Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Tutorial: creazione di una policy AWS Firewall Manager con regole gerarchiche
avvertimento
AWS WAF Il supporto classico terminerà il 30 settembre 2025.
Nota
Questa è la documentazione della AWS WAF versione classica. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e webACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito webACLs, consulta. Migrazione delle risorse AWS WAF Classic a AWS WAF
Per la versione più recente di AWS WAF, vediAWS WAF.
Con AWS Firewall Manager, è possibile creare e applicare politiche di protezione AWS WAF classiche che contengono regole gerarchiche. In altre parole, è possibile creare e applicare determinate regole in modo centralizzato, ma delegare la creazione e la gestione di regole specifiche per account ad altri individui. È possibile monitorare le regole (comuni) applicate in modo centralizzato per rilevare eventuali rimozioni o manomissioni accidentali in modo da accertarsi che vengano applicate costantemente. Le regole specifiche per account aggiungono un'ulteriore protezione personalizzata per le esigenze dei singoli team.
Nota
Nell'ultima versione di AWS WAF, questa funzionalità è integrata e non richiede alcuna gestione speciale. Se non stai già utilizzando AWS WAF Classic, utilizza invece la versione più recente. Per informazioni, consulta Creazione di una AWS Firewall Manager politica per AWS WAF.
Il seguente tutorial descrive come creare un set di regole di protezione gerarchiche.
Argomenti
Fase 1: Designare un account amministratore di Firewall Manager
Per utilizzarlo AWS Firewall Manager, è necessario designare un account dell'organizzazione come account amministratore di Firewall Manager. Questo account può essere l'account di gestione o un account membro dell'organizzazione.
È possibile utilizzare l'account amministratore di Firewall Manager per creare un set di regole comuni da applicare ad altri account dell'organizzazione. Gli altri account dell'organizzazione non possono modificare queste regole applicate in modo centralizzato.
Per designare un account come account amministratore di Firewall Manager e completare altri prerequisiti per l'utilizzo di Firewall Manager, vedere le istruzioni riportate in. AWS Firewall Manager prerequisiti Se i prerequisiti sono già stati completati, è possibile passare alla fase 2 di questo tutorial.
In questo tutorial ci si riferisce all'account amministratore come Firewall-Administrator-Account.
Passaggio 2: creare un gruppo di regole utilizzando l'account amministratore di Firewall Manager
Quindi, creare un gruppo di regole utilizzando Firewall-Administrator-Account. Questo gruppo di regole contiene le regole comuni che si applicano a tutti gli account membri gestiti dalla policy creata nella fase successiva. Solo Firewall-Administrator-Account può modificare queste regole e il gruppo di regole contenitore.
In questo tutorial, ci si riferisce a questo gruppo di regole contenitore come Common-Rule-Group.
Per creare un gruppo di regole, consultare le istruzioni in Creazione di un gruppo di regole AWS WAF classico. Ricordarsi di accedere alla console utilizzando l'account amministratore di Firewall Manager (Firewall-Administrator-Account) quando si seguono queste istruzioni.
Fase 3: Creare una policy di Firewall Manager e allegare il gruppo di regole comune
UtilizzandoFirewall-Administrator-Account, crea una policy Firewall Manager. Quando si crea questa policy, è necessario procedere come segue:
-
Aggiungere
Common-Rule-Groupalla nuova policy. -
Includere tutti gli account dell'organizzazione a cui si desidera applicare
Common-Rule-Group. -
Aggiungere tutte le risorse a cui si desidera applicare
Common-Rule-Group.
Per istruzioni sulla creazione di una policy, consultare Creazione di una AWS Firewall Manager politica.
In questo modo viene creato un Web ACL in ogni account specificato e viene aggiunto Common-Rule-Group a ciascuno di tali siti WebACLs. Dopo aver creato la policy, questo sito Web ACL e le regole comuni vengono distribuite a tutti gli account specificati.
In questo tutorial, ci riferiamo a questo sito web ACL comeAdministrator-Created-ACL. A questo punto esiste un'Administrator-Created-ACL univoca in ogni account membro specificato dell'organizzazione.
Fase 4: aggiunta di regole specifiche per account
Ogni account membro dell'organizzazione ora può aggiungere le proprie regole specifiche per account all'Administrator-Created-ACL che esiste nel loro account. Le regole comuni già in vigore Administrator-Created-ACL continuano ad applicarsi, insieme alle nuove regole specifiche per gli account. AWS WAF esamina le richieste Web in base all'ordine in cui le regole vengono visualizzate nel Web. ACL Ciò vale sia per l'Administrator-Created-ACL che per le regole specifiche per account.
Per aggiungere regoleAdministrator-Created-ACL, vediModificare un Web ACL in AWS WAF.
Conclusioni
Ora hai un Web ACL che contiene regole comuni amministrate dall'account amministratore di Firewall Manager e regole specifiche dell'account gestite da ciascun account membro.
L'Administrator-Created-ACL in ogni account fa riferimento al singolo Common-Rule-Group. Pertanto, le future modifiche apportate dall'account amministratore di Firewall Manager Common-Rule-Group avranno effetto immediato in ogni account membro.
Gli account membri non possono modificare o eliminare le regole comuni in Common-Rule-Group.
Le regole specifiche per account non influiscono su altri account.
