Habilitar AWS Config el uso de Firewall Manager - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitar AWS Config el uso de Firewall Manager

Para usar Firewall Manager, debe habilitar AWS Config.

nota

Se le cobrará por su AWS Config configuración, según el AWS Config precio. Para obtener más información, consulta Cómo empezar con AWS Config.

nota

Para que Firewall Manager supervise el cumplimiento de las políticas, AWS Config debe registrar continuamente los cambios de configuración de los recursos protegidos. En su AWS Config configuración, la frecuencia de grabación debe estar establecida en Continua, que es la configuración predeterminada.

AWS Config Para activar Firewall Manager

  1. AWS Config Actívela para cada una de sus cuentas de AWS Organizations miembro, incluida la cuenta de administrador del Firewall Manager. Para obtener más información, consulte Cómo empezar con AWS Config.

  2. AWS Config Actívela para cada una de las Región de AWS que contengan los recursos que desee proteger. Puede habilitarlo AWS Config manualmente o puede usar la AWS CloudFormation plantilla «Habilitar AWS Config» en Plantillas AWS CloudFormation StackSets de muestra.

    Si no desea habilitar todos AWS Config los recursos, debe habilitar lo siguiente según el tipo de políticas de Firewall Manager que utilice:

    • WAFpolítica: habilite Config para los tipos de recursos CloudFront Distribution, Application Load Balancer (elija ElasticLoadBalancingV2 de la lista), API Gateway, WAF WebACL, WAF Regional Web ACL y WAFv2 Web. ACL AWS Config Para poder proteger una CloudFront distribución, debe estar en la región EE.UU. Este (Virginia del Norte). Otras regiones no tienen CloudFront esta opción.

    • Política de protección: habilite Config para los tipos de recursos Shield ShieldRegional Protection, Protection, Application Load Balancer EC2EIP, WAF Web ACLACL, Web WAF regional y WAFv2 Web. ACL

    • Política de grupo de seguridad: habilite Config para los tipos de recursos EC2 SecurityGroup, EC2 instancia y EC2NetworkInterface.

    • ACLPolítica de red: habilite Config para los tipos de recursos Amazon EC2 Subnet y Amazon EC2 networkACL.

    • Política de Network Firewall: habilite Config para los tipos de recursos NetworkFirewall FirewallPolicy NetworkFirewall RuleGroup EC2VPC, EC2 InternetGateway, EC2 RouteTable, y EC2 Subred.

    • DNSPolítica de firewall: habilite Config para el tipo de recurso EC2VPC.

    • Política de firewall de terceros: habilite Config para los tipos de recursos Amazon EC2 VPC EC2 InternetGateway, Amazon EC2 RouteTable, Amazon, Amazon EC2 Subnet y Amazon EC2VPCEndpoint.

    nota

    Si configura la AWS Config grabadora para usar un IAM rol personalizado, debe asegurarse de que la IAM política tenga los permisos adecuados para registrar los tipos de recursos necesarios de la política de Firewall Manager. Sin los permisos adecuados, es posible que no se registren los recursos necesarios, lo que impide que Firewall Manager proteja sus recursos de la manera correcta. Firewall Manager no puede ver estos errores de configuración de permisos. Para obtener información sobre el uso IAM con AWS Config, consulte IAM AWS Config.