Criação de uma AWS Firewall Manager política

Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte Pré-requisitos da AWS Firewall Manager.

No painel de navegação, escolha Políticas de segurança.

Escolha Criar política.

Em Tipo de política, escolha AWS WAF.

Para Região, escolha um Região da AWS. Para proteger as CloudFront distribuições da Amazon, escolha Global.

Para proteger recursos em várias regiões (exceto CloudFront distribuições), você deve criar políticas separadas do Firewall Manager para cada região.

Escolha Próximo.

Em Nome da política, insira um nome descritivo. O Firewall Manager inclui o nome da política nos nomes da web ACLs que ele gerencia. Os ACL nomes da Web são FMManagedWebACLV2- seguidos pelo nome da política que você insere aqui e pelo timestamp de ACL criação da Web, em UTC milissegundos. - Por exemplo, FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

Para a inspeção do corpo da solicitação da web, altere opcionalmente o limite de tamanho do corpo. Para obter informações sobre os limites de tamanho da inspeção do corpo, incluindo considerações de preços, consulte Como gerenciar limites de tamanho de inspeção de corpo para AWS WAF no Guia do desenvolvedor de AWS WAF .

Em Regras de política, adicione os grupos de regras que você AWS WAF deseja avaliar primeiro e por último na webACL. Para usar o controle de versão de grupos de regras AWS WAF gerenciados, ative a opção Ativar controle de versão. Os gerentes de contas individuais podem adicionar regras e grupos de regras entre os primeiros e os últimos grupos de regras. Para obter mais informações sobre o uso de grupos de AWS WAF regras nas políticas do Firewall Manager para AWS WAF, consulteUsando AWS WAF políticas com o Firewall Manager.

(Opcional) Para personalizar como sua web ACL usa o grupo de regras, escolha Editar. A seguir, são mostradas as configurações de personalização comuns:

Ao concluir suas configurações, escolha Salvar regra.

Defina a ação padrão para a webACL. Essa é a ação que AWS WAF é executada quando uma solicitação da web não corresponde a nenhuma das regras na webACL. Você pode adicionar cabeçalhos personalizados com a ação Permitir ou respostas personalizadas para a ação Bloquear. Para obter mais informações sobre ACL ações web padrão, consulteComo definir a ação padrão da ACL da Web no AWS WAF. Para obter informações sobre como configurar solicitações e respostas personalizadas da web, consulte Solicitações e respostas personalizadas da web no AWS WAF.

Em Configuração de registro em log, escolha Ativar registro em log para ativar o registro em log. O registro fornece informações detalhadas sobre o tráfego que é analisado pela sua webACL. Escolha o Destino de registro em log e, em seguida, escolha o destino de registro em log que você configurou. Você deve escolher um destino de registro em log cujo nome comece com aws-waf-logs-. Para obter informações sobre como configurar um destino de AWS WAF registro, consulteUsando AWS WAF políticas com o Firewall Manager.

(Opcional) Se você não deseja que determinados campos e seus valores sejam incluídos nos logs, edite esses campos. Selecione o campo para editar e, em seguida, selecione Adicionar. Repita conforme necessário para editar campos adicionais. Os campos editados são exibidos como REDACTED nos logs. Por exemplo, se você editar o campo URI, o campo URI nos logs será REDACTED.

(Opcional) Se você não quiser enviar todas as solicitações para os logs, adicione seus critérios e comportamento de filtragem. Em Filtrar logs, para cada filtro que você deseja aplicar, escolha Adicionar filtro, escolha seus critérios de filtragem e especifique se deseja manter ou eliminar solicitações que correspondam aos critérios. Ao terminar de adicionar filtros, se necessário, modifique o Comportamento de registro de logs padrão. Para obter mais informações, consulte Como encontrar seus registros da ACL da Web no Guia do desenvolvedor do AWS WAF .

Você pode definir uma Lista de domínios de tokens para permitir o compartilhamento de tokens entre aplicativos protegidos. Os tokens são usados pelo CAPTCHA and Challenge ações e pela integração de aplicativos SDKs que você implementa ao usar os grupos de regras AWS gerenciadas para controle de AWS WAF fraudes, prevenção de aquisição de contas (ATP) e controle de AWS WAF bots.

Não são permitidos sufixos públicos. Por exemplo, você não pode usar gov.au ou co.uk como um domínio de token.

Por padrão, AWS WAF aceita tokens somente para o domínio do recurso protegido. Se você adicionar domínios de token nessa lista, AWS WAF aceitará tokens para todos os domínios na lista e para o domínio do recurso associado. Para obter mais informações, consulte Configuração da lista de domínios de tokens da ACL da Web no AWS WAF no Guia do desenvolvedor do AWS WAF .

Você só pode alterar os tempos ACL de imunidade CAPTCHA e desafiar os tempos de imunidade ao editar uma web existenteACL. Você pode encontrar essas configurações na página Detalhes da Política do Firewall Manager. Para obter informações sobre essas configurações, consulte Como configurar a expiração de timestamps e tempos de imunidade de token no AWS WAF. Se você atualizar as configurações da lista de domínios Association config CAPTCHA, Challenge ou Token em uma política existente, o Firewall Manager substituirá sua web local pelos ACLs novos valores. No entanto, se você não atualizar as configurações da lista de domínios Association Config CAPTCHA, Challenge ou Token da política, os valores em sua web local ACLs permanecerão inalterados. Para obter mais informações sobre esta opção, consulte CAPTCHA e Challenge no AWS WAF no Guia do desenvolvedor AWS WAF .

Em ACLGerenciamento da Web, escolha como o Firewall Manager gerencia a ACL criação e a limpeza da Web.

1. Em Gerenciar web não associada ACLs, escolha se o Firewall Manager gerencia a web não associada. ACLs Com essa opção, o Firewall Manager cria a web ACLs para as contas dentro do escopo da política somente se a web ACLs for usada por pelo menos um recurso. Quando uma conta entra no escopo da política, o Firewall Manager cria automaticamente uma web ACL na conta se pelo menos um recurso a usar.

   Quando você ativa essa opção, o Firewall Manager executa uma limpeza única da web não associada ACLs em sua conta. O processo de limpeza pode levar várias horas. Se um recurso sair do escopo da política após o Firewall Manager criar uma webACL, o Firewall Manager desassociará o recurso da webACL, mas não limpará a web não associada. ACL O Firewall Manager só limpa a web não associada ACLs quando você ativa pela primeira vez o gerenciamento da web não associada ACLs na política.

2. Para a ACLfonte da Web, especifique se deseja criar toda a nova Web ACLs para recursos dentro do escopo ou se deseja modernizar a Web existente ACLs sempre que possível. O Firewall Manager pode modernizar sites ACLs pertencentes a contas dentro do escopo.

   O comportamento padrão é criar uma web totalmente novaACLs. Se você escolher essa opção, toda a web ACLs gerenciada pelo Firewall Manager terá nomes que começam comFMManagedWebACLV2. Se você optar por modernizar a web existenteACLs, a web adaptada ACLs terá seus nomes originais e as criadas pelo Firewall Manager terão nomes que começam com. FMManagedWebACLV2

Em Ação de política, se você quiser criar uma web ACL em cada conta aplicável na organização, mas ainda não aplicar a web ACL a nenhum recurso, escolha Identificar recursos que não estejam em conformidade com as regras da política, mas não corrijam automaticamente e não escolha Gerenciar web não associada. ACLs É possível alterar essas opções mais tarde.

Se, em vez disso, quiser aplicar automaticamente a política aos recursos existentes no escopo, escolha Auto remediate any noncompliant resources (Corrigir automaticamente quaisquer recursos não compatíveis). Se a opção Gerenciar a Web não associada ACLs estiver desativada, a opção Remediar automaticamente qualquer recurso não compatível cria uma Web ACL em cada conta aplicável na organização e associa a Web ACL aos recursos nas contas. Se a opção Gerenciar a Web não associada ACLs estiver ativada, a opção Remediar automaticamente quaisquer recursos não compatíveis somente criará e associará uma Web ACL em contas que tenham recursos elegíveis para associação à Web. ACL

Ao escolher Remediar automaticamente quaisquer recursos não compatíveis, você também pode optar por remover ACL associações da Web existentes dos recursos dentro do escopo, para a Web ACLs que não são gerenciados por outra política ativa do Firewall Manager. Se você escolher essa opção, o Firewall Manager primeiro associará a web da política ACL aos recursos e, em seguida, removerá as associações anteriores. Se um recurso tiver uma associação com outra web ACL gerenciada por outra política ativa do Firewall Manager, essa escolha não afetará essa associação.

Escolha Próximo.

Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

É possível escolher apenas uma das opções.

Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma OU, ao adicionar uma conta à OU a qualquer uma de suas filhasOUs, o Firewall Manager aplicará automaticamente a política à nova conta.

Em Tipo de recurso, escolha os tipos de recurso que você deseja proteger.

Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags para definir o escopo da política, consulteUsando o escopo AWS Firewall Manager da política.

As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Escolha Próximo.

Em Tags de política, adicione quaisquer tags de identificação desejadas para o recurso de política do Firewall Manager. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

Escolha Próximo.

Revise as novas configurações de política e retorne às páginas em que você precise fazer ajustes.

Quando estiver satisfeito com a política, escolha Criar política. No painel Políticas do AWS Firewall Manager , a política deve estar listada. Ela provavelmente estará indicada como Pendente nos cabeçalhos de contas e indicará o status da configuração Correção automática. A criação de uma política pode levar vários minutos. Depois que o status Pendente for substituído por contagens de conta, será possível escolher o nome da política para explorar o status de conformidade das contas e dos recursos. Para obter mais informações, consulte Visualizando as informações de conformidade de uma AWS Firewall Manager política

Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte Pré-requisitos da AWS Firewall Manager.

No painel de navegação, escolha Políticas de segurança.

Escolha Criar política.

Em Tipo de política, escolha AWS WAF Classic.

Se você já criou o grupo de regras AWS WAF clássico que deseja adicionar à política, escolha Criar uma AWS Firewall Manager política e adicionar grupos de regras existentes. Se você deseja criar um novo grupo de regras, escolha Criar uma política do Firewall Manager e adicione um novo grupo de regras.

Para Região, escolha um Região da AWS. Para proteger os CloudFront recursos da Amazon, escolha Global.

Para proteger recursos em várias regiões (exceto CloudFront recursos), você deve criar políticas separadas do Firewall Manager para cada região.

Escolha Próximo.

Se você estiver criando um grupo de regras, siga as instruções em Criar um grupo de regras do AWS WAF Classic. Depois de criar o grupo de regras, continue com as etapas a seguir.

Insira um nome de política.

Se você estiver adicionando um grupo de regras existente, use o menu suspenso para selecionar um grupo de regras para adicionar e escolha Add rule group (Adicionar grupo de regras).

Uma política executa duas ações possíveis: Action set by rule group (Ação definida pelo grupo de regras) e Count (Contar). Se você quiser testar a política e o grupo de regras, defina a ação como Count (Contar). Essa ação substitui qualquer ação de bloqueio especificada pelas regras no grupo. Em outras palavras, se a ação da política for definida como Count (Contar), as solicitações serão apenas contadas, e não bloqueadas. Por outro lado, se você definir a ação da política como Action set by rule group (Ação definida pelo grupo de regras), as ações do grupo de regras serão usadas. Escolha a ação apropriada.

Escolha Próximo.

Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

É possível escolher apenas uma das opções.

Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma OU, ao adicionar uma conta à OU a qualquer uma de suas filhasOUs, o Firewall Manager aplicará automaticamente a política à nova conta.

Escolha o tipo de recurso que você deseja proteger.

Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags para definir o escopo da política, consulteUsando o escopo AWS Firewall Manager da política.

As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Se você deseja aplicar automaticamente a política aos recursos existentes, escolha Create and apply this policy to existing and new resources (Criar e aplicar esta política a recursos novos e existentes).

Essa opção cria uma web ACL em cada conta aplicável dentro de uma AWS organização e associa a web ACL aos recursos nas contas. Essa opção também aplica a política a todos os recursos novos que correspondam aos critérios mencionados anteriormente (tipo de recurso e tags). Como alternativa, se você escolher Criar política, mas não aplicar a política a recursos novos ou existentes, o Firewall Manager criará uma web ACL em cada conta aplicável dentro da organização, mas não aplicará a web ACL a nenhum recurso. Você deverá aplicar a política aos recursos mais tarde. Escolha a opção apropriada.

Em Substituir a Web associada existente ACLs, você pode optar por remover todas ACL as associações da Web atualmente definidas para recursos dentro do escopo e, em seguida, substituí-las por associações à Web ACLs que você está criando com essa política. Por padrão, o Firewall Manager não remove ACL associações web existentes antes de adicionar as novas. Se você quiser remover as existentes, escolha essa opção.

Escolha Próximo.

Analise a nova política. Para fazer quaisquer alterações, escolha Edit (Editar). Quando estiver satisfeito com a política, escolha Create and apply policy (Criar e aplicar política).

Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte Pré-requisitos da AWS Firewall Manager.

No painel de navegação, escolha Políticas de segurança.

Escolha Criar política.

Em Tipo de política, escolha Shield Advanced.

Para criar uma política Shield Advanced, você deve ser assinante do Shield Advanced. Se você não estiver inscrito, será solicitado a fazê-lo. Para obter mais informações sobre o custo, consulte Definição de preço do AWS Shield Advanced.

Para Região, escolha um Região da AWS. Para proteger as CloudFront distribuições da Amazon, escolha Global.

Para opções de região que não sejam Global, para proteger recursos em várias regiões, você deve criar uma política separada do Firewall Manager para cada região.

Escolha Próximo.

Em Nome, insira um nome descritivo.

Somente para políticas de região global, você pode escolher se deseja gerenciar a DDoS mitigação automática da camada de aplicação do Shield Advanced. Para obter informações sobre esse atributo do Shield Advanced, consulte Como automatizar a mitigação de DDoS na camada de aplicativo com o Shield Advanced .

Você pode optar por habilitar ou desabilitar a mitigação automática ou por ignorá-la. Se você optar por ignorá-lo, o Firewall Manager não gerencia a mitigação automática das proteções Shield Advanced. Para obter mais informações sobre essas opções de política, consulte Como usar a mitigação automática de DDoS da camada de aplicativo com as políticas de Firewall Manager do Shield Advanced.

Em ACLGerenciamento da Web, se você quiser que o Firewall Manager gerencie a Web não associadaACLs, habilite Gerenciar a Web não associada. ACLs Com essa opção, o Firewall Manager cria web ACLs nas contas dentro do escopo da política somente se a web ACLs for usada por pelo menos um recurso. Se, a qualquer momento, uma conta entrar no escopo da política, o Firewall Manager criará automaticamente uma web ACL na conta se pelo menos um recurso usar a webACL. Após a ativação dessa opção, o Firewall Manager executa uma limpeza única da web não associada em sua conta. ACLs O processo de limpeza pode levar várias horas. Se um recurso deixar o escopo da política após o Firewall Manager criar uma webACL, o Firewall Manager não desassociará o recurso da webACL. Para incluir a Web ACL na limpeza única, você deve primeiro desassociar manualmente os recursos da Web ACL e depois ativar Gerenciar Web não associada. ACLs

Em Ação da política, recomendamos criar a política com a opção que não corrige automaticamente recursos em não conformidade. Ao desativar a remediação automática, você pode avaliar os efeitos da sua nova política antes de aplicá-la. Quando você estiver satisfeito com as alterações, edite a política e altere a ação da política para habilitar a correção automática de recursos não compatíveis.

Se, em vez disso, quiser aplicar automaticamente a política aos recursos existentes no escopo, escolha Auto remediate any noncompliant resources (Corrigir automaticamente quaisquer recursos não compatíveis). Essa opção aplica as proteções Shield Advanced a cada conta aplicável na AWS organização e a cada recurso aplicável nas contas.

Somente para políticas de região global, se você escolher Remediar automaticamente quaisquer recursos não compatíveis, também poderá optar por fazer com que o Firewall Manager substitua automaticamente todas ACL as associações web AWS WAF clássicas existentes por novas associações à web ACLs que foram criadas usando a versão mais recente do AWS WAF (v2). Se você escolher essa opção, o Firewall Manager removerá as associações com a versão anterior da web ACLs e criará novas associações com a versão mais recente da webACLs, depois de criar uma nova web vazia ACLs em qualquer conta dentro do escopo que ainda não as tenha para a política. Para obter mais informações sobre essa opção, consulte Substitua as web ACLs AWS WAF Classic pelas web ACLs da versão mais recente.

Escolha Próximo.

Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

É possível escolher apenas uma das opções.

Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma OU, ao adicionar uma conta à OU a qualquer uma de suas filhasOUs, o Firewall Manager aplicará automaticamente a política à nova conta.

Escolha o tipo de recurso que você deseja proteger.

O Firewall Manager não é compatível com o Amazon Route 53 ou AWS Global Accelerator. Se você precisar usar o Shield Advanced para proteger os recursos desses serviços, não poderá usar uma política do Firewall Manager. Em vez disso, siga as orientações do Shield Advanced em Adicionar a proteção do AWS Shield Advanced aos recursos da AWS.

Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags para definir o escopo da política, consulteUsando o escopo AWS Firewall Manager da política.

As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Escolha Próximo.

Em Tags de política, adicione quaisquer tags de identificação desejadas para o recurso de política do Firewall Manager. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

Escolha Próximo.

Revise as novas configurações de política e retorne às páginas em que você precise fazer ajustes.

Quando estiver satisfeito com a política, escolha Criar política. No painel Políticas do AWS Firewall Manager , a política deve estar listada. Ela provavelmente estará indicada como Pendente nos cabeçalhos de contas e indicará o status da configuração Correção automática. A criação de uma política pode levar vários minutos. Depois que o status Pendente for substituído por contagens de conta, será possível escolher o nome da política para explorar o status de conformidade das contas e dos recursos. Para obter mais informações, consulte Visualizando as informações de conformidade de uma AWS Firewall Manager política

Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte Pré-requisitos da AWS Firewall Manager.

No painel de navegação, escolha Políticas de segurança.

Escolha Criar política.

Em Tipo de política, escolha Grupo de segurança.

Em Tipo de política de grupo de segurança, escolha Grupos de segurança comuns.

Para Região, escolha um Região da AWS.

Escolha Próximo.

Em Nome da política, insira um nome fácil de lembrar.

Em Policy rules (Regras de política), faça o seguinte:

1. Nas opções de regras, escolha as restrições que você deseja aplicar às regras do grupo de segurança e aos recursos que estão dentro do escopo da política. Se você escolher Distribuir tags do grupo de segurança primário para os grupos de segurança criados por essa política, também deverá selecionar Identificar e relatar quando os grupos de segurança criados por essa política não estiverem em conformidade.

   Importante

   O Firewall Manager não distribuirá tags de sistema adicionadas pelos AWS serviços aos grupos de segurança de réplicas. As tags do sistema começam com o prefixo aws:. Além disso, o Firewall Manager não atualizará as tags dos grupos de segurança existentes nem criará novos grupos de segurança se a política tiver tags que entrem em conflito com a política de tags da organização. Para obter informações sobre políticas de tags, consulte Políticas de tags no Guia AWS Organizations do usuário.

   Se você escolher Distribuir referências de grupos de segurança do grupo de segurança principal para os grupos de segurança criados por essa política, o Firewall Manager distribuirá as referências do grupo de segurança somente se eles tiverem uma conexão de peering ativa na Amazon. VPC Para obter informações sobre essa opção, consulte Configurações de regras de política.

2. Para Grupos de segurança primários, selecione Adicionar grupos de segurança e, em seguida, escolha o grupo de segurança que você deseja usar. O Firewall Manager preenche a lista de grupos de segurança de todas as VPC instâncias da Amazon na conta de administrador do Firewall Manager.

   Por padrão, o número máximo padrão de grupos de segurança primários por política é 3. Para obter mais informações sobre essa configuração, consulte AWS Firewall Manager cotas.

3. Em Ação de política, recomendamos criar a política com a opção que não corrige automaticamente. Isso permite que você avalie os efeitos de sua nova política antes de aplicá-la. Quando você estiver satisfeito com as alterações, edite a política e altere a ação de política para habilitar a correção automática de recursos não compatíveis.

Escolha Próximo.

Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

É possível escolher apenas uma das opções.

Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma OU, ao adicionar uma conta à OU a qualquer uma de suas filhasOUs, o Firewall Manager aplicará automaticamente a política à nova conta.

Em Tipo de recurso, escolha os tipos de recurso que você deseja proteger.

Para a EC2instância do tipo de recurso, você pode optar por remediar todas as EC2 instâncias da Amazon ou somente as instâncias que tenham apenas a interface de rede elástica primária padrão ()ENI. Para a última opção, o Firewall Manager não corrige instâncias que tenham ENI anexos adicionais. Em vez disso, quando a remediação automática está ativada, o Firewall Manager marca apenas o status de conformidade dessas EC2 instâncias e não aplica nenhuma ação de remediação. Veja as advertências e limitações adicionais para o tipo de EC2 recurso da Amazon em. Alertas e limitações da política do grupo de segurança

Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags para definir o escopo da política, consulteUsando o escopo AWS Firewall Manager da política.

As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Em VPCRecursos compartilhados, se você quiser aplicar a política aos recursos compartilhadosVPCs, além dos VPCs que as contas possuem, selecione Incluir recursos do compartilhado VPCs.

Escolha Próximo.

Reveja as configurações de política para ter a certeza de que são o que você quer e escolha Criar política.

Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte Pré-requisitos da AWS Firewall Manager.

No painel de navegação, escolha Políticas de segurança.

Escolha Criar política.

Em Tipo de política, escolha Grupo de segurança.

Em Security group policy type (Tipo de política de grupo de segurança), escolha Auditing and enforcement of security group rules (Auditoria e imposição de regras de grupo de segurança).

Para Região, escolha um Região da AWS.

Escolha Próximo.

Em Nome da política, insira um nome fácil de lembrar.

Para Regras da política, escolha a opção de regras da política gerenciadas ou personalizadas que você deseja usar.

1. Para Configurar regras de política de auditoria gerenciada, faça o seguinte:

   1. Para Configurar regras de grupo de segurança para auditoria, selecione o tipo de regras de grupo de segurança às quais você deseja que sua política de auditoria se aplique.

   2. Se você quiser fazer coisas como regras de auditoria com base nos protocolos, portas e configurações de CIDR intervalo dos seus grupos de segurança, escolha Auditar regras de grupos de segurança excessivamente permissivas e selecione as opções desejadas.

      Para a seleção Regra permite todo o tráfego, você pode fornecer uma lista de aplicativos personalizada para designar os aplicativos que você deseja auditar. Para obter informações sobre listas de aplicativos personalizadas e como usá-las em sua política, consulte Usar listas gerenciadas e Usar listas gerenciadas.

      Para seleções que usam listas de protocolos, você pode usar listas existentes e criar novas listas. Para obter informações sobre listas de protocolos e como usá-las em sua política, consulte Usar listas gerenciadas e Usar listas gerenciadas.

   3. Se você quiser auditar aplicativos de alto risco com base no acesso deles a CIDR intervalos reservados ou não reservados, escolha Auditar aplicativos de alto risco e selecione as opções desejadas.

      As seguintes seleções são mutuamente exclusivas: Aplicativos que podem acessar somente CIDR faixas reservadas e Aplicativos com permissão para acessar faixas não CIDR reservadas. Você pode selecionar no máximo um deles em qualquer política.

      Para seleções que usam listas de aplicativos, você pode usar listas existentes e criar novas listas. Para obter informações sobre listas de aplicativos e como usá-las em sua política, consulte Usar listas gerenciadas e Usar listas gerenciadas.

   4. Use as configurações de Substituição para substituir explicitamente outras configurações na política. Você pode optar por sempre permitir ou sempre negar regras específicas do grupo de segurança, independentemente de elas estarem em conformidade com as outras opções que você definiu para a política.

      Para essa opção, você fornece um grupo de segurança de auditoria como modelo de regras permitidas ou negadas. Para Auditar grupos de segurança, selecione Adicionar auditar grupos de segurança e, em seguida, escolha o grupo de segurança que você deseja usar. O Firewall Manager preenche a lista de grupos de segurança de auditoria de todas as VPC instâncias da Amazon na conta do administrador do Firewall Manager. A cota máxima padrão para o número de grupos de segurança de auditoria para uma política é uma. Para obter informações sobre como aumentar a cota, consulte AWS Firewall Manager cotas.

2. Para Configurar regras de política personalizada, faça o seguinte:

   1. Nas opções de regras, escolha se deseja permitir somente as regras definidas nos grupos de segurança de auditoria ou negar todas as regras. Para obter informações sobre essa opção, consulte Como usar políticas de grupos de segurança de auditoria de conteúdo com o Firewall Manager.

   2. Para Auditar grupos de segurança, selecione Adicionar auditar grupos de segurança e, em seguida, escolha o grupo de segurança que você deseja usar. O Firewall Manager preenche a lista de grupos de segurança de auditoria de todas as VPC instâncias da Amazon na conta do administrador do Firewall Manager. A cota máxima padrão para o número de grupos de segurança de auditoria para uma política é uma. Para obter informações sobre como aumentar a cota, consulte AWS Firewall Manager cotas.

   3. Em Ação da política, você deve criar a política com a opção que não corrige automaticamente. Isso permite que você avalie os efeitos de sua nova política antes de aplicá-la. Quando você estiver satisfeito com as alterações, edite a política e altere a ação de política para habilitar a correção automática de recursos não compatíveis.

Escolha Próximo.

Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

É possível escolher apenas uma das opções.

Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma OU, ao adicionar uma conta à OU a qualquer uma de suas filhasOUs, o Firewall Manager aplicará automaticamente a política à nova conta.

Em Resource type (Tipo de recurso), escolha os tipos de recurso que você deseja proteger.

Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags para definir o escopo da política, consulteUsando o escopo AWS Firewall Manager da política.

As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Escolha Próximo.

Reveja as configurações de política para ter a certeza de que são o que você quer e escolha Criar política.

Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte Pré-requisitos da AWS Firewall Manager.

No painel de navegação, escolha Políticas de segurança.

Escolha Criar política.

Em Tipo de política, escolha Grupo de segurança.

Em Tipo de política de grupo de segurança, escolha Auditing and cleanup of unassociated and redundant security groups (Auditoria e limpeza de grupos de segurança redundantes e não associados).

Para Região, escolha um Região da AWS.

Escolha Próximo.

Em Nome da política, insira um nome fácil de lembrar.

Em Policy rules (Regras de política), escolha uma ou ambas as opções disponíveis.

Em Ação de política, recomendamos criar a política com a opção que não corrige automaticamente. Isso permite que você avalie os efeitos de sua nova política antes de aplicá-la. Quando você estiver satisfeito com as alterações, edite a política e altere a ação de política para habilitar a correção automática de recursos não compatíveis.

Escolha Próximo.

Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

É possível escolher apenas uma das opções.

Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma OU, ao adicionar uma conta à OU a qualquer uma de suas filhasOUs, o Firewall Manager aplicará automaticamente a política à nova conta.

Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags para definir o escopo da política, consulteUsando o escopo AWS Firewall Manager da política.

As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Escolha Próximo.

Se você não excluiu a conta de administrador do Firewall Manager do escopo da política, o Firewall Manager solicitará que você faça isso. Fazer isso deixa os grupos de segurança na conta de administrador do Firewall Manager, que você usa para políticas de grupo de segurança comuns e de auditoria, sob seu controle manual. Escolha a opção que deseja nesta caixa de diálogo.

Reveja as configurações de política para ter a certeza de que são o que você quer e escolha Criar política.

Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte Pré-requisitos da AWS Firewall Manager.

No painel de navegação, escolha Políticas de segurança.

Escolha Criar política.

Em Tipo de política, escolha Rede ACL.

Para Região, escolha um Região da AWS.

Escolha Próximo.

Em Nome da política, insira um nome descritivo.

Em Regras de política, defina as regras que você deseja sempre executar na rede ACLs que o Firewall Manager gerencia para você. A rede ACLs monitora e gerencia o tráfego de entrada e saída, portanto, em sua política, você define as regras para ambas as direções.

Em qualquer direção, você define as regras que deseja sempre executar primeiro e as regras que deseja sempre executar por último. Na rede ACLs gerenciada pelo Firewall Manager, os proprietários da conta podem definir regras personalizadas a serem executadas entre a primeira e a última regra.

Em Ação política, se você quiser identificar sub-redes e redes incompatíveisACLs, mas ainda não tomar nenhuma ação corretiva, escolha Identificar recursos que não estejam em conformidade com as regras da política, mas que não corrijam automaticamente. É possível alterar essas opções mais tarde.

Se, em vez disso, quiser aplicar automaticamente a política às sub-redes existentes no escopo, escolha Corrigir automaticamente quaisquer recursos não compatíveis. Com essa opção, você também especifica se deve forçar a remediação quando o comportamento de tratamento de tráfego das regras de política entrar em conflito com as regras personalizadas que estão na redeACL. Independentemente de você forçar a correção, o Firewall Manager relata regras conflitantes em suas violações de conformidade.

Escolha Próximo.

Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

É possível escolher apenas uma das opções.

Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta diferente. Como outro exemplo, se você incluir uma OU, ao adicionar uma conta à OU a qualquer uma de suas filhasOUs, o Firewall Manager aplicará automaticamente a política à nova conta.

Para Tipo de recurso, a configuração é fixada em Sub-redes.

Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags para definir o escopo da política, consulteUsando o escopo AWS Firewall Manager da política.

As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Escolha Próximo.

Reveja as configurações de política para ter a certeza de que são o que você quer e escolha Criar política.

Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte Pré-requisitos da AWS Firewall Manager.

No painel de navegação, escolha Políticas de segurança.

Escolha Criar política.

Em Tipo de política, escolha AWS Network Firewall.

Em Tipo de gerenciamento de firewall, escolha como você gostaria que o Firewall Manager gerenciasse os firewalls da política. Escolha uma das seguintes opções:

Para Região, escolha um Região da AWS. Para proteger recursos em várias regiões, crie políticas separadas para cada região.

Escolha Próximo.

Em Nome da política, insira um nome descritivo. O Firewall Manager inclui o nome da política nos nomes dos firewalls do Network Firewall e das políticas de firewall que ele cria.

Na configuração da política de AWS Network Firewall , configure a política de firewall como você faria no Network Firewall. Adicione seus grupos de regras sem estado e com estado e especifique as ações padrão da política. Opcionalmente, você pode definir a ordem de avaliação de regras com estado e as ações padrão da política, bem como a configuração de registro. Para obter informações sobre o gerenciamento de políticas de firewall do Network Firewall, consulte as políticas de firewall do AWS Network Firewall no Guia do desenvolvedor do AWS Network Firewall .

Quando você cria a política do Network Firewall do Firewall Manager, o Firewall Manager cria políticas de firewall para as contas que estão dentro do escopo. Gerentes de contas individuais podem adicionar grupos de regras às políticas de firewall, mas não podem alterar a configuração que você fornece aqui.

Escolha Próximo.

Dependendo do tipo de gerenciamento do Firewall que você selecionou na etapa anterior, siga um destes procedimentos:

Escolha Próximo.

Se sua política usa um tipo de gerenciamento de firewall distribuído, em Gerenciamento de rotas, escolha se o Firewall Manager monitorará e alertará sobre o tráfego que deve ser roteado pelos respectivos endpoints do firewall.

Em Tipo de tráfego, adicione opcionalmente os endpoints de tráfego pelos quais você deseja rotear o tráfego para inspeção do firewall.

Em Permitir o tráfego necessário entre A-Z, se você habilitar essa opção, o Firewall Manager tratará como roteamento compatível que envia tráfego de uma zona de disponibilidade para inspeção, para zonas de disponibilidade que não têm seu próprio endpoint de firewall. As zonas de disponibilidade que têm endpoints devem sempre inspecionar seu próprio tráfego.

Escolha Próximo.

Para o Escopo da política, de acordo com as Contas da AWS às quais esta política se aplica, escolha a seguinte opção:

É possível escolher apenas uma das opções.

Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma OU, ao adicionar uma conta à OU a qualquer uma de suas filhasOUs, o Firewall Manager aplicará automaticamente a política à nova conta.

O tipo de recurso para políticas de Firewall de Rede é VPC.

Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags para definir o escopo da política, consulteUsando o escopo AWS Firewall Manager da política.

As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Escolha Próximo.

Em Tags de política, adicione quaisquer tags de identificação desejadas para o recurso de política do Firewall Manager. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

Escolha Próximo.

Revise as novas configurações de política e retorne às páginas em que você precise fazer ajustes.

Quando estiver satisfeito com a política, escolha Criar política. No painel Políticas do AWS Firewall Manager , a política deve estar listada. Ela provavelmente estará indicada como Pendente nos cabeçalhos de contas e indicará o status da configuração Correção automática. A criação de uma política pode levar vários minutos. Depois que o status Pendente for substituído por contagens de conta, será possível escolher o nome da política para explorar o status de conformidade das contas e dos recursos. Para obter mais informações, consulte Visualizando as informações de conformidade de uma AWS Firewall Manager política

Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte Pré-requisitos da AWS Firewall Manager.

No painel de navegação, escolha Políticas de segurança.

Escolha Criar política.

Em Tipo de política, escolha Amazon Route 53 Resolver DNSFirewall.

Para Região, escolha um Região da AWS. Para proteger recursos em várias regiões, crie políticas separadas para cada região.

Escolha Próximo.

Em Nome da política, insira um nome descritivo.

Na configuração da política, adicione os grupos de regras que você deseja que o DNS Firewall avalie primeiro e por último entre suas VPCs “associações de grupos de regras”. Você pode adicionar até dois grupos de regras à política.

Quando você cria a política de firewall do DNS Firewall Manager, o Firewall Manager cria as associações de grupos de regras, com as prioridades de associação que você forneceu, para as contas VPCs e que estão dentro do escopo. Os gerentes de contas individuais podem adicionar associações de grupos de regras entre a primeira e a última associação, mas não podem alterar as associações que você define aqui. Para obter mais informações, consulte Usando políticas de DNS firewall do Amazon Route 53 Resolver no Firewall Manager.

Escolha Próximo.

Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

É possível escolher apenas uma das opções.

Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma OU, ao adicionar uma conta à OU a qualquer uma de suas filhasOUs, o Firewall Manager aplicará automaticamente a política à nova conta.

O tipo de recurso para políticas de DNS firewall é VPC.

Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags para definir o escopo da política, consulteUsando o escopo AWS Firewall Manager da política.

As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Escolha Próximo.

Em Tags de política, adicione quaisquer tags de identificação desejadas para o recurso de política do Firewall Manager. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

Escolha Próximo.

Revise as novas configurações de política e retorne às páginas em que você precise fazer ajustes.

Quando estiver satisfeito com a política, escolha Criar política. No painel Políticas do AWS Firewall Manager , a política deve estar listada. Ela provavelmente estará indicada como Pendente nos cabeçalhos de contas e indicará o status da configuração Correção automática. A criação de uma política pode levar vários minutos. Depois que o status Pendente for substituído por contagens de conta, será possível escolher o nome da política para explorar o status de conformidade das contas e dos recursos. Para obter mais informações, consulte Visualizando as informações de conformidade de uma AWS Firewall Manager política

Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte Pré-requisitos da AWS Firewall Manager.

No painel de navegação, escolha Políticas de segurança.

Escolha Criar política.

Para Tipo de política, escolha Palo Alto Networks Cloud NGFW. Se você ainda não se inscreveu no NGFW serviço de nuvem da Palo Alto Networks no AWS Marketplace, você precisará fazer isso primeiro. Para se inscrever no AWS Marketplace, escolha Exibir detalhes do AWS Marketplace.

Para Modelo de implantação, escolha o Modelo distribuído ou Modelo centralizado. O modelo de implantação determina como o Firewall Manager gerencia os endpoints da política. Com o modelo distribuído, o Firewall Manager mantém os endpoints de firewall em cada um VPC que esteja dentro do escopo da política. Com o modelo centralizado, o Firewall Manager mantém um único endpoint em uma inspeção. VPC

Para Região, escolha um Região da AWS. Para proteger recursos em várias regiões, crie políticas separadas para cada região.

Escolha Próximo.

Em Nome da política, insira um nome descritivo.

Na configuração da política, escolha a política de NGFW firewall da Palo Alto Networks Cloud para associar a essa política. A lista de políticas de NGFW firewall da Palo Alto Networks Cloud contém todas as políticas de NGFW firewall da Palo Alto Networks Cloud associadas ao seu locatário da Palo Alto Networks Cloud. NGFW Para obter informações sobre a criação e o gerenciamento de políticas de NGFW firewall da Palo Alto Networks Cloud, consulte o tópico Implantar o Palo Alto Networks Cloud NGFW for AWS com o AWS Firewall Manager tópico no guia de implantação da Palo Alto Networks Cloud NGFW. AWS

Para NGFWregistro na nuvem da Palo Alto Networks - opcional, opcionalmente, escolha quais tipos de NGFW log da Palo Alto Networks Cloud devem ser registrados para sua política. Para obter informações sobre os tipos de NGFW log do Palo Alto Networks Cloud, consulte Configurar o registro para o Palo Alto Networks Cloud NGFW on AWS no guia de implantação do Palo Alto Networks Cloud NGFW. AWS

Para destino do log, especifique quando o Firewall Manager deve gravar os logs.

Escolha Próximo.

Em Configurar endpoint de firewall de terceiros, faça o seguinte, dependendo se você está usando o modelo de implantação distribuída ou centralizada para criar seus endpoints de firewall:

Se você quiser fornecer os CIDR blocos para o Firewall Manager usar nas sub-redes de firewall em seuVPCs, todos eles devem ser blocos CIDR /28. Insira um bloco por linha. Se você os omitir, o Firewall Manager escolherá endereços IP para você dentre aqueles que estão disponíveis no. VPCs

Escolha Próximo.

Para o Escopo da política, de acordo com as Contas da AWS às quais esta política se aplica, escolha a seguinte opção:

É possível escolher apenas uma das opções.

Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma OU, ao adicionar uma conta à OU a qualquer uma de suas filhasOUs, o Firewall Manager aplicará automaticamente a política à nova conta.

O tipo de recurso para políticas de Firewall de Rede é VPC.

Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags para definir o escopo da política, consulteUsando o escopo AWS Firewall Manager da política.

As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Para Conceder acesso entre contas, escolha Baixar modelo de AWS CloudFormation . Isso baixa um AWS CloudFormation modelo que você pode usar para criar uma AWS CloudFormation pilha. Essa pilha cria uma AWS Identity and Access Management função que concede ao Firewall Manager permissões entre contas para gerenciar os recursos da Palo Alto Networks Cloud. NGFW Para obter informações sobre as pilhas, consulte Trabalhar com pilhas no Guia do usuário do AWS CloudFormation .

Escolha Próximo.

Em Tags de política, adicione quaisquer tags de identificação desejadas para o recurso de política do Firewall Manager. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

Escolha Próximo.

Revise as novas configurações de política e retorne às páginas em que você precise fazer ajustes.

Quando estiver satisfeito com a política, escolha Criar política. No painel Políticas do AWS Firewall Manager , a política deve estar listada. Ela provavelmente estará indicada como Pendente nos cabeçalhos de contas e indicará o status da configuração Correção automática. A criação de uma política pode levar vários minutos. Depois que o status Pendente for substituído por contagens de conta, será possível escolher o nome da política para explorar o status de conformidade das contas e dos recursos. Para obter mais informações, consulte Visualizando as informações de conformidade de uma AWS Firewall Manager política

Faça login no AWS Management Console usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager emhttps://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte Pré-requisitos da AWS Firewall Manager.

No painel de navegação, escolha Políticas de segurança.

Escolha Criar política.

Para Tipo de política, escolha Fortigate Cloud Native Firewall (CNF) as a Service. Se você ainda não se inscreveu no CNFserviço Fortigate no AWS Marketplace, precisará fazer isso primeiro. Para se inscrever no AWS Marketplace, escolha Exibir detalhes do AWS Marketplace.

Para Modelo de implantação, escolha o Modelo distribuído ou Modelo centralizado. O modelo de implantação determina como o Firewall Manager gerencia os endpoints da política. Com o modelo distribuído, o Firewall Manager mantém os endpoints de firewall em cada um VPC que esteja dentro do escopo da política. Com o modelo centralizado, o Firewall Manager mantém um único endpoint em uma inspeção. VPC

Para Região, escolha um Região da AWS. Para proteger recursos em várias regiões, crie políticas separadas para cada região.

Escolha Próximo.

Em Nome da política, insira um nome descritivo.

Na configuração da política, escolha a política de CNF firewall do Fortigate a ser associada a essa política. A lista de políticas de CNF firewall do Fortigate contém todas as políticas de CNF firewall do Fortigate associadas ao seu inquilino do Fortigate. CNF Para obter informações sobre como criar e gerenciar CNF inquilinos do Fortigate, consulte a documentação da Fortinet.

Escolha Próximo.

Em Configurar endpoint de firewall de terceiros, faça o seguinte, dependendo se você está usando o modelo de implantação distribuída ou centralizada para criar seus endpoints de firewall:

Se você quiser fornecer os CIDR blocos para o Firewall Manager usar nas sub-redes de firewall em seuVPCs, todos eles devem ser blocos CIDR /28. Insira um bloco por linha. Se você os omitir, o Firewall Manager escolherá endereços IP para você dentre aqueles que estão disponíveis no. VPCs

Escolha Próximo.

Para o Escopo da política, de acordo com as Contas da AWS às quais esta política se aplica, escolha a seguinte opção:

É possível escolher apenas uma das opções.

Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma OU, ao adicionar uma conta à OU a qualquer uma de suas filhasOUs, o Firewall Manager aplicará automaticamente a política à nova conta.

O tipo de recurso para políticas de Firewall de Rede é VPC.

Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter mais informações sobre tags para definir o escopo da política, consulteUsando o escopo AWS Firewall Manager da política.

As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Para Conceder acesso entre contas, escolha Baixar modelo de AWS CloudFormation . Isso baixa um AWS CloudFormation modelo que você pode usar para criar uma AWS CloudFormation pilha. Essa pilha cria uma AWS Identity and Access Management função que concede ao Firewall Manager permissões entre contas para gerenciar os recursos do CNF Fortigate. Para obter informações sobre as pilhas, consulte Trabalhar com pilhas no Guia do usuário do AWS CloudFormation . Para criar uma pilha, você precisará do ID da conta do portal FortigateCNF.

Escolha Próximo.

Em Tags de política, adicione quaisquer tags de identificação desejadas para o recurso de política do Firewall Manager. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

Escolha Próximo.

Revise as novas configurações de política e retorne às páginas em que você precise fazer ajustes.

Quando estiver satisfeito com a política, escolha Criar política. No painel Políticas do AWS Firewall Manager , a política deve estar listada. Ela provavelmente estará indicada como Pendente nos cabeçalhos de contas e indicará o status da configuração Correção automática. A criação de uma política pode levar vários minutos. Depois que o status Pendente for substituído por contagens de conta, será possível escolher o nome da política para explorar o status de conformidade das contas e dos recursos. Para obter mais informações, consulte Visualizando as informações de conformidade de uma AWS Firewall Manager política