Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo delle policy della lista di controllo degli accessi alla rete (ACL) di Amazon VPC con Firewall Manager
Questa sezione spiega come funzionano le politiche ACL di AWS Firewall Manager rete e fornisce indicazioni per il loro utilizzo. Per indicazioni sulla creazione di una politica ACL di rete utilizzando la console, vedere. Creazione di una politica ACL di rete
Per informazioni sulle liste di controllo degli accessi alla rete Amazon VPC (ACLs), consulta Controllare il traffico verso le sottoreti utilizzando la rete nella ACLs Amazon VPC User Guide.
Puoi utilizzare le policy ACL di rete Firewall Manager per gestire le liste di controllo degli accessi alla rete di Amazon Virtual Private Cloud (Amazon VPC) ACLs () per la tua organizzazione in. AWS Organizations Sei tu a definire le impostazioni delle regole ACL di rete della policy e gli account e le sottoreti in cui desideri che tali impostazioni vengano applicate. Firewall Manager applica continuamente le impostazioni delle policy agli account e alle sottoreti man mano che vengono aggiunti o aggiornati all'interno dell'organizzazione. Per informazioni sull'ambito delle politiche e AWS Organizations, consulta Utilizzo dell'ambito AWS Firewall Manager della politica la Guida per l'AWS Organizations utente.
Quando si definisce un criterio ACL di rete di Firewall Manager, oltre alle impostazioni standard dei criteri di Firewall Manager, come nome e ambito, si fornisce quanto segue:
Prima e ultima regola per la gestione del traffico in entrata e in uscita. Firewall Manager impone la presenza e l'ordinamento nella rete di questi elementi ACLs che rientrano nell'ambito della policy o segnala eventuali non conformità. I singoli account possono creare regole personalizzate da applicare tra la prima e l'ultima regola della policy.
Se forzare la riparazione quando la riparazione comporterebbe conflitti di gestione del traffico tra le regole dell'ACL di rete. Ciò si applica solo quando la correzione è abilitata per la politica.
Procedure consigliate per l'utilizzo delle politiche ACL di rete Firewall Manager
Questa sezione elenca i consigli per l'utilizzo delle politiche ACL di rete e della rete ACLs gestita di Firewall Manager.
Fare riferimento al FMManaged tag per identificare le ACLs reti gestite da Firewall Manager
Il FMManaged tag ACLs è impostato su sulla rete gestita da Firewall Managertrue. Usa questo tag per distinguere la tua rete personalizzata ACLs da quelle gestite tramite Firewall Manager.
Non modificare il valore del FMManaged tag su un ACL di rete
Firewall Manager utilizza questo tag per impostare e determinare lo stato di gestione con un ACL di rete.
Non modificare le associazioni per le sottoreti che dispongono di una rete gestita da Firewall Manager ACLs
Non modificare manualmente le associazioni tra le sottoreti e le reti ACLs gestite da Firewall Manager. In questo modo è possibile disabilitare la capacità di Firewall Manager di gestire le protezioni per tali sottoreti. È possibile identificare le ACLs reti gestite da Firewall Manager cercando le impostazioni dei FMManaged tag ditrue.
Per rimuovere una sottorete dalla gestione delle policy di Firewall Manager, utilizzare le impostazioni dell'ambito dei criteri di Firewall Manager per escludere la sottorete. Ad esempio, è possibile etichettare la sottorete e quindi escludere tale tag dall'ambito delle politiche. Per ulteriori informazioni, consulta Utilizzo dell'ambito AWS Firewall Manager della politica.
Quando aggiorni un ACL di rete gestita, non modificare le regole gestite da Firewall Manager
In un ACL di rete gestito da Firewall Manager, mantieni le regole personalizzate separate dalle regole dei criteri aderendo allo schema di numerazione descritto in. Utilizzo delle regole ACL di rete e dei tag in Firewall Manager Aggiungi o modifica solo regole con numeri compresi tra 5.000 e 32.000.
Evita di aggiungere troppe regole per i limiti del tuo account
Durante la riparazione di un ACL di rete, Firewall Manager di solito aumenta temporaneamente il numero di regole ACL di rete. Per evitare problemi di non conformità, assicurati di avere abbastanza spazio per le regole che stai utilizzando. Per ulteriori informazioni, consulta In che modo Firewall Manager corregge una rete gestita non conforme ACLs.
Avvio con la correzione automatica disabilitata
Inizia con la riparazione automatica disattivata, quindi esamina le informazioni dettagliate sulla politica per determinare gli effetti che avrebbe la riparazione automatica. Quando si è certi che le modifiche sono ciò che si desidera, modificare il criterio per abilitare la correzione automatica.
Avvertenze sulla politica ACL di rete Firewall Manager
Questa sezione elenca gli avvertimenti e le limitazioni per l'utilizzo delle politiche ACL di rete di Firewall Manager.
-
Tempi di aggiornamento più lenti rispetto ad altre politiche: Firewall Manager generalmente applica le politiche ACL di rete e le modifiche alle politiche più lentamente rispetto ad altre politiche di Firewall Manager, a causa delle limitazioni nella velocità con cui l'ACL della EC2 rete Amazon è in grado di APIs elaborare le richieste. Potresti notare che le modifiche ai criteri richiedono più tempo rispetto a modifiche simili con altre politiche di Firewall Manager, in particolare quando aggiungi una politica per la prima volta.
-
Per la protezione iniziale delle sottoreti, Firewall Manager preferisce le policy più vecchie: questo vale solo per le sottoreti che non sono ancora protette da una politica ACL di rete Firewall Manager. Se una sottorete rientra nell'ambito di più di una politica ACL di rete contemporaneamente, Firewall Manager utilizza la politica più vecchia per proteggere la sottorete.
-
Motivi per cui una politica smette di proteggere una sottorete: una politica che gestisce l'ACL di rete per una sottorete mantiene la gestione fino a quando non si verifica una delle seguenti condizioni:
-
La sottorete non rientra nell'ambito della policy.
-
La policy viene eliminata.
-
È possibile modificare manualmente l'associazione della sottorete in un ACL di rete gestito da una politica di Firewall Manager diversa e per il quale la sottorete rientra nell'ambito.
-
Argomenti
