Étape 2 : créer et appliquer une AWS WAF politique - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 2 : créer et appliquer une AWS WAF politique

Une AWS WAF politique Firewall Manager contient les groupes de règles que vous souhaitez appliquer à vos ressources. Firewall Manager crée une ACL Web Firewall Manager dans chaque compte sur lequel vous appliquez la politique. Les gestionnaires de comptes individuels peuvent ajouter des règles et des groupes de règles à la liste ACL web résultante, en plus des groupes de règles que vous définissez ici. Pour plus d'informations sur les AWS WAF politiques de Firewall Manager, consultezAWS WAF politiques.

Pour créer une AWS WAF politique Firewall Manager (console)

Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  1. Dans le volet de navigation, sélectionnez Stratégies de sécurité.

  2. Choisissez Créer une politique.

  3. Pour Policy type (Type de stratégie), choisissez AWS WAF.

  4. Pour Région, choisissez un Région AWS. Pour protéger les CloudFront distributions Amazon, choisissez Global.

    Pour protéger les ressources dans plusieurs régions (autres que les CloudFront distributions), vous devez créer des politiques Firewall Manager distinctes pour chaque région.

  5. Choisissez Suivant.

  6. Dans Nom de la politique, entrez un nom descriptif. Firewall Manager inclut le nom de la politique dans les noms des ACL Web qu'il gère. Les noms des ACL Web sont FMManagedWebACLV2- suivis du nom de la politique que vous entrez ici et de l'horodatage de création des ACL Web, en millisecondes UTC. - Par exemple, FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

    Important

    Les noms des ACL Web ne peuvent pas changer après leur création. Si vous mettez à jour le nom de votre politique, Firewall Manager ne mettra pas à jour le nom de l'ACL Web associé. Pour que Firewall Manager crée une ACL Web portant un nom différent, vous devez créer une nouvelle politique.

  7. Sous Policy rules (Règles de stratégie), pour First rule groups (Premiers groupes de règles), choisissez Add rule groups (Ajouter des groupes de règles). Développez les groupes de règles AWS gérés. Pour Core rule set (Ensemble de règles de base), activez l'option Add to web ACL (Ajouter à la liste ACL web). Pour les entrées erronées AWS connues, activez l'option Ajouter à l'ACL Web. Choisissez Add rules (Ajouter des règles).

    Pour Last rule groups (Derniers groupes de règles), choisissez Add rule groups (Ajouter des groupes de règles). Développez les groupes de règles AWS gérés et, pour la liste de réputation d'Amazon IP, activez l'option Ajouter à l'ACL Web. Choisissez Add rules (Ajouter des règles).

    Sous Premiers groupes de règles, sélectionnez Ensemble de règles de base et choisissez Déplacer vers le bas. AWS WAF évalue les requêtes Web par rapport au groupe de règles relatives aux entrées erronées AWS connues avant de les évaluer par rapport à l'ensemble de règles de base.

    Vous pouvez également créer vos propres groupes de AWS WAF règles si vous le souhaitez à l'aide de la AWS WAF console. Tous les groupes de règles que vous créez apparaissent sous Vos groupes de règles dans la page Describe policy : Add rule groups (Décrire la stratégie : Ajouter des groupes de règles).

    Les premier et dernier groupes de AWS WAF règles que vous gérez via Firewall Manager ont des noms qui commencent respectivement par PREFMManaged- ou POSTFMManaged- sont suivis du nom de la politique de Firewall Manager et de l'horodatage de création du groupe de règles, en millisecondes UTC. Par exemple, PREFMManaged-MyWAFPolicyName-1621880555123.

  8. Conservez l'action par défaut Autoriser pour la liste ACL web.

  9. Conservez la valeur par défaut de Policy action (Action de stratégie), pour ne pas corriger automatiquement les ressources non conformes. Vous pouvez modifier cette option ultérieurement.

  10. Choisissez Suivant.

  11. Pour Policy scope (Étendue de la stratégie), vous fournissez les paramètres pour les comptes, les types de ressources et le balisage qui identifient les ressources auxquelles vous souhaitez appliquer la stratégie. Pour ce didacticiel, quittez les paramètres Comptes AWSet Ressources, puis choisissez un ou plusieurs types de ressources.

  12. Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

    Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

    Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

  13. Choisissez Suivant.

  14. Pour les balises de stratégie, ajoutez les balises d'identification que vous souhaitez ajouter à la ressource de politique de Firewall Manager. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

  15. Choisissez Suivant.

  16. Passez en revue les nouveaux paramètres de politique et revenez à toutes les pages où vous devez apporter des modifications.

    Vérifiez que Policy action (Action de stratégie) est défini sur Identify resources that don’t comply with the policy rules, but don’t auto remediate (Identifier les ressources qui ne sont pas conformes aux règles de stratégie, mais ne pas effectuer une résolution automatique). Cela vous permet de passer en revue les modifications que votre politique apporterait avant de les activer.

  17. Lorsque vous êtes satisfait de la politique, choisissez Créer une politique.

    Dans le volet AWS Firewall Manager des politiques, votre politique doit être répertoriée. Il indiquera probablement En attente sous les en-têtes des comptes et indiquera l'état du paramètre de correction automatique. La création d'une stratégie peut prendre plusieurs minutes. Une fois que le statut Pending (En attente) est remplacé par le nombre de comptes, vous pouvez choisir le nom de la stratégie pour examiner le statut de conformité des comptes et des ressources. Pour plus d'informations, veuillez consulter Afficher les informations de conformité d'une AWS Firewall Manager politique