Controlla il traffico verso le risorse utilizzando gruppi di sicurezza - Amazon Virtual Private Cloud

Controlla il traffico verso le risorse utilizzando gruppi di sicurezza

Un gruppo di sicurezza controlla il traffico consentito per raggiungere e lasciare le risorse a cui è associato. Ad esempio, dopo aver associato un gruppo di sicurezza a un'istanza EC2, controlla il traffico in entrata e in uscita per l'istanza.

Al momento della creazione di un VPC, questo include un gruppo di sicurezza di default. È possibile creare gruppi di sicurezza aggiuntivi per ogni VPC. È possibile associare un gruppo di sicurezza solo alle risorse nel VPC per il quale viene creato.

Per ogni gruppo di sicurezza, aggiungere regole per controllare il traffico in base ai protocolli e ai numeri di porta. Esistono insiemi separati di regole per il traffico in entrata e il traffico in uscita.

Si possono impostare liste di controllo accessi di rete con regole simili a quelle del gruppo di sicurezza, in modo tale da aggiungere un ulteriore livello di sicurezza al VPC. Per ulteriori informazioni sulle differenze tra gruppi di sicurezza e liste di controllo accessi di rete, consulta Confronto dei gruppi di sicurezza e delle liste di controllo accessi di rete.

Nozioni di base sui gruppi di sicurezza

Di seguito sono riportate le caratteristiche dei gruppi di sicurezza:

  • Quando crei un gruppo di sicurezza, devi indicarne il nome e la descrizione. Si applicano le regole seguenti:

    • Il nome di un gruppo di sicurezza deve Essere univoco all'interno del VPC.

    • I nomi e le descrizioni possono avere una lunghezza massima di 255 caratteri.

    • I nomi e le descrizioni possono contenere solo i seguenti caratteri: a-z, A-Z, 0-9, spazi e ._-:/()#,@[]+=&;{}!$*.

    • Quando il nome contiene spazi finali, questi vengono eliminati. Ad esempio, se inserisci “Test Security Group ". per il nome, lo memorizziamo come “Test Security Group”.

    • Il nome di un gruppo di sicurezza non può iniziare per sg-.

  • I gruppi di sicurezza sono stateful. Ad esempio, inviando una richiesta da un'istanza, il traffico in risposta alla richiesta è autorizzato a raggiungerla, indipendentemente dalle regole in entrata del gruppo di sicurezza. Le risposte al traffico in entrata autorizzato possono lasciare l'istanza indipendentemente dalle regole in uscita.

  • Esistono delle quote per il numero di gruppi di sicurezza che si possono creare per ogni VPC, al numero di regole che si possono aggiungere a ciascun gruppo di sicurezza e al numero di gruppi di sicurezza che si possono associare a un'interfaccia di rete. Per ulteriori informazioni, consultare Quote Amazon VPC.

Di seguito sono riportate le caratteristiche delle regole dei gruppi di sicurezza:

  • Puoi specificare regole che autorizzano, non regole che negano.

  • Al momento della sua creazione, un gruppo di sicurezza è privo di regole in entrata. Di conseguenza, non è consentito alcun traffico in entrata fino a quando al gruppo di sicurezza non vengono aggiunte regole in entrata.

  • Quando si crea per la prima volta un gruppo di sicurezza, questo include una regola in uscita che consente tutto il traffico in uscita dalla risorsa. Puoi rimuovere la regola e aggiungere regole in uscita che autorizzano l'uscita solo di un determinato tipo di traffico. Se un gruppo di sicurezza è privo di regole in uscita, non viene autorizzato alcun traffico in uscita.

  • Se si associano a una risorsa molteplici gruppi di sicurezza, le regole di ciascun gruppo di sicurezza vengono aggregate efficacemente per creare un unico set di regole utilizzate per determinare se consentire l'accesso o meno.

  • Quando si aggiunge, aggiorna o rimuove delle regole, queste si applicano automaticamente a tutte le risorse associate al gruppo di sicurezza. Gli effetti di alcune modifiche delle regole possono dipendere dalle modalità di monitoraggio del traffico. Per maggiori informazioni, consulta Tracciamento delle connessioni nella Guida dell'utente di Amazon EC2 per le istanze Linux.

  • Quando si crea una regola del gruppo di sicurezza, AWS assegna un ID univoco alla regola. È possibile utilizzare l'ID di una regola quando si utilizza l'API o la CLI per modificare o eliminare la regola.

Gruppi di sicurezza di default per VPC

I VPC predefiniti e tutti i VPC creati includono un gruppo di sicurezza di default. Con alcune risorse, se non si associa un gruppo di sicurezza quando si crea la risorsa, questa viene associata al gruppo di sicurezza di default. Ad esempio, non specificando un gruppo di sicurezza all'avvio di un'istanza EC2, questa viene associata al gruppo di sicurezza di default.

È possibile modificare le regole di un gruppo di sicurezza di default. Non è possibile eliminare un gruppo di sicurezza predefinito. Se provi a eliminare il gruppo di sicurezza predefinito, visualizzi il seguente errore: Client.CannotDelete.

La tabella seguente descrive le regole predefinite di un gruppo di sicurezza predefinito.

Inbound
Crea Protocollo Intervallo porte Descrizione

L'ID del gruppo di sicurezza (ID della risorsa)

Tutti

Tutti

Consente il traffico in ingresso dalle risorse assegnate allo stesso gruppo di sicurezza.

Outbound

Destinazione Protocollo Intervallo porte Descrizione

0.0.0.0/0

Tutti

Tutti

Autorizza tutto il traffico IPv4 in uscita.

::/0 All All Allows all outbound IPv6 traffic. This rule is added only if your VPC has an associated IPv6 CIDR block.

Regole del gruppo di sicurezza

Le regole di un gruppo di sicurezza controllano il traffico in entrata autorizzato a raggiungere le risorse associate al gruppo di sicurezza. e il traffico in uscita autorizzato a lasciarle.

Puoi aggiungere o rimuovere le regole di un gruppo di sicurezza (autorizzazione o revoca dell'accesso in entrata o in uscita). Una regola si applica al traffico in entrata (ingresso) o al traffico in uscita (uscita). Puoi autorizzare l'accesso a un intervallo CIDR specifico o a un altro gruppo di sicurezza nel VPC o in un VPC in peering (richiede una connessione peering VPC).

Per ogni regola, occorre specificare quanto segue:

  • Protocollo: il protocollo da autorizzare. I protocolli più comuni sono 6 (TCP) 17 (UDP) e 1 (ICMP).

  • Intervallo di porte: per un protocollo personalizzato o per TCP e UDP, l'intervallo di porte da autorizzare. Puoi specificare un solo numero di porta (ad esempio 22) o un intervallo dei numeri di porta (ad esempio 7000-8000).

  • Tipo e codice ICMP: per ICMP, il tipo e il codice ICMP. Ad esempio, utilizza il tipo 8 per la richiesta Echo ICMP o il tipo 128 per la richiesta Echo ICMPv6.

  • Origine o destinazione: l'origine (regole in entrata) o la destinazione (regole in uscita) del traffico da consentire. Specifica una delle seguenti proprietà:

    • Un singolo indirizzo IPv4. Devi utilizzare la lunghezza del prefisso /32. Ad esempio, 203.0.113.1/32.

    • Un singolo indirizzo IPv6. Devi utilizzare la lunghezza del prefisso /128. Ad esempio, 2001:db8:1234:1a00::123/128.

    • Un intervallo di indirizzi IPv4 in notazione a blocco CIDR. Ad esempio, 203.0.113.0/24.

    • Un intervallo di indirizzi IPv6 in notazione a blocco CIDR. Ad esempio, 2001:db8:1234:1a00::/64.

    • L'ID di un elenco di prefissi. Ad esempio, pl-1234abc1234abc123. Per ulteriori informazioni, consultare Raggruppamento di blocchi CIDR utilizzando elenchi di prefissi gestiti.

    • L'ID di un gruppo di sicurezza (indicato di seguito come il gruppo di sicurezza specificato). Ad esempio, il gruppo di sicurezza corrente, un gruppo di sicurezza dello stesso VPC o un gruppo di sicurezza per un VPC in peering. Questo consente il traffico in base agli indirizzi IP privati delle risorse associate al gruppo di sicurezza specificato. Non aggiunge regole dal gruppo di sicurezza specificato all'attuale gruppo di sicurezza. †

  • (Opzionale) Descrizione: puoi aggiungere una descrizione della regola, per semplificarne l'identificazione in un secondo momento. Una descrizione può essere lunga fino a 255 caratteri. I caratteri consentiti sono a-z, A-Z, 0-9, spazi e ._-:/()#,@[]+=;{}!$*.

† Se le route vengono configurate per inoltrare il traffico tra due istanze in sottoreti diverse attraverso un'appliance middlebox, è necessario assicurarsi che i gruppi di sicurezza per entrambe le istanze consentano il flusso del traffico tra le istanze. Il gruppo di sicurezza per ogni istanza deve fare riferimento all'indirizzo IP privato dell'altra istanza o all'intervallo CIDR della sottorete che contiene l'altra istanza come origine. Se si fa riferimento al gruppo di sicurezza dell'altra istanza come origine, allora il flusso del traffico tra le istanze non sarà consentito.

Regole di esempio

Le regole aggiunte possono spesso dipendere dallo scopo del gruppo di sicurezza. Nella tabella seguente vengono descritte le regole di esempio per un gruppo di sicurezza associato ai server Web. I server Web possono ricevere traffico HTTP e HTTPS da tutti gli indirizzi IPv4 e IPv6 e possono inviare traffico SQL o MySQL ai server di database.

Inbound
Crea Protocollo Intervallo porte Descrizione

0.0.0.0/0

TCP

80

Permette l'accesso HTTP in entrata da tutti gli indirizzi IPv4

::/0 TCP 80 Allows inbound HTTP access from all IPv6 addresses

0.0.0.0/0

TCP

443

Autorizza l'accesso HTTPS in entrata da tutti gli indirizzi IPv4

::/0 TCP 443 Allows inbound HTTPS access from all IPv6 addresses

Intervallo di indirizzi IPv4 pubblici della tua rete

TCP

22

Autorizza l'accesso SSH in entrata dagli indirizzi IP IPv4 nella rete

Intervallo di indirizzi IPv4 pubblici della tua rete

TCP

3389

Autorizza l'accesso RDP in entrata dagli indirizzi IP IPv4 nella rete

Outbound

Destinazione Protocollo Intervallo porte Descrizione

L'ID del gruppo di sicurezza dei server di database Microsoft SQL Server

TCP

1433

Autorizzare l'accesso Microsoft SQL Server in uscita

L'ID del gruppo di sicurezza dei server di database MySQL

TCP

3306

Autorizzare l'accesso MySQL in uscita

Un server di database ha bisogno di un diverso set di regole. Ad esempio, invece del traffico HTTP e HTTPS in ingresso, è possibile aggiungere una regola che consente l'accesso a MySQL o Microsoft SQL Server in ingresso. Per alcuni esempi, consulta Sicurezza. Per maggiori informazioni sui gruppi di sicurezza per le istanze di Amazon RDS DB, consulta Controllo dell'accesso con i gruppi di sicurezza nella Guida dell'utente di Amazon RDS.

Per ulteriori esempi, consultare Riferimento alle regole del gruppo di sicurezza nella Guida per l'utente di Amazon EC2 User Guide per le istanze Linux.

Regole obsolete del gruppo di sicurezza

Se il VPC ha una connessione peering VPC con un altro VPC, o se utilizza un VPC condiviso da un altro account, una regola del gruppo di sicurezza potrebbe fare riferimento all'altro gruppo di sicurezza nel VPC simile o condiviso. Ciò consente alle risorse associate al gruppo di sicurezza e a quelle associate al gruppo di protezione di riferimento di comunicare tra loro.

Se il gruppo di sicurezza nel VPC condiviso viene eliminato o se la connessione peering VPC viene eliminata, la regola del gruppo di sicurezza viene contrassegnata come obsoleta. Le regole obsolete possono essere Eliminate nello stesso modo delle altre regole del gruppo di sicurezza. Per ulteriori informazioni, consultare Utilizzo di regole di gruppo di sicurezza obsolete nella Guida al peering di Amazon VPC.

Utilizzo dei gruppi di sicurezza

Le attività seguenti mostrano come utilizzare i gruppi di sicurezza tramite la console Amazon VPC.

Autorizzazioni richieste

Creazione di un gruppo di sicurezza

Di default, i nuovi gruppi di sicurezza hanno solo una regola in uscita che autorizza tutto il traffico a lasciare la risorsa. Devi aggiungere le regole per autorizzare qualsiasi tipo di traffico in entrata o per limitare quello in uscita.

Un gruppo di sicurezza può essere utilizzato solo nel VPC per cui viene creato.

Per informazioni sulle autorizzazioni necessarie per creare gruppi di sicurezza e gestire le regole dei gruppi di sicurezza, vedere Gestione dei gruppi di sicurezza e Gestione delle regole del gruppo di sicurezza.

Per creare un gruppo di sicurezza tramite console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Fai clic su Gruppi di sicurezza nel pannello di navigazione.

  3. Scegliere Create Security Group (Crea gruppo di sicurezza).

  4. Immettere un nome e una descrizione per il gruppo di sicurezza. Non è possibile modificare il nome e la descrizione di un gruppo di sicurezza dopo averlo creato.

  5. Da VPC, seleziona il VPC.

  6. È possibile aggiungere le regole del gruppo di sicurezza a questo punto oppure in un secondo momento. Per ulteriori informazioni, consultare Aggiunta di regole a un gruppo di sicurezza.

  7. È possibile aggiungere tag a questo punto oppure in un secondo momento. Per aggiungere un tag, sceglie Aggiungi tag, quindi specifica la chiave e il valore del tag.

  8. Scegliere Create Security Group (Crea gruppo di sicurezza).

Per creare un gruppo di sicurezza tramite la riga di comando

Visualizzazione dei gruppi di sicurezza

È possibile visualizzare informazioni dettagliate sui gruppi di sicurezza come riportato di seguito.

Per informazioni sulle autorizzazioni richieste per visualizzare i gruppi di sicurezza, consulta Gestione dei gruppi di sicurezza.

Come visualizzare i gruppi di sicurezza utilizzando la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Fai clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

  3. I gruppi di sicurezza vengono elencati. Per visualizzare i dettagli di un gruppo di sicurezza specifico, incluse le regole in entrata e in uscita, seleziona il gruppo di sicurezza.

Come visualizzare i gruppi di sicurezza utilizzando la riga di comando

Come visualizzare tutti i gruppi di sicurezza tra regioni

Aprire la console Amazon EC2 Global View all'indirizzo https://console.aws.amazon.com/ec2globalview/home.

Per maggiori informazioni sull'utilizzo di Amazon EC2 Global View, consultare Elencare e filtrare le risorse utilizzando Amazon EC2 Global View nella Guida per l'utente di Amazon EC2 per le istanze Linux.

Tag dei gruppi di sicurezza

Aggiungi tag alle risorse per aiutarti a organizzarle e identificarle, differenziandole ad esempio per scopo, proprietario o ambiente. Puoi aggiungere i tag anche ai gruppi di sicurezza. Le chiavi dei tag devono essere univoche per ogni gruppo di sicurezza. Se aggiungi un tag con una chiave già associata alla regola, il valore del tag viene aggiornato.

Come aggiungere un tag a un gruppo di sicurezza tramite la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Fai clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

  3. Selezionare la casella accanto al gruppo di sicurezza.

  4. Scegliere Actions (Operazioni), Manage tags (Gestisci tag).

  5. Nella sezione Gestisci tag vengono visualizzati tutti i tag assegnati al gruppo di sicurezza. Per aggiungere un tag, selezionare Add tag (Aggiungi tag), quindi specifica la chiave del tag e il suo valore. Per eliminare un tag, scegliere Remove (Rimuovi) accanto al tag che desideri eliminare.

  6. Selezionare Save changes (Salva modifiche).

Come aggiungere un tag a un gruppo di sicurezza tramite la riga di comando

Eliminare un gruppo di sicurezza

È possibile eliminare un gruppo di sicurezza solo se non è associato a una risorsa. Non è possibile eliminare un gruppo di sicurezza predefinito.

Se utilizzi la console, puoi eliminare più di un gruppo di sicurezza alla volta. Se utilizzi la riga di comando o l'API, puoi eliminare solo un gruppo di sicurezza alla volta.

Per eliminare un gruppo di sicurezza tramite console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Fai clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

  3. Seleziona uno o più gruppi di sicurezza e scegli Operazioni, Elimina gruppo di sicurezza.

  4. Quando viene richiesta la conferma, immetti delete e seleziona Elimina.

Per eliminare un gruppo di sicurezza tramite la riga di comando

Utilizzo delle regole dei gruppi di sicurezza

Le attività seguenti mostrano come utilizzare le regole dei gruppi di sicurezza tramite la console Amazon VPC.

Aggiunta di regole a un gruppo di sicurezza

Quando si aggiunge una regola a un gruppo di sicurezza, la nuova regola viene applicata automaticamente a tutte le risorse associate al gruppo di sicurezza.

Se disponi di una connessione peering VPC, puoi fare riferimento ai gruppi di sicurezza del VPC in peering come origine o destinazione delle regole del gruppo di sicurezza. Per ulteriori informazioni, consulta la sezione relativa all'Aggiornamento dei gruppi di sicurezza ai gruppi di sicurezza del VPC in peering di riferimento nella Guida Amazon VPC Peering.

Per informazioni sulle autorizzazioni richieste per gestire le regole del gruppo di sicurezza, consulta Gestione delle regole del gruppo di sicurezza.

Per aggiungere una regola tramite la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Fai clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

  3. Selezionare il gruppo di sicurezza.

  4. Scegliere Actions (Operazioni), Edit inbound rules (Modifica regole in entrata) o Actions (Operazioni), Edit outbound rules (Modifica regole in uscita).

  5. Per ogni regola, seleziona Aggiungi regola e completa le attività riportate di seguito.

    1. Per Type (Tipo), scegliere il tipo di protocollo consentito.

      • Per TCP o UDP, è necessario immettere l'intervallo di porte consentito.

      • Se si sceglie un protocollo ICMP personalizzato, occorre scegliere il nome del tipo ICMP da Protocollo e, se applicabile, il nome del codice da Intervallo di porte.

      • Se si sceglie qualsiasi altro tipo, il protocollo e l'intervallo di porte vengono configurati automaticamente.

    2. Per Source type (Tipo di origine) (regole in entrata) o Destination type (Tipo di destinazione (regole in uscita), effettua una delle seguenti operazioni per consentire il traffico:

      • Scegli Personalizzato, quindi immetti un indirizzo IP in notazione CIDR, un blocco CIDR, un altro gruppo di sicurezza o un elenco di prefissi.

      • Scegli Anywhere-IPv4 (Ovunque-IPv4) per consentire il traffico proveniente da qualsiasi indirizzo IPv4 (regole in entrata) o per consentire al traffico di raggiungere tutti gli indirizzi IPv4 (regole in uscita). Ciò aggiunge automaticamente una regola per il blocco CIDR IPv4 0.0.0.0/0.

        avvertimento

        Se scegli Anywhere-IPv4 (Ovunque-IPv4), consentirai a tutti gli indirizzi IPv4 di accedere all'istanza utilizzando il protocollo specificato. Se si aggiungono regole per le porte 22 (SSH) o 3389 (RDP), è consigliabile autorizzare solo un indirizzo IP specifico o un intervallo di indirizzi per accedere all'istanza.

      • Scegli Anywhere-IPv6 (Ovunque-IPv6) per consentire il traffico proveniente da qualsiasi indirizzo IPv6 (regole in entrata) o per consentire al traffico di raggiungere tutti gli indirizzi IPv6 (regole in uscita). Ciò aggiunge automaticamente una regola per il blocco CIDR IPv6 ::/0.

        avvertimento

        Se scegli Anywhere-IPv6 (Ovunque-IPv6), consentirai a tutti gli indirizzi IPv6 di accedere all'istanza utilizzando il protocollo specificato. Se si aggiungono regole per le porte 22 (SSH) o 3389 (RDP), è consigliabile autorizzare solo un indirizzo IP specifico o un intervallo di indirizzi per accedere all'istanza.

      • Seleziona Il mio IP per permettere il traffico solo da (regole in entrata) o verso (regole in uscita) l'indirizzo IPv4 pubblico del computer locale.

    3. (Facoltativo) Per Descrizione, specifica una breve descrizione della regola.

  6. Scegliere Save rules (Salva regole).

Per aggiungere una regola a un gruppo di sicurezza tramite la riga di comando

Aggiornamento delle regole del gruppo di sicurezza

Quando si aggiorna una regola, la regola aggiornata viene applicata automaticamente a tutte le risorse associate al gruppo di sicurezza.

Per informazioni sulle autorizzazioni richieste per gestire le regole del gruppo di sicurezza, consulta Gestione delle regole del gruppo di sicurezza.

Per aggiornare una regola utilizzando la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Fai clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

  3. Selezionare il gruppo di sicurezza.

  4. Scegliere Actions (Operazioni), Edit inbound rules (Modifica regole in entrata) o Actions (Operazioni), Edit outbound rules (Modifica regole in uscita).

  5. Aggiornare la regola come richiesto.

  6. Scegliere Save rules (Salva regole).

Per aggiornare la descrizione di una regola di un gruppo di sicurezza tramite la riga di comando

Tag delle regole del gruppo di sicurezza

Aggiungi tag alle risorse per aiutarti a organizzarle e identificarle, differenziandole ad esempio per scopo, proprietario o ambiente. Puoi aggiungere i tag anche alle regole di un gruppo di sicurezza. Le chiavi dei tag devono essere univoche per ogni regola del gruppo di sicurezza. Se aggiungi un tag con una chiave già associata al gruppo target, il valore del tag viene aggiornato.

Come aggiungere un tag a una regola tramite la console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Fai clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

  3. Selezionare il gruppo di sicurezza.

  4. In Regole in entrata o Regole in uscita, seleziona la casella di controllo della regola e quindi scegli Gestisci tag.

  5. La pagina Gestisci tag visualizza tutti i tag assegnati alla regola. Per aggiungere un tag, selezionare Add tag (Aggiungi tag), quindi specifica la chiave del tag e il suo valore. Per eliminare un tag, scegliere Remove (Rimuovi) accanto al tag che desideri eliminare.

  6. Selezionare Save changes (Salva modifiche).

Come aggiungere un tag tramite la riga di comando

Eliminazione delle regole di un gruppo di sicurezza

Quando elimini una regola da un gruppo di sicurezza, la modifica viene applicata automaticamente a tutte le istanze associate al gruppo di sicurezza.

Per eliminare una regola di un gruppo di sicurezza tramite console

  1. Accedere alla console Amazon VPC all'indirizzo https://console.aws.amazon.com/vpc/.

  2. Fai clic su Security Groups (Gruppi di sicurezza) nel riquadro di navigazione.

  3. Selezionare il gruppo di sicurezza.

  4. Seleziona Actions (Operazioni), quindi Edit inbound rules (Modifica regole in entrata) per rimuovere una regola in entrata o Edit outbound rules (Modifica regole in uscita) per rimuovere una regola in uscita.

  5. Scegliere il pulsante Delete (Elimina) accanto alla regola da eliminare.

  6. Scegliere Save rules (Salva regole).

Come eliminare una regola del gruppo di sicurezza tramite la riga di comando

Gestione centralizzata dei gruppi di sicurezza VPC tramite AWS Firewall Manager

AWS Firewall Manager semplifica le attività di amministrazione e manutenzione dei gruppi di sicurezza VPC su più account e risorse. Con Firewall Manager è possibile configurare e controllare i gruppi di sicurezza per l'organizzazione da un unico account amministratore centrale. Firewall Manager applica automaticamente le regole e le protezioni su tutti gli account e le risorse, anche quando vengono aggiunte nuove risorse. Firewall Manager è particolarmente utile quando si desidera proteggere l'intera organizzazione o se si aggiungono spesso nuove risorse che si desidera proteggere da un account amministratore centrale.

È possibile utilizzare Firewall Manager per gestire centralmente i gruppi di sicurezza nei seguenti modi:

  • Configurazione dei gruppi di sicurezza di base comuni nell'organizzazione: è possibile utilizzare una policy di gruppo di sicurezza comune per fornire un'associazione controllata centralmente di gruppi di sicurezza agli account e alle risorse dell'organizzazione. Specificare dove e come applicare le policy nell'organizzazione.

  • Controllo dei gruppi di sicurezza esistenti nell'organizzazione: è possibile utilizzare una policy di gruppo di sicurezza di controllo per controllare le regole esistenti in uso nei gruppi di sicurezza dell'organizzazione. È possibile definire l'ambito della policy per controllare tutti gli account, gli account specifici o le risorse contrassegnate all'interno dell'organizzazione. Firewall Manager rileva automaticamente nuovi account e risorse e li controlla. È possibile creare regole di controllo per impostare i guardrail per quali regole dei gruppi di sicurezza consentire o non consentire all'interno dell'organizzazione e per verificare la presenza di gruppi di sicurezza inutilizzati o ridondanti.

  • Ottenimento di report sulle risorse non conformi e correggerle: è possibile ottenere report e avvisi per le risorse non conformi per le policy di base e di controllo. È inoltre possibile impostare flussi di lavoro di correzione automatica per correggere eventuali risorse non conformi rilevate da Firewall Manager.

Per ulteriori informazioni sull'utilizzo di Firewall Manager per gestire i gruppi di sicurezza, vedere i seguenti argomenti nella Guida per gli sviluppatori di AWS WAF: