**Ti presentiamo una nuova esperienza di console per AWS WAF**
Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Impostazione AWS Firewall Manager AWS Shield Advanced delle politiche
Puoi utilizzarlo AWS Firewall Manager per abilitare AWS Shield Advanced le protezioni in tutta l'organizzazione.
**Importante**
Firewall Manager non supporta Amazon Route 53 o AWS Global Accelerator. Se devi proteggere queste risorse con Shield Advanced, non puoi utilizzare una policy Firewall Manager. Seguire invece le istruzioni in [Aggiungere AWS Shield Advanced protezione alle AWS risorse](configure-new-protection.md).
Per utilizzare Firewall Manager per abilitare la protezione Shield Advanced, esegui i seguenti passaggi in sequenza.
**Topics**
+ [Fase 1: Completamento dei prerequisiti](#complete-prereq-fms-shield)
+ [Fase 2: Creazione e applicazione di una policy Shield Advanced](#get-started-fms-shield-create-security-policy)
+ [Fase 3: (Facoltativo) Autorizzazione dello Shield Response Team (SRT)](#get-started-fms-shield-authorize-srt)
+ [Fase 4: Configurazione delle notifiche e degli allarmi Amazon SNS CloudWatch](#get-started-fms-shield-cloudwatch)
## Fase 1: Completamento dei prerequisiti
Vi sono diversi passaggi obbligatori per preparare l'account AWS Firewall Manager. Tali fasi sono descritte nell'articolo [AWS Firewall Manager prerequisiti](fms-prereq.md). Completare tutti i prerequisiti prima di passare a [Fase 2: Creazione e applicazione di una policy Shield Advanced](#get-started-fms-shield-create-security-policy).
## Fase 2: Creazione e applicazione di una policy Shield Advanced
Dopo aver completato i prerequisiti, crei una politica AWS Firewall Manager Shield Advanced. Una policy Firewall Manager Shield Advanced contiene gli account e le risorse che desideri proteggere con Shield Advanced.
**Importante**
Firewall Manager non supporta Amazon Route 53 o AWS Global Accelerator. Se devi proteggere queste risorse con Shield Advanced, non puoi utilizzare una policy Firewall Manager. Seguire invece le istruzioni in [Aggiungere AWS Shield Advanced protezione alle AWS risorse](configure-new-protection.md).
**Per creare una policy Firewall Manager Shield Advanced (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel riquadro di navigazione, scegliere **Security policies (Policy di sicurezza)**.
1. Scegli **Crea policy**.
1. Per **Tipo di policy**, scegli **Shield Advanced**.
Per creare una policy Shield Advanced, l'account amministratore di Firewall Manager deve essere abbonato a Shield Advanced. Se non si è iscritti, viene richiesto di farlo. [Per informazioni sul costo dell'abbonamento, consulta AWS Shield Advanced la sezione Prezzi.](https://aws.amazon.com/shield/pricing/)
**Nota**
Non è necessario sottoscrivere manualmente ogni account membro a Shield Advanced. Firewall Manager esegue questa operazione automaticamente al momento della creazione della policy. Ogni account deve rimanere abbonato a Firewall Manager e Shield Advanced per continuare a proteggere le risorse dell'account.
1. Per **Regione**, scegli un Regione AWS. Per proteggere CloudFront le risorse di Amazon, scegli **Global**.
Per proteggere le risorse in più regioni (diverse dalle CloudFront risorse), è necessario creare policy Firewall Manager separate per ogni regione.
1. Scegli **Next (Successivo)**.
1. Per **Nome**, inserisci un nome descrittivo.
1. (Solo regione globale) Per le politiche della regione **globale**, puoi scegliere se gestire la mitigazione automatica del livello di applicazione DDo S di Shield Advanced. Per questo tutorial, lascia questa scelta all'impostazione predefinita di **Ignora**.
1. Per **l'azione politica**, scegli l'opzione che non corregge automaticamente.
1. Scegli **Next (Successivo)**.
1. **Account AWS questa politica si applica** e consente di restringere l'ambito della politica specificando gli account da includere o escludere. Per questa esercitazione, scegliere **Includi tutti gli account nell'organizzazione.**
1. Scegliere i tipi di risorse da proteggere.
Firewall Manager non supporta Amazon Route 53 o AWS Global Accelerator. Se devi proteggere queste risorse con Shield Advanced, non puoi utilizzare una policy Firewall Manager. Segui invece la guida Shield Advanced all'indirizzo[Aggiungere AWS Shield Advanced protezione alle AWS risorse](configure-new-protection.md).
1. Per **quanto riguarda le risorse**, puoi restringere l'ambito della politica utilizzando i tag, includendo o escludendo le risorse con i tag specificati. È possibile utilizzare l'inclusione o l'esclusione e non entrambe. Per ulteriori informazioni sui tag per definire l'ambito delle politiche, vedere[Utilizzo dell'ambito AWS Firewall Manager della politica](policy-scope.md).
I tag di risorsa possono avere solo valori non nulli. Se si omette il valore di un tag, Firewall Manager salva il tag con un valore di stringa vuoto: «». I tag delle risorse corrispondono solo ai tag che hanno la stessa chiave e lo stesso valore.
1. Scegli **Next (Successivo)**.
1. Per i **tag Policy**, aggiungi i tag identificativi che desideri aggiungere alla risorsa relativa alle policy di Firewall Manager. Per ulteriori informazioni, consultare l'articolo relativo all'[utilizzo di Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html) .
1. Scegli **Next (Successivo)**.
1. Rivedi le nuove impostazioni delle politiche e torna alle pagine in cui è necessario apportare eventuali modifiche.
Verificare che **le azioni dei criteri** siano impostate su **Identificare le risorse che non sono conformi alle regole dei criteri, ma che non vengano corrette automaticamente.** Ciò ti consente di esaminare le modifiche che la tua politica apporterebbe prima di abilitarle.
1. Al termine, scegliere **Create policy (Crea policy)**.
Nel riquadro delle **AWS Firewall Manager politiche**, la tua politica dovrebbe essere elencata. Probabilmente indicherà **In sospeso** sotto le intestazioni degli account e indicherà lo stato dell'impostazione di **riparazione automatica**. La creazione di una politica può richiedere diversi minuti. Dopo aver sostituito lo stato **In sospeso** con il conteggio degli account, è possibile scegliere il nome del criterio per esplorare lo stato di conformità degli account e delle risorse. Per informazioni, consultare, [Visualizzazione delle informazioni sulla conformità per una AWS Firewall Manager politica](fms-compliance.md)
Continua su [Fase 3: (Facoltativo) Autorizzazione dello Shield Response Team (SRT)](#get-started-fms-shield-authorize-srt).
## Fase 3: (Facoltativo) Autorizzazione dello Shield Response Team (SRT)
Uno dei vantaggi di AWS Shield Advanced è il supporto dello Shield Response Team (SRT). Quando subisci un potenziale attacco DDo S, puoi contattare il [Supporto AWS Centro](https://console.aws.amazon.com/support/home#/). Se necessario, il Support Center inoltra il problema all'SRT. L'SRT ti aiuta ad analizzare le attività sospette e ti aiuta a mitigare il problema. Questa mitigazione spesso comporta la creazione o l'aggiornamento di AWS WAF regole e web nel tuo account. ACLs L'SRT può controllare la tua AWS WAF configurazione e creare o aggiornare AWS WAF regole e web ACLs per te, ma il team ha bisogno della tua autorizzazione per farlo. Come parte della configurazione AWS Shield Advanced, ti consigliamo di fornire in modo proattivo all'SRT l'autorizzazione necessaria. Concedere in anticipo l'autorizzazione consente di evitare ritardi relativi alla mitigazione in caso di attacco imminente.
Autorizzi e contatti l'SRT a livello di account. Cioè, il proprietario dell'account, non l'amministratore di Firewall Manager, deve eseguire i seguenti passaggi per autorizzare l'SRT a mitigare i potenziali attacchi. L'amministratore di Firewall Manager può autorizzare l'SRT solo per gli account di sua proprietà. Allo stesso modo, solo il proprietario dell'account può contattare l'SRT per ricevere assistenza.
**Nota**
Per utilizzare i servizi dell'SRT, è necessario essere abbonati al piano Business [Support o al piano Enterprise](https://aws.amazon.com/premiumsupport/business-support/) [Support](https://aws.amazon.com/premiumsupport/enterprise-support/).
Per autorizzare l'SRT a mitigare i potenziali attacchi per tuo conto, segui le istruzioni riportate in. [Risposta DDo agli eventi S gestita con supporto Shield Response Team (SRT)](ddos-srt-support.md) Puoi modificare l'accesso e le autorizzazioni SRT in qualsiasi momento seguendo la stessa procedura.
Continua su [Fase 4: Configurazione delle notifiche e degli allarmi Amazon SNS CloudWatch](#get-started-fms-shield-cloudwatch).
## Fase 4: Configurazione delle notifiche e degli allarmi Amazon SNS CloudWatch
Puoi continuare da questo passaggio senza configurare le notifiche CloudWatch o gli allarmi di Amazon SNS. Tuttavia, la configurazione di questi allarmi e notifiche aumenta in modo significativo la visibilità sui possibili eventi S. DDo
Puoi monitorare le tue risorse protette per potenziali attività DDo S utilizzando Amazon SNS. Per ricevere notifiche di possibili attacchi, crea un argomento Amazon SNS per ogni regione.
**Importante**
Le notifiche di Amazon SNS relative a potenziali attività DDo S non vengono inviate in tempo reale e possono subire ritardi. Inoltre, se si supera la quota di 1.000 risorse protette di Shield Advanced per ogni tipo di risorsa e per ogni account, i vincoli prestazionali di Firewall Manager potrebbero impedire completamente la corretta consegna delle notifiche di attacco DDo S. Per ulteriori informazioni, consulta [AWS Shield Advanced quote](shield-limits.md).
Per abilitare le notifiche in tempo reale della potenziale attività DDo S, puoi utilizzare un CloudWatch allarme. L'allarme deve essere basato sulla `DDoSDetected` metrica dell'account in cui esiste la risorsa protetta.
**Per creare un argomento Amazon SNS in Firewall Manager (console)**
1. Accedi Console di gestione AWS utilizzando il tuo account amministratore di Firewall Manager, quindi apri la console Firewall Manager all'indirizzo[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
**Nota**
Per ulteriori informazioni sulla configurazione di un account amministratore di Firewall Manager, consultare [AWS Firewall Manager prerequisiti](fms-prereq.md).
1. Nel pannello di navigazione, sotto **AWS FMS**, scegli **Impostazioni**.
1. Scegli **Create new topic** (Crea nuovo argomento).
1. Inserisci un nome dell'argomento.
1. Inserisci un indirizzo e-mail a cui verranno inviati i messaggi Amazon SNS, quindi scegli **Aggiungi indirizzo e-mail**.
1. Selezionare **Update SNS configuration (Aggiorna configurazione SNS)**.
### Configurazione degli allarmi Amazon CloudWatch
Shield Advanced consente il rilevamento, la mitigazione e le metriche dei principali contributori in modo CloudWatch che sia possibile monitorare. Per ulteriori informazioni, consulta. [AWS Shield Advanced metriche](shield-metrics.md) CloudWatch comporta costi aggiuntivi. Per CloudWatch i prezzi, consulta la pagina [ CloudWatch dei prezzi di Amazon](https://aws.amazon.com/cloudwatch/pricing/).
Per creare un CloudWatch allarme, segui le istruzioni in [Uso di Amazon CloudWatch Alarms](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html). Per impostazione predefinita, Shield Advanced si configura CloudWatch per avvisare l'utente dopo un solo indicatore di un potenziale evento DDo S. Se necessario, è possibile utilizzare la console CloudWatch per modificare questa impostazione affinché venga inviato un avviso solo dopo che vengono rilevati più indicatori.
**Nota**
Oltre agli allarmi, puoi anche utilizzare una CloudWatch dashboard per monitorare la potenziale attività DDo S. La dashboard raccoglie ed elabora i dati grezzi di Shield Advanced in metriche leggibili e quasi in tempo reale. Puoi utilizzare le statistiche in Amazon CloudWatch per avere una prospettiva sulle prestazioni della tua applicazione o del tuo servizio web. Per ulteriori informazioni, consulta [Cosa c'è CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) nella *Amazon CloudWatch User Guide*.
Per istruzioni sulla creazione di una CloudWatch dashboard, consulta[Monitoraggio con Amazon CloudWatch](monitoring-cloudwatch.md). Per informazioni su metriche specifiche di Shield Advanced che puoi aggiungere alla dashboard, consulta[AWS Shield Advanced metriche](shield-metrics.md).
Una volta completata la configurazione di Shield Advanced, acquisisci familiarità con le opzioni disponibili per la visualizzazione degli eventi su. [Visibilità sugli eventi DDo S con Shield Advanced](ddos-viewing-events.md)