AWS Firewall Manager escopo da política - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced
Configuração de escopo de políticaGerenciar o escopo da política

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Firewall Manager escopo da política

O escopo da política define onde a política se aplica. Você pode aplicar políticas controladas centralmente a todas as suas contas e recursos em AWS Organizations sua organização ou a um subconjunto de suas contas e recursos. Para obter instruções sobre como estabelecer o escopo da política, consulte Criação de uma AWS Firewall Manager política.

Opções do escopo da política em AWS Firewall Manager

Quando você adiciona uma nova conta ou recurso à sua organização, o Firewall Manager o avalia automaticamente em relação às configurações de cada política e aplica a política com base nessas configurações. Por exemplo, você pode optar por aplicar uma política a todas as contas, exceto aos números de conta em uma lista especificada; você também pode optar por aplicar uma política somente aos recursos que tenham todas as tags em uma lista.

Contas da AWS no escopo

As configurações que você fornece para definir os Contas da AWS afetados pela política determinam em quais contas da sua AWS organização aplicar a política. Você pode optar por aplicar a política de uma das seguintes maneiras:

  • A todas as contas da organização

  • A apenas uma lista específica de números de contas e unidades organizacionais (OUs) do AWS Organizations incluídas.

  • A todas, com exceção de uma lista específica de números de contas e unidades organizacionais (OUs) do AWS Organizations excluídas

Para obter informações sobre AWS Organizations, consulte o Guia AWS Organizations do usuário.

Recursos no escopo

De forma semelhante às configurações para contas em escopo, as configurações fornecidas para recursos determinam quais tipos de recursos no escopo aplicar à política. Você pode escolher uma das seguintes opções:

  • Todos os recursos

  • Recursos que têm todas as tags especificadas

  • Todos os recursos, exceto aqueles que têm todas as tags especificadas

Você só pode especificar tags de recursos com valores não nulos. Se você não fornecer nada para o valor, o Firewall Manager salvará a tag com um valor de string vazio: “”. As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Para obter mais informações sobre como marcar seus recursos, consulte Trabalhar com o Tag Editor.

Gerenciamento do escopo da política em AWS Firewall Manager

Quando as políticas estão em vigor, o Firewall Manager as gerencia continuamente e as aplica a novos Contas da AWS recursos à medida que são adicionados, de acordo com o escopo da política.

Como o Firewall Manager gerencia Contas da AWS os recursos

Se uma conta ou recurso sair do escopo por qualquer motivo, AWS Firewall Manager não removerá automaticamente as proteções nem excluirá os recursos gerenciados pelo Firewall Manager, a menos que você marque a caixa de seleção Remover automaticamente as proteções dos recursos que saem do escopo da política.

nota

A opção Remover automaticamente as proteções dos recursos que saem do escopo da política não está disponível para AWS Shield Advanced nossas políticas AWS WAF clássicas.

Marcar essa caixa de seleção AWS Firewall Manager direciona a limpeza automática dos recursos que o Firewall Manager gerencia para contas quando essas contas saem do escopo da política. Por exemplo, o Firewall Manager desassociará uma web ACL gerenciada pelo Firewall Manager de um recurso protegido do cliente quando esse recurso sair do escopo da política.

Para determinar quais recursos devem ser removidos da proteção quando um recurso do cliente deixa o escopo da política, o Firewall Manager segue estas diretrizes:

  • Comportamento padrão:

    • As regras AWS Config gerenciadas associadas são excluídas. Esse comportamento é independente da caixa de seleção.

    • Todas as listas de controle de acesso à AWS WAF web (ACLs da web) associadas que não contêm nenhum recurso são excluídas. Esse comportamento é independente da caixa de seleção.

    • Qualquer recurso protegido que saia do escopo permanece associado e protegido. Por exemplo, um Application Load Balancer ou API do API Gateway associado a uma web ACL permanece associado à web ACL e a proteção permanece em vigor.

  • Com a caixa de seleção Remover automaticamente as proteções dos recursos que saem do escopo da política marcada:

    • As regras AWS Config gerenciadas associadas são excluídas. Esse comportamento é independente da caixa de seleção.

    • Todas as listas de controle de acesso à AWS WAF web (ACLs da web) associadas que não contêm nenhum recurso são excluídas. Esse comportamento é independente da caixa de seleção.

    • Qualquer recurso protegido que saia do escopo é automaticamente desassociado e removido da proteção do Firewall Manager quando sai do escopo da política. Por exemplo, para uma política de grupo de segurança, um acelerador do Elastic Inference ou uma instância do Amazon EC2 é automaticamente desassociada do grupo de segurança replicado quando sai do escopo da política. O grupo de segurança replicado e seus recursos são automaticamente removidos da proteção.