AWS Firewall Manager Geltungsbereich der Politik - AWS WAF, AWS Firewall Manager, und AWS Shield Advanced
Konfiguration des Geltungsbereichs der RichtlinieVerwaltung des Geltungsbereichs der Richtlinie

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Firewall Manager Geltungsbereich der Politik

Der Geltungsbereich der Richtlinie definiert, wo die Richtlinie gilt. Sie können entweder zentral gesteuerte Richtlinien auf alle Ihre Konten und Ressourcen innerhalb Ihrer Organisation oder auf eine Teilmenge Ihrer Konten und Ressourcen anwenden. AWS Organizations Anweisungen zur Festlegung des Geltungsbereichs von Richtlinien finden Sie unterEine AWS Firewall Manager Richtlinie erstellen.

Optionen für den Geltungsbereich der Richtlinie in AWS Firewall Manager

Wenn Sie Ihrer Organisation ein neues Konto oder eine neue Ressource hinzufügen, bewertet Firewall Manager es automatisch anhand Ihrer Einstellungen für jede Richtlinie und wendet die Richtlinie auf der Grundlage dieser Einstellungen an. Sie können beispielsweise festlegen, dass eine Richtlinie auf alle Konten mit Ausnahme der Kontonummern in einer bestimmten Liste angewendet wird. Sie können auch festlegen, dass eine Richtlinie nur auf Ressourcen angewendet wird, die alle Tags in einer Liste enthalten.

AWS-Konten im Geltungsbereich

Die Einstellungen, die Sie angeben, um die von der Richtlinie AWS-Konten betroffenen Personen zu definieren, bestimmen, auf welche der Konten in Ihrer AWS Organisation die Richtlinie angewendet werden soll. Sie können die Richtlinie auf eine der folgenden Arten anwenden:

  • Auf alle Konten in Ihrer Organisation

  • Nur auf eine bestimmte Liste eingeschlossener Kontonummern und AWS Organizations -Organisationseinheiten (OUs)

  • Auf alle Kontonummern und Organisationseinheiten außer einer bestimmten Liste ausgeschlossener Kontonummern und AWS Organizations -Organisationseinheiten (OUs)

Weitere Informationen dazu AWS Organizations finden Sie im AWS Organizations Benutzerhandbuch.

Ressourcen im Geltungsbereich

Ähnlich wie bei den Einstellungen für Konten im Geltungsbereich bestimmen die Einstellungen, die Sie für Ressourcen angeben, auf welche Ressourcentypen im Geltungsbereich die Richtlinie angewendet werden soll. Sie können eine der folgenden Optionen auswählen:

  • Alle Ressourcen

  • Ressourcen, die alle von Ihnen angegebenen Tags enthalten

  • Alle Ressourcen außer denen, die alle von Ihnen angegebenen Tags enthalten

Sie können nur Ressourcen-Tags mit Werten ungleich Null angeben. Wenn Sie für den Wert nichts angeben, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben.

Weitere Informationen zum Kennzeichnen Ihrer Ressourcen finden Sie unter Arbeiten mit Tag-Editor.

Verwaltung des Richtlinienumfangs in AWS Firewall Manager

Sobald Richtlinien eingerichtet sind, verwaltet Firewall Manager sie kontinuierlich und wendet sie entsprechend dem Geltungsbereich der Richtlinie auf neue AWS-Konten Ressourcen an, sobald sie hinzugefügt werden.

Verwaltung AWS-Konten und Ressourcen durch Firewall Manager

Wenn ein Konto oder eine Ressource aus irgendeinem Grund den Geltungsbereich verlässt, AWS Firewall Manager werden Schutzmaßnahmen nicht automatisch entfernt oder von Firewall Manager verwaltete Ressourcen gelöscht, es sei denn, Sie aktivieren das Kontrollkästchen Schutz automatisch von Ressourcen entfernen, die den Geltungsbereich der Richtlinie verlassen.

Anmerkung

Die Option Automatisch den Schutz von Ressourcen entfernen, die den Geltungsbereich der Richtlinie verlassen, ist für Richtlinien oder Classic nicht verfügbar. AWS Shield Advanced AWS WAF

Wenn Sie dieses Kontrollkästchen aktivieren, werden AWS Firewall Manager die Ressourcen, die Firewall Manager für Konten verwaltet, automatisch bereinigt, wenn diese Konten den Richtlinienbereich verlassen. Beispielsweise trennt Firewall Manager die Zuordnung einer von Firewall Manager verwalteten Web-ACL zu einer geschützten Kundenressource, wenn die Kundenressource den Geltungsbereich der Richtlinie verlässt.

Um zu bestimmen, welche Ressourcen aus dem Schutz entfernt werden sollen, wenn eine Kundenressource den Richtlinienbereich verlässt, befolgt Firewall Manager die folgenden Richtlinien:

  • Standardverhalten:

    • Die zugehörigen AWS Config verwalteten Regeln werden gelöscht. Dieses Verhalten ist unabhängig vom Kontrollkästchen.

    • Alle zugehörigen AWS WAF Web Access Control Lists (Web-ACLs), die keine Ressourcen enthalten, werden gelöscht. Dieses Verhalten ist unabhängig vom Kontrollkästchen.

    • Jede geschützte Ressource, die den Gültigkeitsbereich überschreitet, bleibt zugeordnet und geschützt. Beispielsweise bleibt ein Application Load Balancer oder eine API von API Gateway, die mit einer Web-ACL verknüpft ist, mit der Web-ACL verknüpft, und der Schutz bleibt bestehen.

  • Wenn das Kontrollkästchen Schutz von Ressourcen, die den Geltungsbereich der Richtlinie verlassen, automatisch entfernen aktiviert ist:

    • Die zugehörigen AWS Config verwalteten Regeln werden gelöscht. Dieses Verhalten ist unabhängig vom Kontrollkästchen.

    • Alle zugehörigen AWS WAF Web Access Control Lists (Web-ACLs), die keine Ressourcen enthalten, werden gelöscht. Dieses Verhalten ist unabhängig vom Kontrollkästchen.

    • Jede geschützte Ressource, die den Geltungsbereich verlässt, wird automatisch getrennt und aus dem Firewall Manager Manager-Schutz entfernt, wenn sie den Richtlinienbereich verlässt. Bei einer Sicherheitsgruppenrichtlinie wird beispielsweise eine Elastic Inference Accelerator- oder Amazon EC2 EC2-Instance automatisch von der replizierten Sicherheitsgruppe getrennt, wenn sie den Richtlinienbereich verlässt. Die replizierte Sicherheitsgruppe und ihre Ressourcen werden automatisch aus dem Schutz entfernt.