Creación de una AWS Firewall Manager política

Los pasos para crear una política varían entre los diferentes tipos de políticas. Asegúrese de utilizar el procedimiento adecuado para el tipo de política que necesita.

importante

AWS Firewall Manager no es compatible con Amazon Route 53 o AWS Global Accelerator. Si desea proteger estos recursos con Shield Advanced, no puede utilizar una política de Firewall Manager. En su lugar, siga las instrucciones en Añadir AWS Shield Advanced protección a AWS los recursos.

Crear una AWS Firewall Manager política para AWS WAF

En una AWS WAF política de Firewall Manager, puedes usar grupos de reglas gestionados, que AWS AWS Marketplace los vendedores crean y mantienen por ti. También puede crear y utilizar sus propios grupos de reglas. Para obtener más información acerca de los grupos de reglas, consulte AWS WAF grupos de reglas.

Si desea utilizar sus propios grupos de reglas, créelos antes de crear su política de Firewall Manager de AWS WAF . Para obtener instrucciones, consulte Administrar sus propios grupos de reglas. Para utilizar una regla personalizada individual, debe definir su propio grupo de reglas, definir la regla dentro de él y, a continuación, utilizar el grupo de reglas en la política.

Para obtener información sobre AWS WAF las políticas de Firewall Manager, consulteAWS WAF políticas.

Para crear una política de Firewall Manager para AWS WAF (consola)

1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

   nota

   Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

3. Elija Crear política.

4. Para Policy type (Tipo de política), seleccione AWS WAF.

5. En Región, elija una Región de AWS. Para proteger CloudFront las distribuciones de Amazon, elige Global.

   Para proteger los recursos en varias regiones (distintas de CloudFront las distribuciones), debe crear políticas de Firewall Manager independientes para cada región.

6. Elija Siguiente.

7. En Nombre de política, introduzca un nombre descriptivo. Firewall Manager incluye el nombre de la política en los nombres de las ACL web que administra. Los nombres de las ACL web FMManagedWebACLV2- van seguidos del nombre de la política que se introduce aquí, -, y de la marca temporal de creación de las ACL web, en milisegundos UTC. Por ejemplo, FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

8. Para inspeccionar el cuerpo de las solicitudes web, si lo desea, puede cambiar el límite de tamaño corporal. Para obtener información sobre los límites de tamaño para la inspección corporal, incluidas las consideraciones de precio, consulte Gestión de los límites de tamaño de la inspección corporal en la Guía para desarrolladores de AWS WAF .

9. En Reglas de políticas, agregue los grupos de reglas que desee AWS WAF evaluar primero y último en la ACL web. Para usar el control de versiones de grupos de reglas AWS WAF administrado, active la opción Habilitar el control de versiones. Los administradores de cuentas individuales pueden agregar reglas y grupos de reglas entre los primeros grupos de reglas y los últimos grupos de reglas. Para obtener más información sobre el uso de grupos de AWS WAF reglas en las políticas del Firewall Manager AWS WAF, consulteAWS WAF políticas.

   (Opcional) Para personalizar la forma en que su ACL web utiliza el grupo de reglas, seleccione Editar. A continuación se muestra la configuración de personalización común:

   • En el caso de los grupos de reglas administradas, anule las acciones de las reglas para algunas o todas las reglas. Si no define una acción de anulación para una regla, la evaluación utiliza la acción de la regla que está definida dentro del grupo de reglas. Para obtener información acerca de esta opción, consulte Opciones de anulación de acciones para grupos de reglas en la Guía para desarrolladores de AWS WAF .

   • Algunos grupos de reglas administradas requieren que se proporcione una configuración adicional. Consulte la documentación de su proveedor de grupos de reglas administradas. Para obtener información específica sobre los grupos de reglas de reglas AWS administradas, consulte AWS Reglas administradas para AWS WAF la Guía para AWS WAF desarrolladores.

   Cuando haya terminado con la configuración, seleccione Guardar regla.

10. Establezca la acción predeterminada para la ACL web. Esta es la acción que realiza el AWS WAF cuando una solicitud web no coincide con ninguna de las reglas de la ACL web. Puede añadir encabezados personalizados con la acción Permitir o respuestas personalizadas para la acción Bloquear. Para obtener más información acerca de las acciones ACL web predeterminadas, consulte La acción predeterminada de ACL web. Para obtener información sobre cómo configurar las solicitudes y respuestas web personalizadas, consulte Solicitudes web y respuestas personalizadas en AWS WAF.

11. Para la configuración del registro, seleccione Habilitar el registro para activar el registro. El registro ofrece obtener información detallada sobre el tráfico que analiza su ACL web. Seleccione el destino del registro y, a continuación, seleccione el destino del registro que haya configurado. Debe elegir un destino de registro cuyo nombre comience con aws-waf-logs-. Para obtener información sobre la configuración de un destino de AWS WAF registro, consulteConfigurar el registro para una AWS WAF política.

12. (Opcional) Si no desea determinados campos y sus valores incluidos en los registros, redacte esos campos. Elija el campo que se va a redactar y, a continuación, elija Add (Añadir). Repita según sea necesario para redactar campos adicionales. Los campos redactados aparecen como REDACTED en los registros. Por ejemplo, si redacta el campo URI, el campo URI de los registros será REDACTED.

13. (Opcional) Si no desea enviar todas las solicitudes a los registros, agregue sus criterios de filtrado y su comportamiento. En Filtrar registros, para cada filtro que desee aplicar, elija Agregar filtro y, a continuación, elija sus criterios de filtrado y especifique si desea conservar o eliminar las solicitudes que coincidan con los criterios. Cuando termine de agregar los filtros, si es necesario, modifique el comportamiento de registro predeterminado. Para obtener más información, consulte Configuración de registro de ACL web en la Guía para desarrolladores de AWS WAF .

14. Puede definir una lista de dominios de token para permitir el intercambio de tokens entre aplicaciones protegidas. Las Challenge acciones CAPTCHA y los SDK de integración de aplicaciones que se implementan cuando se utilizan los grupos de reglas de AWS Managed Rules para el control del AWS WAF fraude, la prevención de apropiación de cuentas (ATP) y el control de AWS WAF bots utilizan los tokens.

    No se admiten sufijos públicos. Por ejemplo, no puede usar gov.au o co.uk como dominio de token.

    De forma predeterminada, solo AWS WAF acepta los tokens del dominio del recurso protegido. Si agrega dominios simbólicos a esta lista, AWS WAF acepta los tokens para todos los dominios de la lista y para el dominio del recurso asociado. Para obtener más información, consulte AWS WAF Configuración de la lista de dominios del token ACL web en la Guía para desarrolladores de AWS WAF .

    Solo puede cambiar el CAPTCHA de la ACL web y desafiar los tiempos de inmunidad al editar una ACL web existente. Puede encontrar esta configuración en la página de Detalles de las políticas del Firewall Manager. Para obtener más información sobre esta configuración, consulte Caducidad de la marca de tiempo: tiempos de inmunidad AWS WAF simbólica. Si actualiza la configuración de la asociación, el CAPTCHA, el desafío o la lista de dominios de token en una política existente, Firewall Manager sobrescribirá las ACL web locales con los nuevos valores. Sin embargo, si no actualiza la configuración de asociación, el CAPTCHA, el desafío o la lista de dominios de token de la política, los valores de las ACL web locales permanecerán inalterados. Para obtener información acerca de esta opción, consulte CAPTCHAy Challenge en AWS WAF en la Guía para desarrolladores de AWS WAF .

15. En Administración de ACL web, si desea que Firewall Manager administre las ACL web no asociadas, habilite Administrar ACL web no asociadas. Con esta opción, Firewall Manager crea ACL web en las cuentas dentro del alcance de la política solo si las ACL web serán utilizadas por al menos un recurso. Si en algún momento, una cuenta entra en el alcance de la política, Firewall Manager crea automáticamente una ACL web en la cuenta si al menos un recurso utilizará la ACL web. Al activar esta opción, el Firewall Manager realiza una limpieza única de las ACL web no asociadas de su cuenta. El proceso de limpieza puede tardar varias horas. Si un recurso sale del alcance de la política después de que el Firewall Manager haya creado una ACL web, el Firewall Manager disociará el recurso de la ACL web, pero no realizará la limpieza de la ACL web no asociada. Firewall Manager solo realiza la limpieza de las ACL web no asociadas cuando se habilita por primera vez la administración de las ACL web no asociadas en una política.

16. Para Acción de política, si desea crear una ACL web en cada cuenta aplicable dentro de la organización, pero no aplicar la ACL web a ningún recurso todavía, elija Identificar recursos que no cumplan las reglas de la política, pero que no se corrijan automáticamente y no elija Administrar ACL web no asociadas. Puede cambiar estas opciones más adelante.

    Si, en su lugar, desea aplicar automáticamente la política a los recursos existentes dentro del ámbito, elija Auto remediate any noncompliant resources (Solucionar automáticamente los recursos no conformes). Si la opción Administrar ACL web no asociadas está desactivada, la opción Corregir automáticamente los recursos no compatibles crea una ACL web en cada cuenta aplicable de la organización y asocia la ACL web a los recursos de las cuentas. Si la opción Administrar ACL web no asociadas está habilitada, la opción Corregir automáticamente los recursos no compatibles solo crea y asocia una ACL web en las cuentas que tienen recursos aptos para asociarse a la ACL web.

    Al elegir Corregir automáticamente los recursos no compatibles, también puede optar por eliminar las asociaciones existentes de ACL web de los recursos pertinentes, para aquellas ACL web que no estén administradas por otra política activa de Firewall Manager. Si elige este opción, Firewall Manager asociará primero la ACL web de la política con los recursos y después quitará las asociaciones anteriores. Si un recurso tiene una asociación con otra ACL web administrada por una política de Firewall Manager activa diferente, esta opción no afectará a esa asociación.

17. Elija Siguiente.

18. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada, Incluir todas las cuentas de mi AWS organización.

    • Si desea aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas (OU) específicas, elija Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agregue las cuentas y OU que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades organizativas (OU) de AWS Organizations excepto a un conjunto específico, elija Exclude the specified accounts and organizational units, and include all others (Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás), y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

19. En Resource type (Tipo de recurso), elija los tipos de recurso que desea proteger.

20. En el caso de los recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea incluyendo o excluyendo los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, y no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, el Firewall Manager guarda la etiqueta con un valor de cadena vacío: «». Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

21. Elija Siguiente.

22. En el caso de las etiquetas de política, añada las etiquetas de identificación que desee añadir al recurso de políticas del Firewall Manager. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

23. Elija Siguiente.

24. Revise la nueva configuración de la política y vuelva a las páginas en las que necesite realizar algún ajuste.

    Cuando esté satisfecho con la política, elija Crear política. En el panel de políticas de AWS Firewall Manager , su política debe aparecer en la lista. Probablemente indique Pendiente en los encabezados de cuentas e indique el estado de la configuración de corrección automática. La creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending (Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte Visualización de la información de cumplimiento de una AWS Firewall Manager política

Crear una AWS Firewall Manager política para Classic AWS WAF

Para crear una política de Firewall Manager para AWS WAF Classic (consola)

1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

   nota

   Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

3. Elija Crear política.

4. En Policy type (Tipo de política), seleccione AWS WAF Classic.

5. Si ya creó el grupo de reglas AWS WAF clásico que desea agregar a la política, elija Crear una AWS Firewall Manager política y agregar los grupos de reglas existentes. Si desea crear un nuevo grupo de reglas, elija Crear una política de Firewall Manager y agregar un nuevo grupo de reglas.

6. En Región, elija una Región de AWS. Para proteger CloudFront los recursos de Amazon, elige Global.

   Para proteger los recursos de varias regiones (distintas de CloudFront los recursos), debe crear políticas de Firewall Manager independientes para cada región.

7. Elija Siguiente.

8. Si está creando un grupo de reglas, siga las instrucciones de Creación de un grupo de reglas AWS WAF clásico. Después de crear el grupo de reglas, continúe con los pasos siguientes.

9. Escriba un nombre para la política.

10. Si agrega a un grupo de reglas existente, utilice el menú desplegable para seleccionar un grupo de reglas al que agregar y, a continuación, elija Add rule group (Agregar grupo de reglas).

11. Una política dispone de dos posibles acciones: Action set by rule group (Acción establecida por el grupo de reglas) y Count (Contar). Si desea probar la política y el grupo de reglas, establezca la acción en Count (Contar). Esta acción anula cualquier acción de bloqueo especificada por las reglas en el grupo de reglas. Es decir, si la acción de la política está establecida en Count (Contar), las solicitudes solo se contabilizan y no se bloquean. Por el contrario, si establece la acción de la política en Action set by rule group (Acción establecida por el grupo de reglas), se utilizan las acciones del grupo de reglas. Elija la acción apropiada.

12. Elija Siguiente.

13. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada, Incluir todas las cuentas de mi AWS organización.

    • Si desea aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas (OU) específicas, elija Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agregue las cuentas y OU que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas (OU) excepto a un conjunto específico, elija Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

14. Elija el tipo de recurso que desea proteger.

15. En el caso de los recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea incluyendo o excluyendo los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, y no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, el Firewall Manager guarda la etiqueta con un valor de cadena vacío: «». Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

16. Si desea aplicar automáticamente la política a los recursos existentes, elija Create and apply this policy to existing and new resources (Crear y aplicar esta política a los recursos nuevos y existentes).

    Esta opción crea una ACL web en cada cuenta aplicable de una organización de AWS y asocia la ACL web a los recursos en las cuentas. Esta opción también aplica la política a todos los nuevos recursos que coinciden con los criterios precedentes (tipo de recurso y etiquetas). Por otro lado, si elige Create policy but do not apply the policy to existing or new resources (Crear política pero no aplicarla a los recursos nuevos o existentes), Firewall Manager crea una ACL web en todas las cuentas de la organización que cumplen los requisitos necesarios, pero no la aplica a ningún recurso. Deberá aplicar la política a los recursos posteriormente. Elija la opción apropiada.

17. En Replace existing associated web ACLs (Sustituir ACL web asociadas existentes), puede elegir eliminar cualquier asociación ACL web que esté definida actualmente en los recursos dentro del ámbito y, a continuación, sustituirlos por asociaciones a las ACL web que crea con esta política. De forma predeterminada, Firewall Manager no elimina las asociaciones de ACL web existentes antes de agregar las nuevas. Si desea eliminar las existentes, seleccione esta opción.

18. Elija Siguiente.

19. Revise la nueva política. Para realizar cualquier cambio, elija Edit (Editar). Cuando esté satisfecho con la política, elija Create and apply policy (Crear y aplicar política).

Crear una AWS Firewall Manager política para AWS Shield Advanced

Creación de una política de Firewall Manager para Shield Advanced (consola)

1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

   nota

   Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

3. Elija Crear política.

4. Para Tipo de política, seleccione Shield Advanced.

   Para crear una política de Shield Advanced, debe estar suscrito a Shield Advanced. Se le pedirá que se suscriba si no lo ha hecho ya. Para obtener información sobre el coste de la suscripción, consulte Precios de AWS Shield Advanced.

5. En Región, elija una Región de AWS. Para proteger CloudFront las distribuciones de Amazon, elige Global.

   En las opciones de región que no sean Global, para proteger recursos en varias regiones, debe crear una política de Firewall Manager independiente para cada región.

6. Elija Siguiente.

7. En Nombre, introduzca un nombre descriptivo.

8. Solo para las políticas de región Global, puede elegir si desea administrar la mitigación automática de DDoS en la capa de aplicación de Shield Advanced. Para obtener información acerca de esta característica de Shield Advanced, consulte Mitigación de DDoS de la capa de aplicación automática de Shield Advanced.

   Puede elegir habilitar o deshabilitar la mitigación automática, o puede elegir ignorarla. Si decide ignorarla, Firewall Manager no administra en absoluto la mitigación automática de las protecciones Shield Advanced. Para obtener más información sobre estas opciones de la política, consulte Mitigación automática de DDoS en la capa de aplicación.

9. En Administración de ACL web, si desea que Firewall Manager administre las ACL web no asociadas, habilite Administrar ACL web no asociadas. Con esta opción, Firewall Manager crea ACL web en las cuentas dentro del alcance de la política solo si las ACL web serán utilizadas por al menos un recurso. Si en algún momento, una cuenta entra en el alcance de la política, Firewall Manager crea automáticamente una ACL web en la cuenta si al menos un recurso utilizará la ACL web. Al activar esta opción, el Firewall Manager realiza una limpieza única de las ACL web no asociadas de su cuenta. El proceso de limpieza puede tardar varias horas. Si un recurso sale del alcance de la política después de que el Firewall Manager haya creado una ACL web, el Firewall Manager no disociará el recurso de la ACL web. Para incluir la ACL web en la limpieza única, primero debe desasociar manualmente los recursos de la ACL web y, a continuación, activar la opción Administrar ACL web no asociadas.

10. En Acción de la política, se recomienda crear la política con la opción que no corrige automáticamente los recursos no compatibles. Al deshabilitar la solución automática, puede evaluar los efectos de la nueva política antes de aplicarla. Cuando esté seguro de que los cambios son lo que desea, edite la política y cambie la acción de la política para habilitar la corrección automática.

    Si, en su lugar, desea aplicar automáticamente la política a los recursos existentes dentro del ámbito, elija Auto remediate any noncompliant resources (Solucionar automáticamente los recursos no conformes). Esta opción aplica las protecciones Shield Advanced a cada cuenta aplicable de la AWS organización y a cada recurso aplicable de las cuentas.

    Solo para las políticas de la región global, si elige Corregir automáticamente cualquier recurso que no cumpla con las normas, también puede optar por que Firewall Manager sustituya automáticamente cualquier asociación de ACL web AWS WAF clásica existente por nuevas asociaciones de ACL web que se hayan creado con la última versión de AWS WAF (v2). Si elige esta opción, Firewall Manager elimina las asociaciones con las ACL web de la versión anterior y crea nuevas asociaciones con las ACL web de la última versión, después de crear nuevas ACL web vacías en cualquier cuenta pertinente que aún no las tenga para la política. Para obtener más información acerca de esta opción, consulte Sustituya las ACL web AWS WAF clásicas por las ACL web de última versión.

11. Elija Siguiente.

12. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, mantenga la selección predeterminada Incluir todas las cuentas de mi organización AWS .

    • Si desea aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas (OU) específicas, elija Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agregue las cuentas y las OU que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas (OU) excepto a un conjunto específico, elija Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

13. Elija el tipo de recurso que desea proteger.

    Firewall Manager no es compatible con Amazon Route 53 o AWS Global Accelerator. Si necesita utilizar Shield Advanced para proteger recursos de estos servicios, no puede utilizar una política de Firewall Manager. En su lugar, siga las instrucciones de Shield Advanced en Añadir AWS Shield Advanced protección a AWS los recursos.

14. En el caso de los recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea incluyendo o excluyendo los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, y no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, el Firewall Manager guarda la etiqueta con un valor de cadena vacío: «». Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

15. Elija Siguiente.

16. En el caso de las etiquetas de política, añada las etiquetas de identificación que desee añadir al recurso de políticas del Firewall Manager. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

17. Elija Siguiente.

18. Revise la nueva configuración de la política y vuelva a las páginas en las que necesite realizar algún ajuste.

    Cuando esté satisfecho con la política, elija Crear política. En el panel de políticas de AWS Firewall Manager , su política debe aparecer en la lista. Probablemente indique Pendiente en los encabezados de cuentas e indique el estado de la configuración de corrección automática. La creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending (Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte Visualización de la información de cumplimiento de una AWS Firewall Manager política

Crear una política de grupo de seguridad común de AWS Firewall Manager

Para obtener información sobre el funcionamiento de las políticas de grupos de seguridad comunes, consulte Políticas de grupos de seguridad comunes.

Para crear una política de grupo de seguridad común, debe tener un grupo de seguridad ya creado en la cuenta de administrador de Firewall Manager que desee utilizar como principal para la política. Puede administrar grupos de seguridad a través de Amazon Virtual Private Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon EC2). Para obtener información, consulte Uso de grupos de seguridad en la Guía del usuario de Amazon VPC.

Para crear una política de grupo de seguridad común (consola)

1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

   nota

   Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

3. Elija Crear política.

4. En Policy type (Tipo de política), elija Security group (Grupo de seguridad).

5. En Security group policy type (Tipo de política de grupo de seguridad), elija Common security groups (Grupos de seguridad comunes).

6. En Región, elija una Región de AWS.

7. Elija Siguiente.

8. En Policy name (Nombre de la política), escriba un nombre fácil de recordar.

9. En Policy rules (Reglas de la política), haga lo siguiente:

   1. En las opciones de reglas, elija las restricciones que desea aplicar a las reglas de grupo de seguridad y a los recursos que están dentro del ámbito de la política. Si elige Distribuir etiquetas del grupo de seguridad principal a los grupos de seguridad creados por esta política, también debe seleccionar Identificar e informar cuando los grupos de seguridad creados por esta política dejen de cumplir las reglas.

      importante

      Firewall Manager no distribuirá las etiquetas de sistema agregadas por AWS los servicios en los grupos de seguridad de réplica. Las etiquetas del sistema comienzan por el prefijo aws:. Además, Firewall Manager no actualizará las etiquetas de los grupos de seguridad existentes ni creará nuevos grupos de seguridad si la política tiene etiquetas que entren en conflicto con la política de etiquetas de la organización. Para obtener información sobre las políticas de etiquetas, consulte las políticas de etiquetas en la Guía del AWS Organizations usuario.

      Si elige Distribuir las referencias a los grupos de seguridad del grupo de seguridad principal a los grupos de seguridad creados por esta política, Firewall Manager solo distribuirá las referencias a los grupos de seguridad si tienen una conexión de pares activa en Amazon VPC. Para obtener información acerca de esta opción, consulte Configuración de reglas de políticas.

   2. Para los grupos de seguridad principales, elija Agregar grupos de seguridad y, a continuación, elija los grupos de seguridad que desee usar. Firewall Manager rellena la lista de grupos de seguridad de todas las instancias de Amazon VPC de la cuenta de administrador de Firewall Manager.

      De forma predeterminada, el número máximo de grupos de seguridad principales por política es de 3. Para obtener información sobre esta configuración, consulte AWS Firewall Manager cuotas.

   3. En Policy action (Acción de la política), se recomienda crear la política sin la opción de corrección automática. Esto le permite evaluar los efectos de la nueva política antes de aplicarla. Cuando esté convencido de que los cambios son lo que desea, edite la política y cambie la acción de la política para habilitar la corrección automática de los recursos no conformes.

10. Elija Siguiente.

11. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada, Incluir todas las cuentas de mi AWS organización.

    • Si desea aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas (OU) específicas, elija Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agregue las cuentas y OU que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas (OU) excepto a un conjunto específico, elija Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

12. En Resource type (Tipo de recurso), elija los tipos de recurso que desea proteger.

    Si elige Instancia EC2, puede elegir incluir todas las interfaces de red elásticas en cada instancia de Amazon EC2 o simplemente la interfaz predeterminada en cada instancia. Si tiene más de una interfaz de red elástica en cualquier instancia de Amazon EC2 dentro del ámbito, elegir la opción de incluir todas las interfaces permite a Firewall Manager aplicar la política a todas ellas. Cuando habilita la corrección automática, si Firewall Manager no puede aplicar la política a todas las interfaces de red elásticas de una instancia de Amazon EC2, la marca como no compatible.

13. En el caso de los recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea incluyendo o excluyendo los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, y no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, el Firewall Manager guarda la etiqueta con un valor de cadena vacío: «». Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

14. En el caso de recursos de VPC compartidos, si desea aplicar la política a los recursos de VPC compartidos, además de las VPC que poseen las cuentas, seleccione Incluir recursos de VPC compartidas.

15. Elija Siguiente.

16. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija Create policy (Crear política).

Firewall Manager crea una réplica del grupo de seguridad principal en cada instancia de Amazon VPC contenida dentro de las cuentas pertinentes, hasta el límite máximo admitido de Amazon VPC por cuenta. Firewall Manager asocia los grupos de seguridad réplica a los recursos que están dentro del alcance de la política para cada cuenta pertinente. Para obtener más información sobre cómo funciona esta política, consulte Políticas de grupos de seguridad comunes.

Crear una política de grupo de seguridad de auditoría de contenido de AWS Firewall Manager

Para obtener información sobre el funcionamiento de las políticas de grupos de seguridad de auditoría de contenido, consulte Políticas de grupos de seguridad de auditoría de contenido.

Para algunas configuraciones de políticas de auditoría de contenido, debe proporcionar un grupo de seguridad de auditoría para que Firewall Manager lo utilice como plantilla. Por ejemplo, puede tener un grupo de seguridad de auditoría que contenga todas las reglas que no permite en ningún grupo de seguridad. Debe crear estos grupos de seguridad de auditoría con su cuenta de administrador de Firewall Manager para poder usarlos en su política. Puede administrar grupos de seguridad a través de Amazon Virtual Private Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon EC2). Para obtener información, consulte Uso de grupos de seguridad en la Guía del usuario de Amazon VPC.

Para crear una política de grupo de seguridad de auditoría de contenido (consola)

1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

   nota

   Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

3. Elija Crear política.

4. En Policy type (Tipo de política), elija Security group (Grupo de seguridad).

5. En Security group policy type (Tipo de política de grupo de seguridad), elija Auditing and enforcement of security group rules (Auditoría y aplicación de reglas de grupo de seguridad).

6. En Región, elija una Región de AWS.

7. Elija Siguiente.

8. En Policy name (Nombre de la política), escriba un nombre fácil de recordar.

9. En Reglas de política, elija la opción de reglas de política administradas o personalizadas que desee usar.

   1. En Configurar las reglas de políticas de auditoría administradas, haga lo siguiente:

      1. En Configurar las reglas de los grupos de seguridad para auditar, seleccione el tipo de reglas del grupo de seguridad al que desea que se aplique la política de auditoría.

      2. Si desea realizar tareas como auditar las reglas en función de los protocolos, los puertos y la configuración del rango de CIDR de sus grupos de seguridad, seleccione Auditar las reglas de los grupos de seguridad excesivamente permisivas y seleccione las opciones que desee.

         Para hacer la selección de Regla que permite todo el tráfico, puede proporcionar una lista de aplicaciones personalizada para designar las aplicaciones que desea auditar. Para obtener información sobre las listas de aplicaciones personalizadas y cómo utilizarlas en su política, consulte Listas administradas y Uso de listas administradas.

         Para las selecciones que utilizan listas de protocolos, puede utilizar las listas existentes y crear listas nuevas. Para obtener información sobre las listas de protocolos y cómo utilizarlas en su política, consulte Listas administradas y Uso de listas administradas.

      3. Si desea auditar aplicaciones de alto riesgo en función de su acceso a rangos de CIDR reservados o no reservados, seleccione Auditar aplicaciones de alto riesgo y seleccione las opciones que desee.

         Las siguientes selecciones se excluyen mutuamente: Aplicaciones que solo pueden acceder a rangos de CIDR reservados y Aplicaciones que pueden acceder a rangos de CIDR no reservados. Puede seleccionar como máximo una de ellas en cualquier política.

         Para las selecciones que utilizan listas de aplicaciones, puede utilizar las listas existentes y crear listas nuevas. Para obtener información sobre las listas de aplicaciones y cómo utilizarlas en su política, consulte Listas administradas y Uso de listas administradas.

      4. Utilice la configuración de Anulaciones para anular de forma explícita otras configuraciones de la política. Puede optar por permitir siempre o denegar siempre reglas de grupos de seguridad específicos, independientemente de si cumplen con las demás opciones que haya establecido para la política.

         Para esta opción, proporcione un grupo de seguridad de auditoría como plantilla de reglas permitidas o reglas rechazadas. Para los grupos de seguridad de auditoría, seleccione Agregar grupo de seguridad de auditoría y, a continuación, elija el grupo de seguridad que desea usar. Firewall Manager rellena la lista de grupos de seguridad de auditoría de todas las instancias de Amazon VPC de la cuenta de administrador de Firewall Manager. La cuota máxima predeterminada en el número de grupos de seguridad de auditoría para una política es uno. Para obtener información sobre cómo aumentar la cuota, consulte AWS Firewall Manager cuotas.

   2. En Configurar reglas de política personalizadas, haga lo siguiente:

      1. En las opciones de reglas, elija si desea permitir solo las reglas definidas en los grupos de seguridad de auditoría o denegar todas las reglas. Para obtener información sobre esta opción, consulte Políticas de grupos de seguridad de auditoría de contenido.

      2. Para los grupos de seguridad de auditoría, seleccione Agregar grupo de seguridad de auditoría y, a continuación, elija el grupo de seguridad que desea usar. Firewall Manager rellena la lista de grupos de seguridad de auditoría de todas las instancias de Amazon VPC de la cuenta de administrador de Firewall Manager. La cuota máxima predeterminada en el número de grupos de seguridad de auditoría para una política es uno. Para obtener información sobre cómo aumentar la cuota, consulte AWS Firewall Manager cuotas.

      3. En Policy action (Acción de la política), debe crear la política sin la opción de corrección automática. Esto le permite evaluar los efectos de la nueva política antes de aplicarla. Cuando esté convencido de que los cambios son lo que desea, edite la política y cambie la acción de la política para habilitar la corrección automática de los recursos no conformes.

10. Elija Siguiente.

11. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada, Incluir todas las cuentas de mi AWS organización.

    • Si desea aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas (OU) específicas, elija Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agregue las cuentas y OU que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas (OU) excepto a un conjunto específico, elija Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

12. En Resource type (Tipo de recurso), elija los tipos de recurso que desea proteger.

13. En el caso de los recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea incluyendo o excluyendo los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, y no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, el Firewall Manager guarda la etiqueta con un valor de cadena vacío: «». Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

14. Elija Siguiente.

15. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija Create policy (Crear política).

Firewall Manager compara el grupo de seguridad de auditoría con los grupos de seguridad dentro del ámbito de la organización de AWS , según la configuración de las reglas de su política. Puede revisar el estado de la política en la consola AWS Firewall Manager de políticas. Una vez creada la política, puede editarla y habilitar la corrección automática para aplicar su política de grupo de seguridad de auditoría. Para obtener más información sobre cómo funciona esta política, consulte Políticas de grupos de seguridad de auditoría de contenido.

Crear una política de grupo de seguridad de auditoría de uso de AWS Firewall Manager

Para obtener información sobre el funcionamiento de las políticas de grupos de seguridad de auditoría de uso, consulte Políticas de grupos de seguridad de auditoría de uso.

Para crear una política de grupo de seguridad de auditoría de uso (consola)

1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

   nota

   Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

3. Elija Crear política.

4. En Policy type (Tipo de política), elija Security group (Grupo de seguridad).

5. En Tipo de política de grupo de seguridad, elija Auditoría y eliminación de grupos de seguridad redundantes y no asociados.

6. En Región, elija una Región de AWS.

7. Elija Siguiente.

8. En Policy name (Nombre de la política), escriba un nombre fácil de recordar.

9. En Policy rules (Reglas de la política), elija una o ambas opciones disponibles.

   • Si elige Los grupos de seguridad dentro del alcance de esta política deben ser utilizados por al menos un recurso, Firewall Manager elimina los grupos de seguridad que determine que no se utilizan. Cuando esta regla está habilitada, el Administrador de Firewall la ejecuta por última vez al guardar la política.

     Para obtener más información sobre cómo el Firewall Manager determina el uso y el momento de la corrección, consultePolíticas de grupos de seguridad de auditoría de uso.

     nota

     Cuando utilice este tipo de política de auditoría de uso de los grupos de seguridad, evite realizar varios cambios en el estado de asociación de los grupos de seguridad incluidos en el ámbito de aplicación en un breve período de tiempo. Si lo hace, es posible que Firewall Manager pierda los eventos correspondientes.

     De forma predeterminada, Firewall Manager considera que los grupos de seguridad no cumplen con esta regla de política tan pronto como no se utilizan. Si lo desea, puede especificar un número de minutos que un grupo de seguridad puede permanecer sin utilizarse antes de que se considere no conforme, hasta 525.600 minutos (365 días). Puede usar esta configuración para disponer de tiempo para asociar nuevos grupos de seguridad a los recursos.

     importante

     Si especifica un número de minutos distinto del valor predeterminado de cero, debe habilitar las relaciones indirectas AWS Config. De lo contrario, las políticas de los grupos de seguridad de auditoría de uso no funcionarán según lo previsto. Para obtener información sobre las relaciones indirectas en AWS Config, consulte Relaciones indirectas AWS Config en la Guía para AWS Config desarrolladores.

   • Si elige Los grupos de seguridad dentro del alcance de esta política deben ser únicos, Firewall Manager consolida los grupos de seguridad redundantes, de modo que solo uno está asociado a los recursos. Si elige esta opción, Firewall Manager lo ejecuta en primer lugar cuando guarde la política.

10. En Policy action (Acción de la política), se recomienda crear la política sin la opción de corrección automática. Esto le permite evaluar los efectos de la nueva política antes de aplicarla. Cuando esté convencido de que los cambios son lo que desea, edite la política y cambie la acción de la política para habilitar la corrección automática de los recursos no conformes.

11. Elija Siguiente.

12. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada, Incluir todas las cuentas de mi AWS organización.

    • Si desea aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas (OU) específicas, elija Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agregue las cuentas y OU que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas (OU) excepto a un conjunto específico, elija Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

13. En el caso de los recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea incluyendo o excluyendo los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, y no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, el Firewall Manager guarda la etiqueta con un valor de cadena vacío: «». Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

14. Elija Siguiente.

15. Si no ha excluido la cuenta de administrador de Firewall Manager del ámbito de la política, Firewall Manager le pedirá que lo haga. Al hacerlo, los grupos de seguridad de la cuenta de administrador de Firewall Manager que utiliza para políticas de grupos de seguridad comunes y de auditoría quedan bajo su control manual. Elija la opción que desee en este diálogo.

16. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija Create policy (Crear política).

Si decide exigir grupos de seguridad únicos, Firewall Manager busca grupos de seguridad redundantes en cada instancia de Amazon VPC pertinente. A continuación, si decide exigir que cada grupo de seguridad sea utilizado por al menos un recurso, Firewall Manager busca grupos de seguridad que no se han utilizado durante los minutos especificados en la regla. Puede revisar el estado de la política en la consola AWS Firewall Manager de políticas. Para obtener más información sobre cómo funciona esta política, consulte Políticas de grupos de seguridad de auditoría de uso.

Crear una política AWS Firewall Manager de ACL de red

Para obtener información sobre cómo funcionan las políticas de ACL de red, consultePolíticas de ACL de red.

Para crear una política de ACL de red, debe saber cómo definir una ACL de red para usarla con las subredes de Amazon VPC. Para obtener más información, consulte Controlar el tráfico a las subredes mediante ACL de red y Trabajar con ACL de red en la Guía del usuario de Amazon VPC.

Para crear una política de ACL de red (consola)

1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

   nota

   Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

3. Elija Crear política.

4. Para el tipo de política, elija Network ACL.

5. En Región, elija una Región de AWS.

6. Elija Siguiente.

7. En Nombre de política, introduzca un nombre descriptivo.

8. En el caso de las reglas de política, defina las reglas que desee que se ejecuten siempre en las ACL de red que Firewall Manager administra por usted. Las ACL de red supervisan y gestionan el tráfico entrante y saliente, por lo que en su política debe definir las reglas para ambas direcciones.

   En cualquier dirección, se definen las reglas que se deben ejecutar siempre primero y las que se deben ejecutar siempre en último lugar. En las ACL de red que administra Firewall Manager, los propietarios de las cuentas pueden definir reglas personalizadas para que se ejecuten entre la primera y la última regla.

9. Para la acción de política, si desea identificar las subredes y las ACL de red que no cumplen con las normas, pero no tomar ninguna medida correctiva todavía, elija Identificar los recursos que no cumplen con las reglas de la política, pero que no se corrigen automáticamente. Puede cambiar estas opciones más adelante.

   Si, por el contrario, desea aplicar la política automáticamente a las subredes existentes dentro del ámbito de aplicación, seleccione Corregir automáticamente cualquier recurso que no cumpla con las normas. Con esta opción, también especifica si se debe forzar la corrección cuando el comportamiento de las reglas de política en materia de gestión del tráfico entre en conflicto con las reglas personalizadas que se encuentran en la ACL de la red. Independientemente de si fuerza o no una corrección, Firewall Manager informa de normas contradictorias en sus infracciones de conformidad.

10. Elija Siguiente.

11. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada, Incluir todas las cuentas de mi AWS organización.

    • Si desea aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas (OU) específicas, elija Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agregue las cuentas y OU que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas (OU) excepto a un conjunto específico, elija Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si incluye solo cuentas específicas, el Firewall Manager no aplicará la política a ninguna cuenta nueva o diferente. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

12. Para el tipo de recurso, la configuración se fija en Subredes.

13. En el caso de los recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea incluyendo o excluyendo los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, y no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, el Firewall Manager guarda la etiqueta con un valor de cadena vacío: «». Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

14. Elija Siguiente.

15. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija Create policy (Crear política).

Firewall Manager crea la política y comienza a monitorear y administrar las ACL de la red incluidas en el ámbito de aplicación de acuerdo con su configuración. Para obtener más información sobre cómo funciona esta política, consulte Políticas de ACL de red.

Crear una AWS Firewall Manager política para AWS Network Firewall

En una política de Firewall Manager Network Firewall, se utilizan los grupos de reglas que se administran en AWS Network Firewall. Para obtener información sobre cómo administrar sus grupos de reglas, consulte Grupos de reglas de AWS Network Firewall en la Guía para desarrolladores de Network Firewall.

Para obtener información acerca de las políticas de Firewall Manager Network Firewall, consulte AWS Network Firewall políticas.

Para crear una política de Firewall Manager para AWS Network Firewall (consola)

1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

   nota

   Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

3. Elija Crear política.

4. Para Policy type (Tipo de política), seleccione AWS Network Firewall.

5. En Tipo de administración del firewall, elija cómo desea que Firewall Manager administre los firewalls de la política. Puede elegir entre las siguientes opciones:

   • Distribuido: Firewall Manager crea y mantiene puntos de conexión de firewall en cada VPC que se encuentra dentro del alcance de la política.

   • Centralizado: Firewall Manager crea y mantiene los puntos de conexión en una única VPC de inspección.

   • Importar firewalls existentes: Firewall Manager importa los firewalls existentes desde Network Firewall mediante conjuntos de recursos. Para obtener información acerca de los conjuntos de recursos, consulte Trabajar con conjuntos de recursos en Firewall Manager.

6. En Región, elija una Región de AWS. Para proteger los recursos en varias regiones, debe crear políticas distintas para cada región.

7. Elija Siguiente.

8. En Nombre de política, introduzca un nombre descriptivo. Firewall Manager incluye el nombre de la política en los nombres de los firewalls de Network Firewall y las políticas de firewall que crea.

9. En la política de configuración de AWS Network Firewall , configure la política de firewall como lo haría en Network Firewall. Agregue sus grupos de reglas sin estado y con estado y especifique las acciones predeterminadas de la política. Si lo desea, puede establecer el orden de evaluación de las reglas con estado de la política y las acciones predeterminadas, así como la configuración de registro. Para obtener información sobre la administración de políticas de firewall de Network Firewall, consulte Políticas de firewall AWS Network Firewall en la Guía para desarrolladores de AWS Network Firewall .

   Al crear la política de firewall de red de Firewall Manager Network Firewall, Firewall Manager crea políticas de firewall para las cuentas que están dentro del alcance. Los administradores de cuentas individuales pueden agregar grupos de reglas a las políticas de firewall, pero no pueden cambiar la configuración que proporciona aquí.

10. Elija Siguiente.

11. Realice una de las siguientes acciones, en función del tipo de administración de firewall que haya seleccionado en el paso anterior:

    • Si utiliza un tipo de administración de firewall distribuido, en Configuración de puntos de conexión de AWS Firewall Manager , en Ubicación del punto de conexión del firewall, seleccione una de las siguientes opciones:

      • Configuración de punto de conexión personalizada: Firewall Manager crea firewalls para cada VPC dentro del alcance de la política, en las zonas de disponibilidad que especifique. Cada firewall contiene como mínimo un punto de conexión de firewall.

        • En Zonas de disponibilidad, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por Nombre de la zona de disponibilidad o por ID de la zona de disponibilidad.

        • Si desea proporcionar los bloques CIDR para que Firewall Manager los utilice en las subredes de firewall de sus VPC, todos deben ser bloques CIDR de /28. Ingrese un bloque por línea. Si las omite, Firewall Manager elegirá por usted las direcciones IP entre las que están disponibles en las VPC.

          nota

          La corrección automática se realiza automáticamente para las políticas de AWS Firewall Manager Network Firewall, por lo que aquí no verá ninguna opción para elegir no realizar la corrección automática.

      • Configuración automática de puntos de conexión: Firewall Manager crea automáticamente puntos de conexión de firewall en las zonas de disponibilidad con subredes públicas en su VPC.

        • Para la configuración de los puntos de conexión del firewall, especifique cómo desea que Firewall Manager administre los puntos de conexión del firewall. Se recomienda utilizar varios puntos de conexión para una alta disponibilidad.

    • Si utiliza un tipo de administración de firewall centralizada, en la configuración de punto de conexión de AWS Firewall Manager , en Configuración de VPC de inspección, introduzca el ID de cuenta de AWS del propietario de la VPC de inspección y el ID de la VPC de inspección.

      • En Zonas de disponibilidad, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por Nombre de la zona de disponibilidad o por ID de la zona de disponibilidad.

      • Si desea proporcionar los bloques CIDR para que Firewall Manager los utilice en las subredes de firewall de sus VPC, todos deben ser bloques CIDR de /28. Ingrese un bloque por línea. Si las omite, Firewall Manager elegirá por usted las direcciones IP entre las que están disponibles en las VPC.

        nota

        La corrección automática se realiza automáticamente para las políticas de AWS Firewall Manager Network Firewall, por lo que aquí no verá ninguna opción para elegir no realizar la corrección automática.

    • Si está utilizando un tipo de administración de firewalls de importación de firewalls existentes, en Conjuntos de recursos, agregue uno o más conjuntos de recursos. Un conjunto de recursos define los firewalls existentes de Network Firewall que pertenecen a la cuenta de su organización y que desea administrar de forma centralizada en esta política. Para añadir un conjunto de recursos a la política, primero debe crear un conjunto de recursos mediante la consola o la PutResourceSetAPI. Para obtener información acerca de los conjuntos de recursos, consulte Trabajar con conjuntos de recursos en Firewall Manager. Para obtener más información sobre la importación de firewalls existentes desde Network Firewall, consulte Importar firewalls existentes.

12. Elija Siguiente.

13. Si su política utiliza un tipo de administración de firewall distribuido, en Administración de rutas, elija si Firewall Manager supervisará y alertará sobre el tráfico que debe enrutarse a través de los puntos de conexión de firewall respectivos.

    nota

    Si selecciona Supervisar, no podrá cambiar la configuración a Desactivado más adelante. La supervisión continúa hasta que elimine la política.

14. Para Tipo de tráfico, si lo desea, añada los puntos de conexión del tráfico por los que desee enrutar el tráfico para inspeccionar el firewall.

15. En el caso de Permitir el tráfico entre zonas de disponibilidad obligatorio, si habilita esta opción, Firewall Manager considerará compatible el enrutamiento que envía tráfico fuera de una Zona de Disponibilidad para su inspección, en las Zonas de Disponibilidad que no tienen su propio punto de conexión de firewall. Las zonas de disponibilidad que tienen puntos de conexión siempre deben inspeccionar su propio tráfico.

16. Elija Siguiente.

17. Para Alcance de la política, en esta política se aplica a Cuentas de AWS , elija la opción siguiente:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada, Incluir todas las cuentas de mi AWS organización.

    • Si desea aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas (OU) específicas, elija Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agregue las cuentas y OU que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas (OU) excepto a un conjunto específico, elija Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

18. El Tipo de recurso para las políticas de Network Firewall es VPC.

19. En el caso de los recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea incluyendo o excluyendo los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, y no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, el Firewall Manager guarda la etiqueta con un valor de cadena vacío: «». Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

20. Elija Siguiente.

21. En el caso de las etiquetas de política, añada las etiquetas de identificación que desee añadir al recurso de políticas del Firewall Manager. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

22. Elija Siguiente.

23. Revise la nueva configuración de la política y vuelva a las páginas en las que necesite realizar algún ajuste.

    Cuando esté satisfecho con la política, elija Crear política. En el panel de políticas de AWS Firewall Manager , su política debe aparecer en la lista. Probablemente indique Pendiente en los encabezados de cuentas e indique el estado de la configuración de corrección automática. La creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending (Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte Visualización de la información de cumplimiento de una AWS Firewall Manager política

Creación de una AWS Firewall Manager política para Amazon Route 53 Resolver DNS Firewall

En una política de DNS Firewall de Firewall Manager, utilice grupos de reglas que administra en Amazon Route 53 Resolver DNS Firewall. Para obtener información sobre la administración de sus grupos de reglas, consulte Cómo administrar grupos de reglas y reglas en DNS Firewall en la Guía para desarrolladores de Amazon Route 53.

Para obtener información acerca de las políticas de Firewall Manager DNS Firewall, consulte Políticas de DNS firewall de Amazon Route 53 Resolver.

Creación de una política de Firewall Manager para Amazon Route 53 Resolver DNS Firewall (consola)

1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

   nota

   Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

3. Elija Crear política.

4. En Tipo de política, seleccione Amazon Route 53 Resolver DNS Firewall.

5. En Región, elija una Región de AWS. Para proteger los recursos en varias regiones, debe crear políticas distintas para cada región.

6. Elija Siguiente.

7. En Nombre de política, introduzca un nombre descriptivo.

8. En la configuración de políticas, agregue los grupos de reglas que desee que DNS Firewall evalúe lo primero y último entre las asociaciones de grupos de reglas de sus VPC. Puede añadir hasta dos grupos de reglas a la política.

   Al crear la política de DNS Firewall DNS en Firewall Manager, Firewall Manager crea las asociaciones de grupos de reglas, con las prioridades de asociación que haya proporcionado, para las VPC y las cuentas que están dentro del alcance. Los administradores de cuentas individuales pueden añadir asociaciones de grupos de reglas entre la primera y la última asociación, pero no pueden cambiar las asociaciones que defina aquí. Para obtener más información, consulte Políticas de DNS firewall de Amazon Route 53 Resolver.

9. Seleccione Siguiente.

10. En Cuentas de AWS a las que se aplica esta política, elija la opción de la siguiente manera:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada, Incluir todas las cuentas de mi AWS organización.

    • Si desea aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas (OU) específicas, elija Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agregue las cuentas y OU que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas (OU) excepto a un conjunto específico, elija Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

11. El Tipo de recurso para las políticas de DNS Firewall es VPC.

12. En el caso de los recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea incluyendo o excluyendo los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, y no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, el Firewall Manager guarda la etiqueta con un valor de cadena vacío: «». Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

13. Elija Siguiente.

14. En el caso de las etiquetas de política, añada las etiquetas de identificación que desee añadir al recurso de políticas del Firewall Manager. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

15. Elija Siguiente.

16. Revise la nueva configuración de la política y vuelva a las páginas en las que necesite realizar algún ajuste.

    Cuando esté satisfecho con la política, elija Crear política. En el panel de políticas de AWS Firewall Manager , su política debe aparecer en la lista. Probablemente indique Pendiente en los encabezados de cuentas e indique el estado de la configuración de corrección automática. La creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending (Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte Visualización de la información de cumplimiento de una AWS Firewall Manager política

Creación de una AWS Firewall Manager política para el NGFW en la nube de Palo Alto Networks

Con una política de Firewall Manager para el Firewall de próxima generación en la nube de Palo Alto Networks (Palo Alto Networks Cloud NGFW), puede utilizar Firewall Manager para implementar los recursos de NGFW en la nube de Palo Alto Networks y administrar las pilas de NGFW de forma centralizada en todas sus cuentas. AWS

Para obtener información sobre políticas de NGFW en la nube de Palo Alto Networks de Firewall Manager, consulte Políticas de NGFW en la nube de Palo Alto Networks. Para obtener información sobre cómo configurar y administrar NGFW en la nube de Palo Alto Networks para Firewall Manager, consulte la documentación de NGFW en la nube de Palo Alto Networks en AWS.

Requisitos previos

Existen varios pasos obligatorios para preparar su cuenta de AWS Firewall Manager. Estos pasos se describen en AWS Firewall Manager requisitos previos. Complete todos los requisitos previos antes de continuar con el siguiente paso.

Creación de una política de Firewall Manager para NGFW en la nube de Palo Alto Networks (consola)

1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

   nota

   Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

3. Elija Crear política.

4. Para el tipo de política, elija Palo Alto Networks Cloud NGFW. Si aún no te has suscrito al servicio NGFW en la nube de Palo Alto Networks en AWS Marketplace, tendrás que hacerlo primero. Para suscribirte en AWS Marketplace, selecciona Ver detalles del AWS Marketplace.

5. Para Modelo de implementación, elija Modelo distribuido o Modelo centralizado. El modelo de implementación determina la forma en que Firewall Manager administra los puntos de conexión de la política. Con el modelo distribuido, Firewall Manager mantiene los puntos de conexión del firewall en cada VPC que se encuentre dentro del ámbito de aplicación de la política. Con el modelo centralizado, Firewall Manager mantiene un único punto de conexión en una VPC de inspección.

6. En Región, selecciona una Región de AWS. Para proteger los recursos en varias regiones, debe crear políticas distintas para cada región.

7. Elija Siguiente.

8. En Nombre de política, introduzca un nombre descriptivo.

9. En la configuración de la política, elija la política de firewall de NGFW en la nube de Palo Alto Networks para asociarla a esta política. La lista de políticas de firewall de NGFW en la nube de Palo Alto Networks contiene todas las políticas de firewall de NGFW en la nube de Palo Alto Networks asociadas a su inquilino de NGFW en la nube de Palo Alto Networks. Para obtener información sobre cómo crear y administrar las políticas de firewall de NGFW en la nube de Palo Alto Networks, consulte la guía Implemente el NGFW en la nube de Palo Alto Networks, que incluye el AWS Firewall Manager tema en la AWS guía de implementación del NGFW en la nube de Palo Alto Networks. AWS

10. Para el registro de NGFW en Palo Alto Networks Cloud (opcional), elija los tipos de registro de NGFW de Palo Alto Networks Cloud que desee registrar para su política. Para obtener información sobre los tipos de registro del NGFW en la nube de Palo Alto Networks, consulte Configurar el registro del NGFW en la nube de Palo Alto Networks en la guía de implementación del NGFW AWS en la nube de Palo Alto Networks. AWS

    En Destino del registro, especifique en qué momento Firewall Manager debe escribir los registros.

11. Elija Siguiente.

12. En Configurar punto de conexión de firewall de terceros, lleve a cabo una de las siguientes acciones, en función de si utiliza el modelo de implementación distribuido o centralizado para crear los puntos de conexión de firewall:

    • Si utiliza el modelo de implementación distribuida para esta política, en Zonas de disponibilidad, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por Nombre de la zona de disponibilidad o por ID de la zona de disponibilidad.

    • Si utiliza el modelo de implementación centralizada para esta política, en Configuración de punto de conexión de AWS Firewall Manager de Configuración de VPC de inspección, introduzca el ID de cuenta de AWS del propietario de la VPC de inspección y el ID de VPC de la VPC de inspección.

      • En Zonas de disponibilidad, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por Nombre de la zona de disponibilidad o por ID de la zona de disponibilidad.

13. Si desea proporcionar los bloques CIDR para que Firewall Manager los utilice en las subredes de firewall de sus VPC, todos deben ser bloques CIDR de /28. Ingrese un bloque por línea. Si las omite, Firewall Manager elegirá por usted las direcciones IP entre las que están disponibles en las VPC.

    nota

    La corrección automática se realiza automáticamente para las políticas de AWS Firewall Manager Network Firewall, por lo que aquí no verá ninguna opción para elegir no realizar la corrección automática.

14. Elija Siguiente.

15. Para Alcance de la política, en esta política se aplica a Cuentas de AWS , elija la opción siguiente:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada, Incluir todas las cuentas de mi AWS organización.

    • Si desea aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas (OU) específicas, elija Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agregue las cuentas y OU que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas (OU) excepto a un conjunto específico, elija Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

16. El Tipo de recurso para las políticas de Network Firewall es VPC.

17. En el caso de los recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea incluyendo o excluyendo los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, y no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, el Firewall Manager guarda la etiqueta con un valor de cadena vacío: «». Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

18. En Conceder acceso entre cuentas, seleccione Descargar plantilla de AWS CloudFormation . Esto descarga una AWS CloudFormation plantilla que puedes usar para crear una AWS CloudFormation pila. Esta pila crea un AWS Identity and Access Management rol que otorga permisos entre cuentas a Firewall Manager para administrar los recursos de NGFW en la nube de Palo Alto Networks. Para obtener información acerca de las pilas, consulte Uso de pilas en la Guía del usuario de AWS CloudFormation .

19. Elija Siguiente.

20. En el caso de las etiquetas de política, añada las etiquetas de identificación que desee añadir al recurso de políticas del Firewall Manager. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

21. Elija Siguiente.

22. Revise la nueva configuración de la política y vuelva a las páginas en las que necesite realizar algún ajuste.

    Cuando esté satisfecho con la política, elija Crear política. En el panel de políticas de AWS Firewall Manager , su política debe aparecer en la lista. Probablemente indique Pendiente en los encabezados de cuentas e indique el estado de la configuración de corrección automática. La creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending (Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte Visualización de la información de cumplimiento de una AWS Firewall Manager política

Crear una AWS Firewall Manager política para Fortigate Cloud Native Firewall (CNF) como servicio

Con una política de Firewall Manager para Fortigate CNF, puede usar Firewall Manager para implementar y administrar los recursos de Fortigate CNF en todas sus cuentas. AWS

Para obtener información acerca de las políticas de Firewall Manager Fortigate CNF, consulte Políticas de Fortigate Cloud Native Firewall (CNF) como servicio. Para obtener información sobre cómo configurar Fortigate CNF para su uso con Firewall Manager, consulte la documentación de Fortinet.

Requisitos previos

Existen varios pasos obligatorios para preparar su cuenta de AWS Firewall Manager. Estos pasos se describen en AWS Firewall Manager requisitos previos. Complete todos los requisitos previos antes de continuar con el siguiente paso.

Creación de una política de Firewall Manager para Fortigate CNF (consola)

1. Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

   nota

   Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

2. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

3. Elija Crear política.

4. Para Tipo de política, seleccione Fortigate Cloud Native Firewall (CNF) como servicio. Si aún no se ha suscrito al servicio Fortigate CNF en el AWS Marketplace, primero tendrá que hacerlo. Para suscribirte en AWS Marketplace, selecciona Ver detalles del AWS Marketplace.

5. Para Modelo de implementación, elija Modelo distribuido o Modelo centralizado. El modelo de implementación determina la forma en que Firewall Manager administra los puntos de conexión de la política. Con el modelo distribuido, Firewall Manager mantiene los puntos de conexión del firewall en cada VPC que se encuentre dentro del ámbito de aplicación de la política. Con el modelo centralizado, Firewall Manager mantiene un único punto de conexión en una VPC de inspección.

6. En Región, selecciona una Región de AWS. Para proteger los recursos en varias regiones, debe crear políticas distintas para cada región.

7. Elija Siguiente.

8. En Nombre de política, introduzca un nombre descriptivo.

9. En la configuración de la política, elija la política de firewall Fortigate CNF para asociarla a esta política. La lista de políticas de firewall de Fortigate CNF contiene todas las políticas de firewall de Fortigate CNF asociadas a su inquilino de Fortigate CNF. Para obtener información sobre cómo crear y administrar clientes de Fortigate CNF, consulte la documentación de Fortinet.

10. Elija Siguiente.

11. En Configurar punto de conexión de firewall de terceros, lleve a cabo una de las siguientes acciones, en función de si utiliza el modelo de implementación distribuido o centralizado para crear los puntos de conexión de firewall:

    • Si utiliza el modelo de implementación distribuida para esta política, en Zonas de disponibilidad, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por Nombre de la zona de disponibilidad o por ID de la zona de disponibilidad.

    • Si utiliza el modelo de implementación centralizada para esta política, en Configuración de punto de conexión de AWS Firewall Manager de Configuración de VPC de inspección, introduzca el ID de cuenta de AWS del propietario de la VPC de inspección y el ID de VPC de la VPC de inspección.

      • En Zonas de disponibilidad, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por Nombre de la zona de disponibilidad o por ID de la zona de disponibilidad.

12. Si desea proporcionar los bloques CIDR para que Firewall Manager los utilice en las subredes de firewall de sus VPC, todos deben ser bloques CIDR de /28. Ingrese un bloque por línea. Si las omite, Firewall Manager elegirá por usted las direcciones IP entre las que están disponibles en las VPC.

    nota

    La corrección automática se realiza automáticamente para las políticas de AWS Firewall Manager Network Firewall, por lo que aquí no verá ninguna opción para elegir no realizar la corrección automática.

13. Elija Siguiente.

14. Para Alcance de la política, en esta política se aplica a Cuentas de AWS , elija la opción siguiente:

    • Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada, Incluir todas las cuentas de mi AWS organización.

    • Si desea aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas (OU) específicas, elija Incluir solo las cuentas y unidades organizativas especificadas y, a continuación, agregue las cuentas y OU que desee incluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    • Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas (OU) excepto a un conjunto específico, elija Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás y, a continuación, agregue las cuentas y unidades organizativas que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus unidades organizativas secundarias, incluidas las unidades organizativas secundarias y las cuentas añadidas posteriormente.

    Solo puede elegir una de las opciones.

    Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una unidad organizativa, cuando agrega una cuenta a la unidad organizativa o a cualquiera de sus unidades organizativas secundarias, Firewall Manager aplica automáticamente la política a la nueva cuenta.

15. El Tipo de recurso para las políticas de Network Firewall es VPC.

16. En el caso de los recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea incluyendo o excluyendo los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, y no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, el Firewall Manager guarda la etiqueta con un valor de cadena vacío: «». Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

17. En Conceder acceso entre cuentas, seleccione Descargar plantilla de AWS CloudFormation . Esto descarga una AWS CloudFormation plantilla que puedes usar para crear una AWS CloudFormation pila. Esta pila crea un AWS Identity and Access Management rol que otorga permisos multicuenta al Administrador de Firewall para administrar los recursos de Fortigate CNF. Para obtener información acerca de las pilas, consulte Uso de pilas en la Guía del usuario de AWS CloudFormation . Para crear una pila, necesitará el ID de cuenta del portal de Fortigate CNF.

18. Elija Siguiente.

19. En el caso de las etiquetas de política, añada las etiquetas de identificación que desee añadir al recurso de políticas del Firewall Manager. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

20. Elija Siguiente.

21. Revise la nueva configuración de la política y vuelva a las páginas en las que necesite realizar algún ajuste.

    Cuando esté satisfecho con la política, elija Crear política. En el panel de políticas de AWS Firewall Manager , su política debe aparecer en la lista. Probablemente indique Pendiente en los encabezados de cuentas e indique el estado de la configuración de corrección automática. La creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending (Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte Visualización de la información de cumplimiento de una AWS Firewall Manager política