Politiques relatives à la liste de contrôle d'accès réseau (ACL) Amazon VPC - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Règles ACL et balisage du réseauGestion initiale des ACL du réseauCorrection pour les ACL de réseau gérésRapports de conformité du réseau ACLBonnes pratiquesMises en gardeSuppression d'une politique ACL réseau

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Politiques relatives à la liste de contrôle d'accès réseau (ACL) Amazon VPC

Cette section décrit le fonctionnement des politiques ACL du AWS Firewall Manager réseau et fournit des conseils pour les utiliser. Pour obtenir des conseils sur la création d'une politique ACL réseau à l'aide de la console, reportez-vous àCréation d'une ACL politique réseau.

Pour plus d'informations sur les listes de contrôle d'accès réseau (ACL) Amazon VPC, consultez la section Contrôler le trafic vers les sous-réseaux à l'aide des listes ACL réseau dans le guide de l'utilisateur Amazon VPC.

Vous pouvez utiliser les politiques ACL du réseau Firewall Manager pour gérer les listes de contrôle d'accès réseau (ACL) Amazon Virtual Private Cloud (Amazon VPC) pour votre organisation dans. AWS Organizations Vous définissez les paramètres des règles ACL réseau de la politique ainsi que les comptes et sous-réseaux auxquels vous souhaitez que les paramètres soient appliqués. Firewall Manager applique en permanence vos paramètres de politique aux comptes et aux sous-réseaux au fur et à mesure qu'ils sont ajoutés ou mis à jour au sein de votre organisation. Pour plus d'informations sur le champ d'application de la politique AWS Firewall Manager portée de la politique et consultez le Guide de AWS Organizations l'utilisateur. AWS Organizations

Lorsque vous définissez une politique ACL réseau Firewall Manager, outre les paramètres de stratégie standard de Firewall Manager, tels que le nom et la portée, vous fournissez les informations suivantes :

  • Première et dernière règles de gestion du trafic entrant et sortant. Firewall Manager impose leur présence et leur ordre dans les listes de contrôle d'accès du réseau couvertes par la politique, ou signale les cas de non-conformité. Vos comptes individuels peuvent créer des règles personnalisées à appliquer entre la première et la dernière règle de la politique.

  • S'il faut forcer la correction lorsque la correction entraînerait des conflits de gestion du trafic entre les règles de l'ACL du réseau. Cela s'applique uniquement lorsque la correction est activée pour la politique.

Règles ACL et balisage du réseau Firewall Manager

Cette section décrit les spécifications des règles de politique ACL réseau et les ACL réseau gérées par Firewall Manager.

Marquage sur un réseau géré ACL

Firewall Manager étiquette une ACL de réseau géré avec une FMManaged balise dont la valeur est detrue. Firewall Manager effectue des corrections uniquement sur les ACL réseau dotées de ce paramètre de balise.

Règles que vous définissez dans la politique

Dans la spécification de votre politique ACL réseau, vous définissez les règles que vous souhaitez exécuter en premier et en dernier pour le trafic entrant et les règles que vous souhaitez exécuter en premier et en dernier pour le trafic sortant.

Par défaut, vous pouvez définir jusqu'à 5 règles entrantes, à utiliser dans n'importe quelle combinaison des premières et dernières règles de la politique. De même, vous pouvez définir jusqu'à 5 règles de sortie. Pour en savoir plus sur ces limites, consultezQuotas souples. Pour plus d'informations sur les limites générales des ACL réseau, consultez les quotas Amazon VPC sur les ACL réseau dans le guide de l'utilisateur Amazon VPC.

Vous n'attribuez pas de numéros de règles aux règles de politique. Au lieu de cela, vous spécifiez les règles dans l'ordre dans lequel vous souhaitez qu'elles soient évaluées, et Firewall Manager utilise cet ordre pour attribuer des numéros de règles dans les ACL du réseau qu'il gère.

En outre, vous gérez les spécifications des règles ACL réseau de la politique comme vous le feriez pour les règles d'une ACL réseau via Amazon VPC. Pour plus d'informations sur la gestion des ACL réseau dans Amazon VPC, consultez les sections Contrôler le trafic vers les sous-réseaux à l'aide des ACL réseau et Travailler avec des ACL réseau dans le guide de l'utilisateur Amazon VPC.

Règles dans un réseau géré ACL

Firewall Manager configure les règles d'une ACL réseau qu'il gère en plaçant les premières et dernières règles de la politique avant et après les règles personnalisées définies par un responsable de compte individuel. Firewall Manager préserve l'ordre des règles personnalisées. Les ACL du réseau sont évaluées en commençant par la règle du numéro le plus bas.

Lorsque Firewall Manager crée pour la première fois une ACL réseau, il définit les règles avec la numérotation suivante :

  • Premières règles : 1, 2,... — Défini par vos soins dans la politique ACL du réseau Firewall Manager.

    Firewall Manager attribue des numéros de règles commençant à 1 par incréments de 1, les règles étant ordonnées comme vous les avez ordonnées dans la spécification de la politique.

  • Règles personnalisées : 5 000, 5 100,... — Géré par des responsables de comptes individuels via Amazon VPC.

    Firewall Manager attribue des numéros à ces règles en commençant par 5 000 et en augmentant de 100 pour chaque règle suivante.

  • Dernières règles :... 32 765, 32 766 — Défini par vous dans la politique ACL du réseau Firewall Manager.

    Firewall Manager attribue des numéros de règles qui se terminent par le nombre le plus élevé possible, 32766 par incréments de 1, les règles étant ordonnées comme vous les avez ordonnées dans la spécification de la politique.

Après l'initialisation des ACL réseau, Firewall Manager ne contrôle pas les modifications apportées par les comptes individuels dans ses ACL réseau gérées. Les comptes individuels peuvent modifier une ACL réseau sans la rendre non conforme, à condition que les règles personnalisées restent numérotées entre la première et la dernière règle de la politique, et que les première et dernière règles conservent leur ordre spécifié. Il est recommandé de respecter la numérotation décrite dans cette section lors de la gestion des règles personnalisées.

Comment Firewall Manager initie la gestion des ACL réseau pour un sous-réseau

Firewall Manager commence à gérer l'ACL réseau pour un sous-réseau lorsqu'il associe le sous-réseau à une ACL réseau que Firewall Manager a créée et étiquetée avec FMManaged set to. true

La conformité à une politique d'ACL réseau nécessite que les premières règles de la stratégie soient positionnées en premier, dans l'ordre spécifié dans la politique, les dernières règles positionnées en dernier, dans l'ordre, et toutes les autres règles personnalisées positionnées au milieu. Ces exigences peuvent être satisfaites par une ACL réseau non gérée à laquelle le sous-réseau est déjà associé ou par une ACL réseau gérée.

Lorsque Firewall Manager applique une politique ACL réseau à un sous-réseau associé à une ACL réseau non gérée, Firewall Manager vérifie les points suivants dans l'ordre et s'arrête lorsqu'il identifie une option viable :

  1. L'ACL réseau associée est déjà conforme : si l'ACL réseau actuellement associée au sous-réseau est conforme, Firewall Manager laisse cette association en place et ne démarre pas la gestion des ACL réseau pour le sous-réseau.

    Firewall Manager ne modifie ni ne gère une ACL réseau dont il n'est pas le propriétaire, mais tant qu'elle est conforme, Firewall Manager la laisse en place et surveille simplement sa conformité aux politiques.

  2. Un ACL réseau géré conforme est disponible : si Firewall Manager gère déjà un ACL réseau conforme à la configuration requise, c'est une option. Si la correction est activée, Firewall Manager y associe le sous-réseau. Si la correction est désactivée, Firewall Manager marque le sous-réseau comme non conforme et propose le remplacement de l'association ACL réseau comme option de correction.

  3. Création d'une nouvelle ACL réseau gérée conforme : si la correction est activée, Firewall Manager crée une nouvelle ACL réseau et l'associe au sous-réseau. Dans le cas contraire, Firewall Manager marque le sous-réseau comme non conforme et propose les options de correction consistant à créer la nouvelle ACL réseau et à remplacer l'association ACL réseau.

Si ces étapes échouent, Firewall Manager signale la non-conformité du sous-réseau.

Firewall Manager suit ces étapes lorsqu'un sous-réseau entre pour la première fois dans le champ d'application et lorsque l'ACL réseau non géré d'un sous-réseau n'est pas conforme.

Comment Firewall Manager remédie aux ACL non conformes des réseaux gérés

Cette section décrit comment Firewall Manager corrige les ACL de son réseau géré lorsqu'elles ne sont pas conformes à la politique. Firewall Manager corrige uniquement les ACL du réseau géré, avec la balise définie surFMManaged. true Pour les ACL réseau qui ne sont pas gérées par Firewall Manager, consultezGestion initiale des ACL du réseau.

La correction rétablit les emplacements relatifs des premières règles, des règles personnalisées et des dernières règles et rétablit l'ordre des premières et des dernières règles. Au cours de la correction, Firewall Manager ne déplace pas nécessairement les règles vers les numéros de règles qu'il utilise lors de l'initialisation des ACL réseau. Pour les paramètres numériques initiaux et les descriptions de ces catégories de règles, consultezGestion initiale des ACL du réseau.

Afin d'établir des règles conformes et un ordre des règles, Firewall Manager peut avoir besoin de déplacer les règles au sein de l'ACL du réseau. Firewall Manager préserve autant que possible les protections de l'ACL du réseau en maintenant l'ordre des règles conformes existant. Par exemple, il peut dupliquer temporairement les règles vers de nouveaux emplacements, puis effectuer une suppression ordonnée des règles d'origine, en préservant les emplacements relatifs pendant le processus.

Cette approche protège vos paramètres, mais elle nécessite également de l'espace dans l'ACL du réseau pour les règles provisoires. Si Firewall Manager atteint le nombre limite de règles dans une ACL réseau, il interrompt la correction. Dans ce cas, l'ACL du réseau n'est toujours pas conforme et Firewall Manager indique la raison.

Si un compte ajoute des règles personnalisées à une ACL réseau gérée par Firewall Manager et que ces règles interfèrent avec la correction de Firewall Manager, Firewall Manager arrête toute activité de correction sur l'ACL réseau et signale le conflit.

Assainissement forcé

Si vous choisissez la correction automatique pour la politique, vous spécifiez également si vous souhaitez forcer la correction pour les premières règles ou pour les dernières règles.

Lorsque Firewall Manager rencontre un conflit dans la gestion du trafic entre une règle personnalisée et une règle de politique, il fait référence au paramètre de correction forcée correspondant. Si la correction forcée est activée, Firewall Manager applique la correction, malgré le conflit. Si cette option n'est pas activée, Firewall Manager arrête la correction. Dans les deux cas, Firewall Manager signale le conflit de règles et propose des options de correction.

Exigences et limites relatives au nombre de règles

Au cours de la correction, Firewall Manager peut temporairement dupliquer les règles afin de les déplacer sans altérer les protections qu'elles fournissent.

Pour les règles entrantes ou sortantes, le plus grand nombre de règles dont Firewall Manager peut avoir besoin pour effectuer la correction est le suivant : 

2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction

Les ACL réseau et les politiques ACL réseau sont soumises à des limites de règles modifiables. Si Firewall Manager atteint une limite dans ses efforts de correction, il arrête d'essayer de remédier et signale la non-conformité.

Pour permettre à Firewall Manager d'effectuer ses activités de correction, vous pouvez demander une augmentation de la limite. Vous pouvez également modifier la configuration de la politique ou de l'ACL réseau afin de réduire le nombre de règles utilisées.

Pour plus d'informations sur les limites d'ACL du réseau, consultez les quotas Amazon VPC sur les ACL du réseau dans le guide de l'utilisateur Amazon VPC.

En cas d'échec de la correction

Lors de la mise à jour d'une ACL réseau, si Firewall Manager doit s'arrêter pour une raison quelconque, il n'annule pas les modifications, mais laisse l'ACL réseau dans un état provisoire. Si vous constatez des règles dupliquées dans une ACL réseau dont la FMManaged balise est définie surtrue, Firewall Manager est probablement en train de la corriger. Les modifications peuvent être partiellement achevées pendant un certain temps, mais en raison de l'approche adoptée par Firewall Manager en matière de correction, cela n'interrompra pas le trafic et ne réduira pas la protection des sous-réseaux associés.

Lorsque Firewall Manager ne corrige pas complètement les ACL réseau non conformes, il signale la non-conformité des sous-réseaux associés et suggère des options de correction possibles.

Réessayer en cas d'échec de la correction

Dans la plupart des cas, si Firewall Manager ne parvient pas à effectuer les modifications correctives apportées à une ACL réseau, il réessaiera éventuellement de le faire.

L'exception à cette règle est lorsque la correction atteint la limite du nombre de règles ACL du réseau ou la limite du nombre d'ACL du réseau VPC. Firewall Manager ne peut pas effectuer d'activités de correction qui privent AWS les ressources de leurs paramètres limites. Dans ces cas, vous devez réduire le nombre ou augmenter les limites pour pouvoir continuer. Pour plus d'informations sur les limites, consultez les quotas Amazon VPC sur les ACL réseau dans le guide de l'utilisateur Amazon VPC.

Rapports de conformité aux ACL du réseau Firewall Manager

Firewall Manager surveille et signale la conformité de toutes les ACL réseau associées aux sous-réseaux concernés.

D'une manière générale, la non-conformité se produit dans des situations telles que l'ordre incorrect des règles ou un conflit dans le comportement de gestion du trafic entre les règles politiques et les règles personnalisées. Les rapports de non-conformité incluent les violations de conformité et les options de correction.

Firewall Manager signale les violations de conformité pour une politique ACL réseau de la même manière que pour les autres types de politiques. Pour plus d'informations sur les rapports de conformité, consultezAfficher les informations de conformité d'une AWS Firewall Manager politique.

Non-conformité lors des mises à jour des politiques

Une fois que vous avez modifié une politique ACL réseau, jusqu'à ce que Firewall Manager mette à jour les ACL réseau couvertes par la politique, Firewall Manager marque ces ACL réseau comme non conformes. Firewall Manager le fait même si les ACL du réseau peuvent, à proprement parler, être conformes.

Par exemple, si vous supprimez des règles de la spécification de stratégie, alors que les ACL du réseau concernées contiennent toujours des règles supplémentaires, leurs définitions de règles peuvent toujours être conformes à la politique. Cependant, étant donné que les règles supplémentaires font partie des règles gérées par Firewall Manager, Firewall Manager les considère comme des violations des paramètres de politique actuels. Cela est différent de la façon dont Firewall Manager affiche les règles personnalisées que vous ajoutez aux listes de contrôle d'accès du réseau géré par Firewall Manager.

Bonnes pratiques d'utilisation des politiques ACL du réseau Firewall Manager

Cette section répertorie les recommandations relatives à l'utilisation des politiques ACL du réseau Firewall Manager et des ACL du réseau géré.

Reportez-vous à la FMManaged balise pour identifier les ACL réseau gérées par Firewall Manager

Les ACL réseau gérées par Firewall Manager ont la FMManaged balise définie sur. true Utilisez cette balise pour vous aider à distinguer vos propres ACL réseau personnalisées de celles que vous gérez via Firewall Manager.

Ne modifiez pas la valeur de la FMManaged balise sur une ACL réseau

Firewall Manager utilise cette balise pour définir et déterminer son état de gestion à l'aide d'une ACL réseau.

Ne modifiez pas les associations pour les sous-réseaux dotés de listes de contrôle d'accès réseau gérées par Firewall Manager

Ne modifiez pas manuellement les associations entre vos sous-réseaux et les ACL réseau gérées par Firewall Manager. Cela peut empêcher Firewall Manager de gérer les protections de ces sous-réseaux. Vous pouvez identifier les ACL réseau qui sont gérées par Firewall Manager en recherchant les paramètres de FMManaged balise detrue.

Pour supprimer un sous-réseau de la gestion des politiques de Firewall Manager, utilisez les paramètres de portée des politiques de Firewall Manager pour exclure le sous-réseau. Par exemple, vous pouvez étiqueter le sous-réseau, puis exclure cette balise du champ d'application de la politique. Pour plus d’informations, consultez AWS Firewall Manager portée de la politique.

Lorsque vous mettez à jour une ACL réseau gérée, ne modifiez pas les règles gérées par Firewall Manager

Dans une ACL réseau gérée par Firewall Manager, séparez vos règles personnalisées des règles politiques en respectant le schéma de numérotation décrit dans. Règles ACL et balisage du réseau Firewall Manager Ajoutez ou modifiez uniquement les règles dont les nombres sont compris entre 5 000 et 32 000.

Évitez d'ajouter trop de règles pour les limites de votre compte

Lors de la correction d'un ACL réseau, Firewall Manager augmente généralement le nombre de règles ACL du réseau temporairement. Pour éviter les problèmes de non-conformité, assurez-vous de disposer de suffisamment de place pour les règles que vous utilisez. Pour plus d’informations, consultez Comment Firewall Manager remédie aux ACL non conformes des réseaux gérés.

Désactiver le lancement avec la correction automatique

Commencez par désactiver la correction automatique, puis passez en revue les informations détaillées de la politique pour déterminer les effets que la correction automatique aurait. Lorsque vous êtes convaincu que les modifications correspondent à vos souhaits, modifiez la stratégie pour activer la résolution automatique.

Mises en garde relatives à la politique ACL du réseau Firewall Manager

Cette section répertorie les mises en garde et les limites liées à l'utilisation des politiques ACL du réseau Firewall Manager.

  • Temps de mise à jour plus lent qu'avec les autres politiques : Firewall Manager applique généralement les politiques ACL du réseau et modifie les politiques plus lentement qu'avec les autres politiques de Firewall Manager, en raison des limites de la vitesse à laquelle les API ACL du réseau Amazon EC2 sont capables de traiter les demandes. Vous remarquerez peut-être que les modifications de politique prennent plus de temps que les modifications similaires apportées aux autres politiques de Firewall Manager, en particulier lorsque vous ajoutez une politique pour la première fois.

  • Pour la protection initiale des sous-réseaux, Firewall Manager préfère les anciennes politiques. Cela s'applique uniquement aux sous-réseaux qui ne sont pas encore protégés par une politique ACL du réseau Firewall Manager. Si un sous-réseau entre dans le champ d'application de plusieurs politiques ACL en même temps, Firewall Manager utilise la plus ancienne stratégie pour protéger le sous-réseau.

  • Raisons pour lesquelles une politique cesse de protéger un sous-réseau — Une politique qui gère l'ACL réseau pour un sous-réseau conserve la gestion jusqu'à ce que l'une des situations suivantes se produise :

    • Le sous-réseau sort du champ d'application de la politique.

    • La politique est supprimée.

    • Vous modifiez manuellement l'association du sous-réseau en une ACL réseau gérée par une politique de Firewall Manager différente et pour laquelle le sous-réseau est concerné.

Suppression d'une politique ACL du réseau Firewall Manager

Lorsque vous supprimez une politique ACL réseau de Firewall Manager, Firewall Manager remplace les valeurs des FMManaged balises par false des valeurs correspondant à toutes les ACL réseau qu'il gère pour cette politique.

En outre, vous pouvez choisir de nettoyer ou non les ressources créées par la politique. Si vous choisissez le nettoyage, Firewall Manager essaie de suivre les étapes suivantes dans l'ordre :

  1. Restaurez l'association d'origine : Firewall Manager essaie de réassocier le sous-réseau à l'ACL réseau à laquelle il était associé avant que Firewall Manager ne commence à le gérer.

  2. Supprimer les premières et dernières règles de l'ACL réseau : s'il ne parvient pas à modifier l'association, Firewall Manager essaie de supprimer les premières et dernières règles de la politique, en ne laissant que les règles personnalisées dans l'ACL réseau associée au sous-réseau.

  3. Ne rien modifier aux règles ou à l'association : s'il ne peut effectuer aucune des actions ci-dessus, Firewall Manager laisse l'ACL réseau et son association inchangées.

Si vous ne choisissez pas l'option de nettoyage, vous devrez gérer manuellement chaque ACL réseau après la suppression de la politique. Dans la plupart des situations, choisir l'option de nettoyage est l'approche la plus simple.