Tutorial: Membuat AWS Firewall Manager kebijakan dengan aturan hierarkis - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced
Langkah 1: Tentukan akun administrator Firewall ManagerLangkah 2: Buat grup aturan menggunakan akun administrator Firewall ManagerLangkah 3: Buat kebijakan Firewall Manager dan lampirkan grup aturan umumLangkah 4: Tambahkan aturan khusus akunKesimpulan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tutorial: Membuat AWS Firewall Manager kebijakan dengan aturan hierarkis

Awas

AWS WAF Dukungan klasik akan berakhir pada 30 September 2025.

catatan

Ini adalah dokumentasi AWS WAF Klasik. Anda hanya boleh menggunakan versi ini jika Anda membuat AWS WAF sumber daya, seperti aturan dan webACLs, AWS WAF sebelum November 2019, dan Anda belum memigrasikannya ke versi terbaru. Untuk memigrasi web AndaACLs, lihatMemigrasi sumber daya AWS WAF Klasik Anda ke AWS WAF.

Untuk versi terbaru AWS WAF, lihatAWS WAF.

Dengan AWS Firewall Manager, Anda dapat membuat dan menerapkan kebijakan perlindungan AWS WAF Klasik yang berisi aturan hierarkis. Artinya, Anda dapat membuat dan menegakkan aturan tertentu secara terpusat, tetapi mendelegasikan pembuatan dan pemeliharaan aturan khusus akun kepada individu lain. Anda dapat memantau aturan (umum) yang diterapkan secara terpusat untuk setiap penghapusan atau kesalahan penanganan yang tidak disengaja, sehingga memastikan bahwa aturan tersebut diterapkan secara konsisten. Aturan khusus akun menambahkan perlindungan lebih lanjut yang disesuaikan untuk kebutuhan masing-masing tim.

catatan

Dalam versi terbaru AWS WAF, kemampuan ini dibangun dan tidak memerlukan penanganan khusus. Jika Anda belum menggunakan AWS WAF Classic, gunakan versi terbaru sebagai gantinya. Lihat Membuat AWS Firewall Manager kebijakan untuk AWS WAF.

Tutorial berikut menjelaskan cara membuat seperangkat aturan perlindungan hierarkis.

Langkah 1: Tentukan akun administrator Firewall Manager

Untuk menggunakannya AWS Firewall Manager, Anda harus menetapkan akun di organisasi Anda sebagai akun administrator Manajer Firewall. Akun ini dapat berupa akun manajemen atau akun anggota di organisasi.

Anda dapat menggunakan akun administrator Manajer Firewall untuk membuat seperangkat aturan umum yang Anda terapkan ke akun lain di organisasi. Akun lain di organisasi tidak dapat mengubah aturan yang diterapkan secara terpusat ini.

Untuk menetapkan akun sebagai akun administrator Firewall Manager dan melengkapi prasyarat lain untuk menggunakan Firewall Manager, lihat instruksi di. AWS Firewall Manager prasyarat Jika Anda sudah menyelesaikan prasyarat, Anda dapat melompat ke langkah 2 dari tutorial ini.

Dalam tutorial ini, kami merujuk ke akun administrator sebagaiFirewall-Administrator-Account.

Langkah 2: Buat grup aturan menggunakan akun administrator Firewall Manager

Selanjutnya, buat grup aturan menggunakanFirewall-Administrator-Account. Grup aturan ini berisi aturan umum yang akan Anda terapkan pada semua akun anggota yang diatur oleh kebijakan yang Anda buat di langkah berikutnya. Hanya Firewall-Administrator-Account dapat membuat perubahan pada aturan ini dan grup aturan kontainer.

Dalam tutorial ini, kita merujuk ke grup aturan kontainer ini sebagaiCommon-Rule-Group.

Untuk membuat grup aturan, lihat instruksi diMembuat grup aturan AWS WAF Klasik. Ingatlah untuk masuk ke konsol menggunakan akun administrator Firewall Manager (Firewall-Administrator-Account) saat mengikuti petunjuk ini.

Langkah 3: Buat kebijakan Firewall Manager dan lampirkan grup aturan umum

MenggunakanFirewall-Administrator-Account, buat kebijakan Firewall Manager. Saat membuat kebijakan ini, Anda harus melakukan hal berikut:

  • Tambahkan Common-Rule-Group ke kebijakan baru.

  • Sertakan semua akun di organisasi tempat Anda ingin Common-Rule-Group mendaftar.

  • Tambahkan semua sumber daya yang ingin Anda Common-Rule-Group terapkan.

Untuk petunjuk tentang cara membuat kebijakan, lihatMembuat AWS Firewall Manager kebijakan.

Ini membuat web ACL di setiap akun yang ditentukan dan Common-Rule-Group menambah masing-masing web tersebutACLs. Setelah Anda membuat kebijakan, web ini ACL dan aturan umum diterapkan ke semua akun yang ditentukan.

Dalam tutorial ini, kami menyebut web ini ACL sebagaiAdministrator-Created-ACL. Unik Administrator-Created-ACL sekarang ada di setiap akun anggota organisasi yang ditentukan.

Langkah 4: Tambahkan aturan khusus akun

Setiap akun anggota dalam organisasi sekarang dapat menambahkan aturan khusus akun mereka sendiri ke Administrator-Created-ACL yang ada di akun mereka. Aturan umum yang sudah ada Administrator-Created-ACL terus berlaku, bersama dengan aturan khusus akun yang baru. AWS WAF memeriksa permintaan web berdasarkan urutan aturan yang muncul di webACL. Ini berlaku untuk kedua Administrator-Created-ACL dan aturan khusus akun.

Untuk menambahkan aturanAdministrator-Created-ACL, lihatMengedit web ACL di AWS WAF.

Kesimpulan

Anda sekarang memiliki web ACL yang berisi aturan umum yang dikelola oleh akun administrator Firewall Manager serta aturan khusus akun yang dikelola oleh setiap akun anggota.

Administrator-Created-ACLDi setiap akun mereferensikan singleCommon-Rule-Group. Oleh karena itu, perubahan future oleh akun administrator Firewall Manager Common-Rule-Group akan segera berlaku di setiap akun anggota.

Akun anggota tidak dapat mengubah atau menghapus aturan umum diCommon-Rule-Group.

Aturan khusus akun tidak memengaruhi akun lain.