As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Como usar políticas da lista de controle de acesso (ACL) de rede da Amazon VPC com o Firewall Manager
Esta seção aborda como as políticas de ACL de AWS Firewall Manager rede funcionam e fornece orientação para usá-las. Para obter orientação sobre como criar uma política de ACL de rede usando o console, consulte Como criar uma política de ACL de rede.
Para obter informações sobre as listas de controle de acesso à rede da Amazon VPC (ACLs), consulte Controle o tráfego para sub-redes usando a rede no Guia do usuário ACLs da Amazon VPC.
Você pode usar as políticas de ACL de rede do Firewall Manager para gerenciar as listas de controle de acesso à rede () da Amazon Virtual Private Cloud ACLs (Amazon VPC) para sua organização em. AWS Organizations Você define as configurações da regra de ACL de rede da política e as contas e sub-redes nas quais deseja que as configurações sejam aplicadas. O Firewall Manager aplica continuamente suas configurações de política a contas e sub-redes à medida que são adicionados ou atualizados em toda a organização. Para obter informações sobre o escopo da política e AWS Organizations, consulte Usando o escopo AWS Firewall Manager da política o Guia AWS Organizations do Usuário.
Ao definir uma política de ACL de rede do Firewall Manager, além das configurações padrão da política do Firewall Manager, como nome e escopo, você fornece o seguinte:
A primeira e a última regra para tratamento de tráfego de entrada e de saída. O Firewall Manager impõe a presença e a ordem desses itens na rede ACLs que estão no escopo da política ou relata a não conformidade. Suas contas individuais podem criar regras personalizadas para serem executadas entre a primeira e a última regra da política.
Se deve forçar a correção quando a correção resultar em conflitos de gerenciamento de tráfego entre as regras na ACL da rede. Isso se aplica somente quando a correção está habilitada para a política.
Práticas recomendadas para usar políticas de ACL de rede do Firewall Manager
Esta seção lista recomendações para trabalhar com as políticas de ACL de rede e a rede ACLs gerenciada do Firewall Manager.
Consulte a FMManaged tag para identificar as redes ACLs que são gerenciadas pelo Firewall Manager
A rede ACLs que o Firewall Manager gerencia tem a FMManaged tag definida comotrue. Use essa tag para ajudar a distinguir sua própria rede personalizada ACLs das que você gerencia por meio do Firewall Manager.
Não modifique o valor da tag FMManaged em uma ACL de rede
O Firewall Manager usa essa tag para definir e determinar seu status de gerenciamento com uma ACL de rede.
Não modifique as associações para sub-redes que tenham uma rede gerenciada pelo Firewall Manager ACLs
Não altere manualmente as associações entre suas sub-redes e nenhuma rede ACLs gerenciada pelo Firewall Manager. Isso pode desativar a capacidade do Firewall Manager de gerenciar as proteções dessas sub-redes. Você pode identificar redes ACLs que são gerenciadas pelo Firewall Manager procurando as configurações de FMManaged tag detrue.
Para remover uma sub-rede do gerenciamento de políticas do Firewall Manager, use as configurações do escopo da política do Firewall Manager para excluir a sub-rede. Por exemplo, você pode marcar a sub-rede e depois excluir essa tag do escopo da política. Para obter mais informações, consulte Usando o escopo AWS Firewall Manager da política.
Ao atualizar uma ACL de rede gerenciada, não modifique as regras gerenciadas pelo Firewall Manager.
Em uma ACL de rede gerenciada pelo Firewall Manager, mantenha suas regras personalizadas separadas das regras de política seguindo o esquema de numeração descrito em Como usar regras de ACL de rede e tags no Firewall Manager. Adicione ou modifique somente regras que tenham números entre 5000 e 32 000.
Evite adicionar muitas regras aos limites da sua conta
Durante a correção de uma ACL de rede, o Firewall Manager geralmente aumenta temporariamente a contagem de regras de ACL de rede. Para evitar problemas de não conformidade, verifique se você tem espaço suficiente para as regras que está usando. Para obter mais informações, consulte Como o Firewall Manager corrige a rede gerenciada não compatível ACLs.
Comece com a correção automática desabilitada
Comece com a correção automática desativada e revise as informações de detalhes da política para determinar os efeitos que a correção automática teria. Quando você estiver satisfeito com as alterações, edite a política para habilitar a correção automática.
Advertências da política de ACL de rede do Firewall Manager
Esta seção lista as advertências e limitações do uso das políticas de ACL de rede do Firewall Manager.
-
Tempos de atualização mais lentos do que com outras políticas — O Firewall Manager geralmente aplica políticas de ACL de rede e mudanças de políticas mais lentamente do que com outras políticas do Firewall Manager, devido às limitações na taxa na qual a ACL de EC2 rede da Amazon APIs é capaz de processar solicitações. Você pode notar que as alterações de política demoram mais do que alterações semelhantes em outras políticas do Firewall Manager, especialmente quando você adiciona uma política pela primeira vez.
-
Para proteção inicial da sub-rede, o Firewall Manager prefere políticas mais antigas: isso se aplica somente às sub-redes que ainda não estão protegidas por uma política de ACL de rede do Firewall Manager. Se uma sub-rede entrar no escopo de mais de uma política de ACL de rede ao mesmo tempo, o Firewall Manager usará a política mais antiga para proteger a sub-rede.
-
Motivos para uma política parar de proteger uma sub-rede: uma política que gerencia a rede ACL de uma sub-rede retém o gerenciamento até que uma das seguintes situações aconteça:
-
A sub-rede está fora do escopo da política.
-
A política é excluída.
-
Você altera manualmente a associação da sub-rede a uma ACL de rede gerenciada por uma política diferente do Firewall Manager e da qual a sub-rede está no escopo.
-
Tópicos
