Etapa 1: designar uma conta de administrador do Firewall Manager Etapa 2: criar um grupo de regras usando a conta de administrador do Firewall Manager Etapa 3: criar uma política do Firewall Manager e associar o grupo de regras comuns Etapa 4: Adicionar regras específicas de contas Conclusão

Tutorial: Criar uma política do AWS Firewall Manager com regras hierárquicas

nota

Essa é a documentação do AWS WAF Classic. Você só deve usar essa versão se tiver criado AWS WAF recursos, como regras e ACLs da web, AWS WAF antes de novembro de 2019 e ainda não os tiver migrado para a versão mais recente. Para migrar os recursos, consulte Migrando seus recursos AWS WAF clássicos para AWS WAF.

Para obter a versão mais recente do AWS WAF, consulteAWS WAF.

Com AWS Firewall Manager, você pode criar e aplicar políticas de proteção AWS WAF clássicas que contêm regras hierárquicas. Ou seja, você pode criar e impor regras de forma centralizada, mas delegar a criação e a manutenção de regras específicas de contas para outras pessoas. Você pode monitorar as regras (comuns) aplicadas de forma centralizada para qualquer remoção acidental ou inépcia, garantindo, assim, que elas sejam aplicadas de forma consistente. As regras especificas de contas adicionam mais proteção personalizada para as necessidades de equipes individuais.

nota

Na versão mais recente do AWS WAF, esse recurso é incorporado e não requer nenhum tratamento especial. Se você ainda não estiver usando o AWS WAF Classic, use a versão mais recente. Consulte Criação de uma AWS Firewall Manager política para AWS WAF.

O tutorial a seguir descreve como criar um conjunto hierárquico de regras de proteção.

Tópicos

Etapa 1: designar uma conta de administrador do Firewall Manager
Etapa 2: criar um grupo de regras usando a conta de administrador do Firewall Manager
Etapa 3: criar uma política do Firewall Manager e associar o grupo de regras comuns
Etapa 4: Adicionar regras específicas de contas
Conclusão

Etapa 1: designar uma conta de administrador do Firewall Manager

Para usar AWS Firewall Manager, você deve designar uma conta em sua organização como a conta de administrador do Firewall Manager. Essa conta pode ser a conta de gerenciamento ou uma conta-membro na organização.

Você pode usar a conta de administrador do Firewall Manager para criar um conjunto de regras comuns que se aplicam a outras contas na organização. Outras contas na organização não podem alterar essas regras aplicadas de forma centralizada.

Para designar uma conta como uma conta de administrador do Firewall Manager e concluir outros pré-requisitos para usar o Firewall Manager, consulte as instruções em AWS Firewall Manager pré-requisitos. Se você já tiver concluído os pré-requisitos, vá para a etapa 2 deste tutorial.

Neste tutorial, chamamos a conta de administrador de Firewall-Administrator-Account.

Etapa 2: criar um grupo de regras usando a conta de administrador do Firewall Manager

Depois, crie um grupo de regras usando Firewall-Administrator-Account. Esse grupo de regras contém as regras comuns que você aplicará a todas as contas-membro sujeitas à política que você criar na próxima etapa. Só Firewall-Administrator-Account pode fazer alterações nessas regras e no grupo de regras de contêiner.

Neste tutorial, chamamos esse grupo de regras de contêiner de Common-Rule-Group.

Para criar um grupo de regras, consulte as instruções em Criação de um grupo de regras AWS WAF clássico. Lembre-se de fazer login no console usando sua conta de administrador do Firewall Manager (Firewall-Administrator-Account) ao seguir estas instruções.

Etapa 3: criar uma política do Firewall Manager e associar o grupo de regras comuns

Usando Firewall-Administrator-Account, crie uma política do Firewall Manager. Ao criar essa política, faça o seguinte:

Adicione Common-Rule-Group à nova política.
Inclua todas as contas na organização às quais você deseja aplicar Common-Rule-Group.
Adicione todos os recursos aos quais você deseja aplicar Common-Rule-Group.

Para obter instruções sobre como criar uma política, consulte Criação de uma AWS Firewall Manager política.

Isso cria uma web ACL em cada conta especificada e adiciona Common-Rule-Group a cada uma dessas web ACLs. Depois de criar a política, essa web ACL e regras comuns são implantadas em todas as contas especificadas.

Neste tutorial, chamamos essa web ACL de Administrator-Created-ACL. Uma Administrator-Created-ACL exclusiva agora existe em cada conta-membro especificada da organização.

Etapa 4: Adicionar regras específicas de contas

Cada conta-membro na organização agora pode adicionar suas próprias regras específicas de contas à Administrator-Created-ACL existente na conta. As regras comuns já existentes Administrator-Created-ACL continuam a ser aplicadas, juntamente com as novas regras específicas da conta. AWS WAF inspeciona solicitações da web com base na ordem em que as regras aparecem na ACL da web. Isso se aplica à Administrator-Created-ACL e às regras específicas de contas.

Para adicionar regras ao Administrator-Created-ACL, consulte Edição de uma web ACL.

Conclusão

Você agora tem uma web ACL que contém regras comuns administradas pela conta de administrador do Firewall Manager, bem como as regras específicas mantidas por cada conta-membro.

A Administrator-Created-ACL em cada conta faz referência ao Common-Rule-Group único. Portanto, futuras alterações feitas pela conta de administrador do Firewall Manager em Common-Rule-Group serão aplicadas imediatamente a cada conta-membro.

As contas-membro não podem alterar nem remover as regras comuns em Common-Rule-Group.

As regras específicas de contas não afetam outras contas.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Etapa 4: criar e aplicar uma política AWS Firewall ManagerAWS WAF clássica

Registrar em log as informações de tráfego da web ACL