWS. Para proteger los recursos en varias regiones, debe crear políticas distintas para cada región. 

1. Elija **Siguiente**.

1. En **Nombre de política**, introduzca un nombre descriptivo.

1. En la configuración de la política, elija la política de firewall de NGFW en la nube de Palo Alto Networks para asociarla a esta política. La lista de políticas de firewall de NGFW en la nube de Palo Alto Networks contiene todas las políticas de firewall de NGFW en la nube de Palo Alto Networks asociadas a su inquilino de NGFW en la nube de Palo Alto Networks. Para obtener información sobre cómo crear y administrar las políticas de firewall de NGFW en la nube de Palo Alto Networks, consulte la guía *[Implemente el NGFW en la nube de Palo Alto Networks, que incluye el AWS Firewall Manager tema en la AWS guía de implementación del NGFW](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/getting-started-with-cloud-ngfw-for-aws/deploy-cloud-ngfw-for-aws-with-the-aws-firewall-manager.html)* *en la nube de Palo Alto Networks*. AWS 

1. En **Registro de Palo Alto Networks Cloud NGFW: opcional**, elija los tipos de registro de Palo Alto Networks Cloud NGFW que desee registrar para su política. *Para obtener información sobre los tipos de registro del NGFW en la nube de Palo Alto Networks, consulte [Configurar el registro del NGFW en la nube de Palo Alto Networks en la guía de despliegue del NGFW AWS en la nube](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/create-cloud-ngfw-instances-and-endpoints/configure-logging-for-the-cloud-ngfw-on-aws.html) de Palo Alto Networks. AWS *

   En **Destino del registro**, especifique en qué momento Firewall Manager debe escribir los registros.

1. Elija **Siguiente**.

1. En **Configurar punto de conexión de firewall de terceros**, lleve a cabo una de las siguientes acciones, en función de si utiliza el modelo de implementación distribuido o centralizado para crear los puntos de conexión de firewall:
   + Si utiliza el modelo de implementación distribuida para esta política, en **Zonas de disponibilidad**, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por **Nombre de la zona de disponibilidad** o por **ID de la zona de disponibilidad**.
   + Si utiliza el modelo de implementación centralizada para esta política, en **Configuración de punto de conexión de AWS Firewall Manager ** de **Configuración de VPC de inspección**, introduzca el ID de cuenta de AWS del propietario de la VPC de inspección y el ID de VPC de la VPC de inspección.
     + En **Zonas de disponibilidad**, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por **Nombre de la zona de disponibilidad** o por **ID de la zona de disponibilidad**.

1. Si desea proporcionar los bloques CIDR para que Firewall Manager los utilice en sus subredes de firewallVPCs, todos deben ser bloques CIDR de /28. Ingrese un bloque por línea. Si las omite, Firewall Manager elegirá por usted direcciones IP de entre las que están disponibles en. VPCs
**nota**  
La corrección automática se realiza automáticamente para las políticas de AWS Firewall Manager Network Firewall, por lo que aquí no verá ninguna opción para elegir no realizar la corrección automática.

1. Elija **Siguiente**.

1. Para **Alcance de la política**, en **esta política se aplica a Cuentas de AWS **, elija la opción siguiente: 
   + Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada, **Incluir todas las cuentas de mi AWS organización**. 
   + Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona **Incluir solo las cuentas y unidades organizativas especificadas** y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente. 
   + Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija **Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás** y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente. 

   Solo puede elegir una de las opciones. 

   Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundariosOUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

1. El **Tipo de recurso** para las políticas de Network Firewall es **VPC**. 

1. En **Recursos**, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).

   Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor. 

1. En **Conceder acceso entre cuentas**, seleccione **Descargar plantilla de CloudFormation **. Esto descarga una CloudFormation plantilla que puede usar para crear una CloudFormation pila. Esta pila crea un AWS Identity and Access Management rol que otorga permisos entre cuentas a Firewall Manager para administrar los recursos de NGFW en la nube de Palo Alto Networks. Para obtener información acerca de las pilas, consulte [Uso de pilas](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacks.html) en la *Guía del usuario de CloudFormation *.

1. Elija **Siguiente**.

1. En **Etiquetas de políticas**, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte [Trabajar con Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Elija **Siguiente**.

1. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio. 

   Cuando esté satisfecho con la política, elija **Crear política**. En el panel de **políticas de AWS Firewall Manager **, su política debe aparecer en la lista. Probablemente, indicará **Pendiente** bajo los encabezados de las cuentas e indicará el estado de la configuración **Corrección automática**. La creación de una política puede tardar varios minutos. Después de reemplazar el estado **Pending (Pendiente)** por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte [Visualización de la información de cumplimiento de una AWS Firewall Manager política](fms-compliance.md)

## Creación de una AWS Firewall Manager política para Fortigate Cloud Native Firewall (CNF) como servicio
<a name="creating-fortigate-cnf-policy"></a>

Con una política de Firewall Manager para Fortigate CNF, puede usar Firewall Manager para implementar y administrar los recursos de Fortigate CNF en todas sus cuentas. AWS 

Para obtener información acerca de las políticas de Firewall Manager Fortigate CNF, consulte [Uso de la política de las políticas de Fortigate Cloud Native Firewall (CNF) como servicio para Firewall Manager](fortigate-cnf-policies.md). Para obtener información sobre cómo configurar Fortigate CNF para su uso con Firewall Manager, consulte la [documentación de Fortinet]( https://docs.fortinet.com/product/fortigate-cnf ).

### Requisitos previos
<a name="complete-fms-prereq-fortigate-cnf"></a>

Existen varios pasos obligatorios para preparar su cuenta de AWS Firewall Manager. Estos pasos se describen en [AWS Firewall Manager requisitos previos](fms-prereq.md). Complete todos los requisitos previos antes de continuar con el siguiente paso.

**Creación de una política de Firewall Manager para Fortigate CNF (consola)**

1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**  
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).

1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).

1. Elija **Crear política**.

1. Para **Tipo de política**, seleccione **Fortigate Cloud Native Firewall (CNF) como servicio**. Si aún no se ha suscrito al [servicio Fortigate CNF en el AWS Marketplace](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i), primero tendrá que hacerlo. Para suscribirte en AWS Marketplace, selecciona **Ver detalles del AWS Marketplace**.

1. Para **Modelo de implementación**, elija **Modelo distribuido** o **Modelo centralizado**. El modelo de implementación determina la forma en que Firewall Manager administra los puntos de conexión de la política. Con el modelo distribuido, Firewall Manager mantiene los puntos de conexión del firewall en cada VPC que se encuentre dentro del ámbito de aplicación de la política. Con el modelo centralizado, Firewall Manager mantiene un único punto de conexión en una VPC de inspección.

1. En **Región**, selecciona una Región de AWS. Para proteger los recursos en varias regiones, debe crear políticas distintas para cada región. 

1. Elija **Siguiente**.

1. En **Nombre de política**, introduzca un nombre descriptivo.

1. En la configuración de la política, elija la política de firewall Fortigate CNF para asociarla a esta política. La lista de políticas de firewall de Fortigate CNF contiene todas las políticas de firewall de Fortigate CNF asociadas a su inquilino de Fortigate CNF. Para obtener información sobre cómo crear y administrar clientes de Fortigate CNF, consulte la [documentación de Fortinet.](https://docs.fortinet.com/product/fortigate-cnf)

1. Elija **Siguiente**.

1. En **Configurar punto de conexión de firewall de terceros**, lleve a cabo una de las siguientes acciones, en función de si utiliza el modelo de implementación distribuido o centralizado para crear los puntos de conexión de firewall:
   + Si utiliza el modelo de implementación distribuida para esta política, en **Zonas de disponibilidad**, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por **Nombre de la zona de disponibilidad** o por **ID de la zona de disponibilidad**.
   + Si utiliza el modelo de implementación centralizada para esta política, en **Configuración de punto de conexión de AWS Firewall Manager ** de **Configuración de VPC de inspección**, introduzca el ID de cuenta de AWS del propietario de la VPC de inspección y el ID de VPC de la VPC de inspección.
     + En **Zonas de disponibilidad**, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por **Nombre de la zona de disponibilidad** o por **ID de la zona de disponibilidad**.

1. Si desea proporcionar los bloques CIDR para que Firewall Manager los utilice en sus subredes de firewallVPCs, todos deben ser bloques CIDR de /28. Ingrese un bloque por línea. Si las omite, Firewall Manager elegirá por usted direcciones IP de entre las que están disponibles en. VPCs
**nota**  
La corrección automática se realiza automáticamente para las políticas de AWS Firewall Manager Network Firewall, por lo que aquí no verá ninguna opción para elegir no realizar la corrección automática.

1. Elija **Siguiente**.

1. Para **Alcance de la política**, en **esta política se aplica a Cuentas de AWS **, elija la opción siguiente: 
   + Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada, **Incluir todas las cuentas de mi AWS organización**. 
   + Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona **Incluir solo las cuentas y unidades organizativas especificadas** y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente. 
   + Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija **Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás** y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente. 

   Solo puede elegir una de las opciones. 

   Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundariosOUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.

1. El **Tipo de recurso** para las políticas de Network Firewall es **VPC**. 

1. En **Recursos**, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).

   Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor. 

1. En **Conceder acceso entre cuentas**, seleccione **Descargar plantilla de CloudFormation **. Esto descarga una CloudFormation plantilla que puede usar para crear una CloudFormation pila. Esta pila crea un AWS Identity and Access Management rol que otorga permisos multicuenta al Administrador de Firewall para administrar los recursos de Fortigate CNF. Para obtener información acerca de las pilas, consulte [Uso de pilas](https://docs.aws.amazon.com/AWSCloudFormation/latest/gsg/stacks.html) en la *Guía del usuario de CloudFormation *. Para crear una pila, necesitará el ID de cuenta del portal de Fortigate CNF.

1. Elija **Siguiente**.

1. En **Etiquetas de políticas**, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte [Trabajar con Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Elija **Siguiente**.

1. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio. 

   Cuando esté satisfecho con la política, elija **Crear política**. En el panel de **políticas de AWS Firewall Manager **, su política debe aparecer en la lista. Probablemente, indicará **Pendiente** bajo los encabezados de las cuentas e indicará el estado de la configuración **Corrección automática**. La creación de una política puede tardar varios minutos. Después de reemplazar el estado **Pending (Pendiente)** por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte [Visualización de la información de cumplimiento de una AWS Firewall Manager política](fms-compliance.md)