Fase 3: Attivazione AWS Config - AWS WAFAWS Firewall Manager, e AWS Shield Advanced

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 3: Attivazione AWS Config

Per utilizzare Firewall Manager, è necessario abilitare AWS Config.

Nota

Le AWS Config impostazioni sono soggette a costi aggiuntivi, in base ai AWS Config prezzi. Per ulteriori informazioni, consulta la sezione Guida introduttiva. AWS Config

Nota

Affinché Firewall Manager possa monitorare la conformità delle policy, AWS Config deve registrare continuamente le modifiche alla configurazione per le risorse protette. Nella AWS Config configurazione, la frequenza di registrazione deve essere impostata su Continuo, che è l'impostazione predefinita.

AWS Config Per abilitare Firewall Manager

  1. Abilita AWS Config per ogni account AWS Organizations membro, incluso l'account amministratore di Firewall Manager. Per ulteriori informazioni, vedere Guida introduttiva a AWS Config.

  2. Abilita AWS Config per ognuno Regione AWS che contiene le risorse che desideri proteggere. Puoi AWS Config abilitarlo manualmente oppure puoi utilizzare il AWS CloudFormation modello «Enable AWS Config» in AWS CloudFormation StackSets Sample Templates.

    Se non desideri abilitare tutte AWS Config le risorse, devi abilitare quanto segue in base al tipo di policy di Firewall Manager che utilizzi:

    • Politica WAF: abilita Config per i CloudFront tipi di risorse Distribution, Application Load Balancer ElasticLoadBalancing(scegli V2 dall'elenco), API Gateway, WAF WebACL, WAF Regional WebACL e WAFV2 WebACL. Per abilitare la protezione di una distribuzione, devi trovarti AWS Config nella regione Stati Uniti orientali (Virginia settentrionale CloudFront ). Le altre regioni non dispongono CloudFront di alcuna opzione.

    • Politica Shield: abilita Config per i tipi di risorse Shield Protection, ShieldRegional Protection, Application Load Balancer, EC2 EIP, WAF WebACL, WAF Regional WebACL e WAFV2 WebACL.

    • Politica del gruppo di sicurezza: abilita Config per i tipi di risorse EC2 SecurityGroup, EC2 Instance ed EC2. NetworkInterface

    • Politica ACL di rete: abilita Config per i tipi di risorse Amazon EC2 Subnet e Amazon EC2 Network ACL.

    • Politica Network Firewall: abilita Config per i tipi di risorse, EC2 VPC NetworkFirewall FirewallPolicy NetworkFirewallRuleGroup, EC2, InternetGateway EC2 e EC2 Subnet. RouteTable

    • Politica DNS Firewall: abilita Config per il tipo di risorsa EC2 VPC.

    • Policy firewall di terze parti: abilita Config per i tipi di risorse Amazon EC2 VPC, Amazon EC2, Amazon EC2, Amazon InternetGateway EC2 Subnet e Amazon RouteTable EC2 VPCEndpoint.

    Nota

    Se configuri il AWS Config registratore per utilizzare un ruolo IAM personalizzato, devi assicurarti che la policy IAM disponga delle autorizzazioni appropriate per registrare i tipi di risorse richiesti dalla policy Firewall Manager. Senza le autorizzazioni appropriate, le risorse richieste potrebbero non essere registrate, il che impedisce a Firewall Manager di proteggere adeguatamente le risorse. Firewall Manager non ha visibilità su queste configurazioni errate delle autorizzazioni. Per informazioni sull'utilizzo di IAM con AWS Config, consulta IAM for. AWS Config