Menggunakan kebijakan daftar kontrol akses VPC jaringan Amazon (ACL) dengan Firewall Manager

Bagian ini mencakup cara kerja ACL kebijakan AWS Firewall Manager jaringan dan memberikan panduan untuk menggunakannya. Untuk panduan membuat ACL kebijakan jaringan menggunakan konsol, lihatMembuat ACL kebijakan jaringan.

Untuk informasi tentang daftar kontrol akses VPC jaringan Amazon (ACLs), lihat Mengontrol lalu lintas ke subnet menggunakan jaringan ACLs di Panduan VPC Pengguna Amazon.

Anda dapat menggunakan ACL kebijakan jaringan Firewall Manager untuk mengelola daftar kontrol akses jaringan Amazon Virtual Private Cloud (Amazon VPCACLs) (Amazon) untuk organisasi Anda AWS Organizations. Anda menentukan setelan ACL aturan jaringan kebijakan dan akun serta subnet tempat Anda ingin pengaturan diberlakukan. Firewall Manager terus menerapkan pengaturan kebijakan Anda ke akun dan subnet saat ditambahkan atau diperbarui di seluruh organisasi Anda. Untuk informasi tentang cakupan kebijakan dan AWS Organizations, lihat Menggunakan cakupan AWS Firewall Manager kebijakan dan Panduan AWS Organizations Pengguna.

Saat Anda menentukan ACL kebijakan jaringan Manajer Firewall, selain pengaturan kebijakan Firewall Manager standar, seperti nama dan cakupan, Anda memberikan yang berikut ini:

Aturan pertama dan terakhir untuk penanganan lalu lintas masuk dan keluar. Firewall Manager memberlakukan keberadaan dan urutan ini dalam jaringan ACLs yang berada dalam cakupan kebijakan, atau melaporkan ketidakpatuhan. Akun individual Anda dapat membuat aturan khusus untuk dijalankan di antara aturan pertama dan terakhir kebijakan.
Apakah akan memaksa remediasi ketika remediasi akan mengakibatkan konflik manajemen lalu lintas antara aturan dalam jaringan. ACL Ini hanya berlaku jika remediasi diaktifkan untuk kebijakan.

Praktik terbaik untuk menggunakan ACL kebijakan jaringan Firewall Manager

Bagian ini mencantumkan rekomendasi untuk bekerja dengan ACL kebijakan jaringan Firewall Manager dan jaringan terkelolaACLs.

Lihat `FMManaged` tag untuk mengidentifikasi jaringan ACLs yang dikelola oleh Firewall Manager

Jaringan ACLs yang dikelola Firewall Manager memiliki FMManaged tag yang disetel ketrue. Gunakan tag ini untuk membantu membedakan jaringan kustom Anda sendiri ACLs dari yang Anda kelola melalui Firewall Manager.

Jangan mengubah nilai `FMManaged` tag pada jaringan ACL

Firewall Manager menggunakan tag ini untuk mengatur dan menentukan status manajemennya dengan jaringanACL.

Jangan mengubah asosiasi untuk subnet yang memiliki jaringan terkelola Firewall Manager ACLs

Jangan secara manual mengubah asosiasi antara subnet Anda dan jaringan apa pun ACLs yang dikelola oleh Firewall Manager. Melakukannya dapat menonaktifkan kemampuan Firewall Manager untuk mengelola perlindungan untuk subnet tersebut. Anda dapat mengidentifikasi jaringan ACLs yang dikelola oleh Firewall Manager dengan mencari pengaturan FMManaged tagtrue.

Untuk menghapus subnet dari manajemen kebijakan Firewall Manager, gunakan pengaturan cakupan kebijakan Firewall Manager untuk mengecualikan subnet. Misalnya, Anda dapat menandai subnet dan kemudian mengecualikan tag tersebut dari cakupan kebijakan. Untuk informasi selengkapnya, lihat Menggunakan cakupan AWS Firewall Manager kebijakan.

Saat memperbarui jaringan terkelolaACL, jangan mengubah aturan yang dikelola oleh Firewall Manager

Di jaringan ACL yang dikelola oleh Firewall Manager, pisahkan aturan kustom Anda dari aturan kebijakan dengan mengikuti skema penomoran yang dijelaskan dalam. Menggunakan ACL aturan jaringan dan penandaan di Firewall Manager Hanya menambah atau memodifikasi aturan yang memiliki angka antara 5.000 dan 32.000.

Hindari menambahkan terlalu banyak aturan untuk batas akun Anda

Selama remediasi jaringanACL, Firewall Manager biasanya meningkatkan jumlah ACL aturan jaringan untuk sementara. Untuk menghindari masalah ketidakpatuhan, pastikan Anda memiliki cukup ruang untuk aturan yang Anda gunakan. Untuk informasi selengkapnya, lihat Bagaimana Firewall Manager memulihkan jaringan terkelola yang tidak patuh ACLs.

Mulailah dengan remediasi otomatis dinonaktifkan

Mulailah dengan remediasi otomatis dinonaktifkan, lalu tinjau informasi detail kebijakan untuk menentukan efek yang akan ditimbulkan oleh remediasi otomatis. Ketika Anda puas bahwa perubahan adalah apa yang Anda inginkan, edit kebijakan untuk mengaktifkan remediasi otomatis.

Peringatan ACL kebijakan jaringan Firewall Manager

Bagian ini mencantumkan peringatan dan batasan untuk menggunakan ACL kebijakan jaringan Firewall Manager.

Waktu pembaruan lebih lambat dibandingkan dengan kebijakan lain — Firewall Manager umumnya menerapkan ACL kebijakan jaringan dan perubahan kebijakan lebih lambat dibandingkan dengan kebijakan Firewall Manager lainnya, karena keterbatasan dalam tingkat di ACL APIs mana EC2 jaringan Amazon dapat memproses permintaan. Anda mungkin memperhatikan bahwa perubahan kebijakan membutuhkan waktu lebih lama daripada perubahan serupa dengan kebijakan Firewall Manager lainnya, khususnya saat Anda pertama kali menambahkan kebijakan.
Untuk perlindungan subnet awal, Firewall Manager lebih memilih kebijakan yang lebih lama — Ini hanya berlaku untuk subnet yang belum dilindungi oleh kebijakan jaringan ACL Firewall Manager. Jika subnet masuk ke dalam cakupan lebih dari satu ACL kebijakan jaringan pada saat yang sama, maka Firewall Manager menggunakan kebijakan tertua untuk melindungi subnet.
Alasan kebijakan untuk berhenti melindungi subnet — Kebijakan yang mengelola jaringan ACL untuk subnet mempertahankan manajemen sampai salah satu hal berikut terjadi:
- Subnet keluar dari cakupan kebijakan.
- Kebijakan dihapus.
- Anda secara manual mengubah asosiasi subnet ke jaringan ACL yang dikelola oleh kebijakan Firewall Manager yang berbeda dan cakupannya subnet.

Topik

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Penggunaan kebijakan grup keamanan audit

ACLAturan dan penandaan jaringan