AWS Firewall Managercakupan kebijakan - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Firewall Managercakupan kebijakan

Lingkup kebijakan menentukan di mana kebijakan berlaku. Anda dapat menerapkan kebijakan yang dikendalikan secara terpusat ke semua akun dan sumber daya dalam organisasi Anda diAWS Organizations, atau ke subset akun dan sumber daya Anda. Untuk petunjuk tentang cara mengatur lingkup kebijakan, lihatMembuatAWS Firewall Managerkebijakan.

Opsi cakupan kebijakan diAWS Firewall Manager

Ketika Anda menambahkan akun atau sumber daya baru ke organisasi Anda, Firewall Manager secara otomatis menilainya terhadap pengaturan Anda untuk setiap kebijakan dan menerapkan kebijakan berdasarkan pengaturan ini. Misalnya, Anda dapat memilih untuk menerapkan kebijakan ke semua akun kecuali nomor akun dalam daftar yang ditentukan; Anda juga dapat memilih untuk menerapkan kebijakan hanya untuk sumber daya yang memiliki semua tag dalam daftar.

Akun AWSdalam lingkup

Pengaturan yang Anda berikan untuk menentukanAkun AWSdipengaruhi oleh kebijakan menentukan akun mana di AndaAWSorganisasi untuk menerapkan kebijakan untuk. Anda dapat memilih untuk menerapkan kebijakan dengan salah satu cara berikut:

  • Ke semua akun di organisasi Anda

  • Untuk hanya daftar spesifik nomor akun yang disertakan danAWS Organizationsunit organisasi (OU)

  • Untuk semua kecuali daftar spesifik nomor akun yang dikecualikan danAWS Organizationsunit organisasi (OU)

Untuk informasi tentangAWS OrganizationsLihatAWS OrganizationsPanduan Pengguna.

Sumber daya dalam lingkup

Demikian pula dengan pengaturan untuk akun dalam lingkup, pengaturan yang Anda sediakan untuk sumber daya menentukan jenis sumber daya dalam lingkup mana yang akan diterapkan kebijakan tersebut. Anda dapat memilih salah satu dari yang berikut ini:

  • Semua sumber daya

  • Sumber daya yang memiliki semua tag yang Anda tentukan

  • Semua sumber daya kecuali yang memiliki semua tag yang Anda tentukan

Untuk informasi lebih lanjut tentang penandaan sumber daya Anda, lihatBekerja dengan Editor Tanda.

Manajemen lingkup kebijakan diAWS Firewall Manager

Ketika kebijakan diberlakukan, Firewall Manager mengelolanya terus menerus dan menerapkannya ke yang baruAkun AWSdan sumber daya yang ditambahkan, sesuai dengan ruang lingkup kebijakan.

Bagaimana Firewall ManagerAkun AWSdan sumber daya

Jika akun atau sumber daya keluar dari ruang lingkup karena alasan apa pun,AWS Firewall Managertidak secara otomatis menghapus perlindungan atau menghapus sumber daya yang dikelola oleh Firewall Manager kecuali Anda memilihSecara otomatis menghapus perlindungan dari sumber daya yang meninggalkan cakupan kebijakankotak centang.

catatan

PilihannyaSecara otomatis menghapus perlindungan dari sumber daya yang meninggalkan cakupan kebijakantidak tersedia untukAWS Shield AdvancedatauAWS WAFKebijakan Klasik.

Memilih kotak centang ini mengarahkanAWS Firewall Manageruntuk secara otomatis membersihkan sumber daya yang dikelola oleh Firewall Manager untuk akun ketika akun tersebut meninggalkan cakupan kebijakan. Misalnya, Firewall Manager akan memisahkan ACL web yang dikelola Firewall Manager dari sumber daya pelanggan yang dilindungi saat sumber daya pelanggan meninggalkan cakupan kebijakan.

Untuk menentukan sumber daya mana yang harus dihapus dari perlindungan saat sumber daya pelanggan meninggalkan cakupan kebijakan, Firewall Manager mengikuti panduan ini:

  • Perilaku default:

    • Yang terkaitAWS Configaturan yang dikelola dihapus. Perilaku ini tidak tergantung pada kotak centang.

    • Semua terkaitAWS WAFdaftar kontrol akses web (web ACL) yang tidak mengandung sumber daya apa pun akan dihapus. Perilaku ini tidak tergantung pada kotak centang.

    • Setiap sumber daya yang dilindungi yang keluar dari ruang lingkup tetap terkait dan dilindungi. Misalnya, Application Load Balancer atau API dari API Gateway yang terkait dengan ACL web tetap terkait dengan ACL web, dan proteksi tetap ada.

  • DenganSecara otomatis menghapus perlindungan dari sumber daya yang meninggalkan cakupan kebijakankotak centang yang dipilih:

    • Yang terkaitAWS Configaturan yang dikelola dihapus. Perilaku ini tidak tergantung pada kotak centang.

    • Semua terkaitAWS WAFdaftar kontrol akses web (web ACL) yang tidak mengandung sumber daya apa pun akan dihapus. Perilaku ini tidak tergantung pada kotak centang.

    • Setiap sumber daya yang dilindungi yang keluar dari ruang lingkup secara otomatis dipisahkan dan dihapus dari perlindungan ketika meninggalkan cakupan kebijakan. Misalnya, akselerator Elastic Inference atau instans Amazon EC2 secara otomatis dipisahkan dari grup keamanan yang direplikasi saat meninggalkan cakupan kebijakan. Grup keamanan yang direplikasi dan sumber dayanya secara otomatis dihapus dari perlindungan.