Utilisation des politiques de liste de contrôle d'accès VPC réseau (ACL) d'Amazon avec Firewall Manager - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Bonnes pratiquesMises en garde

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des politiques de liste de contrôle d'accès VPC réseau (ACL) d'Amazon avec Firewall Manager

Cette section décrit le fonctionnement ACL des politiques AWS Firewall Manager réseau et fournit des conseils pour les utiliser. Pour obtenir des conseils sur la création d'une ACL politique réseau à l'aide de la console, consultezCréation d'une ACL politique réseau.

Pour plus d'informations sur les listes de contrôle d'accès au VPC réseau Amazon (ACLs), consultez la section Contrôler le trafic vers les sous-réseaux à l'aide du réseau ACLs dans le guide de VPC l'utilisateur Amazon.

Vous pouvez utiliser ACL les politiques réseau de Firewall Manager pour gérer les listes de contrôle d'accès au réseau Amazon Virtual Private Cloud (Amazon VPCACLs) () pour votre organisation dans AWS Organizations. Vous définissez les paramètres des ACL règles réseau de la politique ainsi que les comptes et sous-réseaux auxquels vous souhaitez que les paramètres soient appliqués. Firewall Manager applique en permanence vos paramètres de politique aux comptes et aux sous-réseaux lorsqu'ils sont ajoutés ou mis à jour au sein de votre organisation. Pour plus d'informations sur le champ d'application de la politique Utilisation du champ d'application AWS Firewall Manager de la politique et consultez le Guide de AWS Organizations l'utilisateur. AWS Organizations

Lorsque vous définissez une ACL politique réseau Firewall Manager, en plus des paramètres de stratégie standard de Firewall Manager, tels que le nom et l'étendue, vous fournissez les informations suivantes :

  • Première et dernière règles de gestion du trafic entrant et sortant. Firewall Manager impose la présence et l'ordre des éléments concernés par la politique sur le réseauACLs, ou signale les cas de non-conformité. Vos comptes individuels peuvent créer des règles personnalisées à appliquer entre la première et la dernière règle de la politique.

  • S'il faut forcer la correction lorsque la correction entraînerait des conflits de gestion du trafic entre les règles du réseau. ACL Cela s'applique uniquement lorsque la correction est activée pour la politique.

Bonnes pratiques relatives à l'utilisation des ACL politiques réseau de Firewall Manager

Cette section répertorie les recommandations relatives à l'utilisation des ACL politiques réseau et du réseau géré de Firewall ManagerACLs.

Reportez-vous à la FMManaged balise pour identifier ACLs les réseaux gérés par Firewall Manager

La FMManaged balise ACLs est définie sur le réseau géré par Firewall Managertrue. Utilisez cette balise pour distinguer votre réseau personnalisé ACLs de ceux que vous gérez via Firewall Manager.

Ne modifiez pas la valeur de la FMManaged balise sur un réseau ACL

Firewall Manager utilise cette balise pour définir et déterminer son état de gestion auprès d'un réseauACL.

Ne modifiez pas les associations pour les sous-réseaux dotés d'un réseau géré par Firewall Manager ACLs

Ne modifiez pas manuellement les associations entre vos sous-réseaux et les réseaux ACLs gérés par Firewall Manager. Cela peut empêcher Firewall Manager de gérer les protections de ces sous-réseaux. Vous pouvez identifier ACLs les réseaux gérés par Firewall Manager en recherchant les paramètres de FMManaged balise detrue.

Pour supprimer un sous-réseau de la gestion des politiques de Firewall Manager, utilisez les paramètres de portée des politiques de Firewall Manager pour exclure le sous-réseau. Par exemple, vous pouvez étiqueter le sous-réseau, puis exclure cette balise du champ d'application de la politique. Pour de plus amples informations, veuillez consulter Utilisation du champ d'application AWS Firewall Manager de la politique.

Lorsque vous mettez à jour un réseau géréACL, ne modifiez pas les règles gérées par Firewall Manager

Dans un réseau ACL géré par Firewall Manager, séparez vos règles personnalisées des règles politiques en respectant le schéma de numérotation décrit dans. Utilisation des ACL règles réseau et du balisage dans Firewall Manager Ajoutez ou modifiez uniquement les règles dont les nombres sont compris entre 5 000 et 32 000.

Évitez d'ajouter trop de règles pour les limites de votre compte

Lors de la correction d'un réseauACL, Firewall Manager augmente généralement temporairement le nombre de ACL règles réseau. Pour éviter les problèmes de non-conformité, assurez-vous de disposer de suffisamment de place pour les règles que vous utilisez. Pour de plus amples informations, veuillez consulter Comment Firewall Manager remédie à un réseau géré non conforme ACLs.

Désactiver le lancement avec la correction automatique

Commencez par désactiver la correction automatique, puis passez en revue les informations détaillées de la politique pour déterminer les effets que la correction automatique aurait. Lorsque vous êtes convaincu que les modifications correspondent à vos souhaits, modifiez la stratégie pour activer la résolution automatique.

Mises en garde relatives à la ACL politique réseau de Firewall Manager

Cette section répertorie les mises en garde et les limites liées à l'utilisation des politiques réseau ACL de Firewall Manager.

  • Temps de mise à jour plus lent qu'avec les autres politiques : Firewall Manager applique généralement ACL les politiques réseau et les modifications de politique plus lentement qu'avec les autres politiques de Firewall Manager, en raison des limites de la vitesse à laquelle le EC2 réseau Amazon est capable de traiter ACL APIs les demandes. Vous remarquerez peut-être que les modifications de politique prennent plus de temps que les modifications similaires apportées aux autres politiques de Firewall Manager, en particulier lorsque vous ajoutez une politique pour la première fois.

  • Pour la protection initiale des sous-réseaux, Firewall Manager préfère les anciennes politiques. Cela s'applique uniquement aux sous-réseaux qui ne sont pas encore protégés par une politique réseau ACL de Firewall Manager. Si un sous-réseau entre dans le champ d'application de plusieurs ACL politiques réseau à la fois, Firewall Manager utilise la plus ancienne stratégie pour protéger le sous-réseau.

  • Raisons pour lesquelles une politique cesse de protéger un sous-réseau — Une politique qui gère le réseau d'un sous-réseau ACL conserve la gestion jusqu'à ce que l'une des situations suivantes se produise :

    • Le sous-réseau sort du champ d'application de la politique.

    • La politique est supprimée.

    • Vous modifiez manuellement l'association du sous-réseau vers un réseau ACL géré par une autre politique de Firewall Manager et pour lequel le sous-réseau est concerné.

Rubriques