Crear una política de AWS Firewall Manager - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Crear una política de AWS Firewall Manager

Los pasos para crear una política varían entre los diferentes tipos de políticas. Asegúrese de utilizar el procedimiento adecuado para el tipo de política que necesita.

importante

AWS Firewall Manager no es compatible con Amazon Route 53 o AWS Global Accelerator. Si desea proteger estos recursos con Shield Advanced, no puede utilizar una política de Firewall Manager. En su lugar, siga las instrucciones en Agregar la protección de AWS Shield Advanced a los recursos de AWS.

Creación de una política de AWS Firewall Manager para AWS WAF

En una política de AWS WAF de Firewall Manager, puede usar grupos de reglas administradas, que los vendedores de AWS y AWS Marketplace crean y mantienen por usted. También puede crear y utilizar sus propios grupos de reglas. Para obtener más información acerca de los grupos de reglas, consulte Uso de grupos de reglas de AWS WAF.

Si desea utilizar sus propios grupos de reglas, créelos antes de crear su política de Firewall Manager de AWS WAF. Para obtener instrucciones, consulte Administrar sus propios grupos de reglas. Para utilizar una regla personalizada individual, debe definir su propio grupo de reglas, definir la regla dentro de él y, a continuación, utilizar el grupo de reglas en la política.

Para obtener información acerca de las políticas de Firewall Manager de AWS WAF, consulte Uso de políticas de AWS WAF con Firewall Manager.

Creación de una política de Firewall Manager para AWS WAF (consola)
  1. Inicie sesión en la AWS Management Console mediante su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en https://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija Crear política.

  4. Para Policy type (Tipo de política), seleccione AWS WAF.

  5. En Región, seleccione una Región de AWS. Para proteger las distribuciones de Amazon CloudFront, elija Global.

    Para proteger los recursos en varias regiones (distintas de las distribuciones de CloudFront), debe crear políticas de Firewall Manager independientes para cada región.

  6. Elija Siguiente.

  7. En Nombre de política, introduzca un nombre descriptivo. Firewall Manager incluye el nombre de la política en los nombres de las ACL web que administra. Los nombres de las ACL web FMManagedWebACLV2- van seguidos del nombre de la política que se introduce aquí, -, y de la marca temporal de creación de las ACL web, en milisegundos UTC. Por ejemplo, FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

  8. Para inspeccionar el cuerpo de las solicitudes web, si lo desea, puede cambiar el límite de tamaño corporal. Para obtener información sobre los límites de tamaño para la inspección corporal, incluidas las consideraciones de precio, consulte Gestión de límites de tamaño de inspección del cuerpo para AWS WAF en la Guía para desarrolladores de AWS WAF.

  9. En Policy rules (Reglas de política), agregue los grupos de reglas que desea que AWS WAF evalúe en primer y en último lugar en la ACL web. Para utilizar el control de versiones de grupos de reglas administradas de AWS WAF, cambie a Habilitar el control de versiones. Los administradores de cuentas individuales pueden agregar reglas y grupos de reglas entre los primeros grupos de reglas y los últimos grupos de reglas. Para obtener más información sobre el uso de grupos de reglas de AWS WAF en las políticas de Firewall Manager para AWS WAF, consulte Uso de políticas de AWS WAF con Firewall Manager.

    (Opcional) Para personalizar la forma en que su ACL web utiliza el grupo de reglas, seleccione Editar. A continuación se muestra la configuración de personalización común:

    • En el caso de los grupos de reglas administradas, anule las acciones de las reglas para algunas o todas las reglas. Si no define una acción de anulación para una regla, la evaluación utiliza la acción de la regla que está definida dentro del grupo de reglas. Para obtener información acerca de esta opción, consulte Anulación de acciones de grupos de reglas en AWS WAF en la Guía para desarrolladores de AWS WAF.

    • Algunos grupos de reglas administradas requieren que se proporcione una configuración adicional. Consulte la documentación de su proveedor de grupos de reglas administradas. Para obtener información específica sobre los grupos de reglas Reglas administradas de AWS, consulte Protección contra las amenazas web más comunes mediante las Reglas administradas de AWS para AWS WAF en la Guía para desarrolladores de AWS WAF.

    Cuando haya terminado con la configuración, seleccione Guardar regla.

  10. Establezca la acción predeterminada para la ACL web. Esta será la acción que AWS WAF ejecutará cuando una solicitud web no coincida con alguna de las reglas de ACL web. Puede añadir encabezados personalizados con la acción Permitir o respuestas personalizadas para la acción Bloquear. Para obtener más información acerca de las acciones ACL web predeterminadas, consulte Cómo establecer la acción predeterminada de la ACL web en AWS WAF. Para obtener información sobre cómo configurar las solicitudes y respuestas web personalizadas, consulte Incorporación de solicitudes web y respuestas personalizadas en AWS WAF.

  11. Para la configuración del registro, seleccione Habilitar el registro para activar el registro. El registro ofrece obtener información detallada sobre el tráfico que analiza su ACL web. Seleccione el destino del registro y, a continuación, seleccione el destino del registro que haya configurado. Debe elegir un destino de registro cuyo nombre comience con aws-waf-logs-. Para obtener información acerca de la configuración de un destino de registro AWS WAF, consulte Uso de políticas de AWS WAF con Firewall Manager.

  12. (Opcional) Si no desea determinados campos y sus valores incluidos en los registros, redacte esos campos. Elija el campo que se va a redactar y, a continuación, elija Add (Añadir). Repita según sea necesario para redactar campos adicionales. Los campos redactados aparecen como REDACTED en los registros. Por ejemplo, si redacta el campo URI, el campo URI de los registros será REDACTED.

  13. (Opcional) Si no desea enviar todas las solicitudes a los registros, agregue sus criterios de filtrado y su comportamiento. En Filtrar registros, para cada filtro que desee aplicar, elija Agregar filtro y, a continuación, elija sus criterios de filtrado y especifique si desea conservar o eliminar las solicitudes que coincidan con los criterios. Cuando termine de agregar los filtros, si es necesario, modifique el comportamiento de registro predeterminado. Para obtener más información, consulte Búsqueda de los registros de la ACL web en la Guía para desarrolladores de AWS WAF.

  14. Puede definir una lista de dominios de token para permitir el intercambio de tokens entre aplicaciones protegidas. Los tokens los usan las acciones CAPTCHA y Challenge y los SDK de integración de aplicaciones que se implementan cuando utiliza los grupos de reglas Reglas administradas de AWS para la prevención contra apropiación de cuentas (ATP) del control de fraudes de AWS WAF y el control de bots AWS WAF.

    No se admiten sufijos públicos. Por ejemplo, no puede usar gov.au o co.uk como dominio de token.

    De forma predeterminada, AWS WAF solo acepta tokens para el dominio del recurso protegido. Si agrega dominios de token en esta lista, AWS WAF acepta los tokens de todos los dominios de la lista y del dominio del recurso asociado. Para obtener más información, consulte Configuración de la lista de dominios de tóquenes de la ACL web de AWS WAF en la Guía para desarrolladores de AWS WAF.

    Solo puede cambiar el CAPTCHA de la ACL web y desafiar los tiempos de inmunidad al editar una ACL web existente. Puede encontrar esta configuración en la página de Detalles de las políticas del Firewall Manager. Para obtener más información sobre esta configuración, consulte Configuración del vencimiento de la marca de tiempo y de los tiempos de inmunidad de los tóquenes en AWS WAF. Si actualiza la configuración de la asociación, el CAPTCHA, el desafío o la lista de dominios de token en una política existente, Firewall Manager sobrescribirá las ACL web locales con los nuevos valores. Sin embargo, si no actualiza la configuración de asociación, el CAPTCHA, el desafío o la lista de dominios de token de la política, los valores de las ACL web locales permanecerán inalterados. Para obtener información acerca de esta opción, consulte Uso de CAPTCHA y Challenge en AWS WAF en la Guía para desarrolladores de AWS WAF.

  15. En Administración de la ACL web, elija cómo Firewall Manager administra la creación y limpieza de la ACL web.

    1. En Administrar ACL web no asociadas, elija si Firewall Manager administra las ACL web no asociadas. Con esta opción, Firewall Manager crea las ACL web en las cuentas dentro del alcance de la política solo si al menos un recurso utilizará las ACL web. Cuando una cuenta entra en el alcance de la política, Firewall Manager crea automáticamente una ACL web en la cuenta si al menos un recurso utilizará la ACL web.

      Cuando activa esta opción, Firewall Manager realiza una limpieza única de las ACL web no asociadas de la cuenta. El proceso de limpieza puede tardar varias horas. Si un recurso sale del alcance de la política después de que el Firewall Manager haya creado una ACL web, Firewall Manager disociará el recurso de la ACL web, pero no realizará la limpieza de la ACL web no asociada. Firewall Manager solo realiza la limpieza de las ACL web no asociadas cuando habilita por primera vez la administración de las ACL web no asociadas en la política.

    2. En el caso del origen de las ACL web, especifique si desea crear todas las nuevas ACL web para los recursos incluidos en el ámbito de aplicación o si desea modernizar las ACL web existentes, siempre que sea posible. Firewall Manager puede modernizar las ACL web que son propiedad de las cuentas incluidas en el ámbito.

      El comportamiento predeterminado es crear todas las ACL web nuevas. Si elige esta opción, todas las ACL web que administre Firewall Manager tendrán nombres que comiencen con FMManagedWebACLV2. Si decide modernizar las ACL web existentes, las ACL web actualizadas tendrán sus nombres originales y las que cree Firewall Manager tendrán nombres que comiencen con FMManagedWebACLV2.

  16. Para Acción de política, si desea crear una ACL web en cada cuenta aplicable dentro de la organización, pero no aplicar la ACL web a ningún recurso todavía, elija Identificar recursos que no cumplan las reglas de la política, pero que no se corrijan automáticamente y no elija Administrar ACL web no asociadas. Puede cambiar estas opciones más adelante.

    Si, en su lugar, desea aplicar automáticamente la política a los recursos existentes dentro del ámbito, elija Auto remediate any noncompliant resources (Solucionar automáticamente los recursos no conformes). Si la opción Administrar ACL web no asociadas está desactivada, la opción Corregir automáticamente los recursos no compatibles crea una ACL web en cada cuenta aplicable de la organización y asocia la ACL web a los recursos de las cuentas. Si la opción Administrar ACL web no asociadas está habilitada, la opción Corregir automáticamente los recursos no compatibles solo crea y asocia una ACL web en las cuentas que tienen recursos aptos para asociarse a la ACL web.

    Al elegir Corregir automáticamente los recursos no compatibles, también puede optar por eliminar las asociaciones existentes de ACL web de los recursos pertinentes, para aquellas ACL web que no estén administradas por otra política activa de Firewall Manager. Si elige este opción, Firewall Manager asociará primero la ACL web de la política con los recursos y después quitará las asociaciones anteriores. Si un recurso tiene una asociación con otra ACL web administrada por una política de Firewall Manager activa diferente, esta opción no afectará a esa asociación.

  17. Elija Siguiente.

  18. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada Incluir todas las cuentas en mi organización de AWS.

    • Si desea aplicar la política solo a cuentas específicas o cuentas que estén en unidades organizativas específicas de AWS Organizations, elija Include only the specified accounts and organizational units (Incluir solo las cuentas y unidades organizativas especificadas) y, a continuación, agregue las cuentas y unidades organizativas que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades organizativas (OU) de AWS Organizations excepto a un conjunto específico, elija Exclude the specified accounts and organizational units, and include all others (Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás), y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

  19. En Resource type (Tipo de recurso), elija los tipos de recurso que desea proteger.

  20. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  21. Elija Siguiente.

  22. En Etiquetas de políticas, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

  23. Elija Siguiente.

  24. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio.

    Cuando esté satisfecho con la política, elija Crear política. En el panel de políticas de AWS Firewall Manager, su política debe aparecer en la lista. Probablemente, indicará Pendiente bajo los encabezados de las cuentas e indicará el estado de la configuración Corrección automática. La creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending (Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte Visualización de información de conformidad para una política de AWS Firewall Manager

Cómo crear una política de AWS Firewall Manager para AWS WAF Classic

Creación de una política de Firewall Manager para AWS WAF Classic (consola)
  1. Inicie sesión en la AWS Management Console mediante su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en https://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija Crear política.

  4. En Policy type (Tipo de política), seleccione AWS WAF Classic.

  5. Si ya ha creado el grupo de reglas AWS WAF Classic que desea agregar a la política, elija Crear una política de AWS Firewall Manager y agregar los grupos de reglas existentes. Si desea crear un nuevo grupo de reglas, elija Crear una política de Firewall Manager y agregar un nuevo grupo de reglas.

  6. En Región, seleccione una Región de AWS. Para proteger los recursos de Amazon CloudFront, seleccione Global.

    Para proteger los recursos en varias regiones (que no sean recursos de CloudFront), debe crear políticas de Firewall Manager independientes para cada región.

  7. Elija Siguiente.

  8. Si está creando un grupo de reglas, siga las instrucciones de Creación de un grupo de reglas de AWS WAF Classic. Después de crear el grupo de reglas, continúe con los pasos siguientes.

  9. Escriba un nombre para la política.

  10. Si agrega a un grupo de reglas existente, utilice el menú desplegable para seleccionar un grupo de reglas al que agregar y, a continuación, elija Add rule group (Agregar grupo de reglas).

  11. Una política dispone de dos posibles acciones: Action set by rule group (Acción establecida por el grupo de reglas) y Count (Contar). Si desea probar la política y el grupo de reglas, establezca la acción en Count (Contar). Esta acción anula cualquier acción de bloqueo especificada por las reglas en el grupo de reglas. Es decir, si la acción de la política está establecida en Count (Contar), las solicitudes solo se contabilizan y no se bloquean. Por el contrario, si establece la acción de la política en Action set by rule group (Acción establecida por el grupo de reglas), se utilizan las acciones del grupo de reglas. Elija la acción apropiada.

  12. Elija Siguiente.

  13. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada Incluir todas las cuentas en mi organización de AWS.

    • Si desea aplicar la política solo a cuentas específicas o cuentas que estén en unidades organizativas específicas de AWS Organizations, elija Include only the specified accounts and organizational units (Incluir solo las cuentas y unidades organizativas especificadas) y, a continuación, agregue las cuentas y unidades organizativas que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades organizativas (OU) de AWS Organizations excepto a un conjunto específico, elija Exclude the specified accounts and organizational units, and include all others (Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás), y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

  14. Elija el tipo de recurso que desea proteger.

  15. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  16. Si desea aplicar automáticamente la política a los recursos existentes, elija Create and apply this policy to existing and new resources (Crear y aplicar esta política a los recursos nuevos y existentes).

    Esta opción crea una ACL web en cada cuenta aplicable de una organización de AWS y asocia la ACL web a los recursos en las cuentas. Esta opción también aplica la política a todos los nuevos recursos que coinciden con los criterios precedentes (tipo de recurso y etiquetas). Por otro lado, si elige Create policy but do not apply the policy to existing or new resources (Crear política pero no aplicarla a los recursos nuevos o existentes), Firewall Manager crea una ACL web en todas las cuentas de la organización que cumplen los requisitos necesarios, pero no la aplica a ningún recurso. Deberá aplicar la política a los recursos posteriormente. Elija la opción apropiada.

  17. En Replace existing associated web ACLs (Sustituir ACL web asociadas existentes), puede elegir eliminar cualquier asociación ACL web que esté definida actualmente en los recursos dentro del ámbito y, a continuación, sustituirlos por asociaciones a las ACL web que crea con esta política. De forma predeterminada, Firewall Manager no elimina las asociaciones de ACL web existentes antes de agregar las nuevas. Si desea eliminar las existentes, seleccione esta opción.

  18. Elija Siguiente.

  19. Revise la nueva política. Para realizar cualquier cambio, elija Edit (Editar). Cuando esté satisfecho con la política, elija Create and apply policy (Crear y aplicar política).

Creación de una política de AWS Firewall Manager para AWS Shield Advanced

Creación de una política de Firewall Manager para Shield Advanced (consola)
  1. Inicie sesión en la AWS Management Console mediante su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en https://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija Crear política.

  4. Para Tipo de política, seleccione Shield Advanced.

    Para crear una política de Shield Advanced, debe estar suscrito a Shield Advanced. Se le pedirá que se suscriba si no lo ha hecho ya. Para obtener información sobre el coste de la suscripción, consulte Precios de AWS Shield Advanced.

  5. En Región, seleccione una Región de AWS. Para proteger las distribuciones de Amazon CloudFront, elija Global.

    En las opciones de región que no sean Global, para proteger recursos en varias regiones, debe crear una política de Firewall Manager independiente para cada región.

  6. Elija Siguiente.

  7. En Nombre, introduzca un nombre descriptivo.

  8. Solo para las políticas de región Global, puede elegir si desea administrar la mitigación automática de DDoS en la capa de aplicación de Shield Advanced. Para obtener información acerca de esta característica de Shield Advanced, consulte Automatización de la mitigación de DDoS en la capa de aplicación con Shield Advanced .

    Puede elegir habilitar o deshabilitar la mitigación automática, o puede elegir ignorarla. Si decide ignorarla, Firewall Manager no administra en absoluto la mitigación automática de las protecciones Shield Advanced. Para obtener más información sobre estas opciones de la política, consulte Uso de la mitigación automática de DDoS en la capa de aplicación con las políticas de Shield Advanced de Firewall Manager.

  9. En Administración de ACL web, si desea que Firewall Manager administre las ACL web no asociadas, habilite Administrar ACL web no asociadas. Con esta opción, Firewall Manager crea ACL web en las cuentas dentro del alcance de la política solo si las ACL web serán utilizadas por al menos un recurso. Si en algún momento, una cuenta entra en el alcance de la política, Firewall Manager crea automáticamente una ACL web en la cuenta si al menos un recurso utilizará la ACL web. Al activar esta opción, el Firewall Manager realiza una limpieza única de las ACL web no asociadas de su cuenta. El proceso de limpieza puede tardar varias horas. Si un recurso sale del alcance de la política después de que el Firewall Manager haya creado una ACL web, el Firewall Manager no disociará el recurso de la ACL web. Para incluir la ACL web en la limpieza única, primero debe desasociar manualmente los recursos de la ACL web y, a continuación, activar la opción Administrar ACL web no asociadas.

  10. En Acción de la política, se recomienda crear la política con la opción que no corrige automáticamente los recursos no compatibles. Al deshabilitar la solución automática, puede evaluar los efectos de la nueva política antes de aplicarla. Cuando esté seguro de que los cambios son lo que desea, edite la política y cambie la acción de la política para habilitar la corrección automática.

    Si, en su lugar, desea aplicar automáticamente la política a los recursos existentes dentro del ámbito, elija Auto remediate any noncompliant resources (Solucionar automáticamente los recursos no conformes). Esta opción aplica las protecciones Shield Advanced a cada cuenta aplicable de la organización de AWS y a cada recurso aplicable de las cuentas.

    Solo para las políticas de la región Global, si elige Corregir automáticamente los recursos no compatibles, también puede optar por que Firewall Manager sustituya automáticamente cualquier asociación existente de ACL web de AWS WAF Classic por nuevas asociaciones de ACL web que se hayan creado con la última versión de AWS WAF (v2). Si elige esta opción, Firewall Manager elimina las asociaciones con las ACL web de la versión anterior y crea nuevas asociaciones con las ACL web de la última versión, después de crear nuevas ACL web vacías en cualquier cuenta pertinente que aún no las tenga para la política. Para obtener más información acerca de esta opción, consulte Sustituya las ACL web AWS WAF Classic por la última versión de ACL web.

  11. Elija Siguiente.

  12. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, mantenga la selección predeterminada Incluir todas las cuentas de mi organización AWS.

    • Si desea aplicar la política solo a cuentas específicas o cuentas que estén en unidades organizativas específicas de AWS Organizations, elija Include only the specified accounts and organizational units (Incluir solo las cuentas y unidades organizativas especificadas) y, a continuación, agregue las cuentas y unidades organizativas que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades organizativas (OU) de AWS Organizations excepto a un conjunto específico, elija Exclude the specified accounts and organizational units, and include all others (Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás), y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

  13. Elija el tipo de recurso que desea proteger.

    Firewall Manager no es compatible con Amazon Route 53 o AWS Global Accelerator. Si necesita utilizar Shield Advanced para proteger recursos de estos servicios, no puede utilizar una política de Firewall Manager. En su lugar, siga las instrucciones de Shield Advanced en Agregar la protección de AWS Shield Advanced a los recursos de AWS.

  14. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  15. Elija Siguiente.

  16. En Etiquetas de políticas, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

  17. Elija Siguiente.

  18. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio.

    Cuando esté satisfecho con la política, elija Crear política. En el panel de políticas de AWS Firewall Manager, su política debe aparecer en la lista. Probablemente, indicará Pendiente bajo los encabezados de las cuentas e indicará el estado de la configuración Corrección automática. La creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending (Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte Visualización de información de conformidad para una política de AWS Firewall Manager

Crear una política de grupo de seguridad común de AWS Firewall Manager

Para obtener información sobre el funcionamiento de las políticas de grupos de seguridad comunes, consulte Utilización de políticas del grupo de seguridad comunes con Firewall Manager.

Para crear una política de grupo de seguridad común, debe tener un grupo de seguridad ya creado en la cuenta de administrador de Firewall Manager que desee utilizar como principal para la política. Puede administrar grupos de seguridad a través de Amazon Virtual Private Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon EC2). Para obtener información, consulte Uso de grupos de seguridad en la Guía del usuario de Amazon VPC.

Para crear una política de grupo de seguridad común (consola)
  1. Inicie sesión en la AWS Management Console mediante su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en https://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija Crear política.

  4. En Policy type (Tipo de política), elija Security group (Grupo de seguridad).

  5. En Security group policy type (Tipo de política de grupo de seguridad), elija Common security groups (Grupos de seguridad comunes).

  6. En Región, seleccione una Región de AWS.

  7. Elija Siguiente.

  8. En Policy name (Nombre de la política), escriba un nombre fácil de recordar.

  9. En Policy rules (Reglas de la política), haga lo siguiente:

    1. En las opciones de reglas, elija las restricciones que desea aplicar a las reglas de grupo de seguridad y a los recursos que están dentro del ámbito de la política. Si elige Distribuir etiquetas del grupo de seguridad principal a los grupos de seguridad creados por esta política, también debe seleccionar Identificar e informar cuando los grupos de seguridad creados por esta política dejen de cumplir las reglas.

      importante

      Firewall Manager no distribuirá etiquetas del sistema agregadas por servicios de AWS en los grupos de seguridad de réplicas. Las etiquetas del sistema comienzan por el prefijo aws:. Además, Firewall Manager no actualizará las etiquetas de los grupos de seguridad existentes ni creará nuevos grupos de seguridad si la política tiene etiquetas que entren en conflicto con la política de etiquetas de la organización. Para obtener información sobre las políticas de etiquetas, consulte Políticas de etiquetas en la Guía del usuario de AWS Organizations.

      Si elige Distribuir las referencias a los grupos de seguridad del grupo de seguridad principal a los grupos de seguridad creados por esta política, Firewall Manager solo distribuirá las referencias a los grupos de seguridad si tienen una conexión de pares activa en Amazon VPC. Para obtener información acerca de esta opción, consulte Configuración de reglas de políticas.

    2. Para los grupos de seguridad principales, seleccione Agregar grupos de seguridad y, a continuación, elija los grupos de seguridad que desea usar. Firewall Manager rellena la lista de grupos de seguridad de todas las instancias de Amazon VPC de la cuenta de administrador de Firewall Manager.

      El número máximo predeterminado de grupos de seguridad principales por política es 3. Para obtener información sobre esta configuración, consulte Cuotas de AWS Firewall Manager.

    3. En Policy action (Acción de la política), se recomienda crear la política sin la opción de corrección automática. Esto le permite evaluar los efectos de la nueva política antes de aplicarla. Cuando esté convencido de que los cambios son lo que desea, edite la política y cambie la acción de la política para habilitar la corrección automática de los recursos no conformes.

  10. Elija Siguiente.

  11. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada Incluir todas las cuentas en mi organización de AWS.

    • Si desea aplicar la política solo a cuentas específicas o cuentas que estén en unidades organizativas específicas de AWS Organizations, elija Include only the specified accounts and organizational units (Incluir solo las cuentas y unidades organizativas especificadas) y, a continuación, agregue las cuentas y unidades organizativas que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades organizativas (OU) de AWS Organizations excepto a un conjunto específico, elija Exclude the specified accounts and organizational units, and include all others (Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás), y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

  12. En Resource type (Tipo de recurso), elija los tipos de recurso que desea proteger.

    Para el tipo de recurso instancia de EC2, puede optar por corregir todas las instancias de Amazon EC2 o solo las instancias que solo tengan la interfaz de red elástica (ENI) principal predeterminada. Para esta última opción, Firewall Manager no corrige las instancias que tienen adjuntos ENI adicionales. En cambio, cuando la corrección automática está habilitada, Firewall Manager solo marca el estado de conformidad de estas instancias de EC2 y no aplica ninguna acción de corrección. Consulte las advertencias y limitaciones adicionales para el tipo de recurso de Amazon EC2 en Limitaciones y advertencias de las políticas de grupos de seguridad.

  13. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  14. En el caso de recursos de VPC compartidos, si desea aplicar la política a los recursos de VPC compartidos, además de las VPC que poseen las cuentas, seleccione Incluir recursos de VPC compartidas.

  15. Elija Siguiente.

  16. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija Create policy (Crear política).

Firewall Manager crea una réplica del grupo de seguridad principal en cada instancia de Amazon VPC contenida dentro de las cuentas pertinentes, hasta el límite máximo admitido de Amazon VPC por cuenta. Firewall Manager asocia los grupos de seguridad réplica a los recursos que están dentro del alcance de la política para cada cuenta pertinente. Para obtener más información sobre cómo funciona esta política, consulte Utilización de políticas del grupo de seguridad comunes con Firewall Manager.

Crear una política de grupo de seguridad de auditoría de contenido de AWS Firewall Manager

Para obtener información sobre el funcionamiento de las políticas de grupos de seguridad de auditoría de contenido, consulte Utilización de las políticas del grupo de seguridad de auditoría del contenido con Firewall Manager.

Para algunas configuraciones de políticas de auditoría de contenido, debe proporcionar un grupo de seguridad de auditoría para que Firewall Manager lo utilice como plantilla. Por ejemplo, puede tener un grupo de seguridad de auditoría que contenga todas las reglas que no permite en ningún grupo de seguridad. Debe crear estos grupos de seguridad de auditoría con su cuenta de administrador de Firewall Manager para poder usarlos en su política. Puede administrar grupos de seguridad a través de Amazon Virtual Private Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon EC2). Para obtener información, consulte Uso de grupos de seguridad en la Guía del usuario de Amazon VPC.

Para crear una política de grupo de seguridad de auditoría de contenido (consola)
  1. Inicie sesión en la AWS Management Console mediante su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en https://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija Crear política.

  4. En Policy type (Tipo de política), elija Security group (Grupo de seguridad).

  5. En Security group policy type (Tipo de política de grupo de seguridad), elija Auditing and enforcement of security group rules (Auditoría y aplicación de reglas de grupo de seguridad).

  6. En Región, seleccione una Región de AWS.

  7. Elija Siguiente.

  8. En Policy name (Nombre de la política), escriba un nombre fácil de recordar.

  9. En Reglas de política, elija la opción de reglas de política administradas o personalizadas que desee usar.

    1. En Configurar las reglas de políticas de auditoría administradas, haga lo siguiente:

      1. En Configurar las reglas de los grupos de seguridad para auditar, seleccione el tipo de reglas del grupo de seguridad al que desea que se aplique la política de auditoría.

      2. Si desea realizar tareas como auditar las reglas en función de los protocolos, los puertos y la configuración del rango de CIDR de sus grupos de seguridad, seleccione Auditar las reglas de los grupos de seguridad excesivamente permisivas y seleccione las opciones que desee.

        Para hacer la selección de Regla que permite todo el tráfico, puede proporcionar una lista de aplicaciones personalizada para designar las aplicaciones que desea auditar. Para obtener información sobre las listas de aplicaciones personalizadas y cómo utilizarlas en su política, consulte Uso de listas administradas y Uso de listas administradas.

        Para las selecciones que utilizan listas de protocolos, puede utilizar las listas existentes y crear listas nuevas. Para obtener información sobre las listas de protocolos y cómo utilizarlas en su política, consulte Uso de listas administradas y Uso de listas administradas.

      3. Si desea auditar aplicaciones de alto riesgo en función de su acceso a rangos de CIDR reservados o no reservados, seleccione Auditar aplicaciones de alto riesgo y seleccione las opciones que desee.

        Las siguientes selecciones se excluyen mutuamente: Aplicaciones que solo pueden acceder a rangos de CIDR reservados y Aplicaciones que pueden acceder a rangos de CIDR no reservados. Puede seleccionar como máximo una de ellas en cualquier política.

        Para las selecciones que utilizan listas de aplicaciones, puede utilizar las listas existentes y crear listas nuevas. Para obtener información sobre las listas de aplicaciones y cómo utilizarlas en su política, consulte Uso de listas administradas y Uso de listas administradas.

      4. Utilice la configuración de Anulaciones para anular de forma explícita otras configuraciones de la política. Puede optar por permitir siempre o denegar siempre reglas de grupos de seguridad específicos, independientemente de si cumplen con las demás opciones que haya establecido para la política.

        Para esta opción, proporcione un grupo de seguridad de auditoría como plantilla de reglas permitidas o reglas rechazadas. Para los grupos de seguridad de auditoría, seleccione Agregar grupo de seguridad de auditoría y, a continuación, elija el grupo de seguridad que desea usar. Firewall Manager rellena la lista de grupos de seguridad de auditoría de todas las instancias de Amazon VPC de la cuenta de administrador de Firewall Manager. La cuota máxima predeterminada en el número de grupos de seguridad de auditoría para una política es uno. Para obtener información sobre cómo aumentar la cuota, consulte Cuotas de AWS Firewall Manager.

    2. En Configurar reglas de política personalizadas, haga lo siguiente:

      1. En las opciones de reglas, elija si desea permitir solo las reglas definidas en los grupos de seguridad de auditoría o denegar todas las reglas. Para obtener información sobre esta opción, consulte Utilización de las políticas del grupo de seguridad de auditoría del contenido con Firewall Manager.

      2. Para los grupos de seguridad de auditoría, seleccione Agregar grupo de seguridad de auditoría y, a continuación, elija el grupo de seguridad que desea usar. Firewall Manager rellena la lista de grupos de seguridad de auditoría de todas las instancias de Amazon VPC de la cuenta de administrador de Firewall Manager. La cuota máxima predeterminada en el número de grupos de seguridad de auditoría para una política es uno. Para obtener información sobre cómo aumentar la cuota, consulte Cuotas de AWS Firewall Manager.

      3. En Policy action (Acción de la política), debe crear la política sin la opción de corrección automática. Esto le permite evaluar los efectos de la nueva política antes de aplicarla. Cuando esté convencido de que los cambios son lo que desea, edite la política y cambie la acción de la política para habilitar la corrección automática de los recursos no conformes.

  10. Elija Siguiente.

  11. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada Incluir todas las cuentas en mi organización de AWS.

    • Si desea aplicar la política solo a cuentas específicas o cuentas que estén en unidades organizativas específicas de AWS Organizations, elija Include only the specified accounts and organizational units (Incluir solo las cuentas y unidades organizativas especificadas) y, a continuación, agregue las cuentas y unidades organizativas que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades organizativas (OU) de AWS Organizations excepto a un conjunto específico, elija Exclude the specified accounts and organizational units, and include all others (Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás), y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

  12. En Resource type (Tipo de recurso), elija los tipos de recurso que desea proteger.

  13. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  14. Elija Siguiente.

  15. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija Create policy (Crear política).

Firewall Manager compara el grupo de seguridad de auditoría con los grupos de seguridad dentro del ámbito de la organización de AWS, según la configuración de las reglas de su política. Puede examinar el estado de la política en la consola de políticas de AWS Firewall Manager. Una vez creada la política, puede editarla y habilitar la corrección automática para aplicar su política de grupo de seguridad de auditoría. Para obtener más información sobre cómo funciona esta política, consulte Utilización de las políticas del grupo de seguridad de auditoría del contenido con Firewall Manager.

Crear una política de grupo de seguridad de auditoría de uso de AWS Firewall Manager

Para obtener información sobre el funcionamiento de las políticas de grupos de seguridad de auditoría de uso, consulte Uso de políticas del grupo de seguridad de auditoría de uso con Firewall Manager.

Para crear una política de grupo de seguridad de auditoría de uso (consola)
  1. Inicie sesión en la AWS Management Console mediante su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en https://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija Crear política.

  4. En Policy type (Tipo de política), elija Security group (Grupo de seguridad).

  5. En Tipo de política de grupo de seguridad, elija Auditoría y eliminación de grupos de seguridad redundantes y no asociados.

  6. En Región, seleccione una Región de AWS.

  7. Elija Siguiente.

  8. En Policy name (Nombre de la política), escriba un nombre fácil de recordar.

  9. En Policy rules (Reglas de la política), elija una o ambas opciones disponibles.

    • Si elige Los grupos de seguridad dentro del alcance de esta política deben ser utilizados por al menos un recurso, Firewall Manager elimina los grupos de seguridad que determine que no se utilizan. Si habilita esta regla, Firewall Manager la ejecuta en último lugar vez cuando guarde la política.

      Para obtener más información acerca de cómo Firewall Manager determina el uso y el momento de la corrección, consulte Uso de políticas del grupo de seguridad de auditoría de uso con Firewall Manager.

      nota

      Cuando utilice este tipo de política de auditoría de uso de los grupos de seguridad, evite hacer varios cambios en el estado de asociación de los grupos de seguridad incluidos en el ámbito de aplicación en poco tiempo. Si lo hace, es posible que Firewall Manager se saltee los eventos correspondientes.

      De forma predeterminada, Firewall Manager considera a los grupos de seguridad no conformes con esta regla de políticas si no se utilizan durante un tiempo. Opcionalmente, puede especificar una cantidad de minutos en los que un grupo de seguridad puede existir sin utilizarse antes de que se considere no conforme, hasta 525 600 minutos (365 días). Puede utilizar esta configuración para disponer de tiempo para asociar nuevos grupos de seguridad a los recursos.

      importante

      Si especifica una cantidad de minutos distinta del valor predeterminado de cero, debe habilitar las relaciones indirectas en AWS Config. De lo contrario, las políticas de los grupos de seguridad de auditoría de uso no funcionarán según lo previsto. Para obtener información sobre las relaciones indirectas en AWS Config, consulte Relaciones indirectas en AWS Config en la Guía para desarrolladores de AWS Config.

    • Si elige Los grupos de seguridad dentro del alcance de esta política deben ser únicos, Firewall Manager consolida los grupos de seguridad redundantes, de modo que solo uno está asociado a los recursos. Si elige esta opción, Firewall Manager lo ejecuta en primer lugar cuando guarde la política.

  10. En Policy action (Acción de la política), se recomienda crear la política sin la opción de corrección automática. Esto le permite evaluar los efectos de la nueva política antes de aplicarla. Cuando esté convencido de que los cambios son lo que desea, edite la política y cambie la acción de la política para habilitar la corrección automática de los recursos no conformes.

  11. Elija Siguiente.

  12. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada Incluir todas las cuentas en mi organización de AWS.

    • Si desea aplicar la política solo a cuentas específicas o cuentas que estén en unidades organizativas específicas de AWS Organizations, elija Include only the specified accounts and organizational units (Incluir solo las cuentas y unidades organizativas especificadas) y, a continuación, agregue las cuentas y unidades organizativas que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades organizativas (OU) de AWS Organizations excepto a un conjunto específico, elija Exclude the specified accounts and organizational units, and include all others (Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás), y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

  13. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  14. Elija Siguiente.

  15. Si no ha excluido la cuenta de administrador de Firewall Manager del ámbito de la política, Firewall Manager le pedirá que lo haga. Al hacerlo, los grupos de seguridad de la cuenta de administrador de Firewall Manager que utiliza para políticas de grupos de seguridad comunes y de auditoría quedan bajo su control manual. Elija la opción que desee en este diálogo.

  16. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija Create policy (Crear política).

Si decide exigir grupos de seguridad únicos, Firewall Manager busca grupos de seguridad redundantes en cada instancia de Amazon VPC pertinente. A continuación, si decide exigir que cada grupo de seguridad sea utilizado por al menos un recurso, Firewall Manager busca grupos de seguridad que no se han utilizado durante los minutos especificados en la regla. Puede examinar el estado de la política en la consola de políticas de AWS Firewall Manager. Para obtener más información sobre cómo funciona esta política, consulte Uso de políticas del grupo de seguridad de auditoría de uso con Firewall Manager.

Creación de una política AWS Firewall Manager de la ACL de red

Para obtener más información acerca de cómo funcionan las políticas de la ACL de red, consulte Políticas de la ACL de red.

Para crear una política de la ACL de red, debe saber cómo definir una ACL de red para usarla con las subredes de Amazon VPC. Para obtener más información, consulte Controlar el tráfico hacia las subredes mediante las ACL de red y Trabajar con las ACL de red en la Guía del usuario de Amazon VPC.

Para crear una política de la ACL de red (consola)
  1. Inicie sesión en la AWS Management Console mediante su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en https://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija Crear política.

  4. En Tipo de política, elija ACL de red.

  5. En Región, seleccione una Región de AWS.

  6. Elija Siguiente.

  7. En Nombre de política, introduzca un nombre descriptivo.

  8. En el caso de las Reglas de política, defina las reglas que desee que se ejecuten siempre en las ACL de red que Firewall Manager administra por usted. Las ACL de red supervisan y administran el tráfico entrante y saliente, por lo que en su política, debe definir las reglas para ambas direcciones.

    En cualquier dirección, se definen las reglas que quiera ejecutar siempre primero y las que se deben ejecutar siempre en último lugar. En las ACL de red que administra Firewall Manager, los propietarios de las cuentas pueden definir reglas personalizadas para que se ejecuten entre la primera y la última regla.

  9. Para Acción de política, si desea identificar subredes y las ACL de red que no cumplan las normas, pero no tomar ninguna medida correctiva todavía, elija Identificar recursos que no cumplan con las reglas de la política, pero que no se corrijan automáticamente. Puede cambiar estas opciones más adelante.

    Si, en su lugar, desea aplicar automáticamente la política a los recursos existentes dentro del ámbito, elija Solucionar automáticamente los recursos no conformes. Con esta opción, también se especifica si se debe forzar la corrección cuando el comportamiento de las reglas de política en materia de administración del tráfico entre en conflicto con las reglas personalizadas que se encuentran en la ACL de la red. Independientemente de si fuerza o no una corrección, Firewall Manager informa sobre las reglas incompatibles en sus infracciones de conformidad.

  10. Elija Siguiente.

  11. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada Incluir todas las cuentas en mi organización de AWS.

    • Si desea aplicar la política solo a cuentas específicas o cuentas que estén en unidades organizativas específicas de AWS Organizations, elija Include only the specified accounts and organizational units (Incluir solo las cuentas y unidades organizativas especificadas) y, a continuación, agregue las cuentas y unidades organizativas que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades organizativas (OU) de AWS Organizations excepto a un conjunto específico, elija Exclude the specified accounts and organizational units, and include all others (Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás), y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva o diferente. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

  12. Para el tipo de recurso, la configuración está fija en Subredes.

  13. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  14. Elija Siguiente.

  15. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija Create policy (Crear política).

Firewall Manager crea la política y comienza a supervisar y administrar las ACL de la red incluidas en el ámbito de aplicación de acuerdo con su configuración. Para obtener más información sobre cómo funciona esta política, consulte Políticas de la ACL de red.

Creación de una política de AWS Firewall Manager para AWS Network Firewall

En una política de Firewall Manager Network Firewall, se utilizan los grupos de reglas que se administran en AWS Network Firewall. Para obtener información sobre cómo administrar sus grupos de reglas, consulte Grupos de reglas de AWS Network Firewall en la Guía para desarrolladores de Network Firewall.

Para obtener información acerca de las políticas de Firewall Manager Network Firewall, consulte Uso de políticas de AWS Network Firewall en Firewall Manager.

Creación de una política de Firewall Manager para AWS Network Firewall (consola)
  1. Inicie sesión en la AWS Management Console mediante su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en https://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija Crear política.

  4. Para Policy type (Tipo de política), seleccione AWS Network Firewall.

  5. En Tipo de administración del firewall, elija cómo desea que Firewall Manager administre los firewalls de la política. Puede elegir entre las siguientes opciones:

    • Distribuido: Firewall Manager crea y mantiene puntos de conexión de firewall en cada VPC que se encuentra dentro del alcance de la política.

    • Centralizado: Firewall Manager crea y mantiene los puntos de conexión en una única VPC de inspección.

    • Importar firewalls existentes: Firewall Manager importa los firewalls existentes desde Network Firewall mediante conjuntos de recursos. Para obtener información acerca de los conjuntos de recursos, consulte Agrupación de los recursos en Firewall Manager.

  6. En Región, seleccione una Región de AWS. Para proteger los recursos en varias regiones, debe crear políticas distintas para cada región.

  7. Elija Siguiente.

  8. En Nombre de política, introduzca un nombre descriptivo. Firewall Manager incluye el nombre de la política en los nombres de los firewalls de Network Firewall y las políticas de firewall que crea.

  9. En la política de configuración de AWS Network Firewall, configure la política de firewall como lo haría en Network Firewall. Agregue sus grupos de reglas sin estado y con estado y especifique las acciones predeterminadas de la política. Si lo desea, puede establecer el orden de evaluación de las reglas con estado de la política y las acciones predeterminadas, así como la configuración de registro. Para obtener información sobre la administración de políticas de firewall de Network Firewall, consulte Políticas de firewall AWS Network Firewall en la Guía para desarrolladores de AWS Network Firewall.

    Al crear la política de firewall de red de Firewall Manager Network Firewall, Firewall Manager crea políticas de firewall para las cuentas que están dentro del alcance. Los administradores de cuentas individuales pueden agregar grupos de reglas a las políticas de firewall, pero no pueden cambiar la configuración que proporciona aquí.

  10. Elija Siguiente.

  11. Realice una de las siguientes acciones, en función del tipo de administración de firewall que haya seleccionado en el paso anterior:

    • Si utiliza un tipo de administración de firewall distribuido, en Configuración de puntos de conexión de AWS Firewall Manager, en Ubicación del punto de conexión del firewall, seleccione una de las siguientes opciones:

      • Configuración de punto de conexión personalizada: Firewall Manager crea firewalls para cada VPC dentro del alcance de la política, en las zonas de disponibilidad que especifique. Cada firewall contiene como mínimo un punto de conexión de firewall.

        • En Zonas de disponibilidad, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por Nombre de la zona de disponibilidad o por ID de la zona de disponibilidad.

        • Si desea proporcionar los bloques CIDR para que Firewall Manager los utilice en las subredes de firewall de sus VPC, todos deben ser bloques CIDR de /28. Ingrese un bloque por línea. Si las omite, Firewall Manager elegirá por usted las direcciones IP entre las que están disponibles en las VPC.

          nota

          La corrección automática se realiza automáticamente para las políticas de AWS Firewall Manager Network Firewall, por lo que aquí no verá ninguna opción para elegir no realizar la corrección automática.

      • Configuración automática de puntos de conexión: Firewall Manager crea automáticamente puntos de conexión de firewall en las zonas de disponibilidad con subredes públicas en su VPC.

        • Para la configuración de los puntos de conexión del firewall, especifique cómo desea que Firewall Manager administre los puntos de conexión del firewall. Se recomienda utilizar varios puntos de conexión para una alta disponibilidad.

    • Si utiliza un tipo de administración de firewall centralizada, en la configuración de punto de conexión de AWS Firewall Manager, en Configuración de VPC de inspección, introduzca el ID de cuenta de AWS del propietario de la VPC de inspección y el ID de la VPC de inspección.

      • En Zonas de disponibilidad, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por Nombre de la zona de disponibilidad o por ID de la zona de disponibilidad.

      • Si desea proporcionar los bloques CIDR para que Firewall Manager los utilice en las subredes de firewall de sus VPC, todos deben ser bloques CIDR de /28. Ingrese un bloque por línea. Si las omite, Firewall Manager elegirá por usted las direcciones IP entre las que están disponibles en las VPC.

        nota

        La corrección automática se realiza automáticamente para las políticas de AWS Firewall Manager Network Firewall, por lo que aquí no verá ninguna opción para elegir no realizar la corrección automática.

    • Si está utilizando un tipo de administración de firewalls de importación de firewalls existentes, en Conjuntos de recursos, agregue uno o más conjuntos de recursos. Un conjunto de recursos define los firewalls existentes de Network Firewall que pertenecen a la cuenta de su organización y que desea administrar de forma centralizada en esta política. Para añadir un conjunto de recursos a la política, primero debe crear un conjunto de recursos mediante la consola o la API PutResourceSet. Para obtener información acerca de los conjuntos de recursos, consulte Agrupación de los recursos en Firewall Manager. Para obtener más información sobre la importación de firewalls existentes desde Network Firewall, consulte Importar firewalls existentes.

  12. Elija Siguiente.

  13. Si su política utiliza un tipo de administración de firewall distribuido, en Administración de rutas, elija si Firewall Manager supervisará y alertará sobre el tráfico que debe enrutarse a través de los puntos de conexión de firewall respectivos.

    nota

    Si selecciona Supervisar, no podrá cambiar la configuración a Desactivado más adelante. La supervisión continúa hasta que elimine la política.

  14. Para Tipo de tráfico, si lo desea, añada los puntos de conexión del tráfico por los que desee enrutar el tráfico para inspeccionar el firewall.

  15. En el caso de Permitir el tráfico entre zonas de disponibilidad obligatorio, si habilita esta opción, Firewall Manager considerará compatible el enrutamiento que envía tráfico fuera de una Zona de Disponibilidad para su inspección, en las Zonas de Disponibilidad que no tienen su propio punto de conexión de firewall. Las zonas de disponibilidad que tienen puntos de conexión siempre deben inspeccionar su propio tráfico.

  16. Elija Siguiente.

  17. Para Alcance de la política, en esta política se aplica a Cuentas de AWS, elija la opción siguiente:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada Incluir todas las cuentas en mi organización de AWS.

    • Si desea aplicar la política solo a cuentas específicas o cuentas que estén en unidades organizativas específicas de AWS Organizations, elija Include only the specified accounts and organizational units (Incluir solo las cuentas y unidades organizativas especificadas) y, a continuación, agregue las cuentas y unidades organizativas que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades organizativas (OU) de AWS Organizations excepto a un conjunto específico, elija Exclude the specified accounts and organizational units, and include all others (Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás), y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

  18. El Tipo de recurso para las políticas de Network Firewall es VPC.

  19. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  20. Elija Siguiente.

  21. En Etiquetas de políticas, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

  22. Elija Siguiente.

  23. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio.

    Cuando esté satisfecho con la política, elija Crear política. En el panel de políticas de AWS Firewall Manager, su política debe aparecer en la lista. Probablemente, indicará Pendiente bajo los encabezados de las cuentas e indicará el estado de la configuración Corrección automática. La creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending (Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte Visualización de información de conformidad para una política de AWS Firewall Manager

Creación de una política de AWS Firewall Manager para el Amazon Route 53 Resolver DNS Firewall

En una política de DNS Firewall de Firewall Manager, utilice grupos de reglas que administra en Amazon Route 53 Resolver DNS Firewall. Para obtener información sobre la administración de sus grupos de reglas, consulte Cómo administrar grupos de reglas y reglas en DNS Firewall en la Guía para desarrolladores de Amazon Route 53.

Para obtener información acerca de las políticas de Firewall Manager DNS Firewall, consulte Uso de las políticas de DNS Firewall de Amazon Route 53 Resolver en Firewall Manager.

Creación de una política de Firewall Manager para Amazon Route 53 Resolver DNS Firewall (consola)
  1. Inicie sesión en la AWS Management Console mediante su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en https://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija Crear política.

  4. En Tipo de política, seleccione Amazon Route 53 Resolver DNS Firewall.

  5. En Región, seleccione una Región de AWS. Para proteger los recursos en varias regiones, debe crear políticas distintas para cada región.

  6. Elija Siguiente.

  7. En Nombre de política, introduzca un nombre descriptivo.

  8. En la configuración de políticas, agregue los grupos de reglas que desee que DNS Firewall evalúe lo primero y último entre las asociaciones de grupos de reglas de sus VPC. Puede añadir hasta dos grupos de reglas a la política.

    Al crear la política de DNS Firewall DNS en Firewall Manager, Firewall Manager crea las asociaciones de grupos de reglas, con las prioridades de asociación que haya proporcionado, para las VPC y las cuentas que están dentro del alcance. Los administradores de cuentas individuales pueden añadir asociaciones de grupos de reglas entre la primera y la última asociación, pero no pueden cambiar las asociaciones que defina aquí. Para obtener más información, consulte Uso de las políticas de DNS Firewall de Amazon Route 53 Resolver en Firewall Manager.

  9. Elija Siguiente.

  10. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada Incluir todas las cuentas en mi organización de AWS.

    • Si desea aplicar la política solo a cuentas específicas o cuentas que estén en unidades organizativas específicas de AWS Organizations, elija Include only the specified accounts and organizational units (Incluir solo las cuentas y unidades organizativas especificadas) y, a continuación, agregue las cuentas y unidades organizativas que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades organizativas (OU) de AWS Organizations excepto a un conjunto específico, elija Exclude the specified accounts and organizational units, and include all others (Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás), y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

  11. El Tipo de recurso para las políticas de DNS Firewall es VPC.

  12. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  13. Elija Siguiente.

  14. En Etiquetas de políticas, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

  15. Elija Siguiente.

  16. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio.

    Cuando esté satisfecho con la política, elija Crear política. En el panel de políticas de AWS Firewall Manager, su política debe aparecer en la lista. Probablemente, indicará Pendiente bajo los encabezados de las cuentas e indicará el estado de la configuración Corrección automática. La creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending (Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte Visualización de información de conformidad para una política de AWS Firewall Manager

Creación de una política de AWS Firewall Manager para Palo Alto Networks Cloud NGFW

Con una política Firewall Manager para Palo Alto Networks Cloud Next Generation Firewall (Palo Alto Networks Cloud NGFW), puede usar Firewall Manager para implementar recursos de Palo Alto Networks Cloud NGFW y administrar las pilas de reglas de NGFW de forma centralizada en todas sus cuentas de AWS.

Para obtener información sobre políticas de NGFW en la nube de Palo Alto Networks de Firewall Manager, consulte El uso de políticas de Palo Alto Networks Cloud NGFW para Firewall Manager. Para obtener información sobre cómo configurar y administrar NGFW en la nube de Palo Alto Networks para Firewall Manager, consulte la documentación de NGFW en la nube de Palo Alto Networks en AWS.

Requisitos previos

Existen varios pasos obligatorios para preparar su cuenta de AWS Firewall Manager. Estos pasos se describen en Requisitos previos de AWS Firewall Manager. Complete todos los requisitos previos antes de continuar con el siguiente paso.

Creación de una política de Firewall Manager para NGFW en la nube de Palo Alto Networks (consola)
  1. Inicie sesión en la AWS Management Console mediante su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en https://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija Crear política.

  4. En Tipo de política, seleccione Palo Alto Networks Cloud NGFW. Si aún no se ha suscrito al servicio de NGFW en la nube de Palo Alto Networks en AWS Marketplace, tendrá que hacerlo primero. Para suscribirse en AWS Marketplace, seleccione Ver AWS detalles de Marketplace.

  5. Para Modelo de implementación, elija Modelo distribuido o Modelo centralizado. El modelo de implementación determina la forma en que Firewall Manager administra los puntos de conexión de la política. Con el modelo distribuido, Firewall Manager mantiene los puntos de conexión del firewall en cada VPC que se encuentre dentro del ámbito de aplicación de la política. Con el modelo centralizado, Firewall Manager mantiene un único punto de conexión en una VPC de inspección.

  6. En Región, seleccione una Región de AWS. Para proteger los recursos en varias regiones, debe crear políticas distintas para cada región.

  7. Elija Siguiente.

  8. En Nombre de política, introduzca un nombre descriptivo.

  9. En la configuración de la política, elija la política de firewall de NGFW en la nube de Palo Alto Networks para asociarla a esta política. La lista de políticas de firewall de NGFW en la nube de Palo Alto Networks contiene todas las políticas de firewall de NGFW en la nube de Palo Alto Networks asociadas a su inquilino de NGFW en la nube de Palo Alto Networks. Para obtener información acerca de cómo crear y administrar las políticas de firewall de Palo Alto Networks Cloud NGFW, consulte el tema Implementar Palo Alto Networks Cloud NGFW para AWS con AWS Firewall Manager en la Guía de implementación de Palo Alto Networks Cloud NGFW para AWS.

  10. En Registro de Palo Alto Networks Cloud NGFW: opcional, elija, de forma opcional, los tipos de registro de Palo Alto Networks Cloud NGFW que desee registrar para su política. Para obtener información acerca de los tipos de registro de Palo Alto Networks Cloud NGFW, consulte Configurar el registro de Palo Alto Networks Cloud NGFW en AWS en la Guía de implementación de Palo Alto Networks Cloud NGFW para AWS.

    En Destino del registro, especifique en qué momento Firewall Manager debe escribir los registros.

  11. Elija Siguiente.

  12. En Configurar punto de conexión de firewall de terceros, lleve a cabo una de las siguientes acciones, en función de si utiliza el modelo de implementación distribuido o centralizado para crear los puntos de conexión de firewall:

    • Si utiliza el modelo de implementación distribuida para esta política, en Zonas de disponibilidad, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por Nombre de la zona de disponibilidad o por ID de la zona de disponibilidad.

    • Si utiliza el modelo de implementación centralizada para esta política, en Configuración de punto de conexión de AWS Firewall Manager de Configuración de VPC de inspección, introduzca el ID de cuenta de AWS del propietario de la VPC de inspección y el ID de VPC de la VPC de inspección.

      • En Zonas de disponibilidad, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por Nombre de la zona de disponibilidad o por ID de la zona de disponibilidad.

  13. Si desea proporcionar los bloques CIDR para que Firewall Manager los utilice en las subredes de firewall de sus VPC, todos deben ser bloques CIDR de /28. Ingrese un bloque por línea. Si las omite, Firewall Manager elegirá por usted las direcciones IP entre las que están disponibles en las VPC.

    nota

    La corrección automática se realiza automáticamente para las políticas de AWS Firewall Manager Network Firewall, por lo que aquí no verá ninguna opción para elegir no realizar la corrección automática.

  14. Elija Siguiente.

  15. Para Alcance de la política, en esta política se aplica a Cuentas de AWS, elija la opción siguiente:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada Incluir todas las cuentas en mi organización de AWS.

    • Si desea aplicar la política solo a cuentas específicas o cuentas que estén en unidades organizativas específicas de AWS Organizations, elija Include only the specified accounts and organizational units (Incluir solo las cuentas y unidades organizativas especificadas) y, a continuación, agregue las cuentas y unidades organizativas que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades organizativas (OU) de AWS Organizations excepto a un conjunto específico, elija Exclude the specified accounts and organizational units, and include all others (Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás), y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

  16. El Tipo de recurso para las políticas de Network Firewall es VPC.

  17. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  18. En Conceder acceso entre cuentas, seleccione Descargar plantilla de AWS CloudFormation. Esto descarga una plantilla de AWS CloudFormation que se puede usar para crear una pila de AWS CloudFormation. Esta pila crea un rol de AWS Identity and Access Management que otorga permisos entre cuentas a Firewall Manager para administrar los recursos de NGFW en la nube de Palo Alto Networks. Para obtener información acerca de las pilas, consulte Uso de pilas en la Guía del usuario de AWS CloudFormation.

  19. Elija Siguiente.

  20. En Etiquetas de políticas, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

  21. Elija Siguiente.

  22. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio.

    Cuando esté satisfecho con la política, elija Crear política. En el panel de políticas de AWS Firewall Manager, su política debe aparecer en la lista. Probablemente, indicará Pendiente bajo los encabezados de las cuentas e indicará el estado de la configuración Corrección automática. La creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending (Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte Visualización de información de conformidad para una política de AWS Firewall Manager

Creación de una política AWS Firewall Manager para Fortigate Cloud Native Firewall (CNF) como servicio

Con una política de Firewall Manager para Fortigate CNF, puede usar Firewall Manager para implementar y administrar los recursos de Fortigate CNF en todas sus cuentas de AWS .

Para obtener información acerca de las políticas de Firewall Manager Fortigate CNF, consulte Uso de la política de las políticas de Fortigate Cloud Native Firewall (CNF) como servicio para Firewall Manager. Para obtener información sobre cómo configurar Fortigate CNF para su uso con Firewall Manager, consulte la documentación de Fortinet.

Requisitos previos

Existen varios pasos obligatorios para preparar su cuenta de AWS Firewall Manager. Estos pasos se describen en Requisitos previos de AWS Firewall Manager. Complete todos los requisitos previos antes de continuar con el siguiente paso.

Creación de una política de Firewall Manager para Fortigate CNF (consola)
  1. Inicie sesión en la AWS Management Console mediante su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en https://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

    nota

    Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte Requisitos previos de AWS Firewall Manager.

  2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

  3. Elija Crear política.

  4. Para Tipo de política, seleccione Fortigate Cloud Native Firewall (CNF) como servicio. Si aún no se ha suscrito al servicio Fortigate CNF en AWS Marketplace, tendrá que hacer eso primero. Para suscribirse en AWS Marketplace, seleccione Ver detalles de AWS Marketplace.

  5. Para Modelo de implementación, elija Modelo distribuido o Modelo centralizado. El modelo de implementación determina la forma en que Firewall Manager administra los puntos de conexión de la política. Con el modelo distribuido, Firewall Manager mantiene los puntos de conexión del firewall en cada VPC que se encuentre dentro del ámbito de aplicación de la política. Con el modelo centralizado, Firewall Manager mantiene un único punto de conexión en una VPC de inspección.

  6. En Región, seleccione una Región de AWS. Para proteger los recursos en varias regiones, debe crear políticas distintas para cada región.

  7. Elija Siguiente.

  8. En Nombre de política, introduzca un nombre descriptivo.

  9. En la configuración de la política, elija la política de firewall Fortigate CNF para asociarla a esta política. La lista de políticas de firewall de Fortigate CNF contiene todas las políticas de firewall de Fortigate CNF asociadas a su inquilino de Fortigate CNF. Para obtener información sobre cómo crear y administrar clientes de Fortigate CNF, consulte la documentación de Fortinet.

  10. Elija Siguiente.

  11. En Configurar punto de conexión de firewall de terceros, lleve a cabo una de las siguientes acciones, en función de si utiliza el modelo de implementación distribuido o centralizado para crear los puntos de conexión de firewall:

    • Si utiliza el modelo de implementación distribuida para esta política, en Zonas de disponibilidad, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por Nombre de la zona de disponibilidad o por ID de la zona de disponibilidad.

    • Si utiliza el modelo de implementación centralizada para esta política, en Configuración de punto de conexión de AWS Firewall Manager de Configuración de VPC de inspección, introduzca el ID de cuenta de AWS del propietario de la VPC de inspección y el ID de VPC de la VPC de inspección.

      • En Zonas de disponibilidad, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por Nombre de la zona de disponibilidad o por ID de la zona de disponibilidad.

  12. Si desea proporcionar los bloques CIDR para que Firewall Manager los utilice en las subredes de firewall de sus VPC, todos deben ser bloques CIDR de /28. Ingrese un bloque por línea. Si las omite, Firewall Manager elegirá por usted las direcciones IP entre las que están disponibles en las VPC.

    nota

    La corrección automática se realiza automáticamente para las políticas de AWS Firewall Manager Network Firewall, por lo que aquí no verá ninguna opción para elegir no realizar la corrección automática.

  13. Elija Siguiente.

  14. Para Alcance de la política, en esta política se aplica a Cuentas de AWS, elija la opción siguiente:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada Incluir todas las cuentas en mi organización de AWS.

    • Si desea aplicar la política solo a cuentas específicas o cuentas que estén en unidades organizativas específicas de AWS Organizations, elija Include only the specified accounts and organizational units (Incluir solo las cuentas y unidades organizativas especificadas) y, a continuación, agregue las cuentas y unidades organizativas que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades organizativas (OU) de AWS Organizations excepto a un conjunto específico, elija Exclude the specified accounts and organizational units, and include all others (Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás), y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

  15. El Tipo de recurso para las políticas de Network Firewall es VPC.

  16. En Recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

  17. En Conceder acceso entre cuentas, seleccione Descargar plantilla de AWS CloudFormation. Esto descarga una plantilla de AWS CloudFormation que se puede usar para crear una pila de AWS CloudFormation. Esta pila crea un rol de AWS Identity and Access Management que otorga permisos multicuenta a Firewall Manager para administrar los recursos de Fortigate CNF. Para obtener información acerca de las pilas, consulte Uso de pilas en la Guía del usuario de AWS CloudFormation. Para crear una pila, necesitará el ID de cuenta del portal de Fortigate CNF.

  18. Elija Siguiente.

  19. En Etiquetas de políticas, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

  20. Elija Siguiente.

  21. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio.

    Cuando esté satisfecho con la política, elija Crear política. En el panel de políticas de AWS Firewall Manager, su política debe aparecer en la lista. Probablemente, indicará Pendiente bajo los encabezados de las cuentas e indicará el estado de la configuración Corrección automática. La creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending (Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte Visualización de información de conformidad para una política de AWS Firewall Manager