Criar uma política do AWS Firewall Manager

Faça login no Console de gerenciamento da AWS usando a conta de administrador do Firewall Manager e abra o console do Firewall Manager em https://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall ManagerPré-requisitos do .

No painel de navegação, escolha Políticas de segurança.

Escolha Criar política.

Em Tipo de política, escolha AWS WAF.

Para Região, escolha uma Região da AWS. Para proteger distribuições do Amazon CloudFront, escolha Global.

Para proteger recursos em várias regiões (que não sejam distribuições do CloudFront), é necessário criar políticas do Firewall Manager separadas para cada região.

Escolha Próximo.

Em Nome da política, insira um nome descritivo. O Firewall Manager inclui o nome da política nos nomes das web ACLs que ele gerencia. Os nomes da web ACL têm FMManagedWebACLV2- seguido do nome da política que você insere aqui, -‬, e do timestamp da criação da web ACL, em milissegundos UTC. Por exemplo, FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

Para a inspeção do corpo da solicitação da web, altere opcionalmente o limite de tamanho do corpo. Para obter informações sobre os limites de tamanho da inspeção do corpo, incluindo considerações de preços, consulte Considerações para gerenciar inspeção de corpo no AWS WAF no Guia do desenvolvedor de AWS WAF.

Em Policy rules (Regras de política), adicione os grupos de regras que o AWS WAF deverá avaliar primeiro e por último na web ACL. Para usar o versionamento de grupos de regras gerenciados do AWS WAF, alterne para Habilitar versionamento. Os gerentes de contas individuais podem adicionar regras e grupos de regras entre os primeiros e os últimos grupos de regras. Para obter mais informações sobre o uso de grupos de regras do AWS WAF nas políticas do Firewall Manager para AWS WAF, consulte Como usar políticas do AWS WAF com o Firewall Manager.

(Opcional) Para personalizar como sua web ACL usa o grupo de regras, escolha Editar. A seguir, são mostradas as configurações de personalização comuns:

Ao concluir suas configurações, escolha Salvar regra.

Defina a ação padrão para a web ACL. Esta é a ação que o WAF da AWS executará quando uma solicitação da web não corresponder a nenhuma das regras na web ACL. Você pode adicionar cabeçalhos personalizados com a ação Permitir ou respostas personalizadas para a ação Bloquear. Para obter mais informações sobre ações padrão de ACL da web, consulte Definir a ação padrão do pacote de proteção (ACL da Web) no AWS WAF. Para obter informações sobre como configurar solicitações e respostas personalizadas da web, consulte Solicitações e respostas personalizadas da web no AWS WAF.

Em Configuração de registro em log, escolha Ativar registro em log para ativar o registro em log. O registro em log fornece informações detalhadas sobre o tráfego que é analisado pela sua web ACL. Escolha o Destino de registro em log e, em seguida, escolha o destino de registro em log que você configurou. Você deve escolher um destino de registro em log cujo nome comece com aws-waf-logs-. Para obter mais informações sobre como configurar um destino de registro de logs do AWS WAF, consulte Como usar políticas do AWS WAF com o Firewall Manager.

(Opcional) Se você não deseja que determinados campos e seus valores sejam incluídos nos logs, edite esses campos. Selecione o campo para editar e, em seguida, selecione Adicionar. Repita conforme necessário para editar campos adicionais. Os campos editados são exibidos como REDACTED nos logs. Por exemplo, se você editar o campo URI, o campo URI nos logs será REDACTED.

(Opcional) Se você não quiser enviar todas as solicitações para os logs, adicione seus critérios e comportamento de filtragem. Em Filtrar logs, para cada filtro que você deseja aplicar, escolha Adicionar filtro, escolha seus critérios de filtragem e especifique se deseja manter ou eliminar solicitações que correspondam aos critérios. Ao terminar de adicionar filtros, se necessário, modifique o Comportamento de registro de logs padrão. Para obter mais informações, consulte Encontrar os registros do pacote de proteção (ACL da Web) no Guia do desenvolvedor do AWS WAF.

Você pode definir uma Lista de domínios de tokens para permitir o compartilhamento de tokens entre aplicativos protegidos. Os tokens são usados pelas ações CAPTCHA e Challenge e pelos SDKs de integração de aplicativos que você implementa ao usar os grupos de regras das regras gerenciadas da AWS para prevenção contra apropriação de contas (ATP) do Controle de Fraudes do AWS WAF e Controle de bots do AWS WAF.

Não são permitidos sufixos públicos. Por exemplo, você não pode usar gov.au ou co.uk como um domínio de token.

Por padrão, AWS WAF só aceita tokens para o domínio do recurso protegido. Se você adicionar domínios de tokens a essa lista, o AWS WAF aceitará tokens para todos os domínios da lista e para o domínio do recurso associado. Para obter mais informações, consulte Configuração da lista de domínios de tokens do pacote de proteção (ACL da Web) no AWS WAF no Guia do desenvolvedor do AWS WAF.

Você só pode alterar o CAPTCHA da web ACL e desafiar os tempos de imunidade ao editar uma web ACL existente. Você pode encontrar essas configurações na página Detalhes da Política do Firewall Manager. Para obter informações sobre essas configurações, consulte Como configurar a expiração de timestamps e tempos de imunidade de token no AWS WAF. Se você atualizar as definições de Configuração de associação, CAPTCHA, Desafio ou Lista de domínios de tokens em uma política existente, o Firewall Manager substituirá as ACLs da Web locais pelos novos valores. Porém, se você não atualizar as definições de Configurações de associação, CAPTCHA, Desafio ou Lista de domínios de token da política, os valores nas ACLs da Web locais permanecerão inalterados. Para obter mais informações sobre esta opção, consulte CAPTCHA e Challenge em AWS WAF no Guia do desenvolvedor AWS WAF.

Em Gerenciamento de ACL da Web, escolha como o Firewall Manager gerencia a criação e limpeza da ACL da Web.

1. Em Gerenciar ACLs da Web não associadas, escolha se o Firewall Manager gerencia ACLs da Web não associadas. Com essa opção, o Firewall Manager cria ACLs da Web para contas dentro do escopo da política somente se as ACLs da Web forem usadas por pelo menos um recurso. Quando uma conta entrar no escopo da política, o Firewall Manager criará automaticamente uma ACL da Web na conta se pelo menos um recurso for usá-la.

   Ao ativar essa opção, o Firewall Manager executa uma limpeza única das ACLs da Web não associadas em sua conta. O processo de limpeza pode levar várias horas. Se um recurso deixar o escopo da política depois que o Firewall Manager criar uma ACL da Web, o Firewall Manager desassociará o recurso da ACL da Web, mas não limpará a ACL da Web não associada. O Firewall Manager só limpa ACLs da Web não associadas quando você habilita antes o gerenciamento de ACLs da Web não associadas na política.

2. Para a fonte de ACL da Web, especifique se deseja criar todas as novas ACLs da Web para recursos dentro do escopo ou se deseja modernizar as ACLs da Web existentes sempre que possível. O Firewall Manager pode adaptar as ACLs da Web que pertencem a contas dentro do escopo.

   O comportamento padrão é criar todas as novas ACLs da Web. Se você escolher essa opção, todas as ACLs da Web gerenciadas pelo Firewall Manager terão nomes que começam com FMManagedWebACLV2. Se você optar por modernizar as ACLs da Web existentes, as ACLs da Web adaptadas terão seus nomes originais e as criadas pelo Firewall Manager terão nomes que começam com FMManagedWebACLV2.

Em Ação da política, se quiser criar uma web ACL em cada conta aplicável na organização, mas ainda não aplicar a web ACL a nenhum recurso, escolha Identificar recursos que não estejam em conformidade com as regras de política, mas não corrigir automaticamente e não escolha Gerenciar web ACLs não associadas. É possível alterar essas opções mais tarde.

Se, em vez disso, quiser aplicar automaticamente a política aos recursos existentes no escopo, escolha Auto remediate any noncompliant resources (Corrigir automaticamente quaisquer recursos não compatíveis). Se a opção Gerenciar web ACLs não associadas estiver desativada, a opção Remediar automaticamente qualquer recurso não compatível cria uma web ACL em cada conta aplicável na organização e associa a web ACL aos recursos nas contas. Se a opção Gerenciar web ACLs não associadas estiver ativada, a opção de correção automática de qualquer recurso não compatível somente criará e associará uma web ACL em contas que tenham recursos elegíveis para associação à web ACL.

Ao selecionar Corrigir automaticamente qualquer recurso não compatível, você também pode optar por remover associações de web ACL existentes de recursos dentro do escopo, para as web ACLs que não são gerenciadas por outra política ativa do Firewall Manager. Se você escolher essa opção, o Firewall Manager associará primeiro a web ACL da política aos recursos e, depois, removerá as associações anteriores. Se um recurso tiver uma associação com outra web ACL gerenciada por uma política ativa diferente do Firewall Manager, essa escolha não afetará essa associação.

Escolha Próximo.

Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

É possível escolher apenas uma das opções.

Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma UO, quando adicionar uma conta à UO ou a qualquer uma de suas UOs secundárias, o Firewall Manager aplicará automaticamente a política à nova conta.

Em Tipo de recurso, escolha os tipos de recurso que você deseja proteger.

Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter informações sobre tags para definir escopos de políticas, consulte Usar o escopo de política do AWS Firewall Manager.

As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Escolha Próximo.

Em Tags de política, adicione quaisquer tags de identificação desejadas para o recurso de política do Firewall Manager. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

Escolha Próximo.

Revise as novas configurações de política e retorne às páginas em que você precise fazer ajustes.

Quando estiver satisfeito com a política, escolha Criar política. No painel Políticas do AWS Firewall Manager, a política deve estar listada. Ela provavelmente estará indicada como Pendente nos cabeçalhos de contas e indicará o status da configuração Correção automática. A criação de uma política pode levar vários minutos. Depois que o status Pendente for substituído por contagens de conta, será possível escolher o nome da política para explorar o status de conformidade das contas e dos recursos. Para obter mais informações, consulte Visualizando as informações de conformidade de uma política do AWS Firewall Manager

Faça login no Console de gerenciamento da AWS usando a conta de administrador do Firewall Manager e abra o console do Firewall Manager em https://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall ManagerPré-requisitos do .

No painel de navegação, escolha Políticas de segurança.

Escolha Criar política.

Em Tipo de política, escolha AWS WAF Classic.

Se você já criou o grupo de regras do AWS WAF Classic que você deseja adicionar à política, selecione Criar uma política do AWS Firewall Manager e adicione grupos de regras existentes. Se você deseja criar um novo grupo de regras, escolha Criar uma política do Firewall Manager e adicione um novo grupo de regras.

Para Região, escolha uma Região da AWS. Para proteger os recursos do Amazon CloudFront, escolha Global.

Para proteger recursos em várias regiões (que não sejam recursos do CloudFront), é necessário criar políticas do Firewall Manager separadas para cada região.

Selecione Próximo.

Se você estiver criando um grupo de regras, siga as instruções em Criar um grupo de regras do AWS WAF Classic. Depois de criar o grupo de regras, continue com as etapas a seguir.

Insira um nome de política.

Se você estiver adicionando um grupo de regras existente, use o menu suspenso para selecionar um grupo de regras para adicionar e escolha Add rule group (Adicionar grupo de regras).

Uma política executa duas ações possíveis: Action set by rule group (Ação definida pelo grupo de regras) e Count (Contar). Se você quiser testar a política e o grupo de regras, defina a ação como Count (Contar). Essa ação substitui qualquer ação de bloqueio especificada pelas regras no grupo. Em outras palavras, se a ação da política for definida como Count (Contar), as solicitações serão apenas contadas, e não bloqueadas. Por outro lado, se você definir a ação da política como Action set by rule group (Ação definida pelo grupo de regras), as ações do grupo de regras serão usadas. Escolha a ação apropriada.

Escolha Próximo.

Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

É possível escolher apenas uma das opções.

Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma UO, quando adicionar uma conta à UO ou a qualquer uma de suas UOs secundárias, o Firewall Manager aplicará automaticamente a política à nova conta.

Escolha o tipo de recurso que você deseja proteger.

Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter informações sobre tags para definir escopos de políticas, consulte Usar o escopo de política do AWS Firewall Manager.

As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Se você deseja aplicar automaticamente a política aos recursos existentes, escolha Create and apply this policy to existing and new resources (Criar e aplicar esta política a recursos novos e existentes).

Essa opção cria uma web ACL em cada conta aplicável de uma organização da AWS e associa a web ACL aos recursos nas contas. Essa opção também aplica a política a todos os recursos novos que correspondam aos critérios mencionados anteriormente (tipo de recurso e tags). Como alternativa, se você selecionar Criar política mas não aplicá-la a recursos novos ou existentes, o Firewall Manager criará a web ACL em cada conta aplicável da organização, mas não aplicará a web ACL a nenhum dos recursos. Você deverá aplicar a política aos recursos mais tarde. Escolha a opção apropriada.

Em Substituir web ACLs associadas existentes, é possível remover quaisquer associações de web ACL atualmente definidas para recursos no escopo e substituí-las por associações às web ACLs que você está criando nessa política. Por padrão, o Firewall Manager não remove associações existentes da web ACL antes de adicionar as novas. Se você quiser remover as existentes, escolha essa opção.

Escolha Próximo.

Analise a nova política. Para fazer quaisquer alterações, escolha Edit (Editar). Quando estiver satisfeito com a política, escolha Create and apply policy (Criar e aplicar política).

Faça login no Console de gerenciamento da AWS usando a conta de administrador do Firewall Manager e abra o console do Firewall Manager em https://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall ManagerPré-requisitos do .

No painel de navegação, escolha Políticas de segurança.

Escolha Criar política.

Em Tipo de política, escolha Shield Advanced.

Para criar uma política Shield Advanced, você deve ser assinante do Shield Advanced. Se você não estiver inscrito, será solicitado a fazê-lo. Para obter mais informações sobre o custo, consulte Definição de preço do AWS Shield Advanced.

Para Região, escolha uma Região da AWS. Para proteger distribuições do Amazon CloudFront, escolha Global.

Para opções de região que não sejam Global, para proteger recursos em várias regiões, você deve criar uma política separada do Firewall Manager para cada região.

Escolha Próximo.

Em Nome, insira um nome descritivo.

Somente para políticas de região Global, você pode escolher se deseja gerenciar a mitigação automática de DDoS na camada de aplicativos do Shield Advanced. Para obter informações sobre esse atributo do Shield Advanced, consulte Como automatizar a mitigação de DDoS na camada de aplicativo com o Shield Advanced .

Você pode optar por habilitar ou desabilitar a mitigação automática ou por ignorá-la. Se você optar por ignorá-lo, o Firewall Manager não gerencia a mitigação automática das proteções Shield Advanced. Para obter mais informações sobre essas opções de política, consulte Como usar a mitigação automática de DDoS da camada de aplicativo com as políticas de Firewall Manager do Shield Advanced.

Em Gerenciamento de web ACL, se você quiser que o Firewall Manager gerencie web ACLs não associadas, habilite Gerenciar web ACLs não associadas. Com essa opção, o Firewall Manager cria web ACLs nas contas dentro do escopo da política somente se as web ACLs forem usadas por pelo menos um recurso. Se, a qualquer momento, uma conta entrar no escopo da política, o Firewall Manager criará automaticamente uma web ACL na conta se pelo menos um recurso usar a web ACL. Após a ativação dessa opção, o Firewall Manager executa uma limpeza única das web ACLs não associadas em sua conta. O processo de limpeza pode levar várias horas. Se um recurso deixar o escopo da política após o Firewall Manager criar uma web ACL, o Firewall Manager não desassociará o recurso da web ACL. Para incluir a web ACL na limpeza única, você deve primeiro desassociar manualmente os recursos da web ACL e depois ativar Gerenciar web ACLs não associadas.

Em Ação da política, recomendamos criar a política com a opção que não corrige automaticamente recursos em não conformidade. Ao desativar a remediação automática, você pode avaliar os efeitos da sua nova política antes de aplicá-la. Quando você estiver satisfeito com as alterações, edite a política e altere a ação da política para habilitar a correção automática de recursos não compatíveis.

Se, em vez disso, quiser aplicar automaticamente a política aos recursos existentes no escopo, escolha Auto remediate any noncompliant resources (Corrigir automaticamente quaisquer recursos não compatíveis). Essa opção aplica as proteções Shield Advanced a cada conta aplicável na organização da AWS e a cada recurso aplicável nas contas.

Somente para políticas de região Global, se você escolher Remediar automaticamente quaisquer recursos em não conformidade, também poderá optar por fazer com que o Firewall Manager substitua automaticamente todas as associações existentes de web ACL AWS WAF Classic por novas associações às web ACLs que foram criadas usando a versão mais recente do AWS WAF (v2). Se você escolher essa opção, o Firewall Manager removerá as associações com as web ACLs da versão anterior e criará novas associações com as web ACLs da versão mais recente, depois de criar novas web ACLs vazias em qualquer conta dentro do escopo que ainda não as tenha para a política. Para obter mais informações sobre essa opção, consulte Substitua as web ACLs AWS WAF Classic pelas web ACLs da versão mais recente.

Escolha Próximo.

Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

É possível escolher apenas uma das opções.

Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma UO, quando adicionar uma conta à UO ou a qualquer uma de suas UOs secundárias, o Firewall Manager aplicará automaticamente a política à nova conta.

Escolha o tipo de recurso que você deseja proteger.

O Firewall Manager não é compatível com o Amazon Route 53 ou AWS Global Accelerator. Se você precisar usar o Shield Advanced para proteger os recursos desses serviços, não poderá usar uma política do Firewall Manager. Em vez disso, siga as orientações do Shield Advanced em Adicionar a proteção do AWS Shield Advanced aos recursos da AWS.

Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter informações sobre tags para definir escopos de políticas, consulte Usar o escopo de política do AWS Firewall Manager.

As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Escolha Próximo.

Em Tags de política, adicione quaisquer tags de identificação desejadas para o recurso de política do Firewall Manager. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

Escolha Próximo.

Revise as novas configurações de política e retorne às páginas em que você precise fazer ajustes.

Quando estiver satisfeito com a política, escolha Criar política. No painel Políticas do AWS Firewall Manager, a política deve estar listada. Ela provavelmente estará indicada como Pendente nos cabeçalhos de contas e indicará o status da configuração Correção automática. A criação de uma política pode levar vários minutos. Depois que o status Pendente for substituído por contagens de conta, será possível escolher o nome da política para explorar o status de conformidade das contas e dos recursos. Para obter mais informações, consulte Visualizando as informações de conformidade de uma política do AWS Firewall Manager

Faça login no Console de gerenciamento da AWS usando a conta de administrador do Firewall Manager e abra o console do Firewall Manager em https://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall ManagerPré-requisitos do .

No painel de navegação, escolha Políticas de segurança.

Escolha Criar política.

Em Tipo de política, escolha Grupo de segurança.

Em Tipo de política de grupo de segurança, escolha Grupos de segurança comuns.

Para Região, escolha uma Região da AWS.

Escolha Próximo.

Em Nome da política, insira um nome fácil de lembrar.

Em Policy rules (Regras de política), faça o seguinte:

1. Nas opções de regras, escolha as restrições que você deseja aplicar às regras do grupo de segurança e aos recursos que estão dentro do escopo da política. Se você escolher Distribuir tags do grupo de segurança primário para os grupos de segurança criados por essa política, também deverá selecionar Identificar e relatar quando os grupos de segurança criados por essa política não estiverem em conformidade.

   Importante

   O Firewall Manager não distribuirá as tags do sistema adicionadas pelos serviços da AWS para os grupos de segurança de réplica. As tags do sistema começam com o prefixo aws:. Além disso, o Firewall Manager não atualizará as tags dos grupos de segurança existentes nem criará novos grupos de segurança se a política tiver tags que entrem em conflito com a política de tags da organização. Para obter informações sobre políticas de tags, consulte Políticas de tags no Guia do usuário do AWS Organizations.

   Se você escolher Distribuir referências de grupos de segurança do grupo de segurança primário para os grupos de segurança criados por essa política, o Firewall Manager só distribuirá as referências do grupo de segurança se eles tiverem uma conexão de emparelhamento ativa na Amazon VPC. Para obter informações sobre essa opção, consulte Configurações de regras de política.

2. Para Grupos de segurança primários, selecione Adicionar grupos de segurança e, em seguida, escolha o grupo de segurança que você deseja usar. O Firewall Manager preenche a lista de grupos de segurança de todas as instâncias do Amazon VPC na conta do administrador do Firewall Manager.

   Por padrão, o número máximo padrão de grupos de segurança primários por política é 3. Para obter mais informações sobre essa configuração, consulte Cotas do AWS Firewall Manager.

3. Em Ação de política, recomendamos criar a política com a opção que não corrige automaticamente. Isso permite que você avalie os efeitos de sua nova política antes de aplicá-la. Quando você estiver satisfeito com as alterações, edite a política e altere a ação de política para habilitar a correção automática de recursos não compatíveis.

Escolha Próximo.

Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

É possível escolher apenas uma das opções.

Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma UO, quando adicionar uma conta à UO ou a qualquer uma de suas UOs secundárias, o Firewall Manager aplicará automaticamente a política à nova conta.

Em Tipo de recurso, escolha os tipos de recurso que você deseja proteger.

Para o tipo de recurso instância EC2, você pode optar por corrigir todas as instâncias do Amazon EC2 ou somente as instâncias que tenham apenas a interface de rede elástica (ENI) primária padrão. Para a última opção, o Firewall Manager não corrige instâncias que tenham anexos ENI adicionais. Em vez disso, quando a correção automática está ativada, o Firewall Manager marca apenas o status de conformidade dessas instâncias do EC2 e não aplica nenhuma ação de correção. Veja as advertências e limitações adicionais para o tipo de recurso do Amazon EC2 em Alertas e limitações da política do grupo de segurança.

Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter informações sobre tags para definir escopos de políticas, consulte Usar o escopo de política do AWS Firewall Manager.

As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Em Recursos da VPC compartilhada, se você quiser aplicar a política a recursos em VPCs compartilhadas, além das VPCs que as contas possuem, selecione Incluir recursos de VPCs compartilhadas.

Escolha Próximo.

Reveja as configurações de política para ter a certeza de que são o que você quer e escolha Criar política.

Faça login no Console de gerenciamento da AWS usando a conta de administrador do Firewall Manager e abra o console do Firewall Manager em https://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall ManagerPré-requisitos do .

No painel de navegação, escolha Políticas de segurança.

Escolha Criar política.

Em Tipo de política, escolha Grupo de segurança.

Em Security group policy type (Tipo de política de grupo de segurança), escolha Auditing and enforcement of security group rules (Auditoria e imposição de regras de grupo de segurança).

Para Região, escolha uma Região da AWS.

Escolha Próximo.

Em Nome da política, insira um nome fácil de lembrar.

Para Regras da política, escolha a opção de regras da política gerenciadas ou personalizadas que você deseja usar.

1. Para Configurar regras de política de auditoria gerenciada, faça o seguinte:

   1. Para Configurar regras de grupo de segurança para auditoria, selecione o tipo de regras de grupo de segurança às quais você deseja que sua política de auditoria se aplique.

   2. Se você quiser fazer coisas como regras de auditoria com base nos protocolos, portas e configurações de intervalo CIDR dos seus grupos de segurança, escolha Auditar regras de grupos de segurança excessivamente permissivas e selecione as opções desejadas.

      Para a seleção Regra permite todo o tráfego, você pode fornecer uma lista de aplicativos personalizada para designar os aplicativos que você deseja auditar. Para obter informações sobre listas de aplicativos personalizadas e como usá-las em sua política, consulte Usar listas gerenciadas e Usar listas gerenciadas.

      Para seleções que usam listas de protocolos, você pode usar listas existentes e criar novas listas. Para obter informações sobre listas de protocolos e como usá-las em sua política, consulte Usar listas gerenciadas e Usar listas gerenciadas.

   3. Se você quiser auditar aplicativos de alto risco com base no acesso deles a intervalos de CIDR reservados ou não reservados, escolha Auditar aplicativos de alto risco e selecione as opções desejadas.

      As seguintes seleções são mutuamente exclusivas: aplicativos que podem acessar somente intervalos CIDR reservados e Aplicativos com permissão para acessar intervalos CIDR não reservados. Você pode selecionar no máximo um deles em qualquer política.

      Para seleções que usam listas de aplicativos, você pode usar listas existentes e criar novas listas. Para obter informações sobre listas de aplicativos e como usá-las em sua política, consulte Usar listas gerenciadas e Usar listas gerenciadas.

   4. Use as configurações de Substituição para substituir explicitamente outras configurações na política. Você pode optar por sempre permitir ou sempre negar regras específicas do grupo de segurança, independentemente de elas estarem em conformidade com as outras opções que você definiu para a política.

      Para essa opção, você fornece um grupo de segurança de auditoria como modelo de regras permitidas ou negadas. Para Auditar grupos de segurança, selecione Adicionar auditar grupos de segurança e, em seguida, escolha o grupo de segurança que você deseja usar. O Firewall Manager preenche a lista de grupos de segurança de auditoria de todas as instâncias do Amazon VPC na conta do administrador do Firewall Manager. A cota máxima padrão para o número de grupos de segurança de auditoria para uma política é uma. Para obter informações sobre como aumentar a cota, consulte Cotas do AWS Firewall Manager.

2. Para Configurar regras de política personalizada, faça o seguinte:

   1. Nas opções de regras, escolha se deseja permitir somente as regras definidas nos grupos de segurança de auditoria ou negar todas as regras. Para obter informações sobre essa opção, consulte Como usar políticas de grupos de segurança de auditoria de conteúdo com o Firewall Manager.

   2. Para Auditar grupos de segurança, selecione Adicionar auditar grupos de segurança e, em seguida, escolha o grupo de segurança que você deseja usar. O Firewall Manager preenche a lista de grupos de segurança de auditoria de todas as instâncias do Amazon VPC na conta do administrador do Firewall Manager. A cota máxima padrão para o número de grupos de segurança de auditoria para uma política é uma. Para obter informações sobre como aumentar a cota, consulte Cotas do AWS Firewall Manager.

   3. Em Ação da política, você deve criar a política com a opção que não corrige automaticamente. Isso permite que você avalie os efeitos de sua nova política antes de aplicá-la. Quando você estiver satisfeito com as alterações, edite a política e altere a ação de política para habilitar a correção automática de recursos não compatíveis.

Escolha Próximo.

Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

É possível escolher apenas uma das opções.

Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma UO, quando adicionar uma conta à UO ou a qualquer uma de suas UOs secundárias, o Firewall Manager aplicará automaticamente a política à nova conta.

Em Resource type (Tipo de recurso), escolha os tipos de recurso que você deseja proteger.

Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter informações sobre tags para definir escopos de políticas, consulte Usar o escopo de política do AWS Firewall Manager.

As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Escolha Próximo.

Reveja as configurações de política para ter a certeza de que são o que você quer e escolha Criar política.

Faça login no Console de gerenciamento da AWS usando a conta de administrador do Firewall Manager e abra o console do Firewall Manager em https://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall ManagerPré-requisitos do .

No painel de navegação, escolha Políticas de segurança.

Escolha Criar política.

Em Tipo de política, escolha Grupo de segurança.

Em Tipo de política de grupo de segurança, escolha Auditing and cleanup of unassociated and redundant security groups (Auditoria e limpeza de grupos de segurança redundantes e não associados).

Para Região, escolha uma Região da AWS.

Escolha Próximo.

Em Nome da política, insira um nome fácil de lembrar.

Em Policy rules (Regras de política), escolha uma ou ambas as opções disponíveis.

Em Ação de política, recomendamos criar a política com a opção que não corrige automaticamente. Isso permite que você avalie os efeitos de sua nova política antes de aplicá-la. Quando você estiver satisfeito com as alterações, edite a política e altere a ação de política para habilitar a correção automática de recursos não compatíveis.

Escolha Próximo.

Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

É possível escolher apenas uma das opções.

Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma UO, quando adicionar uma conta à UO ou a qualquer uma de suas UOs secundárias, o Firewall Manager aplicará automaticamente a política à nova conta.

Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter informações sobre tags para definir escopos de políticas, consulte Usar o escopo de política do AWS Firewall Manager.

As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Escolha Próximo.

Se você não excluiu a conta de administrador do Firewall Manager do escopo da política, o Firewall Manager solicitará que você faça isso. Fazer isso deixa os grupos de segurança na conta de administrador do Firewall Manager, que você usa para políticas de grupo de segurança comuns e de auditoria, sob seu controle manual. Escolha a opção que deseja nesta caixa de diálogo.

Reveja as configurações de política para ter a certeza de que são o que você quer e escolha Criar política.

Faça login no Console de gerenciamento da AWS usando a conta de administrador do Firewall Manager e abra o console do Firewall Manager em https://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall ManagerPré-requisitos do .

No painel de navegação, escolha Políticas de segurança.

Escolha Criar política.

Em Tipo de política, escolha ACL de rede.

Para Região, escolha uma Região da AWS.

Escolha Próximo.

Em Nome da política, insira um nome descritivo.

Em Regras de política, defina as regras que você deseja sempre executar nas ACLs de rede que o Firewall Manager gerencia para você. As ACLs de rede monitoram e manipulam o tráfego de entrada e saída, portanto, em sua política, você define as regras para ambas as direções.

Em qualquer direção, você define as regras que deseja sempre executar primeiro e as regras que deseja sempre executar por último. Nas ACLs de rede gerenciadas pelo Firewall Manager, os proprietários da conta podem definir regras personalizadas a serem executadas entre a primeira e a última regra.

Em Ação da política, se quiser identificar sub-redes e ACLs de rede não compatíveis, mas ainda não tomar nenhuma ação corretiva, escolha Identificar recursos que não estejam em conformidade com as regras de política, mas não corrigir automaticamente. É possível alterar essas opções mais tarde.

Se, em vez disso, quiser aplicar automaticamente a política às sub-redes existentes no escopo, escolha Corrigir automaticamente quaisquer recursos não compatíveis. Com essa opção, você também especifica se deve forçar a correção quando o comportamento de tratamento de tráfego das regras de política entrar em conflito com as regras personalizadas que estão na ACL da rede. Independentemente de você forçar a correção, o Firewall Manager relata regras conflitantes em suas violações de conformidade.

Escolha Próximo.

Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

É possível escolher apenas uma das opções.

Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta diferente. Como outro exemplo, se você incluir uma UO, quando adicionar uma conta à UO ou a qualquer uma de suas UOs secundárias, o Firewall Manager aplicará automaticamente a política à nova conta.

Para Tipo de recurso, a configuração é fixada em Sub-redes.

Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter informações sobre tags para definir escopos de políticas, consulte Usar o escopo de política do AWS Firewall Manager.

As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Escolha Próximo.

Reveja as configurações de política para ter a certeza de que são o que você quer e escolha Criar política.

Faça login no Console de gerenciamento da AWS usando a conta de administrador do Firewall Manager e abra o console do Firewall Manager em https://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall ManagerPré-requisitos do .

No painel de navegação, escolha Políticas de segurança.

Escolha Criar política.

Em Tipo de política, escolha AWS Network Firewall.

Em Tipo de gerenciamento de firewall, escolha como você gostaria que o Firewall Manager gerenciasse os firewalls da política. Escolha uma das seguintes opções:

Para Região, escolha uma Região da AWS. Para proteger recursos em várias regiões, crie políticas separadas para cada região.

Escolha Próximo.

Em Nome da política, insira um nome descritivo. O Firewall Manager inclui o nome da política nos nomes dos firewalls do Network Firewall e das políticas de firewall que ele cria.

Na configuração da política de AWS Network Firewall, configure a política de firewall como você faria no Network Firewall. Adicione seus grupos de regras sem estado e com estado e especifique as ações padrão da política. Opcionalmente, você pode definir a ordem de avaliação de regras com estado e as ações padrão da política, bem como a configuração de registro. Para obter informações sobre o gerenciamento de políticas de firewall do Network Firewall, consulte as políticas de firewall do AWS Network Firewall no Guia do desenvolvedor do AWS Network Firewall.

Quando você cria a política do Network Firewall do Firewall Manager, o Firewall Manager cria políticas de firewall para as contas que estão dentro do escopo. Gerentes de contas individuais podem adicionar grupos de regras às políticas de firewall, mas não podem alterar a configuração que você fornece aqui.

Escolha Próximo.

Dependendo do tipo de gerenciamento do Firewall que você selecionou na etapa anterior, siga um destes procedimentos:

Escolha Próximo.

Se sua política usa um tipo de gerenciamento de firewall distribuído, em Gerenciamento de rotas, escolha se o Firewall Manager monitorará e alertará sobre o tráfego que deve ser roteado pelos respectivos endpoints do firewall.

Em Tipo de tráfego, adicione opcionalmente os endpoints de tráfego pelos quais você deseja rotear o tráfego para inspeção do firewall.

Em Permitir o tráfego necessário entre A-Z, se você habilitar essa opção, o Firewall Manager tratará como roteamento compatível que envia tráfego de uma zona de disponibilidade para inspeção, para zonas de disponibilidade que não têm seu próprio endpoint de firewall. As zonas de disponibilidade que têm endpoints devem sempre inspecionar seu próprio tráfego.

Escolha Próximo.

Para o Escopo da política, de acordo com as Contas da AWS às quais esta política se aplica, escolha a seguinte opção:

É possível escolher apenas uma das opções.

Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma UO, quando adicionar uma conta à UO ou a qualquer uma de suas UOs secundárias, o Firewall Manager aplicará automaticamente a política à nova conta.

O Tipo de recurso para políticas de Network Firewall é VPC.

Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter informações sobre tags para definir escopos de políticas, consulte Usar o escopo de política do AWS Firewall Manager.

As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Escolha Próximo.

Em Tags de política, adicione quaisquer tags de identificação desejadas para o recurso de política do Firewall Manager. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

Escolha Próximo.

Revise as novas configurações de política e retorne às páginas em que você precise fazer ajustes.

Quando estiver satisfeito com a política, escolha Criar política. No painel Políticas do AWS Firewall Manager, a política deve estar listada. Ela provavelmente estará indicada como Pendente nos cabeçalhos de contas e indicará o status da configuração Correção automática. A criação de uma política pode levar vários minutos. Depois que o status Pendente for substituído por contagens de conta, será possível escolher o nome da política para explorar o status de conformidade das contas e dos recursos. Para obter mais informações, consulte Visualizando as informações de conformidade de uma política do AWS Firewall Manager

Faça login no Console de gerenciamento da AWS usando a conta de administrador do Firewall Manager e abra o console do Firewall Manager em https://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall ManagerPré-requisitos do .

No painel de navegação, escolha Políticas de segurança.

Escolha Criar política.

Em Tipo de política, escolha Firewall DNS do Amazon Route 53 Resolver.

Para Região, escolha uma Região da AWS. Para proteger recursos em várias regiões, crie políticas separadas para cada região.

Escolha Próximo.

Em Nome da política, insira um nome descritivo.

Na configuração da política, adicione os grupos de regras que você deseja que o Firewall DNS avalie primeiro e por último entre as associações de grupos de regras de suas VPCs. Você pode adicionar até dois grupos de regras à política.

Quando você cria a política de Firewall DNS do Firewall Manager, o Firewall Manager cria as associações de grupos de regras, com as prioridades de associação que você forneceu, para as VPCs e contas que estão dentro do escopo. Os gerentes de contas individuais podem adicionar associações de grupos de regras entre a primeira e a última associação, mas não podem alterar as associações que você define aqui. Para obter mais informações, consulte Como usar as políticas de Amazon Route 53 Resolver DNS Firewall no Firewall Manager.

Escolha Próximo.

Para Contas da AWS às quais esta política se aplica, escolha a opção da seguinte maneira:

É possível escolher apenas uma das opções.

Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma UO, quando adicionar uma conta à UO ou a qualquer uma de suas UOs secundárias, o Firewall Manager aplicará automaticamente a política à nova conta.

O Tipo de recurso para políticas de Firewall DNS é VPC.

Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter informações sobre tags para definir escopos de políticas, consulte Usar o escopo de política do AWS Firewall Manager.

As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Escolha Próximo.

Em Tags de política, adicione quaisquer tags de identificação desejadas para o recurso de política do Firewall Manager. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

Escolha Próximo.

Revise as novas configurações de política e retorne às páginas em que você precise fazer ajustes.

Quando estiver satisfeito com a política, escolha Criar política. No painel Políticas do AWS Firewall Manager, a política deve estar listada. Ela provavelmente estará indicada como Pendente nos cabeçalhos de contas e indicará o status da configuração Correção automática. A criação de uma política pode levar vários minutos. Depois que o status Pendente for substituído por contagens de conta, será possível escolher o nome da política para explorar o status de conformidade das contas e dos recursos. Para obter mais informações, consulte Visualizando as informações de conformidade de uma política do AWS Firewall Manager

Faça login no Console de gerenciamento da AWS usando a conta de administrador do Firewall Manager e abra o console do Firewall Manager em https://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall ManagerPré-requisitos do .

No painel de navegação, escolha Políticas de segurança.

Escolha Criar política.

Em Tipo de política, escolha Cloud NGFW da Palo Alto Networks. Se ainda não se inscreveu no serviço Cloud NGFW da Palo Alto Networks no Marketplace da AWS, você precisará fazer isso primeiro. Para se inscrever no Marketplace da AWS, escolha Exibir detalhes do Marketplace da AWS.

Para Modelo de implantação, escolha o Modelo distribuído ou Modelo centralizado. O modelo de implantação determina como o Firewall Manager gerencia os endpoints da política. Com o modelo distribuído, o Firewall Manager mantém endpoints de firewall em cada VPC que está dentro do escopo da política. Com o modelo centralizado, o Firewall Manager mantém um único endpoint em uma VPC de inspeção.

Para Região, escolha uma Região da AWS. Para proteger recursos em várias regiões, crie políticas separadas para cada região.

Escolha Próximo.

Em Nome da política, insira um nome descritivo.

Na configuração da política, escolha a política de firewall do Cloud NGFW da Palo Alto Networks para associar a essa política. A lista de políticas de firewall do Cloud NGFW da Palo Alto Networks contém todas as políticas de firewall do Cloud NGFW da Palo Alto Networks que estão associadas ao seu locatário do Cloud NGFW da Palo Alto Networks. Para obter informações sobre como criar e gerenciar as políticas de firewall do Cloud NGFW da Palo Alto Networks, consulte o tópico Implementar o Cloud NGFW da Palo Alto Networks para a AWS com o AWS Firewall Manager no guia de implantação da AWS do Cloud NGFW da Palo Alto Networks.

Para Registro de logs do Cloud NGFW da Palo Alto Networks (opcional), opcionalmente, escolha qual(is) tipo(s) de log do Cloud NGFW da Palo Alto Networks devem ser registrados para sua política. Para obter informações sobre os tipos de log do Cloud NGFW da Palo Alto Networks, consulte Configurar o registro de logs do Cloud NGFW da Palo Alto Networks na AWS no guia de implantação do Cloud NGFW da Palo Alto Networks para AWS.

Para destino do log, especifique quando o Firewall Manager deve gravar os logs.

Escolha Próximo.

Em Configurar endpoint de firewall de terceiros, faça o seguinte, dependendo se você está usando o modelo de implantação distribuída ou centralizada para criar seus endpoints de firewall:

Se você quiser fornecer os blocos CIDR para o Firewall Manager usar nas sub-redes de firewall em suas VPCs, todos eles devem ser blocos CIDR /28. Insira um bloco por linha. Se você os omitir, o Firewall Manager escolherá endereços IP para você dentre aqueles que estão disponíveis nas VPCs.

Escolha Próximo.

Para o Escopo da política, de acordo com as Contas da AWS às quais esta política se aplica, escolha a seguinte opção:

É possível escolher apenas uma das opções.

Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma UO, quando adicionar uma conta à UO ou a qualquer uma de suas UOs secundárias, o Firewall Manager aplicará automaticamente a política à nova conta.

O Tipo de recurso para políticas de Network Firewall é VPC.

Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter informações sobre tags para definir escopos de políticas, consulte Usar o escopo de política do AWS Firewall Manager.

As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Para Conceder acesso entre contas, escolha Baixar modelo de CloudFormation. Isso baixa um modelo do CloudFormation que você pode usar para criar uma pilha do CloudFormation. Essa pilha cria um perfil AWS Identity and Access Management que concede ao Firewall Manager permissões entre contas para gerenciar os recursos NGFW na nuvem da Palo Alto Networks. Para obter informações sobre as pilhas, consulte Trabalhar com pilhas no Guia do usuário do CloudFormation.

Escolha Próximo.

Em Tags de política, adicione quaisquer tags de identificação desejadas para o recurso de política do Firewall Manager. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

Escolha Próximo.

Revise as novas configurações de política e retorne às páginas em que você precise fazer ajustes.

Quando estiver satisfeito com a política, escolha Criar política. No painel Políticas do AWS Firewall Manager, a política deve estar listada. Ela provavelmente estará indicada como Pendente nos cabeçalhos de contas e indicará o status da configuração Correção automática. A criação de uma política pode levar vários minutos. Depois que o status Pendente for substituído por contagens de conta, será possível escolher o nome da política para explorar o status de conformidade das contas e dos recursos. Para obter mais informações, consulte Visualizando as informações de conformidade de uma política do AWS Firewall Manager

Faça login no Console de gerenciamento da AWS usando a conta de administrador do Firewall Manager e abra o console do Firewall Manager em https://console.aws.amazon.com/wafv2/fmsv2. Para obter mais informações sobre a configuração de uma conta de administrador do Firewall Manager, consulte AWS Firewall ManagerPré-requisitos do .

No painel de navegação, escolha Políticas de segurança.

Escolha Criar política.

Em Tipo de política, escolha Fortigate Cloud Native Firewall (CNF) como serviço. Se você ainda não se inscreveu no serviço Fortigate CNF no Marketplace da AWS, você precisará fazer isso primeiro. Para se inscrever no Marketplace da AWS, escolha Exibir detalhes do Marketplace da AWS.

Para Modelo de implantação, escolha o Modelo distribuído ou Modelo centralizado. O modelo de implantação determina como o Firewall Manager gerencia os endpoints da política. Com o modelo distribuído, o Firewall Manager mantém endpoints de firewall em cada VPC que está dentro do escopo da política. Com o modelo centralizado, o Firewall Manager mantém um único endpoint em uma VPC de inspeção.

Para Região, escolha uma Região da AWS. Para proteger recursos em várias regiões, crie políticas separadas para cada região.

Escolha Próximo.

Em Nome da política, insira um nome descritivo.

Na configuração da política, escolha a política de firewall Fortigate CNF a ser associada a essa política. A lista de políticas de firewall Fortigate CNF contém todas as políticas de firewall Fortigate CNF associadas à sua locação do Fortigate CNF. Para obter informações sobre como criar e gerenciar locações do Fortigate CNF, consulte a Documentação da Fortinet.

Escolha Próximo.

Em Configurar endpoint de firewall de terceiros, faça o seguinte, dependendo se você está usando o modelo de implantação distribuída ou centralizada para criar seus endpoints de firewall:

Se você quiser fornecer os blocos CIDR para o Firewall Manager usar nas sub-redes de firewall em suas VPCs, todos eles devem ser blocos CIDR /28. Insira um bloco por linha. Se você os omitir, o Firewall Manager escolherá endereços IP para você dentre aqueles que estão disponíveis nas VPCs.

Escolha Próximo.

Para o Escopo da política, de acordo com as Contas da AWS às quais esta política se aplica, escolha a seguinte opção:

É possível escolher apenas uma das opções.

Depois de aplicar a política, o Firewall Manager avalia automaticamente todas as novas contas em relação às suas configurações. Por exemplo, se você incluir apenas contas específicas, o Firewall Manager não aplicará a política a nenhuma nova conta. Como outro exemplo, se você incluir uma UO, quando adicionar uma conta à UO ou a qualquer uma de suas UOs secundárias, o Firewall Manager aplicará automaticamente a política à nova conta.

O Tipo de recurso para políticas de Network Firewall é VPC.

Para Recursos, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter informações sobre tags para definir escopos de políticas, consulte Usar o escopo de política do AWS Firewall Manager.

As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.

Para Conceder acesso entre contas, escolha Baixar modelo de CloudFormation. Isso baixa um modelo do CloudFormation que você pode usar para criar uma pilha do CloudFormation. Essa pilha cria um perfil do AWS Identity and Access Management que concede ao Firewall Manager permissões entre contas para gerenciar os recursos do Fortigate CNF. Para obter informações sobre as pilhas, consulte Trabalhar com pilhas no Guia do usuário do CloudFormation. Para criar uma pilha, você precisará do ID da conta do portal Fortigate CNF.

Escolha Próximo.

Em Tags de política, adicione quaisquer tags de identificação desejadas para o recurso de política do Firewall Manager. Para obter mais informações sobre tags, consulte Trabalhar com o Tag Editor.

Escolha Próximo.

Revise as novas configurações de política e retorne às páginas em que você precise fazer ajustes.

Quando estiver satisfeito com a política, escolha Criar política. No painel Políticas do AWS Firewall Manager, a política deve estar listada. Ela provavelmente estará indicada como Pendente nos cabeçalhos de contas e indicará o status da configuração Correção automática. A criação de uma política pode levar vários minutos. Depois que o status Pendente for substituído por contagens de conta, será possível escolher o nome da política para explorar o status de conformidade das contas e dos recursos. Para obter mais informações, consulte Visualizando as informações de conformidade de uma política do AWS Firewall Manager