**Ti presentiamo una nuova esperienza di console per AWS WAF**
Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# AWS Firewall Manager
AWS Firewall Manager semplifica le attività di amministrazione e manutenzione su più account e risorse per una varietà di protezioni AWS WAF, tra cui gruppi di sicurezza e rete AWS Shield Advanced Amazon VPC AWS Network Firewall e Amazon Route 53 ACLs Resolver DNS Firewall. Con Firewall Manager, le protezioni vengono configurate una sola volta e il servizio le applica automaticamente a tutti gli account e le risorse, anche quando si aggiungono nuovi account e risorse.
Firewall Manager fornisce i seguenti vantaggi:
+ Consente di proteggere le risorse su tutti gli account
+ Aiuta a proteggere tutte le risorse di un tipo particolare, come tutte le CloudFront distribuzioni Amazon
+ Consente di proteggere tutte le risorse con tag specifici
+ Consente di aggiungere automaticamente la protezione per le risorse aggiunte all'account
+ Consente di sottoscrivere tutti gli account dei membri di un' AWS Organizations organizzazione e sottoscrive automaticamente i nuovi account pertinenti che entrano a far AWS Shield Advanced parte dell'organizzazione
+ Consente di applicare regole di gruppo di protezione a tutti gli account membri o sottoinsiemi specifici di account in un'organizzazione AWS Organizations e di applicare automaticamente le regole ai nuovi account che entrano a far parte dell'organizzazione
+ Consente di utilizzare regole personalizzate o acquistare regole gestite da Marketplace AWS
Firewall Manager è particolarmente utile quando si desidera proteggere l'intera organizzazione anziché un numero limitato di account e risorse specifici o se si aggiungono frequentemente nuove risorse da proteggere. Firewall Manager fornisce anche il monitoraggio centralizzato degli attacchi DDo S in tutta l'organizzazione.
**Nota**
I costi sostenuti da AWS Firewall Manager si riferiscono ai servizi sottostanti, ad esempio e AWS WAF . AWS Config Per ulteriori informazioni, consultare [AWS Firewall Manager Prezzi](https://aws.amazon.com/firewall-manager/pricing/).
**Topics**
+ [
# AWS Firewall Manager prerequisiti
](fms-prereq.md)
+ [
# Utilizzo degli AWS Firewall Manager amministratori
](fms-administrators.md)
+ [
# Impostazione AWS Firewall Manager delle politiche
](getting-started-fms-intro.md)
+ [
# Utilizzo AWS Firewall Manager delle politiche
](working-with-policies.md)
+ [
# Utilizzo degli elenchi gestiti di Firewall Manager
](working-with-managed-lists.md)
+ [
# Raggruppamento delle risorse in Firewall Manager
](fms-resource-sets.md)
+ [
# Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica
](fms-compliance.md)
+ [
# AWS Firewall Manager integrazione con AWS Security Hub CSPM
](fms-findings.md)
+ [
# Sicurezza nell'utilizzo del AWS Firewall Manager servizio
](fms-security.md)
+ [
# AWS Firewall Manager quote
](fms-limits.md)
+ [
# Migrazione del AWS WAF Classic Web ACLs in Firewall Manager
](migrate-waf-classic-fms.md)
# AWS Firewall Manager prerequisiti
In questo argomento viene illustrato come prepararsi all'amministrazione AWS Firewall Manager. È possibile utilizzare un account amministratore di Firewall Manager per gestire tutte le politiche di sicurezza di Firewall Manager per l'organizzazione in AWS Organizations. Salvo dove indicato, esegui i passaggi preliminari utilizzando l'account che utilizzerai come amministratore di Firewall Manager.
Prima di utilizzare Firewall Manager per la prima volta, eseguire i seguenti passaggi in sequenza.
**Topics**
+ [
# Adesione e configurazione AWS Organizations per l'utilizzo di Firewall Manager
](join-aws-orgs.md)
+ [
# Creazione di un account amministratore AWS Firewall Manager predefinito
](enable-integration.md)
+ [
# Attivazione AWS Config dell'utilizzo di Firewall Manager
](enable-config.md)
+ [
# Iscrizione al AWS Marketplace e configurazione delle impostazioni di terze parti per le politiche di terze parti di Firewall Manager
](fms-third-party-prerequisites.md)
+ [
# Abilitazione della condivisione delle risorse per le politiche Network Firewall e DNS Firewall con AWS RAM
](enable-ram.md)
+ [
# Utilizzo AWS Firewall Manager nelle regioni disattivate per impostazione predefinita
](enable-disabled-region.md)
# Adesione e configurazione AWS Organizations per l'utilizzo di Firewall Manager
Per utilizzare Firewall Manager, l'account deve essere membro dell'organizzazione del AWS Organizations servizio in cui si desidera utilizzare le politiche di Firewall Manager.
**Nota**
Per informazioni su Organizations, consulta la [AWS Organizations User Guide](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html).
**Per stabilire l' AWS Organizations appartenenza e la configurazione richieste**
1. Scegli un account da utilizzare come amministratore di Firewall Manager per l'organizzazione in Organizations.
1. Se l'account che hai scelto non è già membro dell'organizzazione, fallo iscrivere. Segui le indicazioni riportate in [Invitare un uomo Account AWS a entrare a far parte della tua organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html).
1. AWS Organizations *dispone di due set di funzionalità: funzionalità di *fatturazione consolidata e tutte le funzionalità*.* Per utilizzare Firewall Manager, l'organizzazione deve essere abilitata per tutte le funzionalità. Se l'organizzazione è configurata solo per la fatturazione consolidata, segui le indicazioni riportate [nella sezione Abilitazione di tutte le funzionalità dell'organizzazione](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html).
# Creazione di un account amministratore AWS Firewall Manager predefinito
Questa pagina fornisce istruzioni per creare un account amministratore AWS Firewall Manager predefinito.
**Nota**
Questa procedura utilizza l'account e l'organizzazione scelti e configurati nel passaggio precedente.
Solo l'account di gestione dell'organizzazione può creare account amministratore predefiniti di Firewall Manager. Il primo account amministratore creato è l'account *amministratore predefinito*. L'account amministratore predefinito può gestire firewall di terze parti e dispone di un ambito amministrativo completo. Quando si imposta l'account amministratore predefinito, Firewall Manager lo imposta automaticamente come amministratore AWS Organizations delegato per Firewall Manager. Ciò consente a Firewall Manager di accedere alle informazioni sulle unità organizzative (OUs) dell'organizzazione. È possibile utilizzare OUs per specificare l'ambito delle politiche di Firewall Manager. Per ulteriori informazioni sull'impostazione dell'ambito delle politiche, consulta le linee guida per i singoli tipi di policy riportate di seguito[Creazione di una AWS Firewall Manager politica](create-policy.md). Per ulteriori informazioni su Organizations e management account, vedere [Managing the AWS Accounts in Your Organization](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html).
**Impostazioni richieste per l'account di gestione dell'organizzazione**
L'account di gestione dell'organizzazione deve avere le seguenti impostazioni per effettuare l'onboarding dell'organizzazione in Firewall Manager e creare un amministratore predefinito:
+ Deve essere un membro dell'organizzazione a AWS Organizations cui desideri applicare le policy di Firewall Manager.
**Per impostare l'account amministratore predefinito**
1. Accedere a Firewall Manager Console di gestione AWS utilizzando un account di AWS Organizations gestione esistente.
1. Apri la console di Firewall Manager all'indirizzo [https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2).
1. Nel pannello di navigazione scegli **Impostazioni**.
1. Digita l' AWS ID dell'account che hai scelto di utilizzare come amministratore di Firewall Manager.
**Nota**
L'amministratore predefinito ha un ambito amministrativo completo. L'ambito amministrativo completo significa che questo account può applicare politiche a tutti gli account e le unità organizzative (OUs) all'interno dell'organizzazione, intraprendere azioni in tutte le regioni e gestire tutti i tipi di policy di Firewall Manager.
1. Scegli **Crea account amministratore** per creare l'account.
Per ulteriori informazioni sulla gestione dell'account amministratore di Firewall Manager, vedere[Utilizzo degli AWS Firewall Manager amministratori](fms-administrators.md).
# Attivazione AWS Config dell'utilizzo di Firewall Manager
Per utilizzare Firewall Manager, è necessario abilitare AWS Config.
**Nota**
Le AWS Config impostazioni sono soggette a costi aggiuntivi, in base ai AWS Config prezzi. Per ulteriori informazioni, consulta la sezione [Guida introduttiva](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html). AWS Config
**Nota**
Affinché Firewall Manager possa monitorare la conformità delle policy, AWS Config deve registrare continuamente le modifiche alla configurazione per le risorse protette. Nella AWS Config configurazione, la frequenza di registrazione deve essere impostata su **Continuo**, che è l'impostazione predefinita.
**AWS Config Per abilitare Firewall Manager**
1. Abilita AWS Config per ogni account AWS Organizations membro, incluso l'account amministratore di Firewall Manager. Per ulteriori informazioni, vedere [Guida introduttiva a AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html).
1. Abilita AWS Config per ognuno Regione AWS che contiene le risorse che desideri proteggere. Puoi AWS Config abilitarlo manualmente oppure puoi utilizzare il CloudFormation modello «Enable AWS Config» in [AWS CloudFormation StackSets Sample Templates](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html).
Se non desideri abilitare AWS Config per tutte le risorse, devi abilitare quanto segue in base al tipo di policy di Firewall Manager che utilizzi:
+ **Politica WAF**: abilita Config per i CloudFront tipi di risorse Distribution, Application Load Balancer **ElasticLoadBalancing(**scegli V2 dall'elenco), API Gateway, WAF WebACL, WAF Regional WebACL e WebACL. WAFv2 Per abilitare la protezione di una CloudFront distribuzione, devi AWS Config trovarti nella regione Stati Uniti orientali (Virginia settentrionale). Le altre regioni non dispongono CloudFront di alcuna opzione.
+ **Politica Shield**: abilita Config per i tipi di risorse Shield Protection, ShieldRegional Protection, Application Load Balancer, EC2 EIP, WAF WebACL, WAF Regional WebACL e WebACL. WAFv2
+ **Politica del gruppo di sicurezza**: abilita Config per i tipi di risorse EC2 SecurityGroup, EC2 Instance ed EC2. NetworkInterface
+ **Politica ACL di rete**: abilita Config per i tipi di risorse Amazon EC2 Subnet e Amazon EC2 Network ACL.
+ **Politica Network Firewall**: abilita Config per i tipi di risorse, EC2 VPC NetworkFirewall FirewallPolicy NetworkFirewallRuleGroup, EC2, InternetGateway EC2 e EC2 Subnet. RouteTable
+ **Policy DNS Firewall**: abilita Config per il tipo di risorsa EC2 VPC e Amazon Route 53. FirewallRuleGroupAssociation
+ **Policy firewall di terze parti**: abilita Config per i tipi di risorse Amazon EC2 VPC, Amazon EC2, Amazon InternetGateway EC2, Amazon EC2 Subnet e Amazon RouteTable EC2. VPCEndpoint
**Nota**
Se configuri il AWS Config registratore per utilizzare un ruolo IAM personalizzato, devi assicurarti che la policy IAM disponga delle autorizzazioni appropriate per registrare i tipi di risorse richiesti dalla policy Firewall Manager. Senza le autorizzazioni appropriate, le risorse richieste potrebbero non essere registrate, il che impedisce a Firewall Manager di proteggere adeguatamente le risorse. Firewall Manager non ha visibilità su queste configurazioni errate delle autorizzazioni. Per informazioni sull'utilizzo di IAM con AWS Config, consulta [IAM](https://docs.aws.amazon.com/config/latest/developerguide/security-iam.html) for. AWS Config
# Iscrizione al AWS Marketplace e configurazione delle impostazioni di terze parti per le politiche di terze parti di Firewall Manager
Completa i seguenti prerequisiti per configurare le politiche firewall di terze parti di Firewall Manager.
## Prerequisiti della politica Fortigate Cloud Native Firewall (CNF) as a Service
**Per utilizzare Fortigate CNF per Firewall Manager**
1. Abbonati al servizio [Fortigate Cloud Native Firewall (CNF) as a Service](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i) nel Marketplace. AWS
1. Innanzitutto, registra un inquilino sul portale dei prodotti Fortigate CNF. Quindi aggiungi il tuo account amministratore di Firewall Manager sotto il tuo tenant sul portale dei prodotti Fortigate CNF. [Per ulteriori informazioni, consulta la documentazione di Fortigate CNF.](https://docs.fortinet.com/product/fortigate-cnf)
Per informazioni sull'utilizzo delle politiche CNF di Fortigate, vedere. [Utilizzo delle politiche di Fortigate Cloud Native Firewall (CNF) as a Service per Firewall Manager](fortigate-cnf-policies.md)
## Prerequisiti della policy Palo Alto Networks Cloud Next Generation Firewall
**Per utilizzare Palo Alto Networks Cloud NGFW per Firewall Manager**
1. Abbonati al servizio [Palo Alto Networks Cloud Next Generation Firewall Pay-As-You-Go](https://aws.amazon.com/marketplace/pp/prodview-nkug66dl4df4i) nel Marketplace. AWS
1. *Completa i passaggi di implementazione di Palo Alto Networks Cloud NGFW elencati nella sezione [Deploy Palo Alto Networks Cloud NGFW per AWS con l'argomento nella guida Palo Alto Networks Cloud Next Generation Firewall per l' AWS Firewall Manager](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/getting-started-with-cloud-ngfw-for-aws/deploy-cloud-ngfw-for-aws-with-the-aws-firewall-manager.html)implementazione. AWS *
Per informazioni sull'utilizzo delle politiche NGFW di Palo Alto Networks Cloud, vedere. [Utilizzo delle policy NGFW di Palo Alto Networks Cloud per Firewall Manager](cloud-ngfw-policies.md)
# Abilitazione della condivisione delle risorse per le politiche Network Firewall e DNS Firewall con AWS RAM
Per gestire le politiche Firewall Manager Network Firewall e DNS Firewall, è necessario abilitare la condivisione con AWS Organizations in AWS Resource Access Manager. Ciò consente a Firewall Manager di implementare protezioni su tutti gli account quando si creano questi tipi di policy.
**Per abilitare la condivisione con in AWS Organizations AWS Resource Access Manager**
+ Segui le indicazioni riportate nella sezione [Abilita la condivisione con AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) nella *Guida AWS Resource Access Manager per l'utente*.
Se riscontri problemi con la condivisione delle risorse, consulta la guida all'indirizzo[Condivisione delle risorse per le politiche Network Firewall e DNS Firewall](resource-sharing.md).
# Utilizzo AWS Firewall Manager nelle regioni disattivate per impostazione predefinita
Per utilizzare Firewall Manager in un'area che è disabilitata per impostazione predefinita, è necessario abilitare la regione sia per l'account di gestione dell' AWS organizzazione che per l'account amministratore predefinito di Firewall Manager. Per informazioni sulle regioni che sono disabilitate per impostazione predefinita e su come abilitarle, vedere [Gestione Regioni AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) nella *AWS Guida generale*.
**Per abilitare una regione disattivata**
+ Sia per l'account di gestione Organizations che per l'account amministratore predefinito di Firewall Manager, segui le indicazioni riportate in [Enabling a Region](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) nella *Guida AWS generale*.
Dopo aver seguito questi passaggi, puoi configurare Firewall Manager per iniziare a proteggere le tue risorse. Per ulteriori informazioni, consulta [Impostazione AWS Firewall Manager AWS WAF delle politiche](getting-started-fms.md).
# Utilizzo degli AWS Firewall Manager amministratori
Questa pagina spiega cosa sono gli amministratori di Firewall Manager e definisce i termini correlati.
Con AWS Firewall Manager puoi avere uno o più amministratori in grado di gestire le risorse firewall della tua organizzazione. Se si desidera utilizzare più amministratori di Firewall Manager nella propria organizzazione, è possibile applicare condizioni di ambito amministrativo a ciascun amministratore per definire le risorse che può gestire. Ciò offre la flessibilità necessaria per avere diversi ruoli di amministratore all'interno dell'organizzazione e aiuta a mantenere il principio dell'accesso con privilegi minimi. Ad esempio, è possibile fare in modo che un amministratore gestisca un set di unità organizzative (OUs) per l'organizzazione, delegando a un altro amministratore la gestione solo di tipi di policy di Firewall Manager specifici. Per ulteriori informazioni su Organizations e management account, vedere [Managing the AWS Accounts in Your Organization](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html).
Per il numero massimo di amministratori che puoi avere per organizzazione, vedi [AWS Firewall Manager quote](fms-limits.md)
**Guida introduttiva all'utilizzo degli amministratori di Firewall Manager**
Prima di iniziare a utilizzare gli amministratori di Firewall Manager, è necessario completare i prerequisiti elencati in. [AWS Firewall Manager prerequisiti](fms-prereq.md) Nei prerequisiti, effettuerai l'onboarding di un' AWS Organizations organizzazione in Firewall Manager e creerai un account amministratore predefinito per Firewall Manager. Un account amministratore predefinito è in grado di gestire firewall di terze parti e dispone di un ambito amministrativo completo.
**Ambito amministrativo**
L'*ambito amministrativo* definisce le risorse che l'amministratore di Firewall Manager può gestire. Dopo che un account di AWS Organizations gestione ha effettuato l'onboarding di un'organizzazione in Firewall Manager, l'account di gestione può creare amministratori di Firewall Manager aggiuntivi con ambiti amministrativi diversi. Un account AWS Organizations di gestione può concedere all'amministratore un ambito amministrativo **completo** o **limitato**. L'ambito completo offre all'amministratore l'accesso completo a tutti i tipi di risorse precedenti. L'ambito limitato si riferisce alla concessione di autorizzazioni amministrative solo a un sottoinsieme delle risorse precedenti. Si consiglia di concedere agli amministratori solo le autorizzazioni necessarie per svolgere i compiti previsti dal loro ruolo. È possibile applicare qualsiasi combinazione di queste condizioni di ambito amministrativo a un amministratore:
+ Account o OUs all'interno dell'organizzazione a cui l'amministratore può applicare le politiche.
+ Regioni in cui l'amministratore può eseguire azioni.
+ Tipi di policy di Firewall Manager che l'amministratore può gestire.
**Ruoli di amministratore**
Esistono due tipi di ruoli di amministratore in Firewall Manager: un amministratore predefinito e gli amministratori di Firewall Manager.
+ Amministratore predefinito: l'account di gestione dell'organizzazione crea un account *amministratore predefinito* di Firewall Manager quando esegue l'onboarding dell'organizzazione in Firewall Manager durante il completamento del[AWS Firewall Manager prerequisiti](fms-prereq.md). L'amministratore predefinito può gestire i firewall di terze parti e dispone di un ambito amministrativo completo, ma per il resto ha lo stesso livello di pari livello degli altri amministratori, se si sceglie di avere più amministratori.
+ Amministratori di Firewall Manager: un amministratore di Firewall Manager può gestire le risorse che l'account di AWS Organizations gestione gli assegna nella configurazione dell'ambito amministrativo. Per il numero massimo di amministratori che puoi avere per organizzazione, vedi. [AWS Firewall Manager quote](fms-limits.md) Al momento della creazione di un account amministratore di Firewall Manager, il servizio verifica con AWS Organizations se l'account è già un amministratore delegato per Firewall Manager all'interno dell'organizzazione. In caso contrario, Firewall Manager chiama Organizations per impostare l'account come amministratore delegato per Firewall Manager. *Per informazioni sugli amministratori delegati di Organizations, vedere la [AWS Organizations terminologia e i concetti](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) nella Guida per l'AWS Organizations utente.*
**Amministratori esistenti**
Se sei già cliente di Firewall Manager e hai già impostato un amministratore, questo amministratore esistente sarà l'amministratore predefinito di Firewall Manager. Non dovrebbero esserci impatti sul flusso esistente. Se desideri aggiungere altri amministratori, puoi farlo seguendo le procedure descritte in questo capitolo.
# Creazione di un account amministratore di Firewall Manager
La procedura seguente descrive come creare un account amministratore di Firewall Manager utilizzando la console Firewall Manager.
**Nota**
Solo l'account di gestione di un'organizzazione può creare account amministratore di Firewall Manager.
**Per creare un account amministratore di Firewall Manager**
1. Accedere a Firewall Manager Console di gestione AWS utilizzando un account di AWS Organizations gestione esistente.
1. Apri la console di Firewall Manager all'indirizzo [https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2).
1. Nel pannello di navigazione scegli **Impostazioni**.
1. Scegli **Crea account amministratore**.
1. Nel riquadro **Dettagli**, per l'**ID dell'AWS account**, digita l' AWS ID di un account membro che desideri aggiungere come amministratore di Firewall Manager.
1. Per **Ambito amministrativo**, scegli una delle seguenti opzioni:
+ **Completo**: consente all'amministratore di applicare i criteri a tutti gli account e le unità organizzative (OUs) all'interno dell'organizzazione, intraprendere azioni in tutte le regioni e applicare tutti i tipi di policy di Firewall Manager, ad eccezione dei firewall di terze parti. Solo l'amministratore predefinito può creare e gestire firewall di terze parti. Fai attenzione se concedi questo livello di autorizzazioni all'amministratore. Nello spirito del privilegio minimo, consigliamo di concedere all'amministratore solo le autorizzazioni necessarie per svolgere i compiti previsti dal suo ruolo.
+ **Limitato**: se applichi un ambito **limitato**, in **Configura l'ambito amministrativo** configura gli account e le unità organizzative, le regioni e i tipi di policy che l'account può gestire.
Per **Account e unità organizzative**, scegli le opzioni seguenti:
+ Se desideri applicare le politiche a tutti gli account o le unità organizzative della tua organizzazione, scegli **Includi tutti gli account nella mia AWS organizzazione**.
+ Se desideri applicare le politiche solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli **Includi solo i conti e le unità organizzative specificati**, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità OUs secondarie, inclusi eventuali account secondari OUs e aggiunti in un secondo momento.
+ Se desideri applicare i criteri a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli **Escludi i conti e le unità organizzative specificati e includi tutti gli altri**, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.
Per **le regioni**, scegli le opzioni seguenti:
+ Se desideri consentire all'amministratore di eseguire azioni in tutte le regioni disponibili, scegli **Includi tutte le regioni**.
+ Se desideri che l'amministratore esegua azioni solo in regioni specifiche, scegli **Includi solo le regioni specificate**, quindi specifica le regioni che desideri includere.
**Nota**
Per includere una regione disabilitata per impostazione predefinita, è necessario abilitare la regione sia per l'account di gestione AWS Organizations dell'organizzazione che per l'account di amministrazione predefinito. Per informazioni sull'attivazione delle regioni per un account, consulta [Abilitare una regione](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) in *Riferimenti generali di Amazon Web Services*.
Per i **tipi di policy**, scegli le opzioni come segue:.
+ Se desideri consentire all'amministratore di gestire tutti i tipi di policy, scegli **Includi tutti i tipi di policy**.
+ Se desideri che l'amministratore gestisca solo tipi di policy specifici, scegli **Includi solo i tipi di policy specificati**, quindi specifica i tipi di policy che desideri includere.
1. Scegli **Crea account amministratore** per creare l'account amministratore. Al momento della creazione, Firewall Manager effettua una chiamata AWS Organizations per verificare se l'amministratore è già un amministratore delegato dell'organizzazione. In caso contrario, Firewall Manager designerà l'account come amministratore delegato. *Per informazioni sugli amministratori delegati in Organizations, consulta la [AWS Organizations terminologia e i concetti](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) nella Guida per l'AWS Organizations utente.*
Se si applica un ambito amministrativo **limitato**, Firewall Manager valuta automaticamente tutte le nuove risorse in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figli OUs, Firewall Manager include automaticamente l'account nell'ambito amministrativo.
# Aggiornamento di un account amministratore di Firewall Manager
La procedura seguente descrive come aggiornare un account amministratore di Firewall Manager utilizzando la console Firewall Manager.
**Nota**
Per aggiornare l'ambito di un amministratore in modo da includere una regione disabilitata per impostazione predefinita, è necessario abilitare la regione sia per l'account di gestione AWS Organizations dell'organizzazione che per l'account di amministrazione predefinito. Per informazioni sull'attivazione delle regioni per un account, consulta [Abilitare una regione](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) in *Riferimenti generali di Amazon Web Services*.
Solo l'account di gestione di un'organizzazione può aggiornare gli account amministratore di Firewall Manager.
**Per aggiornare un account amministratore (console)**
1. Accedere a Firewall Manager Console di gestione AWS utilizzando un account di AWS Organizations gestione esistente.
1. Apri la console di Firewall Manager all'indirizzo [https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2).
1. Nel pannello di navigazione scegli **Impostazioni**.
1. nella tabella **degli amministratori di Firewall Manager**, scegli l'account che desideri aggiornare.
1. Seleziona **Modifica per modificare** i dettagli dell'account dell'amministratore. Non puoi modificare l'**ID dell'account**.
1. Scegli **Salva** per salvare le modifiche.
# Revoca di un account amministratore di Firewall Manager
La procedura seguente descrive come revocare un account amministratore di Firewall Manager. Se sei l'amministratore predefinito, prima di poter revocare il tuo account, tutti gli account amministratore di Firewall Manager all'interno dell'organizzazione devono prima revocare i propri account.
**Nota**
Solo un singolo amministratore di Firewall Manager può revocare il proprio account amministratore.
**Per revocare un account amministratore (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel pannello di navigazione scegli **Impostazioni**.
1. Nel riquadro **Account amministratore**, seleziona **Revoca account amministratore per revocare l'account**.
**Importante**
Quando si revocano i privilegi di amministratore a un account amministratore, tutte le politiche di Firewall Manager create da tale account vengono eliminate.
# Modifica dell'account amministratore predefinito di Firewall Manager
La procedura seguente descrive come modificare l'account amministratore predefinito di Firewall Manager.
È possibile designare un solo account in un'organizzazione come account amministratore predefinito di Firewall Manager. L'account amministratore predefinito segue il principio «first in, last out». Per designare un account amministratore predefinito diverso, ogni singolo account amministratore deve prima revocare il proprio account. Quindi, l'amministratore predefinito esistente può revocare il proprio account, eliminando così l'organizzazione da Firewall Manager. Quando un amministratore revoca il proprio account, tutte le politiche di Firewall Manager create da quell'account vengono eliminate. Per designare un nuovo account amministratore predefinito, è quindi necessario accedere a Firewall Manager con l'account di AWS Organizations gestione per designare un nuovo account amministratore. Per modificare l'account amministratore predefinito per un'organizzazione, eseguire la procedura seguente.
**Per modificare l'account amministratore predefinito**
1. Accedere a Firewall Manager Console di gestione AWS utilizzando un account di AWS Organizations gestione esistente.
1. Apri la console di Firewall Manager all'indirizzo [https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2).
1. Nel pannello di navigazione scegli **Impostazioni**.
1. Digita l'ID dell'account che hai scelto di utilizzare come amministratore di Firewall Manager.
**Nota**
A questo account viene concessa l'autorizzazione a creare e gestire le politiche di Firewall Manager per tutti gli account all'interno dell'organizzazione.
1. Scegli **Crea account amministratore**.
1. Digita l' AWS ID dell'account che hai scelto di utilizzare come amministratore di Firewall Manager.
**Nota**
A questo account viene assegnato l'ambito amministrativo completo. L'ambito amministrativo completo significa che questo account può applicare politiche a tutti gli account e le unità organizzative (OUs) all'interno dell'organizzazione, intraprendere azioni in tutte le regioni e gestire tutti i tipi di policy di Firewall Manager.
1. Scegli **Crea account amministratore** per creare l'account amministratore predefinito.
# Squalifica delle modifiche a un account amministratore di Firewall Manager
Alcune modifiche a un account amministratore possono impedirgli di rimanere un account amministratore.
Questa sezione descrive le modifiche che possono squalificare un account amministratore AWS e come Firewall Manager gestiscono queste modifiche.
## Account rimosso dall'organizzazione in AWS Organizations
Se l'account AWS Firewall Manager amministratore viene rimosso dall'organizzazione nel AWS Organizations, non può più amministrare le politiche per l'organizzazione. Firewall Manager esegue una delle seguenti azioni:
+ **Account senza policy**: se l'account amministratore di Firewall Manager non ha policy di Firewall Manager, Firewall Manager revoca l'account amministratore.
+ **Account con policy Firewall Manager**: se l'account amministratore di Firewall Manager dispone di policy di Firewall Manager, Firewall Manager invia un'e-mail per informarvi della situazione e indicarvi le opzioni possibili, con l'aiuto del vostro rappresentante AWS commerciale.
## Account chiuso
Se chiudi l'account che stai utilizzando per l' AWS Firewall Manager amministratore AWS e Firewall Manager gestisci la chiusura come segue:
+ AWS revoca l'accesso di amministratore dell'account da Firewall Manager e Firewall Manager disattiva tutte le politiche gestite dall'account amministratore. Le protezioni fornite da tali policy vengono interrotte in tutta l'organizzazione.
+ AWS conserva i dati delle policy di Firewall Manager per l'account per 90 giorni dalla data effettiva di chiusura dell'account amministratore. Durante questo periodo di 90 giorni, è possibile riaprire l'account chiuso.
+ Se riapri l'account chiuso durante il periodo di 90 giorni, AWS riassegna l'account come amministratore di Firewall Manager e recupera i dati delle policy di Firewall Manager per l'account.
+ Altrimenti, al termine del periodo di 90 giorni, elimina AWS definitivamente tutti i dati delle policy di Firewall Manager per l'account.
# Impostazione AWS Firewall Manager delle politiche
È possibile utilizzare AWS Firewall Manager per abilitare diversi tipi di politiche di sicurezza. I passaggi per la configurazione sono leggermente diversi per ciascuno.
**Topics**
+ [
# Impostazione AWS Firewall Manager AWS WAF delle politiche
](getting-started-fms.md)
+ [
# Impostazione AWS Firewall Manager AWS Shield Advanced delle politiche
](getting-started-fms-shield.md)
+ [
# Configurazione delle policy dei gruppi di sicurezza di AWS Firewall Manager Amazon VPC
](getting-started-fms-security-group.md)
+ [
# Configurazione delle politiche ACL della rete AWS Firewall Manager Amazon VPC
](getting-started-fms-network-acl.md)
+ [
# Impostazione AWS Firewall Manager AWS Network Firewall delle politiche
](getting-started-fms-network-firewall.md)
+ [
# Configurazione delle politiche AWS Firewall Manager del firewall DNS
](getting-started-fms-dns-firewall.md)
+ [
# Configurazione delle policy di AWS Firewall Manager Palo Alto Networks Cloud Next Generation Firewall
](getting-started-fms-cloud-ngfw.md)
+ [
# Configurazione delle politiche AWS Firewall Manager Fortigate CNF
](getting-started-fms-fortigate-cnf.md)
# Impostazione AWS Firewall Manager AWS WAF delle politiche
AWS Firewall Manager Per abilitare AWS WAF le regole in tutta l'organizzazione, esegui i seguenti passaggi in sequenza.
**Topics**
+ [
## Fase 1: Completamento dei prerequisiti
](#complete-prereq)
+ [
## Fase 2: Creazione e applicazione di una politica AWS WAF
](#get-started-fms-create-security-policy)
+ [
## Fase 3: Pulizia
](#clean-up)
## Fase 1: Completamento dei prerequisiti
Vi sono diversi passaggi obbligatori per preparare l'account AWS Firewall Manager. Tali fasi sono descritte nell'articolo [AWS Firewall Manager prerequisiti](fms-prereq.md). Completare tutti i prerequisiti prima di passare a [Fase 2: Creazione e applicazione di una politica AWS WAF](#get-started-fms-create-security-policy).
## Fase 2: Creazione e applicazione di una politica AWS WAF
Una AWS WAF politica di Firewall Manager contiene i gruppi di regole da applicare alle risorse. Firewall Manager crea un ACL web di Firewall Manager in ogni account a cui si applica la policy. I singoli responsabili dell'account possono aggiungere regole e gruppi di regole alla ACL Web risultante, oltre ai gruppi di regole definiti qui. Per informazioni sulle AWS WAF politiche di Firewall Manager, vedere[Utilizzo AWS WAF delle politiche con Firewall Manager](waf-policies.md).
**Per creare una AWS WAF policy di Firewall Manager (console)**
Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Scegli **Crea policy**.
1. Per **Policy type (Tipo di policy)**, scegliere **AWS WAF**.
1. Per **Regione**, scegli un Regione AWS. Per proteggere le CloudFront distribuzioni Amazon, scegli **Global**.
Per proteggere le risorse in più regioni (diverse dalle CloudFront distribuzioni), è necessario creare policy Firewall Manager separate per ogni regione.
1. Scegli **Next (Successivo)**.
1. Per **Nome della politica**, inserire un nome descrittivo. Firewall Manager include il nome della policy nei nomi del Web ACLs che gestisce. I nomi degli ACL Web sono `FMManagedWebACLV2-` seguiti dal nome della policy immesso qui e dal timestamp di creazione dell'ACL Web`-`, in millisecondi UTC. Ad esempio, `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`.
**Importante**
I nomi ACL Web non possono cambiare dopo la creazione. Se aggiorni il nome della policy, Firewall Manager non aggiornerà il nome ACL web associato. Per fare in modo che Firewall Manager crei un ACL Web con un nome diverso, è necessario creare una nuova policy.
1. In **Policy rules**, per **First rule groups**, scegli **Aggiungi gruppi di regole**. Espandi i **gruppi di regole AWS gestiti**. Per il **set di regole di base**, attivare **Add to web ACL (Aggiungi alla ACL Web)**. Per gli **input AWS noti** non validi, attiva **Aggiungi all'ACL web**. Scegliere **Add rules (Aggiungi regole)**.
Per **Last rule groups (Ultimi gruppi di regole)**, scegliere **Add rule groups (Aggiungi gruppi di regole)**. Espandi i **gruppi di regole AWS gestiti** e, per l'**elenco di reputazione degli IP di Amazon**, attiva **Aggiungi all'ACL web**. Scegliere **Add rules (Aggiungi regole)**.
**In **First rule groups**, seleziona **Core rule set** e scegli Sposta giù.** AWS WAF valuta le richieste Web in base al **AWS noto gruppo di regole di input non** validi prima di valutare rispetto al set di regole **Core**.
Puoi anche creare i tuoi gruppi di AWS WAF regole, se lo desideri, utilizzando la console. AWS WAF Tutti i gruppi di regole creati vengono visualizzati in **Your rule groups (Gruppi di regole personali)** nella **pagina Describe policy : Add rule groups (Descrizione della policy: aggiungi gruppi di regole)**.
Il primo e l'ultimo gruppo di AWS WAF regole gestiti tramite Firewall Manager hanno nomi che iniziano con `PREFMManaged-` o`POSTFMManaged-`, rispettivamente, seguiti dal nome della policy di Firewall Manager e dal timestamp di creazione del gruppo di regole, in millisecondi UTC. Ad esempio, `PREFMManaged-MyWAFPolicyName-1621880555123`.
1. Lasciare l'azione predefinita per l'ACL Web in **Allow (Consenti)**.
1. Lasciare l'**azione Policy** predefinita per non correggere automaticamente le risorse non conformi. È possibile modificare l'opzione in un secondo momento.
1. Scegli **Next (Successivo)**.
1. Per l' **ambito Policy**, si forniscono le impostazioni per gli account, i tipi di risorse e i tag che identificano le risorse a cui si desidera applicare la policy. Per questo tutorial, esci dalle impostazioni **Account AWS**e **Risorse** e scegli uno o più tipi di risorse.
1. Per **le risorse**, puoi restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedere[Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.
1. Scegli **Next (Successivo)**.
1. Per i **tag Policy**, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'[utilizzo di Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html) .
1. Scegli **Next (Successivo)**.
1. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.
Verificare che **le azioni dei criteri** siano impostate su **Identificare le risorse che non sono conformi alle regole dei criteri, ma che non vengano corrette automaticamente.** Ciò ti consente di esaminare le modifiche che la tua politica apporterebbe prima di abilitarle.
1. Al termine, scegliere **Create policy (Crea policy)**.
Nel riquadro delle **AWS Firewall Manager politiche**, la tua politica dovrebbe essere elencata. Probabilmente indicherà **In sospeso** sotto le intestazioni degli account e indicherà lo stato dell'impostazione di **riparazione automatica**. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato **In sospeso** con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, [Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica](fms-compliance.md)
## Fase 3: Pulizia
Per evitare addebiti imprevisti, eliminare tutte le policy e le risorse non necessarie.
**Per eliminare una policy (console)**
1. Nella pagina delle **AWS Firewall Manager politiche**, scegli il pulsante di opzione accanto al nome della politica, quindi scegli **Elimina**.
1. Nella casella di conferma **Delete (Elimina)** selezionare **Delete all policy resources (Elimina tutte le risorse di policy)**, quindi scegliere di nuovo **Delete (Elimina)**.
AWS WAF rimuove la politica e tutte le risorse associate, come web ACLs, che ha creato nel tuo account. La propagazione delle modifiche in tutti gli account potrebbe richiedere alcuni minuti.
# Impostazione AWS Firewall Manager AWS Shield Advanced delle politiche
Puoi utilizzarlo AWS Firewall Manager per abilitare AWS Shield Advanced le protezioni in tutta l'organizzazione.
**Importante**
Firewall Manager non supporta Amazon Route 53 o AWS Global Accelerator. Se devi proteggere queste risorse con Shield Advanced, non puoi utilizzare una policy Firewall Manager. Seguire invece le istruzioni in [Aggiungere AWS Shield Advanced protezione alle AWS risorse](configure-new-protection.md).
Per utilizzare Firewall Manager per abilitare la protezione Shield Advanced, esegui i seguenti passaggi in sequenza.
**Topics**
+ [
## Fase 1: Completamento dei prerequisiti
](#complete-prereq-fms-shield)
+ [
## Fase 2: Creazione e applicazione di una policy Shield Advanced
](#get-started-fms-shield-create-security-policy)
+ [
## Fase 3: (Facoltativo) Autorizzazione dello Shield Response Team (SRT)
](#get-started-fms-shield-authorize-srt)
+ [
## Fase 4: Configurazione delle notifiche e degli allarmi Amazon SNS CloudWatch
](#get-started-fms-shield-cloudwatch)
## Fase 1: Completamento dei prerequisiti
Vi sono diversi passaggi obbligatori per preparare l'account AWS Firewall Manager. Tali fasi sono descritte nell'articolo [AWS Firewall Manager prerequisiti](fms-prereq.md). Completare tutti i prerequisiti prima di passare a [Fase 2: Creazione e applicazione di una policy Shield Advanced](#get-started-fms-shield-create-security-policy).
## Fase 2: Creazione e applicazione di una policy Shield Advanced
Dopo aver completato i prerequisiti, crei una politica AWS Firewall Manager Shield Advanced. Una policy Firewall Manager Shield Advanced contiene gli account e le risorse che desideri proteggere con Shield Advanced.
**Importante**
Firewall Manager non supporta Amazon Route 53 o AWS Global Accelerator. Se devi proteggere queste risorse con Shield Advanced, non puoi utilizzare una policy Firewall Manager. Seguire invece le istruzioni in [Aggiungere AWS Shield Advanced protezione alle AWS risorse](configure-new-protection.md).
**Per creare una policy Firewall Manager Shield Advanced (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Scegli **Crea policy**.
1. Per **Tipo di policy**, scegli **Shield Advanced**.
Per creare una policy Shield Advanced, l'account amministratore di Firewall Manager deve essere abbonato a Shield Advanced. Se non si è iscritti, viene richiesto di farlo. [Per informazioni sul costo dell'abbonamento, consulta AWS Shield Advanced la sezione Prezzi.](https://aws.amazon.com/shield/pricing/)
**Nota**
Non è necessario sottoscrivere manualmente ogni account membro a Shield Advanced. Firewall Manager esegue questa operazione automaticamente al momento della creazione della policy. Ogni account deve rimanere abbonato a Firewall Manager e Shield Advanced per continuare a proteggere le risorse dell'account.
1. Per **Regione**, scegli un Regione AWS. Per proteggere CloudFront le risorse di Amazon, scegli **Global**.
Per proteggere le risorse in più regioni (diverse dalle CloudFront risorse), è necessario creare policy Firewall Manager separate per ogni regione.
1. Scegli **Next (Successivo)**.
1. Per **Nome**, inserisci un nome descrittivo.
1. (Solo regione globale) Per le politiche della regione **globale**, puoi scegliere se gestire la mitigazione automatica del livello di applicazione DDo S di Shield Advanced. Per questo tutorial, lascia questa scelta all'impostazione predefinita di **Ignora**.
1. Per **l'azione politica**, scegli l'opzione che non corregge automaticamente.
1. Scegli **Next (Successivo)**.
1. **Account AWS questa politica si applica** e consente di restringere l'ambito della politica specificando gli account da includere o escludere. Per questa esercitazione, scegliere **Includi tutti gli account nell'organizzazione.**
1. Scegliere i tipi di risorse da proteggere.
Firewall Manager non supporta Amazon Route 53 o AWS Global Accelerator. Se devi proteggere queste risorse con Shield Advanced, non puoi utilizzare una policy Firewall Manager. Segui invece la guida Shield Advanced all'indirizzo[Aggiungere AWS Shield Advanced protezione alle AWS risorse](configure-new-protection.md).
1. Per **quanto riguarda le risorse**, puoi restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedere[Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.
1. Scegli **Next (Successivo)**.
1. Per i **tag Policy**, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'[utilizzo di Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html) .
1. Scegli **Next (Successivo)**.
1. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.
Verificare che **le azioni dei criteri** siano impostate su **Identificare le risorse che non sono conformi alle regole dei criteri, ma che non vengano corrette automaticamente.** Ciò ti consente di esaminare le modifiche che la tua politica apporterebbe prima di abilitarle.
1. Al termine, scegliere **Create policy (Crea policy)**.
Nel riquadro delle **AWS Firewall Manager politiche**, la tua politica dovrebbe essere elencata. Probabilmente indicherà **In sospeso** sotto le intestazioni degli account e indicherà lo stato dell'impostazione di **riparazione automatica**. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato **In sospeso** con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, [Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica](fms-compliance.md)
Continua su [Fase 3: (Facoltativo) Autorizzazione dello Shield Response Team (SRT)](#get-started-fms-shield-authorize-srt).
## Fase 3: (Facoltativo) Autorizzazione dello Shield Response Team (SRT)
Uno dei vantaggi di AWS Shield Advanced è il supporto dello Shield Response Team (SRT). Quando subisci un potenziale attacco DDo S, puoi contattare il [Supporto AWS Centro](https://console.aws.amazon.com/support/home#/). Se necessario, il Support Center inoltra il problema all'SRT. L'SRT ti aiuta ad analizzare le attività sospette e ti aiuta a mitigare il problema. Questa mitigazione spesso comporta la creazione o l'aggiornamento di AWS WAF regole e web nel tuo account. ACLs L'SRT può controllare la tua AWS WAF configurazione e creare o aggiornare AWS WAF regole e web ACLs per te, ma il team ha bisogno della tua autorizzazione per farlo. Come parte della configurazione AWS Shield Advanced, ti consigliamo di fornire in modo proattivo all'SRT l'autorizzazione necessaria. Concedere in anticipo l'autorizzazione consente di evitare ritardi relativi alla mitigazione in caso di attacco imminente.
Autorizzi e contatti l'SRT a livello di account. Cioè, il proprietario dell'account, non l'amministratore di Firewall Manager, deve eseguire i seguenti passaggi per autorizzare l'SRT a mitigare i potenziali attacchi. L'amministratore di Firewall Manager può autorizzare l'SRT solo per gli account di sua proprietà. Allo stesso modo, solo il proprietario dell'account può contattare l'SRT per ricevere assistenza.
**Nota**
Per utilizzare i servizi dell'SRT, è necessario essere abbonati al piano Business [Support o al piano Enterprise](https://aws.amazon.com/premiumsupport/business-support/) [Support](https://aws.amazon.com/premiumsupport/enterprise-support/).
Per autorizzare l'SRT a mitigare i potenziali attacchi per tuo conto, segui le istruzioni riportate in. [Risposta DDo agli eventi S gestita con supporto Shield Response Team (SRT)](ddos-srt-support.md) Puoi modificare l'accesso e le autorizzazioni SRT in qualsiasi momento seguendo la stessa procedura.
Continua su [Fase 4: Configurazione delle notifiche e degli allarmi Amazon SNS CloudWatch](#get-started-fms-shield-cloudwatch).
## Fase 4: Configurazione delle notifiche e degli allarmi Amazon SNS CloudWatch
Puoi continuare da questo passaggio senza configurare le notifiche CloudWatch o gli allarmi di Amazon SNS. Tuttavia, la configurazione di questi allarmi e notifiche aumenta in modo significativo la visibilità sui possibili eventi S. DDo
Puoi monitorare le tue risorse protette per potenziali attività DDo S utilizzando Amazon SNS. Per ricevere notifiche di possibili attacchi, crea un argomento Amazon SNS per ogni regione.
**Importante**
Le notifiche di Amazon SNS relative a potenziali attività DDo S non vengono inviate in tempo reale e possono subire ritardi. Inoltre, se si supera la quota di 1.000 risorse protette di Shield Advanced per ogni tipo di risorsa e per ogni account, i vincoli prestazionali di Firewall Manager potrebbero impedire completamente la corretta consegna delle notifiche di attacco DDo S. Per ulteriori informazioni, consulta [AWS Shield Advanced quote](shield-limits.md).
Per abilitare le notifiche in tempo reale della potenziale attività DDo S, puoi utilizzare un CloudWatch allarme. L'allarme deve essere basato sulla `DDoSDetected` metrica dell'account in cui esiste la risorsa protetta.
**Per creare un argomento Amazon SNS in Firewall Manager (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel pannello di navigazione, sotto **AWS FMS**, scegli **Impostazioni**.
1. Scegli **Create new topic** (Crea nuovo argomento).
1. Inserisci un nome dell'argomento.
1. Inserisci un indirizzo e-mail a cui verranno inviati i messaggi Amazon SNS, quindi scegli **Aggiungi indirizzo e-mail**.
1. Selezionare **Update SNS configuration (Aggiorna configurazione SNS)**.
### Configurazione degli allarmi Amazon CloudWatch
Shield Advanced consente il rilevamento, la mitigazione e le metriche dei principali contributori in modo CloudWatch che sia possibile monitorare. Per ulteriori informazioni, consulta. [AWS Shield Advanced metriche](shield-metrics.md) CloudWatch comporta costi aggiuntivi. Per CloudWatch i prezzi, consulta la pagina [ CloudWatch dei prezzi di Amazon](https://aws.amazon.com/cloudwatch/pricing/).
Per creare un CloudWatch allarme, segui le istruzioni in [Uso di Amazon CloudWatch Alarms](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html). Per impostazione predefinita, Shield Advanced si configura CloudWatch per avvisare l'utente dopo un solo indicatore di un potenziale evento DDo S. Se necessario, è possibile utilizzare la console CloudWatch per modificare questa impostazione affinché venga inviato un avviso solo dopo che vengono rilevati più indicatori.
**Nota**
Oltre agli allarmi, puoi anche utilizzare una CloudWatch dashboard per monitorare la potenziale attività DDo S. La dashboard raccoglie ed elabora i dati grezzi di Shield Advanced in metriche leggibili e quasi in tempo reale. Puoi utilizzare le statistiche in Amazon CloudWatch per avere una prospettiva sulle prestazioni della tua applicazione o del tuo servizio web. Per ulteriori informazioni, consulta [Cosa c'è CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) nella *Amazon CloudWatch User Guide*.
Per istruzioni sulla creazione di una CloudWatch dashboard, consulta[Monitoraggio con Amazon CloudWatch](monitoring-cloudwatch.md). Per informazioni su metriche specifiche di Shield Advanced che puoi aggiungere alla dashboard, consulta[AWS Shield Advanced metriche](shield-metrics.md).
Una volta completata la configurazione di Shield Advanced, acquisisci familiarità con le opzioni disponibili per la visualizzazione degli eventi su. [Visibilità sugli eventi DDo S con Shield Advanced](ddos-viewing-events.md)
# Configurazione delle policy dei gruppi di sicurezza di AWS Firewall Manager Amazon VPC
AWS Firewall Manager Per abilitare i gruppi di sicurezza Amazon VPC in tutta l'organizzazione, esegui i seguenti passaggi in sequenza.
**Topics**
+ [
## Fase 1: Completamento dei prerequisiti
](#complete-prereq-security-group)
+ [
## Fase 2: Creazione di un gruppo di sicurezza da utilizzare nella policy
](#get-started-fms-create-security-groups)
+ [
## Fase 3: Creazione e applicazione di una politica di gruppo di sicurezza comune
](#get-started-fms-sg-create-security-policy)
## Fase 1: Completamento dei prerequisiti
Vi sono diversi passaggi obbligatori per preparare l'account AWS Firewall Manager. Tali fasi sono descritte nell'articolo [AWS Firewall Manager prerequisiti](fms-prereq.md). Completare tutti i prerequisiti prima di passare a [Fase 2: Creazione di un gruppo di sicurezza da utilizzare nella policy](#get-started-fms-create-security-groups).
## Fase 2: Creazione di un gruppo di sicurezza da utilizzare nella policy
In questo passaggio, crei un gruppo di sicurezza da applicare all'intera organizzazione utilizzando Firewall Manager.
**Nota**
Per questa esercitazione, non si applicano i criteri del gruppo di protezione alle risorse dell'organizzazione. È sufficiente creare il criterio e vedere cosa accadrebbe se si applicasse il gruppo di sicurezza del criterio alle risorse. A tale scopo, disabilitare la correzione automatica del criterio.
Se è già stato definito un gruppo di sicurezza generale, ignorare questo passaggio e andare a [Fase 3: Creazione e applicazione di una politica di gruppo di sicurezza comune](#get-started-fms-sg-create-security-policy).
**Per creare un gruppo di sicurezza da utilizzare in una politica di gruppo di sicurezza comune di Firewall Manager**
+ Crea un gruppo di sicurezza da applicare a tutti gli account e le risorse della tua organizzazione, seguendo le indicazioni riportate nella sezione [Security Groups for Your VPC nella Amazon [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) User Guide.
Per informazioni sulle opzioni delle regole dei gruppi di protezione, vedere [Riferimento alle regole del gruppo di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html).
È possibile ora procedere a [Fase 3: Creazione e applicazione di una politica di gruppo di sicurezza comune](#get-started-fms-sg-create-security-policy).
## Fase 3: Creazione e applicazione di una politica di gruppo di sicurezza comune
Dopo aver completato i prerequisiti, si crea una politica di gruppo di sicurezza AWS Firewall Manager comune. Una politica di gruppo di sicurezza comune fornisce un gruppo di sicurezza controllato centralmente per l'intera AWS organizzazione. Definisce inoltre le risorse Account AWS e le risorse a cui si applica il gruppo di sicurezza. Oltre alle politiche comuni dei gruppi di sicurezza, Firewall Manager supporta le politiche dei gruppi di sicurezza per il controllo dei contenuti, per gestire le regole dei gruppi di sicurezza in uso nell'organizzazione, e le politiche dei gruppi di sicurezza per il controllo dell'utilizzo, per gestire i gruppi di sicurezza inutilizzati e ridondanti. Per ulteriori informazioni, consulta [Utilizzo delle policy dei gruppi di sicurezza in Firewall Manager per gestire i gruppi di sicurezza Amazon VPC](security-group-policies.md).
Per questa esercitazione, è possibile creare un criterio di gruppo di protezione comune e impostarne l'azione in modo da non correggere automaticamente. Ciò consente di vedere quali effetti avrebbe la politica senza apportare modifiche all'organizzazione. AWS
**Per creare una politica di gruppo di sicurezza comune di Firewall Manager (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Se i prerequisiti non sono stati soddisfatti, la console visualizzerà le istruzioni su come risolvere eventuali problemi. Seguire le istruzioni e quindi tornare a questo passaggio per creare un criterio di gruppo di protezione comune.
1. Scegli **Crea policy**.
1. Per **Tipo di criterio**, scegliere **Gruppo di protezione**.
1. Per **Tipo di criteri di gruppo di protezione**, scegliere **Gruppi di protezione comuni**.
1. Per **Regione**, scegli un Regione AWS.
1. Scegli **Next (Successivo)**.
1. Per **Nome della politica**, inserisci un nome descrittivo.
1. **Le regole dei criteri** consentono di scegliere la modalità di applicazione e gestione dei gruppi di protezione in questo criterio. Per questo tutorial, lascia le opzioni deselezionate.
1. Scegliere **Aggiungi gruppo di sicurezza primario**, selezionare il gruppo di protezione creato per questa esercitazione e scegliere **Aggiungi gruppo di sicurezza**.
1. Per **Azione Criteri**, scegliere **Identificare risorse che non sono conformi alle regole dei criteri, ma non eseguire la correzione automatica.**
1. Scegli **Next (Successivo)**.
1. **Account AWS interessati da questa politica** ti consente di restringere l'ambito della tua politica specificando gli account da includere o escludere. Per questa esercitazione, scegliere **Includi tutti gli account nell'organizzazione.**
1. Per **Tipo di risorsa**, scegli uno o più tipi, in base alle risorse che hai definito per la tua AWS organizzazione.
1. Per **le risorse**, puoi restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedere[Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.
1. Scegli **Next (Successivo)**.
1. Per i **tag Policy**, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'[utilizzo di Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html) .
1. Scegli **Next (Successivo)**.
1. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.
Verificare che **le azioni dei criteri** siano impostate su **Identificare le risorse che non sono conformi alle regole dei criteri, ma che non vengano corrette automaticamente.** Ciò ti consente di esaminare le modifiche che la tua politica apporterebbe prima di abilitarle.
1. Al termine, scegliere **Create policy (Crea policy)**.
Nel riquadro delle **AWS Firewall Manager politiche**, la tua politica dovrebbe essere elencata. Probabilmente indicherà **In sospeso** sotto le intestazioni degli account e indicherà lo stato dell'impostazione di **riparazione automatica**. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato **In sospeso** con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, [Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica](fms-compliance.md)
1. Al termine dell'esplorazione, se non si desidera mantenere il criterio creato per questa esercitazione, scegliere il nome del criterio, scegliere **Elimina**, scegliere **Pulisci risorse create da questo criterio** e infine **Elimina**
Per ulteriori informazioni sui criteri dei gruppi di sicurezza di Firewall Manager, vedere[Utilizzo delle policy dei gruppi di sicurezza in Firewall Manager per gestire i gruppi di sicurezza Amazon VPC](security-group-policies.md).
# Configurazione delle politiche ACL della rete AWS Firewall Manager Amazon VPC
Da utilizzare AWS Firewall Manager per abilitare la rete ACLs in tutta l'organizzazione, esegui i passaggi di questa sezione in sequenza.
Per informazioni sulla rete ACLs, consulta [Controllare il traffico verso le sottoreti utilizzando la rete ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) nella Amazon *VPC* User Guide.
**Topics**
+ [
## Fase 1: Completamento dei prerequisiti
](#complete-prereq-network-acl)
+ [
## Fase 2: Creazione di una politica ACL di rete
](#get-started-fms-nacl-create-security-policy)
## Fase 1: Completamento dei prerequisiti
Vi sono diversi passaggi obbligatori per preparare l'account AWS Firewall Manager. Tali fasi sono descritte nell'articolo [AWS Firewall Manager prerequisiti](fms-prereq.md). Completare tutti i prerequisiti prima di passare a [Fase 2: Creazione di una politica ACL di rete](#get-started-fms-nacl-create-security-policy).
## Fase 2: Creazione di una politica ACL di rete
Dopo aver completato i prerequisiti, si crea una politica ACL di rete Firewall Manager. Una politica ACL di rete fornisce una definizione ACL di rete controllata centralmente per l'intera organizzazione. AWS Definisce inoltre le sottoreti Account AWS e le sottoreti a cui si applica l'ACL di rete.
Per informazioni sui criteri ACL di rete di Firewall Manager, vedere[Politiche ACL di rete](network-acl-policies.md).
Per informazioni generali sui criteri ACL di rete di Firewall Manager, vedere[Politiche ACL di rete](network-acl-policies.md).
**Nota**
In questo tutorial, non applicherai la politica ACL della rete alle sottoreti dell'organizzazione. Dovrai solo creare la policy e vedere cosa succederebbe se applicassi l'ACL di rete della policy alle tue sottoreti. A tale scopo, disabilitare la correzione automatica del criterio.
**Per creare una policy ACL di rete Firewall Manager (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Se i prerequisiti non sono stati soddisfatti, la console visualizzerà le istruzioni su come risolvere eventuali problemi. Segui le istruzioni, quindi torna a questo passaggio per creare una politica ACL di rete.
1. Scegli **Crea policy**.
1. Per **Regione**, scegli un Regione AWS.
1. Per **Tipo di politica**, scegli **Network ACL.**
1. Scegli **Next (Successivo)**.
1. Per **Nome della politica**, inserisci un nome descrittivo.
1. Per **le regole dei criteri Network ACL**, definisci la prima e l'ultima regola per il traffico in entrata e in uscita.
Le regole ACL di rete vengono definite in Firewall Manager in modo simile a come vengono definite tramite Amazon VPC. L'unica differenza è che, invece di assegnare personalmente i numeri alle regole, si assegna l'ordine di esecuzione di ogni set di regole, quindi Firewall Manager assegna i numeri automaticamente quando si salva la policy. È possibile definire fino a 5 regole in entrata, suddivise in qualsiasi modo tra la prima e l'ultima, e definire fino a 5 regole in uscita.
Per indicazioni sulla specificazione delle regole ACL di rete, consulta [Aggiungere ed eliminare le regole ACL di rete](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#Rules) nella Amazon *VPC* User Guide.
Le regole definite nella politica di Firewall Manager specificano la configurazione minima delle regole che un ACL di rete deve avere per essere conforme alla politica ACL di rete. Ad esempio, le regole in entrata di un ACL di rete non possono essere conformi alla policy a meno che non inizino con le prime regole in entrata della policy, nello stesso ordine in cui sono specificate nella policy. Per ulteriori informazioni, consulta [Politiche ACL di rete](network-acl-policies.md).
1. Per **Azione Criteri**, scegliere **Identificare risorse che non sono conformi alle regole dei criteri, ma non eseguire la correzione automatica.**
1. Scegli **Next (Successivo)**.
1. **Account AWS interessati da questa politica** consente di restringere l'ambito della politica specificando gli account da includere o escludere. Per questa esercitazione, scegliere **Includi tutti gli account nell'organizzazione.**
Il **tipo di risorsa** per una politica ACL di rete è sempre subnet.
1. Per **le risorse**, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedere[Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.
1. Scegli **Next (Successivo)**.
1. Per i **tag Policy**, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'[utilizzo di Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html) .
1. Scegli **Next (Successivo)**.
1. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.
Verificare che **le azioni dei criteri** siano impostate su **Identificare le risorse che non sono conformi alle regole dei criteri, ma che non vengano corrette automaticamente.** Ciò ti consente di esaminare le modifiche che la tua politica apporterebbe prima di abilitarle.
1. Al termine, scegliere **Create policy (Crea policy)**.
Nel riquadro delle **AWS Firewall Manager politiche**, la tua politica dovrebbe essere elencata. Probabilmente indicherà **In sospeso** sotto le intestazioni degli account e indicherà lo stato dell'impostazione di **riparazione automatica**. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato **In sospeso** con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, [Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica](fms-compliance.md)
1. Al termine dell'esplorazione, se non vuoi mantenere la politica che hai creato per questo tutorial, scegli il nome della politica, scegli **Elimina**, scegli **Pulisci le risorse create da** questa politica. e infine scegli **Elimina**.
Per ulteriori informazioni sui criteri ACL di rete di Firewall Manager, vedere[Politiche ACL di rete](network-acl-policies.md).
# Impostazione AWS Firewall Manager AWS Network Firewall delle politiche
AWS Firewall Manager Per attivare un firewall AWS Network Firewall in tutta l'organizzazione, esegui i seguenti passaggi in sequenza. Per informazioni sulle politiche del firewall di rete di Firewall Manager, vedere[Utilizzo AWS Network Firewall delle politiche in Firewall Manager](network-firewall-policies.md).
**Topics**
+ [
## Fase 1: Completamento dei prerequisiti
](#complete-prereq-network-firewall)
+ [
## Fase 2: Creazione di un gruppo di regole Network Firewall da utilizzare nella policy
](#get-started-fms-create-network-firewall-rule-group)
+ [
## Fase 3: Creazione e applicazione di una policy Network Firewall
](#get-started-fms-network-firewall-create-policy)
## Fase 1: Completamento dei prerequisiti
Vi sono diversi passaggi obbligatori per preparare l'account AWS Firewall Manager. Tali fasi sono descritte nell'articolo [AWS Firewall Manager prerequisiti](fms-prereq.md). Completa tutti i prerequisiti prima di procedere al passaggio successivo.
## Fase 2: Creazione di un gruppo di regole Network Firewall da utilizzare nella policy
Per seguire questo tutorial, è necessario conoscere AWS Network Firewall e configurare i gruppi di regole e le politiche del firewall.
È necessario disporre di almeno un gruppo di regole in Network Firewall che verrà utilizzato nella AWS Firewall Manager politica. Se non hai già creato un gruppo di regole in Network Firewall, fallo ora. Per informazioni sull'utilizzo di Network Firewall, consulta la [Guida per AWS Network Firewall gli sviluppatori](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html).
## Fase 3: Creazione e applicazione di una policy Network Firewall
Dopo aver completato i prerequisiti, si crea una politica AWS Firewall Manager Network Firewall. Una policy Network Firewall fornisce un AWS Network Firewall firewall controllato centralmente per l'intera AWS organizzazione. Definisce inoltre le risorse Account AWS e le risorse a cui si applica il firewall.
Per ulteriori informazioni su come Firewall Manager gestisce le politiche del Network Firewall, vedere[Utilizzo AWS Network Firewall delle politiche in Firewall Manager](network-firewall-policies.md).
**Per creare una politica Firewall Manager Network Firewall (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Se non hai soddisfatto i prerequisiti, la console visualizza le istruzioni su come risolvere eventuali problemi. Segui le istruzioni, quindi torna a questo passaggio per creare una politica Network Firewall.
1. Scegli **Crea politica di sicurezza**.
1. Per **Policy type (Tipo di policy)**, scegliere **AWS Network Firewall**.
1. Per **Regione**, scegli un Regione AWS.
1. Scegli **Next (Successivo)**.
1. Per **Nome della politica**, inserisci un nome descrittivo.
1. La configurazione della politica consente di definire la politica del firewall. Si tratta dello stesso processo utilizzato nella AWS Network Firewall console. Aggiungi i gruppi di regole che desideri utilizzare nella tua politica e fornisci le azioni stateless predefinite. Per questo tutorial, configura questa politica come faresti con una politica firewall in Network Firewall.
**Nota**
La riparazione automatica viene eseguita automaticamente per le politiche del AWS Firewall Manager Network Firewall, quindi qui non è disponibile un'opzione per scegliere di non eseguire la riparazione automatica.
1. Scegli **Next (Successivo)**.
1. Per gli **endpoint firewall, scegli Endpoint** firewall **multipli**. Questa opzione offre un'elevata disponibilità per il firewall. Quando si crea la policy, Firewall Manager crea una sottorete firewall in ogni zona di disponibilità in cui sono presenti sottoreti pubbliche da proteggere.
1. Per la **configurazione delle AWS Network Firewall rotte**, scegli **Monitor** VPCs per fare in modo che Firewall Manager controlli le violazioni della configurazione delle rotte e ti avvisi con suggerimenti di correzione per aiutarti a rendere le rotte conformi. **Facoltativamente, se non desideri che le configurazioni delle rotte vengano monitorate da Firewall Manager e ricevere questi avvisi, scegli Disattivato.**
**Nota**
Il monitoraggio fornisce dettagli sulle risorse non conformi a causa di una configurazione errata del percorso e suggerisce azioni correttive dall'API Firewall Manager. `GetViolationDetails` Ad esempio, Network Firewall ti avvisa se il traffico non viene instradato attraverso gli endpoint firewall creati dalla tua policy.
**avvertimento**
Se scegli **Monitor**, non potrai modificarlo **su Off** in futuro per la stessa politica. È necessario creare una nuova politica.
1. Per **Tipo di traffico**, seleziona **Aggiungi alla politica del firewall** per indirizzare il traffico attraverso il gateway Internet.
1. **Account AWS interessati da questa politica** consente di restringere l'ambito della politica specificando gli account da includere o escludere. Per questa esercitazione, scegliere **Includi tutti gli account nell'organizzazione.**
Il **tipo di risorsa** per una policy Network Firewall è sempre **VPC**.
1. Per **quanto riguarda le risorse**, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedere[Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.
1. Scegli **Next (Successivo)**.
1. Per i **tag Policy**, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'[utilizzo di Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html) .
1. Scegli **Next (Successivo)**.
1. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.
Verificare che **le azioni dei criteri** siano impostate su **Identificare le risorse che non sono conformi alle regole dei criteri, ma che non vengano corrette automaticamente.** Ciò ti consente di esaminare le modifiche che la tua politica apporterebbe prima di abilitarle.
1. Al termine, scegliere **Create policy (Crea policy)**.
Nel riquadro delle **AWS Firewall Manager politiche**, la tua politica dovrebbe essere elencata. Probabilmente indicherà **In sospeso** sotto le intestazioni degli account e indicherà lo stato dell'impostazione di **riparazione automatica**. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato **In sospeso** con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, [Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica](fms-compliance.md)
1. Al termine dell'esplorazione, se non vuoi mantenere la politica che hai creato per questo tutorial, scegli il nome della politica, scegli **Elimina**, scegli **Pulisci le risorse create da** questa politica. e infine scegli **Elimina**.
Per ulteriori informazioni sulle politiche del firewall di rete di Firewall Manager, vedere[Utilizzo AWS Network Firewall delle politiche in Firewall Manager](network-firewall-policies.md).
# Configurazione delle politiche AWS Firewall Manager del firewall DNS
AWS Firewall Manager Per abilitare Amazon Route 53 Resolver DNS Firewall in tutta l'organizzazione, esegui i seguenti passaggi in sequenza. Per informazioni sulle politiche del firewall DNS di Firewall Manager, vedere[Utilizzo delle politiche firewall DNS di Amazon Route 53 Resolver in Firewall Manager](dns-firewall-policies.md).
**Topics**
+ [
## Fase 1: Completamento dei prerequisiti
](#complete-prereq-dns-firewall)
+ [
## Fase 2: Creazione dei gruppi di regole del firewall DNS da utilizzare nella policy
](#get-started-fms-create-dns-firewall-association)
+ [
## Fase 3: Creazione e applicazione di una policy DNS Firewall
](#get-started-fms-dns-firewall-create-policy)
## Fase 1: Completamento dei prerequisiti
Vi sono diversi passaggi obbligatori per preparare l'account AWS Firewall Manager. Tali fasi sono descritte nell'articolo [AWS Firewall Manager prerequisiti](fms-prereq.md). Completa tutti i prerequisiti prima di procedere al passaggio successivo.
## Fase 2: Creazione dei gruppi di regole del firewall DNS da utilizzare nella policy
Per seguire questo tutorial, è necessario conoscere il firewall DNS di Amazon Route 53 Resolver e sapere come configurarne i gruppi di regole.
Devi avere almeno un gruppo di regole in DNS Firewall che verrà utilizzato nella tua policy. AWS Firewall Manager Se non hai già creato un gruppo di regole in DNS Firewall, fallo ora. Per informazioni sull'uso di DNS Firewall, consulta [Amazon Route 53 Resolver DNS Firewall nella](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) [Amazon Route](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) 53 Developer Guide.
## Fase 3: Creazione e applicazione di una policy DNS Firewall
Dopo aver completato i prerequisiti, si crea una policy AWS Firewall Manager DNS Firewall. Una policy DNS Firewall fornisce una serie di associazioni di gruppi di regole DNS Firewall controllate centralmente per l'intera organizzazione. AWS Definisce inoltre le risorse Account AWS e le risorse a cui si applica il firewall.
Per ulteriori informazioni su come Firewall Manager gestisce le associazioni dei gruppi di regole del firewall DNS, vedere[Utilizzo delle politiche firewall DNS di Amazon Route 53 Resolver in Firewall Manager](dns-firewall-policies.md).
**Per creare una policy Firewall DNS Firewall Manager (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Se non hai soddisfatto i prerequisiti, la console visualizza le istruzioni su come risolvere eventuali problemi. Segui le istruzioni, quindi torna a questo passaggio per creare una policy DNS Firewall.
1. Scegli **Crea politica di sicurezza**.
1. Per il **tipo di policy**, scegli **Amazon Route 53 Resolver DNS Firewall**.
1. Per **Regione, scegli** un. Regione AWS
1. Scegli **Next (Successivo)**.
1. Per **Nome della politica**, inserisci un nome descrittivo.
1. La configurazione delle policy consente di definire le associazioni dei gruppi di regole del firewall DNS che si desidera gestire da Firewall Manager. Aggiungi i gruppi di regole che desideri utilizzare nella tua politica. Puoi definire un'associazione da valutare prima per la tua VPCs e un'altra da valutare per ultima. Per questo tutorial, aggiungi una o due associazioni di gruppi di regole, a seconda delle tue esigenze.
1. Scegli **Next (Successivo)**.
1. **Account AWS interessati da questa politica** ti consente di restringere l'ambito della tua politica specificando gli account da includere o escludere. Per questa esercitazione, scegliere **Includi tutti gli account nell'organizzazione.**
Il **tipo di risorsa** per una politica del firewall DNS è sempre **VPC.**
1. Per **quanto riguarda le risorse**, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedere[Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.
1. Scegli **Next (Successivo)**.
1. Per i **tag Policy**, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'[utilizzo di Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html) .
1. Scegli **Next (Successivo)**.
1. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.
Verificare che **le azioni dei criteri** siano impostate su **Identificare le risorse che non sono conformi alle regole dei criteri, ma che non vengano corrette automaticamente.** Ciò ti consente di esaminare le modifiche che la tua politica apporterebbe prima di abilitarle.
1. Al termine, scegliere **Create policy (Crea policy)**.
Nel riquadro delle **AWS Firewall Manager politiche**, la tua politica dovrebbe essere elencata. Probabilmente indicherà **In sospeso** sotto le intestazioni degli account e indicherà lo stato dell'impostazione di **riparazione automatica**. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato **In sospeso** con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, [Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica](fms-compliance.md)
1. Al termine dell'esplorazione, se non vuoi mantenere la politica che hai creato per questo tutorial, scegli il nome della politica, scegli **Elimina**, scegli **Pulisci le risorse create da** questa politica. e infine scegli **Elimina**.
Per ulteriori informazioni sulle politiche del firewall DNS di Firewall Manager, vedere[Utilizzo delle politiche firewall DNS di Amazon Route 53 Resolver in Firewall Manager](dns-firewall-policies.md).
# Configurazione delle policy di AWS Firewall Manager Palo Alto Networks Cloud Next Generation Firewall
AWS Firewall Manager Per abilitare le politiche Palo Alto Networks Cloud Next Generation Firewall (NGFW), esegui i seguenti passaggi in sequenza. Per informazioni sulle politiche NGFW di Palo Alto Networks Cloud, vedere. [Utilizzo delle policy NGFW di Palo Alto Networks Cloud per Firewall Manager](cloud-ngfw-policies.md)
**Topics**
+ [
## Fase 1: Completamento dei prerequisiti generali
](#complete-fms-prereq)
+ [
## Fase 2: Completamento dei prerequisiti della policy NGFW di Palo Alto Networks Cloud
](#complete-prereq-cloud-ngfw)
+ [
## Fase 3: Creazione e applicazione di una policy NGFW di Palo Alto Networks Cloud
](#get-started-fms-cloud-ngfw-create-policy)
## Fase 1: Completamento dei prerequisiti generali
Vi sono diversi passaggi obbligatori per preparare l'account AWS Firewall Manager. Tali fasi sono descritte nell'articolo [AWS Firewall Manager prerequisiti](fms-prereq.md). Completa tutti i prerequisiti prima di procedere al passaggio successivo.
## Fase 2: Completamento dei prerequisiti della policy NGFW di Palo Alto Networks Cloud
Ci sono un paio di passaggi obbligatori aggiuntivi che è necessario completare per utilizzare le policy NGFW di Palo Alto Networks Cloud. Tali fasi sono descritte nell'articolo [Prerequisiti della policy Palo Alto Networks Cloud Next Generation Firewall](fms-third-party-prerequisites.md#fms-cloud-ngfw-prerequisites). Completa tutti i prerequisiti prima di procedere al passaggio successivo.
## Fase 3: Creazione e applicazione di una policy NGFW di Palo Alto Networks Cloud
Dopo aver completato i prerequisiti, si crea una policy NGFW di AWS Firewall Manager Palo Alto Networks Cloud.
Per ulteriori informazioni sulle politiche di Firewall Manager per Palo Alto Networks Cloud NGFW, vedere. [Utilizzo delle policy NGFW di Palo Alto Networks Cloud per Firewall Manager](cloud-ngfw-policies.md)
**Per creare una policy Firewall Manager per Palo Alto Networks Cloud NGFW (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Scegli **Crea policy**.
1. Per il **tipo di policy**, scegli **Palo Alto Networks Cloud NGFW**. Se non ti sei ancora abbonato al servizio Palo Alto Networks Cloud NGFW nel AWS Marketplace, devi prima farlo. Per iscriverti al AWS Marketplace, scegli **Visualizza i dettagli del AWS Marketplace**.
1. Per il **modello di implementazione**, scegli il **modello distribuito o il modello** **centralizzato**. Il modello di distribuzione determina il modo in cui Firewall Manager gestisce gli endpoint per la policy. Con il modello distribuito, Firewall Manager mantiene gli endpoint del firewall in ogni VPC che rientra nell'ambito delle policy. Con il modello centralizzato, Firewall Manager mantiene un singolo endpoint in un VPC di ispezione.
1. Per **Regione, scegli** un. Regione AWS Per proteggere le risorse in più regioni, devi creare politiche separate per ogni regione.
1. Scegli **Next (Successivo)**.
1. Per **Nome della politica**, inserisci un nome descrittivo.
1. Nella configurazione della policy, scegli la policy firewall NGFW di Palo Alto Networks Cloud da associare a questa policy. L'elenco delle politiche firewall NGFW di Palo Alto Networks Cloud contiene tutte le politiche firewall Palo Alto Networks Cloud NGFW associate al tenant Palo Alto Networks Cloud NGFW. *Per informazioni sulla creazione e la gestione delle policy firewall Palo Alto Networks Cloud NGFW, consulta la sezione *[Deploy Palo Alto Networks Cloud NGFW per l'argomento della guida all'implementazione di Palo Alto Networks Cloud NGFW](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/getting-started-with-cloud-ngfw-for-aws/deploy-cloud-ngfw-for-aws-with-the-aws-firewall-manager.html)*. AWS AWS Firewall Manager AWS *
1. Per la registrazione **NGFW di Palo Alto Networks Cloud: opzionale, scegli facoltativamente quali tipi di log** Palo Alto Networks Cloud NGFW registrare per la tua politica. *Per informazioni sui tipi di log NGFW di Palo Alto Networks Cloud, consulta [Configura la registrazione per Palo Alto Networks Cloud NGFW nella guida all'implementazione di Palo Alto Networks Cloud](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/create-cloud-ngfw-instances-and-endpoints/configure-logging-for-the-cloud-ngfw-on-aws.html) NGFW. AWS AWS *
Per la **destinazione dei log**, specificare in che momento Firewall Manager deve scrivere i log.
1. Scegli **Next (Successivo)**.
1. In **Configura un endpoint firewall di terze parti**, esegui una delle seguenti operazioni, a seconda che utilizzi il modello di distribuzione distribuito o centralizzato per creare gli endpoint firewall:
+ Se utilizzi il modello di distribuzione distribuito per questa politica, in Zone di **disponibilità, seleziona in quali zone** di disponibilità creare gli endpoint del firewall. È possibile selezionare le zone di disponibilità in base al **nome della zona di disponibilità** o all'**ID della zona di disponibilità**.
+ Se utilizzi il modello di distribuzione centralizzato per questa policy, nella configurazione degli **AWS Firewall Manager endpoint in configurazione** Inspection **VPC**, inserisci l'ID AWS account del proprietario del VPC di ispezione e l'ID VPC del VPC di ispezione.
+ In Zone di **disponibilità, seleziona le zone** di disponibilità in cui creare gli endpoint del firewall. È possibile selezionare le zone di disponibilità in base al **nome della zona di disponibilità** o all'**ID della zona di disponibilità**.
1. Scegli **Next (Successivo)**.
1. Per l'**ambito della politica**, in base **a cui si applica Account AWS questa politica**, scegli l'opzione seguente:
+ Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita **Includi tutti gli account della mia AWS organizzazione**.
+ Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli **Includi solo i conti e le unità organizzative specificati**, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali account figlio OUs e aggiunti in un secondo momento.
+ Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli **Escludi i conti e le unità organizzative specificati e includi tutti gli altri**, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.
È possibile scegliere solo una delle opzioni.
Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figliOUs, Firewall Manager applica automaticamente la politica al nuovo account.
Il **tipo di risorsa** per le politiche del Network Firewall è **VPC**.
1. Per **le risorse**, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedere[Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.
1. Per **Concedi l'accesso a più account**, scegli **Scarica CloudFormation modello**. In questo modo viene scaricato un CloudFormation modello che puoi utilizzare per creare uno CloudFormation stack. Questo stack crea un AWS Identity and Access Management ruolo che concede a Firewall Manager le autorizzazioni per più account per gestire le risorse NGFW di Palo Alto Networks Cloud. [https://docs.aws.amazon.com/AWSCloudFormation/latest/gsg/stacks.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/gsg/stacks.html)
1. Scegli **Next (Successivo)**.
1. Per i **tag Policy**, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'[utilizzo di Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html) .
1. Scegli **Next (Successivo)**.
1. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.
Verificare che **le azioni dei criteri** siano impostate su **Identificare le risorse che non sono conformi alle regole dei criteri, ma che non vengano corrette automaticamente.** Ciò ti consente di esaminare le modifiche che la tua politica apporterebbe prima di abilitarle.
1. Al termine, scegliere **Create policy (Crea policy)**.
Nel riquadro delle **AWS Firewall Manager politiche**, la tua politica dovrebbe essere elencata. Probabilmente indicherà **In sospeso** sotto le intestazioni degli account e indicherà lo stato dell'impostazione di **riparazione automatica**. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato **In sospeso** con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, [Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica](fms-compliance.md)
Per ulteriori informazioni sulle politiche NGFW di Firewall Manager Palo Alto Networks Cloud, vedere. [Utilizzo delle policy NGFW di Palo Alto Networks Cloud per Firewall Manager](cloud-ngfw-policies.md)
# Configurazione delle politiche AWS Firewall Manager Fortigate CNF
Fortigate Cloud Native Firewall (CNF) as a Service è un servizio firewall di terze parti che puoi utilizzare per le tue politiche. AWS Firewall Manager Con Fortigate CNF for Firewall Manager, puoi creare e distribuire centralmente risorse e set di policy Fortigate CNF su tutti i tuoi account. AWS Per abilitare le policy AWS Firewall Manager CNF di Fortigate, esegui i seguenti passaggi in sequenza. Per ulteriori informazioni sulle politiche CNF di Fortigate, vedere. [Utilizzo delle politiche di Fortigate Cloud Native Firewall (CNF) as a Service per Firewall Manager](fortigate-cnf-policies.md)
**Topics**
+ [
## Fase 1: Completamento dei prerequisiti generali
](#complete-fms-prereq-fortigate-cnf)
+ [
## Fase 2: Completamento dei prerequisiti della politica Fortigate CNF
](#complete-prereq-fortigate-cnf)
+ [
## Fase 3: Creazione e applicazione di una policy Fortigate CNF
](#get-started-fms-fortigate-cnf-create-policy)
## Fase 1: Completamento dei prerequisiti generali
Vi sono diversi passaggi obbligatori per preparare l'account AWS Firewall Manager. Tali fasi sono descritte nell'articolo [AWS Firewall Manager prerequisiti](fms-prereq.md). Completa tutti i prerequisiti prima di procedere al passaggio successivo.
## Fase 2: Completamento dei prerequisiti della politica Fortigate CNF
Esistono ulteriori passaggi obbligatori che è necessario completare per utilizzare le politiche CNF di Fortigate. Tali fasi sono descritte nell'articolo [Prerequisiti della politica Fortigate Cloud Native Firewall (CNF) as a Service](fms-third-party-prerequisites.md#fms-fortigate-cnf-prerequisites). Completa tutti i prerequisiti prima di procedere al passaggio successivo.
## Fase 3: Creazione e applicazione di una policy Fortigate CNF
Dopo aver completato i prerequisiti, crei una AWS Firewall Manager policy Fortigate CNF.
Per ulteriori informazioni sulle politiche di Firewall Manager per Fortigate CNF, vedere. [Utilizzo delle politiche di Fortigate Cloud Native Firewall (CNF) as a Service per Firewall Manager](fortigate-cnf-policies.md)
**Per creare una policy Firewall Manager per Fortigate CNF (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Scegli **Crea policy**.
1. Per il **tipo di policy**, scegli Fortigate CNF. Se non ti sei ancora abbonato al servizio Fortigate CNF nel AWS Marketplace, devi prima farlo. Per iscriverti al AWS Marketplace, scegli **Visualizza i dettagli del AWS Marketplace**.
1. Per il **modello di implementazione**, scegli il **modello distribuito o il modello** **centralizzato**. Il modello di distribuzione determina il modo in cui Firewall Manager gestisce gli endpoint per la policy. Con il modello distribuito, Firewall Manager mantiene gli endpoint del firewall in ogni VPC che rientra nell'ambito delle policy. Con il modello centralizzato, Firewall Manager mantiene un singolo endpoint in un VPC di ispezione.
1. Per **Regione, scegli** un. Regione AWS Per proteggere le risorse in più regioni, devi creare politiche separate per ogni regione.
1. Scegli **Next (Successivo)**.
1. Nella configurazione della politica, scegli la politica firewall Fortigate CNF da associare a questa politica. L'elenco delle politiche firewall di Fortigate CNF contiene tutte le politiche firewall Fortigate CNF associate al tenant di Fortigate CNF. [Per informazioni sulla creazione e la gestione delle politiche firewall di Fortigate CNF, consulta la documentazione di Fortigate CNF.](https://docs.fortinet.com/product/fortigate-cnf)
1. Scegli **Next (Successivo)**.
1. In **Configura un endpoint firewall di terze parti**, esegui una delle seguenti operazioni, a seconda che utilizzi il modello di distribuzione distribuito o centralizzato per creare gli endpoint firewall:
+ Se utilizzi il modello di distribuzione distribuito per questa politica, in Zone di **disponibilità, seleziona in quali zone** di disponibilità creare gli endpoint del firewall. È possibile selezionare le zone di disponibilità in base al **nome della zona di disponibilità** o all'**ID della zona di disponibilità**.
+ Se utilizzi il modello di distribuzione centralizzato per questa policy, nella configurazione degli **AWS Firewall Manager endpoint in configurazione** Inspection **VPC**, inserisci l'ID AWS account del proprietario del VPC di ispezione e l'ID VPC del VPC di ispezione.
+ In Zone di **disponibilità, seleziona le zone** di disponibilità in cui creare gli endpoint del firewall. È possibile selezionare le zone di disponibilità in base al **nome della zona di disponibilità** o all'**ID della zona di disponibilità**.
1. Scegli **Next (Successivo)**.
1. Per l'**ambito della politica**, in base **a cui si applica Account AWS questa politica**, scegli l'opzione seguente:
+ Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita **Includi tutti gli account della mia AWS organizzazione**.
+ Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli **Includi solo i conti e le unità organizzative specificati**, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali account figlio OUs e aggiunti in un secondo momento.
+ Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli **Escludi i conti e le unità organizzative specificati e includi tutti gli altri**, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.
È possibile scegliere solo una delle opzioni.
Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figli OUs, Firewall Manager applica automaticamente la politica al nuovo account.
**Il **tipo di risorsa** per le policy CNF di Fortigate è VPC.**
1. Per **le risorse**, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedere[Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.
1. Per **Concedi l'accesso a più account**, scegli **Scarica CloudFormation modello**. In questo modo viene scaricato un CloudFormation modello che puoi utilizzare per creare uno CloudFormation stack. Questo stack crea un AWS Identity and Access Management ruolo che concede a Firewall Manager le autorizzazioni per più account per gestire le risorse Fortigate CNF. [https://docs.aws.amazon.com/AWSCloudFormation/latest/gsg/stacks.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/gsg/stacks.html) Per creare uno stack, è necessario l'ID dell'account dal portale Fortigate CNF.
1. Scegli **Next (Successivo)**.
1. Per i **tag Policy**, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'[utilizzo di Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html) .
1. Scegli **Next (Successivo)**.
1. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.
Verificare che **le azioni dei criteri** siano impostate su **Identificare le risorse che non sono conformi alle regole dei criteri, ma che non vengano corrette automaticamente.** Ciò ti consente di esaminare le modifiche che la tua politica apporterebbe prima di abilitarle.
1. Al termine, scegliere **Create policy (Crea policy)**.
Nel riquadro delle **AWS Firewall Manager politiche**, la tua politica dovrebbe essere elencata. Probabilmente indicherà **In sospeso** sotto le intestazioni degli account e indicherà lo stato dell'impostazione di **riparazione automatica**. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato **In sospeso** con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, [Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica](fms-compliance.md)
Per ulteriori informazioni sulle politiche CNF di Firewall Manager Fortigate, vedere. [Utilizzo delle politiche di Fortigate Cloud Native Firewall (CNF) as a Service per Firewall Manager](fortigate-cnf-policies.md)
# Utilizzo AWS Firewall Manager delle politiche
AWS Firewall Manager fornisce i seguenti tipi di politiche. Per ogni tipo di policy, si definiscono:
+ **AWS WAF****policy** — Firewall Manager supporta le policy AWS WAF classiche AWS WAF e le policy. Per entrambe le versioni, è possibile definire quali risorse sono protette dalla policy.
+ Il tipo di AWS WAF policy richiede che i set di gruppi di regole vengano eseguiti per primi e per ultimi nell'ACL Web. Quindi, negli account a cui si applica l'ACL web, il proprietario dell'account può aggiungere regole e gruppi di regole da eseguire tra i due set.
+ Il tipo di policy AWS WAF Classic richiede l'esecuzione di un singolo gruppo di regole nell'ACL Web.
+ **Politica Shield Advanced**: questo tipo di politica applica le protezioni Shield Advanced in tutta l'organizzazione per i tipi di risorse specificati.
+ **Policy di gruppo di sicurezza di Amazon VPC**: questo tipo di policy ti dà il controllo sui gruppi di sicurezza utilizzati in tutta l'organizzazione e ti consente di applicare un set di regole di base all'interno dell'organizzazione.
+ **Policy della lista di controllo degli accessi alla rete (ACL) di Amazon VPC**: questo tipo di policy ti consente di controllare le reti ACLs utilizzate in tutta l'organizzazione e ti consente di applicare un set di rete di base in tutta l'organizzazione. ACLs
+ **Politica Network Firewall**: questo tipo di policy applica AWS Network Firewall la protezione a quella dell'organizzazione VPCs.
+ **Policy firewall DNS di Amazon Route 53 Resolver: questa politica** applica le protezioni DNS Firewall a quelle della tua organizzazione. VPCs
+ **Policy firewall di terze parti: questo tipo di policy** applica protezioni firewall di terze parti. I firewall di terze parti sono disponibili in abbonamento tramite la console AWS Marketplace su [AWS Marketplace](https://aws.amazon.com/marketplace).
+ Policy **NGFW di Palo Alto Networks Cloud: questo tipo di policy** applica le protezioni Palo Alto Networks Cloud Next Generation Firewall (NGFW) e gli stack di regole Palo Alto Networks Cloud NGFW a quelli dell'organizzazione. VPCs
+ Policy **Fortigate Cloud Native Firewall (CNF) as a Service: questo tipo di policy applica le protezioni di Fortigate Cloud Native Firewall (CNF) as a Service**. Fortigate CNF è una soluzione incentrata sul cloud che blocca le minacce Zero-Day e protegge le infrastrutture cloud con la prevenzione avanzata delle minacce leader del settore, firewall intelligenti per applicazioni web (WAF) e protezione delle API.
Una policy di Firewall Manager è specifica per ogni tipo di policy. Se si desidera applicare più tipi di criteri tra gli account, è possibile creare più criteri. È possibile creare più criteri per ogni tipo.
Se si aggiunge un nuovo account a un'organizzazione con cui è stato creato AWS Organizations, Firewall Manager applica automaticamente la politica alle risorse di quell'account che rientrano nell'ambito della politica.
## Impostazioni generali per AWS Firewall Manager le politiche
AWS Firewall Manager le politiche gestite hanno alcune impostazioni e comportamenti comuni. Per tutti, è necessario specificare un nome e definire l'ambito della politica e utilizzare l'etichettatura delle risorse per controllare l'ambito della politica. È possibile scegliere di visualizzare gli account e le risorse non conformi senza intraprendere azioni correttive o di correggere automaticamente le risorse non conformi.
Per informazioni sull'ambito della politica, vedere[Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
# Creazione di una AWS Firewall Manager politica
I passaggi per la creazione di un criterio variano a seconda dei diversi tipi di criteri. Assicurarsi di utilizzare la procedura per il tipo di criterio necessario.
**Importante**
AWS Firewall Manager non supporta Amazon Route 53 o AWS Global Accelerator. Se desideri proteggere queste risorse con Shield Advanced, non puoi utilizzare una policy Firewall Manager. Seguire invece le istruzioni in [Aggiungere AWS Shield Advanced protezione alle AWS risorse](configure-new-protection.md).
**Topics**
+ [
## Creazione di una AWS Firewall Manager politica per AWS WAF
](#creating-firewall-manager-policy-for-waf)
+ [
## Creazione di una politica per Classic AWS Firewall Manager AWS WAF
](#creating-firewall-manager-policy-for-classic-waf)
+ [
## Creazione di una AWS Firewall Manager politica per AWS Shield Advanced
](#creating-firewall-manager-policy-for-shield-advanced)
+ [
## Creazione di una politica AWS Firewall Manager comune per i gruppi di sicurezza
](#creating-firewall-manager-policy-common-security-group)
+ [
## Creazione di una politica di gruppo di AWS Firewall Manager sicurezza per il controllo dei contenuti
](#creating-firewall-manager-policy-audit-security-group)
+ [
## Creazione di una politica di gruppo di sicurezza per il controllo dell' AWS Firewall Manager utilizzo
](#creating-firewall-manager-policy-usage-security-group)
+ [
## Creazione di una AWS Firewall Manager politica ACL di rete
](#creating-firewall-manager-policy-network-acl)
+ [
## Creazione di una AWS Firewall Manager politica per AWS Network Firewall
](#creating-firewall-manager-policy-for-network-firewall)
+ [
## Creazione di una AWS Firewall Manager policy per Amazon Route 53 Resolver DNS Firewall
](#creating-firewall-manager-policy-for-dns-firewall)
+ [
## Creazione di una AWS Firewall Manager policy per Palo Alto Networks Cloud NGFW
](#creating-cloud-ngfw-policy)
+ [
## Creazione di una AWS Firewall Manager policy per Fortigate Cloud Native Firewall (CNF) as a Service
](#creating-fortigate-cnf-policy)
## Creazione di una AWS Firewall Manager politica per AWS WAF
In una AWS WAF politica di Firewall Manager, puoi utilizzare gruppi di regole gestiti, che AWS e Marketplace AWS i venditori creano e gestiscono per te. È inoltre possibile creare e utilizzare propri gruppi di regole. Per ulteriori informazioni sui gruppi di regole, consulta [AWS WAF gruppi di regole](waf-rule-groups.md).
Se desideri utilizzare i tuoi gruppi di regole, creali prima di creare la AWS WAF policy di Firewall Manager. Per le linee guida, consulta [Gestione dei propri gruppi di regole](waf-user-created-rule-groups.md). Per utilizzare una singola regola personalizzata, è necessario definire il proprio gruppo di regole, definire la regola all'interno del gruppo e quindi utilizzare il gruppo di regole nella policy.
Per informazioni sulle AWS WAF politiche di Firewall Manager, vedere[Utilizzo AWS WAF delle politiche con Firewall Manager](waf-policies.md).
**Per creare una policy Firewall Manager per AWS WAF (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Scegli **Crea policy**.
1. Per **Policy type (Tipo di policy)**, scegliere **AWS WAF**.
1. Per **Regione**, scegli un Regione AWS. Per proteggere le CloudFront distribuzioni Amazon, scegli **Global**.
Per proteggere le risorse in più regioni (diverse dalle CloudFront distribuzioni), è necessario creare policy Firewall Manager separate per ogni regione.
1. Scegli **Next (Successivo)**.
1. Per **Nome della politica**, inserire un nome descrittivo. Firewall Manager include il nome della policy nei nomi del Web ACLs che gestisce. I nomi degli ACL Web sono `FMManagedWebACLV2-` seguiti dal nome della policy immesso qui e dal timestamp di creazione dell'ACL Web`-`, in millisecondi UTC. Ad esempio, `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`.
1. Per l'**ispezione del corpo su richiesta Web, puoi modificare facoltativamente il limite di dimensione del corpo**. Per informazioni sui limiti di dimensioni per l'ispezione delle carrozzerie, comprese le considerazioni relative ai prezzi, consultate la [Considerazioni per la gestione dell'ispezione degli organi in AWS WAF](web-acl-setting-body-inspection-limit.md) Guida per gli *AWS WAF sviluppatori*.
1. In **Policy rules**, aggiungi i gruppi di regole che desideri valutare AWS WAF per primi e per ultimi nell'ACL web. **Per utilizzare il controllo delle versioni AWS WAF gestito dei gruppi di regole, attiva Abilita il controllo delle versioni.** I singoli responsabili dell'account possono aggiungere regole e gruppi di regole tra i primi gruppi di regole e gli ultimi gruppi di regole. Per ulteriori informazioni sull'utilizzo dei gruppi di AWS WAF regole nelle politiche di Firewall Manager per AWS WAF, vedere[Utilizzo AWS WAF delle politiche con Firewall Manager](waf-policies.md).
(Facoltativo) Per personalizzare il modo in cui l'ACL Web utilizza il gruppo di regole, scegli **Modifica**. Di seguito sono riportate le impostazioni di personalizzazione più comuni:
+ Per i gruppi di regole gestiti, sostituisci le azioni delle regole per alcune o tutte le regole. Se non si definisce un'azione di sostituzione per una regola, la valutazione utilizza l'azione della regola definita all'interno del gruppo di regole. Per informazioni su questa opzione, consulta [Sovrascrivere le azioni del gruppo di regole in AWS WAF](web-acl-rule-group-override-options.md) la *Guida per gli AWS WAF sviluppatori*.
+ Alcuni gruppi di regole gestiti richiedono una configurazione aggiuntiva. Consulta la documentazione del tuo fornitore di gruppi di regole gestiti. Per informazioni specifiche sui gruppi di regole AWS Managed Rules, [AWS Regole gestite per AWS WAF](aws-managed-rule-groups.md) consulta la *Guida per gli AWS WAF sviluppatori*.
Quando hai finito con le impostazioni, scegli **Salva regola**.
1. Impostare l'operazione predefinita per l'ACL Web. Questa è l'azione che AWS WAF intraprende quando una richiesta web non corrisponde a nessuna delle regole dell'ACL web. **Puoi aggiungere intestazioni personalizzate con l'azione **Consenti** o risposte personalizzate per l'azione Blocca.** Per ulteriori informazioni sulle azioni ACL Web predefinite, consulta. [Impostazione dell'azione predefinita del Protection Pack (Web ACL) in AWS WAF](web-acl-default-action.md) Per informazioni sull'impostazione di richieste e risposte Web personalizzate, vedere[Richieste e risposte web personalizzate in AWS WAF](waf-custom-request-response.md).
1. Per la **configurazione della registrazione**, scegli **Abilita registrazione** per attivare la registrazione. La registrazione fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. Scegli la **destinazione di registrazione, quindi scegli la destinazione** di registrazione che hai configurato. È necessario scegliere una destinazione di registrazione il cui nome inizi con. `aws-waf-logs-` Per informazioni sulla configurazione di una destinazione di AWS WAF registrazione, vedere. [Utilizzo AWS WAF delle politiche con Firewall Manager](waf-policies.md)
1. (Facoltativo) Se non si desidera che determinati campi e i relativi valori vengano inclusi nei log, omettere tali campi. Scegliere il campo da omettere, quindi selezionare **Add (Aggiungi)**. Se necessario, ripetere l'operazione per omettere i campi aggiuntivi. I campi omessi vengono visualizzati come `REDACTED` nei log. Ad esempio, se si oscura il campo **URI**, il campo **URI** nei registri sarà. `REDACTED`
1. (Facoltativo) Se non desideri inviare tutte le richieste ai log, aggiungi i criteri e il comportamento di filtro. In **Filtra log**, per ogni filtro che desideri applicare, scegli **Aggiungi filtro**, quindi scegli i criteri di filtro e specifica se desideri conservare o eliminare le richieste che corrispondono ai criteri. Al termine dell'aggiunta dei filtri, se necessario, modifica il comportamento di **registrazione predefinito**. Per ulteriori informazioni, consulta la sezione [Individuazione dei record del Protection Pack (Web ACL)](logging-management.md) nella *Guida per gli sviluppatori di AWS WAF *.
1. È possibile definire un **elenco di domini Token** per abilitare la condivisione dei token tra applicazioni protette. I token vengono utilizzati dalle Challenge azioni CAPTCHA e e dall'integrazione SDKs delle applicazioni implementate quando si utilizzano i gruppi di regole AWS Managed Rules for AWS WAF Fraud Control, account takeover prevention (ATP) e AWS WAF Bot Control.
I suffissi pubblici non sono consentiti. Ad esempio, non puoi usare `gov.au` or `co.uk` come dominio token.
Per impostazione predefinita, AWS WAF accetta token solo per il dominio della risorsa protetta. Se aggiungi domini token in questo elenco, AWS WAF accetta token per tutti i domini dell'elenco e per il dominio della risorsa associata. Per ulteriori informazioni, consulta la sezione [AWS WAF configurazione dell'elenco di domini con token protection pack (Web ACL)](waf-tokens-domains.md#waf-tokens-domain-lists) nella *Guida per gli sviluppatori di AWS WAF *.
È possibile modificare il CAPTCHA dell'ACL Web e contestare i **tempi di immunità** solo quando si modifica un ACL Web esistente. È possibile trovare queste impostazioni nella pagina dei **dettagli della politica** di Firewall Manager. Per informazioni su queste impostazioni, consulta [Impostazione dei tempi di scadenza del timestamp e dell'immunità dei token in AWS WAF](waf-tokens-immunity-times.md). Se aggiorni le impostazioni **Association config**, **CAPTCHA**, **Challenge** o **Token domain list** in una policy esistente, Firewall Manager sovrascriverà il Web locale ACLs con i nuovi valori. Tuttavia, se non aggiorni le impostazioni dell'**elenco di domini **Association Config**, **CAPTCHA**, **Challenge** o Token** della policy, i valori nel tuo sito web locale rimarranno invariati. ACLs *Per informazioni su questa opzione, consulta [CAPTCHAe Challenge in AWS WAF](waf-captcha-and-challenge.md) la Guida per gli sviluppatori.AWS WAF *
1. In **Gestione ACL Web**, scegli in che modo Firewall Manager gestisce la creazione e la pulizia degli ACL Web.
1. Per **Gestisci Web non associato ACLs**, scegli se Firewall Manager gestisce il Web non associato. ACLs Con questa opzione, Firewall Manager crea il Web ACLs per gli account inclusi nell'ambito delle policy solo se il Web ACLs verrà utilizzato da almeno una risorsa. Quando un account rientra nell'ambito delle politiche, Firewall Manager crea automaticamente un ACL Web nell'account se almeno una risorsa lo utilizzerà.
Quando abiliti questa opzione, Firewall Manager esegue una pulizia una tantum del Web non associato ACLs nel tuo account. Il processo di pulizia può richiedere diverse ore. Se una risorsa esce dall'ambito delle policy dopo che Firewall Manager ha creato un ACL Web, Firewall Manager dissocia la risorsa dall'ACL Web, ma non ripulisce l'ACL Web non associato. Firewall Manager pulisce il Web non associato solo ACLs quando si abilita per la prima volta la gestione del Web non associato ACLs nella policy.
1. Per l'**origine Web ACL**, specificate se creare un Web completamente nuovo ACLs per le risorse pertinenti o se modificare il Web esistente, ove possibile. ACLs Firewall Manager è in grado di aggiornare siti Web ACLs di proprietà di account pertinenti.
Il comportamento predefinito prevede la creazione di siti Web completamente nuovi. ACLs Se si sceglie questa opzione, tutti i siti Web ACLs gestiti da Firewall Manager avranno nomi che iniziano con`FMManagedWebACLV2`. Se si sceglie di aggiornare un sito Web esistente ACLs, il Web adattato ACLs avrà i nomi originali e quelli creati da Firewall Manager avranno nomi che iniziano con. `FMManagedWebACLV2`
1. Per **Policy action**, se desideri creare un ACL Web in ogni account applicabile all'interno dell'organizzazione, ma non applicare ancora l'ACL Web a nessuna risorsa, scegli **Identifica le risorse che non rispettano le regole delle policy, ma non eseguono la riparazione automatica** e non scegli **Gestisci** Web non associato. ACLs Puoi modificare queste opzioni in un secondo momento.
Se invece si desidera applicare automaticamente la policy alle risorse esistenti nell'ambito, scegliere **Auto remediate any noncompliant resources (Correggi automaticamente risorse non conformi)**. Se l'opzione **Gestisci il Web non associato ACLs** è **disattivata, l'opzione Riparazione automatica di qualsiasi risorsa non conforme** crea un ACL Web in ogni account applicabile all'interno dell'organizzazione e lo associa alle risorse degli account. Se l'opzione **Gestisci il Web non associato ACLs** è abilitata, l'opzione **Riparazione automatica di qualsiasi risorsa non conforme crea e associa un ACL Web solo negli account che dispongono di risorse** idonee per l'associazione all'ACL Web.
Quando scegli Riparazione **automatica di qualsiasi risorsa non conforme, puoi anche scegliere di rimuovere le associazioni ACL Web esistenti dalle risorse** relative all'ambito, per il Web ACLs che non sono gestite da un'altra policy attiva di Firewall Manager. Se si sceglie questa opzione, Firewall Manager associa innanzitutto l'ACL Web della policy alle risorse, quindi rimuove le associazioni precedenti. Se una risorsa ha un'associazione con un altro ACL Web gestito da una politica di Firewall Manager attiva diversa, questa scelta non influisce su tale associazione.
1. Scegli **Next (Successivo)**.
1. Affinché **Account AWS questa politica si applichi a**, scegli l'opzione seguente:
+ Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita **Includi tutti gli account della mia AWS organizzazione**.
+ Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli **Includi solo i conti e le unità organizzative specificati**, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali account figlio OUs e aggiunti in un secondo momento.
+ Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli **Escludi i conti e le unità organizzative specificati e includi tutti gli altri**, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.
È possibile scegliere solo una delle opzioni.
Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figli OUs, Firewall Manager applica automaticamente la politica al nuovo account.
1. Per **Resource type (Tipo di risorsa)**, scegliere i tipi di risorsa che si desidera proteggere.
1. Per **le risorse**, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedere[Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.
1. Scegli **Next (Successivo)**.
1. Per i **tag Policy**, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'[utilizzo di Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html) .
1. Scegli **Next (Successivo)**.
1. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.
Al termine, scegliere **Create policy (Crea policy)**. Nel riquadro delle **AWS Firewall Manager politiche**, la tua politica dovrebbe essere elencata. Probabilmente indicherà **In sospeso** sotto le intestazioni degli account e indicherà lo stato dell'impostazione di **riparazione automatica**. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato **In sospeso** con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, [Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica](fms-compliance.md)
## Creazione di una politica per Classic AWS Firewall Manager AWS WAF
**Per creare una policy Firewall Manager per AWS WAF Classic (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Scegli **Crea policy**.
1. Per **Policy type (Tipo di policy)**, scegliere **AWS WAF Classic**.
1. Se hai già creato il gruppo di regole AWS WAF Classic che desideri aggiungere alla policy, scegli **Crea una AWS Firewall Manager policy e aggiungi gruppi di regole esistenti**. Se desideri creare un nuovo gruppo di regole, scegli **Crea una politica di Firewall Manager e aggiungi un nuovo gruppo di regole**.
1. Per **Regione**, scegli un Regione AWS. Per proteggere CloudFront le risorse di Amazon, scegli **Global**.
Per proteggere le risorse in più regioni (diverse dalle CloudFront risorse), è necessario creare policy Firewall Manager separate per ogni regione.
1. Scegli **Next (Successivo)**.
1. Se si crea un gruppo di regole, seguire le istruzioni in [Creazione di un gruppo di regole AWS WAF classico](classic-create-rule-group.md). Una volta creato il gruppo di regole, procedere nel seguente modo.
1. Inserire un nome per la policy.
1. Se si aggiunge un gruppo di regole esistente, utilizzare il menu a discesa per selezionare un gruppo di regole da aggiungere, quindi scegliere **Add rule group (Aggiungi gruppo di regole)**.
1. È possibile eseguire due operazioni su una policy: **Action set by rule group (Operazione impostata dal gruppo di regole)** e **Count (Contare)**. Se si desidera verificare la policy e il gruppo di regole, impostare l'operazione su **Count (Contare)**. Questa operazione sostituisce tutte le operazioni di *blocco* specificate dalle regole nel gruppo di regole. In altre parole, se l'operazione della policy è impostata su **Count (Contare)**, le relative richieste vengono solo contate, non bloccate. Al contrario, se l'operazione della policy è impostata su **Action set by rule group (Operazione impostata dal gruppo di regole)**, vengono utilizzate le operazioni della regola nel gruppo di regole. Scegliere l'operazione appropriata.
1. Scegli **Next (Successivo)**.
1. A cui **si applica Account AWS questa politica**, scegli l'opzione seguente:
+ Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita **Includi tutti gli account della mia AWS organizzazione**.
+ Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli **Includi solo i conti e le unità organizzative specificati**, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali account figlio OUs e aggiunti in un secondo momento.
+ Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli **Escludi i conti e le unità organizzative specificati e includi tutti gli altri**, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.
È possibile scegliere solo una delle opzioni.
Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figli OUs, Firewall Manager applica automaticamente la politica al nuovo account.
1. Scegliere il tipo di risorsa da proteggere.
1. Per **le risorse**, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedere[Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.
1. Se si desidera applicare automaticamente la policy alle risorse esistenti, scegliere **Create and apply this policy to existing and new resources (Crea e applica questa policy alle risorse esistenti e nuove)**.
Questa opzione crea un'ACL Web in ogni account applicabile all'interno di un'organizzazione in AWS e associa l'ACL Web alle risorse specificate negli account. Inoltre, questa opzione applica la policy a tutte le nuove risorse che soddisfano i criteri precedenti (tipo di risorsa e tag). In alternativa, se si sceglie **Create policy but do not apply the policy to existing or new resources (Crea policy ma non applicare la policy a risorse esistenti o nuove)**, Firewall Manager crea un'ACL Web in ogni account applicabile all'interno dell'organizzazione, ma non applica l'ACL Web ad alcuna risorsa. In seguito sarà necessario applicare la policy alle risorse. Scegliere l'opzione appropriata.
1. Per **Sostituisci il Web associato esistente ACLs**, puoi scegliere di rimuovere tutte le associazioni ACL Web attualmente definite per le risorse pertinenti e quindi sostituirle con le associazioni al Web ACLs che stai creando con questa politica. Per impostazione predefinita, Firewall Manager non rimuove le associazioni ACL Web esistenti prima di aggiungere quelle nuove. Se si desidera rimuovere quelli esistenti, scegliere questa opzione.
1. Scegli **Next (Successivo)**.
1. Rivedere la nuova policy. Per apportare una modifica, scegliere **Edit (Modifica)**. Al termine, scegliere **Create and apply policy (Crea e applica policy)**.
## Creazione di una AWS Firewall Manager politica per AWS Shield Advanced
**Per creare una policy Firewall Manager per Shield Advanced (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Scegli **Crea policy**.
1. Per **Tipo di policy**, scegli **Shield Advanced**.
Per creare una politica Shield Advanced, devi essere abbonato a Shield Advanced. Se non si è iscritti, viene richiesto di farlo. [Per informazioni sul costo dell'abbonamento, consulta AWS Shield Advanced la sezione Prezzi.](https://aws.amazon.com/shield/pricing/)
1. Per **Regione**, scegli un Regione AWS. Per proteggere le CloudFront distribuzioni Amazon, scegli **Global**.
Per le scelte regionali diverse da **Global**, per proteggere le risorse in più regioni, è necessario creare una politica Firewall Manager separata per ciascuna regione.
1. Scegli **Next (Successivo)**.
1. Per **Nome**, inserisci un nome descrittivo.
1. Solo per le politiche della regione **globale**, puoi scegliere se gestire la mitigazione automatica del livello di applicazione DDo S di Shield Advanced. Per informazioni su questa funzionalità Shield Advanced, vedere[Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md).
Puoi scegliere di abilitare o disabilitare la mitigazione automatica oppure puoi scegliere di ignorarla. Se scegli di ignorarlo, Firewall Manager non gestisce affatto la mitigazione automatica per le protezioni Shield Advanced. Per ulteriori informazioni su queste opzioni di policy, consulta. [Utilizzo della mitigazione automatica del livello di applicazione DDo S con policy Firewall Manager Shield Advanced](shield-policies-auto-app-layer-mitigation.md)
1. In **Gestione Web ACL**, se desideri che Firewall Manager gestisca il Web non associato ACLs, abilita **Gestisci Web non** associato. ACLs Con questa opzione, Firewall Manager crea il Web ACLs negli account inclusi nell'ambito della policy solo se il Web ACLs verrà utilizzato da almeno una risorsa. Se in qualsiasi momento un account rientra nell'ambito delle politiche, Firewall Manager crea automaticamente un ACL Web nell'account se almeno una risorsa utilizzerà l'ACL Web. Dopo l'attivazione di questa opzione, Firewall Manager esegue una pulizia una tantum del sito Web non associato nell'account. ACLs Il processo di pulizia può richiedere diverse ore. Se una risorsa esce dall'ambito delle policy dopo che Firewall Manager ha creato un ACL Web, Firewall Manager non dissocierà la risorsa dall'ACL Web. **Per includere l'ACL Web nella pulizia unica, è necessario innanzitutto dissociare manualmente le risorse dall'ACL Web e quindi abilitare Gestisci Web non associato. ACLs**
1. Per quanto riguarda le **azioni relative alle politiche**, consigliamo di creare la policy con l'opzione che non corregga automaticamente le risorse non conformi. Quando si disabilita la riparazione automatica, è possibile valutare gli effetti della nuova politica prima di applicarla. Quando ritieni che le modifiche siano quelle che desideri, modifica la politica e modifica l'azione della politica per abilitare la correzione automatica.
Se invece si desidera applicare automaticamente la policy alle risorse esistenti nell'ambito, scegliere **Auto remediate any noncompliant resources (Correggi automaticamente risorse non conformi)**. Questa opzione applica le protezioni Shield Advanced per ogni account applicabile all'interno AWS dell'organizzazione e ogni risorsa applicabile negli account.
Solo per le politiche della regione **globale**, se si sceglie **Riparazione automatica di eventuali risorse non conformi**, è anche possibile scegliere di fare in modo ACLs che Firewall Manager sostituisca automaticamente tutte le associazioni ACL Web AWS WAF classiche esistenti con nuove associazioni al Web create utilizzando la versione più recente di (v2). AWS WAF Se si sceglie questa opzione, Firewall Manager rimuove le associazioni con la versione precedente del Web ACLs e ne crea di nuove con la versione Web più recente ACLs, dopo aver creato un nuovo sito Web vuoto ACLs in tutti gli account interessati che non li hanno già per la policy. Per ulteriori informazioni su questa opzione, consulta [Sostituisci AWS WAF Classic Web con l'ultima versione web ACLs ACLs](shield-policies-auto-app-layer-mitigation.md#shield-policies-auto-app-layer-update-waf-version).
1. Scegli **Next (Successivo)**.
1. A cui **si applica Account AWS questa politica**, scegli l'opzione seguente:
+ Se desideri applicare la politica a tutti gli account della tua organizzazione, mantieni la selezione predefinita, **Includi tutti gli account della mia AWS organizzazione**.
+ Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli **Includi solo i conti e le unità organizzative specificati**, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali account figlio OUs e aggiunti in un secondo momento.
+ Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli **Escludi i conti e le unità organizzative specificati e includi tutti gli altri**, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.
È possibile scegliere solo una delle opzioni.
Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figli OUs, Firewall Manager applica automaticamente la politica al nuovo account.
1. Scegliere il tipo di risorsa da proteggere.
Firewall Manager non supporta Amazon Route 53 o AWS Global Accelerator. Se è necessario utilizzare Shield Advanced per proteggere le risorse da questi servizi, non è possibile utilizzare una policy Firewall Manager. Segui invece la guida Shield Advanced all'indirizzo[Aggiungere AWS Shield Advanced protezione alle AWS risorse](configure-new-protection.md).
1. Per **quanto riguarda le risorse**, puoi restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedere[Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.
1. Scegli **Next (Successivo)**.
1. Per i **tag Policy**, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'[utilizzo di Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html) .
1. Scegli **Next (Successivo)**.
1. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.
Al termine, scegliere **Create policy (Crea policy)**. Nel riquadro delle **AWS Firewall Manager politiche**, la tua politica dovrebbe essere elencata. Probabilmente indicherà **In sospeso** sotto le intestazioni degli account e indicherà lo stato dell'impostazione di **riparazione automatica**. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato **In sospeso** con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, [Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica](fms-compliance.md)
## Creazione di una politica AWS Firewall Manager comune per i gruppi di sicurezza
Per informazioni sul funzionamento dei criteri comuni dei gruppi di protezione, vedere [Utilizzo di politiche comuni per i gruppi di sicurezza con Firewall Manager](security-group-policies-common.md).
Per creare una politica di gruppo di sicurezza comune, è necessario disporre di un gruppo di sicurezza già creato nell'account amministratore di Firewall Manager che si desidera utilizzare come principale per la politica. Puoi gestire i gruppi di sicurezza tramite Amazon Virtual Private Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon EC2) Elastic Compute Cloud (Amazon EC2). Per informazioni, consulta [Working with Security Groups](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) nella *Amazon VPC User Guide*.
**Per creare un criterio di gruppo di protezione comune (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Scegli **Crea policy**.
1. Per **Tipo di criterio**, scegliere **Gruppo di protezione**.
1. Per **Tipo di criteri di gruppo di protezione**, scegliere **Gruppi di protezione comuni**.
1. Per **Regione**, scegli un Regione AWS.
1. Scegli **Next (Successivo)**.
1. Per **Nome criterio**, immettere un nome descrittivo.
1. Per **Regole criteri**, eseguire le operazioni seguenti:
1. Dall'opzione regole, scegli le restrizioni che desideri applicare alle regole del gruppo di sicurezza e alle risorse che rientrano nell'ambito della politica. Se scegli **Distribuisci i tag dal gruppo di sicurezza principale ai gruppi di sicurezza creati da questa politica**, devi anche selezionare **Identifica e segnala quando i gruppi di sicurezza creati da questa politica diventano non conformi**.
**Importante**
Firewall Manager non distribuirà i tag di sistema aggiunti dai AWS servizi nei gruppi di sicurezza delle repliche. I tag di sistema iniziano con il prefisso `aws:`. Inoltre, Firewall Manager non aggiornerà i tag dei gruppi di sicurezza esistenti né creerà nuovi gruppi di sicurezza se la policy contiene tag che sono in conflitto con la politica dei tag dell'organizzazione. Per informazioni sulle politiche relative ai tag, consulta [le politiche relative ai tag](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) nella Guida AWS Organizations per l'utente.
Se scegli **Distribuisci i riferimenti ai gruppi di sicurezza dal gruppo di sicurezza principale ai gruppi di sicurezza creati da questa politica**, Firewall Manager distribuisce i riferimenti ai gruppi di sicurezza solo se dispongono di una connessione peering attiva in Amazon VPC. Per ulteriori informazioni su questa opzione, consulta [Utilizzo di politiche comuni per i gruppi di sicurezza con Firewall Manager](security-group-policies-common.md).
1. Per i **gruppi di sicurezza primari**, scegli **Aggiungi gruppi di sicurezza**, quindi scegli i gruppi di sicurezza che desideri utilizzare. Firewall Manager compila l'elenco dei gruppi di sicurezza di tutte le istanze Amazon VPC nell'account amministratore di Firewall Manager.
Per impostazione predefinita, il numero massimo di gruppi di sicurezza primari per policy è 3. Per ulteriori informazioni su questa impostazione, consulta [AWS Firewall Manager quote](fms-limits.md).
1. Per **azione criteri**, si consiglia di creare il criterio con l'opzione che non risolve automaticamente. In questo modo è possibile valutare gli effetti della nuova politica prima di applicarla. Quando si è certi che le modifiche sono ciò che si desidera, modificare il criterio e modificare l'azione del criterio per abilitare la correzione automatica delle risorse non conformi.
1. Scegli **Next (Successivo)**.
1. A cui **si applica Account AWS questa politica**, scegli l'opzione come segue:
+ Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita **Includi tutti gli account della mia AWS organizzazione**.
+ Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli **Includi solo i conti e le unità organizzative specificati**, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali account figlio OUs e aggiunti in un secondo momento.
+ Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli **Escludi i conti e le unità organizzative specificati e includi tutti gli altri**, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.
È possibile scegliere solo una delle opzioni.
Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figli OUs, Firewall Manager applica automaticamente la politica al nuovo account.
1. Per **Resource type (Tipo di risorsa)**, scegliere i tipi di risorsa che si desidera proteggere.
Per l'**istanza EC2** di tipo di risorsa, puoi scegliere di correggere tutte le istanze Amazon EC2 o solo le istanze che dispongono solo dell'interfaccia di rete elastica (ENI) primaria predefinita. Per quest'ultima opzione, Firewall Manager non corregge le istanze con allegati ENI aggiuntivi. Invece, quando la riparazione automatica è abilitata, Firewall Manager contrassegna solo lo stato di conformità di queste istanze EC2 e non applica alcuna azione di riparazione. Consulta ulteriori avvertenze e limitazioni per il tipo di risorsa Amazon EC2 all'indirizzo. [Avvertenze e limitazioni relative alla politica dei gruppi di sicurezza](security-group-policies.md#security-groups-limitations)
1. Per **quanto riguarda le risorse**, puoi restringere l'ambito della policy utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedere[Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.
1. Per **le risorse VPC condivise**, se desideri applicare la policy alle risorse condivise VPCs, oltre a quelle di proprietà degli VPCs account, seleziona **Includi risorse da** condivise. VPCs
1. Scegli **Next (Successivo)**.
1. Esaminare le impostazioni dei criteri per accertarsi che siano ciò che si desidera, quindi scegliere **Crea criterio**.
Firewall Manager crea una replica del gruppo di sicurezza primario in ogni istanza Amazon VPC contenuta negli account interessati fino alla quota massima supportata di Amazon VPC per account. Firewall Manager associa i gruppi di sicurezza delle repliche alle risorse che rientrano nell'ambito delle policy per ogni account compreso nell'ambito. Per ulteriori informazioni su come effettuare tale operazione, consulta [Utilizzo di politiche comuni per i gruppi di sicurezza con Firewall Manager](security-group-policies-common.md).
## Creazione di una politica di gruppo di AWS Firewall Manager sicurezza per il controllo dei contenuti
Per informazioni sul funzionamento dei criteri dei gruppi di protezione del controllo del contenuto, vedere [Utilizzo delle politiche dei gruppi di sicurezza per il controllo dei contenuti con Firewall Manager](security-group-policies-audit.md).
Per alcune impostazioni dei criteri di controllo dei contenuti, è necessario fornire un gruppo di sicurezza di controllo per Firewall Manager da utilizzare come modello. Ad esempio, potresti avere un gruppo di sicurezza di controllo che contenga tutte le regole che non consentite in nessun gruppo di sicurezza. È necessario creare questi gruppi di sicurezza di controllo utilizzando l'account amministratore di Firewall Manager, prima di poterli utilizzare nella politica. Puoi gestire i gruppi di sicurezza tramite Amazon Virtual Private Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon EC2) Elastic Compute Cloud (Amazon EC2). Per informazioni, consulta [Working with Security Groups](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) nella *Amazon VPC User Guide*.
**Per creare un criterio di gruppo di protezione del controllo del contenuto (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Scegli **Crea policy**.
1. Per **Tipo di criterio**, scegliere **Gruppo di protezione**.
1. Per **Tipo di criteri di gruppo di protezione**, scegliere **Controllo e applicazione delle regole dei gruppi di protezione**.
1. Per **Regione**, scegli un Regione AWS.
1. Scegli **Next (Successivo)**.
1. Per **Nome criterio**, immettere un nome descrittivo.
1. Per **le regole delle politiche**, scegli l'opzione relativa alle regole politiche gestite o personalizzate che desideri utilizzare.
1. Per **Configura le regole delle politiche di controllo gestite**, procedi come segue:
1. In **Configura le regole del gruppo di sicurezza da controllare**, seleziona il tipo di regole del gruppo di sicurezza a cui desideri applicare la politica di controllo.
1. Se desideri eseguire operazioni come regole di controllo basate sui protocolli, sulle porte e sulle impostazioni dell'intervallo CIDR presenti nei tuoi gruppi di sicurezza, scegli **Controlla le regole del gruppo di sicurezza eccessivamente permissive** e seleziona le opzioni che desideri.
Per la selezione La **regola consente tutto il traffico**, puoi fornire un elenco di applicazioni personalizzato per designare le applicazioni che desideri controllare. Per informazioni sugli elenchi di applicazioni personalizzati e su come utilizzarli nella politica, consulta [Utilizzo di elenchi gestiti](working-with-managed-lists.md) e[Utilizzo di elenchi gestiti](working-with-managed-lists.md#using-managed-lists).
Per le selezioni che utilizzano elenchi di protocolli, è possibile utilizzare elenchi esistenti e creare nuovi elenchi. Per informazioni sugli elenchi di protocolli e su come utilizzarli nella politica, vedere [Utilizzo di elenchi gestiti](working-with-managed-lists.md) e[Utilizzo di elenchi gestiti](working-with-managed-lists.md#using-managed-lists).
1. Se desideri controllare le applicazioni ad alto rischio in base al loro accesso a intervalli CIDR riservati o non riservati, scegli **Controlla le applicazioni ad alto rischio** e seleziona le opzioni desiderate.
Le seguenti selezioni si escludono a vicenda: **Applicazioni che possono accedere solo a intervalli CIDR riservati e **Applicazioni** autorizzate ad accedere a intervalli CIDR** non riservati. È possibile selezionarne al massimo uno in qualsiasi politica.
Per le selezioni che utilizzano elenchi di applicazioni, è possibile utilizzare elenchi esistenti e creare nuovi elenchi. Per informazioni sugli elenchi di applicazioni e su come utilizzarli nella politica, vedere [Utilizzo di elenchi gestiti](working-with-managed-lists.md) e[Utilizzo di elenchi gestiti](working-with-managed-lists.md#using-managed-lists).
1. Utilizza le impostazioni **Overrides per sovrascrivere** in modo esplicito le altre impostazioni della politica. Puoi scegliere di consentire o negare sempre regole specifiche del gruppo di sicurezza, indipendentemente dal fatto che siano conformi alle altre opzioni che hai impostato per la policy.
Per questa opzione, fornisci un gruppo di sicurezza di controllo come modello di regole consentite o negate. Per **i gruppi di sicurezza** di **controllo, scegli Aggiungi gruppi di sicurezza** di controllo, quindi scegli il gruppo di sicurezza che desideri utilizzare. Firewall Manager compila l'elenco dei gruppi di sicurezza di controllo di tutte le istanze Amazon VPC nell'account amministratore di Firewall Manager. La quota massima predefinita per il numero di gruppi di sicurezza di controllo per una policy è uno. Per informazioni su come aumentare la quota, consultare [AWS Firewall Manager quote](fms-limits.md).
1. Per **Configurare le regole delle policy personalizzate, procedi** come segue:
1. Dalle opzioni regole scegliere se consentire solo le regole definite nei gruppi di sicurezza di controllo o negare tutte le regole. Per informazioni su questa scelta, vedere [Utilizzo delle politiche dei gruppi di sicurezza per il controllo dei contenuti con Firewall Manager](security-group-policies-audit.md).
1. Per **i gruppi di sicurezza** di **controllo, scegli Aggiungi gruppi di sicurezza** di controllo, quindi scegli il gruppo di sicurezza che desideri utilizzare. Firewall Manager compila l'elenco dei gruppi di sicurezza di controllo di tutte le istanze Amazon VPC nell'account amministratore di Firewall Manager. La quota massima predefinita per il numero di gruppi di sicurezza di controllo per una policy è uno. Per informazioni su come aumentare la quota, consultare [AWS Firewall Manager quote](fms-limits.md).
1. Per **azione criteri**, è necessario creare il criterio con l'opzione che non si aggiorna automaticamente. In questo modo è possibile valutare gli effetti della nuova politica prima di applicarla. Quando si è certi che le modifiche sono ciò che si desidera, modificare il criterio e modificare l'azione del criterio per abilitare la correzione automatica delle risorse non conformi.
1. Scegli **Next (Successivo)**.
1. A cui **si applica Account AWS questa politica**, scegli l'opzione seguente:
+ Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita **Includi tutti gli account della mia AWS organizzazione**.
+ Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli **Includi solo i conti e le unità organizzative specificati**, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali account figlio OUs e aggiunti in un secondo momento.
+ Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli **Escludi i conti e le unità organizzative specificati e includi tutti gli altri**, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.
È possibile scegliere solo una delle opzioni.
Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figli OUs, Firewall Manager applica automaticamente la politica al nuovo account.
1. Per **Tipo di risorsa**, scegliere i tipi di risorsa che si desidera proteggere.
1. Per **le risorse**, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedere[Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.
1. Scegli **Next (Successivo)**.
1. Esaminare le impostazioni dei criteri per accertarsi che siano ciò che si desidera, quindi scegliere **Crea criterio**.
Firewall Manager confronta il gruppo di sicurezza di controllo con i gruppi di sicurezza pertinenti all'interno AWS dell'organizzazione, in base alle impostazioni delle regole dei criteri. È possibile verificare lo stato delle politiche nella console delle AWS Firewall Manager politiche. Dopo aver creato il criterio, è possibile modificarlo e abilitare la correzione automatica per rendere effettivi i criteri del gruppo di protezione del controllo. Per ulteriori informazioni su come effettuare tale operazione, consulta [Utilizzo delle politiche dei gruppi di sicurezza per il controllo dei contenuti con Firewall Manager](security-group-policies-audit.md).
## Creazione di una politica di gruppo di sicurezza per il controllo dell' AWS Firewall Manager utilizzo
Per informazioni sul funzionamento dei criteri dei gruppi di protezione del controllo dell'utilizzo, vedere [Utilizzo delle politiche dei gruppi di sicurezza per il controllo dell'utilizzo con Firewall Manager](security-group-policies-usage.md).
**Per creare un criterio di gruppo di protezione controllo dell'utilizzo (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Scegli **Crea policy**.
1. Per **Tipo di criterio**, scegliere **Gruppo di protezione**.
1. Per il **tipo di policy del gruppo di sicurezza**, scegli **Controllo e pulizia dei gruppi di sicurezza non associati e ridondanti**.
1. **Per Regione, scegli un.** Regione AWS
1. Scegli **Next (Successivo)**.
1. Per **Nome criterio**, immettere un nome descrittivo.
1. Per **Regole dei criteri**, scegliere una o entrambe le opzioni disponibili.
+ Se si sceglie che **i gruppi di sicurezza all'interno di questo ambito di policy devono essere utilizzati da almeno una risorsa**, Firewall Manager rimuove tutti i gruppi di sicurezza che ritiene non utilizzati. Quando questa regola è abilitata, Firewall Manager la esegue per ultimo quando si salva la policy.
Per informazioni dettagliate su come Firewall Manager determina l'utilizzo e la tempistica della riparazione, vedere. [Utilizzo delle politiche dei gruppi di sicurezza per il controllo dell'utilizzo con Firewall Manager](security-group-policies-usage.md)
**Nota**
Quando utilizzate questo tipo di policy del gruppo di sicurezza per il controllo dell'utilizzo, evitate di apportare più modifiche allo stato di associazione dei gruppi di sicurezza interessati in un breve lasso di tempo. In questo modo, Firewall Manager potrebbe perdere gli eventi corrispondenti.
Per impostazione predefinita, Firewall Manager considera i gruppi di sicurezza non conformi a questa regola politica non appena non vengono utilizzati. Facoltativamente, è possibile specificare il numero di minuti in cui un gruppo di sicurezza può rimanere inutilizzato prima che venga considerato non conforme, fino a 525.600 minuti (365 giorni). Puoi utilizzare questa impostazione per concederti il tempo necessario per associare nuovi gruppi di sicurezza alle risorse.
**Importante**
Se si specifica un numero di minuti diverso dal valore predefinito zero, è necessario abilitare le relazioni indirette in AWS Config. In caso contrario, le politiche del gruppo di sicurezza per il controllo dell'utilizzo non funzioneranno come previsto. Per informazioni sulle relazioni indirette in AWS Config, vedere [Relazioni indirette AWS Config nella](https://docs.aws.amazon.com/config/latest/developerguide/faq.html#faq-2) *Guida per gli AWS Config sviluppatori*.
+ Se si sceglie che **i gruppi di sicurezza all'interno di questo ambito di policy devono essere univoci**, Firewall Manager consolida i gruppi di sicurezza ridondanti, in modo che solo uno sia associato a qualsiasi risorsa. Se si sceglie questa opzione, Firewall Manager la esegue per primo quando si salva la policy.
1. Per **azione criteri**, si consiglia di creare il criterio con l'opzione che non risolve automaticamente. In questo modo è possibile valutare gli effetti della nuova politica prima di applicarla. Quando si è certi che le modifiche sono ciò che si desidera, modificare il criterio e modificare l'azione del criterio per abilitare la correzione automatica delle risorse non conformi.
1. Scegli **Next (Successivo)**.
1. A cui **si applica Account AWS questa politica**, scegli l'opzione seguente:
+ Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita **Includi tutti gli account della mia AWS organizzazione**.
+ Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli **Includi solo i conti e le unità organizzative specificati**, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali account figlio OUs e aggiunti in un secondo momento.
+ Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli **Escludi i conti e le unità organizzative specificati e includi tutti gli altri**, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.
È possibile scegliere solo una delle opzioni.
Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figli OUs, Firewall Manager applica automaticamente la politica al nuovo account.
1. Per **le risorse**, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedere[Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.
1. Scegli **Next (Successivo)**.
1. Se non è stato escluso l'account amministratore di Firewall Manager dall'ambito delle politiche, Firewall Manager richiede di eseguire questa operazione. In questo modo, i gruppi di sicurezza nell'account amministratore di Firewall Manager, utilizzato per le politiche comuni e di controllo dei gruppi di sicurezza, sono sotto il controllo manuale. Scegli l'opzione desiderata in questa finestra di dialogo.
1. Esaminare le impostazioni dei criteri per accertarsi che siano ciò che si desidera, quindi scegliere **Crea criterio**.
Se hai scelto di richiedere gruppi di sicurezza unici, Firewall Manager esegue la scansione alla ricerca di gruppi di sicurezza ridondanti in ogni istanza Amazon VPC pertinente. Quindi, se si sceglie di richiedere che ogni gruppo di sicurezza venga utilizzato da almeno una risorsa, Firewall Manager esegue la scansione dei gruppi di sicurezza che sono rimasti inutilizzati per i minuti specificati nella regola. È possibile verificare lo stato della policy nella console delle AWS Firewall Manager policy. Per ulteriori informazioni su come effettuare tale operazione, consulta [Utilizzo delle politiche dei gruppi di sicurezza per il controllo dell'utilizzo con Firewall Manager](security-group-policies-usage.md).
## Creazione di una AWS Firewall Manager politica ACL di rete
Per informazioni sul funzionamento delle politiche ACL di rete, vedere. [Politiche ACL di rete](network-acl-policies.md)
Per creare una policy ACL di rete, devi sapere come definire un ACL di rete da utilizzare con le tue sottoreti Amazon VPC. Per informazioni, consulta [Controllare il traffico verso le sottoreti utilizzando la rete ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) e [Lavorare con la rete ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) nella Amazon *VPC* User Guide.
**Per creare una policy ACL di rete (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Scegli **Crea policy**.
1. Per **Tipo di policy**, scegli **Network ACL.**
1. Per **Regione**, scegli un Regione AWS.
1. Scegli **Next (Successivo)**.
1. Per **Nome della politica**, inserisci un nome descrittivo.
1. Per **le regole di policy**, definisci le regole che desideri vengano sempre eseguite nella rete ACLs gestita da Firewall Manager per te. La rete ACLs monitora e gestisce il traffico in entrata e in uscita, quindi nella politica definisci le regole per entrambe le direzioni.
In entrambe le direzioni, definisci le regole che desideri eseguire sempre per prime e le regole che desideri eseguire sempre per ultime. Nella rete ACLs gestita da Firewall Manager, i proprietari degli account possono definire regole personalizzate da eseguire tra la prima e l'ultima regola.
1. Per **Azione politica**, se desideri identificare le sottoreti e la rete non conformi ACLs, ma non intraprendere ancora alcuna azione correttiva, scegli **Identifica le risorse che non sono conformi alle regole delle policy, ma che non eseguono la riparazione automatica**. Puoi modificare queste opzioni in un secondo momento.
Se invece desideri applicare automaticamente la policy alle sottoreti esistenti nell'ambito, scegli Riparazione **automatica di eventuali risorse non conformi**. Con questa opzione, puoi anche specificare se forzare la riparazione quando il comportamento di gestione del traffico delle regole delle politiche è in conflitto con le regole personalizzate presenti nell'ACL di rete. Indipendentemente dal fatto che si imponga o meno la riparazione, Firewall Manager segnala regole contrastanti nelle sue violazioni di conformità.
1. Scegli **Next (Successivo)**.
1. A cui **si applica Account AWS questa politica**, scegli l'opzione seguente:
+ Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita **Includi tutti gli account della mia AWS organizzazione**.
+ Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli **Includi solo i conti e le unità organizzative specificati**, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali account figlio OUs e aggiunti in un secondo momento.
+ Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli **Escludi i conti e le unità organizzative specificati e includi tutti gli altri**, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.
È possibile scegliere solo una delle opzioni.
Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun account nuovo e diverso. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figli OUs, Firewall Manager applica automaticamente la politica al nuovo account.
1. Per il **tipo di risorsa**, l'impostazione è fissa in **Subnet**.
1. Per **le risorse**, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedere[Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.
1. Scegli **Next (Successivo)**.
1. Esaminare le impostazioni dei criteri per accertarsi che siano ciò che si desidera, quindi scegliere **Crea criterio**.
Firewall Manager crea la policy e inizia a monitorare e gestire la rete nell'ambito in ACLs base alle impostazioni dell'utente. Per ulteriori informazioni su come effettuare tale operazione, consulta [Politiche ACL di rete](network-acl-policies.md).
## Creazione di una AWS Firewall Manager politica per AWS Network Firewall
In una politica Firewall Network Firewall di Firewall Manager, si utilizzano i gruppi di regole in cui è possibile gestire AWS Network Firewall. Per informazioni sulla gestione dei gruppi di regole, consulta i [gruppi di AWS Network Firewall regole](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html) nella *Network Firewall Developer Guide*.
Per informazioni sulle politiche del firewall di rete di Firewall Manager, vedere[Utilizzo AWS Network Firewall delle politiche in Firewall Manager](network-firewall-policies.md).
**Per creare una policy Firewall Manager per AWS Network Firewall (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Scegli **Crea policy**.
1. Per **Policy type (Tipo di policy)**, scegliere **AWS Network Firewall**.
1. In **Tipo di gestione del firewall**, scegli come desideri che Firewall Manager gestisca i firewall della policy. Seleziona una delle opzioni seguenti:
+ **Distribuito**: Firewall Manager crea e gestisce gli endpoint firewall in ogni VPC che rientra nell'ambito della policy.
+ **Centralizzato**: Firewall Manager crea e gestisce gli endpoint in un unico VPC di ispezione.
+ **Importa firewall esistenti** - Firewall Manager importa i firewall esistenti da Network Firewall utilizzando set di risorse. Per informazioni sui set di risorse, vedere. [Raggruppamento delle risorse in Firewall Manager](fms-resource-sets.md)
1. Per **Regione**, scegli un Regione AWS. Per proteggere le risorse in più regioni, devi creare politiche separate per ogni regione.
1. Scegli **Next (Successivo)**.
1. Per **Nome della politica**, inserisci un nome descrittivo. Firewall Manager include il nome della policy nei nomi dei firewall Network Firewall e nelle policy firewall che crea.
1. Nella **configurazione della AWS Network Firewall politica**, configura la politica del firewall come faresti in Network Firewall. Aggiungi i tuoi gruppi di regole stateless e stateful e specifica le azioni predefinite della policy. Facoltativamente, puoi impostare l'ordine di valutazione delle regole stateful e le azioni predefinite della policy, nonché la configurazione della registrazione. Per informazioni sulla gestione delle policy firewall di Network Firewall, consulta [le policy del AWS Network Firewall firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html) nella *AWS Network Firewall Developer Guide*.
Quando si crea la politica Firewall Manager Network Firewall, Firewall Manager crea politiche firewall per gli account che rientrano nell'ambito. I singoli account manager possono aggiungere gruppi di regole alle politiche del firewall, ma non possono modificare la configurazione fornita qui.
1. Scegli **Next (Successivo)**.
1. Effettua una delle seguenti operazioni, a seconda del **tipo di gestione del firewall** selezionato nel passaggio precedente:
+ Se utilizzi un tipo di gestione del firewall **distribuito**, nella **configurazione dell'AWS Firewall Manager endpoint** in **Posizione dell'endpoint Firewall**, scegli una delle seguenti opzioni:
+ **Configurazione personalizzata degli endpoint**: Firewall Manager crea firewall per ogni VPC nell'ambito della policy, nelle zone di disponibilità specificate. Ogni firewall contiene almeno un endpoint firewall.
+ In **Zone di disponibilità**, seleziona le zone di disponibilità in cui creare gli endpoint del firewall. È possibile selezionare le zone di disponibilità in base al **nome della zona di disponibilità** o all'**ID della zona di disponibilità**.
+ Se desideri fornire i blocchi CIDR a Firewall Manager da utilizzare per le sottoreti firewall del tuo computerVPCs, devono essere tutti blocchi CIDR /28. Inserisci un blocco per riga. Se li ometti, Firewall Manager sceglie gli indirizzi IP per te tra quelli disponibili in. VPCs
**Nota**
La riparazione automatica viene eseguita automaticamente per le politiche del AWS Firewall Manager Network Firewall, quindi qui non è disponibile un'opzione per scegliere di non eseguire la riparazione automatica.
+ **Configurazione automatica degli endpoint**: Firewall Manager crea automaticamente endpoint firewall nelle zone di disponibilità con sottoreti pubbliche nel tuo VPC.
+ Per la configurazione degli **endpoint del firewall**, specificare come si desidera che gli endpoint del firewall vengano gestiti da Firewall Manager. Si consiglia di utilizzare più endpoint per un'elevata disponibilità.
+ Se utilizzi un tipo di gestione del firewall **centralizzato**, nella configurazione degli **AWS Firewall Manager endpoint in configurazione** Inspection **VPC**, inserisci l'ID AWS account del proprietario del VPC di ispezione e l'ID VPC del VPC di ispezione.
+ In Zone di **disponibilità, seleziona le zone** di disponibilità in cui creare gli endpoint del firewall. È possibile selezionare le zone di disponibilità in base al **nome della zona di disponibilità** o all'**ID della zona di disponibilità**.
+ Se desideri fornire i blocchi CIDR a Firewall Manager da utilizzare per le sottoreti firewall del tuo computerVPCs, devono essere tutti blocchi CIDR /28. Inserisci un blocco per riga. Se li ometti, Firewall Manager sceglie gli indirizzi IP per te tra quelli disponibili in. VPCs
**Nota**
La riparazione automatica viene eseguita automaticamente per le politiche del AWS Firewall Manager Network Firewall, quindi qui non è disponibile un'opzione per scegliere di non eseguire la riparazione automatica.
+ Se utilizzi un tipo di gestione del firewall per l'**importazione di firewall esistenti**, in Set di **risorse aggiungi uno o più set** di risorse. Un set di risorse definisce i firewall Network Firewall esistenti di proprietà dell'account dell'organizzazione che desideri gestire centralmente in questa politica. Per aggiungere un set di risorse alla policy, devi prima creare un set di risorse utilizzando la console o l'[PutResourceSet](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutResourceSet.html)API. Per informazioni sui set di risorse, vedere[Raggruppamento delle risorse in Firewall Manager](fms-resource-sets.md). Per ulteriori informazioni sull'importazione di firewall esistenti da Network Firewall, vedere. [In che modo Firewall Manager crea endpoint firewall](fms-create-firewall-endpoints.md)
1. Scegli **Next (Successivo)**.
1. Se la tua politica utilizza un tipo di gestione del firewall distribuito, in **Gestione del percorso**, scegli se Firewall Manager monitorerà e avviserà il traffico che deve essere instradato attraverso i rispettivi endpoint del firewall.
**Nota**
Se scegli **Monitor**, non puoi modificare l'impostazione **su Off** in un secondo momento. Il monitoraggio continua finché non elimini la politica.
1. Per **Tipo di traffico**, aggiungi facoltativamente gli endpoint di traffico attraverso i quali desideri indirizzare il traffico per l'ispezione del firewall.
1. Per **Consenti il traffico Cross-AZ richiesto**, se si abilita questa opzione, Firewall Manager considera un routing conforme che invia il traffico fuori da una zona di disponibilità per l'ispezione, per le zone di disponibilità che non dispongono di un proprio endpoint firewall. Le zone di disponibilità con endpoint devono sempre ispezionare il proprio traffico.
1. Scegli **Next (Successivo)**.
1. Per l'**ambito della policy**, ai sensi di **Account AWS questa policy**, scegliete l'opzione seguente:
+ Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita **Includi tutti gli account della mia AWS organizzazione**.
+ Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli **Includi solo i conti e le unità organizzative specificati**, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali account figlio OUs e aggiunti in un secondo momento.
+ Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli **Escludi i conti e le unità organizzative specificati e includi tutti gli altri**, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.
È possibile scegliere solo una delle opzioni.
Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figliOUs, Firewall Manager applica automaticamente la politica al nuovo account.
1. Il **tipo di risorsa** per le politiche del Network Firewall è **VPC**.
1. Per **le risorse**, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedere[Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.
1. Scegli **Next (Successivo)**.
1. Per i **tag Policy**, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'[utilizzo di Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html) .
1. Scegli **Next (Successivo)**.
1. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.
Al termine, scegliere **Create policy (Crea policy)**. Nel riquadro delle **AWS Firewall Manager politiche**, la tua politica dovrebbe essere elencata. Probabilmente indicherà **In sospeso** sotto le intestazioni degli account e indicherà lo stato dell'impostazione di **riparazione automatica**. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato **In sospeso** con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, [Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica](fms-compliance.md)
## Creazione di una AWS Firewall Manager policy per Amazon Route 53 Resolver DNS Firewall
In una policy Firewall DNS Firewall Manager, usi i gruppi di regole che gestisci in Amazon Route 53 Resolver DNS Firewall. Per informazioni sulla gestione dei gruppi di regole, consulta [Managing rule groups and rules in DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-group-managing.html) nella *Amazon Route 53 Developer Guide*.
Per informazioni sulle politiche del firewall DNS di Firewall Manager, vedere[Utilizzo delle politiche firewall DNS di Amazon Route 53 Resolver in Firewall Manager](dns-firewall-policies.md).
**Per creare una policy Firewall Manager per Amazon Route 53 Resolver DNS Firewall (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Scegli **Crea policy**.
1. Per **Tipo di policy**, scegli **Amazon Route 53 Resolver DNS Firewall**.
1. Per **Regione**, scegli un Regione AWS. Per proteggere le risorse in più regioni, devi creare politiche separate per ogni regione.
1. Scegli **Next (Successivo)**.
1. Per **Nome della politica**, inserisci un nome descrittivo.
1. Nella configurazione delle politiche, aggiungi i gruppi di regole che desideri che DNS Firewall valuti per primi e per ultimi tra le tue VPCs «associazioni di gruppi di regole». È possibile aggiungere fino a due gruppi di regole alla policy.
Quando crei la policy Firewall DNS di Firewall Manager, Firewall Manager crea le associazioni dei gruppi di regole, con le priorità di associazione che hai fornito, per VPCs gli account che rientrano nell'ambito. I singoli account manager possono aggiungere associazioni di gruppi di regole tra la prima e l'ultima associazione, ma non possono modificare le associazioni qui definite. Per ulteriori informazioni, consulta [Utilizzo delle politiche firewall DNS di Amazon Route 53 Resolver in Firewall Manager](dns-firewall-policies.md).
1. Scegli **Next (Successivo)**.
1. A cui **si applica Account AWS questa politica**, scegli l'opzione seguente:
+ Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita **Includi tutti gli account della mia AWS organizzazione**.
+ Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli **Includi solo i conti e le unità organizzative specificati**, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali account figlio OUs e aggiunti in un secondo momento.
+ Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli **Escludi i conti e le unità organizzative specificati e includi tutti gli altri**, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.
È possibile scegliere solo una delle opzioni.
Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figliOUs, Firewall Manager applica automaticamente la politica al nuovo account.
1. Il **tipo di risorsa** per le politiche del firewall DNS è **VPC.**
1. Per **le risorse**, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedere[Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.
1. Scegli **Next (Successivo)**.
1. Per i **tag Policy**, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'[utilizzo di Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html) .
1. Scegli **Next (Successivo)**.
1. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.
Al termine, scegliere **Create policy (Crea policy)**. Nel riquadro delle **AWS Firewall Manager politiche**, la tua politica dovrebbe essere elencata. Probabilmente indicherà **In sospeso** sotto le intestazioni degli account e indicherà lo stato dell'impostazione di **riparazione automatica**. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato **In sospeso** con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, [Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica](fms-compliance.md)
## Creazione di una AWS Firewall Manager policy per Palo Alto Networks Cloud NGFW
Con una policy Firewall Manager per Palo Alto Networks Cloud Next Generation Firewall (Palo Alto Networks Cloud NGFW), utilizzi Firewall Manager per distribuire le risorse Palo Alto Networks Cloud NGFW e gestire gli stack di regole NGFW centralmente su tutti i tuoi account. AWS
Per informazioni sulle politiche NGFW di Firewall Manager Palo Alto Networks Cloud, vedere. [Utilizzo delle policy NGFW di Palo Alto Networks Cloud per Firewall Manager](cloud-ngfw-policies.md) Per informazioni su come configurare e gestire Palo Alto Networks Cloud NGFW for Firewall Manager, vedere Palo Alto Networks *[Palo Alto Networks Cloud NGFW sulla documentazione](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)*. AWS
### Prerequisiti
Vi sono diversi passaggi obbligatori per preparare l'account AWS Firewall Manager. Tali fasi sono descritte nell'articolo [AWS Firewall Manager prerequisiti](fms-prereq.md). Completa tutti i prerequisiti prima di procedere al passaggio successivo.
**Per creare una policy Firewall Manager per Palo Alto Networks Cloud NGFW (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Scegli **Crea policy**.
1. Per il **tipo di policy**, scegli **Palo Alto Networks Cloud NGFW**. Se non ti sei ancora abbonato al servizio Palo Alto Networks Cloud NGFW nel AWS Marketplace, devi prima farlo. Per iscriverti al AWS Marketplace, scegli **Visualizza i dettagli del AWS Marketplace**.
1. Per il **modello di implementazione**, scegli il **modello distribuito o il modello** **centralizzato**. Il modello di distribuzione determina il modo in cui Firewall Manager gestisce gli endpoint per la policy. Con il modello distribuito, Firewall Manager mantiene gli endpoint del firewall in ogni VPC che rientra nell'ambito delle policy. Con il modello centralizzato, Firewall Manager mantiene un singolo endpoint in un VPC di ispezione.
1. Per **Regione, scegli** un. Regione AWS Per proteggere le risorse in più regioni, devi creare politiche separate per ogni regione.
1. Scegli **Next (Successivo)**.
1. Per **Nome della politica**, inserisci un nome descrittivo.
1. Nella configurazione della policy, scegli la policy firewall NGFW di Palo Alto Networks Cloud da associare a questa policy. L'elenco delle politiche firewall NGFW di Palo Alto Networks Cloud contiene tutte le politiche firewall Palo Alto Networks Cloud NGFW associate al tenant Palo Alto Networks Cloud NGFW. *Per informazioni sulla creazione e la gestione delle policy firewall Palo Alto Networks Cloud NGFW, consulta la sezione *[Deploy Palo Alto Networks Cloud NGFW per l'argomento della guida all'implementazione di Palo Alto Networks Cloud NGFW](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/getting-started-with-cloud-ngfw-for-aws/deploy-cloud-ngfw-for-aws-with-the-aws-firewall-manager.html)*. AWS AWS Firewall Manager AWS *
1. Per la registrazione **NGFW di Palo Alto Networks Cloud: opzionale, scegli facoltativamente quali tipi di log** Palo Alto Networks Cloud NGFW registrare per la tua politica. *Per informazioni sui tipi di log NGFW di Palo Alto Networks Cloud, consulta [Configura la registrazione per Palo Alto Networks Cloud NGFW nella guida all'implementazione di Palo Alto Networks Cloud](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/create-cloud-ngfw-instances-and-endpoints/configure-logging-for-the-cloud-ngfw-on-aws.html) NGFW. AWS AWS *
Per la **destinazione dei log**, specificare in che momento Firewall Manager deve scrivere i log.
1. Scegli **Next (Successivo)**.
1. In **Configura un endpoint firewall di terze parti**, esegui una delle seguenti operazioni, a seconda che utilizzi il modello di distribuzione distribuito o centralizzato per creare gli endpoint firewall:
+ Se utilizzi il modello di distribuzione distribuito per questa politica, in Zone di **disponibilità, seleziona in quali zone** di disponibilità creare gli endpoint del firewall. È possibile selezionare le zone di disponibilità in base al **nome della zona di disponibilità** o all'**ID della zona di disponibilità**.
+ Se utilizzi il modello di distribuzione centralizzato per questa policy, nella configurazione degli **AWS Firewall Manager endpoint in configurazione** Inspection **VPC**, inserisci l'ID AWS account del proprietario del VPC di ispezione e l'ID VPC del VPC di ispezione.
+ In Zone di **disponibilità, seleziona le zone** di disponibilità in cui creare gli endpoint del firewall. È possibile selezionare le zone di disponibilità in base al **nome della zona di disponibilità** o all'**ID della zona di disponibilità**.
1. Se desideri fornire i blocchi CIDR a Firewall Manager da utilizzare per le sottoreti firewall del tuo computerVPCs, devono essere tutti blocchi CIDR /28. Inserisci un blocco per riga. Se li ometti, Firewall Manager sceglie gli indirizzi IP per te tra quelli disponibili in. VPCs
**Nota**
La riparazione automatica viene eseguita automaticamente per le politiche del AWS Firewall Manager Network Firewall, quindi qui non è disponibile un'opzione per scegliere di non eseguire la riparazione automatica.
1. Scegli **Next (Successivo)**.
1. **Nell'ambito della policy**, ai sensi di **Account AWS questa policy si applica a**, scegli l'opzione seguente:
+ Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita **Includi tutti gli account della mia AWS organizzazione**.
+ Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli **Includi solo i conti e le unità organizzative specificati**, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali account figlio OUs e aggiunti in un secondo momento.
+ Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli **Escludi i conti e le unità organizzative specificati e includi tutti gli altri**, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.
È possibile scegliere solo una delle opzioni.
Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figliOUs, Firewall Manager applica automaticamente la politica al nuovo account.
1. Il **tipo di risorsa** per le politiche del Network Firewall è **VPC**.
1. Per **le risorse**, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedere[Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.
1. Per **Concedi l'accesso a più account**, scegli **Scarica CloudFormation modello**. In questo modo viene scaricato un CloudFormation modello che puoi utilizzare per creare uno CloudFormation stack. Questo stack crea un AWS Identity and Access Management ruolo che concede a Firewall Manager le autorizzazioni per più account per gestire le risorse NGFW di Palo Alto Networks Cloud. [https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacks.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacks.html)
1. Scegli **Next (Successivo)**.
1. Per i **tag Policy**, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'[utilizzo di Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html) .
1. Scegli **Next (Successivo)**.
1. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.
Al termine, scegliere **Create policy (Crea policy)**. Nel riquadro delle **AWS Firewall Manager politiche**, la tua politica dovrebbe essere elencata. Probabilmente indicherà **In sospeso** sotto le intestazioni degli account e indicherà lo stato dell'impostazione di **riparazione automatica**. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato **In sospeso** con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, [Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica](fms-compliance.md)
## Creazione di una AWS Firewall Manager policy per Fortigate Cloud Native Firewall (CNF) as a Service
Con una policy Firewall Manager per Fortigate CNF, puoi utilizzare Firewall Manager per distribuire e gestire le risorse Fortigate CNF su tutti i tuoi account. AWS
Per informazioni sulle politiche CNF di Firewall Manager Fortigate, vedere. [Utilizzo delle politiche di Fortigate Cloud Native Firewall (CNF) as a Service per Firewall Manager](fortigate-cnf-policies.md) [Per informazioni su come configurare Fortigate CNF per l'uso con Firewall Manager, consulta la documentazione di Fortinet.]( https://docs.fortinet.com/product/fortigate-cnf )
### Prerequisiti
Vi sono diversi passaggi obbligatori per preparare l'account AWS Firewall Manager. Tali fasi sono descritte nell'articolo [AWS Firewall Manager prerequisiti](fms-prereq.md). Completa tutti i prerequisiti prima di procedere al passaggio successivo.
**Per creare una policy Firewall Manager per Fortigate CNF (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Scegli **Crea policy**.
1. Per il **tipo di policy**, scegli **Fortigate Cloud Native Firewall (CNF) as** a Service. Se non ti sei ancora abbonato al servizio [Fortigate CNF nel AWS Marketplace](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i), devi prima farlo. Per iscriverti al AWS Marketplace, scegli **Visualizza i dettagli del AWS Marketplace**.
1. Per il **modello di implementazione**, scegli il **modello distribuito o il modello** **centralizzato**. Il modello di distribuzione determina il modo in cui Firewall Manager gestisce gli endpoint per la policy. Con il modello distribuito, Firewall Manager mantiene gli endpoint del firewall in ogni VPC che rientra nell'ambito delle policy. Con il modello centralizzato, Firewall Manager mantiene un singolo endpoint in un VPC di ispezione.
1. Per **Regione, scegli** un. Regione AWS Per proteggere le risorse in più regioni, devi creare politiche separate per ogni regione.
1. Scegli **Next (Successivo)**.
1. Per **Nome della politica**, inserisci un nome descrittivo.
1. Nella configurazione della policy, scegli la policy firewall Fortigate CNF da associare a questa policy. L'elenco delle politiche firewall di Fortigate CNF contiene tutte le politiche firewall Fortigate CNF associate al tenant di Fortigate CNF. [Per informazioni sulla creazione e la gestione dei tenant CNF di Fortigate, consulta la documentazione di Fortinet.](https://docs.fortinet.com/product/fortigate-cnf)
1. Scegli **Next (Successivo)**.
1. In **Configura un endpoint firewall di terze parti**, esegui una delle seguenti operazioni, a seconda che tu stia utilizzando il modello di distribuzione distribuito o centralizzato per creare gli endpoint firewall:
+ Se utilizzi il modello di distribuzione distribuito per questa politica, in Zone di **disponibilità, seleziona in quali zone** di disponibilità creare gli endpoint del firewall. È possibile selezionare le zone di disponibilità in base al **nome della zona di disponibilità** o all'**ID della zona di disponibilità**.
+ Se utilizzi il modello di distribuzione centralizzato per questa policy, nella configurazione degli **AWS Firewall Manager endpoint in configurazione** Inspection **VPC**, inserisci l'ID AWS account del proprietario del VPC di ispezione e l'ID VPC del VPC di ispezione.
+ In Zone di **disponibilità, seleziona le zone** di disponibilità in cui creare gli endpoint del firewall. È possibile selezionare le zone di disponibilità in base al **nome della zona di disponibilità** o all'**ID della zona di disponibilità**.
1. Se desideri fornire i blocchi CIDR a Firewall Manager da utilizzare per le sottoreti firewall del tuo computerVPCs, devono essere tutti blocchi CIDR /28. Inserisci un blocco per riga. Se li ometti, Firewall Manager sceglie gli indirizzi IP per te tra quelli disponibili in. VPCs
**Nota**
La riparazione automatica viene eseguita automaticamente per le politiche del AWS Firewall Manager Network Firewall, quindi qui non è disponibile un'opzione per scegliere di non eseguire la riparazione automatica.
1. Scegli **Next (Successivo)**.
1. **Nell'ambito della policy**, ai sensi di **Account AWS questa policy si applica a**, scegli l'opzione seguente:
+ Se desideri applicare la politica a tutti gli account della tua organizzazione, lascia la selezione predefinita **Includi tutti gli account della mia AWS organizzazione**.
+ Se desideri applicare la politica solo a conti specifici o account appartenenti a unità AWS Organizations organizzative specifiche (OUs), scegli **Includi solo i conti e le unità organizzative specificati**, quindi aggiungi gli account e quelli OUs che desideri includere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali account figlio OUs e aggiunti in un secondo momento.
+ Se desideri applicare la politica a tutti i conti o le unità AWS Organizations organizzative tranne uno specifico (OUs), scegli **Escludi i conti e le unità organizzative specificati e includi tutti gli altri**, quindi aggiungi gli account e quelli OUs che desideri escludere. Specificare un'unità organizzativa equivale a specificare tutti gli account nell'unità organizzativa e in qualsiasi delle relative unità secondarie OUs, inclusi eventuali figli OUs e account aggiunti in un secondo momento.
È possibile scegliere solo una delle opzioni.
Dopo aver applicato la policy, Firewall Manager valuta automaticamente tutti i nuovi account in base alle impostazioni dell'utente. Ad esempio, se includi solo account specifici, Firewall Manager non applica la politica a nessun nuovo account. Come altro esempio, se si include un'unità organizzativa, quando si aggiunge un account all'unità organizzativa o a uno dei suoi figliOUs, Firewall Manager applica automaticamente la politica al nuovo account.
1. Il **tipo di risorsa** per le politiche del Network Firewall è **VPC**.
1. Per **le risorse**, è possibile restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedere[Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.
1. Per **Concedi l'accesso a più account**, scegli **Scarica CloudFormation modello**. In questo modo viene scaricato un CloudFormation modello che puoi utilizzare per creare uno CloudFormation stack. Questo stack crea un AWS Identity and Access Management ruolo che concede a Firewall Manager le autorizzazioni per più account per gestire le risorse Fortigate CNF. [https://docs.aws.amazon.com/AWSCloudFormation/latest/gsg/stacks.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/gsg/stacks.html) Per creare uno stack, è necessario l'ID dell'account dal portale Fortigate CNF.
1. Scegli **Next (Successivo)**.
1. Per i **tag Policy**, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'[utilizzo di Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html) .
1. Scegli **Next (Successivo)**.
1. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.
Al termine, scegliere **Create policy (Crea policy)**. Nel riquadro delle **AWS Firewall Manager politiche**, la tua politica dovrebbe essere elencata. Probabilmente indicherà **In sospeso** sotto le intestazioni degli account e indicherà lo stato dell'impostazione di **riparazione automatica**. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato **In sospeso** con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, [Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica](fms-compliance.md)
# Eliminazione di un criterio AWS Firewall Manager
È possibile eliminare una policy Firewall Manager procedendo nel seguente modo.
**Per eliminare una policy (console)**
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Scegliere l'opzione accanto alla policy da eliminare.
1. Scegli **Elimina**.
**Nota**
Quando elimini una policy del gruppo di sicurezza comune di Firewall Manager, per rimuovere i gruppi di sicurezza di replica della policy, scegli l'opzione per ripulire le risorse create dalla policy. Altrimenti, dopo l'eliminazione del primario, le repliche rimangono e richiedono la gestione manuale in ogni istanza Amazon VPC.
**Importante**
Quando elimini una policy di Firewall Manager Shield Advanced, la policy viene eliminata, ma i tuoi account rimangono abbonati a Shield Advanced.
# Utilizzo dell'ambito AWS Firewall Manager della politica
Questa pagina spiega cos'è l'ambito delle policy di Firewall Manager e come funziona.
L'ambito della politica definisce dove si applica la politica. È possibile applicare politiche controllate centralmente a:
+ Tutti gli account e le risorse all'interno dell'organizzazione in AWS Organizations.
+ Un sottoinsieme dei tuoi account e delle tue risorse all'interno dell'organizzazione in AWS Organizations.
Per istruzioni su come impostare l'ambito delle politiche, vedere[Creazione di una AWS Firewall Manager politica](create-policy.md).
## Opzioni relative all'ambito delle politiche in AWS Firewall Manager
Quando si aggiunge un nuovo account o una nuova risorsa all'organizzazione, Firewall Manager lo valuta automaticamente in base alle impostazioni dell'utente per ciascun criterio e applica il criterio in base a tali impostazioni. Ad esempio, è possibile scegliere di applicare una politica a tutti gli account tranne i numeri di account in un elenco specificato. I tag delle risorse possono essere utilizzati anche per definire l'ambito della politica. È possibile scegliere di applicare una politica escludendo o includendo risorse che hanno tutti i tag in un elenco. In alternativa, puoi scegliere di applicare una politica solo alle risorse che hanno uno qualsiasi dei tag specificati in un elenco.
**Account AWS nell'ambito**
Le impostazioni fornite per definire gli Account AWS interessati dalla politica determinano a quali account dell' AWS organizzazione applicare la politica. È possibile scegliere di applicare il criterio in uno dei seguenti modi:
+ A tutti gli account nell'organizzazione
+ Solo a un elenco specifico dei numeri di account e delle unità AWS Organizations organizzative inclusi (OUs)
+ A tutti tranne un elenco specifico di numeri di conto e unità AWS Organizations organizzative esclusi (OUs)
Per informazioni su AWS Organizations, consulta la [Guida AWS Organizations per l'utente](https://docs.aws.amazon.com/organizations/latest/userguide/).
**Risorse nell'ambito di applicazione**
Analogamente alle impostazioni per gli account inclusi nell'ambito, le impostazioni fornite per le risorse determinano a quali tipi di risorse nell'ambito applicare la politica. È possibile scegliere una delle seguenti opzioni:
+ Tutte le risorse
+ Risorse con tutti i tag specificati
+ Tutte le risorse tranne quelle che hanno tutti i tag specificati
+ Solo risorse con uno dei tag specificati
+ Tutte le risorse tranne solo le risorse con uno dei tag specificati
È possibile specificare solo tag di risorse con valori non nulli. Se non si fornisce nulla per il valore, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.
Per ulteriori informazioni sull'assegnazione di tag alle risorse, vedere [Utilizzo dell'editor dei tag](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).
## Gestione dell'ambito delle politiche in AWS Firewall Manager
Quando le policy sono in vigore, Firewall Manager le gestisce continuamente e le applica a nuove Account AWS risorse man mano che vengono aggiunte, in base all'ambito della policy.
**Modalità di gestione Account AWS e risorse di Firewall Manager**
Se un account o una risorsa non rientra nell'ambito di applicazione per qualsiasi motivo, AWS Firewall Manager non rimuove automaticamente le protezioni o elimina le risorse gestite da Firewall Manager a meno che non si selezioni la casella di controllo **Rimuovi automaticamente le protezioni dalle risorse che esulano dall'ambito della policy**.
**Nota**
L'opzione **Rimuovi automaticamente le protezioni dalle risorse che esulano dall'ambito della policy** non è disponibile per le policy classiche. AWS Shield Advanced AWS WAF
La selezione di questa casella di controllo consente di AWS Firewall Manager ripulire automaticamente le risorse gestite da Firewall Manager per gli account quando tali account escono dall'ambito delle politiche. Ad esempio, Firewall Manager dissocierà un ACL Web gestito da Firewall Manager da una risorsa cliente protetta quando la risorsa cliente esce dall'ambito della policy.
Per determinare quali risorse devono essere rimosse dalla protezione quando una risorsa del cliente esce dall'ambito delle policy, Firewall Manager segue queste linee guida:
+ *Comportamento predefinito*:
+ Le regole AWS Config gestite associate vengono eliminate. Questo comportamento è indipendente dalla casella di controllo.
+ Tutti gli elenchi di controllo degli accessi AWS WAF Web associati (Web ACLs) che non contengono risorse vengono eliminati. Questo comportamento è indipendente dalla casella di controllo.
+ Qualsiasi risorsa protetta che non rientra nell'ambito di applicazione rimane associata e protetta. Ad esempio, un Application Load Balancer o un'API di API Gateway associata a un ACL Web rimane associata all'ACL Web e la protezione rimane valida.
+ *Con la casella di **controllo Rimuovi automaticamente le protezioni dalle risorse che esulano dall'ambito della policy selezionata***:
+ Le regole AWS Config gestite associate vengono eliminate. Questo comportamento è indipendente dalla casella di controllo.
+ Tutti gli elenchi di controllo degli accessi AWS WAF Web associati (Web ACLs) che non contengono risorse vengono eliminati. Questo comportamento è indipendente dalla casella di controllo.
+ Qualsiasi risorsa protetta che non rientra nell'ambito di applicazione viene automaticamente dissociata e rimossa dalla protezione di Firewall Manager quando esce dall'ambito delle policy. Ad esempio, per una policy di gruppo di sicurezza, un acceleratore Elastic Inference o un' EC2 istanza Amazon viene automaticamente dissociata dal gruppo di sicurezza replicato quando esce dall'ambito della policy. Il gruppo di sicurezza replicato e le relative risorse vengono automaticamente rimossi dalla protezione.
+ Firewall Manager elimina la configurazione di registrazione indipendentemente dal valore dell'opzione di pulizia delle risorse quando un account membro esce dall'ambito o quando la policy viene eliminata.
# Utilizzo AWS WAF delle politiche con Firewall Manager
Questa sezione spiega come utilizzare AWS WAF le policy con Firewall Manager. In una AWS WAF politica di Firewall Manager, si specificano i gruppi di AWS WAF regole che si desidera utilizzare per proteggere tutte le risorse che rientrano nell'ambito della policy. Quando si applica la policy, Firewall Manager inizia a gestire il Web ACLs per le risorse pertinenti, utilizzando i gruppi di regole specificati e altre configurazioni di policy.
È possibile configurare la policy per creare e gestire tutti i nuovi siti Web ACLs per le risorse pertinenti, sostituendo qualsiasi sito Web già ACLs in uso. In alternativa, è possibile configurare la policy per mantenere i siti Web già associati alle risorse pertinenti e modificarli in modo ACLs che possano essere utilizzati dalla policy. Con questa seconda opzione, Firewall Manager crea solo nuovi siti Web ACLs per risorse che non dispongono già di un'associazione ACL Web.
Indipendentemente da come vengono creati, nel Web ACLs gestito da Firewall Manager, i singoli account possono gestire le proprie regole e gruppi di regole, oltre ai gruppi di regole definiti nella policy di Firewall Manager.
Per la procedura di creazione di una AWS WAF policy di Firewall Manager, vedere[Creazione di una AWS Firewall Manager politica per AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).
# Gestione dei gruppi di regole per AWS WAF le politiche
Il Web ACLs gestito dalle AWS WAF politiche di Firewall Manager contiene tre set di regole. Questi set forniscono un livello più elevato di priorità per le regole e i gruppi di regole nell'ACL Web:
+ Primi gruppi di regole, definiti dall'utente nella AWS WAF politica di Firewall Manager. AWS WAF valuta innanzitutto questi gruppi di regole.
+ Regole e gruppi di regole definiti dagli account manager sul Web ACLs. AWS WAF valuta successivamente eventuali regole o gruppi di regole gestiti dall'account.
+ Ultimi gruppi di regole, definiti dall'utente nella AWS WAF politica di Firewall Manager. AWS WAF valuta questi gruppi di regole per ultimi.
All'interno di ciascuno di questi set di regole, AWS WAF valuta le regole e i gruppi di regole come di consueto, in base alle relative impostazioni di priorità all'interno del set.
Nei set del primo e dell'ultimo gruppo di regole della politica, puoi aggiungere solo gruppi di regole e non singole regole. Puoi utilizzare i gruppi di regole gestiti, che AWS Managed Rules e Marketplace AWS i venditori creano e gestiscono per te. È inoltre possibile gestire e utilizzare propri gruppi di regole. Per ulteriori informazioni su tutte queste opzioni, consulta [AWS WAF gruppi di regole](waf-rule-groups.md).
Se desideri utilizzare i tuoi gruppi di regole, creali prima di creare la AWS WAF policy di Firewall Manager. Per le linee guida, consulta [Gestione dei propri gruppi di regole](waf-user-created-rule-groups.md). Per utilizzare una singola regola personalizzata, è necessario definire il proprio gruppo di regole, definire la regola all'interno del gruppo e quindi utilizzare il gruppo di regole nella policy.
Il primo e l'ultimo gruppo di AWS WAF regole gestiti tramite Firewall Manager hanno nomi che iniziano con `PREFMManaged-` o`POSTFMManaged-`, rispettivamente, seguiti dal nome della policy di Firewall Manager e dal timestamp di creazione del gruppo di regole, in millisecondi UTC. Ad esempio, `PREFMManaged-MyWAFPolicyName-1621880555123`.
Per informazioni su come valuta le richieste Web, vedere AWS WAF . [Utilizzo di pacchetti di protezione (Web ACLs) con regole e gruppi di regole in AWS WAF](web-acl-processing.md)
Firewall Manager consente il campionamento e i CloudWatch parametri Amazon per i gruppi di regole definiti per la AWS WAF policy.
I proprietari di account individuali hanno il controllo completo sulle metriche e sulla configurazione di campionamento per qualsiasi regola o gruppo di regole che aggiungono al Web gestito della policy. ACLs
**Nota**
Se non hai un abbonamento ai gruppi di regole del AWS WAF marketplace nel tuo account membro, Firewall Manager non può propagare gruppi di regole personalizzati o gestiti a quell'account.
# Gestione ACL Web per le politiche AWS WAF
Firewall Manager crea e gestisce il Web ACLs per le risorse pertinenti in base alle impostazioni di configurazione e alla gestione delle politiche generali.
**Nota**
Se una risorsa configurata con la [mitigazione automatica avanzata del livello di applicazione DDo S](ddos-automatic-app-layer-response.md) mediante un'altra policy Firewall Manager Shield rientra nell'ambito di una AWS WAF policy, in cui l'ACL Web sulla risorsa è stato creato da tale policy Firewall Manager Shield, Firewall Manager non sarà in grado di applicare le protezioni delle AWS WAF policy alla risorsa e contrassegnerà la risorsa come non conforme.
Se un cliente associa manualmente un ACL Web di proprietà del cliente alla risorsa, la AWS WAF politica di Firewall Manager sostituirà comunque l'ACL Web del cliente con l'ACL Web della politica di Firewall Manager. AWS WAF
**Gestisci la configurazione web non associata ACLs**
Impostazione di configurazione dei criteri che specifica in che modo Firewall Manager gestisce il Web ACLs per gli account quando il Web ACLs non verrà utilizzato da alcuna risorsa. Se si abilita la gestione del Web non associato ACLs, Firewall Manager crea il Web ACLs negli account che rientrano nell'ambito delle politiche solo se il Web ACLs verrà utilizzato da almeno una risorsa. Se non si abilita questa opzione, Firewall Manager garantisce automaticamente che ogni account disponga di un ACL Web indipendentemente dal fatto che venga utilizzato o meno l'ACL Web.
Quando questa opzione è abilitata, quando un account rientra nell'ambito delle policy, Firewall Manager crea automaticamente un ACL Web nell'account solo se almeno una risorsa utilizzerà l'ACL web.
Inoltre, quando abiliti la gestione del Web non associato ACLs, al momento della creazione della policy, Firewall Manager esegue una pulizia una tantum del Web ACLs non associato nel tuo account. Durante questa pulizia, Firewall Manager ignora qualsiasi Web ACLs modificato dopo la creazione, ad esempio, se hai aggiunto un gruppo di regole all'ACL Web o ne hai modificato le impostazioni. Il processo di pulizia può richiedere diverse ore. Se una risorsa esce dall'ambito delle policy dopo che Firewall Manager ha creato un ACL Web, Firewall Manager dissocia la risorsa dall'ACL Web, ma non ripulisce l'ACL Web non associato. Firewall Manager pulisce il Web non associato solo ACLs quando si abilita per la prima volta la gestione del Web non associato ACLs in una policy.
Nell'API, questa impostazione è `optimizeUnassociatedWebACL` nel tipo di dati. [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html) Ad esempio: `\"optimizeUnassociatedWebACL\":false`
**Configurazione dell'origine Web ACL: creare una sorgente completamente nuova o adattare quella esistente?**
Impostazione di configurazione dei criteri che specifica cosa fa Firewall Manager con il Web ACLs esistente associato alle risorse pertinenti.
Per impostazione predefinita, Firewall Manager crea un Web completamente nuovo ACLs per le risorse pertinenti. Con il retrofit, Firewall Manager utilizza qualsiasi Web ACLs esistente già in uso e ne crea di nuovi solo ACLs per le risorse a cui non è già associato uno.
Quando una policy viene configurata per il retrofit, tutti i siti Web ACLs associati alle risorse pertinenti vengono adattati o contrassegnati come non conformi.
Firewall Manager aggiorna un ACL Web solo se soddisfa i seguenti requisiti:
+ L'ACL Web è di proprietà di un account cliente.
+ L'ACL web è associato solo alle risorse pertinenti.
**Suggerimento**
Prima di configurare una AWS WAF policy per il retrofit, assicurati che il Web ACLs associato alle risorse relative alla policy non sia associato ad alcuna risorsa. out-of-scope
**Suggerimento**
Se desideri eliminare una risorsa associata, dissociala prima dall'ACL web. Se un ACL Web non è conforme a causa di un'associazione con una out-of-scope risorsa, l'eliminazione della out-of-scope risorsa senza prima dissociarla dall'ACL Web può rendere l'ACL Web conforme e Firewall Manager può quindi riadattare l'ACL Web tramite correzione, ma la riparazione in questa situazione può essere ritardata fino a 24 ore.
Per informazioni sull'accesso ai dettagli delle violazioni della conformità, vedere. [Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica](fms-compliance.md)
Se è possibile adattare un ACL Web, Firewall Manager lo modifica come segue:
+ Firewall Manager inserisce i primi gruppi di regole della AWS WAF policy davanti alle regole esistenti dell'ACL Web e alla fine aggiunge gli ultimi gruppi di regole della AWS WAF policy. Per informazioni sulla gestione dei gruppi di regole, vedere. [Gestione dei gruppi di regole per AWS WAF le politiche](waf-policies-rule-groups.md)
+ Se la policy ha una configurazione di registrazione, Firewall Manager la aggiunge all'ACL Web solo se l'ACL Web non è già configurato per la registrazione. Se l'ACL Web dispone di una registrazione configurata dall'account, Firewall Manager la lascia attiva sia durante il retrofit che per eventuali aggiornamenti successivi alla configurazione di registrazione della policy.
+ Firewall Manager non verifica o configura nessun'altra proprietà ACL Web. Ad esempio, Firewall Manager non modifica l'azione predefinita dell'ACL Web, le intestazioni di richiesta personalizzate o Challenge le configurazioni CAPTCHA o gli elenchi di domini token. Firewall Manager configura solo queste altre proprietà sul Web ACLs create da Firewall Manager.
Dopo che Firewall Manager ha effettuato il retrofit di tutti i siti Web associati esistenti ACLs, per tutte le risorse interne all'ambito che non dispongono di un ACL Web, Firewall Manager gestisce la risorsa seguendo il comportamento delle policy predefinito. Se si tratta di una risorsa in AWS WAF grado di proteggere, Firewall Manager crea e associa un ACL Web Firewall Manager a quella risorsa.
Nell'API, l'impostazione dell'origine Web ACL è `webACLSource` nel tipo di dati. [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html) Ad esempio: `\"webACLSource\":\"RETROFIT_EXISTING\"`
**Campionamento e metriche CloudWatch**
AWS Firewall Manager abilita il campionamento e i CloudWatch parametri Amazon per il Web ACLs e i gruppi di regole che crea per una AWS WAF policy.
**Denominazione ACL Web**
Un ACL Web creato da Firewall Manager prende il nome dalla AWS WAF politica come segue:`FMManagedWebACLV2-policy name-timestamp`. Il timestamp è in millisecondi UTC. Ad esempio, `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`.
Un ACL Web che Firewall Manager aggiorna ha il nome specificato dall'account cliente al momento della creazione. Un nome ACL Web non può essere modificato dopo la creazione.
**Nota**
Se una risorsa configurata con la [mitigazione automatica avanzata del livello DDo S delle applicazioni](ddos-automatic-app-layer-response.md) rientra nell'ambito di una AWS WAF policy, Firewall Manager non sarà in grado di associare l'ACL Web creato dalla AWS WAF policy alla risorsa.
# Registrazione per una politica AWS WAF
Puoi abilitare la registrazione centralizzata per AWS WAF le tue politiche per ottenere informazioni dettagliate sul traffico analizzato dal tuo ACL web all'interno dell'organizzazione. AWS Firewall Manager supporta questa opzione per AWS WAFV2, non per Classic. AWS WAF
Le informazioni contenute nei log includono l'ora in cui è AWS WAF stata ricevuta la richiesta dalla AWS risorsa protetta, informazioni dettagliate sulla richiesta e l'azione determinata dalla regola secondo cui ogni richiesta corrisponde per tutti gli account inclusi nell'ambito. *Per informazioni sulla AWS WAF registrazione, consulta [Registrazione del traffico del pacchetto di AWS WAF protezione (Web ACL)](logging.md) la Guida per gli sviluppatori.AWS WAF *
Puoi inviare i log a un flusso di dati Amazon Data Firehose o a un bucket Amazon Simple Storage Service (S3). Ogni tipo di destinazione richiede una configurazione aggiuntiva per consentire a Firewall Manager di gestire la AWS WAF registrazione tra le risorse e gli account pertinenti. Le sezioni che seguono forniscono dettagli.
Se la policy ha abilitato il retrofit dell'ACL Web, Firewall Manager non sostituisce alcuna configurazione di registrazione presente nel Web esistente. ACLs Per informazioni sul retrofit, consulta le informazioni sulla configurazione del codice sorgente ACL Web all'indirizzo. [Gestione ACL Web per le politiche AWS WAF](how-fms-manages-web-acls.md)
**Nota**
Modifica o disabilita la registrazione per le politiche di Firewall Manager solo tramite l'interfaccia Firewall Manager. Se si utilizza AWS WAF per aggiornare o eliminare la configurazione di registrazione di un ACL Web gestito da Firewall Manager, Firewall Manager non rileverà automaticamente la modifica. Se lo hai utilizzato AWS WAF, puoi richiedere manualmente un aggiornamento della AWS WAF politica di Firewall Manager rivalutando la regola della policy in. AWS Config A tale scopo, nella AWS Config console, individua la AWS Config regola per la politica di Firewall Manager e seleziona l'azione di rivalutazione.
**Topics**
+ [
# Destinazioni di registrazione
](waf-policies-logging-destinations.md)
+ [
# Abilitazione della registrazione per una AWS WAF policy in Firewall Manager
](waf-policies-enabling-logging.md)
+ [
# Disabilitazione della registrazione per una AWS WAF politica in Firewall Manager
](waf-policies-disabling-logging.md)
# Destinazioni di registrazione
Questa sezione descrive le destinazioni di registrazione che è possibile scegliere per inviare i registri delle AWS WAF politiche. Ogni sezione fornisce indicazioni per configurare la registrazione per il tipo di destinazione e informazioni su qualsiasi comportamento specifico del tipo di destinazione. Dopo aver configurato la destinazione di registrazione, è possibile fornire le relative specifiche alla AWS WAF politica di Firewall Manager per iniziare a registrarla.
Firewall Manager non ha visibilità sugli errori di registro dopo la creazione della configurazione di registrazione. È tua responsabilità verificare che la consegna dei log funzioni come previsto.
Firewall Manager non modifica alcuna configurazione di registrazione esistente negli account dei membri dell'organizzazione.
**Topics**
+ [
## Flussi di dati Amazon Data Firehose
](#waf-policies-logging-destinations-kinesis-data-firehose)
+ [
## Bucket Amazon Simple Storage Service
](#waf-policies-logging-destinations-s3)
## Flussi di dati Amazon Data Firehose
Questo argomento fornisce informazioni per inviare i log di traffico ACL Web a un flusso di dati Amazon Data Firehose.
Quando abiliti la registrazione di Amazon Data Firehose, Firewall Manager invia i log dal Web della tua policy a ACLs un Amazon Data Firehose in cui hai configurato una destinazione di archiviazione. Dopo aver abilitato la registrazione, AWS WAF invia i log per ogni ACL Web configurato, tramite l'endpoint HTTPS di Kinesis Data Firehose alla destinazione di archiviazione configurata. Prima di utilizzarlo, verifica il flusso di distribuzione per assicurarti che abbia un throughput sufficiente per contenere i log della tua organizzazione. Per ulteriori informazioni su come creare un Amazon Kinesis Data Firehose e rivedere i log memorizzati, [consulta What Is Amazon](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) Data Firehose?
È necessario disporre delle seguenti autorizzazioni per abilitare correttamente la registrazione con Kinesis:
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`
Quando configuri una destinazione di registrazione di Amazon Data Firehose su una AWS WAF policy, Firewall Manager crea un ACL web per la policy nell'account amministratore di Firewall Manager come segue:
+ Firewall Manager crea l'ACL Web nell'account amministratore di Firewall Manager indipendentemente dal fatto che l'account rientri nell'ambito della politica.
+ L'ACL Web ha la registrazione abilitata, con un nome di registro`FMManagedWebACLV2-Loggingpolicy name-timestamp`, dove il timestamp è l'ora UTC in cui il registro è stato abilitato per l'ACL Web, in millisecondi. Ad esempio, `FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180`. L'ACL web non ha gruppi di regole né risorse associate.
+ L'ACL web ti viene addebitato in base alle linee guida sui AWS WAF prezzi. Per ulteriori informazioni, consultare [AWS WAF Prezzi](https://aws.amazon.com/waf/pricing/).
+ Firewall Manager elimina l'ACL Web quando si elimina la policy.
Per informazioni sui ruoli collegati ai servizi e sull'autorizzazione, vedere. `iam:CreateServiceLinkedRole` [Utilizzo di ruoli collegati ai servizi per AWS WAF](using-service-linked-roles.md)
Per ulteriori informazioni sulla creazione di un flusso di distribuzione, consulta [Creating an Amazon Data Firehose Delivery](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html) Stream.
## Bucket Amazon Simple Storage Service
Questo argomento fornisce informazioni per inviare i log di traffico ACL Web a un bucket Amazon S3.
Il bucket scelto come destinazione di registrazione deve appartenere a un account amministratore di Firewall Manager. *Per informazioni sui requisiti per la creazione del bucket Amazon S3 per la registrazione e i requisiti di denominazione dei bucket, consulta [Amazon Simple Storage](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html) Service nella Developer Guide.AWS WAF *
**Consistenza finale**
Quando apporti modifiche alle AWS WAF politiche configurate con una destinazione di registrazione Amazon S3, Firewall Manager aggiorna la policy del bucket per aggiungere le autorizzazioni necessarie per la registrazione. A tale scopo, Firewall Manager segue i modelli di last-writer-wins semantica e coerenza dei dati seguiti da Amazon Simple Storage Service. Se effettui contemporaneamente più aggiornamenti delle policy a una destinazione Amazon S3 nella console Firewall Manager o tramite [PutPolicy](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutPolicy.html)l'API, alcune autorizzazioni potrebbero non essere salvate. Per ulteriori informazioni sul modello di coerenza dei dati di Amazon S3, consulta il modello di coerenza dei [dati di Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html#ConsistencyModel) nella Guida per l'utente di *Amazon Simple Storage Service*.
### Autorizzazioni per pubblicare i log in un bucket Amazon S3
La configurazione della registrazione del traffico Web ACL per un bucket Amazon S3 in una AWS WAF policy richiede le seguenti impostazioni di autorizzazione. Firewall Manager assegna automaticamente queste autorizzazioni al tuo bucket Amazon S3 quando configuri Amazon S3 come destinazione di registrazione per concedere al servizio l'autorizzazione a pubblicare i log nel bucket. Se desideri gestire un accesso più dettagliato alle tue risorse di registrazione e Firewall Manager, puoi impostare tu stesso queste autorizzazioni. *Per informazioni sulla gestione delle autorizzazioni, consulta Gestione degli [accessi alle AWS risorse nella Guida per](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) l'utente IAM.* Per informazioni sulle politiche AWS WAF gestite, consulta[AWS politiche gestite per AWS WAF](security-iam-awsmanpol.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "AWSLogDeliveryForFirewallManager",
"Statement": [
{
"Sid": "AWSLogDeliveryAclCheckFMS",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix"
},
{
"Sid": "AWSLogDeliveryWriteFMS",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
```
------
Per evitare il problema della confusione tra diversi servizi, puoi aggiungere le chiavi relative al [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)contesto della condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale alla policy del tuo bucket. Per aggiungere queste chiavi, è possibile modificare la policy creata automaticamente da Firewall Manager quando si configura la destinazione di registrazione oppure, se si desidera un controllo granulare, è possibile creare policy personalizzate. Se aggiungi queste condizioni alla tua politica di destinazione della registrazione, Firewall Manager non convaliderà né monitorerà le confuse protezioni sostitutive. Per informazioni generali sul problema del vice confuso, vedi Il problema [del](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) vice confuso nella *Guida per l'utente di IAM*.
Quando `sourceAccount` aggiungi le `sourceArn` proprietà di aggiunta, aumenterai la dimensione della policy del bucket. Se stai aggiungendo un lungo elenco di `sourceArn` proprietà di `sourceAccount` aggiunta, fai attenzione a non superare la quota di dimensione della [policy del bucket](https://docs.aws.amazon.com/general/latest/gr/s3.html#limits_s3) Amazon S3.
L'esempio seguente mostra come prevenire il confuso problema vice utilizzando le chiavi di contesto `aws:SourceArn` e `aws:SourceAccount` global condition nella policy del bucket. Sostituiscilo *member-account-id* con l'account IDs dei membri della tua organizzazione.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id":"AWSLogDeliveryForFirewallManager",
"Statement":[
{
"Sid":"AWSLogDeliveryAclCheckFMS",
"Effect":"Allow",
"Principal":{
"Service":"delivery.logs.amazonaws.com"
},
"Action":"s3:GetBucketAcl",
"Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
"Condition":{
"StringEquals":{
"aws:SourceAccount":[
"111122223333",
"444455556666"
]
},
"ArnLike":{
"aws:SourceArn":[
"arn:aws:logs:*:111122223333:*",
"arn:aws:logs:*:444455556666:*"
]
}
}
},
{
"Sid":"AWSLogDeliveryWriteFMS",
"Effect":"Allow",
"Principal":{
"Service":"delivery.logs.amazonaws.com"
},
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
"Condition":{
"StringEquals":{
"s3:x-amz-acl":"bucket-owner-full-control",
"aws:SourceAccount":[
"111122223333",
"444455556666"
]
},
"ArnLike":{
"aws:SourceArn":[
"arn:aws:logs:*:111122223333:*",
"arn:aws:logs:*:444455556666:*"
]
}
}
}
]
}
```
------
#### Crittografia lato server per bucket Amazon S3
Puoi abilitare la crittografia lato server di Amazon S3 o utilizzare una chiave gestita AWS Key Management Service dal cliente sul tuo bucket S3. Se scegli di utilizzare la crittografia Amazon S3 predefinita sul tuo bucket Amazon S3 AWS WAF per i log, non devi intraprendere alcuna azione speciale. Tuttavia, se scegli di utilizzare una chiave di crittografia fornita dal cliente per crittografare i dati inattivi di Amazon S3, devi aggiungere la seguente dichiarazione di autorizzazione alla tua politica di chiave: AWS Key Management Service
```
{
"Sid": "Allow Logs Delivery to use the key",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```
*Per informazioni sull'utilizzo delle chiavi di crittografia fornite dal cliente con Amazon S3, [consulta Uso della crittografia lato server con chiavi fornite dal cliente (SSE-C) nella Guida per l'utente di Amazon Simple](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html) Storage Service.*
# Abilitazione della registrazione per una AWS WAF policy in Firewall Manager
La procedura seguente descrive come abilitare la registrazione per una AWS WAF policy nella console Firewall Manager.
**Per abilitare la registrazione per una politica AWS WAF**
1. Prima di poter abilitare la registrazione, è necessario configurare le risorse di destinazione della registrazione come segue:
+ **Amazon Kinesis Data** Streams: crea un Amazon Data Firehose utilizzando il tuo account amministratore di Firewall Manager. Usa un nome che inizia con il prefisso. `aws-waf-logs-` Ad esempio, `aws-waf-logs-firewall-manager-central`. Crea il data firehose con una `PUT` fonte e nella regione in cui stai operando. Se stai acquisendo log per Amazon CloudFront, crea la firehose negli Stati Uniti orientali (Virginia settentrionale). Prima di utilizzarlo, verifica il flusso di distribuzione per assicurarti che abbia una velocità di trasmissione sufficiente per contenere i log della tua organizzazione. Per ulteriori informazioni, consulta [Creazione di un flusso di distribuzione Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).
+ **Bucket Amazon Simple Storage Service***: crea un bucket Amazon S3 in base alle linee guida nell'argomento [Amazon Simple Storage](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html) Service nella AWS WAF Developer Guide.* È inoltre necessario configurare il bucket Amazon S3 con le autorizzazioni elencate in. [Autorizzazioni per pubblicare i log in un bucket Amazon S3](waf-policies-logging-destinations.md#waf-policies-logging-s3-permissions)
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegli **Politiche di sicurezza**.
1. Scegli la AWS WAF politica per la quale desideri abilitare la registrazione. Per ulteriori informazioni sulla registrazione di AWS WAF , consulta [Registrazione del traffico del pacchetto di AWS WAF protezione (Web ACL)](logging.md).
1. Nella scheda **Dettagli della politica**, nella sezione **Regole della politica**, scegli **Modifica**.
1. Per la **configurazione della registrazione**, scegli **Abilita registrazione** per attivare la registrazione. La registrazione fornisce informazioni dettagliate sul traffico analizzato dall'ACL Web. Scegli la **destinazione di registrazione, quindi scegli la destinazione** di registrazione che hai configurato. È necessario scegliere una destinazione di registrazione il cui nome inizi con. `aws-waf-logs-` Per informazioni sulla configurazione di una destinazione di AWS WAF registrazione, vedere. [Utilizzo AWS WAF delle politiche con Firewall Manager](waf-policies.md)
1. (Facoltativo) Se non si desidera che determinati campi e i relativi valori vengano inclusi nei log, omettere tali campi. Scegliere il campo da omettere, quindi selezionare **Add (Aggiungi)**. Se necessario, ripetere l'operazione per omettere i campi aggiuntivi. I campi omessi vengono visualizzati come `REDACTED` nei log. Ad esempio, se si oscura il campo **URI**, il campo **URI** nei registri sarà. `REDACTED`
1. (Facoltativo) Se non desideri inviare tutte le richieste ai log, aggiungi i criteri e il comportamento di filtro. In **Filtra log**, per ogni filtro che desideri applicare, scegli **Aggiungi filtro**, quindi scegli i criteri di filtro e specifica se desideri conservare o eliminare le richieste che corrispondono ai criteri. Al termine dell'aggiunta dei filtri, se necessario, modifica il comportamento di **registrazione predefinito**. Per ulteriori informazioni, consulta la sezione [Individuazione dei record del Protection Pack (Web ACL)](logging-management.md) nella *Guida per gli sviluppatori di AWS WAF *.
1. Scegli **Next (Successivo)**.
1. Controlla le impostazioni, quindi scegli **Salva** per salvare le modifiche alla politica.
# Disabilitazione della registrazione per una AWS WAF politica in Firewall Manager
La procedura seguente descrive come disabilitare la registrazione per una AWS WAF policy nella console Firewall Manager.
**Per disabilitare la registrazione per una politica AWS WAF**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegli **Politiche di sicurezza**.
1. Scegli la AWS WAF politica per cui desideri disabilitare la registrazione.
1. Nella scheda **Dettagli della politica**, nella sezione **Regole della politica**, scegli **Modifica**.
1. Per **lo stato di configurazione della registrazione**, scegli **Disabilitato**.
1. Scegli **Next (Successivo)**.
1. Controlla le impostazioni, quindi scegli **Salva** per salvare le modifiche alla politica.
**Nota**
Modifica o disabilita la registrazione per le politiche di Firewall Manager solo tramite l'interfaccia Firewall Manager. Se si utilizza AWS WAF per aggiornare o eliminare la configurazione di registrazione di un ACL Web gestito da Firewall Manager, Firewall Manager non rileverà automaticamente la modifica. Se lo hai utilizzato AWS WAF, puoi richiedere manualmente un aggiornamento della AWS WAF politica di Firewall Manager rivalutando la regola della policy in. AWS Config A tale scopo, nella AWS Config console, individua la AWS Config regola per la politica di Firewall Manager e seleziona l'azione di rivalutazione.
# Utilizzo AWS Shield Advanced delle politiche in Firewall Manager
Questa pagina spiega come utilizzare AWS Shield le policy con Firewall Manager. In una AWS Shield politica di Firewall Manager, scegli le risorse che desideri proteggere. Quando si applica la policy con la riparazione automatica abilitata, per ogni risorsa dell'ambito che non è già associata a un ACL AWS WAF Web, Firewall Manager associa un ACL Web vuoto. AWS WAF L'ACL web vuoto viene utilizzato per scopi di monitoraggio Shield. Se poi si associa un altro ACL Web alla risorsa, Firewall Manager rimuove l'associazione ACL Web vuota.
**Nota**
Quando una risorsa che rientra nell'ambito di una AWS WAF policy rientra nell'ambito di una policy Shield Advanced configurata con la [mitigazione automatica del livello di applicazione DDo S](ddos-automatic-app-layer-response.md), Firewall Manager applica la protezione Shield Advanced solo dopo aver associato l'ACL web creato dalla policy. AWS WAF
## Come AWS Firewall Manager gestisce il Web non associato ACLs nelle politiche Shield
Puoi configurare se Firewall Manager gestisca il Web non associato ACLs per te tramite l' ACLsimpostazione **Gestisci Web non associato** nella tua politica o l'`optimizeUnassociatedWebACLs`impostazione nel tipo di [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html)dati nell'API. Se ACLs nella policy si abilita la gestione del Web non associato, Firewall Manager crea il Web ACLs negli account che rientrano nell'ambito della policy solo se il Web ACLs verrà utilizzato da almeno una risorsa. Se in qualsiasi momento un account rientra nell'ambito delle politiche, Firewall Manager crea automaticamente un ACL Web nell'account se almeno una risorsa utilizzerà l'ACL Web.
Quando abiliti la gestione del Web non associato ACLs, Firewall Manager esegue una pulizia una tantum del Web ACLs non associato nel tuo account. Il processo di pulizia può richiedere diverse ore. Se una risorsa esce dall'ambito delle policy dopo che Firewall Manager ha creato un ACL Web, Firewall Manager non dissocia la risorsa dall'ACL Web. Se si desidera che Firewall Manager pulisca l'ACL Web, è necessario innanzitutto dissociare manualmente le risorse dall'ACL Web e quindi abilitare l' ACLs opzione di gestione del Web non associato nella policy.
Se non si abilita questa opzione, Firewall Manager non gestisce il Web ACLs non associato e Firewall Manager crea automaticamente un ACL Web in ogni account che rientra nell'ambito delle policy.
## Come AWS Firewall Manager gestisce le modifiche all'ambito nelle politiche Shield
Gli account e le risorse possono uscire dall'ambito di una politica AWS Firewall Manager Shield Advanced a causa di una serie di modifiche, come modifiche alle impostazioni dell'ambito dei criteri, modifiche ai tag su una risorsa e la rimozione di un account da un'organizzazione. Per informazioni generali sulle impostazioni degli ambiti delle politiche, vedere[Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
Con una policy AWS Firewall Manager Shield Advanced, se un account o una risorsa non rientra nell'ambito di applicazione, Firewall Manager interrompe il monitoraggio dell'account o della risorsa.
Se un account non rientra nell'ambito di applicazione a causa della rimozione dall'organizzazione, continuerà a essere sottoscritto a Shield Advanced. Poiché l'account non fa più parte della famiglia di fatturazione consolidata, all'account verrà addebitato un canone di abbonamento Shield Advanced ripartito proporzionalmente. D'altra parte, un account che non rientra nell'ambito di applicazione ma rimane nell'organizzazione non comporta costi aggiuntivi.
Per quanto riguarda la politica Shield che utilizza Classic WebACL, se una risorsa non rientra nell'ambito di applicazione, continua a essere protetta da Shield Advanced e continua a incorrere in costi di trasferimento dati Shield Advanced.
# Utilizzo della mitigazione automatica del livello di applicazione DDo S con policy Firewall Manager Shield Advanced
Questa pagina spiega come funziona la mitigazione automatica del livello di applicazione DDo S con Firewall Manager.
Quando applichi una policy Shield Advanced alle CloudFront distribuzioni Amazon o Application Load Balancers, hai la possibilità di configurare la mitigazione automatica del livello DDo S dell'applicazione Shield Advanced nella policy.
Per informazioni sulla mitigazione automatica Shield Advanced, vedere[Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md).
La mitigazione automatica del livello DDo S di applicazione Shield Advanced presenta i seguenti requisiti:
+ La mitigazione automatica del livello di applicazione DDo S funziona solo con le CloudFront distribuzioni Amazon e gli Application Load Balancer.
Se applichi la tua politica Shield Advanced alle CloudFront distribuzioni Amazon, puoi scegliere questa opzione per le politiche Shield Advanced che crei per la regione **globale**. Se si applicano protezioni agli Application Load Balancer, è possibile applicare la policy a qualsiasi regione supportata da Firewall Manager.
+ La mitigazione automatica del livello di applicazione DDo S funziona solo con i pacchetti di protezione (web ACLs) creati utilizzando la versione più recente di AWS WAF (v2).
Per questo motivo, se si dispone di una politica che utilizza il Web AWS WAF classico ACLs, è necessario sostituire la politica con una nuova politica, che utilizzerà automaticamente la versione più recente di AWS WAF, oppure fare in modo che Firewall Manager crei una nuova versione Web ACLs per la politica esistente e passi a utilizzarla. Per ulteriori informazioni su queste opzioni, consulta [Sostituisci AWS WAF Classic Web con l'ultima versione web ACLs ACLs](#shield-policies-auto-app-layer-update-waf-version).
## Configurazione automatica della mitigazione
L'opzione di mitigazione automatica del livello di applicazione DDo S per le politiche Firewall Manager Shield Advanced applica la funzionalità di mitigazione automatica Shield Advanced agli account e alle risorse pertinenti alla policy. Per informazioni dettagliate su questa funzionalità Shield Advanced, vedere[Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md).
Puoi scegliere di abilitare o disabilitare Firewall Manager la mitigazione automatica per CloudFront le distribuzioni o gli Application Load Balancer che rientrano nell'ambito della policy, oppure puoi scegliere di fare in modo che la policy ignori le impostazioni di mitigazione automatica di Shield Advanced:
+ **Abilita**: se scegli di abilitare la mitigazione automatica, specifichi anche se le regole di mitigazione di Shield Advanced devono contare o bloccare le richieste Web corrispondenti. Firewall Manager contrassegnerà le risorse interne all'ambito come non conformi se non hanno la mitigazione automatica abilitata o utilizzano un'azione della regola che non corrisponde a quella specificata per la policy. Se si configura la politica per la riparazione automatica, Firewall Manager aggiorna le risorse non conformi secondo necessità.
+ **Disattiva**: se si sceglie di disabilitare la mitigazione automatica, Firewall Manager contrassegnerà le risorse nell'ambito come non conformi se la mitigazione automatica è abilitata. Se si configura la politica per la riparazione automatica, Firewall Manager aggiorna le risorse non conformi secondo necessità.
+ **Ignora**: se scegli di ignorare la mitigazione automatica, Firewall Manager non prenderà in considerazione nessuna delle impostazioni di mitigazione automatica nella politica Shield quando esegue le attività di correzione della policy. Questa impostazione consente di controllare la mitigazione automatica tramite Shield Advanced, senza che tali impostazioni vengano sovrascritte da Firewall Manager. Questa impostazione non si applica ai Classic Load Balancer o alle IPs risorse Elastic gestite tramite Shield Advanced, poiché Shield Advanced attualmente non supporta la mitigazione automatica L7 per tali risorse.
## Sostituisci AWS WAF Classic Web con l'ultima versione web ACLs ACLs
La mitigazione automatica del livello di applicazione DDo S funziona solo con i pacchetti di protezione (web ACLs) creati utilizzando l'ultima versione di AWS WAF (v2).
Per determinare la versione Web ACL per la tua politica Shield Advanced, consulta[Determinazione della AWS WAF versione utilizzata da una politica Shield Advanced](shield-policies-identify-waf-version.md).
Se desideri utilizzare la mitigazione automatica nella tua politica Shield Advanced e la tua politica attualmente utilizza il Web AWS WAF classico ACLs, puoi creare una nuova politica Shield Advanced per sostituire quella attuale oppure puoi utilizzare le opzioni descritte in questa sezione per sostituire la versione precedente web ACLs con una nuova (v2) web ACLs all'interno della tua politica Shield Advanced corrente. Le nuove politiche creano sempre siti Web ACLs utilizzando la versione più recente di. AWS WAF Se sostituisci l'intera policy, quando la elimini, puoi fare in modo che Firewall Manager elimini anche tutta la versione precedente web ACLs . Il resto di questa sezione descrive le opzioni per sostituire il Web ACLs all'interno della politica esistente.
Quando modifichi una policy Shield Advanced esistente per CloudFront le risorse Amazon, Firewall Manager può creare automaticamente un nuovo ACL web vuoto AWS WAF (v2) per la policy, in qualsiasi account pertinente che non disponga già di un ACL web v2. Quando Firewall Manager crea un nuovo ACL web, se la policy ha già un ACL web AWS WAF classico nello stesso account, Firewall Manager configura l'ACL web della nuova versione con la stessa impostazione di azione predefinita dell'ACL web esistente. Se non esiste un ACL web AWS WAF classico, Firewall Manager imposta l'azione predefinita Allow nel nuovo ACL web. Dopo che Firewall Manager ha creato un nuovo ACL Web, è possibile personalizzarlo in base alle esigenze tramite la AWS WAF console.
Quando si sceglie una delle seguenti opzioni di configurazione delle policy, Firewall Manager crea un nuovo sito Web (v2) ACLs per gli account interessati che non ne sono già dotati:
+ Quando abiliti o disabiliti la mitigazione automatica del livello DDo S delle applicazioni. Questa scelta da sola fa sì che Firewall Manager crei solo il nuovo Web ACLs e non sostituisca alcuna associazione ACL Web AWS WAF classica esistente sulle risorse relative all'ambito della policy.
+ Quando si sceglie l'azione politica della riparazione automatica e si sceglie l'opzione per sostituire il Web AWS WAF classico ACLs con AWS WAF (v2) web. ACLs Puoi scegliere di sostituire la versione web precedente ACLs indipendentemente dalle tue scelte di configurazione per la mitigazione automatica del livello di applicazione DDo S.
Quando si sceglie l'opzione sostitutiva, Firewall Manager crea la nuova versione Web ACLs in base alle esigenze e quindi esegue le seguenti operazioni per le risorse relative alla policy:
+ Se una risorsa è associata a un ACL Web da qualsiasi altra politica attiva di Firewall Manager, Firewall Manager lascia solo l'associazione.
+ In tutti gli altri casi, Firewall Manager rimuove qualsiasi associazione con un ACL web AWS WAF classico e associa la risorsa all'ACL web della policy AWS WAF (v2).
Puoi scegliere di fare in modo che Firewall Manager sostituisca la versione precedente web ACLs con la nuova versione web ACLs quando lo desideri. Se in precedenza hai personalizzato il sito Web AWS WAF classico della policy ACLs, puoi aggiornare la nuova versione Web ACLs con impostazioni comparabili prima di scegliere che Firewall Manager esegua la fase di sostituzione.
È possibile accedere a entrambe le versioni di Web ACL per una policy tramite la console della stessa versione o Classic. AWS WAF AWS WAF
Firewall Manager non elimina alcun sito Web AWS WAF classico sostituito ACLs finché non si elimina la policy stessa. Dopo che il Web AWS WAF ACLs classico non viene più utilizzato dalla policy, puoi eliminarlo se lo desideri.
# Determinazione della AWS WAF versione utilizzata da una politica Shield Advanced
Questa pagina spiega come determinare la versione dell'ACL AWS WAF Web utilizzata dalla policy Shield Advanced.
È possibile determinare quale versione della AWS WAF policy Firewall Manager Shield Advanced viene utilizzata esaminando le chiavi dei parametri nella regola AWS Config collegata ai servizi della policy. Se la AWS WAF versione in uso è la più recente, le chiavi dei parametri includono `policyId` e. `webAclArn` Se si tratta della versione precedente, AWS WAF Classic, le chiavi dei parametri includono `webAclId` e`resourceTypes`.
La AWS Config regola elenca solo le chiavi per il Web attualmente ACLs utilizzate dalla policy con le risorse pertinenti.
**Per determinare quale versione della AWS WAF policy Firewall Manager Shield Advanced viene utilizzata**
1. Recupera l'ID della policy Shield Advanced:
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegli **Politiche di sicurezza**.
1. Scegli la regione per la politica. Per CloudFront le distribuzioni, questo è`Global`.
1. Trova la politica che desideri e copia il valore del relativo **Policy ID.**
Esempio di ID della politica:`1111111-2222-3333-4444-a55aa5aaa555`.
1. Crea il nome della AWS Config regola aggiungendo l'ID della politica alla stringa`FMManagedShieldConfigRule`.
Nome di AWS Config regola di esempio:`FMManagedShieldConfigRule1111111-2222-3333-4444-a55aa5aaa555`.
1. Cerca nei parametri della AWS Config regola associata le chiavi denominate `policyId` e`webAclArn`:
1. Apri la AWS Config console a [https://console.aws.amazon.com/config/casa](https://console.aws.amazon.com/config/home).
1. Nel riquadro di navigazione, scegli **Regole**.
1. Trova il nome della AWS Config regola della tua policy Firewall Manager nell'elenco e selezionalo. Si apre la pagina della regola.
1. In **Dettagli della regola**, nella sezione **Parametri**, esamina le chiavi. Se trovi chiavi denominate `policyId` and`webAclArn`, la policy utilizza web ACLs che sono state create utilizzando la versione più recente di AWS WAF. Se trovi chiavi denominate `webAclId` and`resourceTypes`, la policy utilizza web ACLs che sono state create utilizzando la versione precedente, AWS WAF Classic.
# Utilizzo delle policy dei gruppi di sicurezza in Firewall Manager per gestire i gruppi di sicurezza Amazon VPC
Questa pagina spiega come utilizzare le policy dei gruppi di AWS Firewall Manager sicurezza per gestire i gruppi di sicurezza Amazon Virtual Private Cloud per la tua organizzazione in AWS Organizations. È possibile applicare criteri di gruppo di protezione controllati centralmente all'intera organizzazione o a un sottoinsieme selezionato di account e risorse. È inoltre possibile monitorare e gestire i criteri dei gruppi di protezione in uso nell'organizzazione, con criteri di gruppo di protezione di controllo e utilizzo.
Firewall Manager mantiene continuamente le policy e le applica agli account e alle risorse man mano che vengono aggiunte o aggiornate all'interno dell'organizzazione. Per informazioni in merito AWS Organizations, consulta la [Guida AWS Organizations per l'utente](https://docs.aws.amazon.com/organizations/latest/userguide/).
Per informazioni sui gruppi di sicurezza di Amazon Virtual Private Cloud, consulta [Security Groups for Your VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) nella Amazon *VPC* User Guide.
È possibile utilizzare le politiche dei gruppi di sicurezza di Firewall Manager per eseguire le seguenti operazioni all'interno AWS dell'organizzazione:
+ Applica gruppi di sicurezza comuni agli account e alle risorse specificati.
+ Controlla le regole dei gruppi di sicurezza per individuare e correggere le regole non conformi.
+ Controlla l'utilizzo dei gruppi di sicurezza per ripulire i gruppi di sicurezza inutilizzati e ridondanti.
Questa sezione illustra come funzionano le policy dei gruppi di sicurezza di Firewall Manager e fornisce indicazioni per il loro utilizzo. Per le procedure per creare le politiche dei gruppi di sicurezza, vedere[Creazione di una AWS Firewall Manager politica](create-policy.md).
## Procedure consigliate per policy di gruppo di sicurezza
In questa sezione sono elencati i suggerimenti per la gestione dei gruppi di sicurezza mediante AWS Firewall Manager:
**Escludere l'account amministratore di Firewall Manager**
Quando si imposta l'ambito della politica, si esclude l'account amministratore di Firewall Manager. Quando si crea un criterio di gruppo di protezione controllo dell'utilizzo tramite la console, questa è l'opzione predefinita.
**Avvio con la correzione automatica disabilitata**
Per i criteri del gruppo di protezione del controllo del contenuto o dell'utilizzo, iniziare con la correzione automatica disabilitata. Esaminare le informazioni dettagliate sui criteri per determinare gli effetti che la correzione automatica avrebbe avuto. Quando si è certi che le modifiche sono ciò che si desidera, modificare il criterio per abilitare la correzione automatica.
**Evitare conflitti se si utilizzano anche origini esterne per gestire i gruppi di sicurezza**
Se si utilizza uno strumento o un servizio diverso da Firewall Manager per gestire i gruppi di sicurezza, fare attenzione a evitare conflitti tra le impostazioni in Firewall Manager e le impostazioni nella fonte esterna. Se si utilizzano la correzione automatica e il conflitto di impostazioni, è possibile creare un ciclo di correzione in conflitto che consuma risorse su entrambi i lati.
Ad esempio, supponiamo di configurare un altro servizio per gestire un gruppo di sicurezza per un set di AWS risorse e di configurare una politica di Firewall Manager per mantenere un gruppo di sicurezza diverso per alcune o tutte le stesse risorse. Se si configura uno dei due lati per non consentire l'associazione di altri gruppi di sicurezza alle risorse nell'ambito, tale lato rimuoverà l'associazione dei gruppi di sicurezza mantenuta dall'altro lato. Se entrambi i lati sono configurati in questo modo, si può finire con un ciclo di disassociazioni e associazioni in conflitto.
Inoltre, supponiamo di creare una politica di controllo di Firewall Manager per applicare una configurazione del gruppo di sicurezza in conflitto con la configurazione del gruppo di sicurezza dell'altro servizio. La correzione applicata dalla politica di controllo di Firewall Manager può aggiornare o eliminare quel gruppo di sicurezza, rendendolo non conforme per l'altro servizio. Se l'altro servizio è configurato per monitorare e risolvere automaticamente eventuali problemi rilevati, ricreerà o aggiornerà il gruppo di sicurezza, rendendolo nuovamente non conforme alla politica di controllo di Firewall Manager. Se la politica di controllo di Firewall Manager è configurata con la riparazione automatica, aggiornerà o eliminerà nuovamente il gruppo di sicurezza esterno e così via.
Per evitare conflitti come questi, create configurazioni che si escludano a vicenda, tra Firewall Manager e qualsiasi fonte esterna.
È possibile utilizzare i tag per escludere i gruppi di sicurezza esterni dalla riparazione automatica mediante le politiche di Firewall Manager. A tale scopo, aggiungere uno o più tag ai gruppi di sicurezza o ad altre risorse gestite dall'origine esterna. Quindi, quando definisci l'ambito della policy di Firewall Manager, nelle specifiche delle risorse, escludi le risorse che hanno il tag o i tag che hai aggiunto.
Analogamente, nello strumento o servizio esterno, escludi i gruppi di sicurezza gestiti da Firewall Manager da qualsiasi attività di gestione o controllo. Non importate le risorse di Firewall Manager o utilizzate i tag specifici di Firewall Manager per escluderle dalla gestione esterna.
**Le migliori pratiche per l'utilizzo, il controllo delle politiche di sicurezza dei gruppi.**
Segui queste linee guida quando utilizzi le politiche dei gruppi di sicurezza per il controllo dell'utilizzo.
+ Evita di apportare più modifiche allo stato di associazione di un gruppo di sicurezza in un breve lasso di tempo, ad esempio entro una finestra di 15 minuti. In questo modo, Firewall Manager potrebbe perdere alcuni o tutti gli eventi corrispondenti. Ad esempio, non associare e dissociare rapidamente un gruppo di sicurezza da un'interfaccia di rete elastica.
## Avvertenze e limitazioni relative alla politica dei gruppi di sicurezza
Questa sezione elenca le avvertenze e le limitazioni per l'utilizzo delle politiche dei gruppi di sicurezza di Firewall Manager.
**Tipo di risorsa: istanza Amazon EC2**
Questa sezione elenca gli avvertimenti e le limitazioni per la protezione delle istanze Amazon EC2 con le policy dei gruppi di sicurezza Firewall Manager.
+ Con i gruppi di sicurezza che proteggono le interfacce di rete elastiche di Amazon EC2 (ENIs), le modifiche a un gruppo di sicurezza non sono immediatamente visibili a Firewall Manager. Firewall Manager di solito rileva le modifiche entro diverse ore, ma il rilevamento può essere ritardato fino a sei ore.
+ Firewall Manager non supporta i gruppi di sicurezza per Amazon EC2 ENIs creati da Amazon Relational Database Service.
+ Firewall Manager non supporta l'aggiornamento dei gruppi di sicurezza per gli ENI di Amazon EC2 creati utilizzando il tipo di servizio Fargate. Tuttavia, puoi aggiornare i gruppi di sicurezza per Amazon ECS ENI con il tipo di servizio Amazon EC2.
+ Firewall Manager non supporta l'aggiornamento dei gruppi di sicurezza per Amazon ENIs EC2 gestito dai richiedenti, poiché Firewall Manager non dispone dell'autorizzazione per modificarli.
+ Per quanto riguarda le politiche comuni dei gruppi di sicurezza, queste avvertenze riguardano l'interazione tra il numero di interfacce di rete elastiche (ENI) collegate all'istanza EC2 e l'opzione politica che specifica se correggere solo le istanze EC2 senza allegati aggiunti o correggere tutte le istanze. Ogni istanza EC2 ha un ENI primario predefinito e puoi collegarne altri. ENIs Nell'API, l'impostazione dell'opzione politica per questa scelta è`ApplyToAllEC2InstanceENIs`.
Se a un'istanza EC2 pertinente sono associati ulteriori ENI e la policy è configurata per includere solo istanze EC2 con solo l'ENI principale, Firewall Manager non tenterà alcuna correzione per l'istanza EC2. Inoltre, se l'istanza non rientra nell'ambito delle policy, Firewall Manager non tenta di dissociare le associazioni dei gruppi di sicurezza che potrebbe aver stabilito per l'istanza.
Nei seguenti casi limite, durante la pulizia delle risorse, Firewall Manager può lasciare intatte le associazioni dei gruppi di sicurezza replicati, indipendentemente dalle specifiche di pulizia delle risorse della policy:
+ Quando un'istanza con ENI aggiuntivi è stata precedentemente risolta mediante una policy configurata per includere tutte le istanze EC2, l'istanza è uscita dall'ambito della policy o l'impostazione della politica è stata modificata per includere solo le istanze senza elementi aggiuntivi. ENIs
+ Quando un'istanza senza ulteriori istanze ENIs veniva risolta mediante una policy configurata per includere solo le istanze senza ulteriori istanze ENIs, all'istanza veniva associato un altro ENI e quindi l'istanza usciva dall'ambito della policy.
**Altre avvertenze e limitazioni**
Di seguito sono riportate varie avvertenze e limitazioni per le politiche dei gruppi di sicurezza di Firewall Manager.
+ Le politiche dei gruppi di sicurezza di Firewall Manager non supportano i gruppi di sicurezza condivisi tramite AWS RAM.
+ L'uso di AWS RAM condividere elenchi di prefissi all'interno di un'organizzazione non è una funzionalità ufficialmente supportata di Firewall Manager. Anche se oggi può succedere che funzioni, non vi è né l'obbligo di AWS offrire supporto per quel caso d'uso né alcuna garanzia che continui a funzionare.
+ L'aggiornamento di Amazon ECS ENIs è possibile solo per i servizi Amazon ECS che utilizzano il controller di distribuzione Rolling Update (Amazon ECS). Per altri controller di distribuzione Amazon ECS come CODE\$1DEPLOY o controller esterni, Firewall Manager attualmente non può aggiornare il. ENIs
+ Firewall Manager non supporta l'aggiornamento dei gruppi di sicurezza in ENIs Network Load Balancer.
+ Nelle politiche comuni dei gruppi di sicurezza, se un VPC condiviso viene successivamente annullato con un account, Firewall Manager non eliminerà i gruppi di sicurezza di replica presenti nell'account.
+ Con le policy dei gruppi di sicurezza di usage audit, se si creano più politiche con un'impostazione personalizzata del tempo di ritardo che hanno tutte lo stesso ambito, la prima politica con i risultati di conformità sarà la politica che riporta i risultati.
## Casi d'uso delle policy di gruppo di sicurezza
Puoi utilizzare politiche AWS Firewall Manager comuni dei gruppi di sicurezza per automatizzare la configurazione del firewall host per la comunicazione tra istanze Amazon VPC. Questa sezione elenca le architetture standard di Amazon VPC e descrive come proteggerle utilizzando le politiche comuni dei gruppi di sicurezza di Firewall Manager. Queste policy dei gruppi di sicurezza possono aiutarti ad applicare un set unificato di regole per selezionare le risorse in diversi account ed evitare configurazioni per account in Amazon Elastic Compute Cloud e Amazon VPC.
Con le politiche comuni dei gruppi di sicurezza di Firewall Manager, puoi etichettare solo le interfacce di rete elastiche EC2 necessarie per la comunicazione con le istanze in un altro Amazon VPC. Le altre istanze nello stesso Amazon VPC sono quindi più sicure e isolate.
**Caso d'uso: monitoraggio e controllo delle richieste agli Application Load Balancer e ai Classic Load Balancer**
È possibile utilizzare una politica di gruppo di sicurezza comune di Firewall Manager per definire le richieste che i sistemi di bilanciamento del carico interessati devono soddisfare. È possibile configurarlo tramite la console Firewall Manager. Solo le richieste conformi alle regole in entrata del gruppo di sicurezza possono raggiungere i sistemi di bilanciamento del carico, che distribuiranno solo le richieste che soddisfano le regole in uscita.
**Caso d'uso: Amazon VPC pubblico e accessibile da Internet**
Puoi utilizzare una policy di gruppo di sicurezza comune di Firewall Manager per proteggere un Amazon VPC pubblico, ad esempio per consentire solo la porta in entrata 443. Ciò equivale a consentire solo il traffico HTTPS in ingresso per un VPC pubblico. È possibile etichettare le risorse pubbliche all'interno del VPC (ad esempio, come «PublicVPC») e quindi impostare l'ambito della policy di Firewall Manager solo sulle risorse con quel tag. Firewall Manager applica automaticamente la policy a tali risorse.
**Caso d'uso: istanze Amazon VPC pubbliche e private**
Puoi utilizzare la stessa politica comune dei gruppi di sicurezza per le risorse pubbliche consigliata nel caso d'uso precedente per le istanze Amazon VPC pubbliche accessibili da Internet. È possibile utilizzare un secondo criterio comune di gruppo di protezione per limitare la comunicazione tra le risorse pubbliche e quelle private. Etichetta le risorse nelle istanze Amazon VPC pubbliche e private con qualcosa come "PublicPrivate" per applicare loro la seconda policy. Puoi utilizzare una terza policy per definire la comunicazione consentita tra le risorse private e altre istanze Amazon VPC aziendali o private. Per questo criterio, è possibile utilizzare un altro tag identificativo sulle risorse private.
**Caso d'uso: istanze Amazon VPC Hub and spoke**
Puoi utilizzare una policy di gruppo di sicurezza comune per definire le comunicazioni tra l'istanza Amazon VPC hub e le istanze Amazon VPC spoke. Puoi utilizzare una seconda policy per definire la comunicazione da ogni istanza Amazon VPC spoke all'istanza Amazon VPC hub.
**Caso d'uso: interfaccia di rete predefinita per le istanze Amazon EC2**
È possibile utilizzare una politica di gruppo di sicurezza comune per consentire solo comunicazioni standard, ad esempio SSH interno e servizi di patch/OS aggiornamento, e per impedire altre comunicazioni non sicure.
**Caso d'uso: identifica le risorse con autorizzazioni aperte**
È possibile utilizzare un criterio di gruppo di sicurezza di controllo per identificare tutte le risorse all'interno dell'organizzazione che dispongono dell'autorizzazione per comunicare con gli indirizzi IP pubblici o con indirizzi IP appartenenti a fornitori di terze parti.
# Utilizzo di politiche comuni per i gruppi di sicurezza con Firewall Manager
Questa pagina spiega come funzionano le politiche comuni dei gruppi di sicurezza di Firewall Manager.
Con una politica comune per i gruppi di sicurezza, Firewall Manager fornisce un'associazione controllata centralmente dei gruppi di sicurezza agli account e alle risorse dell'organizzazione. Specificare dove e come applicare le policy nell'organizzazione.
È possibile applicare politiche comuni per i gruppi di sicurezza ai seguenti tipi di risorse:
+ Istanza Amazon Elastic Compute Cloud (Amazon EC2)
+ Interfaccia di rete elastica
+ Application Load Balancer
+ Classic Load Balancer
Per indicazioni sulla creazione di una politica comune per i gruppi di sicurezza tramite la console, consulta[Creazione di una policy di gruppo di sicurezza comune](create-policy.md#creating-firewall-manager-policy-common-security-group).
**Condiviso VPCs**
Nelle impostazioni dell'ambito dei criteri per una politica di gruppo di sicurezza comune, è possibile scegliere di includere la politica condivisa VPCs. Questa scelta include VPCs quelli di proprietà di un altro account e condivisi con un account pertinente. VPCs gli account che rientrano nell'ambito di applicazione sono sempre inclusi. Per informazioni sulla condivisione VPCs, consulta [Working with shared VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) nella *Amazon VPC User* Guide.
Le seguenti avvertenze si applicano all'inclusione della condivisione. VPCs Queste si aggiungono alle avvertenze generali relative alle politiche dei gruppi di sicurezza riportate all'indirizzo. [Avvertenze e limitazioni relative alle politiche dei gruppi di sicurezza](security-group-policies.md#security-groups-limitations)
+ Firewall Manager replica il gruppo di sicurezza primario VPCs in ogni account interessato. Per un VPC condiviso, Firewall Manager replica il gruppo di sicurezza primario una volta per ogni account interno con cui è condiviso il VPC. Ciò può comportare più repliche in un singolo VPC condiviso.
+ Quando crei un nuovo VPC condiviso, non lo vedrai rappresentato nei dettagli delle policy del gruppo di sicurezza Firewall Manager fino a quando non avrai creato almeno una risorsa nel VPC che rientra nell'ambito della policy.
+ Quando si disabilita la condivisione VPCs in una politica che aveva VPCs abilitato la condivisione, nella politica VPCs condivisa Firewall Manager elimina i gruppi di sicurezza delle repliche che non sono associati ad alcuna risorsa. Firewall Manager lascia attivi i restanti gruppi di sicurezza delle repliche, ma smette di gestirli. La rimozione di questi gruppi di sicurezza rimanenti richiede la gestione manuale in ogni istanza VPC condivisa.
**Gruppi di sicurezza primari**
Per ogni politica di gruppo di sicurezza comune, vengono forniti AWS Firewall Manager uno o più gruppi di sicurezza primari:
+ I gruppi di sicurezza primari devono essere creati dall'account amministratore di Firewall Manager e possono risiedere in qualsiasi istanza Amazon VPC dell'account.
+ Gestisci i tuoi gruppi di sicurezza principali tramite Amazon Virtual Private Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon EC2) Elastic Compute Cloud (Amazon EC2). Per informazioni, consulta [Working with Security Groups](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) nella *Amazon VPC User Guide*.
+ È possibile nominare uno o più gruppi di sicurezza come primari per una politica di gruppo di sicurezza di Firewall Manager. Per impostazione predefinita, il numero di gruppi di sicurezza consentiti in una policy è uno, ma è possibile inviare una richiesta per aumentarlo. Per informazioni, consulta [AWS Firewall Manager quote](fms-limits.md).
**Impostazioni delle regole dei criteri**
È possibile scegliere uno o più dei seguenti comportamenti di controllo delle modifiche per i gruppi di sicurezza e le risorse della politica comune dei gruppi di sicurezza:
+ Identifica e segnala eventuali modifiche apportate dagli utenti locali alla replica dei gruppi di sicurezza.
+ Dissocia gli altri gruppi di sicurezza dalle AWS risorse che rientrano nell'ambito della policy.
+ Distribuisci i tag dal gruppo primario ai gruppi di sicurezza di replica.
**Importante**
Firewall Manager non distribuirà i tag di sistema aggiunti dai AWS servizi nei gruppi di sicurezza delle repliche. I tag di sistema iniziano con il prefisso `aws:`. Inoltre, Firewall Manager non aggiornerà i tag dei gruppi di sicurezza esistenti né creerà nuovi gruppi di sicurezza se la policy contiene tag che sono in conflitto con la politica dei tag dell'organizzazione. Per informazioni sulle politiche relative ai tag, consulta [le politiche relative ai tag](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) nella Guida AWS Organizations per l'utente.
+ Distribuisci i riferimenti ai gruppi di sicurezza dal gruppo primario ai gruppi di sicurezza di replica.
Ciò consente di stabilire facilmente regole di riferimento comuni ai gruppi di sicurezza su tutte le risorse pertinenti alle istanze associate al VPC del gruppo di sicurezza specificato. Quando abiliti questa opzione, Firewall Manager propaga i riferimenti ai gruppi di sicurezza solo se i gruppi di sicurezza fanno riferimento a gruppi di sicurezza peer in Amazon Virtual Private Cloud. Se i gruppi di sicurezza di replica non fanno correttamente riferimento al gruppo di sicurezza peer, Firewall Manager contrassegna questi gruppi di sicurezza replicati come non conformi. Per informazioni su come fare riferimento ai gruppi di sicurezza peer in Amazon VPC, [consulta Aggiorna i tuoi gruppi di sicurezza per fare riferimento ai gruppi di sicurezza peer](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html) nella [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/peering/) Peering Guide.
Se non si abilita questa opzione, Firewall Manager non propaga i riferimenti ai gruppi di sicurezza di replica ai gruppi di sicurezza di replica. [Per informazioni sul peering VPC in Amazon VPC, consulta la Amazon VPC Peering Guide.](https://docs.aws.amazon.com/vpc/latest/peering/)
**Creazione e gestione delle politiche**
Quando crei una policy comune per i gruppi di sicurezza, Firewall Manager replica i gruppi di sicurezza primari su ogni istanza Amazon VPC nell'ambito della policy e associa i gruppi di sicurezza replicati agli account e alle risorse che rientrano nell'ambito della policy. Quando si modifica un gruppo di sicurezza primario, Firewall Manager propaga la modifica alle repliche.
Quando si elimina un criterio di gruppo di protezione comune, è possibile scegliere se pulire le risorse create dal criterio. Per i gruppi di sicurezza comuni di Firewall Manager, queste risorse sono i gruppi di sicurezza delle repliche. Scegliere l'opzione di pulitura a meno che non si desideri gestire manualmente ogni singola replica dopo l'eliminazione del criterio. Per la maggior parte delle situazioni, scegliere l'opzione di pulizia è l'approccio più semplice.
**Come vengono gestite le repliche**
I gruppi di sicurezza di replica nelle istanze Amazon VPC sono gestiti come gli altri gruppi di sicurezza Amazon VPC. Per informazioni, consulta [Security Groups for Your VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) nella Amazon *VPC* User Guide.
# Utilizzo delle politiche dei gruppi di sicurezza per il controllo dei contenuti con Firewall Manager
Questa pagina spiega come funzionano le policy dei gruppi di sicurezza per il controllo dei contenuti di Firewall Manager.
Utilizza le policy dei gruppi di sicurezza di AWS Firewall Manager Content Audit per controllare e applicare le relative azioni alle regole in uso nei gruppi di sicurezza dell'organizzazione. Le politiche dei gruppi di sicurezza per il controllo dei contenuti si applicano a tutti i gruppi di sicurezza creati dai clienti e utilizzati nell' AWS organizzazione, in base all'ambito definito nella politica.
Per indicazioni sulla creazione di una policy di gruppo di sicurezza per il controllo dei contenuti tramite la console, consulta. [Creazione di una policy di gruppo di sicurezza di controllo del contenuto](create-policy.md#creating-firewall-manager-policy-audit-security-group)
**Tipo di risorsa ambito criteri**
È possibile applicare le policy di gruppo di Content Audit Security ai seguenti tipi di risorse:
+ Istanza Amazon Elastic Compute Cloud (Amazon EC2)
+ Interfaccia di rete elastica
+ Gruppo di sicurezza Amazon VPC
I gruppi di protezione vengono considerati nell'ambito del criterio se sono esplicitamente nell'ambito o se sono associati a risorse nell'ambito.
**Opzioni relative alle regole politiche**
È possibile utilizzare regole di policy gestite o regole di policy personalizzate per ogni policy di controllo dei contenuti, ma non entrambe.
+ **Regole di policy gestite**: in una policy con regole gestite, è possibile utilizzare elenchi di applicazioni e protocolli per controllare le regole che Firewall Manager controlla e contrassegna come conformi o non conformi. È possibile utilizzare elenchi gestiti da Firewall Manager. È inoltre possibile creare e utilizzare elenchi di applicazioni e protocolli personalizzati. Per informazioni su questi tipi di elenchi e sulle opzioni di gestione degli elenchi personalizzati, vedere[Utilizzo degli elenchi gestiti di Firewall Manager](working-with-managed-lists.md).
+ **Regole di policy personalizzate**: in una policy con regole di policy personalizzate, si specifica un gruppo di sicurezza esistente come gruppo di sicurezza di controllo per la policy. È possibile utilizzare le regole del gruppo di sicurezza di controllo come modello che definisce le regole che Firewall Manager controlla e contrassegna come conformi o non conformi.
**Controlla i gruppi di sicurezza**
È necessario creare gruppi di sicurezza di controllo utilizzando l'account amministratore di Firewall Manager, prima di poterli utilizzare nella politica. Puoi gestire i gruppi di sicurezza tramite Amazon Virtual Private Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon EC2) Elastic Compute Cloud (Amazon EC2). Per informazioni, consulta [Working with Security Groups](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) nella *Amazon VPC User Guide*.
Un gruppo di sicurezza utilizzato per una politica di gruppo di sicurezza di controllo dei contenuti viene utilizzato da Firewall Manager solo come riferimento di confronto per i gruppi di sicurezza che rientrano nell'ambito della politica. Firewall Manager non lo associa ad alcuna risorsa dell'organizzazione.
Il modo in cui si definiscono le regole nel gruppo di sicurezza di controllo dipende dalle scelte effettuate nelle impostazioni delle regole dei criteri:
+ **Regole dei criteri gestiti**: per le impostazioni delle regole dei criteri gestiti, si utilizza un gruppo di sicurezza di controllo per sovrascrivere le altre impostazioni della politica, per consentire o negare esplicitamente regole che altrimenti potrebbero avere un altro risultato di conformità.
+ Se si sceglie di *consentire* sempre le regole definite nel gruppo di sicurezza di controllo, qualsiasi regola che corrisponde a quella definita nel gruppo di sicurezza di controllo viene considerata *conforme alla* politica, indipendentemente dalle altre impostazioni della politica.
+ Se si sceglie di *negare* sempre le regole definite nel gruppo di sicurezza di controllo, qualsiasi regola che corrisponde a quella definita nel gruppo di sicurezza di controllo viene considerata *non conforme alla* politica, indipendentemente dalle altre impostazioni della politica.
+ **Regole dei criteri personalizzate**: per le impostazioni delle regole dei criteri personalizzate, il gruppo di sicurezza di controllo fornisce l'esempio di ciò che è accettabile o non accettabile nelle regole del gruppo di sicurezza pertinenti:
+ Se si sceglie di *consentire* l'uso delle regole, tutti i gruppi di sicurezza che rientrano nell'ambito di applicazione devono disporre solo di regole che rientrano *nell'*intervallo consentito delle regole del gruppo di sicurezza di controllo della policy. *In questo caso, le regole del gruppo di sicurezza della policy forniscono l'esempio di cosa è accettabile fare.*
+ Se si sceglie di *negare* l'uso delle regole, tutti i gruppi di sicurezza interessati devono disporre solo di regole che *non rientrano nell'*intervallo consentito delle regole del gruppo di sicurezza di controllo della policy. *In questo caso, il gruppo di sicurezza della policy fornisce l'esempio di cosa non è accettabile fare.*
**Creazione e gestione delle politiche**
Quando si crea un criterio di gruppo di sicurezza di controllo, è necessario disattivare la correzione automatica. La prassi consigliata consiste nell'esaminare gli effetti della creazione dei criteri prima di abilitare la correzione automatica. Dopo aver esaminato gli effetti previsti, è possibile modificare il criterio e abilitare la correzione automatica. Quando la riparazione automatica è abilitata, Firewall Manager aggiorna o rimuove le regole non conformi nei gruppi di sicurezza pertinenti.
**Gruppi di protezione interessati da un criterio di gruppo di sicurezza di controllo**
Tutti i gruppi di sicurezza dell'organizzazione creati dal cliente sono idonei all'ambito di un criterio di gruppo di sicurezza di controllo.
I gruppi di protezione della replica non vengono creati dal cliente e pertanto non sono idonei a rientrare direttamente nell'ambito di un criterio di gruppo di sicurezza di controllo. Tuttavia, possono essere aggiornati a seguito delle attività di correzione automatica dei criteri. Il gruppo di protezione principale di un criterio di gruppo di protezione comune è creato dal cliente e può rientrare nell'ambito di un criterio di gruppo di sicurezza di controllo. Se una politica di controllo del gruppo di sicurezza apporta modifiche a un gruppo di sicurezza primario, Firewall Manager propaga automaticamente tali modifiche alle repliche.
## Avvertenze e limitazioni per le politiche dei gruppi di sicurezza per il controllo dei contenuti
Non è possibile fare riferimento a gruppi di sicurezza peer in una policy di gruppo di sicurezza di Content Audit.
Per informazioni su altre considerazioni relative a tutti i gruppi di sicurezza di Firewall Manager, vedere[Avvertenze e limitazioni relative alle politiche dei gruppi di sicurezza](security-group-policies.md#security-groups-limitations).
# Utilizzo delle politiche dei gruppi di sicurezza per il controllo dell'utilizzo con Firewall Manager
Questa pagina spiega come funzionano le policy dei gruppi di sicurezza per il controllo dell'utilizzo di Firewall Manager.
Utilizza le policy dei gruppi di sicurezza di controllo dell' AWS Firewall Manager utilizzo per monitorare l'organizzazione alla ricerca di gruppi di sicurezza inutilizzati e ridondanti e, facoltativamente, eseguire la pulizia. Quando si abilita la riparazione automatica per questa politica, Firewall Manager esegue le seguenti operazioni:
1. Consolida i gruppi di sicurezza ridondanti, se è stata scelta questa opzione.
1. Rimuove i gruppi di sicurezza inutilizzati, se è stata scelta questa opzione.
È possibile applicare le policy dei gruppi di sicurezza per il controllo dell'utilizzo ai seguenti tipi di risorse:
+ Gruppo di sicurezza Amazon VPC
Per indicazioni sulla creazione di una politica di gruppo di sicurezza per il controllo dell'utilizzo utilizzando la console, consulta[Creazione di una policy di gruppo di sicurezza di controllo dell'utilizzo](create-policy.md#creating-firewall-manager-policy-usage-security-group).
**In che modo Firewall Manager rileva e corregge i gruppi di sicurezza ridondanti**
Affinché i gruppi di sicurezza siano considerati ridondanti, devono avere esattamente lo stesso set di regole e trovarsi nella stessa istanza Amazon VPC.
Per correggere un set di gruppi di sicurezza ridondanti, Firewall Manager seleziona uno dei gruppi di sicurezza del set da conservare, quindi lo associa a tutte le risorse associate agli altri gruppi di sicurezza del set. Firewall Manager dissocia quindi gli altri gruppi di sicurezza dalle risorse a cui erano associati, rendendoli inutilizzati.
**Nota**
Se hai scelto di rimuovere anche i gruppi di sicurezza non utilizzati, Firewall Manager esegue questa operazione. Ciò può comportare la rimozione dei gruppi di sicurezza presenti nel set ridondante.
**In che modo Firewall Manager rileva e corregge i gruppi di sicurezza inutilizzati**
Firewall Manager considera un gruppo di sicurezza inutilizzato se entrambe le seguenti condizioni sono vere:
+ Il gruppo di sicurezza non viene utilizzato da nessuna istanza di Amazon EC2 o da un'interfaccia di rete elastica di Amazon EC2.
+ Firewall Manager non ha ricevuto un elemento di configurazione relativo entro il numero di minuti specificato nel periodo di tempo della regola dei criteri.
Il periodo di tempo della regola di policy ha un'impostazione predefinita di zero minuti, ma è possibile aumentare il tempo fino a 365 giorni (525.600 minuti), per avere il tempo di associare nuovi gruppi di sicurezza alle risorse.
**Importante**
Se si specifica un numero di minuti diverso dal valore predefinito zero, è necessario abilitare le relazioni indirette in. AWS Config In caso contrario, le politiche del gruppo di sicurezza per il controllo dell'utilizzo non funzioneranno come previsto. Per informazioni sulle relazioni indirette in AWS Config, vedere [Relazioni indirette AWS Config nella](https://docs.aws.amazon.com/config/latest/developerguide/faq.html#faq-2) *Guida per gli AWS Config sviluppatori*.
Firewall Manager corregge i gruppi di sicurezza inutilizzati eliminandoli dall'account in base alle impostazioni delle regole, se possibile. Se Firewall Manager non è in grado di eliminare un gruppo di sicurezza, lo contrassegna come non conforme alla policy. Firewall Manager non può eliminare un gruppo di sicurezza a cui fa riferimento un altro gruppo di sicurezza.
La tempistica della riparazione varia a seconda che si utilizzi l'impostazione del periodo di tempo predefinita o un'impostazione personalizzata:
+ **Periodo di tempo impostato su zero, l'impostazione predefinita**: con questa impostazione, un gruppo di sicurezza viene considerato inutilizzato non appena non viene utilizzato da un'istanza Amazon EC2 o da un'interfaccia di rete elastica.
Per questa impostazione del periodo di tempo zero, Firewall Manager corregge immediatamente il gruppo di sicurezza.
+ **Periodo di tempo maggiore di zero**: con questa impostazione, un gruppo di sicurezza viene considerato inutilizzato quando non viene utilizzato da un'istanza Amazon EC2 o da un'interfaccia di rete elastica e Firewall Manager non ha ricevuto un elemento di configurazione per esso entro il numero di minuti specificato.
Per l'impostazione del periodo di tempo diverso da zero, Firewall Manager corregge il gruppo di sicurezza dopo che è rimasto nello stato inutilizzato per 24 ore.
**Specificazioni account predefinite**
Quando si crea una policy di gruppo di sicurezza per il controllo dell'utilizzo tramite la console, Firewall Manager sceglie automaticamente **Escludi gli account specificati e includi tutti gli altri**. Il servizio inserisce quindi l'account amministratore di Firewall Manager nell'elenco da escludere. Questo è l'approccio consigliato e consente di gestire manualmente i gruppi di sicurezza che appartengono all'account amministratore di Firewall Manager.
# Utilizzo delle policy della lista di controllo degli accessi alla rete (ACL) di Amazon VPC con Firewall Manager
Questa sezione spiega come funzionano le politiche ACL di AWS Firewall Manager rete e fornisce indicazioni per il loro utilizzo. Per indicazioni sulla creazione di una politica ACL di rete utilizzando la console, vedere. [Creazione di una politica ACL di rete](create-policy.md#creating-firewall-manager-policy-network-acl)
Per informazioni sulle liste di controllo degli accessi alla rete Amazon VPC (ACLs), consulta [Controllare il traffico verso le sottoreti utilizzando la rete nella ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) Amazon *VPC* User Guide.
Puoi utilizzare le policy ACL di rete Firewall Manager per gestire le liste di controllo degli accessi alla rete di Amazon Virtual Private Cloud (Amazon VPC) ACLs () per la tua organizzazione in. AWS Organizations Sei tu a definire le impostazioni delle regole ACL di rete della policy e gli account e le sottoreti in cui desideri che tali impostazioni vengano applicate. Firewall Manager applica continuamente le impostazioni delle policy agli account e alle sottoreti man mano che vengono aggiunti o aggiornati all'interno dell'organizzazione. Per informazioni sull'ambito delle politiche e AWS Organizations, consulta [Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md) la Guida per l'[AWS Organizations utente](https://docs.aws.amazon.com/organizations/latest/userguide/).
Quando si definisce un criterio ACL di rete di Firewall Manager, oltre alle impostazioni standard dei criteri di Firewall Manager, come nome e ambito, si fornisce quanto segue:
+ Prima e ultima regola per la gestione del traffico in entrata e in uscita. Firewall Manager impone la presenza e l'ordinamento nella rete di questi elementi ACLs che rientrano nell'ambito della policy o segnala eventuali non conformità. I singoli account possono creare regole personalizzate da applicare tra la prima e l'ultima regola della policy.
+ Se forzare la riparazione quando la riparazione comporterebbe conflitti di gestione del traffico tra le regole dell'ACL di rete. Ciò si applica solo quando la correzione è abilitata per la politica.
## Procedure consigliate per l'utilizzo delle politiche ACL di rete Firewall Manager
Questa sezione elenca i consigli per l'utilizzo delle politiche ACL di rete e della rete ACLs gestita di Firewall Manager.
**Fare riferimento al `FMManaged` tag per identificare le ACLs reti gestite da Firewall Manager**
Il `FMManaged` tag ACLs è impostato su sulla rete gestita da Firewall Manager`true`. Usa questo tag per distinguere la tua rete personalizzata ACLs da quelle gestite tramite Firewall Manager.
**Non modificare il valore del `FMManaged` tag su un ACL di rete**
Firewall Manager utilizza questo tag per impostare e determinare lo stato di gestione con un ACL di rete.
**Non modificare le associazioni per le sottoreti che dispongono di una rete gestita da Firewall Manager ACLs**
Non modificare manualmente le associazioni tra le sottoreti e le reti ACLs gestite da Firewall Manager. In questo modo è possibile disabilitare la capacità di Firewall Manager di gestire le protezioni per tali sottoreti. È possibile identificare le ACLs reti gestite da Firewall Manager cercando le impostazioni dei `FMManaged` tag di`true`.
Per rimuovere una sottorete dalla gestione delle policy di Firewall Manager, utilizzare le impostazioni dell'ambito dei criteri di Firewall Manager per escludere la sottorete. Ad esempio, è possibile etichettare la sottorete e quindi escludere tale tag dall'ambito delle politiche. Per ulteriori informazioni, consulta [Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
**Quando aggiorni un ACL di rete gestita, non modificare le regole gestite da Firewall Manager**
In un ACL di rete gestito da Firewall Manager, mantieni le regole personalizzate separate dalle regole dei criteri aderendo allo schema di numerazione descritto in. [Utilizzo delle regole ACL di rete e dei tag in Firewall Manager](network-acls-fms-managed.md) Aggiungi o modifica solo regole con numeri compresi tra 5.000 e 32.000.
**Evita di aggiungere troppe regole per i limiti del tuo account**
Durante la riparazione di un ACL di rete, Firewall Manager di solito aumenta temporaneamente il numero di regole ACL di rete. Per evitare problemi di non conformità, assicurati di avere abbastanza spazio per le regole che stai utilizzando. Per ulteriori informazioni, consulta [In che modo Firewall Manager corregge una rete gestita non conforme ACLs](network-acls-remediation.md).
**Avvio con la correzione automatica disabilitata**
Inizia con la riparazione automatica disattivata, quindi esamina le informazioni dettagliate sulla politica per determinare gli effetti che avrebbe la riparazione automatica. Quando si è certi che le modifiche sono ciò che si desidera, modificare il criterio per abilitare la correzione automatica.
## Avvertenze sulla politica ACL di rete Firewall Manager
Questa sezione elenca gli avvertimenti e le limitazioni per l'utilizzo delle politiche ACL di rete di Firewall Manager.
+ **Tempi di aggiornamento più lenti rispetto ad altre politiche**: Firewall Manager generalmente applica le politiche ACL di rete e le modifiche alle politiche più lentamente rispetto ad altre politiche di Firewall Manager, a causa delle limitazioni nella velocità con cui l'ACL della EC2 rete Amazon è in grado di APIs elaborare le richieste. Potresti notare che le modifiche ai criteri richiedono più tempo rispetto a modifiche simili con altre politiche di Firewall Manager, in particolare quando aggiungi una politica per la prima volta.
+ **Per la protezione iniziale delle sottoreti, Firewall Manager preferisce le policy più vecchie**: questo vale solo per le sottoreti che non sono ancora protette da una politica ACL di rete Firewall Manager. Se una sottorete rientra nell'ambito di più di una politica ACL di rete contemporaneamente, Firewall Manager utilizza la politica più vecchia per proteggere la sottorete.
+ **Motivi per cui una politica smette di proteggere una sottorete: una politica che gestisce l'ACL di rete per una sottorete mantiene la gestione fino** a quando non si verifica una delle seguenti condizioni:
+ La sottorete non rientra nell'ambito della policy.
+ La policy viene eliminata.
+ È possibile modificare manualmente l'associazione della sottorete in un ACL di rete gestito da una politica di Firewall Manager diversa e per il quale la sottorete rientra nell'ambito.
**Topics**
+ [
## Procedure consigliate per l'utilizzo delle politiche ACL di rete Firewall Manager
](#network-acls-best-practice)
+ [
## Avvertenze sulla politica ACL di rete Firewall Manager
](#network-acls-caveats)
+ [
# Utilizzo delle regole ACL di rete e dei tag in Firewall Manager
](network-acls-fms-managed.md)
+ [
# In che modo Firewall Manager avvia la gestione degli ACL di rete per una sottorete
](network-acls-initialization.md)
+ [
# In che modo Firewall Manager corregge una rete gestita non conforme ACLs
](network-acls-remediation.md)
+ [
# Eliminazione di un criterio ACL di rete Firewall Manager
](network-acls-deletion.md)
# Utilizzo delle regole ACL di rete e dei tag in Firewall Manager
Questa sezione descrive le specifiche delle regole dei criteri ACL di rete e la rete ACLs gestita da Firewall Manager.
**Etichettatura su una rete gestita (ACL)**
Firewall Manager contrassegna un ACL di rete gestita con un `FMManaged` tag con un valore di`true`. Firewall Manager esegue la correzione solo sulle reti ACLs con questa impostazione di tag.
**Regole definite nella politica**
Nella specifica della politica ACL di rete, si definiscono le regole che si desidera eseguire per prime e ultime per il traffico in entrata e le regole che si desidera eseguire per prime e ultime per il traffico in uscita.
Per impostazione predefinita, puoi definire fino a 5 regole in entrata, da utilizzare in qualsiasi combinazione della prima e dell'ultima regola della policy. Allo stesso modo, è possibile definire fino a 5 regole in uscita. Per ulteriori informazioni su questi limiti, consulta[Quote flessibili](fms-limits.md#fms-limits-mutable). Per informazioni sui limiti generali sulla rete ACLs, consulta le [quote di Amazon VPC sulla rete ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls) nella Amazon *VPC* User Guide.
Non si assegnano numeri di regole alle regole della policy. Al contrario, si specificano le regole nell'ordine in cui si desidera che vengano valutate e Firewall Manager utilizza tale ordinamento per assegnare i numeri delle regole nella rete ACLs che gestisce.
Oltre a ciò, gestisci le specifiche delle regole ACL di rete della policy come gestiresti le regole in un ACL di rete tramite Amazon VPC. Per informazioni sulla gestione degli ACL di rete in Amazon VPC, [consulta Controllare il traffico verso le sottoreti utilizzando](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) la ACLs rete [e Lavorare con ACLs la rete](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) nella **Amazon** VPC User Guide.
**Regole in una rete gestita (ACL)**
Firewall Manager configura le regole in un ACL di rete che gestisce inserendo la prima e l'ultima regola della policy prima e dopo qualsiasi regola personalizzata definita da un singolo account manager. Firewall Manager mantiene l'ordine delle regole personalizzate. ACLs Le reti vengono valutate a partire dalla regola con il numero più basso.
Quando Firewall Manager crea per la prima volta un ACL di rete, definisce le regole con la seguente numerazione:
+ **Prime regole: 1, 2,...** — Definito dall'utente nella politica ACL di rete Firewall Manager.
Firewall Manager assegna i numeri alle regole a partire da 1 con incrementi di 1, con le regole ordinate come le hai ordinate nelle specifiche della policy.
+ **Regole personalizzate: 5.000, 5.100,...** — Gestito da singoli account manager tramite Amazon VPC.
Firewall Manager assegna numeri a queste regole a partire da 5.000 e incrementando di 100 per ogni regola successiva.
+ **Ultime regole:... 32.765, 32.766**: definito dall'utente nella politica ACL di rete Firewall Manager.
Firewall Manager assegna numeri di regole che terminano con il numero più alto possibile, 32766 con incrementi di 1, con le regole ordinate come le hai ordinate nelle specifiche della policy.
Dopo l'inizializzazione dell'ACL di rete, Firewall Manager non controlla le modifiche apportate dai singoli account nella rete gestita. ACLs I singoli account possono modificare un ACL di rete senza comprometterne la conformità, a condizione che le regole personalizzate rimangano numerate tra la prima e l'ultima regola della politica e che la prima e l'ultima regola mantengano l'ordine specificato. Come procedura ottimale, per la gestione delle regole personalizzate, attenersi alla numerazione descritta in questa sezione.
# In che modo Firewall Manager avvia la gestione degli ACL di rete per una sottorete
Questa sezione descrive come Firewall Manager avvia la gestione ACL di rete per una sottorete.
Firewall Manager inizia la gestione dell'ACL di rete per una sottorete quando associa la sottorete a un ACL di rete che Firewall Manager ha creato e impostato su. `FMManaged` `true`
La conformità a una politica ACL di rete richiede che l'ACL di rete della sottorete abbia le prime regole della policy posizionate per prime, nell'ordine specificato nella policy, le ultime regole posizionate per ultime nell'ordine e tutte le altre regole personalizzate posizionate al centro. Questi requisiti possono essere soddisfatti da un ACL di rete non gestito a cui la sottorete è già associata o da un ACL di rete gestita.
Quando Firewall Manager applica una politica ACL di rete a una sottorete associata a un ACL di rete non gestito, Firewall Manager controlla quanto segue nell'ordine, interrompendo quando identifica un'opzione valida:
1. **L'ACL di rete associato è già conforme**: se l'ACL di rete attualmente associato alla sottorete è conforme, Firewall Manager mantiene tale associazione e non avvia la gestione degli ACL di rete per la sottorete.
Firewall Manager non modifica né gestisce in altro modo un ACL di rete di cui non è proprietario, ma finché è conforme, Firewall Manager lo lascia in vigore e si limita a monitorarlo per verificarne la conformità alle policy.
1. **È disponibile un ACL di rete gestita conforme**: se Firewall Manager gestisce già un ACL di rete conforme alla configurazione richiesta, questa è un'opzione. Se la riparazione è abilitata, Firewall Manager associa la sottorete ad essa. Se la riparazione è disabilitata, Firewall Manager contrassegna la sottorete come non conforme e offre la sostituzione dell'associazione ACL di rete come opzione di riparazione.
1. **Crea un nuovo ACL di rete gestita conforme**: se la correzione è abilitata, Firewall Manager crea un nuovo ACL di rete e lo associa alla sottorete. In caso contrario, Firewall Manager contrassegna la sottorete come non conforme e offre le opzioni di correzione relative alla creazione del nuovo ACL di rete e alla sostituzione dell'associazione ACL di rete.
Se questi passaggi falliscono, Firewall Manager segnala la non conformità per la sottorete.
Firewall Manager segue questi passaggi quando una sottorete entra per la prima volta nell'ambito e quando l'ACL di rete non gestita di una sottorete non è conforme.
# In che modo Firewall Manager corregge una rete gestita non conforme ACLs
Questa sezione descrive come Firewall Manager corregge la rete gestita ACLs quando non è conforme alla policy. Firewall Manager corregge solo la rete gestita ACLs, con il `FMManaged` tag impostato su. `true` Per le reti ACLs che non sono gestite da Firewall Manager, vedere[Gestione iniziale degli ACL di rete](network-acls-initialization.md).
La riparazione ripristina le posizioni relative della prima, della regola personalizzata e dell'ultima regola e ripristina l'ordine della prima e dell'ultima regola. Durante la riparazione, Firewall Manager non sposterà necessariamente le regole sui numeri di regola utilizzati nell'inizializzazione dell'ACL di rete. Per le impostazioni iniziali dei numeri e le descrizioni di queste categorie di regole, vedere. [Gestione iniziale degli ACL di rete](network-acls-initialization.md)
Per stabilire regole e ordinamento conformi, Firewall Manager potrebbe dover spostare le regole all'interno dell'ACL di rete. Per quanto possibile, Firewall Manager preserva le protezioni dell'ACL di rete mantenendo l'ordine delle regole conforme esistente a tale scopo. Ad esempio, potrebbe duplicare temporaneamente le regole in nuove posizioni e quindi eseguire una rimozione ordinata delle regole originali, preservando le posizioni relative durante il processo.
Questo approccio protegge le impostazioni, ma richiede anche spazio nell'ACL di rete per le regole provvisorie. Se Firewall Manager raggiunge il limite per le regole in un ACL di rete, interromperà la riparazione. In questo caso, l'ACL di rete non è conforme e Firewall Manager ne segnala il motivo.
Se un account aggiunge regole personalizzate a un ACL di rete gestito da Firewall Manager e tali regole interferiscono con la riparazione di Firewall Manager, Firewall Manager interrompe qualsiasi attività di riparazione sull'ACL di rete e segnala il conflitto.
**Riparazione forzata**
Se si sceglie la riparazione automatica per la politica, si specifica anche se forzare la riparazione per le prime o le ultime regole.
Quando Firewall Manager rileva un conflitto nella gestione del traffico tra una regola personalizzata e una regola di policy, fa riferimento alla corrispondente impostazione di riparazione forzata. Se la riparazione forzata è abilitata, Firewall Manager applica la riparazione, nonostante il conflitto. Se questa opzione non è abilitata, Firewall Manager interrompe la riparazione. In entrambi i casi, Firewall Manager segnala il conflitto di regole e offre opzioni di correzione.
**Requisiti e limiti relativi al numero di regole**
Durante la riparazione, Firewall Manager potrebbe duplicare temporaneamente le regole per spostarle senza alterare le protezioni fornite.
Per le regole in entrata o in uscita, il maggior numero di regole che Firewall Manager potrebbe richiedere per eseguire la correzione è il seguente:
```
2 * (the number of rules defined in the policy for the traffic direction)
+
the number of custom rules defined in the network ACL for the traffic direction
```
Le politiche ACL di rete ACLs e di rete sono vincolate da limiti di regole modificabili. Se Firewall Manager raggiunge un limite nelle sue attività di riparazione, interrompe i tentativi di correzione e segnala la non conformità.
Per fare spazio a Firewall Manager per svolgere le proprie attività di riparazione, è possibile richiedere un aumento del limite. In alternativa, è possibile modificare la configurazione nella policy o nell'ACL di rete per ridurre il numero di regole utilizzate.
Per informazioni sui limiti ACL di rete, consulta le [quote di Amazon VPC sulla](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls) rete ACLs nella *Amazon VPC* User Guide.
**Quando la riparazione fallisce**
Durante l'aggiornamento di un ACL di rete, se Firewall Manager deve interrompersi per qualsiasi motivo, non ripristina le modifiche, ma lascia l'ACL di rete in uno stato provvisorio. Se vedi regole duplicate in un ACL di rete con il `FMManaged` tag impostato su`true`, Firewall Manager è probabilmente in procinto di porvi rimedio. Le modifiche potrebbero essere parzialmente complete per un periodo, ma grazie all'approccio adottato da Firewall Manager per la riparazione, questa non interromperà il traffico né ridurrà la protezione delle sottoreti associate.
Quando Firewall Manager non corregge completamente le reti ACLs che non sono conformi, segnala la non conformità per le sottoreti associate e suggerisce possibili opzioni di riparazione.
**Un nuovo tentativo dopo un errore di riparazione**
Nella maggior parte dei casi, se Firewall Manager non riesce a completare le modifiche correttive a un ACL di rete, alla fine riproverà a eseguire la modifica.
L'eccezione si verifica quando la riparazione raggiunge il limite di conteggio delle regole ACL di rete o il limite di conteggio ACL della rete VPC. Firewall Manager non è in grado di eseguire attività di riparazione che richiedono AWS risorse oltre i limiti impostati. In questi casi, è necessario ridurre i conteggi o aumentare i limiti per procedere. Per informazioni sui limiti, consulta le [quote di Amazon VPC sulla rete ACLs nella](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls) Amazon *VPC* User Guide.
## Segnalazione della conformità ACL di rete Firewall Manager
Firewall Manager monitora e segnala la conformità per tutte le reti ACLs collegate alle sottoreti interne all'ambito.
In generale, la non conformità si verifica in situazioni quali un ordine errato delle regole o un conflitto nel comportamento di gestione del traffico tra regole politiche e regole personalizzate. La segnalazione di non conformità include le violazioni della conformità e le opzioni di riparazione.
Firewall Manager segnala le violazioni della conformità per una politica ACL di rete allo stesso modo degli altri tipi di policy. Per informazioni sulla segnalazione della conformità, vedere[Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica](fms-compliance.md).
**Non conformità durante gli aggiornamenti delle politiche**
Dopo aver modificato una politica ACL di rete, fino a quando Firewall Manager non aggiorna la rete ACLs che rientra nell'ambito della politica, Firewall Manager contrassegna tale rete come ACLs non conforme. Firewall Manager esegue questa operazione anche se la rete ACLs potrebbe, a rigor di termini, essere conforme.
Ad esempio, se si rimuovono le regole dalle specifiche delle policy, mentre la rete inscope dispone ACLs ancora di regole aggiuntive, le relative definizioni delle regole potrebbero comunque essere conformi alla policy. Tuttavia, poiché le regole aggiuntive fanno parte delle regole gestite da Firewall Manager, Firewall Manager le considera violazioni delle impostazioni dei criteri correnti. Questo è diverso dal modo in cui Firewall Manager visualizza le regole personalizzate aggiunte alla rete gestita di Firewall Manager ACLs.
# Eliminazione di un criterio ACL di rete Firewall Manager
Questa sezione descrive cosa succede in Firewall Manager quando si elimina una politica ACL di rete di Firewall Manager.
Quando si elimina una policy ACL di rete Firewall Manager, Firewall Manager modifica i valori dei `FMManaged` tag `false` impostandoli su tutte ACLs le reti gestite per la policy.
Inoltre, è possibile scegliere se ripulire le risorse create dalla policy. Se si sceglie la disinfezione, Firewall Manager prova i seguenti passaggi nell'ordine:
1. **Ripristina l'associazione all'originale**: Firewall Manager tenta di associare nuovamente la sottorete all'ACL di rete a cui era associata prima che Firewall Manager iniziasse a gestirla.
1. **Rimuovi la prima e l'ultima regola dall'ACL di rete**: se non riesce a modificare l'associazione, Firewall Manager tenta di rimuovere la prima e l'ultima regola della politica, lasciando solo le regole personalizzate nell'ACL di rete associato alla sottorete.
1. **Non modificare le regole o l'associazione**: se non è in grado di eseguire nessuna delle operazioni precedenti, Firewall Manager lascia l'ACL di rete e la relativa associazione così come sono.
Se non scegli l'opzione di pulizia, dovrai gestire manualmente ogni ACL di rete dopo l'eliminazione della policy. Per la maggior parte delle situazioni, scegliere l'opzione di pulizia è l'approccio più semplice.
# Utilizzo AWS Network Firewall delle politiche in Firewall Manager
Questa sezione spiega come utilizzare AWS Network Firewall le policy con Firewall Manager.
Puoi utilizzare *le policy AWS Firewall Manager * Network Firewall per gestire i AWS Network Firewall *firewall* per il tuo Amazon Virtual Private Cloud *VPCs*in tutta *l'organizzazione* in AWS Organizations. Puoi applicare firewall controllati centralmente all'intera organizzazione o a un sottoinsieme selezionato di account e. VPCs
Network Firewall fornisce protezioni di filtraggio del traffico di rete per le sottoreti pubbliche del tuo. VPCs Firewall Manager crea e gestisce i firewall in base al *tipo di gestione del firewall* definito dalla policy. Firewall Manager fornisce i seguenti modelli di gestione del firewall:
+ **Distribuito**: per ogni account e VPC che rientra nell'ambito delle policy, Firewall Manager crea un firewall Network Firewall e distribuisce gli endpoint firewall nelle sottoreti VPC, per filtrare il traffico di rete.
+ **Centralizzato**: Firewall Manager crea un unico firewall Network Firewall in un unico Amazon VPC.
+ **Importa firewall esistenti: Firewall Manager importa i** firewall esistenti per la gestione in un'unica politica di Firewall Manager. Puoi applicare regole aggiuntive ai firewall importati gestiti dalla tua politica per garantire che i firewall soddisfino gli standard di sicurezza.
**Nota**
Le politiche Firewall di rete di Firewall Manager sono politiche di Firewall Manager utilizzate per gestire le protezioni dei firewall di rete per VPCs tutta l'organizzazione.
Le protezioni Network Firewall sono specificate nelle risorse del servizio Network Firewall denominate politiche firewall.
Per informazioni sull'utilizzo di Network Firewall, consulta la [Guida per AWS Network Firewall gli sviluppatori](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html).
Le sezioni seguenti illustrano i requisiti per l'utilizzo delle politiche Firewall di Firewall Manager Network e ne descrivono il funzionamento. Per la procedura di creazione della policy, vedere[Creazione di una AWS Firewall Manager politica per AWS Network Firewall](create-policy.md#creating-firewall-manager-policy-for-network-firewall).
**Importante**
**È necessario abilitare la condivisione delle risorse.** Una policy Network Firewall condivide i gruppi di regole del Network Firewall tra gli account dell'organizzazione. Affinché funzioni, è necessario che la condivisione delle risorse sia abilitata per AWS Organizations. Per informazioni su come abilitare la condivisione delle risorse, vedere[Condivisione delle risorse per le politiche Network Firewall e DNS Firewall](resource-sharing.md).
**Importante**
**È necessario che i gruppi di regole del Network Firewall siano definiti.** Quando si specifica una nuova policy Network Firewall, la si definisce nello stesso modo in cui si definisce quando si utilizza AWS Network Firewall direttamente. È possibile specificare i gruppi di regole stateless da aggiungere, le azioni stateless predefinite e i gruppi di regole stateless. I gruppi di regole devono già esistere nell'account amministratore di Firewall Manager per poterli includere nella policy. Per informazioni sulla creazione di gruppi di regole Network Firewall, vedere [gruppi di AWS Network Firewall regole](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html).
**Topics**
+ [
# In che modo Firewall Manager crea endpoint firewall
](fms-create-firewall-endpoints.md)
+ [
# In che modo Firewall Manager gestisce le sottoreti del firewall
](fms-manage-firewall-subnets.md)
+ [
# Come Firewall Manager gestisce le risorse del Network Firewall
](fms-manage-network-firewall.md)
+ [
# In che modo Firewall Manager gestisce e monitora le tabelle di routing VPC per la tua policy
](fms-manage-vpc-route-tables.md)
+ [
# Configurazione della registrazione per una politica AWS Network Firewall
](nwfw-policies-logging-config.md)
# In che modo Firewall Manager crea endpoint firewall
Questa sezione spiega come Firewall Manager crea endpoint firewall.
Il *tipo di gestione del firewall* nella politica determina il modo in cui Firewall Manager crea i firewall. La tua policy può creare firewall *distribuiti*, un firewall *centralizzato* oppure puoi **importare** firewall esistenti:
+ **Distribuito**: con il modello di distribuzione distribuito, Firewall Manager crea endpoint per ogni VPC che rientra nell'ambito delle policy. È possibile personalizzare la posizione degli endpoint specificando in quali zone di disponibilità creare gli endpoint firewall oppure Firewall Manager può creare automaticamente gli endpoint nelle zone di disponibilità con sottoreti pubbliche. Se scegli manualmente le zone di disponibilità, hai la possibilità di limitare il set di zone di disponibilità consentite per zona di disponibilità. CIDRs Se decidi di consentire a Firewall Manager di creare automaticamente gli endpoint, devi anche specificare se il servizio creerà un singolo endpoint o più endpoint firewall all'interno del tuo. VPCs
+ Per più endpoint firewall, Firewall Manager implementa un endpoint firewall in ogni zona di disponibilità in cui è presente una sottorete con un gateway Internet o una route di endpoint firewall creata da Firewall Manager nella tabella di routing. Questa è l'opzione predefinita per una politica Network Firewall.
+ Per un singolo endpoint firewall, Firewall Manager implementa un endpoint firewall in una singola zona di disponibilità in qualsiasi sottorete dotata di una route gateway Internet. Con questa opzione, il traffico in altre zone deve attraversare i confini delle zone per essere filtrato dal firewall.
**Nota**
Per entrambe queste opzioni, deve esserci una sottorete associata a una tabella di route contenente una route IPv4 /prefixlist. Firewall Manager non verifica la presenza di altre risorse.
+ **Centralizzato***: con il modello di distribuzione centralizzato, Firewall Manager crea uno o più endpoint firewall all'interno di un VPC di ispezione.* Un VPC di ispezione è un VPC centrale in cui Firewall Manager avvia gli endpoint. Quando si utilizza il modello di distribuzione centralizzato, si specifica anche in quali zone di disponibilità creare gli endpoint del firewall. Non puoi modificare il VPC di ispezione dopo aver creato la tua politica. Per utilizzare un VPC di ispezione diverso, è necessario creare una nuova politica.
+ **Importa firewall esistenti**: quando importi firewall esistenti, scegli i firewall da gestire nella tua politica aggiungendo uno o più *set di risorse* alla tua politica. Un set di risorse è una raccolta di risorse, in questo caso firewall esistenti in Network Firewall, gestite da un account dell'organizzazione. Prima di utilizzare i set di risorse nella politica, è necessario innanzitutto creare un set di risorse. Per informazioni sui set di risorse di Firewall Manager, vedere[Raggruppamento delle risorse in Firewall Manager](fms-resource-sets.md).
Tieni presente le seguenti considerazioni quando lavori con firewall importati:
+ Se un firewall importato diventa non conforme, Firewall Manager tenterà di risolvere automaticamente la violazione, tranne nelle seguenti circostanze:
+ Se c'è una discrepanza tra le azioni predefinite stateful o stateless della policy Firewall Manager e Network Firewall.
+ Se un gruppo di regole nella politica firewall di un firewall importato ha la stessa priorità di un gruppo di regole nella politica di Firewall Manager.
+ Se un firewall importato utilizza una politica firewall associata a un firewall che non fa parte del set di risorse della policy. Ciò può accadere perché un firewall può avere esattamente una politica firewall, ma una singola politica firewall può essere associata a più firewall.
+ Se a un gruppo di regole preesistente appartenente alla politica firewall di un firewall importato, specificata anche nella politica di Firewall Manager, viene assegnata una priorità diversa.
+ Se si abilita la pulizia delle risorse nella politica, Firewall Manager rimuove i gruppi di regole inclusi nella politica di importazione FMS dai firewall nell'ambito del set di risorse.
+ I firewall gestiti da Firewall Manager che importano un tipo di gestione firewall esistente possono essere gestiti solo da una policy alla volta. Se lo stesso set di risorse viene aggiunto a più policy firewall di rete di importazione, i firewall del set di risorse verranno gestiti in base alla prima policy a cui è stato aggiunto il set di risorse e ignorati dalla seconda politica.
+ Firewall Manager attualmente non trasmette in streaming le configurazioni dei criteri di eccezione. Per informazioni sulle politiche relative alle eccezioni di flusso, consulta la sezione [Politica delle eccezioni di flusso](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-settings.html#:~:text=Stream%20exception%20policy) nella *Guida per gli AWS Network Firewall sviluppatori*.
+ L'importazione di firewall esistenti non supporta l'importazione di firewall collegati al gateway Transit.
Se si modifica l'elenco delle zone di disponibilità per le politiche che utilizzano la gestione distribuita o centralizzata del firewall, Firewall Manager tenterà di ripulire tutti gli endpoint creati in passato, ma che attualmente non rientrano nell'ambito delle policy. Firewall Manager rimuoverà l'endpoint solo se non ci sono route della tabella di routing che fanno riferimento all'endpoint fuori ambito. Se Firewall Manager rileva di non essere in grado di eliminare questi endpoint, contrassegnerà la sottorete del firewall come non conforme e continuerà a tentare di rimuovere l'endpoint fino a quando l'eliminazione non sarà sicura.
# In che modo Firewall Manager gestisce le sottoreti del firewall
Questa sezione spiega come Firewall Manager gestisce le sottoreti del firewall.
Le sottoreti firewall sono le sottoreti VPC create da Firewall Manager per gli endpoint firewall che filtrano il traffico di rete. Ogni endpoint firewall deve essere distribuito in una sottorete VPC dedicata. Firewall Manager crea almeno una sottorete firewall in ogni VPC che rientra nell'ambito della policy.
Per le politiche che utilizzano il modello di distribuzione distribuito con configurazione automatica degli endpoint, Firewall Manager crea solo sottoreti firewall nelle zone di disponibilità che dispongono di una sottorete con un percorso gateway Internet o una sottorete con un percorso verso gli endpoint firewall creati da Firewall Manager per la loro politica. Per ulteriori informazioni, consulta [VPCs e sottoreti](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-subnet-basics) nella Amazon *VPC* User Guide.
Per le policy che utilizzano il modello distribuito o centralizzato in cui si specifica in quali zone di disponibilità Firewall Manager crea gli endpoint firewall, Firewall Manager crea un endpoint in quelle zone di disponibilità specifiche indipendentemente dalla presenza di altre risorse nella zona di disponibilità.
Quando si definisce per la prima volta una politica Network Firewall, si specifica in che modo Firewall Manager gestisce le sottoreti del firewall in ciascuna delle aree VPCs incluse nell'ambito. Non è possibile modificare questa scelta in un secondo momento.
Per le politiche che utilizzano il modello di distribuzione distribuito con configurazione automatica degli endpoint, puoi scegliere tra le seguenti opzioni:
+ Implementa una sottorete firewall per ogni zona di disponibilità con sottoreti pubbliche. Questo è il comportamento che segue di default. Ciò garantisce un'elevata disponibilità delle protezioni di filtraggio del traffico.
+ Implementa una singola sottorete del firewall in un'unica zona di disponibilità. Con questa scelta, Firewall Manager identifica una zona del VPC con il maggior numero di sottoreti pubbliche e vi crea la sottorete firewall. L'endpoint firewall singolo filtra tutto il traffico di rete per il VPC. Ciò può ridurre i costi del firewall, ma non è altamente disponibile e richiede che il traffico proveniente da altre zone attraversi i confini delle zone per poter essere filtrato.
Per le policy che utilizzano il modello di distribuzione distribuito con configurazione personalizzata degli endpoint o il modello di distribuzione centralizzato, Firewall Manager crea le sottoreti nelle zone di disponibilità specificate che rientrano nell'ambito della policy.
È possibile fornire blocchi VPC CIDR a Firewall Manager da utilizzare per le sottoreti del firewall oppure lasciare la scelta degli indirizzi degli endpoint del firewall a Firewall Manager.
+ Se non fornisci blocchi CIDR, Firewall Manager richiede VPCs gli indirizzi IP disponibili da utilizzare.
+ Se fornisci un elenco di blocchi CIDR, Firewall Manager cerca nuove sottoreti solo nei blocchi CIDR che fornisci. È necessario utilizzare blocchi CIDR /28. Per ogni sottorete firewall creata da Firewall Manager, analizza l'elenco di blocchi CIDR e utilizza la prima che ritiene applicabile alla zona di disponibilità e al VPC e che presenta indirizzi disponibili. Se Firewall Manager non è in grado di trovare spazio aperto nel VPC (con o senza la restrizione), il servizio non creerà un firewall nel VPC.
Se Firewall Manager non è in grado di creare una sottorete firewall richiesta in una zona di disponibilità, contrassegna la sottorete come non conforme alla policy. Mentre la zona si trova in questo stato, il traffico destinato alla zona deve attraversare i confini della zona per essere filtrato da un endpoint in un'altra zona. Questo è simile allo scenario di sottorete a firewall singolo.
# Come Firewall Manager gestisce le risorse del Network Firewall
Questa sezione descrive come gestire le risorse del Network Firewall in Firewall Manager.
Quando si definisce la politica in Firewall Manager, si fornisce il comportamento di filtraggio del traffico di rete di una politica AWS Network Firewall firewall standard. Si aggiungono gruppi di regole di Network Firewall con stato e si specificano azioni predefinite per i pacchetti che non soddisfano alcuna regola stateless. [Per informazioni sull'utilizzo delle politiche del firewall in AWS Network Firewall, consulta le politiche del firewall.AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html)
Per le policy distribuite e centralizzate, quando si salva la policy Network Firewall, Firewall Manager crea una policy firewall e firewall in ogni VPC che rientra nell'ambito della policy. Firewall Manager assegna un nome a queste risorse Network Firewall concatenando i seguenti valori:
+ Una stringa fissa, `FMManagedNetworkFirewall` oppure`FMManagedNetworkFirewallPolicy`, a seconda del tipo di risorsa.
+ Nome della policy di Firewall Manager. Questo è il nome che si assegna quando si crea la policy.
+ ID della politica di Firewall Manager. Questo è l'ID della AWS risorsa per la policy Firewall Manager.
+ ID Amazon VPC. Questo è l'ID di AWS risorsa per il VPC in cui Firewall Manager crea il firewall e la policy del firewall.
Di seguito viene illustrato un esempio di nome per un firewall gestito da Firewall Manager:
```
FMManagedNetworkFirewallEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId
```
Di seguito viene illustrato un esempio di nome della politica del firewall:
```
FMManagedNetworkFirewallPolicyEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId
```
Dopo aver creato la policy, gli account dei membri non VPCs possono sovrascrivere le impostazioni delle policy firewall o i gruppi di regole, ma possono aggiungere gruppi di regole alla policy firewall creata da Firewall Manager.
# In che modo Firewall Manager gestisce e monitora le tabelle di routing VPC per la tua policy
Questa sezione spiega come Firewall Manager gestisce e monitora le tabelle di routing VPC.
**Nota**
La gestione delle tabelle di routing non è attualmente supportata per le policy che utilizzano il modello di distribuzione centralizzato.
Quando Firewall Manager crea gli endpoint del firewall, crea anche le relative tabelle di routing VPC. Tuttavia, Firewall Manager non gestisce le tabelle di routing VPC. È necessario configurare le tabelle di routing VPC per indirizzare il traffico di rete verso gli endpoint firewall creati da Firewall Manager. Utilizzando i miglioramenti del routing di ingresso di Amazon VPC, modifica le tabelle di routing per instradare il traffico attraverso i nuovi endpoint del firewall. Le modifiche devono inserire gli endpoint del firewall tra le sottoreti che desideri proteggere e le ubicazioni esterne. L'esatto routing da eseguire dipende dall'architettura e dai suoi componenti.
Attualmente, Firewall Manager consente il monitoraggio dei percorsi della tabella di routing VPC per qualsiasi traffico destinato al gateway Internet, ovvero aggirando il firewall. Firewall Manager non supporta altri gateway di destinazione come i gateway NAT.
Per informazioni sulla gestione delle tabelle di routing per il tuo VPC, consulta [Managing route tables for your VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) nella *Amazon Virtual Private* Cloud User Guide. Per informazioni sulla gestione delle tabelle di routing per Network Firewall, consulta la sezione [Configurazioni delle tabelle di routing AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/route-tables.html) nella *AWS Network Firewall Developer Guide*.
Quando abiliti il monitoraggio di una policy, Firewall Manager monitora continuamente le configurazioni degli instradamenti VPC e ti avvisa del traffico che aggira l'ispezione del firewall per quel VPC. Se una sottorete ha una route degli endpoint firewall, Firewall Manager cerca le seguenti route:
+ Percorsi per inviare traffico all'endpoint Network Firewall.
+ Percorsi per inoltrare il traffico dall'endpoint Network Firewall al gateway Internet.
+ Percorsi in entrata dal gateway Internet all'endpoint Network Firewall.
+ Percorsi dalla sottorete del firewall.
Se una sottorete ha una route Network Firewall ma il routing è asimmetrico in Network Firewall e nella tabella di routing del gateway Internet, Firewall Manager segnala la sottorete come non conforme. Firewall Manager rileva anche le route verso il gateway Internet nella tabella di routing del firewall creata da Firewall Manager, nonché nella tabella di routing per la sottorete, e le segnala come non conformi. Anche le route aggiuntive nella tabella di routing della sottorete Network Firewall e nella tabella di routing del gateway Internet vengono segnalate come non conformi. A seconda del tipo di violazione, Firewall Manager suggerisce azioni correttive per rendere conforme la configurazione del percorso. Firewall Manager non offre suggerimenti in tutti i casi. Ad esempio, se la sottorete del cliente ha un endpoint firewall creato all'esterno di Firewall Manager, Firewall Manager non suggerisce azioni correttive.
Per impostazione predefinita, Firewall Manager contrassegna come non conforme tutto il traffico che attraversa il confine della zona di disponibilità per l'ispezione. Tuttavia, se scegli di creare automaticamente un singolo endpoint nel tuo VPC, Firewall Manager non contrassegnerà il traffico che attraversa il confine della zona di disponibilità come non conforme.
Per le politiche che utilizzano modelli di distribuzione distribuiti con configurazione personalizzata degli endpoint, puoi scegliere se il traffico che attraversa il confine della zona di disponibilità da una zona di disponibilità senza un endpoint firewall sia contrassegnato come conforme o non conforme.
**Nota**
Firewall Manager non suggerisce azioni correttive per percorsi diversi dalle IPv4 route, come le route con elenco IPv6 di prefissi.
Il rilevamento delle chiamate effettuate utilizzando la chiamata `DisassociateRouteTable` API può richiedere fino a 12 ore.
Firewall Manager crea una tabella di routing del Network Firewall per una sottorete che contiene gli endpoint del firewall. Firewall Manager presuppone che questa tabella di routing contenga solo gateway Internet validi e route predefinite VPC. Tutte le route aggiuntive o non valide in questa tabella di routing sono considerate non conformi.
Quando si configura la politica di Firewall Manager, se si sceglie la modalità **Monitor**, Firewall Manager fornisce dettagli sulla violazione delle risorse e sulla correzione delle risorse. È possibile utilizzare queste azioni correttive suggerite per risolvere i problemi di routing nelle tabelle di routing. Se scegli la modalità **Off**, Firewall Manager non monitora per te il contenuto della tabella di routing. Con questa opzione, gestisci da solo le tabelle di routing in VPC. Per ulteriori informazioni su queste violazioni delle risorse, consulta[Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica](fms-compliance.md).
**avvertimento**
Se scegli **Monitor** nella **configurazione del AWS Network Firewall percorso** durante la creazione della tua policy, non puoi disattivarla per quella policy. Tuttavia, se scegli **Off**, puoi abilitarla in un secondo momento.
# Configurazione della registrazione per una politica AWS Network Firewall
Questa sezione spiega come abilitare la registrazione centralizzata per le politiche del Network Firewall per ottenere informazioni dettagliate sul traffico all'interno dell'organizzazione. È possibile selezionare la registrazione del flusso per acquisire il flusso di traffico di rete o la registrazione degli avvisi per segnalare il traffico che corrisponde a una regola con l'azione impostata su o. `DROP` `ALERT` *Per ulteriori informazioni sulla AWS Network Firewall registrazione, consulta la sezione Registrazione [del traffico di rete dalla AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html) Guida per gli sviluppatori.AWS Network Firewall *
Invii i log dai firewall Network Firewall della tua politica a un bucket Amazon S3. Dopo aver abilitato la registrazione, AWS Network Firewall fornisce i log per ogni Network Firewall configurato aggiornando le impostazioni del firewall per inviare i log ai bucket Amazon S3 selezionati con il prefisso riservato,. AWS Firewall Manager `-`
**Nota**
Questo prefisso viene utilizzato da Firewall Manager per determinare se una configurazione di registrazione è stata aggiunta da Firewall Manager o se è stata aggiunta dal proprietario dell'account. Se il proprietario dell'account tenta di utilizzare il prefisso riservato per la propria registrazione personalizzata, questo viene sovrascritto dalla configurazione di registrazione nella politica di Firewall Manager.
Per ulteriori informazioni su come creare un bucket Amazon S3 e rivedere i log archiviati, vedi Cos'è [Amazon](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) S3? nella *Guida per l'utente di Amazon Simple Storage Service*.
Per abilitare la registrazione devi soddisfare i seguenti requisiti:
+ L'Amazon S3 specificato nella policy di Firewall Manager deve esistere.
+ Bisogna possedere le seguenti autorizzazioni:
+ `logs:CreateLogDelivery`
+ `s3:GetBucketPolicy`
+ `s3:PutBucketPolicy`
+ Se il bucket Amazon S3 che è la tua destinazione di registrazione utilizza la crittografia lato server con chiavi archiviate in AWS Key Management Service, devi aggiungere la seguente policy alla tua chiave AWS KMS gestita dal cliente per consentire a Firewall Manager di accedere al tuo gruppo di log Logs: CloudWatch
```
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"kms:Encrypt*",
"kms:Decrypt*",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*"
}
```
Tieni presente che solo i bucket nell'account amministratore di Firewall Manager possono essere utilizzati per la registrazione AWS Network Firewall centralizzata.
Quando si abilita la registrazione centralizzata su una politica Network Firewall, Firewall Manager esegue le seguenti azioni sull'account:
+ Firewall Manager aggiorna le autorizzazioni su bucket S3 selezionati per consentire la consegna dei log.
+ Firewall Manager crea directory nel bucket S3 per ogni account membro nell'ambito della policy. I log di ogni account sono disponibili all'indirizzo. `/-/AWSLogs/`
**Per abilitare la registrazione per una politica Network Firewall**
1. Crea un bucket Amazon S3 utilizzando il tuo account amministratore di Firewall Manager. Per ulteriori informazioni, consulta [Creare un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) nella *Guida per l'utente di Amazon Simple Storage Service*.
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegli **Politiche di sicurezza**.
1. Scegli la politica Network Firewall per la quale desideri abilitare la registrazione. *Per ulteriori informazioni sulla AWS Network Firewall registrazione, consulta la sezione [Registrazione del traffico di rete dalla Guida](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html) per AWS Network Firewall gli AWS Network Firewall sviluppatori.*
1. **Nella scheda **Dettagli della politica**, nella sezione **Regole della politica**, scegli Modifica.**
1. Per abilitare e aggregare i log, scegli una o più opzioni in Configurazione della **registrazione**:
+ **Abilita e aggrega i log di flusso**
+ **Abilita e aggrega i registri degli avvisi**
1. Scegli il bucket Amazon S3 in cui desideri che vengano consegnati i log. Devi scegliere un bucket per ogni tipo di log che abiliti. Puoi usare lo stesso bucket per entrambi i tipi di log.
1. **(Facoltativo) Se desideri che la registrazione personalizzata creata dall'account membro venga sostituita con la configurazione di registrazione della politica, scegli Sostituisci la configurazione di registrazione esistente.**
1. Scegli **Next (Successivo)**.
1. Controlla le impostazioni, quindi scegli **Salva per salvare le modifiche** alla politica.
**Per disabilitare la registrazione per una politica Network Firewall**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegli **Politiche di sicurezza**.
1. Scegli la politica Network Firewall per la quale desideri disabilitare la registrazione.
1. Nella scheda **Dettagli della politica**, nella sezione **Regole della politica**, scegli **Modifica**.
1. In **Registrazione dello stato di configurazione**, deseleziona **Abilita e aggrega i log di flusso** e **Abilita e aggrega i log degli avvisi**, se selezionati.
1. Scegli **Next (Successivo)**.
1. Controlla le impostazioni, quindi scegli **Salva per salvare le modifiche** alla politica.
# Utilizzo delle politiche firewall DNS di Amazon Route 53 Resolver in Firewall Manager
*Questa pagina descrive come utilizzare le policy AWS Firewall Manager DNS Firewall per gestire le associazioni tra i gruppi di regole del firewall DNS di Amazon Route 53 Resolver e il tuo Amazon Virtual Private Cloud *VPCs*in tutta l'organizzazione in.* AWS Organizations Puoi applicare gruppi di regole controllati centralmente all'intera organizzazione o a un sottoinsieme selezionato dei tuoi account e. VPCs
DNS Firewall fornisce il filtraggio e la regolazione del traffico DNS in uscita per te. VPCs Crei raccolte riutilizzabili di regole di filtraggio nei gruppi di regole del firewall DNS e associ i gruppi di regole ai tuoi. VPCs Quando si applica la politica di Firewall Manager, per ogni account e VPC che rientra nell'ambito della policy, Firewall Manager crea un'associazione tra ogni gruppo di regole DNS Firewall nella policy e ogni VPC che rientra nell'ambito della policy, utilizzando le impostazioni di priorità di associazione specificate nella policy di Firewall Manager.
Per informazioni sull'uso di DNS Firewall, consulta [Amazon Route 53 Resolver DNS Firewall nella](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) [Amazon Route](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) 53 Developer Guide.
Le seguenti sezioni trattano i requisiti per l'utilizzo delle politiche firewall DNS di Firewall Manager e descrivono come funzionano le politiche. Per la procedura di creazione della policy, vedere[Creazione di una AWS Firewall Manager policy per Amazon Route 53 Resolver DNS Firewall](create-policy.md#creating-firewall-manager-policy-for-dns-firewall).
**Importante**
**È necessario abilitare la condivisione delle risorse.** Una policy DNS Firewall condivide i gruppi di regole del firewall DNS tra gli account dell'organizzazione. Affinché funzioni, è necessario che la condivisione delle risorse sia abilitata con. AWS Organizations Per informazioni su come abilitare la condivisione delle risorse, vedere[Condivisione delle risorse per le politiche Network Firewall e DNS Firewall](resource-sharing.md).
**Importante**
**È necessario che i gruppi di regole del firewall DNS siano definiti.** Quando specifichi una nuova policy DNS Firewall, definisci i gruppi di regole nello stesso modo in cui utilizzi direttamente Amazon Route 53 Resolver DNS Firewall. I gruppi di regole devono già esistere nell'account amministratore di Firewall Manager per poterli includere nella policy. Per informazioni sulla creazione di gruppi di regole del firewall DNS, consulta Gruppi [e regole del firewall DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-groups.html).
**L'utente definisce le associazioni dei gruppi di regole con priorità più bassa e più alta**
Le associazioni dei gruppi di regole del firewall DNS che gestisci tramite le politiche del firewall DNS di Firewall Manager contengono le associazioni con priorità più bassa e le associazioni con priorità più alta per te. VPCs Nella configurazione delle policy, queste appaiono come primo e ultimo gruppo di regole.
DNS Firewall filtra il traffico DNS per il VPC nel seguente ordine:
1. Primi gruppi di regole, definiti dall'utente nella politica Firewall DNS Firewall di Firewall Manager. I valori validi sono compresi tra 1 e 99.
1. Gruppi di regole DNS Firewall associati dai singoli account manager tramite DNS Firewall.
1. Ultimi gruppi di regole, definiti dall'utente nella politica Firewall DNS Firewall di Firewall Manager. I valori validi sono compresi tra 9.901 e 10.000.
**Come Firewall Manager nomina le associazioni di gruppi di regole che crea**
Quando si salva la policy DNS Firewall, se è stata abilitata la riparazione automatica, Firewall Manager crea un'associazione DNS Firewall tra i gruppi di regole forniti nella policy e quelli VPCs che rientrano nell'ambito della policy. Firewall Manager assegna un nome a queste associazioni concatenando i seguenti valori:
+ La stringa fissa,. `FMManaged_`
+ L'ID della politica di Firewall Manager. Questo è l'ID della AWS risorsa per la policy Firewall Manager.
Di seguito viene illustrato un esempio di nome per un firewall gestito da Firewall Manager:
```
FMManaged_EXAMPLEDNSFirewallPolicyId
```
Dopo aver creato la politica, se i proprietari degli account VPCs sostituiscono le impostazioni delle politiche del firewall o le associazioni dei gruppi di regole, Firewall Manager contrassegnerà la politica come non conforme e cercherà di proporre un'azione correttiva. I proprietari degli account possono associare altri gruppi di regole DNS Firewall a quelli VPCs che rientrano nell'ambito della politica DNS Firewall. Tutte le associazioni create dai singoli proprietari degli account devono avere impostazioni di priorità tra la prima e l'ultima associazione dei gruppi di regole.
# Eliminazione di un gruppo di regole da una policy Firewall DNS Firewall di Firewall Manager
**Eliminazione di un gruppo di regole**
Per eliminare un gruppo di regole da una policy Firewall DNS Firewall Manager, è necessario effettuare le seguenti operazioni:
**Importante**
La rimozione di un gruppo di regole dalla policy Firewall DNS di Firewall Manager rimuove l'effetto dell'applicazione della policy, indipendentemente dal fatto VPCs che il gruppo di regole venga eliminato anche dai gruppi di regole del firewall DNS. L'eliminazione di un gruppo di regole è un'azione permanente e non può essere annullata.
1. Rimuovi il gruppo di regole dalla politica del firewall DNS di Firewall Manager.
1. Annulla la condivisione del gruppo di regole in. AWS Resource Access Manager Per annullare la condivisione di un gruppo di regole di cui sei proprietario, devi rimuoverlo dalla condivisione di risorse. Puoi farlo usando la AWS RAM console o la AWS CLI. Per informazioni sull'annullamento della condivisione di una risorsa, consulta [Aggiornare una condivisione di risorse AWS RAM nella Guida](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html) per l'*AWS RAM utente*.
1. Eliminare il gruppo di regole utilizzando la console DNS Firewall o la AWS CLI.
# Utilizzo delle policy NGFW di Palo Alto Networks Cloud per Firewall Manager
Il Palo Alto Networks Cloud Next Generation Firewall (NGFW) è un servizio firewall di terze parti che puoi utilizzare per le tue policy. AWS Firewall Manager Con Palo Alto Networks Cloud NGFW for Firewall Manager, puoi creare e distribuire centralmente risorse e set di regole NGFW di Palo Alto Networks Cloud su tutti i tuoi account. AWS
Per utilizzare Palo Alto Networks Cloud NGFW con Firewall Manager, devi prima abbonarti al servizio [Palo Alto Networks Cloud NGFW Pay-As-You-Go](https://aws.amazon.com/marketplace/pp/prodview-nkug66dl4df4i) nel Marketplace. AWS Dopo la sottoscrizione, esegui una serie di passaggi nel servizio Palo Alto Networks Cloud NGFW per configurare il tuo account e le impostazioni Cloud NGFW. Quindi, crei una policy Firewall Manager Cloud FMS per distribuire e gestire centralmente le risorse e le regole NGFW di Palo Alto Networks Cloud in tutti gli account delle tue Organizzazioni. AWS
Per la procedura di creazione della policy Firewall Manager, vedere[Creazione di una AWS Firewall Manager policy per Palo Alto Networks Cloud NGFW](create-policy.md#creating-cloud-ngfw-policy). Per informazioni su come configurare e gestire Palo Alto Networks Cloud NGFW for Firewall Manager, vedere Palo Alto Networks *[Palo Alto Networks Cloud NGFW sulla documentazione](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)*. AWS Per le AWS regioni supportate, consulta *[Cloud](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)* NGFW for Supported Regions and Zones. AWS
# Utilizzo delle politiche di Fortigate Cloud Native Firewall (CNF) as a Service per Firewall Manager
Fortigate Cloud Native Firewall (CNF) as a Service è un servizio firewall di terze parti che puoi utilizzare per le tue politiche. AWS Firewall Manager Fortigate CNF è un servizio firewall di nuova generazione che semplifica la protezione delle reti cloud e la gestione delle politiche di sicurezza. Con Fortigate CNF for Firewall Manager, puoi creare e distribuire centralmente risorse e set di policy Fortigate CNF su tutti i tuoi account. AWS
Per utilizzare Fortigate CNF con Firewall Manager, devi prima abbonarti al [Fortigate Cloud Native Firewall (CNF) as a](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i) Service nel Marketplace. AWS Dopo l'iscrizione, esegui una serie di passaggi nel servizio Fortigate CNF per configurare i set di policy globali e altre impostazioni. Quindi, crei una policy Firewall Manager per distribuire e gestire centralmente le risorse Fortigate CNF su tutti gli account delle tue Organizations. AWS
Per la procedura per la creazione di una policy Fortigate CNF Firewall Manager, vedere. [Creazione di una AWS Firewall Manager policy per Fortigate Cloud Native Firewall (CNF) as a Service](create-policy.md#creating-fortigate-cnf-policy) Per informazioni su come configurare e gestire Fortigate CNF per l'utilizzo con Firewall Manager, consulta la documentazione di [Fortigate]( https://docs.fortinet.com/product/fortigate-cnf) CNF.
# Condivisione delle risorse per le politiche Network Firewall e DNS Firewall
Per gestire le politiche Firewall Manager Network Firewall e DNS Firewall, è necessario abilitare la condivisione delle risorse con AWS Organizations in AWS Resource Access Manager. Ciò consente a Firewall Manager di implementare protezioni su tutti gli account quando si creano questi tipi di policy.
Per abilitare la condivisione delle risorse, segui le istruzioni riportate nella sezione [Abilita la condivisione con AWS Organizations nella Guida](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) per l'*AWS Resource Access Manager utente*.
**Problemi con la condivisione delle risorse**
Potresti riscontrare problemi con la condivisione delle risorse, sia quando la utilizzi AWS RAM per abilitarla, sia quando lavori sulle politiche di Firewall Manager che la richiedono.
Alcuni esempi di questi problemi sono i seguenti:
+ Quando segui le istruzioni per abilitare la condivisione, nella AWS RAM console, la scelta **Abilita condivisione con AWS Organizations** è disattivata e non è disponibile per la selezione.
+ Quando si lavora in Firewall Manager su una politica che richiede la condivisione delle risorse, la politica viene contrassegnata come non conforme e vengono visualizzati messaggi che indicano che la condivisione delle risorse AWS RAM è o non è abilitata.
Se si riscontrano problemi con la condivisione delle risorse, utilizzare la procedura seguente per provare ad abilitarla.
**Riprova ad abilitare la condivisione delle risorse**
+ Riprova ad abilitare la condivisione utilizzando una delle seguenti opzioni:
+ (Opzione) Tramite la AWS RAM console, segui le istruzioni in [Abilita la condivisione con AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) nella *Guida per l'AWS Resource Access Manager utente*.
+ (Opzione) Utilizzando l' AWS RAM API, chiama`EnableSharingWithAwsOrganization`. Consulta la documentazione all'indirizzo [EnableSharingWithAwsOrganization](https://docs.aws.amazon.com/ram/latest/APIReference/API_EnableSharingWithAwsOrganization.html).
# Utilizzo degli elenchi gestiti di Firewall Manager
Questa sezione spiega cosa sono gli elenchi gestiti e come utilizzarli.
Gli elenchi gestiti di applicazioni e protocolli semplificano la configurazione e la gestione delle politiche dei gruppi di sicurezza per il controllo dei AWS Firewall Manager contenuti. Gli elenchi gestiti vengono utilizzati per definire i protocolli e le applicazioni consentiti e non consentiti dalla policy. Per informazioni sulle politiche dei gruppi di sicurezza di Content Audit, vedere[Utilizzo delle politiche dei gruppi di sicurezza per il controllo dei contenuti con Firewall Manager](security-group-policies-audit.md).
È possibile utilizzare i seguenti tipi di elenchi gestiti in una politica di gruppo di sicurezza per il controllo dei contenuti:
+ **Elenchi di applicazioni e protocolli di Firewall** Manager: Firewall Manager gestisce questi elenchi.
+ Gli elenchi di applicazioni includono `FMS-Default-Public-Access-Apps-Allowed` e`FMS-Default-Public-Access-Apps-Denied`, che descrivono le applicazioni di uso comune che dovrebbero essere consentite o negate al pubblico in generale.
+ Gli elenchi dei protocolli includono `FMS-Default-Protocols-Allowed` un elenco di protocolli di uso comune che dovrebbero essere consentiti al pubblico in generale. È possibile utilizzare qualsiasi elenco gestito da Firewall Manager, ma non è possibile modificarlo o eliminarlo.
+ Elenchi di **applicazioni ed elenchi di protocolli personalizzati**: questi elenchi sono gestiti dall'utente. È possibile creare elenchi di entrambi i tipi con le impostazioni necessarie. Hai il pieno controllo sui tuoi elenchi gestiti personalizzati e puoi crearli, modificarli ed eliminarli secondo necessità.
**Nota**
Attualmente, Firewall Manager non controlla i riferimenti a un elenco gestito personalizzato quando lo elimini. Ciò significa che è possibile eliminare un elenco di applicazioni gestite personalizzato o un elenco di protocolli anche quando è utilizzato da una policy attiva. Ciò può causare l'interruzione del funzionamento della politica. Eliminate un elenco di applicazioni o un elenco di protocolli solo dopo aver verificato che nessuna policy attiva vi faccia riferimento.
Gli elenchi gestiti sono risorse AWS . È possibile contrassegnare un elenco gestito personalizzato. Non è possibile aggiungere tag a un elenco gestito di Firewall Manager.
## Controllo delle versioni gestite degli elenchi
Gli elenchi gestiti personalizzati non hanno versioni. Quando si modifica un elenco personalizzato, i criteri che fanno riferimento all'elenco utilizzano automaticamente l'elenco aggiornato.
Gli elenchi gestiti di Firewall Manager hanno una versione. Il team di assistenza Firewall Manager pubblica nuove versioni in base alle esigenze, al fine di applicare le migliori pratiche di sicurezza agli elenchi.
Quando si utilizza un elenco gestito di Firewall Manager in una policy, si sceglie la strategia di controllo delle versioni nel modo seguente:
+ **Ultima versione disponibile**: se non si specifica un'impostazione di versione esplicita per l'elenco, la politica utilizza automaticamente la versione più recente. Questa è l'unica opzione disponibile tramite la console.
+ **Versione esplicita**: se si specifica una versione per l'elenco, la politica utilizza tale versione. La politica rimane vincolata alla versione specificata fino a quando non si modifica l'impostazione della versione. Per specificare la versione, è necessario definire la policy all'esterno della console, ad esempio tramite la CLI o una delle. SDKs
Per ulteriori informazioni sulla scelta dell'impostazione della versione per un elenco, vedere[Utilizzo di elenchi gestiti nelle policy dei gruppi di sicurezza per il controllo dei contenuti](#using-managed-lists).
## Utilizzo di elenchi gestiti nelle policy dei gruppi di sicurezza per il controllo dei contenuti
Quando crei una policy di gruppo per la sicurezza del controllo dei contenuti, puoi scegliere di utilizzare le regole della policy di controllo gestita. Alcune impostazioni di questa opzione richiedono un elenco di applicazioni gestite o un elenco di protocolli. Esempi di queste impostazioni includono i protocolli consentiti nelle regole dei gruppi di sicurezza e le applicazioni possono accedere a Internet.
Le seguenti restrizioni si applicano a ogni impostazione dei criteri che utilizza un elenco gestito:
+ È possibile specificare al massimo un elenco gestito di Firewall Manager per qualsiasi impostazione. Per impostazione predefinita, è possibile specificare al massimo un elenco personalizzato. Il limite dell'elenco personalizzato è una quota fissa, quindi è possibile richiederne un aumento. Per ulteriori informazioni, consulta [AWS Firewall Manager quote](fms-limits.md).
+ Nella console, se si seleziona un elenco gestito di Firewall Manager, non è possibile specificare la versione. La policy utilizzerà sempre la versione più recente dell'elenco. Per specificare la versione, è necessario definire la policy all'esterno della console, ad esempio tramite la CLI o una delle. SDKs Per informazioni sul controllo delle versioni per gli elenchi gestiti di Firewall Manager, vedere[Controllo delle versioni gestite degli elenchi](#versioning-managed-lists).
Per informazioni sulla creazione di una policy di gruppo di sicurezza per il controllo dei contenuti tramite la console, vedere[Creazione di una policy di gruppo di sicurezza di controllo del contenuto](create-policy.md#creating-firewall-manager-policy-audit-security-group).
# Creazione di un elenco gestito personalizzato in Firewall Manager
Segui queste procedure per creare un elenco di applicazioni gestite personalizzato o un elenco di protocolli gestiti personalizzati.
**Topics**
+ [
## Creazione di un elenco di applicazioni gestite personalizzato
](#creating-custom-managed-application-list)
+ [
## Creazione di un elenco di protocolli gestiti personalizzato
](#creating-custom-managed-protocol-list)
## Creazione di un elenco di applicazioni gestite personalizzato
**Per creare un elenco di applicazioni gestite personalizzato**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegli **Elenchi di applicazioni**.
1. Nella pagina **Elenchi di applicazioni**, scegli **Crea elenco di applicazioni**.
1. Nella pagina **Crea elenco di applicazioni**, assegna un nome all'elenco. Non utilizzare il prefisso `fms-` poiché è riservato a Firewall Manager.
1. Specificate un'applicazione fornendo il protocollo e il numero di porta o selezionando un'applicazione dal menu a discesa **Tipo**. Assegna un nome alle specifiche dell'applicazione.
1. Scegli **Aggiungi un altro** se necessario e inserisci le informazioni sulla domanda fino a completare l'elenco.
1. (Facoltativo) Applica i tag all'elenco.
1. Scegli **Salva** per salvare l'elenco e tornare alla pagina degli **elenchi di applicazioni**.
## Creazione di un elenco di protocolli gestiti personalizzato
**Per creare un elenco di protocolli gestiti personalizzato**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegli **Elenchi di protocolli**.
1. Nella pagina degli **elenchi dei protocolli**, scegli **Crea elenco di protocolli**.
1. Nella pagina di creazione dell'elenco dei protocolli, assegna un nome alla lista. Non utilizzare il prefisso `fms-` poiché è riservato a Firewall Manager.
1. Specificare un protocollo.
1. Scegli **Aggiungi un altro** se necessario e inserisci le informazioni sul protocollo fino a completare l'elenco.
1. (Facoltativo) Applica i tag all'elenco.
1. Scegli **Salva** per salvare l'elenco e tornare alla pagina degli **elenchi dei protocolli**.
# Visualizzazione di un elenco gestito in Firewall Manager
**Per visualizzare un elenco di applicazioni o un elenco di protocolli**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegli Elenchi di **applicazioni o Elenchi** **di protocolli**.
La pagina mostra tutti gli elenchi del tipo selezionato disponibili per l'uso. Gli elenchi gestiti da Firewall Manager hanno una **Y** nella **ManagedList**colonna.
1. Per visualizzare i dettagli di un elenco, scegline il nome. La pagina dei dettagli mostra il contenuto dell'elenco e gli eventuali tag.
Per gli elenchi gestiti di Firewall Manager, puoi anche vedere le versioni disponibili selezionando il menu a discesa **Versione**.
# Eliminazione di un elenco gestito personalizzato in Firewall Manager
È possibile eliminare elenchi gestiti personalizzati. Non è possibile modificare o eliminare gli elenchi gestiti da Firewall Manager.
**Nota**
Attualmente, Firewall Manager non controlla i riferimenti a un elenco gestito personalizzato quando lo elimini. Ciò significa che è possibile eliminare un elenco di applicazioni gestite personalizzato o un elenco di protocolli anche quando è utilizzato da una policy attiva. Ciò può causare l'interruzione del funzionamento della politica. Elimina un elenco di applicazioni o un elenco di protocolli solo dopo aver verificato che nessuna policy attiva vi faccia riferimento.
**Per eliminare un'applicazione gestita personalizzata o un elenco di protocolli**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Assicurati che l'elenco che desideri eliminare non sia utilizzato in nessuna delle policy dei tuoi gruppi di sicurezza di controllo procedendo come segue:
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Nella pagina delle **AWS Firewall Manager politiche**, seleziona e modifica i gruppi di sicurezza di controllo e rimuovi tutti i riferimenti all'elenco personalizzato che desideri eliminare.
Se elimini un elenco gestito personalizzato utilizzato in un criterio di gruppo di sicurezza di controllo, il criterio che lo utilizza può smettere di funzionare.
1. Nel riquadro di navigazione, scegli **Elenchi di applicazioni** o **Elenchi di protocolli**, a seconda del tipo di elenco che desideri eliminare.
1. Nella pagina dell'elenco, seleziona l'elenco personalizzato che desideri eliminare e scegli **Elimina**.
# Raggruppamento delle risorse in Firewall Manager
Questa sezione descrive cos'è un set di risorse ed elenca le considerazioni sull'utilizzo dei set di risorse.
Un *set di AWS Firewall Manager risorse* è una raccolta di risorse, come i firewall, che è possibile raggruppare e gestire in una politica di Firewall Manager. I set di risorse consentono ai membri dell'organizzazione di avere un controllo granulare sulle risorse da gestire in una policy. Per utilizzare i set di risorse, crea un set di risorse nella console o utilizzando l'[PutResourceSet](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutResourceSet.html)API, quindi aggiungi il set di risorse alla politica di Firewall Manager.
È possibile creare e gestire set di risorse per i seguenti tipi di risorse e policy di sicurezza:
| Tipo di risorsa | Tipo di policy di sicurezza Firewall Manager |
| --- | --- |
| AWS Network Firewall - firewall | Politica Network Firewall: utilizza i set di risorse per importare i firewall esistenti da Network Firewall. Per informazioni sull'utilizzo dei set di risorse in una politica di Network Firewall, vedere il passaggio Importazione di firewall esistenti della [Creazione di una AWS Firewall Manager politica per AWS Network Firewall](create-policy.md#creating-firewall-manager-policy-for-network-firewall) procedura. |
Nelle sezioni seguenti vengono descritti i requisiti per la creazione e l'eliminazione di set di risorse.
**Topics**
+ [
## Considerazioni sull'utilizzo di set di risorse in Firewall Manager
](#fms-resource-sets-considerations)
+ [
# Creazione di set di risorse in Firewall Manager
](fms-creating-resource-set.md)
+ [
# Eliminazione di un set di risorse in Firewall Manager
](fms-deleting-resource-set.md)
## Considerazioni sull'utilizzo di set di risorse in Firewall Manager
Quando si lavora con i set di risorse, tenere presenti le seguenti considerazioni.
**Riferimenti a risorse inesistenti**
Quando aggiungi una risorsa a un set di risorse, crei un riferimento alla risorsa utilizzando un Amazon Resource Name (ARN). Firewall Manager verifica che Amazon Resource Name (ARN) sia il formato corretto, ma Firewall Manager non verifica l'esistenza della risorsa di riferimento. Se la risorsa non esiste ancora supera la convalida ARN, Firewall Manager include il riferimento alla risorsa nel set di risorse. Se successivamente viene creata una nuova risorsa con lo stesso ARN, Firewall Manager applica i gruppi di regole dalla politica associata al set di risorse alla nuova risorsa.
**Risorse eliminate**
Quando una risorsa in un set di risorse viene eliminata, il riferimento alla risorsa rimane nel set di risorse finché non viene rimosso dall'amministratore di Firewall Manager.
**Risorse di proprietà dell'account membro che lascia l' AWS Organizations organizzazione**
Se un account membro lascia l'organizzazione, qualsiasi riferimento alle risorse di proprietà di quell'account membro rimarrà nel set di risorse ma non sarà più gestito da alcuna politica a cui è associato il set di risorse.
**Associazione a più politiche**
Un set di risorse può essere associato a più policy, ma non tutti i tipi di policy supportano più policy per la gestione della stessa risorsa. Per informazioni sugli scenari non supportati, consulta la documentazione relativa al tipo di policy specifico.
# Creazione di set di risorse in Firewall Manager
**Per creare un set di risorse (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegli **Set di risorse**.
1. Scegli **Crea set di risorse**.
1. Per Nome del **set di risorse, inserisci un nome** descrittivo.
1. (Facoltativo) inserite una **descrizione** per il set di risorse.
1. Scegli **Next (Successivo)**.
1. Per **Scegli risorse**, seleziona un **ID AWS account**, quindi seleziona **Scegli risorse** per aggiungere risorse possedute e gestite da questo account al set di risorse. Dopo aver selezionato le risorse, seleziona **Aggiungi** per aggiungere le risorse al set di risorse.
1. Scegli **Next (Successivo)**.
1. Per i **tag del set di risorse**, aggiungi i tag di identificazione che desideri per il set di risorse. Per ulteriori informazioni, consultare l'articolo relativo all'[utilizzo di Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html) .
1. Scegli **Next (Successivo)**.
1. Rivedi il nuovo set di risorse. Per apportare eventuali modifiche, scegliere **Edit (Modifica)** nell'area che si desidera modificare. In questo modo si torna al passaggio corrispondente della creazione guidata. Quando sei soddisfatto del set di risorse, scegli **Crea set di risorse**.
# Eliminazione di un set di risorse in Firewall Manager
Prima di poter eliminare un set di risorse, è necessario separare il set di risorse da tutte le politiche che utilizzano il set di risorse. È possibile dissociare i gruppi di risorse nella pagina di dettaglio della policy utilizzando la console o l'[PutPolicy](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutPolicy.html)API.
**Per eliminare un set di risorse (console)**
1. Nel riquadro di navigazione, scegli **Set di risorse**.
1. Scegliete l'opzione accanto al set di risorse che desiderate eliminare.
1. Scegli **Delete** (Elimina).
# Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica
Questa sezione fornisce indicazioni per la visualizzazione dello stato di conformità degli account e delle risorse che rientrano nell'ambito di una AWS Firewall Manager politica. Per informazioni sui controlli in atto AWS per mantenere la sicurezza e la conformità del cloud, consulta[Convalida della conformità per Firewall Manager](fms-security-compliance.md).
**Nota**
Affinché Firewall Manager possa monitorare la conformità delle policy, AWS Config deve registrare continuamente le modifiche alla configurazione per le risorse protette. Nella AWS Config configurazione, la frequenza di registrazione deve essere impostata su **Continuo**, che è l'impostazione predefinita.
**Nota**
Per mantenere uno stato di conformità adeguato nelle risorse protette, evita di modificare ripetutamente lo stato delle protezioni di Firewall Manager, automaticamente o manualmente. Firewall Manager utilizza le informazioni di AWS Config per rilevare le modifiche alle configurazioni delle risorse. Se le modifiche vengono applicate abbastanza rapidamente, si AWS Config può perdere di vista alcune di esse, con conseguente perdita di informazioni sulla conformità o sullo stato di riparazione in Firewall Manager.
Se noti che uno stato di conformità o riparazione di una risorsa che stai proteggendo con Firewall Manager non è corretto, assicurati innanzitutto di non eseguire alcun processo che alteri o ripristini le protezioni di Firewall Manager, quindi aggiorna il AWS Config tracciamento della risorsa rivalutando le regole di configurazione associate in. AWS Config
Se modifichi la policy o le risorse pertinenti, potrebbero essere necessari alcuni minuti prima che gli aggiornamenti sullo stato di conformità e i dettagli siano visibili.
Per tutte AWS Firewall Manager le politiche, è possibile visualizzare lo stato di conformità degli account e delle risorse che rientrano nell'ambito della politica. Un account o una risorsa è conforme a una politica di Firewall Manager se le impostazioni della politica si riflettono nelle impostazioni dell'account o della risorsa. Ogni tipo di policy ha i propri requisiti di conformità, che è possibile regolare al momento della definizione della policy. Per alcune politiche, puoi anche visualizzare informazioni dettagliate sulle violazioni relative alle risorse pertinenti, per aiutarti a comprendere e gestire meglio i rischi per la sicurezza.
**Per visualizzare le informazioni sulla conformità di una politica**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Scegliere una policy. Nella scheda **Account e risorse** della pagina dei criteri, Firewall Manager elenca gli account dell'organizzazione, raggruppati in base a quelli che rientrano nell'ambito della politica e quelli che non rientrano nell'ambito della politica.
Il **riquadro Account rientranti nell'ambito della policy** elenca lo stato di conformità di ogni account. Lo stato **Conforme** indica che la politica è stata applicata correttamente a tutte le risorse relative all'account. Lo stato **Non conforme** indica che la politica non è stata applicata a una o più risorse relative all'account.
1. Scegli un account non conforme. Nella pagina dell'account, Firewall Manager elenca l'ID e il tipo di ogni risorsa non conforme e il motivo per cui la risorsa viola la politica.
**Nota**
Per i tipi di risorse `AWS::EC2::NetworkInterface` (ENI) e`AWS::EC2::Instance`, Firewall Manager potrebbe mostrare un numero limitato di risorse non conformi. Per elencare altre risorse non conformi, correggi quelle inizialmente visualizzate per l'account.
1. Se il tipo di policy di Firewall Manager è un criterio di gruppo di sicurezza per il controllo dei contenuti, è possibile accedere a informazioni dettagliate sulle violazioni relative a una risorsa.
Per visualizzare i dettagli della violazione, scegli la risorsa.
**Nota**
Le risorse che Firewall Manager ha ritenuto non conformi prima dell'aggiunta della pagina dettagliata sulla violazione delle risorse potrebbero non avere dettagli sulla violazione.
Nella pagina delle risorse, Firewall Manager elenca dettagli specifici sulla violazione, in base al tipo di risorsa.
+ **`AWS::EC2::NetworkInterface`(ENI)**: Firewall Manager visualizza informazioni sul gruppo di sicurezza a cui la risorsa non è conforme. Scegli il gruppo di sicurezza per visualizzarne maggiori dettagli.
+ **`AWS::EC2::Instance`**— Firewall Manager visualizza l'ENI collegato all' EC2 istanza non conforme. Visualizza anche informazioni sul gruppo di sicurezza a cui le risorse non sono conformi. Scegli il gruppo di sicurezza per visualizzarne maggiori dettagli.
+ **`AWS::EC2::SecurityGroup`**— Firewall Manager visualizza i seguenti dettagli sulla violazione:
+ **Regola del gruppo di sicurezza non conforme**: la regola violata, inclusi il protocollo, l'intervallo di porte, l'intervallo IP CIDR e la descrizione.
+ Regola **di riferimento: la regola** del gruppo di sicurezza di controllo violata dalla regola del gruppo di sicurezza non conforme, con i relativi dettagli.
+ **Motivi della violazione**: spiegazione dell'accertamento di non conformità.
+ Azione **correttiva: azione** suggerita da intraprendere. Se Firewall Manager non è in grado di determinare un'azione di riparazione sicura, questo campo è vuoto.
+ **`AWS::EC2::Subnet`**— Viene utilizzato per le politiche di rete ACL e Network Firewall.
Firewall Manager visualizza l'ID di sottorete, l'ID VPC e la zona di disponibilità. Se applicabile, Firewall Manager include informazioni aggiuntive sulla violazione. Il componente di descrizione della violazione contiene una descrizione dello stato previsto della risorsa, dello stato attuale non conforme e, se disponibile, una descrizione della causa della discrepanza.
**Violazioni del Network Firewall**
+ **Violazioni della gestione delle rotte**: per le politiche del firewall di rete che utilizzano la modalità Monitor, Firewall Manager visualizza le informazioni di base sulla sottorete, nonché le route previste ed effettive nella sottorete, nel gateway Internet e nella tabella di routing della sottorete Network Firewall. Firewall Manager avvisa l'utente che c'è una violazione se le route effettive non corrispondono alle route previste nella tabella delle rotte.
+ **Azioni di riparazione per le violazioni della gestione delle rotte**: per le politiche del Network Firewall che utilizzano la modalità Monitor, Firewall Manager suggerisce possibili azioni di riparazione sulle configurazioni di routing che presentano violazioni.
Ad esempio, si supponga che una sottorete invii il traffico attraverso gli endpoint del firewall, mentre la sottorete corrente invia il traffico direttamente al gateway Internet. Si tratta di una violazione della gestione del percorso. La soluzione suggerita in questo caso potrebbe essere un elenco di azioni ordinate. La prima è una raccomandazione di aggiungere le route richieste alla tabella di routing della sottorete Network Firewall per indirizzare il traffico in uscita verso il gateway Internet e per indirizzare il traffico in entrata verso le destinazioni all'interno del VPC. ``local`` La seconda raccomandazione consiste nel sostituire la route del gateway Internet o la route Network Firewall non valida nella tabella di routing della sottorete per indirizzare il traffico in uscita verso gli endpoint del firewall. La terza raccomandazione consiste nell'aggiungere i percorsi richiesti alla tabella di routing del gateway Internet per indirizzare il traffico in entrata verso gli endpoint del firewall.
+ **`AWS::EC2:InternetGateway`**— Viene utilizzato per le politiche Network Firewall che hanno la modalità Monitor abilitata.
+ **Violazioni della gestione delle rotte**: il gateway Internet non è conforme se il gateway Internet non è associato a una tabella di routing o se nella tabella di routing del gateway Internet è presente una route non valida.
+ **Azioni di riparazione per le violazioni della gestione delle rotte**: Firewall Manager suggerisce possibili azioni di riparazione per porre rimedio alle violazioni della gestione delle rotte.
**Example 1 — Violazione della gestione del percorso e suggerimenti per la correzione**
Un gateway Internet non è associato a una tabella di routing. Le azioni correttive suggerite potrebbero essere un elenco di azioni ordinate. La prima azione consiste nel creare una tabella di rotte. La seconda azione consiste nell'associare la tabella delle rotte al gateway Internet. La terza azione consiste nell'aggiungere la route richiesta alla tabella di routing del gateway Internet.
**Example 2 — Violazione della gestione del percorso e suggerimenti per la riparazione**
Il gateway Internet è associato a una tabella di routing valida, ma la route è configurata in modo errato. La correzione suggerita potrebbe consistere in un elenco di azioni ordinate. Il primo suggerimento è quello di rimuovere la rotta non valida. Il secondo consiste nell'aggiungere la route richiesta alla tabella delle rotte del gateway Internet.
+ **`AWS::NetworkFirewall::FirewallPolicy`**— Viene utilizzato per le politiche del Network Firewall. Firewall Manager visualizza informazioni su una politica firewall di Network Firewall che è stata modificata in modo da renderla non conforme. Le informazioni forniscono la politica firewall prevista e la politica trovata nell'account cliente, in modo da poter confrontare i nomi e le impostazioni di priorità dei gruppi di regole stateless e stateful, i nomi delle azioni personalizzate e le impostazioni predefinite delle azioni senza stato. Il componente di descrizione della violazione contiene una descrizione dello stato previsto della risorsa, dello stato attuale non conforme e, se disponibile, una descrizione della causa della discrepanza.
+ **`AWS::EC2::VPC`**— Viene utilizzato per le politiche del firewall DNS. Firewall Manager visualizza informazioni su un VPC che rientra nell'ambito di una policy Firewall DNS Firewall di Firewall Manager e che non è conforme alla policy. Le informazioni fornite includono i gruppi di regole previsti che dovrebbero essere associati al VPC e i gruppi di regole effettivi. Il componente di descrizione della violazione contiene una descrizione dello stato previsto della risorsa, dello stato attuale non conforme e, se disponibile, una descrizione della causa della discrepanza.
+ **`AWS::WAFv2::WebACL`**— Viene utilizzato per AWS WAF le politiche la cui configurazione specifica il retrofit per il Web esistente. ACLs Firewall Manager visualizza informazioni su un ACL Web associato a una risorsa pertinente, ma non è completamente compatibile con il retrofit di Firewall Manager. Ad esempio, se l'ACL Web è associato anche a una risorsa che non rientra nell'ambito della policy, Firewall Manager non può aggiornarlo.
# AWS Firewall Manager integrazione con AWS Security Hub CSPM
Questa pagina spiega come utilizzare Firewall Manager e Security Hub CSPM insieme.
AWS Firewall Manager crea i risultati relativi alle risorse che non sono conformi e agli attacchi rilevati e a cui li invia. AWS Security Hub CSPM Per informazioni sui risultati CSPM di Security Hub, vedere [Risultati](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html) in. AWS Security Hub CSPM
Quando si utilizzano Security Hub CSPM e Firewall Manager, Firewall Manager invia automaticamente i risultati a Security Hub CSPM. Per informazioni su come iniziare a usare Security Hub CSPM, vedere [Configurazione AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) nella Guida per l'[AWS Security Hub CSPM utente](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html).
**Nota**
Firewall Manager aggiorna solo i risultati relativi alle policy gestite e alle risorse che monitora.
Firewall Manager non risolve i risultati per quanto segue:
Policy che sono state eliminate.
Risorse che sono state eliminate.
Risorse che non rientrano nell'ambito della politica di Firewall Manager, ad esempio a causa della modifica dei tag o della definizione della politica.
**Come posso visualizzare i risultati del mio Firewall Manager?**
Per visualizzare i risultati di Firewall Manager in Security Hub CSPM, segui le indicazioni in [Utilizzo dei risultati in Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings.html#securityhub-managing-findings) e crea un filtro utilizzando le seguenti impostazioni:
+ Attributo impostato su **Product Name (Nome prodotto)**.
+ Operatore impostato su **EQUALS**.
+ Valore impostato su `Firewall Manager`. Questa impostazione fa distinzione tra maiuscole e minuscole.
**Posso disabilitare questo?**
È possibile disabilitare l'integrazione dei AWS Firewall Manager risultati con Security Hub CSPM tramite la console Security Hub CSPM. Scegli **Integrazioni** nella barra di navigazione, quindi nel riquadro Firewall Manager, scegli **Disabilita integrazione**. Per ulteriori informazioni, consulta la [Guida per l'utente AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html).
**Topics**
+ [
# AWS WAF risultati della policy Firewall Manager
](waf-policy-findings.md)
+ [
# AWS Shield Advanced risultati della policy Firewall Manager
](shield-policy-findings.md)
+ [
# Risultati della politica comune del gruppo di sicurezza Firewall Manager
](security-group-common-policy-findings.md)
+ [
# Risultati della politica di controllo dei contenuti del gruppo di sicurezza di Firewall Manager
](security-group-content-audit-policy-findings.md)
+ [
# Politica di controllo dell'utilizzo dei gruppi di sicurezza - Risultati di Firewall Manager
](security-group-usage-audit-policy-findings.md)
+ [
# Informazioni sulla politica del firewall DNS di Amazon Route 53 Resolver (Firewall Manager)
](dns-firewall-policy-findings.md)
+ [
# AWS Config Risultati di Firewall Manager
](aws-config-firewall-manager-findings.md)
# AWS WAF risultati della policy Firewall Manager
Questa pagina illustra i risultati di Firewall Manager per AWS WAF le policy.
È possibile utilizzare AWS WAF le politiche di Firewall Manager per applicare gruppi di AWS WAF regole alle risorse in AWS Organizations. Per ulteriori informazioni, consulta [Utilizzo AWS Firewall Manager delle politiche](working-with-policies.md).
**Nella risorsa manca l'ACL web gestito da Firewall Manager.**
Una AWS risorsa non dispone dell'associazione ACL Web AWS Firewall Manager gestita in conformità con la politica di Firewall Manager. È possibile abilitare la correzione di Firewall Manager sulla policy per correggere questo problema.
+ Severità: 80
+ Impostazioni di stato: SUPERATO/NON RIUSCITO
+ Aggiornamenti: se Firewall Manager esegue l'azione di riparazione, aggiornerà il risultato e la gravità diminuirà da `HIGH` a`INFORMATIONAL`. Se si esegue la riparazione, Firewall Manager non aggiornerà il risultato.
**L'ACL Web gestito da Firewall Manager presenta gruppi di regole configurati in modo errato.**
Si tratta di un risultato di policy AWS WAF classico. I gruppi di regole in un ACL Web gestito da Firewall Manager non sono configurati correttamente, in base alla politica di Firewall Manager. Ciò significa che all'ACL Web mancano i gruppi di regole richiesti dalla policy. È possibile abilitare la correzione di Firewall Manager sulla policy per correggere questo problema.
+ Severità: 80
+ Impostazioni di stato: SUPERATO/NON RIUSCITO
+ Aggiornamenti: se Firewall Manager esegue l'azione di riparazione, aggiornerà il risultato e la gravità diminuirà da `HIGH` a`INFORMATIONAL`. Se si esegue la riparazione, Firewall Manager non aggiornerà il risultato.
# AWS Shield Advanced risultati della policy Firewall Manager
Questa pagina illustra i risultati di Firewall Manager per AWS Shield Advanced le policy.
Per informazioni sulle AWS Shield Advanced politiche, vedere[Utilizzo delle policy dei gruppi di sicurezza in Firewall Manager per gestire i gruppi di sicurezza Amazon VPC](security-group-policies.md).
**La risorsa non dispone della protezione Shield Advanced.**
Una AWS risorsa che dovrebbe avere la protezione Shield Advanced, secondo la politica di Firewall Manager, non la possiede. È possibile abilitare la correzione di Firewall Manager sulla policy, che abiliterà la protezione della risorsa.
+ Severità: 60
+ Impostazioni di stato: SUPERATO/FALLITO
+ Aggiornamenti: se Firewall Manager esegue l'azione di riparazione, aggiornerà il risultato e la gravità diminuirà da `HIGH` a`INFORMATIONAL`. Se si esegue la riparazione, Firewall Manager non aggiornerà il risultato.
**Shield Advanced ha rilevato un attacco contro una risorsa monitorata.**
Shield Advanced ha rilevato un attacco a una AWS risorsa protetta. È possibile abilitare la correzione di Firewall Manager sulla policy.
+ Severità: 70
+ Impostazioni di stato: nessuna
+ Aggiornamenti: Firewall Manager non aggiorna questo risultato.
# Risultati della politica comune del gruppo di sicurezza Firewall Manager
Questa pagina illustra i risultati di Firewall Manager per le politiche comuni dei gruppi di sicurezza.
Per informazioni sulle policy comuni dei gruppi di sicurezza, consultare [Utilizzo delle policy dei gruppi di sicurezza in Firewall Manager per gestire i gruppi di sicurezza Amazon VPC](security-group-policies.md).
**La risorsa ha configurato in modo errato il gruppo di sicurezza.**
Firewall Manager ha identificato una risorsa a cui mancano le associazioni dei gruppi di sicurezza gestiti di Firewall Manager che dovrebbe avere, in base alla politica di Firewall Manager. È possibile abilitare la correzione di Firewall Manager sulla policy, che crea le associazioni in base alle impostazioni delle policy.
+ Severità: 70
+ Impostazioni di stato: SUPERATO/NON RIUSCITO
+ Aggiornamenti: Firewall Manager aggiorna questo risultato.
**Il gruppo di sicurezza di replica di Firewall Manager non è sincronizzato con il gruppo di sicurezza primario.**
Un gruppo di sicurezza di replica di Firewall Manager non è sincronizzato con il gruppo di sicurezza principale, in base alla politica comune del gruppo di sicurezza. È possibile abilitare la correzione di Firewall Manager sulla policy, che sincronizza i gruppi di sicurezza delle repliche con quelli primari.
+ Severità: 80
+ Impostazioni di stato: SUPERATO/NON RIUSCITO
+ Aggiornamenti: Firewall Manager aggiorna questo risultato.
# Risultati della politica di controllo dei contenuti del gruppo di sicurezza di Firewall Manager
Questa pagina illustra i risultati di Firewall Manager per le politiche di controllo dei contenuti dei gruppi di sicurezza.
Per informazioni sulle policy di controllo del contenuto dei gruppi di sicurezza, consultare [Utilizzo delle policy dei gruppi di sicurezza in Firewall Manager per gestire i gruppi di sicurezza Amazon VPC](security-group-policies.md).
**Il gruppo di sicurezza non è conforme al gruppo di sicurezza per il controllo del contenuto.**
Un criterio di controllo dei contenuti del gruppo di sicurezza Firewall Manager ha identificato un gruppo di sicurezza non conforme. Si tratta di un gruppo di sicurezza creato dal cliente che rientra nell'ambito della policy di controllo del contenuto e che non è conforme alle impostazioni definite dalla policy e dal relativo gruppo di sicurezza di controllo. È possibile abilitare la correzione di Firewall Manager sulla policy, che modifica il gruppo di sicurezza non conforme per renderlo conforme.
+ Severità: 70
+ Impostazioni di stato: SUPERATO/NON RIUSCITO
+ Aggiornamenti: Firewall Manager aggiorna questo risultato.
# Politica di controllo dell'utilizzo dei gruppi di sicurezza - Risultati di Firewall Manager
Questa pagina illustra i risultati di Firewall Manager per le politiche di controllo dell'utilizzo dei gruppi di sicurezza.
Per informazioni sulle policy di controllo dell'utilizzo dei gruppi di sicurezza, consultare [Utilizzo delle policy dei gruppi di sicurezza in Firewall Manager per gestire i gruppi di sicurezza Amazon VPC](security-group-policies.md).
**Firewall Manager ha rilevato un gruppo di sicurezza ridondante.**
Il controllo dell'utilizzo del gruppo di sicurezza Firewall Manager ha identificato un gruppo di sicurezza ridondante. Si tratta di un gruppo di sicurezza con regole identiche a quelle di un altro gruppo di sicurezza all'interno della stessa istanza di Amazon Virtual Private Cloud. È possibile abilitare la correzione automatica di Firewall Manager sulla politica di controllo dell'utilizzo, che sostituisce i gruppi di sicurezza ridondanti e con un singolo gruppo di sicurezza.
+ Severità: 30
+ Impostazioni di stato: nessuna
+ Aggiornamenti: Firewall Manager non aggiorna questo risultato.
**Firewall Manager ha rilevato un gruppo di sicurezza inutilizzato.**
Il controllo dell'utilizzo del gruppo di sicurezza Firewall Manager ha identificato un gruppo di sicurezza inutilizzato. Si tratta di un gruppo di sicurezza a cui non fa riferimento alcuna politica di gruppo di sicurezza comune di Firewall Manager. È possibile abilitare la correzione automatica di Firewall Manager sulla politica di controllo dell'utilizzo, che rimuove i gruppi di sicurezza non utilizzati.
+ Severità: 30
+ Impostazioni di stato: nessuna
+ Aggiornamenti: Firewall Manager non aggiorna questo risultato.
# Informazioni sulla politica del firewall DNS di Amazon Route 53 Resolver (Firewall Manager)
Questa pagina spiega i risultati di Firewall Manager per le politiche del firewall DNS di Amazon Route 53 Resolver.
Per informazioni sulle politiche del firewall DNS, consulta. [Utilizzo delle politiche firewall DNS di Amazon Route 53 Resolver in Firewall Manager](dns-firewall-policies.md)
**Nella risorsa manca la protezione DNS Firewall**
A un VPC manca un'associazione di gruppi di regole DNS Firewall definita nella policy Firewall DNS Firewall di Firewall Manager. Il risultato elenca il gruppo di regole specificato dalla policy.
+ Severità: 80
# AWS Config Risultati di Firewall Manager
Questa pagina illustra i risultati di Firewall Manager per AWS Config.
Per informazioni su AWS Config, vedere[Attivazione AWS Config dell'utilizzo di Firewall Manager](enable-config.md).
**L'account non è AWS Config abilitato nella regione.**
Firewall Manager AWS Config deve essere abilitato nell'account e nella regione. Per risolvere questo problema, AWS Config abilitalo nell'account e nella regione in cui desideri utilizzare Firewall Manager.
+ Impostazioni di stato: SUPERATE/NON RIUSCITE
+ Aggiornamenti: Firewall Manager aggiorna questo risultato.
**Nota**
Dopo l'attivazione AWS Config, lo stato di conformità passa a PASS, ma la gravità rimane ELEVATA.
**Nota**
Affinché Firewall Manager possa monitorare la conformità delle policy, AWS Config deve registrare continuamente le modifiche alla configurazione per le risorse protette. Nella AWS Config configurazione, la frequenza di registrazione deve essere impostata su **Continuo**, che è l'impostazione predefinita.
# Sicurezza nell'utilizzo del AWS Firewall Manager servizio
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
**Nota**
Questa sezione fornisce linee guida AWS di sicurezza standard per l'utilizzo del AWS Firewall Manager servizio e delle relative AWS risorse, come le politiche Firewall di rete di Firewall Manager e le politiche dei gruppi di sicurezza.
Per informazioni sulla protezione AWS delle risorse utilizzando Firewall Manager, consulta il resto della guida Firewall Manager.
La sicurezza è una responsabilità condivisa tra te AWS e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. L'efficacia della nostra sicurezza è regolarmente testata e verificata da revisori di terze parti come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per ulteriori informazioni sui programmi di conformità che si applicano a Firewall Manager, vedere [AWS Servizi compresi nell'ambito del programma di conformità](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la responsabilità dell'utente è determinata dal AWS servizio utilizzato. L'utente è anche responsabile per altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda e leggi e normative applicabili.
Questa documentazione aiuta a capire come applicare il modello di responsabilità condivisa quando si utilizza Firewall Manager. I seguenti argomenti mostrano come configurare Firewall Manager per soddisfare gli obiettivi di sicurezza e conformità. Scopri anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse di Firewall Manager.
**Topics**
+ [
# Protezione dei dati in Firewall Manager
](fms-data-protection.md)
+ [
# Identity and Access Management per AWS Firewall Manager
](fms-security-iam.md)
+ [
# Registrazione e monitoraggio in Firewall Manager
](fms-incident-response.md)
+ [
# Convalida della conformità per Firewall Manager
](fms-security-compliance.md)
+ [
# Resilienza in Firewall Manager
](fms-disaster-recovery-resiliency.md)
+ [
# Sicurezza dell'infrastruttura in AWS Firewall Manager
](fms-infrastructure-security.md)
# Protezione dei dati in Firewall Manager
Il modello di [responsabilità AWS](https://aws.amazon.com/compliance/shared-responsibility-model/) di si applica alla protezione dei dati in AWS Firewall Manager. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Firewall Manager o altro Servizi AWS utilizzando la console, l'API o AWS SDKs. AWS CLI I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
Le entità Firewall Manager, come le policy, sono crittografate quando sono inattive, tranne in alcune regioni in cui la crittografia non è disponibile, tra cui Cina (Pechino) e Cina (Ningxia). Per ogni regione vengono utilizzate chiavi di crittografia univoche.
# Identity and Access Management per AWS Firewall Manager
AWS Identity and Access Management (IAM) aiuta un Servizio AWS amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (dispone delle autorizzazioni) a utilizzare le risorse di Firewall Manager. IAM è un Servizio AWS software che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [
## Destinatari
](#security_iam_audience)
+ [
## Autenticazione con identità
](#security_iam_authentication)
+ [
## Gestione dell’accesso tramite policy
](#security_iam_access-manage)
+ [
# Come AWS Firewall Manager funziona con IAM
](fms-security_iam_service-with-iam.md)
+ [
# Esempi di policy basate sull'identità per AWS Firewall Manager
](fms-security_iam_id-based-policy-examples.md)
+ [
# AWS politiche gestite per AWS Firewall Manager
](fms-security-iam-awsmanpol.md)
+ [
# Risoluzione dei problemi di AWS Firewall Manager identità e accesso
](fms-security_iam_troubleshoot.md)
+ [
# Utilizzo di ruoli collegati ai servizi per Firewall Manager
](fms-using-service-linked-roles.md)
+ [
# Prevenzione del problema "confused deputy" tra servizi
](cross-service-confused-deputy-prevention.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia a seconda del lavoro svolto in Firewall Manager.
**Utente del servizio**: se si utilizza il servizio Firewall Manager per svolgere il proprio lavoro, l'amministratore fornisce le credenziali e le autorizzazioni necessarie. Man mano che utilizzi più funzionalità di Firewall Manager per svolgere il tuo lavoro, potresti aver bisogno di autorizzazioni aggiuntive. La comprensione della gestione dell’accesso consente di richiedere le autorizzazioni corrette all’amministratore. Se non è possibile accedere a una funzionalità di Firewall Manager, vedere[Risoluzione dei problemi di AWS Shield identità e accesso](shd-security_iam_troubleshoot.md).
**Amministratore del servizio**: se sei responsabile delle risorse di Firewall Manager presso la tua azienda, probabilmente hai pieno accesso a Firewall Manager. È compito dell'utente determinare a quali funzionalità e risorse di Firewall Manager devono accedere gli utenti del servizio. Devi quindi inviare le richieste all’amministratore IAM per modificare le autorizzazioni degli utenti del servizio. Esamina le informazioni contenute in questa pagina per comprendere i concetti di base relativi a IAM. Per ulteriori informazioni su come la tua azienda può utilizzare IAM con Firewall Manager, consulta[Come AWS Shield funziona con IAM](shd-security_iam_service-with-iam.md).
**Amministratore IAM**: se sei un amministratore IAM, potresti voler conoscere i dettagli su come scrivere policy per gestire l'accesso a Firewall Manager. Per visualizzare esempi di policy basate sull'identità di Firewall Manager che puoi utilizzare in IAM, consulta. [Esempi di policy basate sull'identità per AWS Shield](shd-security_iam_id-based-policy-examples.md)
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Liste di controllo degli accessi () ACLs
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come AWS Firewall Manager funziona con IAM
Prima di utilizzare IAM per gestire l'accesso a Firewall Manager, scopri quali funzionalità IAM sono disponibili per l'uso con Firewall Manager.
**Funzionalità IAM che puoi utilizzare con AWS Firewall Manager**
| Funzionalità IAM | Supporto Firewall Manager |
| --- | --- |
| [Policy basate sull’identità](#fms-security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#fms-security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#fms-security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#fms-security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione della policy (specifica del servizio)](#fms-security_iam_service-with-iam-id-based-policies-conditionkeys) | No |
| [ACLs](#fms-security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle policy)](#fms-security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#fms-security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Inoltro delle sessioni di accesso (FAS)](#fms-security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#fms-security_iam_service-with-iam-roles-service) | Parziale |
| [Ruoli collegati al servizio](#fms-security_iam_service-with-iam-roles-service-linked) | Sì |
Per avere una visione di alto livello di come Firewall Manager e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
## Politiche basate sull'identità per Firewall Manager
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
Per visualizzare esempi di policy basate sull'identità di Firewall Manager, vedere. [Esempi di policy basate sull'identità per AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)
### Esempi di policy basate sull'identità per Firewall Manager
Per visualizzare esempi di policy basate sull'identità di Firewall Manager, vedere. [Esempi di policy basate sull'identità per AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno di Firewall Manager
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Azioni politiche per Firewall Manager
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco delle azioni di Firewall Manager, vedere [Azioni definite da AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-actions-as-permissions) nel *Service Authorization Reference*.
Le azioni relative alle policy in Firewall Manager utilizzano il seguente prefisso prima dell'azione:
```
fms
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"fms:action1",
"fms:action2"
]
```
È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni che iniziano con la parola `Describe`, includi la seguente azione:
```
"Action": "fms:Describe*"
```
Per visualizzare esempi di policy basate sull'identità di Firewall Manager, vedere. [Esempi di policy basate sull'identità per AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)
## Risorse relative alle policy per Firewall Manager
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di risorse di Firewall Manager e relativi ARNs, vedere [Risorse definite da AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-resources-for-iam-policies) nel *Service Authorization Reference*. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta la sezione [Operazioni definite da AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-actions-as-permissions).
Per visualizzare esempi di policy basate sull'identità di Firewall Manager, vedere. [Esempi di policy basate sull'identità per AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)
## Chiavi relative alle condizioni delle policy per Firewall Manager
**Supporta le chiavi di condizione delle policy specifiche del servizio:** No
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.
Per visualizzare un elenco delle chiavi di condizione di Firewall Manager, vedere [Chiavi di condizione AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-policy-keys) nel *Service Authorization Reference*. Per sapere con quali azioni e risorse è possibile utilizzare una chiave di condizione, vedere [Azioni definite da AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-actions-as-permissions).
Per visualizzare esempi di policy basate sull'identità di Firewall Manager, vedere. [Esempi di policy basate sull'identità per AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)
## ACLs in Firewall Manager
**Supporti ACLs:** no
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## ABAC con Firewall Manager
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. È possibile allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
## Utilizzo di credenziali temporanee con Firewall Manager
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Sessioni di accesso diretto per Firewall Manager
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale chiamante e Servizio AWS, in combinazione con la richiesta, di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per Firewall Manager
**Supporta i ruoli di servizio:** parziale
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità di Firewall Manager. Modificare i ruoli di servizio solo quando Firewall Manager fornisce indicazioni in tal senso.
### Scelta di un ruolo IAM in Firewall Manager
Per utilizzare l'azione *PutNotificationChannel* API in Firewall Manager, devi scegliere un ruolo per consentire a Firewall Manager di accedere ad Amazon SNS in modo che il servizio possa pubblicare messaggi Amazon SNS per tuo conto. Per ulteriori informazioni, consulta [PutNotificationChannel](https://amazonaws.com/fms/2018-01-01/APIReference/API_PutNotificationChannel.html) nella *documentazione di riferimento dell’API AWS Firewall Manager *.
Di seguito viene illustrato un esempio di impostazione delle autorizzazioni per gli argomenti SNS. Per utilizzare questa politica con il tuo ruolo personalizzato, sostituisci `AWSServiceRoleForFMS` Amazon Resource Name (ARN) con l'`SnsRoleName`ARN.
```
{
"Sid": "AWSFirewallManagerSNSPolicy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account ID:role/aws-service-role/fms.amazonaws.com/AWSServiceRoleForFMS"
},
"Action": "sns:Publish",
"Resource": "SNS topic ARN"
}
```
Per ulteriori informazioni sulle azioni e le risorse di Firewall Manager, vedere l'argomento della AWS Identity and Access Management guida [Azioni definite da AWS Firewall Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsfirewallmanager.html#awsfirewallmanager-actions-as-permissions)
## Ruoli collegati ai servizi per Firewall Manager
**Supporta i ruoli collegati ai servizi:** sì
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
# Esempi di policy basate sull'identità per AWS Firewall Manager
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare le risorse di Firewall Manager. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per informazioni dettagliate sulle azioni e sui tipi di risorse definiti da Firewall Manager, incluso il formato di ARNs per ogni tipo di risorsa, vedere [Azioni, risorse e chiavi di condizione AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html) nel *Service Authorization Reference*.
**Topics**
+ [
## Best practice per le policy
](#fms-security_iam_service-with-iam-policy-best-practices)
+ [
## Utilizzo della console Firewall Manager
](#fms-security_iam_id-based-policy-examples-console)
+ [
## Consentire agli utenti di visualizzare le loro autorizzazioni
](#fms-security_iam_id-based-policy-examples-view-own-permissions)
+ [
## Concedi l'accesso in lettura ai tuoi gruppi di sicurezza Firewall Manager
](#fms-example0)
## Best practice per le policy
Le policy basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse di Firewall Manager nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console Firewall Manager
Per accedere alla AWS Firewall Manager console, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentire di elencare e visualizzare i dettagli sulle risorse di Firewall Manager presenti nel tuo Account AWS. Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario concedere autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
Per garantire che utenti e ruoli possano ancora utilizzare la console Firewall Manager, collega anche Firewall Manager `ConsoleAccess` o la policy `ReadOnly` AWS gestita alle entità. Per maggiori informazioni, consulta [Aggiunta di autorizzazioni a un utente](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) nella *Guida per l’utente di IAM*.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Concedi l'accesso in lettura ai tuoi gruppi di sicurezza Firewall Manager
Firewall Manager consente l'accesso alle risorse tra account, ma non consente di creare protezioni delle risorse tra account. È possibile creare protezioni per le risorse solo dall'interno dell'account proprietario di tali risorse.
Di seguito è riportato un esempio di politica che concede autorizzazioni per e `ec2:DescribeSecurityGroups` azioni su `fms:Get` tutte `fms:List` le risorse.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"fms:Get*",
"fms:List*",
"ec2:DescribeSecurityGroups"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
# AWS politiche gestite per AWS Firewall Manager
Una policy AWS gestita è una policy autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: `AWSFMAdminFullAccess`
Utilizza la policy `AWSFMAdminFullAccess` AWS gestita per consentire agli amministratori di accedere alle AWS Firewall Manager risorse, inclusi tutti i tipi di policy di Firewall Manager. Questa politica non include le autorizzazioni per la configurazione delle notifiche di Amazon Simple Notification Service in AWS Firewall Manager. Per informazioni su come configurare l'accesso per Amazon Simple Notification Service, consulta [Configurazione dell'accesso per Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/sns-setting-up.html).
Per l'elenco e i dettagli delle policy, consulta la console IAM all'indirizzo [AWSFMAdminFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminFullAccess$serviceLevelSummary). Il resto di questa sezione offre una panoramica delle impostazioni delle policy.
**Dichiarazioni di autorizzazione**
Questa politica è raggruppata in istruzioni basate sul set di autorizzazioni.
+ **AWS Firewall Manager risorse politiche**: consente autorizzazioni amministrative complete per le risorse in AWS Firewall Manager, inclusi tutti i tipi di policy di Firewall Manager.
+ **Scrivi AWS WAF log su Amazon Simple Storage Service**: consente a Firewall Manager di scrivere e leggere AWS WAF i log in Amazon S3.
+ **Crea ruolo collegato ai servizi**: consente all'amministratore di creare un ruolo collegato al servizio, che consente a Firewall Manager di accedere alle risorse di altri servizi per conto dell'utente. Questa autorizzazione consente di creare il ruolo collegato al servizio solo per l'utilizzo da parte di Firewall Manager. Per informazioni su come Firewall Manager utilizza i ruoli collegati ai servizi, vedere. [Utilizzo di ruoli collegati ai servizi per Firewall Manager](fms-using-service-linked-roles.md)
+ **AWS Organizations**— Consente agli amministratori di utilizzare Firewall Manager per un'organizzazione in AWS Organizations. Dopo aver abilitato l'accesso affidabile per Firewall Manager in AWS Organizations, i membri dell'account amministratore possono visualizzare i risultati in tutta l'organizzazione. Per informazioni sull'utilizzo AWS Organizations con AWS Firewall Manager, vedere [Utilizzo AWS Organizations con altri AWS servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) nella *Guida per l'AWS Organizations utente*.
**Categorie di autorizzazioni**
Di seguito sono elencati i tipi di autorizzazioni presenti nella politica e le autorizzazioni da esse fornite.
+ `fms`— Lavora con AWS Firewall Manager le risorse.
+ `waf`e `waf-regional` — Lavora con le politiche AWS WAF classiche.
+ `elasticloadbalancing`— Associa AWS WAF web ACLsto Elastic Load Balancer.
+ `firehose`— Visualizza informazioni sui AWS WAF log.
+ `organizations`— Risorse Work with AWS Organizations.
+ `shield`— Visualizza lo stato delle AWS Shield politiche di sottoscrizione.
+ `route53resolver`— Utilizza Route 53 Private DNS per i gruppi di VPCs regole in un Route 53 Private DNS for VPCs policy.
+ `wafv2`— Lavora con AWS WAFV2 le politiche.
+ `network-firewall`— Lavora con AWS Network Firewall le politiche.
+ `ec2`— Visualizza le zone e le regioni di disponibilità delle politiche.
+ `s3`— Visualizza informazioni sui AWS WAF registri.
## AWS politica gestita: `FMSServiceRolePolicy`
Questa politica consente di AWS Firewall Manager gestire AWS le risorse per conto dell'utente in Firewall Manager e nei servizi integrati. Questa policy è attribuita al ruolo collegato ai servizi `AWSServiceRoleForFMS`. Per ulteriori informazioni sul ruolo collegato al servizio, consulta [Utilizzo di ruoli collegati ai servizi per Firewall Manager](fms-using-service-linked-roles.md).
Per i dettagli delle policy, consulta la console IAM all'indirizzo [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary).
## AWS politica gestita: AWSFMAdmin ReadOnlyAccess
Garantisce l'accesso in sola lettura a tutte le risorse di AWS Firewall Manager.
Per l'elenco e i dettagli delle policy, consulta la console IAM all'indirizzo. [AWSFMAdminReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminReadOnlyAccess$serviceLevelSummary) Il resto di questa sezione offre una panoramica delle impostazioni delle policy.
**Categorie di autorizzazioni**
Di seguito sono elencati i tipi di autorizzazioni presenti nella policy e le informazioni a cui le autorizzazioni consentono l'accesso in sola lettura.
+ `fms`— risorse AWS Firewall Manager .
+ `waf`e `waf-regional` — AWS WAF Politiche classiche.
+ `firehose`— AWS WAF registri.
+ `organizations`— Risorse per le AWS organizzazioni.
+ `shield`— AWS Shield politiche.
+ `route53resolver`— DNS privato Route 53 per gruppi di VPCs regole in un DNS privato Route 53 per VPCs policy.
+ `wafv2`— I tuoi gruppi di AWS WAFV2 regole e i gruppi di regole AWS Managed Rules disponibili in. AWS WAFV2
+ `network-firewall`— gruppi di AWS Network Firewall regole e metadati dei gruppi di regole.
+ `ec2`— AWS Network Firewall policy Zone e regioni di disponibilità.
+ `s3`— AWS WAF registri.
## AWS politica gestita: AWSFMMember ReadOnlyAccess
Garantisce l'accesso in sola lettura alle risorse dei membri. AWS Firewall Manager Per l'elenco e i dettagli delle policy, consulta la console IAM all'indirizzo. [AWSFMMemberReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMMemberReadOnlyAccess$serviceLevelSummary)
## Aggiornamenti di Firewall Manager alle policy AWS gestite
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Firewall Manager da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei documenti di Firewall Manager all'indirizzo. [Cronologia dei documenti](doc-history.md)
| Modifica | Descrizione | Data |
| --- | --- | --- |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy)— Politica aggiornata | Sono state aggiunte le autorizzazioni alla politica del servizio Firewall Manager. Sono state aggiunte le seguenti autorizzazioni richieste per Amazon CloudFront: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/fms-security-iam-awsmanpol.html) | 2025-05-21 |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy)— Politica aggiornata | Sono state aggiunte le autorizzazioni alla politica del servizio Firewall Manager. Sono state aggiunte `BatchGetResourceConfig` le autorizzazioni per ottenere gli stati di configurazione delle risorse in batch. Vedi la policy aggiornata nella console IAM:. [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary) | 2025-02-10 |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy)— Politica aggiornata | Sono state aggiunte autorizzazioni alla politica del ruolo del servizio Firewall Manager. È stata aggiunta la possibilità di leggere le informazioni di configurazione TLS del Network Firewall. Vedi la policy aggiornata nella console IAM: [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary). | 2024-07-22 |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy)— Politica aggiornata | Autorizzazioni aggiunte per la gestione della rete ACLs. Vedi la policy aggiornata nella console IAM: [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary). | 2024-04-22 |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy)— Politica aggiornata | Sono state aggiunte autorizzazioni che consentono a Firewall Manager di descrivere se le AWS Config regole specificate sono conformi. Vedi la policy aggiornata nella console IAM:. [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary) | 2023-04-21 |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy)— Politica aggiornata | Sono state aggiunte autorizzazioni che consentono a Firewall Manager di descrivere gli attributi dell'istanza e dell'interfaccia di rete di Amazon EC2. Consulta la policy aggiornata nella console IAM:. [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary) | 2022-11-15 |
| [AWSFMAdminReadOnlyAccess](#security-iam-awsmanpol-AWSFMAdminReadOnlyAccess)— Politica aggiornata | Sono state aggiunte le autorizzazioni per il supporto AWS WAFV2, Shield, Network Firewall, DNS Firewall, gruppo di sicurezza Amazon VPC e policy. Vedi la policy aggiornata nella console IAM:. [AWSFMAdminReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminReadOnlyAccess$serviceLevelSummary) | 2022-11-02 |
| [AWSFMAdminFullAccess](#security-iam-awsmanpol-AWSFMAdminFullAccess)— Politica aggiornata | Sono state aggiunte le autorizzazioni per il supporto AWS WAFV2, Shield, Network Firewall, DNS Firewall, gruppo di sicurezza Amazon VPC e policy. Autorizzazioni Amazon SNS rimosse. Consulta la policy aggiornata nella console IAM:. [AWSFMAdminFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminFullAccess$serviceLevelSummary) | 2022-10-21 |
| `FMSServiceRolePolicy`— Nuove autorizzazioni per le politiche firewall di terze parti AWS Firewall Manager | Questa modifica consente a Firewall Manager di creare ed eliminare gli endpoint VPC di Amazon EC2 associati a una policy firewall di terze parti. | 30/03/2022 |
| `FMSServiceRolePolicy`— Nuove autorizzazioni per le politiche AWS Network Firewall | Sono state aggiunte nuove autorizzazioni per supportare l'implementazione di firewall per le politiche del Network Firewall. Le nuove autorizzazioni consentono il recupero di informazioni sulle zone di disponibilità per gli account che rientrano nell'ambito di una politica. | 2022-02-16 |
| `FMSServiceRolePolicy`— Nuove autorizzazioni per le politiche AWS Shield | Aggiunte nuove autorizzazioni per recuperare i tag per le risorse AWS WAF regionali e AWS WAF globali. Sono state aggiunte le autorizzazioni AWS WAF regionali per recuperare il Web ACLs utilizzando una risorsa ARN. Sono state aggiunte le autorizzazioni per supportare la mitigazione automatica del livello DDo S dell'applicazione Shield. | 07/01/2022 |
| `FMSServiceRolePolicy`— Nuove autorizzazioni per le politiche AWS Shield | È stata aggiunta una nuova autorizzazione per recuperare i tag per le risorse Elastic Load Balancing. | 18/11/2021 |
| `FMSServiceRolePolicy`— Nuove autorizzazioni per gruppi di sicurezza e politiche AWS Network Firewall | Sono state aggiunte nuove autorizzazioni per abilitare la registrazione centralizzata delle politiche. AWS Network Firewall Inoltre, sono state aggiunte autorizzazioni Amazon EC2 di sola lettura per supportare le modifiche al servizio Config che influiscono AWS Firewall Manager sul modo in cui le risorse vengono interrogate per le policy dei gruppi di sicurezza. | 29 settembre 2021 |
| `FMSServiceRolePolicy`— Formati ARN per le risorse AWS WAF | Aggiornato il `FMSServiceRolePolicy` per standardizzare i formati AWS WAF ARN per le risorse. I formati ARN aggiornati sono `arn:aws:waf:*:*:*` e. `arn:aws:waf-regional:*:*:*` | 2021-08-12 |
| `FMSServiceRolePolicy`— Regioni aggiuntive in Cina | AWS Firewall Manager è abilitato `FMSServiceRolePolicy` per le regioni BJS e ZHY in Cina. | 2021-08-12 |
| `FMSServiceRolePolicy`— Aggiornamento alla politica esistente | Aggiunte nuove autorizzazioni per consentire AWS Firewall Manager la gestione del firewall Amazon Route 53 Resolver DNS. Questa modifica consente a Firewall Manager di configurare le associazioni Amazon Route 53 Resolver DNS Firewall. Ciò consente di utilizzare Firewall Manager per fornire protezioni DNS Firewall a VPCs tutta l'organizzazione in. AWS Organizations | 2021-03-17 |
| Firewall Manager ha iniziato a tracciare le modifiche | Firewall Manager ha iniziato a tenere traccia delle modifiche per le politiche AWS gestite. | 2021-03-02 |
# Risoluzione dei problemi di AWS Firewall Manager identità e accesso
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Firewall Manager e IAM.
**Topics**
+ [
## Non sono autorizzato a eseguire un'azione in Firewall Manager
](#fms-security_iam_troubleshoot-no-permissions)
+ [
## Non sono autorizzato a eseguire iam: PassRole
](#fms-security_iam_troubleshoot-passrole)
+ [
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse di Firewall Manager
](#fms-security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire un'azione in Firewall Manager
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `fms:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: fms:GetWidget on resource: my-example-widget
```
In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `fms:GetWidget`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di passare un ruolo a Firewall Manager.
Alcuni Servizi AWS consentono di passare un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Firewall Manager. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse di Firewall Manager
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), è possibile utilizzare tali politiche per consentire alle persone di accedere alle proprie risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Firewall Manager supporta queste funzionalità, vedere[Come AWS Shield funziona con IAM](shd-security_iam_service-with-iam.md).
+ Per scoprire come fornire l'accesso alle tue risorse su tutto Account AWS ciò che possiedi, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l’accesso tramite la federazione delle identità, consulta [Fornire l’accesso a utenti autenticati esternamente (Federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l’utente IAM*.
+ Per informazioni sulle differenze tra l'utilizzo di ruoli e policy basate su risorse per l'accesso multi-account, consultare [Differenza tra i ruoli IAM e le policy basate su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) nella *Guida per l'utente di IAM*.
# Utilizzo di ruoli collegati ai servizi per Firewall Manager
AWS Firewall Manager utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente a Firewall Manager. I ruoli collegati ai servizi sono predefiniti da Firewall Manager e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per conto dell'utente.
Un ruolo collegato al servizio semplifica la configurazione di Firewall Manager perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Firewall Manager definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo Firewall Manager può assumerne i ruoli. Le autorizzazioni definite includono policy di attendibilità e di autorizzazioni. Questa policy delle autorizzazioni non può essere collegata ad alcun'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo si proteggono le risorse del Firewall Manager perché non è possibile rimuovere inavvertitamente l'autorizzazione all'accesso alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
## Autorizzazioni di ruolo collegate ai servizi per Firewall Manager
AWS Firewall Manager utilizza il nome di ruolo collegato al servizio AWSService RoleFor FMS per consentire a Firewall Manager di chiamare AWS i servizi per conto dell'utente per la gestione delle politiche del firewall e AWS Organizations delle risorse dell'account. Questa policy è allegata al ruolo gestito. AWS `AWSServiceRoleForFMS` Per ulteriori informazioni sul ruolo gestito, vedere[AWS politica gestita: `FMSServiceRolePolicy`](fms-security-iam-awsmanpol.md#security-iam-awsmanpol-FMSServiceRolePolicy).
Il ruolo collegato al servizio AWSService RoleFor FMS si fida che il servizio assuma il ruolo. `fms.amazonaws.com`
La politica di autorizzazione dei ruoli consente a Firewall Manager di completare le seguenti azioni sulle risorse specificate:
+ `waf`- Gestisci il Web AWS WAF classico ACLs, le autorizzazioni per i gruppi di regole e le ACLs associazioni web nel tuo account.
+ `ec2`- Gestisci i gruppi di sicurezza su interfacce di rete elastiche e istanze Amazon EC2. Gestisci la rete ACLs su sottoreti Amazon VPC.
+ `vpc`- Gestisci sottoreti, tabelle di routing, tag ed endpoint in Amazon VPC.
+ `wafv2`- Gestisci il AWS WAF web ACLs, le autorizzazioni dei gruppi di regole e le associazioni web ACLs nel tuo account.
+ `cloudfront`- Crea siti web ACLs per proteggere le CloudFront distribuzioni.
+ `config`- Gestisci le AWS Config regole di proprietà di Firewall Manager nel tuo account.
+ `iam`- Gestisci questo ruolo collegato al servizio e crea ruoli obbligatori e collegati al servizio AWS WAF Shield se configuri la registrazione e le politiche Shield. AWS WAF
+ `organization`- Creare un ruolo collegato ai servizi di proprietà di Firewall Manager per gestire AWS Organizations le risorse utilizzate da Firewall Manager.
+ `shield`- Gestisci le AWS Shield protezioni e le configurazioni di mitigazione L7 per le risorse del tuo account.
+ `ram`- Gestisci la condivisione AWS RAM delle risorse per i gruppi di regole DNS Firewall e i gruppi di regole Network Firewall.
+ `network-firewall`- Gestisci le risorse di proprietà di Firewall Manager e AWS Network Firewall le risorse Amazon VPC dipendenti nel tuo account.
+ `route53resolver`- Gestisci le associazioni DNS Firewall di proprietà di Firewall Manager nel tuo account.
Consulta la policy completa nella console IAM:. [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.
## Creazione di un ruolo collegato ai servizi per Firewall Manager
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando abiliti l'accesso a Firewall Manager o effettui Console di gestione AWS una `PutLoggingConfiguration` richiesta nell'interfaccia della riga di comando di Firewall Manager o nell'API Firewall Manager, Firewall Manager crea automaticamente il ruolo collegato al servizio.
È necessario disporre dell'autorizzazione `iam:CreateServiceLinkedRole` per attivare la registrazione.
Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando abiliti la registrazione di Firewall Manager, Firewall Manager crea nuovamente il ruolo collegato al servizio per te.
## Modifica di un ruolo collegato ai servizi per Firewall Manager
Firewall Manager non consente di modificare il ruolo collegato al servizio AWSService RoleFor FMS. Dopo aver creato un ruolo collegato al servizio, non è possibile modificarne il nome, perché potrebbero farvi riferimento diverse entità. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione di un ruolo collegato al servizio per Firewall Manager
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.
**Nota**
Se il servizio Firewall Manager utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
**Per eliminare il ruolo collegato al servizio utilizzando IAM**
Utilizza la console IAM, la CLI IAM o l'API IAM per eliminare il ruolo collegato al servizio AWSService RoleFor FMS. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.
## Regioni supportate per i ruoli collegati ai servizi di Firewall Manager
Firewall Manager supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, vedere [Endpoint e quote di Firewall Manager](https://docs.aws.amazon.com/general/latest/gr/firewallmanager.html).
# Prevenzione del problema "confused deputy" tra servizi
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel frattempo AWS, l'impersonificazione tra servizi può causare il problema del vicedirettore confuso. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce strumenti per poterti a proteggere i tuoi dati per tutti i servizi con entità di servizio a cui è stato concesso l’accesso alle risorse dell’account.
Si consiglia di utilizzare [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)le chiavi di contesto della condizione [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)globale nelle politiche delle risorse per limitare le autorizzazioni che AWS Firewall Manager forniscono un altro servizio alla risorsa. Utilizzare `aws:SourceArn` se si desidera consentire l’associazione di una sola risorsa all’accesso tra servizi. Utilizzare `aws:SourceAccount` se si desidera consentire l’associazione di qualsiasi risorsa in tale account all’uso tra servizi.
Il modo più efficace per proteggersi dal problema “confused deputy” è quello di utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con l’ARN completo della risorsa. Se non si conosce l’ARN completo della risorsa o si scelgono più risorse, utilizzare la chiave di contesto della condizione globale `aws:SourceArn` con caratteri jolly (`*`) per le parti sconosciute dell’ARN. Ad esempio, `arn:aws:fms:*:account-id:*`.
Se il valore `aws:SourceArn` non contiene l’ID account, ad esempio un ARN di un bucket Amazon S3, è necessario utilizzare entrambe le chiavi di contesto delle condizioni globali per limitare le autorizzazioni.
Il valore di `aws:SourceArn` deve essere l' AWS account dell' AWS Firewall Manager amministratore.
Gli esempi seguenti mostrano come utilizzare la chiave di contesto della condizione `aws:SourceArn` globale in Firewall Manager per evitare il problema del confuso vice.
L'esempio seguente mostra come prevenire il problema del confuso vice utilizzando la chiave `aws:SourceArn` global condition context nella politica di attendibilità del ruolo Firewall Manager. Sostituisci *Region* e *account-id* con le tue informazioni.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "servicename.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": [
"arn:aws:fms:us-east-1:123456789012:${*}",
"arn:aws:fms:us-east-1:123456789012:policy/*"
]
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
}
```
------
# Registrazione e monitoraggio in Firewall Manager
Il monitoraggio è una parte importante per mantenere l'affidabilità, la disponibilità e le prestazioni di Firewall Manager e delle tue AWS soluzioni. È necessario raccogliere i dati di monitoraggio da tutte le parti della AWS soluzione in modo da poter eseguire più facilmente il debug di un errore multipunto, se si verifica. AWS fornisce diversi strumenti per monitorare le risorse del Firewall Manager e rispondere a potenziali eventi:
** CloudWatch Allarmi Amazon**
Utilizzando gli CloudWatch allarmi, controlli una singola metrica per un periodo di tempo specificato. Se la metrica supera una determinata soglia, CloudWatch invia una notifica a un argomento o una policy di Amazon SNS. AWS Auto Scaling Per ulteriori informazioni, consulta [Monitoraggio con Amazon CloudWatch](monitoring-cloudwatch.md).
**AWS CloudTrail Registri**
CloudTrail fornisce un registro delle azioni intraprese da un utente, un ruolo o un AWS servizio in Firewall Manager. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta effettuata a Firewall Manager, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi. Per ulteriori informazioni, consulta [Registrazione delle chiamate API di AWS CloudTrail con](logging-using-cloudtrail.md).
# Convalida della conformità per Firewall Manager
Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Scope by Compliance Program Servizi AWS](https://aws.amazon.com/compliance/services-in-scope/) e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .
È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta la [Documentazione AWS sulla sicurezza](https://docs.aws.amazon.com/security/).
# Resilienza in Firewall Manager
L'infrastruttura AWS globale è costruita attorno a Regioni AWS zone di disponibilità. Regioni AWS forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture tradizionali a data center singolo o multiplo.
[Per ulteriori informazioni sulle zone di disponibilità, vedere Global Regioni AWS Infrastructure.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
# Sicurezza dell'infrastruttura in AWS Firewall Manager
In quanto servizio gestito, AWS Firewall Manager è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.
Si utilizzano chiamate API AWS pubblicate per accedere a Firewall Manager attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
# AWS Firewall Manager quote
AWS Firewall Manager è soggetto alle seguenti quote (precedentemente denominate limiti).
AWS Firewall Manager ha quote predefinite che potresti aumentare e quote fisse.
Le policy dei gruppi di sicurezza e le policy ACL di rete gestite da Firewall Manager sono soggette alle quote standard di Amazon VPC. Per ulteriori informazioni, consulta [Amazon VPC Quotas nella Amazon [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/)](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html) User Guide.
Ogni policy Firewall Network Firewall di Firewall Manager crea un firewall di rete con una policy firewall associata e i relativi gruppi di regole. Queste risorse Network Firewall sono soggette alle quote elencate nella sezione [AWS Network Firewall quote](https://docs.aws.amazon.com/network-firewall/latest/developerguide/quotas.html) nella *Network Firewall Developer* Guide.
## Quote flessibili
AWS Firewall Manager prevede quote predefinite sul numero di entità per regione. È possibile [richiedere un aumento](https://console.aws.amazon.com/servicequotas/home/services/fms/quotas) di queste quote.
**Tutti i tipi di policy**
| Risorsa | Quota predefinita per regione |
| --- | --- |
| Account per organizzazione in AWS Organizations | Varia. Un invito inviato a un account rientra nel calcolo di questa quota. Il conteggio viene annullato se l'account invitato rifiuta, l'account di gestione annulla l'invito o l'invito scade. |
| Criteri di Firewall Manager per organizzazione in AWS Organizations. | 50. Le specifiche `Global` della regione `US East (N. Virginia) Region` si riferiscono alla stessa regione, pertanto questo limite si applica al totale delle politiche combinate per entrambe. |
| Unità organizzative nell'ambito della politica di Firewall Manager. | 20 |
| Account che rientrano nell'ambito di una politica di Firewall Manager se si includono ed escludono esplicitamente singoli account. | 200 |
| Account che rientrano nell'ambito di una politica di Firewall Manager se non si includono o si escludono esplicitamente singoli account. | 2.500 |
| Account che un'organizzazione AWS Organizations può contenere per l'onboarding dell'organizzazione da parte di Firewall Manager. Il conteggio include l'account amministratore di Firewall Manager. | 10.000 |
| Tag che includono o escludono risorse in base alla politica di Firewall Manager. | 8 |
| Numero di set di risorse per account. | 20 |
| Numero di risorse per set di risorse. | 100 |
| Numero di set di risorse per policy di Firewall Manager. | 5 |
**AWS WAF politiche**
| Risorsa | Quota predefinita per regione |
| --- | --- |
| AWS WAF gruppi di regole per account amministratore di Firewall Manager. | 100 |
| AWS WAF Gruppi di regole classici per account amministratore di Firewall Manager. | 10 |
| Gruppi di regole per AWS WAF policy. | 50 |
| Gruppi di regole partner per AWS WAF politica. | 1 |
**Policy di gruppo di sicurezza comuni**
| Risorsa | Quota predefinita per regione. |
| --- | --- |
| Gruppi di sicurezza primari per policy. | 3 |
| Istanze Amazon VPC ripartite per policy per account, incluse quelle condivise. VPCs | 100 |
**Policy di gruppo di sicurezza del controllo dei contenuti**
| Risorsa | Quota predefinita per regione |
| --- | --- |
| Verifica i gruppi di sicurezza per policy. | 1 |
| Applicazioni per elenco di applicazioni. | 50 |
| Elenchi di applicazioni gestite personalizzate per le regole che consentono tutto il traffico. | 1 |
| Elenchi di applicazioni gestite personalizzati per regole di policy. | 1 |
| Elenchi di applicazioni gestite personalizzate per account. | 10 |
| Protocolli per elenco di protocolli. | 5 |
| Elenchi di protocolli gestiti personalizzati per qualsiasi impostazione di una politica. | 1 |
| Elenchi di protocolli gestiti personalizzati per account. | 10 |
**Politiche ACL di rete**
| Risorsa | Quota predefinita per regione |
| --- | --- |
| Numero di regole in entrata per policy ACL di rete, utilizzate per la prima o l'ultima regola. Ad esempio, puoi avere 5 prime e 0 ultime regole in entrata oppure 2 prime e 3 ultime, ma non puoi avere 4 prime e 2 ultime. | 5 |
| Numero di regole in uscita per policy ACL di rete, utilizzate per la prima o l'ultima regola. Ad esempio, puoi avere 5 prime e 0 ultime regole in uscita oppure 2 prime e 3 ultime, ma non puoi avere 4 prime e 2 ultime. | 5 |
**Politiche del Network Firewall**
| Risorsa | Quota predefinita per regione |
| --- | --- |
| Il numero di criteri IPV4 CIDRs che è possibile fornire per una singola policy. | 50 |
| Capacità del gruppo di regole Stateful per policy Network Firewall. | 30.000 |
**Politiche DNS Firewall**
| Risorsa | Quota predefinita per regione |
| --- | --- |
| Gruppi di regole DNS Firewall per policy DNS Firewall. | 2 |
## Quote rigide
Le seguenti quote per regione relative a non AWS Firewall Manager possono essere modificate.
**Tutti i tipi di policy**
| Risorsa | Quota per regione |
| --- | --- |
| Il numero massimo di amministratori di Firewall Manager che è possibile avere in un' AWS Organizations organizzazione. È necessario avere un amministratore predefinito e fino a nove amministratori di Firewall Manager aggiuntivi. | 10 |
**AWS WAF politiche**
| Risorsa | Quota per regione |
| --- | --- |
| Unità di capacità ACL Web (WCU) totali per i gruppi di regole in una policy AWS WAF . | 5.000 |
**AWS WAF Politiche classiche**
| Risorsa | Quota per regione |
| --- | --- |
| AWS WAF Gruppi di regole classici per politica. | 2:1 gruppo di regole creato dal cliente e 1 gruppo di Marketplace AWS regole. |
| AWS WAF Regole classiche per gruppo di regole Firewall Manager AWS WAF Classic. | 10 |
**Politiche del Network Firewall**
| Risorsa | Quota per regione |
| --- | --- |
| È possibile rimediare automaticamente a VPCs tale numero per una singola policy. | 1.000 |
| Gruppi di regole stateless per policy Network Firewall. | 20 |
| Gruppi di regole con stato per policy Network Firewall. | 20 |
| Capacità del gruppo di regole stateless per policy Network Firewall. | 30.000 |
# Migrazione del AWS WAF Classic Web ACLs in Firewall Manager
Esistono due scenari in cui Firewall Manager potrebbe utilizzare il AWS WAF Classic WebACLs:
1. Con una AWS WAF Classic politica
1. Con una politica Shield Advanced creata prima di gennaio 2022
## Migrazione del Web ACLs nelle politiche AWS WAF Classic
Per migrare il Web ACLs da una AWS WAF Classic policy, è necessario prima migrare qualsiasi gruppo di regole verso i gruppi di AWS WAF Classic regole AWS WAF (v2). Quindi è possibile creare una nuova politica utilizzando i gruppi di regole migrati.
1. Migra i tuoi gruppi di AWS WAF Classic regole verso i gruppi di regole AWS WAF (v2) usando questo script di migrazione: [AWS WAF bulk](https://github.com/aws-samples/sample-for-waf-classic-to-wafv2-migrate-and-cleanup/tree/main/scripts/waf-classic-migration ) migration script.
1. Crea una nuova AWS WAF politica con le seguenti impostazioni:
+ Usa i gruppi di regole appena migrati AWS WAF (v2)
+ Abilita la riparazione automatica
1. Per ogni account che desideri migrare:
1. Rimuovi l'account dalla vecchia politica AWS WAF Classic
1. Attendere circa 2-3 minuti
1. Aggiungi l'account all'ambito della nuova AWS WAF politica
1. (Facoltativo) Utilizza il filtro dei tag di risorse per restringere l'ambito della policy a risorse specifiche
1. Verifica la migrazione:
1. Conferma che la nuova AWS WAF policy ha creato v2 web ACLs
1. Verificare che Firewall Manager abbia associato il nuovo Web ACLs alle risorse appropriate
## Migrazione del Web ACLs nelle politiche avanzate di Shield
La mitigazione automatica del livello di applicazione DDo S in Firewall Manager funziona solo con ACLs i Web creati utilizzando AWS WAF (v2). Se desideri utilizzare la mitigazione automatica nelle tue politiche di Firewall Manager e le tue politiche attualmente utilizzano il AWS WAF Classic web ACLs, devi migrarle a AWS WAF (v2). È possibile migrare tutto il Web ACLs contemporaneamente o migrarli un account alla volta.
### Migrazione di tutto il Web contemporaneamente ACLs
Per migrare contemporaneamente tutto il Web ACLs nella tua policy Shield Advanced, puoi utilizzare la funzione di correzione automatica della policy:
1. Apri la console di Firewall Manager all'indirizzo [https://console.aws.amazon.com/wafv2/fms](https://console.aws.amazon.com/wafv2/fms).
1. Scegli la tua politica Shield Advanced.
1. Abilita la riparazione automatica e scegli l'opzione per sostituire il AWS WAF Classic web ACLs con AWS WAF (v2) web. ACLs
Firewall Manager crea un nuovo Web AWS WAF ACLs (v2) in base alle esigenze e gestisce la migrazione delle associazioni di risorse dal Web classico al Web v2. ACLs
### Migrazione di ACLs un account Web alla volta
Per migrare ACLs un account Web alla volta, procedi nel seguente modo:
1. Crea una nuova politica Shield Advanced con le seguenti impostazioni:
+ *Imposta la mitigazione automatica del livello DDo di applicazione S su Disabilitato*
+ Abilita la riparazione automatica
1. Per ogni account che desideri migrare:
1. Rimuovi l'account dalla vecchia politica Shield Advanced
1. Attendere circa 2-3 minuti
1. Aggiungi l'account all'ambito della nuova politica Shield Advanced
1. (Facoltativo) Utilizza il filtro dei tag di risorse per restringere l'ambito della politica a risorse specifiche
1. Verifica la migrazione:
1. Conferma che la nuova policy Shield Advanced ha creato AWS WAF (v2) web ACLs
1. Verificare che Firewall Manager abbia associato il nuovo Web ACLs alle risorse appropriate