Tutorial: MembuatAWS Firewall Managerkebijakan dengan aturan hirarkis - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tutorial: MembuatAWS Firewall Managerkebijakan dengan aturan hirarkis

catatan

Ini adalahAWS WAFKlasikdokumentasi. Anda sebaiknya hanya menggunakan versi ini jika Anda membuatAWS WAFsumber daya, seperti aturan dan ACL web, diAWS WAFsebelum November 2019, dan Anda belum memigrasikannya ke versi terbaru. Untuk memigrasi sumber daya Anda, lihatMigrasiAWS WAFSumber daya KlasikAWS WAF.

Untuk versi terbaruAWS WAF, LihatAWS WAF.

DenganAWS Firewall Manager, Anda dapat membuat dan menerapkanAWS WAFKlasikkebijakan perlindungan yang berisi aturan hirarkis. Artinya, Anda dapat membuat dan menegakkan aturan tertentu secara terpusat, tetapi mendelegasikan penciptaan dan pemeliharaan aturan khusus akun kepada individu lain. Anda dapat memantau aturan (umum) yang diterapkan secara terpusat untuk penghapusan atau kesalahan penanganan yang tidak disengaja, sehingga memastikan bahwa mereka diterapkan secara konsisten. Aturan khusus akun menambahkan perlindungan lebih lanjut yang disesuaikan untuk kebutuhan tim individu.

catatan

Dalam versi terbaruAWS WAF, kemampuan ini dibangun dan tidak memerlukan penanganan khusus. Jika Anda belum menggunakanAWS WAFKlasik, gunakan versi terbaru sebagai gantinya. Lihat MembuatAWS Firewall Managerkebijakan untukAWS WAF.

Tutorial berikut menjelaskan cara membuat seperangkat aturan perlindungan hirarkis.

Langkah 1: Menetapkan akun administrator Firewall Manager

Untuk menggunakanAWS Firewall Manager, Anda harus menetapkan akun di organisasi Anda sebagai akun administrator Firewall Manager. Akun ini dapat berupa akun manajemen atau akun anggota dalam organisasi.

Anda dapat menggunakan akun administrator Firewall Manager untuk membuat serangkaian aturan umum yang Anda terapkan ke akun lain di organisasi. Akun lain dalam organisasi tidak dapat mengubah aturan yang diterapkan secara terpusat ini.

Untuk menetapkan akun sebagai akun administrator Firewall Manager dan menyelesaikan prasyarat lain untuk menggunakan Firewall Manager, lihat petunjuk diPrasyarat AWS Firewall Manager. Jika Anda sudah menyelesaikan prasyarat, Anda dapat melompat ke langkah 2 tutorial ini.

Dalam tutorial ini, kita merujuk ke akun administrator sebagaiFirewall-Administrator-Account.

Langkah 2: Membuat grup aturan menggunakan akun administrator Firewall Manager

Selanjutnya, buat grup aturan menggunakanFirewall-Administrator-Account. Grup aturan ini berisi aturan umum yang akan Anda terapkan ke semua akun anggota yang diatur oleh kebijakan yang Anda buat di langkah berikutnya. HANYAFirewall-Administrator-Accountdapat membuat perubahan pada aturan-aturan ini dan kelompok aturan kontainer.

Dalam tutorial ini, kita merujuk ke kelompok aturan kontainer ini sebagaiCommon-Rule-Group.

Untuk membuat grup aturan, lihat instruksi diMembuatAWS WAFGrup aturan klasik. Ingatlah untuk masuk ke konsol menggunakan akun administrator Firewall Manager Anda (Firewall-Administrator-Account) saat mengikuti petunjuk ini.

Langkah 3: Buat kebijakan Firewall Manager dan lampirkan grup aturan umum

MenggunakanFirewall-Administrator-Account, membuat kebijakan Firewall Manager. Saat Anda membuat kebijakan ini, Anda harus melakukan hal berikut:

  • TambahkanCommon-Rule-Groupuntuk kebijakan baru.

  • Sertakan semua akun dalam organisasi yang Anda inginkanCommon-Rule-Groupditerapkan untuk.

  • Tambahkan semua sumber daya yang Anda inginkanCommon-Rule-Groupditerapkan untuk.

Untuk petunjuk tentang membuat kebijakan, lihatMembuatAWS Firewall Managerkebijakan.

Ini menciptakan ACL web di setiap akun yang ditentukan dan menambahkanCommon-Rule-Groupuntuk masing-masing ACL web tersebut. Setelah Anda membuat kebijakan, web ini ACL dan aturan umum digunakan untuk semua akun yang ditentukan.

Dalam tutorial ini, kita merujuk ke web ini ACL sebagaiAdministrator-Created-ACL. Sebuah unikAdministrator-Created-ACLsekarang ada di setiap akun anggota tertentu organisasi.

Langkah 4: Tambahkan aturan khusus akun

Setiap akun anggota dalam organisasi sekarang dapat menambahkan aturan khusus akun mereka sendiri keAdministrator-Created-ACLyang ada di akun mereka. Aturan umum yang sudah ada diAdministrator-Created-ACLterus menerapkan, bersama dengan baru, aturan khusus akun.AWS WAFmemeriksa permintaan web berdasarkan urutan di mana aturan muncul di web ACL. Hal ini berlaku untuk keduaAdministrator-Created-ACLdan aturan khusus akun.

Untuk menambahkanaturan untukAdministrator-Created-ACL, LihatMengedit ACL web.

Kesimpulan

Anda sekarang memiliki web ACL yang berisi aturan umum yang dikelola oleh akun administrator Firewall Manager serta aturan khusus akun yang dikelola oleh setiap akun anggota.

ParameterAdministrator-Created-ACLdi setiap akun referensi tunggalCommon-Rule-Group. Oleh karena itu, perubahan masa depan oleh akun administrator Firewall Manager keCommon-Rule-Groupakan segera berlaku di setiap akun anggota.

Akun anggota tidak dapat mengubah atau menghapus aturan umum diCommon-Rule-Group.

Aturan khusus akun tidak memengaruhi akun lain.