AWS Firewall Manager ruang lingkup kebijakan - AWS WAF, AWS Firewall Manager, dan AWS Shield Advanced
Mengkonfigurasi cakupan kebijakanMengelola ruang lingkup kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS Firewall Manager ruang lingkup kebijakan

Ruang lingkup kebijakan menentukan di mana kebijakan tersebut berlaku. Anda dapat menerapkan kebijakan yang dikontrol secara terpusat ke semua akun dan sumber daya dalam organisasi Anda di AWS Organizations, atau ke subset akun dan sumber daya Anda. Untuk petunjuk tentang cara menyetel cakupan kebijakan, lihatMembuat AWS Firewall Manager kebijakan.

Opsi cakupan kebijakan di AWS Firewall Manager

Saat Anda menambahkan akun atau sumber daya baru ke organisasi Anda, Firewall Manager secara otomatis menilainya terhadap setelan Anda untuk setiap kebijakan dan menerapkan kebijakan berdasarkan setelan ini. Misalnya, Anda dapat memilih untuk menerapkan kebijakan ke semua akun kecuali nomor akun dalam daftar tertentu; Anda juga dapat memilih untuk menerapkan kebijakan hanya pada sumber daya yang memiliki semua tag dalam daftar.

Akun AWS dalam ruang lingkup

Pengaturan yang Anda berikan untuk menentukan kebijakan yang Akun AWS terpengaruh menentukan akun mana di AWS organisasi Anda yang akan menerapkan kebijakan tersebut. Anda dapat memilih untuk menerapkan kebijakan dengan salah satu cara berikut:

  • Ke semua akun di organisasi Anda

  • Untuk hanya daftar spesifik nomor akun dan unit AWS Organizations organisasi (OU) yang disertakan

  • Untuk semua kecuali daftar spesifik nomor akun yang dikecualikan dan unit AWS Organizations organisasi (OU)

Untuk selengkapnya AWS Organizations, lihat Panduan AWS Organizations Pengguna.

Sumber daya dalam ruang lingkup

Sama halnya dengan pengaturan untuk akun dalam cakupan, setelan yang Anda sediakan untuk sumber daya menentukan jenis sumber daya dalam lingkup mana yang akan diterapkan kebijakan tersebut. Anda dapat memilih salah satu dari yang berikut ini:

  • Semua sumber daya

  • Sumber daya yang memiliki semua tag yang Anda tentukan

  • Semua sumber daya kecuali yang memiliki semua tag yang Anda tentukan

Untuk informasi selengkapnya tentang menandai sumber daya Anda, lihat Bekerja dengan Editor Tag.

Manajemen lingkup kebijakan di AWS Firewall Manager

Ketika kebijakan diberlakukan, Firewall Manager mengelolanya terus menerus dan menerapkannya ke sumber baru Akun AWS dan sumber daya saat ditambahkan, sesuai dengan ruang lingkup kebijakan.

Bagaimana Firewall Manager mengelola Akun AWS dan sumber daya

Jika akun atau sumber daya keluar dari cakupan karena alasan apa pun, AWS Firewall Manager tidak secara otomatis menghapus perlindungan atau menghapus sumber daya yang dikelola Manajer Firewall kecuali Anda memilih kotak centang Hapus perlindungan secara otomatis dari sumber daya yang meninggalkan cakupan kebijakan.

catatan

Opsi secara otomatis menghapus perlindungan dari sumber daya yang meninggalkan cakupan kebijakan tidak tersedia AWS Shield Advanced atau kebijakan AWS WAF Klasik.

Memilih kotak centang ini akan mengarahkan AWS Firewall Manager untuk secara otomatis membersihkan sumber daya yang dikelola Manajer Firewall untuk akun saat akun tersebut meninggalkan cakupan kebijakan. Misalnya, Firewall Manager akan memisahkan ACL web yang dikelola Manajer Firewall dari sumber daya pelanggan yang dilindungi saat sumber daya pelanggan meninggalkan cakupan kebijakan.

Untuk menentukan sumber daya mana yang harus dihapus dari perlindungan saat sumber daya pelanggan meninggalkan cakupan kebijakan, Firewall Manager mengikuti pedoman berikut:

  • Perilaku default:

    • Aturan AWS Config terkelola terkait dihapus. Perilaku ini tidak tergantung pada kotak centang.

    • Setiap daftar kontrol akses AWS WAF web terkait (ACL web) yang tidak berisi sumber daya apa pun akan dihapus. Perilaku ini tidak tergantung pada kotak centang.

    • Setiap sumber daya yang dilindungi yang keluar dari ruang lingkup tetap terkait dan dilindungi. Misalnya, Application Load Balancer atau API dari API Gateway yang terkait dengan ACL web tetap terkait dengan ACL web, dan perlindungan tetap ada.

  • Dengan kotak centang Hapus perlindungan secara otomatis dari sumber daya yang meninggalkan cakupan kebijakan dipilih:

    • Aturan AWS Config terkelola terkait dihapus. Perilaku ini tidak tergantung pada kotak centang.

    • Setiap daftar kontrol akses AWS WAF web terkait (ACL web) yang tidak berisi sumber daya apa pun akan dihapus. Perilaku ini tidak tergantung pada kotak centang.

    • Setiap sumber daya yang dilindungi yang keluar dari cakupan secara otomatis dipisahkan dan dihapus dari perlindungan ketika meninggalkan ruang lingkup kebijakan. Misalnya, akselerator Elastic Inference atau instans Amazon EC2 secara otomatis dipisahkan dari grup keamanan yang direplikasi saat meninggalkan cakupan kebijakan. Grup keamanan yang direplikasi dan sumber dayanya secara otomatis dihapus dari perlindungan.