MembuatAWS Firewall Manager kebijakan - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

MembuatAWS Firewall Manager kebijakan

Langkah-langkah untuk membuat kebijakan bervariasi antara jenis kebijakan yang berbeda. Pastikan untuk menggunakan prosedur untuk jenis kebijakan yang Anda butuhkan.

penting

AWS Firewall Managertidak mendukung Amazon Route 53 atauAWS Global Accelerator. Jika Anda ingin melindungi sumber daya ini dengan Shield Advanced, Anda tidak dapat menggunakan kebijakan Firewall Manager. Sebagai gantinya, ikuti instruksi diMENAMBAHKANAWS Shield AdvancedPerlindunganAWSsumber daya.

MembuatAWS Firewall Manager kebijakan untukAWS WAF

DalamAWS WAF kebijakan Firewall Manager, Anda dapat menggunakan grup aturan terkelola, yang dibuatAWS dan dikelolaAWS Marketplace penjual untuk Anda. Anda juga dapat membuat dan menggunakan grup aturan Anda sendiri. Untuk informasi selengkapnya tentang grup aturan, lihatGrup aturan.

catatan

Firewall Manager mendukung grup aturan terkelola KontrolAWS WAF Bot baru. Untuk informasi tentang Kontrol BotAWS WAF, lihatAWS WAFKontrol Bot.

Jika Anda ingin menggunakan grup aturan Anda sendiri, buat grup tersebut sebelum membuatAWS WAF kebijakan Firewall Manager. Untuk panduan, lihat Mengelola grup aturanmu. Untuk menggunakan aturan kustom individual, Anda harus menentukan grup aturan Anda sendiri, menentukan aturan di dalamnya, dan kemudian menggunakan grup aturan dalam kebijakan Anda.

Untuk informasi tentangAWS WAF kebijakan Firewall Manager, lihatKebijakan AWS WAF.

Cara membuat kebijakan Firewall Manager untukAWS WAF (konsol)

  1. Masuk keAWS Management Console menggunakan akun administrator Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2.

    catatan

    Untuk informasi tentang pengaturan akun administrator Firewall Manager, lihatPrasyarat AWS Firewall Manager.

  2. Di panel navigasi, pilih Kebijakan Keamanan.

  3. Pilih Buat kebijakan.

  4. Untuk Jenis kebijakan, pilih AWS WAF.

  5. Untuk Wilayah, pilihWilayah AWS. Untuk melindungi CloudFront distribusi Amazon, pilih Global.

    Untuk melindungi sumber daya di beberapa Wilayah (selain CloudFront distribusi), Anda harus membuat kebijakan Firewall Manager terpisah untuk setiap Wilayah.

  6. Pilih Selanjutnya.

  7. Untuk Nama kebijakan, masukkan nama deskriptif. Firewall Manager menyertakan nama kebijakan dalam nama ACL web yang dikelolanya. Nama ACL web telahFMManagedWebACLV2- diikuti oleh nama kebijakan yang Anda masukkan di sini-,, dan cap waktu pembuatan ACL web, dalam milidetik UTC. Sebagai contoh, FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

  8. Di bawah Aturan kebijakan, tambahkan grup aturan yangAWS WAF ingin Anda evaluasi terlebih dahulu dan terakhir di ACL web. Untuk menggunakan versi grup aturanAWS WAF terkelola, alihkan Aktifkan pembuatan versi. Manajer akun individual dapat menambahkan aturan dan grup aturan di antara grup aturan pertama Anda dan grup aturan terakhir Anda. Untuk informasi selengkapnya tentang penggunaan grupAWS WAF aturan dalam kebijakan Firewall ManagerAWS WAF, lihatKebijakan AWS WAF.

  9. Mengatur tindakan default untuk ACL web. Ini adalah tindakan yangAWS WAF ambil ketika permintaan web tidak cocok dengan aturan apa pun di web ACL. Anda dapat menambahkan header kustom dengan tindakan Izinkan, atau respons khusus untuk tindakan Blokir. Untuk informasi selengkapnya tentang tindakan ACL web default, lihatMemutuskan tindakan default untuk ACL web. Untuk informasi tentang pengaturan permintaan dan tanggapan web kustom, lihatPermintaan dan tanggapan web yang disesuaikan diAWS WAF.

  10. Untuk tindakan Kebijakan, jika Anda ingin membuat ACL web di setiap akun yang berlaku dalam organisasi, tetapi belum menerapkan ACL web ke sumber daya apa pun, pilih Identifikasi sumber daya yang tidak mematuhi aturan kebijakan, tetapi jangan memulihkan secara auto. Anda dapat mengubah opsi nanti.

    Jika Anda ingin menerapkan kebijakan secara otomatis ke sumber daya dalam lingkup yang ada, pilih Ubah secara otomatis sumber daya yang tidak sesuai. Opsi ini membuat ACL web di setiap akun yang berlaku dalamAWS organisasi dan mengaitkan ACL web dengan sumber daya di akun.

    Bila Anda memilih Auto remediate sumber daya noncompliant, Anda juga dapat memilih untuk menghapus asosiasi ACL web yang ada dari sumber daya dalam lingkup, untuk ACL web yang tidak dikelola oleh kebijakan Firewall Manager aktif lainnya. Jika Anda memilih opsi ini, Firewall Manager pertama-tama mengaitkan ACL web kebijakan dengan sumber daya, dan kemudian menghapus asosiasi sebelumnya. Jika sumber daya memiliki hubungan dengan ACL web lain yang dikelola oleh kebijakan Firewall Manager aktif yang berbeda, pilihan ini tidak memengaruhi asosiasi tersebut.

  11. Pilih Selanjutnya.

  12. Untuk kebijakanAkun AWS ini berlaku, pilih opsi sebagai berikut:

    • Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, Sertakan semua akun di bawahAWS organisasi saya.

    • Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unitAWS Organizations organisasi tertentu (oU), pilih Sertakan hanya akun dan unit organisasi yang ditentukan, lalu tambahkan akun dan OU yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    • Jika Anda ingin menerapkan kebijakan untuk semua kecuali sekumpulan akun atau unitAWS Organizations organisasi (oU) tertentu, pilih Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua yang lain, lalu tambahkan akun dan OU yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    Anda hanya dapat memilih salah satu opsi.

    Setelah Anda menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu anak OU, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

  13. Untuk tipe sumber daya, pilih jenis sumber daya yang ingin Anda lindungi.

  14. Untuk Sumber Daya, jika Anda ingin melindungi (atau mengecualikan) hanya sumber daya yang memiliki tag tertentu, pilih opsi yang sesuai, lalu masukkan tag untuk menyertakan atau mengecualikan. Anda hanya dapat memilih satu opsi. Untuk informasi selengkapnya tentang tanda, lihat Bekerja dengan Editor Tag.

    Jika Anda memasukkan lebih dari satu tanda, sumber daya harus memiliki semua tanda untuk disertakan atau dikecualikan.

  15. Pilih Selanjutnya.

  16. Untuk tag Kebijakan, tambahkan tag pengenal apa pun yang Anda inginkan untuk kebijakan Firewall Manager. Untuk informasi selengkapnya tentang tanda, lihat Bekerja dengan Editor Tag.

  17. Pilih Selanjutnya.

  18. Tinjau kebijakan baru. Jika Anda ingin melakukan perubahan apa pun, pilih Edit di area yang ingin Anda ubah. Ini mengembalikan Anda ke langkah yang sesuai di wizard pembuatan. Jika Anda puas dengan kebijakan ini, pilih Create policy (Buat kebijakan).

MembuatAWS Firewall Manager kebijakan untukAWS WAF Classic

Untuk membuat kebijakan Firewall Manager untukAWS WAF Classic (konsol)

  1. Masuk keAWS Management Console menggunakan akun administrator Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2.

    catatan

    Untuk informasi tentang pengaturan akun administrator Firewall Manager, lihatPrasyarat AWS Firewall Manager.

  2. Di panel navigasi, pilih Kebijakan Keamanan.

  3. Pilih Buat kebijakan.

  4. Untuk Jenis kebijakan, pilih AWS WAFKlasik.

  5. Jika Anda telah membuat grup aturanAWS WAF Klasik yang ingin ditambahkan ke kebijakan, pilih BuatAWS Firewall Manager kebijakan dan tambahkan grup aturan yang ada. Jika Anda ingin membuat grup aturan baru, pilih Buat kebijakan Firewall Manager dan tambahkan grup aturan baru.

  6. Untuk Wilayah, pilihWilayah AWS. Untuk melindungi CloudFront sumber daya Amazon, pilih Global.

    Untuk melindungi sumber daya di beberapa Wilayah (selain CloudFront sumber daya), Anda harus membuat kebijakan Firewall Manager terpisah untuk setiap Wilayah.

  7. Pilih Selanjutnya.

  8. Jika Anda membuat grup aturan, ikuti petunjuk diMembuatAWS WAFGrup aturan klasik. Setelah Anda membuat grup aturan, lanjutkan dengan langkah-langkah berikut.

  9. Masukkan nama kebijakan.

  10. Jika Anda menambahkan grup aturan yang ada, gunakan menu tarik-turun untuk memilih grup aturan yang akan ditambahkan, lalu pilih Tambahkan grup aturan.

  11. Sebuah kebijakan memiliki dua tindakan yang mungkin: Tindakan yang ditetapkan oleh kelompok aturan dan Hitung. Jika Anda ingin menguji grup kebijakan dan aturan, setel tindakan ke Count. Tindakan ini menimpa tindakan pemblokiran yang ditentukan oleh aturan dalam grup aturan. Artinya, jika tindakan kebijakan diatur ke Count, permintaan tersebut hanya dihitung dan tidak diblokir. Sebaliknya, jika Anda menetapkan tindakan kebijakan ke Tindakan yang ditetapkan oleh grup aturan, tindakan aturan grup aturan akan digunakan. Memilih tindakan yang tepat.

  12. Pilih Selanjutnya.

  13. Untuk kebijakanAkun AWS ini berlaku, pilih opsi sebagai berikut:

    • Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, Sertakan semua akun di bawahAWS organisasi saya.

    • Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unitAWS Organizations organisasi tertentu (oU), pilih Sertakan hanya akun dan unit organisasi yang ditentukan, lalu tambahkan akun dan OU yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    • Jika Anda ingin menerapkan kebijakan untuk semua kecuali sekumpulan akun atau unitAWS Organizations organisasi (oU) tertentu, pilih Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua yang lain, lalu tambahkan akun dan OU yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    Anda hanya dapat memilih salah satu opsi.

    Setelah Anda menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu anak OU, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

  14. Pilih jenis sumber daya yang ingin Anda lindungi.

  15. Jika Anda hanya ingin melindungi sumber daya dengan tag tertentu, atau mengecualikan sumber daya dengan tag tertentu, pilih Gunakan tag untuk menyertakan/mengecualikan sumber daya, masukkan tag, lalu pilih Sertakan atau Kecualikan. Anda hanya dapat memilih satu opsi.

    Jika Anda memasukkan lebih dari satu tag (dipisahkan dengan koma), jika sumber daya memiliki salah satu tag tersebut, itu dianggap cocok.

    Untuk informasi selengkapnya tentang tanda, lihat Bekerja dengan Editor Tag.

  16. Jika Anda ingin menerapkan kebijakan secara otomatis ke sumber daya yang ada, pilih Buat dan terapkan kebijakan ini ke sumber daya yang ada dan baru.

    Opsi ini membuat ACL web di setiap akun yang berlaku dalamAWS organisasi dan mengaitkan ACL web dengan sumber daya di akun. Opsi ini juga menerapkan kebijakan untuk semua sumber daya baru yang sesuai dengan kriteria sebelumnya (jenis sumber daya dan tag). Atau, jika Anda memilih Buat kebijakan tetapi tidak menerapkan kebijakan untuk sumber daya yang ada atau baru, Firewall Manager membuat ACL web di setiap akun yang berlaku dalam organisasi, tetapi tidak menerapkan ACL web ke sumber daya apa pun. Anda harus menerapkan kebijakan untuk sumber daya nanti. Pilih opsi yang sesuai.

  17. Untuk Ganti ACL web terkait yang ada, Anda dapat memilih untuk menghapus asosiasi ACL web apa pun yang saat ini didefinisikan untuk sumber daya dalam lingkup, dan kemudian menggantinya dengan asosiasi ke ACL web yang Anda buat dengan kebijakan ini. Secara default, Firewall Manager tidak menghapus asosiasi ACL web yang ada sebelum menambahkan yang baru. Jika Anda ingin menghapus yang sudah ada, pilih opsi ini.

  18. Pilih Selanjutnya.

  19. Tinjau kebijakan baru. Untuk membuat perubahan apa pun, pilih Edit. Jika Anda puas dengan kebijakan ini, pilih Buat dan terapkan kebijakan.

MembuatAWS Firewall Manager kebijakan untukAWS Shield Advanced

Untuk membuat kebijakan Firewall Manager untuk Shield Advanced (konsol)

  1. Masuk keAWS Management Console menggunakan akun administrator Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2.

    catatan

    Untuk informasi tentang pengaturan akun administrator Firewall Manager, lihatPrasyarat AWS Firewall Manager.

  2. Di panel navigasi, pilih Kebijakan Keamanan.

  3. Pilih Buat kebijakan.

  4. Untuk Jenis kebijakan, pilih Shield Advanced.

    Untuk membuat kebijakan Shield Advanced, Anda harus berlangganan Shield Advanced. Jika Anda tidak berlangganan, Anda diminta untuk melakukannya. Untuk informasi tentang biaya berlangganan, lihat AWS Shield AdvancedHarga.

  5. Untuk Wilayah, pilihWilayah AWS. Untuk melindungi CloudFront distribusi Amazon, pilih Global.

    Untuk pilihan Wilayah selain Global, untuk melindungi sumber daya di beberapa Wilayah, Anda harus membuat kebijakan Firewall Manager terpisah untuk setiap Wilayah.

  6. Pilih Selanjutnya.

  7. Untuk Nama, masukkan nama deskriptif.

  8. Hanya untuk kebijakan Wilayah Global, Anda dapat memilih apakah Anda ingin mengelola mitigasi DDoS lapisan aplikasi otomatis Shield Advanced. Untuk informasi tentang fitur Shield Advanced ini, lihatShield Mitigasi DDoS lapisan aplikasi otomatis tingkat lanjut.

    Anda dapat memilih untuk mengaktifkan atau menonaktifkan mitigasi otomatis, atau Anda dapat memilih untuk mengabaikannya. Jika Anda memilih untuk mengabaikannya, Firewall Manager tidak mengelola mitigasi otomatis sama sekali untuk perlindungan Shield Advanced. Untuk informasi selengkapnya tentang opsi kebijakan ini, lihatMitigasi DDoS lapisan aplikasi otomatis untuk CloudFront distribusi Amazon.

  9. Untuk tindakan Kebijakan, sebaiknya buat kebijakan dengan opsi yang tidak secara otomatis memulihkan sumber daya yang tidak patuh. Saat menonaktifkan perbaikan otomatis, Anda dapat menilai efek kebijakan baru Anda sebelum menerapkannya. Ketika Anda puas bahwa perubahan adalah apa yang Anda inginkan, kemudian mengedit kebijakan dan mengubah tindakan kebijakan untuk mengaktifkan perbaikan otomatis.

    Jika Anda ingin menerapkan kebijakan secara otomatis ke sumber daya dalam lingkup yang ada, pilih Ubah secara otomatis sumber daya yang tidak sesuai. Opsi ini menerapkan perlindungan Shield Advanced untuk setiap akun yang berlaku dalamAWS organisasi dan setiap sumber daya yang berlaku di akun.

    Hanya untuk kebijakan Wilayah Global, jika Anda memilih Perbaikan otomatis sumber daya yang tidak sesuai, Anda juga dapat memilih agar Firewall Manager secara otomatis mengganti asosiasi ACL webAWS WAF Classic yang ada dengan asosiasi baru ke ACL web yang dibuat menggunakan yang terbaru versiAWS WAF (v2). Jika Anda memilih ini, Firewall Manager menghapus asosiasi dengan ACL web versi sebelumnya dan membuat asosiasi baru dengan ACL web versi terbaru, setelah membuat ACL web kosong baru di akun dalam lingkup apa pun yang belum memilikinya untuk kebijakan tersebut. Untuk informasi selengkapnya tentang opsi ini, lihat GantiAWS WAF Classic web ACL dengan ACL web versi terbaru.

  10. Pilih Selanjutnya.

  11. Untuk kebijakanAkun AWS ini berlaku, pilih opsi sebagai berikut:

    • Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, simpan pilihan default, Sertakan semua akun di bawahAWS organisasi saya.

    • Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unitAWS Organizations organisasi tertentu (oU), pilih Sertakan hanya akun dan unit organisasi yang ditentukan, lalu tambahkan akun dan OU yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    • Jika Anda ingin menerapkan kebijakan untuk semua kecuali sekumpulan akun atau unitAWS Organizations organisasi (oU) tertentu, pilih Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua yang lain, lalu tambahkan akun dan OU yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    Anda hanya dapat memilih salah satu opsi.

    Setelah Anda menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu anak OU, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

  12. Pilih jenis sumber daya yang ingin Anda lindungi.

    Firewall Manager tidak mendukung Amazon Route 53 atauAWS Global Accelerator. Jika Anda perlu menggunakan Shield Advanced untuk melindungi sumber daya dari layanan ini, Anda tidak dapat menggunakan kebijakan Firewall Manager. Sebaliknya, ikuti panduan Shield Advanced diMENAMBAHKANAWS Shield AdvancedPerlindunganAWSsumber daya.

  13. Jika Anda hanya ingin melindungi sumber daya dengan tag tertentu, atau mengecualikan sumber daya dengan tag tertentu, pilih Gunakan tag untuk menyertakan/mengecualikan sumber daya, masukkan tag yang dipisahkan dengan koma, lalu pilih Sertakan atau Kecualikan. Anda hanya dapat memilih satu opsi.

    Jika Anda memasukkan lebih dari satu tag, dan jika sumber daya memiliki salah satu tag tersebut, itu dianggap cocok.

    Untuk informasi selengkapnya tentang tanda, lihat Bekerja dengan Editor Tag.

  14. Pilih Selanjutnya.

  15. Untuk tag Kebijakan, tambahkan tag pengenal apa pun yang Anda inginkan untuk kebijakan Firewall Manager. Untuk informasi selengkapnya tentang tanda, lihat Bekerja dengan Editor Tag.

  16. Pilih Selanjutnya.

  17. Tinjau kebijakan baru. Jika Anda ingin melakukan perubahan apa pun, pilih Edit di area yang ingin Anda ubah. Ini mengembalikan Anda ke langkah yang sesuai di wizard pembuatan. Jika Anda puas dengan kebijakan ini, pilih Create policy (Buat kebijakan).

Membuat kebijakan grup keamananAWS Firewall Manager umum

Untuk informasi tentang cara kerja kebijakan grup keamanan umum, lihatKebijakan grup keamanan umum.

Untuk membuat kebijakan grup keamanan umum, Anda harus memiliki grup keamanan yang sudah dibuat di akun administrator Firewall Manager yang ingin Anda gunakan sebagai yang utama untuk kebijakan Anda. Anda dapat mengelola grup keamanan melalui Amazon Virtual Private Cloud (Amazon VPC) atau Amazon Elastic Compute Cloud (Amazon EC2). Untuk informasi, lihat Bekerja dengan Grup Keamanan di Panduan Pengguna Amazon VPC.

Membuat kebijakan grup keamanan umum (konsol)

  1. Masuk keAWS Management Console menggunakan akun administrator Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2.

    catatan

    Untuk informasi tentang pengaturan akun administrator Firewall Manager, lihatPrasyarat AWS Firewall Manager.

  2. Di panel navigasi, pilih Kebijakan Keamanan.

  3. Pilih Buat kebijakan.

  4. Untuk Jenis kebijakan, pilih Grup keamanan.

  5. Untuk Jenis kebijakan grup keamanan, pilih Grup keamanan umum.

  6. Untuk Wilayah, pilihWilayah AWS.

  7. Pilih Selanjutnya.

  8. Untuk Nama kebijakan, masukkan nama yang ramah.

  9. Untuk aturan kebijakan, lakukan hal berikut:

    1. Dari opsi aturan, pilih batasan yang ingin Anda terapkan pada aturan grup keamanan dan sumber daya yang berada dalam cakupan kebijakan. Jika Anda memilih Distribusikan tag dari grup keamanan utama ke grup keamanan yang dibuat oleh kebijakan ini, maka Anda juga harus memilih Identifikasi dan laporkan saat grup keamanan yang dibuat oleh kebijakan ini tidak sesuai.

      penting

      Firewall Manager tidak akan mendistribusikan tag sistem yang ditambahkan olehAWS layanan ke dalam grup keamanan replika. Tag sistem dimulai denganaws: awalan.

    2. Untuk Grup keamanan utama, pilih Tambahkan grup keamanan utama, lalu pilih grup keamanan yang ingin Anda gunakan. Firewall Manager mengisi daftar grup keamanan utama dari semua instans Amazon VPC di akun administrator Firewall Manager. Jumlah maksimum default grup keamanan utama untuk kebijakan adalah satu. Untuk informasi tentang meningkatkan maksimum, lihatKuota AWS Firewall Manager.

    3. Untuk tindakan Kebijakan, sebaiknya buat kebijakan dengan opsi yang tidak otomatis diperbaiki. Hal ini memungkinkan Anda untuk menilai efek dari kebijakan baru Anda sebelum Anda menerapkannya. Ketika Anda puas bahwa perubahan adalah apa yang Anda inginkan, kemudian mengedit kebijakan dan mengubah tindakan kebijakan untuk mengaktifkan perbaikan otomatis sumber daya noncompliant.

  10. Pilih Selanjutnya.

  11. Untuk kebijakanAkun AWS ini berlaku, pilih opsi sebagai berikut:

    • Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, Sertakan semua akun di bawahAWS organisasi saya.

    • Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unitAWS Organizations organisasi tertentu (oU), pilih Sertakan hanya akun dan unit organisasi yang ditentukan, lalu tambahkan akun dan OU yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    • Jika Anda ingin menerapkan kebijakan untuk semua kecuali sekumpulan akun atau unitAWS Organizations organisasi (oU) tertentu, pilih Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua yang lain, lalu tambahkan akun dan OU yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    Anda hanya dapat memilih salah satu opsi.

    Setelah Anda menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu anak OU, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

  12. Untuk tipe sumber daya, pilih jenis sumber daya yang ingin Anda lindungi.

    Jika Anda memilih instans EC2, Anda dapat memilih untuk menyertakan semua antarmuka jaringan elastis di setiap instans Amazon EC2 atau hanya antarmuka default di setiap instans. Jika Anda memiliki lebih dari satu elastic network interface dalam instans Amazon EC2 dalam lingkup apa pun, memilih opsi untuk menyertakan semua antarmuka memungkinkan Firewall Manager menerapkan kebijakan ke semuanya. Saat Anda mengaktifkan remediasi otomatis, jika Firewall Manager tidak dapat menerapkan kebijakan ke semua antarmuka jaringan elastis dalam instans Amazon EC2, itu menandai instans sebagai tidak sesuai.

  13. Untuk Sumber Daya, jika Anda ingin menerapkan kebijakan ke semua sumber daya dalamAkun AWS dan parameter jenis sumber daya, pilih Sertakan semua sumber daya yang cocok dengan jenis sumber daya yang dipilih. Jika Anda ingin menyertakan atau mengecualikan sumber daya tertentu, gunakan penandaan untuk menentukan sumber daya, lalu pilih opsi yang sesuai dan tambahkan tag ke daftar. Anda dapat menerapkan kebijakan baik untuk semua sumber daya kecuali mereka yang memiliki semua tag yang Anda tentukan, atau Anda dapat menerapkannya hanya untuk mereka yang memiliki semua tag yang Anda tentukan. Untuk informasi selengkapnya tentang penandaan sumber daya, lihat Bekerja dengan Editor Tag.

    catatan

    Jika Anda memasukkan lebih dari satu tanda, sumber daya harus memiliki semua tanda agar cocok.

  14. Untuk sumber daya VPC Bersama, jika Anda ingin menerapkan kebijakan ke sumber daya di VPC bersama, selain VPC yang dimiliki akun, pilih Sertakan sumber daya dari VPC bersama.

  15. Pilih Selanjutnya.

  16. Tinjau pengaturan kebijakan untuk memastikan pengaturan tersebut adalah yang Anda inginkan, lalu pilih Buat kebijakan.

Firewall Manager membuat replika grup keamanan utama di setiap instans Amazon VPC yang terdapat dalam akun dalam lingkup hingga kuota maksimum Amazon VPC yang didukung per akun. Firewall Manager mengaitkan grup keamanan replika ke sumber daya yang berada dalam cakupan kebijakan untuk setiap akun dalam lingkup. Untuk informasi selengkapnya tentang cara kerjanya, lihatKebijakan grup keamanan umum.

Membuat kebijakan grup keamanan auditAWS Firewall Manager konten

Untuk informasi tentang cara kerja kebijakan grup keamanan audit konten, lihatKebijakan grup keamanan konten.

Untuk beberapa pengaturan kebijakan audit konten, Anda harus menyediakan grup keamanan audit untuk Firewall Manager untuk digunakan sebagai template. Misalnya, Anda mungkin memiliki grup keamanan audit yang berisi semua aturan yang tidak Anda izinkan dalam grup keamanan mana pun. Anda harus membuat grup keamanan audit ini menggunakan akun administrator Firewall Manager, sebelum dapat menggunakannya dalam kebijakan Anda. Anda dapat mengelola grup keamanan melalui Amazon Virtual Private Cloud (Amazon VPC) atau Amazon Elastic Compute Cloud (Amazon EC2). Untuk informasi, lihat Bekerja dengan Grup Keamanan di Panduan Pengguna Amazon VPC.

Membuat kebijakan grup keamanan konten (konsol)

  1. Masuk keAWS Management Console menggunakan akun administrator Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2.

    catatan

    Untuk informasi tentang pengaturan akun administrator Firewall Manager, lihatPrasyarat AWS Firewall Manager.

  2. Di panel navigasi, pilih Kebijakan Keamanan.

  3. Pilih Buat kebijakan.

  4. Untuk Jenis kebijakan, pilih Grup keamanan.

  5. Untuk Jenis kebijakan grup keamanan, pilih Audit dan penegakan aturan grup keamanan.

  6. Untuk Wilayah, pilihWilayah AWS.

  7. Pilih Selanjutnya.

  8. Untuk Nama kebijakan, masukkan nama yang ramah.

  9. Untuk aturan kebijakan, pilih opsi aturan kebijakan terkelola atau kustom yang ingin Anda gunakan.

    1. Untuk Konfigurasi aturan kebijakan audit terkelola, lakukan hal berikut ini:

      1. Untuk Mengonfigurasi aturan grup keamanan yang akan diaudit, pilih jenis aturan grup keamanan yang ingin diterapkan kebijakan audit.

      2. Jika Anda ingin melakukan hal-hal seperti membatasi protokol, port, dan pengaturan rentang CIDR yang Anda izinkan dalam grup keamanan, pilih Audit aturan grup keamanan yang terlalu permisif dan pilih opsi yang Anda inginkan.

        Untuk pilihan yang menggunakan daftar protokol, Anda dapat menggunakan daftar yang ada dan Anda dapat membuat daftar baru. Untuk informasi tentang daftar protokol dan cara menggunakannya dalam kebijakan Anda, lihatDaftar terkelola danMenggunakan daftar terkelola.

      3. Jika Anda ingin memberlakukan pembatasan pada aplikasi tertentu yang dapat dilakukan, pilih Audit aplikasi berisiko tinggi dan pilih opsi yang Anda inginkan.

        Pilihan berikut ini bersifat eksklusif bersama: Aplikasi yang dapat mengakses rentang CIDR lokal saja dan Aplikasi yang dapat menggunakan rentang CIDR publik. Anda dapat memilih paling banyak salah satu kebijakan apa pun.

        Untuk pilihan yang menggunakan daftar aplikasi, Anda dapat menggunakan daftar yang ada dan Anda dapat membuat daftar baru. Untuk informasi tentang daftar aplikasi dan cara menggunakannya dalam kebijakan Anda, lihatDaftar terkelola danMenggunakan daftar terkelola.

      4. Gunakan pengaturan Ganti untuk secara eksplisit mengganti setelan lain dalam kebijakan. Anda dapat memilih untuk selalu mengizinkan atau selalu menolak aturan grup keamanan tertentu, terlepas dari apakah mereka mematuhi opsi lain yang telah Anda tetapkan untuk kebijakan tersebut.

        Untuk opsi ini, Anda menyediakan grup keamanan audit sebagai aturan yang diizinkan atau templat aturan yang ditolak. Untuk Grup keamanan audit, pilih Tambahkan grup keamanan audit, lalu pilih grup keamanan yang ingin Anda gunakan. Firewall Manager mengisi daftar grup keamanan audit dari semua instans Amazon VPC di akun administrator Firewall Manager. Kuota maksimum default untuk jumlah grup keamanan audit untuk suatu polis adalah satu. Untuk informasi tentang peningkatan kuota, lihatKuota AWS Firewall Manager.

    2. Untuk Konfigurasi aturan kebijakan kustom, lakukan hal berikut:

      1. Dari opsi aturan, pilih apakah hanya mengizinkan aturan yang ditentukan dalam grup keamanan audit atau menolak semua aturan. Untuk informasi tentang pilihan ini, lihatKebijakan grup keamanan konten.

      2. Untuk Grup keamanan audit, pilih Tambahkan grup keamanan audit, lalu pilih grup keamanan yang ingin Anda gunakan. Firewall Manager mengisi daftar grup keamanan audit dari semua instans Amazon VPC di akun administrator Firewall Manager. Kuota maksimum default untuk jumlah grup keamanan audit untuk suatu polis adalah satu. Untuk informasi tentang peningkatan kuota, lihatKuota AWS Firewall Manager.

      3. Untuk tindakan Kebijakan, Anda harus membuat kebijakan dengan opsi yang tidak otomatis diperbaiki. Hal ini memungkinkan Anda untuk menilai efek dari kebijakan baru Anda sebelum Anda menerapkannya. Jika Anda merasa puas bahwa perubahan adalah yang Anda inginkan, edit kebijakan dan ubah tindakan kebijakan untuk mengaktifkan perbaikan otomatis sumber daya yang tidak patuh.

  10. Pilih Selanjutnya.

  11. Untuk kebijakanAkun AWS ini berlaku, pilih opsi sebagai berikut:

    • Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, Sertakan semua akun di bawahAWS organisasi saya.

    • Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unitAWS Organizations organisasi tertentu (oU), pilih Sertakan hanya akun dan unit organisasi yang ditentukan, lalu tambahkan akun dan OU yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    • Jika Anda ingin menerapkan kebijakan untuk semua kecuali sekumpulan akun atau unitAWS Organizations organisasi (oU) tertentu, pilih Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua yang lain, lalu tambahkan akun dan OU yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    Anda hanya dapat memilih salah satu opsi.

    Setelah Anda menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu anak OU, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

  12. Untuk Jenis sumber daya, pilih jenis sumber daya yang ingin Anda lindungi.

  13. Untuk Sumber Daya, jika Anda ingin menerapkan kebijakan ke semua sumber daya dalamAkun AWS dan parameter jenis sumber daya, pilih Sertakan semua sumber daya yang cocok dengan jenis sumber daya yang dipilih. Jika Anda ingin menyertakan atau mengecualikan sumber daya tertentu, gunakan penandaan untuk menentukan sumber daya, lalu pilih opsi yang sesuai dan tambahkan tag ke daftar. Anda dapat menerapkan kebijakan baik untuk semua sumber daya kecuali mereka yang memiliki semua tag yang Anda tentukan, atau Anda dapat menerapkannya hanya untuk mereka yang memiliki semua tag yang Anda tentukan. Untuk informasi selengkapnya tentang penandaan sumber daya, lihat Bekerja dengan Editor Tag.

    catatan

    Jika Anda memasukkan lebih dari satu tanda, sumber daya harus memiliki semua tanda agar cocok.

  14. Pilih Selanjutnya.

  15. Tinjau pengaturan kebijakan untuk memastikan pengaturan tersebut adalah yang Anda inginkan, lalu pilih Buat kebijakan.

Firewall Manager membandingkan grup keamanan audit dengan grup keamanan dalam lingkup diAWS organisasi Anda, sesuai dengan pengaturan aturan kebijakan Anda. Anda dapat meninjau status kebijakan di konsolAWS Firewall Manager kebijakan. Setelah kebijakan dibuat, Anda dapat mengeditnya dan mengaktifkan remediasi otomatis untuk menerapkan kebijakan grup keamanan audit Anda. Untuk informasi selengkapnya tentang cara kerjanya, lihatKebijakan grup keamanan konten.

Membuat kebijakan grup keamananAWS Firewall Manager penggunaan

Untuk informasi tentang cara kerja kebijakan grup keamanan audit penggunaan, lihatKebijakan grup keamanan.

Membuat kebijakan grup keamanan penggunaan (konsol)

  1. Masuk keAWS Management Console menggunakan akun administrator Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2.

    catatan

    Untuk informasi tentang pengaturan akun administrator Firewall Manager, lihatPrasyarat AWS Firewall Manager.

  2. Di panel navigasi, pilih Kebijakan Keamanan.

  3. Pilih Buat kebijakan.

  4. Untuk Jenis kebijakan, pilih Grup keamanan.

  5. Untuk Jenis kebijakan grup keamanan, pilih Audit dan pembersihan grup keamanan yang tidak terpakai dan berlebihan.

  6. Untuk Wilayah, pilihWilayah AWS.

  7. Pilih Selanjutnya.

  8. Untuk Nama kebijakan, masukkan nama yang ramah.

  9. Untuk aturan Kebijakan, pilih salah satu atau kedua opsi yang tersedia.

    • Jika Anda memilih Grup keamanan dalam cakupan kebijakan ini harus digunakan oleh setidaknya satu sumber daya. , Firewall Manager menghapus setiap kelompok keamanan yang menentukan tidak digunakan. Secara default, Firewall Manager menganggap grup keamanan tidak sesuai dengan aturan kebijakan ini jika tidak digunakan untuk jangka waktu tertentu. Anda dapat secara opsional menentukan sejumlah menit bahwa grup keamanan dapat ada yang tidak digunakan sebelum dianggap tidak sesuai. Jika Anda memilih aturan ini, Firewall Manager menjalankannya terakhir saat Anda menyimpan kebijakan.

    • Jika Anda memilih Grup keamanan dalam cakupan kebijakan ini harus unik. , Firewall Manager mengkonsolidasikan grup keamanan yang berlebihan, sehingga hanya satu yang terkait dengan sumber daya apa pun. Jika Anda memilih ini, Firewall Manager menjalankannya terlebih dahulu saat Anda menyimpan kebijakan.

  10. Untuk tindakan Kebijakan, sebaiknya buat kebijakan dengan opsi yang tidak otomatis diperbaiki. Hal ini memungkinkan Anda untuk menilai efek dari kebijakan baru Anda sebelum Anda menerapkannya. Ketika Anda puas bahwa perubahan adalah apa yang Anda inginkan, kemudian mengedit kebijakan dan mengubah tindakan kebijakan untuk mengaktifkan perbaikan otomatis sumber daya noncompliant.

  11. Pilih Selanjutnya.

  12. Untuk kebijakanAkun AWS ini berlaku, pilih opsi sebagai berikut:

    • Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, Sertakan semua akun di bawahAWS organisasi saya.

    • Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unitAWS Organizations organisasi tertentu (oU), pilih Sertakan hanya akun dan unit organisasi yang ditentukan, lalu tambahkan akun dan OU yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    • Jika Anda ingin menerapkan kebijakan untuk semua kecuali sekumpulan akun atau unitAWS Organizations organisasi (oU) tertentu, pilih Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua yang lain, lalu tambahkan akun dan OU yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    Anda hanya dapat memilih salah satu opsi.

    Setelah Anda menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu anak OU, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

  13. Untuk Sumber Daya, jika Anda ingin menerapkan kebijakan ke semua sumber daya dalamAkun AWS dan parameter jenis sumber daya, pilih Sertakan semua sumber daya yang cocok dengan jenis sumber daya yang dipilih. Jika Anda ingin menyertakan atau mengecualikan sumber daya tertentu, gunakan penandaan untuk menentukan sumber daya, lalu pilih opsi yang sesuai dan tambahkan tag ke daftar. Anda dapat menerapkan kebijakan baik untuk semua sumber daya kecuali mereka yang memiliki semua tag yang Anda tentukan, atau Anda dapat menerapkannya hanya untuk mereka yang memiliki semua tag yang Anda tentukan. Untuk informasi selengkapnya tentang penandaan sumber daya, lihat Bekerja dengan Editor Tag.

    catatan

    Jika Anda memasukkan lebih dari satu tanda, sumber daya harus memiliki semua tanda agar cocok.

  14. Pilih Selanjutnya.

  15. Jika Anda belum mengecualikan akun administrator Firewall Manager dari cakupan kebijakan, Firewall Manager meminta Anda untuk melakukannya. Melakukan hal ini akan membuat grup keamanan di akun administrator Firewall Manager, yang Anda gunakan untuk kebijakan grup keamanan umum dan audit, di bawah kontrol manual Anda. Pilih opsi yang Anda inginkan dalam dialog ini.

  16. Tinjau pengaturan kebijakan untuk memastikan pengaturan tersebut adalah yang Anda inginkan, lalu pilih Buat kebijakan.

Jika Anda memilih untuk meminta grup keamanan unik, Firewall Manager memindai grup keamanan redundan di setiap instans Amazon VPC dalam lingkup. Kemudian, jika Anda memilih untuk mewajibkan setiap grup keamanan digunakan oleh setidaknya satu sumber daya, Firewall Manager memindai grup keamanan yang tetap tidak digunakan untuk menit yang ditentukan dalam aturan. Anda dapat meninjau status kebijakan di konsolAWS Firewall Manager kebijakan. Untuk informasi selengkapnya tentang cara kerjanya, lihatKebijakan grup keamanan.

MembuatAWS Firewall Manager kebijakan untukAWS Network Firewall

Dalam kebijakan Network Firewall Firewall Manager, Anda menggunakan grup aturan yang Anda kelolaAWS Network Firewall. Untuk informasi tentang mengelola grup aturan, lihat grupAWS Network Firewall aturan di Panduan Developer Network Firewall.

Untuk informasi tentang kebijakan Firewall Network Firewall Manager, lihatKebijakan AWS Network Firewall.

Cara membuat kebijakan Firewall Manager untukAWS Network Firewall (konsol)

  1. Masuk keAWS Management Console menggunakan akun administrator Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2.

    catatan

    Untuk informasi tentang pengaturan akun administrator Firewall Manager, lihatPrasyarat AWS Firewall Manager.

  2. Di panel navigasi, pilih Kebijakan Keamanan.

  3. Pilih Buat kebijakan.

  4. Untuk Jenis kebijakan, pilih AWS Network Firewall.

  5. Di bawah Model Deployment, pilih model penyebaran yang akan digunakan untuk kebijakan. Dengan Distributed, Firewall Manager membuat dan memelihara endpoint firewall di setiap VPC yang ada dalam cakupan kebijakan. Dengan Centralized, Firewall Manager menciptakan dan memelihara titik akhir dalam satu pemeriksaan VPC.

  6. Untuk Wilayah, pilihWilayah AWS. Untuk melindungi sumber daya di beberapa Wilayah, Anda harus membuat kebijakan terpisah untuk setiap Wilayah.

  7. Pilih Selanjutnya.

  8. Untuk Nama kebijakan, masukkan nama deskriptif. Firewall Manager menyertakan nama kebijakan dalam nama firewall Network Firewall dan kebijakan firewall yang dibuatnya.

  9. Dalam konfigurasiAWS Network Firewall kebijakan, konfigurasikan kebijakan firewall seperti yang Anda lakukan di Network Firewall. Tambahkan grup aturan stateless dan stateful Anda dan tentukan tindakan default kebijakan. Anda dapat mengatur urutan evaluasi aturan stateful kebijakan dan tindakan default, serta konfigurasi logging. Untuk informasi tentang manajemen kebijakan Network Firewall Firewall, lihat kebijakanAWS Network Firewall firewall di PanduanAWS Network Firewall Pengembang.

    Saat Anda membuat kebijakan Firewall Firewall Manager Network Firewall, Firewall Manager membuat kebijakan firewall untuk akun yang berada dalam cakupan. Manajer akun individual dapat menambahkan grup aturan ke kebijakan firewall, tetapi mereka tidak dapat mengubah konfigurasi yang Anda berikan di sini.

  10. Pilih Selanjutnya.

  11. Tergantung apakah Anda menggunakan model penyebaran terdistribusi atau terpusat untuk membuat endpoint firewall:

    • Jika Anda menggunakan model penyebaran terdistribusi untuk kebijakan ini, dalam konfigurasiAWS Firewall Manager titik akhir di lokasi endpoint Firewall, pilih salah satu dari opsi berikut:

      • Konfigurasi titik akhir kustom - Firewall Manager membuat firewall untuk setiap VPC dalam cakupan kebijakan, di Availability Zone yang Anda tentukan. Setiap firewall berisi setidaknya satu endpoint firewall.

        • Di bawah Availability Zone, pilih Availability Zone untuk membuat endpoint firewall. Anda dapat memilih Availability Zone berdasarkan nama Availability Zone atau dengan Availability Zone ID.

      • Konfigurasi endpoint otomatis - Firewall Manager secara otomatis membuat titik akhir firewall di Availability Zone dengan subnet publik di VPC Anda.

        • Untuk konfigurasi endpoint Firewall, tentukan bagaimana Anda ingin endpoint firewall dikelola oleh Firewall Manager. Sebaiknya gunakan beberapa titik akhir untuk ketersediaan tinggi.

    • Jika Anda menggunakan model penyebaran terpusat untuk kebijakan ini, dalam konfigurasiAWS Firewall Manager titik akhir di bawah konfigurasi VPC Inspeksi, masukkan IDAWS akun pemilik VPC inspeksi, dan ID VPC dari VPC inspeksi.

      • Di bawah Availability Zone, pilih Availability Zone untuk membuat endpoint firewall. Anda dapat memilih Availability Zone berdasarkan nama Availability Zone atau dengan Availability Zone ID.

  12. Jika Anda ingin menyediakan blok CIDR untuk Firewall Manager untuk digunakan untuk subnet firewall di VPC Anda, semuanya harus/28 blok CIDR. Masukkan satu blok per baris. Jika Anda menghilangkan ini, Firewall Manager memilih alamat IP untuk Anda dari yang tersedia di VPC.

    catatan

    Remediasi otomatis terjadi secara otomatis untuk kebijakanAWS Firewall Manager Network Firewall, jadi Anda tidak akan melihat opsi untuk memilih untuk tidak memulihkan secara auto di sini.

  13. Pilih Selanjutnya.

  14. Jika kebijakan Anda menggunakan model penyebaran terdistribusi, di bawah manajemen Route, pilih apakah Firewall Manager akan memantau dan memberi tahu lalu lintas yang harus dirutekan melalui titik akhir firewall masing-masing.

    catatan

    Jika Anda memilih Monitor, Anda tidak dapat mengubah pengaturan ke Nonaktif di kemudian hari. Pemantauan berlanjut hingga Anda menghapus kebijakan.

  15. Untuk jenis Lalu Lintas, secara opsional tambahkan titik akhir lalu lintas yang ingin Anda rutekan lalu lintas untuk pemeriksaan firewall.

  16. Untuk Izinkan lalu lintas lintas AZ yang diperlukan, jika Anda mengaktifkan opsi ini, Firewall Manager memperlakukan perutean yang sesuai yang mengirimkan lalu lintas keluar dari Availability Zone untuk diperiksa, untuk Availability Zone yang tidak memiliki titik akhir firewall sendiri. Availability Zone yang memiliki titik akhir harus selalu memeriksa lalu lintas mereka sendiri.

  17. Pilih Selanjutnya.

  18. Untuk cakupan Kebijakan, di bawah kebijakanAkun AWS ini berlaku untuk, pilih opsi sebagai berikut:

    • Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, Sertakan semua akun di bawahAWS organisasi saya.

    • Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unitAWS Organizations organisasi tertentu (oU), pilih Sertakan hanya akun dan unit organisasi yang ditentukan, lalu tambahkan akun dan OU yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    • Jika Anda ingin menerapkan kebijakan untuk semua kecuali sekumpulan akun atau unitAWS Organizations organisasi (oU) tertentu, pilih Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua yang lain, lalu tambahkan akun dan OU yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    Anda hanya dapat memilih salah satu opsi.

    Setelah Anda menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu anak OU, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

  19. Jenis sumber daya untuk kebijakan Network Firewall adalah VPC.

  20. Untuk Sumber Daya, jika Anda ingin melindungi (atau mengecualikan) hanya sumber daya yang memiliki tag tertentu, pilih opsi yang sesuai, lalu masukkan tag untuk menyertakan atau mengecualikan. Anda hanya dapat memilih satu opsi. Untuk informasi selengkapnya tentang tanda, lihat Bekerja dengan Editor Tag.

    Jika Anda memasukkan lebih dari satu tanda, sumber daya harus memiliki semua tanda untuk disertakan atau dikecualikan.

  21. Pilih Selanjutnya.

  22. Untuk tag Kebijakan, tambahkan tag pengenal apa pun yang Anda inginkan untuk kebijakan Firewall Manager. Untuk informasi selengkapnya tentang tanda, lihat Bekerja dengan Editor Tag.

  23. Pilih Selanjutnya.

  24. Tinjau kebijakan baru. Jika Anda ingin melakukan perubahan apa pun, pilih Edit di area yang ingin Anda ubah. Ini mengembalikan Anda ke langkah yang sesuai di wizard pembuatan. Jika Anda puas dengan kebijakan ini, pilih Create policy (Buat kebijakan).

MembuatAWS Firewall Manager kebijakan untuk Firewall DNS Firewall

Dalam kebijakan Firewall Firewall Manager DNS, Anda menggunakan grup aturan yang Anda kelola di Firewall DNS Resolver Amazon Route 53. Untuk informasi tentang mengelola grup aturan Anda, lihat Mengelola grup aturan dan aturan di Firewall DNS di Panduan Pengembang Amazon Route 53.

Untuk informasi tentang kebijakan Firewall Manager DNS Firewall, lihatKebijakan Firewall DNS Route 53 Resolver.

Untuk membuat kebijakan Firewall Manager untuk Amazon Route 53 Resolver DNS Firewall (konsol)

  1. Masuk keAWS Management Console menggunakan akun administrator Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2.

    catatan

    Untuk informasi tentang pengaturan akun administrator Firewall Manager, lihatPrasyarat AWS Firewall Manager.

  2. Di panel navigasi, pilih Kebijakan Keamanan.

  3. Pilih Buat kebijakan.

  4. Untuk Jenis kebijakan, pilih FirewallAmazon RouteĀ 53 Resolver DNS.

  5. Untuk Wilayah, pilihWilayah AWS. Untuk melindungi sumber daya di beberapa Wilayah, Anda harus membuat kebijakan terpisah untuk setiap Wilayah.

  6. Pilih Selanjutnya.

  7. Untuk Nama kebijakan, masukkan nama deskriptif.

  8. Dalam konfigurasi kebijakan, tambahkan grup aturan yang Anda inginkan DNS Firewall untuk mengevaluasi pertama dan terakhir di antara asosiasi grup aturan VPC Anda. Anda dapat menambahkan hingga dua grup aturan ke kebijakan.

    Saat Anda membuat kebijakan Firewall Firewall Manager DNS, Firewall Manager membuat asosiasi grup aturan, dengan prioritas asosiasi yang Anda berikan, untuk VPC dan akun yang berada dalam cakupan. Manajer akun individual dapat menambahkan asosiasi grup aturan di antara asosiasi pertama dan terakhir Anda, tetapi mereka tidak dapat mengubah asosiasi yang Anda tentukan di sini. Untuk informasi selengkapnya, lihat Kebijakan Firewall DNS Route 53 Resolver.

  9. Pilih Next (Berikutnya).

  10. Untuk kebijakanAkun AWS ini berlaku, pilih opsi sebagai berikut:

    • Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, Sertakan semua akun di bawahAWS organisasi saya.

    • Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unitAWS Organizations organisasi tertentu (oU), pilih Sertakan hanya akun dan unit organisasi yang ditentukan, lalu tambahkan akun dan OU yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    • Jika Anda ingin menerapkan kebijakan untuk semua kecuali sekumpulan akun atau unitAWS Organizations organisasi (oU) tertentu, pilih Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua yang lain, lalu tambahkan akun dan OU yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    Anda hanya dapat memilih salah satu opsi.

    Setelah Anda menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu anak OU, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

  11. Jenis sumber daya untuk kebijakan Firewall DNS adalah VPC.

  12. Untuk Sumber Daya, jika Anda ingin melindungi (atau mengecualikan) hanya sumber daya yang memiliki tag tertentu, pilih opsi yang sesuai, lalu masukkan tag untuk menyertakan atau mengecualikan. Anda hanya dapat memilih satu opsi. Untuk informasi selengkapnya tentang tanda, lihat Bekerja dengan Editor Tag.

    Jika Anda memasukkan lebih dari satu tanda, sumber daya harus memiliki semua tanda untuk disertakan atau dikecualikan.

  13. Pilih Selanjutnya.

  14. Untuk tag Kebijakan, tambahkan tag pengenal apa pun yang Anda inginkan untuk kebijakan Firewall Manager. Untuk informasi selengkapnya tentang tanda, lihat Bekerja dengan Editor Tag.

  15. Pilih Selanjutnya.

  16. Tinjau kebijakan baru. Jika Anda ingin melakukan perubahan apa pun, pilih Edit di area yang ingin Anda ubah. Ini mengembalikan Anda ke langkah yang sesuai di wizard pembuatan. Jika Anda puas dengan kebijakan ini, pilih Create policy (Buat kebijakan).

MembuatAWS Firewall Manager kebijakan untuk Palo Alto Networks Palo Alto Networks Cloud NGFW

Dengan kebijakan Firewall Manager untuk Palo Alto Networks Cloud Next Generation Firewall (Palo Alto Networks Cloud NGFW), Anda menggunakan Firewall Manager untuk menyebarkan sumber daya Palo Alto Networks Cloud NGFW, dan mengelola tumpukan aturan NGFW secara terpusat di semuaAWS akun Anda.

Untuk informasi tentang kebijakan Firewall Manager Palo Alto Networks Cloud NGFW, lihatKebijakan Palo Alto Networks Cloud NGFW. Untuk informasi tentang cara mengkonfigurasi dan mengelola Palo Alto Networks Cloud NGFW untuk Firewall Manager, lihat Palo Alto Networks Palo Alto Networks Cloud NGFW padaAWS dokumentasi.

Prasyarat

Ada beberapa langkah wajib untuk mempersiapkan akun AndaAWS Firewall Manager. Langkah tersebut dijelaskan dalamPrasyarat AWS Firewall Manager. Lengkapi semua prasyarat sebelum melanjutkan ke langkah berikutnya.

Untuk membuat kebijakan Firewall Manager untuk Palo Alto Networks Cloud NGFW (konsol)

  1. Masuk keAWS Management Console menggunakan akun administrator Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2.

    catatan

    Untuk informasi tentang pengaturan akun administrator Firewall Manager, lihatPrasyarat AWS Firewall Manager.

  2. Di panel navigasi, pilih Kebijakan Keamanan.

  3. Pilih Buat kebijakan.

  4. Untuk jenis kebijakan, pilih Palo Alto Networks Palo Alto Networks Cloud NGFW. Jika Anda belum berlangganan layanan Palo Alto Networks Cloud NGFW diAWS Marketplace, Anda harus melakukannya terlebih dahulu. Untuk berlangganan diAWS Marketplace, pilih Lihat detailAWS Marketplace.

  5. Untuk model Deployment, pilih model Distributed atau model Centralized. Model penyebaran menentukan cara Firewall Manager mengelola titik akhir untuk kebijakan tersebut. Dengan model terdistribusi, Firewall Manager mempertahankan titik akhir firewall di setiap VPC yang berada dalam cakupan kebijakan. Dengan model terpusat, Firewall Manager mempertahankan titik akhir tunggal dalam pemeriksaan VPC.

  6. Untuk Wilayah, pilihWilayah AWS. Untuk melindungi sumber daya di beberapa Wilayah, Anda harus membuat kebijakan terpisah untuk setiap Wilayah.

  7. Pilih Selanjutnya.

  8. Untuk Nama kebijakan, masukkan nama deskriptif.

  9. Dalam konfigurasi kebijakan, pilih kebijakan firewall Palo Alto Networks Cloud NGFW untuk dikaitkan dengan kebijakan ini. Daftar kebijakan firewall Palo Alto Networks Cloud NGFW berisi semua kebijakan firewall Palo Alto Networks Cloud NGFW yang terkait dengan penyewa Palo Alto Networks Cloud NGFW Anda. Untuk informasi tentang membuat dan mengelola kebijakan firewall Palo Alto Networks Cloud NGFW, lihat Deploy Palo Alto Networks Cloud NGFW untukAWS denganAWS Firewall Manager topik di Palo Alto Networks Palo Alto Networks Cloud NGFW untuk panduanAWS penyebaran.

  10. Untuk Palo Alto Networks Palo Alto Networks Cloud NGFW logging - opsional, opsional memilih Palo Alto Networks Cloud NGFW log type (s) untuk log untuk kebijakan Anda. Untuk informasi tentang jenis log Palo Alto Networks Cloud NGFW, lihat Mengkonfigurasi Logging untuk Palo Alto Networks Cloud NGFWAWS di Palo Alto Networks Palo Alto Networks Cloud NGFW untuk panduanAWS penyebaran.

    Untuk tujuan log, tentukan kapan Firewall Manager harus menulis log.

  11. Pilih Selanjutnya.

  12. Di bawah Konfigurasi endpoint firewall pihak ketiga lakukan salah satu hal berikut, tergantung pada apakah Anda menggunakan model penyebaran terdistribusi atau terpusat untuk membuat titik akhir firewall Anda:

    • Jika Anda menggunakan model penyebaran terdistribusi untuk kebijakan ini, pada Availability Zone, pilih Availability Zone mana yang akan membuat titik akhir firewall. Anda dapat memilih Availability Zone berdasarkan nama Availability Zone atau dengan Availability Zone ID.

    • Jika Anda menggunakan model penyebaran terpusat untuk kebijakan ini, dalam konfigurasiAWS Firewall Manager titik akhir di bawah konfigurasi VPC Inspeksi, masukkan IDAWS akun pemilik VPC inspeksi, dan ID VPC dari VPC inspeksi.

      • Di bawah Availability Zone, pilih Availability Zone untuk membuat endpoint firewall. Anda dapat memilih Availability Zone berdasarkan nama Availability Zone atau dengan Availability Zone ID.

  13. Jika Anda ingin menyediakan blok CIDR untuk Firewall Manager untuk digunakan untuk subnet firewall di VPC Anda, semuanya harus/28 blok CIDR. Masukkan satu blok per baris. Jika Anda menghilangkan ini, Firewall Manager memilih alamat IP untuk Anda dari yang tersedia di VPC.

    catatan

    Remediasi otomatis terjadi secara otomatis untuk kebijakanAWS Firewall Manager Network Firewall, jadi Anda tidak akan melihat opsi untuk memilih untuk tidak memulihkan secara auto di sini.

  14. Pilih Selanjutnya.

  15. Untuk cakupan Kebijakan, di bawah kebijakanAkun AWS ini berlaku untuk, pilih opsi sebagai berikut:

    • Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, Sertakan semua akun di bawahAWS organisasi saya.

    • Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unitAWS Organizations organisasi tertentu (oU), pilih Sertakan hanya akun dan unit organisasi yang ditentukan, lalu tambahkan akun dan OU yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    • Jika Anda ingin menerapkan kebijakan untuk semua kecuali sekumpulan akun atau unitAWS Organizations organisasi (oU) tertentu, pilih Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua yang lain, lalu tambahkan akun dan OU yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    Anda hanya dapat memilih salah satu opsi.

    Setelah Anda menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu anak OU, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

  16. Jenis sumber daya untuk kebijakan Network Firewall adalah VPC.

  17. Untuk Sumber Daya, jika Anda ingin melindungi (atau mengecualikan) hanya sumber daya yang memiliki tag tertentu, pilih opsi yang sesuai, lalu masukkan tag untuk menyertakan atau mengecualikan. Anda hanya dapat memilih satu opsi. Untuk informasi selengkapnya tentang tanda, lihat Bekerja dengan Editor Tag.

    Jika Anda memasukkan lebih dari satu tanda, sumber daya harus memiliki semua tanda untuk disertakan atau dikecualikan.

  18. Untuk akses lintas-akun Grant, pilih UnduhAWS CloudFormation template. Ini mengunduhAWS CloudFormation template yang dapat Anda gunakan untuk membuatAWS CloudFormation tumpukan. Tumpukan ini membuatAWS Identity and Access Management peran yang memberikan izin lintas akun Firewall Manager untuk mengelola sumber daya Palo Alto Networks Cloud NGFW. Untuk informasi tentang tumpukan, lihat Bekerja dengan tumpukan di PanduanAWS CloudFormation Pengguna.

  19. Pilih Selanjutnya.

  20. Untuk tag Kebijakan, tambahkan tag pengenal apa pun yang Anda inginkan untuk kebijakan Firewall Manager. Untuk informasi selengkapnya tentang tanda, lihat Bekerja dengan Editor Tag.

  21. Pilih Selanjutnya.

  22. Tinjau kebijakan baru. Jika Anda ingin melakukan perubahan apa pun, pilih Edit di area yang ingin Anda ubah. Ini mengembalikan Anda ke langkah yang sesuai di wizard pembuatan. Jika Anda puas dengan kebijakan ini, pilih Create policy (Buat kebijakan).