Administración de ACL web para políticas de AWS WAF
Firewall Manager crea y administra las ACL web para los recursos incluidos en el ámbito de acuerdo con sus ajustes de configuración y la administración de políticas generales.
nota
Si un recurso que está configurado con la mitigación automática de DDoS en la capa de aplicación entra en el ámbito de una política de AWS WAF, Firewall Manager no podrá aplicar las protecciones de la política al recurso y mercará al recurso como no conforme.
Administración de la configuración de las ACL web no asociadas
Parámetro de configuración de políticas que especifica cómo Firewall Manager administra las ACL web de las cuentas cuando ningún recurso utilizará las ACL web. Si habilita la administración de ACL web no asociadas, Firewall Manager crea ACL web en las cuentas dentro del ámbito de la política solo si las ACL web serán utilizadas al menos por un recurso. Si no habilita esta opción, Firewall Manager se asegurará automáticamente de que cada cuenta tenga una ACL web, sin importar si se utilizará o no.
Si esta opción está activada, cuando una cuenta entra en el ámbito de la política, Firewall Manager crea automáticamente una ACL web en la cuenta si al menos un recurso utilizará la ACL web.
Además, cuando habilita la administración de ACL web no asociadas, en la creación de políticas, Firewall Manager realiza una limpieza única de las ACL web no asociadas de su cuenta. Durante esta limpieza, Firewall Manager omite cualquier ACL web que haya modificado después de su creación, por ejemplo, si agregó un grupo de reglas a la ACL web o modificó sus configuraciones. El proceso de limpieza puede tardar varias horas. Si un recurso sale del alcance de la política después de que el Firewall Manager haya creado una ACL web, el Firewall Manager disociará el recurso de la ACL web, pero no realizará la limpieza de la ACL web no asociada. Firewall Manager solo realiza la limpieza de las ACL web no asociadas cuando se habilita por primera vez la administración de las ACL web no asociadas en una política.
En la API, esta configuración es optimizeUnassociatedWebACL en el tipo de datos SecurityServicePolicyData. Ejemplo: \"optimizeUnassociatedWebACL\":false
Configuración de origen de la ACL web: ¿Crear todas nuevas o adaptar las existentes?
Parámetro de configuración de políticas que especifica lo que Firewall Manager hace con las ACL web existentes que están asociadas a los recursos incluidos en el ámbito.
De forma predeterminada, Firewall Manager crea todas las ACL web nuevas para los recursos incluidos en el ámbito. Con la adaptación, Firewall Manager utiliza todas las ACL web existentes que ya estén en uso y solo crea ACL web nuevas para los recursos que aún no tienen ninguna asociada.
Cuando se configura una política para su adaptación, todas las ACL web asociadas a los recursos incluidos en el ámbito se adaptan o se marcan como no conformes.
Firewall Manager solo adapta una ACL web si cumple los siguientes requisitos:
La ACL web es propiedad de una cuenta de cliente.
La ACL web solo está asociada a los recursos incluidos en el ámbito.
sugerencia
Antes de configurar una política de AWS WAF para adaptarla, asegúrese de que las ACL web asociadas a los recursos incluidos en el ámbito de la política no estén asociadas a ningún recurso fuera del ámbito.
sugerencia
Si desea eliminar un recurso asociado, primero desasócielo de la ACL web. Si una ACL web no es conforme debido a una asociación con un recurso fuera del ámbito, eliminar el recurso fuera del ámbito sin desasociarlo primero de la ACL web puede hacer que la ACL web cumpla con las normas, y Firewall Manager puede entonces adaptar la ACL web mediante la corrección, pero la corrección en esta situación puede retrasarse hasta 24 horas.
Para obtener información sobre cómo acceder a los detalles de las infracciones de conformidad, consulte Visualización de información de conformidad para una política de AWS Firewall Manager.
Si se puede adaptar una ACL web, Firewall Manager la modifica de la siguiente manera:
Firewall Manager inserta los primeros grupos de reglas de la política de AWS WAF delante de las reglas existentes de la ACL web y agrega los últimos grupos de reglas de la política de AWS WAF al final. Para obtener información acerca de la administración de los grupos de reglas, consulte Administración de grupos de reglas para las políticas de AWS WAF.
Si la política tiene una configuración de registro, Firewall Manager la agrega a la ACL web solo si la ACL web aún no está configurada para el registro. Si la ACL web ya tiene el registro configurado, Firewall Manager lo deja en su lugar.
Firewall Manager no verifica ni configura ninguna otra propiedad de la ACL web. Por ejemplo, Firewall Manager no modifica la acción predeterminada de la ACL web, los encabezados de las solicitudes personalizadas, las configuraciones CAPTCHA o Challenge ni las listas de dominios de token. Firewall Manager solo configura estas otras propiedades en las ACL web que crea Firewall Manager.
Una vez que Firewall Manager adapta todas las ACL web asociadas existentes, para cualquier recurso dentro del ámbito que no tenga una ACL web, Firewall Manager gestiona el recurso mediante el seguimiento del comportamiento de la política predeterminada. Si se trata de un recurso que AWS WAF puede proteger, Firewall Manager crea y asocia una ACL web de Firewall Manager con ese recurso.
En la API, la configuración de origen de la ACL web es webACLSource en el tipo de datos SecurityServicePolicyData. Ejemplo: \"webACLSource\":\"RETROFIT_EXISTING\"
Muestreo y métricas de CloudWatch
AWS Firewall Manager permite el muestreo y las métricas de Amazon CloudWatch para las ACL web y los grupos de reglas que crea para una política de AWS WAF.
Nomenclatura de la ACL web
Una ACL web que crea Firewall Manager recibe el nombre de la política de AWS WAF de la siguiente manera: FMManagedWebACLV2-. La marca de tiempo está en milisegundos UTC. Por ejemplo, policy
name-timestampFMManagedWebACLV2-MyWAFPolicyName-1621880374078.
Una ACL web que Firewall Manager adapta tiene el nombre que la cuenta de cliente especificó al crearla. Los nombres de las ACL web no pueden cambiarse después de su creación.
