AWS Firewall Manager alcance de la política - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Configuración del alcance de la políticaAdministración del alcance de la política

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Firewall Manager alcance de la política

El alcance de la política define dónde se aplica la política. Puede aplicar políticas controladas de forma centralizada a todas las cuentas y recursos de la AWS Organizations organización o a un subconjunto de ellas. Para obtener instrucciones sobre cómo establecer el alcance de la política, consulte Creación de una AWS Firewall Manager política.

Opciones de alcance de la política en AWS Firewall Manager

Cuando agrega una nueva cuenta o recurso a su organización, Firewall Manager lo evalúa automáticamente en función de su configuración para cada política y aplica la política en función de esta configuración. Por ejemplo, puede optar por aplicar una política a todas las cuentas excepto a los números de cuenta de una lista específica; también puede optar por aplicar una política solo a los recursos que tengan todas las etiquetas de una lista.

Cuentas de AWS dentro del alcance

La configuración que proporcione para definir a los Cuentas de AWS afectados por la política determinará a qué cuentas de su AWS organización se aplicará la política. Puede optar por aplicar la política de una de las siguientes maneras:

  • A todas las cuentas de la organización

  • Solo para una lista concreta de números de cuenta incluidos y unidades organizativas (OU) de AWS Organizations

  • Para todos excepto una lista específica de números de cuenta excluidos y unidades organizativas (OU) de AWS Organizations

Para obtener información al respecto AWS Organizations, consulte la Guía AWS Organizations del usuario.

Recursos en el ámbito

De manera similar a la configuración para las cuentas dentro del alcance, la configuración que proporcione para los recursos determina a qué tipos de recursos dentro del alcance se aplicará la política. Puede elegir una de las siguientes opciones:

  • Todos los recursos

  • Recursos que tienen todas las etiquetas que especifique

  • Todos los recursos excepto aquellos que tienen todas las etiquetas que especifique

Solo puede especificar etiquetas de recursos con valores que no sean nulos. Si no proporciona nada para el valor, Firewall Manager guarda la etiqueta con un valor de cadena vacío: «». Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

Para obtener más información sobre cómo etiquetar los recursos, consulte Uso de Tag Editor.

Gestión del alcance de la política en AWS Firewall Manager

Cuando existen políticas, Firewall Manager las administra continuamente y las aplica a los recursos nuevos Cuentas de AWS y a los recursos a medida que se agregan, de acuerdo con el alcance de la política.

Cómo administra Cuentas de AWS y utiliza Firewall Manager sus recursos

Si una cuenta o un recurso queda fuera del ámbito de aplicación por cualquier motivo, AWS Firewall Manager no elimina automáticamente las protecciones ni elimina los recursos administrados por Firewall Manager a menos que active la casilla Eliminar automáticamente las protecciones de los recursos que salen del ámbito de la política.

nota

La opción Eliminar automáticamente las protecciones de los recursos que quedan fuera del ámbito de aplicación de la política no está disponible para las AWS Shield Advanced políticas AWS WAF clásicas.

Al seleccionar esta casilla de verificación, AWS Firewall Manager se limpiarán automáticamente los recursos que el Firewall Manager administra para las cuentas cuando esas cuentas salen del ámbito de la política. Por ejemplo, Firewall Manager desasociará una ACL web administrada por Firewall Manager de un recurso protegido del cliente cuando este abandone el alcance de la política.

Para determinar qué recursos deben ser eliminados de la protección cuando un recurso del cliente esta fuera del alcance de la política, Firewall Manager sigue estas pautas:

  • Comportamiento predeterminado:

    • Se eliminan las reglas AWS Config administradas asociadas. Este comportamiento es independiente de la casilla de verificación.

    • Se eliminan todas las listas de control de acceso AWS WAF web (ACL web) asociadas que no contengan ningún recurso. Este comportamiento es independiente de la casilla de verificación.

    • Cualquier recurso protegido que quede fuera del alcance permanece asociado y protegido. Por ejemplo, un Application Load Balancer (Equilibrador de carga de aplicación) o una API de API Gateway que esté asociada a una ACL web permanece asociada a la ACL web y la protección permanece vigente.

  • Con la casilla Eliminar automáticamente las protecciones de los recursos que salen del alcance de la política seleccionada:

    • Se eliminan las reglas AWS Config administradas asociadas. Este comportamiento es independiente de la casilla de verificación.

    • Se eliminan todas las listas de control de acceso AWS WAF web (ACL web) asociadas que no contengan ningún recurso. Este comportamiento es independiente de la casilla de verificación.

    • Cualquier recurso protegido que quede fuera del ámbito de aplicación se disocia automáticamente y se elimina de la protección del Firewall Manager cuando abandona el ámbito de la política. Por ejemplo, en el caso de una política de grupo de seguridad, un acelerador de Elastic Inference o una instancia de Amazon EC2 se disocian automáticamente del grupo de seguridad replicado cuando abandona el ámbito de la política. El grupo de seguridad replicado y sus recursos se eliminan automáticamente de la protección.