Membuat AWS Firewall Manager kebijakan

Langkah-langkah untuk membuat kebijakan bervariasi antara jenis kebijakan yang berbeda. Pastikan untuk menggunakan prosedur untuk jenis kebijakan yang Anda butuhkan.

penting

AWS Firewall Manager tidak mendukung Amazon Route 53 atau AWS Global Accelerator. Jika Anda ingin melindungi sumber daya ini dengan Shield Advanced, Anda tidak dapat menggunakan kebijakan Firewall Manager. Sebagai gantinya, ikuti instruksi diMenambahkan AWS Shield Advanced perlindungan ke AWS sumber daya.

Membuat AWS Firewall Manager kebijakan untuk AWS WAF

Dalam AWS WAF kebijakan Firewall Manager, Anda dapat menggunakan grup aturan terkelola, yang dibuat AWS dan dipelihara oleh AWS Marketplace penjual untuk Anda. Anda juga dapat membuat dan menggunakan grup aturan Anda sendiri. Untuk informasi selengkapnya tentang grup aturan, lihatAWS WAF kelompok aturan.

Jika Anda ingin menggunakan grup aturan Anda sendiri, buat grup tersebut sebelum Anda membuat AWS WAF kebijakan Firewall Manager. Untuk panduan, lihat Mengelola grup aturan Anda sendiri. Untuk menggunakan aturan kustom individual, Anda harus menentukan grup aturan Anda sendiri, menentukan aturan Anda di dalamnya, dan kemudian menggunakan grup aturan dalam kebijakan Anda.

Untuk informasi tentang AWS WAF kebijakan Firewall Manager, lihatAWS WAF kebijakan.

Untuk membuat kebijakan Firewall Manager untuk AWS WAF (konsol)

1. Masuk ke akun administrator AWS Management Console menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2. Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

   catatan

   Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

2. Di panel navigasi, pilih Kebijakan keamanan.

3. Pilih Buat kebijakan.

4. Untuk jenis Kebijakan, pilih AWS WAF.

5. Untuk Wilayah, pilih Wilayah AWS. Untuk melindungi CloudFront distribusi Amazon, pilih Global.

   Untuk melindungi sumber daya di beberapa Wilayah (selain CloudFront distribusi), Anda harus membuat kebijakan Firewall Manager terpisah untuk setiap Wilayah.

6. Pilih Selanjutnya.

7. Untuk nama Kebijakan, masukkan nama deskriptif. Firewall Manager menyertakan nama kebijakan dalam nama ACL web yang dikelolanya. Nama ACL web telah FMManagedWebACLV2- diikuti dengan nama kebijakan yang Anda masukkan di sini-, dan stempel waktu pembuatan ACL web, dalam milidetik UTC. Misalnya, FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

8. Untuk inspeksi badan permintaan Web, secara opsional mengubah batas ukuran tubuh. Untuk informasi tentang batas ukuran inspeksi badan, termasuk pertimbangan harga, lihat Mengelola batas ukuran inspeksi tubuh di Panduan AWS WAF Pengembang.

9. Di bawah Aturan kebijakan, tambahkan grup aturan yang AWS WAF ingin Anda evaluasi pertama dan terakhir di ACL web. Untuk menggunakan versi grup aturan AWS WAF terkelola, alihkan Aktifkan pembuatan versi. Manajer akun individual dapat menambahkan aturan dan grup aturan di antara grup aturan pertama Anda dan grup aturan terakhir Anda. Untuk informasi selengkapnya tentang menggunakan grup AWS WAF aturan dalam kebijakan Firewall Manager AWS WAF, lihatAWS WAF kebijakan.

   (Opsional) Untuk menyesuaikan cara ACL web Anda menggunakan grup aturan, pilih Edit. Berikut ini adalah pengaturan kustomisasi umum:

   • Untuk grup aturan terkelola, ganti tindakan aturan untuk beberapa atau semua aturan. Jika Anda tidak menentukan tindakan penggantian untuk aturan, evaluasi menggunakan tindakan aturan yang ditentukan di dalam grup aturan. Untuk informasi tentang opsi ini, lihat Opsi penggantian tindakan untuk grup aturan di Panduan AWS WAF Pengembang.

   • Beberapa grup aturan terkelola mengharuskan Anda untuk menyediakan konfigurasi tambahan. Lihat dokumentasi dari penyedia grup aturan terkelola Anda. Untuk informasi khusus tentang grup aturan Aturan AWS Terkelola, lihat AWS Aturan Terkelola untuk AWS WAF di Panduan AWS WAF Pengembang.

   Setelah selesai dengan pengaturan, pilih Simpan aturan.

10. Tetapkan tindakan default untuk ACL web. Ini adalah tindakan yang diambil AWS WAF ketika permintaan web tidak cocok dengan aturan apa pun di ACL web. Anda dapat menambahkan header kustom dengan tindakan Izinkan, atau respons khusus untuk tindakan Blokir. Untuk informasi selengkapnya tentang tindakan ACL web default, lihatTindakan default ACL web. Untuk informasi tentang menyetel permintaan dan tanggapan web kustom, lihatPermintaan dan tanggapan web yang disesuaikan di AWS WAF.

11. Untuk konfigurasi Logging, pilih Aktifkan logging untuk mengaktifkan logging. Logging memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Pilih tujuan Logging, lalu pilih tujuan logging yang Anda konfigurasikan. Anda harus memilih tujuan logging yang namanya dimulai denganaws-waf-logs-. Untuk informasi tentang mengonfigurasi tujuan AWS WAF pencatatan, lihatMengonfigurasi pencatatan untuk kebijakan AWS WAF.

12. (Opsional) Jika Anda tidak ingin bidang tertentu dan nilainya disertakan dalam log, edit bidang tersebut. Pilih bidang yang akan disunting, lalu pilih Tambah. Ulangi seperlunya untuk menyunting bidang tambahan. Bidang yang disunting muncul seperti REDACTED di log. Misalnya, jika Anda menyunting bidang URI, bidang URI di log akan menjadiREDACTED.

13. (Opsional) Jika Anda tidak ingin mengirim semua permintaan ke log, tambahkan kriteria dan perilaku pemfilteran Anda. Di bawah Filter log, untuk setiap filter yang ingin Anda terapkan, pilih Tambahkan filter, lalu pilih kriteria pemfilteran Anda dan tentukan apakah Anda ingin menyimpan atau menghapus permintaan yang sesuai dengan kriteria. Ketika Anda selesai menambahkan filter, jika diperlukan, ubah perilaku logging Default. Untuk informasi lebih lanjut, lihat Konfigurasi pencatatan ACL web dalam Panduan Pengembang AWS WAF .

14. Anda dapat menentukan daftar domain Token untuk mengaktifkan berbagi token antara aplikasi yang dilindungi. Token digunakan oleh CAPTCHA dan Challenge tindakan dan oleh SDK integrasi aplikasi yang Anda terapkan saat Anda menggunakan grup aturan Aturan AWS Terkelola untuk pencegahan pengambilalihan akun Kontrol AWS WAF Penipuan (ATP) dan AWS WAF Kontrol Bot.

    Sufiks publik tidak diizinkan. Misalnya, Anda tidak dapat menggunakan gov.au atau co.uk sebagai domain token.

    Secara default, AWS WAF menerima token hanya untuk domain sumber daya yang dilindungi. Jika Anda menambahkan domain token dalam daftar ini, AWS WAF menerima token untuk semua domain dalam daftar dan untuk domain sumber daya terkait. Untuk informasi lebih lanjut, lihat AWS WAF konfigurasi daftar domain token ACL web dalam Panduan Pengembang AWS WAF .

    Anda hanya dapat mengubah CAPTCHA ACL web dan menantang waktu kekebalan saat Anda mengedit ACL web yang ada. Anda dapat menemukan pengaturan ini di bawah halaman detail Kebijakan Manajer Firewall. Untuk informasi tentang pengaturan ini, lihat Kedaluwarsa stempel waktu: waktu kekebalan token AWS WAF. Jika Anda memperbarui konfigurasi Asosiasi, CAPTCHA, Tantangan, atau pengaturan daftar domain Token dalam kebijakan yang ada, Firewall Manager akan menimpa ACL web lokal Anda dengan nilai baru. Namun, jika Anda tidak memperbarui konfigurasi Asosiasi kebijakan, CAPTCHA, Tantangan, atau pengaturan daftar domain Token, nilai di ACL web lokal Anda akan tetap tidak berubah. Untuk informasi tentang opsi ini, lihat CAPTCHAdan Challenge di AWS WAF di Panduan AWS WAF Pengembang.

15. Di bawah manajemen ACL Web, jika Anda ingin Firewall Manager mengelola ACL web yang tidak terkait, aktifkan Kelola ACL web yang tidak terkait. Dengan opsi ini, Firewall Manager membuat ACL web di akun dalam cakupan kebijakan hanya jika ACL web akan digunakan oleh setidaknya satu sumber daya. Jika sewaktu-waktu akun masuk ke cakupan kebijakan, Firewall Manager secara otomatis membuat ACL web di akun jika setidaknya satu sumber daya akan menggunakan ACL web. Setelah mengaktifkan opsi ini, Firewall Manager melakukan pembersihan satu kali dari ACL web yang tidak terkait di akun Anda. Proses pembersihan bisa memakan waktu beberapa jam. Jika sumber daya meninggalkan cakupan kebijakan setelah Firewall Manager membuat ACL web, Firewall Manager memisahkan sumber daya dari ACL web, tetapi tidak akan membersihkan ACL web yang tidak terkait. Firewall Manager hanya membersihkan ACL web yang tidak terkait saat Anda pertama kali mengaktifkan pengelolaan ACL web yang tidak terkait dalam suatu kebijakan.

16. Untuk tindakan Kebijakan, jika Anda ingin membuat ACL web di setiap akun yang berlaku dalam organisasi, tetapi belum menerapkan ACL web ke sumber daya apa pun, pilih Identifikasi sumber daya yang tidak mematuhi aturan kebijakan, tetapi jangan memulihkan secara otomatis dan jangan memilih Kelola ACL web yang tidak terkait. Anda dapat mengubah opsi ini nanti.

    Jika Anda ingin menerapkan kebijakan secara otomatis ke sumber daya dalam lingkup yang ada, pilih Remediasi otomatis sumber daya yang tidak sesuai. Jika Kelola ACL web yang tidak terkait dinonaktifkan, opsi Auto remediate setiap sumber daya yang tidak sesuai akan membuat ACL web di setiap akun yang berlaku dalam organisasi dan mengaitkan ACL web dengan sumber daya di akun. Jika Kelola ACL web yang tidak terkait diaktifkan, opsi Auto remediate semua sumber daya yang tidak sesuai hanya membuat dan mengaitkan ACL web di akun yang memiliki sumber daya yang memenuhi syarat untuk diasosiasikan ke ACL web.

    Saat memilih Remediasi otomatis sumber daya yang tidak sesuai, Anda juga dapat memilih untuk menghapus asosiasi ACL web yang ada dari sumber daya dalam lingkup, untuk ACL web yang tidak dikelola oleh kebijakan Firewall Manager aktif lainnya. Jika Anda memilih opsi ini, Firewall Manager terlebih dahulu mengaitkan ACL web kebijakan dengan sumber daya, lalu menghapus asosiasi sebelumnya. Jika sumber daya memiliki asosiasi dengan ACL web lain yang dikelola oleh kebijakan Firewall Manager aktif yang berbeda, pilihan ini tidak memengaruhi asosiasi tersebut.

17. Pilih Selanjutnya.

18. Untuk kebijakan Akun AWS ini berlaku, pilih opsi sebagai berikut:

    • Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, Sertakan semua akun di AWS organisasi saya.

    • Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unit AWS Organizations organisasi tertentu (OU), pilih Sertakan hanya akun dan unit organisasi yang ditentukan, lalu tambahkan akun dan OU yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    • Jika Anda ingin menerapkan kebijakan untuk semua kecuali satu set akun atau unit AWS Organizations organisasi (OU) tertentu, pilih Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua akun lainnya, lalu tambahkan akun dan OU yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    Anda hanya dapat memilih salah satu opsi.

    Setelah menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu OU anaknya, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

19. Untuk jenis Sumber Daya, pilih jenis sumber daya yang ingin Anda lindungi.

20. Untuk Sumber Daya, Anda dapat mempersempit cakupan kebijakan menggunakan penandaan, dengan menyertakan atau mengecualikan sumber daya dengan tag yang Anda tentukan. Anda dapat menggunakan inklusi atau pengecualian, dan bukan keduanya. Untuk informasi selengkapnya tentang tag, lihat Bekerja dengan Editor Tag.

    Jika Anda memasukkan lebih dari satu tag, sumber daya harus memiliki semua tag untuk disertakan atau dikecualikan.

    Tag sumber daya hanya dapat memiliki nilai non-null. Jika Anda menghilangkan nilai untuk tag, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama.

21. Pilih Selanjutnya.

22. Untuk tag Kebijakan, tambahkan tag pengenal apa pun yang ingin Anda tambahkan ke sumber daya kebijakan Manajer Firewall. Untuk informasi selengkapnya tentang tag, lihat Bekerja dengan Editor Tag.

23. Pilih Selanjutnya.

24. Tinjau pengaturan kebijakan baru dan kembali ke halaman mana pun yang Anda perlukan untuk penyesuaian apa pun.

    Jika Anda puas dengan kebijakan ini, pilih Create policy (Buat kebijakan). Di panel AWS Firewall Manager kebijakan, kebijakan Anda harus dicantumkan. Ini mungkin akan menunjukkan Pending di bawah judul akun dan itu akan menunjukkan status pengaturan remediasi otomatis. Pembuatan kebijakan dapat memakan waktu beberapa menit. Setelah Status tertunda diganti dengan jumlah akun, Anda dapat memilih nama kebijakan untuk menjelajahi status kepatuhan akun dan sumber daya. Untuk informasi, lihat Melihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan

Membuat AWS Firewall Manager kebijakan untuk AWS WAF Classic

Untuk membuat kebijakan Firewall Manager untuk AWS WAF Classic (konsol)

1. Masuk ke akun administrator AWS Management Console menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2. Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

   catatan

   Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

2. Di panel navigasi, pilih Kebijakan keamanan.

3. Pilih Buat kebijakan.

4. Untuk jenis Kebijakan, pilih AWS WAF Klasik.

5. Jika Anda telah membuat grup aturan AWS WAF Klasik yang ingin ditambahkan ke kebijakan, pilih Buat AWS Firewall Manager kebijakan dan tambahkan grup aturan yang ada. Jika Anda ingin membuat grup aturan baru, pilih Buat kebijakan Firewall Manager dan tambahkan grup aturan baru.

6. Untuk Wilayah, pilih Wilayah AWS. Untuk melindungi CloudFront sumber daya Amazon, pilih Global.

   Untuk melindungi sumber daya di beberapa Wilayah (selain CloudFront sumber daya), Anda harus membuat kebijakan Firewall Manager terpisah untuk setiap Wilayah.

7. Pilih Selanjutnya.

8. Jika Anda membuat grup aturan, ikuti instruksi diMembuat grup aturan AWS WAF Klasik. Setelah Anda membuat grup aturan, lanjutkan dengan langkah-langkah berikut.

9. Masukkan nama kebijakan.

10. Jika Anda menambahkan grup aturan yang ada, gunakan menu tarik-turun untuk memilih grup aturan yang akan ditambahkan, lalu pilih Tambahkan grup aturan.

11. Kebijakan memiliki dua kemungkinan tindakan: Tindakan yang ditetapkan oleh grup aturan dan Hitungan. Jika Anda ingin menguji kebijakan dan grup aturan, setel tindakan ke Hitung. Tindakan ini mengesampingkan tindakan blok apa pun yang ditentukan oleh aturan dalam grup aturan. Artinya, jika tindakan kebijakan disetel ke Hitung, permintaan tersebut hanya dihitung dan tidak diblokir. Sebaliknya, jika Anda menetapkan tindakan kebijakan ke Tindakan yang ditetapkan oleh grup aturan, tindakan aturan grup aturan akan digunakan. Pilih tindakan yang sesuai.

12. Pilih Selanjutnya.

13. Untuk kebijakan Akun AWS ini berlaku, pilih opsi sebagai berikut:

    • Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, Sertakan semua akun di AWS organisasi saya.

    • Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unit AWS Organizations organisasi tertentu (OU), pilih Sertakan hanya akun dan unit organisasi yang ditentukan, lalu tambahkan akun dan OU yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    • Jika Anda ingin menerapkan kebijakan untuk semua kecuali satu set akun atau unit AWS Organizations organisasi (OU) tertentu, pilih Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua akun lainnya, lalu tambahkan akun dan OU yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    Anda hanya dapat memilih salah satu opsi.

    Setelah menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu OU anaknya, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

14. Pilih jenis sumber daya yang ingin Anda lindungi.

15. Untuk Sumber Daya, Anda dapat mempersempit cakupan kebijakan menggunakan penandaan, dengan menyertakan atau mengecualikan sumber daya dengan tag yang Anda tentukan. Anda dapat menggunakan inklusi atau pengecualian, dan bukan keduanya. Untuk informasi selengkapnya tentang tag, lihat Bekerja dengan Editor Tag.

    Jika Anda memasukkan lebih dari satu tag, sumber daya harus memiliki semua tag untuk disertakan atau dikecualikan.

    Tag sumber daya hanya dapat memiliki nilai non-null. Jika Anda menghilangkan nilai untuk tag, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama.

16. Jika Anda ingin menerapkan kebijakan secara otomatis ke sumber daya yang ada, pilih Buat dan terapkan kebijakan ini ke sumber daya yang ada dan yang baru.

    Opsi ini membuat ACL web di setiap akun yang berlaku dalam suatu AWS organisasi dan mengaitkan ACL web dengan sumber daya di akun. Opsi ini juga menerapkan kebijakan ke semua sumber daya baru yang sesuai dengan kriteria sebelumnya (jenis dan tag sumber daya). Atau, jika Anda memilih Buat kebijakan tetapi tidak menerapkan kebijakan ke sumber daya yang ada atau yang baru, Firewall Manager membuat ACL web di setiap akun yang berlaku dalam organisasi, tetapi tidak menerapkan ACL web ke sumber daya apa pun. Anda harus menerapkan kebijakan ke sumber daya nanti. Pilih opsi yang sesuai.

17. Untuk Ganti ACL web terkait yang ada, Anda dapat memilih untuk menghapus asosiasi ACL web apa pun yang saat ini ditentukan untuk sumber daya dalam lingkup, lalu menggantinya dengan asosiasi ke ACL web yang Anda buat dengan kebijakan ini. Secara default, Firewall Manager tidak menghapus asosiasi ACL web yang ada sebelum menambahkan yang baru. Jika Anda ingin menghapus yang sudah ada, pilih opsi ini.

18. Pilih Selanjutnya.

19. Tinjau kebijakan baru. Untuk membuat perubahan, pilih Edit. Jika Anda puas dengan kebijakan tersebut, pilih Buat dan terapkan kebijakan.

Membuat AWS Firewall Manager kebijakan untuk AWS Shield Advanced

Untuk membuat kebijakan Firewall Manager untuk Shield Advanced (konsol)

1. Masuk ke akun administrator AWS Management Console menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2. Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

   catatan

   Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

2. Di panel navigasi, pilih Kebijakan keamanan.

3. Pilih Buat kebijakan.

4. Untuk jenis Kebijakan, pilih Shield Advanced.

   Untuk membuat kebijakan Shield Advanced, Anda harus berlangganan Shield Advanced. Jika Anda tidak berlangganan, Anda diminta untuk melakukannya. Untuk informasi tentang biaya berlangganan, lihat AWS Shield Advanced Harga.

5. Untuk Wilayah, pilih file Wilayah AWS. Untuk melindungi CloudFront distribusi Amazon, pilih Global.

   Untuk pilihan Wilayah selain Global, untuk melindungi sumber daya di beberapa Wilayah, Anda harus membuat kebijakan Firewall Manager terpisah untuk setiap Wilayah.

6. Pilih Selanjutnya.

7. Untuk Nama, masukkan nama deskriptif.

8. Hanya untuk kebijakan Wilayah Global, Anda dapat memilih apakah Anda ingin mengelola mitigasi DDoS lapisan aplikasi otomatis Shield Advanced. Untuk informasi tentang fitur Shield Advanced ini, lihatMitigasi DDoS lapisan aplikasi otomatis Shield Advanced.

   Anda dapat memilih untuk mengaktifkan atau menonaktifkan mitigasi otomatis, atau Anda dapat memilih untuk mengabaikannya. Jika Anda memilih untuk mengabaikannya, Firewall Manager tidak mengelola mitigasi otomatis sama sekali untuk perlindungan Shield Advanced. Untuk informasi selengkapnya tentang opsi kebijakan ini, lihatMitigasi DDoS lapisan aplikasi otomatis.

9. Di bawah manajemen ACL Web, jika Anda ingin Firewall Manager mengelola ACL web yang tidak terkait, aktifkan Kelola ACL web yang tidak terkait. Dengan opsi ini, Firewall Manager membuat ACL web di akun dalam cakupan kebijakan hanya jika ACL web akan digunakan oleh setidaknya satu sumber daya. Jika sewaktu-waktu akun masuk ke cakupan kebijakan, Firewall Manager secara otomatis membuat ACL web di akun jika setidaknya satu sumber daya akan menggunakan ACL web. Setelah mengaktifkan opsi ini, Firewall Manager melakukan pembersihan satu kali dari ACL web yang tidak terkait di akun Anda. Proses pembersihan bisa memakan waktu beberapa jam. Jika sumber daya meninggalkan cakupan kebijakan setelah Firewall Manager membuat ACL web, Firewall Manager tidak akan memisahkan sumber daya dari ACL web. Untuk menyertakan ACL web dalam pembersihan satu kali, Anda harus terlebih dahulu memisahkan sumber daya dari ACL web secara manual dan kemudian mengaktifkan Kelola ACL web yang tidak terkait.

10. Untuk tindakan Kebijakan, sebaiknya buat kebijakan dengan opsi yang tidak secara otomatis memulihkan sumber daya yang tidak sesuai. Ketika Anda menonaktifkan remediasi otomatis, Anda dapat menilai efek dari kebijakan baru Anda sebelum Anda menerapkannya. Ketika Anda puas bahwa perubahan adalah apa yang Anda inginkan, maka edit kebijakan dan ubah tindakan kebijakan untuk mengaktifkan remediasi otomatis.

    Jika Anda ingin menerapkan kebijakan secara otomatis ke sumber daya dalam lingkup yang ada, pilih Remediasi otomatis sumber daya yang tidak sesuai. Opsi ini menerapkan perlindungan Shield Advanced untuk setiap akun yang berlaku dalam AWS organisasi dan setiap sumber daya yang berlaku di akun.

    Hanya untuk kebijakan Wilayah Global, jika Anda memilih Remediasi otomatis sumber daya yang tidak sesuai, Anda juga dapat memilih agar Firewall Manager secara otomatis mengganti asosiasi ACL web AWS WAF Klasik yang ada dengan asosiasi baru ke ACL web yang dibuat menggunakan versi terbaru (v2). AWS WAF Jika Anda memilih ini, Firewall Manager menghapus asosiasi dengan ACL web versi sebelumnya dan membuat asosiasi baru dengan ACL web versi terbaru, setelah membuat ACL web kosong baru di akun dalam lingkup apa pun yang belum memilikinya untuk kebijakan tersebut. Untuk informasi selengkapnya tentang metrik ini, lihat Ganti ACL web AWS WAF Klasik dengan ACL web versi terbaru.

11. Pilih Selanjutnya.

12. Untuk kebijakan Akun AWS ini berlaku, pilih opsi sebagai berikut:

    • Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, pertahankan pilihan default, Sertakan semua akun di AWS organisasi saya.

    • Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unit AWS Organizations organisasi tertentu (OU), pilih Sertakan hanya akun dan unit organisasi yang ditentukan, lalu tambahkan akun dan OU yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    • Jika Anda ingin menerapkan kebijakan untuk semua kecuali satu set akun atau unit AWS Organizations organisasi (OU) tertentu, pilih Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua akun lainnya, lalu tambahkan akun dan OU yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    Anda hanya dapat memilih salah satu opsi.

    Setelah menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu OU anaknya, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

13. Pilih jenis sumber daya yang ingin Anda lindungi.

    Firewall Manager tidak mendukung Amazon Route 53 atau AWS Global Accelerator. Jika Anda perlu menggunakan Shield Advanced untuk melindungi sumber daya dari layanan ini, Anda tidak dapat menggunakan kebijakan Firewall Manager. Sebagai gantinya, ikuti panduan Shield Advanced diMenambahkan AWS Shield Advanced perlindungan ke AWS sumber daya.

14. Untuk Sumber Daya, Anda dapat mempersempit cakupan kebijakan menggunakan penandaan, dengan menyertakan atau mengecualikan sumber daya dengan tag yang Anda tentukan. Anda dapat menggunakan inklusi atau pengecualian, dan bukan keduanya. Untuk informasi selengkapnya tentang tag, lihat Bekerja dengan Editor Tag.

    Jika Anda memasukkan lebih dari satu tag, sumber daya harus memiliki semua tag untuk disertakan atau dikecualikan.

    Tag sumber daya hanya dapat memiliki nilai non-null. Jika Anda menghilangkan nilai untuk tag, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama.

15. Pilih Selanjutnya.

16. Untuk tag Kebijakan, tambahkan tag pengenal apa pun yang ingin Anda tambahkan ke sumber daya kebijakan Manajer Firewall. Untuk informasi selengkapnya tentang tag, lihat Bekerja dengan Editor Tag.

17. Pilih Selanjutnya.

18. Tinjau pengaturan kebijakan baru dan kembali ke halaman mana pun yang Anda perlukan untuk penyesuaian apa pun.

    Jika Anda puas dengan kebijakan ini, pilih Create policy (Buat kebijakan). Di panel AWS Firewall Manager kebijakan, kebijakan Anda harus dicantumkan. Ini mungkin akan menunjukkan Pending di bawah judul akun dan itu akan menunjukkan status pengaturan remediasi otomatis. Pembuatan kebijakan dapat memakan waktu beberapa menit. Setelah Status tertunda diganti dengan jumlah akun, Anda dapat memilih nama kebijakan untuk menjelajahi status kepatuhan akun dan sumber daya. Untuk informasi, lihat Melihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan

Membuat kebijakan grup keamanan AWS Firewall Manager umum

Untuk informasi tentang cara kerja kebijakan grup keamanan umum, lihatKebijakan kelompok keamanan umum.

Untuk membuat kebijakan grup keamanan umum, Anda harus memiliki grup keamanan yang sudah dibuat di akun administrator Manajer Firewall yang ingin Anda gunakan sebagai yang utama untuk kebijakan Anda. Anda dapat mengelola grup keamanan melalui Amazon Virtual Private Cloud (Amazon VPC) atau Amazon Elastic Compute Cloud (Amazon EC2). Untuk selengkapnya, lihat Bekerja dengan Grup Keamanan di Panduan Pengguna Amazon VPC.

Untuk membuat kebijakan grup keamanan umum (konsol)

1. Masuk ke akun administrator AWS Management Console menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2. Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

   catatan

   Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

2. Di panel navigasi, pilih Kebijakan keamanan.

3. Pilih Buat kebijakan.

4. Untuk jenis Kebijakan, pilih Grup keamanan.

5. Untuk jenis kebijakan grup Keamanan, pilih Grup keamanan umum.

6. Untuk Wilayah, pilih file Wilayah AWS.

7. Pilih Selanjutnya.

8. Untuk nama Kebijakan, masukkan nama ramah.

9. Untuk aturan Kebijakan, lakukan hal berikut:

   1. Dari opsi aturan, pilih batasan yang ingin Anda terapkan pada aturan grup keamanan dan sumber daya yang berada dalam cakupan kebijakan. Jika Anda memilih Mendistribusikan tag dari grup keamanan utama ke grup keamanan yang dibuat oleh kebijakan ini, Anda juga harus memilih Identifikasi dan laporkan ketika grup keamanan yang dibuat oleh kebijakan ini menjadi tidak sesuai.

      penting

      Firewall Manager tidak akan mendistribusikan tag sistem yang ditambahkan oleh AWS layanan ke dalam grup keamanan replika. Tag sistem dimulai dengan aws: awalan. Selain itu, Firewall Manager tidak akan memperbarui tag grup keamanan yang ada atau membuat grup keamanan baru jika kebijakan tersebut memiliki tag yang bertentangan dengan kebijakan tag organisasi. Untuk informasi tentang kebijakan tag, lihat Kebijakan tag di Panduan AWS Organizations Pengguna.

      Jika Anda memilih Mendistribusikan referensi grup keamanan dari grup keamanan utama ke grup keamanan yang dibuat oleh kebijakan ini, Firewall Manager hanya mendistribusikan referensi grup keamanan jika mereka memiliki koneksi peering aktif di Amazon VPC. Untuk informasi tentang opsi ini, lihat Pengaturan aturan kebijakan.

   2. Untuk grup keamanan utama, pilih Tambahkan grup keamanan, lalu pilih grup keamanan yang ingin Anda gunakan. Firewall Manager mengisi daftar grup keamanan dari semua instance Amazon VPC di akun administrator Firewall Manager.

      Secara default, jumlah maksimum grup keamanan primer per kebijakan adalah 3. Untuk informasi tentang pengaturan ini, lihat AWS Firewall Manager kuota.

   3. Untuk tindakan Kebijakan, sebaiknya buat kebijakan dengan opsi yang tidak otomatis diperbaiki. Ini memungkinkan Anda untuk menilai efek dari kebijakan baru Anda sebelum Anda menerapkannya. Ketika Anda puas bahwa perubahan adalah apa yang Anda inginkan, maka edit kebijakan dan ubah tindakan kebijakan untuk mengaktifkan remediasi otomatis sumber daya yang tidak sesuai.

10. Pilih Selanjutnya.

11. Untuk kebijakan Akun AWS ini berlaku, pilih opsi sebagai berikut:

    • Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, Sertakan semua akun di AWS organisasi saya.

    • Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unit AWS Organizations organisasi tertentu (OU), pilih Sertakan hanya akun dan unit organisasi yang ditentukan, lalu tambahkan akun dan OU yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    • Jika Anda ingin menerapkan kebijakan untuk semua kecuali satu set akun atau unit AWS Organizations organisasi (OU) tertentu, pilih Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua akun lainnya, lalu tambahkan akun dan OU yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    Anda hanya dapat memilih salah satu opsi.

    Setelah menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu OU anaknya, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

12. Untuk jenis Sumber Daya, pilih jenis sumber daya yang ingin Anda lindungi.

    Jika memilih instans EC2, Anda dapat memilih untuk menyertakan semua antarmuka jaringan elastis di setiap instans Amazon EC2 atau hanya antarmuka default di setiap instans. Jika Anda memiliki lebih dari satu elastic network interface dalam instans Amazon EC2 dalam lingkup, memilih opsi untuk menyertakan semua antarmuka memungkinkan Firewall Manager menerapkan kebijakan tersebut ke semuanya. Jika Anda mengaktifkan remediasi otomatis, jika Firewall Manager tidak dapat menerapkan kebijakan tersebut ke semua antarmuka jaringan elastis dalam instans Amazon EC2, kebijakan tersebut menandai instans sebagai tidak sesuai.

13. Untuk Sumber Daya, Anda dapat mempersempit cakupan kebijakan menggunakan penandaan, dengan menyertakan atau mengecualikan sumber daya dengan tag yang Anda tentukan. Anda dapat menggunakan inklusi atau pengecualian, dan bukan keduanya. Untuk informasi selengkapnya tentang tag, lihat Bekerja dengan Editor Tag.

    Jika Anda memasukkan lebih dari satu tag, sumber daya harus memiliki semua tag untuk disertakan atau dikecualikan.

    Tag sumber daya hanya dapat memiliki nilai non-null. Jika Anda menghilangkan nilai untuk tag, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama.

14. Untuk sumber daya VPC Bersama, jika Anda ingin menerapkan kebijakan ke sumber daya di VPC bersama, selain VPC yang dimiliki akun, pilih Sertakan sumber daya dari VPC bersama.

15. Pilih Selanjutnya.

16. Tinjau setelan kebijakan untuk memastikan setelan tersebut sesuai dengan yang Anda inginkan, lalu pilih Buat kebijakan.

Firewall Manager membuat replika grup keamanan utama di setiap instans VPC Amazon yang terdapat dalam akun dalam lingkup hingga kuota maksimum VPC Amazon per akun yang didukung. Firewall Manager mengaitkan grup keamanan replika ke sumber daya yang berada dalam cakupan kebijakan untuk setiap akun dalam lingkup. Untuk informasi selengkapnya tentang cara kerja kebijakan ini, lihatKebijakan kelompok keamanan umum.

Membuat kebijakan grup keamanan audit AWS Firewall Manager konten

Untuk informasi tentang cara kerja kebijakan grup keamanan audit konten, lihatKebijakan grup keamanan audit konten.

Untuk beberapa pengaturan kebijakan audit konten, Anda harus menyediakan grup keamanan audit untuk Firewall Manager untuk digunakan sebagai templat. Misalnya, Anda mungkin memiliki grup keamanan audit yang berisi semua aturan yang tidak diizinkan di grup keamanan mana pun. Anda harus membuat grup keamanan audit ini menggunakan akun administrator Firewall Manager Anda, sebelum Anda dapat menggunakannya dalam kebijakan Anda. Anda dapat mengelola grup keamanan melalui Amazon Virtual Private Cloud (Amazon VPC) atau Amazon Elastic Compute Cloud (Amazon EC2). Untuk selengkapnya, lihat Bekerja dengan Grup Keamanan di Panduan Pengguna Amazon VPC.

Untuk membuat kebijakan grup keamanan audit konten (konsol)

1. Masuk ke akun administrator AWS Management Console menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2. Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

   catatan

   Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

2. Di panel navigasi, pilih Kebijakan keamanan.

3. Pilih Buat kebijakan.

4. Untuk jenis Kebijakan, pilih Grup keamanan.

5. Untuk jenis kebijakan grup Keamanan, pilih Audit dan penegakan aturan grup keamanan.

6. Untuk Wilayah, pilih file Wilayah AWS.

7. Pilih Selanjutnya.

8. Untuk nama Kebijakan, masukkan nama ramah.

9. Untuk aturan Kebijakan, pilih opsi aturan kebijakan terkelola atau kustom yang ingin Anda gunakan.

   1. Untuk Mengonfigurasi aturan kebijakan audit terkelola, lakukan hal berikut:

      1. Untuk Mengonfigurasi aturan grup keamanan yang akan diaudit, pilih jenis aturan grup keamanan yang ingin diterapkan oleh kebijakan audit Anda.

      2. Jika Anda ingin melakukan hal-hal seperti aturan audit berdasarkan protokol, port, dan pengaturan rentang CIDR yang ada di grup keamanan Anda, pilih Audit aturan grup keamanan yang terlalu permisif dan pilih opsi yang Anda inginkan.

         Untuk pemilihan Aturan memungkinkan semua lalu lintas, Anda dapat memberikan daftar aplikasi khusus untuk menunjuk aplikasi yang ingin Anda audit. Untuk informasi tentang daftar aplikasi kustom dan cara menggunakannya dalam kebijakan Anda, lihat Daftar terkelola danMenggunakan daftar terkelola.

         Untuk pilihan yang menggunakan daftar protokol, Anda dapat menggunakan daftar yang ada dan Anda dapat membuat daftar baru. Untuk informasi tentang daftar protokol dan cara menggunakannya dalam kebijakan Anda, lihat Daftar terkelola danMenggunakan daftar terkelola.

      3. Jika Anda ingin mengaudit risiko tinggi berdasarkan akses mereka ke rentang CIDR yang dicadangkan atau tidak dicadangkan, pilih Audit aplikasi berisiko tinggi dan pilih opsi yang Anda inginkan.

         Pilihan berikut ini saling eksklusif: Aplikasi yang hanya dapat mengakses rentang CIDR yang dipesan dan Aplikasi diizinkan untuk mengakses rentang CIDR yang tidak dipesan. Anda dapat memilih paling banyak salah satu dari mereka dalam kebijakan apa pun.

         Untuk pilihan yang menggunakan daftar aplikasi, Anda dapat menggunakan daftar yang ada dan Anda dapat membuat daftar baru. Untuk informasi tentang daftar aplikasi dan cara menggunakannya dalam kebijakan Anda, lihat Daftar terkelola danMenggunakan daftar terkelola.

      4. Gunakan pengaturan Overrides untuk secara eksplisit mengganti setelan lain dalam kebijakan. Anda dapat memilih untuk selalu mengizinkan atau selalu menolak aturan grup keamanan tertentu, terlepas dari apakah aturan tersebut mematuhi opsi lain yang telah Anda tetapkan untuk kebijakan tersebut.

         Untuk opsi ini, Anda menyediakan grup keamanan audit sebagai aturan yang diizinkan atau templat aturan yang ditolak. Untuk grup keamanan audit, pilih Tambahkan grup keamanan audit, lalu pilih grup keamanan yang ingin Anda gunakan. Firewall Manager mengisi daftar grup keamanan audit dari semua instance VPC Amazon di akun administrator Firewall Manager. Kuota maksimum default untuk jumlah grup keamanan audit untuk suatu kebijakan adalah satu. Untuk informasi tentang peningkatan kuota, lihatAWS Firewall Manager kuota.

   2. Untuk Mengonfigurasi aturan kebijakan kustom, lakukan hal berikut:

      1. Dari opsi aturan, pilih apakah hanya mengizinkan aturan yang ditentukan dalam kelompok keamanan audit atau menolak semua aturan. Untuk informasi tentang pilihan ini, lihatKebijakan grup keamanan audit konten.

      2. Untuk grup keamanan audit, pilih Tambahkan grup keamanan audit, lalu pilih grup keamanan yang ingin Anda gunakan. Firewall Manager mengisi daftar grup keamanan audit dari semua instance VPC Amazon di akun administrator Firewall Manager. Kuota maksimum default untuk jumlah grup keamanan audit untuk suatu kebijakan adalah satu. Untuk informasi tentang peningkatan kuota, lihatAWS Firewall Manager kuota.

      3. Untuk tindakan Kebijakan, Anda harus membuat kebijakan dengan opsi yang tidak otomatis diperbaiki. Ini memungkinkan Anda untuk menilai efek dari kebijakan baru Anda sebelum Anda menerapkannya. Ketika Anda puas bahwa perubahan adalah apa yang Anda inginkan, edit kebijakan dan ubah tindakan kebijakan untuk mengaktifkan remediasi otomatis sumber daya yang tidak sesuai.

10. Pilih Selanjutnya.

11. Untuk kebijakan Akun AWS ini berlaku, pilih opsi sebagai berikut:

    • Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, Sertakan semua akun di AWS organisasi saya.

    • Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unit AWS Organizations organisasi tertentu (OU), pilih Sertakan hanya akun dan unit organisasi yang ditentukan, lalu tambahkan akun dan OU yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    • Jika Anda ingin menerapkan kebijakan untuk semua kecuali satu set akun atau unit AWS Organizations organisasi (OU) tertentu, pilih Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua akun lainnya, lalu tambahkan akun dan OU yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    Anda hanya dapat memilih salah satu opsi.

    Setelah menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu OU anaknya, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

12. Untuk jenis Sumber Daya, pilih jenis sumber daya yang ingin Anda lindungi.

13. Untuk Sumber Daya, Anda dapat mempersempit cakupan kebijakan menggunakan penandaan, dengan menyertakan atau mengecualikan sumber daya dengan tag yang Anda tentukan. Anda dapat menggunakan inklusi atau pengecualian, dan bukan keduanya. Untuk informasi selengkapnya tentang tag, lihat Bekerja dengan Editor Tag.

    Jika Anda memasukkan lebih dari satu tag, sumber daya harus memiliki semua tag untuk disertakan atau dikecualikan.

    Tag sumber daya hanya dapat memiliki nilai non-null. Jika Anda menghilangkan nilai untuk tag, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama.

14. Pilih Selanjutnya.

15. Tinjau setelan kebijakan untuk memastikan setelan tersebut sesuai dengan yang Anda inginkan, lalu pilih Buat kebijakan.

Firewall Manager membandingkan grup keamanan audit dengan grup keamanan dalam lingkup di AWS organisasi Anda, sesuai dengan setelan aturan kebijakan Anda. Anda dapat meninjau status kebijakan di konsol AWS Firewall Manager kebijakan. Setelah kebijakan dibuat, Anda dapat mengeditnya dan mengaktifkan remediasi otomatis untuk menerapkan kebijakan grup keamanan audit Anda. Untuk informasi selengkapnya tentang cara kerja kebijakan ini, lihatKebijakan grup keamanan audit konten.

Membuat kebijakan grup keamanan audit AWS Firewall Manager penggunaan

Untuk informasi tentang cara kerja kebijakan grup keamanan audit penggunaan, lihatPenggunaan kebijakan grup keamanan audit.

Untuk membuat kebijakan grup keamanan audit penggunaan (konsol)

1. Masuk ke akun administrator AWS Management Console menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2. Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

   catatan

   Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

2. Di panel navigasi, pilih Kebijakan keamanan.

3. Pilih Buat kebijakan.

4. Untuk jenis Kebijakan, pilih Grup keamanan.

5. Untuk jenis kebijakan grup Keamanan, pilih Audit dan pembersihan grup keamanan yang tidak terkait dan berlebihan.

6. Untuk Wilayah, pilih file Wilayah AWS.

7. Pilih Selanjutnya.

8. Untuk nama Kebijakan, masukkan nama ramah.

9. Untuk aturan Kebijakan, pilih salah satu atau kedua opsi yang tersedia.

   • Jika Anda memilih Grup keamanan dalam cakupan kebijakan ini harus digunakan oleh setidaknya satu sumber daya, Firewall Manager menghapus grup keamanan apa pun yang ditentukan tidak digunakan. Ketika aturan ini diaktifkan, Firewall Manager menjalankannya terakhir saat Anda menyimpan kebijakan.

     Untuk detail tentang cara Firewall Manager menentukan penggunaan dan waktu remediasi, lihatPenggunaan kebijakan grup keamanan audit.

     catatan

     Bila Anda menggunakan jenis kebijakan grup keamanan audit penggunaan ini, hindari membuat beberapa perubahan pada status asosiasi grup keamanan dalam lingkup dalam waktu singkat. Melakukannya dapat menyebabkan Firewall Manager melewatkan acara terkait.

     Secara default, Firewall Manager menganggap grup keamanan tidak sesuai dengan aturan kebijakan ini segera setelah tidak digunakan. Anda dapat secara opsional menentukan beberapa menit bahwa grup keamanan dapat tidak digunakan sebelum dianggap tidak sesuai, hingga 525.600 menit (365 hari). Anda dapat menggunakan pengaturan ini untuk memberi Anda waktu untuk mengaitkan grup keamanan baru dengan sumber daya.

     penting

     Jika Anda menentukan jumlah menit selain nilai default nol, Anda harus mengaktifkan hubungan tidak langsung di AWS Config. Jika tidak, kebijakan grup keamanan audit penggunaan Anda tidak akan berfungsi sebagaimana dimaksud. Untuk informasi tentang hubungan tidak langsung di AWS Config, lihat Hubungan Tidak Langsung di AWS Config dalam Panduan AWS Config Pengembang.

   • Jika Anda memilih Grup keamanan dalam cakupan kebijakan ini harus unik, Firewall Manager menggabungkan grup keamanan yang berlebihan, sehingga hanya satu yang terkait dengan sumber daya apa pun. Jika Anda memilih ini, Firewall Manager menjalankannya terlebih dahulu saat Anda menyimpan kebijakan.

10. Untuk tindakan Kebijakan, sebaiknya buat kebijakan dengan opsi yang tidak otomatis diperbaiki. Ini memungkinkan Anda untuk menilai efek dari kebijakan baru Anda sebelum Anda menerapkannya. Ketika Anda puas bahwa perubahan adalah apa yang Anda inginkan, maka edit kebijakan dan ubah tindakan kebijakan untuk mengaktifkan remediasi otomatis sumber daya yang tidak sesuai.

11. Pilih Selanjutnya.

12. Untuk kebijakan Akun AWS ini berlaku, pilih opsi sebagai berikut:

    • Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, Sertakan semua akun di AWS organisasi saya.

    • Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unit AWS Organizations organisasi tertentu (OU), pilih Sertakan hanya akun dan unit organisasi yang ditentukan, lalu tambahkan akun dan OU yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    • Jika Anda ingin menerapkan kebijakan untuk semua kecuali satu set akun atau unit AWS Organizations organisasi (OU) tertentu, pilih Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua akun lainnya, lalu tambahkan akun dan OU yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    Anda hanya dapat memilih salah satu opsi.

    Setelah menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu OU anaknya, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

13. Untuk Sumber Daya, Anda dapat mempersempit cakupan kebijakan menggunakan penandaan, dengan menyertakan atau mengecualikan sumber daya dengan tag yang Anda tentukan. Anda dapat menggunakan inklusi atau pengecualian, dan bukan keduanya. Untuk informasi selengkapnya tentang tag, lihat Bekerja dengan Editor Tag.

    Jika Anda memasukkan lebih dari satu tag, sumber daya harus memiliki semua tag untuk disertakan atau dikecualikan.

    Tag sumber daya hanya dapat memiliki nilai non-null. Jika Anda menghilangkan nilai untuk tag, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama.

14. Pilih Selanjutnya.

15. Jika Anda belum mengecualikan akun administrator Manajer Firewall dari cakupan kebijakan, Firewall Manager meminta Anda untuk melakukannya. Melakukan hal ini akan membuat grup keamanan di akun administrator Firewall Manager, yang Anda gunakan untuk kebijakan grup keamanan umum dan audit, di bawah kendali manual Anda. Pilih opsi yang Anda inginkan dalam dialog ini.

16. Tinjau setelan kebijakan untuk memastikan setelan tersebut sesuai dengan yang Anda inginkan, lalu pilih Buat kebijakan.

Jika Anda memilih untuk mewajibkan grup keamanan unik, Firewall Manager memindai grup keamanan redundan di setiap instans VPC Amazon dalam lingkup. Kemudian, jika Anda memilih untuk mewajibkan setiap grup keamanan digunakan oleh setidaknya satu sumber daya, Firewall Manager memindai grup keamanan yang tetap tidak digunakan selama menit yang ditentukan dalam aturan. Anda dapat meninjau status kebijakan di konsol AWS Firewall Manager kebijakan. Untuk informasi selengkapnya tentang cara kerja kebijakan ini, lihatPenggunaan kebijakan grup keamanan audit.

Membuat kebijakan ACL AWS Firewall Manager jaringan

Untuk informasi tentang cara kerja kebijakan ACL jaringan, lihatKebijakan ACL jaringan.

Untuk membuat kebijakan ACL jaringan, Anda harus tahu cara menentukan ACL jaringan untuk digunakan dengan subnet VPC Amazon Anda. Untuk selengkapnya, lihat Mengontrol lalu lintas ke subnet menggunakan ACL jaringan dan Bekerja dengan ACL jaringan di Panduan Pengguna Amazon VPC.

Untuk membuat kebijakan ACL jaringan (konsol)

1. Masuk ke akun administrator AWS Management Console menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2. Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

   catatan

   Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

2. Di panel navigasi, pilih Kebijakan keamanan.

3. Pilih Buat kebijakan.

4. Untuk jenis Kebijakan, pilih ACL Jaringan.

5. Untuk Wilayah, pilih file Wilayah AWS.

6. Pilih Selanjutnya.

7. Untuk nama Kebijakan, masukkan nama deskriptif.

8. Untuk aturan Kebijakan, tentukan aturan yang ingin selalu dijalankan di ACL jaringan yang dikelola Firewall Manager untuk Anda. ACL jaringan memantau dan menangani lalu lintas masuk dan keluar, jadi dalam kebijakan Anda, Anda menentukan aturan untuk kedua arah.

   Untuk kedua arah, Anda menentukan aturan yang ingin selalu Anda jalankan terlebih dahulu dan aturan yang ingin selalu Anda jalankan terakhir. Di ACL jaringan yang dikelola Firewall Manager, pemilik akun dapat menentukan aturan khusus untuk dijalankan di antara aturan pertama dan terakhir ini.

9. Untuk tindakan Kebijakan, jika Anda ingin mengidentifikasi subnet dan ACL jaringan yang tidak sesuai, tetapi belum mengambil tindakan korektif apa pun, pilih Identifikasi sumber daya yang tidak mematuhi aturan kebijakan, tetapi jangan memulihkan secara otomatis. Anda dapat mengubah opsi ini nanti.

   Jika Anda ingin menerapkan kebijakan secara otomatis ke subnet dalam lingkup yang ada, pilih Remediasi otomatis sumber daya yang tidak sesuai. Dengan opsi ini, Anda juga menentukan apakah akan memaksa remediasi ketika perilaku penanganan lalu lintas aturan kebijakan bertentangan dengan aturan kustom yang ada di ACL jaringan. Terlepas dari apakah Anda memaksa remediasi, Firewall Manager melaporkan aturan yang bertentangan dalam pelanggaran kepatuhannya.

10. Pilih Selanjutnya.

11. Untuk kebijakan Akun AWS ini berlaku, pilih opsi sebagai berikut:

    • Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, Sertakan semua akun di AWS organisasi saya.

    • Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unit AWS Organizations organisasi tertentu (OU), pilih Sertakan hanya akun dan unit organisasi yang ditentukan, lalu tambahkan akun dan OU yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    • Jika Anda ingin menerapkan kebijakan untuk semua kecuali satu set akun atau unit AWS Organizations organisasi (OU) tertentu, pilih Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua akun lainnya, lalu tambahkan akun dan OU yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    Anda hanya dapat memilih salah satu opsi.

    Setelah menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru yang berbeda. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu OU anaknya, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

12. Untuk tipe Sumber Daya, pengaturan ditetapkan di Subnet.

13. Untuk Sumber Daya, Anda dapat mempersempit cakupan kebijakan menggunakan penandaan, dengan menyertakan atau mengecualikan sumber daya dengan tag yang Anda tentukan. Anda dapat menggunakan inklusi atau pengecualian, dan bukan keduanya. Untuk informasi selengkapnya tentang tag, lihat Bekerja dengan Editor Tag.

    Jika Anda memasukkan lebih dari satu tag, sumber daya harus memiliki semua tag untuk disertakan atau dikecualikan.

    Tag sumber daya hanya dapat memiliki nilai non-null. Jika Anda menghilangkan nilai untuk tag, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama.

14. Pilih Selanjutnya.

15. Tinjau setelan kebijakan untuk memastikan setelan tersebut sesuai dengan yang Anda inginkan, lalu pilih Buat kebijakan.

Firewall Manager membuat kebijakan dan mulai memantau dan mengelola ACL jaringan dalam lingkup sesuai dengan pengaturan Anda. Untuk informasi selengkapnya tentang cara kerja kebijakan ini, lihatKebijakan ACL jaringan.

Membuat AWS Firewall Manager kebijakan untuk AWS Network Firewall

Dalam kebijakan Firewall Manager Network Firewall, Anda menggunakan grup aturan yang Anda kelola AWS Network Firewall. Untuk informasi tentang mengelola grup aturan, lihat grup AWS Network Firewall aturan di Panduan Pengembang Firewall Jaringan.

Untuk informasi tentang kebijakan Firewall Manager Network Firewall, lihatAWS Network Firewall kebijakan.

Untuk membuat kebijakan Firewall Manager untuk AWS Network Firewall (konsol)

1. Masuk ke akun administrator AWS Management Console menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2. Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

   catatan

   Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

2. Di panel navigasi, pilih Kebijakan keamanan.

3. Pilih Buat kebijakan.

4. Untuk jenis Kebijakan, pilih AWS Network Firewall.

5. Di bawah Jenis manajemen Firewall, pilih cara Anda ingin Firewall Manager mengelola firewall kebijakan. Pilih dari salah satu pilihan berikut:

   • Distributed - Firewall Manager membuat dan memelihara titik akhir firewall di setiap VPC yang ada dalam lingkup kebijakan.

   • Terpusat - Firewall Manager membuat dan memelihara titik akhir dalam satu VPC inspeksi.

   • Impor firewall yang ada - Firewall Manager mengimpor firewall yang ada dari Network Firewall menggunakan kumpulan sumber daya. Untuk informasi tentang kumpulan sumber daya, lihatBekerja dengan kumpulan sumber daya di Firewall Manager.

6. Untuk Wilayah, pilih file Wilayah AWS. Untuk melindungi sumber daya di beberapa Wilayah, Anda harus membuat kebijakan terpisah untuk setiap Wilayah.

7. Pilih Selanjutnya.

8. Untuk nama Kebijakan, masukkan nama deskriptif. Firewall Manager menyertakan nama kebijakan dalam nama firewall Network Firewall dan kebijakan firewall yang dibuatnya.

9. Dalam konfigurasi AWS Network Firewall kebijakan, konfigurasikan kebijakan firewall seperti yang Anda lakukan di Network Firewall. Tambahkan grup aturan stateless dan stateful Anda dan tentukan tindakan default kebijakan. Anda dapat secara opsional menyetel urutan evaluasi aturan stateful kebijakan dan tindakan default, serta konfigurasi logging. Untuk informasi tentang manajemen kebijakan firewall Network Firewall, lihat kebijakan AWS Network Firewall firewall di Panduan AWS Network Firewall Pengembang.

   Saat Anda membuat kebijakan Firewall Manager Network Firewall, Firewall Manager membuat kebijakan firewall untuk akun yang berada dalam cakupan. Manajer akun individu dapat menambahkan grup aturan ke kebijakan firewall, tetapi mereka tidak dapat mengubah konfigurasi yang Anda berikan di sini.

10. Pilih Selanjutnya.

11. Lakukan salah satu hal berikut, tergantung pada jenis manajemen Firewall yang Anda pilih pada langkah sebelumnya:

    • Jika Anda menggunakan tipe manajemen firewall terdistribusi, dalam konfigurasi AWS Firewall Manager titik akhir di bawah lokasi titik akhir Firewall, pilih salah satu opsi berikut:

      • Konfigurasi endpoint khusus - Firewall Manager membuat firewall untuk setiap VPC dalam cakupan kebijakan, di Availability Zone yang Anda tentukan. Setiap firewall berisi setidaknya satu titik akhir firewall.

        • Di Availability Zones, pilih Availability Zones untuk membuat endpoint firewall. Anda dapat memilih Availability Zones berdasarkan nama Availability Zone atau dengan Availability Zone ID.

        • Jika Anda ingin menyediakan blok CIDR untuk Firewall Manager untuk digunakan untuk subnet firewall di VPC Anda, semuanya harus/28 blok CIDR. Masukkan satu blok per baris. Jika Anda menghilangkan ini, Firewall Manager memilih alamat IP untuk Anda dari yang tersedia di VPC.

          catatan

          Remediasi otomatis terjadi secara otomatis untuk kebijakan AWS Firewall Manager Network Firewall, sehingga Anda tidak akan melihat opsi untuk memilih untuk tidak melakukan perbaikan otomatis di sini.

      • Konfigurasi endpoint otomatis - Firewall Manager secara otomatis membuat titik akhir firewall di Availability Zones dengan subnet publik di VPC Anda.

        • Untuk konfigurasi endpoint Firewall, tentukan bagaimana Anda ingin endpoint firewall dikelola oleh Firewall Manager. Sebaiknya gunakan beberapa titik akhir untuk ketersediaan tinggi.

    • Jika Anda menggunakan tipe manajemen firewall terpusat, dalam konfigurasi AWS Firewall Manager titik akhir di bawah konfigurasi VPC Inspeksi, masukkan ID AWS akun pemilik VPC inspeksi, dan ID VPC dari VPC inspeksi.

      • Di Availability Zones, pilih Availability Zones untuk membuat endpoint firewall. Anda dapat memilih Availability Zones berdasarkan nama Availability Zone atau dengan Availability Zone ID.

      • Jika Anda ingin menyediakan blok CIDR untuk Firewall Manager untuk digunakan untuk subnet firewall di VPC Anda, semuanya harus/28 blok CIDR. Masukkan satu blok per baris. Jika Anda menghilangkan ini, Firewall Manager memilih alamat IP untuk Anda dari yang tersedia di VPC.

        catatan

        Remediasi otomatis terjadi secara otomatis untuk kebijakan AWS Firewall Manager Network Firewall, sehingga Anda tidak akan melihat opsi untuk memilih untuk tidak melakukan perbaikan otomatis di sini.

    • Jika Anda menggunakan jenis manajemen firewall firewall impor yang ada, dalam kumpulan Sumber daya tambahkan satu atau beberapa kumpulan sumber daya. Kumpulan sumber daya menentukan firewall Firewall Jaringan yang ada yang dimiliki oleh akun organisasi yang ingin Anda kelola secara terpusat dalam kebijakan ini. Untuk menambahkan kumpulan sumber daya ke kebijakan, Anda harus terlebih dahulu membuat kumpulan sumber daya menggunakan konsol atau PutResourceSetAPI. Untuk informasi tentang kumpulan sumber daya, lihatBekerja dengan kumpulan sumber daya di Firewall Manager. Untuk informasi selengkapnya tentang mengimpor firewall yang ada dari Network Firewall, lihat mengimpor firewall yang ada.

12. Pilih Selanjutnya.

13. Jika kebijakan Anda menggunakan jenis manajemen firewall terdistribusi, di bawah Manajemen rute, pilih apakah Firewall Manager akan memantau dan memperingatkan lalu lintas yang harus dialihkan melalui titik akhir firewall masing-masing atau tidak.

    catatan

    Jika Anda memilih Monitor, Anda tidak dapat mengubah pengaturan ke Off di kemudian hari. Pemantauan berlanjut hingga Anda menghapus kebijakan.

14. Untuk jenis Lalu Lintas, secara opsional tambahkan titik akhir lalu lintas yang ingin Anda rutekan lalu lintas untuk inspeksi firewall.

15. Untuk Izinkan lalu lintas lintas lintas AZ yang diperlukan, jika Anda mengaktifkan opsi ini maka Firewall Manager memperlakukan perutean yang sesuai yang mengirimkan lalu lintas keluar dari Availability Zone untuk diperiksa, untuk Availability Zone yang tidak memiliki endpoint firewall sendiri. Availability Zone yang memiliki endpoint harus selalu memeriksa lalu lintas mereka sendiri.

16. Pilih Selanjutnya.

17. Untuk cakupan Kebijakan, berdasarkan kebijakan Akun AWS ini berlaku untuk, pilih opsi sebagai berikut:

    • Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, Sertakan semua akun di AWS organisasi saya.

    • Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unit AWS Organizations organisasi tertentu (OU), pilih Sertakan hanya akun dan unit organisasi yang ditentukan, lalu tambahkan akun dan OU yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    • Jika Anda ingin menerapkan kebijakan untuk semua kecuali satu set akun atau unit AWS Organizations organisasi (OU) tertentu, pilih Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua akun lainnya, lalu tambahkan akun dan OU yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    Anda hanya dapat memilih salah satu opsi.

    Setelah menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu OU anaknya, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

18. Jenis sumber daya untuk kebijakan Network Firewall adalah VPC.

19. Untuk Sumber Daya, Anda dapat mempersempit cakupan kebijakan menggunakan penandaan, dengan menyertakan atau mengecualikan sumber daya dengan tag yang Anda tentukan. Anda dapat menggunakan inklusi atau pengecualian, dan bukan keduanya. Untuk informasi selengkapnya tentang tag, lihat Bekerja dengan Editor Tag.

    Jika Anda memasukkan lebih dari satu tag, sumber daya harus memiliki semua tag untuk disertakan atau dikecualikan.

    Tag sumber daya hanya dapat memiliki nilai non-null. Jika Anda menghilangkan nilai untuk tag, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama.

20. Pilih Selanjutnya.

21. Untuk tag Kebijakan, tambahkan tag pengenal apa pun yang ingin Anda tambahkan ke sumber daya kebijakan Manajer Firewall. Untuk informasi selengkapnya tentang tag, lihat Bekerja dengan Editor Tag.

22. Pilih Selanjutnya.

23. Tinjau pengaturan kebijakan baru dan kembali ke halaman mana pun yang Anda perlukan untuk penyesuaian apa pun.

    Jika Anda puas dengan kebijakan ini, pilih Create policy (Buat kebijakan). Di panel AWS Firewall Manager kebijakan, kebijakan Anda harus dicantumkan. Ini mungkin akan menunjukkan Pending di bawah judul akun dan itu akan menunjukkan status pengaturan remediasi otomatis. Pembuatan kebijakan dapat memakan waktu beberapa menit. Setelah Status tertunda diganti dengan jumlah akun, Anda dapat memilih nama kebijakan untuk menjelajahi status kepatuhan akun dan sumber daya. Untuk informasi, lihat Melihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan

Membuat AWS Firewall Manager kebijakan untuk Amazon Route 53 Resolver DNS Firewall

Dalam kebijakan Firewall Manager DNS Firewall, Anda menggunakan grup aturan yang Anda kelola di Amazon Route 53 Resolver DNS Firewall. Untuk informasi tentang mengelola grup aturan, lihat Mengelola grup aturan dan aturan di DNS Firewall di Panduan Pengembang Amazon Route 53.

Untuk informasi tentang kebijakan Firewall Manager DNS Firewall, lihatKebijakan Firewall DNS Resolver Amazon Route 53.

Untuk membuat kebijakan Firewall Manager untuk Amazon Route 53 Resolver DNS Firewall (konsol)

1. Masuk ke akun administrator AWS Management Console menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2. Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

   catatan

   Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

2. Di panel navigasi, pilih Kebijakan keamanan.

3. Pilih Buat kebijakan.

4. Untuk jenis Kebijakan, pilih Amazon Route 53 Resolver DNS Firewall.

5. Untuk Wilayah, pilih file Wilayah AWS. Untuk melindungi sumber daya di beberapa Wilayah, Anda harus membuat kebijakan terpisah untuk setiap Wilayah.

6. Pilih Selanjutnya.

7. Untuk nama Kebijakan, masukkan nama deskriptif.

8. Dalam konfigurasi kebijakan, tambahkan grup aturan yang ingin dievaluasi oleh DNS Firewall terlebih dahulu dan terakhir di antara asosiasi grup aturan VPC Anda. Anda dapat menambahkan hingga dua grup aturan ke kebijakan.

   Saat Anda membuat kebijakan Firewall Manager DNS Firewall, Firewall Manager membuat asosiasi grup aturan, dengan prioritas asosiasi yang Anda berikan, untuk VPC dan akun yang berada dalam cakupan. Manajer akun individu dapat menambahkan asosiasi grup aturan di antara asosiasi pertama dan terakhir Anda, tetapi mereka tidak dapat mengubah asosiasi yang Anda tentukan di sini. Untuk informasi selengkapnya, lihat Kebijakan Firewall DNS Resolver Amazon Route 53.

9. Pilih Berikutnya.

10. Untuk kebijakan Akun AWS ini berlaku, pilih opsi sebagai berikut:

    • Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, Sertakan semua akun di AWS organisasi saya.

    • Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unit AWS Organizations organisasi tertentu (OU), pilih Sertakan hanya akun dan unit organisasi yang ditentukan, lalu tambahkan akun dan OU yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    • Jika Anda ingin menerapkan kebijakan untuk semua kecuali satu set akun atau unit AWS Organizations organisasi (OU) tertentu, pilih Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua akun lainnya, lalu tambahkan akun dan OU yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    Anda hanya dapat memilih salah satu opsi.

    Setelah menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu OU anaknya, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

11. Jenis sumber daya untuk kebijakan DNS Firewall adalah VPC.

12. Untuk Sumber Daya, Anda dapat mempersempit cakupan kebijakan menggunakan penandaan, dengan menyertakan atau mengecualikan sumber daya dengan tag yang Anda tentukan. Anda dapat menggunakan inklusi atau pengecualian, dan bukan keduanya. Untuk informasi selengkapnya tentang tag, lihat Bekerja dengan Editor Tag.

    Jika Anda memasukkan lebih dari satu tag, sumber daya harus memiliki semua tag untuk disertakan atau dikecualikan.

    Tag sumber daya hanya dapat memiliki nilai non-null. Jika Anda menghilangkan nilai untuk tag, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama.

13. Pilih Selanjutnya.

14. Untuk tag Kebijakan, tambahkan tag pengenal apa pun yang ingin Anda tambahkan ke sumber daya kebijakan Manajer Firewall. Untuk informasi selengkapnya tentang tag, lihat Bekerja dengan Editor Tag.

15. Pilih Selanjutnya.

16. Tinjau pengaturan kebijakan baru dan kembali ke halaman mana pun yang Anda perlukan untuk penyesuaian apa pun.

    Jika Anda puas dengan kebijakan ini, pilih Create policy (Buat kebijakan). Di panel AWS Firewall Manager kebijakan, kebijakan Anda harus dicantumkan. Ini mungkin akan menunjukkan Pending di bawah judul akun dan itu akan menunjukkan status pengaturan remediasi otomatis. Pembuatan kebijakan dapat memakan waktu beberapa menit. Setelah Status tertunda diganti dengan jumlah akun, Anda dapat memilih nama kebijakan untuk menjelajahi status kepatuhan akun dan sumber daya. Untuk informasi, lihat Melihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan

Membuat AWS Firewall Manager kebijakan untuk Palo Alto Networks Cloud NGFW

Dengan kebijakan Firewall Manager untuk Palo Alto Networks Cloud Next Generation Firewall (Palo Alto Networks Cloud NGFW), Anda menggunakan Firewall Manager untuk menyebarkan sumber daya Palo Alto Networks Cloud NGFW, dan mengelola tumpukan aturan NGFW secara terpusat di semua akun Anda. AWS

Untuk informasi tentang kebijakan Firewall Manager Palo Alto Networks Cloud NGFW, lihat. Kebijakan Palo Alto Networks Cloud NGFW Untuk informasi tentang cara mengkonfigurasi dan mengelola Palo Alto Networks Cloud NGFW untuk Firewall Manager, lihat Palo Alto Networks Palo Alto Networks Cloud NGFW pada dokumentasi. AWS

Prasyarat

Ada beberapa langkah wajib untuk mempersiapkan akun Anda AWS Firewall Manager. Langkah-langkah tersebut dijelaskan dalamAWS Firewall Manager prasyarat. Lengkapi semua prasyarat sebelum melanjutkan ke langkah berikutnya.

Untuk membuat kebijakan Firewall Manager untuk Palo Alto Networks Cloud NGFW (konsol)

1. Masuk ke akun administrator AWS Management Console menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2. Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

   catatan

   Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

2. Di panel navigasi, pilih Kebijakan keamanan.

3. Pilih Buat kebijakan.

4. Untuk jenis Kebijakan, pilih Palo Alto Networks Cloud NGFW. Jika Anda belum berlangganan layanan Palo Alto Networks Cloud NGFW di AWS Marketplace, Anda harus melakukannya terlebih dahulu. Untuk berlangganan AWS Marketplace, pilih Lihat detail AWS Marketplace.

5. Untuk model Deployment, pilih model Terdistribusi atau model Terpusat. Model penerapan menentukan cara Firewall Manager mengelola titik akhir untuk kebijakan tersebut. Dengan model terdistribusi, Firewall Manager mempertahankan titik akhir firewall di setiap VPC yang berada dalam cakupan kebijakan. Dengan model terpusat, Firewall Manager mempertahankan satu titik akhir dalam VPC inspeksi.

6. Untuk Wilayah, pilih file Wilayah AWS. Untuk melindungi sumber daya di beberapa Wilayah, Anda harus membuat kebijakan terpisah untuk setiap Wilayah.

7. Pilih Selanjutnya.

8. Untuk nama Kebijakan, masukkan nama deskriptif.

9. Dalam konfigurasi kebijakan, pilih kebijakan firewall Palo Alto Networks Cloud NGFW untuk dikaitkan dengan kebijakan ini. Daftar kebijakan firewall Palo Alto Networks Cloud NGFW berisi semua kebijakan firewall Palo Alto Networks Cloud NGFW yang terkait dengan penyewa Palo Alto Networks Cloud NGFW Anda. Untuk informasi tentang membuat dan mengelola kebijakan firewall Palo Alto Networks Cloud NGFW, lihat panduan Deploy Palo Alto Networks Cloud NGFW untuk AWS Firewall Manager topik di Palo Alto Networks Cloud NGFW untuk AWS panduan penerapan. AWS

10. Untuk pencatatan Palo Alto Networks Cloud NGFW - opsional, pilih jenis log Palo Alto Networks Cloud NGFW mana yang akan dicatat untuk kebijakan Anda. Untuk informasi tentang jenis log Palo Alto Networks Cloud NGFW, lihat Mengkonfigurasi Logging untuk Palo Alto Networks Cloud NGFW AWS di Palo Alto Networks Cloud NGFW untuk panduan penerapan. AWS

    Untuk tujuan log, tentukan kapan Firewall Manager harus menulis log ke.

11. Pilih Selanjutnya.

12. Di bawah Konfigurasi titik akhir firewall pihak ketiga lakukan salah satu hal berikut, tergantung pada apakah Anda menggunakan model penyebaran terdistribusi atau terpusat untuk membuat titik akhir firewall Anda:

    • Jika Anda menggunakan model penerapan terdistribusi untuk kebijakan ini, di bawah Availability Zones, pilih Availability Zones untuk membuat endpoint firewall. Anda dapat memilih Availability Zones berdasarkan nama Availability Zone atau dengan Availability Zone ID.

    • Jika Anda menggunakan model penerapan terpusat untuk kebijakan ini, dalam konfigurasi AWS Firewall Manager titik akhir di bawah konfigurasi VPC Inspeksi, masukkan ID AWS akun pemilik VPC inspeksi, dan ID VPC VPC inspeksi.

      • Di Availability Zones, pilih Availability Zones untuk membuat endpoint firewall. Anda dapat memilih Availability Zones berdasarkan nama Availability Zone atau dengan Availability Zone ID.

13. Jika Anda ingin menyediakan blok CIDR untuk Firewall Manager untuk digunakan untuk subnet firewall di VPC Anda, semuanya harus/28 blok CIDR. Masukkan satu blok per baris. Jika Anda menghilangkan ini, Firewall Manager memilih alamat IP untuk Anda dari yang tersedia di VPC.

    catatan

    Remediasi otomatis terjadi secara otomatis untuk kebijakan AWS Firewall Manager Network Firewall, sehingga Anda tidak akan melihat opsi untuk memilih untuk tidak melakukan perbaikan otomatis di sini.

14. Pilih Selanjutnya.

15. Untuk cakupan Kebijakan, berdasarkan kebijakan Akun AWS ini berlaku untuk, pilih opsi sebagai berikut:

    • Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, Sertakan semua akun di AWS organisasi saya.

    • Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unit AWS Organizations organisasi tertentu (OU), pilih Sertakan hanya akun dan unit organisasi yang ditentukan, lalu tambahkan akun dan OU yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    • Jika Anda ingin menerapkan kebijakan untuk semua kecuali satu set akun atau unit AWS Organizations organisasi (OU) tertentu, pilih Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua akun lainnya, lalu tambahkan akun dan OU yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    Anda hanya dapat memilih salah satu opsi.

    Setelah menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu OU anaknya, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

16. Jenis sumber daya untuk kebijakan Network Firewall adalah VPC.

17. Untuk Sumber Daya, Anda dapat mempersempit cakupan kebijakan menggunakan penandaan, dengan menyertakan atau mengecualikan sumber daya dengan tag yang Anda tentukan. Anda dapat menggunakan inklusi atau pengecualian, dan bukan keduanya. Untuk informasi selengkapnya tentang tag, lihat Bekerja dengan Editor Tag.

    Jika Anda memasukkan lebih dari satu tag, sumber daya harus memiliki semua tag untuk disertakan atau dikecualikan.

    Tag sumber daya hanya dapat memiliki nilai non-null. Jika Anda menghilangkan nilai untuk tag, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama.

18. Untuk akses lintas akun Grant, pilih Unduh AWS CloudFormation template. Ini mengunduh AWS CloudFormation template yang dapat Anda gunakan untuk membuat AWS CloudFormation tumpukan. Tumpukan ini menciptakan AWS Identity and Access Management peran yang memberikan izin lintas akun Firewall Manager untuk mengelola sumber daya Palo Alto Networks Cloud NGFW. Untuk informasi tentang tumpukan, lihat Bekerja dengan tumpukan di AWS CloudFormation Panduan Pengguna.

19. Pilih Selanjutnya.

20. Untuk tag Kebijakan, tambahkan tag pengenal apa pun yang ingin Anda tambahkan ke sumber daya kebijakan Manajer Firewall. Untuk informasi selengkapnya tentang tag, lihat Bekerja dengan Editor Tag.

21. Pilih Selanjutnya.

22. Tinjau pengaturan kebijakan baru dan kembali ke halaman mana pun yang Anda perlukan untuk penyesuaian apa pun.

    Jika Anda puas dengan kebijakan ini, pilih Create policy (Buat kebijakan). Di panel AWS Firewall Manager kebijakan, kebijakan Anda harus dicantumkan. Ini mungkin akan menunjukkan Pending di bawah judul akun dan itu akan menunjukkan status pengaturan remediasi otomatis. Pembuatan kebijakan dapat memakan waktu beberapa menit. Setelah Status tertunda diganti dengan jumlah akun, Anda dapat memilih nama kebijakan untuk menjelajahi status kepatuhan akun dan sumber daya. Untuk informasi, lihat Melihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan

Membuat AWS Firewall Manager kebijakan untuk Fortigate Cloud Native Firewall (CNF) sebagai Layanan

Dengan kebijakan Firewall Manager untuk Fortigate CNF, Anda dapat menggunakan Firewall Manager untuk menyebarkan dan mengelola sumber daya Fortigate CNF di semua akun Anda. AWS

Untuk informasi tentang kebijakan Firewall Manager Fortigate CNF, lihat. Fortigate Cloud Native Firewall (CNF) sebagai kebijakan Layanan Untuk informasi tentang cara mengkonfigurasi Fortigate CNF untuk digunakan dengan Firewall Manager, lihat dokumentasi Fortinet.

Prasyarat

Ada beberapa langkah wajib untuk mempersiapkan akun Anda AWS Firewall Manager. Langkah-langkah tersebut dijelaskan dalamAWS Firewall Manager prasyarat. Lengkapi semua prasyarat sebelum melanjutkan ke langkah berikutnya.

Untuk membuat kebijakan Firewall Manager untuk Fortigate CNF (konsol)

1. Masuk ke akun administrator AWS Management Console menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager dihttps://console.aws.amazon.com/wafv2/fmsv2. Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

   catatan

   Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihatAWS Firewall Manager prasyarat.

2. Di panel navigasi, pilih Kebijakan keamanan.

3. Pilih Buat kebijakan.

4. Untuk jenis Kebijakan, pilih Fortigate Cloud Native Firewall (CNF) sebagai Layanan. Jika Anda belum berlangganan layanan Fortigate CNF di AWS Marketplace, Anda harus melakukannya terlebih dahulu. Untuk berlangganan AWS Marketplace, pilih Lihat detail AWS Marketplace.

5. Untuk model Deployment, pilih model Terdistribusi atau model Terpusat. Model penerapan menentukan cara Firewall Manager mengelola titik akhir untuk kebijakan tersebut. Dengan model terdistribusi, Firewall Manager mempertahankan titik akhir firewall di setiap VPC yang berada dalam cakupan kebijakan. Dengan model terpusat, Firewall Manager mempertahankan satu titik akhir dalam VPC inspeksi.

6. Untuk Wilayah, pilih file Wilayah AWS. Untuk melindungi sumber daya di beberapa Wilayah, Anda harus membuat kebijakan terpisah untuk setiap Wilayah.

7. Pilih Selanjutnya.

8. Untuk nama Kebijakan, masukkan nama deskriptif.

9. Dalam konfigurasi kebijakan, pilih kebijakan firewall Fortigate CNF untuk dikaitkan dengan kebijakan ini. Daftar kebijakan firewall Fortigate CNF berisi semua kebijakan firewall Fortigate CNF yang terkait dengan penyewa Fortigate CNF Anda. Untuk informasi tentang membuat dan mengelola penyewa Fortigate CNF, lihat dokumentasi Fortinet.

10. Pilih Selanjutnya.

11. Di bawah Konfigurasi titik akhir firewall pihak ketiga lakukan salah satu hal berikut, tergantung pada apakah Anda menggunakan model penyebaran terdistribusi atau terpusat untuk membuat titik akhir firewall Anda:

    • Jika Anda menggunakan model penerapan terdistribusi untuk kebijakan ini, di bawah Availability Zones, pilih Availability Zones untuk membuat endpoint firewall. Anda dapat memilih Availability Zones berdasarkan nama Availability Zone atau dengan Availability Zone ID.

    • Jika Anda menggunakan model penerapan terpusat untuk kebijakan ini, dalam konfigurasi AWS Firewall Manager titik akhir di bawah konfigurasi VPC Inspeksi, masukkan ID AWS akun pemilik VPC inspeksi, dan ID VPC VPC inspeksi.

      • Di Availability Zones, pilih Availability Zones untuk membuat endpoint firewall. Anda dapat memilih Availability Zones berdasarkan nama Availability Zone atau dengan Availability Zone ID.

12. Jika Anda ingin menyediakan blok CIDR untuk Firewall Manager untuk digunakan untuk subnet firewall di VPC Anda, semuanya harus/28 blok CIDR. Masukkan satu blok per baris. Jika Anda menghilangkan ini, Firewall Manager memilih alamat IP untuk Anda dari yang tersedia di VPC.

    catatan

    Remediasi otomatis terjadi secara otomatis untuk kebijakan AWS Firewall Manager Network Firewall, sehingga Anda tidak akan melihat opsi untuk memilih untuk tidak melakukan perbaikan otomatis di sini.

13. Pilih Selanjutnya.

14. Untuk cakupan Kebijakan, berdasarkan kebijakan Akun AWS ini berlaku untuk, pilih opsi sebagai berikut:

    • Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, Sertakan semua akun di AWS organisasi saya.

    • Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unit AWS Organizations organisasi tertentu (OU), pilih Sertakan hanya akun dan unit organisasi yang ditentukan, lalu tambahkan akun dan OU yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    • Jika Anda ingin menerapkan kebijakan untuk semua kecuali satu set akun atau unit AWS Organizations organisasi (OU) tertentu, pilih Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua akun lainnya, lalu tambahkan akun dan OU yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu OU turunan, termasuk setiap OU turunan dan akun yang ditambahkan di lain waktu.

    Anda hanya dapat memilih salah satu opsi.

    Setelah menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu OU anaknya, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

15. Jenis sumber daya untuk kebijakan Network Firewall adalah VPC.

16. Untuk Sumber Daya, Anda dapat mempersempit cakupan kebijakan menggunakan penandaan, dengan menyertakan atau mengecualikan sumber daya dengan tag yang Anda tentukan. Anda dapat menggunakan inklusi atau pengecualian, dan bukan keduanya. Untuk informasi selengkapnya tentang tag, lihat Bekerja dengan Editor Tag.

    Jika Anda memasukkan lebih dari satu tag, sumber daya harus memiliki semua tag untuk disertakan atau dikecualikan.

    Tag sumber daya hanya dapat memiliki nilai non-null. Jika Anda menghilangkan nilai untuk tag, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama.

17. Untuk akses lintas akun Grant, pilih Unduh AWS CloudFormation template. Ini mengunduh AWS CloudFormation template yang dapat Anda gunakan untuk membuat AWS CloudFormation tumpukan. Tumpukan ini menciptakan AWS Identity and Access Management peran yang memberikan izin lintas akun Firewall Manager untuk mengelola sumber daya CNF Fortigate. Untuk informasi tentang tumpukan, lihat Bekerja dengan tumpukan di AWS CloudFormation Panduan Pengguna. Untuk membuat tumpukan, Anda memerlukan ID akun dari portal Fortigate CNF.

18. Pilih Selanjutnya.

19. Untuk tag Kebijakan, tambahkan tag pengenal apa pun yang ingin Anda tambahkan ke sumber daya kebijakan Manajer Firewall. Untuk informasi selengkapnya tentang tag, lihat Bekerja dengan Editor Tag.

20. Pilih Selanjutnya.

21. Tinjau pengaturan kebijakan baru dan kembali ke halaman mana pun yang Anda perlukan untuk penyesuaian apa pun.

    Jika Anda puas dengan kebijakan ini, pilih Create policy (Buat kebijakan). Di panel AWS Firewall Manager kebijakan, kebijakan Anda harus dicantumkan. Ini mungkin akan menunjukkan Pending di bawah judul akun dan itu akan menunjukkan status pengaturan remediasi otomatis. Pembuatan kebijakan dapat memakan waktu beberapa menit. Setelah Status tertunda diganti dengan jumlah akun, Anda dapat memilih nama kebijakan untuk menjelajahi status kepatuhan akun dan sumber daya. Untuk informasi, lihat Melihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan