**Présentation d'une nouvelle expérience de console pour AWS WAF**

Vous pouvez désormais utiliser l'expérience mise à jour pour accéder aux AWS WAF fonctionnalités n'importe où dans la console. Pour plus de détails, consultez la section [Utilisation de la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisation d' AWS Firewall Manager administrateurs
<a name="fms-administrators"></a>

Cette page explique ce que sont les administrateurs de Firewall Manager et définit les termes associés.

 AWS Firewall Manager Vous pouvez avoir un ou plusieurs administrateurs capables de gérer les ressources de pare-feu de votre organisation. Si vous souhaitez utiliser plusieurs administrateurs Firewall Manager dans votre organisation, vous pouvez appliquer des conditions d'étendue administrative à chaque administrateur afin de définir les ressources qu'il peut gérer. Cela vous donne la flexibilité d'avoir différents rôles d'administrateur au sein de votre organisation et vous aide à conserver le principe de l'accès le moins privilégié. Par exemple, vous pouvez demander à un administrateur de gérer un ensemble d'unités organisationnelles (OUs) pour votre organisation, tout en déléguant à un autre administrateur le soin de gérer uniquement des types de politiques spécifiques de Firewall Manager. Pour plus d'informations sur les organisations et les comptes de gestion, consultez [Gérer les AWS comptes de votre organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html).

Pour connaître le nombre maximal d'administrateurs que vous pouvez avoir par organisation, voir [AWS Firewall Manager quotas](fms-limits.md)

**Commencer à utiliser les administrateurs de Firewall Manager**  
Avant de commencer à utiliser les administrateurs de Firewall Manager, vous devez remplir les conditions requises répertoriées dans[AWS Firewall Manager prérequis](fms-prereq.md). Dans les conditions préalables, vous allez intégrer une AWS Organizations organisation à Firewall Manager et créer un compte administrateur par défaut pour Firewall Manager. Un compte administrateur par défaut permet de gérer des pare-feux tiers et possède une portée administrative complète.

**Champ d'application administratif**  
Le *périmètre administratif* définit les ressources que l'administrateur de Firewall Manager peut gérer. Une fois qu'un compte de AWS Organizations gestion a intégré une organisation à Firewall Manager, il peut créer des administrateurs Firewall Manager supplémentaires dotés de différents domaines d'administration. Un compte AWS Organizations de gestion peut accorder à l'administrateur **un champ d'administration complet** ou **restreint**. L'étendue complète donne à l'administrateur un accès complet à tous les types de ressources précédents. Le champ d'application restreint fait référence à l'octroi d'une autorisation administrative uniquement à un sous-ensemble des ressources précédentes. Nous vous recommandons de n'accorder aux administrateurs que les autorisations dont ils ont besoin pour accomplir les tâches liées à leur rôle. Vous pouvez appliquer n'importe quelle combinaison de ces conditions d'étendue administrative à un administrateur :
+ Comptes ou OUs comptes de votre organisation auxquels l'administrateur peut appliquer des politiques.
+ Régions dans lesquelles l'administrateur peut effectuer des actions.
+ Types de politiques de Firewall Manager que l'administrateur peut gérer.

**Rôles d'administrateur**  
Il existe deux types de rôles d'administrateur dans Firewall Manager : un administrateur par défaut et des administrateurs de Firewall Manager.
+ Administrateur par défaut : le compte de gestion de l'organisation crée un compte *administrateur par défaut* de Firewall Manager lorsqu'il intègre son organisation à Firewall Manager alors qu'il termine le[AWS Firewall Manager prérequis](fms-prereq.md). L'administrateur par défaut peut gérer des pare-feux tiers et dispose d'une portée administrative complète, mais il se trouve au même niveau que les autres administrateurs, si vous choisissez d'avoir plusieurs administrateurs.
+ Administrateurs de Firewall Manager : un administrateur de Firewall Manager peut gérer les ressources que le compte de AWS Organizations gestion lui désigne dans la configuration de son étendue administrative. Pour connaître le nombre maximal d'administrateurs que vous pouvez avoir par organisation, consultez[AWS Firewall Manager quotas](fms-limits.md). Lors de la création d'un compte administrateur de Firewall Manager, le service vérifie si le compte est déjà un administrateur délégué pour Firewall Manager au sein de l'organisation. AWS Organizations Dans le cas contraire, Firewall Manager appelle Organizations pour définir le compte en tant qu'administrateur délégué pour Firewall Manager. Pour plus d'informations sur les administrateurs délégués des Organisations, consultez [AWS Organizations la terminologie et les concepts](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) du *Guide de AWS Organizations l'utilisateur*.

**Administrateurs existants**  
Si vous êtes déjà client de Firewall Manager et que vous avez déjà défini un administrateur, cet administrateur existant sera l'administrateur par défaut de Firewall Manager. Il ne devrait y avoir aucun impact sur votre flux existant. Si vous souhaitez ajouter d'autres administrateurs, vous pouvez le faire en suivant les procédures décrites dans ce chapitre.

# Création d'un compte administrateur de Firewall Manager
<a name="fms-creating-administrators"></a>

La procédure suivante décrit comment créer un compte administrateur de Firewall Manager à l'aide de la console Firewall Manager.

**Note**  
Seul le compte de gestion d'une entreprise peut créer des comptes d'administrateur de Firewall Manager.

**Pour créer un compte administrateur de Firewall Manager**

1. Connectez-vous au Firewall Manager à l' AWS Management Console aide d'un compte AWS Organizations de gestion existant. 

1. Ouvrez la console Firewall Manager à l'adresse [https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). 

1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres).

1. Choisissez **Créer un compte administrateur**.

1. Dans le volet **Détails**, pour **ID de AWS compte**, saisissez l' AWS ID du compte membre que vous souhaitez ajouter en tant qu'administrateur de Firewall Manager.

1. Pour le **champ d'application administratif**, choisissez l'une des options suivantes :
   + **Complet** — Cela permet à l'administrateur d'appliquer des politiques à tous les comptes et unités organisationnelles (OUs) de l'organisation, de prendre des mesures dans toutes les régions et d'appliquer tous les types de politiques de Firewall Manager, à l'exception des pare-feux tiers. Seul l'administrateur par défaut peut créer et gérer des pare-feux tiers. Soyez prudent si vous accordez ce niveau d'autorisations à l'administrateur. Dans l'esprit du moindre privilège, nous recommandons de n'accorder à l'administrateur que les autorisations dont il a besoin pour accomplir les tâches liées à son rôle.
   + **Restreint** : si vous appliquez une étendue **restreinte**, dans **Configurer l'étendue administrative**, configurez les comptes et les unités organisationnelles, les régions et les types de politiques que le compte peut gérer.

     Pour les **comptes et les unités organisationnelles**, choisissez les options suivantes :
     + Si vous souhaitez appliquer des politiques à tous les comptes ou unités organisationnelles de votre organisation, choisissez **Inclure tous les comptes dans mon AWS organisation**. 
     + Si vous souhaitez appliquer des politiques uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles spécifiques (OUs), choisissez **Inclure uniquement les comptes et unités organisationnelles spécifiés**, puis ajoutez les comptes et OUs ceux que vous souhaitez inclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 
     + Si vous souhaitez appliquer des politiques à tous les comptes ou unités AWS Organizations organisationnelles, à l'exception d'un ensemble spécifique (OUs), choisissez **Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres**, puis ajoutez les comptes et ceux OUs que vous souhaitez exclure. Spécifier une UO revient à spécifier tous les comptes de l'UO et de tous ses enfants OUs, y compris les enfants OUs et les comptes ajoutés ultérieurement. 

     Pour **les régions**, choisissez les options suivantes :
     + Si vous souhaitez autoriser l'administrateur à effectuer des actions dans toutes les régions disponibles, choisissez **Inclure toutes les régions**. 
     + Si vous souhaitez que l'administrateur n'effectue des actions que dans des régions spécifiques, choisissez **Inclure uniquement les régions spécifiées**, puis spécifiez les régions que vous souhaitez inclure. 
**Note**  
Pour inclure une région désactivée par défaut, vous devez activer la région à la fois pour le compte de gestion de l' AWS Organizations organisation et pour le compte d'administration par défaut. Pour plus d'informations sur l'activation des régions pour un compte, voir [Activer une région](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) dans le *Référence générale d'Amazon Web Services*.

     Pour les **types de politiques**, choisissez les options suivantes :.
     + Si vous souhaitez autoriser l'administrateur à gérer tous les types de politiques, choisissez **Inclure tous les types de politiques**. 
     + Si vous souhaitez que l'administrateur ne gère que des types de politiques spécifiques, choisissez **Inclure uniquement les types de stratégie spécifiés**, puis spécifiez les types de stratégie que vous souhaitez inclure. 

1. Choisissez **Créer un compte administrateur** pour créer le compte administrateur. Lors de la création, Firewall Manager appelle AWS Organizations pour savoir si l'administrateur est déjà un administrateur délégué de votre organisation. Dans le cas contraire, Firewall Manager désignera le compte comme administrateur délégué. Pour plus d'informations sur les administrateurs délégués dans Organizations, reportez-vous à [AWS Organizations la terminologie et aux concepts](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) du *Guide de AWS Organizations l'utilisateur*.

Si vous appliquez une portée administrative **restreinte**, Firewall Manager évalue automatiquement les nouvelles ressources par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'un de ses enfants OUs, Firewall Manager inclut automatiquement le compte dans le périmètre administratif.

# Mettre à jour un compte administrateur de Firewall Manager
<a name="fms-updating-administrators"></a>

La procédure suivante décrit comment mettre à jour un compte administrateur de Firewall Manager à l'aide de la console Firewall Manager.

**Note**  
Pour mettre à jour le champ d'application d'un administrateur afin d'inclure une région désactivée par défaut, vous devez activer la région à la fois pour le compte de gestion de AWS Organizations l'organisation et pour le compte d'administration par défaut. Pour plus d'informations sur l'activation des régions pour un compte, voir [Activer une région](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable) dans le *Référence générale d'Amazon Web Services*.  
Seul le compte de gestion d'une entreprise peut mettre à jour les comptes d'administrateur de Firewall Manager.

**Pour mettre à jour un compte administrateur (console)**

1. Connectez-vous au Firewall Manager à l' AWS Management Console aide d'un compte AWS Organizations de gestion existant. 

1. Ouvrez la console Firewall Manager à l'adresse [https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). 

1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres).

1. dans le tableau des **administrateurs de Firewall Manager**, choisissez le compte que vous souhaitez mettre à jour.

1. Sélectionnez **Modifier pour modifier** les informations du compte de l'administrateur. Vous ne pouvez pas modifier l'**identifiant du compte**.

1. Choisissez **Save** pour enregistrer les changements.

# Révocation d'un compte administrateur de Firewall Manager
<a name="fms-deleting-administrators"></a>

La procédure suivante décrit comment révoquer un compte administrateur de Firewall Manager. Si vous êtes l'administrateur par défaut, avant de pouvoir révoquer votre compte, tous les comptes administrateurs de Firewall Manager au sein de votre organisation doivent d'abord révoquer leurs propres comptes. 

**Note**  
Seul un administrateur individuel de Firewall Manager peut révoquer son propre compte d'administrateur.

**Pour révoquer un compte administrateur (console)**

1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adresse[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez [AWS Firewall Manager prérequis](fms-prereq.md).

1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres).

1. Dans le volet **Compte administrateur**, sélectionnez **Révoquer le compte administrateur** pour révoquer votre compte.
**Important**  
Lorsque vous révoquez les privilèges d'administrateur d'un compte administrateur, toutes les politiques de Firewall Manager créées par ce compte sont supprimées.

# Modification du compte administrateur par défaut de Firewall Manager
<a name="fms-change-administrator"></a>

La procédure suivante décrit comment modifier le compte administrateur par défaut de Firewall Manager. 

Vous ne pouvez désigner qu'un seul compte dans une organisation comme compte administrateur par défaut de Firewall Manager. Le compte administrateur par défaut suit le principe du premier entré, dernier sorti. Pour désigner un compte administrateur par défaut différent, chaque compte administrateur doit d'abord révoquer son propre compte. L'administrateur par défaut existant peut alors révoquer son propre compte, ce qui aura également pour effet de déconnecter l'organisation de Firewall Manager. Lorsqu'un administrateur révoque son compte, toutes les politiques de Firewall Manager créées par ce compte sont supprimées. Pour désigner un nouveau compte administrateur par défaut, vous devez ensuite vous connecter à Firewall Manager avec le compte de AWS Organizations gestion pour désigner un nouveau compte administrateur. Pour modifier le compte administrateur par défaut d'une organisation, effectuez la procédure suivante.

**Pour modifier le compte administrateur par défaut**

1. Connectez-vous au Firewall Manager à l' AWS Management Console aide d'un compte AWS Organizations de gestion existant. 

1. Ouvrez la console Firewall Manager à l'adresse [https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). 

1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres).

1. Entrez l'ID du compte que vous avez choisi d'utiliser en tant qu'administrateur de Firewall Manager. 
**Note**  
Ce compte est autorisé à créer et à gérer les politiques de Firewall Manager pour tous les comptes de votre organisation.

1. Choisissez **Créer un compte administrateur**.

1. Entrez l' AWS ID du compte que vous avez choisi d'utiliser en tant qu'administrateur de Firewall Manager. 
**Note**  
Ce compte dispose d'une portée administrative complète. L'étendue administrative complète signifie que ce compte peut appliquer des politiques à tous les comptes et unités organisationnelles (OUs) de l'organisation, prendre des mesures dans toutes les régions et gérer tous les types de politiques de Firewall Manager.

1. Choisissez **Créer un compte administrateur** pour créer le compte administrateur par défaut.

# Disqualification des modifications apportées à un compte administrateur de Firewall Manager
<a name="disqualified-admin-account"></a>

Certaines modifications apportées à un compte administrateur peuvent empêcher celui-ci de rester un compte administrateur. 

Cette section décrit les modifications susceptibles de disqualifier un compte administrateur, ainsi que la manière dont AWS Firewall Manager gère ces modifications. 

## Compte supprimé de l'organisation dans AWS Organizations
<a name="admin-account-not-in-org"></a>

Si le compte AWS Firewall Manager administrateur est supprimé de l'organisation dans AWS Organizations, il ne peut plus administrer les politiques de l'organisation. Firewall Manager effectue l'une des actions suivantes : 
+ **Compte sans politiques** — Si le compte administrateur de Firewall Manager n'a aucune politique de Firewall Manager, Firewall Manager révoque le compte administrateur. 
+ **Compte avec politiques de Firewall Manager** — Si le compte administrateur de Firewall Manager possède des politiques de Firewall Manager, Firewall Manager vous envoie un e-mail pour vous informer de la situation et vous proposer les options que vous pouvez prendre, avec l'aide de votre responsable AWS commercial. 

## Compte fermé
<a name="closed-admin-account"></a>

Si vous fermez le compte que vous utilisez pour l' AWS Firewall Manager administrateur AWS et que Firewall Manager gère la fermeture comme suit : 
+ AWS révoque l'accès administrateur du compte depuis Firewall Manager et Firewall Manager désactive toutes les politiques gérées par le compte administrateur. Les protections fournies par ces politiques sont supprimées dans l'ensemble de l'organisation. 
+ AWS conserve les données de politique de Firewall Manager relatives au compte pendant 90 jours à compter de la date effective de fermeture du compte administrateur. Pendant cette période de 90 jours, vous pouvez rouvrir le compte fermé. 
  + Si vous rouvrez le compte fermé pendant la période de 90 jours, AWS réassignez le compte en tant qu'administrateur de Firewall Manager et récupérez les données de politique de Firewall Manager relatives au compte. 
  + Sinon, à la fin de la période de 90 jours, toutes les données de politique de Firewall Manager relatives au compte sont AWS définitivement supprimées.