AWS Firewall Manager ambito della politica - AWS WAFAWS Firewall Manager, e AWS Shield Advanced
Configurazione dell'ambito della politicaGestione dell'ambito delle politiche

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS Firewall Manager ambito della politica

L'ambito della politica definisce dove si applica la politica. È possibile applicare politiche controllate centralmente a tutti gli account e le risorse all'interno dell'organizzazione o a un sottoinsieme di account e risorse. AWS Organizations Per istruzioni su come impostare l'ambito delle politiche, consultaCreazione di una AWS Firewall Manager politica.

Opzioni relative all'ambito delle politiche in AWS Firewall Manager

Quando si aggiunge un nuovo account o una nuova risorsa all'organizzazione, Firewall Manager lo valuta automaticamente in base alle impostazioni dell'utente per ciascun criterio e applica il criterio in base a tali impostazioni. Ad esempio, è possibile scegliere di applicare un criterio a tutti gli account tranne i numeri di account in un elenco specificato; è anche possibile scegliere di applicare un criterio solo alle risorse che hanno tutti i tag in un elenco.

Account AWS nell'ambito

Le impostazioni fornite per definire gli Account AWS interessati dalla politica determinano a quali account dell' AWS organizzazione applicare la politica. È possibile scegliere di applicare il criterio in uno dei seguenti modi:

  • A tutti gli account nell'organizzazione

  • Solo a un elenco specifico di numeri di account e unità organizzative AWS Organizations inclusi

  • A tutti tranne a un elenco specifico di numeri di account e unità organizzative AWS Organizations escluse

Per informazioni in merito AWS Organizations, consulta la Guida AWS Organizations per l'utente.

Risorse nell'ambito di applicazione

Analogamente alle impostazioni per gli account inclusi nell'ambito, le impostazioni fornite per le risorse determinano a quali tipi di risorse nell'ambito applicare la politica. È possibile scegliere una delle seguenti opzioni:

  • Tutte le risorse

  • Risorse con tutti i tag specificati

  • Tutte le risorse tranne quelle che hanno tutti i tag specificati

È possibile specificare solo tag di risorse con valori non nulli. Se non si fornisce nulla per il valore, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.

Per ulteriori informazioni sull'assegnazione di tag alle risorse, vedere Utilizzo dell'editor dei tag.

Gestione dell'ambito delle politiche in AWS Firewall Manager

Quando le policy sono in vigore, Firewall Manager le gestisce continuamente e le applica a nuove Account AWS risorse man mano che vengono aggiunte, in base all'ambito della policy.

Gestione Account AWS e risorse di Firewall Manager

Se un account o una risorsa non rientra nell'ambito di applicazione per qualsiasi motivo, AWS Firewall Manager non rimuove automaticamente le protezioni o elimina le risorse gestite da Firewall Manager a meno che non si selezioni la casella di controllo Rimuovi automaticamente le protezioni dalle risorse che esulano dall'ambito della policy.

Nota

L'opzione Rimuovi automaticamente le protezioni dalle risorse che esulano dall'ambito della policy non è disponibile per le policy classiche. AWS Shield Advanced AWS WAF

La selezione di questa casella di controllo consente di AWS Firewall Manager ripulire automaticamente le risorse gestite da Firewall Manager per gli account quando tali account escono dall'ambito delle politiche. Ad esempio, Firewall Manager dissocierà un ACL Web gestito da Firewall Manager da una risorsa cliente protetta quando la risorsa cliente esce dall'ambito della policy.

Per determinare quali risorse devono essere rimosse dalla protezione quando una risorsa del cliente esce dall'ambito delle policy, Firewall Manager segue queste linee guida:

  • Comportamento predefinito:

    • Le regole AWS Config gestite associate vengono eliminate. Questo comportamento è indipendente dalla casella di controllo.

    • Tutti gli elenchi di controllo degli accessi AWS WAF Web associati (ACL Web) che non contengono risorse vengono eliminati. Questo comportamento è indipendente dalla casella di controllo.

    • Qualsiasi risorsa protetta che non rientra nell'ambito di applicazione rimane associata e protetta. Ad esempio, un Application Load Balancer o un'API di API Gateway associata a un ACL Web rimane associata all'ACL Web e la protezione rimane valida.

  • Con la casella di controllo Rimuovi automaticamente le protezioni dalle risorse che esulano dall'ambito della policy selezionata:

    • Le regole AWS Config gestite associate vengono eliminate. Questo comportamento è indipendente dalla casella di controllo.

    • Tutti gli elenchi di controllo degli accessi AWS WAF Web associati (ACL Web) che non contengono risorse vengono eliminati. Questo comportamento è indipendente dalla casella di controllo.

    • Qualsiasi risorsa protetta che non rientra nell'ambito di applicazione viene automaticamente dissociata e rimossa dalla protezione di Firewall Manager quando esce dall'ambito delle policy. Ad esempio, per una policy di gruppo di sicurezza, un acceleratore Elastic Inference o un'istanza Amazon EC2 viene automaticamente dissociata dal gruppo di sicurezza replicato quando esce dall'ambito della policy. Il gruppo di sicurezza replicato e le relative risorse vengono automaticamente rimossi dalla protezione.