AWS Firewall Manager e AWS Organizations - AWS Organizations

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Firewall Manager e AWS Organizations

AWS Firewall Manager é um serviço de gerenciamento de segurança que você usa para configurar e gerenciar centralmente as regras de firewall e outras proteções em todos os Contas da AWS aplicativos da sua organização. Usando o Firewall Manager, você pode implantar AWS WAF regras, criar AWS Shield Advanced proteções, configurar e auditar grupos de segurança da Amazon Virtual Private Cloud (AmazonVPC) e implantá-los AWS Network Firewall. Use o Firewall Manager para configurar suas regras de firewall apenas uma vez e aplique-as automaticamente em todas as contas e recursos de sua organização, mesmo quando novos recursos e contas forem adicionados. Para obter mais informações sobre AWS Firewall Manager, consulte o Guia do AWS Firewall Manager desenvolvedor.

Use as informações a seguir para ajudá-lo a se integrar AWS Firewall Manager com AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A função vinculada ao serviço a seguir é criada automaticamente na conta de gerenciamento de sua organização quando você habilita o acesso confiável. Essa função permite que o Firewall Manager realize as operações suportadas nas contas de sua organização.

Você só pode excluir ou modificar essa função se desabilitar o acesso confiável entre o Firewall Manager e o Organizations, ou se você remover a conta-membro da organização.

  • AWSServiceRoleForFMS

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo Firewall Manager concedem acesso às seguintes entidades de serviço primárias:

  • fms.amazonaws.com

Habilitar o acesso confiável no Firewall Manager

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Você pode habilitar o acesso confiável usando o AWS Firewall Manager console ou o AWS Organizations console.

Importante

É altamente recomendável que, sempre que possível, você use o AWS Firewall Manager console ou as ferramentas para permitir a integração com o Organizations. Isso permite AWS Firewall Manager realizar qualquer configuração necessária, como criar os recursos necessários ao serviço. Continue com estas etapas apenas se você não puder habilitar a integração usando as ferramentas fornecidas pelo AWS Firewall Manager. Para obter mais informações, consulte esta nota.

Se você habilitar o acesso confiável usando o AWS Firewall Manager console ou as ferramentas, não precisará concluir essas etapas.

Você deve entrar com sua conta AWS Organizations de gerenciamento e configurar uma conta dentro da organização como conta de AWS Firewall Manager administrador. Para obter mais informações, consulte Definir a conta de administrador do AWS Firewall Manager no Guia do desenvolvedor do AWS Firewall Manager .

Você pode habilitar o acesso confiável usando o AWS Organizations console, executando um AWS CLI comando ou chamando uma API operação em um dos AWS SDKs.

AWS Management Console
Para habilitar o acesso ao serviço confiável usando o console do Organizations
  1. Faça login no console do AWS Organizations. Você deve entrar como IAM usuário, assumir uma IAM função ou entrar como usuário raiz (não recomendado) na conta de gerenciamento da organização.

  2. No painel de navegação, escolha Serviços.

  3. Escolha AWS Firewall Manager na lista de serviços.

  4. Escolha Enable trusted access (Habilitar acesso confiável).

  5. Na caixa de AWS Firewall Manager diálogo Habilitar acesso confiável para, digite habilitar para confirmar e escolha Habilitar acesso confiável.

  6. Se você for administrador de somente AWS Organizations, informe ao administrador AWS Firewall Manager que agora ele pode habilitar esse serviço para funcionar a AWS Organizations partir do console de serviço.

AWS CLI, AWS API
Para habilitar o acesso a serviços confiáveis usando o OrganizationsCLI/SDK

Use os AWS CLI comandos ou API operações a seguir para habilitar o acesso confiável ao serviço:

  • AWS CLI: enable-aws-service-access

    Execute o comando a seguir para habilitá-lo AWS Firewall Manager como um serviço confiável com Organizations.

    $ aws organizations enable-aws-service-access \ --service-principal fms.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: E nableAWSService Access

Desabilitar o acesso confiável no Firewall Manager

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

Você pode desativar o acesso confiável usando as ferramentas AWS Firewall Manager ou as AWS Organizations ferramentas.

Importante

É altamente recomendável que, sempre que possível, você use o AWS Firewall Manager console ou as ferramentas para desativar a integração com o Organizations. Isso permite AWS Firewall Manager realizar qualquer limpeza necessária, como excluir recursos ou funções de acesso que não são mais necessários para o serviço. Continue com estas etapas apenas se você não puder desabilitar a integração usando as ferramentas fornecidas pelo AWS Firewall Manager.

Se você desabilitar o acesso confiável usando o AWS Firewall Manager console ou as ferramentas, não precisará concluir essas etapas.

Para desabilitar acesso confiável usando o console do Firewall Manager

Você pode alterar ou revogar a conta do AWS Firewall Manager administrador seguindo as instruções em Como designar uma conta diferente como a conta do AWS Firewall Manager administrador no Guia do AWS Firewall Manager desenvolvedor.

Se você revogar a conta de administrador, deverá entrar na conta AWS Organizations de gerenciamento e definir uma nova conta de administrador para AWS Firewall Manager.

Você pode desativar o acesso confiável usando o AWS Organizations console, executando um AWS CLI comando do Organizations ou chamando uma API operação do Organizations em um dos AWS SDKs.

AWS Management Console
Para desabilitar o acesso confiável usando o console do Organizations
  1. Faça login no console do AWS Organizations. Você deve entrar como IAM usuário, assumir uma IAM função ou entrar como usuário raiz (não recomendado) na conta de gerenciamento da organização.

  2. No painel de navegação, escolha Serviços.

  3. Escolha AWS Firewall Manager na lista de serviços.

  4. Escolha Disable trusted access (Desabilitar acesso confiável).

  5. Na caixa de AWS Firewall Manager diálogo Desabilitar acesso confiável para, digite desabilitar para confirmar e escolha Desabilitar acesso confiável.

  6. Se você for administrador de somente AWS Organizations, informe ao administrador AWS Firewall Manager que agora ele pode impedir que esse serviço funcione AWS Organizations usando o console de serviço ou as ferramentas.

AWS CLI, AWS API
Para desativar o acesso a serviços confiáveis usando o OrganizationsCLI/SDK

Você pode usar os seguintes AWS CLI comandos ou API operações para desativar o acesso a serviços confiáveis:

  • AWS CLI: disable-aws-service-access

    Execute o comando a seguir para desabilitar AWS Firewall Manager como um serviço confiável com Organizations.

    $ aws organizations disable-aws-service-access \ --service-principal fms.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: isableAWSServiceAcesso D

Habilitar uma conta de administrador delegado para o Firewall Manager

Quando você designa uma conta-membro como administrador delegado para a organização, os usuários e funções dessa conta podem executar ações administrativas para o Firewall Manager que, de outra forma, só podem ser executadas por usuários ou funções na conta de gerenciamento da organização. Isso ajuda você a separar o gerenciamento da organização do gerenciamento do Firewall Manager.

Permissões mínimas

Somente um usuário ou perfil na conta de gerenciamento do Organizations pode configurar uma conta-membro como administrador delegado para o Firewall Manager na organização.

Para obter instruções sobre como designar uma conta membro como administradora do Firewall Manager para a organização, consulte Definir a conta de AWS Firewall Manager administrador no Guia do AWS Firewall Manager desenvolvedor.