Listes gérées - AWS WAF, AWS Firewall Manager, et AWS Shield Advanced
Gestion des versions des listesUtilisation de listes géréesCréation d'une liste d'applications gérées personnaliséeCréation d'une liste de protocoles gérés personnaliséeAfficher une liste géréeSupprimer une liste gérée personnalisée

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Listes gérées

Les listes d'applications et de protocoles gérées rationalisent la configuration et la gestion des politiques de groupe de sécurité relatives à l'audit de AWS Firewall Manager contenu. Vous utilisez des listes gérées pour définir les protocoles et les applications autorisés et interdits par votre politique. Pour plus d'informations sur les politiques de groupe de sécurité relatives à l'audit de contenu, consultezStratégies de groupe de sécurité d'audit de contenu.

Vous pouvez utiliser les types de listes gérées suivants dans une stratégie de groupe de sécurité d'audit de contenu :

  • Listes d'applications et listes de protocoles Firewall Manager : Firewall Manager gère ces listes.

    • Les listes d'applications incluent FMS-Default-Public-Access-Apps-Allowed etFMS-Default-Public-Access-Apps-Denied, qui décrivent les applications couramment utilisées qui devraient être autorisées ou refusées au grand public.

    • Les listes de protocoles incluent FMS-Default-Protocols-Allowed une liste de protocoles couramment utilisés qui devraient être autorisés au grand public. Vous pouvez utiliser n'importe quelle liste gérée par Firewall Manager, mais vous ne pouvez ni la modifier ni la supprimer.

  • Listes d'applications et listes de protocoles personnalisées : vous gérez ces listes. Vous pouvez créer des listes de l'un ou l'autre type avec les paramètres dont vous avez besoin. Vous avez le contrôle total de vos propres listes gérées personnalisées, et vous pouvez les créer, les modifier et les supprimer selon vos besoins.

    Note

    À l'heure actuelle, Firewall Manager ne vérifie pas les références à une liste gérée personnalisée lorsque vous la supprimez. Cela signifie que vous pouvez supprimer une liste d'applications ou de protocoles gérée personnalisée même lorsqu'elle est utilisée par une politique active. Cela peut entraîner l'arrêt du fonctionnement de la politique. Supprimez une liste d'applications ou une liste de protocoles uniquement après avoir vérifié qu'elle n'est référencée par aucune politique active.

Les listes gérées sont AWS des ressources. Vous pouvez baliser une liste gérée personnalisée. Vous ne pouvez pas baliser une liste gérée par Firewall Manager.

Gestion des versions des listes

Les listes gérées personnalisées n'ont pas de versions. Lorsque vous modifiez une liste personnalisée, les politiques qui y font référence utilisent automatiquement la liste mise à jour.

Les listes gérées par Firewall Manager sont versionnées. L'équipe du service Firewall Manager publie les nouvelles versions selon les besoins, afin d'appliquer les meilleures pratiques de sécurité aux listes.

Lorsque vous utilisez une liste gérée par Firewall Manager dans une politique, vous choisissez votre stratégie de gestion des versions comme suit :

  • Dernière version disponible : si vous ne spécifiez pas de paramètre de version explicite pour la liste, votre politique utilise automatiquement la dernière version. Il s'agit de la seule option disponible via la console.

  • Version explicite : si vous spécifiez une version pour la liste, votre politique utilise cette version. Votre politique reste verrouillée sur la version que vous avez spécifiée jusqu'à ce que vous modifiiez le paramètre de version. Pour spécifier la version, vous devez définir la politique en dehors de la console, par exemple via la CLI ou l'un des SDK.

Pour plus d'informations sur le choix du paramètre de version pour une liste, consultezUtilisation de listes gérées dans vos politiques de groupe de sécurité d'audit de contenu.

Utilisation de listes gérées dans vos politiques de groupe de sécurité d'audit de contenu

Lorsque vous créez une stratégie de groupe de sécurité d'audit de contenu, vous pouvez choisir d'utiliser des règles de stratégie d'audit gérées. Certains paramètres de cette option nécessitent une liste d'applications gérées ou une liste de protocoles. Ces paramètres incluent, par exemple, les protocoles autorisés dans les règles des groupes de sécurité et les applications pouvant accéder à Internet.

Les restrictions suivantes s'appliquent à chaque paramètre de stratégie qui utilise une liste gérée :

  • Vous pouvez spécifier au plus une liste gérée par Firewall Manager pour chaque paramètre. Par défaut, vous pouvez spécifier au plus une liste personnalisée. La limite de liste personnalisée est un quota souple, vous pouvez donc en demander l'augmentation. Pour plus d’informations, consultez AWS Firewall Manager quotas.

  • Dans la console, si vous sélectionnez une liste gérée par Firewall Manager, vous ne pouvez pas spécifier la version. La politique utilisera toujours la dernière version de la liste. Pour spécifier la version, vous devez définir la politique en dehors de la console, par exemple via la CLI ou l'un des SDK. Pour plus d'informations sur le versionnement des listes gérées par Firewall Manager, consultezGestion des versions des listes.

Pour plus d'informations sur la création d'une politique de groupe de sécurité d'audit de contenu via la console, consultezCréation d'une stratégie de groupe de sécurité d'audit de contenu.

Création d'une liste d'applications gérées personnalisée

Pour créer une liste d'applications gérées personnalisée

  1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  2. Dans le volet de navigation, sélectionnez Listes d'applications.

  3. Sur la page des listes d'applications, choisissez Créer une liste d'applications.

  4. Sur la page Créer une liste d'applications, donnez un nom à votre liste. N'utilisez pas le préfixe fms- car il est réservé à Firewall Manager.

  5. Spécifiez une application soit en fournissant le protocole et le numéro de port, soit en sélectionnant une application dans le menu déroulant Type. Donnez un nom aux spécifications de votre application.

  6. Choisissez Ajouter un autre formulaire si nécessaire et renseignez les informations de candidature jusqu'à ce que vous ayez complété votre liste.

  7. (Facultatif) Appliquez des balises à votre liste.

  8. Choisissez Enregistrer pour enregistrer votre liste et revenir à la page des listes d'applications.

Création d'une liste de protocoles gérés personnalisée

Pour créer une liste de protocoles gérés personnalisée

  1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  2. Dans le volet de navigation, sélectionnez Protocol lists.

  3. Dans la page Listes de protocoles, choisissez Créer une liste de protocoles.

  4. Sur la page de création de la liste de protocoles, nommez votre liste. N'utilisez pas le préfixe fms- car il est réservé à Firewall Manager.

  5. Spécifiez un protocole.

  6. Choisissez Ajouter un autre protocole si nécessaire et renseignez les informations du protocole jusqu'à ce que vous ayez terminé votre liste.

  7. (Facultatif) Appliquez des balises à votre liste.

  8. Choisissez Enregistrer pour enregistrer votre liste et revenir à la page des listes de protocoles.

Afficher une liste gérée

Pour consulter une liste d'applications ou une liste de protocoles

  1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  2. Dans le volet de navigation, sélectionnez Listes d'applications ou Listes de protocoles.

    La page affiche toutes les listes du type sélectionné que vous pouvez utiliser. Les listes gérées par Firewall Manager ont un Y dans la ManagedListcolonne.

  3. Pour voir les détails d'une liste, choisissez son nom. La page détaillée affiche le contenu de la liste et les éventuelles balises.

    Pour les listes gérées par Firewall Manager, vous pouvez également voir les versions disponibles en sélectionnant le menu déroulant Version.

Supprimer une liste gérée personnalisée

Vous pouvez supprimer des listes gérées personnalisées. Vous ne pouvez ni modifier ni supprimer les listes gérées par Firewall Manager.

Note

À l'heure actuelle, Firewall Manager ne vérifie pas les références à une liste gérée personnalisée lorsque vous la supprimez. Cela signifie que vous pouvez supprimer une liste d'applications ou de protocoles gérée personnalisée même lorsqu'elle est utilisée par une politique active. Cela peut entraîner l'arrêt du fonctionnement de la politique. Ne supprimez une liste d'applications ou une liste de protocoles qu'après avoir vérifié qu'elle n'est référencée par aucune politique active.

Pour supprimer une liste d'applications ou de protocoles gérés personnalisés

  1. Connectez-vous à l' AWS Management Console aide de votre compte administrateur Firewall Manager, puis ouvrez la console Firewall Manager à l'adressehttps://console.aws.amazon.com/wafv2/fmsv2. Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

    Note

    Pour plus d'informations sur la configuration d'un compte administrateur Firewall Manager, consultez AWS Firewall Manager prérequis.

  2. Assurez-vous que la liste que vous souhaitez supprimer n'est utilisée dans aucune de vos politiques de groupe de sécurité d'audit en procédant comme suit :

    1. Dans le volet de navigation, sélectionnez Stratégies de sécurité.

    2. Sur la page des AWS Firewall Manager politiques, sélectionnez et modifiez vos groupes de sécurité d'audit, puis supprimez toutes les références à la liste personnalisée que vous souhaitez supprimer.

      Si vous supprimez une liste gérée personnalisée utilisée dans une stratégie de groupe de sécurité d'audit, la stratégie qui l'utilise peut cesser de fonctionner.

  3. Dans le volet de navigation, choisissez Listes d'applications ou Listes de protocoles, selon le type de liste que vous souhaitez supprimer.

  4. Sur la page de liste, sélectionnez la liste personnalisée que vous souhaitez supprimer et choisissez Supprimer.