AWS Firewall Manager e AWS Organizations - AWS Organizations

AWS Firewall Manager e AWS Organizations

O AWS Firewall Manager é um serviço de gerenciamento de segurança usado para configurar e gerenciar centralmente regras de firewall e outras proteções em todas as Contas da AWS e aplicativos na organização. Usando o Firewall Manager, é possível implementar regras do AWS WAF, criar proteções do AWS Shield Advanced, configurar e auditar grupos de segurança do Amazon Virtual Private Cloud (Amazon VPC) e implantar AWS Network Firewalls. Use o Firewall Manager para configurar suas regras de firewall apenas uma vez e aplique-as automaticamente em todas as contas e recursos de sua organização, mesmo quando novos recursos e contas forem adicionados. Para obter mais informações sobre o AWS Firewall Manager, consulte o Guia do desenvolvedor do AWS Firewall Manager.

Use as informações a seguir para ajudá-lo a integrar o AWS Firewall Manager ao AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A função vinculada ao serviço a seguir é criada automaticamente na conta de gerenciamento de sua organização quando você habilita o acesso confiável. Essa função permite que o Firewall Manager realize as operações suportadas nas contas de sua organização.

Você só pode excluir ou modificar essa função se desabilitar o acesso confiável entre o Firewall Manager e o Organizations, ou se você remover a conta-membro da organização.

  • AWSServiceRoleForFMS

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo Firewall Manager concedem acesso às seguintes entidades de serviço primárias:

  • fms.amazonaws.com

Habilitar o acesso confiável no Firewall Manager

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Você pode habilitar o acesso confiável usando o console do AWS Firewall Manager ou o console do AWS Organizations.

Importante

É altamente recomendável, sempre que possível, o uso do console ou das ferramentas do AWS Firewall Manager para habilitar a integração com o Organizations. Isso permite que o AWS Firewall Manager execute qualquer configuração exigida, como a criação dos recursos necessários para o serviço. Continue com estas etapas apenas se você não puder habilitar a integração usando as ferramentas fornecidas pelo AWS Firewall Manager. Para obter mais informações, consulte esta nota.

Se você habilitar o acesso confiável usando o console ou as ferramentas do AWS Firewall Manager, não é necessário concluir estas etapas.

Você deve fazer login com sua conta de gerenciamento do AWS Organizations e configurar uma conta da organização como a conta de administrador do AWS Firewall Manager. Para obter mais informações, consulte Definir a conta de administrador do AWS Firewall Manager no Guia do desenvolvedor do AWS Firewall Manager.

Você pode habilitar o acesso confiável usando o console do AWS Organizations, executando um comando da AWS CLI ou chamando uma operação da API em um dos AWS SDKs.

AWS Management Console

Para habilitar o acesso ao serviço confiável usando o console do Organizations

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Services (Serviços), localize a linha para o AWS Firewall Manager, escolha o nome do serviço e, em seguida, escolha Enable trusted access (Habilitar acesso confiável).

  3. Na caixa de diálogo de confirmação, habilite Show the option to enable trusted access (Mostrar a opção para habilitar acesso confiável), insira enable na caixa e, em seguida, escolha Enable trusted access (Habilitar acesso confiável).

  4. Se você for o administrador apenas do AWS Organizations, informe ao administrador do AWS Firewall Manager que agora ele pode habilitar esse serviço usando seu console para trabalhar com o AWS Organizations.

AWS CLI, AWS API

Para habilitar o acesso ao serviço confiável usando a CLI/SDK do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para habilitar o acesso ao serviço confiável:

  • AWS CLI: enable-aws-service-access

    Você pode executar o comando a seguir para habilitar o AWS Firewall Manager como um serviço confiável com o Organizations.

    $ aws organizations enable-aws-service-access \ --service-principal fms.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: EnableAWSServiceAccess

Desabilitar o acesso confiável no Firewall Manager

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

Você pode desabilitar o acesso confiável usando as ferramentas do AWS Firewall Manager ou do AWS Organizations.

Importante

É altamente recomendável, sempre que possível, o uso do console ou das ferramentas do AWS Firewall Manager para desabilitar a integração com o Organizations. Isso permite que o AWS Firewall Manager realize qualquer limpeza necessária, como excluir recursos ou funções de acesso que não são mais necessários para o serviço. Continue com estas etapas apenas se você não puder desabilitar a integração usando as ferramentas fornecidas pelo AWS Firewall Manager.

Se você desabilitar o acesso confiável usando o console ou as ferramentas do AWS Firewall Manager, não é necessário concluir estas etapas.

Para desabilitar acesso confiável usando o console do Firewall Manager

Você pode alterar ou revogar a conta de administrador do AWS Firewall Manager seguindo as instruções em Designação de outra conta como a conta de administrador do AWS Firewall Manager no Guia do desenvolvedor do AWS Firewall Manager.

Se revogar a conta de administrador, você deve fazer login na conta de gerenciamento do AWS Organizations e definir uma nova conta de administrador para o AWS Firewall Manager.

Você pode desabilitar o acesso confiável usando o console do AWS Organizations, executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.

AWS Management Console

Para desabilitar o acesso confiável usando o console do Organizations

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Services (Serviços), localize a linha do AWS Firewall Manager e escolha o nome do serviço.

  3. Escolha Disable trusted access (Desabilitar acesso confiável).

  4. Na caixa de diálogo de confirmação, insira disable e, em seguida, escolha Disable trusted access (Desabilitar acesso confiável).

  5. Se você for o administrador apenas do AWS Organizations, informe ao administrador do AWS Firewall Manager que agora ele pode desabilitar esse serviço usando seu console para trabalhar com o AWS Organizations.

AWS CLI, AWS API

Para desabilitar o acesso confiável usando a CLI/SKD do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para desabilitar o acesso ao serviço confiável:

  • AWS CLI: disable-aws-service-access

    Você pode executar o comando a seguir para desabilitar o AWS Firewall Manager como um serviço confiável com o Organizations.

    $ aws organizations disable-aws-service-access \ --service-principal fms.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: DisableAWSServiceAccess

Habilitar uma conta de administrador delegado para o Firewall Manager

Quando você designa uma conta-membro como administrador delegado para a organização, os usuários e funções dessa conta podem executar ações administrativas para o Firewall Manager que, de outra forma, só podem ser executadas por usuários ou funções na conta de gerenciamento da organização. Isso ajuda você a separar o gerenciamento da organização do gerenciamento do Firewall Manager.

Permissões mínimas

Somente um usuário ou função do IAM na conta de gerenciamento do Organizations pode configurar uma conta-membro como administrador delegado para o Firewall Manager na organização.

Para obter instruções sobre como designar uma conta-membro como administrador do Firewall Manager para a organização, consulte Definir a Conta do administrador do AWS Firewall Manager no Guia do desenvolvedor do AWS Firewall Manager.