Utilisation des AWS Shield Advanced politiques dans Firewall Manager

Cette page explique comment utiliser AWS Shield les politiques avec Firewall Manager. Dans une AWS Shield politique de Firewall Manager, vous choisissez les ressources que vous souhaitez protéger. Lorsque vous appliquez la politique alors que la correction automatique est activée, Firewall Manager associe un site Web vide AWS WAF à chaque ressource incluse qui n'est pas encore associée à un AWS WAF site WebACL. ACL Le Web vide ACL est utilisé à des fins de surveillance du Shield. Si vous associez ensuite un autre site Web ACL à la ressource, Firewall Manager supprime l'ACLassociation Web vide.

Note

Lorsqu'une ressource relevant d'une AWS WAF politique entre dans le champ d'application d'une politique Shield Advanced configurée avec une DDoSatténuation automatique de la couche applicative, Firewall Manager applique la protection Shield Advanced uniquement après avoir associé le site Web ACL créé par la AWS WAF politique.

Comment AWS Firewall Manager gère les politiques Web non associées ACLs dans Shield

Vous pouvez configurer si Firewall Manager gère le Web non associé ACLs pour vous via le ACLs paramètre Gérer le Web non associé de votre politique ou le optimizeUnassociatedWebACLs paramètre du type de SecurityServicePolicyDatadonnées dans le. API Si vous activez la gestion du Web non associé ACLs dans votre politique, Firewall Manager crée du Web ACLs dans les comptes concernés par la politique uniquement si le Web est ACLs destiné à être utilisé par au moins une ressource. À tout moment, si un compte entre dans le champ d'application de la politique, Firewall Manager crée automatiquement un site Web ACL dans le compte si au moins une ressource utilise le WebACL.

Lorsque vous activez la gestion du Web non associéACLs, Firewall Manager effectue un nettoyage unique du Web non associé ACLs dans votre compte. Le processus de nettoyage peut prendre plusieurs heures. Si une ressource quitte le champ d'application de la politique une fois que Firewall Manager a créé un site WebACL, Firewall Manager ne dissocie pas la ressource du WebACL. Si vous souhaitez que Firewall Manager nettoie le WebACL, vous devez d'abord dissocier manuellement les ressources du WebACL, puis activer l'ACLsoption de gestion des sites Web non associés dans votre politique.

Si vous n'activez pas cette option, Firewall Manager ne gère pas les sites Web ACLs non associés et Firewall Manager crée automatiquement un site Web ACL dans chaque compte relevant du champ d'application de la politique.

Comment AWS Firewall Manager gère-t-il les modifications du champ d'application des politiques du Shield

Les comptes et les ressources peuvent sortir du champ d'application d'une politique AWS Firewall Manager Shield Advanced en raison d'un certain nombre de modifications, telles que la modification des paramètres du champ d'application de la politique, la modification des balises d'une ressource et la suppression d'un compte d'une organisation. Pour des informations générales sur les paramètres du champ d'application des politiques, consultezUtilisation du champ d'application AWS Firewall Manager de la politique.

Avec une politique AWS Firewall Manager Shield Advanced, si un compte ou une ressource sort de son champ d'application, Firewall Manager arrête de surveiller le compte ou la ressource.

Si un compte devient hors de portée en raison de sa suppression de l'organisation, il continuera d'être abonné à Shield Advanced. Comme le compte ne fait plus partie de la famille de facturation consolidée, des frais d'abonnement à Shield Advanced seront facturés au prorata. En revanche, un compte qui sort du champ d'application mais qui reste dans l'organisation n'entraîne pas de frais supplémentaires.

Si une ressource devient hors de portée, elle continue d'être protégée par Shield Advanced et continue de faire l'objet de frais de transfert de données.