AWS Firewall Manager portée de la politique - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Configuration de la portée de la politiqueGestion de la portée de la politique

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Firewall Manager portée de la politique

Le champ d'application de la politique définit les domaines dans lesquels la politique s'applique. Vous pouvez appliquer des politiques contrôlées de manière centralisée à tous vos comptes et ressources au sein de votre organisation ou à un sous-ensemble de vos comptes et ressources. AWS Organizations Pour obtenir des instructions sur la façon de définir le champ d'application de la politique, consultezCréation d'une AWS Firewall Manager politique.

Options du champ d'application de la politique dans AWS Firewall Manager

Lorsque vous ajoutez un nouveau compte ou une nouvelle ressource à votre organisation, Firewall Manager l'évalue automatiquement par rapport à vos paramètres pour chaque politique et applique la politique en fonction de ces paramètres. Par exemple, vous pouvez choisir d'appliquer une politique à tous les comptes à l'exception des numéros de compte figurant dans une liste spécifiée ; vous pouvez également choisir d'appliquer une politique uniquement aux ressources qui possèdent toutes les balises d'une liste.

Comptes AWS dans le champ d'application

Les paramètres que vous définissez pour définir les comptes Comptes AWS concernés par la politique déterminent les comptes de votre AWS organisation auxquels appliquer la politique. Vous pouvez choisir d'appliquer la stratégie de l'une des manières suivantes :

  • À tous les comptes de votre organisation

  • À seulement une liste spécifique de numéros de compte et d'unités d’organisation AWS Organizations inclus

  • À tous les éléments sauf une liste spécifique de numéros de compte et d'unités d’organisation AWS Organizations exclus

Pour plus d'informations AWS Organizations, consultez le Guide de AWS Organizations l'utilisateur.

Ressources concernées

Comme pour les comptes concernés, les paramètres que vous fournissez pour les ressources déterminent les types de ressources concernés auxquels appliquer la politique. Vous pouvez choisir l'une des méthodes suivantes.

  • Toutes les ressources

  • Ressources contenant toutes les balises que vous spécifiez

  • Toutes les ressources sauf celles qui ont toutes les balises que vous spécifiez

Vous ne pouvez spécifier des balises de ressources qu'avec des valeurs non nulles. Si vous ne fournissez rien pour la valeur, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises ayant la même clé et la même valeur.

Pour plus d'informations sur le balisage de vos ressources, consultez Utilisation de l'éditeur de balises.

Gestion du périmètre des politiques dans AWS Firewall Manager

Lorsque des politiques sont en place, Firewall Manager les gère en permanence et les applique aux nouvelles ressources au fur Comptes AWS et à mesure qu'elles sont ajoutées, conformément au champ d'application de la politique.

Comment Firewall Manager gère ses ressources Comptes AWS et gère ses ressources

Si un compte ou une ressource sort du champ d'application pour une raison quelconque, AWS Firewall Manager cela ne supprime pas automatiquement les protections ou ne supprime pas les ressources gérées par Firewall Manager, sauf si vous cochez la case Supprimer automatiquement les protections des ressources qui quittent le champ d'application de la politique.

Note

L'option Supprimer automatiquement les protections des ressources qui quittent le champ d'application de la politique n'est pas disponible pour AWS Shield Advanced les politiques AWS WAF classiques.

Cette case à cocher permet de AWS Firewall Manager nettoyer automatiquement les ressources gérées par Firewall Manager pour les comptes lorsque ces comptes quittent le champ d'application de la politique. Par exemple, Firewall Manager dissocie une ACL Web gérée par Firewall Manager d'une ressource client protégée lorsque la ressource client quitte le champ d'application de la politique.

Pour déterminer quelles ressources doivent être retirées de la protection lorsqu'une ressource client quitte le champ d'application de la politique, Firewall Manager suit les directives suivantes :

  • Comportement par défaut :

    • Les règles AWS Config gérées associées sont supprimées. Ce comportement est indépendant de la case à cocher.

    • Toutes les listes de contrôle d'accès AWS WAF Web (ACL Web) associées ne contenant aucune ressource sont supprimées. Ce comportement est indépendant de la case à cocher.

    • Toute ressource protégée qui sort de son champ d'application reste associée et protégée. Par exemple, une Application Load Balancer ou une API d'API Gateway associée à une ACL Web reste associée à l'ACL Web et la protection reste en place.

  • Lorsque la case Supprimer automatiquement les protections des ressources qui quittent le champ d'application de la politique est cochée :

    • Les règles AWS Config gérées associées sont supprimées. Ce comportement est indépendant de la case à cocher.

    • Toutes les listes de contrôle d'accès AWS WAF Web (ACL Web) associées ne contenant aucune ressource sont supprimées. Ce comportement est indépendant de la case à cocher.

    • Toute ressource protégée qui sort du champ d'application est automatiquement dissociée et supprimée de la protection de Firewall Manager lorsqu'elle quitte le champ d'application de la politique. Par exemple, pour une politique de groupe de sécurité, une instance d'accélérateur Elastic Inference ou d'Amazon EC2 est automatiquement dissociée du groupe de sécurité répliqué lorsqu'elle quitte le champ d'application de la politique. Le groupe de sécurité répliqué et ses ressources sont automatiquement retirés de la protection.