Esempi per Gestione dei firewall con AWS CLI

Gli esempi di codice seguenti mostrano come eseguire azioni e implementare scenari comuni utilizzando AWS Command Line Interface con Gestione dei firewall.

Le azioni sono estratti di codice da programmi più grandi e devono essere eseguite nel contesto. Sebbene le operazioni mostrino come richiamare le singole funzioni del servizio, è possibile visualizzarle contestualizzate negli scenari correlati.

Ogni esempio include un link al codice sorgente completo, in cui vengono fornite le istruzioni su come configurare ed eseguire il codice nel contesto.

Argomenti

Azioni

Azioni

L’esempio di codice seguente mostra come utilizzare associate-admin-account.

AWS CLI

Come impostare l’account amministratore Firewall Manager

L’esempio associate-admin-account seguente imposta l’account amministratore per Firewall Manager.


aws fms associate-admin-account \
    --admin-account 123456789012

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Impostare l’account amministratore per Gestione dei firewall AWS nella Guida per sviluppatori di AWS WAF, AWS Firewall Manager e AWS Shield Advanced.

Per informazioni dettagliate sull’API, consulta AssociateAdminAccount in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare delete-notification-channel.

AWS CLI

Come rimuovere le informazioni sull’argomento SNS per i log di Firewall Manager

L’esempio delete-notification-channel seguente rimuove le informazioni sull’argomento SNS.


aws fms delete-notification-channel

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Configurare le notifiche Amazon SNS e gli allarmi Amazon CloudWatch nella Guida per sviluppatori di AWS WAF, AWS Firewall Manager e AWS Shield Advanced.

Per informazioni dettagliate sull’API, consulta DeleteNotificationChannel in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare delete-policy.

AWS CLI

Come eliminare una policy di Firewall Manager

L’esempio delete-policy seguente rimuove la policy con l’ID specificato, insieme a tutte le relative risorse.


aws fms delete-policy \
    --policy-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
    --delete-all-policy-resources

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Utilizzo delle policy di Gestione dei firewall AWS nella Guida per sviluppatori di AWS WAF, AWS Firewall Manager e AWS Shield Advanced.

Per informazioni dettagliate sull’API, consulta DeletePolicy nella documentazione di riferimento dei comandi della AWS CLI.

L’esempio di codice seguente mostra come utilizzare disassociate-admin-account.

AWS CLI

Come rimuovere l’account amministratore Firewall Manager

L’esempio disassociate-admin-account seguente rimuove l’associazione corrente degli account di amministratore da Firewall Manager.


aws fms disassociate-admin-account

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Impostare l’account amministratore per Gestione dei firewall AWS nella Guida per sviluppatori di AWS WAF, AWS Firewall Manager e AWS Shield Advanced.

Per informazioni dettagliate sull’API, consulta DisassociateAdminAccount in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare get-admin-account.

AWS CLI

Come recuperare l’account amministratore Firewall Manager

L’esempio get-admin-account seguente recupera l’account amministratore.


aws fms get-admin-account

Output:


{
    "AdminAccount": "123456789012",
    "RoleStatus": "READY"
}

Per ulteriori informazioni, consulta Prerequisiti AWS Firewall Manager nella Guida per sviluppatori di AWS WAF, AWS Firewall Manager e AWS Shield Advanced.

Per informazioni dettagliate sull’API, consulta GetAdminAccount in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare get-compliance-detail.

AWS CLI

Come recuperare le informazioni sulla conformità di un account

L’esempio get-compliance-detail seguente recupera le informazioni sulla conformità per la policy e l’account membro specificati.


aws fms get-compliance-detail \
    --policy-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
    --member-account 123456789012

Output:


{
    "PolicyComplianceDetail": {
    "EvaluationLimitExceeded": false,
    "IssueInfoMap": {},
    "MemberAccount": "123456789012",
    "PolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "PolicyOwner": "123456789012",
    "Violators": []
}

Per ulteriori informazioni, consulta Visualizzazione della conformità con una policy della risorsa nella Guida per sviluppatori di AWS WAF, AWS Firewall Manager e AWS Shield Advanced.

Per informazioni dettagliate sull’API, consulta GetComplianceDetail in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare get-notification-channel.

AWS CLI

Come recuperare le informazioni sull’argomento SNS per i log di Firewall Manager

L’esempio get-notification-channel seguente recupera le informazioni sull’argomento SNS.


aws fms get-notification-channel

Output:


{
    "SnsTopicArn": "arn:aws:sns:us-west-2:123456789012:us-west-2-fms",
    "SnsRoleName": "arn:aws:iam::123456789012:role/aws-service-role/fms.amazonaws.com/AWSServiceRoleForFMS"
}

Per ulteriori informazioni, consulta Configurare le notifiche Amazon SNS e gli allarmi Amazon CloudWatch nella Guida per sviluppatori di AWS WAF, AWS Firewall Manager e AWS Shield Advanced.

Per informazioni dettagliate sull’API, consulta GetNotificationChannel in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare get-policy.

AWS CLI

Come recuperare una policy di Firewall Manager

L’esempio get-policy seguente recupera la policy con l’ID specificato.


aws fms get-policy \
    --policy-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Output:


{
    "Policy": {
        "PolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "PolicyName": "test",
        "PolicyUpdateToken": "1:p+2RpKR4wPFx7mcrL1UOQQ==",
        "SecurityServicePolicyData": {
            "Type": "SECURITY_GROUPS_COMMON",
            "ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_COMMON\",\"revertManualSecurityGroupChanges\":true,\"exclusiveResourceSecurityGroupManagement\":false,\"securityGroups\":[{\"id\":\"sg-045c43ccc9724e63e\"}]}"
        },
        "ResourceType": "AWS::EC2::Instance",
        "ResourceTags": [],
        "ExcludeResourceTags": false,
        "RemediationEnabled": false
    },
    "PolicyArn": "arn:aws:fms:us-west-2:123456789012:policy/d1ac59b8-938e-42b3-b2e0-7c620422ddc2"
}

Per ulteriori informazioni, consulta Utilizzo delle policy di Gestione dei firewall AWS nella Guida per sviluppatori di AWS WAF, AWS Firewall Manager e AWS Shield Advanced.

Per informazioni dettagliate sull’API, consulta GetPolicy nella documentazione di riferimento dei comandi della AWS CLI.

L’esempio di codice seguente mostra come utilizzare list-compliance-status.

AWS CLI

Come recuperare le informazioni sulla conformità delle policy per gli account membri

L’esempio list-compliance-status seguente recupera le informazioni sulla conformità degli account membri per la policy specificata.


aws fms list-compliance-status \
    --policy-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

Output:


{
    "PolicyComplianceStatusList": [
        {
            "PolicyOwner": "123456789012",
            "PolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "PolicyName": "test",
            "MemberAccount": "123456789012",
            "EvaluationResults": [
                {
                    "ComplianceStatus": "COMPLIANT",
                    "ViolatorCount": 0,
                    "EvaluationLimitExceeded": false
                },
                {
                    "ComplianceStatus": "NON_COMPLIANT",
                    "ViolatorCount": 2,
                    "EvaluationLimitExceeded": false
                }
            ],
            "LastUpdated": 1576283774.0,
            "IssueInfoMap": {}
        }
    ]
}

Per ulteriori informazioni, consulta Visualizzazione della conformità con una policy della risorsa nella Guida per sviluppatori di AWS WAF, AWS Firewall Manager e AWS Shield Advanced.

Per informazioni dettagliate sull’API, consulta ListComplianceStatus in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare list-member-accounts.

AWS CLI

Come recuperare gli account membri dell’organizzazione

L’esempio list-member-accounts seguente elenca tutti gli account membri che fanno parte dell’organizzazione dell’amministratore di Firewall Manager.


aws fms list-member-accounts

Output:


{
    "MemberAccounts": [
        "222222222222",
        "333333333333",
        "444444444444"
    ]
}

Per ulteriori informazioni, consulta Gestione dei firewall AWS nella Guida per sviluppatori di AWS WAF, AWS Firewall Manager e AWS Shield Advanced.

Per informazioni dettagliate sull’API, consulta ListMemberAccounts in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare list-policies.

AWS CLI

Come recuperare tutte le policy di Firewall Manager

L’esempio list-policies seguente recupera l’elenco delle policy per l’account. In questo esempio, l’output è limitato a due risultati per richiesta. Ogni chiamata restituisce un NextToken che può essere utilizzato come valore per il parametro --starting-token nella chiamata list-policies successiva per ottenere il prossimo set di risultati per l’elenco.


aws fms list-policies \
    --max-items 2

Output:


{
    "PolicyList": [
        {
            "PolicyArn": "arn:aws:fms:us-west-2:123456789012:policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "PolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "PolicyName": "test",
            "ResourceType": "AWS::EC2::Instance",
            "SecurityServiceType": "SECURITY_GROUPS_COMMON",
            "RemediationEnabled": false
        },
        {
            "PolicyArn": "arn:aws:fms:us-west-2:123456789012:policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
            "PolicyId": "457c9b21-fc94-406c-ae63-21217395ba72",
            "PolicyName": "test",
            "ResourceType": "AWS::EC2::Instance",
            "SecurityServiceType": "SECURITY_GROUPS_COMMON",
            "RemediationEnabled": false
        }
    ],
    "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAyfQ=="
}

Per ulteriori informazioni, consulta Utilizzo delle policy di Gestione dei firewall AWS nella Guida per sviluppatori di AWS WAF, AWS Firewall Manager e AWS Shield Advanced.

Per informazioni dettagliate sull’API, consulta ListPolicies nella documentazione di riferimento dei comandi della AWS CLI.

L’esempio di codice seguente mostra come utilizzare put-notification-channel.

AWS CLI

Come impostare le informazioni sull’argomento SNS per i log di Firewall Manager

L’esempio put-notification-channel seguente imposta le informazioni sull’argomento SNS.


aws fms put-notification-channel \
    --sns-topic-arn arn:aws:sns:us-west-2:123456789012:us-west-2-fms \
    --sns-role-name arn:aws:iam::123456789012:role/aws-service-role/fms.amazonaws.com/AWSServiceRoleForFMS

Questo comando non produce alcun output.

Per ulteriori informazioni, consulta Configurare le notifiche Amazon SNS e gli allarmi Amazon CloudWatch nella Guida per sviluppatori di AWS WAF, AWS Firewall Manager e AWS Shield Advanced.

Per informazioni dettagliate sull’API, consulta PutNotificationChannel in AWS CLI Command Reference.

L’esempio di codice seguente mostra come utilizzare put-policy.

AWS CLI

Come creare una policy di Firewall Manager

L’esempio put-policy seguente crea una policy del gruppo di sicurezza di Firewall Manager.


aws fms put-policy \
    --cli-input-json file://policy.json

Contenuto di policy.json.


{
    "Policy": {
        "PolicyName": "test",
        "SecurityServicePolicyData": {
            "Type": "SECURITY_GROUPS_USAGE_AUDIT",
            "ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_USAGE_AUDIT\",\"deleteUnusedSecurityGroups\":false,\"coalesceRedundantSecurityGroups\":true}"
        },
        "ResourceType": "AWS::EC2::SecurityGroup",
        "ResourceTags": [],
        "ExcludeResourceTags": false,
        "RemediationEnabled": false
    },
    "TagList": [
        {
            "Key": "foo",
            "Value": "foo"
        }
    ]
}

Output:


{
    "Policy": {
        "PolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "PolicyName": "test",
        "PolicyUpdateToken": "1:X9QGexP7HASDlsFp+G31Iw==",
        "SecurityServicePolicyData": {
            "Type": "SECURITY_GROUPS_USAGE_AUDIT",
            "ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_USAGE_AUDIT\",\"deleteUnusedSecurityGroups\":false,\"coalesceRedundantSecurityGroups\":true,\"optionalDelayForUnusedInMinutes\":null}"
        },
        "ResourceType": "AWS::EC2::SecurityGroup",
        "ResourceTags": [],
        "ExcludeResourceTags": false,
        "RemediationEnabled": false
    },
    "PolicyArn": "arn:aws:fms:us-west-2:123456789012:policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}

Per ulteriori informazioni, consulta Utilizzo delle policy di Gestione dei firewall AWS nella Guida per sviluppatori di AWS WAF, AWS Firewall Manager e AWS Shield Advanced.

Per informazioni dettagliate sull’API, consulta PutPolicy in AWS CLI Command Reference.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

EventBridge Pipes

AWS FIS