Exemples de Firewall Manager utilisant AWS CLI

Les exemples de code suivants vous montrent comment effectuer des actions et implémenter des scénarios courants à l'aide de AWS Command Line Interface with Firewall Manager.

Les actions sont des extraits de code de programmes plus larges et doivent être exécutées dans leur contexte. Alors que les actions vous indiquent comment appeler des fonctions de service individuelles, vous pouvez les voir en contexte dans leurs scénarios associés.

Chaque exemple inclut un lien vers le code source complet, où vous trouverez des instructions sur la configuration et l’exécution du code en contexte.

Actions

compte administrateur associé

L'exemple de code suivant montre comment utiliserassociate-admin-account.

AWS CLI

Pour définir le compte administrateur Firewall Manager

L’exemple associate-admin-account suivant définit le compte administrateur pour Firewall Manager.

aws fms associate-admin-account \
    --admin-account 123456789012

Cette commande ne produit aucune sortie.

Pour plus d'informations, consultez la section Configurer le compte administrateur de AWS Firewall Manager dans le guide du développeur AWS WAF, AWS Firewall Manager et AWS Shield Advanced.

• Pour plus de détails sur l'API, voir AssociateAdminAccountla section Référence des AWS CLI commandes.

supprimer le canal de notification

L'exemple de code suivant montre comment utiliserdelete-notification-channel.

AWS CLI

Pour supprimer les informations de la rubrique SNS pour les journaux de Firewall Manager

L’exemple delete-notification-channel suivant supprime les informations de la rubrique SNS.

aws fms delete-notification-channel

Cette commande ne produit aucune sortie.

Pour plus d'informations, consultez Configurer les notifications Amazon SNS et les CloudWatch alarmes Amazon dans le guide du AWS développeur WAF, AWS Firewall Manager et AWS Shield Advanced.

• Pour plus de détails sur l'API, voir DeleteNotificationChannella section Référence des AWS CLI commandes.

delete-policy

L'exemple de code suivant montre comment utiliserdelete-policy.

AWS CLI

Pour supprimer une politique Firewall Manager

L’exemple delete-policy suivant supprime la politique associée à l’ID spécifié, ainsi que toutes ses ressources.

aws fms delete-policy \
    --policy-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
    --delete-all-policy-resources

Cette commande ne produit aucune sortie.

Pour plus d'informations, consultez Working with AWS Firewall Manager Policies dans le guide du développeur AWS WAF, AWS Firewall Manager et AWS Shield Advanced.

• Pour plus de détails sur l'API, voir DeletePolicyla section Référence des AWS CLI commandes.

dissocier le compte administrateur

L'exemple de code suivant montre comment utiliserdisassociate-admin-account.

AWS CLI

Pour supprimer le compte administrateur Firewall Manager

L’exemple disassociate-admin-account suivant supprime l’association actuelle du compte administrateur de Firewall Manager.

aws fms disassociate-admin-account

Cette commande ne produit aucune sortie.

Pour plus d'informations, consultez la section Configurer le compte administrateur de AWS Firewall Manager dans le guide du développeur AWS WAF, AWS Firewall Manager et AWS Shield Advanced.

• Pour plus de détails sur l'API, voir DisassociateAdminAccountla section Référence des AWS CLI commandes.

get-admin-account

L'exemple de code suivant montre comment utiliserget-admin-account.

AWS CLI

Pour extraire le compte administrateur Firewall Manager

L’exemple get-admin-account suivant extrait le compte administrateur.

aws fms get-admin-account

Sortie :

{
    "AdminAccount": "123456789012",
    "RoleStatus": "READY"
}

Pour plus d'informations, consultez les conditions préalables àAWS Firewall Manager dans le AWS guide du développeur WAF, AWS Firewall Manager et AWS Shield Advanced.

• Pour plus de détails sur l'API, voir GetAdminAccountla section Référence des AWS CLI commandes.

obtenir les détails de conformité

L'exemple de code suivant montre comment utiliserget-compliance-detail.

AWS CLI

Pour extraire les informations de conformité d’un compte

L’exemple get-compliance-detail suivant extrait les informations de conformité pour la politique et le compte membre spécifiés.

aws fms get-compliance-detail \
    --policy-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
    --member-account 123456789012

Sortie :

{
    "PolicyComplianceDetail": {
    "EvaluationLimitExceeded": false,
    "IssueInfoMap": {},
    "MemberAccount": "123456789012",
    "PolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "PolicyOwner": "123456789012",
    "Violators": []
}

Pour plus d'informations, consultez la section Visualisation de la conformité des ressources avec une politique dans le guide du développeur AWS WAF, AWS Firewall Manager et AWS Shield Advanced.

• Pour plus de détails sur l'API, voir GetComplianceDetailla section Référence des AWS CLI commandes.

get-notification-channel

L'exemple de code suivant montre comment utiliserget-notification-channel.

AWS CLI

Pour extraire des informations de la rubrique SNS pour les journaux Firewall Manager

L’exemple get-notification-channel suivant extrait des informations de la rubrique SNS.

aws fms get-notification-channel

Sortie :

{
    "SnsTopicArn": "arn:aws:sns:us-west-2:123456789012:us-west-2-fms",
    "SnsRoleName": "arn:aws:iam::123456789012:role/aws-service-role/fms.amazonaws.com/AWSServiceRoleForFMS"
}

Pour plus d'informations, consultez Configurer les notifications Amazon SNS et les CloudWatch alarmes Amazon dans le guide du AWS développeur WAF, AWS Firewall Manager et AWS Shield Advanced.

• Pour plus de détails sur l'API, voir GetNotificationChannella section Référence des AWS CLI commandes.

get-policy

L'exemple de code suivant montre comment utiliserget-policy.

AWS CLI

Pour extraire une politique Firewall Manager

L’exemple get-policy suivant extrait la politique dont l’ID a été spécifié.

aws fms get-policy \
    --policy-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Sortie :

{
    "Policy": {
        "PolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "PolicyName": "test",
        "PolicyUpdateToken": "1:p+2RpKR4wPFx7mcrL1UOQQ==",
        "SecurityServicePolicyData": {
            "Type": "SECURITY_GROUPS_COMMON",
            "ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_COMMON\",\"revertManualSecurityGroupChanges\":true,\"exclusiveResourceSecurityGroupManagement\":false,\"securityGroups\":[{\"id\":\"sg-045c43ccc9724e63e\"}]}"
        },
        "ResourceType": "AWS::EC2::Instance",
        "ResourceTags": [],
        "ExcludeResourceTags": false,
        "RemediationEnabled": false
    },
    "PolicyArn": "arn:aws:fms:us-west-2:123456789012:policy/d1ac59b8-938e-42b3-b2e0-7c620422ddc2"
}

Pour plus d'informations, consultez Working with AWS Firewall Manager Policies dans le guide du développeur AWS WAF, AWS Firewall Manager et AWS Shield Advanced.

• Pour plus de détails sur l'API, voir GetPolicyla section Référence des AWS CLI commandes.

état de conformité de la liste

L'exemple de code suivant montre comment utiliserlist-compliance-status.

AWS CLI

Pour extraire les informations de conformité des comptes membres pour une politique

L’exemple list-compliance-status suivant extrait les informations de conformité du compte membre pour la politique spécifiée.

aws fms list-compliance-status \
    --policy-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Sortie :

{
    "PolicyComplianceStatusList": [
        {
            "PolicyOwner": "123456789012",
            "PolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "PolicyName": "test",
            "MemberAccount": "123456789012",
            "EvaluationResults": [
                {
                    "ComplianceStatus": "COMPLIANT",
                    "ViolatorCount": 0,
                    "EvaluationLimitExceeded": false
                },
                {
                    "ComplianceStatus": "NON_COMPLIANT",
                    "ViolatorCount": 2,
                    "EvaluationLimitExceeded": false
                }
            ],
            "LastUpdated": 1576283774.0,
            "IssueInfoMap": {}
        }
    ]
}

Pour plus d'informations, consultez la section Visualisation de la conformité des ressources avec une politique dans le guide du développeur AWS WAF, AWS Firewall Manager et AWS Shield Advanced.

• Pour plus de détails sur l'API, voir ListComplianceStatusla section Référence des AWS CLI commandes.

liste des comptes des membres

L'exemple de code suivant montre comment utiliserlist-member-accounts.

AWS CLI

Pour extraire les comptes membres de l’organisation

L’exemple list-member-accounts suivant répertorie tous les comptes membres qui se trouvent dans l’organisation de l’administrateur de Firewall Manager.

aws fms list-member-accounts

Sortie :

{
    "MemberAccounts": [
        "222222222222",
        "333333333333",
        "444444444444"
    ]
}

Pour plus d'informations, consultez AWS Firewall Manager dans le guide du développeur AWS WAF, AWS Firewall Manager et AWS Shield Advanced.

• Pour plus de détails sur l'API, voir ListMemberAccountsla section Référence des AWS CLI commandes.

list-policies

L'exemple de code suivant montre comment utiliserlist-policies.

AWS CLI

Pour extraire toutes les politiques Firewall Manager

L’exemple list-policies suivant extrait la liste des politiques du compte. Dans cet exemple, la sortie est limitée à deux résultats par demande. Chaque appel renvoie un NextToken qui pourra être utilisé comme valeur du paramètre --starting-token lors du prochain appel list-policies afin d’obtenir le prochain ensemble de résultats pour la liste.

aws fms list-policies \
    --max-items 2

Sortie :

{
    "PolicyList": [
        {
            "PolicyArn": "arn:aws:fms:us-west-2:123456789012:policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "PolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "PolicyName": "test",
            "ResourceType": "AWS::EC2::Instance",
            "SecurityServiceType": "SECURITY_GROUPS_COMMON",
            "RemediationEnabled": false
        },
        {
            "PolicyArn": "arn:aws:fms:us-west-2:123456789012:policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
            "PolicyId": "457c9b21-fc94-406c-ae63-21217395ba72",
            "PolicyName": "test",
            "ResourceType": "AWS::EC2::Instance",
            "SecurityServiceType": "SECURITY_GROUPS_COMMON",
            "RemediationEnabled": false
        }
    ],
    "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAyfQ=="
}

Pour plus d'informations, consultez Working with AWS Firewall Manager Policies dans le guide du développeur AWS WAF, AWS Firewall Manager et AWS Shield Advanced.

• Pour plus de détails sur l'API, voir ListPoliciesla section Référence des AWS CLI commandes.

canal de notification de sortie

L'exemple de code suivant montre comment utiliserput-notification-channel.

AWS CLI

Pour définir les informations de rubrique SNS pour les journaux Firewall Manager

L’exemple put-notification-channel suivant définit les informations de rubrique SNS.

aws fms put-notification-channel \
    --sns-topic-arn arn:aws:sns:us-west-2:123456789012:us-west-2-fms \
    --sns-role-name arn:aws:iam::123456789012:role/aws-service-role/fms.amazonaws.com/AWSServiceRoleForFMS

Cette commande ne produit aucune sortie.

Pour plus d'informations, consultez Configurer les notifications Amazon SNS et les CloudWatch alarmes Amazon dans le guide du AWS développeur WAF, AWS Firewall Manager et AWS Shield Advanced.

• Pour plus de détails sur l'API, voir PutNotificationChannella section Référence des AWS CLI commandes.

politique de vente

L'exemple de code suivant montre comment utiliserput-policy.

AWS CLI

Pour créer une politique Firewall Manager

L’exemple put-policy suivant crée une politique de groupe de sécurité Firewall Manager.

aws fms put-policy \
    --cli-input-json file://policy.json

Contenu de policy.json :

{
    "Policy": {
        "PolicyName": "test",
        "SecurityServicePolicyData": {
            "Type": "SECURITY_GROUPS_USAGE_AUDIT",
            "ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_USAGE_AUDIT\",\"deleteUnusedSecurityGroups\":false,\"coalesceRedundantSecurityGroups\":true}"
        },
        "ResourceType": "AWS::EC2::SecurityGroup",
        "ResourceTags": [],
        "ExcludeResourceTags": false,
        "RemediationEnabled": false
    },
    "TagList": [
        {
            "Key": "foo",
            "Value": "foo"
        }
    ]
}

Sortie :

{
    "Policy": {
        "PolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "PolicyName": "test",
        "PolicyUpdateToken": "1:X9QGexP7HASDlsFp+G31Iw==",
        "SecurityServicePolicyData": {
            "Type": "SECURITY_GROUPS_USAGE_AUDIT",
            "ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_USAGE_AUDIT\",\"deleteUnusedSecurityGroups\":false,\"coalesceRedundantSecurityGroups\":true,\"optionalDelayForUnusedInMinutes\":null}"
        },
        "ResourceType": "AWS::EC2::SecurityGroup",
        "ResourceTags": [],
        "ExcludeResourceTags": false,
        "RemediationEnabled": false
    },
    "PolicyArn": "arn:aws:fms:us-west-2:123456789012:policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}

Pour plus d'informations, consultez Working with AWS Firewall Manager Policies dans le guide du développeur AWS WAF, AWS Firewall Manager et AWS Shield Advanced.

• Pour plus de détails sur l'API, voir PutPolicyla section Référence des AWS CLI commandes.