Menggunakan cakupan AWS Firewall Manager kebijakan - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced
Mengkonfigurasi cakupan kebijakanMengelola ruang lingkup kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan cakupan AWS Firewall Manager kebijakan

Halaman ini menjelaskan apa cakupan kebijakan Firewall Manager dan cara kerjanya.

Ruang lingkup kebijakan menentukan di mana kebijakan tersebut berlaku. Anda dapat menerapkan kebijakan yang dikendalikan secara terpusat untuk:

  • Semua akun dan sumber daya Anda dalam organisasi Anda di AWS Organizations.

  • Subset akun dan sumber daya dalam organisasi Anda di AWS Organizations.

Untuk petunjuk tentang cara menyetel cakupan kebijakan, lihatMembuat AWS Firewall Manager kebijakan.

Opsi cakupan kebijakan di AWS Firewall Manager

Saat Anda menambahkan akun atau sumber daya baru ke organisasi Anda, Firewall Manager secara otomatis menilainya terhadap setelan Anda untuk setiap kebijakan dan menerapkan kebijakan berdasarkan setelan ini. Misalnya, Anda dapat memilih untuk menerapkan kebijakan ke semua akun kecuali nomor akun dalam daftar yang ditentukan. Tag sumber daya juga dapat digunakan untuk menentukan cakupan kebijakan. Anda dapat memilih untuk menerapkan kebijakan dengan mengecualikan atau menyertakan sumber daya yang memiliki semua tag dalam daftar. Atau, Anda dapat memilih untuk menerapkan kebijakan hanya pada sumber daya yang memiliki tag tertentu dalam daftar.

Akun AWS dalam ruang lingkup

Pengaturan yang Anda berikan untuk menentukan kebijakan yang Akun AWS terpengaruh menentukan akun mana di AWS organisasi Anda yang akan menerapkan kebijakan tersebut. Anda dapat memilih untuk menerapkan kebijakan dengan salah satu cara berikut:

  • Ke semua akun di organisasi Anda

  • Untuk hanya daftar tertentu dari nomor akun yang disertakan dan unit AWS Organizations organisasi (OUs)

  • Untuk semua kecuali daftar spesifik nomor akun yang dikecualikan dan unit AWS Organizations organisasi (OUs)

Untuk selengkapnya AWS Organizations, lihat Panduan AWS Organizations Pengguna.

Sumber daya dalam ruang lingkup

Sama halnya dengan pengaturan untuk akun dalam cakupan, setelan yang Anda sediakan untuk sumber daya menentukan jenis sumber daya dalam lingkup mana yang akan diterapkan kebijakan tersebut. Anda dapat memilih salah satu dari yang berikut ini:

  • Semua sumber daya

  • Sumber daya yang memiliki semua tag yang Anda tentukan

  • Semua sumber daya kecuali yang memiliki semua tag yang Anda tentukan

  • Hanya sumber daya yang memiliki salah satu tag yang Anda tentukan

  • Semua sumber daya kecuali hanya sumber daya yang memiliki tag apa pun yang Anda tentukan

Anda hanya dapat menentukan tag sumber daya dengan nilai non-null. Jika Anda tidak memberikan apa pun untuk nilainya, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama.

Untuk informasi selengkapnya tentang menandai sumber daya Anda, lihat Bekerja dengan Editor Tag.

Manajemen lingkup kebijakan di AWS Firewall Manager

Ketika kebijakan diberlakukan, Firewall Manager mengelolanya terus menerus dan menerapkannya ke sumber baru Akun AWS dan sumber daya saat ditambahkan, sesuai dengan ruang lingkup kebijakan.

Bagaimana Firewall Manager mengelola Akun AWS dan sumber daya

Jika akun atau sumber daya keluar dari cakupan karena alasan apa pun, AWS Firewall Manager tidak secara otomatis menghapus perlindungan atau menghapus sumber daya yang dikelola Manajer Firewall kecuali Anda memilih kotak centang Hapus perlindungan secara otomatis dari sumber daya yang meninggalkan cakupan kebijakan.

catatan

Opsi secara otomatis menghapus perlindungan dari sumber daya yang meninggalkan cakupan kebijakan tidak tersedia AWS Shield Advanced atau kebijakan AWS WAF Klasik.

Memilih kotak centang ini akan mengarahkan AWS Firewall Manager untuk secara otomatis membersihkan sumber daya yang dikelola Manajer Firewall untuk akun saat akun tersebut meninggalkan cakupan kebijakan. Misalnya, Firewall Manager akan memisahkan ACL web yang dikelola Manajer Firewall dari sumber daya pelanggan yang dilindungi saat sumber daya pelanggan meninggalkan cakupan kebijakan.

Untuk menentukan sumber daya mana yang harus dihapus dari perlindungan saat sumber daya pelanggan meninggalkan cakupan kebijakan, Firewall Manager mengikuti pedoman berikut:

  • Perilaku default:

    • Aturan AWS Config terkelola terkait dihapus. Perilaku ini tidak tergantung pada kotak centang.

    • Setiap daftar kontrol akses AWS WAF web terkait (web ACLs) yang tidak berisi sumber daya apa pun akan dihapus. Perilaku ini tidak tergantung pada kotak centang.

    • Setiap sumber daya yang dilindungi yang keluar dari ruang lingkup tetap terkait dan dilindungi. Misalnya, Application Load Balancer atau API dari API Gateway yang terkait dengan ACL web tetap terkait dengan ACL web, dan proteksi tetap ada.

  • Dengan kotak centang Hapus perlindungan secara otomatis dari sumber daya yang meninggalkan cakupan kebijakan dipilih:

    • Aturan AWS Config terkelola terkait dihapus. Perilaku ini tidak tergantung pada kotak centang.

    • Setiap daftar kontrol akses AWS WAF web terkait (web ACLs) yang tidak berisi sumber daya apa pun akan dihapus. Perilaku ini tidak tergantung pada kotak centang.

    • Setiap sumber daya yang dilindungi yang keluar dari cakupan secara otomatis dipisahkan dan dihapus dari perlindungan Firewall Manager ketika meninggalkan cakupan kebijakan. Misalnya, untuk kebijakan grup keamanan, akselerator Elastic Inference atau EC2 instans Amazon secara otomatis dipisahkan dari grup keamanan yang direplikasi saat meninggalkan cakupan kebijakan. Grup keamanan yang direplikasi dan sumber dayanya secara otomatis dihapus dari perlindungan.