Como usar o escopo da política do AWS Firewall Manager - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced
Configuração de escopo de políticaGerenciar o escopo da política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como usar o escopo da política do AWS Firewall Manager

Esta página explica qual é o escopo da política do Firewall Manager e como ela funciona.

O escopo da política define onde a política se aplica. Você pode aplicar políticas controladas centralmente a todas as suas contas e recursos em sua organização ou em AWS Organizations ou a um subconjunto de suas contas e recursos. Para obter instruções sobre como estabelecer o escopo da política, consulte Criação de uma AWS Firewall Manager política.

Opções do escopo da política em AWS Firewall Manager

Quando você adiciona uma nova conta ou recurso à sua organização, o Firewall Manager o avalia automaticamente em relação às configurações de cada política e aplica a política com base nessas configurações. Por exemplo, você pode optar por aplicar uma política a todas as contas, exceto aos números de conta em uma lista especificada; você também pode optar por aplicar uma política somente aos recursos que tenham todas as tags em uma lista.

Contas da AWS no escopo

As configurações fornecidas para as contas da Contas da AWS afetadas pela política determinam a quais contas da AWS da sua organização aplicar a política será aplicada. Você pode optar por aplicar a política de uma das seguintes maneiras:

  • A todas as contas da organização

  • A apenas uma lista específica de números de contas e unidades organizacionais (OUs) do AWS Organizations incluídas.

  • A todas, com exceção de uma lista específica de números de contas e unidades organizacionais (OUs) do AWS Organizations excluídas

Para obter informações sobre o AWS Organizations, consulte o Guia do usuário do AWS Organizations.

Recursos no escopo

De forma semelhante às configurações para contas em escopo, as configurações fornecidas para recursos determinam quais tipos de recursos no escopo aplicar à política. Você pode escolher uma das seguintes opções:

  • Todos os recursos

  • Recursos que têm todas as tags especificadas

  • Todos os recursos, exceto aqueles que têm todas as tags especificadas

Você só pode especificar tags de recursos com valores não nulos. Se você não fornecer nada para o valor, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Para obter mais informações sobre como marcar seus recursos, consulte Trabalhar com o Tag Editor.

Gerenciamento do escopo da política em AWS Firewall Manager

Quando as políticas estão em vigor, o Firewall Manager as gerencia continuamente e as aplica a novas Contas da AWS e recursos à medida que são adicionados, de acordo com o escopo da política.

Como o Firewall Manager gerencia Contas da AWS e fornece recursos

Se uma conta ou recurso sair do escopo por qualquer motivo, AWS Firewall Manager não removerá automaticamente as proteções nem excluirá os recursos gerenciados pelo Firewall Manager, a menos que você marque a caixa de seleção Remover automaticamente as proteções dos recursos que saem do escopo da política.

nota

A opção Remover automaticamente as proteções dos recursos que saem do escopo da política não está disponível para políticas AWS Shield Advanced ou AWS WAF Classic.

Marcar essa caixa de seleção faz AWS Firewall Manager limpar automaticamente os recursos que o Firewall Manager gerencia para contas quando essas contas saem do escopo da política. Por exemplo, o Firewall Manager desassociará uma web ACL gerenciada pelo Firewall Manager de um recurso protegido do cliente quando esse recurso sair do escopo da política.

Para determinar quais recursos devem ser removidos da proteção quando um recurso do cliente deixa o escopo da política, o Firewall Manager segue estas diretrizes:

  • Comportamento padrão:

    • As regras gerenciadas AWS Config associadas são excluídas. Esse comportamento é independente da caixa de seleção.

    • Todas as listas de controle de acesso ao AWS WAF da web (web ACLs) associadas que não contêm nenhum recurso são excluídas. Esse comportamento é independente da caixa de seleção.

    • Qualquer recurso protegido que saia do escopo permanece associado e protegido. Por exemplo, um Application Load Balancer ou API do API Gateway associado a uma web ACL permanece associado à web ACL e a proteção permanece em vigor.

  • Com a caixa de seleção Remover automaticamente as proteções dos recursos que saem do escopo da política marcada:

    • As regras gerenciadas AWS Config associadas são excluídas. Esse comportamento é independente da caixa de seleção.

    • Todas as listas de controle de acesso ao AWS WAF da web (web ACLs) associadas que não contêm nenhum recurso são excluídas. Esse comportamento é independente da caixa de seleção.

    • Qualquer recurso protegido que saia do escopo é automaticamente desassociado e removido da proteção do Firewall Manager quando sai do escopo da política. Por exemplo, para uma política de um grupo de segurança, um acelerador Elastic Inference ou uma instância do Amazon EC2 são automaticamente desassociados do grupo de segurança replicado quando saem do escopo da política. O grupo de segurança replicado e seus recursos são automaticamente removidos da proteção.