Étape 3 : créer et appliquer une politique Fortigate CNF - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 3 : créer et appliquer une politique Fortigate CNF

Après avoir rempli les conditions requises, vous créez une politique AWS Firewall Manager Fortigate CNF.

Pour plus d'informations sur les politiques de Firewall Manager pour Fortigate CNF, consultez. Politiques de pare-feu natif du cloud (CNF) de Fortigate en tant que service

Pour créer une politique Firewall Manager pour Fortigate CNF (console)

  1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  2. Dans le volet de navigation, sélectionnez Stratégies de sécurité.

  3. Choisissez Créer une politique.

  4. Pour le type de politique, choisissez Fortigate CNF. Si vous n'êtes pas encore abonné au service Fortigate CNF sur le AWS Marketplace, vous devez d'abord le faire. Pour vous abonner à la AWS Marketplace, choisissez View AWS Marketplace details.

  5. Pour le modèle de déploiement, choisissez le modèle distribué ou le modèle centralisé. Le modèle de déploiement détermine la manière dont Firewall Manager gère les points de terminaison pour la politique. Avec le modèle distribué, Firewall Manager gère les points de terminaison du pare-feu dans chaque VPC relevant du champ d'application des politiques. Avec le modèle centralisé, Firewall Manager gère un point de terminaison unique dans un VPC d'inspection.

  6. Pour Région, choisissez un Région AWS. Pour protéger les ressources de plusieurs régions, vous devez créer des politiques distinctes pour chaque région.

  7. Choisissez Suivant.

  9. Dans la configuration de la politique, choisissez la politique de pare-feu Fortigate CNF à associer à cette politique. La liste des politiques de pare-feu Fortigate CNF contient toutes les politiques de pare-feu Fortigate CNF associées à votre client Fortigate CNF. Pour plus d'informations sur la création et la gestion des politiques de pare-feu Fortigate CNF, consultez la documentation de Fortigate CNF.

  10. Choisissez Suivant.

  11. Sous Configurer un point de terminaison de pare-feu tiers, effectuez l'une des opérations suivantes, selon que vous utilisez le modèle de déploiement distribué ou centralisé pour créer vos points de terminaison de pare-feu :

    • Si vous utilisez le modèle de déploiement distribué pour cette politique, sous Zones de disponibilité, sélectionnez les zones de disponibilité dans lesquelles créer des points de terminaison de pare-feu. Vous pouvez sélectionner des zones de disponibilité par nom de zone de disponibilité ou par ID de zone de disponibilité.

    • Si vous utilisez le modèle de déploiement centralisé pour cette politique, dans la configuration du point de AWS Firewall Manager terminaison sous Configuration du VPC d'inspection, entrez l'ID de AWS compte du propriétaire du VPC d'inspection et l'ID du VPC d'inspection.

      • Sous Zones de disponibilité, sélectionnez les zones de disponibilité dans lesquelles créer des points de terminaison de pare-feu. Vous pouvez sélectionner des zones de disponibilité par nom de zone de disponibilité ou par ID de zone de disponibilité.

  12. Choisissez Suivant.

  13. Pour le champ d'application de la politique, dans le cadre de Comptes AWS cette politique s'applique à, choisissez l'option suivante :

    • Si vous souhaitez appliquer la politique à tous les comptes de votre organisation, laissez la sélection par défaut, Inclure tous les comptes de mon AWS organisation.

    • Si vous souhaitez appliquer la politique uniquement à des comptes spécifiques ou à des comptes appartenant à des unités AWS Organizations organisationnelles (UO) spécifiques, choisissez Inclure uniquement les comptes et unités organisationnelles spécifiés, puis ajoutez les comptes et les UO que vous souhaitez inclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    • Si vous souhaitez appliquer la politique à tous les comptes ou unités d' AWS Organizations organisation (UO) à l'exception d'un ensemble spécifique, choisissez Exclure les comptes et unités organisationnelles spécifiés et incluez tous les autres, puis ajoutez les comptes et les unités d'organisation que vous souhaitez exclure. Spécifier une unité d'organisation équivaut à spécifier tous les comptes de l'unité d'organisation et, le cas échéant, les unités d'organisation enfants, y compris les unités d'organisation enfants et les comptes ajoutés ultérieurement.

    Vous ne pouvez choisir qu'une des options.

    Une fois que vous avez appliqué la politique, Firewall Manager évalue automatiquement les nouveaux comptes par rapport à vos paramètres. Par exemple, si vous n'incluez que des comptes spécifiques, Firewall Manager n'applique cette politique à aucun nouveau compte. Autre exemple, si vous incluez une unité d'organisation, lorsque vous ajoutez un compte à l'unité d'organisation ou à l'une de ses unités d'organisation secondaires, Firewall Manager applique automatiquement la politique au nouveau compte.

    Le type de ressource pour les politiques Fortigate CNF est VPC.

  14. Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

    Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

    Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

  15. Pour accorder un accès entre comptes, choisissez Télécharger le AWS CloudFormation modèle. Cela télécharge un AWS CloudFormation modèle que vous pouvez utiliser pour créer une AWS CloudFormation pile. Cette pile crée un AWS Identity and Access Management rôle qui accorde à Firewall Manager des autorisations entre comptes pour gérer les ressources Fortigate CNF. Pour plus d'informations sur les piles, reportez-vous à la section Utilisation des piles dans le Guide de l'AWS CloudFormation utilisateur. Pour créer une pile, vous aurez besoin de l'identifiant de compte du portail Fortigate CNF.

  16. Choisissez Suivant.

  17. Pour les balises de stratégie, ajoutez les balises d'identification que vous souhaitez ajouter à la ressource de politique de Firewall Manager. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

  18. Choisissez Suivant.

  19. Passez en revue les nouveaux paramètres de politique et revenez à toutes les pages où vous devez apporter des modifications.

    Vérifiez que Policy action (Action de stratégie) est défini sur Identify resources that don’t comply with the policy rules, but don’t auto remediate (Identifier les ressources qui ne sont pas conformes aux règles de stratégie, mais ne pas effectuer une résolution automatique). Cela vous permet de passer en revue les modifications que votre politique apporterait avant de les activer.

  20. Lorsque vous êtes satisfait de la politique, choisissez Créer une politique.

    Dans le volet AWS Firewall Manager des politiques, votre politique doit être répertoriée. Il indiquera probablement En attente sous les en-têtes des comptes et indiquera l'état du paramètre de correction automatique. La création d'une stratégie peut prendre plusieurs minutes. Une fois que le statut Pending (En attente) est remplacé par le nombre de comptes, vous pouvez choisir le nom de la stratégie pour examiner le statut de conformité des comptes et des ressources. Pour plus d'informations, veuillez consulter Afficher les informations de conformité d'une AWS Firewall Manager politique

Pour plus d'informations sur les politiques CNF de Firewall Manager Fortigate, consultez. Politiques de pare-feu natif du cloud (CNF) de Fortigate en tant que service