Menggunakan AWS Shield Advanced kebijakan di Firewall Manager

Halaman ini menjelaskan cara menggunakan AWS Shield kebijakan dengan Firewall Manager. Dalam AWS Shield kebijakan Firewall Manager, Anda memilih sumber daya yang ingin Anda lindungi. Saat Anda menerapkan kebijakan dengan perbaikan otomatis diaktifkan, untuk setiap sumber daya dalam lingkup yang belum dikaitkan dengan AWS WAF webACL, Manajer Firewall mengaitkan web kosong. AWS WAF ACL Web kosong ACL digunakan untuk tujuan pemantauan Shield. Jika Anda kemudian mengaitkan web lain ACL ke sumber daya, Firewall Manager menghapus ACL asosiasi web kosong.

catatan

Ketika sumber daya yang berada dalam cakupan AWS WAF kebijakan masuk ke dalam cakupan kebijakan Shield Advanced yang dikonfigurasi dengan DDoSmitigasi lapisan aplikasi otomatis, Firewall Manager menerapkan perlindungan Shield Advanced hanya setelah mengaitkan web yang ACL dibuat oleh kebijakan tersebut. AWS WAF

Cara AWS Firewall Manager mengelola web yang tidak terkait ACLs dalam kebijakan Shield

Anda dapat mengonfigurasi apakah Firewall Manager mengelola web yang tidak terkait ACLs untuk Anda melalui ACLs setelan Kelola web yang tidak terkait dalam kebijakan Anda, atau optimizeUnassociatedWebACLs setelan dalam tipe SecurityServicePolicyDatadata di. API Jika Anda mengaktifkan pengelolaan web yang tidak terkait ACLs dalam kebijakan Anda, Firewall Manager membuat web ACLs di akun dalam cakupan kebijakan hanya jika web ACLs akan digunakan oleh setidaknya satu sumber daya. Jika sewaktu-waktu akun masuk ke cakupan kebijakan, Firewall Manager secara otomatis membuat web ACL di akun jika setidaknya satu sumber daya akan menggunakan webACL.

Saat Anda mengaktifkan pengelolaan web yang tidak terkaitACLs, Firewall Manager melakukan pembersihan satu kali web ACLs yang tidak terkait di akun Anda. Proses pembersihan bisa memakan waktu beberapa jam. Jika sumber daya meninggalkan cakupan kebijakan setelah Firewall Manager membuat webACL, Firewall Manager tidak memisahkan sumber daya dari webACL. Jika Anda ingin Firewall Manager membersihkan webACL, Anda harus terlebih dahulu memisahkan sumber daya dari web secara manualACL, lalu mengaktifkan ACLs opsi kelola web yang tidak terkait dalam kebijakan Anda.

Jika Anda tidak mengaktifkan opsi ini, Firewall Manager tidak mengelola web yang tidak terkaitACLs, dan Firewall Manager secara otomatis membuat web ACL di setiap akun yang berada dalam cakupan kebijakan.

Cara AWS Firewall Manager mengelola perubahan ruang lingkup dalam kebijakan Shield

Akun dan sumber daya dapat keluar dari cakupan kebijakan AWS Firewall Manager Shield Advanced karena sejumlah perubahan, seperti perubahan pengaturan cakupan kebijakan, perubahan tag pada sumber daya, dan penghapusan akun dari organisasi. Untuk informasi umum tentang setelan cakupan kebijakan, lihatMenggunakan cakupan AWS Firewall Manager kebijakan.

Dengan kebijakan AWS Firewall Manager Shield Advanced, jika akun atau sumber daya keluar dari cakupan, Firewall Manager berhenti memantau akun atau sumber daya.

Jika akun keluar dari cakupan dengan dihapus dari organisasi, akun tersebut akan terus berlangganan Shield Advanced. Karena akun tidak lagi menjadi bagian dari keluarga penagihan konsolidasi, akun tersebut akan dikenakan biaya berlangganan Shield Advanced yang diprorata. Di sisi lain, akun yang keluar dari ruang lingkup tetapi tetap berada di organisasi tidak dikenakan biaya tambahan.

Jika sumber daya keluar dari cakupan, itu terus dilindungi oleh Shield Advanced dan terus dikenakan biaya transfer data Shield Advanced.