Création d'une AWS Firewall Manager politique

Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

Dans le volet de navigation, sélectionnez Stratégies de sécurité.

Choisissez Create Policy (Créer une politique).

Pour Policy type (Type de stratégie), choisissez AWS WAF.

Pour Région, choisissez un Région AWS. Pour protéger les CloudFront distributions Amazon, choisissez Global.

Pour protéger les ressources dans plusieurs régions (autres que les CloudFront distributions), vous devez créer des politiques Firewall Manager distinctes pour chaque région.

Choisissez Suivant.

Dans Nom de la politique, entrez un nom descriptif. Firewall Manager inclut le nom de la politique dans les noms du site Web ACLs qu'il gère. Les ACL noms des sites Web sont FMManagedWebACLV2- suivis du nom de la politique que vous entrez ici et de l'horodatage de ACL création du site Web, en UTC millisecondes. - Par exemple, FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

Pour l'inspection du corps d'une demande Web, modifiez éventuellement la limite de taille du corps. Pour plus d'informations sur les limites de taille pour l'inspection des carrosseries, y compris les considérations tarifaires, consultez Gestion des limites de taille des organismes inspectés pour AWS WAF le guide du AWS WAF développeur.

Sous Règles de politique, ajoutez les groupes de règles que vous AWS WAF souhaitez évaluer en premier et en dernier sur le WebACL. Pour utiliser le contrôle de version de groupes de règles AWS WAF gérés, activez l'option Activer le contrôle de version. Les gestionnaires de comptes individuels peuvent ajouter des règles et des groupes de règles entre vos premiers groupes de règles et vos derniers groupes de règles. Pour plus d'informations sur l'utilisation de groupes de AWS WAF règles dans les politiques de Firewall Manager pour AWS WAF, consultezUtilisation AWS WAF de politiques avec Firewall Manager.

(Facultatif) Pour personnaliser la façon dont votre site Web ACL utilise le groupe de règles, choisissez Modifier. Les paramètres de personnalisation courants sont les suivants :

Lorsque vous avez terminé de définir vos paramètres, choisissez Enregistrer la règle.

Définissez l'action par défaut pour le WebACL. Il s'agit de l' AWS WAFaction qui est exécutée lorsqu'une requête Web ne correspond à aucune des règles du WebACL. Vous pouvez ajouter des en-têtes personnalisés avec l'action Autoriser ou des réponses personnalisées pour l'action Bloquer. Pour plus d'informations sur les ACL actions Web par défaut, consultezConfiguration de l'action Web ACL par défaut dans AWS WAF. Pour plus d'informations sur la définition de requêtes Web et de réponses personnalisées, consultezDemandes et réponses Web personnalisées dans AWS WAF.

Pour la configuration de la journalisation, choisissez Activer la journalisation pour activer la journalisation. La journalisation fournit des informations détaillées sur le trafic analysé par votre site WebACL. Choisissez la destination de journalisation, puis choisissez la destination de journalisation que vous avez configurée. Vous devez choisir une destination de journalisation dont le nom commence paraws-waf-logs-. Pour plus d'informations sur la configuration d'une destination de AWS WAF journalisation, consultezUtilisation AWS WAF de politiques avec Firewall Manager.

(Facultatif) Si vous ne souhaitez pas que certains champs et leurs valeurs soient inclus dans les journaux, censurez ces champs. Choisissez le champ à censurer, puis choisissez Ajouter. Répétez si nécessaire pour censurer des champs supplémentaires. Les champs censurés apparaîtront en tant que REDACTED dans les journaux. Par exemple, si vous censurez le champ URI, le champ URI dans les journaux apparaîtra comme REDACTED.

(Facultatif) Si vous ne souhaitez pas envoyer toutes les demandes aux journaux, ajoutez vos critères de filtrage et votre comportement. Sous Filtrer les journaux, pour chaque filtre que vous souhaitez appliquer, choisissez Ajouter un filtre, puis choisissez vos critères de filtrage et indiquez si vous souhaitez conserver ou supprimer les demandes correspondant à ces critères. Lorsque vous avez fini d'ajouter des filtres, modifiez si nécessaire le comportement de journalisation par défaut. Pour plus d’informations, consultez Trouver vos ACL enregistrements Web dans le Guide du développeur AWS WAF .

Vous pouvez définir une liste de domaines de jetons pour permettre le partage de jetons entre les applications protégées. Les jetons sont utilisés par CAPTCHA and Challenge actions et par l'intégration des applications SDKs que vous implémentez lorsque vous utilisez les groupes de règles AWS Managed Rules pour le contrôle des AWS WAF fraudes, la prévention du rachat de comptes (ATP) et le contrôle des AWS WAF robots.

Les suffixes publics ne sont pas autorisés. Par exemple, vous ne pouvez pas utiliser gov.au ou co.uk comme domaine de jetons.

Par défaut, AWS WAF accepte les jetons uniquement pour le domaine de la ressource protégée. Si vous ajoutez des domaines de jetons dans cette liste, AWS WAF les jetons sont acceptés pour tous les domaines de la liste et pour le domaine de la ressource associée. Pour plus d’informations, consultez AWS WAF configuration de la liste de domaines de ACL jetons Web dans le Guide du développeur AWS WAF .

Vous ne pouvez modifier les durées d'immunité ACL du Web CAPTCHA et de contestation que lorsque vous modifiez un site Web existantACL. Vous trouverez ces paramètres sur la page de détails de la politique de Firewall Manager. Pour plus d'informations sur ces paramètres, consultez Configuration de l'expiration de l'horodatage et de la durée d'immunité des jetons dans AWS WAF. Si vous mettez à jour les paramètres de la configuration de l'association, de la liste des domaines Challenge ou Token dans une politique existante, Firewall Manager remplacera votre site Web local ACLs par les nouvelles valeurs. CAPTCHA Toutefois, si vous ne mettez pas à jour les paramètres de configuration d'association CAPTCHA, de défi ou de liste de domaines de jetons de la politique, les valeurs de votre site Web local ACLs resteront inchangées. Pour plus d'informations sur cette option, consultez CAPTCHA and Challenge dans AWS WAF le guide du AWS WAF développeur.

Sous ACLGestion du Web, choisissez la manière dont Firewall Manager gère ACL la création et le nettoyage des sites Web.

1. Pour Gérer le Web non associé ACLs, indiquez si Firewall Manager gère le Web non associé. ACLs Avec cette option, Firewall Manager crée un site Web ACLs pour les comptes concernés par la politique uniquement si le Web ACLs est destiné à être utilisé par au moins une ressource. Lorsqu'un compte entre dans le champ d'application de la politique, Firewall Manager crée automatiquement un site Web ACL dans le compte si au moins une ressource l'utilise.

   Lorsque vous activez cette option, Firewall Manager effectue un nettoyage unique des sites Web non associés de votre ACLs compte. Le processus de nettoyage peut prendre plusieurs heures. Si une ressource quitte le champ d'application de la politique une fois que Firewall Manager a créé un site WebACL, Firewall Manager dissocie la ressource du WebACL, mais ne nettoie pas le site Web non associé. ACL Firewall Manager nettoie le Web non associé uniquement ACLs lorsque vous activez pour la première fois la gestion du Web non associé ACLs dans la politique.

2. Pour la ACLsource Web, spécifiez si vous souhaitez créer un nouveau site Web ACLs pour les ressources concernées ou si vous souhaitez moderniser le site Web ACLs existant dans la mesure du possible. Firewall Manager peut adapter les sites Web ACLs détenus par des comptes concernés.

   Le comportement par défaut consiste à créer un tout nouveau site WebACLs. Si vous choisissez cette option, tous les sites Web ACLs gérés par Firewall Manager porteront un nom commençant parFMManagedWebACLV2. Si vous choisissez de moderniser le site Web existantACLs, le site Web mis à niveau ACLs portera son nom d'origine et ceux créés par Firewall Manager porteront un nom commençant par. FMManagedWebACLV2

Pour l'action en matière de stratégie, si vous souhaitez créer un site Web ACL dans chaque compte applicable au sein de l'organisation, sans appliquer le Web ACL à aucune ressource pour l'instant, choisissez Identifier les ressources qui ne sont pas conformes aux règles de politique, mais ne corrigez pas automatiquement et ne choisissez pas Gérer le site Web non associé. ACLs Vous pourrez modifier ces options ultérieurement.

Si vous souhaitez plutôt appliquer automatiquement la stratégie aux ressources concernées existantes, choisissez Auto remediate any noncompliant resources (Corriger automatiquement les ressources non conformes). Si Gérer le Web non associé ACLs est désactivée, l'option Corriger automatiquement les ressources non conformes crée un site Web ACL dans chaque compte applicable au sein de l'organisation et associe le Web ACL aux ressources des comptes. Si Gérer le site Web non associé ACLs est activé, l'option Corriger automatiquement les ressources non conformes crée et associe uniquement un site Web ACL aux comptes dont les ressources peuvent être associées au Web. ACL

Lorsque vous choisissez Corriger automatiquement les ressources non conformes, vous pouvez également choisir de supprimer les ACL associations Web existantes des ressources concernées, pour le Web ACLs qui ne sont pas gérées par une autre politique active de Firewall Manager. Si vous choisissez cette option, Firewall Manager associe d'abord le site Web de la politique ACL aux ressources, puis supprime les associations précédentes. Si une ressource est associée à un autre site Web ACL géré par une autre politique active de Firewall Manager, ce choix n'affecte pas cette association.

Choisissez Suivant.

Pour Comptes AWS que cette politique s'applique à, choisissez l'option suivante :

Vous ne pouvez choisir qu'une des options.

Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfantsOUs, Firewall Manager applique automatiquement la politique au nouveau compte.

Pour Resource type (Type de ressource), choisissez les types de ressources que vous souhaitez protéger.

Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

Choisissez Suivant.

Pour les balises de stratégie, ajoutez les balises d'identification que vous souhaitez ajouter à la ressource de politique de Firewall Manager. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

Choisissez Suivant.

Passez en revue les nouveaux paramètres de politique et revenez à toutes les pages où vous devez apporter des modifications.

Lorsque vous êtes satisfait de la politique, choisissez Créer une politique. Dans le volet AWS Firewall Manager des politiques, votre politique doit être répertoriée. Il indiquera probablement En attente sous les en-têtes des comptes et indiquera l'état du paramètre de correction automatique. La création d'une stratégie peut prendre plusieurs minutes. Une fois que le statut Pending (En attente) est remplacé par le nombre de comptes, vous pouvez choisir le nom de la stratégie pour examiner le statut de conformité des comptes et des ressources. Pour plus d'informations, veuillez consulter Afficher les informations de conformité relatives à une AWS Firewall Manager politique

Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

Dans le volet de navigation, sélectionnez Stratégies de sécurité.

Choisissez Create Policy (Créer une politique).

Pour Type de stratégie, choisissez AWS WAF Classic.

Si vous avez déjà créé le groupe de règles AWS WAF classique que vous souhaitez ajouter à la politique, choisissez Créer une AWS Firewall Manager politique et ajoutez des groupes de règles existants. Si vous souhaitez créer un nouveau groupe de règles, choisissez Create a Firewall Manager policy et ajoutez un nouveau groupe de règles.

Pour Région, choisissez un Région AWS. Pour protéger les CloudFront ressources d'Amazon, choisissez Global.

Pour protéger les ressources de plusieurs régions (autres que les CloudFront ressources), vous devez créer des politiques Firewall Manager distinctes pour chaque région.

Choisissez Suivant.

Si vous créez un groupe de règles, suivez les instructions fournies dans Création d'un groupe de règles AWS WAF classique. Une fois que vous avez créé le groupe de règles, poursuivez avec les étapes suivantes.

Entrez un nom de stratégie.

Si vous ajoutez un groupe de règles prédéfini, utilisez le menu déroulant pour sélectionner le groupe de règles à ajouter, puis choisissez Add rule group (Ajouter le groupe de règles).

Une stratégie a deux actions possibles : Action définie par un groupe de règles et Nombre. Si vous souhaitez tester la stratégie et le groupe de règles, définissez l'action sur Nombre. Cette action remplace toute action de blocage spécifiée par le groupe de règles contenu dans la stratégie. Autrement dit, si l'action de la stratégie est définie sur Nombre, ces demandes sont uniquement comptabilisées et ne sont pas bloquées. À l'inverse, si vous définissez l'action de la stratégie sur Action set by rule group (Action définie par le groupe de règles), les actions du groupe de règles de la stratégie sont utilisées. Choisissez l'action appropriée.

Choisissez Suivant.

Pour Comptes AWS que cette politique s'applique à, choisissez l'option suivante :

Vous ne pouvez choisir qu'une des options.

Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfantsOUs, Firewall Manager applique automatiquement la politique au nouveau compte.

Choisissez le type de ressource que vous voulez protéger.

Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

Si vous souhaitez appliquer automatiquement la stratégie à des ressources existantes, choisissez Créer et appliquer cette stratégie à des ressources existantes et nouvelles.

Cette option crée un site Web ACL dans chaque compte applicable au sein d'une AWS organisation et ACL associe le Web aux ressources des comptes. Cette option applique également la stratégie à toutes les nouvelles ressources qui correspondent aux précédents critères (type de ressource et balises). Sinon, si vous choisissez Create policy mais que vous ne l'appliquez pas aux ressources existantes ou nouvelles, Firewall Manager crée un site Web ACL dans chaque compte applicable au sein de l'organisation, mais n'applique le Web ACL à aucune ressource. Vous devrez appliquer la stratégie aux ressources ultérieurement. Choisissez l'option appropriée.

Pour Remplacer le site Web associé existant ACLs, vous pouvez choisir de supprimer toutes les ACL associations Web actuellement définies pour les ressources concernées, puis de les remplacer par des associations vers le Web ACLs que vous créez avec cette politique. Par défaut, Firewall Manager ne supprime pas les ACL associations Web existantes avant d'en ajouter de nouvelles. Si vous souhaitez supprimer les associations existantes, choisissez cette option.

Choisissez Suivant.

Passez en revue la nouvelle stratégie. Pour effectuer des modifications, sélectionnez Modifier. Lorsque vous êtes satisfait de la stratégie, choisissez Créer et appliquer une stratégie.

Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

Dans le volet de navigation, sélectionnez Stratégies de sécurité.

Choisissez Create Policy (Créer une politique).

Pour le type de politique, choisissez Shield Advanced.

Pour créer une politique Shield Advanced, vous devez être abonné à Shield Advanced. Si vous n'êtes pas abonné, vous êtes invité à le faire. Pour plus d'informations sur le coût de l'abonnement, consultez la section AWS Shield Advanced Tarification.

Pour Région, choisissez un Région AWS. Pour protéger les CloudFront distributions Amazon, choisissez Global.

Pour les choix de régions autres que Global, afin de protéger les ressources de plusieurs régions, vous devez créer une politique Firewall Manager distincte pour chaque région.

Choisissez Suivant.

Dans Nom, entrez un nom descriptif.

Pour les politiques régionales mondiales uniquement, vous pouvez choisir si vous souhaitez gérer l'DDoSatténuation automatique de la couche d'application Shield Advanced. Pour plus d'informations sur cette fonctionnalité Shield Advanced, consultezAutomatiser l'DDoSatténuation de la couche applicative avec Shield Advanced .

Vous pouvez choisir d'activer ou de désactiver l'atténuation automatique, ou de l'ignorer. Si vous choisissez de l'ignorer, Firewall Manager ne gère aucune atténuation automatique pour les protections Shield Advanced. Pour plus d'informations sur ces options de stratégie, consultezUtilisation de l'DDoSatténuation automatique de la couche applicative avec les politiques avancées de Firewall Manager Shield.

Dans ACLGestion du Web, si vous souhaitez que Firewall Manager gère le Web non associéACLs, activez l'option Gérer le Web non associé. ACLs Avec cette option, Firewall Manager crée le Web ACLs dans les comptes concernés par la politique uniquement si le Web est ACLs destiné à être utilisé par au moins une ressource. À tout moment, si un compte entre dans le champ d'application de la politique, Firewall Manager crée automatiquement un site Web ACL dans le compte si au moins une ressource utilise le WebACL. Lorsque cette option est activée, Firewall Manager effectue un nettoyage unique des sites Web ACLs non associés de votre compte. Le processus de nettoyage peut prendre plusieurs heures. Si une ressource quitte le champ d'application de la politique une fois que Firewall Manager a créé un site WebACL, Firewall Manager ne dissociera pas la ressource du WebACL. Pour inclure le Web ACL dans le nettoyage ponctuel, vous devez d'abord dissocier manuellement les ressources du Web, ACL puis activer Gérer le Web non associé. ACLs

Pour ce qui est de l'action stratégique, nous recommandons de créer la politique avec l'option qui ne corrige pas automatiquement les ressources non conformes. Lorsque vous désactivez la correction automatique, vous pouvez évaluer les effets de votre nouvelle politique avant de l'appliquer. Lorsque vous êtes convaincu que les modifications sont conformes à vos attentes, modifiez la politique et modifiez l'action de stratégie pour activer la correction automatique.

Si vous souhaitez plutôt appliquer automatiquement la stratégie aux ressources concernées existantes, choisissez Auto remediate any noncompliant resources (Corriger automatiquement les ressources non conformes). Cette option applique les protections Shield Advanced à chaque compte applicable au sein de l' AWS organisation et à chaque ressource applicable dans les comptes.

Pour les politiques régionales mondiales uniquement, si vous choisissez Corriger automatiquement les ressources non conformes, vous pouvez également choisir que Firewall Manager remplace automatiquement toutes les ACL associations Web AWS WAF classiques existantes par de nouvelles associations Web ACLs créées à l'aide de la dernière version de AWS WAF (v2). Si vous choisissez cette option, Firewall Manager supprime les associations avec la version Web précédente ACLs et crée de nouvelles associations avec la dernière version WebACLs, après avoir créé un nouveau site Web vide ACLs dans tous les comptes concernés qui ne les ont pas déjà pour la politique. Pour plus d’informations sur cette option, consultez Remplacer le Web AWS WAF classique ACLs par la dernière version Web ACLs.

Choisissez Suivant.

Pour Comptes AWS que cette politique s'applique à, choisissez l'option suivante :

Vous ne pouvez choisir qu'une des options.

Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfantsOUs, Firewall Manager applique automatiquement la politique au nouveau compte.

Choisissez le type de ressource que vous voulez protéger.

Firewall Manager ne prend pas en charge Amazon Route 53 ou AWS Global Accelerator. Si vous devez utiliser Shield Advanced pour protéger les ressources de ces services, vous ne pouvez pas utiliser une politique de Firewall Manager. Suivez plutôt les instructions de Shield Advanced à l'adresseAjouter AWS Shield Advanced une protection aux AWS ressources.

Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

Choisissez Suivant.

Pour les balises de stratégie, ajoutez les balises d'identification que vous souhaitez ajouter à la ressource de politique de Firewall Manager. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

Choisissez Suivant.

Passez en revue les nouveaux paramètres de politique et revenez à toutes les pages où vous devez apporter des modifications.

Lorsque vous êtes satisfait de la politique, choisissez Créer une politique. Dans le volet AWS Firewall Manager des politiques, votre politique doit être répertoriée. Il indiquera probablement En attente sous les en-têtes des comptes et indiquera l'état du paramètre de correction automatique. La création d'une stratégie peut prendre plusieurs minutes. Une fois que le statut Pending (En attente) est remplacé par le nombre de comptes, vous pouvez choisir le nom de la stratégie pour examiner le statut de conformité des comptes et des ressources. Pour plus d'informations, veuillez consulter Afficher les informations de conformité relatives à une AWS Firewall Manager politique

Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

Dans le volet de navigation, sélectionnez Stratégies de sécurité.

Choisissez Create Policy (Créer une politique).

Pour Type de stratégie, choisissez Groupe de sécurité.

Pour Security group policy type (Type de stratégie de groupe de sécurité), choisissez Common security groups (Groupes de sécurité communs).

Pour Région, choisissez un Région AWS.

Choisissez Suivant.

Pour Nom de la stratégie, entrez un nom convivial.

Pour Règles de stratégie, procédez comme suit :

1. Dans l'option règles, choisissez les restrictions que vous souhaitez appliquer aux règles du groupe de sécurité et aux ressources relevant du champ d'application de la stratégie. Si vous choisissez Distribuer les balises du groupe de sécurité principal aux groupes de sécurité créés par cette politique, vous devez également sélectionner Identifier et signaler lorsque les groupes de sécurité créés par cette politique deviennent non conformes.

   Important

   Firewall Manager ne distribuera pas les balises système ajoutées par les AWS services dans les groupes de sécurité répliqués. Les balises système commencent par le préfixe aws:. En outre, Firewall Manager ne met pas à jour les balises des groupes de sécurité existants et ne crée pas de nouveaux groupes de sécurité si la politique contient des balises en conflit avec la politique de balises de l'entreprise. Pour plus d'informations sur les politiques relatives aux balises, consultez la section Politiques relatives aux balises dans le guide de AWS Organizations l'utilisateur.

   Si vous choisissez Distribuer les références aux groupes de sécurité du groupe de sécurité principal aux groupes de sécurité créés par cette politique, Firewall Manager ne distribue les références aux groupes de sécurité que s'ils disposent d'une connexion d'appairage active sur AmazonVPC. Pour plus d'informations sur cette option, consultez la section Paramètres des règles de politique.

2. Pour les groupes de sécurité principaux, choisissez Ajouter des groupes de sécurité, puis choisissez les groupes de sécurité que vous souhaitez utiliser. Firewall Manager renseigne la liste des groupes de sécurité à partir de toutes les VPC instances Amazon du compte administrateur de Firewall Manager.

   Par défaut, le nombre maximum de groupes de sécurité principaux par politique est de 3. Pour plus d'informations sur ce paramètre, consultez AWS Firewall Manager quotas.

3. Pour Action de stratégie (Policy action), nous vous recommandons de créer la stratégie avec l'option qui n'applique pas la résolution automatique. Cela vous permet d'évaluer les effets de votre nouvelle stratégie avant d'appliquer celle-ci. Lorsque vous êtes convaincu que les modifications correspondent à vos besoins, modifiez la stratégie et modifiez l'action de stratégie pour activer la résolution automatique des ressources non conformes.

Choisissez Suivant.

Pour Comptes AWS que cette politique s'applique à, choisissez l'option suivante :

Vous ne pouvez choisir qu'une des options.

Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfantsOUs, Firewall Manager applique automatiquement la politique au nouveau compte.

Pour Resource type (Type de ressource), choisissez les types de ressources que vous souhaitez protéger.

Pour l'EC2instance de type ressource, vous pouvez choisir de corriger toutes les EC2 instances Amazon ou de ne corriger que les instances dotées uniquement de l'interface Elastic network principale par défaut ()ENI. Pour cette dernière option, Firewall Manager ne corrige pas les instances comportant des ENI pièces jointes supplémentaires. Au lieu de cela, lorsque la correction automatique est activée, Firewall Manager marque uniquement l'état de conformité de ces EC2 instances et n'applique aucune action corrective. Consultez les mises en garde et les limites supplémentaires relatives au type de EC2 ressource Amazon à l'adresse. Mises en garde et limites relatives à la politique des groupes de sécurité

Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

Pour les VPCressources partagées, si vous souhaitez appliquer la politique aux ressources partagéesVPCs, en plus de celles VPCs que possèdent les comptes, sélectionnez Inclure les ressources partagées VPCs.

Choisissez Suivant.

Vérifiez les paramètres de stratégie pour vous assurer qu'ils vous conviennent, puis choisissez Créer une stratégie.

Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

Dans le volet de navigation, sélectionnez Stratégies de sécurité.

Choisissez Create Policy (Créer une politique).

Pour Type de stratégie, choisissez Groupe de sécurité.

Pour Security group policy type (Type de stratégie de groupe de sécurité), choisissez Auditing and enforcement of security group rules (Audit et application de règles de groupe de sécurité).

Pour Région, choisissez un Région AWS.

Choisissez Suivant.

Pour Nom de la stratégie, entrez un nom convivial.

Pour les règles de stratégie, choisissez l'option de règles de stratégie gérées ou personnalisées que vous souhaitez utiliser.

1. Pour Configurer les règles de politique d'audit gérées, procédez comme suit :

   1. Pour Configurer les règles de groupe de sécurité à auditer, sélectionnez le type de règles de groupe de sécurité auquel vous souhaitez que votre politique d'audit s'applique.

   2. Si vous souhaitez notamment appliquer des règles d'audit basées sur les protocoles, les ports et les paramètres de CIDR plage de vos groupes de sécurité, choisissez Auditer les règles trop permissives des groupes de sécurité et sélectionnez les options souhaitées.

      Pour la sélection La règle autorise tout le trafic, vous pouvez fournir une liste d'applications personnalisée pour désigner les applications que vous souhaitez auditer. Pour plus d'informations sur les listes d'applications personnalisées et sur leur utilisation dans votre politique, consultez Utilisation de listes gérées etUtilisation de listes gérées.

      Pour les sélections qui utilisent des listes de protocoles, vous pouvez utiliser des listes existantes et créer de nouvelles listes. Pour plus d'informations sur les listes de protocoles et sur la façon de les utiliser dans votre politique, reportez-vous Utilisation de listes gérées aux sections etUtilisation de listes gérées.

   3. Si vous souhaitez auditer les applications à haut risque en fonction de leur accès à des CIDR plages réservées ou non réservées, choisissez Auditer les applications à haut risque et sélectionnez les options souhaitées.

      Les sélections suivantes s'excluent mutuellement : applications qui peuvent accéder uniquement aux CIDR plages réservées et applications autorisées à accéder aux CIDR plages non réservées. Vous pouvez sélectionner au plus l'un d'entre eux dans n'importe quelle politique.

      Pour les sélections utilisant des listes d'applications, vous pouvez utiliser des listes existantes et créer de nouvelles listes. Pour plus d'informations sur les listes d'applications et sur la façon de les utiliser dans votre politique, consultez Utilisation de listes gérées etUtilisation de listes gérées.

   4. Utilisez les paramètres de remplacement pour remplacer explicitement les autres paramètres de la politique. Vous pouvez choisir de toujours autoriser ou de toujours refuser des règles de groupe de sécurité spécifiques, qu'elles soient conformes ou non aux autres options que vous avez définies pour la politique.

      Pour cette option, vous devez fournir un groupe de sécurité d'audit en tant que modèle de règles autorisées ou de règles refusées. Pour Auditer les groupes de sécurité, choisissez Ajouter des groupes de sécurité d'audit, puis choisissez le groupe de sécurité que vous souhaitez utiliser. Firewall Manager renseigne la liste des groupes de sécurité d'audit à partir de toutes les VPC instances Amazon du compte administrateur de Firewall Manager. Le quota maximal par défaut pour le nombre de groupes de sécurité d'audit pour une stratégie est égal à un (1). Pour de plus amples informations sur l'augmentation du quota, consultez AWS Firewall Manager quotas.

2. Pour Configurer des règles de politique personnalisées, procédez comme suit :

   1. Dans les options de règles, choisissez d'autoriser uniquement les règles définies dans les groupes de sécurité d'audit ou de refuser toutes les règles. Pour de plus amples informations sur ce choix, consultez Utilisation de politiques de groupe de sécurité pour l'audit de contenu avec Firewall Manager.

   2. Pour Auditer les groupes de sécurité, choisissez Ajouter des groupes de sécurité d'audit, puis choisissez le groupe de sécurité que vous souhaitez utiliser. Firewall Manager renseigne la liste des groupes de sécurité d'audit à partir de toutes les VPC instances Amazon du compte administrateur de Firewall Manager. Le quota maximal par défaut pour le nombre de groupes de sécurité d'audit pour une stratégie est égal à un (1). Pour de plus amples informations sur l'augmentation du quota, consultez AWS Firewall Manager quotas.

   3. Pour Action de stratégie (Policy action), vous devez créer la stratégie avec l'option qui n'applique pas la résolution automatique. Cela vous permet d'évaluer les effets de votre nouvelle stratégie avant d'appliquer celle-ci. Lorsque vous êtes convaincu que les modifications correspondent à vos souhaits, modifiez la stratégie et modifiez l'action de stratégie pour activer la résolution automatique des ressources non conformes.

Choisissez Suivant.

Pour Comptes AWS que cette politique s'applique à, choisissez l'option suivante :

Vous ne pouvez choisir qu'une des options.

Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfantsOUs, Firewall Manager applique automatiquement la politique au nouveau compte.

Pour Type de ressource, choisissez les types de ressource que vous souhaitez protéger.

Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

Choisissez Suivant.

Vérifiez les paramètres de stratégie pour vous assurer qu'ils vous conviennent, puis choisissez Créer une stratégie.

Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

Dans le volet de navigation, sélectionnez Stratégies de sécurité.

Choisissez Create Policy (Créer une politique).

Pour Type de stratégie, choisissez Groupe de sécurité.

Pour le type de politique de groupe de sécurité, choisissez Audit et nettoyage des groupes de sécurité redondants et non associés.

Pour Région, choisissez un Région AWS.

Choisissez Suivant.

Pour Nom de la stratégie, entrez un nom convivial.

Pour Règles de stratégie, choisissez l'une des options disponibles ou les deux.

Pour Action de stratégie (Policy action), nous vous recommandons de créer la stratégie avec l'option qui n'applique pas la résolution automatique. Cela vous permet d'évaluer les effets de votre nouvelle stratégie avant d'appliquer celle-ci. Lorsque vous êtes convaincu que les modifications correspondent à vos besoins, modifiez la stratégie et modifiez l'action de stratégie pour activer la résolution automatique des ressources non conformes.

Choisissez Suivant.

Pour Comptes AWS que cette politique s'applique à, choisissez l'option suivante :

Vous ne pouvez choisir qu'une des options.

Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfantsOUs, Firewall Manager applique automatiquement la politique au nouveau compte.

Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

Choisissez Suivant.

Si vous n'avez pas exclu le compte administrateur de Firewall Manager du champ d'application de la politique, Firewall Manager vous invite à le faire. Cela vous permet de contrôler manuellement les groupes de sécurité du compte administrateur de Firewall Manager, que vous utilisez pour les politiques de groupe de sécurité communes et d'audit. Choisissez l'option souhaitée dans cette boîte de dialogue.

Vérifiez les paramètres de stratégie pour vous assurer qu'ils vous conviennent, puis choisissez Créer une stratégie.

Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

Dans le volet de navigation, sélectionnez Stratégies de sécurité.

Choisissez Create Policy (Créer une politique).

Pour Type de stratégie, choisissez Réseau ACL.

Pour Région, choisissez un Région AWS.

Choisissez Suivant.

Dans Nom de la politique, entrez un nom descriptif.

Pour les règles de politique, définissez les règles que vous souhaitez toujours exécuter dans le réseau ACLs géré pour vous par Firewall Manager. Le réseau ACLs surveille et gère le trafic entrant et sortant. Ainsi, dans votre politique, vous définissez les règles pour les deux directions.

Dans les deux sens, vous définissez des règles que vous souhaitez toujours exécuter en premier et des règles que vous souhaitez toujours exécuter en dernier. Dans le réseau ACLs géré par Firewall Manager, les propriétaires de comptes peuvent définir des règles personnalisées à exécuter entre ces première et dernière règles.

Pour l'action stratégique, si vous souhaitez identifier les sous-réseaux et le réseau non conformesACLs, mais que vous ne devez pas encore prendre de mesures correctives, choisissez Identifier les ressources qui ne sont pas conformes aux règles de politique, mais ne corrigent pas automatiquement. Vous pourrez modifier ces options ultérieurement.

Si vous souhaitez plutôt appliquer automatiquement la politique aux sous-réseaux concernés existants, choisissez Corriger automatiquement les ressources non conformes. Avec cette option, vous pouvez également spécifier s'il faut forcer la correction lorsque le comportement de gestion du trafic des règles de politique entre en conflit avec les règles personnalisées présentes sur le réseauACL. Que vous forciez ou non la correction, Firewall Manager signale des règles contradictoires dans ses violations de conformité.

Choisissez Suivant.

Pour Comptes AWS que cette politique s'applique à, choisissez l'option suivante :

Vous ne pouvez choisir qu'une des options.

Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique pas la politique à de nouveaux comptes différents. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfantsOUs, Firewall Manager applique automatiquement la politique au nouveau compte.

Pour le type de ressource, le paramètre est fixé aux sous-réseaux.

Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

Choisissez Suivant.

Vérifiez les paramètres de stratégie pour vous assurer qu'ils vous conviennent, puis choisissez Créer une stratégie.

Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

Dans le volet de navigation, sélectionnez Stratégies de sécurité.

Choisissez Create Policy (Créer une politique).

Pour Policy type (Type de stratégie), choisissez AWS Network Firewall.

Sous Type de gestion de pare-feu, choisissez la manière dont vous souhaitez que Firewall Manager gère les pare-feux définis par la politique. Sélectionnez parmi les options suivantes :

Pour Région, choisissez un Région AWS. Pour protéger les ressources de plusieurs régions, vous devez créer des politiques distinctes pour chaque région.

Choisissez Suivant.

Dans Nom de la politique, entrez un nom descriptif. Firewall Manager inclut le nom de la politique dans les noms des pare-feux Network Firewall et des politiques de pare-feu qu'il crée.

Dans la configuration AWS Network Firewall de la politique, configurez la politique de pare-feu comme vous le feriez dans Network Firewall. Ajoutez vos groupes de règles apatrides et statiques et spécifiez les actions par défaut de la politique. Vous pouvez éventuellement définir l'ordre d'évaluation dynamique des règles et les actions par défaut de la politique, ainsi que la configuration de journalisation. Pour plus d'informations sur la gestion des politiques de pare-feu de Network Firewall, consultez les politiques de AWS Network Firewall pare-feu dans le Guide du AWS Network Firewall développeur.

Lorsque vous créez la politique Firewall Network Firewall de Firewall Manager, Firewall Manager crée des politiques de pare-feu pour les comptes concernés. Les responsables de comptes individuels peuvent ajouter des groupes de règles aux politiques de pare-feu, mais ils ne peuvent pas modifier la configuration que vous fournissez ici.

Choisissez Suivant.

Procédez de l'une des manières suivantes, en fonction du type de gestion du pare-feu que vous avez sélectionné à l'étape précédente :

Choisissez Suivant.

Si votre politique utilise un type de gestion de pare-feu distribué, sous Gestion des itinéraires, choisissez si Firewall Manager surveillera et alertera sur le trafic qui doit être acheminé via les points de terminaison du pare-feu respectifs.

Pour le type de trafic, ajoutez éventuellement les points de terminaison du trafic par lesquels vous souhaitez acheminer le trafic pour l'inspection du pare-feu.

Pour Autoriser le trafic inter-AZ requis, si vous activez cette option, Firewall Manager considère comme conforme le routage qui envoie le trafic hors d'une zone de disponibilité pour inspection, pour les zones de disponibilité qui ne disposent pas de leur propre point de terminaison de pare-feu. Les zones de disponibilité dotées de points de terminaison doivent toujours inspecter leur propre trafic.

Choisissez Suivant.

Pour le champ d'application de la politique, dans le cadre de Comptes AWS cette politique s'applique à, choisissez l'option suivante :

Vous ne pouvez choisir qu'une des options.

Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfantsOUs, Firewall Manager applique automatiquement la politique au nouveau compte.

Le type de ressource pour les politiques de Network Firewall est VPC.

Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

Choisissez Suivant.

Pour les balises de stratégie, ajoutez les balises d'identification que vous souhaitez ajouter à la ressource de politique de Firewall Manager. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

Choisissez Suivant.

Passez en revue les nouveaux paramètres de politique et revenez à toutes les pages où vous devez apporter des modifications.

Lorsque vous êtes satisfait de la politique, choisissez Créer une politique. Dans le volet AWS Firewall Manager des politiques, votre politique doit être répertoriée. Il indiquera probablement En attente sous les en-têtes des comptes et indiquera l'état du paramètre de correction automatique. La création d'une stratégie peut prendre plusieurs minutes. Une fois que le statut Pending (En attente) est remplacé par le nombre de comptes, vous pouvez choisir le nom de la stratégie pour examiner le statut de conformité des comptes et des ressources. Pour plus d'informations, veuillez consulter Afficher les informations de conformité relatives à une AWS Firewall Manager politique

Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

Dans le volet de navigation, sélectionnez Stratégies de sécurité.

Choisissez Create Policy (Créer une politique).

Pour le type de politique, choisissez Amazon Route 53 Resolver DNSFirewall.

Pour Région, choisissez un Région AWS. Pour protéger les ressources de plusieurs régions, vous devez créer des politiques distinctes pour chaque région.

Choisissez Suivant.

Dans Nom de la politique, entrez un nom descriptif.

Dans la configuration des politiques, ajoutez les groupes de règles que DNS Firewall doit évaluer en premier et en dernier parmi vos VPCs « associations de groupes de règles ». Vous pouvez ajouter jusqu'à deux groupes de règles à la politique.

Lorsque vous créez la politique de DNS pare-feu de Firewall Manager, Firewall Manager crée les associations de groupes de règles, avec les priorités d'association que vous avez fournies, pour les comptes VPCs et concernés. Les responsables de comptes individuels peuvent ajouter des associations de groupes de règles entre votre première et votre dernière association, mais ils ne peuvent pas modifier les associations que vous définissez ici. Pour de plus amples informations, veuillez consulter Utilisation des politiques de DNS pare-feu d'Amazon Route 53 Resolver dans Firewall Manager.

Choisissez Suivant.

Pour Comptes AWS que cette politique s'applique à, choisissez l'option suivante :

Vous ne pouvez choisir qu'une des options.

Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfantsOUs, Firewall Manager applique automatiquement la politique au nouveau compte.

Le type de ressource pour les politiques de DNS pare-feu est VPC.

Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

Choisissez Suivant.

Pour les balises de stratégie, ajoutez les balises d'identification que vous souhaitez ajouter à la ressource de politique de Firewall Manager. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

Choisissez Suivant.

Passez en revue les nouveaux paramètres de politique et revenez à toutes les pages où vous devez apporter des modifications.

Lorsque vous êtes satisfait de la politique, choisissez Créer une politique. Dans le volet AWS Firewall Manager des politiques, votre politique doit être répertoriée. Il indiquera probablement En attente sous les en-têtes des comptes et indiquera l'état du paramètre de correction automatique. La création d'une stratégie peut prendre plusieurs minutes. Une fois que le statut Pending (En attente) est remplacé par le nombre de comptes, vous pouvez choisir le nom de la stratégie pour examiner le statut de conformité des comptes et des ressources. Pour plus d'informations, veuillez consulter Afficher les informations de conformité relatives à une AWS Firewall Manager politique

Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

Dans le volet de navigation, sélectionnez Stratégies de sécurité.

Choisissez Create Policy (Créer une politique).

Pour le type de politique, choisissez Palo Alto Networks Cloud NGFW. Si vous n'êtes pas encore abonné au NGFW service Cloud de Palo Alto Networks AWS sur le Marketplace, vous devez d'abord le faire. Pour vous abonner à la AWS Marketplace, choisissez View AWS Marketplace details.

Pour le modèle de déploiement, choisissez le modèle distribué ou le modèle centralisé. Le modèle de déploiement détermine la manière dont Firewall Manager gère les points de terminaison pour la politique. Avec le modèle distribué, Firewall Manager gère les points de terminaison du pare-feu dans chaque zone VPC relevant du champ d'application des politiques. Avec le modèle centralisé, Firewall Manager gère un seul point de terminaison lors d'une inspectionVPC.

Pour Région, choisissez un Région AWS. Pour protéger les ressources de plusieurs régions, vous devez créer des politiques distinctes pour chaque région.

Choisissez Suivant.

Dans Nom de la politique, entrez un nom descriptif.

Dans la configuration de la politique, choisissez la politique de NGFW pare-feu Palo Alto Networks Cloud à associer à cette politique. La liste des politiques de NGFW pare-feu de Palo Alto Networks Cloud contient toutes les politiques de NGFW pare-feu de Palo Alto Networks Cloud associées à votre locataire Palo Alto Networks Cloud. NGFW Pour plus d'informations sur la création et la gestion des politiques de NGFW pare-feu de Palo Alto Networks Cloud, consultez la AWS Firewall Manager rubrique Déployer Palo Alto Networks Cloud NGFW pour AWS le guide de déploiement de Palo Alto Networks Cloud NGFW. AWS

Pour la NGFWjournalisation dans le cloud de Palo Alto Networks (facultatif), choisissez éventuellement le ou les types de NGFW journaux de Palo Alto Networks Cloud à enregistrer conformément à votre politique. Pour plus d'informations sur les types de NGFW journaux de Palo Alto Networks Cloud, voir Configurer la journalisation pour Palo Alto Networks Cloud AWS dans NGFW le guide de déploiement de Palo Alto Networks Cloud NGFW. AWS

Pour la destination des journaux, spécifiez à quel moment Firewall Manager doit écrire les journaux.

Choisissez Suivant.

Sous Configurer un point de terminaison de pare-feu tiers, effectuez l'une des opérations suivantes, selon que vous utilisez le modèle de déploiement distribué ou centralisé pour créer vos points de terminaison de pare-feu :

Si vous souhaitez fournir les CIDR blocs que Firewall Manager utilisera pour les sous-réseaux de votre pare-feuVPCs, ils doivent tous être des blocs CIDR /28. Entrez un bloc par ligne. Si vous les omettez, Firewall Manager choisit pour vous les adresses IP parmi celles disponibles dans leVPCs.

Choisissez Suivant.

Pour le champ d'application de la politique, dans le cadre de Comptes AWS cette politique s'applique à, choisissez l'option suivante :

Vous ne pouvez choisir qu'une des options.

Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfantsOUs, Firewall Manager applique automatiquement la politique au nouveau compte.

Le type de ressource pour les politiques de Network Firewall est VPC.

Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

Pour accorder un accès entre comptes, choisissez Télécharger le AWS CloudFormation modèle. Cela télécharge un AWS CloudFormation modèle que vous pouvez utiliser pour créer une AWS CloudFormation pile. Cette pile crée un AWS Identity and Access Management rôle qui accorde à Firewall Manager des autorisations entre comptes pour gérer les ressources cloud NGFW de Palo Alto Networks. Pour plus d'informations sur les piles, reportez-vous à la section Utilisation des piles dans le Guide de l'AWS CloudFormation utilisateur.

Choisissez Suivant.

Pour les balises de stratégie, ajoutez les balises d'identification que vous souhaitez ajouter à la ressource de politique de Firewall Manager. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

Choisissez Suivant.

Passez en revue les nouveaux paramètres de politique et revenez à toutes les pages où vous devez apporter des modifications.

Lorsque vous êtes satisfait de la politique, choisissez Créer une politique. Dans le volet AWS Firewall Manager des politiques, votre politique doit être répertoriée. Il indiquera probablement En attente sous les en-têtes des comptes et indiquera l'état du paramètre de correction automatique. La création d'une stratégie peut prendre plusieurs minutes. Une fois que le statut Pending (En attente) est remplacé par le nombre de comptes, vous pouvez choisir le nom de la stratégie pour examiner le statut de conformité des comptes et des ressources. Pour plus d'informations, veuillez consulter Afficher les informations de conformité relatives à une AWS Firewall Manager politique

Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

Dans le volet de navigation, sélectionnez Stratégies de sécurité.

Choisissez Create Policy (Créer une politique).

Pour le type de politique, choisissez Fortigate Cloud Native Firewall (CNF) en tant que service. Si vous n'êtes pas encore abonné au CNFservice Fortigate sur le AWS Marketplace, vous devez d'abord le faire. Pour vous abonner à la AWS Marketplace, choisissez View AWS Marketplace details.

Pour le modèle de déploiement, choisissez le modèle distribué ou le modèle centralisé. Le modèle de déploiement détermine la manière dont Firewall Manager gère les points de terminaison pour la politique. Avec le modèle distribué, Firewall Manager gère les points de terminaison du pare-feu dans chaque zone VPC relevant du champ d'application des politiques. Avec le modèle centralisé, Firewall Manager gère un seul point de terminaison lors d'une inspectionVPC.

Pour Région, choisissez un Région AWS. Pour protéger les ressources de plusieurs régions, vous devez créer des politiques distinctes pour chaque région.

Choisissez Suivant.

Dans Nom de la politique, entrez un nom descriptif.

Dans la configuration de la politique, choisissez la politique de CNF pare-feu Fortigate à associer à cette politique. La liste des politiques de CNF pare-feu Fortigate contient toutes les politiques de CNF pare-feu Fortigate associées à votre client Fortigate. CNF Pour plus d'informations sur la création et la gestion de CNF locataires Fortigate, consultez la documentation Fortinet.

Choisissez Suivant.

Sous Configurer un point de terminaison de pare-feu tiers, effectuez l'une des opérations suivantes, selon que vous utilisez le modèle de déploiement distribué ou centralisé pour créer vos points de terminaison de pare-feu :

Si vous souhaitez fournir les CIDR blocs que Firewall Manager utilisera pour les sous-réseaux de votre pare-feuVPCs, ils doivent tous être des blocs CIDR /28. Entrez un bloc par ligne. Si vous les omettez, Firewall Manager choisit pour vous les adresses IP parmi celles disponibles dans leVPCs.

Choisissez Suivant.

Pour le champ d'application de la politique, dans le cadre de Comptes AWS cette politique s'applique à, choisissez l'option suivante :

Vous ne pouvez choisir qu'une des options.

Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfantsOUs, Firewall Manager applique automatiquement la politique au nouveau compte.

Le type de ressource pour les politiques de Network Firewall est VPC.

Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

Pour accorder un accès entre comptes, choisissez Télécharger le AWS CloudFormation modèle. Cela télécharge un AWS CloudFormation modèle que vous pouvez utiliser pour créer une AWS CloudFormation pile. Cette pile crée un AWS Identity and Access Management rôle qui accorde à Firewall Manager des autorisations entre comptes pour gérer les ressources FortigateCNF. Pour plus d'informations sur les piles, reportez-vous à la section Utilisation des piles dans le Guide de l'AWS CloudFormation utilisateur. Pour créer une pile, vous aurez besoin de l'identifiant du compte sur le portail Fortigate. CNF

Choisissez Suivant.

Pour les balises de stratégie, ajoutez les balises d'identification que vous souhaitez ajouter à la ressource de politique de Firewall Manager. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

Choisissez Suivant.

Passez en revue les nouveaux paramètres de politique et revenez à toutes les pages où vous devez apporter des modifications.

Lorsque vous êtes satisfait de la politique, choisissez Créer une politique. Dans le volet AWS Firewall Manager des politiques, votre politique doit être répertoriée. Il indiquera probablement En attente sous les en-têtes des comptes et indiquera l'état du paramètre de correction automatique. La création d'une stratégie peut prendre plusieurs minutes. Une fois que le statut Pending (En attente) est remplacé par le nombre de comptes, vous pouvez choisir le nom de la stratégie pour examiner le statut de conformité des comptes et des ressources. Pour plus d'informations, veuillez consulter Afficher les informations de conformité relatives à une AWS Firewall Manager politique