Tutorial: criar uma política do AWS Firewall Manager com regras hierárquicas - Administrador de segurança da rede do AWS WAF, AWS Firewall Manager, AWS Shield Advanced e AWS Shield
Etapa 1: designar uma conta de administrador do Firewall ManagerEtapa 2: criar um grupo de regras usando a conta de administrador do Firewall ManagerEtapa 3: criar uma política do Firewall Manager e associar o grupo de regras comunsEtapa 4: adicionar regras específicas de contasConclusão

Apresentação de uma nova experiência de console para o AWS WAF

Agora você pode usar a experiência atualizada para acessar a funcionalidade do AWS WAF em qualquer lugar no console. Consulte mais detalhes em Trabalhar com a experiência atualizada do console.

Tutorial: criar uma política do AWS Firewall Manager com regras hierárquicas

Atenção

O AWS WAF Classic está passando por um processo de fim de vida útil planejado. Consulte o painel AWS Health para ver os marcos e datas específicos para a sua região.

nota

Essa é a documentação do AWS WAF Classic. Você só deverá usar essa versão se tiver criado recursos do AWS WAF, como regras e web ACLs, no AWS WAF antes de novembro de 2019, e ainda não os tiver migrado para a versão mais recente. Para migrar suas ACLs da Web, consulte Como migrar recursos do AWS WAF Classic para o AWS WAF.

Para obter a versão mais recente do AWS WAF, consulte AWS WAF.

Com o AWS Firewall Manager, é possível criar e aplicar políticas de proteção do AWS WAF Classic que contêm regras hierárquicas. Ou seja, você pode criar e impor regras de forma centralizada, mas delegar a criação e a manutenção de regras específicas de contas para outras pessoas. Você pode monitorar as regras (comuns) aplicadas de forma centralizada para qualquer remoção acidental ou inépcia, garantindo, assim, que elas sejam aplicadas de forma consistente. As regras especificas de contas adicionam mais proteção personalizada para as necessidades de equipes individuais.

nota

Na versão mais recente do AWS WAF, esse recurso é incorporado e não requer nenhum manuseio especial. Se você ainda não estiver usando o AWS WAF Classic, use a versão mais recente. Consulte Criar uma política de AWS Firewall Manager para o AWS WAF.

O tutorial a seguir descreve como criar um conjunto hierárquico de regras de proteção.

Etapa 1: designar uma conta de administrador do Firewall Manager

Para usar o AWS Firewall Manager, você deve designar uma conta na sua organização como a conta do administrador do Firewall Manager. Essa conta pode ser a conta de gerenciamento ou uma conta-membro na organização.

Você pode usar a conta de administrador do Firewall Manager para criar um conjunto de regras comuns que se aplicam a outras contas na organização. Outras contas na organização não podem alterar essas regras aplicadas de forma centralizada.

Para designar uma conta como uma conta de administrador do Firewall Manager e concluir outros pré-requisitos para usar o Firewall Manager, consulte as instruções em AWS Firewall ManagerPré-requisitos do . Se você já tiver concluído os pré-requisitos, vá para a etapa 2 deste tutorial.

Neste tutorial, chamamos a conta de administrador de Firewall-Administrator-Account.

Etapa 2: criar um grupo de regras usando a conta de administrador do Firewall Manager

Depois, crie um grupo de regras usando Firewall-Administrator-Account. Esse grupo de regras contém as regras comuns que você aplicará a todas as contas-membro sujeitas à política que você criar na próxima etapa. Só Firewall-Administrator-Account pode fazer alterações nessas regras e no grupo de regras de contêiner.

Neste tutorial, chamamos esse grupo de regras de contêiner de Common-Rule-Group.

Para criar um grupo de regras, consulte as instruções em Criar um grupo de regras do AWS WAF Classic. Lembre-se de fazer login no console usando sua conta de administrador do Firewall Manager (Firewall-Administrator-Account) ao seguir estas instruções.

Etapa 3: criar uma política do Firewall Manager e associar o grupo de regras comuns

Usando Firewall-Administrator-Account, crie uma política do Firewall Manager. Ao criar essa política, faça o seguinte:

  • Adicione Common-Rule-Group à nova política.

  • Inclua todas as contas na organização às quais você deseja aplicar Common-Rule-Group.

  • Adicione todos os recursos aos quais você deseja aplicar Common-Rule-Group.

Para obter instruções sobre como criar uma política, consulte Criar uma política do AWS Firewall Manager.

Isso cria uma web ACL em cada conta especificada e adiciona Common-Rule-Group a cada uma dessas web ACLs. Depois de criar a política, essa web ACL e regras comuns são implantadas em todas as contas especificadas.

Neste tutorial, chamamos essa web ACL de Administrator-Created-ACL. Uma Administrator-Created-ACL exclusiva agora existe em cada conta-membro especificada da organização.

Etapa 4: adicionar regras específicas de contas

Cada conta-membro na organização agora pode adicionar suas próprias regras específicas de contas à Administrator-Created-ACL existente na conta. As regras comuns já em Administrator-Created-ACL continuam a ser aplicadas, junto com as novas regras específicas de contas. O AWS WAF inspeciona solicitações da web com base na ordem em que as regras são exibidas na web ACL. Isso se aplica à Administrator-Created-ACL e às regras específicas de contas.

Para adicionar regras ao Administrator-Created-ACL, consulte Editar um pacote de proteção (ACL da Web) no AWS WAF.

Conclusão

Você agora tem uma web ACL que contém regras comuns administradas pela conta de administrador do Firewall Manager, bem como as regras específicas mantidas por cada conta-membro.

A Administrator-Created-ACL em cada conta faz referência ao Common-Rule-Group único. Portanto, futuras alterações feitas pela conta de administrador do Firewall Manager em Common-Rule-Group serão aplicadas imediatamente a cada conta-membro.

As contas-membro não podem alterar nem remover as regras comuns em Common-Rule-Group.

As regras específicas de contas não afetam outras contas.