Fase 2: Creare e applicare una AWS WAF policy

Una AWS WAF politica di Firewall Manager contiene i gruppi di regole che desideri applicare alle tue risorse. Firewall Manager crea un ACL web di Firewall Manager in ogni account a cui si applica la policy. I singoli responsabili dell'account possono aggiungere regole e gruppi di regole alla ACL Web risultante, oltre ai gruppi di regole definiti qui. Per informazioni sulle AWS WAF politiche di Firewall Manager, vedereAWS WAF politiche.

Per creare una AWS WAF policy di Firewall Manager (console)

Accedi AWS Management Console utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzohttps://console.aws.amazon.com/wafv2/fmsv2. Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare AWS Firewall Manager prerequisiti.

1. Nel riquadro di navigazione, scegliere Security policies (Policy di sicurezza).

2. Scegli Crea policy.

3. Per Policy type (Tipo di policy), scegliere AWS WAF.

4. Per Regione, scegli un Regione AWS. Per proteggere le CloudFront distribuzioni Amazon, scegli Global.

   Per proteggere le risorse in più regioni (diverse dalle CloudFront distribuzioni), è necessario creare policy Firewall Manager separate per ogni regione.

5. Seleziona Successivo.

6. Per Nome della politica, inserire un nome descrittivo. Firewall Manager include il nome della policy nei nomi degli ACL Web che gestisce. I nomi degli ACL Web sono FMManagedWebACLV2- seguiti dal nome della policy immesso qui e dal timestamp di creazione degli ACL Web-, in millisecondi UTC. Ad esempio, FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

   Importante

   I nomi ACL Web non possono cambiare dopo la creazione. Se aggiorni il nome della policy, Firewall Manager non aggiornerà il nome ACL web associato. Per fare in modo che Firewall Manager crei un ACL Web con un nome diverso, è necessario creare una nuova policy.

7. In Policy rules, per First rule groups, scegli Aggiungi gruppi di regole. Espandi i gruppi di regole AWS gestiti. Per il set di regole di base, attivare Add to web ACL (Aggiungi alla ACL Web). Per gli input AWS noti non validi, attiva Aggiungi all'ACL web. Scegliere Add rules (Aggiungi regole).

   Per Last rule groups (Ultimi gruppi di regole), scegliere Add rule groups (Aggiungi gruppi di regole). Espandi i gruppi di regole AWS gestiti e, per l'elenco di reputazione degli IP di Amazon, attiva Aggiungi all'ACL web. Scegliere Add rules (Aggiungi regole).

   In First rule groups, seleziona Set di regole di base e scegli Sposta giù. AWS WAF valuta le richieste Web in base al AWS noto gruppo di regole di input non validi prima di eseguire la valutazione rispetto al set di regole Core.

   Puoi anche creare i tuoi gruppi di AWS WAF regole, se lo desideri, utilizzando la console. AWS WAF Tutti i gruppi di regole creati vengono visualizzati in Your rule groups (Gruppi di regole personali) nella pagina Describe policy : Add rule groups (Descrizione della policy: aggiungi gruppi di regole).

   Il primo e l'ultimo gruppo di AWS WAF regole gestiti tramite Firewall Manager hanno nomi che iniziano con PREFMManaged- oPOSTFMManaged-, rispettivamente, seguiti dal nome della policy di Firewall Manager e dal timestamp di creazione del gruppo di regole, in millisecondi UTC. Ad esempio, PREFMManaged-MyWAFPolicyName-1621880555123.

8. Lasciare l'azione predefinita per l'ACL Web in Allow (Consenti).

9. Lasciare l'azione Policy predefinita per non correggere automaticamente le risorse non conformi. È possibile modificare l'opzione in un secondo momento.

10. Seleziona Successivo.

11. Per l' ambito Policy, si forniscono le impostazioni per gli account, i tipi di risorse e i tag che identificano le risorse a cui si desidera applicare la policy. Per questo tutorial, esci dalle impostazioni Account AWSe Risorse e scegli uno o più tipi di risorse.

12. Per le risorse, puoi restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

    Se si immettono più tag, una risorsa deve avere tutti i tag da includere o escludere.

    I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

13. Seleziona Successivo.

14. Per i tag Policy, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'utilizzo di Tag Editor .

15. Seleziona Successivo.

16. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.

    Verificare che le azioni dei criteri siano impostate su Identificare le risorse che non sono conformi alle regole dei criteri, ma che non vengano corrette automaticamente. Ciò ti consente di esaminare le modifiche che la tua politica apporterebbe prima di abilitarle.

17. Al termine, scegliere Create policy (Crea policy).

    Nel riquadro delle AWS Firewall Manager politiche, la tua politica dovrebbe essere elencata. Probabilmente indicherà In sospeso sotto le intestazioni degli account e indicherà lo stato dell'impostazione di riparazione automatica. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato In sospeso con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica