Utilisation de politiques de groupe de sécurité communes avec Firewall Manager - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de politiques de groupe de sécurité communes avec Firewall Manager

Cette page explique le fonctionnement des politiques de groupe de sécurité communes de Firewall Manager.

Grâce à une politique de groupe de sécurité commune, Firewall Manager fournit une association contrôlée de manière centralisée des groupes de sécurité aux comptes et aux ressources de votre entreprise. Vous spécifiez où et comment appliquer la stratégie dans votre organisation.

Vous pouvez appliquer des politiques de groupe de sécurité communes aux types de ressources suivants :

  • Instance Amazon Elastic Compute Cloud (AmazonEC2)

  • Interface réseau élastique

  • Application Load Balancer

  • Classic Load Balancer

Pour obtenir des conseils sur la création d'une politique de groupe de sécurité commune à l'aide de la console, consultezCréation d'une stratégie de groupe de sécurité commune.

Partagé VPCs

Dans les paramètres de portée d'une stratégie de groupe de sécurité commune, vous pouvez choisir d'inclure le partageVPCs. Ce choix inclut ceux VPCs qui sont détenus par un autre compte et partagés avec un compte inclus dans le champ d'application. VPCsque les comptes inclus dans le champ d'application sont toujours inclus. Pour plus d'informations sur le partageVPCs, consultez la section Travailler avec le partage VPCs dans le guide de VPC l'utilisateur Amazon.

Les mises en garde suivantes s'appliquent à l'inclusion du partage. VPCs Elles s'ajoutent aux mises en garde générales relatives aux politiques des groupes de sécurité figurant à l'adresse. Mises en garde et limites relatives à la politique des groupes de sécurité

  • Firewall Manager réplique le groupe de sécurité principal dans le groupe de sécurité VPCs de chaque compte concerné. Dans le cas d'un partageVPC, Firewall Manager réplique le groupe de sécurité principal une fois pour chaque compte concerné avec lequel il VPC est partagé. Cela peut entraîner la création de plusieurs répliques dans un seul partageVPC.

  • Lorsque vous créez un nouveau partageVPC, vous ne le verrez pas représenté dans les détails de la politique de groupe de sécurité de Firewall Manager tant VPC que vous n'aurez pas créé au moins une ressource relevant du champ d'application de la stratégie.

  • Lorsque vous désactivez le partage VPCs dans le cadre d'une politique qui avait VPCs activé le partageVPCs, Firewall Manager supprime les répliques des groupes de sécurité qui ne sont associés à aucune ressource dans cette dernière. Firewall Manager laisse les groupes de sécurité répliques restants en place, mais arrête de les gérer. La suppression de ces groupes de sécurité restants nécessite une gestion manuelle dans chaque VPC instance partagée.

Groupes de sécurité principaux

Pour chaque stratégie de groupe de sécurité commune, vous AWS Firewall Manager fournissez un ou plusieurs groupes de sécurité principaux :

  • Les groupes de sécurité principaux doivent être créés par le compte administrateur de Firewall Manager et peuvent résider dans n'importe quelle VPC instance Amazon du compte.

  • Vous gérez vos principaux groupes de sécurité via Amazon Virtual Private Cloud (AmazonVPC) ou Amazon Elastic Compute Cloud (AmazonEC2). Pour plus d'informations, consultez la section Travailler avec des groupes de sécurité dans le guide de VPC l'utilisateur Amazon.

  • Vous pouvez nommer un ou plusieurs groupes de sécurité comme principaux pour une politique de groupe de sécurité Firewall Manager. Par défaut, le nombre de groupes de sécurité autorisés dans une stratégie est limité à un, mais vous pouvez envoyer une demande pour augmenter cette limite. Pour plus d’informations, veuillez consulter AWS Firewall Manager quotas.

Paramètres des règles de stratégie

Vous pouvez choisir un ou plusieurs des comportements de contrôle des modifications suivants pour les groupes de sécurité et les ressources de votre stratégie de groupe de sécurité commune :

  • Identifiez et signalez les modifications apportées par les utilisateurs locaux aux groupes de sécurité répliqués.

  • Dissociez tous les autres groupes de sécurité des AWS ressources relevant du champ d'application de la politique.

  • Distribuez les balises du groupe principal aux groupes de sécurité répliqués.

    Important

    Firewall Manager ne distribuera pas les balises système ajoutées par les AWS services dans les groupes de sécurité répliqués. Les balises système commencent par le préfixe aws:. En outre, Firewall Manager ne met pas à jour les balises des groupes de sécurité existants et ne crée pas de nouveaux groupes de sécurité si la politique contient des balises en conflit avec la politique de balises de l'entreprise. Pour plus d'informations sur les politiques relatives aux balises, consultez la section Politiques relatives aux balises dans le guide de AWS Organizations l'utilisateur.

  • Distribuez les références aux groupes de sécurité du groupe principal aux groupes de sécurité répliqués.

    Cela vous permet d'établir facilement des règles communes de référencement des groupes de sécurité pour toutes les ressources incluses dans le champ d'application pour les instances associées aux groupes de sécurité spécifiés. VPC Lorsque vous activez cette option, Firewall Manager ne propage les références aux groupes de sécurité que si les groupes de sécurité font référence à des groupes de sécurité homologues dans Amazon Virtual Private Cloud. Si les groupes de sécurité répliqués ne font pas correctement référence au groupe de sécurité homologue, Firewall Manager marque ces groupes de sécurité répliqués comme non conformes. Pour plus d'informations sur la façon de référencer les groupes de sécurité homologues sur AmazonVPC, consultez la section Mettre à jour vos groupes de sécurité pour référencer les groupes de sécurité homologues dans le Amazon VPC Peering Guide.

    Si vous n'activez pas cette option, Firewall Manager ne propage pas les références aux groupes de sécurité aux répliques de groupes de sécurité. Pour plus d'informations sur le VPC peering sur AmazonVPC, consultez le Amazon VPC Peering Guide.

Création et gestion des stratégies

Lorsque vous créez votre politique de groupe de sécurité commune, Firewall Manager réplique les principaux groupes de sécurité sur chaque VPC instance Amazon relevant du champ d'application de la politique, et associe les groupes de sécurité répliqués aux comptes et aux ressources concernés par la politique. Lorsque vous modifiez un groupe de sécurité principal, Firewall Manager propage la modification aux répliques.

Lorsque vous supprimez une stratégie de groupe de sécurité commune, vous pouvez choisir de nettoyer les ressources créées par la stratégie. Pour les groupes de sécurité courants de Firewall Manager, ces ressources sont les répliques des groupes de sécurité. Choisissez l'option de nettoyage, sauf si vous souhaitez gérer manuellement chaque réplica après la suppression de la stratégie. Dans la plupart des situations, choisir l'option de nettoyage est l'approche la plus simple.

Mode de gestion des réplicas

Les groupes de sécurité répliqués dans les VPC instances Amazon sont gérés comme les autres groupes VPC de sécurité Amazon. Pour plus d'informations, consultez la section Security Groups for Your VPC dans le guide de VPC l'utilisateur Amazon.