教學課程:建立AWS Firewall Manager具有階層規則的政策 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

教學課程:建立AWS Firewall Manager具有階層規則的政策

注意

這是AWS WAF傳統文件中)。如果您在 2019 年 11 月 AWS WAF 之前建立 AWS WAF 資源 (例如規則和 Web ACL),而且並未將其移轉至最新版本,則應該只使用此版本。若要移轉資源,請參閱 遷移您的AWS WAF傳統資源AWS WAF

對於最新版的AWS WAF,請參閱AWS WAF

搭配AWS Firewall Manager,您可以使用建立並套用AWS WAF傳統包含階層規則的防護政策。也就是,您可以集中建立並強制執行特定規則,但將帳戶專屬規則的建立和維護作業委派給其他個人。您可以監控集中套用 (通用) 的任何意外刪除或錯誤處理規則,因此可確保一致地套用這些規則。帳戶專屬規則可新增針對個別團隊需求自訂的進一步防護。

注意

在最新版本的 AWS WAF 中,此功能是內建的,不需要任何特殊處理。如果您尚未使用AWS WAF經典,請改用最新的版本。請參閱建立適用於 AWS WAF 的 AWS Firewall Manager 政策

下列教學課程說明如何建立防護規則的階層組。

步驟 1:指定 Firewall Manager 帳戶

使用AWS Firewall Manager,您必須將您組織中的帳戶指定為 Firewall Manager 管理員帳戶。此帳戶可以是組織中的管理帳戶或成員帳戶。

您可以使用 Firewall Manager 管理員帳戶建立一組您會套用至組織內其他帳戶的通用規則。組織中的其他帳戶無法變更集中套用的規則。

若要將帳戶指定為 Firewall Manager 管理員帳戶,並使用 Firewall Manager 完成其他先決條件,請參閱AWS Firewall Manager 先決條件。如果您已完成先決條件,則可以跳至此教學課程中的步驟 2。

在本教學課程中,我們將管理員帳戶稱為 Firewall-Administrator-Account

步驟 2:使用 Firewall Manager 帳戶建立規則群組

接著,使用 Firewall-Administrator-Account 建立一個規則群組。此規則群組包含您將套用至所有成員帳戶的通用規則。這些成員帳戶是以您在下一步中建立的政策管理。僅 Firewall-Administrator-Account 可以變更這些規則和容器規則群組。

在本教學課程中,我們將此容器規則群組稱為 Common-Rule-Group

若要建立規則群組,請參閱建立AWS WAF典型規則群組中的說明。請記得使用您的 Firewall Manager 帳戶 (Firewall-Administrator-Account) 遵循這些指示時。

步驟 3:建立 Firewall Manager 政策並連接通用規則群組

使用Firewall-Administrator-Account中,建立 Firewall Manager 政策。建立此政策時,您必須執行下列作業:

  • 新增 Common-Rule-Group 至新政策。

  • 將組織內您想要套用 Common-Rule-Group 的所有帳戶納入。

  • 新增您想要套用 Common-Rule-Group 的所有資源。

如需建立政策的說明,請參閱建立 AWS Firewall Manager 政策

此會在各指定的帳戶中建立 web ACL,並將 Common-Rule-Group 新增至各 web ACL。建立政策後,此 web ACL 和通用規則便會部署至所有指定的帳戶。

在本教學課程中,我們將此 web ACL 稱為 Administrator-Created-ACL。唯一的 Administrator-Created-ACL 現在存在於組織中各個指定成員帳戶內。

步驟 4:新增帳戶專屬規則

組織中的各成員帳戶現在可以將自己的帳戶專屬規則新增至存在於其帳戶中的 Administrator-Created-ACL。已在 Administrator-Created-ACL 中的通用規則會連同新的帳戶專屬規則繼續套用。AWS WAF 會根據規則在 web ACL 中出現的順序,檢查 web 請求。這適用於 Administrator-Created-ACL 和帳戶專屬規則。

若要新增規則至 Administrator-Created-ACL,請參閱 編輯 Web ACL

Conclusion

您現在會有包含通用規則 (由 Firewall Manager 管理) 和帳戶專屬規則 (由各成員帳戶維護) 的 web ACL。

各帳戶中的 Administrator-Created-ACL 參照單一 Common-Rule-Group。因此,未來由 Firewall Manager 帳戶對於Common-Rule-Group將在各成員帳戶中生效。

會員帳戶無法變更或移除 Common-Rule-Group 中的通用規則。

帳戶專屬規則不會影響其他帳戶。