Uso del ámbito de aplicación AWS Firewall Manager de la política - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Configuración del alcance de la políticaAdministración del alcance de la política

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso del ámbito de aplicación AWS Firewall Manager de la política

En esta página se explica cuál es el alcance de la política del Firewall Manager y cómo funciona.

El alcance de la política define dónde se aplica la política. Puede aplicar políticas controladas de forma centralizada a todas las cuentas y recursos de su organización AWS Organizations, o a un subconjunto de ellas. Para obtener instrucciones sobre cómo establecer el alcance de la política, consulte Creación de una AWS Firewall Manager política.

Opciones de ámbito de políticas en AWS Firewall Manager

Cuando agrega una nueva cuenta o recurso a su organización, Firewall Manager lo evalúa automáticamente en función de su configuración para cada política y aplica la política en función de esta configuración. Por ejemplo, puede optar por aplicar una política a todas las cuentas excepto a los números de cuenta de una lista específica; también puede optar por aplicar una política solo a los recursos que tengan todas las etiquetas de una lista.

Cuentas de AWS dentro del ámbito

La configuración que proporcione para definir a los Cuentas de AWS afectados por la política determinará a qué cuentas de su AWS organización se aplicará la política. Puede optar por aplicar la política de una de las siguientes maneras:

  • A todas las cuentas de la organización

  • Solo a una lista específica de números de cuenta y unidades AWS Organizations organizativas incluidos (OUs)

  • A todos excepto a una lista específica de números de cuenta y unidades AWS Organizations organizativas excluidas (OUs)

Para obtener información al respecto AWS Organizations, consulte la Guía AWS Organizations del usuario.

Recursos en el ámbito

De manera similar a la configuración para las cuentas dentro del alcance, la configuración que proporcione para los recursos determina a qué tipos de recursos dentro del alcance se aplicará la política. Puede elegir una de las siguientes opciones:

  • Todos los recursos

  • Recursos que tienen todas las etiquetas que especifique

  • Todos los recursos excepto aquellos que tienen todas las etiquetas que especifique

Solo puede especificar etiquetas de recursos con valores que no sean nulos. Si no proporciona nada para el valor, Firewall Manager guarda la etiqueta con un valor de cadena vacío: «». Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

Para obtener más información sobre cómo etiquetar los recursos, consulte Uso de Tag Editor.

Gestión del alcance de la política en AWS Firewall Manager

Cuando se implementan políticas, Firewall Manager las administra continuamente y las aplica a los recursos nuevos Cuentas de AWS y a los recursos a medida que se agregan, de acuerdo con el alcance de la política.

Cómo gestiona Cuentas de AWS y utiliza Firewall Manager sus recursos

Si una cuenta o un recurso queda fuera del ámbito de aplicación por cualquier motivo, AWS Firewall Manager no elimina automáticamente las protecciones ni elimina los recursos administrados por Firewall Manager a menos que active la casilla Eliminar automáticamente las protecciones de los recursos que salen del ámbito de la política.

nota

La opción Eliminar automáticamente las protecciones de los recursos que quedan fuera del ámbito de aplicación de la política no está disponible para las AWS Shield Advanced políticas AWS WAF clásicas.

Al seleccionar esta casilla de verificación, AWS Firewall Manager se limpiarán automáticamente los recursos que el Firewall Manager administra para las cuentas cuando esas cuentas salen del ámbito de aplicación de la política. Por ejemplo, Firewall Manager desasociará una web gestionada por Firewall Manager ACL de un recurso de cliente protegido cuando el recurso de cliente abandone el ámbito de aplicación de la política.

Para determinar qué recursos deben ser eliminados de la protección cuando un recurso del cliente esta fuera del alcance de la política, Firewall Manager sigue estas pautas:

  • Comportamiento predeterminado:

    • Se eliminan las reglas AWS Config administradas asociadas. Este comportamiento es independiente de la casilla de verificación.

    • Se eliminan todas las listas de control de acceso AWS WAF web (webACLs) asociadas que no contengan ningún recurso. Este comportamiento es independiente de la casilla de verificación.

    • Cualquier recurso protegido que quede fuera del alcance permanece asociado y protegido. Por ejemplo, un Application Load Balancer o una API puerta API de enlace que esté asociada a una web ACL permanece asociada a la web ACL y la protección permanece activa.

  • Con la casilla Eliminar automáticamente las protecciones de los recursos que salen del alcance de la política seleccionada:

    • Se eliminan las reglas AWS Config administradas asociadas. Este comportamiento es independiente de la casilla de verificación.

    • Se eliminan todas las listas de control de acceso AWS WAF web (webACLs) asociadas que no contengan ningún recurso. Este comportamiento es independiente de la casilla de verificación.

    • Cualquier recurso protegido que quede fuera del ámbito de aplicación se disocia automáticamente y se elimina de la protección del Firewall Manager cuando abandona el ámbito de la política. Por ejemplo, en el caso de una política de grupo de seguridad, un acelerador de Elastic Inference o una EC2 instancia de Amazon se disocian automáticamente del grupo de seguridad replicado cuando abandona el ámbito de la política. El grupo de seguridad replicado y sus recursos se eliminan automáticamente de la protección.