**Memperkenalkan pengalaman konsol baru untuk AWS WAF**

Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat [Bekerja dengan konsol](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Menggunakan AWS Firewall Manager kebijakan
<a name="working-with-policies"></a>

AWS Firewall Manager menyediakan jenis kebijakan berikut. Untuk setiap jenis kebijakan, Anda menentukan: 
+ **AWS WAF****kebijakan** — Firewall Manager mendukung AWS WAF dan kebijakan AWS WAF Klasik. Untuk kedua versi, Anda menentukan sumber daya mana yang dilindungi oleh kebijakan. 
  + Jenis AWS WAF kebijakan mengambil kumpulan grup aturan untuk dijalankan pertama dan terakhir di ACL web. Kemudian, di akun tempat Anda menerapkan ACL web, pemilik akun dapat menambahkan aturan dan grup aturan untuk dijalankan di antara dua set. 
  + Jenis kebijakan AWS WAF Klasik membutuhkan satu grup aturan untuk dijalankan di ACL web.
+ **Kebijakan Shield Advanced** — Jenis kebijakan ini menerapkan perlindungan Shield Advanced di seluruh organisasi untuk jenis sumber daya yang Anda tentukan. 
+ **Kebijakan grup keamanan Amazon VPC** — Jenis kebijakan ini memberi Anda kontrol atas grup keamanan yang digunakan di seluruh organisasi Anda dan memungkinkan Anda menegakkan seperangkat aturan dasar di seluruh organisasi Anda. 
+ **Kebijakan Amazon VPC Network Access Control List (ACL)** — Jenis kebijakan ini memberi Anda kontrol atas jaringan ACLs yang digunakan di seluruh organisasi dan memungkinkan Anda menerapkan rangkaian jaringan dasar di seluruh organisasi Anda. ACLs 
+ **Kebijakan Network Firewall** — Jenis kebijakan ini menerapkan AWS Network Firewall perlindungan untuk organisasi Anda VPCs. 
+ Kebijakan **Amazon Route 53 Resolver DNS Firewall — Kebijakan** ini menerapkan perlindungan DNS Firewall ke organisasi Anda. VPCs 
+ **Kebijakan firewall pihak ketiga** — Jenis kebijakan ini menerapkan perlindungan firewall pihak ketiga. Firewall pihak ketiga tersedia dengan berlangganan melalui konsol AWS Marketplace di [AWS Marketplace](https://aws.amazon.com/marketplace).
  + Kebijakan **Palo Alto Networks Cloud NGFW — Jenis kebijakan** ini menerapkan perlindungan Palo Alto Networks Cloud Next Generation Firewall (NGFW) dan aturan Palo Alto Networks Cloud NGFW ke organisasi Anda. VPCs
  + **Fortigate Cloud Native Firewall (CNF) sebagai kebijakan Layanan — Jenis kebijakan** ini menerapkan Fortigate Cloud Native Firewall (CNF) sebagai perlindungan Layanan. Fortigate CNF adalah solusi yang berpusat pada cloud yang memblokir ancaman Zero-Day dan mengamankan infrastruktur cloud dengan pencegahan ancaman canggih terdepan di industri, firewall aplikasi web pintar (WAF), dan perlindungan API.

Kebijakan Firewall Manager khusus untuk jenis kebijakan individual. Jika ingin menerapkan beberapa jenis kebijakan di seluruh akun, Anda dapat membuat beberapa kebijakan. Anda dapat membuat lebih dari satu kebijakan untuk setiap jenis. 

Jika Anda menambahkan akun baru ke organisasi yang Anda buat AWS Organizations, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke sumber daya di akun tersebut yang berada dalam cakupan kebijakan. 

## Pengaturan umum untuk AWS Firewall Manager kebijakan
<a name="policies-general-settings"></a>

AWS Firewall Manager kebijakan terkelola memiliki beberapa pengaturan dan perilaku umum. Untuk semua, Anda menentukan nama dan menentukan cakupan kebijakan, dan Anda dapat menggunakan penandaan sumber daya untuk mengontrol cakupan kebijakan. Anda dapat memilih untuk melihat akun dan sumber daya yang tidak sesuai tanpa mengambil tindakan korektif atau untuk secara otomatis memulihkan sumber daya yang tidak sesuai. 

Untuk informasi tentang cakupan kebijakan, lihat[Menggunakan cakupan AWS Firewall Manager kebijakan](policy-scope.md). 

# Membuat AWS Firewall Manager kebijakan
<a name="create-policy"></a>

Langkah-langkah untuk membuat kebijakan bervariasi antara jenis kebijakan yang berbeda. Pastikan untuk menggunakan prosedur untuk jenis kebijakan yang Anda butuhkan.

**penting**  
AWS Firewall Manager tidak mendukung Amazon Route 53 atau AWS Global Accelerator. Jika Anda ingin melindungi sumber daya ini dengan Shield Advanced, Anda tidak dapat menggunakan kebijakan Firewall Manager. Sebagai gantinya, ikuti instruksi di[Menambahkan AWS Shield Advanced perlindungan ke AWS sumber daya](configure-new-protection.md). 

**Topics**
+ [Membuat AWS Firewall Manager kebijakan untuk AWS WAF](#creating-firewall-manager-policy-for-waf)
+ [Membuat AWS Firewall Manager kebijakan untuk AWS WAF Classic](#creating-firewall-manager-policy-for-classic-waf)
+ [Membuat AWS Firewall Manager kebijakan untuk AWS Shield Advanced](#creating-firewall-manager-policy-for-shield-advanced)
+ [Membuat kebijakan grup keamanan AWS Firewall Manager umum](#creating-firewall-manager-policy-common-security-group)
+ [Membuat kebijakan grup keamanan audit AWS Firewall Manager konten](#creating-firewall-manager-policy-audit-security-group)
+ [Membuat kebijakan grup keamanan audit AWS Firewall Manager penggunaan](#creating-firewall-manager-policy-usage-security-group)
+ [Membuat kebijakan ACL AWS Firewall Manager jaringan](#creating-firewall-manager-policy-network-acl)
+ [Membuat AWS Firewall Manager kebijakan untuk AWS Network Firewall](#creating-firewall-manager-policy-for-network-firewall)
+ [Membuat AWS Firewall Manager kebijakan untuk Amazon Route 53 Resolver DNS Firewall](#creating-firewall-manager-policy-for-dns-firewall)
+ [Membuat AWS Firewall Manager kebijakan untuk Palo Alto Networks Cloud NGFW](#creating-cloud-ngfw-policy)
+ [Membuat AWS Firewall Manager kebijakan untuk Fortigate Cloud Native Firewall (CNF) sebagai Layanan](#creating-fortigate-cnf-policy)

## Membuat AWS Firewall Manager kebijakan untuk AWS WAF
<a name="creating-firewall-manager-policy-for-waf"></a>

Dalam AWS WAF kebijakan Firewall Manager, Anda dapat menggunakan grup aturan terkelola, yang dibuat AWS dan dipelihara oleh AWS Marketplace penjual untuk Anda. Anda juga dapat membuat dan menggunakan grup aturan Anda sendiri. Untuk informasi selengkapnya tentang grup aturan, lihat[AWS WAF kelompok aturan](waf-rule-groups.md).

Jika Anda ingin menggunakan grup aturan Anda sendiri, buat grup tersebut sebelum membuat AWS WAF kebijakan Firewall Manager. Untuk panduan, lihat [Mengelola grup aturan Anda sendiri](waf-user-created-rule-groups.md). Untuk menggunakan aturan kustom individual, Anda harus menentukan grup aturan Anda sendiri, menentukan aturan Anda di dalamnya, dan kemudian menggunakan grup aturan dalam kebijakan Anda.

Untuk informasi tentang AWS WAF kebijakan Firewall Manager, lihat[Menggunakan AWS WAF kebijakan dengan Firewall Manager](waf-policies.md).

**Untuk membuat kebijakan Firewall Manager untuk AWS WAF (konsol)**

1. Masuk ke akun administrator Konsol Manajemen AWS menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager di[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).
**catatan**  
Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).

1. Di panel navigasi, pilih **Kebijakan keamanan**.

1. Pilih **Buat kebijakan**.

1. Untuk **jenis Kebijakan**, pilih **AWS WAF**. 

1. Untuk **Wilayah**, pilih Wilayah AWS. Untuk melindungi CloudFront distribusi Amazon, pilih **Global**.

   Untuk melindungi sumber daya di beberapa Wilayah (selain CloudFront distribusi), Anda harus membuat kebijakan Firewall Manager terpisah untuk setiap Wilayah.

1. Pilih **Berikutnya**.

1. Untuk **nama Kebijakan**, masukkan nama deskriptif. Firewall Manager menyertakan nama kebijakan dalam nama web ACLs yang dikelola. Nama ACL web telah `FMManagedWebACLV2-` diikuti dengan nama kebijakan yang Anda masukkan di sini`-`, dan stempel waktu pembuatan ACL web, dalam milidetik UTC. Misalnya, `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`.

1. Untuk **inspeksi badan permintaan Web**, secara opsional mengubah batas ukuran tubuh. Untuk informasi tentang batas ukuran pemeriksaan badan, termasuk pertimbangan harga, lihat [Pertimbangan untuk mengelola inspeksi tubuh di AWS WAF](web-acl-setting-body-inspection-limit.md) di *Panduan AWS WAF Pengembang*.

1. Di bawah **Aturan kebijakan**, tambahkan grup aturan yang AWS WAF ingin Anda evaluasi pertama dan terakhir di ACL web. **Untuk menggunakan versi grup aturan AWS WAF terkelola, alihkan Aktifkan pembuatan versi.** Manajer akun individual dapat menambahkan aturan dan grup aturan di antara grup aturan pertama Anda dan grup aturan terakhir Anda. Untuk informasi selengkapnya tentang menggunakan grup AWS WAF aturan dalam kebijakan Firewall Manager AWS WAF, lihat[Menggunakan AWS WAF kebijakan dengan Firewall Manager](waf-policies.md).

   (Opsional) Untuk menyesuaikan cara ACL web Anda menggunakan grup aturan, pilih **Edit**. Berikut ini adalah pengaturan kustomisasi umum: 
   + Untuk grup aturan terkelola, ganti tindakan aturan untuk beberapa atau semua aturan. Jika Anda tidak menentukan tindakan penggantian untuk aturan, evaluasi menggunakan tindakan aturan yang ditentukan di dalam grup aturan. Untuk informasi tentang opsi ini, lihat [Mengesampingkan tindakan grup aturan di AWS WAF](web-acl-rule-group-override-options.md) di *Panduan AWS WAF Pengembang*. 
   + Beberapa grup aturan terkelola mengharuskan Anda untuk menyediakan konfigurasi tambahan. Lihat dokumentasi dari penyedia grup aturan terkelola Anda. Untuk informasi khusus tentang grup aturan Aturan AWS Terkelola, lihat [AWS Aturan Terkelola untuk AWS WAF](aws-managed-rule-groups.md) di *Panduan AWS WAF Pengembang*. 

   Setelah selesai dengan pengaturan, pilih **Simpan aturan**.

1. Tetapkan tindakan default untuk ACL web. Ini adalah tindakan yang diambil AWS WAF ketika permintaan web tidak cocok dengan aturan apa pun di ACL web. Anda dapat menambahkan header kustom dengan tindakan **Izinkan**, atau respons khusus untuk tindakan **Blokir**. Untuk informasi selengkapnya tentang tindakan ACL web default, lihat[Mengatur tindakan default paket perlindungan (web ACL) di AWS WAF](web-acl-default-action.md). Untuk informasi tentang menyetel permintaan dan tanggapan web kustom, lihat[Permintaan dan tanggapan web yang disesuaikan di AWS WAF](waf-custom-request-response.md).

1. Untuk **konfigurasi Logging**, pilih **Aktifkan logging** untuk mengaktifkan logging. Logging memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Pilih **tujuan Logging**, lalu pilih tujuan logging yang Anda konfigurasikan. Anda harus memilih tujuan pencatatan yang namanya dimulai dengan`aws-waf-logs-`. Untuk informasi tentang mengonfigurasi tujuan AWS WAF pencatatan, lihat[Menggunakan AWS WAF kebijakan dengan Firewall Manager](waf-policies.md).

1. (Opsional) Jika Anda tidak ingin bidang tertentu dan nilainya disertakan dalam log, edit bidang tersebut. Pilih bidang yang akan disunting, lalu pilih **Tambah**. Ulangi seperlunya untuk menyunting bidang tambahan. Bidang yang disunting muncul seperti `REDACTED` di log. Misalnya, jika Anda menyunting bidang **URI**, bidang **URI** di log akan menjadi`REDACTED`. 

1. (Opsional) Jika Anda tidak ingin mengirim semua permintaan ke log, tambahkan kriteria dan perilaku pemfilteran Anda. Di bawah **Filter log**, untuk setiap filter yang ingin Anda terapkan, pilih **Tambahkan filter**, lalu pilih kriteria pemfilteran Anda dan tentukan apakah Anda ingin menyimpan atau menghapus permintaan yang sesuai dengan kriteria. Ketika Anda selesai menambahkan filter, jika diperlukan, ubah **perilaku logging Default**. Untuk informasi lebih lanjut, lihat [Menemukan catatan paket perlindungan Anda (web ACL)](logging-management.md) dalam *Panduan Pengembang AWS WAF *.

1. Anda dapat menentukan **daftar domain Token** untuk mengaktifkan berbagi token antara aplikasi yang dilindungi. Token digunakan oleh CAPTCHA dan Challenge tindakan dan integrasi aplikasi SDKs yang Anda terapkan saat Anda menggunakan grup aturan Aturan AWS Terkelola untuk pencegahan pengambilalihan akun Kontrol AWS WAF Penipuan (ATP) dan Kontrol AWS WAF Bot. 

   Sufiks publik tidak diizinkan. Misalnya, Anda tidak dapat menggunakan `gov.au` atau `co.uk` sebagai domain token.

   Secara default, AWS WAF menerima token hanya untuk domain sumber daya yang dilindungi. Jika Anda menambahkan domain token dalam daftar ini, AWS WAF menerima token untuk semua domain dalam daftar dan untuk domain sumber daya terkait. Untuk informasi lebih lanjut, lihat [AWS WAF paket perlindungan (web ACL) konfigurasi daftar domain token](waf-tokens-domains.md#waf-tokens-domain-lists) dalam *Panduan Pengembang AWS WAF *.

   Anda hanya dapat mengubah CAPTCHA ACL web dan menantang **waktu kekebalan** saat Anda mengedit ACL web yang ada. Anda dapat menemukan pengaturan ini di bawah halaman **detail Kebijakan** Manajer Firewall. Untuk informasi tentang pengaturan ini, lihat [Mengatur waktu kedaluwarsa dan waktu kekebalan token di AWS WAF](waf-tokens-immunity-times.md). Jika Anda memperbarui **konfigurasi Asosiasi**, **CAPTCHA, **Tantangan****, atau pengaturan **daftar domain Token** dalam kebijakan yang ada, Firewall Manager akan menimpa web lokal Anda ACLs dengan nilai baru. Namun, jika Anda tidak memperbarui **konfigurasi Asosiasi** kebijakan, **CAPTCHA, **Tantangan****, atau pengaturan **daftar domain Token**, maka nilai di web lokal Anda ACLs akan tetap tidak berubah. Untuk informasi tentang opsi ini, lihat [CAPTCHAdan Challenge di AWS WAF](waf-captcha-and-challenge.md) di *Panduan AWS WAF Pengembang*. 

1. Di bawah **manajemen Web ACL**, pilih cara Firewall Manager mengelola pembuatan dan pembersihan ACL web. 

   1. Untuk **Mengelola web yang tidak terkait ACLs**, pilih apakah Firewall Manager mengelola web yang tidak terkait. ACLs Dengan opsi ini, Firewall Manager membuat web ACLs untuk akun dalam cakupan kebijakan hanya jika web ACLs akan digunakan oleh setidaknya satu sumber daya. Ketika akun masuk ke cakupan kebijakan, Firewall Manager secara otomatis membuat ACL web di akun jika setidaknya satu sumber daya akan menggunakannya. 

      Saat Anda mengaktifkan opsi ini, Firewall Manager melakukan pembersihan satu kali web yang tidak terkait ACLs di akun Anda. Proses pembersihan bisa memakan waktu beberapa jam. Jika sumber daya meninggalkan cakupan kebijakan setelah Firewall Manager membuat ACL web, Firewall Manager memisahkan sumber daya dari ACL web, tetapi tidak membersihkan ACL web yang tidak terkait. Firewall Manager hanya membersihkan web yang tidak terkait ACLs saat Anda pertama kali mengaktifkan pengelolaan web yang tidak terkait ACLs dalam kebijakan.

   1. Untuk **sumber ACL Web**, tentukan apakah akan membuat semua web baru ACLs untuk sumber daya dalam lingkup atau untuk memperbaiki web ACLs yang ada jika memungkinkan. Firewall Manager dapat melakukan retrofit web ACLs yang dimiliki oleh akun dalam lingkup.

      Perilaku default adalah membuat semua web baru ACLs. Jika Anda memilih ini, semua web yang ACLs dikelola oleh Firewall Manager akan memiliki nama yang dimulai dengan`FMManagedWebACLV2`. Jika Anda memilih untuk memperbaiki web yang ada ACLs, web yang dipasang kembali ACLs akan memiliki nama aslinya dan yang dibuat oleh Firewall Manager akan memiliki nama yang dimulai dengan. `FMManagedWebACLV2` 

1. Untuk **tindakan Kebijakan**, jika Anda ingin membuat ACL web di setiap akun yang berlaku dalam organisasi, tetapi belum menerapkan ACL web ke sumber daya apa pun, pilih **Identifikasi sumber daya yang tidak mematuhi aturan kebijakan, tetapi jangan memulihkan secara otomatis dan jangan** memilih **Kelola** web yang tidak terkait. ACLs Anda dapat mengubah opsi ini nanti.

   Jika Anda ingin menerapkan kebijakan secara otomatis ke sumber daya dalam lingkup yang ada, pilih **Remediasi otomatis sumber daya yang tidak** sesuai. Jika **Kelola web yang tidak terkait ACLs** dinonaktifkan, opsi **Auto remediate setiap sumber daya yang tidak sesuai** akan membuat ACL web di setiap akun yang berlaku dalam organisasi dan mengaitkan ACL web dengan sumber daya di akun. Jika **Kelola web yang tidak terkait ACLs** diaktifkan, opsi **Auto remediate semua sumber daya yang tidak sesuai** hanya membuat dan mengaitkan ACL web di akun yang memiliki sumber daya yang memenuhi syarat untuk diasosiasikan ke ACL web.

   Saat memilih **Remediasi otomatis sumber daya yang tidak sesuai**, Anda juga dapat memilih untuk menghapus asosiasi ACL web yang ada dari sumber daya dalam lingkup, untuk web ACLs yang tidak dikelola oleh kebijakan Firewall Manager aktif lainnya. Jika Anda memilih opsi ini, Firewall Manager terlebih dahulu mengaitkan ACL web kebijakan dengan sumber daya, lalu menghapus asosiasi sebelumnya. Jika sumber daya memiliki asosiasi dengan ACL web lain yang dikelola oleh kebijakan Firewall Manager aktif yang berbeda, pilihan ini tidak memengaruhi asosiasi tersebut. 

1. Pilih **Berikutnya**.

1. Untuk **kebijakan Akun AWS ini berlaku**, pilih opsi sebagai berikut: 
   + Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, **Sertakan semua akun di AWS organisasi saya**. 
   + Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unit AWS Organizations organisasi tertentu (OUs), pilih **Sertakan hanya akun dan unit organisasi yang ditentukan**, lalu tambahkan akun dan OUs yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu anaknya OUs, termasuk setiap anak OUs dan akun yang ditambahkan di lain waktu. 
   + Jika Anda ingin menerapkan kebijakan untuk semua kecuali satu set akun atau unit AWS Organizations organisasi tertentu (OUs), pilih **Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua akun lainnya**, lalu tambahkan akun dan OUs yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu anaknya OUs, termasuk setiap anak OUs dan akun yang ditambahkan di lain waktu. 

   Anda hanya dapat memilih salah satu opsi. 

   Setelah menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu anaknya OUs, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

1. Untuk **jenis Sumber Daya**, pilih jenis sumber daya yang ingin Anda lindungi.

1. Untuk **Sumber Daya**, Anda dapat mempersempit cakupan kebijakan menggunakan penandaan, dengan menyertakan atau mengecualikan sumber daya dengan tag yang Anda tentukan. Anda dapat menggunakan inklusi atau pengecualian, dan bukan keduanya. Untuk informasi selengkapnya tentang tag untuk menentukan cakupan kebijakan, lihat[Menggunakan cakupan AWS Firewall Manager kebijakan](policy-scope.md).

   Tag sumber daya hanya dapat memiliki nilai non-null. Jika Anda menghilangkan nilai untuk tag, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama. 

1. Pilih **Berikutnya**.

1. Untuk **tag Kebijakan**, tambahkan tag pengenal apa pun yang ingin Anda tambahkan ke sumber daya kebijakan Manajer Firewall. Untuk informasi selengkapnya tentang tag, lihat [Bekerja dengan Editor Tag](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Pilih **Berikutnya**.

1. Tinjau pengaturan kebijakan baru dan kembali ke halaman mana pun yang Anda perlukan untuk penyesuaian apa pun. 

   Jika Anda puas dengan kebijakan ini, pilih **Create policy** (Buat kebijakan). Di panel **AWS Firewall Manager kebijakan**, kebijakan Anda harus dicantumkan. Ini mungkin akan menunjukkan **Pending** di bawah judul akun dan itu akan menunjukkan status pengaturan **remediasi otomatis**. Pembuatan kebijakan dapat memakan waktu beberapa menit. Setelah Status **tertunda** diganti dengan jumlah akun, Anda dapat memilih nama kebijakan untuk menjelajahi status kepatuhan akun dan sumber daya. Untuk informasi, lihat [Melihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan](fms-compliance.md)

## Membuat AWS Firewall Manager kebijakan untuk AWS WAF Classic
<a name="creating-firewall-manager-policy-for-classic-waf"></a>

**Untuk membuat kebijakan Firewall Manager untuk AWS WAF Classic (konsol)**

1. Masuk ke akun administrator Konsol Manajemen AWS menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager di[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).
**catatan**  
Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).

1. Di panel navigasi, pilih **Kebijakan keamanan**.

1. Pilih **Buat kebijakan**.

1. Untuk **jenis Kebijakan**, pilih **AWS WAF Klasik**. 

1. Jika Anda telah membuat grup aturan AWS WAF Klasik yang ingin ditambahkan ke kebijakan, pilih **Buat AWS Firewall Manager kebijakan dan tambahkan grup aturan yang ada**. Jika Anda ingin membuat grup aturan baru, pilih **Buat kebijakan Firewall Manager dan tambahkan grup aturan baru**.

1. Untuk **Wilayah**, pilih Wilayah AWS. Untuk melindungi CloudFront sumber daya Amazon, pilih **Global**.

   Untuk melindungi sumber daya di beberapa Wilayah (selain CloudFront sumber daya), Anda harus membuat kebijakan Firewall Manager terpisah untuk setiap Wilayah.

1. Pilih **Berikutnya**.

1. Jika Anda membuat grup aturan, ikuti instruksi di[Membuat grup aturan AWS WAF Klasik](classic-create-rule-group.md). Setelah Anda membuat grup aturan, lanjutkan dengan langkah-langkah berikut.

1. Masukkan nama kebijakan.

1. Jika Anda menambahkan grup aturan yang ada, gunakan menu tarik-turun untuk memilih grup aturan yang akan ditambahkan, lalu pilih **Tambahkan grup aturan**. 

1. Kebijakan memiliki dua kemungkinan tindakan: **Tindakan yang ditetapkan oleh grup aturan** dan **Hitungan**. Jika Anda ingin menguji kebijakan dan grup aturan, setel tindakan ke **Hitung**. Tindakan ini mengesampingkan tindakan *blok* apa pun yang ditentukan oleh aturan dalam grup aturan. Artinya, jika tindakan kebijakan disetel ke **Hitung**, permintaan tersebut hanya dihitung dan tidak diblokir. Sebaliknya, jika Anda menetapkan tindakan kebijakan ke **Tindakan yang ditetapkan oleh grup aturan**, tindakan aturan grup aturan akan digunakan. Pilih tindakan yang sesuai.

1. Pilih **Berikutnya**.

1. Untuk **kebijakan Akun AWS ini berlaku**, pilih opsi sebagai berikut: 
   + Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, **Sertakan semua akun di AWS organisasi saya**. 
   + Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unit AWS Organizations organisasi tertentu (OUs), pilih **Sertakan hanya akun dan unit organisasi yang ditentukan**, lalu tambahkan akun dan OUs yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu anaknya OUs, termasuk setiap anak OUs dan akun yang ditambahkan di lain waktu. 
   + Jika Anda ingin menerapkan kebijakan untuk semua kecuali satu set akun atau unit AWS Organizations organisasi tertentu (OUs), pilih **Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua akun lainnya**, lalu tambahkan akun dan OUs yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu anaknya OUs, termasuk setiap anak OUs dan akun yang ditambahkan di lain waktu. 

   Anda hanya dapat memilih salah satu opsi. 

   Setelah menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu anaknya OUs, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

1. Pilih jenis sumber daya yang ingin Anda lindungi.

1. Untuk **Sumber Daya**, Anda dapat mempersempit cakupan kebijakan menggunakan penandaan, dengan menyertakan atau mengecualikan sumber daya dengan tag yang Anda tentukan. Anda dapat menggunakan inklusi atau pengecualian, dan bukan keduanya. Untuk informasi selengkapnya tentang tag untuk menentukan cakupan kebijakan, lihat[Menggunakan cakupan AWS Firewall Manager kebijakan](policy-scope.md).

   Tag sumber daya hanya dapat memiliki nilai non-null. Jika Anda menghilangkan nilai untuk tag, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama. 

1. Jika Anda ingin menerapkan kebijakan secara otomatis ke sumber daya yang ada, pilih **Buat dan terapkan kebijakan ini ke sumber daya yang ada dan yang baru**.

   Opsi ini membuat ACL web di setiap akun yang berlaku dalam suatu AWS organisasi dan mengaitkan ACL web dengan sumber daya di akun. Opsi ini juga menerapkan kebijakan ke semua sumber daya baru yang sesuai dengan kriteria sebelumnya (jenis dan tag sumber daya). Atau, jika Anda memilih **Buat kebijakan tetapi tidak menerapkan kebijakan ke sumber daya yang ada atau yang baru**, Firewall Manager membuat ACL web di setiap akun yang berlaku dalam organisasi, tetapi tidak menerapkan ACL web ke sumber daya apa pun. Anda harus menerapkan kebijakan ke sumber daya nanti. Pilih opsi yang sesuai.

1. Untuk **Ganti web terkait yang ada ACLs**, Anda dapat memilih untuk menghapus asosiasi ACL web apa pun yang saat ini ditentukan untuk sumber daya dalam lingkup, lalu menggantinya dengan asosiasi ke web ACLs yang Anda buat dengan kebijakan ini. Secara default, Firewall Manager tidak menghapus asosiasi ACL web yang ada sebelum menambahkan yang baru. Jika Anda ingin menghapus yang sudah ada, pilih opsi ini. 

1. Pilih **Berikutnya**.

1. Tinjau kebijakan baru. Untuk membuat perubahan, pilih **Edit**. Jika Anda puas dengan kebijakan tersebut, pilih **Buat dan terapkan kebijakan**.

## Membuat AWS Firewall Manager kebijakan untuk AWS Shield Advanced
<a name="creating-firewall-manager-policy-for-shield-advanced"></a>

**Untuk membuat kebijakan Firewall Manager untuk Shield Advanced (konsol)**

1. Masuk ke akun administrator Konsol Manajemen AWS menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager di[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).
**catatan**  
Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).

1. Di panel navigasi, pilih **Kebijakan keamanan**.

1. Pilih **Buat kebijakan**.

1. Untuk **jenis Kebijakan**, pilih **Shield Advanced**. 

   Untuk membuat kebijakan Shield Advanced, Anda harus berlangganan Shield Advanced. Jika Anda tidak berlangganan, Anda diminta untuk melakukannya. Untuk informasi tentang biaya berlangganan, lihat [AWS Shield Advanced Harga](https://aws.amazon.com/shield/pricing/). 

1. Untuk **Wilayah**, pilih file Wilayah AWS. Untuk melindungi CloudFront distribusi Amazon, pilih **Global**.

   Untuk pilihan Wilayah selain **Global**, untuk melindungi sumber daya di beberapa Wilayah, Anda harus membuat kebijakan Firewall Manager terpisah untuk setiap Wilayah.

1. Pilih **Berikutnya**.

1. Untuk **Nama**, masukkan nama deskriptif.

1. Hanya untuk kebijakan Wilayah **Global**, Anda dapat memilih apakah Anda ingin mengelola mitigasi lapisan DDo S aplikasi otomatis Shield Advanced. Untuk informasi tentang fitur Shield Advanced ini, lihat[Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md).

   Anda dapat memilih untuk mengaktifkan atau menonaktifkan mitigasi otomatis, atau Anda dapat memilih untuk mengabaikannya. Jika Anda memilih untuk mengabaikannya, Firewall Manager tidak mengelola mitigasi otomatis sama sekali untuk perlindungan Shield Advanced. Untuk informasi selengkapnya tentang opsi kebijakan ini, lihat[Menggunakan mitigasi lapisan DDo S aplikasi Otomatis dengan kebijakan Firewall Manager Shield Advanced](shield-policies-auto-app-layer-mitigation.md).

1. Di bawah **manajemen ACL Web**, jika Anda ingin Firewall Manager mengelola web yang tidak terkait ACLs, aktifkan **Kelola web yang tidak** terkait. ACLs Dengan opsi ini, Firewall Manager membuat web ACLs di akun dalam cakupan kebijakan hanya jika web ACLs akan digunakan oleh setidaknya satu sumber daya. Jika sewaktu-waktu akun masuk ke cakupan kebijakan, Firewall Manager secara otomatis membuat ACL web di akun jika setidaknya satu sumber daya akan menggunakan ACL web. Setelah mengaktifkan opsi ini, Firewall Manager melakukan pembersihan satu kali web ACLs yang tidak terkait di akun Anda. Proses pembersihan bisa memakan waktu beberapa jam. Jika sumber daya meninggalkan cakupan kebijakan setelah Firewall Manager membuat ACL web, Firewall Manager tidak akan memisahkan sumber daya dari ACL web. **Untuk menyertakan ACL web dalam pembersihan satu kali, Anda harus terlebih dahulu memisahkan sumber daya dari ACL web secara manual dan kemudian mengaktifkan Kelola web yang tidak terkait. ACLs**

1. Untuk **tindakan Kebijakan**, sebaiknya buat kebijakan dengan opsi yang tidak secara otomatis memulihkan sumber daya yang tidak sesuai. Ketika Anda menonaktifkan remediasi otomatis, Anda dapat menilai efek dari kebijakan baru Anda sebelum Anda menerapkannya. Ketika Anda puas bahwa perubahan adalah apa yang Anda inginkan, maka edit kebijakan dan ubah tindakan kebijakan untuk mengaktifkan remediasi otomatis. 

   Jika Anda ingin menerapkan kebijakan secara otomatis ke sumber daya dalam lingkup yang ada, pilih **Remediasi otomatis sumber daya yang tidak** sesuai. Opsi ini menerapkan perlindungan Shield Advanced untuk setiap akun yang berlaku dalam AWS organisasi dan setiap sumber daya yang berlaku di akun.

   Hanya untuk kebijakan Wilayah **Global**, jika Anda memilih **Remediasi otomatis sumber daya yang tidak sesuai**, Anda juga dapat memilih agar Firewall Manager secara otomatis mengganti asosiasi ACL web AWS WAF Klasik yang ada dengan asosiasi baru ke web ACLs yang dibuat menggunakan versi terbaru (v2). AWS WAF Jika Anda memilih ini, Firewall Manager menghapus asosiasi dengan web versi sebelumnya ACLs dan membuat asosiasi baru dengan web versi terbaru ACLs, setelah membuat web kosong baru ACLs di akun dalam lingkup apa pun yang belum memilikinya untuk kebijakan tersebut. Untuk informasi selengkapnya tentang metrik ini, lihat [Ganti web AWS WAF Klasik ACLs dengan web versi terbaru ACLs](shield-policies-auto-app-layer-mitigation.md#shield-policies-auto-app-layer-update-waf-version).

1. Pilih **Berikutnya**.

1. Untuk **kebijakan Akun AWS ini berlaku**, pilih opsi sebagai berikut: 
   + Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, pertahankan pilihan default, **Sertakan semua akun di AWS organisasi saya**. 
   + Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unit AWS Organizations organisasi tertentu (OUs), pilih **Sertakan hanya akun dan unit organisasi yang ditentukan**, lalu tambahkan akun dan OUs yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu anaknya OUs, termasuk setiap anak OUs dan akun yang ditambahkan di lain waktu. 
   + Jika Anda ingin menerapkan kebijakan untuk semua kecuali satu set akun atau unit AWS Organizations organisasi tertentu (OUs), pilih **Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua akun lainnya**, lalu tambahkan akun dan OUs yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu anaknya OUs, termasuk setiap anak OUs dan akun yang ditambahkan di lain waktu. 

   Anda hanya dapat memilih salah satu opsi. 

   Setelah menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu anaknya OUs, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

1. Pilih jenis sumber daya yang ingin Anda lindungi.

   Firewall Manager tidak mendukung Amazon Route 53 atau AWS Global Accelerator. Jika Anda perlu menggunakan Shield Advanced untuk melindungi sumber daya dari layanan ini, Anda tidak dapat menggunakan kebijakan Firewall Manager. Sebagai gantinya, ikuti panduan Shield Advanced di[Menambahkan AWS Shield Advanced perlindungan ke AWS sumber daya](configure-new-protection.md).

1. Untuk **Sumber Daya**, Anda dapat mempersempit cakupan kebijakan menggunakan penandaan, dengan menyertakan atau mengecualikan sumber daya dengan tag yang Anda tentukan. Anda dapat menggunakan inklusi atau pengecualian, dan bukan keduanya. Untuk informasi selengkapnya tentang tag untuk menentukan cakupan kebijakan, lihat[Menggunakan cakupan AWS Firewall Manager kebijakan](policy-scope.md).

   Tag sumber daya hanya dapat memiliki nilai non-null. Jika Anda menghilangkan nilai untuk tag, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama. 

1. Pilih **Berikutnya**. 

1. Untuk **tag Kebijakan**, tambahkan tag pengenal apa pun yang ingin Anda tambahkan ke sumber daya kebijakan Manajer Firewall. Untuk informasi selengkapnya tentang tag, lihat [Bekerja dengan Editor Tag](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Pilih **Berikutnya**.

1. Tinjau pengaturan kebijakan baru dan kembali ke halaman mana pun yang Anda perlukan untuk penyesuaian apa pun. 

   Jika Anda puas dengan kebijakan ini, pilih **Create policy** (Buat kebijakan). Di panel **AWS Firewall Manager kebijakan**, kebijakan Anda harus dicantumkan. Ini mungkin akan menunjukkan **Pending** di bawah judul akun dan itu akan menunjukkan status pengaturan **remediasi otomatis**. Pembuatan kebijakan dapat memakan waktu beberapa menit. Setelah Status **tertunda** diganti dengan jumlah akun, Anda dapat memilih nama kebijakan untuk menjelajahi status kepatuhan akun dan sumber daya. Untuk informasi, lihat [Melihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan](fms-compliance.md)

## Membuat kebijakan grup keamanan AWS Firewall Manager umum
<a name="creating-firewall-manager-policy-common-security-group"></a>

Untuk informasi tentang cara kerja kebijakan grup keamanan umum, lihat[Menggunakan kebijakan grup keamanan umum dengan Firewall Manager](security-group-policies-common.md).

Untuk membuat kebijakan grup keamanan umum, Anda harus memiliki grup keamanan yang sudah dibuat di akun administrator Manajer Firewall yang ingin Anda gunakan sebagai yang utama untuk kebijakan Anda. Anda dapat mengelola grup keamanan melalui Amazon Virtual Private Cloud (Amazon VPC) atau Amazon Elastic Compute Cloud (Amazon EC2). Untuk selengkapnya, lihat [Bekerja dengan Grup Keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) di *Panduan Pengguna Amazon VPC*. 

**Untuk membuat kebijakan grup keamanan umum (konsol)**

1. Masuk ke akun administrator Konsol Manajemen AWS menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager di[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).
**catatan**  
Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).

1. Di panel navigasi, pilih **Kebijakan keamanan**.

1. Pilih **Buat kebijakan**.

1. Untuk **jenis Kebijakan**, pilih **Grup keamanan**. 

1. Untuk **jenis kebijakan grup Keamanan**, pilih **Grup keamanan umum**.

1. Untuk **Wilayah**, pilih file Wilayah AWS. 

1. Pilih **Berikutnya**.

1. Untuk **nama Kebijakan**, masukkan nama ramah. 

1. Untuk **aturan Kebijakan**, lakukan hal berikut: 

   1. Dari opsi aturan, pilih batasan yang ingin Anda terapkan pada aturan grup keamanan dan sumber daya yang berada dalam cakupan kebijakan. Jika Anda memilih **Mendistribusikan tag dari grup keamanan utama ke grup keamanan yang dibuat oleh kebijakan ini**, Anda juga harus memilih **Identifikasi dan laporkan ketika grup keamanan yang dibuat oleh kebijakan ini menjadi tidak sesuai**.
**penting**  
Firewall Manager tidak akan mendistribusikan tag sistem yang ditambahkan oleh AWS layanan ke dalam grup keamanan replika. Tag sistem dimulai dengan `aws:` awalan. Selain itu, Firewall Manager tidak akan memperbarui tag grup keamanan yang ada atau membuat grup keamanan baru jika kebijakan tersebut memiliki tag yang bertentangan dengan kebijakan tag organisasi. Untuk informasi tentang kebijakan tag, lihat [Kebijakan tag](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) di Panduan AWS Organizations Pengguna.

      Jika Anda memilih **Mendistribusikan referensi grup keamanan dari grup keamanan utama ke grup keamanan yang dibuat oleh kebijakan ini**, Firewall Manager hanya mendistribusikan referensi grup keamanan jika mereka memiliki koneksi peering aktif di Amazon VPC. Untuk informasi tentang opsi ini, lihat[Menggunakan kebijakan grup keamanan umum dengan Firewall Manager](security-group-policies-common.md).

   1. Untuk **grup keamanan utama**, pilih **Tambahkan grup keamanan**, lalu pilih grup keamanan yang ingin Anda gunakan. Firewall Manager mengisi daftar grup keamanan dari semua instance Amazon VPC di akun administrator Firewall Manager. 

      Secara default, jumlah maksimum grup keamanan primer per kebijakan adalah 3. Untuk informasi tentang pengaturan ini, lihat [AWS Firewall Manager kuota](fms-limits.md).

   1. Untuk **tindakan Kebijakan**, sebaiknya buat kebijakan dengan opsi yang tidak otomatis diperbaiki. Ini memungkinkan Anda untuk menilai efek dari kebijakan baru Anda sebelum Anda menerapkannya. Ketika Anda puas bahwa perubahan adalah apa yang Anda inginkan, maka edit kebijakan dan ubah tindakan kebijakan untuk mengaktifkan remediasi otomatis sumber daya yang tidak sesuai. 

1. Pilih **Berikutnya**.

1. Untuk **kebijakan Akun AWS ini berlaku**, pilih opsi sebagai berikut: 
   + Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, **Sertakan semua akun di AWS organisasi saya**. 
   + Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unit AWS Organizations organisasi tertentu (OUs), pilih **Sertakan hanya akun dan unit organisasi yang ditentukan**, lalu tambahkan akun dan OUs yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu anaknya OUs, termasuk setiap anak OUs dan akun yang ditambahkan di lain waktu. 
   + Jika Anda ingin menerapkan kebijakan untuk semua kecuali satu set akun atau unit AWS Organizations organisasi tertentu (OUs), pilih **Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua akun lainnya**, lalu tambahkan akun dan OUs yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu anaknya OUs, termasuk setiap anak OUs dan akun yang ditambahkan di lain waktu. 

   Anda hanya dapat memilih salah satu opsi. 

   Setelah menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu anaknya OUs, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

1. Untuk **jenis Sumber Daya**, pilih jenis sumber daya yang ingin Anda lindungi. 

   Untuk **instans EC2** tipe sumber daya, Anda dapat memilih untuk memulihkan semua instans Amazon EC2 atau hanya memulihkan instans yang hanya memiliki default, primary elastic network interface (ENI). Untuk opsi terakhir, Firewall Manager tidak memperbaiki instance yang memiliki lampiran ENI tambahan. Sebaliknya, ketika remediasi otomatis diaktifkan, Firewall Manager hanya menandai status kepatuhan instans EC2 ini, dan tidak menerapkan tindakan remediasi apa pun. Lihat peringatan dan batasan tambahan untuk jenis sumber daya Amazon EC2 di. [Peringatan dan batasan kebijakan kelompok keamanan](security-group-policies.md#security-groups-limitations)

1. Untuk **Sumber Daya**, Anda dapat mempersempit cakupan kebijakan menggunakan penandaan, dengan menyertakan atau mengecualikan sumber daya dengan tag yang Anda tentukan. Anda dapat menggunakan inklusi atau pengecualian, dan bukan keduanya. Untuk informasi selengkapnya tentang tag untuk menentukan cakupan kebijakan, lihat[Menggunakan cakupan AWS Firewall Manager kebijakan](policy-scope.md).

   Tag sumber daya hanya dapat memiliki nilai non-null. Jika Anda menghilangkan nilai untuk tag, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama. 

1. Untuk **sumber daya VPC Bersama**, jika Anda ingin menerapkan kebijakan ke sumber daya bersama VPCs, selain yang dimiliki akun, pilih **Sertakan sumber daya dari VPCs ** yang dibagikan. VPCs 

1. Pilih **Berikutnya**.

1. Tinjau setelan kebijakan untuk memastikan setelan tersebut sesuai dengan yang Anda inginkan, lalu pilih **Buat kebijakan**.

Firewall Manager membuat replika grup keamanan utama di setiap instans VPC Amazon yang terdapat dalam akun dalam lingkup hingga kuota maksimum VPC Amazon per akun yang didukung. Firewall Manager mengaitkan grup keamanan replika ke sumber daya yang berada dalam cakupan kebijakan untuk setiap akun dalam lingkup. Untuk informasi selengkapnya tentang cara kerja kebijakan ini, lihat[Menggunakan kebijakan grup keamanan umum dengan Firewall Manager](security-group-policies-common.md).

## Membuat kebijakan grup keamanan audit AWS Firewall Manager konten
<a name="creating-firewall-manager-policy-audit-security-group"></a>

Untuk informasi tentang cara kerja kebijakan grup keamanan audit konten, lihat[Menggunakan kebijakan grup keamanan audit konten dengan Firewall Manager](security-group-policies-audit.md). 

Untuk beberapa pengaturan kebijakan audit konten, Anda harus menyediakan grup keamanan audit untuk Firewall Manager untuk digunakan sebagai templat. Misalnya, Anda mungkin memiliki grup keamanan audit yang berisi semua aturan yang tidak diizinkan di grup keamanan mana pun. Anda harus membuat grup keamanan audit ini menggunakan akun administrator Firewall Manager Anda, sebelum Anda dapat menggunakannya dalam kebijakan Anda. Anda dapat mengelola grup keamanan melalui Amazon Virtual Private Cloud (Amazon VPC) atau Amazon Elastic Compute Cloud (Amazon EC2). Untuk selengkapnya, lihat [Bekerja dengan Grup Keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) di *Panduan Pengguna Amazon VPC*. 

**Untuk membuat kebijakan grup keamanan audit konten (konsol)**

1. Masuk ke akun administrator Konsol Manajemen AWS menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager di[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).
**catatan**  
Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).

1. Di panel navigasi, pilih **Kebijakan keamanan**.

1. Pilih **Buat kebijakan**.

1. Untuk **jenis Kebijakan**, pilih **Grup keamanan**. 

1. Untuk **jenis kebijakan grup Keamanan**, pilih **Audit dan penegakan aturan grup keamanan**.

1. Untuk **Wilayah**, pilih file Wilayah AWS. 

1. Pilih **Berikutnya**.

1. Untuk **nama Kebijakan**, masukkan nama ramah. 

1. Untuk **aturan Kebijakan**, pilih opsi aturan kebijakan terkelola atau kustom yang ingin Anda gunakan. 

   1. Untuk **Mengonfigurasi aturan kebijakan audit terkelola**, lakukan hal berikut: 

      1. Untuk **Mengonfigurasi aturan grup keamanan yang akan diaudit**, pilih jenis aturan grup keamanan yang ingin diterapkan oleh kebijakan audit Anda. 

      1. Jika Anda ingin melakukan hal-hal seperti aturan audit berdasarkan protokol, port, dan pengaturan rentang CIDR yang ada di grup keamanan Anda, pilih **Audit aturan grup keamanan yang terlalu permisif** dan pilih opsi yang Anda inginkan. 

         Untuk pemilihan **Aturan memungkinkan semua lalu lintas**, Anda dapat memberikan daftar aplikasi khusus untuk menunjuk aplikasi yang ingin Anda audit. Untuk informasi tentang daftar aplikasi kustom dan cara menggunakannya dalam kebijakan Anda, lihat [Menggunakan daftar terkelola](working-with-managed-lists.md) dan[Menggunakan daftar terkelola](working-with-managed-lists.md#using-managed-lists).

         Untuk pilihan yang menggunakan daftar protokol, Anda dapat menggunakan daftar yang ada dan Anda dapat membuat daftar baru. Untuk informasi tentang daftar protokol dan cara menggunakannya dalam kebijakan Anda, lihat [Menggunakan daftar terkelola](working-with-managed-lists.md) dan[Menggunakan daftar terkelola](working-with-managed-lists.md#using-managed-lists).

      1. Jika Anda ingin mengaudit risiko tinggi berdasarkan akses mereka ke rentang CIDR yang dicadangkan atau tidak dicadangkan, pilih **Audit aplikasi berisiko tinggi** dan pilih opsi yang Anda inginkan. 

         Pilihan berikut ini saling eksklusif: **Aplikasi yang hanya dapat mengakses rentang CIDR yang dipesan dan Aplikasi diizinkan untuk mengakses rentang CIDR** **yang tidak** dipesan. Anda dapat memilih paling banyak salah satu dari mereka dalam kebijakan apa pun.

         Untuk pilihan yang menggunakan daftar aplikasi, Anda dapat menggunakan daftar yang ada dan Anda dapat membuat daftar baru. Untuk informasi tentang daftar aplikasi dan cara menggunakannya dalam kebijakan Anda, lihat [Menggunakan daftar terkelola](working-with-managed-lists.md) dan[Menggunakan daftar terkelola](working-with-managed-lists.md#using-managed-lists).

      1. Gunakan pengaturan **Overrides** untuk secara eksplisit mengganti setelan lain dalam kebijakan. Anda dapat memilih untuk selalu mengizinkan atau selalu menolak aturan grup keamanan tertentu, terlepas dari apakah aturan tersebut mematuhi opsi lain yang telah Anda tetapkan untuk kebijakan tersebut. 

         Untuk opsi ini, Anda menyediakan grup keamanan audit sebagai aturan yang diizinkan atau templat aturan yang ditolak. Untuk **grup keamanan audit**, pilih **Tambahkan grup keamanan audit**, lalu pilih grup keamanan yang ingin Anda gunakan. Firewall Manager mengisi daftar grup keamanan audit dari semua instance VPC Amazon di akun administrator Firewall Manager. Kuota maksimum default untuk jumlah grup keamanan audit untuk suatu kebijakan adalah satu. Untuk informasi tentang peningkatan kuota, lihat[AWS Firewall Manager kuota](fms-limits.md).

   1. Untuk **Mengonfigurasi aturan kebijakan kustom**, lakukan hal berikut: 

      1. Dari opsi aturan, pilih apakah hanya mengizinkan aturan yang ditentukan dalam kelompok keamanan audit atau menolak semua aturan. Untuk informasi tentang pilihan ini, lihat[Menggunakan kebijakan grup keamanan audit konten dengan Firewall Manager](security-group-policies-audit.md). 

      1. Untuk **grup keamanan audit**, pilih **Tambahkan grup keamanan audit**, lalu pilih grup keamanan yang ingin Anda gunakan. Firewall Manager mengisi daftar grup keamanan audit dari semua instance VPC Amazon di akun administrator Firewall Manager. Kuota maksimum default untuk jumlah grup keamanan audit untuk suatu kebijakan adalah satu. Untuk informasi tentang peningkatan kuota, lihat[AWS Firewall Manager kuota](fms-limits.md).

      1. Untuk **tindakan Kebijakan**, Anda harus membuat kebijakan dengan opsi yang tidak otomatis diperbaiki. Ini memungkinkan Anda untuk menilai efek dari kebijakan baru Anda sebelum Anda menerapkannya. Ketika Anda puas bahwa perubahan adalah apa yang Anda inginkan, edit kebijakan dan ubah tindakan kebijakan untuk mengaktifkan remediasi otomatis sumber daya yang tidak sesuai. 

1. Pilih **Berikutnya**.

1. Untuk **kebijakan Akun AWS ini berlaku**, pilih opsi sebagai berikut: 
   + Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, **Sertakan semua akun di AWS organisasi saya**. 
   + Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unit AWS Organizations organisasi tertentu (OUs), pilih **Sertakan hanya akun dan unit organisasi yang ditentukan**, lalu tambahkan akun dan OUs yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu anaknya OUs, termasuk setiap anak OUs dan akun yang ditambahkan di lain waktu. 
   + Jika Anda ingin menerapkan kebijakan untuk semua kecuali satu set akun atau unit AWS Organizations organisasi tertentu (OUs), pilih **Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua akun lainnya**, lalu tambahkan akun dan OUs yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu anaknya OUs, termasuk setiap anak OUs dan akun yang ditambahkan di lain waktu. 

   Anda hanya dapat memilih salah satu opsi. 

   Setelah menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu anaknya OUs, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

1. Untuk **jenis Sumber Daya**, pilih jenis sumber daya yang ingin Anda lindungi.

1. Untuk **Sumber Daya**, Anda dapat mempersempit cakupan kebijakan menggunakan penandaan, dengan menyertakan atau mengecualikan sumber daya dengan tag yang Anda tentukan. Anda dapat menggunakan inklusi atau pengecualian, dan bukan keduanya. Untuk informasi selengkapnya tentang tag untuk menentukan cakupan kebijakan, lihat[Menggunakan cakupan AWS Firewall Manager kebijakan](policy-scope.md).

   Tag sumber daya hanya dapat memiliki nilai non-null. Jika Anda menghilangkan nilai untuk tag, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama. 

1. Pilih **Berikutnya**.

1. Tinjau setelan kebijakan untuk memastikan setelan tersebut sesuai dengan yang Anda inginkan, lalu pilih **Buat kebijakan**.

Firewall Manager membandingkan grup keamanan audit dengan grup keamanan dalam lingkup di AWS organisasi Anda, sesuai dengan setelan aturan kebijakan Anda. Anda dapat meninjau status kebijakan di konsol AWS Firewall Manager kebijakan. Setelah kebijakan dibuat, Anda dapat mengeditnya dan mengaktifkan remediasi otomatis untuk menerapkan kebijakan grup keamanan audit Anda. Untuk informasi selengkapnya tentang cara kerja kebijakan ini, lihat[Menggunakan kebijakan grup keamanan audit konten dengan Firewall Manager](security-group-policies-audit.md).

## Membuat kebijakan grup keamanan audit AWS Firewall Manager penggunaan
<a name="creating-firewall-manager-policy-usage-security-group"></a>

Untuk informasi tentang cara kerja kebijakan grup keamanan audit penggunaan, lihat[Menggunakan kebijakan grup keamanan audit penggunaan dengan Firewall Manager](security-group-policies-usage.md).

**Untuk membuat kebijakan grup keamanan audit penggunaan (konsol)**

1. Masuk ke akun administrator Konsol Manajemen AWS menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager di[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).
**catatan**  
Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).

1. Di panel navigasi, pilih **Kebijakan keamanan**.

1. Pilih **Buat kebijakan**.

1. Untuk **jenis Kebijakan**, pilih **Grup keamanan**. 

1. Untuk **jenis kebijakan grup Keamanan**, pilih **Audit dan pembersihan grup keamanan yang tidak terkait dan berlebihan**.

1. Untuk **Wilayah**, pilih file Wilayah AWS. 

1. Pilih **Berikutnya**.

1. Untuk **nama Kebijakan**, masukkan nama ramah. 

1. Untuk **aturan Kebijakan**, pilih salah satu atau kedua opsi yang tersedia. 
   + Jika Anda memilih **Grup keamanan dalam cakupan kebijakan ini harus digunakan oleh setidaknya satu sumber daya**, Firewall Manager menghapus grup keamanan apa pun yang ditentukan tidak digunakan. Ketika aturan ini diaktifkan, Firewall Manager menjalankannya terakhir saat Anda menyimpan kebijakan.

     Untuk detail tentang cara Firewall Manager menentukan penggunaan dan waktu remediasi, lihat[Menggunakan kebijakan grup keamanan audit penggunaan dengan Firewall Manager](security-group-policies-usage.md).
**catatan**  
Bila Anda menggunakan jenis kebijakan grup keamanan audit penggunaan ini, hindari membuat beberapa perubahan pada status asosiasi grup keamanan dalam lingkup dalam waktu singkat. Melakukannya dapat menyebabkan Firewall Manager melewatkan acara terkait. 

     Secara default, Firewall Manager menganggap grup keamanan tidak sesuai dengan aturan kebijakan ini segera setelah tidak digunakan. Anda dapat secara opsional menentukan beberapa menit bahwa grup keamanan dapat tidak digunakan sebelum dianggap tidak sesuai, hingga 525.600 menit (365 hari). Anda dapat menggunakan pengaturan ini untuk memberi Anda waktu untuk mengaitkan grup keamanan baru dengan sumber daya. 
**penting**  
Jika Anda menentukan jumlah menit selain nilai default nol, Anda harus mengaktifkan hubungan tidak langsung di AWS Config. Jika tidak, kebijakan grup keamanan audit penggunaan Anda tidak akan berfungsi sebagaimana dimaksud. Untuk informasi tentang hubungan tidak langsung di AWS Config, lihat [Hubungan Tidak Langsung di AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/faq.html#faq-2) dalam *Panduan AWS Config Pengembang*.
   + Jika Anda memilih **Grup keamanan dalam cakupan kebijakan ini harus unik**, Firewall Manager menggabungkan grup keamanan yang berlebihan, sehingga hanya satu yang terkait dengan sumber daya apa pun. Jika Anda memilih ini, Firewall Manager menjalankannya terlebih dahulu saat Anda menyimpan kebijakan. 

1. Untuk **tindakan Kebijakan**, sebaiknya buat kebijakan dengan opsi yang tidak otomatis diperbaiki. Ini memungkinkan Anda untuk menilai efek dari kebijakan baru Anda sebelum Anda menerapkannya. Ketika Anda puas bahwa perubahan adalah apa yang Anda inginkan, maka edit kebijakan dan ubah tindakan kebijakan untuk mengaktifkan remediasi otomatis sumber daya yang tidak sesuai. 

1. Pilih **Berikutnya**.

1. Untuk **kebijakan Akun AWS ini berlaku**, pilih opsi sebagai berikut: 
   + Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, **Sertakan semua akun di AWS organisasi saya**. 
   + Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unit AWS Organizations organisasi tertentu (OUs), pilih **Sertakan hanya akun dan unit organisasi yang ditentukan**, lalu tambahkan akun dan OUs yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu anaknya OUs, termasuk setiap anak OUs dan akun yang ditambahkan di lain waktu. 
   + Jika Anda ingin menerapkan kebijakan untuk semua kecuali satu set akun atau unit AWS Organizations organisasi tertentu (OUs), pilih **Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua akun lainnya**, lalu tambahkan akun dan OUs yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu anaknya OUs, termasuk setiap anak OUs dan akun yang ditambahkan di lain waktu. 

   Anda hanya dapat memilih salah satu opsi. 

   Setelah menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu anaknya OUs, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

1. Untuk **Sumber Daya**, Anda dapat mempersempit cakupan kebijakan menggunakan penandaan, dengan menyertakan atau mengecualikan sumber daya dengan tag yang Anda tentukan. Anda dapat menggunakan inklusi atau pengecualian, dan bukan keduanya. Untuk informasi selengkapnya tentang tag untuk menentukan cakupan kebijakan, lihat[Menggunakan cakupan AWS Firewall Manager kebijakan](policy-scope.md).

   Tag sumber daya hanya dapat memiliki nilai non-null. Jika Anda menghilangkan nilai untuk tag, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama. 

1. Pilih **Berikutnya**.

1. Jika Anda belum mengecualikan akun administrator Manajer Firewall dari cakupan kebijakan, Firewall Manager meminta Anda untuk melakukannya. Melakukan hal ini akan membuat grup keamanan di akun administrator Firewall Manager, yang Anda gunakan untuk kebijakan grup keamanan umum dan audit, di bawah kendali manual Anda. Pilih opsi yang Anda inginkan dalam dialog ini.

1. Tinjau setelan kebijakan untuk memastikan setelan tersebut sesuai dengan yang Anda inginkan, lalu pilih **Buat kebijakan**.

Jika Anda memilih untuk meminta grup keamanan unik, Firewall Manager memindai grup keamanan redundan di setiap instans VPC Amazon dalam lingkup. Kemudian, jika Anda memilih untuk mewajibkan setiap grup keamanan digunakan oleh setidaknya satu sumber daya, Firewall Manager memindai grup keamanan yang tetap tidak digunakan selama menit yang ditentukan dalam aturan. Anda dapat meninjau status kebijakan di konsol AWS Firewall Manager kebijakan. Untuk informasi selengkapnya tentang cara kerja kebijakan ini, lihat[Menggunakan kebijakan grup keamanan audit penggunaan dengan Firewall Manager](security-group-policies-usage.md).

## Membuat kebijakan ACL AWS Firewall Manager jaringan
<a name="creating-firewall-manager-policy-network-acl"></a>

Untuk informasi tentang cara kerja kebijakan ACL jaringan, lihat[Kebijakan ACL jaringan](network-acl-policies.md).

Untuk membuat kebijakan ACL jaringan, Anda harus tahu cara menentukan ACL jaringan untuk digunakan dengan subnet VPC Amazon Anda. Untuk selengkapnya, lihat [Mengontrol lalu lintas ke subnet menggunakan jaringan ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) dan [Bekerja dengan jaringan ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) di Panduan *Pengguna Amazon VPC*. 

**Untuk membuat kebijakan ACL jaringan (konsol)**

1. Masuk ke akun administrator Konsol Manajemen AWS menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager di[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).
**catatan**  
Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).

1. Di panel navigasi, pilih **Kebijakan keamanan**.

1. Pilih **Buat kebijakan**.

1. Untuk **jenis Kebijakan**, pilih **ACL Jaringan**. 

1. Untuk **Wilayah**, pilih file Wilayah AWS. 

1. Pilih **Berikutnya**.

1. Untuk **nama Kebijakan**, masukkan nama deskriptif. 

1. Untuk **aturan Kebijakan**, tentukan aturan yang ingin selalu dijalankan di jaringan ACLs yang dikelola Firewall Manager untuk Anda. Jaringan ACLs memantau dan menangani lalu lintas masuk dan keluar, jadi dalam kebijakan Anda, Anda menentukan aturan untuk kedua arah. 

   Untuk kedua arah, Anda menentukan aturan yang ingin selalu Anda jalankan terlebih dahulu dan aturan yang ingin selalu Anda jalankan terakhir. Dalam jaringan ACLs yang dikelola Manajer Firewall, pemilik akun dapat menentukan aturan khusus untuk dijalankan di antara aturan pertama dan terakhir ini. 

1. Untuk **tindakan Kebijakan**, jika Anda ingin mengidentifikasi subnet dan jaringan yang tidak sesuai ACLs, tetapi belum mengambil tindakan korektif apa pun, pilih **Identifikasi sumber daya yang tidak mematuhi aturan kebijakan, tetapi jangan** memulihkan secara otomatis. Anda dapat mengubah opsi ini nanti.

   Jika Anda ingin menerapkan kebijakan secara otomatis ke subnet dalam lingkup yang ada, pilih **Remediasi otomatis sumber daya yang tidak sesuai**. Dengan opsi ini, Anda juga menentukan apakah akan memaksa remediasi ketika perilaku penanganan lalu lintas aturan kebijakan bertentangan dengan aturan kustom yang ada di ACL jaringan. Terlepas dari apakah Anda memaksa remediasi, Firewall Manager melaporkan aturan yang bertentangan dalam pelanggaran kepatuhannya. 

1. Pilih **Berikutnya**.

1. Untuk **kebijakan Akun AWS ini berlaku**, pilih opsi sebagai berikut: 
   + Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, **Sertakan semua akun di AWS organisasi saya**. 
   + Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unit AWS Organizations organisasi tertentu (OUs), pilih **Sertakan hanya akun dan unit organisasi yang ditentukan**, lalu tambahkan akun dan OUs yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu anaknya OUs, termasuk setiap anak OUs dan akun yang ditambahkan di lain waktu. 
   + Jika Anda ingin menerapkan kebijakan untuk semua kecuali satu set akun atau unit AWS Organizations organisasi tertentu (OUs), pilih **Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua akun lainnya**, lalu tambahkan akun dan OUs yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu anaknya OUs, termasuk setiap anak OUs dan akun yang ditambahkan di lain waktu. 

   Anda hanya dapat memilih salah satu opsi. 

   Setelah menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru yang berbeda. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu anaknya OUs, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

1. Untuk **tipe Sumber Daya**, pengaturan ditetapkan di **Subnet**. 

1. Untuk **Sumber Daya**, Anda dapat mempersempit cakupan kebijakan menggunakan penandaan, dengan menyertakan atau mengecualikan sumber daya dengan tag yang Anda tentukan. Anda dapat menggunakan inklusi atau pengecualian, dan bukan keduanya. Untuk informasi selengkapnya tentang tag untuk menentukan cakupan kebijakan, lihat[Menggunakan cakupan AWS Firewall Manager kebijakan](policy-scope.md).

   Tag sumber daya hanya dapat memiliki nilai non-null. Jika Anda menghilangkan nilai untuk tag, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama. 

1. Pilih **Berikutnya**.

1. Tinjau setelan kebijakan untuk memastikan setelan tersebut sesuai dengan yang Anda inginkan, lalu pilih **Buat kebijakan**.

Firewall Manager membuat kebijakan dan mulai memantau dan mengelola jaringan in scope ACLs sesuai dengan pengaturan Anda. Untuk informasi selengkapnya tentang cara kerja kebijakan ini, lihat[Kebijakan ACL jaringan](network-acl-policies.md).

## Membuat AWS Firewall Manager kebijakan untuk AWS Network Firewall
<a name="creating-firewall-manager-policy-for-network-firewall"></a>

Dalam kebijakan Firewall Manager Network Firewall, Anda menggunakan grup aturan yang Anda kelola AWS Network Firewall. Untuk informasi tentang mengelola grup aturan, lihat [grup AWS Network Firewall aturan](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html) di *Panduan Pengembang Firewall Jaringan*.

Untuk informasi tentang kebijakan Firewall Manager Network Firewall, lihat[Menggunakan AWS Network Firewall kebijakan di Firewall Manager](network-firewall-policies.md).

**Untuk membuat kebijakan Firewall Manager untuk AWS Network Firewall (konsol)**

1. Masuk ke akun administrator Konsol Manajemen AWS menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager di[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).
**catatan**  
Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).

1. Di panel navigasi, pilih **Kebijakan keamanan**.

1. Pilih **Buat kebijakan**.

1. Untuk **jenis Kebijakan**, pilih **AWS Network Firewall**.

1. Di bawah **Jenis manajemen Firewall**, pilih cara Anda ingin Firewall Manager mengelola firewall kebijakan. Pilih dari salah satu pilihan berikut:
   + **Distributed** - Firewall Manager membuat dan memelihara titik akhir firewall di setiap VPC yang ada dalam lingkup kebijakan.
   +  **Terpusat** - Firewall Manager membuat dan memelihara titik akhir dalam satu VPC inspeksi.
   + **Impor firewall yang ada** - Firewall Manager mengimpor firewall yang ada dari Network Firewall menggunakan kumpulan sumber daya. Untuk informasi tentang kumpulan sumber daya, lihat[Mengelompokkan sumber daya Anda di Firewall Manager](fms-resource-sets.md).

1. Untuk **Wilayah**, pilih file Wilayah AWS. Untuk melindungi sumber daya di beberapa Wilayah, Anda harus membuat kebijakan terpisah untuk setiap Wilayah.

1. Pilih **Berikutnya**.

1. Untuk **nama Kebijakan**, masukkan nama deskriptif. Firewall Manager menyertakan nama kebijakan dalam nama firewall Network Firewall dan kebijakan firewall yang dibuatnya. 

1. Dalam **konfigurasi AWS Network Firewall kebijakan**, konfigurasikan kebijakan firewall seperti yang Anda lakukan di Network Firewall. Tambahkan grup aturan stateless dan stateful Anda dan tentukan tindakan default kebijakan. Anda dapat secara opsional menyetel urutan evaluasi aturan stateful kebijakan dan tindakan default, serta konfigurasi logging. Untuk informasi tentang manajemen kebijakan firewall Network Firewall, lihat [kebijakan AWS Network Firewall firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html) di *Panduan AWS Network Firewall Pengembang*.

   Saat Anda membuat kebijakan Firewall Manager Network Firewall, Firewall Manager membuat kebijakan firewall untuk akun yang berada dalam cakupan. Manajer akun individu dapat menambahkan grup aturan ke kebijakan firewall, tetapi mereka tidak dapat mengubah konfigurasi yang Anda berikan di sini.

1. Pilih **Berikutnya**.

1. Lakukan salah satu hal berikut, tergantung pada **jenis manajemen Firewall** yang Anda pilih pada langkah sebelumnya:
   + Jika Anda menggunakan tipe manajemen firewall **terdistribusi**, dalam **konfigurasi AWS Firewall Manager titik akhir** di bawah **lokasi titik akhir Firewall**, pilih salah satu opsi berikut:
     + **Konfigurasi endpoint khusus** - Firewall Manager membuat firewall untuk setiap VPC dalam cakupan kebijakan, di Availability Zone yang Anda tentukan. Setiap firewall berisi setidaknya satu titik akhir firewall. 
       + Di **Availability Zones**, pilih Availability Zones untuk membuat endpoint firewall. Anda dapat memilih Availability Zones berdasarkan **nama Availability Zone** atau dengan **Availability Zone ID**.
       + Jika Anda ingin memberikan blok CIDR untuk Firewall Manager untuk digunakan untuk subnet firewall di AndaVPCs, semuanya harus berupa blok /28 CIDR. Masukkan satu blok per baris. Jika Anda menghilangkan ini, Firewall Manager memilih alamat IP untuk Anda dari yang tersedia di. VPCs
**catatan**  
Remediasi otomatis terjadi secara otomatis untuk kebijakan AWS Firewall Manager Network Firewall, sehingga Anda tidak akan melihat opsi untuk memilih untuk tidak melakukan perbaikan otomatis di sini.
     + **Konfigurasi endpoint otomatis** - Firewall Manager secara otomatis membuat titik akhir firewall di Availability Zones dengan subnet publik di VPC Anda.
       + Untuk konfigurasi **endpoint Firewall**, tentukan bagaimana Anda ingin endpoint firewall dikelola oleh Firewall Manager. Sebaiknya gunakan beberapa titik akhir untuk ketersediaan tinggi.
   + Jika Anda menggunakan tipe manajemen firewall **terpusat**, dalam **konfigurasi AWS Firewall Manager titik akhir di bawah konfigurasi** **VPC** Inspeksi, masukkan ID AWS akun pemilik VPC inspeksi, dan ID VPC dari VPC inspeksi.
     + Di **Availability Zones**, pilih Availability Zones untuk membuat endpoint firewall. Anda dapat memilih Availability Zones berdasarkan **nama Availability Zone** atau dengan **Availability Zone ID**.
     + Jika Anda ingin memberikan blok CIDR untuk Firewall Manager untuk digunakan untuk subnet firewall di AndaVPCs, semuanya harus berupa blok /28 CIDR. Masukkan satu blok per baris. Jika Anda menghilangkan ini, Firewall Manager memilih alamat IP untuk Anda dari yang tersedia di. VPCs
**catatan**  
Remediasi otomatis terjadi secara otomatis untuk kebijakan AWS Firewall Manager Network Firewall, sehingga Anda tidak akan melihat opsi untuk memilih untuk tidak melakukan perbaikan otomatis di sini.
   + Jika Anda menggunakan jenis manajemen firewall **firewall impor yang ada**, dalam **kumpulan Sumber daya** tambahkan satu atau beberapa kumpulan sumber daya. Kumpulan sumber daya menentukan firewall Firewall Jaringan yang ada yang dimiliki oleh akun organisasi yang ingin Anda kelola secara terpusat dalam kebijakan ini. Untuk menambahkan kumpulan sumber daya ke kebijakan, Anda harus terlebih dahulu membuat kumpulan sumber daya menggunakan konsol atau [PutResourceSet](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutResourceSet.html)API. Untuk informasi tentang kumpulan sumber daya, lihat[Mengelompokkan sumber daya Anda di Firewall Manager](fms-resource-sets.md). Untuk informasi selengkapnya tentang mengimpor firewall yang ada dari Network Firewall, lihat. [Bagaimana Firewall Manager membuat titik akhir firewall](fms-create-firewall-endpoints.md)

1. Pilih **Berikutnya**.

1. Jika kebijakan Anda menggunakan jenis manajemen firewall terdistribusi, di bawah **Manajemen rute**, pilih apakah Firewall Manager akan memantau dan memperingatkan lalu lintas yang harus dialihkan melalui titik akhir firewall masing-masing atau tidak.
**catatan**  
Jika Anda memilih **Monitor**, Anda tidak dapat mengubah pengaturan ke **Off** di kemudian hari. Pemantauan berlanjut hingga Anda menghapus kebijakan.

1. Untuk **jenis Lalu Lintas**, secara opsional tambahkan titik akhir lalu lintas yang ingin Anda rutekan lalu lintas untuk inspeksi firewall.

1.  Untuk **Izinkan lalu lintas lintas lintas AZ yang diperlukan**, jika Anda mengaktifkan opsi ini maka Firewall Manager memperlakukan perutean yang sesuai yang mengirimkan lalu lintas keluar dari Availability Zone untuk diperiksa, untuk Availability Zone yang tidak memiliki endpoint firewall sendiri. Availability Zone yang memiliki endpoint harus selalu memeriksa lalu lintas mereka sendiri. 

1. Pilih **Berikutnya**.

1. Untuk **cakupan Kebijakan**, berdasarkan **kebijakan Akun AWS ini berlaku untuk**, pilih opsi sebagai berikut: 
   + Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, **Sertakan semua akun di AWS organisasi saya**. 
   + Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unit AWS Organizations organisasi tertentu (OUs), pilih **Sertakan hanya akun dan unit organisasi yang ditentukan**, lalu tambahkan akun dan OUs yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu anaknya OUs, termasuk setiap anak OUs dan akun yang ditambahkan di lain waktu. 
   + Jika Anda ingin menerapkan kebijakan untuk semua kecuali satu set akun atau unit AWS Organizations organisasi tertentu (OUs), pilih **Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua akun lainnya**, lalu tambahkan akun dan OUs yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu anaknya OUs, termasuk setiap anak OUs dan akun yang ditambahkan di lain waktu. 

   Anda hanya dapat memilih salah satu opsi. 

   Setelah menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu anaknyaOUs, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

1. **Jenis sumber daya** untuk kebijakan Network Firewall adalah **VPC**. 

1. Untuk **Sumber Daya**, Anda dapat mempersempit cakupan kebijakan menggunakan penandaan, dengan menyertakan atau mengecualikan sumber daya dengan tag yang Anda tentukan. Anda dapat menggunakan inklusi atau pengecualian, dan bukan keduanya. Untuk informasi selengkapnya tentang tag untuk menentukan cakupan kebijakan, lihat[Menggunakan cakupan AWS Firewall Manager kebijakan](policy-scope.md).

   Tag sumber daya hanya dapat memiliki nilai non-null. Jika Anda menghilangkan nilai untuk tag, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama. 

1. Pilih **Berikutnya**.

1. Untuk **tag Kebijakan**, tambahkan tag pengenal apa pun yang ingin Anda tambahkan ke sumber daya kebijakan Manajer Firewall. Untuk informasi selengkapnya tentang tag, lihat [Bekerja dengan Editor Tag](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Pilih **Berikutnya**.

1. Tinjau pengaturan kebijakan baru dan kembali ke halaman mana pun yang Anda perlukan untuk penyesuaian apa pun. 

   Jika Anda puas dengan kebijakan ini, pilih **Create policy** (Buat kebijakan). Di panel **AWS Firewall Manager kebijakan**, kebijakan Anda harus dicantumkan. Ini mungkin akan menunjukkan **Pending** di bawah judul akun dan itu akan menunjukkan status pengaturan **remediasi otomatis**. Pembuatan kebijakan dapat memakan waktu beberapa menit. Setelah Status **tertunda** diganti dengan jumlah akun, Anda dapat memilih nama kebijakan untuk menjelajahi status kepatuhan akun dan sumber daya. Untuk informasi, lihat [Melihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan](fms-compliance.md)

## Membuat AWS Firewall Manager kebijakan untuk Amazon Route 53 Resolver DNS Firewall
<a name="creating-firewall-manager-policy-for-dns-firewall"></a>

Dalam kebijakan Firewall Manager DNS Firewall, Anda menggunakan grup aturan yang Anda kelola di Amazon Route 53 Resolver DNS Firewall. Untuk informasi tentang mengelola grup aturan, lihat [Mengelola grup aturan dan aturan di DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-group-managing.html) di *Panduan Pengembang Amazon Route 53*.

Untuk informasi tentang kebijakan Firewall Manager DNS Firewall, lihat[Menggunakan kebijakan Amazon Route 53 Resolver DNS Firewall di Firewall Manager](dns-firewall-policies.md).

**Untuk membuat kebijakan Firewall Manager untuk Amazon Route 53 Resolver DNS Firewall (konsol)**

1. Masuk ke akun administrator Konsol Manajemen AWS menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager di[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).
**catatan**  
Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).

1. Di panel navigasi, pilih **Kebijakan keamanan**.

1. Pilih **Buat kebijakan**.

1. Untuk **jenis Kebijakan**, pilih **Amazon Route 53 Resolver DNS Firewall**. 

1. Untuk **Wilayah**, pilih file Wilayah AWS. Untuk melindungi sumber daya di beberapa Wilayah, Anda harus membuat kebijakan terpisah untuk setiap Wilayah. 

1. Pilih **Berikutnya**.

1. Untuk **nama Kebijakan**, masukkan nama deskriptif. 

1. Dalam konfigurasi kebijakan, tambahkan grup aturan yang ingin Anda evaluasi DNS Firewall pertama dan terakhir di antara VPCs 'asosiasi grup aturan Anda. Anda dapat menambahkan hingga dua grup aturan ke kebijakan.

   Saat Anda membuat kebijakan Firewall Manager DNS Firewall, Firewall Manager membuat asosiasi grup aturan, dengan prioritas asosiasi yang Anda berikan, untuk akun VPCs dan akun yang berada dalam cakupan. Manajer akun individu dapat menambahkan asosiasi grup aturan di antara asosiasi pertama dan terakhir Anda, tetapi mereka tidak dapat mengubah asosiasi yang Anda tentukan di sini. Untuk informasi selengkapnya, lihat [Menggunakan kebijakan Amazon Route 53 Resolver DNS Firewall di Firewall Manager](dns-firewall-policies.md).

1. Pilih **Berikutnya**.

1. Untuk **kebijakan Akun AWS ini berlaku**, pilih opsi sebagai berikut: 
   + Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, **Sertakan semua akun di AWS organisasi saya**. 
   + Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unit AWS Organizations organisasi tertentu (OUs), pilih **Sertakan hanya akun dan unit organisasi yang ditentukan**, lalu tambahkan akun dan OUs yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu anaknya OUs, termasuk setiap anak OUs dan akun yang ditambahkan di lain waktu. 
   + Jika Anda ingin menerapkan kebijakan untuk semua kecuali satu set akun atau unit AWS Organizations organisasi tertentu (OUs), pilih **Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua akun lainnya**, lalu tambahkan akun dan OUs yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu anaknya OUs, termasuk setiap anak OUs dan akun yang ditambahkan di lain waktu. 

   Anda hanya dapat memilih salah satu opsi. 

   Setelah menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu anaknyaOUs, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

1. **Jenis sumber daya** untuk kebijakan DNS Firewall adalah **VPC**. 

1. Untuk **Sumber Daya**, Anda dapat mempersempit cakupan kebijakan menggunakan penandaan, dengan menyertakan atau mengecualikan sumber daya dengan tag yang Anda tentukan. Anda dapat menggunakan inklusi atau pengecualian, dan bukan keduanya. Untuk informasi selengkapnya tentang tag untuk menentukan cakupan kebijakan, lihat[Menggunakan cakupan AWS Firewall Manager kebijakan](policy-scope.md).

   Tag sumber daya hanya dapat memiliki nilai non-null. Jika Anda menghilangkan nilai untuk tag, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama. 

1. Pilih **Berikutnya**.

1. Untuk **tag Kebijakan**, tambahkan tag pengenal apa pun yang ingin Anda tambahkan ke sumber daya kebijakan Manajer Firewall. Untuk informasi selengkapnya tentang tag, lihat [Bekerja dengan Editor Tag](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Pilih **Berikutnya**.

1. Tinjau pengaturan kebijakan baru dan kembali ke halaman mana pun yang Anda perlukan untuk penyesuaian apa pun. 

   Jika Anda puas dengan kebijakan ini, pilih **Create policy** (Buat kebijakan). Di panel **AWS Firewall Manager kebijakan**, kebijakan Anda harus dicantumkan. Ini mungkin akan menunjukkan **Pending** di bawah judul akun dan itu akan menunjukkan status pengaturan **remediasi otomatis**. Pembuatan kebijakan dapat memakan waktu beberapa menit. Setelah Status **tertunda** diganti dengan jumlah akun, Anda dapat memilih nama kebijakan untuk menjelajahi status kepatuhan akun dan sumber daya. Untuk informasi, lihat [Melihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan](fms-compliance.md)

## Membuat AWS Firewall Manager kebijakan untuk Palo Alto Networks Cloud NGFW
<a name="creating-cloud-ngfw-policy"></a>

Dengan kebijakan Firewall Manager untuk Palo Alto Networks Cloud Next Generation Firewall (Palo Alto Networks Cloud NGFW), Anda menggunakan Firewall Manager untuk menyebarkan sumber daya Palo Alto Networks Cloud NGFW, dan mengelola tumpukan aturan NGFW secara terpusat di semua akun Anda. AWS 

Untuk informasi tentang kebijakan Firewall Manager Palo Alto Networks Cloud NGFW, lihat. [Menggunakan kebijakan Palo Alto Networks Cloud NGFW untuk Firewall Manager](cloud-ngfw-policies.md) Untuk informasi tentang cara mengkonfigurasi dan mengelola Palo Alto Networks Cloud NGFW untuk Firewall Manager, lihat Palo Alto Networks *[Palo Alto Networks Cloud NGFW pada dokumentasi](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)*. AWS

### Prasyarat
<a name="complete-fms-prereq-cloud-ngfw"></a>

Ada beberapa langkah wajib untuk mempersiapkan akun Anda AWS Firewall Manager. Langkah-langkah tersebut dijelaskan dalam[AWS Firewall Manager prasyarat](fms-prereq.md). Lengkapi semua prasyarat sebelum melanjutkan ke langkah berikutnya.

**Untuk membuat kebijakan Firewall Manager untuk Palo Alto Networks Cloud NGFW (konsol)**

1. Masuk ke akun administrator Konsol Manajemen AWS menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager di[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).
**catatan**  
Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).

1. Di panel navigasi, pilih **Kebijakan keamanan**.

1. Pilih **Buat kebijakan**.

1. Untuk **jenis Kebijakan**, pilih **Palo Alto Networks Cloud** NGFW. Jika Anda belum berlangganan layanan Palo Alto Networks Cloud NGFW di AWS Marketplace, Anda harus melakukannya terlebih dahulu. Untuk berlangganan AWS Marketplace, pilih **Lihat detail AWS Marketplace**.

1. Untuk **model Deployment**, pilih model **Terdistribusi atau model** **Terpusat**. Model penerapan menentukan cara Firewall Manager mengelola titik akhir untuk kebijakan tersebut. Dengan model terdistribusi, Firewall Manager mempertahankan titik akhir firewall di setiap VPC yang berada dalam cakupan kebijakan. Dengan model terpusat, Firewall Manager mempertahankan satu titik akhir dalam VPC inspeksi.

1. Untuk **Wilayah**, pilih file Wilayah AWS. Untuk melindungi sumber daya di beberapa Wilayah, Anda harus membuat kebijakan terpisah untuk setiap Wilayah. 

1. Pilih **Berikutnya**.

1. Untuk **nama Kebijakan**, masukkan nama deskriptif.

1. Dalam konfigurasi kebijakan, pilih kebijakan firewall Palo Alto Networks Cloud NGFW untuk dikaitkan dengan kebijakan ini. Daftar kebijakan firewall Palo Alto Networks Cloud NGFW berisi semua kebijakan firewall Palo Alto Networks Cloud NGFW yang terkait dengan penyewa Palo Alto Networks Cloud NGFW Anda. *Untuk informasi tentang membuat dan mengelola kebijakan firewall Palo Alto Networks Cloud NGFW, lihat panduan *[Deploy Palo Alto Networks Cloud NGFW untuk AWS Firewall Manager topik di Palo Alto Networks Cloud NGFW untuk AWS](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/getting-started-with-cloud-ngfw-for-aws/deploy-cloud-ngfw-for-aws-with-the-aws-firewall-manager.html)* panduan penerapan. AWS *

1. Untuk pencatatan **Palo Alto Networks Cloud NGFW - opsional, pilih jenis log** Palo Alto Networks Cloud NGFW mana yang akan dicatat untuk kebijakan Anda. *Untuk informasi tentang jenis log Palo Alto Networks Cloud NGFW, lihat [Mengkonfigurasi Logging untuk Palo Alto Networks Cloud NGFW AWS di Palo Alto Networks Cloud NGFW](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/create-cloud-ngfw-instances-and-endpoints/configure-logging-for-the-cloud-ngfw-on-aws.html) untuk panduan penerapan. AWS *

   Untuk **tujuan log**, tentukan kapan Firewall Manager harus menulis log ke.

1. Pilih **Berikutnya**.

1. Di bawah **Konfigurasi titik akhir firewall pihak ketiga** lakukan salah satu hal berikut, tergantung pada apakah Anda menggunakan model penyebaran terdistribusi atau terpusat untuk membuat titik akhir firewall Anda:
   + Jika Anda menggunakan model penerapan terdistribusi untuk kebijakan ini, di bawah **Availability Zones**, pilih Availability Zones untuk membuat endpoint firewall. Anda dapat memilih Availability Zones berdasarkan **nama Availability Zone** atau dengan **Availability Zone ID**.
   + Jika Anda menggunakan model penerapan terpusat untuk kebijakan ini, dalam **konfigurasi AWS Firewall Manager titik akhir di bawah konfigurasi** **VPC** Inspeksi, masukkan ID AWS akun pemilik VPC inspeksi, dan ID VPC VPC inspeksi.
     + Di **Availability Zones**, pilih Availability Zones untuk membuat endpoint firewall. Anda dapat memilih Availability Zones berdasarkan **nama Availability Zone** atau dengan **Availability Zone ID**.

1. Jika Anda ingin memberikan blok CIDR untuk Firewall Manager untuk digunakan untuk subnet firewall di AndaVPCs, semuanya harus berupa blok /28 CIDR. Masukkan satu blok per baris. Jika Anda menghilangkan ini, Firewall Manager memilih alamat IP untuk Anda dari yang tersedia di. VPCs
**catatan**  
Remediasi otomatis terjadi secara otomatis untuk kebijakan AWS Firewall Manager Network Firewall, sehingga Anda tidak akan melihat opsi untuk memilih untuk tidak melakukan perbaikan otomatis di sini.

1. Pilih **Berikutnya**.

1. Untuk **cakupan Kebijakan**, berdasarkan **kebijakan Akun AWS ini berlaku untuk**, pilih opsi sebagai berikut: 
   + Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, **Sertakan semua akun di AWS organisasi saya**. 
   + Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unit AWS Organizations organisasi tertentu (OUs), pilih **Sertakan hanya akun dan unit organisasi yang ditentukan**, lalu tambahkan akun dan OUs yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu anaknya OUs, termasuk setiap anak OUs dan akun yang ditambahkan di lain waktu. 
   + Jika Anda ingin menerapkan kebijakan untuk semua kecuali satu set akun atau unit AWS Organizations organisasi tertentu (OUs), pilih **Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua akun lainnya**, lalu tambahkan akun dan OUs yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu anaknya OUs, termasuk setiap anak OUs dan akun yang ditambahkan di lain waktu. 

   Anda hanya dapat memilih salah satu opsi. 

   Setelah menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu anaknyaOUs, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

1. **Jenis sumber daya** untuk kebijakan Network Firewall adalah **VPC**. 

1. Untuk **Sumber Daya**, Anda dapat mempersempit cakupan kebijakan menggunakan penandaan, dengan menyertakan atau mengecualikan sumber daya dengan tag yang Anda tentukan. Anda dapat menggunakan inklusi atau pengecualian, dan bukan keduanya. Untuk informasi selengkapnya tentang tag untuk menentukan cakupan kebijakan, lihat[Menggunakan cakupan AWS Firewall Manager kebijakan](policy-scope.md).

   Tag sumber daya hanya dapat memiliki nilai non-null. Jika Anda menghilangkan nilai untuk tag, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama. 

1. Untuk **akses lintas akun Grant**, pilih **Unduh CloudFormation template**. Ini mengunduh CloudFormation template yang dapat Anda gunakan untuk membuat CloudFormation tumpukan. Tumpukan ini menciptakan AWS Identity and Access Management peran yang memberikan izin lintas akun Firewall Manager untuk mengelola sumber daya Palo Alto Networks Cloud NGFW. Untuk informasi tentang tumpukan, lihat [Bekerja dengan tumpukan](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacks.html) di *CloudFormation Panduan Pengguna*.

1. Pilih **Berikutnya**.

1. Untuk **tag Kebijakan**, tambahkan tag pengenal apa pun yang ingin Anda tambahkan ke sumber daya kebijakan Manajer Firewall. Untuk informasi selengkapnya tentang tag, lihat [Bekerja dengan Editor Tag](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Pilih **Berikutnya**.

1. Tinjau pengaturan kebijakan baru dan kembali ke halaman mana pun yang Anda perlukan untuk penyesuaian apa pun. 

   Jika Anda puas dengan kebijakan ini, pilih **Create policy** (Buat kebijakan). Di panel **AWS Firewall Manager kebijakan**, kebijakan Anda harus dicantumkan. Ini mungkin akan menunjukkan **Pending** di bawah judul akun dan itu akan menunjukkan status pengaturan **remediasi otomatis**. Pembuatan kebijakan dapat memakan waktu beberapa menit. Setelah Status **tertunda** diganti dengan jumlah akun, Anda dapat memilih nama kebijakan untuk menjelajahi status kepatuhan akun dan sumber daya. Untuk informasi, lihat [Melihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan](fms-compliance.md)

## Membuat AWS Firewall Manager kebijakan untuk Fortigate Cloud Native Firewall (CNF) sebagai Layanan
<a name="creating-fortigate-cnf-policy"></a>

Dengan kebijakan Firewall Manager untuk Fortigate CNF, Anda dapat menggunakan Firewall Manager untuk menyebarkan dan mengelola sumber daya Fortigate CNF di semua akun Anda. AWS 

Untuk informasi tentang kebijakan Firewall Manager Fortigate CNF, lihat. [Menggunakan Fortigate Cloud Native Firewall (CNF) sebagai kebijakan Layanan untuk Firewall Manager](fortigate-cnf-policies.md) [Untuk informasi tentang cara mengkonfigurasi Fortigate CNF untuk digunakan dengan Firewall Manager, lihat dokumentasi Fortinet.]( https://docs.fortinet.com/product/fortigate-cnf )

### Prasyarat
<a name="complete-fms-prereq-fortigate-cnf"></a>

Ada beberapa langkah wajib untuk mempersiapkan akun Anda AWS Firewall Manager. Langkah-langkah tersebut dijelaskan dalam[AWS Firewall Manager prasyarat](fms-prereq.md). Lengkapi semua prasyarat sebelum melanjutkan ke langkah berikutnya.

**Untuk membuat kebijakan Firewall Manager untuk Fortigate CNF (konsol)**

1. Masuk ke akun administrator Konsol Manajemen AWS menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager di[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).
**catatan**  
Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).

1. Di panel navigasi, pilih **Kebijakan keamanan**.

1. Pilih **Buat kebijakan**.

1. Untuk **jenis Kebijakan**, pilih **Fortigate Cloud Native Firewall (CNF) sebagai Layanan**. Jika Anda belum berlangganan layanan [Fortigate CNF di AWS Marketplace](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i), Anda harus melakukannya terlebih dahulu. Untuk berlangganan AWS Marketplace, pilih **Lihat detail AWS Marketplace**.

1. Untuk **model Deployment**, pilih model **Terdistribusi atau model** **Terpusat**. Model penerapan menentukan cara Firewall Manager mengelola titik akhir untuk kebijakan tersebut. Dengan model terdistribusi, Firewall Manager mempertahankan titik akhir firewall di setiap VPC yang berada dalam cakupan kebijakan. Dengan model terpusat, Firewall Manager mempertahankan satu titik akhir dalam VPC inspeksi.

1. Untuk **Wilayah**, pilih file Wilayah AWS. Untuk melindungi sumber daya di beberapa Wilayah, Anda harus membuat kebijakan terpisah untuk setiap Wilayah. 

1. Pilih **Berikutnya**.

1. Untuk **nama Kebijakan**, masukkan nama deskriptif.

1. Dalam konfigurasi kebijakan, pilih kebijakan firewall Fortigate CNF untuk dikaitkan dengan kebijakan ini. Daftar kebijakan firewall Fortigate CNF berisi semua kebijakan firewall Fortigate CNF yang terkait dengan penyewa Fortigate CNF Anda. [Untuk informasi tentang membuat dan mengelola penyewa Fortigate CNF, lihat dokumentasi Fortinet.](https://docs.fortinet.com/product/fortigate-cnf)

1. Pilih **Berikutnya**.

1. Di bawah **Konfigurasi titik akhir firewall pihak ketiga** lakukan salah satu hal berikut, tergantung pada apakah Anda menggunakan model penyebaran terdistribusi atau terpusat untuk membuat titik akhir firewall Anda:
   + Jika Anda menggunakan model penerapan terdistribusi untuk kebijakan ini, di bawah **Availability Zones**, pilih Availability Zones untuk membuat endpoint firewall. Anda dapat memilih Availability Zones berdasarkan **nama Availability Zone** atau dengan **Availability Zone ID**.
   + Jika Anda menggunakan model penerapan terpusat untuk kebijakan ini, dalam **konfigurasi AWS Firewall Manager titik akhir di bawah konfigurasi** **VPC** Inspeksi, masukkan ID AWS akun pemilik VPC inspeksi, dan ID VPC VPC inspeksi.
     + Di **Availability Zones**, pilih Availability Zones untuk membuat endpoint firewall. Anda dapat memilih Availability Zones berdasarkan **nama Availability Zone** atau dengan **Availability Zone ID**.

1. Jika Anda ingin memberikan blok CIDR untuk Firewall Manager untuk digunakan untuk subnet firewall di AndaVPCs, semuanya harus berupa blok /28 CIDR. Masukkan satu blok per baris. Jika Anda menghilangkan ini, Firewall Manager memilih alamat IP untuk Anda dari yang tersedia di. VPCs
**catatan**  
Remediasi otomatis terjadi secara otomatis untuk kebijakan AWS Firewall Manager Network Firewall, sehingga Anda tidak akan melihat opsi untuk memilih untuk tidak melakukan perbaikan otomatis di sini.

1. Pilih **Berikutnya**.

1. Untuk **cakupan Kebijakan**, berdasarkan **kebijakan Akun AWS ini berlaku untuk**, pilih opsi sebagai berikut: 
   + Jika Anda ingin menerapkan kebijakan ke semua akun di organisasi Anda, tinggalkan pilihan default, **Sertakan semua akun di AWS organisasi saya**. 
   + Jika Anda ingin menerapkan kebijakan hanya untuk akun atau akun tertentu yang berada di unit AWS Organizations organisasi tertentu (OUs), pilih **Sertakan hanya akun dan unit organisasi yang ditentukan**, lalu tambahkan akun dan OUs yang ingin Anda sertakan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu anaknya OUs, termasuk setiap anak OUs dan akun yang ditambahkan di lain waktu. 
   + Jika Anda ingin menerapkan kebijakan untuk semua kecuali satu set akun atau unit AWS Organizations organisasi tertentu (OUs), pilih **Kecualikan akun dan unit organisasi yang ditentukan, dan sertakan semua akun lainnya**, lalu tambahkan akun dan OUs yang ingin Anda kecualikan. Menentukan OU adalah setara dengan menentukan semua akun di OU dan di salah satu anaknya OUs, termasuk setiap anak OUs dan akun yang ditambahkan di lain waktu. 

   Anda hanya dapat memilih salah satu opsi. 

   Setelah menerapkan kebijakan, Firewall Manager secara otomatis mengevaluasi akun baru apa pun terhadap pengaturan Anda. Misalnya, jika Anda hanya menyertakan akun tertentu, Firewall Manager tidak menerapkan kebijakan tersebut ke akun baru mana pun. Sebagai contoh lain, jika Anda menyertakan OU, ketika Anda menambahkan akun ke OU atau ke salah satu anaknyaOUs, Firewall Manager secara otomatis menerapkan kebijakan tersebut ke akun baru.

1. **Jenis sumber daya** untuk kebijakan Network Firewall adalah **VPC**. 

1. Untuk **Sumber Daya**, Anda dapat mempersempit cakupan kebijakan menggunakan penandaan, dengan menyertakan atau mengecualikan sumber daya dengan tag yang Anda tentukan. Anda dapat menggunakan inklusi atau pengecualian, dan bukan keduanya. Untuk informasi selengkapnya tentang tag untuk menentukan cakupan kebijakan, lihat[Menggunakan cakupan AWS Firewall Manager kebijakan](policy-scope.md).

   Tag sumber daya hanya dapat memiliki nilai non-null. Jika Anda menghilangkan nilai untuk tag, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama. 

1. Untuk **akses lintas akun Grant**, pilih **Unduh CloudFormation template**. Ini mengunduh CloudFormation template yang dapat Anda gunakan untuk membuat CloudFormation tumpukan. Tumpukan ini menciptakan AWS Identity and Access Management peran yang memberikan izin lintas akun Firewall Manager untuk mengelola sumber daya CNF Fortigate. Untuk informasi tentang tumpukan, lihat [Bekerja dengan tumpukan](https://docs.aws.amazon.com/AWSCloudFormation/latest/gsg/stacks.html) di *CloudFormation Panduan Pengguna*. Untuk membuat tumpukan, Anda memerlukan ID akun dari portal Fortigate CNF.

1. Pilih **Berikutnya**.

1. Untuk **tag Kebijakan**, tambahkan tag pengenal apa pun yang ingin Anda tambahkan ke sumber daya kebijakan Manajer Firewall. Untuk informasi selengkapnya tentang tag, lihat [Bekerja dengan Editor Tag](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Pilih **Berikutnya**.

1. Tinjau pengaturan kebijakan baru dan kembali ke halaman mana pun yang Anda perlukan untuk penyesuaian apa pun. 

   Jika Anda puas dengan kebijakan ini, pilih **Create policy** (Buat kebijakan). Di panel **AWS Firewall Manager kebijakan**, kebijakan Anda harus dicantumkan. Ini mungkin akan menunjukkan **Pending** di bawah judul akun dan itu akan menunjukkan status pengaturan **remediasi otomatis**. Pembuatan kebijakan dapat memakan waktu beberapa menit. Setelah Status **tertunda** diganti dengan jumlah akun, Anda dapat memilih nama kebijakan untuk menjelajahi status kepatuhan akun dan sumber daya. Untuk informasi, lihat [Melihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan](fms-compliance.md)

# Menghapus kebijakan AWS Firewall Manager
<a name="policy-deleting"></a>

Anda dapat menghapus kebijakan Firewall Manager dengan melakukan langkah-langkah berikut.

**Untuk menghapus kebijakan (konsol)**

1. Di panel navigasi, pilih **Kebijakan keamanan**.

1. Pilih opsi di samping kebijakan yang ingin Anda hapus. 

1. Pilih **Hapus**.

**catatan**  
Saat Anda menghapus kebijakan grup keamanan umum Manajer Firewall, untuk menghapus grup keamanan replika kebijakan, pilih opsi untuk membersihkan sumber daya yang dibuat oleh kebijakan tersebut. Jika tidak, setelah primer dihapus, replika tetap dan memerlukan manajemen manual di setiap instance VPC Amazon. 

**penting**  
Saat Anda menghapus kebijakan Firewall Manager Shield Advanced, kebijakan tersebut akan dihapus, tetapi akun Anda tetap berlangganan Shield Advanced.

# Menggunakan cakupan AWS Firewall Manager kebijakan
<a name="policy-scope"></a>

Halaman ini menjelaskan apa cakupan kebijakan Firewall Manager dan cara kerjanya. 

Ruang lingkup kebijakan menentukan di mana kebijakan tersebut berlaku. Anda dapat menerapkan kebijakan yang dikendalikan secara terpusat untuk:
+ Semua akun dan sumber daya dalam organisasi Anda di AWS Organizations.
+ Subset akun dan sumber daya dalam organisasi Anda di AWS Organizations.

Untuk petunjuk tentang cara menetapkan cakupan kebijakan, lihat[Membuat AWS Firewall Manager kebijakan](create-policy.md).

## Opsi cakupan kebijakan di AWS Firewall Manager
<a name="when-in-scope"></a>

Saat Anda menambahkan akun atau sumber daya baru ke organisasi Anda, Firewall Manager secara otomatis menilainya terhadap setelan Anda untuk setiap kebijakan dan menerapkan kebijakan berdasarkan setelan ini. Misalnya, Anda dapat memilih untuk menerapkan kebijakan ke semua akun kecuali nomor akun dalam daftar tertentu. Tag sumber daya juga dapat digunakan untuk menentukan cakupan kebijakan. Anda dapat memilih untuk menerapkan kebijakan dengan mengecualikan atau menyertakan sumber daya yang memiliki semua tag dalam daftar. Atau, Anda dapat memilih untuk menerapkan kebijakan hanya pada sumber daya yang memiliki tag tertentu dalam daftar. 

**Akun AWS dalam ruang lingkup**  
Pengaturan yang Anda berikan untuk menentukan kebijakan yang Akun AWS terpengaruh menentukan akun mana di AWS organisasi Anda yang akan menerapkan kebijakan tersebut. Anda dapat memilih untuk menerapkan kebijakan dengan salah satu cara berikut: 
+ Ke semua akun di organisasi Anda
+ Untuk hanya daftar spesifik nomor akun yang disertakan dan unit AWS Organizations organisasi (OUs)
+ Untuk semua kecuali daftar spesifik nomor akun yang dikecualikan dan unit AWS Organizations organisasi (OUs)

Untuk selengkapnya AWS Organizations, lihat [Panduan AWS Organizations Pengguna](https://docs.aws.amazon.com/organizations/latest/userguide/). 

**Sumber daya dalam ruang lingkup**  
Sama halnya dengan pengaturan untuk akun dalam cakupan, setelan yang Anda sediakan untuk sumber daya menentukan jenis sumber daya dalam lingkup mana yang akan diterapkan kebijakan. Anda dapat memilih salah satu dari yang berikut ini: 
+ Semua sumber daya 
+ Sumber daya yang memiliki semua tag yang Anda tentukan
+ Semua sumber daya kecuali yang memiliki semua tag yang Anda tentukan
+ Hanya sumber daya yang memiliki salah satu tag yang Anda tentukan
+ Semua sumber daya kecuali hanya sumber daya yang memiliki tag apa pun yang Anda tentukan

Anda hanya dapat menentukan tag sumber daya dengan nilai non-null. Jika Anda tidak memberikan apa pun untuk nilainya, Firewall Manager menyimpan tag dengan nilai string kosong: “”. Tag sumber daya hanya cocok dengan tag yang memiliki kunci yang sama dan nilai yang sama. 

Untuk informasi selengkapnya tentang menandai sumber daya Anda, lihat [Bekerja dengan Editor Tag](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html). 

## Manajemen lingkup kebijakan di AWS Firewall Manager
<a name="when-out-of-scope"></a>

Ketika kebijakan diberlakukan, Firewall Manager mengelolanya terus menerus dan menerapkannya ke sumber baru Akun AWS dan sumber daya saat ditambahkan, sesuai dengan ruang lingkup kebijakan. 

**Bagaimana Firewall Manager mengelola Akun AWS dan sumber daya**  
Jika akun atau sumber daya keluar dari cakupan karena alasan apa pun, AWS Firewall Manager tidak secara otomatis menghapus perlindungan atau menghapus sumber daya yang dikelola Manajer Firewall kecuali Anda memilih kotak centang **Hapus perlindungan secara otomatis dari sumber daya yang meninggalkan cakupan kebijakan**.

**catatan**  
Opsi secara **otomatis menghapus perlindungan dari sumber daya yang meninggalkan cakupan kebijakan** tidak tersedia AWS Shield Advanced atau kebijakan AWS WAF Klasik.

Memilih kotak centang ini akan mengarahkan AWS Firewall Manager untuk secara otomatis membersihkan sumber daya yang dikelola Manajer Firewall untuk akun saat akun tersebut meninggalkan cakupan kebijakan. Misalnya, Firewall Manager akan memisahkan ACL web yang dikelola Manajer Firewall dari sumber daya pelanggan yang dilindungi saat sumber daya pelanggan meninggalkan cakupan kebijakan.

Untuk menentukan sumber daya mana yang harus dihapus dari perlindungan saat sumber daya pelanggan meninggalkan cakupan kebijakan, Firewall Manager mengikuti pedoman berikut:
+ *Perilaku default*:
  + Aturan AWS Config terkelola terkait dihapus. Perilaku ini tidak tergantung pada kotak centang.
  + Setiap daftar kontrol akses AWS WAF web terkait (web ACLs) yang tidak berisi sumber daya apa pun akan dihapus. Perilaku ini tidak tergantung pada kotak centang.
  + Setiap sumber daya yang dilindungi yang keluar dari ruang lingkup tetap terkait dan dilindungi. Misalnya, Application Load Balancer atau API dari API Gateway yang terkait dengan ACL web tetap terkait dengan ACL web, dan perlindungan tetap ada.
+ *Dengan kotak centang **Hapus perlindungan secara otomatis dari sumber daya yang meninggalkan cakupan kebijakan** dipilih*:
  + Aturan AWS Config terkelola terkait dihapus. Perilaku ini tidak tergantung pada kotak centang.
  + Setiap daftar kontrol akses AWS WAF web terkait (web ACLs) yang tidak berisi sumber daya apa pun akan dihapus. Perilaku ini tidak tergantung pada kotak centang.
  + Setiap sumber daya yang dilindungi yang keluar dari cakupan secara otomatis dipisahkan dan dihapus dari perlindungan Firewall Manager ketika meninggalkan cakupan kebijakan. Misalnya, untuk kebijakan grup keamanan, akselerator Elastic Inference atau EC2 instans Amazon secara otomatis dipisahkan dari grup keamanan yang direplikasi saat meninggalkan cakupan kebijakan. Grup keamanan yang direplikasi dan sumber dayanya secara otomatis dihapus dari perlindungan.
  + Firewall Manager menghapus konfigurasi logging terlepas dari nilai opsi pembersihan sumber daya saat akun anggota meninggalkan cakupan atau saat kebijakan dihapus.

# Menggunakan AWS WAF kebijakan dengan Firewall Manager
<a name="waf-policies"></a>

Bagian ini menjelaskan cara menggunakan AWS WAF kebijakan dengan Firewall Manager. Dalam AWS WAF kebijakan Firewall Manager, Anda menentukan grup AWS WAF aturan yang ingin Anda gunakan untuk melindungi semua sumber daya yang berada dalam cakupan kebijakan. Saat menerapkan kebijakan, Firewall Manager mulai mengelola web ACLs untuk sumber daya dalam lingkup, menggunakan grup aturan yang ditentukan dan konfigurasi kebijakan lainnya. 

Anda dapat mengonfigurasi kebijakan untuk membuat dan mengelola semua web baru ACLs untuk sumber daya dalam lingkup, menggantikan web apa pun ACLs yang sudah digunakan. Sebagai alternatif, Anda dapat mengonfigurasi kebijakan untuk menyimpan web apa pun ACLs yang sudah dikaitkan dengan sumber daya dalam cakupan, dan memutarnya untuk digunakan oleh kebijakan. Dengan opsi kedua ini, Firewall Manager hanya membuat web baru ACLs untuk sumber daya yang belum memiliki asosiasi ACL web. 

Terlepas dari cara pembuatannya, di web ACLs yang dikelola Firewall Manager, akun individual dapat mengelola aturan dan grup aturan mereka sendiri, selain grup aturan yang Anda tentukan dalam kebijakan Firewall Manager. 

Untuk prosedur membuat AWS WAF kebijakan Firewall Manager, lihat[Membuat AWS Firewall Manager kebijakan untuk AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).

# Manajemen kelompok aturan untuk AWS WAF kebijakan
<a name="waf-policies-rule-groups"></a>

Web ACLs yang dikelola oleh AWS WAF kebijakan Firewall Manager berisi tiga set aturan. Set ini memberikan tingkat prioritas yang lebih tinggi untuk aturan dan kelompok aturan di ACL web: 
+ Grup aturan pertama, yang ditentukan oleh Anda dalam AWS WAF kebijakan Firewall Manager. AWS WAF mengevaluasi kelompok aturan ini terlebih dahulu.
+ Aturan dan kelompok aturan yang ditentukan oleh manajer akun di web ACLs. AWS WAF mengevaluasi aturan atau kelompok aturan yang dikelola akun berikutnya. 
+ Grup aturan terakhir, yang ditentukan oleh Anda dalam AWS WAF kebijakan Firewall Manager. AWS WAF mengevaluasi kelompok aturan ini terakhir.

Dalam masing-masing set aturan ini, AWS WAF mengevaluasi aturan dan kelompok aturan seperti biasa, sesuai dengan pengaturan prioritas mereka dalam set.

Dalam kumpulan grup aturan pertama dan terakhir kebijakan, Anda hanya dapat menambahkan grup aturan dan bukan aturan individual. Anda dapat menggunakan grup aturan AWS terkelola, yang Aturan Terkelola dan AWS Marketplace penjual membuat dan memelihara untuk Anda. Anda juga dapat mengelola dan menggunakan grup aturan Anda sendiri. Untuk informasi selengkapnya tentang semua opsi ini, lihat[AWS WAF kelompok aturan](waf-rule-groups.md).

Jika Anda ingin menggunakan grup aturan Anda sendiri, Anda membuatnya sebelum membuat AWS WAF kebijakan Firewall Manager. Untuk panduan, lihat [Mengelola grup aturan Anda sendiri](waf-user-created-rule-groups.md). Untuk menggunakan aturan kustom individual, Anda harus menentukan grup aturan Anda sendiri, menentukan aturan Anda di dalamnya, dan kemudian menggunakan grup aturan dalam kebijakan Anda.

Grup AWS WAF aturan pertama dan terakhir yang Anda kelola melalui Firewall Manager memiliki nama yang dimulai dengan `PREFMManaged-` atau`POSTFMManaged-`, masing-masing, diikuti dengan nama kebijakan Firewall Manager, dan stempel waktu pembuatan grup aturan, dalam milidetik UTC. Misalnya, `PREFMManaged-MyWAFPolicyName-1621880555123`.

Untuk informasi tentang cara AWS WAF mengevaluasi permintaan web, lihat[Menggunakan paket perlindungan (web ACLs) dengan aturan dan grup aturan di AWS WAF](web-acl-processing.md).

Firewall Manager memungkinkan pengambilan sampel dan CloudWatch metrik Amazon untuk grup aturan yang Anda tetapkan untuk kebijakan tersebut. AWS WAF 

Pemilik akun individu memiliki kontrol penuh atas metrik dan konfigurasi pengambilan sampel untuk setiap aturan atau grup aturan yang mereka tambahkan ke web terkelola kebijakan. ACLs 

**catatan**  
Jika Anda tidak memiliki langganan grup aturan AWS WAF marketplace di akun anggota Anda, Firewall Manager tidak dapat menyebarkan grup aturan khusus atau terkelola ke akun tersebut.

# Manajemen ACL web untuk kebijakan AWS WAF
<a name="how-fms-manages-web-acls"></a>

Firewall Manager membuat dan mengelola web ACLs untuk sumber daya dalam lingkup sesuai dengan pengaturan konfigurasi dan manajemen kebijakan umum Anda. 

**catatan**  
Jika sumber daya yang dikonfigurasi dengan [mitigasi lapisan DDo S aplikasi otomatis lanjutan](ddos-automatic-app-layer-response.md) oleh kebijakan Firewall Manager Shield lainnya masuk ke dalam cakupan AWS WAF kebijakan, di mana ACL web pada sumber daya dibuat oleh kebijakan Firewall Manager Shield tersebut, Firewall Manager tidak akan dapat menerapkan perlindungan AWS WAF kebijakan ke sumber daya dan akan menandai sumber daya yang tidak sesuai.  
Jika pelanggan secara manual mengaitkan ACL web milik pelanggan dengan sumber daya, kebijakan Firewall Manager akan tetap mengganti ACL web pelanggan tersebut dengan AWS WAF kebijakan Firewall Manager web ACL. AWS WAF 

**Mengelola konfigurasi web ACLs yang tidak terkait**  
Pengaturan konfigurasi kebijakan yang menentukan cara Firewall Manager mengelola web ACLs untuk akun saat web tidak ACLs akan digunakan oleh sumber daya apa pun. Jika Anda mengaktifkan pengelolaan web yang tidak terkait ACLs, Firewall Manager membuat web ACLs di akun yang berada dalam cakupan kebijakan hanya jika web ACLs akan digunakan oleh setidaknya satu sumber daya. Jika Anda tidak mengaktifkan opsi ini, Firewall Manager secara otomatis memastikan bahwa setiap akun memiliki ACL web terlepas dari apakah ACL web akan digunakan. 

Ketika ini diaktifkan, ketika akun masuk ke cakupan kebijakan, Firewall Manager secara otomatis membuat ACL web di akun hanya jika setidaknya satu sumber daya akan menggunakan ACL web. 

Selain itu, ketika Anda mengaktifkan pengelolaan web yang tidak terkait ACLs, pada pembuatan kebijakan, Firewall Manager melakukan pembersihan satu kali web ACLs yang tidak terkait di akun Anda. Selama pembersihan ini, Firewall Manager melewatkan web apa pun ACLs yang telah Anda modifikasi setelah pembuatannya, misalnya, jika Anda menambahkan grup aturan ke ACL web atau memodifikasi pengaturannya. Proses pembersihan bisa memakan waktu beberapa jam. Jika sumber daya meninggalkan cakupan kebijakan setelah Firewall Manager membuat ACL web, Firewall Manager memisahkan sumber daya dari ACL web, tetapi tidak akan membersihkan ACL web yang tidak terkait. Firewall Manager hanya membersihkan web yang tidak terkait ACLs saat Anda pertama kali mengaktifkan pengelolaan web yang tidak terkait ACLs dalam kebijakan.

Di API, pengaturan ini ada `optimizeUnassociatedWebACL` dalam tipe [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html)data. Contoh: `\"optimizeUnassociatedWebACL\":false`

**Konfigurasi sumber ACL Web: Buat semua yang baru atau retrofit yang sudah ada?**  
Pengaturan konfigurasi kebijakan yang menentukan apa yang dilakukan Firewall Manager dengan web yang ada ACLs yang terkait dengan sumber daya dalam lingkup. 

Secara default, Firewall Manager membuat semua web baru ACLs untuk sumber daya dalam lingkup. Dengan retrofitting, Firewall Manager menggunakan web ACLs yang sudah ada yang sudah digunakan, dan hanya membuat web baru ACLs untuk sumber daya yang belum memiliki satu yang terkait. 

Saat kebijakan dikonfigurasi untuk perkuatan, semua web ACLs yang terkait dengan sumber daya dalam ruang lingkup dipasang kembali atau ditandai tidak sesuai.

Firewall Manager hanya memasang kembali ACL web jika memenuhi persyaratan berikut: 
+ ACL web dimiliki oleh akun pelanggan. 
+ ACL web hanya terkait dengan sumber daya dalam lingkup. 
**Tip**  
Sebelum Anda mengonfigurasi AWS WAF kebijakan untuk perkuatan, pastikan ACLs bahwa web yang terkait dengan sumber daya dalam cakupan kebijakan tidak terkait dengan sumber daya apa pun out-of-scope. 
**Tip**  
Jika Anda ingin menghapus sumber daya terkait, pertama-tama lepaskan dari ACL web. Jika ACL web tidak patuh karena asosiasi dengan out-of-scope sumber daya, menghapus sumber daya tanpa terlebih dahulu melepaskannya dari web ACL dapat membuat ACL web sesuai, dan Firewall Manager kemudian dapat memperbaiki ACL web melalui remediasi, tetapi remediasi dalam situasi ini dapat ditunda hingga 24 jam. out-of-scope 

Untuk informasi tentang mengakses detail pelanggaran kepatuhan, lihat[Melihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan](fms-compliance.md).

Jika ACL web dapat dipasang kembali, Firewall Manager memodifikasinya sebagai berikut: 
+ Firewall Manager menyisipkan grup aturan pertama AWS WAF kebijakan di depan aturan ACL web yang ada dan menambahkan grup aturan terakhir AWS WAF kebijakan di bagian akhir. Untuk informasi tentang manajemen grup aturan, lihat[Manajemen kelompok aturan untuk AWS WAF kebijakan](waf-policies-rule-groups.md).
+ Jika kebijakan memiliki konfigurasi logging, Firewall Manager akan menambahkannya ke ACL web hanya jika ACL web belum dikonfigurasi untuk logging. Jika ACL web telah melakukan pencatatan yang dikonfigurasi oleh akun, Firewall Manager membiarkannya tetap berlaku selama perkuatan dan untuk pembaruan berikutnya pada konfigurasi pencatatan kebijakan. 
+ Firewall Manager tidak memverifikasi atau mengonfigurasi properti ACL web lainnya. Misalnya, Firewall Manager tidak mengubah tindakan default ACL web, header permintaan kustom, CAPTCHA atau Challenge konfigurasi, atau daftar domain token ACL. Firewall Manager hanya mengonfigurasi properti lain ini di web ACLs yang dibuat oleh Firewall Manager. 

Setelah Firewall Manager memperbaiki semua web terkait yang ada ACLs, untuk sumber daya dalam lingkup apa pun yang tidak memiliki ACL web, Firewall Manager menangani sumber daya mengikuti perilaku kebijakan default. Jika itu adalah sumber daya yang AWS WAF dapat melindungi, maka Firewall Manager membuat dan mengaitkan Firewall Manager web ACL dengan sumber daya tersebut.

Di API, pengaturan sumber ACL web ada `webACLSource` di tipe [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html)data. Contoh: `\"webACLSource\":\"RETROFIT_EXISTING\"` 

**Pengambilan sampel dan metrik CloudWatch**  
AWS Firewall Manager memungkinkan pengambilan sampel dan CloudWatch metrik Amazon untuk web ACLs dan grup aturan yang dibuatnya untuk kebijakan. AWS WAF 

**Penamaan ACL web**  
ACL web yang dibuat oleh Firewall Manager dinamai sesuai AWS WAF kebijakan sebagai berikut:`FMManagedWebACLV2-policy name-timestamp`. Stempel waktu dalam milidetik UTC. Misalnya, `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`.

ACL web yang dipasang oleh Firewall Manager memiliki nama yang ditentukan oleh akun pelanggan saat pembuatan. Nama ACL web tidak dapat diubah setelah pembuatan.

**catatan**  
Jika sumber daya yang dikonfigurasi dengan [mitigasi lapisan DDo S aplikasi otomatis lanjutan](ddos-automatic-app-layer-response.md) masuk ke dalam cakupan AWS WAF kebijakan, Firewall Manager tidak akan dapat mengaitkan ACL web yang dibuat oleh AWS WAF kebijakan ke sumber daya.

# Pencatatan untuk AWS WAF kebijakan
<a name="waf-policies-logging-config"></a>

Anda dapat mengaktifkan pencatatan terpusat untuk AWS WAF kebijakan Anda untuk mendapatkan informasi terperinci tentang lalu lintas yang dianalisis oleh ACL web Anda dalam organisasi Anda. AWS Firewall Manager mendukung opsi ini untuk AWS WAFV2, bukan untuk AWS WAF Klasik.

Informasi dalam log mencakup waktu AWS WAF menerima permintaan dari AWS sumber daya Anda yang dilindungi, informasi terperinci tentang permintaan, dan tindakan untuk aturan yang dicocokkan oleh setiap permintaan dari semua akun dalam lingkup. Untuk informasi tentang AWS WAF pencatatan, lihat [Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md) di *Panduan AWS WAF Pengembang*.

Anda dapat mengirim log ke aliran data Amazon Data Firehose atau bucket Amazon Simple Storage Service (S3). Setiap jenis tujuan memerlukan beberapa konfigurasi tambahan agar Firewall Manager dapat mengelola AWS WAF pencatatan di seluruh sumber daya dan akun dalam lingkup Anda. Bagian yang mengikuti memberikan detail. 

Jika kebijakan mengaktifkan perkuatan ACL web, Firewall Manager tidak mengganti konfigurasi logging apa pun yang ada di web yang ada. ACLs Untuk informasi tentang perkuatan, lihat informasi konfigurasi sumber ACL web di. [Manajemen ACL web untuk kebijakan AWS WAF](how-fms-manages-web-acls.md)

**catatan**  
Hanya memodifikasi atau menonaktifkan logging untuk kebijakan Firewall Manager melalui antarmuka Firewall Manager. Jika Anda menggunakan AWS WAF untuk memperbarui atau menghapus konfigurasi logging ACL web yang dikelola oleh Firewall Manager, Firewall Manager tidak akan mendeteksi perubahan secara otomatis. Jika telah digunakan AWS WAF, Anda dapat meminta pembaruan ke AWS WAF kebijakan Firewall Manager secara manual dengan mengevaluasi kembali aturan kebijakan tersebut. AWS Config Untuk melakukan ini, di AWS Config konsol, cari AWS Config aturan untuk kebijakan Firewall Manager dan pilih tindakan evaluasi ulang. 

**Topics**
+ [Tujuan pencatatan](waf-policies-logging-destinations.md)
+ [Mengaktifkan pencatatan untuk AWS WAF kebijakan di Firewall Manager](waf-policies-enabling-logging.md)
+ [Menonaktifkan pencatatan untuk AWS WAF kebijakan di Firewall Manager](waf-policies-disabling-logging.md)

# Tujuan pencatatan
<a name="waf-policies-logging-destinations"></a>

Bagian ini menjelaskan tujuan pencatatan yang dapat Anda pilih untuk mengirim log AWS WAF kebijakan Anda. Setiap bagian menyediakan panduan untuk mengonfigurasi pencatatan log untuk jenis tujuan dan informasi tentang semua perilaku yang spesifik untuk jenis destinasi. Setelah mengonfigurasi tujuan pencatatan, Anda dapat memberikan spesifikasinya ke AWS WAF kebijakan Firewall Manager Anda untuk mulai masuk ke sana.

Firewall Manager tidak memiliki visibilitas ke kegagalan log setelah membuat konfigurasi logging. Anda bertanggung jawab untuk memverifikasi bahwa pengiriman log berfungsi seperti yang Anda inginkan.

Firewall Manager tidak mengubah konfigurasi logging yang ada di akun anggota organisasi Anda. 

**Topics**
+ [Aliran data Amazon Data Firehose](#waf-policies-logging-destinations-kinesis-data-firehose)
+ [Bucket Amazon Simple Storage Service](#waf-policies-logging-destinations-s3)

## Aliran data Amazon Data Firehose
<a name="waf-policies-logging-destinations-kinesis-data-firehose"></a>

Topik ini memberikan informasi untuk mengirim log lalu lintas ACL web Anda ke aliran data Amazon Data Firehose.

Saat mengaktifkan pencatatan Amazon Data Firehose, Firewall Manager mengirimkan log dari web kebijakan Anda ACLs ke Amazon Data Firehose tempat Anda mengonfigurasi tujuan penyimpanan. Setelah Anda mengaktifkan logging, AWS WAF mengirimkan log untuk setiap ACL web yang dikonfigurasi, melalui titik akhir HTTPS dari Kinesis Data Firehose ke tujuan penyimpanan yang dikonfigurasi. Sebelum Anda menggunakannya, uji aliran pengiriman Anda untuk memastikan bahwa itu memiliki throughput yang cukup untuk mengakomodasi log organisasi Anda. Untuk informasi selengkapnya tentang cara membuat Amazon Kinesis Data Firehose dan meninjau log yang disimpan[, lihat Apa itu Amazon](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) Data Firehose?

Anda harus memiliki izin berikut agar berhasil mengaktifkan logging dengan Kinesis:
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`

Saat Anda mengonfigurasi tujuan pencatatan Amazon Data Firehose pada AWS WAF kebijakan, Firewall Manager akan membuat ACL web untuk kebijakan tersebut di akun administrator Manajer Firewall sebagai berikut: 
+ Firewall Manager membuat ACL web di akun administrator Firewall Manager terlepas dari apakah akun tersebut berada dalam cakupan kebijakan.
+ ACL web telah mengaktifkan pencatatan, dengan nama log`FMManagedWebACLV2-Loggingpolicy name-timestamp`, di mana stempel waktu adalah waktu UTC ketika log diaktifkan untuk ACL web, dalam milidetik. Misalnya, `FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180`. Web ACL tidak memiliki kelompok aturan dan tidak ada sumber daya terkait. 
+ Anda dikenakan biaya untuk ACL web sesuai dengan AWS WAF pedoman harga. Untuk informasi selengkapnya, silakan lihat [Harga AWS WAF](https://aws.amazon.com/waf/pricing/). 
+ Firewall Manager menghapus ACL web saat Anda menghapus kebijakan. 

Untuk informasi tentang peran terkait layanan dan `iam:CreateServiceLinkedRole` izin, lihat. [Menggunakan peran terkait layanan untuk AWS WAF](using-service-linked-roles.md)

Untuk informasi selengkapnya tentang membuat aliran pengiriman, lihat [Membuat Amazon Data Firehose Delivery](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html) Stream.

## Bucket Amazon Simple Storage Service
<a name="waf-policies-logging-destinations-s3"></a>

Topik ini memberikan informasi untuk mengirim log lalu lintas ACL web Anda ke bucket Amazon S3.

Bucket yang Anda pilih sebagai tujuan pencatatan harus dimiliki oleh akun administrator Firewall Manager. Untuk informasi tentang persyaratan pembuatan bucket Amazon S3 untuk persyaratan pencatatan dan penamaan bucket, lihat [Amazon Simple Storage Service di Panduan AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html) *Pengembang*.

**Konsistensi akhirnya**  
Saat Anda membuat perubahan pada AWS WAF kebijakan yang dikonfigurasi dengan tujuan pencatatan Amazon S3, Firewall Manager memperbarui kebijakan bucket untuk menambahkan izin yang diperlukan untuk pencatatan. Saat melakukannya, Firewall Manager mengikuti model last-writer-wins semantik dan konsistensi data yang diikuti Amazon Simple Storage Service. Jika Anda secara bersamaan membuat beberapa pembaruan kebijakan ke tujuan Amazon S3 di konsol Firewall Manager atau melalui [PutPolicy](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutPolicy.html)API, beberapa izin mungkin tidak disimpan. Untuk informasi selengkapnya tentang model konsistensi data Amazon S3, lihat model [konsistensi data Amazon S3 di Panduan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html#ConsistencyModel) Pengguna Layanan *Penyimpanan Sederhana Amazon*.

### Izin untuk mempublikasikan log ke bucket Amazon S3
<a name="waf-policies-logging-s3-permissions"></a>

Mengonfigurasi pencatatan lalu lintas ACL web untuk bucket Amazon S3 dalam kebijakan memerlukan AWS WAF setelan izin berikut. Firewall Manager secara otomatis melampirkan izin ini ke bucket Amazon S3 saat mengonfigurasi Amazon S3 sebagai tujuan pencatatan untuk memberikan izin layanan untuk memublikasikan log ke bucket. Jika Anda ingin mengelola akses berbutir halus ke sumber daya logging dan Firewall Manager, Anda dapat mengatur sendiri izin ini. Untuk informasi tentang mengelola izin, lihat [Manajemen akses untuk AWS sumber daya](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) di *Panduan Pengguna IAM*. Untuk informasi tentang kebijakan AWS WAF terkelola, lihat[AWS kebijakan terkelola untuk AWS WAF](security-iam-awsmanpol.md). 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "AWSLogDeliveryForFirewallManager",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryAclCheckFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix"
        },
        {
            "Sid": "AWSLogDeliveryWriteFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}
```

------

Untuk mencegah masalah deputi lintas layanan yang membingungkan, Anda dapat menambahkan kunci konteks kondisi [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)dan global ke kebijakan bucket Anda. Untuk menambahkan kunci ini, Anda dapat mengubah kebijakan yang dibuat oleh Manajer Firewall untuk Anda saat mengonfigurasi tujuan pencatatan, atau jika Anda menginginkan kontrol berbutir halus, Anda dapat membuat kebijakan sendiri. Jika Anda menambahkan kondisi ini ke kebijakan tujuan pencatatan, Firewall Manager tidak akan memvalidasi atau memantau perlindungan deputi yang membingungkan. Untuk informasi umum tentang masalah wakil yang bingung, lihat [Masalah wakil yang bingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) di *Panduan Pengguna IAM*. 

Saat Anda menambahkan `sourceArn` properti `sourceAccount` add, itu akan meningkatkan ukuran kebijakan bucket. Jika Anda menambahkan daftar panjang `sourceArn` properti `sourceAccount` add, berhati-hatilah agar tidak melebihi kuota [ukuran kebijakan bucket](https://docs.aws.amazon.com/general/latest/gr/s3.html#limits_s3) Amazon S3.

Contoh berikut menunjukkan cara mencegah masalah deputi yang membingungkan dengan menggunakan kunci konteks kondisi `aws:SourceAccount` global `aws:SourceArn` dan global dalam kebijakan bucket Anda. Ganti *member-account-id* dengan akun IDs anggota di organisasi Anda.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Id":"AWSLogDeliveryForFirewallManager",
   "Statement":[
      {
         "Sid":"AWSLogDeliveryAclCheckFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:GetBucketAcl",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":[
               "111122223333",
               "444455556666"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
               "arn:aws:logs:*:111122223333:*",
               "arn:aws:logs:*:444455556666:*"
               ]
            }
         }
      },
      {
         "Sid":"AWSLogDeliveryWriteFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:PutObject",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
         "Condition":{
            "StringEquals":{
               "s3:x-amz-acl":"bucket-owner-full-control",
               "aws:SourceAccount":[
               "111122223333",
               "444455556666"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
               "arn:aws:logs:*:111122223333:*",
               "arn:aws:logs:*:444455556666:*"
               ]
            }
         }
      }
   ]
}
```

------

#### Enkripsi sisi server untuk bucket Amazon S3
<a name="waf-policies-logging-s3-kms-permissions"></a>

Anda dapat mengaktifkan enkripsi sisi server Amazon S3 atau menggunakan kunci yang dikelola AWS Key Management Service pelanggan di bucket S3 Anda. Jika Anda memilih untuk menggunakan enkripsi Amazon S3 default di bucket Amazon S3 AWS WAF untuk log, Anda tidak perlu mengambil tindakan khusus apa pun. Namun, jika Anda memilih untuk menggunakan kunci enkripsi yang disediakan pelanggan untuk mengenkripsi data Amazon S3 Anda saat istirahat, Anda harus menambahkan pernyataan izin berikut ke kebijakan kunci Anda: AWS Key Management Service 

```
{
            "Sid": "Allow Logs Delivery to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
}
```

*Untuk informasi tentang penggunaan kunci enkripsi yang disediakan pelanggan dengan Amazon S3, [lihat Menggunakan enkripsi sisi server dengan kunci yang disediakan pelanggan (SSE-C) di Panduan Pengguna Layanan](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html) Penyimpanan Sederhana Amazon.*

# Mengaktifkan pencatatan untuk AWS WAF kebijakan di Firewall Manager
<a name="waf-policies-enabling-logging"></a>

Prosedur berikut menjelaskan cara mengaktifkan logging untuk AWS WAF kebijakan di konsol Firewall Manager.

**Untuk mengaktifkan pencatatan untuk AWS WAF kebijakan**

1. Sebelum Anda dapat mengaktifkan logging, Anda harus mengonfigurasi sumber daya tujuan pencatatan Anda sebagai berikut:
   + **Amazon Kinesis Data** Streams - Buat Amazon Data Firehose menggunakan akun administrator Firewall Manager Anda. Gunakan nama yang dimulai dengan awalan`aws-waf-logs-`. Misalnya, `aws-waf-logs-firewall-manager-central`. Buat firehose data dengan `PUT` sumber dan di Wilayah yang Anda operasikan. Jika Anda menangkap log untuk Amazon CloudFront, buat firehose di US East (Virginia N.). Sebelum Anda menggunakannya, uji aliran pengiriman Anda untuk memastikan bahwa itu memiliki throughput yang cukup untuk mengakomodasi log organisasi Anda. Untuk informasi selengkapnya, lihat [Membuat aliran pengiriman Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).
   + **Bucket Layanan Penyimpanan Sederhana Amazon** - Buat bucket Amazon S3 sesuai dengan pedoman dalam topik Layanan [Penyimpanan Sederhana Amazon](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html) di Panduan *AWS WAF Pengembang*. Anda juga harus mengonfigurasi bucket Amazon S3 Anda dengan izin yang tercantum di. [Izin untuk mempublikasikan log ke bucket Amazon S3](waf-policies-logging-destinations.md#waf-policies-logging-s3-permissions)

1. Masuk ke akun administrator Konsol Manajemen AWS menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager di[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Untuk informasi tentang menyiapkan akun administrator Manajer Firewall, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).
**catatan**  
Untuk informasi tentang menyiapkan akun administrator Manajer Firewall, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).

1. Di panel navigasi, pilih **Kebijakan Keamanan**.

1. Pilih AWS WAF kebijakan yang ingin Anda aktifkan pencatatan. Untuk informasi lebih lanjut tentang AWS WAF catatan, lihat [Lalu lintas paket AWS WAF perlindungan pencatatan (web ACL)](logging.md).

1. Pada tab **Detail kebijakan**, di bagian **Aturan kebijakan**, pilih **Edit**. 

1. Untuk **konfigurasi Logging**, pilih **Aktifkan logging** untuk mengaktifkan logging. Logging memberikan informasi rinci tentang lalu lintas yang dianalisis oleh ACL web Anda. Pilih **tujuan Logging**, lalu pilih tujuan logging yang Anda konfigurasikan. Anda harus memilih tujuan pencatatan yang namanya dimulai dengan`aws-waf-logs-`. Untuk informasi tentang mengonfigurasi tujuan AWS WAF pencatatan, lihat[Menggunakan AWS WAF kebijakan dengan Firewall Manager](waf-policies.md).

1. (Opsional) Jika Anda tidak ingin bidang tertentu dan nilainya disertakan dalam log, edit bidang tersebut. Pilih bidang yang akan disunting, lalu pilih **Tambah**. Ulangi seperlunya untuk menyunting bidang tambahan. Bidang yang disunting muncul seperti `REDACTED` di log. Misalnya, jika Anda menyunting bidang **URI**, bidang **URI** di log akan menjadi`REDACTED`. 

1. (Opsional) Jika Anda tidak ingin mengirim semua permintaan ke log, tambahkan kriteria dan perilaku pemfilteran Anda. Di bawah **Filter log**, untuk setiap filter yang ingin Anda terapkan, pilih **Tambahkan filter**, lalu pilih kriteria pemfilteran Anda dan tentukan apakah Anda ingin menyimpan atau menghapus permintaan yang sesuai dengan kriteria. Ketika Anda selesai menambahkan filter, jika diperlukan, ubah **perilaku logging Default**. Untuk informasi lebih lanjut, lihat [Menemukan catatan paket perlindungan Anda (web ACL)](logging-management.md) dalam *Panduan Pengembang AWS WAF *.

1. Pilih **Berikutnya**.

1. Tinjau setelan Anda, lalu pilih **Simpan** untuk menyimpan perubahan pada kebijakan.

# Menonaktifkan pencatatan untuk AWS WAF kebijakan di Firewall Manager
<a name="waf-policies-disabling-logging"></a>

Prosedur berikut menjelaskan cara menonaktifkan logging untuk AWS WAF kebijakan di konsol Firewall Manager.

**Untuk menonaktifkan pencatatan untuk AWS WAF kebijakan**

1. Masuk ke akun administrator Konsol Manajemen AWS menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager di[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).
**catatan**  
Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).

1. Di panel navigasi, pilih **Kebijakan Keamanan**.

1. Pilih AWS WAF kebijakan yang ingin Anda nonaktifkan pencatatan.

1. Pada tab **Detail kebijakan**, di bagian **Aturan kebijakan**, pilih **Edit**. 

1. Untuk **status konfigurasi Logging**, pilih **Dinonaktifkan**.

1. Pilih **Berikutnya**.

1. Tinjau pengaturan Anda, lalu pilih **Simpan** untuk menyimpan perubahan pada kebijakan.

**catatan**  
Hanya ubah atau nonaktifkan logging untuk kebijakan Firewall Manager melalui antarmuka Firewall Manager. Jika Anda menggunakan AWS WAF untuk memperbarui atau menghapus konfigurasi logging ACL web yang dikelola oleh Firewall Manager, Firewall Manager tidak akan mendeteksi perubahan secara otomatis. Jika telah digunakan AWS WAF, Anda dapat meminta pembaruan ke AWS WAF kebijakan Firewall Manager secara manual dengan mengevaluasi kembali aturan kebijakan tersebut. AWS Config Untuk melakukan ini, di AWS Config konsol, cari AWS Config aturan untuk kebijakan Firewall Manager dan pilih tindakan evaluasi ulang. 

# Menggunakan AWS Shield Advanced kebijakan di Firewall Manager
<a name="shield-policies"></a>

Halaman ini menjelaskan cara menggunakan AWS Shield kebijakan dengan Firewall Manager. Dalam AWS Shield kebijakan Firewall Manager, Anda memilih sumber daya yang ingin Anda lindungi. Saat Anda menerapkan kebijakan dengan remediasi otomatis diaktifkan, untuk setiap sumber daya dalam lingkup yang belum dikaitkan dengan ACL AWS WAF web, Firewall Manager mengaitkan ACL web kosong. AWS WAF ACL web kosong digunakan untuk tujuan pemantauan Shield. Jika Anda kemudian mengaitkan ACL web lain ke sumber daya, Firewall Manager menghapus asosiasi ACL web kosong.

**catatan**  
Ketika sumber daya yang berada dalam cakupan AWS WAF kebijakan masuk ke dalam cakupan kebijakan Shield Advanced yang dikonfigurasi dengan [mitigasi lapisan DDo S aplikasi otomatis](ddos-automatic-app-layer-response.md), Firewall Manager menerapkan perlindungan Shield Advanced hanya setelah mengaitkan ACL web yang dibuat oleh kebijakan tersebut. AWS WAF 

## Cara AWS Firewall Manager mengelola web yang tidak terkait ACLs dalam kebijakan Shield
<a name="shield-policies-unused-web-acls"></a>

Anda dapat mengonfigurasi apakah Firewall Manager mengelola web yang tidak terkait ACLs untuk Anda melalui ACLs setelan **Kelola web yang tidak terkait** dalam kebijakan Anda, atau `optimizeUnassociatedWebACLs` setelan dalam tipe [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html)data di API. Jika Anda mengaktifkan pengelolaan web yang tidak terkait ACLs dalam kebijakan Anda, Firewall Manager membuat web ACLs di akun dalam cakupan kebijakan hanya jika web ACLs akan digunakan oleh setidaknya satu sumber daya. Jika sewaktu-waktu akun masuk ke cakupan kebijakan, Firewall Manager secara otomatis membuat ACL web di akun jika setidaknya satu sumber daya akan menggunakan ACL web.

Saat Anda mengaktifkan pengelolaan web yang tidak terkait ACLs, Firewall Manager melakukan pembersihan satu kali web ACLs yang tidak terkait di akun Anda. Proses pembersihan bisa memakan waktu beberapa jam. Jika sumber daya meninggalkan cakupan kebijakan setelah Firewall Manager membuat ACL web, Firewall Manager tidak memisahkan sumber daya dari ACL web. Jika Anda ingin Firewall Manager membersihkan ACL web, Anda harus terlebih dahulu memisahkan sumber daya dari ACL web secara manual, lalu mengaktifkan ACLs opsi kelola web yang tidak terkait dalam kebijakan Anda.

Jika Anda tidak mengaktifkan opsi ini, Firewall Manager tidak mengelola web yang tidak terkait ACLs, dan Firewall Manager secara otomatis membuat ACL web di setiap akun yang berada dalam cakupan kebijakan.

## Cara AWS Firewall Manager mengelola perubahan ruang lingkup dalam kebijakan Shield
<a name="shield-policies-changes-in-scope"></a>

Akun dan sumber daya dapat keluar dari cakupan kebijakan AWS Firewall Manager Shield Advanced karena sejumlah perubahan, seperti perubahan pengaturan cakupan kebijakan, perubahan tag pada sumber daya, dan penghapusan akun dari organisasi. Untuk informasi umum tentang setelan cakupan kebijakan, lihat[Menggunakan cakupan AWS Firewall Manager kebijakan](policy-scope.md).

Dengan kebijakan AWS Firewall Manager Shield Advanced, jika akun atau sumber daya keluar dari cakupan, Firewall Manager berhenti memantau akun atau sumber daya. 

Jika akun keluar dari cakupan dengan dihapus dari organisasi, akun akan terus berlangganan Shield Advanced. Karena akun tidak lagi menjadi bagian dari keluarga penagihan konsolidasi, akun tersebut akan dikenakan biaya berlangganan Shield Advanced yang diprorata. Di sisi lain, akun yang keluar dari ruang lingkup tetapi tetap berada di organisasi tidak dikenakan biaya tambahan. 

Untuk kebijakan Shield menggunakan WebACL Klasik, jika sumber daya keluar dari cakupan, itu terus dilindungi oleh Shield Advanced dan terus dikenakan biaya transfer data Shield Advanced.

# Menggunakan mitigasi lapisan DDo S aplikasi Otomatis dengan kebijakan Firewall Manager Shield Advanced
<a name="shield-policies-auto-app-layer-mitigation"></a>

Halaman ini menjelaskan cara kerja mitigasi lapisan DDo S aplikasi otomatis dengan Firewall Manager.

Saat menerapkan kebijakan Shield Advanced ke CloudFront distribusi Amazon atau Application Load Balancer, Anda memiliki opsi untuk mengonfigurasi mitigasi lapisan DDo S aplikasi otomatis Shield Advanced dalam kebijakan. 

Untuk informasi tentang mitigasi otomatis Shield Advanced, lihat. [Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md)

Mitigasi lapisan DDo S aplikasi otomatis Shield Advanced memiliki persyaratan sebagai berikut: 
+ Mitigasi lapisan aplikasi DDo S otomatis hanya berfungsi dengan CloudFront distribusi Amazon dan Application Load Balancer.

  Jika menerapkan kebijakan Shield Advanced ke CloudFront distribusi Amazon, Anda dapat memilih opsi ini untuk kebijakan Shield Advanced yang Anda buat untuk Wilayah **Global**. Jika menerapkan perlindungan pada Application Load Balancers, Anda dapat menerapkan kebijakan tersebut ke Wilayah mana pun yang didukung oleh Firewall Manager.
+ Mitigasi lapisan aplikasi DDo S otomatis hanya berfungsi dengan paket perlindungan (web ACLs) yang dibuat menggunakan versi terbaru AWS WAF (v2). 

  Karena itu, jika Anda memiliki kebijakan yang menggunakan web AWS WAF Klasik ACLs, Anda perlu mengganti kebijakan dengan kebijakan baru, yang secara otomatis akan menggunakan versi terbaru AWS WAF, atau meminta Firewall Manager membuat web versi baru ACLs untuk kebijakan yang ada dan beralih ke menggunakannya. Untuk informasi lebih lanjut tentang opsi, lihat [Ganti web AWS WAF Klasik ACLs dengan web versi terbaru ACLs](#shield-policies-auto-app-layer-update-waf-version).

## Konfigurasi mitigasi otomatis
<a name="shield-policies-auto-app-layer-mitigation-config"></a>

Opsi mitigasi lapisan DDo S aplikasi otomatis untuk kebijakan Firewall Manager Shield Advanced menerapkan fungsionalitas mitigasi otomatis Shield Advanced ke akun dan sumber daya dalam cakupan kebijakan Anda. Untuk informasi rinci tentang fitur Shield Advanced ini, lihat[Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md).

Anda dapat memilih agar Firewall Manager mengaktifkan atau menonaktifkan mitigasi otomatis untuk CloudFront distribusi atau Application Load Balancer yang berada dalam cakupan kebijakan, atau Anda dapat memilih agar kebijakan mengabaikan pengaturan mitigasi otomatis Shield Advanced: 
+ **Aktifkan** - Jika Anda memilih untuk mengaktifkan mitigasi otomatis, Anda juga menentukan apakah mitigasi aturan Shield Advanced harus menghitung atau memblokir permintaan web yang cocok. Firewall Manager akan menandai sumber daya dalam lingkup sebagai tidak sesuai jika tidak mengaktifkan mitigasi otomatis, atau menggunakan tindakan aturan yang tidak cocok dengan yang Anda tentukan untuk kebijakan tersebut. Jika Anda mengonfigurasi kebijakan untuk remediasi otomatis, Firewall Manager akan memperbarui sumber daya yang tidak sesuai kebutuhan. 
+ **Nonaktifkan** - Jika Anda memilih untuk menonaktifkan mitigasi otomatis, Firewall Manager akan menandai sumber daya dalam lingkup sebagai tidak sesuai jika mitigasi otomatis diaktifkan. Jika Anda mengonfigurasi kebijakan untuk remediasi otomatis, Firewall Manager akan memperbarui sumber daya yang tidak sesuai kebutuhan. 
+ **Abaikan** — Jika Anda memilih untuk mengabaikan mitigasi otomatis, Firewall Manager tidak akan mempertimbangkan setelan mitigasi otomatis apa pun dalam kebijakan Shield saat melakukan aktivitas remediasi untuk kebijakan tersebut. Pengaturan ini memungkinkan Anda untuk mengontrol mitigasi otomatis melalui Shield Advanced, tanpa pengaturan tersebut ditimpa oleh Firewall Manager. Pengaturan ini tidak berlaku untuk Classic Load Balancers atau Elastic IPs resource yang dikelola melalui Shield Advanced, karena Shield Advanced saat ini tidak mendukung mitigasi otomatis L7 untuk sumber daya tersebut.

  

## Ganti web AWS WAF Klasik ACLs dengan web versi terbaru ACLs
<a name="shield-policies-auto-app-layer-update-waf-version"></a>

Mitigasi lapisan aplikasi DDo S otomatis hanya berfungsi dengan paket perlindungan (web ACLs) yang dibuat menggunakan versi terbaru AWS WAF (v2). 

Untuk menentukan versi ACL web untuk kebijakan Shield Advanced Anda, lihat[Menentukan versi AWS WAF yang digunakan oleh kebijakan Shield Advanced](shield-policies-identify-waf-version.md). 

Jika Anda ingin menggunakan mitigasi otomatis dalam kebijakan Shield Advanced, dan kebijakan Anda saat ini menggunakan web AWS WAF Klasik ACLs, Anda dapat membuat kebijakan Shield Advanced baru untuk menggantikan kebijakan Anda saat ini, atau Anda dapat menggunakan opsi yang dijelaskan di bagian ini untuk mengganti web versi sebelumnya ACLs dengan web baru (v2) ACLs di dalam kebijakan Shield Advanced Anda saat ini. Kebijakan baru selalu membuat web ACLs menggunakan versi terbaru AWS WAF. Jika Anda mengganti seluruh kebijakan, ketika Anda menghapusnya, Anda dapat meminta Firewall Manager menghapus semua web versi sebelumnya ACLs juga. Sisa bagian ini menjelaskan opsi Anda untuk mengganti web di ACLs dalam kebijakan yang ada.

Saat Anda mengubah kebijakan Shield Advanced yang ada untuk CloudFront sumber daya Amazon, Firewall Manager dapat secara otomatis membuat ACL web kosong AWS WAF (v2) baru untuk kebijakan tersebut, di akun dalam lingkup apa pun yang belum memiliki ACL web v2. Saat Firewall Manager membuat ACL web baru, jika kebijakan sudah memiliki ACL web AWS WAF Klasik di akun yang sama, Firewall Manager mengonfigurasi ACL web versi baru dengan setelan tindakan default yang sama dengan ACL web yang ada. Jika tidak ada ACL web AWS WAF Klasik yang ada, Firewall Manager menetapkan tindakan default ke Allow ACL web baru. Setelah Firewall Manager membuat ACL web baru, Anda dapat menyesuaikannya sesuai kebutuhan melalui AWS WAF konsol. 

Bila Anda memilih salah satu opsi konfigurasi kebijakan berikut, Firewall Manager membuat web baru (v2) ACLs untuk akun dalam lingkup yang belum memilikinya: 
+ Saat Anda mengaktifkan atau menonaktifkan mitigasi lapisan aplikasi DDo S otomatis. Pilihan ini saja hanya menyebabkan Firewall Manager membuat web baru ACLs, dan tidak menggantikan asosiasi ACL web AWS WAF Klasik yang ada pada sumber daya dalam cakupan kebijakan. 
+ Bila Anda memilih tindakan kebijakan remediasi otomatis dan Anda memilih opsi untuk mengganti web AWS WAF Klasik ACLs dengan AWS WAF (v2) web ACLs. Anda dapat memilih untuk mengganti web versi sebelumnya ACLs terlepas dari pilihan konfigurasi Anda untuk mitigasi lapisan DDo S aplikasi otomatis. 

  Bila Anda memilih opsi penggantian, Firewall Manager membuat web versi baru sesuai ACLs kebutuhan dan kemudian melakukan hal berikut untuk sumber daya dalam cakupan kebijakan: 
  + Jika sumber daya dikaitkan dengan ACL web dari kebijakan Firewall Manager aktif lainnya, Firewall Manager meninggalkan asosiasi sendirian. 
  + Untuk kasus lain, Firewall Manager menghapus asosiasi apa pun dengan ACL web AWS WAF Klasik dan mengaitkan sumber daya dengan ACL web kebijakan AWS WAF (v2). 

Anda dapat memilih untuk meminta Firewall Manager mengganti web versi sebelumnya ACLs dengan web versi baru ACLs saat Anda mau. Jika sebelumnya Anda telah menyesuaikan web AWS WAF Klasik kebijakan ACLs, Anda dapat memperbarui web versi baru ACLs ke setelan yang sebanding sebelum Anda memilih agar Firewall Manager melakukan langkah penggantian. 

Anda dapat mengakses salah satu versi ACL web untuk kebijakan melalui konsol versi yang sama untuk AWS WAF atau Classic. AWS WAF 

Firewall Manager tidak menghapus web AWS WAF Klasik yang diganti ACLs sampai Anda menghapus kebijakan itu sendiri. Setelah web AWS WAF ACLs Klasik tidak lagi digunakan oleh kebijakan, Anda dapat menghapusnya jika mau.

# Menentukan versi AWS WAF yang digunakan oleh kebijakan Shield Advanced
<a name="shield-policies-identify-waf-version"></a>

Halaman ini menjelaskan cara menentukan versi ACL AWS WAF web mana yang digunakan kebijakan Shield Advanced Anda.

Anda dapat menentukan versi kebijakan Lanjutan Firewall Manager Shield yang digunakan dengan melihat kunci parameter dalam aturan AWS Config terkait layanan kebijakan. AWS WAF Jika AWS WAF versi yang digunakan adalah yang terbaru, kunci parameter menyertakan `policyId` dan`webAclArn`. Jika versi sebelumnya, AWS WAF Classic, kunci parameter termasuk `webAclId` dan`resourceTypes`. 

 AWS Config Aturan hanya mencantumkan kunci untuk web ACLs yang saat ini digunakan kebijakan dengan sumber daya dalam cakupan. 

**Untuk menentukan versi kebijakan Firewall Manager Shield Advanced yang digunakan AWS WAF**

1. Mengambil ID kebijakan untuk kebijakan Shield Advanced: 

   1. Masuk ke akun administrator Konsol Manajemen AWS menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager di[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Untuk informasi tentang menyiapkan akun administrator Manajer Firewall, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).

   1. Di panel navigasi, pilih **Kebijakan Keamanan**.

   1. Pilih Wilayah untuk kebijakan. Untuk CloudFront distribusi, ini`Global`.

   1. Temukan kebijakan yang Anda inginkan dan salin nilai **ID Policy-nya**. 

      Contoh ID kebijakan:`1111111-2222-3333-4444-a55aa5aaa555`.

1. Buat nama AWS Config aturan kebijakan dengan menambahkan ID kebijakan ke string`FMManagedShieldConfigRule`. 

   Contoh nama AWS Config aturan:`FMManagedShieldConfigRule1111111-2222-3333-4444-a55aa5aaa555`.

1. Cari parameter untuk AWS Config aturan terkait untuk kunci bernama `policyId` dan`webAclArn`: 

   1. Buka AWS Config konsol di [https://console.aws.amazon.com/config/rumah](https://console.aws.amazon.com/config/home).

   1. Di panel navigasi, pilih **Aturan**.

   1. Temukan nama AWS Config aturan kebijakan Firewall Manager Anda dalam daftar dan pilih. Halaman aturan terbuka. 

   1. Di bawah **Rincian aturan**, di bagian **Parameter**, lihat tombol. Jika Anda menemukan kunci bernama `policyId` dan`webAclArn`, kebijakan menggunakan web ACLs yang dibuat menggunakan versi terbaru AWS WAF. Jika Anda menemukan kunci bernama `webAclId` dan`resourceTypes`, kebijakan menggunakan web ACLs yang dibuat menggunakan versi sebelumnya, AWS WAF Classic. 

# Menggunakan kebijakan grup keamanan di Firewall Manager untuk mengelola grup keamanan Amazon VPC
<a name="security-group-policies"></a>

Halaman ini menjelaskan cara menggunakan kebijakan grup AWS Firewall Manager keamanan untuk mengelola grup keamanan Amazon Virtual Private Cloud untuk organisasi Anda AWS Organizations. Anda dapat menerapkan kebijakan grup keamanan yang dikontrol secara terpusat ke seluruh organisasi Anda atau ke subset tertentu dari akun dan sumber daya Anda. Anda juga dapat memantau dan mengelola kebijakan grup keamanan yang digunakan di organisasi Anda, dengan kebijakan grup keamanan audit dan penggunaan.

Firewall Manager terus mempertahankan kebijakan Anda dan menerapkannya ke akun dan sumber daya saat ditambahkan atau diperbarui di seluruh organisasi Anda. Untuk selengkapnya AWS Organizations, lihat [Panduan AWS Organizations Pengguna](https://docs.aws.amazon.com/organizations/latest/userguide/). 

Untuk informasi tentang grup keamanan Amazon Virtual Private Cloud, lihat [Grup Keamanan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) di Panduan Pengguna Amazon *VPC*.

Anda dapat menggunakan kebijakan grup keamanan Firewall Manager untuk melakukan hal berikut di seluruh AWS organisasi Anda: 
+ Terapkan grup keamanan umum ke akun dan sumber daya tertentu. 
+ Audit aturan kelompok keamanan, untuk menemukan dan memulihkan aturan yang tidak patuh. 
+ Audit penggunaan kelompok keamanan, untuk membersihkan kelompok keamanan yang tidak terpakai dan berlebihan. 

Bagian ini mencakup cara kerja kebijakan grup keamanan Firewall Manager dan memberikan panduan untuk menggunakannya. Untuk prosedur untuk membuat kebijakan grup keamanan, lihat[Membuat AWS Firewall Manager kebijakan](create-policy.md). 

## Praktik terbaik untuk kebijakan grup keamanan
<a name="security-groups-best-practice"></a>

Bagian ini mencantumkan rekomendasi untuk mengelola grup keamanan yang digunakan AWS Firewall Manager.

**Kecualikan akun administrator Manajer Firewall**  
Saat Anda menetapkan cakupan kebijakan, kecualikan akun administrator Manajer Firewall. Saat Anda membuat kebijakan grup keamanan audit penggunaan melalui konsol, ini adalah opsi default. 

**Mulailah dengan remediasi otomatis dinonaktifkan**  
Untuk kebijakan grup keamanan audit konten atau penggunaan, mulailah dengan remediasi otomatis dinonaktifkan. Tinjau informasi detail kebijakan untuk menentukan efek yang akan ditimbulkan oleh remediasi otomatis. Ketika Anda puas bahwa perubahan adalah apa yang Anda inginkan, edit kebijakan untuk mengaktifkan remediasi otomatis.

**Hindari konflik jika Anda juga menggunakan sumber luar untuk mengelola grup keamanan**  
Jika Anda menggunakan alat atau layanan selain Firewall Manager untuk mengelola grup keamanan, berhati-hatilah untuk menghindari konflik antara pengaturan Anda di Firewall Manager dan pengaturan di sumber luar Anda. Jika Anda menggunakan remediasi otomatis dan konflik pengaturan, Anda dapat membuat siklus remediasi yang bertentangan yang menghabiskan sumber daya di kedua sisi. 

Misalnya, Anda mengonfigurasi layanan lain untuk mempertahankan grup keamanan untuk sekumpulan AWS sumber daya, dan Anda mengonfigurasi kebijakan Firewall Manager untuk mempertahankan grup keamanan yang berbeda untuk beberapa atau semua sumber daya yang sama. Jika Anda mengonfigurasi kedua sisi untuk melarang grup keamanan lain dikaitkan dengan sumber daya dalam lingkup, pihak tersebut akan menghapus asosiasi grup keamanan yang dikelola oleh pihak lain. Jika kedua belah pihak dikonfigurasi dengan cara ini, Anda dapat berakhir dengan siklus disasosiasi dan asosiasi yang saling bertentangan. 

Selain itu, katakan bahwa Anda membuat kebijakan audit Firewall Manager untuk menerapkan konfigurasi grup keamanan yang bertentangan dengan konfigurasi grup keamanan dari layanan lain. Remediasi yang diterapkan oleh kebijakan audit Firewall Manager dapat memperbarui atau menghapus grup keamanan tersebut, membuatnya tidak sesuai dengan layanan lainnya. Jika layanan lain dikonfigurasi untuk memantau dan secara otomatis memperbaiki masalah yang ditemukannya, itu akan membuat ulang atau memperbarui grup keamanan, membuatnya lagi tidak sesuai dengan kebijakan audit Manajer Firewall. Jika kebijakan audit Firewall Manager dikonfigurasi dengan remediasi otomatis, kebijakan tersebut akan memperbarui atau menghapus grup keamanan luar, dan seterusnya.

Untuk menghindari konflik seperti ini, buat konfigurasi yang saling eksklusif, antara Firewall Manager dan sumber luar mana pun. 

Anda dapat menggunakan penandaan untuk mengecualikan grup keamanan luar dari remediasi otomatis berdasarkan kebijakan Firewall Manager Anda. Untuk melakukan ini, tambahkan satu atau beberapa tag ke grup keamanan atau sumber daya lain yang dikelola oleh sumber luar. Kemudian, ketika Anda menentukan cakupan kebijakan Manajer Firewall, dalam spesifikasi sumber daya Anda, kecualikan sumber daya yang memiliki tag atau tag yang telah Anda tambahkan. 

Demikian pula, di alat atau layanan luar Anda, kecualikan grup keamanan yang dikelola Manajer Firewall dari aktivitas manajemen atau audit apa pun. Jangan mengimpor sumber daya Firewall Manager atau gunakan penandaan khusus Manajer Firewall untuk mengecualikannya dari manajemen luar.

**Praktik terbaik untuk penggunaan kebijakan grup keamanan audit**  
Ikuti panduan ini saat Anda menggunakan kebijakan grup keamanan audit penggunaan. 
+ Hindari membuat beberapa perubahan pada status asosiasi grup keamanan dalam waktu singkat, seperti dalam jendela 15 menit. Melakukannya dapat menyebabkan Firewall Manager melewatkan beberapa atau semua peristiwa terkait. Misalnya, jangan cepat mengasosiasikan dan memisahkan grup keamanan dengan elastic network interface. 

## Peringatan dan batasan kebijakan kelompok keamanan
<a name="security-groups-limitations"></a>

Bagian ini mencantumkan peringatan dan batasan untuk menggunakan kebijakan grup keamanan Firewall Manager.

**Jenis sumber daya: Instans Amazon EC2**  
Bagian ini mencantumkan peringatan dan batasan untuk melindungi instans Amazon EC2 dengan kebijakan grup keamanan Firewall Manager.
+ Dengan grup keamanan yang melindungi antarmuka jaringan elastis Amazon EC2 (ENIs), perubahan pada grup keamanan tidak langsung terlihat oleh Firewall Manager. Firewall Manager biasanya mendeteksi perubahan dalam beberapa jam, tetapi deteksi dapat ditunda hingga enam jam. 
+ Firewall Manager tidak mendukung grup keamanan untuk Amazon EC2 ENIs yang dibuat oleh Amazon Relational Database Service. 
+ Firewall Manager tidak mendukung pembaruan grup keamanan untuk ENI Amazon EC2 yang dibuat menggunakan jenis layanan Fargate. Namun, Anda dapat memperbarui grup keamanan untuk Amazon ECS ENIS dengan jenis layanan Amazon EC2. 
+ Firewall Manager tidak mendukung pembaruan grup keamanan untuk Amazon EC2 yang dikelola pemohon, karena ENIs Firewall Manager tidak memiliki izin untuk memodifikasinya. 
+ Untuk kebijakan grup keamanan umum, peringatan ini menyangkut interaksi antara jumlah antarmuka jaringan elastis (ENI) yang dilampirkan ke instans EC2 dan opsi kebijakan yang menentukan apakah akan memperbaiki hanya instans EC2 tanpa lampiran tambahan atau untuk memulihkan semua instance. Setiap instans EC2 memiliki ENI primer default, dan Anda dapat melampirkan lebih banyak ENIs. Di API, pengaturan opsi kebijakan untuk pilihan ini adalah`ApplyToAllEC2InstanceENIs`. 

  Jika instans EC2 dalam lingkup memiliki ENI tambahan yang dilampirkan dan kebijakan dikonfigurasi untuk menyertakan instans EC2 hanya dengan ENI utama, maka Firewall Manager tidak akan mencoba perbaikan apa pun untuk instans EC2. Selain itu, Jika instance keluar dari cakupan kebijakan, Firewall Manager tidak mencoba untuk memisahkan asosiasi grup keamanan apa pun yang mungkin telah dibuat untuk instance tersebut. 

  Untuk kasus tepi berikut, selama pembersihan sumber daya, Firewall Manager dapat membiarkan asosiasi grup keamanan yang direplikasi tetap utuh, terlepas dari spesifikasi pembersihan sumber daya kebijakan:
  + Ketika instance dengan ENI tambahan sebelumnya diperbaiki oleh kebijakan yang dikonfigurasi untuk menyertakan semua instans EC2, dan kemudian instans keluar dari cakupan kebijakan atau pengaturan kebijakan diubah untuk hanya menyertakan instance tanpa tambahan. ENIs 
  + Ketika sebuah instance tanpa tambahan ENIs diperbaiki oleh kebijakan yang dikonfigurasi untuk hanya menyertakan instance tanpa tambahan ENIs, maka ENI lain dilampirkan ke instance, dan kemudian instance keluar dari cakupan kebijakan. 

**Peringatan dan batasan lainnya**  
Berikut ini adalah berbagai peringatan dan batasan untuk kebijakan grup keamanan Firewall Manager.
+ Kebijakan grup keamanan Firewall Manager tidak mendukung grup keamanan yang dibagikan AWS RAM. 
+ Penggunaan AWS RAM untuk berbagi daftar awalan di seluruh organisasi bukanlah fitur yang didukung secara resmi dari Firewall Manager. Meskipun mungkin terjadi untuk bekerja hari ini, tidak ada kewajiban AWS untuk menawarkan dukungan untuk kasus penggunaan itu atau jaminan bahwa itu akan terus bekerja.
+ Memperbarui Amazon ECS hanya ENIs dimungkinkan untuk layanan Amazon ECS yang menggunakan pengontrol penyebaran pembaruan bergulir (Amazon ECS). Untuk pengontrol penyebaran Amazon ECS lainnya seperti CODE\$1DEPLOY atau pengontrol eksternal, Firewall Manager saat ini tidak dapat memperbarui file. ENIs 
+ Firewall Manager tidak mendukung pembaruan grup keamanan ENIs untuk Network Load Balancers. 
+ Dalam kebijakan grup keamanan umum, jika VPC bersama kemudian tidak dibagikan dengan akun, Firewall Manager tidak akan menghapus grup keamanan replika di akun.
+ Dengan kebijakan grup keamanan audit penggunaan, jika Anda membuat beberapa kebijakan dengan pengaturan waktu tunda khusus yang semuanya memiliki cakupan yang sama, kebijakan pertama dengan temuan kepatuhan adalah kebijakan yang melaporkan temuan. 

## Kasus penggunaan kebijakan grup keamanan
<a name="security-group-policies-use-cases"></a>

Anda dapat menggunakan kebijakan grup keamanan AWS Firewall Manager umum untuk mengotomatiskan konfigurasi firewall host untuk komunikasi antara instans Amazon VPC. Bagian ini mencantumkan arsitektur VPC Amazon standar dan menjelaskan cara mengamankan masing-masing menggunakan kebijakan grup keamanan umum Firewall Manager. Kebijakan grup keamanan ini dapat membantu Anda menerapkan seperangkat aturan terpadu untuk memilih sumber daya di akun yang berbeda dan menghindari konfigurasi per akun di Amazon Elastic Compute Cloud dan Amazon VPC. 

Dengan kebijakan grup keamanan umum Firewall Manager, Anda dapat menandai hanya antarmuka jaringan elastis EC2 yang Anda perlukan untuk komunikasi dengan instance di VPC Amazon lainnya. Contoh lain di VPC Amazon yang sama kemudian lebih aman dan terisolasi. 

**Kasus penggunaan: Memantau dan mengendalikan permintaan ke Application Load Balancers dan Classic Load Balancer**  
Anda dapat menggunakan kebijakan grup keamanan umum Firewall Manager untuk menentukan permintaan penyeimbang beban dalam lingkup yang harus disajikan. Anda dapat mengonfigurasi ini melalui konsol Firewall Manager. Hanya permintaan yang mematuhi aturan masuk grup keamanan yang dapat mencapai penyeimbang beban Anda, dan penyeimbang beban hanya akan mendistribusikan permintaan yang memenuhi aturan keluar. 

**Kasus penggunaan: VPC Amazon publik yang dapat diakses Internet**  
Anda dapat menggunakan kebijakan grup keamanan umum Firewall Manager untuk mengamankan VPC Amazon publik, misalnya, untuk mengizinkan hanya port masuk 443. Ini sama dengan hanya mengizinkan lalu lintas HTTPS masuk untuk VPC publik. Anda dapat menandai sumber daya publik dalam VPC (misalnya, sebagai “PublicVPC”), lalu menyetel cakupan kebijakan Manajer Firewall ke hanya sumber daya dengan tag tersebut. Firewall Manager secara otomatis menerapkan kebijakan ke sumber daya tersebut.

**Kasus penggunaan: Instans VPC Amazon Publik dan Pribadi**  
Anda dapat menggunakan kebijakan grup keamanan umum yang sama untuk sumber daya publik seperti yang direkomendasikan dalam kasus penggunaan sebelumnya untuk instans VPC Amazon publik yang dapat diakses internet. Anda dapat menggunakan kebijakan grup keamanan umum kedua untuk membatasi komunikasi antara sumber daya publik dan sumber daya pribadi. Tandai sumber daya dalam instance VPC Amazon publik dan pribadi dengan sesuatu seperti "PublicPrivate" untuk menerapkan kebijakan kedua kepada mereka. Anda dapat menggunakan kebijakan ketiga untuk menentukan komunikasi yang diizinkan antara sumber daya pribadi dan perusahaan lain atau instans VPC Amazon pribadi. Untuk kebijakan ini, Anda dapat menggunakan tag pengenal lain pada sumber daya pribadi. 

**Kasus penggunaan: Hub dan ucapkan instans VPC Amazon**  
Anda dapat menggunakan kebijakan grup keamanan umum untuk menentukan komunikasi antara instans VPC Amazon hub dan instance VPC Amazon. Anda dapat menggunakan kebijakan kedua untuk menentukan komunikasi dari setiap instance VPC Amazon spoke ke hub Amazon VPC instance. 

**Kasus penggunaan: Antarmuka jaringan default untuk instans Amazon EC2**  
Anda dapat menggunakan kebijakan grup keamanan umum untuk hanya mengizinkan komunikasi standar, misalnya SSH internal dan layanan patch/OS pembaruan, dan untuk melarang komunikasi tidak aman lainnya. 

**Kasus penggunaan: Identifikasi sumber daya dengan izin terbuka**  
Anda dapat menggunakan kebijakan grup keamanan audit untuk mengidentifikasi semua sumber daya dalam organisasi Anda yang memiliki izin untuk berkomunikasi dengan alamat IP publik atau yang memiliki alamat IP milik vendor pihak ketiga.

# Menggunakan kebijakan grup keamanan umum dengan Firewall Manager
<a name="security-group-policies-common"></a>

Halaman ini menjelaskan cara kerja kebijakan grup keamanan umum Firewall Manager.

Dengan kebijakan grup keamanan umum, Firewall Manager menyediakan asosiasi grup keamanan yang dikontrol secara terpusat ke akun dan sumber daya di seluruh organisasi Anda. Anda menentukan di mana dan bagaimana menerapkan kebijakan di organisasi Anda. 

Anda dapat menerapkan kebijakan grup keamanan umum ke jenis sumber daya berikut: 
+ Contoh Amazon Elastic Compute Cloud (Amazon EC2)
+ Antarmuka Jaringan Elastis
+ Penyeimbang Beban Aplikasi
+ Classic Load Balancer

Untuk panduan cara membuat kebijakan grup keamanan umum menggunakan konsol, lihat[Membuat kebijakan grup keamanan umum](create-policy.md#creating-firewall-manager-policy-common-security-group).

**Berbagi VPCs**  
Dalam pengaturan cakupan kebijakan untuk kebijakan grup keamanan umum, Anda dapat memilih untuk menyertakan bersama VPCs. Pilihan ini termasuk VPCs yang dimiliki oleh akun lain dan dibagikan dengan akun dalam lingkup. VPCs bahwa akun dalam ruang lingkup sendiri selalu disertakan. Untuk informasi tentang berbagi VPCs, lihat [Bekerja dengan dibagikan VPCs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) di *Panduan Pengguna Amazon VPC*. 

Peringatan berikut berlaku untuk menyertakan bersama VPCs. Ini adalah tambahan dari peringatan umum untuk kebijakan kelompok keamanan di[Peringatan dan batasan kebijakan kelompok keamanan](security-group-policies.md#security-groups-limitations).
+ Firewall Manager mereplikasi grup keamanan utama ke dalam VPCs untuk setiap akun dalam lingkup. Untuk VPC bersama, Firewall Manager mereplikasi grup keamanan utama satu kali untuk setiap akun dalam lingkup tempat VPC dibagikan. Ini dapat menghasilkan beberapa replika dalam satu VPC bersama. 
+ Saat membuat VPC bersama baru, Anda tidak akan melihatnya terwakili dalam detail kebijakan grup keamanan Firewall Manager hingga setelah Anda membuat setidaknya satu sumber daya di VPC yang berada dalam cakupan kebijakan. 
+ Saat Anda menonaktifkan berbagi VPCs dalam kebijakan yang telah VPCs diaktifkan bersama, di Shared VPCs, Firewall Manager menghapus grup keamanan replika yang tidak terkait dengan sumber daya apa pun. Firewall Manager meninggalkan grup keamanan replika yang tersisa di tempatnya, tetapi berhenti mengelolanya. Penghapusan grup keamanan yang tersisa ini memerlukan manajemen manual di setiap instance VPC bersama.

**Kelompok keamanan utama**  
Untuk setiap kebijakan grup keamanan umum, Anda AWS Firewall Manager menyediakan satu atau beberapa grup keamanan utama:
+ Grup keamanan utama harus dibuat oleh akun administrator Firewall Manager dan dapat berada di instans VPC Amazon apa pun di akun. 
+ Anda mengelola grup keamanan utama melalui Amazon Virtual Private Cloud (Amazon VPC) atau Amazon Elastic Compute Cloud (Amazon EC2). Untuk selengkapnya, lihat [Bekerja dengan Grup Keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) di *Panduan Pengguna Amazon VPC*. 
+ Anda dapat memberi nama satu atau beberapa grup keamanan sebagai pendahuluan untuk kebijakan grup keamanan Firewall Manager. Secara default, jumlah grup keamanan yang diizinkan dalam kebijakan adalah satu, tetapi Anda dapat mengirimkan permintaan untuk meningkatkannya. Untuk informasi, lihat [AWS Firewall Manager kuota](fms-limits.md).

**Pengaturan aturan kebijakan**  
Anda dapat memilih satu atau beberapa perilaku kontrol perubahan berikut untuk grup keamanan dan sumber daya kebijakan grup keamanan umum Anda:
+ Identifikasi dan laporkan setiap perubahan yang dibuat oleh pengguna lokal ke grup keamanan replika. 
+ Putuskan hubungan kelompok keamanan lain dari AWS sumber daya yang berada dalam lingkup kebijakan. 
+ Mendistribusikan tag dari grup utama ke grup keamanan replika.
**penting**  
Firewall Manager tidak akan mendistribusikan tag sistem yang ditambahkan oleh AWS layanan ke dalam grup keamanan replika. Tag sistem dimulai dengan `aws:` awalan. Selain itu, Firewall Manager tidak akan memperbarui tag grup keamanan yang ada atau membuat grup keamanan baru jika kebijakan tersebut memiliki tag yang bertentangan dengan kebijakan tag organisasi. Untuk informasi tentang kebijakan tag, lihat [Kebijakan tag](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) di Panduan AWS Organizations Pengguna.
+ Mendistribusikan referensi grup keamanan dari grup utama ke grup keamanan replika.

  Ini memungkinkan Anda untuk dengan mudah membuat aturan referensi grup keamanan umum di semua sumber daya dalam lingkup ke instance yang terkait dengan VPC grup keamanan yang ditentukan. Saat Anda mengaktifkan opsi ini, Firewall Manager hanya menyebarkan referensi grup keamanan jika grup keamanan mereferensikan grup keamanan rekan di Amazon Virtual Private Cloud. Jika grup keamanan replika tidak mereferensikan grup keamanan sejawat dengan benar, Firewall Manager menandai grup keamanan yang direplikasi ini sebagai tidak sesuai. Untuk informasi tentang cara mereferensikan grup keamanan rekan di Amazon VPC, [lihat Memperbarui grup keamanan Anda untuk mereferensikan grup keamanan rekan di Panduan Peering](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html) [VPC Amazon](https://docs.aws.amazon.com/vpc/latest/peering/).

   Jika Anda tidak mengaktifkan opsi ini, Firewall Manager tidak menyebarkan referensi grup keamanan ke grup keamanan replika. [Untuk informasi tentang mengintip VPC di Amazon VPC, lihat Panduan Peering VPC Amazon.](https://docs.aws.amazon.com/vpc/latest/peering/)

**Pembuatan dan manajemen kebijakan**  
Saat Anda membuat kebijakan grup keamanan umum, Firewall Manager mereplikasi grup keamanan utama ke setiap instans VPC Amazon dalam cakupan kebijakan, dan mengaitkan grup keamanan yang direplikasi ke akun dan sumber daya yang berada dalam cakupan kebijakan. Saat Anda memodifikasi grup keamanan utama, Firewall Manager menyebarkan perubahan ke replika.

Saat menghapus kebijakan grup keamanan umum, Anda dapat memilih apakah akan membersihkan sumber daya yang dibuat oleh kebijakan tersebut. Untuk grup keamanan umum Firewall Manager, sumber daya ini adalah grup keamanan replika. Pilih opsi pembersihan kecuali Anda ingin mengelola setiap replika secara manual setelah kebijakan dihapus. Untuk sebagian besar situasi, memilih opsi pembersihan adalah pendekatan yang paling sederhana.

**Bagaimana replika dikelola**  
Grup keamanan replika dalam instans VPC Amazon dikelola seperti grup keamanan Amazon VPC lainnya. Untuk selengkapnya, lihat [Grup Keamanan untuk VPC Anda](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) di Panduan Pengguna Amazon *VPC*. 

# Menggunakan kebijakan grup keamanan audit konten dengan Firewall Manager
<a name="security-group-policies-audit"></a>

Halaman ini menjelaskan cara kerja kebijakan grup keamanan audit konten Firewall Manager.

Gunakan kebijakan grup keamanan audit AWS Firewall Manager konten untuk mengaudit dan menerapkan tindakan kebijakan pada aturan yang digunakan dalam grup keamanan organisasi Anda. Kebijakan grup keamanan audit konten berlaku untuk semua grup keamanan yang dibuat pelanggan yang digunakan di AWS organisasi Anda, sesuai dengan cakupan yang Anda tetapkan dalam kebijakan.

Untuk panduan cara membuat kebijakan grup keamanan audit konten menggunakan konsol, lihat[Membuat kebijakan grup keamanan audit konten](create-policy.md#creating-firewall-manager-policy-audit-security-group).

**Jenis sumber daya lingkup kebijakan**  
Anda dapat menerapkan kebijakan grup keamanan audit konten ke jenis sumber daya berikut: 
+ Contoh Amazon Elastic Compute Cloud (Amazon EC2)
+ Antarmuka Jaringan Elastis
+ Grup keamanan Amazon VPC

Kelompok keamanan dipertimbangkan dalam lingkup kebijakan jika mereka secara eksplisit berada dalam ruang lingkup atau jika mereka terkait dengan sumber daya yang berada dalam ruang lingkup.

**Opsi aturan kebijakan**  
Anda dapat menggunakan aturan kebijakan terkelola atau aturan kebijakan khusus untuk setiap kebijakan audit konten, tetapi tidak keduanya.
+ **Aturan kebijakan terkelola** — Dalam kebijakan dengan aturan terkelola, Anda dapat menggunakan daftar aplikasi dan protokol untuk mengontrol aturan mana yang diaudit oleh Manajer Firewall dan menandai sebagai patuh atau tidak patuh. Anda dapat menggunakan daftar yang dikelola oleh Firewall Manager. Anda juga dapat membuat dan menggunakan daftar aplikasi dan protokol Anda sendiri. Untuk informasi tentang jenis daftar ini dan opsi manajemen Anda untuk daftar kustom, lihat[Menggunakan daftar terkelola Firewall Manager](working-with-managed-lists.md).
+ **Aturan kebijakan khusus** — Dalam kebijakan dengan aturan kebijakan khusus, Anda menentukan grup keamanan yang ada sebagai grup keamanan audit untuk kebijakan Anda. Anda dapat menggunakan aturan grup keamanan audit sebagai templat yang mendefinisikan aturan yang diaudit oleh Manajer Firewall dan menandai sebagai patuh atau tidak sesuai. 

**Audit kelompok keamanan**  
Anda harus membuat grup keamanan audit menggunakan akun administrator Firewall Manager Anda, sebelum Anda dapat menggunakannya dalam kebijakan Anda. Anda dapat mengelola grup keamanan melalui Amazon Virtual Private Cloud (Amazon VPC) atau Amazon Elastic Compute Cloud (Amazon EC2). Untuk selengkapnya, lihat [Bekerja dengan Grup Keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) di *Panduan Pengguna Amazon VPC*. 

Grup keamanan yang Anda gunakan untuk kebijakan grup keamanan audit konten digunakan oleh Firewall Manager hanya sebagai referensi perbandingan untuk grup keamanan yang berada dalam cakupan kebijakan. Firewall Manager tidak mengaitkannya dengan sumber daya apa pun di organisasi Anda. 

Cara Anda menentukan aturan dalam grup keamanan audit bergantung pada pilihan Anda di setelan aturan kebijakan:
+ **Aturan kebijakan terkelola** — Untuk pengaturan aturan kebijakan terkelola, Anda menggunakan grup keamanan audit untuk mengganti setelan lain dalam kebijakan, untuk secara eksplisit mengizinkan atau menolak aturan yang mungkin memiliki hasil kepatuhan lainnya. 
  + Jika Anda memilih untuk selalu *mengizinkan* aturan yang ditetapkan dalam grup keamanan audit, aturan apa pun yang cocok dengan aturan yang ditentukan dalam grup keamanan audit dianggap *sesuai* dengan kebijakan, terlepas dari pengaturan kebijakan lainnya.
  + Jika Anda memilih untuk selalu *menolak* aturan yang ditetapkan dalam grup keamanan audit, aturan apa pun yang cocok dengan aturan yang ditetapkan dalam grup keamanan audit dianggap *tidak sesuai* dengan kebijakan, terlepas dari pengaturan kebijakan lainnya.
+ **Aturan kebijakan khusus** — Untuk pengaturan aturan kebijakan khusus, grup keamanan audit memberikan contoh apa yang dapat diterima atau tidak dapat diterima dalam aturan grup keamanan dalam lingkup: 
  + Jika Anda memilih untuk *mengizinkan* penggunaan aturan, semua grup keamanan dalam lingkup hanya boleh memiliki aturan yang berada *dalam* rentang yang diizinkan dari aturan grup keamanan audit kebijakan. *Dalam hal ini, aturan kelompok keamanan kebijakan memberikan contoh tentang apa yang dapat diterima untuk dilakukan.*
  + Jika Anda memilih untuk *menolak* penggunaan aturan, semua grup keamanan dalam ruang lingkup hanya boleh memiliki aturan yang *tidak berada dalam* rentang yang diizinkan dari aturan grup keamanan audit kebijakan. *Dalam hal ini, kelompok keamanan kebijakan memberikan contoh tentang apa yang tidak dapat diterima untuk dilakukan.*

**Pembuatan dan manajemen kebijakan**  
Saat membuat kebijakan grup keamanan audit, remediasi otomatis harus dinonaktifkan. Praktik yang disarankan adalah meninjau efek pembuatan kebijakan sebelum mengaktifkan remediasi otomatis. Setelah meninjau efek yang diharapkan, Anda dapat mengedit kebijakan dan mengaktifkan remediasi otomatis. Ketika remediasi otomatis diaktifkan, Firewall Manager memperbarui atau menghapus aturan yang tidak sesuai dalam grup keamanan dalam lingkup.

**Kelompok keamanan yang terpengaruh oleh kebijakan grup keamanan audit**  
Semua grup keamanan di organisasi Anda yang dibuat pelanggan memenuhi syarat untuk berada dalam cakupan kebijakan grup keamanan audit. 

Grup keamanan replika tidak dibuat oleh pelanggan sehingga tidak memenuhi syarat untuk secara langsung berada dalam lingkup kebijakan grup keamanan audit. Namun, mereka dapat diperbarui sebagai hasil dari kegiatan remediasi otomatis kebijakan. Grup keamanan utama kebijakan grup keamanan umum dibuat oleh pelanggan dan dapat berada dalam lingkup kebijakan grup keamanan audit. Jika kebijakan grup keamanan audit membuat perubahan pada grup keamanan utama, Firewall Manager secara otomatis menyebarkan perubahan tersebut ke replika. 

## Peringatan dan batasan untuk kebijakan grup keamanan audit konten
<a name="policies-audit-limitations"></a>

Anda tidak dapat mereferensikan grup keamanan rekan dalam kebijakan grup keamanan audit konten.

Untuk informasi tentang pertimbangan lain di semua grup keamanan Firewall Manager, lihat[Peringatan dan batasan kebijakan kelompok keamanan](security-group-policies.md#security-groups-limitations).

# Menggunakan kebijakan grup keamanan audit penggunaan dengan Firewall Manager
<a name="security-group-policies-usage"></a>

Halaman ini menjelaskan cara kerja kebijakan grup keamanan audit penggunaan Firewall Manager.

Gunakan kebijakan grup keamanan audit AWS Firewall Manager penggunaan untuk memantau organisasi Anda untuk grup keamanan yang tidak digunakan dan berlebihan dan secara opsional melakukan pembersihan. Bila Anda mengaktifkan remediasi otomatis untuk kebijakan ini, Firewall Manager melakukan hal berikut:

1. Mengkonsolidasikan grup keamanan yang berlebihan, jika Anda telah memilih opsi itu.

1. Menghapus grup keamanan yang tidak digunakan, jika Anda memilih opsi itu. 

Anda dapat menerapkan kebijakan grup keamanan audit penggunaan ke jenis sumber daya berikut: 
+ Grup keamanan Amazon VPC

Untuk panduan cara membuat kebijakan grup keamanan audit penggunaan menggunakan konsol, lihat[Membuat kebijakan grup keamanan audit penggunaan](create-policy.md#creating-firewall-manager-policy-usage-security-group).

**Bagaimana Firewall Manager mendeteksi dan memulihkan grup keamanan yang berlebihan**  
Agar kelompok keamanan dianggap berlebihan, mereka harus memiliki aturan yang persis sama dan berada dalam instance VPC Amazon yang sama. 

Untuk memulihkan kumpulan grup keamanan yang berlebihan, Firewall Manager memilih salah satu grup keamanan dalam set yang akan disimpan, dan kemudian mengaitkannya ke semua sumber daya yang terkait dengan grup keamanan lain di set. Firewall Manager kemudian memisahkan grup keamanan lain dari sumber daya yang terkait dengannya, yang membuat mereka tidak digunakan. 

**catatan**  
Jika Anda juga memilih untuk menghapus grup keamanan yang tidak digunakan, Firewall Manager melakukannya selanjutnya. Hal ini dapat mengakibatkan penghapusan kelompok keamanan yang berada di set redundan.

**Bagaimana Firewall Manager mendeteksi dan memulihkan grup keamanan yang tidak digunakan**  
Firewall Manager menganggap grup keamanan tidak digunakan jika kedua hal berikut benar: 
+ Grup keamanan tidak digunakan oleh instans Amazon EC2 atau antarmuka elastis network Amazon EC2.
+ Firewall Manager belum menerima item konfigurasi untuk itu dalam jumlah menit yang ditentukan dalam periode waktu aturan kebijakan.

Periode waktu aturan kebijakan memiliki pengaturan default nol menit, tetapi Anda dapat meningkatkan waktu hingga 365 hari (525.600 menit), untuk memberi diri Anda waktu untuk mengaitkan grup keamanan baru dengan sumber daya. 

**penting**  
Jika Anda menentukan jumlah menit selain nilai default nol, Anda harus mengaktifkan hubungan tidak langsung di AWS Config. Jika tidak, kebijakan grup keamanan audit penggunaan Anda tidak akan berfungsi sebagaimana dimaksud. Untuk informasi tentang hubungan tidak langsung di AWS Config, lihat [Hubungan Tidak Langsung AWS Config di](https://docs.aws.amazon.com/config/latest/developerguide/faq.html#faq-2) *Panduan AWS Config Pengembang*.

Firewall Manager memulihkan grup keamanan yang tidak digunakan dengan menghapusnya dari akun Anda sesuai dengan pengaturan aturan Anda, jika memungkinkan. Jika Firewall Manager tidak dapat menghapus grup keamanan, ia menandainya sebagai tidak sesuai dengan kebijakan. Firewall Manager tidak dapat menghapus grup keamanan yang direferensikan oleh grup keamanan lain.

Waktu remediasi bervariasi sesuai dengan apakah Anda menggunakan pengaturan periode waktu default atau pengaturan kustom: 
+ **Periode waktu ditetapkan ke nol, default** — Dengan pengaturan ini, grup keamanan dianggap tidak digunakan segera setelah tidak digunakan oleh instans Amazon EC2 atau elastic network interface. 

  Untuk pengaturan periode waktu nol ini, Firewall Manager segera memperbaiki grup keamanan. 
+ **Periode waktu lebih besar dari nol** — Dengan pengaturan ini, grup keamanan dianggap tidak digunakan saat tidak digunakan oleh instans Amazon EC2 atau elastic network interface dan Firewall Manager belum menerima item konfigurasi untuk itu dalam jumlah menit yang ditentukan. 

  Untuk pengaturan periode waktu bukan nol, Firewall Manager memulihkan grup keamanan setelah tetap dalam keadaan tidak digunakan selama 24 jam. 

**Spesifikasi akun default**  
Saat Anda membuat kebijakan grup keamanan audit penggunaan melalui konsol, Firewall Manager secara otomatis memilih **Kecualikan akun yang ditentukan dan menyertakan semua akun lainnya**. Layanan kemudian menempatkan akun administrator Firewall Manager dalam daftar untuk dikecualikan. Ini adalah pendekatan yang disarankan, dan memungkinkan Anda untuk secara manual mengelola grup keamanan milik akun administrator Firewall Manager. 

# Menggunakan kebijakan daftar kontrol akses jaringan (ACL) Amazon VPC dengan Firewall Manager
<a name="network-acl-policies"></a>

Bagian ini mencakup cara kerja kebijakan ACL AWS Firewall Manager jaringan dan memberikan panduan untuk menggunakannya. Untuk panduan membuat kebijakan ACL jaringan menggunakan konsol, lihat[Membuat kebijakan ACL jaringan](create-policy.md#creating-firewall-manager-policy-network-acl).

Untuk informasi tentang daftar kontrol akses jaringan Amazon VPC (ACLs), lihat [Mengontrol lalu lintas ke subnet menggunakan jaringan ACLs di Panduan](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) Pengguna Amazon *VPC*.

Anda dapat menggunakan kebijakan ACL jaringan Firewall Manager untuk mengelola daftar kontrol akses jaringan Amazon Virtual Private Cloud (Amazon VPC) ACLs () untuk organisasi Anda. AWS Organizations Anda menentukan pengaturan aturan ACL jaringan kebijakan dan akun serta subnet tempat Anda ingin pengaturan diberlakukan. Firewall Manager terus menerapkan pengaturan kebijakan Anda ke akun dan subnet saat ditambahkan atau diperbarui di seluruh organisasi Anda. Untuk informasi tentang cakupan kebijakan dan AWS Organizations, lihat [Menggunakan cakupan AWS Firewall Manager kebijakan](policy-scope.md) dan [Panduan AWS Organizations Pengguna](https://docs.aws.amazon.com/organizations/latest/userguide/). 

Saat Anda menentukan kebijakan ACL jaringan Manajer Firewall, selain pengaturan kebijakan Firewall Manager standar, seperti nama dan cakupan, Anda memberikan yang berikut ini:
+ Aturan pertama dan terakhir untuk penanganan lalu lintas masuk dan keluar. Firewall Manager memberlakukan keberadaan dan urutan ini dalam jaringan ACLs yang berada dalam cakupan kebijakan, atau melaporkan ketidakpatuhan. Akun individual Anda dapat membuat aturan khusus untuk dijalankan di antara aturan pertama dan terakhir kebijakan.
+ Apakah akan memaksa remediasi ketika remediasi akan mengakibatkan konflik manajemen lalu lintas antara aturan dalam jaringan ACL. Ini hanya berlaku jika remediasi diaktifkan untuk kebijakan. 

## Praktik terbaik untuk menggunakan kebijakan ACL jaringan Firewall Manager
<a name="network-acls-best-practice"></a>

Bagian ini mencantumkan rekomendasi untuk bekerja dengan kebijakan ACL jaringan Firewall Manager dan jaringan ACLs terkelola.

**Lihat `FMManaged` tag untuk mengidentifikasi jaringan ACLs yang dikelola oleh Firewall Manager**  
Jaringan ACLs yang dikelola Firewall Manager memiliki `FMManaged` tag yang disetel ke`true`. Gunakan tag ini untuk membantu membedakan jaringan kustom Anda sendiri ACLs dari yang Anda kelola melalui Firewall Manager. 

**Jangan mengubah nilai `FMManaged` tag pada ACL jaringan**  
Firewall Manager menggunakan tag ini untuk mengatur dan menentukan status manajemennya dengan ACL jaringan. 

**Jangan mengubah asosiasi untuk subnet yang memiliki jaringan terkelola Firewall Manager ACLs**  
Jangan secara manual mengubah asosiasi antara subnet Anda dan jaringan apa pun ACLs yang dikelola oleh Firewall Manager. Melakukannya dapat menonaktifkan kemampuan Firewall Manager untuk mengelola perlindungan untuk subnet tersebut. Anda dapat mengidentifikasi jaringan ACLs yang dikelola oleh Firewall Manager dengan mencari pengaturan `FMManaged` tag`true`.

Untuk menghapus subnet dari manajemen kebijakan Firewall Manager, gunakan pengaturan cakupan kebijakan Firewall Manager untuk mengecualikan subnet. Misalnya, Anda dapat menandai subnet dan kemudian mengecualikan tag tersebut dari cakupan kebijakan. Untuk informasi selengkapnya, lihat [Menggunakan cakupan AWS Firewall Manager kebijakan](policy-scope.md). 

**Saat Anda memperbarui ACL jaringan terkelola, jangan mengubah aturan yang dikelola oleh Firewall Manager**  
Di ACL jaringan yang dikelola oleh Firewall Manager, pisahkan aturan kustom Anda dari aturan kebijakan dengan mengikuti skema penomoran yang dijelaskan dalam. [Menggunakan aturan ACL jaringan dan penandaan di Firewall Manager](network-acls-fms-managed.md) Hanya menambah atau memodifikasi aturan yang memiliki angka antara 5.000 dan 32.000. 

**Hindari menambahkan terlalu banyak aturan untuk batas akun Anda**  
Selama remediasi ACL jaringan, Firewall Manager biasanya meningkatkan jumlah aturan ACL jaringan sementara. Untuk menghindari masalah ketidakpatuhan, pastikan Anda memiliki cukup ruang untuk aturan yang Anda gunakan. Untuk informasi selengkapnya, lihat [Bagaimana Firewall Manager memulihkan jaringan terkelola yang tidak patuh ACLs](network-acls-remediation.md). 

**Mulailah dengan remediasi otomatis dinonaktifkan**  
Mulailah dengan remediasi otomatis dinonaktifkan, lalu tinjau informasi detail kebijakan untuk menentukan efek yang akan ditimbulkan oleh remediasi otomatis. Ketika Anda puas bahwa perubahan adalah apa yang Anda inginkan, edit kebijakan untuk mengaktifkan remediasi otomatis.

## Peringatan kebijakan ACL jaringan Firewall Manager
<a name="network-acls-caveats"></a>

Bagian ini mencantumkan peringatan dan batasan untuk menggunakan kebijakan ACL jaringan Firewall Manager.
+ **Waktu pembaruan lebih lambat dibandingkan dengan kebijakan lain** — Firewall Manager umumnya menerapkan kebijakan ACL jaringan dan perubahan kebijakan lebih lambat dibandingkan dengan kebijakan Firewall Manager lainnya, karena keterbatasan dalam tingkat di mana ACL EC2 APIs jaringan Amazon dapat memproses permintaan. Anda mungkin memperhatikan bahwa perubahan kebijakan membutuhkan waktu lebih lama daripada perubahan serupa dengan kebijakan Firewall Manager lainnya, khususnya saat Anda pertama kali menambahkan kebijakan. 
+ **Untuk perlindungan subnet awal, Firewall Manager lebih memilih kebijakan yang lebih lama** — Ini hanya berlaku untuk subnet yang belum dilindungi oleh kebijakan ACL jaringan Firewall Manager. Jika subnet masuk ke dalam cakupan lebih dari satu kebijakan ACL jaringan pada saat yang sama, maka Firewall Manager menggunakan kebijakan tertua untuk melindungi subnet. 
+ **Alasan kebijakan untuk berhenti melindungi subnet** — Kebijakan yang mengelola ACL jaringan untuk subnet mempertahankan manajemen sampai salah satu hal berikut terjadi: 
  + Subnet keluar dari cakupan kebijakan.
  + Kebijakan dihapus. 
  + Anda secara manual mengubah asosiasi subnet ke ACL jaringan yang dikelola oleh kebijakan Firewall Manager yang berbeda dan cakupannya subnet. 

**Topics**
+ [Praktik terbaik untuk menggunakan kebijakan ACL jaringan Firewall Manager](#network-acls-best-practice)
+ [Peringatan kebijakan ACL jaringan Firewall Manager](#network-acls-caveats)
+ [Menggunakan aturan ACL jaringan dan penandaan di Firewall Manager](network-acls-fms-managed.md)
+ [Bagaimana Firewall Manager memulai manajemen ACL jaringan untuk subnet](network-acls-initialization.md)
+ [Bagaimana Firewall Manager memulihkan jaringan terkelola yang tidak patuh ACLs](network-acls-remediation.md)
+ [Menghapus kebijakan ACL jaringan Firewall Manager](network-acls-deletion.md)

# Menggunakan aturan ACL jaringan dan penandaan di Firewall Manager
<a name="network-acls-fms-managed"></a>

Bagian ini menjelaskan spesifikasi aturan kebijakan ACL jaringan dan jaringan ACLs yang dikelola oleh Firewall Manager. 

**Menandai pada jaringan terkelola ACL**  
Firewall Manager menandai ACL jaringan terkelola dengan `FMManaged` tag yang memiliki nilai. `true` Firewall Manager hanya melakukan remediasi pada jaringan ACLs yang memiliki pengaturan tag ini.

**Aturan yang Anda tetapkan dalam kebijakan**  
Dalam spesifikasi kebijakan ACL jaringan Anda, Anda menentukan aturan yang ingin Anda jalankan pertama dan terakhir untuk lalu lintas masuk dan aturan yang ingin Anda jalankan pertama dan terakhir untuk lalu lintas keluar. 

Secara default, Anda dapat menentukan hingga 5 aturan masuk, untuk digunakan dalam kombinasi aturan pertama dan terakhir dalam kebijakan. Demikian pula, Anda dapat menentukan hingga 5 aturan keluar. Untuk informasi lebih lanjut tentang batasan ini, lihat[Kuota lembut](fms-limits.md#fms-limits-mutable). Untuk informasi tentang batasan umum pada jaringan ACLs, lihat [Kuota VPC Amazon di jaringan di Panduan Pengguna ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls) Amazon *VPC*.

Anda tidak menetapkan nomor aturan ke aturan kebijakan. Sebagai gantinya, Anda menentukan aturan dalam urutan yang Anda inginkan untuk dievaluasi, dan Firewall Manager menggunakan urutan itu untuk menetapkan nomor aturan di jaringan ACLs yang dikelola. 

Selain itu, Anda mengelola spesifikasi aturan ACL jaringan kebijakan karena Anda akan mengelola aturan dalam ACL jaringan melalui Amazon VPC. Untuk informasi tentang manajemen ACL jaringan di Amazon VPC, [lihat Mengontrol lalu lintas ke subnet menggunakan ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) jaringan [dan Bekerja dengan jaringan ACLs di Panduan](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) Pengguna **Amazon VPC**.

**Aturan dalam jaringan terkelola ACL**  
Firewall Manager mengonfigurasi aturan dalam ACL jaringan yang dikelola dengan menempatkan aturan pertama dan terakhir kebijakan sebelum dan sesudah aturan kustom apa pun yang ditentukan oleh manajer akun individual. Firewall Manager mempertahankan urutan aturan kustom. Jaringan ACLs dievaluasi dimulai dengan aturan bernomor terendah. 

Ketika Firewall Manager pertama kali membuat ACL jaringan, ia mendefinisikan aturan dengan penomoran berikut: 
+ **Aturan pertama: 1, 2,...** — Didefinisikan oleh Anda dalam kebijakan ACL jaringan Firewall Manager. 

  Firewall Manager menetapkan nomor aturan mulai dari 1 dengan penambahan 1, dengan aturan yang diurutkan seperti yang Anda pesan dalam spesifikasi kebijakan. 
+ **Aturan kustom: 5.000, 5.100,...** — Dikelola oleh manajer akun individu melalui Amazon VPC. 

  Firewall Manager menetapkan nomor untuk aturan ini mulai dari 5.000 dan bertambah 100 untuk setiap aturan berikutnya. 
+ **Aturan terakhir:... 32,765, 32,766** — Ditentukan oleh Anda dalam kebijakan ACL jaringan Firewall Manager. 

  Firewall Manager menetapkan nomor aturan yang berakhir pada angka setinggi mungkin, 32766 dengan penambahan 1, dengan aturan yang diurutkan seperti yang Anda pesan dalam spesifikasi kebijakan.

Setelah inisialisasi ACL jaringan, Firewall Manager tidak mengontrol perubahan yang dilakukan akun individual di jaringan terkelolanya. ACLs Akun individu dapat mengubah ACL jaringan tanpa mengeluarkannya dari kepatuhan, dengan ketentuan aturan kustom apa pun tetap diberi nomor di antara aturan pertama dan terakhir kebijakan, dan aturan pertama dan terakhir mempertahankan urutan yang ditentukan. Sebagai praktik terbaik, saat mengelola aturan khusus, patuhi penomoran yang dijelaskan di bagian ini. 

# Bagaimana Firewall Manager memulai manajemen ACL jaringan untuk subnet
<a name="network-acls-initialization"></a>

Bagian ini menjelaskan bagaimana Firewall Manager memulai manajemen ACL jaringan untuk subnet.

Firewall Manager memulai pengelolaan jaringan ACL untuk subnet ketika mengaitkan subnet dengan jaringan ACL yang Firewall Manager telah dibuat dan ditandai dengan set to. `FMManaged` `true` 

Kepatuhan terhadap kebijakan ACL jaringan mengharuskan ACL jaringan subnet untuk menempatkan aturan pertama kebijakan terlebih dahulu, dalam urutan yang ditentukan dalam kebijakan, aturan terakhir yang diposisikan terakhir, berurutan, dan aturan kustom lainnya yang ditempatkan di tengah. Persyaratan ini dapat dipenuhi oleh ACL jaringan yang tidak dikelola bahwa subnet sudah dikaitkan dengan atau oleh ACL jaringan terkelola. 

Ketika Firewall Manager menerapkan kebijakan ACL jaringan ke subnet yang terkait dengan ACL jaringan yang tidak dikelola, Firewall Manager memeriksa hal berikut secara berurutan, berhenti ketika mengidentifikasi opsi yang layak: 

1. **ACL jaringan terkait sudah sesuai** — Jika ACL jaringan yang saat ini terkait dengan subnet sesuai, maka Firewall Manager meninggalkan asosiasi itu dan tidak memulai manajemen ACL jaringan untuk subnet. 

   Firewall Manager tidak mengubah atau mengelola ACL jaringan yang tidak dimilikinya, tetapi selama itu sesuai, Firewall Manager membiarkannya di tempatnya dan hanya memantaunya untuk kepatuhan kebijakan. 

1. **Tersedia ACL jaringan terkelola yang sesuai** — Jika Firewall Manager sudah mengelola ACL jaringan yang sesuai dengan konfigurasi yang diperlukan, maka ini adalah opsi. Jika remediasi diaktifkan, Firewall Manager mengaitkan subnet ke subnet tersebut. Jika remediasi dinonaktifkan, Firewall Manager menandai subnet yang tidak sesuai dan menawarkan penggantian asosiasi ACL jaringan sebagai opsi remediasi. 

1. **Buat ACL jaringan terkelola baru yang sesuai** — Jika remediasi diaktifkan, Firewall Manager membuat ACL jaringan baru dan mengaitkannya dengan subnet. Jika tidak, Firewall Manager menandai subnet yang tidak sesuai dan menawarkan opsi remediasi untuk membuat ACL jaringan baru dan mengganti asosiasi ACL jaringan. 

Jika langkah-langkah ini gagal, Firewall Manager melaporkan ketidakpatuhan untuk subnet.

Firewall Manager mengikuti langkah-langkah ini ketika subnet pertama kali masuk ke ruang lingkup dan ketika ACL jaringan subnet yang tidak dikelola tidak sesuai.

# Bagaimana Firewall Manager memulihkan jaringan terkelola yang tidak patuh ACLs
<a name="network-acls-remediation"></a>

Bagian ini menjelaskan cara Firewall Manager memulihkan jaringan terkelolanya ACLs ketika mereka tidak mematuhi kebijakan. Firewall Manager hanya memperbaiki jaringan terkelola ACLs —dengan `FMManaged` tag disetel ke. `true` Untuk jaringan ACLs yang tidak dikelola oleh Firewall Manager, lihat[Manajemen ACL jaringan awal](network-acls-initialization.md).

Remediasi mengembalikan lokasi relatif dari aturan pertama, kustom, dan terakhir dan mengembalikan pemesanan untuk aturan pertama dan terakhir. Selama remediasi, Firewall Manager tidak akan selalu memindahkan aturan ke nomor aturan yang digunakan dalam inisialisasi ACL jaringan. Untuk pengaturan nomor awal dan deskripsi kategori aturan ini, lihat[Manajemen ACL jaringan awal](network-acls-initialization.md).

Untuk menetapkan aturan dan urutan aturan yang sesuai, Firewall Manager mungkin perlu memindahkan aturan di dalam ACL jaringan. Sebisa mungkin, Firewall Manager mempertahankan perlindungan ACL jaringan dengan mempertahankan urutan aturan yang sesuai seperti yang dilakukan. Misalnya, mungkin sementara menduplikasi aturan ke lokasi baru, dan kemudian melakukan penghapusan urutan aturan asli, menjaga lokasi relatif selama proses. 

Pendekatan ini melindungi pengaturan Anda, tetapi juga membutuhkan ruang di ACL jaringan untuk aturan sementara. Jika Firewall Manager mencapai batas untuk aturan dalam ACL jaringan, itu akan menghentikan remediasi. Ketika ini terjadi, ACL jaringan tetap tidak sesuai dan Firewall Manager melaporkan alasannya. 

Jika akun menambahkan aturan khusus ke ACL jaringan yang dikelola oleh Firewall Manager, dan aturan tersebut mengganggu remediasi Firewall Manager, Firewall Manager menghentikan aktivitas remediasi apa pun di ACL jaringan dan melaporkan konflik. 

**Remediasi paksa**  
Jika Anda memilih remediasi otomatis untuk kebijakan tersebut, Anda juga menentukan apakah akan memaksa remediasi untuk aturan pertama atau aturan terakhir. 

Ketika Firewall Manager menghadapi konflik dalam penanganan lalu lintas antara aturan kustom dan aturan kebijakan, itu mengacu pada pengaturan remediasi paksa yang sesuai. Jika remediasi paksa diaktifkan, Firewall Manager menerapkan remediasi, terlepas dari konflik. Jika opsi ini tidak diaktifkan, Firewall Manager menghentikan remediasi. Dalam kedua kasus tersebut, Firewall Manager melaporkan konflik aturan dan menawarkan opsi remediasi. 

**Persyaratan dan batasan jumlah aturan**  
Selama remediasi, Firewall Manager mungkin sementara menduplikasi aturan untuk memindahkannya tanpa mengubah perlindungan yang mereka berikan. 

Untuk aturan masuk atau keluar, jumlah aturan terbesar yang mungkin diperlukan oleh Manajer Firewall untuk melakukan remediasi adalah sebagai berikut: 

```
2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction
```

Kebijakan ACL jaringan ACLs dan jaringan terikat oleh batas aturan yang dapat berubah. Jika Firewall Manager mencapai batas dalam upaya remediasi, ia berhenti mencoba untuk memulihkan dan melaporkan ketidakpatuhan. 

Untuk memberi ruang bagi Firewall Manager untuk melakukan aktivitas remediasi, Anda dapat meminta peningkatan batas. Sebagai alternatif, Anda dapat mengubah konfigurasi dalam kebijakan atau jaringan ACL untuk mengurangi jumlah aturan yang digunakan. 

Untuk informasi tentang batas ACL jaringan, lihat [Kuota VPC Amazon di jaringan ACLs di Panduan Pengguna](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls) *Amazon VPC*.

**Ketika remediasi gagal**  
Saat memperbarui ACL jaringan, jika Firewall Manager perlu berhenti karena alasan apa pun, itu tidak mengembalikan perubahan, tetapi sebaliknya meninggalkan ACL jaringan dalam keadaan sementara. Jika Anda melihat aturan duplikat di ACL jaringan yang memiliki `FMManaged` tag yang disetel ke`true`, Firewall Manager mungkin sedang memperbaiki itu. Perubahan mungkin sebagian selesai untuk suatu periode, tetapi karena pendekatan yang dilakukan Firewall Manager untuk remediasi, ini tidak akan mengganggu lalu lintas atau mengurangi perlindungan untuk subnet terkait. 

Ketika Firewall Manager tidak sepenuhnya memulihkan jaringan ACLs yang tidak sesuai, ia melaporkan ketidakpatuhan untuk subnet terkait dan menyarankan kemungkinan opsi remediasi. 

**Mencoba lagi setelah remediasi gagal**  
Dalam kebanyakan kasus, jika Firewall Manager gagal menyelesaikan perubahan remediasi ke ACL jaringan, pada akhirnya akan mencoba kembali perubahan tersebut. 

Pengecualian untuk ini adalah ketika remediasi mencapai batas jumlah aturan ACL jaringan atau batas jumlah ACL jaringan VPC. Firewall Manager tidak dapat melakukan aktivitas remediasi yang mengambil AWS sumber daya melebihi pengaturan batasnya. Dalam kasus ini, Anda perlu mengurangi jumlah atau menambah batas untuk melanjutkan. Untuk informasi tentang batasan, lihat [Kuota VPC Amazon di jaringan di Panduan Pengguna ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls) Amazon *VPC*.

## Pelaporan kepatuhan ACL jaringan Firewall Manager
<a name="network-acls-compliance"></a>

Firewall Manager memantau dan melaporkan kepatuhan untuk semua jaringan ACLs yang dilampirkan ke subnet dalam lingkup. 

Secara umum, ketidakpatuhan terjadi untuk situasi seperti urutan aturan yang salah atau konflik dalam perilaku penanganan lalu lintas antara aturan kebijakan dan aturan khusus. Pelaporan ketidakpatuhan mencakup pelanggaran kepatuhan dan opsi perbaikan.

Firewall Manager melaporkan pelanggaran kepatuhan untuk kebijakan ACL jaringan dengan cara yang sama seperti jenis kebijakan lainnya. Untuk informasi tentang pelaporan kepatuhan, lihat[Melihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan](fms-compliance.md). 

**Ketidakpatuhan selama pembaruan kebijakan**  
Setelah Anda mengubah kebijakan ACL jaringan, hingga Firewall Manager memperbarui jaringan ACLs yang berada dalam cakupan kebijakan, Firewall Manager menandai jaringan tersebut ACLs tidak patuh. Firewall Manager melakukan ini bahkan jika jaringan ACLs mungkin, secara tegas, mematuhi. 

Misalnya, jika Anda menghapus aturan dari spesifikasi kebijakan, sementara jaringan dalam lingkup ACLs masih memiliki aturan tambahan, definisi aturan mereka mungkin masih mematuhi kebijakan. Namun, karena aturan tambahan adalah bagian dari aturan yang dikelola oleh Firewall Manager, Firewall Manager melihatnya sebagai pelanggaran pengaturan kebijakan saat ini. Ini berbeda dengan cara Firewall Manager melihat aturan khusus yang Anda tambahkan ke jaringan terkelola Firewall Manager ACLs. 

# Menghapus kebijakan ACL jaringan Firewall Manager
<a name="network-acls-deletion"></a>

Bagian ini menjelaskan apa yang terjadi di Firewall Manager ketika Anda menghapus kebijakan ACL jaringan Firewall Manager.

Saat Anda menghapus kebijakan ACL jaringan Manajer Firewall, Firewall Manager mengubah nilai `FMManaged` tag `false` pada semua jaringan ACLs yang telah dikelola untuk kebijakan tersebut. 

Selain itu, Anda dapat memilih apakah akan membersihkan sumber daya yang dibuat oleh kebijakan. Jika Anda memilih membersihkan, Firewall Manager mencoba langkah-langkah berikut secara berurutan: 

1. **Kembalikan asosiasi ke aslinya** — Firewall Manager mencoba mengaitkan subnet kembali ke ACL jaringan yang dikaitkan dengannya sebelum Firewall Manager mulai mengelolanya. 

1. **Hapus aturan pertama dan terakhir dari ACL jaringan** — Jika tidak dapat mengubah asosiasi, Firewall Manager mencoba menghapus aturan pertama dan terakhir kebijakan, hanya menyisakan aturan khusus di ACL jaringan yang terkait dengan subnet. 

1. **Jangan lakukan apa pun pada aturan atau asosiasi** — Jika tidak dapat melakukan salah satu dari hal-hal di atas, Firewall Manager meninggalkan jaringan ACL dan asosiasinya sebagaimana adanya. 

Jika Anda tidak memilih opsi pembersihan, Anda harus mengelola setiap ACL jaringan secara manual setelah kebijakan dihapus. Untuk sebagian besar situasi, memilih opsi pembersihan adalah pendekatan yang paling sederhana. 

# Menggunakan AWS Network Firewall kebijakan di Firewall Manager
<a name="network-firewall-policies"></a>

Bagian ini menjelaskan cara menggunakan AWS Network Firewall kebijakan dengan Firewall Manager.

Anda dapat menggunakan *kebijakan AWS Firewall Manager * Network Firewall untuk mengelola AWS Network Firewall *firewall* untuk Amazon Virtual Private Cloud *VPCs*di seluruh *organisasi*. AWS Organizations Anda dapat menerapkan firewall yang dikontrol secara terpusat ke seluruh organisasi Anda atau ke subset tertentu dari akun Anda dan. VPCs 

Network Firewall menyediakan perlindungan pemfilteran lalu lintas jaringan untuk subnet publik di Anda. VPCs Firewall Manager membuat dan mengelola firewall berdasarkan *jenis manajemen firewall* yang ditentukan oleh kebijakan Anda. Firewall Manager menyediakan model manajemen firewall berikut:
+ **Didistribusikan** - Untuk setiap akun dan VPC yang berada dalam cakupan kebijakan, Firewall Manager membuat firewall Network Firewall dan menyebarkan titik akhir firewall ke subnet VPC, untuk memfilter lalu lintas jaringan.
+ **Terpusat** - Firewall Manager membuat firewall Network Firewall tunggal dalam satu VPC Amazon.
+ **Impor firewall yang ada** - Firewall Manager mengimpor firewall yang ada untuk pengelolaan dalam satu kebijakan Firewall Manager. Anda dapat menerapkan aturan tambahan ke firewall impor yang dikelola oleh kebijakan Anda untuk memastikan bahwa firewall Anda memenuhi standar keamanan Anda.

**catatan**  
Kebijakan Firewall Manager Network Firewall adalah kebijakan Firewall Manager yang Anda gunakan untuk mengelola perlindungan Firewall Jaringan untuk VPCs seluruh organisasi Anda.   
Perlindungan Network Firewall ditentukan dalam sumber daya dalam layanan Network Firewall yang disebut kebijakan firewall. 

Untuk informasi tentang menggunakan Network Firewall, lihat [Panduan AWS Network Firewall Pengembang](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html).

Bagian berikut mencakup persyaratan untuk menggunakan kebijakan Firewall Manager Network Firewall dan menjelaskan cara kerja kebijakan. Untuk prosedur pembuatan kebijakan, lihat[Membuat AWS Firewall Manager kebijakan untuk AWS Network Firewall](create-policy.md#creating-firewall-manager-policy-for-network-firewall). 

**penting**  
**Anda harus mengaktifkan berbagi sumber daya.** Kebijakan Firewall Jaringan membagikan grup aturan Firewall Jaringan di seluruh akun di organisasi Anda. Agar ini berfungsi, Anda harus mengaktifkan berbagi sumber daya AWS Organizations. Untuk informasi tentang cara mengaktifkan berbagi sumber daya, lihat[Berbagi sumber daya untuk kebijakan Network Firewall dan DNS Firewall](resource-sharing.md).

**penting**  
**Anda harus memiliki grup aturan Network Firewall yang ditentukan.** Ketika Anda menentukan kebijakan Network Firewall baru, Anda menentukan kebijakan firewall sama seperti yang Anda lakukan ketika Anda menggunakan AWS Network Firewall secara langsung. Anda menentukan grup aturan stateless untuk ditambahkan, tindakan stateless default, dan grup aturan stateful. Grup aturan Anda harus sudah ada di akun administrator Manajer Firewall agar Anda dapat memasukkannya ke dalam kebijakan. Untuk informasi tentang membuat grup aturan Firewall Jaringan, lihat [grup AWS Network Firewall aturan](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html).

**Topics**
+ [Bagaimana Firewall Manager membuat titik akhir firewall](fms-create-firewall-endpoints.md)
+ [Bagaimana Firewall Manager mengelola subnet firewall Anda](fms-manage-firewall-subnets.md)
+ [Bagaimana Firewall Manager mengelola sumber daya Network Firewall](fms-manage-network-firewall.md)
+ [Cara Firewall Manager mengelola dan memantau tabel rute VPC untuk kebijakan Anda](fms-manage-vpc-route-tables.md)
+ [Mengonfigurasi pencatatan untuk kebijakan AWS Network Firewall](nwfw-policies-logging-config.md)

# Bagaimana Firewall Manager membuat titik akhir firewall
<a name="fms-create-firewall-endpoints"></a>

Bagian ini menjelaskan bagaimana Firewall Manager membuat endpoint firewall.

*Jenis manajemen Firewall* dalam kebijakan Anda menentukan cara Firewall Manager membuat firewall. Kebijakan Anda dapat membuat firewall *terdistribusi*, firewall *terpusat*, atau Anda dapat **mengimpor firewall yang ada**:
+ **Didistribusikan** - Dengan model penerapan terdistribusi, Firewall Manager membuat titik akhir untuk setiap VPC yang berada dalam cakupan kebijakan. Anda dapat menyesuaikan lokasi titik akhir dengan menentukan Availability Zones untuk membuat endpoint firewall, atau Firewall Manager dapat secara otomatis membuat endpoint di Availability Zones dengan subnet publik. Jika Anda memilih Availability Zones secara manual, Anda memiliki opsi untuk membatasi kumpulan yang diizinkan CIDRs per Availability Zone. Jika Anda memutuskan untuk membiarkan Firewall Manager secara otomatis membuat titik akhir, Anda juga harus menentukan apakah layanan akan membuat titik akhir tunggal atau beberapa titik akhir firewall di dalam Anda. VPCs
  + Untuk beberapa titik akhir firewall, Firewall Manager menyebarkan titik akhir firewall di setiap Availability Zone di mana Anda memiliki subnet dengan gateway internet atau rute endpoint firewall yang dibuat oleh Manajer Firewall di tabel rute. Ini adalah opsi default untuk kebijakan Network Firewall.
  + Untuk titik akhir firewall tunggal, Firewall Manager menyebarkan titik akhir firewall di satu Availability Zone di subnet mana pun yang memiliki rute gateway internet. Dengan opsi ini, lalu lintas di zona lain perlu melintasi batas zona agar dapat disaring oleh firewall.
**catatan**  
Untuk kedua opsi ini, harus ada subnet yang terkait dengan tabel rute yang memiliki rute IPv4 /prefixlist di dalamnya. Firewall Manager tidak memeriksa sumber daya lainnya.
+ **Terpusat** *- Dengan model penyebaran terpusat, Firewall Manager membuat satu atau lebih titik akhir firewall dalam VPC inspeksi.* VPC inspeksi adalah VPC pusat tempat Firewall Manager meluncurkan endpoint Anda. Saat Anda menggunakan model penerapan terpusat, Anda juga menentukan Availability Zone untuk membuat endpoint firewall. Anda tidak dapat mengubah VPC inspeksi setelah membuat kebijakan. Untuk menggunakan VPC inspeksi yang berbeda, Anda harus membuat kebijakan baru.
+ **Impor firewall yang ada** - Saat Anda mengimpor firewall yang ada, Anda memilih firewall yang akan dikelola dalam kebijakan Anda dengan menambahkan satu atau beberapa *kumpulan sumber daya* ke kebijakan Anda. Kumpulan sumber daya adalah kumpulan sumber daya, dalam hal ini firewall yang ada di Network Firewall, yang dikelola oleh akun di organisasi Anda. Sebelum menggunakan kumpulan sumber daya dalam kebijakan, Anda harus terlebih dahulu membuat kumpulan sumber daya. Untuk informasi tentang kumpulan sumber daya Firewall Manager, lihat[Mengelompokkan sumber daya Anda di Firewall Manager](fms-resource-sets.md).

  Ingatlah pertimbangan berikut saat bekerja dengan firewall yang diimpor:
  + Jika firewall yang diimpor menjadi tidak sesuai, Firewall Manager akan mencoba menyelesaikan pelanggaran secara otomatis, kecuali dalam keadaan berikut:
    + Jika ada ketidakcocokan antara tindakan default stateful atau stateless kebijakan Firewall Manager Firewall Firewall.
    + Jika grup aturan dalam kebijakan firewall firewall yang diimpor memiliki prioritas yang sama dengan grup aturan dalam kebijakan Firewall Manager.
    + Jika firewall yang diimpor menggunakan kebijakan firewall yang terkait dengan firewall, itu bukan bagian dari kumpulan sumber daya kebijakan. Hal ini dapat terjadi karena firewall dapat memiliki tepat satu kebijakan firewall, tetapi kebijakan firewall tunggal dapat dikaitkan dengan beberapa firewall.
    + Jika grup aturan yang sudah ada sebelumnya milik kebijakan firewall firewall yang diimpor yang juga ditentukan dalam kebijakan Firewall Manager diberikan prioritas yang berbeda.
  + Jika Anda mengaktifkan pembersihan sumber daya dalam kebijakan, Firewall Manager akan menghapus grup aturan yang telah ada dalam kebijakan impor FMS dari firewall dalam lingkup kumpulan sumber daya.
  + Firewall yang dikelola oleh Firewall Manager mengimpor jenis manajemen firewall yang ada hanya dapat dikelola oleh satu kebijakan pada satu waktu. Jika kumpulan sumber daya yang sama ditambahkan ke beberapa kebijakan firewall jaringan impor, firewall dalam kumpulan sumber daya akan dikelola oleh kebijakan pertama yang ditambahkan kumpulan sumber daya dan akan diabaikan oleh kebijakan kedua.
  + Firewall Manager saat ini tidak melakukan streaming konfigurasi kebijakan pengecualian. Untuk informasi tentang kebijakan pengecualian aliran, lihat [Kebijakan pengecualian Streaming](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-settings.html#:~:text=Stream%20exception%20policy) di *Panduan AWS Network Firewall Pengembang*.
  + Impor firewall yang ada tidak mendukung pengimporan firewall yang terpasang di gateway Transit.

Jika Anda mengubah daftar Availability Zone untuk kebijakan yang menggunakan manajemen firewall terdistribusi atau terpusat, Firewall Manager akan mencoba membersihkan titik akhir apa pun yang dibuat di masa lalu, tetapi saat ini tidak dalam cakupan kebijakan. Firewall Manager akan menghapus titik akhir hanya jika tidak ada rute tabel rute yang mereferensikan titik akhir di luar cakupan. Jika Firewall Manager menemukan bahwa ia tidak dapat menghapus titik akhir ini, itu akan menandai subnet firewall sebagai tidak sesuai dan akan terus mencoba untuk menghapus titik akhir hingga saat aman untuk dihapus.

# Bagaimana Firewall Manager mengelola subnet firewall Anda
<a name="fms-manage-firewall-subnets"></a>

Bagian ini menjelaskan bagaimana Firewall Manager mengelola subnet firewall Anda.

Subnet firewall adalah subnet VPC yang dibuat oleh Firewall Manager untuk titik akhir firewall yang menyaring lalu lintas jaringan Anda. Setiap titik akhir firewall harus digunakan dalam subnet VPC khusus. Firewall Manager membuat setidaknya satu subnet firewall di setiap VPC yang berada dalam cakupan kebijakan.

Untuk kebijakan yang menggunakan model penyebaran terdistribusi dengan konfigurasi titik akhir otomatis, Firewall Manager hanya membuat subnet firewall di Availability Zones yang memiliki subnet dengan rute gateway internet, atau subnet dengan rute ke titik akhir firewall yang dibuat oleh Firewall Manager untuk kebijakan mereka. Untuk informasi lebih lanjut, lihat [VPCs dan subnet](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-subnet-basics) di *Panduan Pengguna Amazon VPC*.

Untuk kebijakan yang menggunakan model terdistribusi atau terpusat tempat Anda menentukan Availability Zones Firewall Manager mana yang membuat titik akhir firewall, Firewall Manager membuat titik akhir di Availability Zone tertentu terlepas dari apakah ada sumber daya lain di Availability Zone.

Saat pertama kali menentukan kebijakan Network Firewall, Anda menentukan cara Firewall Manager mengelola subnet firewall di masing-masing subnet VPCs yang berada dalam lingkup. Anda tidak dapat mengubah pilihan ini nanti.

Untuk kebijakan yang menggunakan model penerapan terdistribusi dengan konfigurasi titik akhir otomatis, Anda dapat memilih di antara opsi berikut:
+ Menerapkan subnet firewall untuk setiap Availability Zone yang memiliki subnet publik. Ini adalah perilaku default. Ini memberikan ketersediaan tinggi perlindungan penyaringan lalu lintas Anda. 
+ Menyebarkan subnet firewall tunggal dalam satu Availability Zone. Dengan pilihan ini, Firewall Manager mengidentifikasi zona di VPC yang memiliki subnet publik paling banyak dan membuat subnet firewall di sana. Titik akhir firewall tunggal menyaring semua lalu lintas jaringan untuk VPC. Ini dapat mengurangi biaya firewall, tetapi tidak terlalu tersedia dan memerlukan lalu lintas dari zona lain untuk melintasi batas zona agar dapat disaring. 

Untuk kebijakan yang menggunakan model penerapan terdistribusi dengan konfigurasi titik akhir kustom atau model penerapan terpusat, Firewall Manager membuat subnet di Availability Zone tertentu yang berada dalam cakupan kebijakan.

Anda dapat menyediakan blok CIDR VPC untuk Firewall Manager untuk digunakan untuk subnet firewall atau Anda dapat meninggalkan pilihan alamat endpoint firewall hingga Firewall Manager untuk menentukan. 
+ Jika Anda tidak memberikan blok CIDR, Firewall Manager menanyakan alamat IP yang tersedia VPCs untuk digunakan. 
+ Jika Anda memberikan daftar blok CIDR, Firewall Manager mencari subnet baru hanya di blok CIDR yang Anda berikan. Anda harus menggunakan blok /28 CIDR. Untuk setiap subnet firewall yang dibuat oleh Firewall Manager, ia berjalan di daftar blok CIDR Anda dan menggunakan yang pertama yang ditemukan yang berlaku untuk Availability Zone dan VPC dan memiliki alamat yang tersedia. Jika Firewall Manager tidak dapat menemukan ruang terbuka di VPC (dengan atau tanpa batasan), layanan tidak akan membuat firewall di VPC.

Jika Firewall Manager tidak dapat membuat subnet firewall yang diperlukan di Availability Zone, itu menandai subnet sebagai tidak sesuai dengan kebijakan. Sementara zona dalam keadaan ini, lalu lintas untuk zona harus melintasi batas zona untuk disaring oleh titik akhir di zona lain. Ini mirip dengan skenario subnet firewall tunggal. 

# Bagaimana Firewall Manager mengelola sumber daya Network Firewall
<a name="fms-manage-network-firewall"></a>

Bagian ini menjelaskan cara Anda mengelola sumber daya Network Firewall di Firewall Manager.

Saat Anda menentukan kebijakan di Firewall Manager, Anda memberikan perilaku pemfilteran lalu lintas jaringan dari kebijakan AWS Network Firewall firewall standar. Anda menambahkan grup aturan Network Firewall stateless dan stateful dan menentukan tindakan default untuk paket yang tidak cocok dengan aturan stateless. Untuk informasi tentang cara bekerja dengan kebijakan firewall AWS Network Firewall, lihat [kebijakan AWS Network Firewall firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html).

Untuk kebijakan terdistribusi dan terpusat, saat Anda menyimpan kebijakan Network Firewall, Firewall Manager membuat kebijakan firewall dan firewall di setiap VPC yang berada dalam cakupan kebijakan. Firewall Manager menamai sumber daya Network Firewall ini dengan menggabungkan nilai-nilai berikut: 
+ String tetap, baik `FMManagedNetworkFirewall` atau`FMManagedNetworkFirewallPolicy`, tergantung pada jenis sumber daya.
+ Nama kebijakan Firewall Manager. Ini adalah nama yang Anda tetapkan saat membuat kebijakan.
+ ID kebijakan Manajer Firewall. Ini adalah ID AWS sumber daya untuk kebijakan Firewall Manager.
+ ID VPC Amazon. Ini adalah ID AWS sumber daya untuk VPC tempat Firewall Manager membuat kebijakan firewall dan firewall.

Berikut ini menunjukkan contoh nama untuk firewall yang dikelola oleh Firewall Manager:

```
FMManagedNetworkFirewallEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId
```

Berikut ini menunjukkan contoh nama kebijakan firewall:

```
FMManagedNetworkFirewallPolicyEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId
```

Setelah Anda membuat kebijakan, akun anggota tidak VPCs dapat mengganti setelan kebijakan firewall atau grup aturan Anda, tetapi akun tersebut dapat menambahkan grup aturan ke kebijakan firewall yang telah dibuat oleh Manajer Firewall.

# Cara Firewall Manager mengelola dan memantau tabel rute VPC untuk kebijakan Anda
<a name="fms-manage-vpc-route-tables"></a>

Bagian ini menjelaskan bagaimana Firewall Manager mengelola dan memantau tabel rute VPC Anda.

**catatan**  
Manajemen tabel rute saat ini tidak didukung untuk kebijakan yang menggunakan model penerapan terpusat.

Ketika Firewall Manager membuat endpoint firewall Anda, itu juga membuat tabel rute VPC untuk mereka. Namun, Firewall Manager tidak mengelola tabel rute VPC Anda. Anda harus mengonfigurasi tabel rute VPC Anda untuk mengarahkan lalu lintas jaringan ke titik akhir firewall yang dibuat oleh Firewall Manager. Menggunakan penyempurnaan perutean masuk Amazon VPC, ubah tabel perutean Anda untuk merutekan lalu lintas melalui titik akhir firewall baru. Perubahan Anda harus menyisipkan titik akhir firewall di antara subnet yang ingin Anda lindungi dan lokasi luar. Perutean yang tepat yang perlu Anda lakukan tergantung pada arsitektur Anda dan komponennya.

Saat ini, Firewall Manager memungkinkan pemantauan rute tabel rute VPC Anda untuk setiap lalu lintas yang ditujukan ke gateway internet, yang melewati firewall. Firewall Manager tidak mendukung gateway target lain seperti gateway NAT.

Untuk informasi tentang mengelola tabel rute untuk VPC Anda, lihat [Mengelola tabel rute untuk VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html) Anda di Panduan Pengguna *Amazon Virtual Private Cloud*. Untuk informasi tentang mengelola tabel rute untuk Network Firewall, lihat [Konfigurasi tabel rute untuk AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/route-tables.html) *Panduan AWS Network Firewall Pengembang*.

Saat Anda mengaktifkan pemantauan kebijakan, Firewall Manager terus memantau konfigurasi rute VPC dan memberi tahu Anda tentang lalu lintas yang melewati pemeriksaan firewall untuk VPC tersebut. Jika subnet memiliki rute endpoint firewall, Firewall Manager mencari rute berikut:
+ Rute untuk mengirim lalu lintas ke titik akhir Network Firewall. 
+ Rute untuk meneruskan lalu lintas dari titik akhir Network Firewall ke gateway internet. 
+ Rute masuk dari gateway internet ke titik akhir Network Firewall. 
+ Rute dari subnet firewall.

Jika subnet memiliki rute Network Firewall tetapi ada routing asimetris di Network Firewall dan tabel rute gateway internet Anda, Firewall Manager melaporkan subnet sebagai tidak sesuai. Firewall Manager juga mendeteksi rute ke gateway internet di tabel rute firewall yang dibuat oleh Firewall Manager, serta tabel rute untuk subnet Anda, dan melaporkannya sebagai tidak sesuai. Rute tambahan dalam tabel rute subnet Network Firewall dan tabel rute gateway internet Anda juga dilaporkan sebagai tidak sesuai. Bergantung pada jenis pelanggaran, Firewall Manager menyarankan tindakan remediasi untuk membawa konfigurasi rute ke kepatuhan. Firewall Manager tidak menawarkan saran dalam semua kasus. Misalnya, jika subnet pelanggan Anda memiliki titik akhir firewall yang dibuat di luar Firewall Manager, Firewall Manager tidak menyarankan tindakan remediasi. 

Secara default, Firewall Manager akan menandai setiap lalu lintas yang melintasi batas Availability Zone untuk inspeksi sebagai tidak sesuai. Namun, jika Anda memilih untuk secara otomatis membuat satu titik akhir di VPC Anda, Firewall Manager tidak akan menandai lalu lintas yang melintasi batas Availability Zone sebagai tidak sesuai.

Untuk kebijakan yang menggunakan model penerapan terdistribusi dengan konfigurasi titik akhir kustom, Anda dapat memilih apakah lalu lintas yang melintasi batas Availability Zone dari Availability Zone tanpa titik akhir firewall ditandai sebagai sesuai atau tidak sesuai.

**catatan**  
Firewall Manager tidak menyarankan tindakan remediasi untuk IPv4 non-rute, seperti IPv6 dan rute daftar awalan.
Panggilan yang dilakukan menggunakan panggilan `DisassociateRouteTable` API dapat memakan waktu hingga 12 jam untuk mendeteksi.
Firewall Manager membuat tabel rute Network Firewall untuk subnet yang berisi titik akhir firewall. Firewall Manager mengasumsikan bahwa tabel rute ini hanya berisi gateway internet yang valid dan rute default VPC. Setiap rute tambahan atau tidak valid dalam tabel rute ini dianggap tidak sesuai.

Ketika Anda mengonfigurasi kebijakan Firewall Manager, jika Anda memilih mode **Monitor**, Firewall Manager memberikan rincian pelanggaran dan remediasi sumber daya tentang sumber daya Anda. Anda dapat menggunakan tindakan remediasi yang disarankan ini untuk memperbaiki masalah rute di tabel rute Anda. Jika Anda memilih mode **Mati**, Firewall Manager tidak memantau konten tabel rute untuk Anda. Dengan opsi ini, Anda mengelola sendiri tabel rute VPC Anda. Untuk informasi selengkapnya tentang pelanggaran sumber daya ini, lihat[Melihat informasi kepatuhan untuk suatu AWS Firewall Manager kebijakan](fms-compliance.md).

**Awas**  
Jika Anda memilih **Monitor** di bawah **konfigurasi AWS Network Firewall rute** saat membuat kebijakan, Anda tidak dapat menonaktifkannya untuk kebijakan tersebut. Namun, jika Anda memilih **Off**, Anda dapat mengaktifkannya nanti.

# Mengonfigurasi pencatatan untuk kebijakan AWS Network Firewall
<a name="nwfw-policies-logging-config"></a>

Bagian ini menjelaskan bagaimana Anda dapat mengaktifkan pencatatan terpusat untuk kebijakan Firewall Jaringan Anda untuk mendapatkan informasi terperinci tentang lalu lintas dalam organisasi Anda. Anda dapat memilih pencatatan aliran untuk menangkap arus lalu lintas jaringan, atau pencatatan peringatan untuk melaporkan lalu lintas yang cocok dengan aturan dengan tindakan aturan yang disetel ke `DROP` atau`ALERT`. Untuk informasi selengkapnya tentang AWS Network Firewall pencatatan, lihat [Mencatat lalu lintas jaringan dari AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html) *Panduan AWS Network Firewall Pengembang*. 

Anda mengirim log dari firewall Network Firewall kebijakan Anda ke bucket Amazon S3. Setelah Anda mengaktifkan logging, AWS Network Firewall kirimkan log untuk setiap Network Firewall yang dikonfigurasi dengan memperbarui pengaturan firewall untuk mengirimkan log ke bucket Amazon S3 pilihan Anda dengan awalan cadangan, AWS Firewall Manager . `<policy-name>-<policy-id>` 

**catatan**  
Awalan ini digunakan oleh Firewall Manager untuk menentukan apakah konfigurasi logging ditambahkan oleh Firewall Manager, atau apakah itu ditambahkan oleh pemilik akun. Jika pemilik akun mencoba menggunakan awalan cadangan untuk pencatatan kustom mereka sendiri, itu akan ditimpa oleh konfigurasi logging dalam kebijakan Firewall Manager. 

Untuk informasi selengkapnya tentang cara membuat bucket Amazon S3 dan meninjau log yang disimpan, lihat [Apa itu Amazon S3?](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*. 

Untuk mengaktifkan pencatatan, Anda harus memenuhi persyaratan berikut:
+ Amazon S3 yang Anda tentukan dalam kebijakan Firewall Manager Anda harus ada.
+ Anda harus memiliki izin berikut:
  + `logs:CreateLogDelivery`
  + `s3:GetBucketPolicy`
  + `s3:PutBucketPolicy`
+ Jika bucket Amazon S3 yang merupakan tujuan pencatatan Anda menggunakan enkripsi sisi server dengan kunci yang disimpan AWS Key Management Service, Anda harus menambahkan kebijakan berikut ke AWS KMS kunci yang dikelola pelanggan agar Firewall Manager masuk ke grup log Log Anda: CloudWatch 

  ```
  {
      "Effect": "Allow",
      "Principal": {
          "Service": "delivery.logs.amazonaws.com"
      },
      "Action": [
          "kms:Encrypt*",
          "kms:Decrypt*",
          "kms:ReEncrypt*",
          "kms:GenerateDataKey*",
          "kms:Describe*"
      ],
      "Resource": "*"
  }
  ```

Perhatikan bahwa hanya bucket di akun administrator Firewall Manager yang dapat digunakan untuk logging AWS Network Firewall pusat. 

Saat Anda mengaktifkan logging terpusat pada kebijakan Network Firewall, Firewall Manager mengambil tindakan ini di akun Anda: 
+ Firewall Manager memperbarui izin pada bucket S3 yang dipilih untuk memungkinkan pengiriman log. 
+ Firewall Manager membuat direktori di bucket S3 untuk setiap akun anggota dalam lingkup kebijakan. Log untuk setiap akun dapat ditemukan di`<bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id>`. 

**Untuk mengaktifkan logging untuk kebijakan Network Firewall**

1. Buat bucket Amazon S3 menggunakan akun administrator Firewall Manager Anda. Untuk informasi selengkapnya, lihat [Membuat bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html) di *Panduan Pengguna Layanan Penyimpanan Sederhana Amazon*.

1. Masuk ke akun administrator Konsol Manajemen AWS menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager di[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).
**catatan**  
Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).

1. Di panel navigasi, pilih **Kebijakan Keamanan**.

1. Pilih kebijakan Network Firewall yang ingin Anda aktifkan untuk login. Untuk informasi selengkapnya tentang AWS Network Firewall pencatatan, lihat [Mencatat lalu lintas jaringan dari AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html) *Panduan AWS Network Firewall Pengembang*.

1. Pada tab **Detail kebijakan**, di bagian **Aturan kebijakan**, pilih **Edit**.

1. Untuk mengaktifkan dan menggabungkan log, pilih satu atau beberapa opsi di bawah **konfigurasi Logging**:
   + **Aktifkan dan agregat log aliran**
   + **Aktifkan dan agregat log peringatan**

1. Pilih bucket Amazon S3 tempat Anda ingin log Anda dikirimkan. Anda harus memilih bucket untuk setiap jenis log yang Anda aktifkan. Anda dapat menggunakan bucket yang sama untuk kedua jenis log.

1. (Opsional) Jika Anda ingin pencatatan yang dibuat akun anggota khusus diganti dengan konfigurasi logging kebijakan, pilih Ganti konfigurasi logging **yang ada**.

1. Pilih **Berikutnya**.

1. Tinjau setelan Anda, lalu pilih **Simpan** untuk menyimpan perubahan pada kebijakan.

**Untuk menonaktifkan logging untuk kebijakan Network Firewall**

1. Masuk ke akun administrator Konsol Manajemen AWS menggunakan Firewall Manager Anda, lalu buka konsol Firewall Manager di[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).
**catatan**  
Untuk informasi tentang menyiapkan akun administrator Firewall Manager, lihat[AWS Firewall Manager prasyarat](fms-prereq.md).

1. Di panel navigasi, pilih **Kebijakan Keamanan**.

1. Pilih kebijakan Network Firewall yang ingin Anda nonaktifkan logging.

1. Pada tab **Detail kebijakan**, di bagian **Aturan kebijakan**, pilih **Edit**.

1. Di bawah **Status konfigurasi Logging**, batalkan pilihan **Aktifkan dan agregat log aliran** serta **Aktifkan dan agregat log peringatan** jika dipilih.

1. Pilih **Berikutnya**.

1. Tinjau setelan Anda, lalu pilih **Simpan** untuk menyimpan perubahan pada kebijakan.

# Menggunakan kebijakan Amazon Route 53 Resolver DNS Firewall di Firewall Manager
<a name="dns-firewall-policies"></a>

*Halaman ini menjelaskan bagaimana Anda dapat menggunakan kebijakan AWS Firewall Manager DNS Firewall untuk mengelola asosiasi antara grup aturan Amazon Route 53 Resolver DNS Firewall dan Amazon Virtual Private Cloud *VPCs*di seluruh organisasi Anda.* AWS Organizations Anda dapat menerapkan grup aturan yang dikontrol secara terpusat ke seluruh organisasi Anda, atau ke subset tertentu dari akun Anda dan. VPCs 

DNS Firewall menyediakan penyaringan dan pengaturan lalu lintas DNS keluar untuk Anda. VPCs Anda membuat koleksi aturan pemfilteran yang dapat digunakan kembali di grup aturan DNS Firewall dan Anda mengaitkan grup aturan dengan grup aturan Anda. VPCs Saat menerapkan kebijakan Firewall Manager, untuk setiap akun dan VPC yang berada dalam cakupan kebijakan, Firewall Manager membuat asosiasi antara setiap grup aturan DNS Firewall dalam kebijakan dan setiap VPC yang berada dalam cakupan kebijakan, menggunakan pengaturan prioritas asosiasi yang Anda tentukan dalam kebijakan Manajer Firewall. 

Untuk informasi tentang menggunakan DNS Firewall, lihat [Amazon Route 53 Resolver DNS Firewall di](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html) Panduan Pengembang [Amazon Route](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html) 53.

Bagian berikut mencakup persyaratan untuk menggunakan kebijakan Firewall Manager DNS Firewall dan menjelaskan cara kerja kebijakan. Untuk prosedur pembuatan kebijakan, lihat[Membuat AWS Firewall Manager kebijakan untuk Amazon Route 53 Resolver DNS Firewall](create-policy.md#creating-firewall-manager-policy-for-dns-firewall). 

**penting**  
**Anda harus mengaktifkan berbagi sumber daya.** Kebijakan DNS Firewall membagikan grup aturan DNS Firewall di seluruh akun di organisasi Anda. Agar ini berfungsi, Anda harus mengaktifkan berbagi sumber daya AWS Organizations. Untuk informasi tentang cara mengaktifkan berbagi sumber daya, lihat[Berbagi sumber daya untuk kebijakan Network Firewall dan DNS Firewall](resource-sharing.md).

**penting**  
**Anda harus memiliki grup aturan DNS Firewall yang ditentukan.** Saat menentukan kebijakan DNS Firewall baru, Anda menentukan grup aturan sama seperti yang Anda lakukan saat menggunakan Amazon Route 53 Resolver DNS Firewall secara langsung. Grup aturan Anda harus sudah ada di akun administrator Manajer Firewall agar Anda dapat memasukkannya ke dalam kebijakan. Untuk informasi tentang membuat grup aturan DNS Firewall, lihat [Grup dan aturan DNS Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-groups.html).

**Anda menentukan asosiasi kelompok aturan prioritas terendah dan tertinggi**  
Asosiasi grup aturan DNS Firewall yang Anda kelola melalui kebijakan Firewall Manager DNS Firewall berisi asosiasi prioritas terendah dan asosiasi prioritas tertinggi untuk Anda. VPCs Dalam konfigurasi kebijakan Anda, ini muncul sebagai grup aturan pertama dan terakhir. 

DNS Firewall memfilter lalu lintas DNS untuk VPC dengan urutan sebagai berikut: 

1. Grup aturan pertama, yang ditentukan oleh Anda dalam kebijakan Firewall Manager DNS Firewall. Nilai yang valid adalah antara 1 dan 99.

1. Grup aturan DNS Firewall yang dikaitkan oleh manajer akun individu melalui DNS Firewall. 

1. Grup aturan terakhir, yang ditentukan oleh Anda dalam kebijakan Firewall Manager DNS Firewall. Nilai yang valid adalah antara 9.901 dan 10.000.

**Bagaimana Firewall Manager memberi nama asosiasi grup aturan yang dibuatnya**  
Saat Anda menyimpan kebijakan DNS Firewall, jika Anda mengaktifkan autoremediation, Firewall Manager akan membuat asosiasi DNS Firewall antara grup aturan yang Anda berikan dalam kebijakan dan VPCs yang ada dalam cakupan kebijakan. Firewall Manager menamai asosiasi ini dengan menggabungkan nilai-nilai berikut: 
+ String tetap,`FMManaged_`.
+ ID kebijakan Manajer Firewall. Ini adalah ID AWS sumber daya untuk kebijakan Firewall Manager.

Berikut ini menunjukkan contoh nama untuk firewall yang dikelola oleh Firewall Manager:

```
FMManaged_EXAMPLEDNSFirewallPolicyId
```

Setelah Anda membuat kebijakan, jika pemilik akun VPCs mengganti setelan kebijakan firewall atau asosiasi grup aturan Anda, maka Firewall Manager akan menandai kebijakan tersebut sebagai tidak patuh dan mencoba mengusulkan tindakan perbaikan. Pemilik akun dapat mengaitkan grup aturan DNS Firewall lainnya dengan VPCs yang berada dalam lingkup kebijakan DNS Firewall. Setiap asosiasi yang dibuat oleh pemilik akun individu harus memiliki pengaturan prioritas antara asosiasi grup aturan pertama dan terakhir Anda. 

# Menghapus grup aturan dari kebijakan Firewall Manager DNS Firewall
<a name="fms-delete-rule-group"></a>

**Menghapus grup aturann**  
Untuk menghapus grup aturan dari kebijakan Firewall Manager DNS Firewall, Anda harus melakukan langkah-langkah berikut:

**penting**  
Menghapus grup aturan dari kebijakan Firewall Manager DNS Firewall menghapus efeknya dari kebijakan VPCs yang diterapkan, terlepas dari apakah Anda juga menghapus grup aturan dari grup aturan DNS Firewall Anda. Menghapus grup aturan adalah tindakan permanen dan tidak dapat dibatalkan.

1. Hapus grup aturan dari kebijakan Firewall Manager DNS Firewall Anda.

1. Hapus berbagi grup aturan di AWS Resource Access Manager. Untuk membatalkan pembagian grup aturan yang Anda miliki, Anda harus menghapusnya dari pembagian sumber daya. Anda dapat melakukan ini menggunakan AWS RAM konsol atau AWS CLI. Untuk informasi tentang membatalkan pembagian sumber daya, lihat [Memperbarui bagian sumber daya AWS RAM di](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html) *Panduan AWS RAM Pengguna*.

1. Hapus grup aturan menggunakan konsol DNS Firewall atau AWS CLI.

# Menggunakan kebijakan Palo Alto Networks Cloud NGFW untuk Firewall Manager
<a name="cloud-ngfw-policies"></a>

Palo Alto Networks Cloud Next Generation Firewall (NGFW) adalah layanan firewall pihak ketiga yang dapat Anda gunakan untuk kebijakan Anda. AWS Firewall Manager Dengan Palo Alto Networks Cloud NGFW for Firewall Manager, Anda dapat membuat dan menyebarkan sumber daya dan aturan Palo Alto Networks Cloud NGFW secara terpusat di semua akun Anda. AWS 

Untuk menggunakan Palo Alto Networks Cloud NGFW dengan Firewall Manager, pertama-tama Anda berlangganan layanan [Palo Alto Networks Cloud NGFW](https://aws.amazon.com/marketplace/pp/prodview-nkug66dl4df4i) Pay-As-You-Go di Marketplace. AWS Setelah berlangganan, Anda melakukan serangkaian langkah di layanan Palo Alto Networks Cloud NGFW untuk mengonfigurasi akun Anda dan pengaturan Cloud NGFW. Kemudian, Anda membuat kebijakan Firewall Manager Cloud FMS untuk menyebarkan dan mengelola sumber daya dan aturan Palo Alto Networks Cloud NGFW secara terpusat di semua akun di Organizations Anda. AWS 

Untuk prosedur pembuatan kebijakan Firewall Manager, lihat[Membuat AWS Firewall Manager kebijakan untuk Palo Alto Networks Cloud NGFW](create-policy.md#creating-cloud-ngfw-policy). Untuk informasi tentang cara mengkonfigurasi dan mengelola Palo Alto Networks Cloud NGFW untuk Firewall Manager, lihat Palo Alto Networks *[Palo Alto Networks Cloud NGFW pada dokumentasi](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)*. AWS Untuk AWS Wilayah yang didukung, lihat *[Cloud NGFW untuk Wilayah dan Zona AWS yang Didukung](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)*.

# Menggunakan Fortigate Cloud Native Firewall (CNF) sebagai kebijakan Layanan untuk Firewall Manager
<a name="fortigate-cnf-policies"></a>

Fortigate Cloud Native Firewall (CNF) sebagai Layanan adalah layanan firewall pihak ketiga yang dapat Anda gunakan untuk kebijakan Anda. AWS Firewall Manager Fortigate CNF adalah layanan firewall generasi berikutnya yang memudahkan Anda untuk melindungi jaringan cloud Anda dan mengelola kebijakan keamanan Anda. Dengan Fortigate CNF for Firewall Manager, Anda dapat membuat dan menyebarkan sumber daya dan kumpulan kebijakan Fortigate CNF secara terpusat di semua akun Anda. AWS 

Untuk menggunakan Fortigate CNF dengan Firewall Manager, pertama-tama Anda berlangganan [Fortigate Cloud Native Firewall (CNF) sebagai](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i) Layanan di Marketplace. AWS Setelah berlangganan, Anda melakukan serangkaian langkah di layanan Fortigate CNF untuk mengonfigurasi kumpulan kebijakan global Anda dan pengaturan lainnya. Kemudian, Anda membuat kebijakan Firewall Manager untuk menyebarkan dan mengelola sumber daya CNF Fortigate secara terpusat di semua akun di Organizations Anda. AWS 

Untuk prosedur pembuatan kebijakan Fortigate CNF Firewall Manager, lihat. [Membuat AWS Firewall Manager kebijakan untuk Fortigate Cloud Native Firewall (CNF) sebagai Layanan](create-policy.md#creating-fortigate-cnf-policy) Untuk informasi tentang cara mengkonfigurasi dan mengelola Fortigate CNF untuk digunakan dengan Firewall Manager, lihat dokumentasi [Fortigate]( https://docs.fortinet.com/product/fortigate-cnf) CNF.

# Berbagi sumber daya untuk kebijakan Network Firewall dan DNS Firewall
<a name="resource-sharing"></a>

Untuk mengelola kebijakan Firewall Manager Network Firewall dan DNS Firewall, Anda harus mengaktifkan berbagi sumber daya dengan AWS Organizations in AWS Resource Access Manager. Ini memungkinkan Firewall Manager untuk menerapkan perlindungan di seluruh akun Anda saat Anda membuat jenis kebijakan ini.

Untuk mengaktifkan berbagi sumber daya, ikuti petunjuk di [Aktifkan Berbagi dengan AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) di *Panduan AWS Resource Access Manager Pengguna*. 

**Masalah dengan berbagi sumber daya**  
Anda mungkin mengalami masalah dengan berbagi sumber daya, baik saat Anda menggunakannya AWS RAM untuk mengaktifkannya, atau saat Anda mengerjakan kebijakan Firewall Manager yang memerlukannya. 

Contoh masalah ini meliputi: 
+ Saat Anda mengikuti petunjuk untuk mengaktifkan berbagi, di AWS RAM konsol, pilihan **Aktifkan berbagi dengan AWS Organizations** berwarna abu-abu dan tidak tersedia untuk dipilih.
+ Saat Anda bekerja di Firewall Manager pada kebijakan yang memerlukan pembagian sumber daya, kebijakan tersebut ditandai sebagai tidak sesuai dan Anda melihat pesan yang menunjukkan bahwa berbagi sumber daya atau AWS RAM tidak diaktifkan. 

Jika Anda mengalami masalah dengan berbagi sumber daya, gunakan prosedur berikut untuk mencoba mengaktifkannya. 

**Coba lagi untuk mengaktifkan berbagi sumber daya**
+ Coba lagi untuk mengaktifkan berbagi menggunakan salah satu opsi berikut: 
  + (Opsi) Melalui AWS RAM konsol, ikuti petunjuk di [Aktifkan Berbagi dengan AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs) di *Panduan AWS Resource Access Manager Pengguna*.
  + (Opsi) Menggunakan AWS RAM API, panggil`EnableSharingWithAwsOrganization`. Lihat dokumentasi di [EnableSharingWithAwsOrganization](https://docs.aws.amazon.com/ram/latest/APIReference/API_EnableSharingWithAwsOrganization.html).