Étape 2 : Création d'une politique ACL réseau - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Étape 2 : Création d'une politique ACL réseau

Après avoir rempli les conditions requises, vous créez une politique ACL réseau Firewall Manager. Une politique d'ACL réseau fournit une définition d'ACL réseau contrôlée de manière centralisée pour AWS l'ensemble de votre organisation. Il définit également les sous-réseaux Comptes AWS et auxquels s'applique l'ACL du réseau.

Pour plus d'informations sur les politiques ACL du réseau Firewall Manager, consultezPolitiques ACL du réseau.

Pour des informations générales sur les politiques ACL du réseau Firewall Manager, consultezPolitiques ACL du réseau.

Note

Dans le cadre de ce didacticiel, vous n'appliquerez pas votre politique ACL réseau aux sous-réseaux de votre organisation. Vous allez simplement créer la politique et voir ce qui se passerait si vous appliquiez l'ACL réseau de la politique à vos sous-réseaux. Pour ce faire, désactivez la résolution automatique sur la stratégie.

Pour créer une politique ACL réseau Firewall Manager (console)

  1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  2. Dans le volet de navigation, sélectionnez Stratégies de sécurité.

  3. Si vous n'avez pas respecté les prérequis, la console affiche les instructions sur la façon de corriger les problèmes. Suivez les instructions, puis revenez à cette étape pour créer une politique ACL réseau.

  4. Choisissez Créer une politique.

  5. Pour Région, choisissez un Région AWS.

  6. Pour le type de stratégie, choisissez Network ACL.

  7. Choisissez Suivant.

  8. Dans Nom de la politique, entrez un nom descriptif.

  9. Pour les règles de politique ACL du réseau, définissez les première et dernière règles pour le trafic entrant et sortant.

    Vous définissez les règles ACL du réseau dans Firewall Manager de la même manière que vous les définissez via Amazon VPC. La seule différence est qu'au lieu d'attribuer vous-même des numéros de règles, vous attribuez l'ordre d'exécution de chaque ensemble de règles, puis Firewall Manager vous attribue les numéros lorsque vous enregistrez la politique. Vous pouvez définir jusqu'à 5 règles entrantes, réparties de quelque manière que ce soit entre la première et la dernière, et vous pouvez définir jusqu'à 5 règles sortantes.

    Pour obtenir des conseils sur la spécification des règles ACL réseau, consultez la section Ajouter et supprimer des règles ACL réseau dans le guide de l'utilisateur Amazon VPC.

    Les règles que vous définissez dans la politique Firewall Manager spécifient la configuration de règles minimale qu'une ACL réseau doit avoir pour être conforme à la politique ACL réseau. Par exemple, les règles entrantes d'une ACL réseau ne peuvent pas être conformes à la politique à moins qu'elles ne commencent par les premières règles entrantes de la politique, dans le même ordre que celui indiqué dans la stratégie. Pour plus d’informations, consultez Politiques ACL du réseau.

  10. Pour Policy action (Action de stratégie), choisissez Identify resources that don’t comply with the policy rules, but don’t auto remediate (Identifier les ressources qui ne sont pas conformes aux règles de stratégie, mais ne pas effectuer une résolution automatique).

  11. Choisissez Suivant.

  12. Comptes AWS concerné par cette politique vous permet de réduire le champ d'application de votre politique en spécifiant les comptes à inclure ou à exclure. Pour ce didacticiel, choisissez Include all accounts under my organization (Inclure tous les comptes de mon organisation).

    Le type de ressource pour une politique ACL réseau est toujours sous-réseau.

  13. Pour les ressources, vous pouvez réduire la portée de la politique à l'aide du balisage, en incluant ou en excluant les ressources avec les balises que vous spécifiez. Vous pouvez utiliser l'inclusion ou l'exclusion, mais pas les deux. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

    Si vous entrez plusieurs balises, une ressource doit avoir toutes les balises à inclure ou à exclure.

    Les balises de ressources ne peuvent avoir que des valeurs non nulles. Si vous omettez la valeur d'une balise, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

  14. Choisissez Suivant.

  15. Pour les balises de stratégie, ajoutez les balises d'identification que vous souhaitez ajouter à la ressource de politique de Firewall Manager. Pour plus d'informations sur les balises, consultez Utilisation de Tag Editor.

  16. Choisissez Suivant.

  17. Passez en revue les nouveaux paramètres de politique et revenez à toutes les pages où vous devez apporter des modifications.

    Vérifiez que Policy action (Action de stratégie) est défini sur Identify resources that don’t comply with the policy rules, but don’t auto remediate (Identifier les ressources qui ne sont pas conformes aux règles de stratégie, mais ne pas effectuer une résolution automatique). Cela vous permet de passer en revue les modifications que votre politique apporterait avant de les activer.

  18. Lorsque vous êtes satisfait de la politique, choisissez Créer une politique.

    Dans le volet AWS Firewall Manager des politiques, votre politique doit être répertoriée. Il indiquera probablement En attente sous les en-têtes des comptes et indiquera l'état du paramètre de correction automatique. La création d'une stratégie peut prendre plusieurs minutes. Une fois que le statut Pending (En attente) est remplacé par le nombre de comptes, vous pouvez choisir le nom de la stratégie pour examiner le statut de conformité des comptes et des ressources. Pour plus d'informations, veuillez consulter Afficher les informations de conformité d'une AWS Firewall Manager politique

  19. Lorsque vous avez terminé votre exploration, si vous ne souhaitez pas conserver la politique que vous avez créée pour ce didacticiel, choisissez le nom de la politique, choisissez Supprimer, choisissez Nettoyer les ressources créées par cette politique. , puis choisissez Supprimer.

Pour plus d'informations sur les politiques ACL du réseau Firewall Manager, consultezPolitiques ACL du réseau.