AWS WAF 策略的 Web ACL 管理 - AWS WAF、AWS Firewall Manager 和 AWS Shield Advanced

AWS WAF 策略的 Web ACL 管理

Firewall Manager 根据配置设置和一般策略管理为范围内资源创建和管理 Web ACL。

注意

如果配置了高级自动应用程序层 DDoS 防护的资源在 AWS WAF 策略的范围内,则 Firewall Manager 无法将策略保护应用至资源,而将资源标记为不合规。

管理未关联的 Web ACL 配置

策略配置设置,在任何资源都不会使用 Web ACL 的情况下指定 Firewall Manager 如何管理账户的 Web ACL。如果您启用了对未关联 Web ACL 的管理,则只有当至少一个资源使用 Web ACL 时,Firewall Manager 才会在策略范围内的账户中创建 Web ACL。如果未启用此选项,不管是否要使用 Web ACL,Firewall Manager 都会自动确保每个账户都有一个 Web ACL。

当启用时,只有至少有一个资源将使用 Web ACL 时,Firewall Manager 才会自动在该账户中创建一个 Web ACL。

此外,启用对未关联 Web ACL 的管理后,Firewall Manager 会在创建策略时对您账户中的未关联 Web ACL 执行一次性清理。在清理过程中,Firewall Manager 会跳过您在创建后修改的所有 Web ACL,例如,如果您向 Web ACL 添加了规则组或修改了其设置。清理过程可能需要数小时时间。如果资源在 Firewall Manager 创建 Web ACL 后离开策略范围,Firewall Manager 将取消该资源与 Web ACL 的关联,但不会清理未关联的 Web ACL。只有当您在策略中首次启用对未关联的 Web ACL 的管理时,Firewall Manager 才会清理未关联的 Web ACL。

在 API 中,此设置的 SecurityServicePolicyData 数据类型为 optimizeUnassociatedWebACL。例如:\"optimizeUnassociatedWebACL\":false

Web ACL 源配置:创建所有新的 Web ACL,还是改造现有 Web ACL?

策略配置设置,指定 Firewall Manager 如何处理与范围内资源相关联的现有 Web ACL。

默认情况下,Firewall Manager 会为范围内资源创建所有新 Web ACL。通过改造之后,Firewall Manager 会使用任何已投入使用的现有 Web ACL,并且仅为尚未关联至 Web ACL 的资源创建一个新的 Web ACL。

当策略进行改造配置时,与范围内资源关联的所有 Web ACL 都将进行改造或标为不合规。

只有在 Web ACL 满足以下要求时,Firewall Manager 才会对其进行改造:

  • Web ACL 归使用者账户所有。

  • Web ACL 仅与范围内资源关联。

    提示

    在配置 AWS WAF 策略进行改造之前,请确保与该策略的范围内资源关联的 Web ACL 未与任何范围外资源相关联。

    提示

    如果要删除关联资源,首先取消资源与 Web ACL 的关联。如果 Web ACL 由于与范围外资源关联而不合规,在不先将范围外的资源与网络 ACL 取消关联的情况下删除该资源,可使网络 ACL 进入合规状态,然后 Firewall Manager 可以通过修复来改造 Web ACL,但这种情况下的修复最长可能会延迟 24 小时。

有关访问合规性违规详细信息的信息,请参阅 查看 AWS Firewall Manager 策略的合规性信息

如果可以改造 Web ACL,Firewall Manager 会按如下方式对其进行修改:

  • Firewall Manager 在 Web ACL 的现有规则前面插入 AWS WAF 策略的第一个规则组,并在末尾附加了 AWS WAF 策略的最后一个规则组。有关规则组管理的信息,请参阅 AWS WAF 策略的规则组管理

  • 如果该策略具有日志记录配置,则仅当 Web ACL 尚未进行日志记录配置时,Firewall Manager 才会将其添加到 Web ACL 中。如果 Web ACL 已经进行了日志记录配置,Firewall Manager 会将其留在原处。

  • Firewall Manager 不验证也不配置其他任何 Web ACL 属性。例如,Firewall Manager 不会修改 Web ACL 的默认操作、自定义请求标头、CAPTCHA 或 Challenge 配置或令牌域列表。Firewall Manager 仅在其创建的 Web ACL 上配置这些其他属性。

在 Firewall Manager 对现有的所有关联 Web ACL 进行改造之后,对于任何没有 Web ACL 的范围内资源,Firewall Manager 将按照默认策略行为处理此资源。如果是 AWS WAF 可以保护的资源,则 Firewall Manager 会创建 Firewall Manager Web ACL 并将其与此资源关联。

在 API 中,Web ACL 源设置的 SecurityServicePolicyData 数据类型为 webACLSource。例如:\"webACLSource\":\"RETROFIT_EXISTING\"

采样和 CloudWatch 指标

AWS Firewall Manager 为其为 AWS WAF 策略创建的 Web ACL 和规则组启用采样和 Amazon CloudWatch 指标。

Web ACL 命名

Firewall Manager 创建的 Web ACL 以 AWS WAF 策略命名,如下所示:FMManagedWebACLV2-policy name-timestamp。时间戳以毫秒为单位。例如,FMManagedWebACLV2-MyWAFPolicyName-1621880374078

Firewall Manager 改造的 Web ACL 的名称即为使用者账户在创建时指定的名称。Web ACL 名称在创建后无法更改。