Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Firewall Manager membuat dan mengelola web ACLs untuk sumber daya dalam lingkup sesuai dengan pengaturan konfigurasi dan manajemen kebijakan umum Anda.
catatan
Jika sumber daya yang dikonfigurasi dengan mitigasi lapisan DDo S aplikasi otomatis lanjutan masuk ke dalam cakupan AWS WAF kebijakan, Firewall Manager tidak akan dapat menerapkan perlindungan kebijakan ke sumber daya dan akan menandai sumber daya yang tidak sesuai.
Mengelola konfigurasi web ACLs yang tidak terkait
Pengaturan konfigurasi kebijakan yang menentukan cara Firewall Manager mengelola web ACLs untuk akun saat web tidak ACLs akan digunakan oleh sumber daya apa pun. Jika Anda mengaktifkan pengelolaan web yang tidak terkait ACLs, Firewall Manager membuat web ACLs di akun yang berada dalam cakupan kebijakan hanya jika web ACLs akan digunakan oleh setidaknya satu sumber daya. Jika Anda tidak mengaktifkan opsi ini, Firewall Manager secara otomatis memastikan bahwa setiap akun memiliki ACL web terlepas dari apakah ACL web akan digunakan.
Ketika ini diaktifkan, ketika akun masuk ke cakupan kebijakan, Firewall Manager secara otomatis membuat ACL web di akun hanya jika setidaknya satu sumber daya akan menggunakan ACL web.
Selain itu, ketika Anda mengaktifkan pengelolaan web yang tidak terkait ACLs, pada pembuatan kebijakan, Firewall Manager melakukan pembersihan satu kali web ACLs yang tidak terkait di akun Anda. Selama pembersihan ini, Firewall Manager melewatkan web apa pun ACLs yang telah Anda modifikasi setelah pembuatannya, misalnya, jika Anda menambahkan grup aturan ke ACL web atau memodifikasi pengaturannya. Proses pembersihan bisa memakan waktu beberapa jam. Jika sumber daya meninggalkan cakupan kebijakan setelah Firewall Manager membuat ACL web, Firewall Manager memisahkan sumber daya dari ACL web, tetapi tidak akan membersihkan ACL web yang tidak terkait. Firewall Manager hanya membersihkan web yang tidak terkait ACLs saat Anda pertama kali mengaktifkan pengelolaan web yang tidak terkait ACLs dalam kebijakan.
Di API, pengaturan ini ada optimizeUnassociatedWebACL
dalam tipe SecurityServicePolicyDatadata. Contoh: \"optimizeUnassociatedWebACL\":false
Konfigurasi sumber ACL Web: Buat semua yang baru atau retrofit yang sudah ada?
Pengaturan konfigurasi kebijakan yang menentukan apa yang dilakukan Firewall Manager dengan web yang ada ACLs yang terkait dengan sumber daya dalam lingkup.
Secara default, Firewall Manager membuat semua web baru ACLs untuk sumber daya dalam lingkup. Dengan retrofitting, Firewall Manager menggunakan web ACLs yang sudah ada yang sudah digunakan, dan hanya membuat web baru ACLs untuk sumber daya yang belum memiliki satu yang terkait.
Saat kebijakan dikonfigurasi untuk perkuatan, semua web ACLs yang terkait dengan sumber daya dalam ruang lingkup dipasang kembali atau ditandai tidak sesuai.
Firewall Manager hanya memasang kembali ACL web jika memenuhi persyaratan berikut:
ACL web dimiliki oleh akun pelanggan.
ACL web hanya terkait dengan sumber daya dalam lingkup.
Tip
Sebelum Anda mengonfigurasi AWS WAF kebijakan untuk perkuatan, pastikan ACLs bahwa web yang terkait dengan sumber daya dalam cakupan kebijakan tidak terkait dengan sumber daya apa pun out-of-scope.
Tip
Jika Anda ingin menghapus sumber daya terkait, pertama-tama lepaskan dari ACL web. Jika ACL web tidak patuh karena asosiasi dengan out-of-scope sumber daya, menghapus sumber daya tanpa terlebih dahulu melepaskannya dari web ACL dapat membuat ACL web sesuai, dan Firewall Manager kemudian dapat memperbaiki ACL web melalui remediasi, tetapi remediasi dalam situasi ini dapat ditunda hingga 24 jam. out-of-scope
Untuk informasi tentang mengakses detail pelanggaran kepatuhan, lihatMelihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan.
Jika ACL web dapat dipasang kembali, Firewall Manager memodifikasinya sebagai berikut:
Firewall Manager menyisipkan grup aturan pertama AWS WAF kebijakan di depan aturan ACL web yang ada dan menambahkan grup aturan terakhir AWS WAF kebijakan di bagian akhir. Untuk informasi tentang manajemen grup aturan, lihatManajemen kelompok aturan untuk AWS WAF kebijakan.
Jika kebijakan memiliki konfigurasi logging, Firewall Manager akan menambahkannya ke ACL web hanya jika ACL web belum dikonfigurasi untuk logging. Jika ACL web telah melakukan pencatatan yang dikonfigurasi oleh akun, Firewall Manager membiarkannya tetap berlaku selama perkuatan dan untuk pembaruan berikutnya pada konfigurasi pencatatan kebijakan.
Firewall Manager tidak memverifikasi atau mengonfigurasi properti ACL web lainnya. Misalnya, Firewall Manager tidak mengubah tindakan default ACL web, header permintaan kustom, CAPTCHA atau Challenge konfigurasi, atau daftar domain token. Firewall Manager hanya mengonfigurasi properti lain ini di web ACLs yang dibuat oleh Firewall Manager.
Setelah Firewall Manager memperbaiki semua web terkait yang ada ACLs, untuk sumber daya dalam lingkup apa pun yang tidak memiliki ACL web, Firewall Manager menangani sumber daya mengikuti perilaku kebijakan default. Jika itu adalah sumber daya yang AWS WAF dapat melindungi, maka Firewall Manager membuat dan mengaitkan Firewall Manager web ACL dengan sumber daya tersebut.
Di API, pengaturan sumber ACL web ada webACLSource
dalam tipe SecurityServicePolicyDatadata. Contoh: \"webACLSource\":\"RETROFIT_EXISTING\"
Pengambilan sampel dan metrik CloudWatch
AWS Firewall Manager memungkinkan pengambilan sampel dan CloudWatch metrik Amazon untuk web ACLs dan grup aturan yang dibuatnya untuk kebijakan. AWS WAF
Penamaan ACL web
ACL web yang dibuat oleh Firewall Manager dinamai sesuai AWS WAF kebijakan sebagai berikut:FMManagedWebACLV2-
. Stempel waktu dalam milidetik UTC. Misalnya, policy
name
-timestamp
FMManagedWebACLV2-MyWAFPolicyName-1621880374078
.
ACL web yang dipasang oleh Firewall Manager memiliki nama yang ditentukan oleh akun pelanggan saat pembuatan. Nama ACL web tidak dapat diubah setelah pembuatan.