Tutorial: Crear una política de AWS Firewall Manager con reglas jerárquicas - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Paso 1: Designar una cuenta de administrador de Firewall ManagerPaso 2: Crear un grupo de reglas mediante la cuenta de administrador de Firewall ManagerPaso 3: Crear una política de Firewall Manager y asociar el grupo de reglas comunesPaso 4: Agregar reglas específicas de la cuentaConclusión

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Tutorial: Crear una política de AWS Firewall Manager con reglas jerárquicas

nota

Esta es la documentación de AWS WAF Classic. Solo debe usar esta versión si creó AWS WAF recursos, como reglas y ACL web, AWS WAF antes de noviembre de 2019 y aún no los ha migrado a la última versión. Para migrar los recursos, consulte Migración de sus recursos AWS WAF clásicos a AWS WAF.

Para obtener la versión más reciente de AWS WAF, consulteAWS WAF.

Con AWS Firewall Manager, puede crear y aplicar políticas de protección AWS WAF clásicas que contengan reglas jerárquicas. Es decir, puede crear y aplicar determinadas reglas de forma centralizada, pero no delegar la creación y el mantenimiento de reglas específicas de la cuenta en otras personas. Puede monitorizar las reglas aplicadas de forma centralizada (comunes) para cualquier eliminación accidental o errónea, lo que garantiza que se apliquen de forma coherente. Las reglas específicas de la cuenta añaden protección aún más personalizada para las necesidades de los equipos individuales.

nota

En la última versión de AWS WAF, esta función viene integrada y no requiere ningún tratamiento especial. Si aún no utiliza la versión AWS WAF clásica, utilice la versión más reciente. Consulte Crear una AWS Firewall Manager política para AWS WAF.

En el siguiente tutorial se describe cómo crear un conjunto jerárquico de reglas de protección.

Paso 1: Designar una cuenta de administrador de Firewall Manager

Para AWS Firewall Manager utilizarla, debe designar una cuenta de su organización como cuenta de administrador del Firewall Manager. Esta cuenta puede ser la cuenta de administración o una cuenta miembro de la organización.

Puede utilizar la cuenta de administrador de Firewall Manager para crear un conjunto de reglas comunes que se aplican a otras cuentas de la organización. Otras cuentas de la organización no pueden cambiar estas reglas aplicadas de forma centralizada.

Para designar una cuenta como una cuenta de administrador de Firewall Manager y completar otros requisitos previos para utilizar Firewall Manager, consulte las instrucciones en AWS Firewall Manager requisitos previos. Si ya ha completado los requisitos previos, puede ir al paso 2 de este tutorial.

En este tutorial, haremos referencia a la cuenta de administrador como Firewall-Administrator-Account.

Paso 2: Crear un grupo de reglas mediante la cuenta de administrador de Firewall Manager

A continuación, cree un grupo de reglas a través de Firewall-Administrator-Account. Este grupo de reglas contiene las reglas comunes que aplicará a todas las cuentas de miembros que se rigen por la política que cree en el siguiente paso. Solo Firewall-Administrator-Account puede realizar cambios en estas reglas y en el grupo de reglas del contenedor.

En este tutorial, haremos referencia a este grupo de reglas del contenedor como Common-Rule-Group.

Para crear un grupo de reglas, consulte las instrucciones en Creación de un grupo de reglas AWS WAF clásico. Recuerde iniciar sesión en la consola mediante su cuenta de administrador de Firewall Manager (Firewall-Administrator-Account) al seguir estas instrucciones.

Paso 3: Crear una política de Firewall Manager y asociar el grupo de reglas comunes

Cree una política de Firewall Manager mediante Firewall-Administrator-Account. Cuando cree esta política, debe hacer lo siguiente:

  • Añadir Common-Rule-Group a la nueva política.

  • Incluir todas las cuentas de la organización a las que desee aplicar Common-Rule-Group.

  • Añadir todos los recursos a los que desee aplicar Common-Rule-Group.

Para obtener instrucciones sobre cómo crear una política, consulte Creación de una AWS Firewall Manager política.

Esto crea una ACL web en cada cuenta especificada y añade Common-Rule-Group a cada una de esas ACL web. Después de crear la política, esta ACL web y las reglas comunes se implementan en todas las cuentas especificadas.

En este tutorial, haremos referencia a esta ACL web como Administrator-Created-ACL. Ya existe una Administrator-Created-ACL única en cada cuenta de miembro específica de la organización.

Paso 4: Agregar reglas específicas de la cuenta

Ahora cada cuenta de miembro de la organización puede añadir sus propias reglas específicas de la cuenta a la Administrator-Created-ACL que existe en su cuenta. Las reglas comunes que ya están en Administrator-Created-ACL vigor siguen aplicándose, junto con las nuevas reglas específicas de cada cuenta. AWS WAF inspecciona las solicitudes web en función del orden en que aparecen las reglas en la ACL web. Esto se aplica tanto a Administrator-Created-ACL como a las reglas específica de la cuenta.

Para añadir reglas a Administrator-Created-ACL, consulte Edición de una ACL web.

Conclusión

Ahora tiene una ACL web que contiene reglas comunes administradas por la cuenta de administrador de Firewall Manager, así como las reglas específicas de la cuenta mantenidas por cada cuenta de miembro.

La Administrator-Created-ACL de cada cuenta hace referencia al único Common-Rule-Group. Por lo tanto, los próximos cambios por la cuenta de administrador de Firewall Manager en Common-Rule-Group se aplicarán de forma inmediata en cada cuenta de miembro.

Las cuentas de miembros no pueden cambiar o eliminar las reglas comunes en Common-Rule-Group.

Las reglas específicas de la cuenta no afectan a otras cuentas.