**Présentation d'une nouvelle expérience de console pour AWS WAF**

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section [Utilisation de la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Création d'une AWS Firewall Manager politique
<a name="create-policy"></a>

Les étapes de création d'une stratégie varient selon le type de stratégie. Assurez-vous d'utiliser la procédure correspondant au type de stratégie dont vous avez besoin.

**Important**  
AWS Firewall Manager ne prend pas en charge Amazon Route 53 ou AWS Global Accelerator. Si vous souhaitez protéger ces ressources avec Shield Advanced, vous ne pouvez pas utiliser une politique de Firewall Manager. Au lieu de cela, suivez les instructions de [Ajouter AWS Shield Advanced une protection aux AWS ressources](configure-new-protection.md). 

**Topics**
+ [Création d'une AWS Firewall Manager politique pour AWS WAF](#creating-firewall-manager-policy-for-waf)
+ [Création d'une AWS Firewall Manager politique pour AWS WAF Classic](#creating-firewall-manager-policy-for-classic-waf)
+ [Création d'une AWS Firewall Manager politique pour AWS Shield Advanced](#creating-firewall-manager-policy-for-shield-advanced)
+ [Création d'une politique de groupe de sécurité AWS Firewall Manager commune](#creating-firewall-manager-policy-common-security-group)
+ [Création d'une politique de groupe de sécurité pour l'audit de AWS Firewall Manager contenu](#creating-firewall-manager-policy-audit-security-group)
+ [Création d'une politique de groupe de sécurité pour les audits d' AWS Firewall Manager utilisation](#creating-firewall-manager-policy-usage-security-group)
+ [Création d'une politique ACL AWS Firewall Manager réseau](#creating-firewall-manager-policy-network-acl)
+ [Création d'une AWS Firewall Manager politique pour AWS Network Firewall](#creating-firewall-manager-policy-for-network-firewall)
+ [Création d'une AWS Firewall Manager politique pour le pare-feu DNS Amazon Route 53 Resolver](#creating-firewall-manager-policy-for-dns-firewall)
+ [Création d'une AWS Firewall Manager politique pour Palo Alto Networks Cloud NGFW](#creating-cloud-ngfw-policy)
+ [Création d'une AWS Firewall Manager politique pour Fortigate Cloud Native Firewall (CNF) en tant que service](#creating-fortigate-cnf-policy)

## Création d'une AWS Firewall Manager politique pour AWS WAF
<a name="creating-firewall-manager-policy-for-waf"></a>

Dans une AWS WAF politique de Firewall Manager, vous pouvez utiliser des groupes de règles gérés, AWS que AWS Marketplace les vendeurs créent et gèrent pour vous. Vous pouvez également créer et utiliser vos propres groupes de règles. Pour de plus amples informations sur les groupes de correctifs, veuillez consulter [AWS WAF groupes de règles](waf-rule-groups.md).

Si vous souhaitez utiliser vos propres groupes de règles, créez-les avant de créer votre AWS WAF politique Firewall Manager. Pour de plus amples informations, consultez [Gestion de vos propres groupes de règles](waf-user-created-rule-groups.md). Pour utiliser une règle personnalisée individuelle, vous devez définir votre propre groupe de règles, définir votre règle à l'intérieur de celui-ci, puis utiliser le groupe de règles dans votre stratégie.

Pour plus d'informations sur les AWS WAF politiques de Firewall Manager, consultez[Utilisation AWS WAF de politiques avec Firewall Manager](waf-policies.md).

**Pour créer une politique Firewall Manager pour AWS WAF (console)**

1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adresse[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).
**Note**  
Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).

1. Dans le volet de navigation, sélectionnez **Stratégies de sécurité**.

1. Choisissez **Create Policy** (Créer une politique).

1. Pour **Policy type (Type de stratégie)**, choisissez **AWS WAF**. 

1. Pour **Région**, choisissez un Région AWS. Pour protéger les CloudFront distributions Amazon, choisissez **Global**.

   Pour protéger les ressources dans plusieurs régions (autres que les CloudFront distributions), vous devez créer des politiques Firewall Manager distinctes pour chaque région.

1. Choisissez **Suivant**.

1. Dans **Nom de la politique**, entrez un nom descriptif. Firewall Manager inclut le nom de la politique dans les noms du site Web ACLs qu'il gère. Les noms des ACL Web sont `FMManagedWebACLV2-` suivis du nom de la politique que vous entrez ici et de l'horodatage de création des ACL Web, en millisecondes UTC. `-` Par exemple, `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`.

1. Pour l'**inspection du corps d'une demande Web**, modifiez éventuellement la limite de taille du corps. Pour plus d'informations sur les limites de taille pour l'inspection des carrosseries, y compris les considérations tarifaires, consultez [Considérations relatives à la gestion de l'inspection corporelle dans AWS WAF](web-acl-setting-body-inspection-limit.md) le *guide du AWS WAF développeur*.

1. Sous **Règles de politique**, ajoutez les groupes de règles que vous AWS WAF souhaitez évaluer en premier et en dernier dans l'ACL Web. Pour utiliser le contrôle de version de groupes de règles AWS WAF gérés, activez l'option **Activer** le contrôle de version. Les gestionnaires de comptes individuels peuvent ajouter des règles et des groupes de règles entre vos premiers groupes de règles et vos derniers groupes de règles. Pour plus d'informations sur l'utilisation de groupes de AWS WAF règles dans les politiques de Firewall Manager pour AWS WAF, consultez[Utilisation AWS WAF de politiques avec Firewall Manager](waf-policies.md).

   (Facultatif) Pour personnaliser la façon dont votre ACL Web utilise le groupe de règles, choisissez **Modifier**. Les paramètres de personnalisation courants sont les suivants : 
   + Pour les groupes de règles gérés, remplacez les actions des règles pour certaines ou toutes les règles. Si vous ne définissez pas d'action de remplacement pour une règle, l'évaluation utilise l'action de règle définie au sein du groupe de règles. Pour plus d'informations sur cette option, consultez [Remplacer les actions du groupe de règles dans AWS WAF](web-acl-rule-group-override-options.md) le *guide du AWS WAF développeur*. 
   + Certains groupes de règles gérés nécessitent que vous fournissiez une configuration supplémentaire. Consultez la documentation de votre fournisseur de groupes de règles gérés. Pour obtenir des informations spécifiques aux groupes de règles AWS gérées, consultez [AWS Règles gérées pour AWS WAF](aws-managed-rule-groups.md) le *guide du AWS WAF développeur*. 

   Lorsque vous avez terminé de définir vos paramètres, choisissez **Enregistrer la règle**.

1. Définissez l'action par défaut pour la liste ACL web. Il s'agit de l'action AWS entreprise par le WAF lorsqu'une requête Web ne correspond à aucune des règles de l'ACL Web. Vous pouvez ajouter des en-têtes personnalisés avec l'action **Autoriser** ou des réponses personnalisées pour l'action **Bloquer.** Pour plus d'informations sur les actions ACL Web par défaut, consultez[Configuration de l'action par défaut du pack de protection (ACL Web) dans AWS WAF](web-acl-default-action.md). Pour plus d'informations sur la définition de requêtes Web et de réponses personnalisées, consultez[Demandes et réponses Web personnalisées dans AWS WAF](waf-custom-request-response.md).

1. Pour la **configuration de la journalisation**, choisissez **Activer la journalisation** pour activer la journalisation. La journalisation fournit des informations détaillées sur le trafic analysé par votre ACL Web. Choisissez la **destination de journalisation**, puis la destination de journalisation que vous avez configurée. Vous devez choisir une destination de journalisation dont le nom commence par`aws-waf-logs-`. Pour plus d'informations sur la configuration d'une destination de AWS WAF journalisation, consultez[Utilisation AWS WAF de politiques avec Firewall Manager](waf-policies.md).

1. (Facultatif) Si vous ne souhaitez pas que certains champs et leurs valeurs soient inclus dans les journaux, censurez ces champs. Choisissez le champ à censurer, puis choisissez **Ajouter**. Répétez si nécessaire pour censurer des champs supplémentaires. Les champs censurés apparaîtront en tant que `REDACTED` dans les journaux. Par exemple, si vous supprimez le champ **URI**, le champ **URI** des journaux sera`REDACTED`. 

1. (Facultatif) Si vous ne souhaitez pas envoyer toutes les demandes aux journaux, ajoutez vos critères de filtrage et votre comportement. Sous **Filtrer les journaux**, pour chaque filtre que vous souhaitez appliquer, choisissez **Ajouter un filtre**, puis choisissez vos critères de filtrage et indiquez si vous souhaitez conserver ou supprimer les demandes correspondant à ces critères. Lorsque vous avez fini d'ajouter des filtres, modifiez si nécessaire le **comportement de journalisation par défaut**. Pour plus d’informations, consultez [Trouver les enregistrements de votre pack de protection (ACL Web)](logging-management.md) dans le *Guide du développeur AWS WAF *.

1. Vous pouvez définir une **liste de domaines de jetons** pour permettre le partage de jetons entre les applications protégées. Les jetons sont utilisés par les Challenge actions CAPTCHA et par l'intégration d'applications SDKs que vous implémentez lorsque vous utilisez les groupes de règles AWS gérées pour le contrôle des AWS WAF fraudes, la prévention du rachat de compte (ATP) et le contrôle des AWS WAF bots. 

   Les suffixes publics ne sont pas autorisés. Par exemple, vous ne pouvez pas utiliser `gov.au` ou `co.uk` comme domaine de jetons.

   Par défaut, AWS WAF accepte les jetons uniquement pour le domaine de la ressource protégée. Si vous ajoutez des domaines de jetons dans cette liste, AWS WAF les jetons sont acceptés pour tous les domaines de la liste et pour le domaine de la ressource associée. Pour plus d’informations, consultez [AWS WAF configuration de la liste de domaines de jetons du pack de protection (ACL Web)](waf-tokens-domains.md#waf-tokens-domain-lists) dans le *Guide du développeur AWS WAF *.

   Vous ne pouvez modifier le CAPTCHA de l'ACL Web et contester les **temps d'immunité** que lorsque vous modifiez une ACL Web existante. Vous trouverez ces paramètres sur la page de **détails de la politique de** Firewall Manager. Pour plus d'informations sur ces paramètres, consultez [Configuration de l'expiration de l'horodatage et de la durée d'immunité des jetons dans AWS WAF](waf-tokens-immunity-times.md). Si vous mettez à jour les paramètres de **configuration d'association**, de **CAPTCHA**, de **défi** **ou de liste de domaines** dans une politique existante, Firewall Manager remplacera votre site Web local ACLs par les nouvelles valeurs. Toutefois, si vous ne mettez pas à jour les paramètres de **configuration d'association**, de **CAPTCHA**, de **défi** ou de **liste de domaines de jetons** de la politique, les valeurs de votre site Web local ACLs resteront inchangées. Pour plus d'informations sur cette option, consultez [CAPTCHAet Challenge dans AWS WAF](waf-captcha-and-challenge.md) le *guide du AWS WAF développeur*. 

1. Sous **Gestion des ACL Web**, choisissez la manière dont Firewall Manager gère la création et le nettoyage des ACL Web. 

   1. Pour **Gérer le Web non associé ACLs**, indiquez si Firewall Manager gère le Web non associé. ACLs Avec cette option, Firewall Manager crée un site Web ACLs pour les comptes concernés par la politique uniquement si le Web ACLs doit être utilisé par au moins une ressource. Lorsqu'un compte entre dans le champ d'application de la politique, Firewall Manager crée automatiquement une ACL Web dans le compte si au moins une ressource l'utilise. 

      Lorsque vous activez cette option, Firewall Manager effectue un nettoyage unique des sites Web non associés de votre ACLs compte. Le processus de nettoyage peut prendre plusieurs heures. Si une ressource quitte le champ d'application de la politique après que Firewall Manager a créé une ACL Web, Firewall Manager dissocie la ressource de l'ACL Web, mais ne nettoie pas l'ACL Web non associée. Firewall Manager nettoie le Web non associé uniquement ACLs lorsque vous activez pour la première fois la gestion du Web non associé ACLs dans la politique.

   1. Pour la **source Web ACL**, spécifiez si vous souhaitez créer un nouveau site Web ACLs pour les ressources incluses dans le champ d'application ou si vous souhaitez moderniser le site Web existant dans la mesure du ACLs possible. Firewall Manager peut adapter les sites Web ACLs détenus par des comptes concernés.

      Le comportement par défaut consiste à créer un tout nouveau site Web ACLs. Si vous choisissez cette option, tous les sites Web ACLs gérés par Firewall Manager porteront un nom commençant par`FMManagedWebACLV2`. Si vous choisissez de moderniser le site Web existant ACLs, le site Web mis à niveau ACLs portera son nom d'origine et ceux créés par Firewall Manager porteront un nom commençant par. `FMManagedWebACLV2` 

1. Pour l'**action stratégique**, si vous souhaitez créer une ACL Web dans chaque compte applicable au sein de l'organisation, mais ne pas encore appliquer l'ACL Web à aucune ressource, choisissez **Identifier les ressources qui ne sont pas conformes aux règles de politique, mais ne corrigez pas automatiquement** et ne choisissez pas **Gérer le Web non associé**. ACLs Vous pourrez modifier ces options ultérieurement.

   Si vous souhaitez plutôt appliquer automatiquement la stratégie aux ressources concernées existantes, choisissez **Auto remediate any noncompliant resources (Corriger automatiquement les ressources non conformes)**. Si **Gérer le Web non associé ACLs** est désactivée, l'option **Corriger automatiquement les ressources non conformes** crée une ACL Web dans chaque compte applicable au sein de l'organisation et associe l'ACL Web aux ressources des comptes. Si **Gérer le site Web non associé ACLs** est activé, l'option **Corriger automatiquement les ressources non conformes** crée et associe uniquement une ACL Web aux comptes dont les ressources peuvent être associées à l'ACL Web.

   Lorsque vous choisissez **Corriger automatiquement les ressources non conformes**, vous pouvez également choisir de supprimer les associations ACL Web existantes des ressources concernées, pour le Web ACLs qui ne sont pas gérés par une autre politique active de Firewall Manager. Si vous choisissez cette option, Firewall Manager associe d'abord l'ACL Web de la politique aux ressources, puis supprime les associations précédentes. Si une ressource est associée à une autre ACL Web gérée par une autre politique active de Firewall Manager, ce choix n'affecte pas cette association. 

1. Choisissez **Suivant**.

1. Pour **Comptes AWS que cette politique s'applique à**, choisissez l'option suivante : 
   + Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, laissez la sélection par défaut, **Inclure tous les comptes de mon AWS organisation**. 
   + Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles spécifiques (OUs), choisissez **Inclure uniquement les comptes et unités organisationnelles spécifiés**, puis ajoutez les comptes et les comptes OUs que vous souhaitez inclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 
   + Si vous souhaitez appliquer la politique à tous les comptes ou unités AWS Organizations organisationnelles, à l'exception d'un ensemble spécifique (OUs), choisissez **Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres**, puis ajoutez les comptes et OUs ceux que vous souhaitez exclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 

   Vous ne pouvez choisir qu'une des options. 

   Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfants OUs, Firewall Manager applique automatiquement la politique au nouveau compte.

1. Pour **Resource type (Type de ressource)**, choisissez les types de ressources que vous souhaitez protéger.

1. Pour les **ressources**, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises permettant de définir le champ d'application de la politique, consultez[Utilisation du champ d'application AWS Firewall Manager de la politique](policy-scope.md).

   Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur. 

1. Choisissez **Suivant**.

1. Pour les **balises de stratégie**, ajoutez les balises d'identification que vous souhaitez ajouter à la ressource de politique de Firewall Manager. Pour plus d'informations sur les balises, consultez [Utilisation de Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Choisissez **Suivant**.

1. Passez en revue les nouveaux paramètres de politique et revenez à toutes les pages où vous devez apporter des modifications. 

   Lorsque vous êtes satisfait de la politique, choisissez **Créer une politique**. Dans le volet **AWS Firewall Manager des politiques**, votre politique doit être répertoriée. Il indiquera probablement **En attente** sous les en-têtes des comptes et indiquera l'état du paramètre de **correction automatique**. La création d'une stratégie peut prendre plusieurs minutes. Une fois que le statut **Pending (En attente)** est remplacé par le nombre de comptes, vous pouvez choisir le nom de la stratégie pour examiner le statut de conformité des comptes et des ressources. Pour plus d’informations, consultez [Afficher les informations de conformité relatives à une AWS Firewall Manager politique](fms-compliance.md)

## Création d'une AWS Firewall Manager politique pour AWS WAF Classic
<a name="creating-firewall-manager-policy-for-classic-waf"></a>

**Pour créer une politique Firewall Manager pour AWS WAF Classic (console)**

1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adresse[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).
**Note**  
Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).

1. Dans le volet de navigation, sélectionnez **Stratégies de sécurité**.

1. Choisissez **Create Policy** (Créer une politique).

1. Pour **Type de stratégie**, choisissez **AWS WAF Classic**. 

1. Si vous avez déjà créé le groupe de règles AWS WAF classique que vous souhaitez ajouter à la politique, choisissez **Créer une AWS Firewall Manager politique et ajoutez des groupes de règles existants**. Si vous souhaitez créer un nouveau groupe de règles, choisissez **Create a Firewall Manager policy et ajoutez un nouveau groupe de règles**.

1. Pour **Région**, choisissez un Région AWS. Pour protéger les CloudFront ressources Amazon, choisissez **Global**.

   Pour protéger les ressources de plusieurs régions (autres que les CloudFront ressources), vous devez créer des politiques Firewall Manager distinctes pour chaque région.

1. Choisissez **Suivant**.

1. Si vous créez un groupe de règles, suivez les instructions fournies dans [Création d'un groupe de règles AWS WAF classique](classic-create-rule-group.md). Une fois que vous avez créé le groupe de règles, poursuivez avec les étapes suivantes.

1. Entrez un nom de stratégie.

1. Si vous ajoutez un groupe de règles prédéfini, utilisez le menu déroulant pour sélectionner le groupe de règles à ajouter, puis choisissez **Add rule group (Ajouter le groupe de règles)**. 

1. Une stratégie a deux actions possibles : **Action définie par un groupe de règles** et **Nombre**. Si vous souhaitez tester la stratégie et le groupe de règles, définissez l'action sur **Nombre**. Cette action remplace toute *action de blocage* spécifiée par le groupe de règles contenu dans la stratégie. Autrement dit, si l'action de la stratégie est définie sur **Nombre**, ces demandes sont uniquement comptabilisées et ne sont pas bloquées. À l'inverse, si vous définissez l'action de la stratégie sur **Action set by rule group (Action définie par le groupe de règles)**, les actions du groupe de règles de la stratégie sont utilisées. Choisissez l'action appropriée.

1. Choisissez **Suivant**.

1. Pour **Comptes AWS que cette politique s'applique à**, choisissez l'option suivante : 
   + Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, laissez la sélection par défaut, **Inclure tous les comptes de mon AWS organisation**. 
   + Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles spécifiques (OUs), choisissez **Inclure uniquement les comptes et unités organisationnelles spécifiés**, puis ajoutez les comptes et les comptes OUs que vous souhaitez inclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 
   + Si vous souhaitez appliquer la politique à tous les comptes ou unités AWS Organizations organisationnelles, à l'exception d'un ensemble spécifique (OUs), choisissez **Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres**, puis ajoutez les comptes et OUs ceux que vous souhaitez exclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 

   Vous ne pouvez choisir qu'une des options. 

   Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfants OUs, Firewall Manager applique automatiquement la politique au nouveau compte.

1. Choisissez le type de ressource que vous voulez protéger.

1. Pour les **ressources**, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises permettant de définir le champ d'application de la politique, consultez[Utilisation du champ d'application AWS Firewall Manager de la politique](policy-scope.md).

   Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur. 

1. Si vous souhaitez appliquer automatiquement la stratégie à des ressources existantes, choisissez **Créer et appliquer cette stratégie à des ressources existantes et nouvelles**.

   Cette option crée une liste ACL web dans chaque compte applicable dans une organisation AWS et l'associe aux ressources des comptes. Cette option applique également la stratégie à toutes les nouvelles ressources qui correspondent aux précédents critères (type de ressource et balises). Sinon, si vous choisissez **Créer une stratégie, mais ne pas l'appliquer aux ressources existantes ou nouvelles**, Firewall Manager crée une liste ACL web dans chaque compte applicable de l'organisation, mais ne l'applique pas aux ressources. Vous devrez appliquer la stratégie aux ressources ultérieurement. Choisissez l'option appropriée.

1. Pour **Remplacer le site Web associé existant ACLs**, vous pouvez choisir de supprimer toutes les associations ACL Web actuellement définies pour les ressources concernées, puis de les remplacer par des associations vers le Web ACLs que vous créez avec cette politique. Par défaut, Firewall Manager ne supprime pas les associations ACL Web existantes avant d'en ajouter de nouvelles. Si vous souhaitez supprimer les associations existantes, choisissez cette option. 

1. Choisissez **Suivant**.

1. Passez en revue la nouvelle stratégie. Pour effectuer des modifications, sélectionnez **Modifier**. Lorsque vous êtes satisfait de la stratégie, choisissez **Créer et appliquer une stratégie**.

## Création d'une AWS Firewall Manager politique pour AWS Shield Advanced
<a name="creating-firewall-manager-policy-for-shield-advanced"></a>

**Pour créer une politique Firewall Manager pour Shield Advanced (console)**

1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adresse[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).
**Note**  
Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).

1. Dans le volet de navigation, sélectionnez **Stratégies de sécurité**.

1. Choisissez **Create Policy** (Créer une politique).

1. Pour le **type de politique**, choisissez **Shield Advanced**. 

   Pour créer une politique Shield Advanced, vous devez être abonné à Shield Advanced. Si vous n'êtes pas abonné, vous êtes invité à le faire. Pour plus d'informations sur le coût de l'abonnement, consultez la section [AWS Shield Advanced Tarification](https://aws.amazon.com/shield/pricing/). 

1. Pour **Région**, choisissez un Région AWS. Pour protéger les CloudFront distributions Amazon, choisissez **Global**.

   Pour les choix de régions autres que **Global**, afin de protéger les ressources de plusieurs régions, vous devez créer une politique Firewall Manager distincte pour chaque région.

1. Choisissez **Suivant**.

1. Dans **Nom**, entrez un nom descriptif.

1. Pour les politiques régionales **mondiales** uniquement, vous pouvez choisir si vous souhaitez gérer l'atténuation automatique de la couche DDo S de l'application Shield Advanced. Pour plus d'informations sur cette fonctionnalité Shield Advanced, consultez[Automatiser l'atténuation de la couche DDo S de l'application avec Shield Advanced](ddos-automatic-app-layer-response.md).

   Vous pouvez choisir d'activer ou de désactiver l'atténuation automatique, ou de l'ignorer. Si vous choisissez de l'ignorer, Firewall Manager ne gère aucune atténuation automatique pour les protections Shield Advanced. Pour plus d'informations sur ces options de stratégie, consultez[Utilisation de l'atténuation automatique de la couche DDo S de l'application avec les politiques Firewall Manager Shield Advanced](shield-policies-auto-app-layer-mitigation.md).

1. Dans la section **Gestion des ACL Web**, si vous souhaitez que Firewall Manager gère le Web non associé ACLs, activez l'option **Gérer le Web non associé**. ACLs Avec cette option, Firewall Manager crée le Web ACLs dans les comptes concernés par la politique uniquement si le Web ACLs doit être utilisé par au moins une ressource. À tout moment, si un compte entre dans le champ d'application de la politique, Firewall Manager crée automatiquement une ACL Web dans le compte si au moins une ressource utilise l'ACL Web. Lorsque cette option est activée, Firewall Manager effectue un nettoyage unique des sites Web ACLs non associés de votre compte. Le processus de nettoyage peut prendre plusieurs heures. Si une ressource quitte le champ d'application de la politique après que Firewall Manager ait créé une ACL Web, Firewall Manager ne dissociera pas la ressource de l'ACL Web. Pour inclure l'ACL Web dans le nettoyage unique, vous devez d'abord dissocier manuellement les ressources de l'ACL Web, puis activer **Gérer le Web non** associé. ACLs

1. Pour ce **qui est de l'action** stratégique, nous recommandons de créer la politique avec l'option qui ne corrige pas automatiquement les ressources non conformes. Lorsque vous désactivez la correction automatique, vous pouvez évaluer les effets de votre nouvelle politique avant de l'appliquer. Lorsque vous êtes convaincu que les modifications sont conformes à vos attentes, modifiez la politique et modifiez l'action de stratégie pour activer la correction automatique. 

   Si vous souhaitez plutôt appliquer automatiquement la stratégie aux ressources concernées existantes, choisissez **Auto remediate any noncompliant resources (Corriger automatiquement les ressources non conformes)**. Cette option applique les protections Shield Advanced à chaque compte applicable au sein de l' AWS organisation et à chaque ressource applicable dans les comptes.

   Pour les politiques régionales **mondiales** uniquement, si vous choisissez **Corriger automatiquement les ressources non conformes**, vous pouvez également choisir que Firewall Manager remplace automatiquement toutes les associations ACL Web AWS WAF classiques existantes par de nouvelles associations vers le Web ACLs créées à l'aide de la dernière version de AWS WAF (v2). Si vous choisissez cette option, Firewall Manager supprime les associations avec la version Web précédente ACLs et crée de nouvelles associations avec la dernière version Web ACLs, après avoir créé un nouveau site Web vide ACLs dans tous les comptes concernés qui ne les ont pas déjà pour la politique. Pour plus d’informations sur cette option, consultez [Remplacer le Web AWS WAF classique ACLs par la dernière version Web ACLs](shield-policies-auto-app-layer-mitigation.md#shield-policies-auto-app-layer-update-waf-version).

1. Choisissez **Suivant**.

1. Pour **Comptes AWS que cette politique s'applique à**, choisissez l'option suivante : 
   + Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, conservez la sélection par défaut, **Inclure tous les comptes de mon AWS organisation**. 
   + Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles spécifiques (OUs), choisissez **Inclure uniquement les comptes et unités organisationnelles spécifiés**, puis ajoutez les comptes et les comptes OUs que vous souhaitez inclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 
   + Si vous souhaitez appliquer la politique à tous les comptes ou unités AWS Organizations organisationnelles, à l'exception d'un ensemble spécifique (OUs), choisissez **Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres**, puis ajoutez les comptes et OUs ceux que vous souhaitez exclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 

   Vous ne pouvez choisir qu'une des options. 

   Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfants OUs, Firewall Manager applique automatiquement la politique au nouveau compte.

1. Choisissez le type de ressource que vous voulez protéger.

   Firewall Manager ne prend pas en charge Amazon Route 53 ou AWS Global Accelerator. Si vous devez utiliser Shield Advanced pour protéger les ressources de ces services, vous ne pouvez pas utiliser une politique de Firewall Manager. Suivez plutôt les instructions de Shield Advanced à l'adresse[Ajouter AWS Shield Advanced une protection aux AWS ressources](configure-new-protection.md).

1. Pour les **ressources**, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises permettant de définir le champ d'application de la politique, consultez[Utilisation du champ d'application AWS Firewall Manager de la politique](policy-scope.md).

   Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur. 

1. Choisissez **Suivant**. 

1. Pour les **balises de stratégie**, ajoutez les balises d'identification que vous souhaitez ajouter à la ressource de politique de Firewall Manager. Pour plus d'informations sur les balises, consultez [Utilisation de Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Choisissez **Suivant**.

1. Passez en revue les nouveaux paramètres de politique et revenez à toutes les pages où vous devez apporter des modifications. 

   Lorsque vous êtes satisfait de la politique, choisissez **Créer une politique**. Dans le volet **AWS Firewall Manager des politiques**, votre politique doit être répertoriée. Il indiquera probablement **En attente** sous les en-têtes des comptes et indiquera l'état du paramètre de **correction automatique**. La création d'une stratégie peut prendre plusieurs minutes. Une fois que le statut **Pending (En attente)** est remplacé par le nombre de comptes, vous pouvez choisir le nom de la stratégie pour examiner le statut de conformité des comptes et des ressources. Pour plus d’informations, consultez [Afficher les informations de conformité relatives à une AWS Firewall Manager politique](fms-compliance.md)

## Création d'une politique de groupe de sécurité AWS Firewall Manager commune
<a name="creating-firewall-manager-policy-common-security-group"></a>

Pour plus d'informations sur le fonctionnement des stratégies de groupe de sécurité communes, consultez [Utilisation de politiques de groupe de sécurité communes avec Firewall Manager](security-group-policies-common.md).

Pour créer une stratégie de groupe de sécurité commune, vous devez avoir déjà créé un groupe de sécurité dans votre compte administrateur Firewall Manager que vous souhaitez utiliser comme principal pour votre stratégie. Vous pouvez gérer les groupes de sécurité via Amazon Virtual Private Cloud (Amazon VPC) ou Amazon Elastic Compute Cloud (Amazon EC2). Pour plus d'informations, consultez la section [Travailler avec des groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) dans le *guide de l'utilisateur Amazon VPC*. 

**Pour créer une stratégie de groupe de sécurité commune (console)**

1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adresse[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).
**Note**  
Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).

1. Dans le volet de navigation, sélectionnez **Stratégies de sécurité**.

1. Choisissez **Create Policy** (Créer une politique).

1. Pour **Type de stratégie**, choisissez **Groupe de sécurité**. 

1. Pour **Security group policy type (Type de stratégie de groupe de sécurité)**, choisissez **Common security groups (Groupes de sécurité communs)**.

1. Pour **Région**, choisissez un Région AWS. 

1. Choisissez **Suivant**.

1. Pour **Nom de la stratégie**, entrez un nom convivial. 

1. Pour **Règles de stratégie**, procédez comme suit : 

   1. Dans l'option règles, choisissez les restrictions que vous souhaitez appliquer aux règles du groupe de sécurité et aux ressources relevant du champ d'application de la stratégie. Si vous choisissez **Distribuer les balises du groupe de sécurité principal aux groupes de sécurité créés par cette politique**, vous devez également sélectionner **Identifier et signaler lorsque les groupes de sécurité créés par cette politique deviennent non conformes**.
**Important**  
Firewall Manager ne distribuera pas les balises système ajoutées par les AWS services dans les groupes de sécurité répliqués. Les balises système commencent par le préfixe `aws:`. En outre, Firewall Manager ne met pas à jour les balises des groupes de sécurité existants et ne crée pas de nouveaux groupes de sécurité si la politique contient des balises en conflit avec la politique de balises de l'entreprise. Pour plus d'informations sur les politiques relatives aux balises, consultez la section [Politiques relatives aux balises](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) dans le guide de AWS Organizations l'utilisateur.

      Si vous choisissez **Distribuer les références de groupe de sécurité du groupe de sécurité principal aux groupes de sécurité créés par cette politique**, Firewall Manager ne distribue les références de groupe de sécurité que s'ils disposent d'une connexion d'appairage active dans Amazon VPC. Pour de plus amples informations sur cette option, veuillez consulter [Utilisation de politiques de groupe de sécurité communes avec Firewall Manager](security-group-policies-common.md).

   1. Pour les **groupes de sécurité principaux**, choisissez **Ajouter des groupes de sécurité**, puis choisissez les groupes de sécurité que vous souhaitez utiliser. Firewall Manager renseigne la liste des groupes de sécurité de toutes les instances Amazon VPC du compte administrateur de Firewall Manager. 

      Par défaut, le nombre maximum de groupes de sécurité principaux par politique est de 3. Pour plus d’informations sur ce paramètre, consultez [AWS Firewall Manager quotas](fms-limits.md).

   1. Pour **Action de stratégie (Policy action)**, nous vous recommandons de créer la stratégie avec l'option qui n'applique pas la résolution automatique. Cela vous permet d'évaluer les effets de votre nouvelle stratégie avant d'appliquer celle-ci. Lorsque vous êtes convaincu que les modifications correspondent à vos besoins, modifiez la stratégie et modifiez l'action de stratégie pour activer la résolution automatique des ressources non conformes. 

1. Choisissez **Suivant**.

1. Pour **Comptes AWS que cette politique s'applique à**, choisissez l'option suivante : 
   + Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, laissez la sélection par défaut, **Inclure tous les comptes de mon AWS organisation**. 
   + Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles spécifiques (OUs), choisissez **Inclure uniquement les comptes et unités organisationnelles spécifiés**, puis ajoutez les comptes et les comptes OUs que vous souhaitez inclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 
   + Si vous souhaitez appliquer la politique à tous les comptes ou unités AWS Organizations organisationnelles, à l'exception d'un ensemble spécifique (OUs), choisissez **Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres**, puis ajoutez les comptes et OUs ceux que vous souhaitez exclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 

   Vous ne pouvez choisir qu'une des options. 

   Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfants OUs, Firewall Manager applique automatiquement la politique au nouveau compte.

1. Pour **Resource type (Type de ressource)**, choisissez les types de ressources que vous souhaitez protéger. 

   Pour l'**instance EC2** de type de ressource, vous pouvez choisir de corriger toutes les instances Amazon EC2 ou de ne corriger que les instances dotées uniquement de l'interface Elastic Network (ENI) principale par défaut. Pour cette dernière option, Firewall Manager ne corrige pas les instances comportant des pièces jointes ENI supplémentaires. Au lieu de cela, lorsque la correction automatique est activée, Firewall Manager marque uniquement l'état de conformité de ces instances EC2 et n'applique aucune action de correction. Consultez les mises en garde et les limites supplémentaires relatives au type de ressource Amazon EC2 à l'adresse. [Mises en garde et limites relatives à la politique des groupes de sécurité](security-group-policies.md#security-groups-limitations)

1. Pour les **ressources**, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises permettant de définir le champ d'application de la politique, consultez[Utilisation du champ d'application AWS Firewall Manager de la politique](policy-scope.md).

   Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur. 

1. Pour les **ressources VPC partagées**, si vous souhaitez appliquer la politique aux ressources partagées VPCs, en plus de celles VPCs que possèdent les comptes, sélectionnez **Inclure les ressources provenant du** partage. VPCs 

1. Choisissez **Suivant**.

1. Vérifiez les paramètres de stratégie pour vous assurer qu'ils vous conviennent, puis choisissez **Créer une stratégie**.

Firewall Manager crée une réplique du groupe de sécurité principal dans chaque instance Amazon VPC contenue dans les comptes concernés, dans la limite du quota maximum d'Amazon VPC pris en charge par compte. Firewall Manager associe les répliques de groupes de sécurité aux ressources relevant du champ d'application de la politique pour chaque compte concerné. Pour en savoir plus sur le fonctionnement de cette stratégie, consultez [Utilisation de politiques de groupe de sécurité communes avec Firewall Manager](security-group-policies-common.md).

## Création d'une politique de groupe de sécurité pour l'audit de AWS Firewall Manager contenu
<a name="creating-firewall-manager-policy-audit-security-group"></a>

Pour plus d'informations sur le fonctionnement des stratégies de groupe de sécurité d'audit de contenu, consultez [Utilisation de politiques de groupe de sécurité pour l'audit de contenu avec Firewall Manager](security-group-policies-audit.md). 

Pour certains paramètres de stratégie d'audit de contenu, vous devez fournir un groupe de sécurité d'audit que Firewall Manager pourra utiliser comme modèle. Par exemple, vous pouvez avoir un groupe de sécurité d'audit qui contient toutes les règles que vous n'autorisez dans aucun des groupes de sécurité. Vous devez créer ces groupes de sécurité d'audit à l'aide de votre compte administrateur Firewall Manager avant de pouvoir les utiliser dans votre politique. Vous pouvez gérer les groupes de sécurité via Amazon Virtual Private Cloud (Amazon VPC) ou Amazon Elastic Compute Cloud (Amazon EC2). Pour plus d'informations, consultez la section [Travailler avec des groupes de sécurité](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) dans le *guide de l'utilisateur Amazon VPC*. 

**Pour créer une stratégie de groupe de sécurité d'audit de contenu (console)**

1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adresse[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).
**Note**  
Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).

1. Dans le volet de navigation, sélectionnez **Stratégies de sécurité**.

1. Choisissez **Create Policy** (Créer une politique).

1. Pour **Type de stratégie**, choisissez **Groupe de sécurité**. 

1. Pour **Security group policy type (Type de stratégie de groupe de sécurité)**, choisissez **Auditing and enforcement of security group rules (Audit et application de règles de groupe de sécurité)**.

1. Pour **Région**, choisissez un Région AWS. 

1. Choisissez **Suivant**.

1. Pour **Nom de la stratégie**, entrez un nom convivial. 

1. Pour les **règles de stratégie**, choisissez l'option de règles de stratégie gérées ou personnalisées que vous souhaitez utiliser. 

   1. Pour **Configurer les règles de politique d'audit gérées**, procédez comme suit : 

      1. Pour **Configurer les règles de groupe de sécurité à auditer**, sélectionnez le type de règles de groupe de sécurité auquel vous souhaitez que votre politique d'audit s'applique. 

      1. Si vous souhaitez notamment appliquer des règles d'audit basées sur les protocoles, les ports et les paramètres de plage d'adresses CIDR de vos groupes de sécurité, choisissez **Auditer les règles de groupe de sécurité trop permissives** et sélectionnez les options souhaitées. 

         Pour la sélection La **règle autorise tout le trafic**, vous pouvez fournir une liste d'applications personnalisée pour désigner les applications que vous souhaitez auditer. Pour plus d'informations sur les listes d'applications personnalisées et sur la façon de les utiliser dans votre politique, consultez [Utilisation de listes gérées](working-with-managed-lists.md) et[Utilisation de listes gérées](working-with-managed-lists.md#using-managed-lists).

         Pour les sélections utilisant des listes de protocoles, vous pouvez utiliser des listes existantes et créer de nouvelles listes. Pour plus d'informations sur les listes de protocoles et sur leur utilisation dans votre politique, reportez-vous aux sections [Utilisation de listes gérées](working-with-managed-lists.md) et[Utilisation de listes gérées](working-with-managed-lists.md#using-managed-lists).

      1. Si vous souhaitez auditer les applications à haut risque en fonction de leur accès à des plages CIDR réservées ou non réservées, choisissez **Auditer les applications à haut risque** et sélectionnez les options souhaitées. 

         Les sélections suivantes s'excluent mutuellement : **applications qui peuvent accéder uniquement aux plages d'adresses CIDR réservées et applications autorisées à accéder aux plages** **d'adresses CIDR non réservées.** Vous pouvez sélectionner au plus l'un d'entre eux dans n'importe quelle politique.

         Pour les sélections utilisant des listes d'applications, vous pouvez utiliser des listes existantes et créer de nouvelles listes. Pour plus d'informations sur les listes d'applications et sur la façon de les utiliser dans votre politique, consultez [Utilisation de listes gérées](working-with-managed-lists.md) et[Utilisation de listes gérées](working-with-managed-lists.md#using-managed-lists).

      1. Utilisez les paramètres de **remplacement** pour remplacer explicitement les autres paramètres de la politique. Vous pouvez choisir de toujours autoriser ou de toujours refuser des règles de groupe de sécurité spécifiques, qu'elles soient conformes ou non aux autres options que vous avez définies pour la politique. 

         Pour cette option, vous devez fournir un groupe de sécurité d'audit en tant que modèle de règles autorisées ou de règles refusées. Pour **Auditer les groupes de sécurité**, choisissez **Ajouter des groupes de sécurité d'audit**, puis choisissez le groupe de sécurité que vous souhaitez utiliser. Firewall Manager renseigne la liste des groupes de sécurité d'audit à partir de toutes les instances Amazon VPC du compte administrateur de Firewall Manager. Le quota maximal par défaut pour le nombre de groupes de sécurité d'audit pour une stratégie est égal à un (1). Pour de plus amples informations sur l'augmentation du quota, consultez [AWS Firewall Manager quotas](fms-limits.md).

   1. Pour **Configurer des règles de politique personnalisées**, procédez comme suit : 

      1. Dans les options de règles, choisissez d'autoriser uniquement les règles définies dans les groupes de sécurité d'audit ou de refuser toutes les règles. Pour de plus amples informations sur ce choix, consultez [Utilisation de politiques de groupe de sécurité pour l'audit de contenu avec Firewall Manager](security-group-policies-audit.md). 

      1. Pour **Auditer les groupes de sécurité**, choisissez **Ajouter des groupes de sécurité d'audit**, puis choisissez le groupe de sécurité que vous souhaitez utiliser. Firewall Manager renseigne la liste des groupes de sécurité d'audit à partir de toutes les instances Amazon VPC du compte administrateur de Firewall Manager. Le quota maximal par défaut pour le nombre de groupes de sécurité d'audit pour une stratégie est égal à un (1). Pour de plus amples informations sur l'augmentation du quota, consultez [AWS Firewall Manager quotas](fms-limits.md).

      1. Pour **Action de stratégie (Policy action)**, vous devez créer la stratégie avec l'option qui n'applique pas la résolution automatique. Cela vous permet d'évaluer les effets de votre nouvelle stratégie avant d'appliquer celle-ci. Lorsque vous êtes convaincu que les modifications correspondent à vos souhaits, modifiez la stratégie et modifiez l'action de stratégie pour activer la résolution automatique des ressources non conformes. 

1. Choisissez **Suivant**.

1. Pour **Comptes AWS que cette politique s'applique à**, choisissez l'option suivante : 
   + Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, laissez la sélection par défaut, **Inclure tous les comptes de mon AWS organisation**. 
   + Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles spécifiques (OUs), choisissez **Inclure uniquement les comptes et unités organisationnelles spécifiés**, puis ajoutez les comptes et les comptes OUs que vous souhaitez inclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 
   + Si vous souhaitez appliquer la politique à tous les comptes ou unités AWS Organizations organisationnelles, à l'exception d'un ensemble spécifique (OUs), choisissez **Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres**, puis ajoutez les comptes et OUs ceux que vous souhaitez exclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 

   Vous ne pouvez choisir qu'une des options. 

   Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfants OUs, Firewall Manager applique automatiquement la politique au nouveau compte.

1. Pour **Type de ressource**, choisissez les types de ressource que vous souhaitez protéger.

1. Pour les **ressources**, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises permettant de définir le champ d'application de la politique, consultez[Utilisation du champ d'application AWS Firewall Manager de la politique](policy-scope.md).

   Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur. 

1. Choisissez **Suivant**.

1. Vérifiez les paramètres de stratégie pour vous assurer qu'ils vous conviennent, puis choisissez **Créer une stratégie**.

Firewall Manager compare le groupe de sécurité d'audit aux groupes de sécurité concernés de votre AWS organisation, conformément aux paramètres de vos règles de politique. Vous pouvez consulter l'état de la politique dans la console des AWS Firewall Manager politiques. Une fois la stratégie créée, vous pouvez la modifier et activer la résolution automatique pour mettre en œuvre votre stratégie de groupe de sécurité d'audit. Pour en savoir plus sur le fonctionnement de cette stratégie, consultez [Utilisation de politiques de groupe de sécurité pour l'audit de contenu avec Firewall Manager](security-group-policies-audit.md).

## Création d'une politique de groupe de sécurité pour les audits d' AWS Firewall Manager utilisation
<a name="creating-firewall-manager-policy-usage-security-group"></a>

Pour plus d'informations sur le fonctionnement des stratégies de groupe de sécurité d'audit d'utilisation, consultez [Utilisation des politiques de groupe de sécurité relatives à l'audit d'utilisation avec Firewall Manager](security-group-policies-usage.md).

**Pour créer une stratégie de groupe de sécurité d'audit d'utilisation (console)**

1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adresse[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).
**Note**  
Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).

1. Dans le volet de navigation, sélectionnez **Stratégies de sécurité**.

1. Choisissez **Create Policy** (Créer une politique).

1. Pour **Type de stratégie**, choisissez **Groupe de sécurité**. 

1. Pour le **type de politique de groupe de sécurité**, choisissez **Audit et nettoyage des groupes de sécurité redondants et non associés**.

1. Pour **Région**, choisissez un Région AWS. 

1. Choisissez **Suivant**.

1. Pour **Nom de la stratégie**, entrez un nom convivial. 

1. Pour **Règles de stratégie**, choisissez l'une des options disponibles ou les deux. 
   + Si vous choisissez que **les groupes de sécurité relevant de cette zone de politique doivent être utilisés par au moins une ressource**, Firewall Manager supprime tous les groupes de sécurité qu'il juge inutilisés. Lorsque cette règle est activée, Firewall Manager l'exécute pour la dernière fois lorsque vous enregistrez la politique.

     Pour plus de détails sur la manière dont Firewall Manager détermine l'utilisation et le calendrier de la correction, consultez[Utilisation des politiques de groupe de sécurité relatives à l'audit d'utilisation avec Firewall Manager](security-group-policies-usage.md).
**Note**  
Lorsque vous utilisez ce type de politique de groupe de sécurité d'audit d'utilisation, évitez de modifier plusieurs fois le statut d'association des groupes de sécurité concernés en peu de temps. Cela peut empêcher Firewall Manager de rater les événements correspondants. 

     Par défaut, Firewall Manager considère les groupes de sécurité comme non conformes à cette règle de politique dès qu'ils ne sont pas utilisés. Vous pouvez éventuellement spécifier le nombre de minutes pendant lesquelles un groupe de sécurité peut rester inutilisé avant qu'il ne soit considéré comme non conforme, jusqu'à 525 600 minutes (365 jours). Vous pouvez utiliser ce paramètre pour vous donner le temps d'associer de nouveaux groupes de sécurité à des ressources. 
**Important**  
Si vous spécifiez un nombre de minutes autre que la valeur par défaut de zéro, vous devez activer les relations indirectes dans AWS Config. Dans le cas contraire, les politiques de groupe de sécurité de votre audit d'utilisation ne fonctionneront pas comme prévu. Pour plus d'informations sur les relations [indirectes dans AWS Config, voir Relations indirectes AWS Config dans](https://docs.aws.amazon.com/config/latest/developerguide/faq.html#faq-2) le *Guide du AWS Config développeur*.
   + Si vous choisissez que **les groupes de sécurité relevant de cette zone de politique doivent être uniques**, Firewall Manager consolide les groupes de sécurité redondants, de sorte qu'un seul est associé aux ressources. Si vous choisissez cette option, Firewall Manager l'exécute d'abord lorsque vous enregistrez la politique. 

1. Pour **Action de stratégie (Policy action)**, nous vous recommandons de créer la stratégie avec l'option qui n'applique pas la résolution automatique. Cela vous permet d'évaluer les effets de votre nouvelle stratégie avant d'appliquer celle-ci. Lorsque vous êtes convaincu que les modifications correspondent à vos besoins, modifiez la stratégie et modifiez l'action de stratégie pour activer la résolution automatique des ressources non conformes. 

1. Choisissez **Suivant**.

1. Pour **Comptes AWS que cette politique s'applique à**, choisissez l'option suivante : 
   + Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, laissez la sélection par défaut, **Inclure tous les comptes de mon AWS organisation**. 
   + Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles spécifiques (OUs), choisissez **Inclure uniquement les comptes et unités organisationnelles spécifiés**, puis ajoutez les comptes et les comptes OUs que vous souhaitez inclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 
   + Si vous souhaitez appliquer la politique à tous les comptes ou unités AWS Organizations organisationnelles, à l'exception d'un ensemble spécifique (OUs), choisissez **Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres**, puis ajoutez les comptes et OUs ceux que vous souhaitez exclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 

   Vous ne pouvez choisir qu'une des options. 

   Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfants OUs, Firewall Manager applique automatiquement la politique au nouveau compte.

1. Pour les **ressources**, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises permettant de définir le champ d'application de la politique, consultez[Utilisation du champ d'application AWS Firewall Manager de la politique](policy-scope.md).

   Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur. 

1. Choisissez **Suivant**.

1. Si vous n'avez pas exclu le compte administrateur de Firewall Manager du champ d'application de la politique, Firewall Manager vous invite à le faire. Cela vous permet de contrôler manuellement les groupes de sécurité du compte administrateur de Firewall Manager, que vous utilisez pour les politiques de groupe de sécurité communes et d'audit. Choisissez l'option souhaitée dans cette boîte de dialogue.

1. Vérifiez les paramètres de stratégie pour vous assurer qu'ils vous conviennent, puis choisissez **Créer une stratégie**.

Si vous avez choisi d'exiger des groupes de sécurité uniques, Firewall Manager recherche des groupes de sécurité redondants dans chaque instance Amazon VPC concernée. Ensuite, si vous choisissez d'exiger que chaque groupe de sécurité soit utilisé par au moins une ressource, Firewall Manager recherche les groupes de sécurité restés inutilisés pendant les minutes spécifiées dans la règle. Vous pouvez consulter l'état de la politique dans la console des AWS Firewall Manager politiques. Pour en savoir plus sur le fonctionnement de cette stratégie, consultez [Utilisation des politiques de groupe de sécurité relatives à l'audit d'utilisation avec Firewall Manager](security-group-policies-usage.md).

## Création d'une politique ACL AWS Firewall Manager réseau
<a name="creating-firewall-manager-policy-network-acl"></a>

Pour plus d'informations sur le fonctionnement des politiques ACL du réseau, consultez[Politiques ACL du réseau](network-acl-policies.md).

Pour créer une politique ACL réseau, vous devez savoir comment définir une ACL réseau à utiliser avec vos sous-réseaux Amazon VPC. Pour plus d'informations, consultez les [sections Contrôler le trafic vers les sous-réseaux à l'aide du réseau ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) et [Travailler avec le réseau ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) dans le guide de l'*utilisateur Amazon VPC*. 

**Pour créer une politique ACL réseau (console)**

1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adresse[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).
**Note**  
Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).

1. Dans le volet de navigation, sélectionnez **Stratégies de sécurité**.

1. Choisissez **Create Policy** (Créer une politique).

1. Pour le **type de stratégie**, choisissez **Network ACL**. 

1. Pour **Région**, choisissez un Région AWS. 

1. Choisissez **Suivant**.

1. Dans **Nom de la politique**, entrez un nom descriptif. 

1. Pour les **règles de politique**, définissez les règles que vous souhaitez toujours exécuter dans le réseau ACLs géré pour vous par Firewall Manager. Le réseau ACLs surveille et gère le trafic entrant et sortant. Ainsi, dans votre politique, vous définissez les règles pour les deux directions. 

   Dans les deux sens, vous définissez des règles que vous souhaitez toujours exécuter en premier et des règles que vous souhaitez toujours exécuter en dernier. Dans le réseau ACLs géré par Firewall Manager, les propriétaires de comptes peuvent définir des règles personnalisées à exécuter entre ces première et dernière règles. 

1. Pour **l'action stratégique**, si vous souhaitez identifier les sous-réseaux et le réseau non conformes ACLs, mais que vous ne devez pas encore prendre de mesures correctives, choisissez **Identifier les ressources qui ne sont pas conformes aux règles de politique, mais ne corrigent pas automatiquement**. Vous pourrez modifier ces options ultérieurement.

   Si vous souhaitez plutôt appliquer automatiquement la politique aux sous-réseaux concernés existants, choisissez Corriger automatiquement **les ressources non conformes**. Avec cette option, vous spécifiez également s'il faut forcer la correction lorsque le comportement de gestion du trafic des règles de politique entre en conflit avec les règles personnalisées figurant dans l'ACL du réseau. Que vous forciez ou non la correction, Firewall Manager signale des règles contradictoires dans ses violations de conformité. 

1. Choisissez **Suivant**.

1. Pour **Comptes AWS que cette politique s'applique à**, choisissez l'option suivante : 
   + Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, laissez la sélection par défaut, **Inclure tous les comptes de mon AWS organisation**. 
   + Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles spécifiques (OUs), choisissez **Inclure uniquement les comptes et unités organisationnelles spécifiés**, puis ajoutez les comptes et les comptes OUs que vous souhaitez inclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 
   + Si vous souhaitez appliquer la politique à tous les comptes ou unités AWS Organizations organisationnelles, à l'exception d'un ensemble spécifique (OUs), choisissez **Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres**, puis ajoutez les comptes et OUs ceux que vous souhaitez exclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 

   Vous ne pouvez choisir qu'une des options. 

   Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique pas la politique à de nouveaux comptes différents. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfants OUs, Firewall Manager applique automatiquement la politique au nouveau compte.

1. Pour le **type de ressource**, le paramètre est fixé aux **sous-réseaux**. 

1. Pour les **ressources**, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises permettant de définir le champ d'application de la politique, consultez[Utilisation du champ d'application AWS Firewall Manager de la politique](policy-scope.md).

   Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur. 

1. Choisissez **Suivant**.

1. Vérifiez les paramètres de stratégie pour vous assurer qu'ils vous conviennent, puis choisissez **Créer une stratégie**.

Firewall Manager crée la politique et commence à surveiller et à gérer le réseau concerné ACLs conformément à vos paramètres. Pour en savoir plus sur le fonctionnement de cette stratégie, consultez [Politiques ACL du réseau](network-acl-policies.md).

## Création d'une AWS Firewall Manager politique pour AWS Network Firewall
<a name="creating-firewall-manager-policy-for-network-firewall"></a>

Dans une politique de Firewall Manager Network Firewall, vous utilisez des groupes de règles que vous gérez AWS Network Firewall. Pour plus d'informations sur la gestion de vos groupes de règles, consultez la section [Groupes de AWS Network Firewall règles](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html) du *Network Firewall Developer Guide*.

Pour plus d'informations sur les politiques de Firewall Manager Network Firewall, consultez[Utilisation des AWS Network Firewall politiques dans Firewall Manager](network-firewall-policies.md).

**Pour créer une politique Firewall Manager pour AWS Network Firewall (console)**

1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adresse[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).
**Note**  
Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).

1. Dans le volet de navigation, sélectionnez **Stratégies de sécurité**.

1. Choisissez **Create Policy** (Créer une politique).

1. Pour **Policy type (Type de stratégie)**, choisissez **AWS Network Firewall**.

1. Sous **Type de gestion de pare-feu**, choisissez la manière dont vous souhaitez que Firewall Manager gère les pare-feux définis par la politique. Sélectionnez l’une des options suivantes :
   + **Distribué** : Firewall Manager crée et gère des points de terminaison de pare-feu dans chaque VPC concerné par la politique.
   +  **Centralisé** : Firewall Manager crée et gère les points de terminaison dans un seul VPC d'inspection.
   + **Importer des pare-feux existants : Firewall** Manager importe des pare-feux existants depuis Network Firewall à l'aide d'ensembles de ressources. Pour plus d'informations sur les ensembles de ressources, consultez[Regroupement de vos ressources dans Firewall Manager](fms-resource-sets.md).

1. Pour **Région**, choisissez un Région AWS. Pour protéger les ressources de plusieurs régions, vous devez créer des politiques distinctes pour chaque région.

1. Choisissez **Suivant**.

1. Dans **Nom de la politique**, entrez un nom descriptif. Firewall Manager inclut le nom de la politique dans les noms des pare-feux Network Firewall et des politiques de pare-feu qu'il crée. 

1. Dans la **configuration AWS Network Firewall de la politique**, configurez la politique de pare-feu comme vous le feriez dans Network Firewall. Ajoutez vos groupes de règles apatrides et statiques et spécifiez les actions par défaut de la politique. Vous pouvez éventuellement définir l'ordre d'évaluation dynamique des règles et les actions par défaut de la politique, ainsi que la configuration de journalisation. Pour plus d'informations sur la gestion des politiques de pare-feu de Network Firewall, consultez [les politiques de AWS Network Firewall pare-feu](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html) dans le *Guide du AWS Network Firewall développeur*.

   Lorsque vous créez la politique Firewall Network Firewall de Firewall Manager, Firewall Manager crée des politiques de pare-feu pour les comptes concernés. Les responsables de comptes individuels peuvent ajouter des groupes de règles aux politiques de pare-feu, mais ils ne peuvent pas modifier la configuration que vous fournissez ici.

1. Choisissez **Suivant**.

1. Procédez de l'une des manières suivantes, en fonction du **type de gestion du pare-feu** que vous avez sélectionné à l'étape précédente :
   + Si vous utilisez un type de gestion de pare-feu **distribué**, dans **Configuration du point de AWS Firewall Manager terminaison** sous **Emplacement du point de terminaison du pare-feu**, choisissez l'une des options suivantes :
     + **Configuration personnalisée des points de terminaison** : Firewall Manager crée des pare-feux pour chaque VPC dans le cadre de la politique, dans les zones de disponibilité que vous spécifiez. Chaque pare-feu contient au moins un point de terminaison. 
       + Sous **Zones de disponibilité**, sélectionnez les zones de disponibilité dans lesquelles créer des points de terminaison de pare-feu. Vous pouvez sélectionner des zones de **disponibilité par nom de zone** de disponibilité ou par **ID de zone de disponibilité**.
       + Si vous souhaitez fournir les blocs d'adresse CIDR que Firewall Manager utilisera pour les sous-réseaux de votre pare-feuVPCs, ils doivent tous être des blocs d'adresse CIDR /28. Entrez un bloc par ligne. Si vous les omettez, Firewall Manager choisit pour vous les adresses IP parmi celles disponibles dans le VPCs.
**Note**  
La correction automatique s'effectue automatiquement pour les politiques de AWS Firewall Manager Network Firewall. Vous ne verrez donc pas d'option vous permettant de ne pas procéder à la correction automatique ici.
     + **Configuration automatique des points de terminaison** : Firewall Manager crée automatiquement des points de terminaison de pare-feu dans les zones de disponibilité avec des sous-réseaux publics dans votre VPC.
       + Pour la configuration des **points de terminaison du pare-feu**, spécifiez la manière dont vous souhaitez que les points de terminaison du pare-feu soient gérés par Firewall Manager. Nous vous recommandons d'utiliser plusieurs points de terminaison pour une haute disponibilité.
   + Si vous utilisez un type de gestion de pare-feu **centralisé**, dans **Configuration du point de AWS Firewall Manager terminaison sous Configuration** du **VPC d'inspection**, entrez l'ID de AWS compte du propriétaire du VPC d'inspection et l'ID VPC du VPC d'inspection.
     + Sous **Zones de disponibilité**, sélectionnez les zones de disponibilité dans lesquelles créer des points de terminaison de pare-feu. Vous pouvez sélectionner des zones de **disponibilité par nom de zone** de disponibilité ou par **ID de zone de disponibilité**.
     + Si vous souhaitez fournir les blocs d'adresse CIDR que Firewall Manager utilisera pour les sous-réseaux de votre pare-feuVPCs, ils doivent tous être des blocs d'adresse CIDR /28. Entrez un bloc par ligne. Si vous les omettez, Firewall Manager choisit pour vous les adresses IP parmi celles disponibles dans le VPCs.
**Note**  
La correction automatique s'effectue automatiquement pour les politiques de AWS Firewall Manager Network Firewall. Vous ne verrez donc pas d'option vous permettant de ne pas procéder à la correction automatique ici.
   + Si vous utilisez un type de gestion de **pare-feu d'importation de pare-feux existants**, dans **Ensembles de ressources**, ajoutez un ou plusieurs ensembles de ressources. Un ensemble de ressources définit les pare-feux Network Firewall existants appartenant au compte de votre entreprise que vous souhaitez gérer de manière centralisée dans le cadre de cette politique. Pour ajouter un ensemble de ressources à la politique, vous devez d'abord créer un ensemble de ressources à l'aide de la console ou de l'[PutResourceSet](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutResourceSet.html)API. Pour plus d'informations sur les ensembles de ressources, consultez[Regroupement de vos ressources dans Firewall Manager](fms-resource-sets.md). Pour plus d'informations sur l'importation de pare-feux existants depuis Network Firewall, consultez[Comment Firewall Manager crée les points de terminaison du pare-feu](fms-create-firewall-endpoints.md).

1. Choisissez **Suivant**.

1. Si votre politique utilise un type de gestion de pare-feu distribué, sous **Gestion des itinéraires**, choisissez si Firewall Manager surveillera et alertera sur le trafic qui doit être acheminé via les points de terminaison du pare-feu respectifs.
**Note**  
Si vous choisissez **Moniteur**, vous ne pourrez pas modifier le paramètre **sur Désactivé** ultérieurement. La surveillance se poursuit jusqu'à ce que vous supprimiez la politique.

1. Pour **le type de trafic**, ajoutez éventuellement les points de terminaison du trafic par lesquels vous souhaitez acheminer le trafic pour l'inspection du pare-feu.

1.  Pour **Autoriser le trafic inter-AZ requis**, si vous activez cette option, Firewall Manager considère comme conforme le routage qui envoie le trafic hors d'une zone de disponibilité pour inspection, pour les zones de disponibilité qui ne disposent pas de leur propre point de terminaison de pare-feu. Les zones de disponibilité dotées de points de terminaison doivent toujours inspecter leur propre trafic. 

1. Choisissez **Suivant**.

1. Pour le **champ d'application** de la **politique, dans le cadre de Comptes AWS cette politique s'applique à**, choisissez l'option suivante : 
   + Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, laissez la sélection par défaut, **Inclure tous les comptes de mon AWS organisation**. 
   + Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles spécifiques (OUs), choisissez **Inclure uniquement les comptes et unités organisationnelles spécifiés**, puis ajoutez les comptes et les comptes OUs que vous souhaitez inclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 
   + Si vous souhaitez appliquer la politique à tous les comptes ou unités AWS Organizations organisationnelles, à l'exception d'un ensemble spécifique (OUs), choisissez **Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres**, puis ajoutez les comptes et OUs ceux que vous souhaitez exclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 

   Vous ne pouvez choisir qu'une des options. 

   Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfantsOUs, Firewall Manager applique automatiquement la politique au nouveau compte.

1. Le **type de ressource** pour les politiques Network Firewall est **VPC**. 

1. Pour les **ressources**, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises permettant de définir le champ d'application de la politique, consultez[Utilisation du champ d'application AWS Firewall Manager de la politique](policy-scope.md).

   Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur. 

1. Choisissez **Suivant**.

1. Pour les **balises de stratégie**, ajoutez les balises d'identification que vous souhaitez ajouter à la ressource de politique de Firewall Manager. Pour plus d'informations sur les balises, consultez [Utilisation de Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Choisissez **Suivant**.

1. Passez en revue les nouveaux paramètres de politique et revenez à toutes les pages où vous devez apporter des modifications. 

   Lorsque vous êtes satisfait de la politique, choisissez **Créer une politique**. Dans le volet **AWS Firewall Manager des politiques**, votre politique doit être répertoriée. Il indiquera probablement **En attente** sous les en-têtes des comptes et indiquera l'état du paramètre de **correction automatique**. La création d'une stratégie peut prendre plusieurs minutes. Une fois que le statut **Pending (En attente)** est remplacé par le nombre de comptes, vous pouvez choisir le nom de la stratégie pour examiner le statut de conformité des comptes et des ressources. Pour plus d’informations, consultez [Afficher les informations de conformité relatives à une AWS Firewall Manager politique](fms-compliance.md)

## Création d'une AWS Firewall Manager politique pour le pare-feu DNS Amazon Route 53 Resolver
<a name="creating-firewall-manager-policy-for-dns-firewall"></a>

Dans une politique de pare-feu DNS Firewall Manager, vous utilisez des groupes de règles que vous gérez dans Amazon Route 53 Resolver DNS Firewall. Pour plus d'informations sur la gestion de vos groupes de règles, consultez [la section Gestion des groupes de règles et des règles dans le pare-feu DNS](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-group-managing.html) dans le manuel *Amazon Route 53 Developer Guide*.

Pour plus d'informations sur les politiques de pare-feu DNS de Firewall Manager, consultez[Utilisation des politiques de pare-feu DNS d'Amazon Route 53 Resolver dans Firewall Manager](dns-firewall-policies.md).

**Pour créer une politique Firewall Manager pour Amazon Route 53 Resolver DNS Firewall (console)**

1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adresse[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).
**Note**  
Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).

1. Dans le volet de navigation, sélectionnez **Stratégies de sécurité**.

1. Choisissez **Create Policy** (Créer une politique).

1. Pour le **type de politique**, choisissez le **pare-feu Amazon Route 53 Resolver DNS**. 

1. Pour **Région**, choisissez un Région AWS. Pour protéger les ressources de plusieurs régions, vous devez créer des politiques distinctes pour chaque région. 

1. Choisissez **Suivant**.

1. Dans **Nom de la politique**, entrez un nom descriptif. 

1. Dans la configuration des politiques, ajoutez les groupes de règles que vous souhaitez que DNS Firewall évalue en premier et en dernier parmi vos VPCs « associations de groupes de règles ». Vous pouvez ajouter jusqu'à deux groupes de règles à la politique.

   Lorsque vous créez la politique de pare-feu DNS de Firewall Manager, Firewall Manager crée les associations de groupes de règles, avec les priorités d'association que vous avez fournies, pour les comptes VPCs et concernés. Les responsables de comptes individuels peuvent ajouter des associations de groupes de règles entre votre première et votre dernière association, mais ils ne peuvent pas modifier les associations que vous définissez ici. Pour de plus amples informations, veuillez consulter [Utilisation des politiques de pare-feu DNS d'Amazon Route 53 Resolver dans Firewall Manager](dns-firewall-policies.md).

1. Choisissez **Suivant**.

1. Pour **Comptes AWS que cette politique s'applique à**, choisissez l'option suivante : 
   + Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, laissez la sélection par défaut, **Inclure tous les comptes de mon AWS organisation**. 
   + Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles spécifiques (OUs), choisissez **Inclure uniquement les comptes et unités organisationnelles spécifiés**, puis ajoutez les comptes et les comptes OUs que vous souhaitez inclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 
   + Si vous souhaitez appliquer la politique à tous les comptes ou unités AWS Organizations organisationnelles, à l'exception d'un ensemble spécifique (OUs), choisissez **Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres**, puis ajoutez les comptes et OUs ceux que vous souhaitez exclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 

   Vous ne pouvez choisir qu'une des options. 

   Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfantsOUs, Firewall Manager applique automatiquement la politique au nouveau compte.

1. Le **type de ressource** pour les politiques de pare-feu DNS est **VPC**. 

1. Pour les **ressources**, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises permettant de définir le champ d'application de la politique, consultez[Utilisation du champ d'application AWS Firewall Manager de la politique](policy-scope.md).

   Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur. 

1. Choisissez **Suivant**.

1. Pour les **balises de stratégie**, ajoutez les balises d'identification que vous souhaitez ajouter à la ressource de politique de Firewall Manager. Pour plus d'informations sur les balises, consultez [Utilisation de Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Choisissez **Suivant**.

1. Passez en revue les nouveaux paramètres de politique et revenez à toutes les pages où vous devez apporter des modifications. 

   Lorsque vous êtes satisfait de la politique, choisissez **Créer une politique**. Dans le volet **AWS Firewall Manager des politiques**, votre politique doit être répertoriée. Il indiquera probablement **En attente** sous les en-têtes des comptes et indiquera l'état du paramètre de **correction automatique**. La création d'une stratégie peut prendre plusieurs minutes. Une fois que le statut **Pending (En attente)** est remplacé par le nombre de comptes, vous pouvez choisir le nom de la stratégie pour examiner le statut de conformité des comptes et des ressources. Pour plus d’informations, consultez [Afficher les informations de conformité relatives à une AWS Firewall Manager politique](fms-compliance.md)

## Création d'une AWS Firewall Manager politique pour Palo Alto Networks Cloud NGFW
<a name="creating-cloud-ngfw-policy"></a>

Avec une politique Firewall Manager pour Palo Alto Networks Cloud Next Generation Firewall (Palo Alto Networks Cloud NGFW), vous utilisez Firewall Manager pour déployer les ressources NGFW de Palo Alto Networks Cloud et gérer les règles NGFW de manière centralisée sur tous vos comptes. AWS 

Pour plus d'informations sur les politiques NGFW du Firewall Manager Palo Alto Networks Cloud, consultez. [Utilisation des politiques NGFW de Palo Alto Networks Cloud pour Firewall Manager](cloud-ngfw-policies.md) Pour plus d'informations sur la configuration et la gestion de Palo Alto Networks Cloud NGFW pour Firewall Manager, consultez le *[Palo Alto Networks Cloud NGFW de Palo Alto Networks dans la documentation](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)*. AWS

### Conditions préalables
<a name="complete-fms-prereq-cloud-ngfw"></a>

Il existe plusieurs étapes obligatoires pour préparer votre compte pour AWS Firewall Manager. Ces étapes sont décrites dans [AWS Firewall Manager prérequis](fms-prereq.md). Complétez tous les prérequis avant de passer à l'étape suivante.

**Pour créer une politique Firewall Manager pour Palo Alto Networks Cloud NGFW (console)**

1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adresse[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).
**Note**  
Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).

1. Dans le volet de navigation, sélectionnez **Stratégies de sécurité**.

1. Choisissez **Create Policy** (Créer une politique).

1. Pour le **type de politique**, choisissez **Palo Alto Networks Cloud NGFW**. Si vous n'êtes pas encore abonné au service Palo Alto Networks Cloud NGFW sur AWS Marketplace, vous devez d'abord le faire. Pour vous abonner à la AWS Marketplace, choisissez **View AWS Marketplace details**.

1. Pour **le modèle de déploiement**, choisissez le **modèle distribué** ou le **modèle centralisé**. Le modèle de déploiement détermine la manière dont Firewall Manager gère les points de terminaison pour la politique. Avec le modèle distribué, Firewall Manager gère les points de terminaison du pare-feu dans chaque VPC relevant du champ d'application des politiques. Avec le modèle centralisé, Firewall Manager gère un point de terminaison unique dans un VPC d'inspection.

1. Pour **Région**, choisissez un Région AWS. Pour protéger les ressources de plusieurs régions, vous devez créer des politiques distinctes pour chaque région. 

1. Choisissez **Suivant**.

1. Dans **Nom de la politique**, entrez un nom descriptif.

1. Dans la configuration de la politique, choisissez la politique de pare-feu Palo Alto Networks Cloud NGFW à associer à cette politique. La liste des politiques de pare-feu Palo Alto Networks Cloud NGFW contient toutes les politiques de pare-feu Palo Alto Networks Cloud NGFW associées à votre client Palo Alto Networks Cloud NGFW. Pour plus d'informations sur la création et la gestion des politiques de pare-feu NGFW de Palo Alto Networks Cloud, consultez la AWS Firewall Manager rubrique *[Deploy Palo Alto Networks Cloud NGFW pour AWS](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/getting-started-with-cloud-ngfw-for-aws/deploy-cloud-ngfw-for-aws-with-the-aws-firewall-manager.html)* le *guide* de déploiement. AWS 

1. Pour la **journalisation NGFW dans le cloud de Palo Alto Networks**, vous pouvez éventuellement choisir le ou les types de journaux NGFW de Palo Alto Networks Cloud à enregistrer conformément à votre politique. Pour plus d'informations sur les types de journaux NGFW de Palo Alto Networks Cloud, voir [Configurer la journalisation pour Palo Alto Networks Cloud NGFW on AWS](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/create-cloud-ngfw-instances-and-endpoints/configure-logging-for-the-cloud-ngfw-on-aws.html) dans le guide de déploiement de *Palo Alto* Networks Cloud NGFW. AWS 

   Pour la **destination des journaux**, spécifiez à quel moment Firewall Manager doit écrire les journaux.

1. Choisissez **Suivant**.

1. Sous **Configurer un point de terminaison de pare-feu tiers**, effectuez l'une des opérations suivantes, selon que vous utilisez le modèle de déploiement distribué ou centralisé pour créer vos points de terminaison de pare-feu :
   + Si vous utilisez le modèle de déploiement distribué pour cette politique, sous Zones de **disponibilité, sélectionnez les zones** de disponibilité dans lesquelles créer des points de terminaison de pare-feu. Vous pouvez sélectionner des zones de **disponibilité par nom de zone** de disponibilité ou par **ID de zone de disponibilité**.
   + Si vous utilisez le modèle de déploiement centralisé pour cette politique, dans la **configuration du point de AWS Firewall Manager terminaison** sous **Configuration du VPC d'inspection**, entrez l'ID de AWS compte du propriétaire du VPC d'inspection et l'ID du VPC d'inspection.
     + Sous **Zones de disponibilité**, sélectionnez les zones de disponibilité dans lesquelles créer des points de terminaison de pare-feu. Vous pouvez sélectionner des zones de **disponibilité par nom de zone** de disponibilité ou par **ID de zone de disponibilité**.

1. Si vous souhaitez fournir les blocs d'adresse CIDR que Firewall Manager utilisera pour les sous-réseaux de votre pare-feuVPCs, ils doivent tous être des blocs d'adresse CIDR /28. Entrez un bloc par ligne. Si vous les omettez, Firewall Manager choisit pour vous les adresses IP parmi celles disponibles dans le VPCs.
**Note**  
La correction automatique s'effectue automatiquement pour les politiques de AWS Firewall Manager Network Firewall. Vous ne verrez donc pas d'option vous permettant de ne pas procéder à la correction automatique ici.

1. Choisissez **Suivant**.

1. Pour le **champ d'application** de la **politique, dans le cadre de Comptes AWS cette politique s'applique à**, choisissez l'option suivante : 
   + Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, laissez la sélection par défaut, **Inclure tous les comptes de mon AWS organisation**. 
   + Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles spécifiques (OUs), choisissez **Inclure uniquement les comptes et unités organisationnelles spécifiés**, puis ajoutez les comptes et les comptes OUs que vous souhaitez inclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 
   + Si vous souhaitez appliquer la politique à tous les comptes ou unités AWS Organizations organisationnelles, à l'exception d'un ensemble spécifique (OUs), choisissez **Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres**, puis ajoutez les comptes et OUs ceux que vous souhaitez exclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 

   Vous ne pouvez choisir qu'une des options. 

   Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfantsOUs, Firewall Manager applique automatiquement la politique au nouveau compte.

1. Le **type de ressource** pour les politiques Network Firewall est **VPC**. 

1. Pour les **ressources**, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises permettant de définir le champ d'application de la politique, consultez[Utilisation du champ d'application AWS Firewall Manager de la politique](policy-scope.md).

   Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur. 

1. Pour **accorder un accès entre comptes**, choisissez **Télécharger le CloudFormation modèle**. Cela télécharge un CloudFormation modèle que vous pouvez utiliser pour créer une CloudFormation pile. Cette pile crée un Gestion des identités et des accès AWS rôle qui accorde à Firewall Manager des autorisations inter-comptes pour gérer les ressources NGFW Cloud de Palo Alto Networks. Pour plus d'informations sur les piles, reportez-vous à la section [Utilisation des piles](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacks.html) dans le Guide de l'*CloudFormation utilisateur*.

1. Choisissez **Suivant**.

1. Pour les **balises de stratégie**, ajoutez les balises d'identification que vous souhaitez ajouter à la ressource de politique de Firewall Manager. Pour plus d'informations sur les balises, consultez [Utilisation de Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Choisissez **Suivant**.

1. Passez en revue les nouveaux paramètres de politique et revenez à toutes les pages où vous devez apporter des modifications. 

   Lorsque vous êtes satisfait de la politique, choisissez **Créer une politique**. Dans le volet **AWS Firewall Manager des politiques**, votre politique doit être répertoriée. Il indiquera probablement **En attente** sous les en-têtes des comptes et indiquera l'état du paramètre de **correction automatique**. La création d'une stratégie peut prendre plusieurs minutes. Une fois que le statut **Pending (En attente)** est remplacé par le nombre de comptes, vous pouvez choisir le nom de la stratégie pour examiner le statut de conformité des comptes et des ressources. Pour plus d’informations, consultez [Afficher les informations de conformité relatives à une AWS Firewall Manager politique](fms-compliance.md)

## Création d'une AWS Firewall Manager politique pour Fortigate Cloud Native Firewall (CNF) en tant que service
<a name="creating-fortigate-cnf-policy"></a>

Avec une politique Firewall Manager pour Fortigate CNF, vous pouvez utiliser Firewall Manager pour déployer et gérer les ressources Fortigate CNF sur l'ensemble de vos comptes. AWS 

Pour plus d'informations sur les politiques CNF de Firewall Manager Fortigate, consultez. [Utilisation des politiques de Fortigate Cloud Native Firewall (CNF) en tant que service pour Firewall Manager](fortigate-cnf-policies.md) [Pour plus d'informations sur la configuration de Fortigate CNF pour une utilisation avec Firewall Manager, consultez la documentation Fortinet.]( https://docs.fortinet.com/product/fortigate-cnf )

### Conditions préalables
<a name="complete-fms-prereq-fortigate-cnf"></a>

Il existe plusieurs étapes obligatoires pour préparer votre compte pour AWS Firewall Manager. Ces étapes sont décrites dans [AWS Firewall Manager prérequis](fms-prereq.md). Complétez tous les prérequis avant de passer à l'étape suivante.

**Pour créer une politique Firewall Manager pour Fortigate CNF (console)**

1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adresse[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).
**Note**  
Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).

1. Dans le volet de navigation, sélectionnez **Stratégies de sécurité**.

1. Choisissez **Create Policy** (Créer une politique).

1. Pour le **type de politique**, choisissez **Fortigate Cloud Native Firewall (CNF) en tant que service**. Si vous n'êtes pas encore abonné au [service Fortigate CNF sur le AWS Marketplace](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i), vous devez d'abord le faire. Pour vous abonner à la AWS Marketplace, choisissez **View AWS Marketplace details**.

1. Pour **le modèle de déploiement**, choisissez le **modèle distribué** ou le **modèle centralisé**. Le modèle de déploiement détermine la manière dont Firewall Manager gère les points de terminaison pour la politique. Avec le modèle distribué, Firewall Manager gère les points de terminaison du pare-feu dans chaque VPC relevant du champ d'application des politiques. Avec le modèle centralisé, Firewall Manager gère un point de terminaison unique dans un VPC d'inspection.

1. Pour **Région**, choisissez un Région AWS. Pour protéger les ressources de plusieurs régions, vous devez créer des politiques distinctes pour chaque région. 

1. Choisissez **Suivant**.

1. Dans **Nom de la politique**, entrez un nom descriptif.

1. Dans la configuration de la politique, choisissez la politique de pare-feu Fortigate CNF à associer à cette politique. La liste des politiques de pare-feu Fortigate CNF contient toutes les politiques de pare-feu Fortigate CNF associées à votre client Fortigate CNF. [Pour plus d'informations sur la création et la gestion de locataires Fortigate CNF, consultez la documentation Fortinet.](https://docs.fortinet.com/product/fortigate-cnf)

1. Choisissez **Suivant**.

1. Sous **Configurer un point de terminaison de pare-feu tiers**, effectuez l'une des opérations suivantes, selon que vous utilisez le modèle de déploiement distribué ou centralisé pour créer vos points de terminaison de pare-feu :
   + Si vous utilisez le modèle de déploiement distribué pour cette politique, sous Zones de **disponibilité, sélectionnez les zones** de disponibilité dans lesquelles créer des points de terminaison de pare-feu. Vous pouvez sélectionner des zones de **disponibilité par nom de zone** de disponibilité ou par **ID de zone de disponibilité**.
   + Si vous utilisez le modèle de déploiement centralisé pour cette politique, dans la **configuration du point de AWS Firewall Manager terminaison** sous **Configuration du VPC d'inspection**, entrez l'ID de AWS compte du propriétaire du VPC d'inspection et l'ID du VPC d'inspection.
     + Sous **Zones de disponibilité**, sélectionnez les zones de disponibilité dans lesquelles créer des points de terminaison de pare-feu. Vous pouvez sélectionner des zones de **disponibilité par nom de zone** de disponibilité ou par **ID de zone de disponibilité**.

1. Si vous souhaitez fournir les blocs d'adresse CIDR que Firewall Manager utilisera pour les sous-réseaux de votre pare-feuVPCs, ils doivent tous être des blocs d'adresse CIDR /28. Entrez un bloc par ligne. Si vous les omettez, Firewall Manager choisit pour vous les adresses IP parmi celles disponibles dans le VPCs.
**Note**  
La correction automatique s'effectue automatiquement pour les politiques de AWS Firewall Manager Network Firewall. Vous ne verrez donc pas d'option vous permettant de ne pas procéder à la correction automatique ici.

1. Choisissez **Suivant**.

1. Pour le **champ d'application** de la **politique, dans le cadre de Comptes AWS cette politique s'applique à**, choisissez l'option suivante : 
   + Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, laissez la sélection par défaut, **Inclure tous les comptes de mon AWS organisation**. 
   + Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles spécifiques (OUs), choisissez **Inclure uniquement les comptes et unités organisationnelles spécifiés**, puis ajoutez les comptes et les comptes OUs que vous souhaitez inclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 
   + Si vous souhaitez appliquer la politique à tous les comptes ou unités AWS Organizations organisationnelles, à l'exception d'un ensemble spécifique (OUs), choisissez **Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres**, puis ajoutez les comptes et OUs ceux que vous souhaitez exclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 

   Vous ne pouvez choisir qu'une des options. 

   Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfantsOUs, Firewall Manager applique automatiquement la politique au nouveau compte.

1. Le **type de ressource** pour les politiques Network Firewall est **VPC**. 

1. Pour les **ressources**, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises permettant de définir le champ d'application de la politique, consultez[Utilisation du champ d'application AWS Firewall Manager de la politique](policy-scope.md).

   Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur. 

1. Pour **accorder un accès entre comptes**, choisissez **Télécharger le CloudFormation modèle**. Cela télécharge un CloudFormation modèle que vous pouvez utiliser pour créer une CloudFormation pile. Cette pile crée un Gestion des identités et des accès AWS rôle qui accorde à Firewall Manager des autorisations entre comptes pour gérer les ressources Fortigate CNF. Pour plus d'informations sur les piles, reportez-vous à la section [Utilisation des piles](https://docs.aws.amazon.com/AWSCloudFormation/latest/gsg/stacks.html) dans le Guide de l'*CloudFormation utilisateur*. Pour créer une pile, vous aurez besoin de l'identifiant de compte du portail Fortigate CNF.

1. Choisissez **Suivant**.

1. Pour les **balises de stratégie**, ajoutez les balises d'identification que vous souhaitez ajouter à la ressource de politique de Firewall Manager. Pour plus d'informations sur les balises, consultez [Utilisation de Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Choisissez **Suivant**.

1. Passez en revue les nouveaux paramètres de politique et revenez à toutes les pages où vous devez apporter des modifications. 

   Lorsque vous êtes satisfait de la politique, choisissez **Créer une politique**. Dans le volet **AWS Firewall Manager des politiques**, votre politique doit être répertoriée. Il indiquera probablement **En attente** sous les en-têtes des comptes et indiquera l'état du paramètre de **correction automatique**. La création d'une stratégie peut prendre plusieurs minutes. Une fois que le statut **Pending (En attente)** est remplacé par le nombre de comptes, vous pouvez choisir le nom de la stratégie pour examiner le statut de conformité des comptes et des ressources. Pour plus d’informations, consultez [Afficher les informations de conformité relatives à une AWS Firewall Manager politique](fms-compliance.md)