Activación de AWS Config para utilizar Firewall Manager - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Activación de AWS Config para utilizar Firewall Manager

Para usar Firewall Manager, debe habilitar AWS Config.

nota

Incurrirá en cargos por su configuración de AWS Config, de acuerdo con los precios de AWS Config. Para obtener más información, consulte Introducción a AWS Config.

nota

Para que Firewall Manager supervise el cumplimiento de las políticas, AWS Config debe registrar de manera continua los cambios de configuración de los recursos protegidos. En la configuración de AWS Config, la frecuencia de registro debe establecerse en Continua, que es la configuración predeterminada.

Habilitación de AWS Config en Firewall Manager

  1. Habilite AWS Config para cada una de sus cuentas de miembro de AWS Organizations, incluida la cuenta de administrador del Firewall Manager. Para obtener más información, consulte Introducción a AWS Config.

  2. Habilite AWS Config para cada Región de AWS que contenga los recursos que desea proteger. Puede habilitar AWS Config manualmente o puede usar la plantilla de AWS CloudFormation “Habilitar AWS Config”en Plantillas de muestra de StackSets de AWS CloudFormation.

    Si no desea habilitar AWS Config para todos los recursos, debe habilitar lo siguiente según el tipo de políticas de Firewall Manager que utilice:

    • Política de WAF: habilite Config para los tipos de recursos CloudFront Distribution, Equilibrador de carga de aplicación (elija ElasticLoadBalancingV2 de la lista), API Gateway, WAF WebACL, WAF Regional WebACL y WAFv2 WebACL. Para habilitar AWS Config y proteger una distribución de CloudFront, debe estar en la región Este de EE. UU. (Norte de Virginia). Otras regiones no tienen CloudFront como opción.

    • Política de protección: habilite Config para los tipos de recursos Shield Protection, ShieldRegional Protection, Equilibrador de carga de aplicación, EC2 EIP, WAF WebACL, WAF Regional WebACL y WAFv2 WebACL.

    • Política de grupo de seguridad: habilite Config para los tipos de recursos EC2 SecurityGroup, instancia EC2 y EC2 NetworkInterface.

    • Política de ACL de red: habilite Config para los tipos de recursos subred de Amazon EC2 y ACL de red de Amazon EC2.

    • Política de firewall de red: habilite la configuración para los tipos de recursos NetworkFirewall FirewallPolicy, NetworkFirewall RuleGroup, VPC de EC2, InternetGateway de EC2, RouteTable de EC2 y subred de EC2.

    • Política de firewall de DNS: habilite Config para el tipo de recurso EC2 VPC.

    • Política de firewall de terceros: habilite Config para los tipos de recursos Amazon EC2 VPC, Amazon EC2 InternetGateway, Amazon EC2 RouteTable, subred de Amazon EC2 y Amazon EC2 VPCendpoint.

    nota

    Si configura su registro de AWS Config para usar un rol de IAM personalizado, debe asegurarse de que la política de IAM tenga los permisos adecuados para registrar los tipos de recursos necesarios de la política de Firewall Manager. Sin los permisos adecuados, es posible que no se registren los recursos necesarios, lo que impide que Firewall Manager proteja sus recursos de la manera correcta. Firewall Manager no puede ver estos errores de configuración de permisos. Para obtener más información acerca del uso de IAM con AWS Config, consulte IAM para AWS Config.