**Présentation d'une nouvelle expérience de console pour AWS WAF**

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section [Utilisation de la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Tutoriel : Création d'une AWS Firewall Manager politique avec des règles hiérarchiques
<a name="hierarchical-rules"></a>

**Avertissement**  
AWS WAF Classic suit un end-of-life processus planifié. Consultez votre AWS Health tableau de bord pour connaître les étapes et les dates spécifiques à votre région.

**Note**  
Il s'agit d'une documentation **AWS WAF classique**. Vous ne devez utiliser cette version que si vous avez créé AWS WAF des ressources, telles que des règles et du Web ACLs, AWS WAF avant novembre 2019, et que vous ne les avez pas encore migrées vers la dernière version. Pour migrer votre site Web ACLs, consultez[Migration de vos ressources AWS WAF classiques vers AWS WAF](waf-migrating-from-classic.md).  
**Pour la dernière version de AWS WAF**, voir[AWS WAF](waf-chapter.md). 

Avec AWS Firewall Manager, vous pouvez créer et appliquer des politiques de protection AWS WAF classiques contenant des règles hiérarchiques. Ainsi, vous pouvez créer et appliquer certaines règles de manière centralisée, mais déléguer à d'autres personnes la création et la maintenance des règles spécifiques à un compte. Vous pouvez surveiller la suppression accidentelle ou mal gérée des règles (communes) appliquées de manière centralisée, ce qui vous garantit que celles-ci sont appliquées de manière cohérente. Les règles spécifiques à un compte ajoutent une protection supplémentaire personnalisée pour les besoins d'équipes individuelles.

**Note**  
Dans la dernière version de AWS WAF, cette fonctionnalité est intégrée et ne nécessite aucune manipulation particulière. Si vous n'utilisez pas encore AWS WAF Classic, utilisez plutôt la dernière version. Consultez [Création d'une AWS Firewall Manager politique pour AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).

Le didacticiel suivant décrit comment créer un ensemble hiérarchique de règles de protection. 

**Topics**
+ [Étape 1 : Désigner un compte administrateur de Firewall Manager](#hierarchical-rules-set-firewall-administrator)
+ [Étape 2 : créer un groupe de règles à l'aide du compte administrateur de Firewall Manager](#hierarchical-rules-create-a-rule-group)
+ [Étape 3 : créer une politique Firewall Manager et associer le groupe de règles communes](#hierarchical-rules-create-policy)
+ [Étape 4 : Ajouter des règles spécifiques à un compte](#hierarchical-rules-add-account-specific-rules)
+ [Conclusion](#hierarchical-rules-conclusion)

## Étape 1 : Désigner un compte administrateur de Firewall Manager
<a name="hierarchical-rules-set-firewall-administrator"></a>

Pour l'utiliser AWS Firewall Manager, vous devez désigner un compte de votre organisation en tant que compte administrateur de Firewall Manager. Ce compte peut être le compte de gestion ou un compte de membre de l'organisation. 

Vous pouvez utiliser le compte administrateur de Firewall Manager pour créer un ensemble de règles communes à appliquer aux autres comptes de l'organisation. Les autres comptes de l'organisation ne peuvent pas modifier ces règles appliquées de manière centralisée.

Pour désigner un compte en tant que compte administrateur de Firewall Manager et remplir les autres conditions préalables à l'utilisation de Firewall Manager, consultez les instructions figurant dans[AWS Firewall Manager prérequis](fms-prereq.md). Si vous avez déjà réuni les conditions requises, vous pouvez passer directement à l'étape 2 de ce didacticiel. 

Dans ce didacticiel, nous faisons référence au compte administrateur sous la dénomination **Firewall-Administrator-Account**.

## Étape 2 : créer un groupe de règles à l'aide du compte administrateur de Firewall Manager
<a name="hierarchical-rules-create-a-rule-group"></a>

Ensuite, créez un groupe de règles à l'aide de **Firewall-Administrator-Account**. Ce groupe de règles contient les règles communes que vous appliquerez à tous les comptes membres régis par la stratégie que vous allez créer dans l'étape suivante. Seul le compte **Firewall-Administrator-Account** peut apporter des modifications à ces règles et au groupe de règles de conteneur.

Dans ce didacticiel, nous faisons référence à ce groupe de règles de conteneur sous la dénomination **Common-Rule-Group**.

Pour créer un groupe de règles, suivez les instructions dans [Création d'un groupe de règles AWS WAF classique](classic-create-rule-group.md). N'oubliez pas de vous connecter à la console à l'aide de votre compte administrateur Firewall Manager (**Firewall-Administrator-Account**) lorsque vous suivez ces instructions.

## Étape 3 : créer une politique Firewall Manager et associer le groupe de règles communes
<a name="hierarchical-rules-create-policy"></a>

À l'aide de**Firewall-Administrator-Account**, créez une politique Firewall Manager. Lorsque vous créez cette stratégie, vous devez procéder comme suit :
+ Ajoutez **Common-Rule-Group** à la nouvelle stratégie.
+ Incluez tous les comptes de l'organisation auxquels vous souhaitez appliquer **Common-Rule-Group**.
+ Ajoutez toutes les ressources auxquelles vous souhaitez appliquer **Common-Rule-Group**.

Pour obtenir des instructions sur la création d'une stratégie, consultez [Création d'une AWS Firewall Manager politique](create-policy.md).

Cela crée une ACL Web dans chaque compte spécifié et **Common-Rule-Group** s'ajoute à chacun de ces sites Web ACLs. Une fois que vous avez créé la stratégie, cette liste ACL web et les règles communes sont déployées pour tous les comptes spécifiés.

Dans ce didacticiel, nous faisons référence à cette liste ACL web sous la dénomination **Administrator-Created-ACL**. Une liste **Administrator-Created-ACL** unique existe désormais dans chaque compte membre spécifié de l'organisation. 

## Étape 4 : Ajouter des règles spécifiques à un compte
<a name="hierarchical-rules-add-account-specific-rules"></a>

Chaque compte membre de l'organisation peut maintenant ajouter ses propres règles spécifiques à la liste **Administrator-Created-ACL** qui figure dans son compte. Les règles communes déjà en vigueur **Administrator-Created-ACL** continuent de s'appliquer, de même que les nouvelles règles spécifiques aux comptes. AWS WAF inspecte les requêtes Web en fonction de l'ordre dans lequel les règles apparaissent dans l'ACL Web. Cela s'applique à la fois à la liste **Administrator-Created-ACL** et aux règles spécifiques à un compte.

Pour ajouter des règles à**Administrator-Created-ACL**, voir[Modification d'un pack de protection (ACL Web) dans AWS WAF](web-acl-editing.md).

## Conclusion
<a name="hierarchical-rules-conclusion"></a>

Vous disposez désormais d'une ACL Web qui contient des règles communes administrées par le compte administrateur de Firewall Manager ainsi que des règles spécifiques au compte gérées par chaque compte membre.

La liste **Administrator-Created-ACL** dans chaque compte fait référence au groupe unique **Common-Rule-Group**. Par conséquent, les futures modifications apportées par le compte administrateur de **Common-Rule-Group** Firewall Manager prendront effet immédiatement dans chaque compte membre.

Les comptes membres ne peuvent pas modifier ou supprimer les règles communes dans **Common-Rule-Group**.

Les règles spécifiques à un compte n'affectent pas les autres comptes.