Paso 3: Habilitar AWS Config - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Paso 3: Habilitar AWS Config

Para usar Firewall Manager, debe habilitar AWS Config.

nota

Se le cobrará por su AWS Config configuración, según el AWS Config precio. Para obtener más información, consulta Cómo empezar con AWS Config.

nota

Para que Firewall Manager supervise el cumplimiento de las políticas, AWS Config debe registrar continuamente los cambios de configuración de los recursos protegidos. En su AWS Config configuración, la frecuencia de grabación debe estar establecida en Continua, que es la configuración predeterminada.

AWS Config Para activar Firewall Manager

  1. AWS Config Actívela para cada una de sus cuentas de AWS Organizations miembro, incluida la cuenta de administrador del Firewall Manager. Para obtener más información, consulte Cómo empezar con AWS Config.

  2. AWS Config Actívela para cada una de las Región de AWS que contengan los recursos que desee proteger. Puede habilitarlo AWS Config manualmente o puede usar la AWS CloudFormation plantilla «Habilitar AWS Config» en Plantillas AWS CloudFormation StackSets de muestra.

    Si no desea habilitarla AWS Config para todos los recursos, debe habilitar lo siguiente según el tipo de políticas de Firewall Manager que utilice:

    • Política de WAF: habilite Config para los tipos de recursos CloudFront Distribution, Application Load Balancer (ElasticLoadBalancingelija V2 de la lista), API Gateway, WAF WebACL, WAF Regional WebACL y WAFv2 WebACL. AWS Config Para poder proteger una CloudFront distribución, debe estar en la región EE.UU. Este (Norte de Virginia). Otras regiones no tienen CloudFront esta opción.

    • Política de protección: habilite Config para los tipos de recursos Shield Protection, ShieldRegional Protection, Application Load Balancer, EC2 EIP, WAF WebACL, WAF Regional WebACL y WAFv2 WebACL.

    • Política de grupo de seguridad: habilite Config para los tipos de recursos EC2 SecurityGroup, EC2 Instance y EC2. NetworkInterface

    • Política de ACL de red: habilite Config para los tipos de recursos Amazon EC2 Subnet y Amazon EC2 Network ACL.

    • Política de Network Firewall: habilite Config para los tipos de recursos NetworkFirewall FirewallPolicy NetworkFirewallRuleGroup, VPC de EC2, EC2, InternetGateway EC2 y subred de RouteTable EC2.

    • Política de firewall de DNS: habilite Config para el tipo de recurso EC2 VPC.

    • Política de firewall de terceros: habilite Config para los tipos de recursos Amazon EC2 VPC, Amazon EC2, Amazon EC2, InternetGateway Amazon EC2 Subnet y Amazon EC2 RouteTable VPCendpoint.

    nota

    Si configura su AWS Config grabadora para usar una función de IAM personalizada, debe asegurarse de que la política de IAM tenga los permisos adecuados para registrar los tipos de recursos necesarios de la política de Firewall Manager. Sin los permisos adecuados, es posible que no se registren los recursos necesarios, lo que impide que Firewall Manager proteja sus recursos de la manera correcta. Firewall Manager no puede ver estos errores de configuración de permisos. Para obtener información sobre el uso de IAM con AWS Config, consulte IAM for. AWS Config