AWS Firewall Manager und AWS Organizations

AWS Firewall Manager ist ein Sicherheitsmanagement-Service, mit dem Sie Firewallregeln und andere Schutzmaßnahmen für alle Anwendungen in Ihrem Unternehmen zentral konfigurieren AWS-Konten und verwalten können. Mit Firewall Manager können Sie AWS WAF Regeln einführen, AWS Shield Advanced Schutzmaßnahmen erstellen, Amazon Virtual Private Cloud (Amazon VPC) -Sicherheitsgruppen konfigurieren und prüfen und s bereitstellen AWS Network Firewall. Mit Firewall Manager müssen Sie Ihren Schutz nur einmal einrichten. Diese werden dann automatisch auf alle Konten und Ressourcen in Ihrer Organisation angewendet. Dies gilt auch für neu hinzugefügte Ressourcen und Konten. Weitere Informationen AWS Firewall Manager dazu finden Sie im AWS Firewall Manager Entwicklerhandbuch.

Verwenden Sie die folgenden Informationen, um Ihnen bei der Integration AWS Firewall Manager mit zu helfen AWS Organizations.

Service-verknüpfte Rollen, die erstellt werden, wenn Sie die Integration aktivieren

Die folgende serviceverknüpfte Rolle wird automatisch im Verwaltungskonto Ihrer Organisation erstellt, wenn Sie den vertrauenswürdigen Zugriff aktivieren. Mit dieser Rolle kann Firewall Manager unterstützte Vorgänge innerhalb der Konten Ihrer Organisation in Ihrer Organisation ausführen.

Sie können diese Rolle nur löschen oder ändern, wenn Sie den vertrauenswürdigen Zugriff zwischen Firewall Manager und Organizations deaktivieren oder das Mitgliedskonto aus der Organisation entfernen.

• AWSServiceRoleForFMS

Serviceprinzipale, die von den serviceverknüpften Rollen verwendet werden

Die serviceverknüpfte Rolle im vorherigen Abschnitt kann nur von den Serviceprinzipalen übernommen werden, die durch die für die Rolle definierten Vertrauensstellungen autorisiert sind. Die von Firewall Manager verwendeten serviceverknüpften Rollen gewähren Zugriff auf die folgenden Serviceprinzipale:

• fms.amazonaws.com

Aktivieren des vertrauenswürdigen Zugriffs mit Firewall Manager

Informationen zu den Berechtigungen, die zum Aktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Aktivieren des vertrauenswürdigen Zugriffs.

Sie können den vertrauenswürdigen Zugriff entweder über die AWS Firewall Manager Konsole oder die AWS Organizations Konsole aktivieren.

Wichtig

Wir empfehlen dringend, wann immer möglich, die AWS Firewall Manager Konsole oder Tools zu verwenden, um die Integration mit Organizations zu ermöglichen. Auf diese Weise können AWS Firewall Manager Sie jede Konfiguration durchführen, die erforderlich ist, z. B. die Erstellung von Ressourcen, die für den Dienst benötigt werden. Fahren Sie mit diesen Schritten nur fort, wenn Sie die Integration nicht mit den von AWS Firewall Manager bereitgestellten Tools aktivieren können. Weitere Informationen sind in diesem Hinweis zu finden.

Wenn Sie den vertrauenswürdigen Zugriff mithilfe der AWS Firewall Manager Konsole oder der Tools aktivieren, müssen Sie diese Schritte nicht ausführen.

Sie müssen sich mit Ihrem AWS Organizations Verwaltungskonto anmelden und ein Konto innerhalb der Organisation als AWS Firewall Manager Administratorkonto konfigurieren. Weitere Informationen finden Sie unter Festlegen des AWS Firewall Manager -Administratorkontos im AWS Firewall Manager -Entwicklerhandbuch.

Sie können den vertrauenswürdigen Zugriff aktivieren, indem Sie entweder die AWS Organizations Konsole verwenden, einen AWS CLI Befehl ausführen oder eine API-Operation in einem der AWS SDKs aufrufen.

AWS Management Console

So aktivieren Sie den vertrauenswürdigen Service-Zugriff über die Organizations-Konsole

1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

2. Wählen Sie im Navigationsbereich Services.

3. Wählen Sie AWS Firewall Managerin der Liste der Dienste aus.

4. Wählen Sie Vertrauenswürdigen Zugriff aktivieren.

5. Geben Sie im AWS Firewall Manager Dialogfeld Vertrauenswürdigen Zugriff aktivieren für den Text enable ein, um dies zu bestätigen, und wählen Sie dann Vertrauenswürdigen Zugriff aktivieren aus.

6. Wenn Sie nur der Administrator von sind AWS Organizations, teilen Sie dem Administrator mit, AWS Firewall Manager dass er diesen Dienst jetzt über die Konsole aktivieren kann, mit der er arbeiten kann AWS Organizations.

AWS CLI, AWS API

So aktivieren Sie den vertrauenswürdigen Servicezugriff mithilfe der Organizations-CLI/SDK

Sie können die folgenden AWS CLI Befehle oder API-Operationen verwenden, um den vertrauenswürdigen Dienstzugriff zu aktivieren:

• AWS CLI: enable-aws-service-access

  Sie können den folgenden Befehl ausführen, um ihn AWS Firewall Manager als vertrauenswürdigen Dienst bei Organizations zu aktivieren.

  $ aws organizations enable-aws-service-access \ 
      --service-principal fms.amazonaws.com

  Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

• AWS API: Aktivieren AWSServiceAccess

Deaktivieren des vertrauenswürdigen Zugriffs mit Firewall Manager

Informationen zu den Berechtigungen zum Deaktivieren des vertrauenswürdigen Zugriffs finden Sie unter Erforderliche Berechtigungen für das Deaktivieren des vertrauenswürdigen Zugriffs.

Sie können den vertrauenswürdigen Zugriff entweder mit den AWS Organizations Tools AWS Firewall Manager oder deaktivieren.

Wichtig

Wir empfehlen dringend, wann immer möglich, die AWS Firewall Manager Konsole oder Tools zu verwenden, um die Integration mit Organizations zu deaktivieren. Auf diese Weise können AWS Firewall Manager Sie alle erforderlichen Bereinigungen durchführen, z. B. Ressourcen löschen oder auf Rollen zugreifen, die vom Dienst nicht mehr benötigt werden. Fahren Sie mit diesen Schritten nur fort, wenn Sie die Integration nicht mit den von AWS Firewall Manager bereitgestellten Tools deaktivieren können.

Wenn Sie den vertrauenswürdigen Zugriff mithilfe der AWS Firewall Manager Konsole oder der Tools deaktivieren, müssen Sie diese Schritte nicht ausführen.

So deaktivieren Sie den vertrauenswürdigen Zugriff über die Firewall-Manager-Konsole

Sie können das AWS Firewall Manager Administratorkonto ändern oder widerrufen, indem Sie den Anweisungen unter Ein anderes Konto als AWS Firewall Manager Administratorkonto festlegen im AWS Firewall Manager Entwicklerhandbuch folgen.

Wenn Sie das Administratorkonto widerrufen, müssen Sie sich beim AWS Organizations Verwaltungskonto anmelden und ein neues Administratorkonto für AWS Firewall Manager einrichten.

Sie können den vertrauenswürdigen Zugriff deaktivieren, indem Sie entweder die AWS Organizations Konsole verwenden, einen AWS CLI Organizations-Befehl ausführen oder einen Organizations-API-Vorgang in einem der AWS SDKs aufrufen.

AWS Management Console

So deaktivieren Sie den vertrauenswürdigen Service-Zugriff über die Organizations-Konsole

1. Melden Sie sich an der AWS Organizations -Konsole an. Sie müssen sich im Verwaltungskonto der Organisation als IAM-Benutzer anmelden, eine IAM-Rolle annehmen oder als Root-Benutzer anmelden (nicht empfohlen).

2. Wählen Sie im Navigationsbereich Services.

3. Wählen Sie AWS Firewall Managerin der Liste der Dienste aus.

4. Wählen Sie Vertrauenswürdigen Zugriff deaktivieren.

5. Geben Sie im AWS Firewall Manager Dialogfeld Vertrauenswürdigen Zugriff deaktivieren für zur Bestätigung den Wert disable ein, und wählen Sie dann Vertrauenswürdigen Zugriff deaktivieren aus.

6. Wenn Sie der Administrator von Only sind AWS Organizations, teilen Sie dem Administrator mit AWS Firewall Manager , dass er diesen Dienst jetzt mithilfe der Konsole oder der Tools deaktivieren kann AWS Organizations.

AWS CLI, AWS API

So deaktivieren Sie den vertrauenswürdigen Servicezugriff mithilfe der Organizations-CLI/SDK

Sie können die folgenden AWS CLI Befehle oder API-Operationen verwenden, um den vertrauenswürdigen Dienstzugriff zu deaktivieren:

• AWS CLI: disable-aws-service-access

  Sie können den folgenden Befehl ausführen, um ihn AWS Firewall Manager als vertrauenswürdigen Dienst bei Organizations zu deaktivieren.

  $ aws organizations disable-aws-service-access \
      --service-principal fms.amazonaws.com

  Dieser Befehl erzeugt keine Ausgabe, wenn er erfolgreich ist.

• AWS API: Deaktivieren AWSServiceAccess

Aktivieren eines delegierten Administratorkontos für Firewall Manager

Wenn Sie ein Mitgliedskonto als delegierten Administrator für die Organisation festlegen, können Benutzer und Rollen dieses Kontos administrative Aktionen für Firewall Manager ausführen, die andernfalls nur von Benutzern oder Rollen im Verwaltungskonto der Organisation ausgeführt werden können. Dies hilft Ihnen, die Verwaltung der Organisation von der Verwaltung des Firewall Manager zu trennen.

Mindestberechtigungen

Nur ein Benutzer oder eine Rolle im Organizations-Verwaltungskonto kann ein Mitgliedskonto als delegierter Administrator für Firewall Manager in der Organisation konfigurieren.

Anweisungen dazu, wie Sie ein Mitgliedskonto als Firewall Manager Manager-Administrator für die Organisation festlegen, finden Sie unter AWS Firewall Manager Administratorkonto einrichten im AWS Firewall Manager Entwicklerhandbuch.