Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso del ámbito de la política de AWS Firewall Manager
En esta página, se explica cuál es el ámbito de la política de Firewall Manager y cómo funciona.
El alcance de la política define dónde se aplica la política. Puede aplicar políticas controladas de forma centralizada a todas sus cuentas y recursos de su organización en AWS Organizations, o a un subconjunto de sus cuentas y recursos. Para obtener instrucciones sobre cómo establecer el alcance de la política, consulte Creación de una AWS Firewall Manager política.
Opciones de alcance de la política en AWS Firewall Manager
Cuando agrega una nueva cuenta o recurso a su organización, Firewall Manager lo evalúa automáticamente en función de su configuración para cada política y aplica la política en función de esta configuración. Por ejemplo, puede optar por aplicar una política a todas las cuentas excepto a los números de cuenta de una lista específica; también puede optar por aplicar una política solo a los recursos que tengan todas las etiquetas de una lista.
En el ámbito de Cuentas de AWS
La configuración que proporciona para definir las cuentas Cuentas de AWS afectadas por la política determina a qué cuentas de la organización de AWS se debe aplicar la política. Puede optar por aplicar la política de una de las siguientes maneras:
-
A todas las cuentas de la organización
-
Solo para una lista concreta de números de cuenta incluidos y unidades organizativas (OU) de AWS Organizations
-
Para todos excepto una lista específica de números de cuenta excluidos y unidades organizativas (OU) de AWS Organizations
Para obtener información sobre AWS Organizations, consulte la Guía del usuario de AWS Organizations.
Recursos en el ámbito
De manera similar a la configuración para las cuentas dentro del alcance, la configuración que proporcione para los recursos determina a qué tipos de recursos dentro del alcance se aplicará la política. Puede elegir una de las siguientes opciones:
-
Todos los recursos
-
Recursos que tienen todas las etiquetas que especifique
-
Todos los recursos excepto aquellos que tienen todas las etiquetas que especifique
Solo puede especificar etiquetas de recursos con valores que no sean nulos. Si no proporciona nada para el valor, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.
Para obtener más información sobre cómo etiquetar los recursos, consulte Uso de Tag Editor.
Administración del alcance de la política en AWS Firewall Manager
Cuando se implementan políticas, Firewall Manager las administra continuamente y las aplica a nuevas cuentas y recursos de Cuentas de AWS a medida que se agregan, de acuerdo con el alcance de la política.
Cómo Firewall Manager administra cuentas y recursos de Cuentas de AWS
Si una cuenta o un recurso queda fuera del alcance por cualquier motivo, AWS Firewall Manager no elimina automáticamente las protecciones ni elimina los recursos administrados por Firewall Manager a menos que active la casilla Eliminar automáticamente las protecciones de los recursos que salen del alcance de la política.
nota
La opción Eliminar automáticamente las protecciones de los recursos que salen del alcance de la política no está disponible para políticas AWS WAF Classic o AWS Shield Advanced.
Seleccionar esta casilla de verificación indica a AWS Firewall Manager que limpie automáticamente los recursos que Firewall Manager administra para las cuentas cuando dichas cuentas quedan fuera del alcance de la política. Por ejemplo, Firewall Manager desasociará una ACL web administrada por Firewall Manager de un recurso protegido del cliente cuando este abandone el alcance de la política.
Para determinar qué recursos deben ser eliminados de la protección cuando un recurso del cliente esta fuera del alcance de la política, Firewall Manager sigue estas pautas:
Comportamiento predeterminado:
Las reglas administradas por AWS Config asociadas son eliminadas. Este comportamiento es independiente de la casilla de verificación.
Cualquier lista de control de acceso web (ACL web) asociada de AWS WAF que no contenga recursos es eliminada. Este comportamiento es independiente de la casilla de verificación.
Cualquier recurso protegido que quede fuera del alcance permanece asociado y protegido. Por ejemplo, un Application Load Balancer (Equilibrador de carga de aplicación) o una API de API Gateway que esté asociada a una ACL web permanece asociada a la ACL web y la protección permanece vigente.
Con la casilla Eliminar automáticamente las protecciones de los recursos que salen del alcance de la política seleccionada:
Las reglas administradas por AWS Config asociadas son eliminadas. Este comportamiento es independiente de la casilla de verificación.
Cualquier lista de control de acceso web (ACL web) asociada de AWS WAF que no contenga recursos es eliminada. Este comportamiento es independiente de la casilla de verificación.
Cualquier recurso protegido que quede fuera del ámbito se disocia automáticamente y se elimina de la protección de Firewall Manager cuando sale del ámbito de la política. Por ejemplo, para una política de un grupo de seguridad, un acelerador de Elastic Inference o una instancia de Amazon EC2 se desasocian automáticamente del grupo de seguridad replicado cuando sale del ámbito de la política. El grupo de seguridad replicado y sus recursos se eliminan automáticamente de la protección.