Utilisation du champ d'application AWS Firewall Manager de la politique

Cette page explique le champ d'application de la politique de Firewall Manager et son fonctionnement.

Le champ d'application de la politique définit les domaines dans lesquels la politique s'applique. Vous pouvez appliquer des politiques contrôlées de manière centralisée à tous vos comptes et ressources au sein de votre organisation ou à un sous-ensemble de vos comptes et ressources. AWS Organizations Pour obtenir des instructions sur la façon de définir le champ d'application de la politique, consultezCréation d'une AWS Firewall Manager politique.

Options du champ d'application de la politique dans AWS Firewall Manager

Lorsque vous ajoutez un nouveau compte ou une nouvelle ressource à votre organisation, Firewall Manager l'évalue automatiquement par rapport à vos paramètres pour chaque politique et applique la politique en fonction de ces paramètres. Par exemple, vous pouvez choisir d'appliquer une politique à tous les comptes à l'exception des numéros de compte figurant dans une liste spécifiée ; vous pouvez également choisir d'appliquer une politique uniquement aux ressources qui possèdent toutes les balises d'une liste.

Comptes AWS dans le champ d'application

Les paramètres que vous définissez pour définir les comptes Comptes AWS concernés par la politique déterminent les comptes de votre AWS organisation auxquels appliquer la politique. Vous pouvez choisir d'appliquer la stratégie de l'une des manières suivantes :

• À tous les comptes de votre organisation

• Vers une liste spécifique de numéros de compte et d'unités AWS Organizations organisationnelles inclus uniquement (OUs)

• À tous sauf à une liste spécifique de numéros de compte et AWS Organizations d'unités organisationnelles exclus (OUs)

Pour plus d'informations AWS Organizations, consultez le Guide de AWS Organizations l'utilisateur.

Ressources concernées

Comme pour les comptes concernés, les paramètres que vous fournissez pour les ressources déterminent les types de ressources concernés auxquels appliquer la politique. Vous pouvez choisir l'une des méthodes suivantes.

• Toutes les ressources

• Ressources contenant toutes les balises que vous spécifiez

• Toutes les ressources sauf celles qui ont toutes les balises que vous spécifiez

Vous ne pouvez spécifier des balises de ressources qu'avec des valeurs non nulles. Si vous ne fournissez rien pour la valeur, Firewall Manager enregistre la balise avec une valeur de chaîne vide : « ». Les balises de ressources correspondent uniquement aux balises qui ont la même clé et la même valeur.

Pour plus d'informations sur le balisage de vos ressources, consultez Utilisation de l'éditeur de balises.

Gestion du périmètre des politiques dans AWS Firewall Manager

Lorsque des politiques sont en place, Firewall Manager les gère en permanence et les applique aux nouvelles ressources au fur Comptes AWS et à mesure qu'elles sont ajoutées, conformément au champ d'application de la politique.

Comment Firewall Manager gère Comptes AWS et utilise les ressources

Si un compte ou une ressource sort du champ d'application pour une raison quelconque, AWS Firewall Manager cela ne supprime pas automatiquement les protections ou les ressources gérées par Firewall Manager, sauf si vous cochez la case Supprimer automatiquement les protections des ressources qui quittent le champ d'application de la politique.

Note

L'option Supprimer automatiquement les protections des ressources qui quittent le champ d'application de la politique n'est pas disponible pour AWS Shield Advanced les politiques AWS WAF classiques.

La sélection de cette case AWS Firewall Manager à cocher permet de nettoyer automatiquement les ressources gérées par Firewall Manager pour les comptes lorsque ces comptes quittent le champ d'application de la politique. Par exemple, Firewall Manager dissocie un site Web ACL géré par Firewall Manager d'une ressource client protégée lorsque cette ressource quitte le champ d'application de la politique.

Pour déterminer quelles ressources doivent être retirées de la protection lorsqu'une ressource client quitte le champ d'application de la politique, Firewall Manager suit les directives suivantes :

• Comportement par défaut :

  • Les règles AWS Config gérées associées sont supprimées. Ce comportement est indépendant de la case à cocher.

  • Toutes les listes de contrôle d'accès AWS WAF Web (WebACLs) associées ne contenant aucune ressource sont supprimées. Ce comportement est indépendant de la case à cocher.

  • Toute ressource protégée qui sort de son champ d'application reste associée et protégée. Par exemple, un Application Load Balancer ou API une API passerelle associé à un site Web ACL reste associé au Web ACL et la protection reste en place.

• Lorsque la case Supprimer automatiquement les protections des ressources qui quittent le champ d'application de la politique est cochée :

  • Les règles AWS Config gérées associées sont supprimées. Ce comportement est indépendant de la case à cocher.

  • Toutes les listes de contrôle d'accès AWS WAF Web (WebACLs) associées ne contenant aucune ressource sont supprimées. Ce comportement est indépendant de la case à cocher.

  • Toute ressource protégée qui sort du champ d'application est automatiquement dissociée et supprimée de la protection de Firewall Manager lorsqu'elle quitte le champ d'application de la politique. Par exemple, pour une politique de groupe de sécurité, un accélérateur Elastic Inference ou une EC2 instance Amazon sont automatiquement dissociés du groupe de sécurité répliqué lorsqu'ils quittent le champ d'application de la politique. Le groupe de sécurité répliqué et ses ressources sont automatiquement retirés de la protection.