Utilisation des listes gérées par Firewall Manager - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Gestion des versions des listesUtilisation de listes gérées

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des listes gérées par Firewall Manager

Cette section explique ce que sont les listes gérées et comment les utiliser.

Les listes d'applications et de protocoles gérées rationalisent la configuration et la gestion des politiques de groupe de sécurité relatives à l'audit de AWS Firewall Manager contenu. Vous utilisez des listes gérées pour définir les protocoles et les applications autorisés et interdits par votre politique. Pour plus d'informations sur les politiques de groupe de sécurité relatives à l'audit de contenu, consultezUtilisation de politiques de groupe de sécurité pour l'audit de contenu avec Firewall Manager.

Vous pouvez utiliser les types de listes gérées suivants dans une stratégie de groupe de sécurité d'audit de contenu :

  • Listes d'applications et listes de protocoles Firewall Manager : Firewall Manager gère ces listes.

    • Les listes d'applications incluent FMS-Default-Public-Access-Apps-Allowed etFMS-Default-Public-Access-Apps-Denied, qui décrivent les applications couramment utilisées qui devraient être autorisées ou refusées au grand public.

    • Les listes de protocoles incluent FMS-Default-Protocols-Allowed une liste de protocoles couramment utilisés qui devraient être autorisés au grand public. Vous pouvez utiliser n'importe quelle liste gérée par Firewall Manager, mais vous ne pouvez ni la modifier ni la supprimer.

  • Listes d'applications et listes de protocoles personnalisées : vous gérez ces listes. Vous pouvez créer des listes de n'importe quel type avec les paramètres dont vous avez besoin. Vous avez le contrôle total de vos propres listes gérées personnalisées, et vous pouvez les créer, les modifier et les supprimer selon vos besoins.

    Note

    À l'heure actuelle, Firewall Manager ne vérifie pas les références à une liste gérée personnalisée lorsque vous la supprimez. Cela signifie que vous pouvez supprimer une liste d'applications ou de protocoles gérée personnalisée même lorsqu'elle est utilisée par une politique active. Cela peut entraîner l'arrêt du fonctionnement de la politique. Supprimez une liste d'applications ou une liste de protocoles uniquement après avoir vérifié qu'elle n'est référencée par aucune politique active.

Les listes gérées sont AWS des ressources. Vous pouvez baliser une liste gérée personnalisée. Vous ne pouvez pas baliser une liste gérée par Firewall Manager.

Gestion des versions des listes

Les listes gérées personnalisées n'ont pas de versions. Lorsque vous modifiez une liste personnalisée, les politiques qui font référence à la liste utilisent automatiquement la liste mise à jour.

Les listes gérées par Firewall Manager sont versionnées. L'équipe du service Firewall Manager publie les nouvelles versions selon les besoins, afin d'appliquer les meilleures pratiques de sécurité aux listes.

Lorsque vous utilisez une liste gérée par Firewall Manager dans une politique, vous choisissez votre stratégie de gestion des versions comme suit :

  • Dernière version disponible : si vous ne spécifiez pas de paramètre de version explicite pour la liste, votre politique utilise automatiquement la dernière version. Il s'agit de la seule option disponible via la console.

  • Version explicite : si vous spécifiez une version pour la liste, votre politique utilise cette version. Votre politique reste verrouillée sur la version que vous avez spécifiée jusqu'à ce que vous modifiiez le paramètre de version. Pour spécifier la version, vous devez définir la politique en dehors de la console, par exemple via le CLI ou l'un desSDKs.

Pour plus d'informations sur le choix du paramètre de version pour une liste, consultezUtilisation de listes gérées dans vos politiques de groupe de sécurité d'audit de contenu.

Utilisation de listes gérées dans vos politiques de groupe de sécurité d'audit de contenu

Lorsque vous créez une stratégie de groupe de sécurité d'audit de contenu, vous pouvez choisir d'utiliser des règles de stratégie d'audit gérées. Certains paramètres de cette option nécessitent une liste d'applications gérées ou une liste de protocoles. Ces paramètres incluent, par exemple, les protocoles autorisés dans les règles des groupes de sécurité et les applications pouvant accéder à Internet.

Les restrictions suivantes s'appliquent à chaque paramètre de stratégie qui utilise une liste gérée :

  • Vous pouvez spécifier au plus une liste gérée par Firewall Manager pour chaque paramètre. Par défaut, vous pouvez spécifier au plus une liste personnalisée. La limite de liste personnalisée est un quota souple, vous pouvez donc en demander l'augmentation. Pour de plus amples informations, veuillez consulter AWS Firewall Manager quotas.

  • Dans la console, si vous sélectionnez une liste gérée par Firewall Manager, vous ne pouvez pas spécifier la version. La politique utilisera toujours la dernière version de la liste. Pour spécifier la version, vous devez définir la politique en dehors de la console, par exemple via le CLI ou l'un desSDKs. Pour plus d'informations sur le versionnement des listes gérées par Firewall Manager, consultezGestion des versions des listes.

Pour plus d'informations sur la création d'une politique de groupe de sécurité d'audit de contenu via la console, consultezCréation d'une stratégie de groupe de sécurité d'audit de contenu.