Etapa 3: ativar AWS Config - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 3: ativar AWS Config

Para usar o Firewall Manager, é necessário habilitar o AWS Config.

nota

Você incorre em cobranças por suas AWS Config configurações, de acordo com os AWS Config preços. Para obter mais informações, consulte Introdução ao AWS Config.

nota

Para que o Firewall Manager monitore a conformidade com as políticas, AWS Config deve registrar continuamente as alterações de configuração dos recursos protegidos. Na sua AWS Config configuração, a frequência de gravação deve ser definida como Contínua, que é a configuração padrão.

Para habilitar AWS Config o Firewall Manager

  1. Ative AWS Config para cada uma de suas contas de AWS Organizations membros, incluindo a conta de administrador do Firewall Manager. Para obter mais informações, consulte Introdução ao AWS Config.

  2. Ative AWS Config para cada um Região da AWS que contenha os recursos que você deseja proteger. Você pode ativar AWS Config manualmente ou usar o AWS CloudFormation modelo “Ativar AWS Config” em Modelos AWS CloudFormation StackSets de amostra.

    Se você não quiser habilitar AWS Config para todos os recursos, deverá habilitar o seguinte de acordo com o tipo de política do Firewall Manager que você usa:

    • Política WAF — Ative o Config para os CloudFront tipos de recursos Distribution, Application Load Balancer ElasticLoadBalancing(escolha V2 na lista), API Gateway, WAF WebACL, WAF Regional WebACL e WAFv2 WebACL. AWS Config Para proteger uma CloudFront distribuição, você deve estar na região Leste dos EUA (Norte da Virgínia). Outras regiões não têm CloudFront como opção.

    • Política Shield — Ative o Config para os tipos de recursos Shield Protection, ShieldRegional Protection, Application Load Balancer, EC2 EIP, WAF WebACL, WAF Regional WebACL e WAFv2 WebACL.

    • Política de grupo de segurança — ative o Config para os tipos de recursos EC2 SecurityGroup, EC2 Instance e EC2. NetworkInterface

    • Política de ACL de rede — Ative o Config para os tipos de recursos Amazon EC2 Subnet e Amazon EC2 Network ACL.

    • Política de Firewall de Rede — Habilite o Config para os tipos de recursos EC2 VPC NetworkFirewall FirewallPolicy NetworkFirewallRuleGroup, EC2, InternetGateway EC2 e EC2 Subnet. RouteTable

    • Política de DNS Firewall: habilite o Config para o tipo de recurso EC2 VPC.

    • Política de firewall de terceiros — Habilite o Config para os tipos de recursos Amazon EC2 VPC, Amazon EC2, Amazon EC2, Amazon InternetGateway EC2 Subnet e Amazon RouteTable EC2 VPCendpoint.

    nota

    Se você configurar seu AWS Config gravador para usar uma função personalizada do IAM, precisará garantir que a política do IAM tenha as permissões adequadas para registrar os tipos de recursos necessários da política do Firewall Manager. Sem as permissões adequadas, os recursos necessários podem não ser registrados, o que impede o Firewall Manager de proteger adequadamente os seus recursos. O Firewall Manager não tem visibilidade dessas configurações incorretas de permissão. Para obter informações sobre como usar o IAM com AWS Config, consulte IAM for AWS Config.