**Presentamos una nueva experiencia de consola para AWS WAF**
Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte [Trabajar con la consola](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso de AWS Firewall Manager políticas
AWS Firewall Manager proporciona los siguientes tipos de políticas. Para cada tipo de política, debe definir lo siguiente:
+ **AWS WAF****política**: Firewall Manager admite AWS WAF políticas AWS WAF clásicas. Para ambas versiones, defina qué recursos están protegidos por la política.
+ El tipo AWS WAF de política requiere que los conjuntos de grupos de reglas se ejecuten primero y último en la ACL web. Luego, en las cuentas en las que aplica la ACL web, el propietario de la cuenta puede agregar reglas y grupos de reglas para que se ejecuten entre los dos conjuntos.
+ El tipo de política AWS WAF clásica requiere un único grupo de reglas para ejecutarse en la ACL web.
+ **Política Shield Avanzado**: este tipo de política aplica las protecciones de Shield Avanzado en toda la organización para los tipos de recursos que especifique.
+ **Política de grupo de seguridad de Amazon VPC**: este tipo de política le da control sobre los grupos de seguridad que se utilizan en toda su organización y le permite aplicar un conjunto de reglas de referencia en toda su organización.
+ **Política de listas de control de acceso (ACL) a la red de Amazon VPC**: este tipo de política le permite controlar las redes ACLs que se utilizan en toda la organización y le permite aplicar un conjunto básico de redes ACLs en toda la organización.
+ **Política de Network Firewall**: este tipo de política aplica AWS Network Firewall protección a la de su organización VPCs.
+ **Política de firewall de DNS de Amazon Route 53 Resolver**: esta política aplica las protecciones de firewall de DNS a las de su organización VPCs.
+ **Política de firewall de terceros**: este tipo de política aplica las protecciones de firewall de terceros. Los firewalls de terceros están disponibles mediante suscripción a través de la consola AWS Marketplace en [AWS Marketplace.](https://aws.amazon.com/marketplace)
+ **Política de NGFW de Palo Alto Networks Cloud**: este tipo de política aplica las protecciones del firewall de próxima generación (NGFW) de Palo Alto Networks Cloud y las normas de NGFW de Palo Alto Networks Cloud a las de su organización. VPCs
+ **Política de FortiGate Cloud Native Firewall (CNF) como servicio**: este tipo de política aplica las protecciones del FortiGate Cloud Native Firewall (CNF) como servicio. Fortigate CNF es una solución centrada en la nube que bloquea las amenazas de día cero y protege las infraestructuras en la nube con una prevención de amenazas avanzada líder del sector, firewalls de aplicaciones web inteligentes (WAF) y protección mediante API.
Una política de Firewall Manager es específica del tipo de política individual. Si desea aplicar varios tipos de políticas en diversas cuentas, puede crear varias políticas. Puede crear más de una política para cada tipo.
Si agrega una cuenta nueva a una organización con la que creó AWS Organizations, Firewall Manager aplicará automáticamente la política a los recursos de esa cuenta que estén dentro del ámbito de la política.
## Configuración general de las AWS Firewall Manager políticas
AWS Firewall Manager las políticas gestionadas tienen algunos ajustes y comportamientos comunes. En todas ellas se especifica un nombre y se define el alcance de la política, y se puede utilizar el etiquetado de recursos para controlar el alcance de la política. Puede elegir ver las cuentas y los recursos que están en situación de incumplimiento sin tomar medidas correctivas o corregir automáticamente los recursos en situación de incumplimiento.
Para obtener información sobre el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).
# Creación de una AWS Firewall Manager política
Los pasos para crear una política varían entre los diferentes tipos de políticas. Asegúrese de utilizar el procedimiento adecuado para el tipo de política que necesita.
**importante**
AWS Firewall Manager no es compatible con Amazon Route 53 o AWS Global Accelerator. Si desea proteger estos recursos con Shield Avanzado, no puede utilizar una política de Firewall Manager. En su lugar, siga las instrucciones en [Añadir AWS Shield Advanced protección a AWS los recursos](configure-new-protection.md).
**Topics**
+ [Crear una AWS Firewall Manager política para AWS WAF](#creating-firewall-manager-policy-for-waf)
+ [Crear una AWS Firewall Manager política para la AWS WAF versión clásica](#creating-firewall-manager-policy-for-classic-waf)
+ [Crear una AWS Firewall Manager política para AWS Shield Advanced](#creating-firewall-manager-policy-for-shield-advanced)
+ [Crear una política de grupo de seguridad AWS Firewall Manager común](#creating-firewall-manager-policy-common-security-group)
+ [Crear una política de grupo de seguridad de auditoría de AWS Firewall Manager contenido](#creating-firewall-manager-policy-audit-security-group)
+ [Crear una política de grupo de seguridad de auditoría de AWS Firewall Manager uso](#creating-firewall-manager-policy-usage-security-group)
+ [Crear una política AWS Firewall Manager de ACL de red](#creating-firewall-manager-policy-network-acl)
+ [Crear una AWS Firewall Manager política para AWS Network Firewall](#creating-firewall-manager-policy-for-network-firewall)
+ [Creación de una AWS Firewall Manager política para Amazon Route 53 Resolver DNS Firewall](#creating-firewall-manager-policy-for-dns-firewall)
+ [Creación de una AWS Firewall Manager política para el NGFW en la nube de Palo Alto Networks](#creating-cloud-ngfw-policy)
+ [Creación de una AWS Firewall Manager política para Fortigate Cloud Native Firewall (CNF) como servicio](#creating-fortigate-cnf-policy)
## Crear una AWS Firewall Manager política para AWS WAF
En una AWS WAF política de Firewall Manager, puedes usar grupos de reglas gestionados, que AWS AWS Marketplace los vendedores crean y mantienen por ti. También puede crear y utilizar sus propios grupos de reglas. Para obtener más información acerca de los grupos de reglas, consulte [AWS WAF grupos de reglas](waf-rule-groups.md).
Si desea utilizar sus propios grupos de reglas, créelos antes de crear su política de Firewall Manager de AWS WAF . Para obtener instrucciones, consulte [Administrar sus propios grupos de reglas](waf-user-created-rule-groups.md). Para utilizar una regla personalizada individual, debe definir su propio grupo de reglas, definir la regla dentro de él y, a continuación, utilizar el grupo de reglas en la política.
Para obtener información sobre AWS WAF las políticas de Firewall Manager, consulte[Uso de AWS WAF políticas con Firewall Manager](waf-policies.md).
**Para crear una política de Firewall Manager para AWS WAF (consola)**
1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).
1. Elija **Crear política**.
1. Para **Policy type** (Tipo de política), seleccione **AWS WAF**.
1. En **Región**, elija una Región de AWS. Para proteger CloudFront las distribuciones de Amazon, elige **Global**.
Para proteger los recursos en varias regiones (distintas de CloudFront las distribuciones), debe crear políticas de Firewall Manager independientes para cada región.
1. Elija **Siguiente**.
1. En **Nombre de política**, introduzca un nombre descriptivo. Firewall Manager incluye el nombre de la política en los nombres de la web ACLs que administra. Los nombres de las ACL web `FMManagedWebACLV2-` van seguidos del nombre de la política que se introduce aquí, `-`, y de la marca temporal de creación de las ACL web, en milisegundos UTC. Por ejemplo, `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`.
1. Para **inspeccionar el cuerpo de las solicitudes web**, si lo desea, puede cambiar el límite de tamaño corporal. Para obtener información sobre los límites de tamaño para la inspección corporal, incluidas las consideraciones de precio, consulte [Consideraciones para gestionar la inspección corporal en AWS WAF](web-acl-setting-body-inspection-limit.md) en la *Guía para desarrolladores de AWS WAF *.
1. En **Reglas de política**, agregue los grupos de reglas que desee AWS WAF evaluar primero y último en la ACL web. Para usar el control de versiones de grupos de reglas AWS WAF administrado, active la opción **Habilitar** el control de versiones. Los administradores de cuentas individuales pueden agregar reglas y grupos de reglas entre los primeros grupos de reglas y los últimos grupos de reglas. Para obtener más información sobre el uso de grupos de AWS WAF reglas en las políticas del Firewall Manager AWS WAF, consulte[Uso de AWS WAF políticas con Firewall Manager](waf-policies.md).
(Opcional) Para personalizar la forma en que su ACL web utiliza el grupo de reglas, seleccione **Editar**. A continuación se muestra la configuración de personalización común:
+ En el caso de los grupos de reglas administradas, anule las acciones de las reglas para algunas o todas las reglas. Si no define una acción de anulación para una regla, la evaluación utiliza la acción de la regla que está definida dentro del grupo de reglas. Para obtener información acerca de esta opción, consulte [Supervisar las acciones de un grupo de reglas en AWS WAF](web-acl-rule-group-override-options.md) en la *Guía para desarrolladores de AWS WAF *.
+ Algunos grupos de reglas administradas requieren que se proporcione una configuración adicional. Consulte la documentación de su proveedor de grupos de reglas administradas. Para obtener información específica sobre los grupos de reglas de reglas AWS administradas, consulte [AWS Reglas administradas para AWS WAF](aws-managed-rule-groups.md) la *Guía para AWS WAF desarrolladores*.
Cuando haya terminado con la configuración, seleccione **Guardar regla**.
1. Establezca la acción predeterminada para la ACL web. Esta es la acción que realiza el AWS WAF cuando una solicitud web no coincide con ninguna de las reglas de la ACL web. Puede añadir encabezados personalizados con la acción **Permitir** o respuestas personalizadas para la acción **Bloquear**. Para obtener más información acerca de las acciones ACL web predeterminadas, consulte [Configuración de la acción predeterminada del paquete de protección (ACL web) en AWS WAF](web-acl-default-action.md). Para obtener información sobre cómo configurar las solicitudes y respuestas web personalizadas, consulte [Solicitudes y respuestas web personalizadas en AWS WAF](waf-custom-request-response.md).
1. Para la **configuración del registro**, seleccione **Habilitar el registro** para activar el registro. El registro ofrece obtener información detallada sobre el tráfico que analiza su ACL web. Seleccione el **destino del registro** y, a continuación, seleccione el destino del registro que haya configurado. Debe elegir un destino de registro cuyo nombre comience con `aws-waf-logs-`. Para obtener información sobre la configuración de un destino de AWS WAF registro, consulte[Uso de AWS WAF políticas con Firewall Manager](waf-policies.md).
1. (Opcional) Si no desea determinados campos y sus valores incluidos en los registros, redacte esos campos. Elija el campo que se va a redactar y, a continuación, elija **Add (Añadir)**. Repita según sea necesario para redactar campos adicionales. Los campos redactados aparecen como `REDACTED` en los registros. Por ejemplo, si redacta el campo **URI**, el campo **URI** de los registros será `REDACTED`.
1. (Opcional) Si no desea enviar todas las solicitudes a los registros, agregue sus criterios de filtrado y su comportamiento. En **Filtrar registros**, para cada filtro que desee aplicar, elija **Agregar filtro** y, a continuación, elija sus criterios de filtrado y especifique si desea conservar o eliminar las solicitudes que coincidan con los criterios. Cuando termine de agregar los filtros, si es necesario, modifique el **comportamiento de registro predeterminado**. Para obtener más información, consulte [Cómo encontrar los registros de su paquete de protección (ACL web)](logging-management.md) en la *Guía para desarrolladores de AWS WAF *.
1. Puede definir una **lista de dominios de token** para permitir el intercambio de tokens entre aplicaciones protegidas. Los tokens los utilizan las Challenge acciones CAPTCHA y la integración de aplicaciones SDKs que se implementan cuando se utilizan los grupos de reglas de reglas AWS gestionadas para el control del AWS WAF fraude, la prevención de apropiación de cuentas (ATP) y el control de AWS WAF bots.
No se admiten sufijos públicos. Por ejemplo, no puede usar `gov.au` o `co.uk` como dominio de token.
De forma predeterminada, solo AWS WAF acepta los tokens del dominio del recurso protegido. Si agrega dominios simbólicos a esta lista, AWS WAF acepta los tokens para todos los dominios de la lista y para el dominio del recurso asociado. Para obtener más información, consulte [AWS WAF configuración de la lista de dominios simbólicos del paquete de protección (ACL web)](waf-tokens-domains.md#waf-tokens-domain-lists) en la *Guía para desarrolladores de AWS WAF *.
Solo puede cambiar el CAPTCHA de la ACL web y desafiar los **tiempos de inmunidad** al editar una ACL web existente. Puede encontrar esta configuración en la página de **Detalles de las políticas** del Firewall Manager. Para obtener más información sobre esta configuración, consulte [Establecer los tiempos de caducidad de las marcas de tiempo y de inmunidad de los tokens en AWS WAF](waf-tokens-immunity-times.md). Si actualiza la **configuración de la asociación**, el **CAPTCHA**, el **desafío** o la **lista de dominios de token** en una política existente, Firewall Manager sobrescribirá la web local ACLs con los nuevos valores. Sin embargo, si no actualiza la **configuración de asociación**, el **CAPTCHA**, el **desafío** o la **lista de dominios de token** de la política, los valores de su web local permanecerán sin cambios. ACLs Para obtener información acerca de esta opción, consulte [CAPTCHAy Challenge en AWS WAF](waf-captcha-and-challenge.md) en la *Guía para desarrolladores de AWS WAF *.
1. En **Administración de la ACL web**, elija cómo Firewall Manager administra la creación y limpieza de la ACL web.
1. En **Administrar la web no asociada ACLs**, elija si el Firewall Manager administra la web no asociada. ACLs Con esta opción, Firewall Manager crea la web ACLs para las cuentas incluidas en el ámbito de la política solo si la ACLs va a utilizar al menos un recurso. Cuando una cuenta entra en el alcance de la política, Firewall Manager crea automáticamente una ACL web en la cuenta si al menos un recurso utilizará la ACL web.
Al activar esta opción, el Firewall Manager realiza una limpieza única de la web no asociada de su ACLs cuenta. El proceso de limpieza puede tardar varias horas. Si un recurso sale del alcance de la política después de que el Firewall Manager haya creado una ACL web, Firewall Manager disociará el recurso de la ACL web, pero no realizará la limpieza de la ACL web no asociada. Firewall Manager solo limpia la web no asociada ACLs cuando habilita por primera vez la administración de la web no asociada ACLs en la política.
1. Para la **fuente de ACL web**, especifique si desea crear una web ACLs completamente nueva para los recursos incluidos en el ámbito de aplicación o si desea modernizar la web existente siempre que sea posible. ACLs Firewall Manager puede modernizar sitios web ACLs que sean propiedad de cuentas integradas.
El comportamiento predeterminado es crear una web completamente nueva. ACLs Si elige esta opción, todas las páginas web ACLs administradas por Firewall Manager tendrán nombres que comiencen por`FMManagedWebACLV2`. Si decide modernizar la web existente ACLs, la web actualizada ACLs tendrá sus nombres originales y las creadas por Firewall Manager tendrán nombres que comiencen por. `FMManagedWebACLV2`
1. Para la **acción política**, si desea crear una ACL web en cada cuenta aplicable de la organización, pero no aplicar la ACL web a ningún recurso todavía, elija **Identificar los recursos que no cumplan con las reglas de la política, pero que no se corrijan automáticamente y no elija Administrar** **una web no asociada**. ACLs Puede cambiar estas opciones más adelante.
Si, en su lugar, desea aplicar automáticamente la política a los recursos existentes dentro del ámbito, elija **Auto remediate any noncompliant resources (Solucionar automáticamente los recursos no conformes)**. Si la opción **Administrar la web no asociada ACLs** **está deshabilitada, la opción Corregir automáticamente cualquier recurso no compatible** crea una ACL web en cada cuenta aplicable de la organización y asocia la ACL web a los recursos de las cuentas. Si la opción **Administrar la web no asociada ACLs** está habilitada, la opción **Corregir automáticamente cualquier recurso que no cumpla con las normas** solo crea y asocia una ACL web en las cuentas que tienen recursos aptos para asociarse a la ACL web.
Si elige **Corregir automáticamente cualquier recurso no conforme**, también puede optar por eliminar las asociaciones de ACL web existentes de los recursos incluidos en el ámbito, para la web, ACLs que no estén gestionados por otra política activa de Firewall Manager. Si elige este opción, Firewall Manager asociará primero la ACL web de la política con los recursos y después quitará las asociaciones anteriores. Si un recurso tiene una asociación con otra ACL web administrada por una política de Firewall Manager activa diferente, esta opción no afectará a esa asociación.
1. Elija **Siguiente**.
1. En **Cuentas de AWS a las que se aplica esta política**, elija la opción de la siguiente manera:
+ Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada, **Incluir todas las cuentas de mi organización. AWS **
+ Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona **Incluir solo las cuentas y unidades organizativas especificadas** y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.
+ Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija **Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás** y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.
Solo puede elegir una de las opciones.
Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundarios OUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.
1. En **Resource type (Tipo de recurso)**, elija los tipos de recurso que desea proteger.
1. En **Recursos**, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).
Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.
1. Elija **Siguiente**.
1. En **Etiquetas de políticas**, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte [Trabajar con Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).
1. Elija **Siguiente**.
1. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio.
Cuando esté satisfecho con la política, elija **Crear política**. En el panel de **políticas de AWS Firewall Manager **, su política debe aparecer en la lista. Probablemente, indicará **Pendiente** bajo los encabezados de las cuentas e indicará el estado de la configuración **Corrección automática**. La creación de una política puede tardar varios minutos. Después de reemplazar el estado **Pending (Pendiente)** por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte [Visualización de la información de cumplimiento de una AWS Firewall Manager política](fms-compliance.md)
## Crear una AWS Firewall Manager política para la AWS WAF versión clásica
**Para crear una política de Firewall Manager para AWS WAF Classic (consola)**
1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).
1. Elija **Crear política**.
1. En **Policy type (Tipo de política)**, seleccione **AWS WAF Classic**.
1. Si ya creó el grupo de reglas AWS WAF clásico que desea agregar a la política, elija **Crear una AWS Firewall Manager política y agregar los grupos de reglas existentes**. Si desea crear un nuevo grupo de reglas, elija **Crear una política de Firewall Manager y agregar un nuevo grupo de reglas**.
1. En **Región**, elija una Región de AWS. Para proteger CloudFront los recursos de Amazon, elige **Global**.
Para proteger los recursos de varias regiones (distintas de CloudFront los recursos), debe crear políticas de Firewall Manager independientes para cada región.
1. Elija **Siguiente**.
1. Si está creando un grupo de reglas, siga las instrucciones de [Creación de un grupo de reglas AWS WAF clásico](classic-create-rule-group.md). Después de crear el grupo de reglas, continúe con los pasos siguientes.
1. Escriba un nombre para la política.
1. Si agrega a un grupo de reglas existente, utilice el menú desplegable para seleccionar un grupo de reglas al que agregar y, a continuación, elija **Add rule group (Agregar grupo de reglas)**.
1. Una política dispone de dos posibles acciones: **Action set by rule group** (Acción establecida por el grupo de reglas) y **Count** (Contar). Si desea probar la política y el grupo de reglas, establezca la acción en **Count** (Contar). Esta acción anula cualquier acción de *bloqueo* especificada por las reglas en el grupo de reglas. Es decir, si la acción de la política está establecida en **Count** (Contar), las solicitudes solo se contabilizan y no se bloquean. Por el contrario, si establece la acción de la política en **Action set by rule group (Acción establecida por el grupo de reglas)**, se utilizan las acciones del grupo de reglas. Elija la acción apropiada.
1. Elija **Siguiente**.
1. En **Cuentas de AWS a las que se aplica esta política**, elija la opción de la siguiente manera:
+ Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada, **Incluir todas las cuentas de mi AWS organización**.
+ Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona **Incluir solo las cuentas y unidades organizativas especificadas** y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.
+ Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija **Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás** y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.
Solo puede elegir una de las opciones.
Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundarios OUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.
1. Elija el tipo de recurso que desea proteger.
1. En **Recursos**, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).
Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.
1. Si desea aplicar automáticamente la política a los recursos existentes, elija **Create and apply this policy to existing and new resources** (Crear y aplicar esta política a los recursos nuevos y existentes).
Esta opción crea una ACL web en cada cuenta aplicable de una organización de AWS y asocia la ACL web a los recursos en las cuentas. Esta opción también aplica la política a todos los nuevos recursos que coinciden con los criterios precedentes (tipo de recurso y etiquetas). Por otro lado, si elige **Create policy but do not apply the policy to existing or new resources (Crear política pero no aplicarla a los recursos nuevos o existentes)**, Firewall Manager crea una ACL web en todas las cuentas de la organización que cumplen los requisitos necesarios, pero no la aplica a ningún recurso. Deberá aplicar la política a los recursos posteriormente. Elija la opción apropiada.
1. En el caso de **Reemplazar la web asociada existente ACLs**, puede optar por eliminar cualquier asociación de ACL web que esté definida actualmente para los recursos incluidos en el ámbito de aplicación y, a continuación, sustituirla por asociaciones a la web ACLs que vaya a crear con esta política. De forma predeterminada, Firewall Manager no elimina las asociaciones de ACL web existentes antes de agregar las nuevas. Si desea eliminar las existentes, seleccione esta opción.
1. Elija **Siguiente**.
1. Revise la nueva política. Para realizar cualquier cambio, elija **Edit** (Editar). Cuando esté satisfecho con la política, elija **Create and apply policy** (Crear y aplicar política).
## Crear una AWS Firewall Manager política para AWS Shield Advanced
**Creación de una política de Firewall Manager para Shield Avanzado (consola)**
1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).
1. Elija **Crear política**.
1. Para **Tipo de política**, seleccione **Shield Avanzado**.
Para crear una política de Shield Avanzado, debe estar suscrito a Shield Avanzado. Se le pedirá que se suscriba si no lo ha hecho ya. Para obtener información sobre el coste de la suscripción, consulte [Precios de AWS Shield Advanced](https://aws.amazon.com/shield/pricing/).
1. En **Región**, elija una Región de AWS. Para proteger CloudFront las distribuciones de Amazon, elige **Global**.
En las opciones de región que no sean **Global**, para proteger recursos en varias regiones, debe crear una política de Firewall Manager independiente para cada región.
1. Elija **Siguiente**.
1. En **Nombre**, introduzca un nombre descriptivo.
1. Solo para las políticas de la región **global**, puede elegir si desea administrar la mitigación automática de la capa DDo S de aplicaciones de Shield Advanced. Para obtener información acerca de esta característica de Shield Avanzado, consulte [Automatizar la mitigación de la capa DDo S de aplicación con Shield Advanced](ddos-automatic-app-layer-response.md).
Puede elegir habilitar o deshabilitar la mitigación automática, o puede elegir ignorarla. Si decide ignorarla, Firewall Manager no administra en absoluto la mitigación automática de las protecciones Shield Avanzado. Para obtener más información sobre estas opciones de la política, consulte [Uso de la mitigación automática de la capa DDo S de aplicaciones con políticas avanzadas de Firewall Manager Shield](shield-policies-auto-app-layer-mitigation.md).
1. En la **administración de ACL web**, si desea que Firewall Manager administre la web no asociada ACLs, habilite **Administrar la web no asociada**. ACLs Con esta opción, Firewall Manager crea la web ACLs en las cuentas incluidas en el ámbito de la política solo si la ACLs va a utilizar al menos un recurso. Si en algún momento, una cuenta entra en el alcance de la política, Firewall Manager crea automáticamente una ACL web en la cuenta si al menos un recurso utilizará la ACL web. Al activar esta opción, el Firewall Manager realiza una limpieza única de la web ACLs no asociada de su cuenta. El proceso de limpieza puede tardar varias horas. Si un recurso sale del alcance de la política después de que el Firewall Manager haya creado una ACL web, el Firewall Manager no disociará el recurso de la ACL web. **Para incluir la ACL web en la limpieza de una sola vez, primero debe desasociar manualmente los recursos de la ACL web y, a continuación, activar la opción Administrar la web no asociada. ACLs**
1. En **Acción de la política**, se recomienda crear la política con la opción que no corrige automáticamente los recursos no compatibles. Al deshabilitar la solución automática, puede evaluar los efectos de la nueva política antes de aplicarla. Cuando esté seguro de que los cambios son lo que desea, edite la política y cambie la acción de la política para habilitar la corrección automática.
Si, en su lugar, desea aplicar automáticamente la política a los recursos existentes dentro del ámbito, elija **Auto remediate any noncompliant resources (Solucionar automáticamente los recursos no conformes)**. Esta opción aplica las protecciones Shield Advanced a cada cuenta aplicable de la AWS organización y a cada recurso aplicable de las cuentas.
Solo para las políticas de la región **global**, si elige **Corregir automáticamente cualquier recurso que no cumpla con** las normas, también puede optar por que Firewall Manager sustituya automáticamente cualquier asociación de ACL web AWS WAF clásica existente por nuevas asociaciones a la web ACLs que se hayan creado con la última versión de AWS WAF (v2). Si elige esta opción, Firewall Manager elimina las asociaciones con la versión web anterior ACLs y crea nuevas asociaciones con la última versión web ACLs, tras crear una nueva web vacía ACLs en todas las cuentas incluidas en el ámbito que aún no las tengan para la política. Para obtener más información acerca de esta opción, consulta [Sustituya la AWS WAF versión web ACLs clásica por la última versión web ACLs](shield-policies-auto-app-layer-mitigation.md#shield-policies-auto-app-layer-update-waf-version).
1. Elija **Siguiente**.
1. En **Cuentas de AWS a las que se aplica esta política**, elija la opción de la siguiente manera:
+ Si desea aplicar la política a todas las cuentas de su organización, mantenga la selección predeterminada **Incluir todas las cuentas de mi organización AWS **.
+ Si desea aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), elija **Incluir solo las cuentas y unidades organizativas especificadas** y, a continuación, agregue las cuentas OUs que desee incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.
+ Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija **Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás** y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.
Solo puede elegir una de las opciones.
Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundarios OUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.
1. Elija el tipo de recurso que desea proteger.
Firewall Manager no es compatible con Amazon Route 53 o AWS Global Accelerator. Si necesita utilizar Shield Avanzado para proteger recursos de estos servicios, no puede utilizar una política de Firewall Manager. En su lugar, siga las instrucciones de Shield Avanzado en [Añadir AWS Shield Advanced protección a AWS los recursos](configure-new-protection.md).
1. En **Recursos**, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).
Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.
1. Elija **Siguiente**.
1. En **Etiquetas de políticas**, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte [Trabajar con Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).
1. Elija **Siguiente**.
1. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio.
Cuando esté satisfecho con la política, elija **Crear política**. En el panel de **políticas de AWS Firewall Manager **, su política debe aparecer en la lista. Probablemente, indicará **Pendiente** bajo los encabezados de las cuentas e indicará el estado de la configuración **Corrección automática**. La creación de una política puede tardar varios minutos. Después de reemplazar el estado **Pending (Pendiente)** por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte [Visualización de la información de cumplimiento de una AWS Firewall Manager política](fms-compliance.md)
## Crear una política de grupo de seguridad AWS Firewall Manager común
Para obtener información sobre el funcionamiento de las políticas de grupos de seguridad comunes, consulte [Utilización de políticas del grupo de seguridad comunes con Firewall Manager](security-group-policies-common.md).
Para crear una política de grupo de seguridad común, debe tener un grupo de seguridad ya creado en la cuenta de administrador de Firewall Manager que desee utilizar como principal para la política. Puede administrar grupos de seguridad a través de Amazon Virtual Private Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon EC2). Para obtener información, consulte [Uso de grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) en la *Guía del usuario de Amazon VPC*.
**Para crear una política de grupo de seguridad común (consola)**
1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).
1. Elija **Crear política**.
1. En **Policy type (Tipo de política)**, elija **Security group (Grupo de seguridad)**.
1. En **Security group policy type (Tipo de política de grupo de seguridad)**, elija **Common security groups (Grupos de seguridad comunes)**.
1. En **Región**, elija una Región de AWS.
1. Elija **Siguiente**.
1. En **Policy name (Nombre de la política)**, escriba un nombre fácil de recordar.
1. En **Policy rules (Reglas de la política)**, haga lo siguiente:
1. En las opciones de reglas, elija las restricciones que desea aplicar a las reglas de grupo de seguridad y a los recursos que están dentro del ámbito de la política. Si elige **Distribuir etiquetas del grupo de seguridad principal a los grupos de seguridad creados por esta política**, también debe seleccionar **Identificar e informar cuando los grupos de seguridad creados por esta política dejen de cumplir las reglas**.
**importante**
Firewall Manager no distribuirá las etiquetas de sistema agregadas por AWS los servicios en los grupos de seguridad de réplica. Las etiquetas del sistema comienzan por el prefijo `aws:`. Además, Firewall Manager no actualizará las etiquetas de los grupos de seguridad existentes ni creará nuevos grupos de seguridad si la política tiene etiquetas que entren en conflicto con la política de etiquetas de la organización. Para obtener información sobre las políticas de etiquetas, consulte [las políticas de etiquetas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) en la Guía del AWS Organizations usuario.
Si elige **Distribuir las referencias a los grupos de seguridad del grupo de seguridad principal a los grupos de seguridad creados por esta política**, Firewall Manager solo distribuirá las referencias a los grupos de seguridad si tienen una conexión de pares activa en Amazon VPC. Para obtener más información acerca de esta opción, consulte [Utilización de políticas del grupo de seguridad comunes con Firewall Manager](security-group-policies-common.md).
1. Para **los grupos de seguridad principales**, seleccione **Agregar grupos de seguridad** y, a continuación, elija los grupos de seguridad que desea usar. Firewall Manager rellena la lista de grupos de seguridad de todas las instancias de Amazon VPC de la cuenta de administrador de Firewall Manager.
El número máximo predeterminado de grupos de seguridad principales por política es 3. Para obtener información sobre esta configuración, consulte [AWS Firewall Manager cuotas](fms-limits.md).
1. En **Policy action (Acción de la política)**, se recomienda crear la política sin la opción de corrección automática. Esto le permite evaluar los efectos de la nueva política antes de aplicarla. Cuando esté convencido de que los cambios son lo que desea, edite la política y cambie la acción de la política para habilitar la corrección automática de los recursos no conformes.
1. Elija **Siguiente**.
1. En **Cuentas de AWS a las que se aplica esta política**, elija la opción de la siguiente manera:
+ Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada, **Incluir todas las cuentas de mi AWS organización**.
+ Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona **Incluir solo las cuentas y unidades organizativas especificadas** y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.
+ Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija **Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás** y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.
Solo puede elegir una de las opciones.
Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundarios OUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.
1. En **Resource type (Tipo de recurso)**, elija los tipos de recurso que desea proteger.
Para el tipo de recurso **instancia de EC2**, puede optar por corregir todas las instancias de Amazon EC2 o solo las instancias que solo tengan la interfaz de red elástica (ENI) principal predeterminada. Para esta última opción, Firewall Manager no corrige las instancias que tienen adjuntos ENI adicionales. En cambio, cuando la corrección automática está habilitada, Firewall Manager solo marca el estado de conformidad de estas instancias de EC2 y no aplica ninguna acción de corrección. Consulte las advertencias y limitaciones adicionales para el tipo de recurso de Amazon EC2 en [Limitaciones y advertencias de las políticas de grupos de seguridad](security-group-policies.md#security-groups-limitations).
1. En **Recursos**, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).
Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.
1. En el caso de **los recursos de VPC compartidos**, si quieres aplicar la política a los recursos compartidos VPCs, además de los VPCs que poseen las cuentas, selecciona **Incluir recursos de los** compartidos. VPCs
1. Elija **Siguiente**.
1. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija **Create policy (Crear política)**.
Firewall Manager crea una réplica del grupo de seguridad principal en cada instancia de Amazon VPC contenida dentro de las cuentas pertinentes, hasta el límite máximo admitido de Amazon VPC por cuenta. Firewall Manager asocia los grupos de seguridad réplica a los recursos que están dentro del alcance de la política para cada cuenta pertinente. Para obtener más información sobre cómo funciona esta política, consulte [Utilización de políticas del grupo de seguridad comunes con Firewall Manager](security-group-policies-common.md).
## Crear una política de grupo de seguridad de auditoría de AWS Firewall Manager contenido
Para obtener información sobre el funcionamiento de las políticas de grupos de seguridad de auditoría de contenido, consulte [Utilización de las políticas del grupo de seguridad de auditoría del contenido con Firewall Manager](security-group-policies-audit.md).
Para algunas configuraciones de políticas de auditoría de contenido, debe proporcionar un grupo de seguridad de auditoría para que Firewall Manager lo utilice como plantilla. Por ejemplo, puede tener un grupo de seguridad de auditoría que contenga todas las reglas que no permite en ningún grupo de seguridad. Debe crear estos grupos de seguridad de auditoría con su cuenta de administrador de Firewall Manager para poder usarlos en su política. Puede administrar grupos de seguridad a través de Amazon Virtual Private Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon EC2). Para obtener información, consulte [Uso de grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) en la *Guía del usuario de Amazon VPC*.
**Para crear una política de grupo de seguridad de auditoría de contenido (consola)**
1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).
1. Elija **Crear política**.
1. En **Policy type (Tipo de política)**, elija **Security group (Grupo de seguridad)**.
1. En **Security group policy type (Tipo de política de grupo de seguridad)**, elija **Auditing and enforcement of security group rules (Auditoría y aplicación de reglas de grupo de seguridad)**.
1. En **Región**, elija una Región de AWS.
1. Elija **Siguiente**.
1. En **Policy name (Nombre de la política)**, escriba un nombre fácil de recordar.
1. En **Reglas de política**, elija la opción de reglas de política administradas o personalizadas que desee usar.
1. En **Configurar las reglas de políticas de auditoría administradas**, haga lo siguiente:
1. En **Configurar las reglas de los grupos de seguridad para auditar**, seleccione el tipo de reglas del grupo de seguridad al que desea que se aplique la política de auditoría.
1. Si desea realizar tareas como auditar las reglas en función de los protocolos, los puertos y la configuración del rango de CIDR de sus grupos de seguridad, seleccione **Auditar las reglas de los grupos de seguridad excesivamente permisivas** y seleccione las opciones que desee.
Para hacer la selección de **Regla que permite todo el tráfico**, puede proporcionar una lista de aplicaciones personalizada para designar las aplicaciones que desea auditar. Para obtener información sobre las listas de aplicaciones personalizadas y cómo utilizarlas en su política, consulte [Uso de listas administradas](working-with-managed-lists.md) y [Uso de listas administradas](working-with-managed-lists.md#using-managed-lists).
Para las selecciones que utilizan listas de protocolos, puede utilizar las listas existentes y crear listas nuevas. Para obtener información sobre las listas de protocolos y cómo utilizarlas en su política, consulte [Uso de listas administradas](working-with-managed-lists.md) y [Uso de listas administradas](working-with-managed-lists.md#using-managed-lists).
1. Si desea auditar aplicaciones de alto riesgo en función de su acceso a rangos de CIDR reservados o no reservados, seleccione **Auditar aplicaciones de alto riesgo** y seleccione las opciones que desee.
Las siguientes selecciones se excluyen mutuamente: **Aplicaciones que solo pueden acceder a rangos de CIDR reservados** y **Aplicaciones que pueden acceder a rangos de CIDR no reservados**. Puede seleccionar como máximo una de ellas en cualquier política.
Para las selecciones que utilizan listas de aplicaciones, puede utilizar las listas existentes y crear listas nuevas. Para obtener información sobre las listas de aplicaciones y cómo utilizarlas en su política, consulte [Uso de listas administradas](working-with-managed-lists.md) y [Uso de listas administradas](working-with-managed-lists.md#using-managed-lists).
1. Utilice la configuración de **Anulaciones** para anular de forma explícita otras configuraciones de la política. Puede optar por permitir siempre o denegar siempre reglas de grupos de seguridad específicos, independientemente de si cumplen con las demás opciones que haya establecido para la política.
Para esta opción, proporcione un grupo de seguridad de auditoría como plantilla de reglas permitidas o reglas rechazadas. Para los **grupos de seguridad de auditoría**, seleccione **Agregar grupo de seguridad de auditoría** y, a continuación, elija el grupo de seguridad que desea usar. Firewall Manager rellena la lista de grupos de seguridad de auditoría de todas las instancias de Amazon VPC de la cuenta de administrador de Firewall Manager. La cuota máxima predeterminada en el número de grupos de seguridad de auditoría para una política es uno. Para obtener información sobre cómo aumentar la cuota, consulte [AWS Firewall Manager cuotas](fms-limits.md).
1. En **Configurar reglas de política personalizadas**, haga lo siguiente:
1. En las opciones de reglas, elija si desea permitir solo las reglas definidas en los grupos de seguridad de auditoría o denegar todas las reglas. Para obtener información sobre esta opción, consulte [Utilización de las políticas del grupo de seguridad de auditoría del contenido con Firewall Manager](security-group-policies-audit.md).
1. Para los **grupos de seguridad de auditoría**, seleccione **Agregar grupo de seguridad de auditoría** y, a continuación, elija el grupo de seguridad que desea usar. Firewall Manager rellena la lista de grupos de seguridad de auditoría de todas las instancias de Amazon VPC de la cuenta de administrador de Firewall Manager. La cuota máxima predeterminada en el número de grupos de seguridad de auditoría para una política es uno. Para obtener información sobre cómo aumentar la cuota, consulte [AWS Firewall Manager cuotas](fms-limits.md).
1. En **Policy action (Acción de la política)**, debe crear la política sin la opción de corrección automática. Esto le permite evaluar los efectos de la nueva política antes de aplicarla. Cuando esté convencido de que los cambios son lo que desea, edite la política y cambie la acción de la política para habilitar la corrección automática de los recursos no conformes.
1. Elija **Siguiente**.
1. En **Cuentas de AWS a las que se aplica esta política**, elija la opción de la siguiente manera:
+ Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada, **Incluir todas las cuentas de mi AWS organización**.
+ Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona **Incluir solo las cuentas y unidades organizativas especificadas** y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.
+ Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija **Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás** y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.
Solo puede elegir una de las opciones.
Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundarios OUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.
1. En **Resource type (Tipo de recurso)**, elija los tipos de recurso que desea proteger.
1. En **Recursos**, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).
Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.
1. Elija **Siguiente**.
1. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija **Create policy (Crear política)**.
Firewall Manager compara el grupo de seguridad de auditoría con los grupos de seguridad dentro del ámbito de la organización de AWS , según la configuración de las reglas de su política. Puede revisar el estado de la política en la consola AWS Firewall Manager de políticas. Una vez creada la política, puede editarla y habilitar la corrección automática para aplicar su política de grupo de seguridad de auditoría. Para obtener más información sobre cómo funciona esta política, consulte [Utilización de las políticas del grupo de seguridad de auditoría del contenido con Firewall Manager](security-group-policies-audit.md).
## Crear una política de grupo de seguridad de auditoría de AWS Firewall Manager uso
Para obtener información sobre el funcionamiento de las políticas de grupos de seguridad de auditoría de uso, consulte [Uso de políticas del grupo de seguridad de auditoría de uso con Firewall Manager](security-group-policies-usage.md).
**Para crear una política de grupo de seguridad de auditoría de uso (consola)**
1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).
1. Elija **Crear política**.
1. En **Policy type (Tipo de política)**, elija **Security group (Grupo de seguridad)**.
1. En **Tipo de política de grupo de seguridad**, elija **Auditoría y eliminación de grupos de seguridad redundantes y no asociados**.
1. En **Región**, elija una Región de AWS.
1. Elija **Siguiente**.
1. En **Policy name (Nombre de la política)**, escriba un nombre fácil de recordar.
1. En **Policy rules (Reglas de la política)**, elija una o ambas opciones disponibles.
+ Si elige **Los grupos de seguridad dentro del alcance de esta política deben ser utilizados por al menos un recurso**, Firewall Manager elimina los grupos de seguridad que determine que no se utilizan. Si habilita esta regla, Firewall Manager la ejecuta en último lugar vez cuando guarde la política.
Para obtener más información acerca de cómo Firewall Manager determina el uso y el momento de la corrección, consulte [Uso de políticas del grupo de seguridad de auditoría de uso con Firewall Manager](security-group-policies-usage.md).
**nota**
Cuando utilice este tipo de política de auditoría de uso de los grupos de seguridad, evite hacer varios cambios en el estado de asociación de los grupos de seguridad incluidos en el ámbito de aplicación en poco tiempo. Si lo hace, es posible que Firewall Manager se saltee los eventos correspondientes.
De forma predeterminada, Firewall Manager considera a los grupos de seguridad no conformes con esta regla de políticas si no se utilizan durante un tiempo. Opcionalmente, puede especificar una cantidad de minutos en los que un grupo de seguridad puede existir sin utilizarse antes de que se considere no conforme, hasta 525 600 minutos (365 días). Puede utilizar esta configuración para disponer de tiempo para asociar nuevos grupos de seguridad a los recursos.
**importante**
Si especifica una cantidad de minutos distinta del valor predeterminado de cero, debe habilitar las relaciones indirectas en AWS Config. De lo contrario, las políticas de los grupos de seguridad de auditoría de uso no funcionarán según lo previsto. Para obtener información sobre las relaciones indirectas en AWS Config, consulte [Relaciones indirectas AWS Config en](https://docs.aws.amazon.com/config/latest/developerguide/faq.html#faq-2) la *Guía para AWS Config desarrolladores*.
+ Si elige **Los grupos de seguridad dentro del alcance de esta política deben ser únicos**, Firewall Manager consolida los grupos de seguridad redundantes, de modo que solo uno está asociado a los recursos. Si elige esta opción, Firewall Manager lo ejecuta en primer lugar cuando guarde la política.
1. En **Policy action (Acción de la política)**, se recomienda crear la política sin la opción de corrección automática. Esto le permite evaluar los efectos de la nueva política antes de aplicarla. Cuando esté convencido de que los cambios son lo que desea, edite la política y cambie la acción de la política para habilitar la corrección automática de los recursos no conformes.
1. Elija **Siguiente**.
1. En **Cuentas de AWS a las que se aplica esta política**, elija la opción de la siguiente manera:
+ Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada, **Incluir todas las cuentas de mi AWS organización**.
+ Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona **Incluir solo las cuentas y unidades organizativas especificadas** y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.
+ Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija **Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás** y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.
Solo puede elegir una de las opciones.
Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundarios OUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.
1. En **Recursos**, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).
Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.
1. Elija **Siguiente**.
1. Si no ha excluido la cuenta de administrador de Firewall Manager del ámbito de la política, Firewall Manager le pedirá que lo haga. Al hacerlo, los grupos de seguridad de la cuenta de administrador de Firewall Manager que utiliza para políticas de grupos de seguridad comunes y de auditoría quedan bajo su control manual. Elija la opción que desee en este diálogo.
1. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija **Create policy (Crear política)**.
Si decide exigir grupos de seguridad únicos, Firewall Manager busca grupos de seguridad redundantes en cada instancia de Amazon VPC pertinente. A continuación, si decide exigir que cada grupo de seguridad sea utilizado por al menos un recurso, Firewall Manager busca grupos de seguridad que no se han utilizado durante los minutos especificados en la regla. Puede revisar el estado de la política en la consola AWS Firewall Manager de políticas. Para obtener más información sobre cómo funciona esta política, consulte [Uso de políticas del grupo de seguridad de auditoría de uso con Firewall Manager](security-group-policies-usage.md).
## Crear una política AWS Firewall Manager de ACL de red
Para obtener más información acerca de cómo funcionan las políticas de la ACL de red, consulte [Políticas de la ACL de red](network-acl-policies.md).
Para crear una política de la ACL de red, debe saber cómo definir una ACL de red para usarla con las subredes de Amazon VPC. Para obtener más información, consulte [Controlar el tráfico a las subredes mediante la red ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) y [Trabajar con la red ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) en la Guía del *usuario de Amazon VPC*.
**Para crear una política de la ACL de red (consola)**
1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).
1. Elija **Crear política**.
1. En **Tipo de política**, elija **ACL de red**.
1. En **Región**, elija una Región de AWS.
1. Elija **Siguiente**.
1. En **Nombre de política**, introduzca un nombre descriptivo.
1. En el **caso de las reglas de política**, defina las reglas que desee que se ejecuten siempre en la red ACLs que el Firewall Manager administra por usted. La red ACLs monitorea y gestiona el tráfico entrante y saliente, por lo que en tu política debes definir las reglas para ambas direcciones.
En cualquier dirección, se definen las reglas que quiera ejecutar siempre primero y las que se deben ejecutar siempre en último lugar. En la red ACLs que administra Firewall Manager, los propietarios de las cuentas pueden definir reglas personalizadas para que se ejecuten entre la primera y la última regla.
1. Para la **acción de política**, si desea identificar las subredes y redes que no cumplen con las normas ACLs, pero no tomar ninguna medida correctiva todavía, elija **Identificar los recursos que no cumplen con las reglas de la política, pero que no se corrigen automáticamente**. Puede cambiar estas opciones más adelante.
Si, en su lugar, desea aplicar automáticamente la política a los recursos existentes dentro del ámbito, elija **Solucionar automáticamente los recursos no conformes**. Con esta opción, también se especifica si se debe forzar la corrección cuando el comportamiento de las reglas de política en materia de administración del tráfico entre en conflicto con las reglas personalizadas que se encuentran en la ACL de la red. Independientemente de si fuerza o no una corrección, Firewall Manager informa sobre las reglas incompatibles en sus infracciones de conformidad.
1. Elija **Siguiente**.
1. En **Cuentas de AWS a las que se aplica esta política**, elija la opción de la siguiente manera:
+ Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada **Incluir todas las cuentas de mi organización. AWS **
+ Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona **Incluir solo las cuentas y unidades organizativas especificadas** y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.
+ Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija **Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás** y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.
Solo puede elegir una de las opciones.
Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva o diferente. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundarios OUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.
1. Para el **tipo de recurso**, la configuración está fija en **Subredes**.
1. En **Recursos**, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).
Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.
1. Elija **Siguiente**.
1. Revise la configuración de la política para asegurarse de que es lo que desea y, a continuación, elija **Create policy (Crear política)**.
Firewall Manager crea la política y comienza a monitorear y administrar la red de alcance de ACLs acuerdo con su configuración. Para obtener más información sobre cómo funciona esta política, consulte [Políticas de la ACL de red](network-acl-policies.md).
## Crear una AWS Firewall Manager política para AWS Network Firewall
En una política de Firewall Manager Network Firewall, se utilizan los grupos de reglas que se administran en AWS Network Firewall. Para obtener información sobre cómo administrar sus grupos de reglas, consulte [Grupos de reglas de AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html) en la *Guía para desarrolladores de Network Firewall*.
Para obtener información acerca de las políticas de Firewall Manager Network Firewall, consulte [Uso de AWS Network Firewall políticas en Firewall Manager](network-firewall-policies.md).
**Para crear una política de Firewall Manager para AWS Network Firewall (consola)**
1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).
1. Elija **Crear política**.
1. Para **Policy type** (Tipo de política), seleccione **AWS Network Firewall**.
1. En **Tipo de administración del firewall**, elija cómo desea que Firewall Manager administre los firewalls de la política. Puede elegir entre las siguientes opciones:
+ **Distribuido**: Firewall Manager crea y mantiene puntos de conexión de firewall en cada VPC que se encuentra dentro del alcance de la política.
+ **Centralizado**: Firewall Manager crea y mantiene los puntos de conexión en una única VPC de inspección.
+ **Importar firewalls existentes**: Firewall Manager importa los firewalls existentes desde Network Firewall mediante conjuntos de recursos. Para obtener información acerca de los conjuntos de recursos, consulte [Agrupación de los recursos en Firewall Manager](fms-resource-sets.md).
1. En **Región**, elija una Región de AWS. Para proteger los recursos en varias regiones, debe crear políticas distintas para cada región.
1. Elija **Siguiente**.
1. En **Nombre de política**, introduzca un nombre descriptivo. Firewall Manager incluye el nombre de la política en los nombres de los firewalls de Network Firewall y las políticas de firewall que crea.
1. En la **política de configuración de AWS Network Firewall **, configure la política de firewall como lo haría en Network Firewall. Agregue sus grupos de reglas sin estado y con estado y especifique las acciones predeterminadas de la política. Si lo desea, puede establecer el orden de evaluación de las reglas con estado de la política y las acciones predeterminadas, así como la configuración de registro. Para obtener información sobre la administración de políticas de firewall de Network Firewall, consulte [Políticas de firewall AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html) en la *Guía para desarrolladores de AWS Network Firewall *.
Al crear la política de firewall de red de Firewall Manager Network Firewall, Firewall Manager crea políticas de firewall para las cuentas que están dentro del alcance. Los administradores de cuentas individuales pueden agregar grupos de reglas a las políticas de firewall, pero no pueden cambiar la configuración que proporciona aquí.
1. Elija **Siguiente**.
1. Realice una de las siguientes acciones, en función del **tipo de administración de firewall** que haya seleccionado en el paso anterior:
+ Si utiliza un tipo de administración de firewall **distribuido**, en **Configuración de punto de conexión de AWS Firewall Manager **, en **Ubicación del punto de conexión del firewall**, seleccione una de las siguientes opciones:
+ **Configuración de punto de conexión personalizada**: Firewall Manager crea firewalls para cada VPC dentro del alcance de la política, en las zonas de disponibilidad que especifique. Cada firewall contiene como mínimo un punto de conexión de firewall.
+ En **Zonas de disponibilidad**, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por **Nombre de la zona de disponibilidad** o por **ID de la zona de disponibilidad**.
+ Si desea proporcionar los bloques CIDR para que Firewall Manager los utilice en sus subredes de firewallVPCs, todos deben ser bloques CIDR de /28. Ingrese un bloque por línea. Si las omite, Firewall Manager elegirá por usted direcciones IP de entre las que están disponibles en. VPCs
**nota**
La corrección automática se realiza automáticamente para las políticas de AWS Firewall Manager Network Firewall, por lo que aquí no verá ninguna opción para elegir no realizar la corrección automática.
+ **Configuración automática de puntos de conexión**: Firewall Manager crea automáticamente puntos de conexión de firewall en las zonas de disponibilidad con subredes públicas en su VPC.
+ Para la configuración de los **puntos de conexión del firewall**, especifique cómo desea que Firewall Manager administre los puntos de conexión del firewall. Se recomienda utilizar varios puntos de conexión para una alta disponibilidad.
+ Si utiliza un tipo de administración de firewall **centralizada**, en **Configuración de punto de conexión de AWS Firewall Manager **, en **Configuración de VPC de inspección**, introduzca el ID de cuenta de AWS del propietario de la VPC de inspección y el ID de la VPC de inspección.
+ En **Zonas de disponibilidad**, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por **Nombre de la zona de disponibilidad** o por **ID de la zona de disponibilidad**.
+ Si desea proporcionar los bloques CIDR para que Firewall Manager los utilice en sus subredes de firewallVPCs, todos deben ser bloques CIDR de /28. Ingrese un bloque por línea. Si las omite, Firewall Manager elegirá por usted direcciones IP de entre las que están disponibles en. VPCs
**nota**
La corrección automática se realiza automáticamente para las políticas de AWS Firewall Manager Network Firewall, por lo que aquí no verá ninguna opción para elegir no realizar la corrección automática.
+ Si está utilizando un tipo de administración de firewalls de **importación de firewalls existentes**, en **Conjuntos de recursos**, agregue uno o más conjuntos de recursos. Un conjunto de recursos define los firewalls existentes de Network Firewall que pertenecen a la cuenta de su organización y que desea administrar de forma centralizada en esta política. Para añadir un conjunto de recursos a la política, primero debe crear un conjunto de recursos mediante la consola o la [PutResourceSet](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutResourceSet.html)API. Para obtener información acerca de los conjuntos de recursos, consulte [Agrupación de los recursos en Firewall Manager](fms-resource-sets.md). Para obtener más información sobre la importación de firewalls existentes desde Network Firewall, consulte[Cómo crea Firewall Manager los puntos de conexión del firewall](fms-create-firewall-endpoints.md).
1. Elija **Siguiente**.
1. Si su política utiliza un tipo de administración de firewall distribuido, en **Administración de rutas**, elija si Firewall Manager supervisará y alertará sobre el tráfico que debe enrutarse a través de los puntos de conexión de firewall respectivos.
**nota**
Si selecciona **Supervisar**, no podrá cambiar la configuración a **Desactivado** más adelante. La supervisión continúa hasta que elimine la política.
1. Para **Tipo de tráfico**, si lo desea, añada los puntos de conexión del tráfico por los que desee enrutar el tráfico para inspeccionar el firewall.
1. En el caso de **Permitir el tráfico entre zonas de disponibilidad obligatorio**, si habilita esta opción, Firewall Manager considerará compatible el enrutamiento que envía tráfico fuera de una Zona de Disponibilidad para su inspección, en las Zonas de Disponibilidad que no tienen su propio punto de conexión de firewall. Las zonas de disponibilidad que tienen puntos de conexión siempre deben inspeccionar su propio tráfico.
1. Elija **Siguiente**.
1. Para **Alcance de la política**, en **esta política se aplica a Cuentas de AWS **, elija la opción siguiente:
+ Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada, **Incluir todas las cuentas de mi AWS organización**.
+ Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona **Incluir solo las cuentas y unidades organizativas especificadas** y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.
+ Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija **Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás** y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.
Solo puede elegir una de las opciones.
Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundariosOUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.
1. El **Tipo de recurso** para las políticas de Network Firewall es **VPC**.
1. En **Recursos**, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).
Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.
1. Elija **Siguiente**.
1. En **Etiquetas de políticas**, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte [Trabajar con Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).
1. Elija **Siguiente**.
1. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio.
Cuando esté satisfecho con la política, elija **Crear política**. En el panel de **políticas de AWS Firewall Manager **, su política debe aparecer en la lista. Probablemente, indicará **Pendiente** bajo los encabezados de las cuentas e indicará el estado de la configuración **Corrección automática**. La creación de una política puede tardar varios minutos. Después de reemplazar el estado **Pending (Pendiente)** por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte [Visualización de la información de cumplimiento de una AWS Firewall Manager política](fms-compliance.md)
## Creación de una AWS Firewall Manager política para Amazon Route 53 Resolver DNS Firewall
En una política de DNS Firewall de Firewall Manager, utilice grupos de reglas que administra en Amazon Route 53 Resolver DNS Firewall. Para obtener información sobre la administración de sus grupos de reglas, consulte [Cómo administrar grupos de reglas y reglas en DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-group-managing.html) en la *Guía para desarrolladores de Amazon Route 53*.
Para obtener información acerca de las políticas de Firewall Manager DNS Firewall, consulte [Uso de las políticas de DNS Firewall de Amazon Route 53 Resolver en Firewall Manager](dns-firewall-policies.md).
**Creación de una política de Firewall Manager para Amazon Route 53 Resolver DNS Firewall (consola)**
1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).
1. Elija **Crear política**.
1. En **Tipo de política**, seleccione **Amazon Route 53 Resolver DNS Firewall**.
1. En **Región**, elija una Región de AWS. Para proteger los recursos en varias regiones, debe crear políticas distintas para cada región.
1. Elija **Siguiente**.
1. En **Nombre de política**, introduzca un nombre descriptivo.
1. En la configuración de políticas, añada los grupos de reglas que desee que el Firewall de DNS evalúe primero y en último lugar entre sus VPCs «asociaciones de grupos de reglas». Puede añadir hasta dos grupos de reglas a la política.
Al crear la política de firewall DNS de Firewall Manager, Firewall Manager crea las asociaciones de grupos de reglas, con las prioridades de asociación que haya proporcionado, para las cuentas VPCs y las que estén dentro del alcance. Los administradores de cuentas individuales pueden añadir asociaciones de grupos de reglas entre la primera y la última asociación, pero no pueden cambiar las asociaciones que defina aquí. Para obtener más información, consulte [Uso de las políticas de DNS Firewall de Amazon Route 53 Resolver en Firewall Manager](dns-firewall-policies.md).
1. Elija **Siguiente**.
1. En **Cuentas de AWS a las que se aplica esta política**, elija la opción de la siguiente manera:
+ Si desea aplicar la política a todas las cuentas de su organización, deje la selección predeterminada, **Incluir todas las cuentas de mi AWS organización**.
+ Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona **Incluir solo las cuentas y unidades organizativas especificadas** y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.
+ Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija **Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás** y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.
Solo puede elegir una de las opciones.
Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundariosOUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.
1. El **Tipo de recurso** para las políticas de DNS Firewall es **VPC**.
1. En **Recursos**, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).
Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.
1. Elija **Siguiente**.
1. En **Etiquetas de políticas**, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte [Trabajar con Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).
1. Elija **Siguiente**.
1. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio.
Cuando esté satisfecho con la política, elija **Crear política**. En el panel de **políticas de AWS Firewall Manager **, su política debe aparecer en la lista. Probablemente, indicará **Pendiente** bajo los encabezados de las cuentas e indicará el estado de la configuración **Corrección automática**. La creación de una política puede tardar varios minutos. Después de reemplazar el estado **Pending (Pendiente)** por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte [Visualización de la información de cumplimiento de una AWS Firewall Manager política](fms-compliance.md)
## Creación de una AWS Firewall Manager política para el NGFW en la nube de Palo Alto Networks
Con una política de Firewall Manager para el Firewall de próxima generación en la nube de Palo Alto Networks (Palo Alto Networks Cloud NGFW), puede usar Firewall Manager para implementar los recursos de NGFW en la nube de Palo Alto Networks y administrar las pilas de NGFW de forma centralizada en todas sus cuentas. AWS
Para obtener información sobre políticas de NGFW en la nube de Palo Alto Networks de Firewall Manager, consulte [El uso de políticas de Palo Alto Networks Cloud NGFW para Firewall Manager](cloud-ngfw-policies.md). Para obtener información sobre cómo configurar y administrar NGFW en la nube de Palo Alto Networks para Firewall Manager, consulte la documentación de *[NGFW en la nube de Palo Alto Networks en AWS](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)*.
### Requisitos previos
Existen varios pasos obligatorios para preparar su cuenta de AWS Firewall Manager. Estos pasos se describen en [AWS Firewall Manager requisitos previos](fms-prereq.md). Complete todos los requisitos previos antes de continuar con el siguiente paso.
**Creación de una política de Firewall Manager para NGFW en la nube de Palo Alto Networks (consola)**
1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).
1. Elija **Crear política**.
1. En **Tipo de política**, seleccione **Palo Alto Networks Cloud NGFW**. Si aún no te has suscrito al servicio NGFW en la nube de Palo Alto Networks en AWS Marketplace, tendrás que hacerlo primero. Para suscribirte en AWS Marketplace, selecciona **Ver detalles del AWS Marketplace**.
1. Para **Modelo de implementación**, elija **Modelo distribuido** o **Modelo centralizado**. El modelo de implementación determina la forma en que Firewall Manager administra los puntos de conexión de la política. Con el modelo distribuido, Firewall Manager mantiene los puntos de conexión del firewall en cada VPC que se encuentre dentro del ámbito de aplicación de la política. Con el modelo centralizado, Firewall Manager mantiene un único punto de conexión en una VPC de inspección.
1. En **Región**, selecciona una Región de AWS. Para proteger los recursos en varias regiones, debe crear políticas distintas para cada región.
1. Elija **Siguiente**.
1. En **Nombre de política**, introduzca un nombre descriptivo.
1. En la configuración de la política, elija la política de firewall de NGFW en la nube de Palo Alto Networks para asociarla a esta política. La lista de políticas de firewall de NGFW en la nube de Palo Alto Networks contiene todas las políticas de firewall de NGFW en la nube de Palo Alto Networks asociadas a su inquilino de NGFW en la nube de Palo Alto Networks. Para obtener información sobre cómo crear y administrar las políticas de firewall de NGFW en la nube de Palo Alto Networks, consulte la guía *[Implemente el NGFW en la nube de Palo Alto Networks, que incluye el AWS Firewall Manager tema en la AWS guía de implementación del NGFW](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/getting-started-with-cloud-ngfw-for-aws/deploy-cloud-ngfw-for-aws-with-the-aws-firewall-manager.html)* *en la nube de Palo Alto Networks*. AWS
1. En **Registro de Palo Alto Networks Cloud NGFW: opcional**, elija los tipos de registro de Palo Alto Networks Cloud NGFW que desee registrar para su política. *Para obtener información sobre los tipos de registro del NGFW en la nube de Palo Alto Networks, consulte [Configurar el registro del NGFW en la nube de Palo Alto Networks en la guía de despliegue del NGFW AWS en la nube](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/create-cloud-ngfw-instances-and-endpoints/configure-logging-for-the-cloud-ngfw-on-aws.html) de Palo Alto Networks. AWS *
En **Destino del registro**, especifique en qué momento Firewall Manager debe escribir los registros.
1. Elija **Siguiente**.
1. En **Configurar punto de conexión de firewall de terceros**, lleve a cabo una de las siguientes acciones, en función de si utiliza el modelo de implementación distribuido o centralizado para crear los puntos de conexión de firewall:
+ Si utiliza el modelo de implementación distribuida para esta política, en **Zonas de disponibilidad**, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por **Nombre de la zona de disponibilidad** o por **ID de la zona de disponibilidad**.
+ Si utiliza el modelo de implementación centralizada para esta política, en **Configuración de punto de conexión de AWS Firewall Manager ** de **Configuración de VPC de inspección**, introduzca el ID de cuenta de AWS del propietario de la VPC de inspección y el ID de VPC de la VPC de inspección.
+ En **Zonas de disponibilidad**, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por **Nombre de la zona de disponibilidad** o por **ID de la zona de disponibilidad**.
1. Si desea proporcionar los bloques CIDR para que Firewall Manager los utilice en sus subredes de firewallVPCs, todos deben ser bloques CIDR de /28. Ingrese un bloque por línea. Si las omite, Firewall Manager elegirá por usted direcciones IP de entre las que están disponibles en. VPCs
**nota**
La corrección automática se realiza automáticamente para las políticas de AWS Firewall Manager Network Firewall, por lo que aquí no verá ninguna opción para elegir no realizar la corrección automática.
1. Elija **Siguiente**.
1. Para **Alcance de la política**, en **esta política se aplica a Cuentas de AWS **, elija la opción siguiente:
+ Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada, **Incluir todas las cuentas de mi AWS organización**.
+ Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona **Incluir solo las cuentas y unidades organizativas especificadas** y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.
+ Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija **Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás** y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.
Solo puede elegir una de las opciones.
Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundariosOUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.
1. El **Tipo de recurso** para las políticas de Network Firewall es **VPC**.
1. En **Recursos**, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).
Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.
1. En **Conceder acceso entre cuentas**, seleccione **Descargar plantilla de CloudFormation **. Esto descarga una CloudFormation plantilla que puede usar para crear una CloudFormation pila. Esta pila crea un AWS Identity and Access Management rol que otorga permisos entre cuentas a Firewall Manager para administrar los recursos de NGFW en la nube de Palo Alto Networks. Para obtener información acerca de las pilas, consulte [Uso de pilas](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacks.html) en la *Guía del usuario de CloudFormation *.
1. Elija **Siguiente**.
1. En **Etiquetas de políticas**, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte [Trabajar con Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).
1. Elija **Siguiente**.
1. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio.
Cuando esté satisfecho con la política, elija **Crear política**. En el panel de **políticas de AWS Firewall Manager **, su política debe aparecer en la lista. Probablemente, indicará **Pendiente** bajo los encabezados de las cuentas e indicará el estado de la configuración **Corrección automática**. La creación de una política puede tardar varios minutos. Después de reemplazar el estado **Pending (Pendiente)** por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte [Visualización de la información de cumplimiento de una AWS Firewall Manager política](fms-compliance.md)
## Creación de una AWS Firewall Manager política para Fortigate Cloud Native Firewall (CNF) como servicio
Con una política de Firewall Manager para Fortigate CNF, puede usar Firewall Manager para implementar y administrar los recursos de Fortigate CNF en todas sus cuentas. AWS
Para obtener información acerca de las políticas de Firewall Manager Fortigate CNF, consulte [Uso de la política de las políticas de Fortigate Cloud Native Firewall (CNF) como servicio para Firewall Manager](fortigate-cnf-policies.md). Para obtener información sobre cómo configurar Fortigate CNF para su uso con Firewall Manager, consulte la [documentación de Fortinet]( https://docs.fortinet.com/product/fortigate-cnf ).
### Requisitos previos
Existen varios pasos obligatorios para preparar su cuenta de AWS Firewall Manager. Estos pasos se describen en [AWS Firewall Manager requisitos previos](fms-prereq.md). Complete todos los requisitos previos antes de continuar con el siguiente paso.
**Creación de una política de Firewall Manager para Fortigate CNF (consola)**
1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).
1. Elija **Crear política**.
1. Para **Tipo de política**, seleccione **Fortigate Cloud Native Firewall (CNF) como servicio**. Si aún no se ha suscrito al [servicio Fortigate CNF en el AWS Marketplace](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i), primero tendrá que hacerlo. Para suscribirte en AWS Marketplace, selecciona **Ver detalles del AWS Marketplace**.
1. Para **Modelo de implementación**, elija **Modelo distribuido** o **Modelo centralizado**. El modelo de implementación determina la forma en que Firewall Manager administra los puntos de conexión de la política. Con el modelo distribuido, Firewall Manager mantiene los puntos de conexión del firewall en cada VPC que se encuentre dentro del ámbito de aplicación de la política. Con el modelo centralizado, Firewall Manager mantiene un único punto de conexión en una VPC de inspección.
1. En **Región**, selecciona una Región de AWS. Para proteger los recursos en varias regiones, debe crear políticas distintas para cada región.
1. Elija **Siguiente**.
1. En **Nombre de política**, introduzca un nombre descriptivo.
1. En la configuración de la política, elija la política de firewall Fortigate CNF para asociarla a esta política. La lista de políticas de firewall de Fortigate CNF contiene todas las políticas de firewall de Fortigate CNF asociadas a su inquilino de Fortigate CNF. Para obtener información sobre cómo crear y administrar clientes de Fortigate CNF, consulte la [documentación de Fortinet.](https://docs.fortinet.com/product/fortigate-cnf)
1. Elija **Siguiente**.
1. En **Configurar punto de conexión de firewall de terceros**, lleve a cabo una de las siguientes acciones, en función de si utiliza el modelo de implementación distribuido o centralizado para crear los puntos de conexión de firewall:
+ Si utiliza el modelo de implementación distribuida para esta política, en **Zonas de disponibilidad**, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por **Nombre de la zona de disponibilidad** o por **ID de la zona de disponibilidad**.
+ Si utiliza el modelo de implementación centralizada para esta política, en **Configuración de punto de conexión de AWS Firewall Manager ** de **Configuración de VPC de inspección**, introduzca el ID de cuenta de AWS del propietario de la VPC de inspección y el ID de VPC de la VPC de inspección.
+ En **Zonas de disponibilidad**, seleccione en qué zonas de disponibilidad desea crear los puntos de conexión del firewall. Puede seleccionar las zonas de disponibilidad por **Nombre de la zona de disponibilidad** o por **ID de la zona de disponibilidad**.
1. Si desea proporcionar los bloques CIDR para que Firewall Manager los utilice en sus subredes de firewallVPCs, todos deben ser bloques CIDR de /28. Ingrese un bloque por línea. Si las omite, Firewall Manager elegirá por usted direcciones IP de entre las que están disponibles en. VPCs
**nota**
La corrección automática se realiza automáticamente para las políticas de AWS Firewall Manager Network Firewall, por lo que aquí no verá ninguna opción para elegir no realizar la corrección automática.
1. Elija **Siguiente**.
1. Para **Alcance de la política**, en **esta política se aplica a Cuentas de AWS **, elija la opción siguiente:
+ Si desea aplicar la política a todas las cuentas de su organización, deje la opción predeterminada, **Incluir todas las cuentas de mi AWS organización**.
+ Si quieres aplicar la política solo a cuentas específicas o a cuentas que se encuentran en unidades AWS Organizations organizativas específicas (OUs), selecciona **Incluir solo las cuentas y unidades organizativas especificadas** y, a continuación, agrega las cuentas OUs que desees incluir. Especificar una OU equivale a especificar todas las cuentas de la OU y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.
+ Si desea aplicar la política a todas las cuentas o unidades AWS Organizations organizativas excepto a un conjunto específico (OUs), elija **Excluir las cuentas y unidades organizativas especificadas e incluir todas las demás** y, a continuación, agregue las cuentas OUs que desee excluir. Especificar una unidad organizativa equivale a especificar todas las cuentas de la unidad organizativa y de cualquiera de sus cuentas secundarias OUs, incluidas las secundarias OUs y las cuentas que se agreguen posteriormente.
Solo puede elegir una de las opciones.
Después de aplicar la política, Firewall Manager evalúa automáticamente las cuentas nuevas en función de la configuración. Por ejemplo, si solo incluye cuentas específicas, Firewall Manager no aplica la política a ninguna cuenta nueva. Como otro ejemplo, si incluye una OU, cuando agrega una cuenta a la OU o a cualquiera de sus componentes secundariosOUs, Firewall Manager aplica automáticamente la política a la nueva cuenta.
1. El **Tipo de recurso** para las políticas de Network Firewall es **VPC**.
1. En **Recursos**, puede limitar el alcance de la política mediante el etiquetado, ya sea mediante la inclusión o la exclusión de los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, pero no ambas. Para obtener más información acerca de las etiquetas para definir el alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).
Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.
1. En **Conceder acceso entre cuentas**, seleccione **Descargar plantilla de CloudFormation **. Esto descarga una CloudFormation plantilla que puede usar para crear una CloudFormation pila. Esta pila crea un AWS Identity and Access Management rol que otorga permisos multicuenta al Administrador de Firewall para administrar los recursos de Fortigate CNF. Para obtener información acerca de las pilas, consulte [Uso de pilas](https://docs.aws.amazon.com/AWSCloudFormation/latest/gsg/stacks.html) en la *Guía del usuario de CloudFormation *. Para crear una pila, necesitará el ID de cuenta del portal de Fortigate CNF.
1. Elija **Siguiente**.
1. En **Etiquetas de políticas**, agregue las etiquetas de identificación que desee agregar para el recurso de la política de Firewall Manager. Para obtener más información sobre etiquetas, consulte [Trabajar con Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).
1. Elija **Siguiente**.
1. Revise la configuración nueva de la política y vuelva a las páginas en las que desee hacer algún cambio.
Cuando esté satisfecho con la política, elija **Crear política**. En el panel de **políticas de AWS Firewall Manager **, su política debe aparecer en la lista. Probablemente, indicará **Pendiente** bajo los encabezados de las cuentas e indicará el estado de la configuración **Corrección automática**. La creación de una política puede tardar varios minutos. Después de reemplazar el estado **Pending (Pendiente)** por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte [Visualización de la información de cumplimiento de una AWS Firewall Manager política](fms-compliance.md)
# Eliminar una AWS Firewall Manager política
Puede eliminar una política de Firewall Manager realizando los pasos que se describen a continuación.
**Para eliminar una política (consola)**
1. En el panel de navegación, seleccione **Security policies** (Políticas de seguridad).
1. Elija la opción situada junto a la política que desea eliminar.
1. Elija **Eliminar**.
**nota**
Cuando elimine una política de grupo de seguridad común de Firewall Manager, para quitar los grupos de seguridad de réplica de la política, elija la opción de eliminar los recursos creados por la política. De lo contrario, después de eliminar el principal, las réplicas permanecen y requerirán administración manual en cada instancia de Amazon VPC.
**importante**
Cuando elimina una política de Firewall Manager Shield Avanzado, la política se elimina, pero sus cuentas permanecen suscritas a Shield Avanzado.
# Uso del ámbito de aplicación AWS Firewall Manager de la política
En esta página, se explica cuál es el ámbito de la política de Firewall Manager y cómo funciona.
El alcance de la política define dónde se aplica la política. Puede aplicar políticas controladas de forma centralizada para lo siguiente:
+ Todas sus cuentas y recursos de su organización en AWS Organizations.
+ Un subconjunto de sus cuentas y recursos de su organización en AWS Organizations.
Para obtener instrucciones sobre cómo establecer el alcance de la política, consulte [Creación de una AWS Firewall Manager política](create-policy.md).
## Opciones de alcance de la política en AWS Firewall Manager
Cuando agrega una nueva cuenta o recurso a su organización, Firewall Manager lo evalúa automáticamente en función de su configuración para cada política y aplica la política en función de esta configuración. Por ejemplo, puede optar por aplicar una política a todas las cuentas excepto a los números de cuenta de una lista específica. Las etiquetas de recursos también se pueden usar para definir el alcance de la política. Puede optar por aplicar una política que excluya o incluya los recursos que tengan todas las etiquetas de una lista. Como alternativa, puede optar por aplicar una política solo a los recursos que tengan alguna etiqueta específica de una lista.
**Cuentas de AWS dentro del alcance**
La configuración que proporcione para definir a los Cuentas de AWS afectados por la política determinará a qué cuentas de su AWS organización se aplicará la política. Puede optar por aplicar la política de una de las siguientes maneras:
+ A todas las cuentas de la organización
+ Solo a una lista específica de números de cuenta y unidades AWS Organizations organizativas incluidos (OUs)
+ A todos excepto a una lista específica de números de cuenta y unidades AWS Organizations organizativas excluidas (OUs)
Para obtener información al respecto AWS Organizations, consulte la [Guía AWS Organizations del usuario](https://docs.aws.amazon.com/organizations/latest/userguide/).
**Recursos en el ámbito**
De manera similar a la configuración para las cuentas dentro del alcance, la configuración que proporcione para los recursos determina a qué tipos de recursos dentro del alcance se aplicará la política. Puede elegir una de las siguientes opciones:
+ Todos los recursos
+ Recursos que tienen todas las etiquetas que especifique
+ Todos los recursos excepto aquellos que tienen todas las etiquetas que especifique
+ Solo los recursos que tengan alguna de las etiquetas que especifique
+ Todos los recursos excepto aquellos que tengan alguna de las etiquetas que especifique
Solo puede especificar etiquetas de recursos con valores que no sean nulos. Si no proporciona nada para el valor, Firewall Manager guarda la etiqueta con un valor de cadena vacío: “”. Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.
Para obtener más información sobre cómo etiquetar los recursos, consulte [Uso de Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).
## Gestión del alcance de la política en AWS Firewall Manager
Cuando se implementan políticas, Firewall Manager las administra continuamente y las aplica a los recursos nuevos Cuentas de AWS y a los recursos a medida que se agregan, de acuerdo con el alcance de la política.
**Cómo administra Cuentas de AWS y utiliza Firewall Manager sus recursos**
Si una cuenta o un recurso queda fuera del ámbito de aplicación por cualquier motivo, AWS Firewall Manager no elimina automáticamente las protecciones ni elimina los recursos administrados por Firewall Manager a menos que active la casilla **Eliminar automáticamente las protecciones de los recursos que salen del ámbito de la política**.
**nota**
La opción **Eliminar automáticamente las protecciones de los recursos que quedan fuera del ámbito de aplicación de la política** no está disponible para las AWS Shield Advanced políticas AWS WAF clásicas.
Al seleccionar esta casilla de verificación, AWS Firewall Manager se limpiarán automáticamente los recursos que el Firewall Manager administra para las cuentas cuando esas cuentas salen del ámbito de la política. Por ejemplo, Firewall Manager desasociará una ACL web administrada por Firewall Manager de un recurso protegido del cliente cuando este abandone el alcance de la política.
Para determinar qué recursos deben ser eliminados de la protección cuando un recurso del cliente esta fuera del alcance de la política, Firewall Manager sigue estas pautas:
+ *Comportamiento predeterminado*:
+ Se eliminan las reglas AWS Config administradas asociadas. Este comportamiento es independiente de la casilla de verificación.
+ Se eliminan todas las listas de control de acceso AWS WAF web (web ACLs) asociadas que no contengan ningún recurso. Este comportamiento es independiente de la casilla de verificación.
+ Cualquier recurso protegido que quede fuera del alcance permanece asociado y protegido. Por ejemplo, un Application Load Balancer (Equilibrador de carga de aplicación) o una API de API Gateway que esté asociada a una ACL web permanece asociada a la ACL web y la protección permanece vigente.
+ *Con la casilla **Eliminar automáticamente las protecciones de los recursos que salen del alcance de la política** seleccionada*:
+ Se eliminan las reglas AWS Config gestionadas asociadas. Este comportamiento es independiente de la casilla de verificación.
+ Se eliminan todas las listas de control de acceso AWS WAF web (web ACLs) asociadas que no contengan ningún recurso. Este comportamiento es independiente de la casilla de verificación.
+ Cualquier recurso protegido que quede fuera del ámbito se disocia automáticamente y se elimina de la protección de Firewall Manager cuando sale del ámbito de la política. Por ejemplo, en el caso de una política de grupo de seguridad, un acelerador de Elastic Inference o una EC2 instancia de Amazon se disocian automáticamente del grupo de seguridad replicado cuando abandona el ámbito de la política. El grupo de seguridad replicado y sus recursos se eliminan automáticamente de la protección.
+ Firewall Manager elimina la configuración de registro independientemente del valor de la opción de limpieza de recursos cuando la cuenta de un miembro abandona el ámbito o cuando se elimina la política.
# Uso de AWS WAF políticas con Firewall Manager
En esta sección se explica cómo utilizar AWS WAF las políticas con el Firewall Manager. En una AWS WAF política de Firewall Manager, usted especifica los grupos de AWS WAF reglas que desea usar para proteger todos los recursos que se encuentran dentro del ámbito de la política. Al aplicar la política, el Firewall Manager comienza a administrar la web ACLs para los recursos incluidos en el ámbito, mediante los grupos de reglas especificados y otras configuraciones de políticas.
Puede configurar la política para crear y administrar toda la web nueva ACLs para los recursos internos, sustituyendo cualquier web ACLs que ya esté en uso. Como alternativa, puede configurar la política para conservar todos los sitios web ACLs que ya estén asociados a los recursos incluidos en el ámbito de aplicación y adaptarlos para que los utilice la política. Con esta segunda opción, Firewall Manager solo crea una nueva web ACLs para los recursos que aún no tienen una asociación de ACL web.
Independientemente de cómo se creen, en la web ACLs que administra Firewall Manager, las cuentas individuales pueden administrar sus propias reglas y grupos de reglas, además de los grupos de reglas que defina en la política de Firewall Manager.
Para obtener información sobre el procedimiento para crear una AWS WAF política de Firewall Manager, consulte[Crear una AWS Firewall Manager política para AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).
# Administración de grupos de reglas para AWS WAF políticas
La web ACLs gestionada por AWS WAF las políticas del Firewall Manager contiene tres conjuntos de reglas. Estos conjuntos proporcionan un nivel más alto de priorización para las reglas y grupos de reglas en la ACL web:
+ Primeros grupos de reglas, definidos por usted en la AWS WAF política del Firewall Manager. AWS WAF evalúa primero estos grupos de reglas.
+ Reglas y grupos de reglas definidos por los administradores de cuentas en la web ACLs. AWS WAF evalúa a continuación cualquier regla o grupo de reglas gestionado por la cuenta.
+ Últimos grupos de reglas, definidos por usted en la AWS WAF política del Firewall Manager. AWS WAF evalúa estos grupos de reglas en último lugar.
Dentro de cada uno de estos conjuntos de reglas, AWS WAF evalúa las reglas y los grupos de reglas como de costumbre, de acuerdo con su configuración de prioridad dentro del conjunto.
En el primer y último conjunto de grupos de reglas de la política, solo puede agregar grupos de reglas y no reglas individuales. Puedes usar grupos de reglas gestionados, que las reglas AWS gestionadas y AWS Marketplace los vendedores crean y mantienen por ti. También puede administrar y usar sus propios grupos de reglas. Para obtener más información acerca de todas estas opciones, consulte [AWS WAF grupos de reglas](waf-rule-groups.md).
Si desea utilizar sus propios grupos de reglas, créelos antes de crear su política de Firewall Manager de AWS WAF . Para obtener instrucciones, consulte [Administrar sus propios grupos de reglas](waf-user-created-rule-groups.md). Para utilizar una regla personalizada individual, debe definir su propio grupo de reglas, definir la regla dentro de él y, a continuación, utilizar el grupo de reglas en la política.
El primer y el último grupo de AWS WAF reglas que administra a través del Firewall Manager tienen nombres que comienzan con `PREFMManaged-` o`POSTFMManaged-`, respectivamente, seguidos del nombre de la política del Administrador de Firewall y la marca de tiempo de creación del grupo de reglas, en milisegundos UTC. Por ejemplo, `PREFMManaged-MyWAFPolicyName-1621880555123`.
Para obtener información sobre cómo se AWS WAF evalúan las solicitudes web, consulte. [Uso de paquetes de protección (web ACLs) con reglas y grupos de reglas en AWS WAF](web-acl-processing.md)
Firewall Manager permite el muestreo y CloudWatch las métricas de Amazon para los grupos de reglas que defina para la AWS WAF política.
Los propietarios de las cuentas individuales tienen el control total sobre las métricas y la configuración del muestreo de cualquier regla o grupo de reglas que agreguen a la web gestionada de la políticaACLs.
**nota**
Si no tiene una suscripción a los grupos de reglas del AWS WAF mercado en su cuenta de miembro, Firewall Manager no puede propagar los grupos de reglas personalizados o administrados a esa cuenta.
# Administración de ACL web para AWS WAF políticas
Firewall Manager crea y administra la web ACLs para los recursos internos de acuerdo con sus ajustes de configuración y la administración de políticas generales.
**nota**
Si un recurso que está configurado con la [mitigación automática avanzada de la capa DDo S mediante otra política de Firewall Manager Shield entra en el ámbito de aplicación](ddos-automatic-app-layer-response.md) de una AWS WAF política en la que la ACL web del recurso la creó esa política de Firewall Manager Shield, Firewall Manager no podrá aplicar las protecciones de la AWS WAF política al recurso y marcará el recurso como no conforme.
Si un cliente asocia manualmente una ACL web propiedad del cliente al recurso, la AWS WAF política del Firewall Manager seguirá anulando esa ACL web del cliente con la ACL web de la AWS WAF política del Firewall Manager.
**Administre la configuración web no asociada ACLs**
Parámetro de configuración de políticas que especifica cómo el Firewall Manager administra la web ACLs para las cuentas cuando ningún recurso ACLs va a utilizar la web. Si habilita la administración de sitios web no asociados ACLs, el Firewall Manager crea sitios web ACLs en las cuentas que se encuentran dentro del ámbito de aplicación de la política solo si al menos un recurso ACLs utilizará la web. Si no habilita esta opción, Firewall Manager se asegurará automáticamente de que cada cuenta tenga una ACL web, sin importar si se utilizará o no.
Si esta opción está activada, cuando una cuenta entra en el ámbito de la política, Firewall Manager crea automáticamente una ACL web en la cuenta si al menos un recurso utilizará la ACL web.
Además, cuando habilita la administración de la web no asociada ACLs, al crear la política, el Firewall Manager realiza una limpieza única de la web ACLs no asociada de su cuenta. Durante esta limpieza, el Firewall Manager omite cualquier elemento web ACLs que haya modificado después de su creación, por ejemplo, si ha añadido un grupo de reglas a la ACL web o ha modificado su configuración. El proceso de limpieza puede tardar varias horas. Si un recurso sale del alcance de la política después de que el Firewall Manager haya creado una ACL web, el Firewall Manager disociará el recurso de la ACL web, pero no realizará la limpieza de la ACL web no asociada. Firewall Manager solo limpia la web no asociada ACLs cuando se habilita por primera vez la administración de la web no asociada ACLs en una política.
En la API, esta configuración corresponde al tipo `optimizeUnassociatedWebACL` de datos. [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html) Ejemplo: `\"optimizeUnassociatedWebACL\":false`
**Configuración de origen de la ACL web: ¿Crear todas nuevas o adaptar las existentes?**
Parámetro de configuración de políticas que especifica lo ACLs que el Firewall Manager hace con la web existente asociada a los recursos incluidos en el ámbito de aplicación.
De forma predeterminada, Firewall Manager crea una web completamente nueva ACLs para los recursos incluidos en el ámbito. Con la adaptación, Firewall Manager usa cualquier web existente ACLs que ya esté en uso y solo crea una nueva web ACLs para los recursos que aún no tienen una asociada.
Cuando se configura una política para su adaptación, todos los sitios web ACLs asociados a los recursos incluidos en el ámbito de aplicación se actualizan o se marcan como no conformes.
Firewall Manager solo adapta una ACL web si cumple los siguientes requisitos:
+ La ACL web es propiedad de una cuenta de cliente.
+ La ACL web solo está asociada a los recursos incluidos en el ámbito.
**sugerencia**
Antes de configurar una AWS WAF política para la adaptación, asegúrese de que la web ACLs asociada a los recursos incluidos en el ámbito de aplicación de la política no esté asociada a ningún recurso. out-of-scope
**sugerencia**
Si desea eliminar un recurso asociado, primero desasócielo de la ACL web. Si una ACL web no es compatible debido a una asociación con un out-of-scope recurso, eliminar el out-of-scope recurso sin desasociarlo primero de la ACL web puede hacer que la ACL web cumpla con las normas, y Firewall Manager puede entonces modernizar la ACL web mediante una corrección, pero la corrección en esta situación puede demorarse hasta 24 horas.
Para obtener información sobre cómo acceder a los detalles de las infracciones de conformidad, consulte [Visualización de la información de cumplimiento de una AWS Firewall Manager política](fms-compliance.md).
Si se puede adaptar una ACL web, Firewall Manager la modifica de la siguiente manera:
+ Firewall Manager inserta los primeros grupos de reglas de la AWS WAF política delante de las reglas existentes de la ACL web y agrega los últimos grupos de reglas de la AWS WAF política al final. Para obtener información acerca de la administración de los grupos de reglas, consulte [Administración de grupos de reglas para AWS WAF políticas](waf-policies-rule-groups.md).
+ Si la política tiene una configuración de registro, Firewall Manager la agrega a la ACL web solo si la ACL web aún no está configurada para el registro. Si la ACL web tiene el registro configurado por la cuenta, Firewall Manager lo deja en su lugar tanto durante la adaptación como para cualquier actualización posterior de la configuración de registro de la política.
+ Firewall Manager no verifica ni configura ninguna otra propiedad de la ACL web. Por ejemplo, Firewall Manager no modifica la acción predeterminada de la ACL web, los encabezados de las solicitudes personalizadas, las configuraciones CAPTCHA o Challenge ni las listas de dominios de token. Firewall Manager solo configura estas otras propiedades en la web ACLs que crea Firewall Manager.
Una vez que Firewall Manager actualiza toda la web asociada existente ACLs, para cualquier recurso dentro del ámbito que no tenga una ACL web, Firewall Manager gestiona el recurso siguiendo el comportamiento de la política predeterminada. Si se trata de un recurso que AWS WAF puede proteger, Firewall Manager crea y asocia una ACL web de Firewall Manager a ese recurso.
En la API, la configuración de origen de la ACL web está `webACLSource` en el tipo de [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html)datos. Ejemplo: `\"webACLSource\":\"RETROFIT_EXISTING\"`
**Muestreo y CloudWatch métricas**
AWS Firewall Manager permite el muestreo y CloudWatch las métricas de Amazon para la web ACLs y los grupos de reglas que crea para una AWS WAF política.
**Nomenclatura de la ACL web**
Una ACL web que crea Firewall Manager recibe el nombre de la AWS WAF política de la siguiente manera:`FMManagedWebACLV2-policy name-timestamp`. La marca de tiempo está en milisegundos UTC. Por ejemplo, `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`.
Una ACL web que Firewall Manager adapta tiene el nombre que la cuenta de cliente especificó al crearla. Los nombres de las ACL web no pueden cambiarse después de su creación.
**nota**
Si un recurso configurado con la [mitigación automática avanzada de la capa DDo S de aplicaciones entra en el ámbito de aplicación](ddos-automatic-app-layer-response.md) de una AWS WAF política, Firewall Manager no podrá asociar la ACL web creada por la AWS WAF política al recurso.
# Iniciar sesión para una AWS WAF política
Puede habilitar el registro centralizado de sus AWS WAF políticas para obtener información detallada sobre el tráfico que analiza su ACL web en su organización. AWS Firewall Manager admite esta opción para AWS WAF Classic AWS WAFV2, no para ella.
La información de los registros incluye la hora en que se AWS WAF recibió la solicitud del AWS recurso protegido, la información detallada sobre la solicitud y las medidas adoptadas para establecer la regla de que todas las cuentas incluidas en el ámbito de aplicación coinciden con todas las solicitudes. Para obtener información sobre el AWS WAF registro, consulta [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md) la *Guía para AWS WAF desarrolladores*.
Puede enviar sus registros a un flujo de datos de Amazon Data Firehose o a un bucket de Amazon Simple Storage Service (S3). Cada tipo de destino requiere una configuración adicional para que Firewall Manager pueda gestionar el AWS WAF registro en todos los recursos y cuentas incluidos en el ámbito de aplicación. En las siguientes secciones se brinda más información.
Si la política tiene habilitada la actualización de las ACL web, Firewall Manager no anula ninguna configuración de registro que esté implementada en la web existente. ACLs Para obtener información acerca de la adaptación, consulte la información de configuración de origen de las ACL web en [Administración de ACL web para AWS WAF políticas](how-fms-manages-web-acls.md).
**nota**
Modifique o deshabilite el registro de las políticas de Firewall Manager solo a través de la interfaz de Firewall Manager. Si actualiza o elimina la configuración de registro de una ACL web administrada por Firewall Manager, Firewall Manager no detectará el cambio automáticamente. AWS WAF Si lo ha utilizado AWS WAF, puede solicitar manualmente una actualización de la AWS WAF política del Firewall Manager reevaluando la regla de la política. AWS Config Para ello, en la AWS Config consola, busque la AWS Config regla de la política del Firewall Manager y seleccione la acción de reevaluación.
**Topics**
+ [Destinos de registro](waf-policies-logging-destinations.md)
+ [Habilitar el registro de una AWS WAF política en Firewall Manager](waf-policies-enabling-logging.md)
+ [Inhabilitar el registro de una AWS WAF política en el Firewall Manager](waf-policies-disabling-logging.md)
# Destinos de registro
En esta sección se describen los destinos de registro que puede elegir para enviar los registros AWS WAF de políticas. Cada sección proporciona instrucciones a fin de configurar el registro para el tipo de destino e información sobre cualquier comportamiento específico del tipo de destino. Una vez que haya configurado el destino de registro, puede proporcionar sus especificaciones a la AWS WAF política de Firewall Manager para empezar a iniciar sesión en él.
Firewall Manager no puede ver los errores de registro después de crear la configuración de registro. Es su responsabilidad comprobar que la entrega de registros funciona según lo previsto.
Firewall Manager no modifica ninguna configuración de registro existente en las cuentas de los miembros de su organización.
**Topics**
+ [Flujos de datos de Amazon Data Firehose](#waf-policies-logging-destinations-kinesis-data-firehose)
+ [Buckets de Amazon Simple Storage Service Batch](#waf-policies-logging-destinations-s3)
## Flujos de datos de Amazon Data Firehose
En este tema se proporciona información para enviar los registros de tráfico de ACL web a un flujo de datos de Amazon Data Firehose.
Cuando habilitas el registro de Amazon Data Firehose, Firewall Manager envía los registros desde la web de tu política ACLs a un Amazon Data Firehose donde has configurado un destino de almacenamiento. Tras habilitar el registro, AWS WAF entrega los registros de cada ACL web configurada, a través del punto de enlace HTTPS de Kinesis Data Firehose, al destino de almacenamiento configurado. Antes de usarla, pruebe la transmisión de entrega para asegurarse de que tiene el rendimiento suficiente para alojar los registros de su organización. Para obtener más información acerca de cómo crear en Amazon Kinesis Data Firehose y revisar los registros almacenados, consulte [¿Qué es Amazon Data Firehose?](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)
Debe tener los siguientes permisos para habilitar correctamente el registro con Kinesis:
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`
Al configurar un destino de registro de Amazon Data Firehose en una AWS WAF política, Firewall Manager crea una ACL web para la política en la cuenta de administrador de Firewall Manager de la siguiente manera:
+ Firewall Manager crea la ACL web en la cuenta de administrador de Firewall Manager, independientemente de si la cuenta está dentro del alcance de la política.
+ La ACL web tiene el registro activado, con un nombre de registro `FMManagedWebACLV2-Loggingpolicy name-timestamp`, donde la marca de tiempo es la hora UTC en la que se habilitó el registro para la ACL web, en milisegundos. Por ejemplo, `FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180`. La ACL web no tiene grupos de reglas ni recursos asociados.
+ Se le cobrará por la ACL web de acuerdo con las pautas AWS WAF de precios. Para obtener más información, consulte [AWS WAF Precios](https://aws.amazon.com/waf/pricing/).
+ Firewall Manager elimina la ACL web cuando usted elimina la política.
Para obtener información acerca de los roles vinculados a servicios y el permiso `iam:CreateServiceLinkedRole`, consulte [Uso de roles vinculados a servicios para AWS WAF](using-service-linked-roles.md).
Para obtener más información acerca de cómo crear su flujo de entrega, consulte [Creación de un flujo de entrega de Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).
## Buckets de Amazon Simple Storage Service Batch
En este tema se proporciona información para enviar los registros de tráfico de ACL web a un bucket de Amazon S3.
El bucket que elija como destino de registro debe ser propiedad de una cuenta de administrador de Firewall Manager. Para obtener información sobre los requisitos para crear su bucket de Amazon S3 para los requisitos de registro y denominación de los buckets, consulte [Amazon Simple Storage Service](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html) en la *Guía para desarrolladores de AWS WAF *.
**Consistencia final**
Cuando realiza cambios en AWS WAF las políticas configuradas con un destino de registro de Amazon S3, Firewall Manager actualiza la política del bucket para añadir los permisos necesarios para el registro. Al hacerlo, Firewall Manager sigue los modelos de last-writer-wins semántica y coherencia de datos que sigue Amazon Simple Storage Service. Si realiza simultáneamente varias actualizaciones de políticas en un destino de Amazon S3 en la consola de Firewall Manager o mediante la [PutPolicy](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutPolicy.html)API, es posible que algunos permisos no se guarden. Para obtener más información acerca del modelo de coherencia de Amazon S3, consulte [Modelo de coherencia de datos de Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html#ConsistencyModel) en la *Guía del usuario de Amazon Simple Storage Service*.
### Permisos para publicar registros en un bucket de Amazon S3
La configuración del registro de tráfico de ACL web para un bucket de Amazon S3 en una AWS WAF política requiere los siguientes ajustes de permisos. Firewall Manager adjunta automáticamente estos permisos a su bucket de Amazon S3 cuando usted configura Amazon S3 como su destino de registro para dar permiso al servicio para publicar registros en el bucket. Si desea administrar un acceso más detallado a sus recursos de registro y del Firewall Manager, puede configurar estos permisos. Para obtener información sobre la administración de permisos, consulte [Administración de acceso a recursos de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) en la *Guía del usuario de IAM*. Para obtener información sobre las políticas AWS WAF administradas, consulte[AWS políticas gestionadas para AWS WAF](security-iam-awsmanpol.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id": "AWSLogDeliveryForFirewallManager",
"Statement": [
{
"Sid": "AWSLogDeliveryAclCheckFMS",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:GetBucketAcl",
"Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix"
},
{
"Sid": "AWSLogDeliveryWriteFMS",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": "s3:PutObject",
"Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
"Condition": {
"StringEquals": {
"s3:x-amz-acl": "bucket-owner-full-control"
}
}
}
]
}
```
------
Para evitar el problema de escalonamiento de privilegios entre servicios, puede agregar las claves de contexto de condición global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) y [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) a la política de su bucket. Para agregar estas claves, puede modificar la política que el Firewall Manager crea para usted al configurar el destino del registro o, si desea un control detallado, puede crear su propia política. Si agrega estas condiciones a su política de destino de registro, Firewall Manager no validará ni supervisará la protección de escalonamiento de privilegios. Para obtener información general sobre el problema del suplente confuso, consulte [El problema del escalonamiento de privilegios](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) en la *Guía del usuario de IAM*.
Cuando agregue `sourceAccount`, agregue las propiedades `sourceArn`, aumentará el tamaño de la política del bucket. Si va a agregar una lista larga de propiedades `sourceArn` agregue `sourceAccount`, procure no superar el límite de [tamaño de la política de bucket](https://docs.aws.amazon.com/general/latest/gr/s3.html#limits_s3) de Amazon S3.
En el siguiente ejemplo se muestra cómo evitar el problema del suplente confuso mediante el uso de las claves de contexto de condición global `aws:SourceArn` y `aws:SourceAccount` en la política de su bucket. *member-account-id*Sustitúyala por la cuenta IDs de los miembros de tu organización.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Id":"AWSLogDeliveryForFirewallManager",
"Statement":[
{
"Sid":"AWSLogDeliveryAclCheckFMS",
"Effect":"Allow",
"Principal":{
"Service":"delivery.logs.amazonaws.com"
},
"Action":"s3:GetBucketAcl",
"Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
"Condition":{
"StringEquals":{
"aws:SourceAccount":[
"111122223333",
"444455556666"
]
},
"ArnLike":{
"aws:SourceArn":[
"arn:aws:logs:*:111122223333:*",
"arn:aws:logs:*:444455556666:*"
]
}
}
},
{
"Sid":"AWSLogDeliveryWriteFMS",
"Effect":"Allow",
"Principal":{
"Service":"delivery.logs.amazonaws.com"
},
"Action":"s3:PutObject",
"Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
"Condition":{
"StringEquals":{
"s3:x-amz-acl":"bucket-owner-full-control",
"aws:SourceAccount":[
"111122223333",
"444455556666"
]
},
"ArnLike":{
"aws:SourceArn":[
"arn:aws:logs:*:111122223333:*",
"arn:aws:logs:*:444455556666:*"
]
}
}
}
]
}
```
------
#### Uso de cifrado del servidor del bucket de Amazon S3
Puede activar el cifrado del lado del servidor de Amazon S3 o utilizar una clave gestionada por el AWS Key Management Service cliente en su bucket de S3. Si eliges usar el cifrado predeterminado de Amazon S3 en tu bucket de Amazon S3 para AWS WAF los registros, no necesitas realizar ninguna acción especial. Sin embargo, si decide utilizar una clave de cifrado proporcionada por el cliente para cifrar sus datos en reposo de Amazon S3, debe añadir la siguiente declaración de permiso a su AWS Key Management Service política de claves:
```
{
"Sid": "Allow Logs Delivery to use the key",
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*"
}
```
Para obtener información sobre el uso de claves de cifrado proporcionadas por el cliente con Amazon S3, consulte [Uso del cifrado del servidor con claves proporcionadas por el cliente (SSE-C)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html) en la *Guía del usuario de Amazon Simple Storage Service*.
# Habilitar el registro de una AWS WAF política en Firewall Manager
El siguiente procedimiento describe cómo habilitar el registro de una AWS WAF política en la consola de Firewall Manager.
**Para habilitar el registro de una AWS WAF política**
1. Para poder habilitar el registro, debe configurar los recursos de destino del registro de la siguiente manera:
+ **Amazon Kinesis Data Streams**: cree una Amazon Data Firehose con su cuenta de administrador de Firewall Manager. Utilice un nombre que empiece por el prefijo `aws-waf-logs-`. Por ejemplo, `aws-waf-logs-firewall-manager-central`. Cree la instancia de Data Firehose con un origen `PUT` y en la región en la que opera. Si vas a capturar troncos para Amazon CloudFront, crea la manguera de incendios en EE. UU. Este (Norte de Virginia). Antes de usarla, pruebe la transmisión de entrega para asegurarse de que tiene el rendimiento suficiente para alojar los registros de su organización. Para obtener más información, consulte [Creación de un flujo de entrega de Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).
+ **Buckets de Amazon Simple Storage Service**: cree un bucket de Amazon S3 de acuerdo con las directrices del tema [Amazon Simple Storage Service](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html) en la *Guía para desarrolladores de AWS WAF *. También debe configurar su bucket de Amazon S3 con los permisos que se indican en [Permisos para publicar registros en un bucket de Amazon S3](waf-policies-logging-destinations.md#waf-policies-logging-s3-permissions).
1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
1. En el panel de navegación, seleccione **Políticas de Seguridad**.
1. Elija la AWS WAF política para la que desee habilitar el registro. Para obtener más información acerca del registro en AWS WAF , consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md).
1. En la pestaña **Detalles de la política**, en la sección **Reglas de la política**, seleccione **Editar**.
1. Para la **configuración del registro**, seleccione **Habilitar el registro** para activar el registro. El registro ofrece obtener información detallada sobre el tráfico que analiza su ACL web. Seleccione el **destino del registro** y, a continuación, seleccione el destino del registro que haya configurado. Debe elegir un destino de registro cuyo nombre comience con `aws-waf-logs-`. Para obtener información sobre la configuración de un destino de AWS WAF registro, consulte[Uso de AWS WAF políticas con Firewall Manager](waf-policies.md).
1. (Opcional) Si no desea determinados campos y sus valores incluidos en los registros, redacte esos campos. Elija el campo que se va a redactar y, a continuación, elija **Add (Añadir)**. Repita según sea necesario para redactar campos adicionales. Los campos redactados aparecen como `REDACTED` en los registros. Por ejemplo, si redacta el campo **URI**, el campo **URI** de los registros será `REDACTED`.
1. (Opcional) Si no desea enviar todas las solicitudes a los registros, agregue sus criterios de filtrado y su comportamiento. En **Filtrar registros**, para cada filtro que desee aplicar, elija **Agregar filtro** y, a continuación, elija sus criterios de filtrado y especifique si desea conservar o eliminar las solicitudes que coincidan con los criterios. Cuando termine de agregar los filtros, si es necesario, modifique el **comportamiento de registro predeterminado**. Para obtener más información, consulte [Cómo encontrar los registros de su paquete de protección (ACL web)](logging-management.md) en la *Guía para desarrolladores de AWS WAF *.
1. Elija **Siguiente**.
1. Revise su configuración y, a continuación, seleccione **Guardar** para guardar los cambios en la política.
# Inhabilitar el registro de una AWS WAF política en el Firewall Manager
El siguiente procedimiento describe cómo deshabilitar el registro de una AWS WAF política en la consola de Firewall Manager.
**Para deshabilitar el registro de una AWS WAF política**
1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
1. En el panel de navegación, seleccione **Políticas de Seguridad**.
1. Elija la AWS WAF política para la que desee deshabilitar el registro.
1. En la pestaña **Detalles de la política**, en la sección **Reglas de la política**, seleccione **Editar**.
1. En **Estado de configuración de registro**, seleccione **Desactivado**.
1. Elija **Siguiente**.
1. Revise su configuración y, a continuación, seleccione **Guardar** para guardar los cambios en la política.
**nota**
Modifique o deshabilite el registro de las políticas de Firewall Manager solo a través de la interfaz de Firewall Manager. Si actualiza o elimina la configuración de registro de una ACL web administrada por Firewall Manager, Firewall Manager no detectará el cambio automáticamente. AWS WAF Si lo ha utilizado AWS WAF, puede solicitar manualmente una actualización de la AWS WAF política del Firewall Manager reevaluando la regla de la política. AWS Config Para ello, en la AWS Config consola, busque la AWS Config regla de la política del Firewall Manager y seleccione la acción de reevaluación.
# Uso de AWS Shield Advanced políticas en Firewall Manager
En esta página se explica cómo utilizar AWS Shield las políticas con el Firewall Manager. En una AWS Shield política de Firewall Manager, usted elige los recursos que desea proteger. Al aplicar la política con la corrección automática habilitada, para cada recurso del ámbito que aún no esté asociado a una ACL AWS WAF web, Firewall Manager asocia una ACL AWS WAF web vacía. La ACL web vacía se utiliza para la supervisión de Shield. Si, a continuación, asocia cualquier otra ACL web al recurso, Firewall Manager elimina la asociación ACL web vacía.
**nota**
Cuando un recurso que está dentro del ámbito de una AWS WAF política entra en el ámbito de una política Shield Advanced configurada con una [mitigación automática de la capa DDo S de aplicación](ddos-automatic-app-layer-response.md), Firewall Manager aplica la protección Shield Advanced solo después de asociar la ACL web creada por la AWS WAF política.
## Cómo se AWS Firewall Manager gestiona la web no asociada ACLs en las políticas de Shield
Puede configurar si el Firewall Manager administra la web no asociada ACLs por usted mediante la ACLs configuración **Administrar la web no asociada** de su política o la `optimizeUnassociatedWebACLs` configuración del tipo de [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html)datos de la API. Si habilita la administración de sitios web no asociados ACLs en su política, el Firewall Manager creará sitios web ACLs en las cuentas incluidas en el ámbito de la política solo si al menos un recurso ACLs utilizará la web. Si en algún momento, una cuenta entra en el alcance de la política, Firewall Manager crea automáticamente una ACL web en la cuenta si al menos un recurso utilizará la ACL web.
Cuando habilita la administración de la web no asociada ACLs, el Firewall Manager realiza una limpieza única de la web ACLs no asociada de su cuenta. El proceso de limpieza puede tardar varias horas. Si un recurso sale del alcance de la política después de que el Firewall Manager haya creado una ACL web, el Firewall Manager no disocia el recurso de la ACL web. Si desea que Firewall Manager limpie la ACL web, primero debe desasociar manualmente los recursos de la ACL web y, a continuación, habilitar la ACLs opción administrar la web no asociada en su política.
Si no habilita esta opción, Firewall Manager no administrará la web ACLs no asociada y el Firewall Manager creará automáticamente una ACL web en cada cuenta que esté dentro del ámbito de aplicación de la política.
## Cómo AWS Firewall Manager gestiona los cambios de alcance en las políticas de Shield
Las cuentas y los recursos pueden quedar fuera del ámbito de aplicación de una política de AWS Firewall Manager Shield Advanced debido a una serie de cambios, como cambios en la configuración del ámbito de la política, cambios en las etiquetas de un recurso y la eliminación de una cuenta de una organización. Para obtener información general sobre la configuración del alcance de la política, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).
Con una política de AWS Firewall Manager Shield Advanced, si una cuenta o un recurso queda fuera del alcance, Firewall Manager deja de supervisar la cuenta o el recurso.
Si una cuenta queda fuera del alcance al ser eliminada de la organización, seguirá suscrita a Shield Avanzado. Dado que la cuenta ya no forma parte de la familia de facturación unificada, la cuenta generará una cuota de suscripción de Shield Avanzado prorrateada. Por otro lado, una cuenta que queda fuera del alcance, pero permanece en la organización, no incurre en cargos adicionales.
En el caso de la política de Shield que utiliza la versión clásica de WebACL, si un recurso queda fuera del alcance, seguirá protegido por Shield Advanced y seguirá incurriendo en gastos de transferencia de datos de Shield Advanced.
# Uso de la mitigación automática de la capa DDo S de aplicaciones con políticas avanzadas de Firewall Manager Shield
En esta página, se explica cómo funciona la mitigación automática de la capa de aplicación DDo S con Firewall Manager.
Cuando aplicas una política de Shield Advanced a CloudFront las distribuciones de Amazon o a los balanceadores de carga de aplicaciones, tienes la opción de configurar la mitigación automática de la capa DDo S de aplicaciones de Shield Advanced en la política.
Para obtener información sobre la mitigación automática de Shield Avanzado, consulte [Automatizar la mitigación de la capa DDo S de aplicación con Shield Advanced](ddos-automatic-app-layer-response.md).
La mitigación automática de la capa DDo S de aplicación Shield Advanced tiene los siguientes requisitos:
+ La mitigación automática de la capa de aplicación DDo S solo funciona con CloudFront las distribuciones de Amazon y los balanceadores de carga de aplicaciones.
Si aplicas tu política Shield Advanced a CloudFront las distribuciones de Amazon, puedes elegir esta opción para las políticas Shield Advanced que crees para la región **global**. Si aplica protecciones a los equilibradores de carga de aplicación, puede aplicar la política a cualquier región que admita Firewall Manager.
+ La mitigación automática de la capa DDo S de aplicación solo funciona con los paquetes de protección (web ACLs) que se crearon con la última versión de AWS WAF (v2).
Por este motivo, si tiene una política que usa la web AWS WAF clásica ACLs, debe reemplazar la política por una nueva, que utilizará automáticamente la última versión de AWS WAF, o bien hacer que Firewall Manager cree una nueva versión web ACLs para su política actual y pase a utilizarla. Para obtener más información sobre las opciones, consulte [Sustituya la AWS WAF versión web ACLs clásica por la última versión web ACLs](#shield-policies-auto-app-layer-update-waf-version).
## Configuración de mitigación automática
La opción de mitigación automática de la capa DDo S de aplicación para las políticas de Firewall Manager Shield Advanced aplica la funcionalidad de mitigación automática de Shield Advanced a las cuentas y los recursos incluidos en el ámbito de aplicación de su política. Para obtener información detallada sobre esta característica de Shield Avanzado, consulte [Automatizar la mitigación de la capa DDo S de aplicación con Shield Advanced](ddos-automatic-app-layer-response.md).
Puede elegir que Firewall Manager habilite o deshabilite la mitigación automática para CloudFront las distribuciones o los balanceadores de carga de aplicaciones que estén dentro del ámbito de aplicación de la política, o puede elegir que la política ignore la configuración de mitigación automática de Shield Advanced:
+ **Activar**: si decide activar la mitigación automática, también debe especificar si las reglas de mitigación de Shield Avanzado deben contar o bloquear las solicitudes web coincidentes. Firewall Manager marcará los recursos dentro del alcance como no compatibles si no tienen activada la mitigación automática o si utilizan una acción de regla que no coincide con la que especificó para la política. Si configura la política para la corrección automática, Firewall Manager actualiza los recursos no compatibles según sea necesario.
+ **Desactivar**: si decide desactivar la mitigación automática, Firewall Manager marcará los recursos dentro del alcance como no compatibles si tienen la mitigación automática activada. Si configura la política para la corrección automática, Firewall Manager actualiza los recursos no compatibles según sea necesario.
+ **Ignorar**: si decide ignorar la mitigación automática, Firewall Manager no tendrá en cuenta ninguna de las configuraciones de mitigación automática de su política Shield cuando lleve a cabo actividades de corrección para la política. Esta configuración le permite controlar la mitigación automática a través de Shield Avanzado, sin que Firewall Manager sobrescriba esa configuración. Esta configuración no se aplica a ningún recurso de Classic Load Balancer o Elastic gestionado a través de Shield Advanced, ya que Shield Advanced actualmente no admite la mitigación automática de nivel 7 para esos IPs recursos.
## Sustituya la AWS WAF versión web ACLs clásica por la última versión web ACLs
La mitigación automática de la capa de aplicación DDo S solo funciona con los paquetes de protección (web ACLs) que se crearon con la última versión de AWS WAF (v2).
Para determinar la versión de ACL web de su política Shield Advanced, consulte [Determinar la versión AWS WAF que utiliza una política de Shield Advanced](shield-policies-identify-waf-version.md).
Si desea utilizar la mitigación automática en su política de Shield Advanced y su política utiliza actualmente la web AWS WAF clásica ACLs, puede crear una nueva política de Shield Advanced para reemplazar la actual o puede utilizar las opciones que se describen en esta sección para reemplazar la versión anterior de la web ACLs por una nueva (v2) web ACLs dentro de su política de Shield Advanced actual. Las políticas nuevas siempre se crean en la web ACLs con la versión más reciente de AWS WAF. Si reemplaza la política completa, al eliminarla, puede hacer que Firewall Manager elimine también todas las versiones anteriores de ACLs la web. En el resto de esta sección, se describen las opciones que tiene para sustituir la web ACLs dentro de su política actual.
Al modificar una política Shield Advanced existente para CloudFront los recursos de Amazon, Firewall Manager puede crear automáticamente una nueva ACL web vacía AWS WAF (v2) para la política, en cualquier cuenta incluida en el ámbito que aún no tenga una ACL web v2. Cuando Firewall Manager crea una nueva ACL web, si la política ya tiene una ACL web AWS WAF clásica en la misma cuenta, Firewall Manager configura la nueva versión de la ACL web con la misma configuración de acción predeterminada que la ACL web existente. Si no existe una ACL web AWS WAF clásica, Firewall Manager establece la acción predeterminada Allow en la nueva ACL web. Después de que Firewall Manager cree una nueva ACL web, puede personalizarla según sea necesario a través de la consola AWS WAF .
Al elegir cualquiera de las siguientes opciones de configuración de políticas, Firewall Manager crea una nueva web (v2) ACLs para las cuentas incluidas en el ámbito que aún no la tienen:
+ Al activar o desactivar la mitigación automática de la capa DDo S de aplicación. Esta elección por sí sola solo hace que Firewall Manager cree la nueva web ACLs y no sustituya ninguna asociación de ACL web AWS WAF clásica existente en los recursos incluidos en el ámbito de aplicación de la política.
+ Cuando eliges la acción política de corrección automática y eliges la opción de reemplazar la web AWS WAF clásica por la web ACLs AWS WAF (v2). ACLs Puede optar por sustituir la versión web anterior, ACLs independientemente de sus opciones de configuración, para la mitigación automática de la capa DDo S.
Al elegir la opción de reemplazo, Firewall Manager crea la nueva versión web ACLs según sea necesario y, a continuación, hace lo siguiente con los recursos incluidos en el ámbito de aplicación de la política:
+ Si un recurso está asociado a una ACL web desde cualquier otra política activa del Firewall Manager, el Firewall Manager deja la asociación intacta.
+ En cualquier otro caso, Firewall Manager elimina cualquier asociación con una ACL web AWS WAF clásica y asocia el recurso con la ACL web AWS WAF (v2) de la política.
Puede elegir que Firewall Manager sustituya la versión web ACLs anterior por la nueva versión web ACLs cuando lo desee. Si ya ha personalizado la versión web AWS WAF clásica de la política ACLs, puede actualizar la nueva versión web ACLs a una configuración similar antes de elegir que Firewall Manager realice el paso de sustitución.
Puede acceder a cualquier versión de la ACL web de una política a través de la consola de la misma versión AWS WAF o AWS WAF de la versión clásica.
Firewall Manager no elimina ninguna AWS WAF versión web clásica sustituida ACLs hasta que elimines la propia política. Cuando la política deje de utilizar la web AWS WAF ACLs clásica, podrá eliminarla si así lo desea.
# Determinar la versión AWS WAF que utiliza una política de Shield Advanced
En esta página se explica cómo determinar qué versión de ACL AWS WAF web utiliza su política Shield Advanced.
Para determinar qué versión de la AWS WAF política Firewall Manager Shield Advanced utiliza, consulte las claves de parámetros de la regla AWS Config vinculada a servicios de la política. Si la AWS WAF versión que está en uso es la más reciente, las claves de parámetros incluyen `policyId` y. `webAclArn` Si se trata de la versión anterior, AWS WAF Classic, las claves de parámetro incluyen `webAclId` y`resourceTypes`.
La AWS Config regla solo enumera las claves para la web ACLs que la política utiliza actualmente con los recursos incluidos en el ámbito de aplicación.
**Para determinar qué versión de AWS WAF su política de Firewall Manager Shield Advanced utiliza**
1. Recupere el identificador de política de la política Shield Avanzado:
1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
1. En el panel de navegación, seleccione **Políticas de Seguridad**.
1. Elija la región para la política. En el CloudFront caso de las distribuciones, esto es`Global`.
1. Busque la política que desea y copie el valor de su **ID de política**.
ID de Política de ejemplo: `1111111-2222-3333-4444-a55aa5aaa555`.
1. Cree el nombre de la AWS Config regla de la política añadiendo el ID de la política a la cadena. `FMManagedShieldConfigRule`
Ejemplo de nombre de AWS Config regla:`FMManagedShieldConfigRule1111111-2222-3333-4444-a55aa5aaa555`.
1. Busque en los parámetros de la AWS Config regla asociada las claves denominadas `policyId` y`webAclArn`:
1. Abre la AWS Config consola en [https://console.aws.amazon.com/config/casa](https://console.aws.amazon.com/config/home).
1. En el panel de navegación, seleccione **Reglas**.
1. Busque el nombre de la AWS Config regla de la política de Firewall Manager en la lista y selecciónelo. Se abre la página de la regla.
1. En la sección **Parámetros** de **Detalles de las reglas**, observe las claves. Si encuentra claves denominadas `policyId` y`webAclArn`, la política utilizará sitios web ACLs que se crearon con la última versión de AWS WAF. Si encuentra claves con el nombre `webAclId` y`resourceTypes`, la política utilizará sitios web ACLs que se crearon con la versión anterior, AWS WAF Classic.
# Uso de políticas de grupos de seguridad en Firewall Manager para administrar los grupos de seguridad de Amazon VPC
En esta página se explica cómo utilizar las políticas de grupos de AWS Firewall Manager seguridad para gestionar los grupos de seguridad de Amazon Virtual Private Cloud para su organización en AWS Organizations. Puede aplicar políticas de grupos de seguridad controladas centralmente a toda la organización o a un subconjunto seleccionado de cuentas y recursos. También puede supervisar y administrar las políticas de grupos de seguridad que están en uso en su organización, con políticas de grupos de seguridad de auditoría y uso.
Firewall Manager mantiene continuamente sus políticas y las aplica a cuentas y recursos a medida que se agregan o actualizan en toda la organización. Para obtener información al respecto AWS Organizations, consulte la [Guía AWS Organizations del usuario](https://docs.aws.amazon.com/organizations/latest/userguide/).
Para obtener información sobre los grupos de seguridad de Amazon Virtual Private Cloud, consulte [Grupos de seguridad para su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) en la *Guía del usuario de Amazon VPC*.
Puede utilizar política de grupo de seguridad de Firewall Manager para realizar lo siguiente en toda la organización de AWS :
+ Aplicar grupos de seguridad comunes a cuentas y recursos especificados.
+ Auditar reglas de grupo de seguridad para localizar y corregir reglas no conformes.
+ Auditar el uso de grupos de seguridad para eliminar grupos de seguridad no utilizados y redundantes.
En esta sección se describe cómo funcionan las política de grupos de seguridad de Firewall Manager y se proporciona orientación para utilizarlas. Para obtener información sobre los procedimientos para crear políticas de grupos de seguridad, consulte [Creación de una AWS Firewall Manager política](create-policy.md).
## Prácticas recomendadas para las políticas de grupos de seguridad
En esta sección aparecen recomendaciones para administrar grupos de seguridad mediante AWS Firewall Manager.
**Excluir la cuenta de administrador de Firewall Manager**
Cuando establezca el ámbito de la política, excluya la cuenta de administrador de Firewall Manager. Cuando crea una política de grupo de seguridad de auditoría de uso a través de la consola, esta es la opción predeterminada.
**Comience con la corrección automática desactivada**
Para políticas de grupos de seguridad de auditoría de contenido o uso, comience con la corrección automática deshabilitada. Revise la información de detalles de la política para determinar los efectos que tendría la corrección automática. Cuando esté convencido de que los cambios son lo que desea, edite la política y habilite la corrección automática.
**Evite conflictos si también utiliza orígenes externos para administrar grupos de seguridad**
Si utiliza una herramienta o servicio que no sea Firewall Manager para administrar los grupos de seguridad, tenga cuidado de evitar conflictos entre su configuración en Firewall Manager y la configuración en su fuente externa. Si utiliza la corrección automática y su configuración entra en conflicto, puede crear un ciclo de corrección conflictiva que consuma recursos en ambos lados.
Por ejemplo, supongamos que configura que otro servicio mantenga un grupo de seguridad para un conjunto de recursos de AWS y configura una política de Firewall Manager para que mantenga un grupo de seguridad diferente para algunos o todos los mismos recursos. Si configura que cualquier parte no permita que cualquier otro grupo de seguridad se asocie con los recursos dentro del ámbito, esa parte eliminará la asociación del grupo de seguridad que mantiene la otra marte. Si ambas partes se configuran de esta manera, puede acabar con un ciclo de asociaciones y desasociaciones conflictivas.
Además, supongamos que crea una política de auditoría de Firewall Manager para aplicar una configuración de grupo de seguridad que entra en conflicto con la configuración de grupo de seguridad del otro servicio. La corrección aplicada por la política de auditoría de Firewall Manager puede actualizar o eliminar ese grupo de seguridad, lo que hace que esté fuera de la conformidad del otro servicio. Si el otro servicio está configurado para supervisar y solucionar automáticamente cualquier problema que encuentre, volverá a crear o actualizar el grupo de seguridad, haciendo de nuevo que esté fuera de la conformidad con la política de auditoría de Firewall Manager. Si la política de auditoría de Firewall Manager está configurada con corrección automática, volverá a actualizar o eliminar el grupo de seguridad externo, etc.
Para evitar conflictos como estos, cree configuraciones que sean mutuamente excluyentes, entre Firewall Manager y cualquier fuente externa.
Puede utilizar el etiquetado para excluir grupos de seguridad externos de la corrección automática por parte de las políticas de Firewall Manager. Para ello, agregue una o más etiquetas a los grupos de seguridad u otros recursos administrados por el origen externo. A continuación, cuando defina el ámbito de la política de Firewall Manager, en la especificación de recursos, excluya los recursos que tengan la etiqueta o las etiquetas que haya agregado.
Del mismo modo, en su herramienta o servicio externo, excluya los grupos de seguridad que Firewall Manager administra de cualquier actividad de administración o auditoría. O bien no importe los recursos de Firewall Manager o use etiquetas específicas de Firewall Manager para excluirlos de la administración externa.
**Prácticas recomendadas para las políticas de grupos de seguridad de auditoría de uso**
Siga estas directrices cuando utilice políticas de grupos de seguridad de auditoría de uso.
+ Evite realizar varios cambios en el estado de asociación de un grupo de seguridad en un periodo corto; por ejemplo, en un periodo de 15 minutos. Si lo hace, es posible que Firewall Manager se pierda algunos o todos los eventos correspondientes. Por ejemplo, no asocie y desasocie rápidamente un grupo de seguridad con una interfaz de red elástica.
## Limitaciones y advertencias de las políticas de grupos de seguridad
En esta sección, se enumeran las limitaciones y las advertencias de uso de las políticas de grupo de seguridad de Firewall Manager.
**Tipo de recurso: instancia de Amazon EC2**
En esta sección, se enumeran las limitaciones y las advertencias para proteger las instancias de Amazon EC2 con las políticas de grupo de seguridad de Firewall Manager.
+ Con los grupos de seguridad que protegen las interfaces de red elásticas de Amazon EC2 (ENIs), los cambios en un grupo de seguridad no son visibles inmediatamente para Firewall Manager. Firewall Manager suele detectar los cambios al cabo de varias horas, pero la detección puede demorarse hasta seis horas.
+ Firewall Manager no admite grupos de seguridad para Amazon EC2 ENIs creados por Amazon Relational Database Service.
+ Firewall Manager no admite la actualización de grupos de seguridad para las ENI de Amazon EC2 que se crearon utilizando el tipo de servicio de Fargate. Sin embargo, puede actualizar los grupos de seguridad para las ENI de Amazon ECS con el tipo de servicio de Amazon EC2.
+ Firewall Manager no admite la actualización de grupos de seguridad para Amazon EC2 gestionado por el solicitante porque ENIs Firewall Manager no tiene permiso para modificarlos.
+ En el caso de las políticas de grupos de seguridad habituales, estas advertencias se refieren a la interacción entre el número de interfaces de red elásticas (ENI) que están conectadas a la instancia de EC2 y la opción de la política que especifica si se deben corregir únicamente las instancias de EC2 sin adjuntos agregados o si se deben corregir todas las instancias. Cada instancia de EC2 tiene un ENI principal predeterminado y puede adjuntar más. ENIs En la API, la configuración de la opción de la política para esto es `ApplyToAllEC2InstanceENIs`.
Si una instancia EC2 dentro del ámbito tiene otras ENI adicionales adjuntas y la política está configurada para incluir solo las instancias de EC2 con solo la ENI principal, Firewall Manager no intentará corregir la instancia de EC2. Además, si la instancia queda fuera del ámbito de la política, Firewall Manager no intentará desasociar ninguna asociación de grupos de seguridad que haya establecido para la instancia.
Para los siguientes casos excepcionales, durante la limpieza de recursos, Firewall Manager puede dejar intactas las asociaciones de grupos de seguridad replicadas, independientemente de las especificaciones de limpieza de recursos de la política:
+ Cuando una instancia con ENI adicionales se corrigió previamente mediante una política que se configuró para incluir todas las instancias de EC2 y, a continuación, la instancia quedó fuera del ámbito de aplicación de la política o se modificó la configuración de la política para incluir solo las instancias sin adicionales. ENIs
+ Cuando una instancia que no tenía ninguna instancia adicional ENIs se solucionaba mediante una política que se configuraba para incluir solo las instancias sin ninguna adicional ENIs, se adjuntaba otra ENI a la instancia y, por lo tanto, la instancia quedaba fuera del ámbito de aplicación de la política.
**Otras advertencias y limitaciones**
Estas son varias advertencias y limitaciones para las políticas de grupos de seguridad de Firewall Manager.
+ Las políticas de grupos de seguridad de Firewall Manager no admiten grupos de seguridad compartidos entre ellos AWS RAM.
+ El uso de AWS RAM para compartir listas de prefijos en una organización no es una función compatible oficialmente con Firewall Manager. Si bien es posible que funcione hoy en día, no existe la obligación de ofrecer soporte para ese caso de uso ni ninguna garantía de que siga funcionando. AWS
+ La actualización de Amazon ECS solo ENIs es posible para los servicios de Amazon ECS que utilizan el controlador de implementación de actualización progresiva (Amazon ECS). Para otros controladores de despliegue de Amazon ECS, como CODE\$1DEPLOY o controladores externos, Firewall Manager actualmente no puede actualizar el. ENIs
+ Firewall Manager no admite la actualización de los grupos de seguridad ENIs para los balanceadores de carga de red.
+ En las políticas de grupos de seguridad comunes, si una VPC compartida luego deja de compartirse con una cuenta, Firewall Manager no eliminará los grupos de seguridad de réplica de la cuenta.
+ Con las políticas de grupo de seguridad de auditoría de uso, si crea varias políticas con una configuración de tiempo de demora personalizada que tengan todas el mismo alcance, la primera política con resultados de cumplimiento será la política que informe los resultados.
## Casos de uso de políticas de grupos de seguridad
Puede usar políticas de grupos de seguridad AWS Firewall Manager comunes para automatizar la configuración del firewall del host para la comunicación entre las instancias de Amazon VPC. En esta sección se enumeran las arquitecturas estándar de Amazon VPC y se describe cómo proteger cada una mediante políticas de grupos de seguridad comunes de Firewall Manager. Estas políticas de grupos de seguridad pueden ayudarle a aplicar un conjunto unificado de reglas para seleccionar recursos en diferentes cuentas y evitar configuraciones por cuenta en Amazon Elastic Compute Cloud y Amazon VPC.
Con las políticas de grupos de seguridad comunes de Firewall Manager, puede etiquetar solo las interfaces de red elásticas de EC2 que necesita para comunicarse con instancias de otra Amazon VPC. Las otras instancias en la misma Amazon VPC quedan entonces más seguras y aisladas.
**Caso de uso: supervisión y control de las solicitudes a los equilibradores de carga de aplicación y a los equilibradores de carga clásicos**
Puede usar una política de grupo de seguridad común de Firewall Manager para definir qué solicitudes deben atender sus equilibradores de carga internos. Puede configurar esto a través de la consola del Firewall Manager. Solo las solicitudes que cumplan con las reglas de entrada del grupo de seguridad pueden llegar a sus equilibradores de carga, y los equilibradores de carga solo distribuirán las solicitudes que cumplan con las reglas de salida.
**Caso de uso: VPC de Amazon pública y accesible a través de Internet**
Puede utilizar una política de grupo de seguridad común de Firewall Manager para proteger una VPC de Amazon pública, por ejemplo, para permitir solo el puerto de entrada 443. Esto es lo mismo que permitir el tráfico HTTPS entrante para una VPC pública. Puede etiquetar recursos públicos dentro de la VPC (por ejemplo, como “PublicVPC”) y, a continuación, establecer el alcance de la política de Firewall Manager solo a los recursos con esa etiqueta. Firewall Manager aplica automáticamente la política a esos recursos.
**Caso de uso: instancias públicas y privadas de Amazon VPC**
Puede utilizar la misma política de grupo de seguridad común para recursos públicos que se recomienda en el caso de uso anterior para instancias de Amazon VPC públicas accesibles por Internet. Puede utilizar una segunda política de grupo de seguridad común para limitar la comunicación entre los recursos públicos y los privados. Etiquete los recursos de las instancias públicas y privadas de Amazon VPC con algo como "PublicPrivate" para aplicarles la segunda política. Puede utilizar una tercera política para definir la comunicación permitida entre los recursos privados y otras instancias de Amazon VPC corporativas o privadas. Para esta política, puede utilizar otra etiqueta de identificación en los recursos privados.
**Caso de uso: instancias de Amazon VPC de concentradores y radios**
Puede utilizar una política de grupo de seguridad común para definir las comunicaciones entre la instancia de Amazon VPC de concentrador y las instancias de Amazon VPC de radio. Puede utilizar una segunda política para definir la comunicación desde cada instancia de Amazon VPC de radio a la instancia de Amazon VPC de concentrador.
**Caso de uso: interfaz de red predeterminada para instancias Amazon EC2**
Puede usar una política de grupo de seguridad común para permitir únicamente las comunicaciones estándar, por ejemplo, SSH interno y los servicios de patch/OS actualización, y para impedir otras comunicaciones inseguras.
**Caso de uso: identificar recursos con permisos abiertos**
Puede utilizar una política de grupo de seguridad de auditoría para identificar todos los recursos de la organización que tienen permiso para comunicarse con direcciones IP públicas o que tienen direcciones IP que pertenecen a proveedores externos.
# Utilización de políticas del grupo de seguridad comunes con Firewall Manager
Esta página explica cómo funcionan las políticas del grupo de seguridad comunes de Firewall Manager.
Con una política de grupo de seguridad común, Firewall Manager proporciona una asociación controlada centralmente de grupos de seguridad con cuentas y recursos de toda la organización. Especifique dónde y cómo aplicar la política en su organización.
Puede aplicar políticas de grupos de seguridad comunes a los siguientes tipos de recursos:
+ Instancia de Amazon Elastic Compute Cloud (Amazon EC2)
+ Elastic Network Interface
+ Equilibrador de carga de aplicación
+ Equilibrador de carga clásico
Para obtener instrucciones sobre cómo crear una política de grupo de seguridad común mediante la consola, consulte [Crear una política de grupo de seguridad común](create-policy.md#creating-firewall-manager-policy-common-security-group).
**Compartido VPCs**
En la configuración del ámbito de la política de una política de grupo de seguridad común, puede optar por incluir la compartida VPCs. Esta opción incluye las VPCs que son propiedad de otra cuenta y se comparten con una cuenta incluida en el ámbito de aplicación. VPCs siempre se incluyen las cuentas incluidas en el ámbito de aplicación. Para obtener información sobre lo compartido VPCs, consulte [Trabajar con lo compartido VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) en la Guía del *usuario de Amazon VPC*.
Las siguientes advertencias se aplican a la inclusión de lo compartido. VPCs Estas advertencias se suman a las advertencias generales sobre las políticas de grupos de seguridad que se encuentran en [Limitaciones y advertencias de las políticas de grupos de seguridad](security-group-policies.md#security-groups-limitations).
+ Firewall Manager replica el grupo de seguridad principal en la de cada cuenta VPCs incluida en el ámbito. Para una VPC compartida, Firewall Manager replica el grupo de seguridad principal una vez para cada cuenta dentro del ámbito con la que se comparte la VPC. Esto puede dar lugar a varias réplicas en una única VPC compartida.
+ Al crear una VPC compartida nueva, no la verá representada en los detalles de la política de grupo de seguridad de Firewall Manager hasta después de crear al menos un recurso en la VPC que esté dentro del ámbito de la política.
+ Al deshabilitar la opción compartida VPCs en una política que tenía VPCs habilitada la opción compartida VPCs, Firewall Manager elimina los grupos de seguridad de réplica que no están asociados a ningún recurso. Firewall Manager deja los grupos de seguridad de réplica restantes en su lugar, pero deja de administrarlos. La eliminación de estos grupos de seguridad restantes requiere la administración manual en cada instancia de VPC compartida.
**Grupos de seguridad principales**
Para cada política de grupo de seguridad común, AWS Firewall Manager proporciona uno o más grupos de seguridad principales:
+ Los grupos de seguridad principales deben ser creados por la cuenta de administrador de Firewall Manager y pueden residir en cualquier instancia de Amazon VPC de la cuenta.
+ Puede administrar grupos de seguridad principal a través de Amazon Virtual Private Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon EC2). Para obtener información, consulte [Uso de grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) en la *Guía del usuario de Amazon VPC*.
+ Puede nombrar uno o varios grupos de seguridad como principales para una política de grupo de seguridad de Firewall Manager. De forma predeterminada, el número de grupos de seguridad permitidos en una política es uno, pero puede enviar una solicitud para aumentarlo. Para obtener información, consulte [AWS Firewall Manager cuotas](fms-limits.md).
**Configuración de reglas de la política**
Puede elegir uno o más de los siguientes comportamientos de control de cambios para los grupos de seguridad y los recursos de la política de grupo de seguridad común:
+ Identifique y reporte los cambios realizados por los usuarios locales en los grupos de seguridad de réplica.
+ Desasocie cualquier otro grupo de seguridad de los AWS recursos que estén dentro del ámbito de aplicación de la política.
+ Distribuya las etiquetas del grupo primario a los grupos de seguridad de réplica.
**importante**
Firewall Manager no distribuirá las etiquetas de sistema agregadas por AWS los servicios en los grupos de seguridad de réplica. Las etiquetas del sistema comienzan por el prefijo `aws:`. Además, Firewall Manager no actualizará las etiquetas de los grupos de seguridad existentes ni creará nuevos grupos de seguridad si la política tiene etiquetas que entren en conflicto con la política de etiquetas de la organización. Para obtener información sobre las políticas de etiquetas, consulte [las políticas de etiquetas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) en la Guía del AWS Organizations usuario.
+ Distribuya las referencias del grupo de seguridad de los grupos principales a los grupos de seguridad de réplica.
Esto le permite establecer fácilmente reglas de referencia de grupos de seguridad comunes en todos los recursos incluidos en el alcance para las instancias asociadas a la VPC del grupo de seguridad especificado. Al activar esta opción, Firewall Manager solo propaga las referencias a los grupos de seguridad si los grupos de seguridad hacen referencia a grupos de seguridad del mismo nivel en Amazon Virtual Private Cloud. Si los grupos de seguridad replicados no hacen referencia correctamente al grupo de seguridad del mismo nivel, Firewall Manager marca estos grupos de seguridad replicados como no compatibles. Para obtener información sobre cómo hacer referencia a grupos de seguridad del mismo nivel en Amazon VPC, consulte [Actualizar sus grupos de seguridad para hacer referencia a grupos de seguridad del mismo nivel](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html) en la [Guía de interconexión de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/peering/).
Si no habilita esta opción, Firewall Manager no propaga las referencias de los grupos de seguridad a los grupos de seguridad de réplica. Para obtener información sobre las interconexiones de VPC en Amazon VPC, consulte la [Guía de interconexión de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/peering/).
**Creación y gestión de políticas**
Al crear la política de grupo de seguridad común, Firewall Manager replica los grupos de seguridad principales en cada instancia de Amazon VPC dentro del ámbito de la política y asocia los grupos de seguridad replicados a cuentas y recursos incluidos en el ámbito de la política. Al modificar un grupo de seguridad principal, Firewall Manager propaga el cambio a las réplicas.
Al eliminar una política de grupo de seguridad común, puede elegir si desea borrar los recursos creados por la política. Para los grupos de seguridad comunes de Firewall Manager, estos recursos son los grupos de seguridad de réplica. Elija la opción de eliminación a menos que desee administrar manualmente cada réplica individual después de eliminar la política. En la mayoría de las situaciones, elegir la opción de eliminación es el enfoque más sencillo.
**Cómo se administran las réplicas**
Los grupos de seguridad de réplica de las instancias de Amazon VPC se administran como otros grupos de seguridad de Amazon VPC. Para obtener información, consulte [Grupos de seguridad de su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) en la *Guía del usuario de Amazon VPC*.
# Utilización de las políticas del grupo de seguridad de auditoría del contenido con Firewall Manager
En esta página, se explica cómo funcionan las políticas del grupo de seguridad de auditoría del contenido de Firewall Manager.
Utilice las políticas de los grupos de seguridad de auditoría de AWS Firewall Manager contenido para auditar y aplicar acciones políticas a las reglas que se utilizan en los grupos de seguridad de su organización. Las políticas de grupos de seguridad de auditoría de contenido se aplican a todos los grupos de seguridad creados por los clientes que se utilizan en su AWS organización, según el ámbito que defina en la política.
Para obtener instrucciones sobre cómo crear una política de grupo de seguridad de auditoría de contenido mediante la consola, consulte [Crear una política de grupo de seguridad de auditoría de contenido](create-policy.md#creating-firewall-manager-policy-audit-security-group).
**Tipo de recurso de ámbito de la política**
Puede aplicar políticas de grupos de seguridad de auditoría de contenido a los siguientes tipos de recursos:
+ Instancia de Amazon Elastic Compute Cloud (Amazon EC2)
+ Elastic Network Interface
+ Grupo de seguridad de Amazon VPC
Los grupos de seguridad se consideran dentro del ámbito de la política si están explícitamente dentro del ámbito o si están asociados con recursos que están dentro del ámbito.
**Opciones de la regla de política**
Puede usar reglas de política administradas o reglas de política personalizadas para cada política de auditoría de contenido, pero no ambas.
+ **Reglas de políticas administradas**: en una política con reglas administradas, puede usar listas de aplicaciones y de protocolos para controlar las reglas que Firewall Manager audita y marca como compatibles o no compatibles. Puede usar listas administradas por el Firewall Manager. También puede crear y usar sus propias listas de aplicaciones y de protocolos. Para obtener información sobre estos tipos de listas y sus opciones de administración para las listas personalizadas, consulte [Uso de las listas que administra Firewall Manager](working-with-managed-lists.md).
+ **Reglas de política personalizadas**: en una política con reglas de política personalizadas, especifique un grupo de seguridad existente como grupo de seguridad de auditoría para su política. Puede usar las reglas del grupo de seguridad de auditoría como plantilla que defina las reglas que Firewall Manager audita y marca como compatibles o no compatibles.
**Auditar grupos de seguridad**
Debe crear grupos de seguridad de auditoría con su cuenta de administrador de Firewall Manager para poder usarlos en su política. Puede administrar grupos de seguridad a través de Amazon Virtual Private Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon EC2). Para obtener información, consulte [Uso de grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) en la *Guía del usuario de Amazon VPC*.
Firewall Manager solo utiliza un grupo de seguridad que utiliza para una política de grupo de seguridad de auditoría de contenido como referencia de comparación para los grupos de seguridad incluidos en el ámbito de la política. Firewall Manager no lo asocia con ningún recurso de su organización.
La forma en que defina las reglas en el grupo de seguridad de auditoría depende de sus elecciones en la configuración de reglas de la política:
+ **Reglas de políticas administradas**: para la configuración de las reglas de políticas administradas, se utiliza un grupo de seguridad de auditoría para anular otras configuraciones de la política y permitir o denegar explícitamente las reglas que, de otro modo, podrían tener otro resultado de compatibilidad.
+ Si decide *permitir* siempre las reglas definidas en el grupo de seguridad de auditoría, cualquier regla que coincida con una que esté definida en el grupo de seguridad de auditoría se considerará *compatible* con la política, independientemente de las demás configuraciones de la política.
+ Si decide *denegar* siempre las reglas definidas en el grupo de seguridad de auditoría, cualquier regla que coincida con una que esté definida en el grupo de seguridad de auditoría se considerará *incompatible* con la política, independientemente de las demás configuraciones de la política.
+ **Reglas de políticas personalizadas**: en el caso de la configuración de reglas de políticas personalizadas, el grupo de seguridad de auditoría proporciona un ejemplo de lo que es aceptable o no aceptable en las reglas del grupo de seguridad incluidas en el alcance:
+ Si decide *permitir* el uso de las reglas, todos los grupos de seguridad dentro del alcance solo deben tener reglas que estén *dentro* del rango permitido de las reglas de grupo de seguridad de auditoría de la política. *En este caso, las reglas de grupo de seguridad de la política proporcionan el ejemplo de lo que es aceptable hacer.*
+ Si decide *denegar* el uso de las reglas, todos los grupos de seguridad dentro del alcance solo deben tener reglas que *no estén dentro* del rango permitido de las reglas de grupo de seguridad de auditoría de la política. *En este caso, el grupo de seguridad de la política proporciona el ejemplo de lo que no es aceptable hacer.*
**Creación y gestión de políticas**
Al crear una política de grupo de seguridad de auditoría, debe tener deshabilitada la corrección automática. Se recomienda revisar los efectos de la creación de políticas antes de habilitar la corrección automática. Después de revisar los efectos esperados, puede editar la política y habilitar la corrección automática. Cuando la corrección automática está habilitada, Firewall Manager actualiza o quita reglas que no son conformes de los grupos de seguridad dentro del ámbito.
**Grupos de seguridad afectados por una política de grupo de seguridad de auditoría**
Todos los grupos de seguridad de la organización creados por el cliente pueden incluirse en el ámbito de una política de grupo de seguridad de auditoría.
Los grupos de seguridad de réplica no son creados por el cliente y, por lo tanto, no son aptos para incluirse directamente en el ámbito de una política de grupo de seguridad de auditoría. Sin embargo, se pueden actualizar como resultado de las actividades de corrección automática de la política. El grupo de seguridad principal de una política de grupo de seguridad común es creado por el cliente y puede incluirse en el ámbito de una política de grupo de seguridad de auditoría. Si una política de grupo de seguridad de auditoría realiza cambios en un grupo de seguridad principal, Firewall Manager propaga automáticamente esos cambios a las réplicas.
## Advertencias y limitaciones de las políticas de los grupos de seguridad de auditoría de contenido
No puede hacer referencia a los grupos de seguridad del mismo nivel en una política de grupo de seguridad de auditoría de contenido.
Para obtener información sobre otras consideraciones en todos los grupos de seguridad de Firewall Manager, consulte [Limitaciones y advertencias de las políticas de grupos de seguridad](security-group-policies.md#security-groups-limitations).
# Uso de políticas del grupo de seguridad de auditoría de uso con Firewall Manager
En esta página, se explica cómo funcionan las políticas del grupo de seguridad de auditoría de uso de Firewall Manager.
Utilice las políticas de grupos de seguridad de auditoría de AWS Firewall Manager uso para supervisar su organización en busca de grupos de seguridad redundantes y no utilizados y, si lo desea, realice una limpieza. Al habilitar la corrección automática para esta política, Firewall Manager hace lo siguiente:
1. Consolida grupos de seguridad redundantes, si ha elegido esa opción.
1. Elimina los grupos de seguridad no utilizados, si ha elegido esa opción.
Puede aplicar políticas de grupos de seguridad de auditoría de uso a los siguientes tipos de recursos:
+ Grupo de seguridad de Amazon VPC
Para obtener instrucciones sobre cómo crear una política de grupo de seguridad de auditoría de uso mediante la consola, consulte [Crear una política de grupo de seguridad de auditoría de uso](create-policy.md#creating-firewall-manager-policy-usage-security-group).
**Cómo detecta y corrige Firewall Manager los grupos de seguridad redundantes**
Para que los grupos de seguridad se consideren redundantes, deben tener exactamente las mismas reglas establecidas y estar en la misma instancia de Amazon VPC.
Para corregir un conjunto de grupos de seguridad redundante, Firewall Manager selecciona uno de los grupos de seguridad del conjunto que desea conservar y, a continuación, lo asocia a todos los recursos que están asociados a los demás grupos de seguridad del conjunto. A continuación, Firewall Manager desasocia los demás grupos de seguridad de los recursos a los que estaban asociados, lo que hace que no se utilicen.
**nota**
Si también ha elegido eliminar los grupos de seguridad no utilizados, Firewall Manager los elimina a continuación. Esto puede dar lugar a la eliminación de los grupos de seguridad que están en el conjunto redundante.
**Cómo detecta y corrige Firewall Manager los grupos de seguridad no utilizados**
Firewall Manager considera que un grupo de seguridad no se utiliza si se cumplen las dos condiciones siguientes:
+ Al grupo de seguridad no lo utiliza ninguna instancia de Amazon EC2 ni la interfaz de red elástica de Amazon EC2.
+ Firewall Manager no ha recibido ningún elemento de configuración correspondiente dentro del periodo en minutos especificado en la regla de la política.
El periodo de la regla de la política tiene una configuración predeterminada de cero minutos, pero puede aumentarlo hasta 365 días (525 600 minutos) para tener tiempo de asociar nuevos grupos de seguridad a los recursos.
**importante**
Si especifica una cantidad de minutos distinta del valor predeterminado de cero, debe habilitar las relaciones indirectas en AWS Config. De lo contrario, las políticas de los grupos de seguridad de auditoría de uso no funcionarán según lo previsto. Para obtener información sobre las relaciones indirectas en AWS Config, consulte [Relaciones indirectas AWS Config en](https://docs.aws.amazon.com/config/latest/developerguide/faq.html#faq-2) la Guía para *AWS Config desarrolladores*.
Firewall Manager corrige los grupos de seguridad no utilizados eliminándolos de su cuenta, si es posible, de acuerdo con la configuración de sus reglas. Si Firewall Manager no puede eliminar un grupo de seguridad, lo marca como no conforme con la política. Firewall Manager no puede eliminar un grupo de seguridad al que hace referencia otro grupo de seguridad.
La duración de la corrección varía en función de si se utiliza la configuración de periodo predeterminada o una configuración personalizada:
+ **Periodo establecido en cero, el valor predeterminado**: con esta configuración, un grupo de seguridad se considera no utilizado cuando una instancia de Amazon EC2 o una interfaz de red elástica no lo utilizan.
Para esta configuración de periodo cero, Firewall Manager corrige el grupo de seguridad inmediatamente.
+ **Periodo superior a cero**: con esta configuración, un grupo de seguridad se considera no utilizado cuando no lo utiliza una instancia de Amazon EC2 o una interfaz de red elástica y Firewall Manager no recibió un elemento de configuración para este en el plazo de minutos especificado.
Para la configuración del periodo distinto de cero, Firewall Manager corrige el grupo de seguridad después de que haya permanecido en estado no utilizado durante 24 horas.
**Especificación de cuenta predeterminada**
Al crear una política de grupo de seguridad de auditoría de uso a través de la consola, Firewall Manager selecciona automáticamente **Excluir las cuentas especificadas e incluir todas las demás**. A continuación, el servicio pone la cuenta de administrador de Firewall Manager en la lista de exclusión. Esta es la estrategia recomendada y le permite administrar manualmente los grupos de seguridad que pertenecen a la cuenta de administrador de Firewall Manager.
# Uso de las políticas de lista de control de acceso (ACL) de red de Amazon VPC con Firewall Manager
En esta sección se explica cómo funcionan las políticas de ACL de AWS Firewall Manager red y se proporciona orientación para utilizarlas. Para obtener instrucciones sobre cómo crear una política de la ACL de red mediante la consola, consulte [Creación de una política de la ACL de red](create-policy.md#creating-firewall-manager-policy-network-acl).
Para obtener información sobre las listas de control de acceso a la red de Amazon VPC (ACLs), consulte [Control del tráfico a las subredes mediante ACLs la red en la Guía](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) del usuario de Amazon *VPC*.
Puede utilizar las políticas de ACL de red de Firewall Manager para gestionar las listas de control de acceso a la red () de Amazon Virtual Private Cloud (Amazon VPCACLs) para su organización. AWS Organizations Usted define la configuración de las reglas de la ACL de red de la política en las cuentas y subredes en las que desea que se aplique la configuración. Firewall Manager aplica continuamente su configuración de las políticas y las aplica a cuentas y subredes a medida que se agregan o actualizan en toda la organización. Para obtener información sobre el alcance de la política AWS Organizations, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md) la [Guía del AWS Organizations usuario](https://docs.aws.amazon.com/organizations/latest/userguide/).
Cuando define una política de ACL de red de Firewall Manager, además de la configuración estándar de la política de Firewall Manager, como el nombre y el alcance, debe proporcionar lo siguiente:
+ Las primeras y últimas reglas para el manejo del tráfico entrante y saliente. Firewall Manager impone la presencia y el orden de estos elementos en la red ACLs que están dentro del ámbito de aplicación de la política o informa de su incumplimiento. Sus cuentas individuales pueden crear reglas personalizadas que se ejecuten entre las primeras y las últimas reglas de la política.
+ Si se debe forzar la corrección cuando esta pueda provocar conflictos en la administración del tráfico entre las reglas de la ACL de red. Esto se aplica solo cuando la corrección está habilitada para la política.
## Prácticas recomendadas para usar las políticas de la ACL de red de Firewall Manager
En esta sección se enumeran las recomendaciones para trabajar con las políticas de ACL de red y la red gestionada del Firewall Manager ACLs.
**Consulte la `FMManaged` etiqueta para identificar las redes ACLs administradas por el Firewall Manager.**
La red ACLs que administra Firewall Manager tiene la `FMManaged` etiqueta configurada en`true`. Use esta etiqueta para distinguir su propia red personalizada ACLs de las que administra a través del Firewall Manager.
**No modifique el valor de la etiqueta `FMManaged` en una ACL de red**
Firewall Manager usa esta etiqueta para establecer y determinar su estado de administración con una ACL de red.
**No modifique las asociaciones de las subredes que tienen una red gestionada por Firewall Manager. ACLs**
No cambie manualmente las asociaciones entre sus subredes y cualquier red ACLs que administre Firewall Manager. Si lo hace, puede inhabilitar la capacidad del Firewall Manager para administrar las protecciones de esas subredes. Puede identificar las redes ACLs administradas por el Firewall Manager consultando la configuración de `FMManaged` etiquetas de`true`.
Para eliminar una subred de la administración de políticas de Firewall Manager, utilice la configuración del ámbito de la política de Firewall Manager para excluir la subred. Por ejemplo, puede etiquetar la subred y, a continuación, excluirla del ámbito de la política. Para obtener más información, consulte [Uso del ámbito de aplicación AWS Firewall Manager de la política](policy-scope.md).
**Cuando actualice una ACL de red administrada, no modifique las reglas que administra Firewall Manager**
En una ACL de red que administra Firewall Manager, mantenga sus reglas personalizadas separadas de las reglas de política siguiendo el esquema de numeración descrito en [Uso de reglas y etiquetado de la ACL de red en Firewall Manager](network-acls-fms-managed.md). Agregue o modifique únicamente las reglas que tengan números entre 5000 y 32 000.
**Evite agregar demasiadas reglas a los límites de su cuenta**
Durante la corrección de una ACL de red, Firewall Manager suele aumentar temporalmente el recuento de reglas de la ACL de la red. Para evitar problemas de incumplimiento, asegúrese de tener suficiente espacio para las reglas que utilice. Para obtener más información, consulte [Cómo corrige Firewall Manager una red gestionada que no cumple las normas ACLs](network-acls-remediation.md).
**Comience con la corrección automática desactivada**
Comience con la corrección automática deshabilitada, revise la información de detalles de la política para determinar los efectos que tendría la corrección automática. Cuando esté convencido de que los cambios son lo que desea, edite la política y habilite la corrección automática.
## Advertencias sobre la política de ACL de red de Firewall Manager
En esta sección se enumeran las advertencias y limitaciones relacionadas con el uso de las políticas de la ACL de red de Firewall Manager.
+ **Tiempos de actualización más lentos que con otras políticas**: Firewall Manager generalmente aplica las políticas de ACL de red y los cambios de política más lentamente que con otras políticas de Firewall Manager, debido a las limitaciones en la velocidad a la que las ACL APIs de EC2 red de Amazon pueden procesar las solicitudes. Es posible que note que los cambios de política tardan más que los cambios similares con otras políticas del Firewall Manager, especialmente cuando agrega una política por primera vez.
+ **Para la protección inicial de subredes, Firewall Manager prefiere las políticas más antiguas**. Esto solo se aplica a las subredes que aún no están protegidas por una política de la ACL de red de Firewall Manager. Si una subred entra en el ámbito de aplicación de más de una política de la ACL de red al mismo tiempo, Firewall Manager utiliza la política más antigua para proteger la subred.
+ **Motivos por los que una política deja de proteger una subred**: una política que administra la ACL de red de una subred retiene la administración hasta que ocurra una de las siguientes situaciones:
+ La subred queda fuera del ámbito de la política.
+ Se elimina la política.
+ La asociación de la subred se cambia manualmente a una ACL de red que se administra mediante una política de Firewall Manager diferente y cuyo ámbito de aplicación es la subred.
**Topics**
+ [Prácticas recomendadas para usar las políticas de la ACL de red de Firewall Manager](#network-acls-best-practice)
+ [Advertencias sobre la política de ACL de red de Firewall Manager](#network-acls-caveats)
+ [Uso de reglas y etiquetado de la ACL de red en Firewall Manager](network-acls-fms-managed.md)
+ [Cómo Firewall Manager inicia la administración de la ACL de red para una subred](network-acls-initialization.md)
+ [Cómo corrige Firewall Manager una red gestionada que no cumple las normas ACLs](network-acls-remediation.md)
+ [Eliminación de una política de la ACL de red de Firewall Manager](network-acls-deletion.md)
# Uso de reglas y etiquetado de la ACL de red en Firewall Manager
En esta sección se describen las especificaciones de las reglas de política de ACL de red y la red ACLs que administra Firewall Manager.
**Etiquetado en una ACL de red administrada**
Firewall Manager etiqueta una ACL de red administrada con la etiqueta `FMManaged` que tiene el valor `true`. Firewall Manager solo realiza la corrección en las redes ACLs que tienen esta configuración de etiqueta.
**Reglas que usted define en la política**
En las especificaciones de la política de la ACL de la red, usted define las reglas que desea ejecutar en primer y último lugar tanto para el tráfico entrante como para el tráfico saliente.
De forma predeterminada, puede definir hasta 5 reglas de entrada para utilizarlas en la combinación que desee entre la primera y la última regla de la política. Del mismo modo, puede definir hasta 5 reglas de salida. Para obtener más información sobre estos límites, consulte [Cuotas flexibles](fms-limits.md#fms-limits-mutable). Para obtener información sobre los límites generales de la red ACLs, consulte las [cuotas de Amazon VPC en la red ACLs en la Guía](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls) del usuario de Amazon *VPC*.
No se asignan números de regla a las reglas de la política. En su lugar, usted especifica las reglas en el orden en que desea que se evalúen y Firewall Manager utiliza ese orden para asignar números de reglas en la red ACLs que administra.
Además, administre las especificaciones de las reglas de la ACL de red de la política del mismo modo que administraría las reglas de una ACL de red a través de Amazon VPC. Para obtener información sobre la administración de las ACL de red en Amazon VPC, consulte [Controlar el tráfico a las subredes mediante la red ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) y [Trabajar con la red en ACLs la Guía](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) del usuario de Amazon **VPC**.
**Reglas en una ACL de red administrada**
Firewall Manager configura las reglas en una ACL de red que administra colocando la primera y última regla de la política antes y después de cualquier regla personalizada definida por un administrador de cuentas individual. Firewall Manager conserva el orden de las reglas personalizadas. ACLs Las redes se evalúan a partir de la regla con el número más bajo.
Cuando Firewall Manager crea por primera vez una ACL de red, define las reglas con la siguiente numeración:
+ **Primeras reglas: 1, 2, …** - Las define usted en la política de la ACL de red de Firewall Manager.
Firewall Manager asigna números de regla comenzando desde 1 y aumentando de uno en uno, manteniendo el orden especificado en la configuración de la política.
+ **Reglas personalizadas: 5000, 5100, …** - Administradas por administradores de cuentas individuales a través de Amazon VPC.
Firewall Manager asigna números a estas reglas comenzando desde 5000 y aumentando de 100 en 100 para cada regla subsiguiente.
+ **Últimas reglas: … 32 765, 32 766** - Las define usted en la política de la ACL de red de Firewall Manager.
Firewall Manager asigna números de regla que comienzan desde el número más alto posible, 32 766, aumentando de uno en uno y manteniendo el orden especificado en la configuración de la política.
Tras la inicialización de la ACL de la red, el Firewall Manager no controla los cambios que las cuentas individuales realizan en su red ACLs gestionada. Las cuentas individuales pueden cambiar una ACL de red sin infringir la normativa, siempre que las reglas personalizadas permanezcan numeradas entre la primera y la última regla de la política, y que la primera y la última regla mantengan el orden especificado. Como práctica recomendada, cuando administre las reglas personalizadas, siga la numeración que se describe en esta sección.
# Cómo Firewall Manager inicia la administración de la ACL de red para una subred
En esta sección, se explica cómo Firewall Manager inicia la administración de la ACL de red para una subred.
Firewall Manager comienza a administrar la ACL de red de una subred cuando se asocia la subred a una ACL de red que ha sido creada y etiquetada con `FMManaged` por Firewall Manager con la configuración `true`.
El cumplimiento de una política de la ACL de red exige que la ACL de la subred disponga las primeras reglas de la política al inicio, en el orden establecido, las últimas reglas al final en el mismo orden, y cualquier regla personalizada ubicada entre ambas. Estos requisitos pueden cumplirse mediante una ACL de red no administrada ya asociada a la subred o mediante una ACL de red administrada.
Cuando Firewall Manager aplica una política de ACL de red a una subred asociada a una ACL de red no administrada, Firewall Manager realiza las siguientes comprobaciones en orden, deteniéndose al identificar una opción viable:
1. **La ACL de red asociada ya es compatible**: si la ACL de red que está actualmente asociada a la subred es compatible, Firewall Manager deja esa asociación en su lugar y no inicia la administración de la ACL de red para la subred.
Firewall Manager no altera ni administra de otro modo una ACL de red que no sea de su propiedad, pero, siempre que sea compatible, Firewall Manager la deja en su lugar y se limita a supervisarla para comprobar el cumplimiento de las políticas.
1. **La ACL de red administrada compatible está disponible**: esta es una opción si Firewall Manager ya administra una ACL de red que cumple con la configuración requerida. Si la corrección está habilitada, Firewall Manager la asocia la subred. Si la corrección está deshabilitada, Firewall Manager marca la subred como no compatible y ofrece la posibilidad de reemplazar la asociación de la ACL de red como opción de corrección.
1. **Se crea una nueva ACL de red administrada compatible**: si la corrección está habilitada, Firewall Manager crea una nueva ACL de red y la asocia a la subred. De lo contrario, Firewall Manager marca la subred como no compatible y ofrece las opciones de corrección para crear la nueva ACL de red y reemplazar la asociación de la ACL de red.
Si estos pasos fallan, Firewall Manager informa sobre el incumplimiento de la subred.
Firewall Manager sigue estos pasos cuando una subred entra en el ámbito por primera vez y cuando la ACL de red no administrada de una subred no cumple con las normas.
# Cómo corrige Firewall Manager una red gestionada que no cumple las normas ACLs
En esta sección, se describe cómo Firewall Manager corrige su red gestionada ACLs cuando no cumple con la política. Firewall Manager solo corrige la red administrada ACLs, con la `FMManaged` etiqueta establecida en. `true` Para redes ACLs que no están administradas por Firewall Manager, consulte[Administración inicial de la ACL de red](network-acls-initialization.md).
La corrección restaura las ubicaciones relativas de la primera regla, la regla personalizada y la última regla, y restablece el orden de la primera y la última regla. Durante la corrección, Firewall Manager no moverá necesariamente las reglas a los números de regla que utiliza en la inicialización de la ACL de red. Para ver la configuración numérica inicial y las descripciones de estas categorías de reglas, consulte [Administración inicial de la ACL de red](network-acls-initialization.md).
Para establecer reglas y un orden de reglas compatibles, es posible que Firewall Manager necesite mover las reglas dentro de la ACL de red. En la medida de lo posible, Firewall Manager preserva las protecciones de la ACL de red al mantener el orden de reglas compatibles existentes. Por ejemplo, podría duplicar de forma temporal las reglas en nuevas ubicaciones y, a continuación, eliminar de forma ordenada las reglas originales para conservar así las ubicaciones relativas durante el proceso.
Este enfoque protege la configuración, pero también requiere espacio en la ACL de red para las reglas provisionales. Si Firewall Manager alcanza el límite de reglas en una ACL de red, detendrá la corrección. Cuando esto ocurre, la ACL de red sigue sin cumplir las normas y Firewall Manager informa sobre el motivo.
Si una cuenta agrega reglas personalizadas a una ACL de red administrada por Firewall Manager y esas reglas interfieren con la corrección, Firewall Manager detiene cualquier actividad de corrección en la ACL de red e informa sobre el conflicto.
**Corrección forzosa**
Al elegir la corrección automática para la política, también especifica si desea forzar la corrección para la primera regla o para la última regla.
Cuando Firewall Manager detecta un conflicto en la administración del tráfico entre una regla personalizada y una regla de política, hace referencia a la configuración de corrección forzosa correspondiente. Si la corrección forzosa está habilitada, Firewall Manager la aplica a pesar del conflicto. Si esta opción no está habilitada, Firewall Manager detiene la corrección. En cualquier caso, Firewall Manager informa sobre el conflicto de reglas y ofrece opciones de corrección.
**Requisitos y limitaciones del recuento de reglas**
Durante la corrección, Firewall Manager puede duplicar de forma temporal las reglas para moverlas sin alterar las protecciones que proporcionan.
Tanto para las reglas de entrada como de salida, el mayor número de reglas que Firewall Manager puede necesitar para hacer la corrección es el siguiente:
```
2 * (the number of rules defined in the policy for the traffic direction)
+
the number of custom rules defined in the network ACL for the traffic direction
```
Las políticas de red ACLs y ACL de red están sujetas a límites de reglas mutables. Si Firewall Manager alcanza un límite en sus esfuerzos de corrección, deja de intentar corregir e informa sobre el incumplimiento.
Para dejar espacio para que Firewall Manager lleve a cabo sus actividades de corrección, puede solicitar un aumento del límite. Como alternativa, puede cambiar la configuración de la política o la ACL de red para reducir el número de reglas utilizadas.
Para obtener información sobre los límites de ACL de la red, consulte [las cuotas de Amazon VPC en la red ACLs en la](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls) Guía del usuario de Amazon *VPC*.
**Cuando falla la corrección**
Al actualizar una ACL de red, si Firewall Manager necesita detenerse por algún motivo, no revierte los cambios, sino que deja la ACL de red en un estado provisional. Si ve reglas duplicadas en una ACL de red que tiene la etiqueta `FMManaged` configurada en `true`, lo más probable es que Firewall Manager esté trabajando para corregir el problema. Es posible que los cambios se hayan completado de manera parcial durante un periodo, pero, debido al enfoque que adopta Firewall Manager para llevar a cabo la remediación, esto no interrumpirá el tráfico ni reducirá la protección de las subredes asociadas.
Cuando Firewall Manager no corrige por completo la red ACLs que no cumple con las normas, informa de la no conformidad de las subredes asociadas y sugiere posibles opciones de corrección.
**Reintento después de un fallo de corrección**
En la mayoría de los casos, si Firewall Manager no completa los cambios de corrección en una ACL de red, eventualmente volverá a intentar el cambio.
La excepción a esto ocurre cuando la corrección alcanza el límite de recuento de reglas de la ACL de red o el límite de recuento de la ACL de red de la VPC. Firewall Manager no puede realizar actividades de corrección que consuman AWS recursos por encima de su configuración límite. En estos casos, es necesario reducir los recuentos o aumentar los límites para poder continuar. Para obtener información sobre los límites, consulte las [cuotas de Amazon VPC en la red ACLs en la Guía](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls) del usuario de Amazon *VPC*.
## Informes de cumplimiento de la ACL de red de Firewall Manager
Firewall Manager supervisa e informa sobre el cumplimiento de todas las redes ACLs que están conectadas a las subredes incluidas en el ámbito de aplicación.
En términos generales, el incumplimiento se produce en situaciones como un orden incorrecto de las reglas o un conflicto en el comportamiento de administración del tráfico entre las reglas de política y las reglas personalizadas. Los informes de incumplimiento incluyen las infracciones de conformidad y las opciones de corrección.
Firewall Manager informa sobre las infracciones de cumplimiento de una política de ACL de red de la misma manera que para otros tipos de políticas. Para obtener más información sobre los informes de cumplimiento, consulte [Visualización de la información de cumplimiento de una AWS Firewall Manager política](fms-compliance.md).
**Incumplimiento durante las actualizaciones de la política**
Después de modificar una política de ACL de red, hasta que Firewall Manager actualice las redes ACLs que están dentro del ámbito de la política, Firewall Manager marca las redes que ACLs no cumplen con las normas. Firewall Manager lo hace incluso si la red ACLs puede, estrictamente hablando, cumplir con las normas.
Por ejemplo, si elimina las reglas de la especificación de la política y la red incluida en el ámbito de aplicación ACLs todavía tiene las reglas adicionales, es posible que sus definiciones de reglas sigan cumpliendo con la política. Sin embargo, dado que las reglas adicionales forman parte de las reglas que administra Firewall Manager, Firewall Manager las considera infracciones de la configuración de políticas actual. Esto es diferente de la forma en que el Administrador de Firewall ve las reglas personalizadas que se agregan a la red gestionada por el Firewall Manager ACLs.
# Eliminación de una política de la ACL de red de Firewall Manager
En esta sección, se explica lo que ocurre en Firewall Manager cuando elimina una política de la ACL de red de Firewall Manager.
Al eliminar una política de ACL de red de Firewall Manager, Firewall Manager cambia los valores de las `FMManaged` etiquetas a `false` en todas las redes ACLs que ha estado administrando para la política.
Además, puede elegir limpiar los recursos creados por la política. Si elige limpiarlos, Firewall Manager intentará realizar los siguientes pasos en orden:
1. **Volver a establecer la asociación original**: Firewall Manager intenta volver a asociar la subred a la ACL de red a la que estaba asociada antes de que Firewall Manager comenzara a administrarla.
1. **Eliminar la primera y la última regla de la ACL de red**: si no puede cambiar la asociación, Firewall Manager intenta eliminar la primera y la última regla de la política solo para las reglas personalizadas en la ACL de la red que está asociada a la subred.
1. **No alterar las reglas ni la asociación**: si no puede llevar a cabo ninguna de las opciones anteriores, Firewall Manager deja la ACL de red y su asociación tal como están.
Si no elige la opción de limpieza, tendrá que administrar manualmente cada ACL de red después de eliminar la política. En la mayoría de las situaciones, elegir la opción de eliminación es el enfoque más sencillo.
# Uso de AWS Network Firewall políticas en Firewall Manager
En esta sección se explica cómo utilizar AWS Network Firewall las políticas con el Firewall Manager.
Puede utilizar *las políticas AWS Firewall Manager * de Network Firewall para gestionar los AWS Network Firewall *firewalls* de su Amazon Virtual Private Cloud *VPCs*en toda su *organización* en AWS Organizations. Puede aplicar firewalls controlados de forma centralizada a toda su organización o a un subconjunto selecto de sus cuentas y. VPCs
Network Firewall proporciona protecciones de filtrado de tráfico de red para las subredes públicas de su VPCs. Firewall Manager crea y administra sus firewalls en función del *tipo de administración de firewall* definido por su política. Firewall Manager proporciona los siguientes modelos de administración de firewall:
+ **Distribuido**: para cada cuenta y VPC que se encuentra dentro del alcance de la política, Firewall Manager crea un firewall de Network Firewall e implementa puntos de conexión de firewall en las subredes de VPC para filtrar el tráfico de la red.
+ **Centralizado**: Firewall Manager crea un único firewall de Network Firewall en una única Amazon VPC.
+ **Importar firewalls existentes**: Firewall Manager importa los firewalls existentes para su administración en una única política de Firewall Manager. Puede aplicar reglas adicionales a los firewalls importados administrados por su política para asegurarse de que cumplen con sus estándares de seguridad.
**nota**
Las políticas de Firewall Manager Network Firewall son políticas de Firewall Manager que se utilizan para administrar las protecciones del Firewall de red VPCs en toda la organización.
Las protecciones de Network Firewall se especifican en los recursos del servicio Network Firewall que se denominan políticas de firewall.
Para obtener más información sobre Network Firewall, consulte la [Guía para desarrolladores de AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html).
En las siguientes secciones se describen los requisitos para utilizar las políticas de Firewall Manager Network Firewall y se describe su funcionamiento. Para conocer el procedimiento para crear la política, consulte [Crear una AWS Firewall Manager política para AWS Network Firewall](create-policy.md#creating-firewall-manager-policy-for-network-firewall).
**importante**
**Debe habilitar el uso compartido de recursos.** Una política de Network Firewall comparte los grupos de reglas de Network Firewall entre las cuentas de su organización. Para que esto funcione, debe tener activado el uso compartido de recursos para AWS Organizations. Para obtener información acerca de cómo habilitar el uso compartido de recursos, consulte [Uso compartido de recursos para las políticas de Network Firewall y DNS Firewall](resource-sharing.md).
**importante**
**Debe tener definidos sus grupos de reglas de Network Firewall. ** Cuando especifica una nueva política de Network Firewall, define la política de firewall de la misma manera que cuando la usa AWS Network Firewall directamente. Especifique los grupos de reglas sin estado que desea agregar, las acciones sin estado predeterminadas y los grupos de reglas con estado. Sus grupos de reglas deben existir ya en la cuenta de administrador del Firewall Manager para que pueda incluirlos en la política. Para obtener información sobre cómo crear grupos de reglas de Network Firewall, consulte [Grupos de reglas de AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html).
**Topics**
+ [Cómo crea Firewall Manager los puntos de conexión del firewall](fms-create-firewall-endpoints.md)
+ [Cómo administra Firewall Manager sus subredes de firewall](fms-manage-firewall-subnets.md)
+ [Cómo administra Firewall Manager sus recursos de Network Firewall](fms-manage-network-firewall.md)
+ [Cómo Firewall Manager administra y supervisa las tablas de enrutamiento de VPC para su política](fms-manage-vpc-route-tables.md)
+ [Configuración del registro para una AWS Network Firewall política](nwfw-policies-logging-config.md)
# Cómo crea Firewall Manager los puntos de conexión del firewall
En esta sección se explica cómo Firewall Manager crea puntos de conexión del firewall.
El *tipo de administración de firewall* de su política determina la forma en que Firewall Manager crea los firewalls. Su política puede crear firewalls *distribuidos*, un firewall *centralizado* o puede **importar firewalls existentes**:
+ **Distributed**: con el modelo de implementación distribuida, Firewall Manager crea puntos de conexión en cada VPC que se encuentre dentro del alcance de la política. Puede personalizar la ubicación de los puntos de conexión especificando en qué zonas de disponibilidad desea crear puntos de conexión del firewall, o Firewall Manager puede crear puntos de conexión automáticamente en las zonas de disponibilidad con subredes públicas. Si elige manualmente las zonas de disponibilidad, tiene la opción de restringir el conjunto de zonas de disponibilidad permitidas CIDRs por zona de disponibilidad. Si decide permitir que Firewall Manager cree automáticamente los puntos de conexión, también debe especificar si el servicio va a crear un único punto de conexión o varios puntos de conexión de firewall dentro de su servidor. VPCs
+ Para varios puntos de conexión de firewall, Firewall Manager implementa un punto de conexión de firewall en cada zona de disponibilidad en la que tenga una subred con una puerta de enlace de Internet o una ruta de punto de conexión de firewall creada por Firewall Manager en la tabla de enrutamiento. Esta es la opción predeterminada para una política de Network Firewall.
+ Para un único punto de conexión de firewall, Firewall Manager implementa un punto de conexión de firewall en una sola zona de disponibilidad en cualquier subred que tenga una ruta de puerta de enlace de Internet. Con esta opción, el tráfico en otras zonas debe cruzar los límites de la zona para que el firewall lo filtre.
**nota**
Para ambas opciones, debe haber una subred asociada a una tabla de rutas que contenga una ruta IPv4 /prefixlist. Firewall Manager no comprueba si hay otros recursos.
+ **Centralizado**: con el modelo de implementación centralizada, Firewall Manager crea uno o más puntos de conexión de firewall dentro de una *VPC de inspección*. Una VPC de inspección es una VPC central en la que Firewall Manager lanza sus puntos de conexión. Cuando utiliza el modelo de implementación centralizada, también especifica en qué zonas de disponibilidad desea crear puntos de conexión de firewall. No puede cambiar la VPC de inspección después de crear su política. Para usar una VPC de inspección distinta, debe crear una política nueva.
+ **Importar firewalls existentes**: al importar firewalls existentes, elija los firewalls que desea administrar en su política agregando uno o más *conjuntos de recursos* a su política. Un conjunto de recursos es una colección de recursos, en este caso firewalls existentes en Network Firewall, que son administrados por una cuenta de su organización. Antes de utilizar conjuntos de recursos en la política, primero debe crear un conjunto de recursos. Para obtener información sobre los conjuntos de recursos de Firewall Manager, consulte [Agrupación de los recursos en Firewall Manager](fms-resource-sets.md).
Tenga en cuenta las siguientes consideraciones al trabajar con firewalls importados:
+ Si un firewall importado deja de ser compatible, Firewall Manager intentará resolver automáticamente la infracción, excepto en las siguientes circunstancias:
+ Si no coinciden las acciones predeterminadas con o sin estado de la política de Firewall Manager y Network Firewall.
+ Si un grupo de reglas de la política de firewall de un firewall importado tiene la misma prioridad que un grupo de reglas de la política de Firewall Manager.
+ Si un firewall importado usa una política de firewall asociada a un firewall, esa política no forma parte del conjunto de recursos de la política. Esto puede suceder porque un firewall puede tener exactamente una política de firewall, pero una única política de firewall puede estar asociada a varios firewalls.
+ Si se asigna una prioridad diferente a un grupo de reglas preexistente que pertenece a la política de firewall de un firewall importado y que también se especifica en la política del Firewall Manager.
+ Si habilita la limpieza de recursos en la política, el Firewall Manager elimina los grupos de reglas que han estado en la política de importación de FMS de los firewalls dentro del alcance del conjunto de recursos.
+ Los firewalls administrados por un Firewall Manager importan el tipo de administración de firewall existente solo pueden ser administrados por una política a la vez. Si se agrega el mismo conjunto de recursos a varias políticas de importación de firewalls de red, los firewalls del conjunto de recursos serán administrados por la primera política a la que se agregó el conjunto de recursos y serán ignorados por la segunda política.
+ Actualmente, Firewall Manager no transmite configuraciones de políticas de excepción. Para obtener información sobre las políticas de excepciones de transmisión, consulte la [Política de excepción de transmisión)](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-settings.html#:~:text=Stream%20exception%20policy) en la *Guía para desarrolladores de AWS Network Firewall *.
+ La importación de firewalls existentes no admite la importación de firewalls conectados a la pasarela de Transit.
Si cambia la lista de zonas de disponibilidad para las políticas que utilizan una administración de firewall distribuida o centralizada, Firewall Manager intentará limpiar todos los puntos de conexión que se hayan creado en el pasado, pero que actualmente no estén dentro del alcance de la política. Firewall Manager eliminará el punto de conexión solo si no hay rutas de la tabla de enrutamiento que hagan referencia al punto de conexión fuera del alcance. Si Firewall Manager descubre que no puede eliminar estos puntos de conexión, marcará la subred del firewall como no compatible y seguirá intentando eliminar el punto de conexión hasta que sea seguro eliminarlo.
# Cómo administra Firewall Manager sus subredes de firewall
En esta sección, se explica cómo Firewall Manager administra sus subredes de firewall.
Las subredes de firewall son las subredes de VPC que Firewall Manager crea para los puntos de conexión de firewall que filtran el tráfico de su red. Cada punto de conexión de firewall debe implementarse en una subred de VPC dedicada. Firewall Manager crea al menos una subred de firewall en cada VPC que esté dentro del alcance de aplicación de la política.
Para las políticas que utilizan el modelo de implementación distribuida con configuración automática de puntos de conexión, Firewall Manager solo crea subredes de firewall en las zonas de disponibilidad que tienen una subred con una ruta de puerta de enlace de Internet o una subred con una ruta a los puntos de conexión de firewall que Firewall Manager creó para su política. Para obtener más información, consulte [VPCs las subredes](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-subnet-basics) en la Guía del usuario de *Amazon VPC*.
Para las políticas que utilizan el modelo distribuido o centralizado, en el que se especifican las zonas de disponibilidad en las que el Firewall Manager crea los puntos de conexión del firewall, Firewall Manager crea un punto de conexión en esas zonas de disponibilidad específicas, independientemente de si hay otros recursos en la zona de disponibilidad.
Al definir por primera vez una política de Firewall de Red, se especifica cómo el Firewall Manager administra las subredes del firewall en cada una de las VPCs que están dentro del ámbito. No podrá cambiar esta opción más adelante.
En el caso de las políticas que utilizan el modelo de implementación distribuido con una configuración automática de puntos de conexión, puede elegir entre las siguientes opciones:
+ Implemente una subred de firewall para cada zona de disponibilidad que tenga subredes públicas. Este es el comportamiento predeterminado. Esto proporciona una alta disponibilidad de sus protecciones de filtrado de tráfico.
+ Implemente una única subred de firewall en una zona de disponibilidad. Con esta opción, Firewall Manager identifica una zona de la VPC que tiene mayor cantidad de subredes públicas y crea la subred de firewall allí. El único punto de conexión del firewall filtra todo el tráfico de red para la VPC. Esto puede reducir los costos del firewall, pero no tiene alta disponibilidad y requiere que el tráfico de otras zonas cruce los límites de la zona para poder ser filtrado.
Para las políticas que utilizan un modelo de implementación distribuido con una configuración de punto de conexión personalizada o el modelo de implementación centralizado, Firewall Manager crea las subredes en las zonas de disponibilidad especificadas que se encuentran dentro del alcance de la política.
Puede proporcionar bloques CIDR de VPC para que Firewall Manager los utilice en las subredes del firewall o puede dejar que Firewall Manager determine la elección de las direcciones de punto de conexión del firewall.
+ Si no proporciona bloques CIDR, Firewall Manager le solicitará las direcciones IP disponibles VPCs para su uso.
+ Si proporciona una lista de bloques de CIDR, el Firewall Manager busca nuevas subredes solo en los bloques de CIDR que proporcione. Debe usar bloques CIDR de /28. Para cada subred de firewall que crea Firewall Manager, recorre su lista de bloques de CIDR y usa la primera que encuentra que es aplicable a la zona de disponibilidad y a la VPC y que tiene direcciones disponibles. Si Firewall Manager no puede encontrar espacios abiertos en la VPC (con o sin la restricción), el servicio no creará un firewall en la VPC.
Si Firewall Manager no puede crear una subred de firewall requerida en una zona de disponibilidad, marca la subred como no compatible con la política. Mientras la zona se encuentre en este estado, el tráfico de la zona debe cruzar los límites de la zona para que un punto de conexión de otra zona pueda filtrarlo. Esto es similar al escenario de una única subred de firewall.
# Cómo administra Firewall Manager sus recursos de Network Firewall
En esta sección, se describe cómo administrar los recursos de Network Firewall en Firewall Manager.
Al definir la política en el Firewall Manager, se proporciona el comportamiento de filtrado del tráfico de red de una política de AWS Network Firewall firewall estándar. Puede agregar grupos de reglas de Network Firewall sin estado y con estado y especificar las acciones predeterminadas para los paquetes que no coincidan con ninguna regla sin estado. Para obtener información sobre cómo trabajar con las políticas de firewall AWS Network Firewall, consulte las [políticas de AWS Network Firewall firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html).
Para políticas distribuidas y centralizadas, cuando guarde la política de Network Firewall, Firewall Manager crea un firewall y una política de firewall en cada VPC que esté dentro del alcance de la política. Firewall Manager asigna un nombre a estos recursos de Network Firewall mediante la concatenación de los siguientes valores:
+ Una cadena fija, `FMManagedNetworkFirewall` o bien `FMManagedNetworkFirewallPolicy`, según el tipo de recurso.
+ Nombre de la política de Firewall Manager. Es el nombre que asigna al crear la política.
+ ID de la política de Firewall Manager. Este es el ID AWS de recurso de la política del Firewall Manager.
+ ID de Amazon VPC. Este es el ID AWS de recurso de la VPC en la que Firewall Manager crea el firewall y la política de firewall.
A continuación se muestra un nombre de ejemplo para un firewall administrado por Firewall Manager:
```
FMManagedNetworkFirewallEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId
```
A continuación se muestra un ejemplo de nombre de política de firewall:
```
FMManagedNetworkFirewallPolicyEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId
```
Tras crear la política, las cuentas de los miembros de la no VPCs pueden anular la configuración de la política de firewall ni los grupos de reglas, pero pueden añadir grupos de reglas a la política de firewall que haya creado Firewall Manager.
# Cómo Firewall Manager administra y supervisa las tablas de enrutamiento de VPC para su política
En esta sección, se explica cómo Firewall Manager administra y supervisa las tablas de enrutamiento de VPC.
**nota**
Actualmente, la administración de tablas de enrutamiento no es compatible con las políticas que utilizan el modelo de implementación centralizada.
Cuando Firewall Manager crea los puntos de conexión del firewall, también crea las tablas de enrutamiento de VPC para ellos. Sin embargo, Firewall Manager no administra las tablas de enrutamiento de la VPC. Debe configurar las tablas de enrutamiento de la VPC para dirigir el tráfico de red a los puntos de conexión del firewall creados por Firewall Manager. Con las mejoras de enrutamiento de ingreso de Amazon VPC, cambie las tablas de enrutamiento para enrutar el tráfico a través de los nuevos puntos de conexión del firewall. Los cambios deben insertar los puntos de conexión del firewall entre las subredes que desea proteger y las ubicaciones externas. El enrutamiento exacto que debe realizar depende de su arquitectura y sus componentes.
Actualmente, Firewall Manager permite supervisar las rutas de la tabla de enrutamiento de la VPC para detectar cualquier tráfico destinado a la puerta de enlace de Internet, es decir, que esté eludiendo el firewall. Firewall Manager no admite otras puertas de enlace de destino, como las puertas de enlace NAT.
Para obtener información sobre la administración de las tablas de enrutamiento de la VPC, consulte [Administrar las tablas de enrutamiento de su VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) en la *Guía del usuario de Amazon Virtual Private Cloud*. Para obtener información sobre la administración de las tablas de enrutamiento para Network Firewall, consulte [Configuraciones de tablas de enrutamiento de AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/route-tables.html) en la *Guía para desarrolladores de AWS Network Firewall *.
Cuando habilita la supervisión de una política, Firewall Manager supervisa continuamente las configuraciones de rutas de la VPC y le alerta sobre el tráfico que elude la inspección del firewall de esa VPC. Si una subred tiene una ruta de punto de conexión de firewall, Firewall Manager busca las siguientes rutas:
+ Rutas para enviar el tráfico al punto de conexión de Network Firewall.
+ Rutas para reenviar el tráfico desde el punto de conexión de Network Firewall a la puerta de enlace de Internet.
+ Rutas entrantes desde la puerta de enlace de Internet al punto de conexión de Network Firewall.
+ Rutas desde la subred del firewall.
Si una subred tiene una ruta de Network Firewall, pero hay un enrutamiento asimétrico en el Firewall de red y en la tabla de enrutamiento de la puerta de enlace de Internet, Firewall Manager informa que la subred no es compatible. Firewall Manager también detecta las rutas a la puerta de enlace de Internet en la tabla de enrutamiento del firewall que creó Firewall Manager, así como en la tabla de enrutamiento de la subred, y las informa como no compatibles. Las rutas adicionales de la tabla de enrutamiento de subred de Network Firewall y la tabla de enrutamiento de la puerta de enlace de Internet también se reportan como no compatibles. Según el tipo de infracción, Firewall Manager sugiere acciones correctivas para que la configuración de la ruta cumpla con las normas. Firewall Manager no ofrece sugerencias en todos los casos. Por ejemplo, si la subred de su cliente tiene un punto de conexión de firewall que se creó fuera de Firewall Manager, Firewall Manager no sugiere acciones correctivas.
De forma predeterminada, Firewall Manager marcará cualquier tráfico que cruce el límite de la zona de disponibilidad para su inspección como no compatible. Sin embargo, si decide crear automáticamente un punto de conexión único en su VPC, Firewall Manager no marcará el tráfico que cruce el límite de la zona de disponibilidad como no compatible.
En el caso de las políticas que utilizan modelos de implementación distribuidos con una configuración de punto de conexión personalizada, puede elegir si el tráfico que cruza el límite de la zona de disponibilidad desde una zona de disponibilidad sin un punto de conexión de firewall se marca como compatible o no.
**nota**
Firewall Manager no sugiere acciones correctivas para rutas que no sean IPv4 rutas, como IPv6 las rutas con listas de prefijos.
Las llamadas realizadas mediante la llamada a la API `DisassociateRouteTable` pueden demorar hasta 12 horas en detectarse.
Firewall Manager crea una tabla de enrutamiento de Network Firewall para una subred que contiene los puntos de conexión del firewall. Firewall Manager asume que esta tabla de enrutamiento contiene solo rutas de puerta de enlace de Internet válidas y rutas predeterminadas de VPC. Cualquier ruta adicional o no válida de esta tabla de enrutamiento se considera no compatible.
Cuando configura su política de Firewall Manager, si elige el modo **Supervisar**, Firewall Manager proporciona detalles sobre las infracciones de recursos y las correcciones relacionadas con sus recursos. Puede utilizar estas acciones correctivas sugeridas para solucionar problemas de enrutamiento en sus tablas de enrutamiento. Si selecciona el modo **Desactivado**, Firewall Manager no supervisa el contenido de la tabla de enrutamiento por usted. Con esta opción, puede administrar las tablas de enrutamiento de VPC. Para obtener más información acerca de estas infracciones de recursos, consulte [Visualización de la información de cumplimiento de una AWS Firewall Manager política](fms-compliance.md).
**aviso**
Si selecciona **Supervisar** en la **configuración de AWS Network Firewall rutas** al crear su política, no podrá desactivarla para esa política. Sin embargo, si elige **Desactivar**, podrás habilitarla más adelante.
# Configuración del registro para una AWS Network Firewall política
Esta sección explica cómo puede habilitar el registro centralizado para sus políticas de Network Firewall para obtener información detallada sobre el tráfico dentro de su organización. Puede seleccionar el registro de flujo para capturar el flujo de tráfico de la red o el registro de alertas para informar del tráfico que coincide con una regla con la acción de la regla establecida en `DROP` o en `ALERT`. Para obtener más información sobre el registro de AWS Network Firewall , consulte [Registro del tráfico de red desde AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html) en la *Guía para desarrolladores de AWS Network Firewall *.
Envíe los registros desde los firewalls de Network Firewall de su política a un bucket de Amazon S3. Después de habilitar el registro, AWS Network Firewall entrega los registros de cada Network Firewall configurado actualizando la configuración del firewall para entregar los registros a los buckets de Amazon S3 seleccionados con el AWS Firewall Manager prefijo reservado,. `-`
**nota**
Firewall Manager utiliza este prefijo para determinar si Firewall Manager agregó una configuración de registro o si la agregó el propietario de la cuenta. Si el propietario de la cuenta intenta usar el prefijo reservado para su propio registro personalizado, la configuración de registro de la política del Firewall Manager lo sobrescribe.
Para obtener más información sobre cómo crear un bucket de Amazon S3 y revisar los registros almacenados, consulte [¿Qué es Amazon S3?](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) en la *Guía del usuario de Amazon Simple Storage Service*.
Para habilitar el registro, debe cumplir con los siguientes requisitos:
+ El Amazon S3 que especifique en su política de Firewall Manager debe existir.
+ Debe tener los siguientes permisos:
+ `logs:CreateLogDelivery`
+ `s3:GetBucketPolicy`
+ `s3:PutBucketPolicy`
+ Si el bucket de Amazon S3 que es su destino de registro utiliza cifrado del lado del servidor con claves almacenadas en él AWS Key Management Service, debe añadir la siguiente política a la clave AWS KMS gestionada por el cliente para permitir que Firewall Manager inicie sesión en su CloudWatch grupo de registros:
```
{
"Effect": "Allow",
"Principal": {
"Service": "delivery.logs.amazonaws.com"
},
"Action": [
"kms:Encrypt*",
"kms:Decrypt*",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:Describe*"
],
"Resource": "*"
}
```
Tenga en cuenta que solo los buckets de la cuenta de administrador del Firewall Manager se pueden usar para el registro de AWS Network Firewall centralizado.
Cuando habilita el registro centralizado en una política de Network Firewall, Firewall Manager realiza las siguientes acciones en su cuenta:
+ Firewall Manager actualiza los permisos en los buckets S3 seleccionados para permitir la entrega de registros.
+ Firewall Manager crea directorios en el bucket de S3 para cada cuenta de miembro dentro del alcance de la política. Los registros de cada cuenta se encuentran en `/-/AWSLogs/`.
**Habilitación del registro de una política de Network Firewall**
1. Cree un bucket de Amazon S3 con la cuenta de administrador de Firewall Manager. Para obtener más información, consulte [Creación de un bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) en la *Guía del usuario de Amazon Simple Storage Service*.
1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
1. En el panel de navegación, seleccione **Políticas de Seguridad**.
1. Elija la política de Network Firewall para la que desea habilitar el registro. Para obtener más información sobre el AWS Network Firewall registro, consulte [Registrar el tráfico de red AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html) en la *Guía para AWS Network Firewall desarrolladores*.
1. En la pestaña **Detalles de la política**, en la sección **Reglas de la política**, seleccione **Editar**.
1. Para habilitar y agregar registros, seleccione una o más opciones en **Configuración de registros**:
+ **Habilite y agregue los registros de flujo**
+ **Habilite y agregue los registros de alertas**
1. Elija el bucket de Amazon S3 en el que desea que se entreguen sus registros. Debe elegir un bucket para cada tipo de registro que active. Puede usar el mismo bucket para ambos tipos de registros.
1. (Opcional) Si desea que el registro personalizado creado por la cuenta de un miembro se sustituya por la configuración de registro de la política, seleccione **Anular la configuración de registro existente**.
1. Elija **Siguiente**.
1. Revise su configuración y, a continuación, seleccione **Guardar** para guardar los cambios en la política.
**Deshabilitación del registro de una política de Network Firewall**
1. Inicie sesión Consola de administración de AWS con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager en[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
**nota**
Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte [AWS Firewall Manager requisitos previos](fms-prereq.md).
1. En el panel de navegación, seleccione **Políticas de Seguridad**.
1. Elija la política de Network Firewall para la que desea deshabilitar el registro.
1. En la pestaña **Detalles de la política**, en la sección **Reglas de la política**, seleccione **Editar**.
1. En el **estado de la configuración del registro**, quite la selección **Habilitar y agregar registros de flujo** **y Habilitar y agregar registros de alertas** si están seleccionadas.
1. Elija **Siguiente**.
1. Revise su configuración y, a continuación, seleccione **Guardar** para guardar los cambios en la política.
# Uso de las políticas de DNS Firewall de Amazon Route 53 Resolver en Firewall Manager
En esta página, se describe cómo puede utilizar las políticas de firewall de AWS Firewall Manager DNS para gestionar las asociaciones entre los grupos de reglas de firewall de DNS de Amazon Route 53 Resolver y su Amazon Virtual Private Cloud en *VPCs*toda *la organización* en AWS Organizations. Puede aplicar grupos de reglas controlados de forma centralizada a toda su organización o a un subconjunto selecto de sus cuentas y VPCs.
El firewall de DNS proporciona filtrado y regulación del tráfico DNS saliente para su. VPCs Puede crear conjuntos reutilizables de reglas de filtrado en los grupos de reglas del Firewall de DNS y asociar los grupos de reglas a los suyos VPCs. Al aplicar la política de Firewall Manager para cada cuenta y VPC que se encuentra dentro del alcance de la política, Firewall Manager crea una asociación entre cada grupo de reglas de DNS firewall en la política y cada VPC que se encuentra dentro del alcance de la política, utilizando la configuración de prioridad de asociación que especifique en la política de Firewall Manager.
Para obtener información sobre el uso de DNS Firewall, consulte [DNS Firewall de Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html), en la [Guía para desarrolladores de Amazon Route 53](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html).
En las siguientes secciones se describen los requisitos para usar las políticas de DNS firewall de Firewall Manager y se describe cómo funcionan las políticas. Para conocer el procedimiento para crear la política, consulte [Creación de una AWS Firewall Manager política para Amazon Route 53 Resolver DNS Firewall](create-policy.md#creating-firewall-manager-policy-for-dns-firewall).
**importante**
**Debe habilitar el uso compartido de recursos.** Una política de DNS firewall comparte los grupos de reglas de DNS firewall entre las cuentas de su organización. Para que esto funcione, debe tener activado el uso compartido de recursos con AWS Organizations. Para obtener información acerca de cómo habilitar el uso compartido de recursos, consulte [Uso compartido de recursos para las políticas de Network Firewall y DNS Firewall](resource-sharing.md).
**importante**
**Debe tener definidos los grupos de reglas de DNS Firewall.** Cuando especifica una nueva política de DNS firewall, define los grupos de reglas de la misma manera que cuando utiliza directamente el DNS firewall de Amazon Route 53 Resolver. Sus grupos de reglas deben existir ya en la cuenta de administrador del Firewall Manager para que pueda incluirlos en la política. Para obtener información sobre la creación de grupos de reglas del DNS Firewall, consulte [Reglas y grupos de reglas de DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-groups.html).
**Defina las asociaciones de grupos de reglas de prioridad más baja y más alta**
Las asociaciones de grupos de reglas de Firewall de DNS que administra mediante las políticas de Firewall de Firewall Manager contienen las asociaciones de menor prioridad y las asociaciones de mayor prioridad para usted VPCs. En la configuración de políticas, aparecen como primer y último grupo de reglas.
DNS firewall filtra el tráfico de DNS de la VPC en el siguiente orden:
1. Primeros grupos de reglas, definidos por usted en la política de DNS Firewall Manager. Los valores válidos se encuentran entre 1 y 99.
1. Grupos de reglas de DNS firewall que los administradores de cuentas individuales asocian a través del DNS firewall.
1. Últimos grupos de reglas, definidos por usted en la política de DNS Firewall Manager. Los valores válidos se encuentran entre 9901 y 10 000.
**Cómo nombra Firewall Manager las asociaciones de grupos de reglas que crea**
Al guardar la política de firewall de DNS, si ha habilitado la corrección automática, el Administrador de Firewall crea una asociación de firewall de DNS entre los grupos de reglas que proporcionó en la política y los VPCs que están dentro del ámbito de la política. Firewall Manager nombra estas asociaciones concatenando los siguientes valores:
+ La cadena fija, `FMManaged_`.
+ ID de la política de Firewall Manager. Este es el ID AWS de recurso de la política del Firewall Manager.
A continuación se muestra un nombre de ejemplo para un firewall administrado por Firewall Manager:
```
FMManaged_EXAMPLEDNSFirewallPolicyId
```
Tras crear la política, si los propietarios de las cuentas VPCs anulan la configuración de la política de firewall o las asociaciones de grupos de reglas, Firewall Manager marcará la política como no conforme e intentará proponer una acción correctiva. Los propietarios de las cuentas pueden asociar otros grupos de reglas de firewall de DNS a los VPCs que estén dentro del ámbito de aplicación de la política de firewall de DNS. Cualquier asociación creada por los propietarios de cuentas individuales debe tener una configuración de prioridad entre la primera y la última asociación del grupo de reglas.
# Eliminación de un grupo de reglas de una política de DNS Firewall de Firewall Manager
**Eliminación de un grupo de reglas**
Para eliminar un grupo de reglas de una política DNS firewall de Firewall Manager, debe realizar los siguientes pasos:
**importante**
Al eliminar un grupo de reglas de la política de firewall de DNS del Administrador de Firewall, VPCs se elimina el efecto de tener aplicada la política, independientemente de si también se elimina el grupo de reglas de los grupos de reglas del Firewall DNS. Eliminar un grupo de reglas es una acción permanente y no se puede deshacer.
1. Elimine el grupo de reglas de la política de DNS Firewall Manager.
1. Deja de compartir el grupo de reglas en. AWS Resource Access Manager Para dejar de compartir un grupo de reglas de su propiedad, debe quitarlo del recurso compartido. Puede hacerlo mediante la AWS RAM consola o la AWS CLI. Para obtener más información sobre como dejar de compartir un recurso, consulte [Actualizar un recurso compartido en AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html) en la *Guía del usuario de AWS RAM *.
1. Elimine el grupo de reglas mediante la consola del firewall DNS o la AWS CLI.
# El uso de políticas de Palo Alto Networks Cloud NGFW para Firewall Manager
El firewall de próxima generación (NGFW) en la nube de Palo Alto Networks es un servicio de firewall de terceros que puede utilizar para sus AWS Firewall Manager políticas. Con el NGFW en Cloud de Palo Alto Networks para Firewall Manager, puede crear e implementar de forma centralizada los recursos y conjuntos de reglas de NGFW en la nube de Palo Alto Networks en todas sus cuentas. AWS
Para utilizar el NGFW en la nube de Palo Alto Networks con Firewall Manager, primero debe suscribirse al servicio [Pay-As-You-Go de Palo Alto Networks Cloud NGFW](https://aws.amazon.com/marketplace/pp/prodview-nkug66dl4df4i) en Marketplace. AWS Después de suscribirse, debe realizar una serie de pasos en el servicio de NGFW en la nube de Palo Alto Networks para configurar su cuenta y los ajustes de NGFW en la nube. A continuación, debe crear una política de Firewall Manager Cloud FMS para implementar y gestionar de forma centralizada los recursos y las reglas de NGFW de Palo Alto Networks Cloud en todas las cuentas de sus organizaciones. AWS
Para obtener información sobre el procedimiento de creación de la política de Firewall Manager, consulte [Creación de una AWS Firewall Manager política para el NGFW en la nube de Palo Alto Networks](create-policy.md#creating-cloud-ngfw-policy). Para obtener información sobre cómo configurar y administrar NGFW en la nube de Palo Alto Networks para Firewall Manager, consulte la documentación de *[NGFW en la nube de Palo Alto Networks en AWS](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)*. Para ver AWS las regiones compatibles, consulte *[Cloud NGFW para AWS](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)* ver las regiones y zonas compatibles.
# Uso de la política de las políticas de Fortigate Cloud Native Firewall (CNF) como servicio para Firewall Manager
El firewall nativo en la nube (CNF) de Fortigate como servicio es un servicio de firewall de terceros que puede usar para sus AWS Firewall Manager políticas. Fortigate CNF es un servicio de firewall de última generación que le facilita la protección de sus redes en la nube y la administración de sus políticas de seguridad. Con Fortigate CNF para Firewall Manager, puede crear e implementar de forma centralizada los recursos y conjuntos de políticas de Fortigate CNF en todas sus cuentas. AWS
Para usar Fortigate CNF con Firewall Manager, primero debe suscribirse al [Firewall nativo de Fortigate Cloud (CNF) como servicio en el Marketplace](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i). AWS Después de suscribirse, debe realizar una serie de pasos en el servicio de Fortigate CNF para configurar sus conjuntos de políticas globales y otros ajustes. Luego, crea una política de Firewall Manager para implementar y administrar de forma centralizada los recursos de Fortigate CNF en todas las cuentas de sus Organizaciones AWS .
Para conocer el procedimiento de creación de una política de Fortigate CNF Firewall Manager, consulte [Creación de una AWS Firewall Manager política para Fortigate Cloud Native Firewall (CNF) como servicio](create-policy.md#creating-fortigate-cnf-policy). Para obtener información sobre cómo configurar y administrar Fortigate CNF para su uso con Firewall Manager, consulte la [documentación de Fortigate CNF]( https://docs.fortinet.com/product/fortigate-cnf).
# Uso compartido de recursos para las políticas de Network Firewall y DNS Firewall
Para administrar las políticas de Firewall Manager, Network Firewall y DNS Firewall, debe habilitar el uso compartido de recursos con AWS Organizations in AWS Resource Access Manager. Esto permite que Firewall Manager implemente protecciones en sus cuentas cuando cree estos tipos de políticas.
Para habilitar el uso compartido de recursos, siga las instrucciones que aparecen en [Habilitación del uso compartido con AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) en la *AWS Resource Access Manager Guía del usuario*.
**Problemas con el uso compartido de recursos**
Es posible que tenga problemas con el uso AWS RAM compartido de recursos, ya sea cuando lo habilite o cuando esté trabajando en las políticas del Firewall Manager que lo requieren.
A continuación, se muestran ejemplos de estos problemas:
+ Si sigue las instrucciones para habilitar el uso compartido, en la AWS RAM consola, la opción **Habilitar el uso compartido con AWS Organizations** aparece atenuada y no se puede seleccionar.
+ Cuando trabaja en Firewall Manager en una política que requiere el uso compartido de recursos, la política se marca como no compatible y ve mensajes que indican que el uso compartido de recursos o AWS RAM no está habilitado.
Si tiene problemas con el uso compartido de recursos, use el siguiente procedimiento para intentar habilitarlo.
**Vuelva a intentar habilitar el uso compartido de recursos**
+ Vuelva a intentar habilitar el uso compartido utilizando una de las siguientes opciones:
+ (Opcional) A través de la AWS RAM consola, sigue las instrucciones que aparecen en la *Guía del AWS Resource Access Manager usuario*, que se encuentran AWS Organizations en la sección [Habilitar el uso compartido con](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs).
+ (Opción) Con la AWS RAM API, llama`EnableSharingWithAwsOrganization`. Consulte la documentación en [EnableSharingWithAwsOrganization](https://docs.aws.amazon.com/ram/latest/APIReference/API_EnableSharingWithAwsOrganization.html).