**Ti presentiamo una nuova esperienza di console per AWS WAF**

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Tutorial: Creazione di una AWS Firewall Manager politica con regole gerarchiche
<a name="hierarchical-rules"></a>

**avvertimento**  
AWS WAF La versione classica è che sta attraversando un processo pianificato end-of-life. Consulta la AWS Health dashboard per le tappe fondamentali e le date specifiche della tua regione.

**Nota**  
Questa è la documentazione **AWS WAF classica**. Dovresti usare questa versione solo se hai creato AWS WAF risorse, come regole e web ACLs, AWS WAF prima di novembre 2019 e non le hai ancora migrate alla versione più recente. Per migrare il tuo sito web ACLs, consulta. [Migrazione delle risorse AWS WAF Classic a AWS WAF](waf-migrating-from-classic.md)  
**Per la versione più recente di AWS WAF**, vedi[AWS WAF](waf-chapter.md). 

Con AWS Firewall Manager, è possibile creare e applicare politiche di protezione AWS WAF classiche che contengono regole gerarchiche. In altre parole, è possibile creare e applicare determinate regole in modo centralizzato, ma delegare la creazione e la gestione di regole specifiche per account ad altri individui. È possibile monitorare le regole (comuni) applicate in modo centralizzato per rilevare eventuali rimozioni o manomissioni accidentali in modo da accertarsi che vengano applicate costantemente. Le regole specifiche per account aggiungono un'ulteriore protezione personalizzata per le esigenze dei singoli team.

**Nota**  
Nell'ultima versione di AWS WAF, questa funzionalità è integrata e non richiede alcuna gestione speciale. Se non stai già utilizzando AWS WAF Classic, utilizza invece la versione più recente. Per informazioni, consulta [Creazione di una AWS Firewall Manager politica per AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).

Il seguente tutorial descrive come creare un set di regole di protezione gerarchiche. 

**Topics**
+ [Fase 1: Designare un account amministratore di Firewall Manager](#hierarchical-rules-set-firewall-administrator)
+ [Passaggio 2: creare un gruppo di regole utilizzando l'account amministratore di Firewall Manager](#hierarchical-rules-create-a-rule-group)
+ [Fase 3: Creare una policy di Firewall Manager e allegare il gruppo di regole comune](#hierarchical-rules-create-policy)
+ [Fase 4: aggiunta di regole specifiche per account](#hierarchical-rules-add-account-specific-rules)
+ [Conclusioni](#hierarchical-rules-conclusion)

## Fase 1: Designare un account amministratore di Firewall Manager
<a name="hierarchical-rules-set-firewall-administrator"></a>

Per utilizzarlo AWS Firewall Manager, è necessario designare un account dell'organizzazione come account amministratore di Firewall Manager. Questo account può essere l'account di gestione o un account membro dell'organizzazione. 

È possibile utilizzare l'account amministratore di Firewall Manager per creare un set di regole comuni da applicare ad altri account dell'organizzazione. Gli altri account dell'organizzazione non possono modificare queste regole applicate in modo centralizzato.

Per designare un account come account amministratore di Firewall Manager e completare altri prerequisiti per l'utilizzo di Firewall Manager, vedere le istruzioni riportate in. [AWS Firewall Manager prerequisiti](fms-prereq.md) Se i prerequisiti sono già stati completati, è possibile passare alla fase 2 di questo tutorial. 

In questo tutorial ci si riferisce all'account amministratore come **Firewall-Administrator-Account**.

## Passaggio 2: creare un gruppo di regole utilizzando l'account amministratore di Firewall Manager
<a name="hierarchical-rules-create-a-rule-group"></a>

Quindi, creare un gruppo di regole utilizzando **Firewall-Administrator-Account**. Questo gruppo di regole contiene le regole comuni che si applicano a tutti gli account membri gestiti dalla policy creata nella fase successiva. Solo **Firewall-Administrator-Account** può modificare queste regole e il gruppo di regole contenitore.

In questo tutorial, ci si riferisce a questo gruppo di regole contenitore come **Common-Rule-Group**.

Per creare un gruppo di regole, consultare le istruzioni in [Creazione di un gruppo di regole AWS WAF classico](classic-create-rule-group.md). Ricordarsi di accedere alla console utilizzando l'account amministratore di Firewall Manager (**Firewall-Administrator-Account**) quando si seguono queste istruzioni.

## Fase 3: Creare una policy di Firewall Manager e allegare il gruppo di regole comune
<a name="hierarchical-rules-create-policy"></a>

Utilizzando**Firewall-Administrator-Account**, crea una policy Firewall Manager. Quando si crea questa policy, è necessario procedere come segue:
+ Aggiungere **Common-Rule-Group** alla nuova policy.
+ Includere tutti gli account dell'organizzazione a cui si desidera applicare **Common-Rule-Group**.
+ Aggiungere tutte le risorse a cui si desidera applicare **Common-Rule-Group**.

Per istruzioni sulla creazione di una policy, consultare [Creazione di una AWS Firewall Manager politica](create-policy.md).

In questo modo viene creato un ACL Web in ogni account specificato e viene aggiunto **Common-Rule-Group** a ciascuno di tali siti Web ACLs. Una volta creata la policy, questa ACL Web e le regole comuni vengono distribuite a tutti gli account specificati.

In questo tutorial, ci si riferisce a questa ACL Web come **Administrator-Created-ACL**. A questo punto esiste un'**Administrator-Created-ACL** univoca in ogni account membro specificato dell'organizzazione. 

## Fase 4: aggiunta di regole specifiche per account
<a name="hierarchical-rules-add-account-specific-rules"></a>

Ogni account membro dell'organizzazione ora può aggiungere le proprie regole specifiche per account all'**Administrator-Created-ACL** che esiste nel loro account. Le regole comuni già in vigore **Administrator-Created-ACL** continuano ad applicarsi, insieme alle nuove regole specifiche per gli account. AWS WAF esamina le richieste Web in base all'ordine in cui le regole vengono visualizzate nell'ACL Web. Ciò vale sia per l'**Administrator-Created-ACL** che per le regole specifiche per account.

Per aggiungere regole**Administrator-Created-ACL**, consulta. [Modifica di un pacchetto di protezione (ACL Web) in AWS WAF](web-acl-editing.md)

## Conclusioni
<a name="hierarchical-rules-conclusion"></a>

Ora è disponibile un ACL Web che contiene regole comuni amministrate dall'account amministratore di Firewall Manager e regole specifiche dell'account gestite da ciascun account membro.

L'**Administrator-Created-ACL** in ogni account fa riferimento al singolo **Common-Rule-Group**. Pertanto, le future modifiche apportate dall'account amministratore di Firewall Manager **Common-Rule-Group** avranno effetto immediato in ogni account membro.

Gli account membri non possono modificare o eliminare le regole comuni in **Common-Rule-Group**.

Le regole specifiche per account non influiscono su altri account.