Création d'une AWS Firewall Manager politique - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Créez une politique pour AWS WAFCréation d'une politique pour AWS WAF ClassicCréer une politique pour Shield AdvancedCréation d'une stratégie de groupe de sécurité communeCréation d'une stratégie de groupe de sécurité d'audit de contenuCréation d'une stratégie de groupe de sécurité d'audit d'utilisationCréation d'une politique ACL réseauCréation d'une politique pour Network FirewallCréation d'une politique pour le pare-feu DNSCréer une politique pour Palo Alto Networks Cloud NGFWCréer une politique pour Fortigate CNF

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'une AWS Firewall Manager politique

Les étapes de création d'une stratégie varient selon le type de stratégie. Assurez-vous d'utiliser la procédure correspondant au type de stratégie dont vous avez besoin.

Important

AWS Firewall Manager ne prend pas en charge Amazon Route 53 ou AWS Global Accelerator. Si vous souhaitez protéger ces ressources avec Shield Advanced, vous ne pouvez pas utiliser une politique de Firewall Manager. Au lieu de cela, suivez les instructions de Ajouter AWS Shield Advanced une protection aux AWS ressources.

Création d'une AWS Firewall Manager politique pour AWS WAF

Dans une AWS WAF politique de Firewall Manager, vous pouvez utiliser des groupes de règles gérés, AWS que AWS Marketplace les vendeurs créent et gèrent pour vous. Vous pouvez également créer et utiliser vos propres groupes de règles. Pour de plus amples informations sur les groupes de correctifs, veuillez consulter AWS WAF groupes de règles.

Si vous souhaitez utiliser vos propres groupes de règles, créez-les avant de créer votre AWS WAF politique Firewall Manager. Pour de plus amples informations, consultez Gestion de vos propres groupes de règles. Pour utiliser une règle personnalisée individuelle, vous devez définir votre propre groupe de règles, définir votre règle à l'intérieur de celui-ci, puis utiliser le groupe de règles dans votre stratégie.

Pour plus d'informations sur les AWS WAF politiques de Firewall Manager, consultezAWS WAF politiques.

Pour créer une politique Firewall Manager pour AWS WAF (console)

  1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  2. Dans le volet de navigation, sélectionnez Stratégies de sécurité.

  3. Choisissez Créer une politique.

  4. Pour Policy type (Type de stratégie), choisissez AWS WAF.

  5. Pour Région, choisissez un Région AWS. Pour protéger les CloudFront distributions Amazon, choisissez Global.

    Pour protéger les ressources dans plusieurs régions (autres que les CloudFront distributions), vous devez créer des politiques Firewall Manager distinctes pour chaque région.

  6. Choisissez Suivant.

  7. Dans Nom de la politique, entrez un nom descriptif. Firewall Manager inclut le nom de la politique dans les noms des ACL Web qu'il gère. Les noms des ACL Web sont FMManagedWebACLV2- suivis du nom de la politique que vous entrez ici et de l'horodatage de création des ACL Web, en millisecondes UTC. - Par exemple, FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

  8. Pour l'inspection du corps d'une demande Web, modifiez éventuellement la limite de taille du corps. Pour plus d'informations sur les limites de taille pour l'inspection des carrosseries, y compris les considérations tarifaires, consultez Gestion des limites de taille des organismes inspectés le guide du AWS WAF développeur.

  9. Sous Règles de politique, ajoutez les groupes de règles que vous AWS WAF souhaitez évaluer en premier et en dernier dans l'ACL Web. Pour utiliser le contrôle de version de groupes de règles AWS WAF gérés, activez l'option Activer le contrôle de version. Les gestionnaires de comptes individuels peuvent ajouter des règles et des groupes de règles entre vos premiers groupes de règles et vos derniers groupes de règles. Pour plus d'informations sur l'utilisation de groupes de AWS WAF règles dans les politiques de Firewall Manager pour AWS WAF, consultezAWS WAF politiques.

    (Facultatif) Pour personnaliser la façon dont votre ACL Web utilise le groupe de règles, choisissez Modifier. Les paramètres de personnalisation courants sont les suivants :

    • Pour les groupes de règles gérés, remplacez les actions des règles pour certaines ou toutes les règles. Si vous ne définissez pas d'action de remplacement pour une règle, l'évaluation utilise l'action de règle définie au sein du groupe de règles. Pour plus d'informations sur cette option, consultez Options de dérogation aux actions pour les groupes de règles le guide du AWS WAF développeur.

    • Certains groupes de règles gérés nécessitent que vous fournissiez une configuration supplémentaire. Consultez la documentation de votre fournisseur de groupes de règles gérés. Pour obtenir des informations spécifiques aux groupes de règles AWS gérées, consultez AWS Règles gérées pour AWS WAF le guide du AWS WAF développeur.

    Lorsque vous avez terminé de définir vos paramètres, choisissez Enregistrer la règle.

  10. Définissez l'action par défaut pour la liste ACL web. Il s'agit de l'action AWS entreprise par le WAF lorsqu'une requête Web ne correspond à aucune des règles de l'ACL Web. Vous pouvez ajouter des en-têtes personnalisés avec l'action Autoriser ou des réponses personnalisées pour l'action Bloquer. Pour plus d'informations sur les actions ACL Web par défaut, consultezL'action par défaut de l'ACL Web. Pour plus d'informations sur la définition de requêtes Web et de réponses personnalisées, consultezDemandes et réponses Web personnalisées dans AWS WAF.

  11. Pour la configuration de la journalisation, choisissez Activer la journalisation pour activer la journalisation. La journalisation fournit des informations détaillées sur le trafic analysé par votre ACL Web. Choisissez la destination de journalisation, puis choisissez la destination de journalisation que vous avez configurée. Vous devez choisir une destination de journalisation dont le nom commence paraws-waf-logs-. Pour plus d'informations sur la configuration d'une destination de AWS WAF journalisation, consultezConfiguration de la journalisation pour une AWS WAF politique.

  12. (Facultatif) Si vous ne souhaitez pas que certains champs et leurs valeurs soient inclus dans les journaux, censurez ces champs. Choisissez le champ à censurer, puis choisissez Ajouter. Répétez si nécessaire pour censurer des champs supplémentaires. Les champs censurés apparaîtront en tant que REDACTED dans les journaux. Par exemple, si vous supprimez le champ URI, le champ URI des journaux seraREDACTED.

  13. (Facultatif) Si vous ne souhaitez pas envoyer toutes les demandes aux journaux, ajoutez vos critères de filtrage et votre comportement. Sous Filtrer les journaux, pour chaque filtre que vous souhaitez appliquer, choisissez Ajouter un filtre, puis choisissez vos critères de filtrage et indiquez si vous souhaitez conserver ou supprimer les demandes correspondant à ces critères. Lorsque vous avez fini d'ajouter des filtres, modifiez si nécessaire le comportement de journalisation par défaut. Pour plus d’informations, consultez Configuration de la journalisation des ACL Web dans le Guide du développeur AWS WAF .

  14. Vous pouvez définir une liste de domaines de jetons pour permettre le partage de jetons entre les applications protégées. Les jetons sont utilisés par les Challenge actions CAPTCHA et par les SDK d'intégration d'applications que vous implémentez lorsque vous utilisez les groupes de règles AWS gérées pour le contrôle des AWS WAF fraudes, la prévention du rachat de compte (ATP) et le contrôle des AWS WAF bots.

    Les suffixes publics ne sont pas autorisés. Par exemple, vous ne pouvez pas utiliser gov.au ou co.uk comme domaine de jetons.

    Par défaut, AWS WAF accepte les jetons uniquement pour le domaine de la ressource protégée. Si vous ajoutez des domaines de jetons dans cette liste, AWS WAF les jetons sont acceptés pour tous les domaines de la liste et pour le domaine de la ressource associée. Pour plus d’informations, consultez AWS WAF configuration de la liste de domaines du jeton ACL Web dans le Guide du développeur AWS WAF .

    Vous ne pouvez modifier le CAPTCHA de l'ACL Web et contester les temps d'immunité que lorsque vous modifiez une ACL Web existante. Vous trouverez ces paramètres sur la page de détails de la politique de Firewall Manager. Pour plus d'informations sur ces paramètres, consultez Expiration de l'horodatage : durée d'immunité des AWS WAF jetons. Si vous mettez à jour les paramètres de configuration d'association, de CAPTCHA, de défi ou de liste de domaines dans une politique existante, Firewall Manager remplacera vos ACL Web locales par les nouvelles valeurs. Toutefois, si vous ne mettez pas à jour les paramètres de configuration d'association, de CAPTCHA, de défi ou de liste de domaines de jetons de la politique, les valeurs de vos ACL Web locales resteront inchangées. Pour plus d'informations sur cette option, consultez CAPTCHAet Challenge dans AWS WAF le guide du AWS WAF développeur.

  15. Dans la section Gestion des ACL Web, si vous souhaitez que Firewall Manager gère les ACL Web non associées, activez l'option Gérer les ACL Web non associées. Avec cette option, Firewall Manager crée des ACL Web dans les comptes relevant du champ d'application de la politique uniquement si les ACL Web sont destinées à être utilisées par au moins une ressource. À tout moment, si un compte entre dans le champ d'application de la politique, Firewall Manager crée automatiquement une ACL Web dans le compte si au moins une ressource utilise l'ACL Web. Lorsque cette option est activée, Firewall Manager effectue un nettoyage unique des ACL Web non associées dans votre compte. Le processus de nettoyage peut prendre plusieurs heures. Si une ressource quitte le champ d'application de la politique après que Firewall Manager a créé une ACL Web, Firewall Manager dissocie la ressource de l'ACL Web, mais ne nettoie pas l'ACL Web non associée. Firewall Manager nettoie les ACL Web non associées uniquement lorsque vous activez pour la première fois la gestion des ACL Web non associées dans une politique.

  16. Pour l'action stratégique, si vous souhaitez créer une ACL Web dans chaque compte applicable au sein de l'organisation, mais ne pas encore appliquer l'ACL Web à aucune ressource, choisissez Identifier les ressources qui ne sont pas conformes aux règles de politique, mais ne corrigez pas automatiquement et ne choisissez pas Gérer les ACL Web non associées. Vous pourrez modifier ces options ultérieurement.

    Si vous souhaitez plutôt appliquer automatiquement la stratégie aux ressources concernées existantes, choisissez Auto remediate any noncompliant resources (Corriger automatiquement les ressources non conformes). Si Gérer les ACL Web non associées est désactivée, l'option Corriger automatiquement les ressources non conformes crée une ACL Web dans chaque compte applicable au sein de l'organisation et associe l'ACL Web aux ressources des comptes. Si Gérer les ACL Web non associées est activée, l'option Corriger automatiquement les ressources non conformes crée et associe uniquement une ACL Web aux comptes dont les ressources peuvent être associées à l'ACL Web.

    Lorsque vous choisissez Corriger automatiquement les ressources non conformes, vous pouvez également choisir de supprimer les associations d'ACL Web existantes des ressources incluses, pour les ACL Web qui ne sont pas gérées par une autre politique active de Firewall Manager. Si vous choisissez cette option, Firewall Manager associe d'abord l'ACL Web de la politique aux ressources, puis supprime les associations précédentes. Si une ressource est associée à une autre ACL Web gérée par une autre politique active de Firewall Manager, ce choix n'affecte pas cette association.

  17. Choisissez Suivant.

  18. Pour Comptes AWS que cette politique s'applique à, choisissez l'option suivante :

    • Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, laissez la sélection par défaut, Inclure tous les comptes de mon AWS organisation.

    • Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles (UO) spécifiques, choisissez Inclure uniquement les comptes et unités organisationnelles spécifiés, puis ajoutez les comptes et les UO que vous souhaitez inclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    • Si vous souhaitez appliquer la stratégie à tous les comptes ou unités d’organisation AWS Organizations à l'exception d'un ensemble spécifique, choisissez Exclude the specified accounts and organizational units, and include all others (Exclure les comptes et unités d’organisation spécifiés et inclure tous les autres), puis ajoutez les comptes et les unités d'organisation que vous souhaitez exclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    Vous ne pouvez choisir qu'une des options.

    Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'une de ses unités d'organisation secondaires, Firewall Manager applique automatiquement la politique au nouveau compte.

  19. Pour Resource type (Type de ressource), choisissez les types de ressources que vous souhaitez protéger.

  20. Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

    Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

    Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

  21. Choisissez Suivant.

  22. Pour les balises de stratégie, ajoutez les balises d'identification que vous souhaitez ajouter à la ressource de politique de Firewall Manager. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

  23. Choisissez Suivant.

  24. Passez en revue les nouveaux paramètres de politique et revenez à toutes les pages où vous devez apporter des modifications.

    Lorsque vous êtes satisfait de la politique, choisissez Créer une politique. Dans le volet AWS Firewall Manager des politiques, votre politique doit être répertoriée. Il indiquera probablement En attente sous les en-têtes des comptes et indiquera l'état du paramètre de correction automatique. La création d'une stratégie peut prendre plusieurs minutes. Une fois que le statut Pending (En attente) est remplacé par le nombre de comptes, vous pouvez choisir le nom de la stratégie pour examiner le statut de conformité des comptes et des ressources. Pour plus d'informations, veuillez consulter Afficher les informations de conformité d'une AWS Firewall Manager politique

Création d'une AWS Firewall Manager politique pour AWS WAF Classic

Pour créer une politique Firewall Manager pour AWS WAF Classic (console)

  1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  2. Dans le volet de navigation, sélectionnez Stratégies de sécurité.

  3. Choisissez Créer une politique.

  4. Pour Type de stratégie, choisissez AWS WAF Classic.

  5. Si vous avez déjà créé le groupe de règles AWS WAF classique que vous souhaitez ajouter à la politique, choisissez Créer une AWS Firewall Manager politique et ajoutez des groupes de règles existants. Si vous souhaitez créer un nouveau groupe de règles, choisissez Create a Firewall Manager policy et ajoutez un nouveau groupe de règles.

  6. Pour Région, choisissez un Région AWS. Pour protéger les CloudFront ressources Amazon, choisissez Global.

    Pour protéger les ressources de plusieurs régions (autres que les CloudFront ressources), vous devez créer des politiques Firewall Manager distinctes pour chaque région.

  7. Choisissez Suivant.

  8. Si vous créez un groupe de règles, suivez les instructions fournies dans Création d'un groupe de règles AWS WAF classique. Une fois que vous avez créé le groupe de règles, poursuivez avec les étapes suivantes.

  9. Entrez un nom de stratégie.

  10. Si vous ajoutez un groupe de règles prédéfini, utilisez le menu déroulant pour sélectionner le groupe de règles à ajouter, puis choisissez Add rule group (Ajouter le groupe de règles).

  11. Une stratégie a deux actions possibles : Action définie par un groupe de règles et Nombre. Si vous souhaitez tester la stratégie et le groupe de règles, définissez l'action sur Nombre. Cette action remplace toute action de blocage spécifiée par le groupe de règles contenu dans la stratégie. Autrement dit, si l'action de la stratégie est définie sur Nombre, ces demandes sont uniquement comptabilisées et ne sont pas bloquées. À l'inverse, si vous définissez l'action de la stratégie sur Action set by rule group (Action définie par le groupe de règles), les actions du groupe de règles de la stratégie sont utilisées. Choisissez l'action appropriée.

  12. Choisissez Suivant.

  13. Pour Comptes AWS que cette politique s'applique à, choisissez l'option suivante :

    • Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, laissez la sélection par défaut, Inclure tous les comptes de mon AWS organisation.

    • Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles (UO) spécifiques, choisissez Inclure uniquement les comptes et unités organisationnelles spécifiés, puis ajoutez les comptes et les UO que vous souhaitez inclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    • Si vous souhaitez appliquer la politique à tous les comptes ou unités d' AWS Organizations organisation (UO) à l'exception d'un ensemble spécifique, choisissez Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres, puis ajoutez les comptes et les unités d'organisation que vous souhaitez exclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    Vous ne pouvez choisir qu'une des options.

    Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'une de ses unités d'organisation secondaires, Firewall Manager applique automatiquement la politique au nouveau compte.

  14. Choisissez le type de ressource que vous voulez protéger.

  15. Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

    Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

    Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

  16. Si vous souhaitez appliquer automatiquement la stratégie à des ressources existantes, choisissez Créer et appliquer cette stratégie à des ressources existantes et nouvelles.

    Cette option crée une liste ACL web dans chaque compte applicable dans une organisation AWS et l'associe aux ressources des comptes. Cette option applique également la stratégie à toutes les nouvelles ressources qui correspondent aux précédents critères (type de ressource et balises). Sinon, si vous choisissez Créer une stratégie, mais ne pas l'appliquer aux ressources existantes ou nouvelles, Firewall Manager crée une liste ACL web dans chaque compte applicable de l'organisation, mais ne l'applique pas aux ressources. Vous devrez appliquer la stratégie aux ressources ultérieurement. Choisissez l'option appropriée.

  17. Dans Replace existing associated web ACLs (Remplacer les listes ACL web associées existantes), vous pouvez choisir de supprimer toutes les associations ACL web actuellement définies pour les ressources concernées, puis de les remplacer par des associations aux listes ACL web que vous créez avec cette stratégie. Par défaut, Firewall Manager ne supprime pas les associations ACL Web existantes avant d'en ajouter de nouvelles. Si vous souhaitez supprimer les associations existantes, choisissez cette option.

  18. Choisissez Suivant.

  19. Passez en revue la nouvelle stratégie. Pour effectuer des modifications, sélectionnez Modifier. Lorsque vous êtes satisfait de la stratégie, choisissez Créer et appliquer une stratégie.

Création d'une AWS Firewall Manager politique pour AWS Shield Advanced

Pour créer une politique Firewall Manager pour Shield Advanced (console)

  1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  2. Dans le volet de navigation, sélectionnez Stratégies de sécurité.

  3. Choisissez Créer une politique.

  4. Pour le type de politique, choisissez Shield Advanced.

    Pour créer une politique Shield Advanced, vous devez être abonné à Shield Advanced. Si vous n'êtes pas abonné, vous êtes invité à le faire. Pour plus d'informations sur le coût de l'abonnement, consultez la section AWS Shield Advanced Tarification.

  5. Pour Région, choisissez un Région AWS. Pour protéger les CloudFront distributions Amazon, choisissez Global.

    Pour les choix de régions autres que Global, afin de protéger les ressources de plusieurs régions, vous devez créer une politique Firewall Manager distincte pour chaque région.

  6. Choisissez Suivant.

  7. Dans Nom, entrez un nom descriptif.

  8. Pour les politiques régionales mondiales uniquement, vous pouvez choisir si vous souhaitez gérer l'atténuation automatique des attaques DDoS au niveau de la couche d'application Shield Advanced. Pour plus d'informations sur cette fonctionnalité Shield Advanced, consultezShield Advanced : atténuation automatique des attaques DDoS au niveau de la couche applicative.

    Vous pouvez choisir d'activer ou de désactiver l'atténuation automatique, ou de l'ignorer. Si vous choisissez de l'ignorer, Firewall Manager ne gère aucune atténuation automatique pour les protections Shield Advanced. Pour plus d'informations sur ces options de stratégie, consultezAtténuation automatique des attaques DDoS au niveau de.

  9. Dans la section Gestion des ACL Web, si vous souhaitez que Firewall Manager gère les ACL Web non associées, activez l'option Gérer les ACL Web non associées. Avec cette option, Firewall Manager crée des ACL Web dans les comptes relevant du champ d'application de la politique uniquement si les ACL Web sont destinées à être utilisées par au moins une ressource. À tout moment, si un compte entre dans le champ d'application de la politique, Firewall Manager crée automatiquement une ACL Web dans le compte si au moins une ressource utilise l'ACL Web. Lorsque cette option est activée, Firewall Manager effectue un nettoyage unique des ACL Web non associées dans votre compte. Le processus de nettoyage peut prendre plusieurs heures. Si une ressource quitte le champ d'application de la politique après que Firewall Manager ait créé une ACL Web, Firewall Manager ne dissociera pas la ressource de l'ACL Web. Pour inclure l'ACL Web dans le nettoyage unique, vous devez d'abord dissocier manuellement les ressources de l'ACL Web, puis activer Gérer les ACL Web non associées.

  10. Pour ce qui est de l'action stratégique, nous recommandons de créer la politique avec l'option qui ne corrige pas automatiquement les ressources non conformes. Lorsque vous désactivez la correction automatique, vous pouvez évaluer les effets de votre nouvelle politique avant de l'appliquer. Lorsque vous êtes convaincu que les modifications sont conformes à vos attentes, modifiez la politique et modifiez l'action de stratégie pour activer la correction automatique.

    Si vous souhaitez plutôt appliquer automatiquement la stratégie aux ressources concernées existantes, choisissez Auto remediate any noncompliant resources (Corriger automatiquement les ressources non conformes). Cette option applique les protections Shield Advanced à chaque compte applicable au sein de l' AWS organisation et à chaque ressource applicable dans les comptes.

    Pour les politiques régionales mondiales uniquement, si vous choisissez Corriger automatiquement les ressources non conformes, vous pouvez également choisir que Firewall Manager remplace automatiquement toutes les associations d'ACL Web AWS WAF classiques existantes par de nouvelles associations aux ACL Web créées à l'aide de la dernière version de AWS WAF (v2). Si vous choisissez cette option, Firewall Manager supprime les associations avec les ACL Web des versions antérieures et crée de nouvelles associations avec les ACL Web les plus récentes, après avoir créé de nouvelles ACL Web vides dans tous les comptes concernés qui ne les ont pas déjà pour la politique. Pour plus d’informations sur cette option, consultez Remplacez les ACL Web AWS WAF classiques par les ACL Web de dernière version.

  11. Choisissez Suivant.

  12. Pour Comptes AWS que cette politique s'applique à, choisissez l'option suivante :

    • Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, conservez la sélection par défaut, Inclure tous les comptes de mon AWS organisation.

    • Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles (UO) spécifiques, choisissez Inclure uniquement les comptes et unités organisationnelles spécifiés, puis ajoutez les comptes et les UO que vous souhaitez inclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    • Si vous souhaitez appliquer la politique à tous les comptes ou unités d' AWS Organizations organisation (UO) à l'exception d'un ensemble spécifique, choisissez Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres, puis ajoutez les comptes et les unités d'organisation que vous souhaitez exclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    Vous ne pouvez choisir qu'une des options.

    Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'une de ses unités d'organisation secondaires, Firewall Manager applique automatiquement la politique au nouveau compte.

  13. Choisissez le type de ressource que vous voulez protéger.

    Firewall Manager ne prend pas en charge Amazon Route 53 ou AWS Global Accelerator. Si vous devez utiliser Shield Advanced pour protéger les ressources de ces services, vous ne pouvez pas utiliser une politique de Firewall Manager. Suivez plutôt les instructions de Shield Advanced à l'adresseAjouter AWS Shield Advanced une protection aux AWS ressources.

  14. Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

    Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

    Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

  15. Choisissez Suivant.

  16. Pour les balises de stratégie, ajoutez les balises d'identification que vous souhaitez ajouter à la ressource de politique de Firewall Manager. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

  17. Choisissez Suivant.

  18. Passez en revue les nouveaux paramètres de politique et revenez à toutes les pages où vous devez apporter des modifications.

    Lorsque vous êtes satisfait de la politique, choisissez Créer une politique. Dans le volet AWS Firewall Manager des politiques, votre politique doit être répertoriée. Il indiquera probablement En attente sous les en-têtes des comptes et indiquera l'état du paramètre de correction automatique. La création d'une stratégie peut prendre plusieurs minutes. Une fois que le statut Pending (En attente) est remplacé par le nombre de comptes, vous pouvez choisir le nom de la stratégie pour examiner le statut de conformité des comptes et des ressources. Pour plus d'informations, veuillez consulter Afficher les informations de conformité d'une AWS Firewall Manager politique

Création d'une stratégie de groupe de sécurité AWS Firewall Manager commune

Pour plus d'informations sur le fonctionnement des stratégies de groupe de sécurité communes, consultez Stratégies de groupe de sécurité communes.

Pour créer une stratégie de groupe de sécurité commune, vous devez avoir déjà créé un groupe de sécurité dans votre compte administrateur Firewall Manager que vous souhaitez utiliser comme principal pour votre stratégie. Vous pouvez gérer les groupes de sécurité via Amazon Virtual Private Cloud (Amazon VPC) ou Amazon Elastic Compute Cloud (Amazon EC2). Pour plus d'informations, consultez la section Travailler avec des groupes de sécurité dans le guide de l'utilisateur Amazon VPC.

Pour créer une stratégie de groupe de sécurité commune (console)

  1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  2. Dans le volet de navigation, sélectionnez Stratégies de sécurité.

  3. Choisissez Créer une politique.

  4. Pour Type de stratégie, choisissez Groupe de sécurité.

  5. Pour Security group policy type (Type de stratégie de groupe de sécurité), choisissez Common security groups (Groupes de sécurité communs).

  6. Pour Région, choisissez un Région AWS.

  7. Choisissez Suivant.

  8. Pour Nom de la stratégie, entrez un nom convivial.

  9. Pour Règles de stratégie, procédez comme suit :

    1. Dans l'option règles, choisissez les restrictions que vous souhaitez appliquer aux règles du groupe de sécurité et aux ressources relevant du champ d'application de la stratégie. Si vous choisissez Distribuer les balises du groupe de sécurité principal aux groupes de sécurité créés par cette politique, vous devez également sélectionner Identifier et signaler lorsque les groupes de sécurité créés par cette politique deviennent non conformes.

      Important

      Firewall Manager ne distribuera pas les balises système ajoutées par les AWS services dans les groupes de sécurité répliqués. Les balises système commencent par le préfixe aws:. En outre, Firewall Manager ne met pas à jour les balises des groupes de sécurité existants ni ne crée de nouveaux groupes de sécurité si la politique contient des balises en conflit avec la politique de balises de l'entreprise. Pour plus d'informations sur les politiques relatives aux balises, consultez la section Politiques relatives aux balises dans le guide de AWS Organizations l'utilisateur.

      Si vous choisissez Distribuer les références de groupe de sécurité du groupe de sécurité principal aux groupes de sécurité créés par cette politique, Firewall Manager ne distribue les références de groupe de sécurité que s'ils disposent d'une connexion d'appairage active dans Amazon VPC. Pour plus d'informations sur cette option, consultez la section Paramètres des règles de politique.

    2. Pour les groupes de sécurité principaux, choisissez Ajouter des groupes de sécurité, puis choisissez les groupes de sécurité que vous souhaitez utiliser. Firewall Manager renseigne la liste des groupes de sécurité de toutes les instances Amazon VPC du compte administrateur de Firewall Manager.

      Par défaut, le nombre maximum de groupes de sécurité principaux par politique est de 3. Pour plus d'informations sur ce paramètre, consultez AWS Firewall Manager quotas.

    3. Pour Action de stratégie (Policy action), nous vous recommandons de créer la stratégie avec l'option qui n'applique pas la résolution automatique. Cela vous permet d'évaluer les effets de votre nouvelle stratégie avant d'appliquer celle-ci. Lorsque vous êtes convaincu que les modifications correspondent à vos besoins, modifiez la stratégie et modifiez l'action de stratégie pour activer la résolution automatique des ressources non conformes.

  10. Choisissez Suivant.

  11. Pour Comptes AWS que cette politique s'applique à, choisissez l'option suivante :

    • Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, laissez la sélection par défaut, Inclure tous les comptes de mon AWS organisation.

    • Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles (UO) spécifiques, choisissez Inclure uniquement les comptes et unités organisationnelles spécifiés, puis ajoutez les comptes et les UO que vous souhaitez inclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    • Si vous souhaitez appliquer la politique à tous les comptes ou unités d' AWS Organizations organisation (UO) à l'exception d'un ensemble spécifique, choisissez Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres, puis ajoutez les comptes et les unités d'organisation que vous souhaitez exclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    Vous ne pouvez choisir qu'une des options.

    Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'une de ses unités d'organisation secondaires, Firewall Manager applique automatiquement la politique au nouveau compte.

  12. Pour Resource type (Type de ressource), choisissez les types de ressources que vous souhaitez protéger.

    Si vous choisissez une instance EC2, vous pouvez choisir d'inclure toutes les interfaces réseau élastiques dans chaque instance Amazon EC2 ou uniquement l'interface par défaut dans chaque instance. Si vous disposez de plusieurs interfaces Elastic Network dans une instance Amazon EC2 incluse, le choix de l'option permettant d'inclure toutes les interfaces permet à Firewall Manager d'appliquer la politique à chacune d'entre elles. Lorsque vous activez la correction automatique, si Firewall Manager ne peut pas appliquer la politique à toutes les interfaces réseau élastiques d'une instance Amazon EC2, il marque l'instance comme non conforme.

  13. Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

    Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

    Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

  14. Pour les Ressources VPC partagées, si vous souhaitez appliquer la stratégie aux ressources des VPC partagés, outre les VPC que possèdent les comptes, sélectionnez Inclure les ressources des VPC partagés.

  15. Choisissez Suivant.

  16. Vérifiez les paramètres de stratégie pour vous assurer qu'ils vous conviennent, puis choisissez Créer une stratégie.

Firewall Manager crée une réplique du groupe de sécurité principal dans chaque instance Amazon VPC contenue dans les comptes concernés, dans la limite du quota maximum d'Amazon VPC pris en charge par compte. Firewall Manager associe les répliques de groupes de sécurité aux ressources relevant du champ d'application de la politique pour chaque compte concerné. Pour en savoir plus sur le fonctionnement de cette stratégie, consultez Stratégies de groupe de sécurité communes.

Création d'une stratégie de groupe de sécurité d'audit de contenu AWS Firewall Manager

Pour plus d'informations sur le fonctionnement des stratégies de groupe de sécurité d'audit de contenu, consultez Stratégies de groupe de sécurité d'audit de contenu.

Pour certains paramètres de stratégie d'audit de contenu, vous devez fournir un groupe de sécurité d'audit que Firewall Manager pourra utiliser comme modèle. Par exemple, vous pouvez avoir un groupe de sécurité d'audit qui contient toutes les règles que vous n'autorisez dans aucun des groupes de sécurité. Vous devez créer ces groupes de sécurité d'audit à l'aide de votre compte administrateur Firewall Manager avant de pouvoir les utiliser dans votre politique. Vous pouvez gérer les groupes de sécurité via Amazon Virtual Private Cloud (Amazon VPC) ou Amazon Elastic Compute Cloud (Amazon EC2). Pour plus d'informations, consultez la section Travailler avec des groupes de sécurité dans le guide de l'utilisateur Amazon VPC.

Pour créer une stratégie de groupe de sécurité d'audit de contenu (console)

  1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  2. Dans le volet de navigation, sélectionnez Stratégies de sécurité.

  3. Choisissez Créer une politique.

  4. Pour Type de stratégie, choisissez Groupe de sécurité.

  5. Pour Security group policy type (Type de stratégie de groupe de sécurité), choisissez Auditing and enforcement of security group rules (Audit et application de règles de groupe de sécurité).

  6. Pour Région, choisissez un Région AWS.

  7. Choisissez Suivant.

  8. Pour Nom de la stratégie, entrez un nom convivial.

  9. Pour les règles de stratégie, choisissez l'option de règles de stratégie gérées ou personnalisées que vous souhaitez utiliser.

    1. Pour Configurer les règles de politique d'audit gérées, procédez comme suit :

      1. Pour Configurer les règles de groupe de sécurité à auditer, sélectionnez le type de règles de groupe de sécurité auquel vous souhaitez que votre politique d'audit s'applique.

      2. Si vous souhaitez notamment appliquer des règles d'audit basées sur les protocoles, les ports et les paramètres de plage d'adresses CIDR de vos groupes de sécurité, choisissez Auditer les règles de groupe de sécurité trop permissives et sélectionnez les options souhaitées.

        Pour la sélection La règle autorise tout le trafic, vous pouvez fournir une liste d'applications personnalisée pour désigner les applications que vous souhaitez auditer. Pour plus d'informations sur les listes d'applications personnalisées et sur leur utilisation dans votre politique, consultez Listes gérées etUtilisation de listes gérées.

        Pour les sélections qui utilisent des listes de protocoles, vous pouvez utiliser des listes existantes et créer de nouvelles listes. Pour plus d'informations sur les listes de protocoles et sur la façon de les utiliser dans votre politique, reportez-vous Listes gérées aux sections etUtilisation de listes gérées.

      3. Si vous souhaitez auditer les applications à haut risque en fonction de leur accès à des plages CIDR réservées ou non réservées, choisissez Auditer les applications à haut risque et sélectionnez les options souhaitées.

        Les sélections suivantes s'excluent mutuellement : applications qui peuvent accéder uniquement aux plages d'adresses CIDR réservées et applications autorisées à accéder aux plages d'adresses CIDR non réservées. Vous pouvez sélectionner au plus l'un d'entre eux dans n'importe quelle politique.

        Pour les sélections utilisant des listes d'applications, vous pouvez utiliser des listes existantes et créer de nouvelles listes. Pour plus d'informations sur les listes d'applications et sur la façon de les utiliser dans votre politique, consultez Listes gérées etUtilisation de listes gérées.

      4. Utilisez les paramètres de remplacement pour remplacer explicitement les autres paramètres de la politique. Vous pouvez choisir de toujours autoriser ou de toujours refuser des règles de groupe de sécurité spécifiques, qu'elles soient conformes ou non aux autres options que vous avez définies pour la politique.

        Pour cette option, vous devez fournir un groupe de sécurité d'audit en tant que modèle de règles autorisées ou de règles refusées. Pour Auditer les groupes de sécurité, choisissez Ajouter des groupes de sécurité d'audit, puis choisissez le groupe de sécurité que vous souhaitez utiliser. Firewall Manager renseigne la liste des groupes de sécurité d'audit à partir de toutes les instances Amazon VPC du compte administrateur de Firewall Manager. Le quota maximal par défaut pour le nombre de groupes de sécurité d'audit pour une stratégie est égal à un (1). Pour de plus amples informations sur l'augmentation du quota, consultez AWS Firewall Manager quotas.

    2. Pour Configurer des règles de politique personnalisées, procédez comme suit :

      1. Dans les options de règles, choisissez d'autoriser uniquement les règles définies dans les groupes de sécurité d'audit ou de refuser toutes les règles. Pour de plus amples informations sur ce choix, consultez Stratégies de groupe de sécurité d'audit de contenu.

      2. Pour Auditer les groupes de sécurité, choisissez Ajouter des groupes de sécurité d'audit, puis choisissez le groupe de sécurité que vous souhaitez utiliser. Firewall Manager renseigne la liste des groupes de sécurité d'audit à partir de toutes les instances Amazon VPC du compte administrateur de Firewall Manager. Le quota maximal par défaut pour le nombre de groupes de sécurité d'audit pour une stratégie est égal à un (1). Pour de plus amples informations sur l'augmentation du quota, consultez AWS Firewall Manager quotas.

      3. Pour Action de stratégie (Policy action), vous devez créer la stratégie avec l'option qui n'applique pas la résolution automatique. Cela vous permet d'évaluer les effets de votre nouvelle stratégie avant d'appliquer celle-ci. Lorsque vous êtes convaincu que les modifications correspondent à vos souhaits, modifiez la stratégie et modifiez l'action de stratégie pour activer la résolution automatique des ressources non conformes.

  10. Choisissez Suivant.

  11. Pour Comptes AWS que cette politique s'applique à, choisissez l'option suivante :

    • Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, laissez la sélection par défaut, Inclure tous les comptes de mon AWS organisation.

    • Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles (UO) spécifiques, choisissez Inclure uniquement les comptes et unités organisationnelles spécifiés, puis ajoutez les comptes et les UO que vous souhaitez inclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    • Si vous souhaitez appliquer la politique à tous les comptes ou unités d' AWS Organizations organisation (UO) à l'exception d'un ensemble spécifique, choisissez Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres, puis ajoutez les comptes et les unités d'organisation que vous souhaitez exclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    Vous ne pouvez choisir qu'une des options.

    Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'une de ses unités d'organisation secondaires, Firewall Manager applique automatiquement la politique au nouveau compte.

  12. Pour Type de ressource, choisissez les types de ressource que vous souhaitez protéger.

  13. Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

    Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

    Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

  14. Choisissez Suivant.

  15. Vérifiez les paramètres de stratégie pour vous assurer qu'ils vous conviennent, puis choisissez Créer une stratégie.

Firewall Manager compare le groupe de sécurité d'audit aux groupes de sécurité concernés de votre AWS organisation, conformément aux paramètres de vos règles de politique. Vous pouvez consulter l'état de la politique dans la console des AWS Firewall Manager politiques. Une fois la stratégie créée, vous pouvez la modifier et activer la résolution automatique pour mettre en œuvre votre stratégie de groupe de sécurité d'audit. Pour en savoir plus sur le fonctionnement de cette stratégie, consultez Stratégies de groupe de sécurité d'audit de contenu.

Création d'une stratégie de groupe de sécurité d'audit d'utilisation AWS Firewall Manager

Pour plus d'informations sur le fonctionnement des stratégies de groupe de sécurité d'audit d'utilisation, consultez Stratégies de groupe de sécurité d'audit d'utilisation.

Pour créer une stratégie de groupe de sécurité d'audit d'utilisation (console)

  1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  2. Dans le volet de navigation, sélectionnez Stratégies de sécurité.

  3. Choisissez Créer une politique.

  4. Pour Type de stratégie, choisissez Groupe de sécurité.

  5. Pour le type de politique de groupe de sécurité, choisissez Audit et nettoyage des groupes de sécurité redondants et non associés.

  6. Pour Région, choisissez un Région AWS.

  7. Choisissez Suivant.

  8. Pour Nom de la stratégie, entrez un nom convivial.

  9. Pour Règles de stratégie, choisissez l'une des options disponibles ou les deux.

    • Si vous choisissez que les groupes de sécurité relevant de cette zone de politique doivent être utilisés par au moins une ressource, Firewall Manager supprime tous les groupes de sécurité qu'il juge inutilisés. Lorsque cette règle est activée, Firewall Manager l'exécute en dernier lorsque vous enregistrez la politique.

      Pour plus de détails sur la manière dont Firewall Manager détermine l'utilisation et le calendrier de la correction, consultezStratégies de groupe de sécurité d'audit d'utilisation.

      Note

      Lorsque vous utilisez ce type de politique de groupe de sécurité d'audit d'utilisation, évitez de modifier plusieurs fois le statut d'association des groupes de sécurité concernés en peu de temps. Cela peut empêcher Firewall Manager de rater les événements correspondants.

      Par défaut, Firewall Manager considère les groupes de sécurité comme non conformes à cette règle de politique dès qu'ils ne sont pas utilisés. Vous pouvez éventuellement spécifier le nombre de minutes pendant lesquelles un groupe de sécurité peut rester inutilisé avant qu'il ne soit considéré comme non conforme, jusqu'à 525 600 minutes (365 jours). Vous pouvez utiliser ce paramètre pour vous donner le temps d'associer de nouveaux groupes de sécurité à des ressources.

      Important

      Si vous spécifiez un nombre de minutes autre que la valeur par défaut de zéro, vous devez activer les relations indirectes dans AWS Config. Dans le cas contraire, vos politiques de groupe de sécurité d'audit d'utilisation ne fonctionneront pas comme prévu. Pour plus d'informations sur les relations indirectes dans AWS Config, voir Relations indirectes AWS Config dans le Guide du AWS Config développeur.

    • Si vous choisissez que les groupes de sécurité relevant de cette zone de politique doivent être uniques, Firewall Manager consolide les groupes de sécurité redondants, de sorte qu'un seul d'entre eux soit associé aux ressources. Si vous choisissez cette option, Firewall Manager l'exécute d'abord lorsque vous enregistrez la politique.

  10. Pour Action de stratégie (Policy action), nous vous recommandons de créer la stratégie avec l'option qui n'applique pas la résolution automatique. Cela vous permet d'évaluer les effets de votre nouvelle stratégie avant d'appliquer celle-ci. Lorsque vous êtes convaincu que les modifications correspondent à vos besoins, modifiez la stratégie et modifiez l'action de stratégie pour activer la résolution automatique des ressources non conformes.

  11. Choisissez Suivant.

  12. Pour Comptes AWS que cette politique s'applique à, choisissez l'option suivante :

    • Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, laissez la sélection par défaut, Inclure tous les comptes de mon AWS organisation.

    • Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles (UO) spécifiques, choisissez Inclure uniquement les comptes et unités organisationnelles spécifiés, puis ajoutez les comptes et les UO que vous souhaitez inclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    • Si vous souhaitez appliquer la politique à tous les comptes ou unités d' AWS Organizations organisation (UO) à l'exception d'un ensemble spécifique, choisissez Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres, puis ajoutez les comptes et les unités d'organisation que vous souhaitez exclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    Vous ne pouvez choisir qu'une des options.

    Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'une de ses unités d'organisation secondaires, Firewall Manager applique automatiquement la politique au nouveau compte.

  13. Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

    Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

    Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

  14. Choisissez Suivant.

  15. Si vous n'avez pas exclu le compte administrateur de Firewall Manager du champ d'application de la politique, Firewall Manager vous invite à le faire. Cela vous permet de contrôler manuellement les groupes de sécurité du compte administrateur de Firewall Manager, que vous utilisez pour les politiques de groupe de sécurité communes et d'audit. Choisissez l'option souhaitée dans cette boîte de dialogue.

  16. Vérifiez les paramètres de stratégie pour vous assurer qu'ils vous conviennent, puis choisissez Créer une stratégie.

Si vous avez choisi d'exiger des groupes de sécurité uniques, Firewall Manager recherche des groupes de sécurité redondants dans chaque instance Amazon VPC concernée. Ensuite, si vous choisissez d'exiger que chaque groupe de sécurité soit utilisé par au moins une ressource, Firewall Manager recherche les groupes de sécurité restés inutilisés pendant les minutes spécifiées dans la règle. Vous pouvez consulter l'état de la politique dans la console des AWS Firewall Manager politiques. Pour en savoir plus sur le fonctionnement de cette stratégie, consultez Stratégies de groupe de sécurité d'audit d'utilisation.

Création d'une politique ACL AWS Firewall Manager réseau

Pour plus d'informations sur le fonctionnement des politiques ACL du réseau, consultezPolitiques ACL du réseau.

Pour créer une politique ACL réseau, vous devez savoir comment définir une ACL réseau à utiliser avec vos sous-réseaux Amazon VPC. Pour plus d'informations, consultez les sections Contrôler le trafic vers les sous-réseaux à l'aide des ACL réseau et Travailler avec des ACL réseau dans le guide de l'utilisateur Amazon VPC.

Pour créer une politique ACL réseau (console)

  1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  2. Dans le volet de navigation, sélectionnez Stratégies de sécurité.

  3. Choisissez Créer une politique.

  4. Pour le type de stratégie, choisissez Network ACL.

  5. Pour Région, choisissez un Région AWS.

  6. Choisissez Suivant.

  7. Dans Nom de la politique, entrez un nom descriptif.

  8. Pour les règles de politique, définissez les règles que vous souhaitez toujours exécuter dans les ACL réseau que Firewall Manager gère pour vous. Les ACL réseau surveillent et gèrent le trafic entrant et sortant. Ainsi, dans votre politique, vous définissez les règles pour les deux directions.

    Dans les deux sens, vous définissez des règles que vous souhaitez toujours exécuter en premier et des règles que vous souhaitez toujours exécuter en dernier. Dans les listes de contrôle d'accès réseau gérées par Firewall Manager, les propriétaires de comptes peuvent définir des règles personnalisées à exécuter entre ces première et dernière règles.

  9. Pour l'action stratégique, si vous souhaitez identifier les sous-réseaux et les ACL réseau non conformes, mais que vous n'avez pas encore pris de mesures correctives, choisissez Identifier les ressources qui ne sont pas conformes aux règles de politique, mais ne corrigent pas automatiquement. Vous pourrez modifier ces options ultérieurement.

    Si vous souhaitez plutôt appliquer automatiquement la politique aux sous-réseaux concernés existants, choisissez Corriger automatiquement les ressources non conformes. Avec cette option, vous spécifiez également s'il faut forcer la correction lorsque le comportement de gestion du trafic des règles de politique entre en conflit avec les règles personnalisées figurant dans l'ACL du réseau. Que vous forciez ou non la correction, Firewall Manager signale des règles contradictoires dans ses violations de conformité.

  10. Choisissez Suivant.

  11. Pour Comptes AWS que cette politique s'applique à, choisissez l'option suivante :

    • Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, laissez la sélection par défaut, Inclure tous les comptes de mon AWS organisation.

    • Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles (UO) spécifiques, choisissez Inclure uniquement les comptes et unités organisationnelles spécifiés, puis ajoutez les comptes et les UO que vous souhaitez inclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    • Si vous souhaitez appliquer la politique à tous les comptes ou unités d' AWS Organizations organisation (UO) à l'exception d'un ensemble spécifique, choisissez Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres, puis ajoutez les comptes et les unités d'organisation que vous souhaitez exclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    Vous ne pouvez choisir qu'une des options.

    Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique pas la politique à de nouveaux comptes différents. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'une de ses unités d'organisation secondaires, Firewall Manager applique automatiquement la politique au nouveau compte.

  12. Pour le type de ressource, le paramètre est fixé aux sous-réseaux.

  13. Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

    Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

    Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

  14. Choisissez Suivant.

  15. Vérifiez les paramètres de stratégie pour vous assurer qu'ils vous conviennent, puis choisissez Créer une stratégie.

Firewall Manager crée la politique et commence à surveiller et à gérer les ACL du réseau concernés conformément à vos paramètres. Pour en savoir plus sur le fonctionnement de cette stratégie, consultez Politiques ACL du réseau.

Création d'une AWS Firewall Manager politique pour AWS Network Firewall

Dans une politique de Firewall Manager Network Firewall, vous utilisez des groupes de règles que vous gérez AWS Network Firewall. Pour plus d'informations sur la gestion de vos groupes de règles, consultez la section Groupes de AWS Network Firewall règles du Network Firewall Developer Guide.

Pour plus d'informations sur les politiques de Firewall Manager Network Firewall, consultezAWS Network Firewall politiques.

Pour créer une politique Firewall Manager pour AWS Network Firewall (console)

  1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  2. Dans le volet de navigation, sélectionnez Stratégies de sécurité.

  3. Choisissez Créer une politique.

  4. Pour Policy type (Type de stratégie), choisissez AWS Network Firewall.

  5. Sous Type de gestion de pare-feu, choisissez la manière dont vous souhaitez que Firewall Manager gère les pare-feux définis par la politique. Sélectionnez parmi les options suivantes :

    • Distribué : Firewall Manager crée et gère des points de terminaison de pare-feu dans chaque VPC concerné par la politique.

    • Centralisé : Firewall Manager crée et gère les points de terminaison dans un seul VPC d'inspection.

    • Importer des pare-feux existants : Firewall Manager importe des pare-feux existants depuis Network Firewall à l'aide d'ensembles de ressources. Pour plus d'informations sur les ensembles de ressources, consultezUtilisation des ensembles de ressources dans Firewall Manager.

  6. Pour Région, choisissez un Région AWS. Pour protéger les ressources de plusieurs régions, vous devez créer des politiques distinctes pour chaque région.

  7. Choisissez Suivant.

  8. Dans Nom de la politique, entrez un nom descriptif. Firewall Manager inclut le nom de la politique dans les noms des pare-feux Network Firewall et des politiques de pare-feu qu'il crée.

  9. Dans la configuration AWS Network Firewall de la politique, configurez la politique de pare-feu comme vous le feriez dans Network Firewall. Ajoutez vos groupes de règles apatrides et statiques et spécifiez les actions par défaut de la politique. Vous pouvez éventuellement définir l'ordre d'évaluation dynamique des règles et les actions par défaut de la politique, ainsi que la configuration de journalisation. Pour plus d'informations sur la gestion des politiques de pare-feu de Network Firewall, consultez les politiques de AWS Network Firewall pare-feu dans le Guide du AWS Network Firewall développeur.

    Lorsque vous créez la politique Firewall Network Firewall de Firewall Manager, Firewall Manager crée des politiques de pare-feu pour les comptes concernés. Les responsables de comptes individuels peuvent ajouter des groupes de règles aux politiques de pare-feu, mais ils ne peuvent pas modifier la configuration que vous fournissez ici.

  10. Choisissez Suivant.

  11. Procédez de l'une des manières suivantes, en fonction du type de gestion du pare-feu que vous avez sélectionné à l'étape précédente :

    • Si vous utilisez un type de gestion de pare-feu distribué, dans Configuration du point de AWS Firewall Manager terminaison sous Emplacement du point de terminaison du pare-feu, choisissez l'une des options suivantes :

      • Configuration personnalisée des points de terminaison : Firewall Manager crée des pare-feux pour chaque VPC dans le cadre de la politique, dans les zones de disponibilité que vous spécifiez. Chaque pare-feu contient au moins un point de terminaison.

        • Sous Zones de disponibilité, sélectionnez les zones de disponibilité dans lesquelles créer des points de terminaison de pare-feu. Vous pouvez sélectionner des zones de disponibilité par nom de zone de disponibilité ou par ID de zone de disponibilité.

        • Si vous souhaitez fournir les blocs d'adresse CIDR que Firewall Manager utilisera pour les sous-réseaux de pare-feu de vos VPC, ils doivent tous être des blocs d'adresse CIDR /28. Entrez un bloc par ligne. Si vous les omettez, Firewall Manager choisit pour vous les adresses IP parmi celles disponibles dans les VPC.

          Note

          La correction automatique s'effectue automatiquement pour les politiques de AWS Firewall Manager Network Firewall. Vous ne verrez donc pas d'option vous permettant de ne pas procéder à la correction automatique ici.

      • Configuration automatique des points de terminaison : Firewall Manager crée automatiquement des points de terminaison de pare-feu dans les zones de disponibilité avec des sous-réseaux publics dans votre VPC.

        • Pour la configuration des points de terminaison du pare-feu, spécifiez la manière dont vous souhaitez que les points de terminaison du pare-feu soient gérés par Firewall Manager. Nous vous recommandons d'utiliser plusieurs points de terminaison pour une haute disponibilité.

    • Si vous utilisez un type de gestion de pare-feu centralisé, dans Configuration du point de AWS Firewall Manager terminaison sous Configuration du VPC d'inspection, entrez l'ID de AWS compte du propriétaire du VPC d'inspection et l'ID VPC du VPC d'inspection.

      • Sous Zones de disponibilité, sélectionnez les zones de disponibilité dans lesquelles créer des points de terminaison de pare-feu. Vous pouvez sélectionner des zones de disponibilité par nom de zone de disponibilité ou par ID de zone de disponibilité.

      • Si vous souhaitez fournir les blocs d'adresse CIDR que Firewall Manager utilisera pour les sous-réseaux de pare-feu de vos VPC, ils doivent tous être des blocs d'adresse CIDR /28. Entrez un bloc par ligne. Si vous les omettez, Firewall Manager choisit pour vous les adresses IP parmi celles disponibles dans les VPC.

        Note

        La correction automatique s'effectue automatiquement pour les politiques de AWS Firewall Manager Network Firewall. Vous ne verrez donc pas d'option vous permettant de ne pas procéder à la correction automatique ici.

    • Si vous utilisez un type de gestion de pare-feu d'importation de pare-feux existants, dans Ensembles de ressources, ajoutez un ou plusieurs ensembles de ressources. Un ensemble de ressources définit les pare-feux Network Firewall existants appartenant au compte de votre entreprise que vous souhaitez gérer de manière centralisée dans le cadre de cette politique. Pour ajouter un ensemble de ressources à la politique, vous devez d'abord créer un ensemble de ressources à l'aide de la console ou de l'PutResourceSetAPI. Pour plus d'informations sur les ensembles de ressources, consultezUtilisation des ensembles de ressources dans Firewall Manager. Pour plus d'informations sur l'importation de pare-feux existants depuis Network Firewall, voir Importer des pare-feux existants.

  12. Choisissez Suivant.

  13. Si votre politique utilise un type de gestion de pare-feu distribué, sous Gestion des itinéraires, choisissez si Firewall Manager surveillera et alertera sur le trafic qui doit être acheminé via les points de terminaison du pare-feu respectifs.

    Note

    Si vous choisissez Moniteur, vous ne pourrez pas modifier le paramètre sur Désactivé ultérieurement. La surveillance se poursuit jusqu'à ce que vous supprimiez la politique.

  14. Pour le type de trafic, ajoutez éventuellement les points de terminaison du trafic par lesquels vous souhaitez acheminer le trafic pour l'inspection du pare-feu.

  15. Pour Autoriser le trafic inter-AZ requis, si vous activez cette option, Firewall Manager considère comme conforme le routage qui envoie le trafic hors d'une zone de disponibilité pour inspection, pour les zones de disponibilité qui ne disposent pas de leur propre point de terminaison de pare-feu. Les zones de disponibilité dotées de points de terminaison doivent toujours inspecter leur propre trafic.

  16. Choisissez Suivant.

  17. Pour le champ d'application de la politique, dans le cadre de Comptes AWS cette politique s'applique à, choisissez l'option suivante :

    • Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, laissez la sélection par défaut, Inclure tous les comptes de mon AWS organisation.

    • Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles (UO) spécifiques, choisissez Inclure uniquement les comptes et unités organisationnelles spécifiés, puis ajoutez les comptes et les UO que vous souhaitez inclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    • Si vous souhaitez appliquer la politique à tous les comptes ou unités d' AWS Organizations organisation (UO) à l'exception d'un ensemble spécifique, choisissez Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres, puis ajoutez les comptes et les unités d'organisation que vous souhaitez exclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    Vous ne pouvez choisir qu'une des options.

    Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'une de ses unités d'organisation secondaires, Firewall Manager applique automatiquement la politique au nouveau compte.

  18. Le type de ressource pour les politiques Network Firewall est VPC.

  19. Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

    Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

    Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

  20. Choisissez Suivant.

  21. Pour les balises de stratégie, ajoutez les balises d'identification que vous souhaitez ajouter à la ressource de politique de Firewall Manager. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

  22. Choisissez Suivant.

  23. Passez en revue les nouveaux paramètres de politique et revenez à toutes les pages où vous devez apporter des modifications.

    Lorsque vous êtes satisfait de la politique, choisissez Créer une politique. Dans le volet AWS Firewall Manager des politiques, votre politique doit être répertoriée. Il indiquera probablement En attente sous les en-têtes des comptes et indiquera l'état du paramètre de correction automatique. La création d'une stratégie peut prendre plusieurs minutes. Une fois que le statut Pending (En attente) est remplacé par le nombre de comptes, vous pouvez choisir le nom de la stratégie pour examiner le statut de conformité des comptes et des ressources. Pour plus d'informations, veuillez consulter Afficher les informations de conformité d'une AWS Firewall Manager politique

Création d'une AWS Firewall Manager politique pour le pare-feu DNS Amazon Route 53 Resolver

Dans une politique de pare-feu DNS Firewall Manager, vous utilisez des groupes de règles que vous gérez dans Amazon Route 53 Resolver DNS Firewall. Pour plus d'informations sur la gestion de vos groupes de règles, consultez la section Gestion des groupes de règles et des règles dans le pare-feu DNS dans le manuel Amazon Route 53 Developer Guide.

Pour plus d'informations sur les politiques de pare-feu DNS de Firewall Manager, consultezPolitiques de pare-feu DNS d'Amazon Route 53 Resolver.

Pour créer une politique Firewall Manager pour Amazon Route 53 Resolver DNS Firewall (console)

  1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  2. Dans le volet de navigation, sélectionnez Stratégies de sécurité.

  3. Choisissez Créer une politique.

  4. Pour le type de politique, choisissez le pare-feu Amazon Route 53 Resolver DNS.

  5. Pour Région, choisissez un Région AWS. Pour protéger les ressources de plusieurs régions, vous devez créer des politiques distinctes pour chaque région.

  6. Choisissez Suivant.

  7. Dans Nom de la politique, entrez un nom descriptif.

  8. Dans la configuration des politiques, ajoutez les groupes de règles que vous souhaitez que DNS Firewall évalue en premier et en dernier parmi les associations de groupes de règles de vos VPC. Vous pouvez ajouter jusqu'à deux groupes de règles à la politique.

    Lorsque vous créez la politique de pare-feu DNS de Firewall Manager, Firewall Manager crée les associations de groupes de règles, avec les priorités d'association que vous avez fournies, pour les VPC et les comptes concernés. Les responsables de comptes individuels peuvent ajouter des associations de groupes de règles entre votre première et votre dernière association, mais ils ne peuvent pas modifier les associations que vous définissez ici. Pour plus d’informations, consultez Politiques de pare-feu DNS d'Amazon Route 53 Resolver.

  9. Choisissez Suivant.

  10. Pour Comptes AWS que cette politique s'applique à, choisissez l'option suivante :

    • Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, laissez la sélection par défaut, Inclure tous les comptes de mon AWS organisation.

    • Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles (UO) spécifiques, choisissez Inclure uniquement les comptes et unités organisationnelles spécifiés, puis ajoutez les comptes et les UO que vous souhaitez inclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    • Si vous souhaitez appliquer la politique à tous les comptes ou unités d' AWS Organizations organisation (UO) à l'exception d'un ensemble spécifique, choisissez Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres, puis ajoutez les comptes et les unités d'organisation que vous souhaitez exclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    Vous ne pouvez choisir qu'une des options.

    Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'une de ses unités d'organisation secondaires, Firewall Manager applique automatiquement la politique au nouveau compte.

  11. Le type de ressource pour les politiques de pare-feu DNS est VPC.

  12. Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

    Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

    Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

  13. Choisissez Suivant.

  14. Pour les balises de stratégie, ajoutez les balises d'identification que vous souhaitez ajouter à la ressource de politique de Firewall Manager. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

  15. Choisissez Suivant.

  16. Passez en revue les nouveaux paramètres de politique et revenez à toutes les pages où vous devez apporter des modifications.

    Lorsque vous êtes satisfait de la politique, choisissez Créer une politique. Dans le volet AWS Firewall Manager des politiques, votre politique doit être répertoriée. Il indiquera probablement En attente sous les en-têtes des comptes et indiquera l'état du paramètre de correction automatique. La création d'une stratégie peut prendre plusieurs minutes. Une fois que le statut Pending (En attente) est remplacé par le nombre de comptes, vous pouvez choisir le nom de la stratégie pour examiner le statut de conformité des comptes et des ressources. Pour plus d'informations, veuillez consulter Afficher les informations de conformité d'une AWS Firewall Manager politique

Création d'une AWS Firewall Manager politique pour Palo Alto Networks Cloud NGFW

Avec une politique Firewall Manager pour Palo Alto Networks Cloud Next Generation Firewall (Palo Alto Networks Cloud NGFW), vous utilisez Firewall Manager pour déployer les ressources NGFW de Palo Alto Networks Cloud et gérer les règles NGFW de manière centralisée sur tous vos comptes. AWS

Pour plus d'informations sur les politiques NGFW du Firewall Manager Palo Alto Networks Cloud, consultez. Politiques NGFW de Palo Alto Networks Cloud Pour plus d'informations sur la configuration et la gestion de Palo Alto Networks Cloud NGFW pour Firewall Manager, consultez le Palo Alto Networks Cloud NGFW de Palo Alto Networks dans la documentation. AWS

Prérequis

Il existe plusieurs étapes obligatoires pour préparer votre compte pour AWS Firewall Manager. Ces étapes sont décrites dans AWS Firewall Manager prérequis. Complétez tous les prérequis avant de passer à l'étape suivante.

Pour créer une politique Firewall Manager pour Palo Alto Networks Cloud NGFW (console)

  1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  2. Dans le volet de navigation, sélectionnez Stratégies de sécurité.

  3. Choisissez Créer une politique.

  4. Pour le type de politique, choisissez Palo Alto Networks Cloud NGFW. Si vous n'êtes pas encore abonné au service Palo Alto Networks Cloud NGFW sur AWS Marketplace, vous devez d'abord le faire. Pour vous abonner à la AWS Marketplace, choisissez View AWS Marketplace details.

  5. Pour le modèle de déploiement, choisissez le modèle distribué ou le modèle centralisé. Le modèle de déploiement détermine la manière dont Firewall Manager gère les points de terminaison pour la politique. Avec le modèle distribué, Firewall Manager gère les points de terminaison du pare-feu dans chaque VPC relevant du champ d'application des politiques. Avec le modèle centralisé, Firewall Manager gère un point de terminaison unique dans un VPC d'inspection.

  6. Pour Région, choisissez un Région AWS. Pour protéger les ressources de plusieurs régions, vous devez créer des politiques distinctes pour chaque région.

  7. Choisissez Suivant.

  8. Dans Nom de la politique, entrez un nom descriptif.

  9. Dans la configuration de la politique, choisissez la politique de pare-feu Palo Alto Networks Cloud NGFW à associer à cette politique. La liste des politiques de pare-feu Palo Alto Networks Cloud NGFW contient toutes les politiques de pare-feu Palo Alto Networks Cloud NGFW associées à votre client Palo Alto Networks Cloud NGFW. Pour plus d'informations sur la création et la gestion des politiques de pare-feu NGFW de Palo Alto Networks Cloud, consultez la AWS Firewall Manager rubrique Deploy Palo Alto Networks Cloud NGFW pour AWS le guide de déploiement. AWS

  10. Pour la journalisation NGFW dans le cloud de Palo Alto Networks, vous pouvez éventuellement choisir le ou les types de journaux NGFW de Palo Alto Networks Cloud à enregistrer conformément à votre politique. Pour plus d'informations sur les types de journaux NGFW de Palo Alto Networks Cloud, voir Configurer la journalisation pour Palo Alto Networks Cloud NGFW on AWS dans le guide de déploiement de Palo Alto Networks Cloud NGFW. AWS

    Pour la destination des journaux, spécifiez à quel moment Firewall Manager doit écrire les journaux.

  11. Choisissez Suivant.

  12. Sous Configurer un point de terminaison de pare-feu tiers, effectuez l'une des opérations suivantes, selon que vous utilisez le modèle de déploiement distribué ou centralisé pour créer vos points de terminaison de pare-feu :

    • Si vous utilisez le modèle de déploiement distribué pour cette politique, sous Zones de disponibilité, sélectionnez les zones de disponibilité dans lesquelles créer des points de terminaison de pare-feu. Vous pouvez sélectionner des zones de disponibilité par nom de zone de disponibilité ou par ID de zone de disponibilité.

    • Si vous utilisez le modèle de déploiement centralisé pour cette politique, dans la configuration du point de AWS Firewall Manager terminaison sous Configuration du VPC d'inspection, entrez l'ID de AWS compte du propriétaire du VPC d'inspection et l'ID du VPC d'inspection.

      • Sous Zones de disponibilité, sélectionnez les zones de disponibilité dans lesquelles créer des points de terminaison de pare-feu. Vous pouvez sélectionner des zones de disponibilité par nom de zone de disponibilité ou par ID de zone de disponibilité.

  13. Si vous souhaitez fournir les blocs d'adresse CIDR que Firewall Manager utilisera pour les sous-réseaux de pare-feu de vos VPC, ils doivent tous être des blocs d'adresse CIDR /28. Entrez un bloc par ligne. Si vous les omettez, Firewall Manager choisit pour vous les adresses IP parmi celles disponibles dans les VPC.

    Note

    La correction automatique s'effectue automatiquement pour les politiques de AWS Firewall Manager Network Firewall. Vous ne verrez donc pas d'option vous permettant de ne pas procéder à la correction automatique ici.

  14. Choisissez Suivant.

  15. Pour le champ d'application de la politique, dans le cadre de Comptes AWS cette politique s'applique à, choisissez l'option suivante :

    • Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, laissez la sélection par défaut, Inclure tous les comptes de mon AWS organisation.

    • Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles (UO) spécifiques, choisissez Inclure uniquement les comptes et unités organisationnelles spécifiés, puis ajoutez les comptes et les UO que vous souhaitez inclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    • Si vous souhaitez appliquer la politique à tous les comptes ou unités d' AWS Organizations organisation (UO) à l'exception d'un ensemble spécifique, choisissez Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres, puis ajoutez les comptes et les unités d'organisation que vous souhaitez exclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    Vous ne pouvez choisir qu'une des options.

    Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'une de ses unités d'organisation secondaires, Firewall Manager applique automatiquement la politique au nouveau compte.

  16. Le type de ressource pour les politiques Network Firewall est VPC.

  17. Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

    Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

    Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

  18. Pour accorder un accès entre comptes, choisissez Télécharger le AWS CloudFormation modèle. Cela télécharge un AWS CloudFormation modèle que vous pouvez utiliser pour créer une AWS CloudFormation pile. Cette pile crée un AWS Identity and Access Management rôle qui accorde à Firewall Manager des autorisations inter-comptes pour gérer les ressources NGFW Cloud de Palo Alto Networks. Pour plus d'informations sur les piles, reportez-vous à la section Utilisation des piles dans le Guide de l'AWS CloudFormation utilisateur.

  19. Choisissez Suivant.

  20. Pour les balises de stratégie, ajoutez les balises d'identification que vous souhaitez ajouter à la ressource de politique de Firewall Manager. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

  21. Choisissez Suivant.

  22. Passez en revue les nouveaux paramètres de politique et revenez à toutes les pages où vous devez apporter des modifications.

    Lorsque vous êtes satisfait de la politique, choisissez Créer une politique. Dans le volet AWS Firewall Manager des politiques, votre politique doit être répertoriée. Il indiquera probablement En attente sous les en-têtes des comptes et indiquera l'état du paramètre de correction automatique. La création d'une stratégie peut prendre plusieurs minutes. Une fois que le statut Pending (En attente) est remplacé par le nombre de comptes, vous pouvez choisir le nom de la stratégie pour examiner le statut de conformité des comptes et des ressources. Pour plus d'informations, veuillez consulter Afficher les informations de conformité d'une AWS Firewall Manager politique

Création d'une AWS Firewall Manager politique pour Fortigate Cloud Native Firewall (CNF) en tant que service

Avec une politique Firewall Manager pour Fortigate CNF, vous pouvez utiliser Firewall Manager pour déployer et gérer les ressources Fortigate CNF sur l'ensemble de vos comptes. AWS

Pour plus d'informations sur les politiques CNF de Firewall Manager Fortigate, consultez. Politiques de pare-feu natif du cloud (CNF) de Fortigate en tant que service Pour plus d'informations sur la configuration de Fortigate CNF pour une utilisation avec Firewall Manager, consultez la documentation Fortinet.

Prérequis

Il existe plusieurs étapes obligatoires pour préparer votre compte pour AWS Firewall Manager. Ces étapes sont décrites dans AWS Firewall Manager prérequis. Complétez tous les prérequis avant de passer à l'étape suivante.

Pour créer une politique Firewall Manager pour Fortigate CNF (console)

  1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  2. Dans le volet de navigation, sélectionnez Stratégies de sécurité.

  3. Choisissez Créer une politique.

  4. Pour le type de politique, choisissez Fortigate Cloud Native Firewall (CNF) en tant que service. Si vous n'êtes pas encore abonné au service Fortigate CNF sur le AWS Marketplace, vous devez d'abord le faire. Pour vous abonner à la AWS Marketplace, choisissez View AWS Marketplace details.

  5. Pour le modèle de déploiement, choisissez le modèle distribué ou le modèle centralisé. Le modèle de déploiement détermine la manière dont Firewall Manager gère les points de terminaison pour la politique. Avec le modèle distribué, Firewall Manager gère les points de terminaison du pare-feu dans chaque VPC relevant du champ d'application des politiques. Avec le modèle centralisé, Firewall Manager gère un point de terminaison unique dans un VPC d'inspection.

  6. Pour Région, choisissez un Région AWS. Pour protéger les ressources de plusieurs régions, vous devez créer des politiques distinctes pour chaque région.

  7. Choisissez Suivant.

  8. Dans Nom de la politique, entrez un nom descriptif.

  9. Dans la configuration de la politique, choisissez la politique de pare-feu Fortigate CNF à associer à cette politique. La liste des politiques de pare-feu Fortigate CNF contient toutes les politiques de pare-feu Fortigate CNF associées à votre client Fortigate CNF. Pour plus d'informations sur la création et la gestion de locataires Fortigate CNF, consultez la documentation Fortinet.

  10. Choisissez Suivant.

  11. Sous Configurer un point de terminaison de pare-feu tiers, effectuez l'une des opérations suivantes, selon que vous utilisez le modèle de déploiement distribué ou centralisé pour créer vos points de terminaison de pare-feu :

    • Si vous utilisez le modèle de déploiement distribué pour cette politique, sous Zones de disponibilité, sélectionnez les zones de disponibilité dans lesquelles créer des points de terminaison de pare-feu. Vous pouvez sélectionner des zones de disponibilité par nom de zone de disponibilité ou par ID de zone de disponibilité.

    • Si vous utilisez le modèle de déploiement centralisé pour cette politique, dans la configuration du point de AWS Firewall Manager terminaison sous Configuration du VPC d'inspection, entrez l'ID de AWS compte du propriétaire du VPC d'inspection et l'ID du VPC d'inspection.

      • Sous Zones de disponibilité, sélectionnez les zones de disponibilité dans lesquelles créer des points de terminaison de pare-feu. Vous pouvez sélectionner des zones de disponibilité par nom de zone de disponibilité ou par ID de zone de disponibilité.

  12. Si vous souhaitez fournir les blocs d'adresse CIDR que Firewall Manager utilisera pour les sous-réseaux de pare-feu de vos VPC, ils doivent tous être des blocs d'adresse CIDR /28. Entrez un bloc par ligne. Si vous les omettez, Firewall Manager choisit pour vous les adresses IP parmi celles disponibles dans les VPC.

    Note

    La correction automatique s'effectue automatiquement pour les politiques de AWS Firewall Manager Network Firewall. Vous ne verrez donc pas d'option vous permettant de ne pas procéder à la correction automatique ici.

  13. Choisissez Suivant.

  14. Pour le champ d'application de la politique, dans le cadre de Comptes AWS cette politique s'applique à, choisissez l'option suivante :

    • Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, laissez la sélection par défaut, Inclure tous les comptes de mon AWS organisation.

    • Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles (UO) spécifiques, choisissez Inclure uniquement les comptes et unités organisationnelles spécifiés, puis ajoutez les comptes et les UO que vous souhaitez inclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    • Si vous souhaitez appliquer la politique à tous les comptes ou unités d' AWS Organizations organisation (UO) à l'exception d'un ensemble spécifique, choisissez Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres, puis ajoutez les comptes et les unités d'organisation que vous souhaitez exclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    Vous ne pouvez choisir qu'une des options.

    Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'une de ses unités d'organisation secondaires, Firewall Manager applique automatiquement la politique au nouveau compte.

  15. Le type de ressource pour les politiques Network Firewall est VPC.

  16. Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

    Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

    Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

  17. Pour accorder un accès entre comptes, choisissez Télécharger le AWS CloudFormation modèle. Cela télécharge un AWS CloudFormation modèle que vous pouvez utiliser pour créer une AWS CloudFormation pile. Cette pile crée un AWS Identity and Access Management rôle qui accorde à Firewall Manager des autorisations entre comptes pour gérer les ressources Fortigate CNF. Pour plus d'informations sur les piles, reportez-vous à la section Utilisation des piles dans le Guide de l'AWS CloudFormation utilisateur. Pour créer une pile, vous aurez besoin de l'identifiant de compte du portail Fortigate CNF.

  18. Choisissez Suivant.

  19. Pour les balises de stratégie, ajoutez les balises d'identification que vous souhaitez ajouter à la ressource de politique de Firewall Manager. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

  20. Choisissez Suivant.

  21. Passez en revue les nouveaux paramètres de politique et revenez à toutes les pages où vous devez apporter des modifications.

    Lorsque vous êtes satisfait de la politique, choisissez Créer une politique. Dans le volet AWS Firewall Manager des politiques, votre politique doit être répertoriée. Il indiquera probablement En attente sous les en-têtes des comptes et indiquera l'état du paramètre de correction automatique. La création d'une stratégie peut prendre plusieurs minutes. Une fois que le statut Pending (En attente) est remplacé par le nombre de comptes, vous pouvez choisir le nom de la stratégie pour examiner le statut de conformité des comptes et des ressources. Pour plus d'informations, veuillez consulter Afficher les informations de conformité d'une AWS Firewall Manager politique