Wie ist das Verhalten der Web-ACL-Zuordnung für die klassischen AWS-Firewall-Manager-AWS-WAF- und AWS-WAF-Richtlinien?

Lesedauer: 4 Minute

Ich habe eine Web-ACL mit einer AWS-Firewall-Manager-AWS-WAF-Richtlinie erstellt. Doch— Die Web-ACLs sind nicht korrekt mit ihren Ressourcen im Umfang verknüpft. -oder- Die Richtlinien des Firewall-Managers sind nicht konform.

Auflösung

Das Verhalten der Web-ACL-Zuordnung für die AWS-WAF-Richtlinie von Firewall Manager hängt von folgenden Faktoren ab:

So wird die Autokorrektur konfiguriert
Wenn Ihre im Umfang befindliche Ressource bereits über eine verknüpfte Web-ACL verfügt

Beachten Sie beim Erstellen einer AWS-Firewall-Manager-Richtlinie für AWS WAF Classic oder Erstellen einer Firewall-Manager-Richtlinie für AWS WAF die folgenden Szenarien:

Wenn die automatische Standardisierung nicht kompatibler Ressourcen nicht aktiviert ist, wird die vom Firewall-Manager erstellte Web-ACL nicht mit Ressourcen im Gültigkeitsbereich verknüpft.

Wenn nur die automatische Standardisierung nicht kompatibler Ressourcen aktiviert ist, passiert Folgendes:

Für nicht konforme AWS-Konten, die innerhalb des Richtlinienbereichs liegen, erstellt Firewall Manager eine Web-ACL, deren Name mit fmManagedWebACLv2 beginnt

. Diese Web-ACL enthält die Regelgruppen, die in der Richtlinie definiert sind.

Der Firewall-Manager ordnet die Web-ACL allen nicht konformen Ressourcen in den Konten zu. Wenn einer Ressource im Gültigkeitsbereich jedoch bereits eine Web-ACL zugeordnet ist, wird die vorhandene Web-ACL nicht durch die Web-ACL der Firewall-Manager-Richtlinie ersetzt.

Wenn die automatische Standardisierung nicht kompatibler Ressourcen und das Ersetzen von Web-ACLs, die derzeit Ressourcen im Gültigkeitsbereich zugeordnet sind, durch die durch diese Richtlinie erstellten Web-ACLs aktiviert sind, geschieht Folgendes:

Für eine klassische AWS-WAF-Richtlinie für Firewall Manager

Wenn eine im Umfang befindliche Ressource über Folgendes verfügt:

Benutzerdefinierte klassische AWS-WAF-Web-ACL, dann wird die Ressource durch die Web ACL der klassichen AWS-WAF-Richtlinie von Firewall Manager überschrieben.
Benutzerdefinierte AWS-WAF-Web-ACL, dann wird die Ressource nicht von der klassischen die Web ACL der klassischen AWS-WAF-Richtlinie von Firewall Manager überschrieben.
Die Web-ACL wurde von der AWS-Shield-Advanced-Richtlinie erstellt und dann durch die Web ACL der klassischen AWS-WAF-Richtlinie von Firewall Manager ersetzt.
Web-ACL erstellt von der klassischen Firewall-Manager-AWS-WAF-Richtlinie, dann wird sie nicht durch die Web ACL der klassischen AWS-WAF-Richtlinie von Firewall Manager ersetzt.
Web-ACL, erstellt durch die Firewall-Manager-AWS-WAF-Richtlinie, dann wird sie nicht durch die Web ACL der klassischen AWS-WAF-Richtlinie von Firewall Manager ersetzt.

Angenommen, Sie haben in der klassischen AWS-WAF zwei Richtlinien, die als Richtlinie A und Richtlinie B bezeichnet werden, mit Ressourcen in beiden. Wenn Sie über eine Ressource verfügen, die für Richtlinie A gilt, und Sie diese durch eine von Richtlinie B erstellte Web-ACL ersetzen möchten, müssen Sie den Richtlinienbereich von Richtlinie A bearbeiten, um die spezifische Ressource auszuschließen. Nachdem die Ressource aus Richtlinie A ausgeschlossen wurde, wird die entsprechende Web-ACL-Zuordnung für die Ressource entfernt. Wenn sich die Ressource jetzt im Gültigkeitsbereich von Richtlinie B befindet, wird die Ressource der von Richtlinie B erstellten Web-ACL zugeordnet.

Für eine Firewall-Manager-AWS-WAF-Richtlinie

Wenn eine im Umfang befindliche Ressource über Folgendes verfügt:

Benutzerdefinierte klassische AWS-WAF-Web-ACL, dann wird die Ressource durch die Web ACL der klassischen AWS-WAF-Richtlinie von Firewall Manager überschrieben.
Benutzerdefinierte AWS WAF-Web-ACL, dann wird die Ressource durch die Web ACL der klassischen AWS-WAF-Richtlinie von Firewall Manager überschrieben.
Die Web-ACL wurde von der AWS-Shield-Advanced-Richtlinie erstellt und dann durch die Web ACL der AWS-WAF-Richtlinie von Firewall Manager ersetzt.
Web-ACL erstellt von der klassischen Firewall-Manager-AWS-WAF-Richtlinie, dann wird sie nicht durch die Web ACL der AWS-WAF-Richtlinie von Firewall Manager ersetzt.
Web-ACL, erstellt durch die AWS-WAF-Richtlinie von Firewall Manager, dann wird sie nicht durch die Web ACL der AWS-WAF-Richtlinie von Firewall Manager ersetzt.

Angenommen, Sie haben in AWS WAF zwei Richtlinien, die als Richtlinie A und Richtlinie B bezeichnet werden, mit Ressourcen innerhalb des Geltungsbereichs. Wenn die Richtlinie zur Ressourcenbereinigung nicht auf Automatisches Entfernen von Schutzmaßnahmen für Ressourcen festgelegt ist, die den Richtlinienbereich verlassen, geschieht Folgendes:

Wenn die Ressource den Richtlinienbereich verlässt, wird die durch Richtlinie A erstellte Web-ACL nicht automatisch von der Ressource getrennt.
Wenn Sie eine neue AWS-WAF-Richtlinie B mit einer entsprechenden Ressource im Gültigkeitsbereich erstellen, überschreibt die neue Richtlinie die vorherige Web-ACL der AWS-WAF-Richtlinie.
Wenn Sie eine neue klassische AWS-WAF-Richtlinie B mit einer entsprechenden Ressource im Gültigkeitsbereich erstellen, überschreibt die neue Richtlinie nicht die vorherige Web-ACL der AWS WAF-Richtlinie.

Weitere Informationen zu den Optionen für den Richtlinienbereich finden Sie unter Richtlinienbereich von AWS Firewall Manager.

Themen

Sicherheit, Identität & Konformität

Relevanter Inhalt

Warum dauert es so lange, bis die klassische Größenänderung meines Amazon-Redshift-Clusters abgeschlossen ist?
AWS OFFICIALAktualisiert vor 4 Monaten
Warum folgt CloudFront nicht einem Cache-Verhalten, das ich erstellt habe?
AWS OFFICIALAktualisiert vor 9 Monaten
Wie ändere ich das Burst-Credit-Verhalten auf Kontoebene für meine EC2-Instances mit Burstable Performance?
AWS OFFICIALAktualisiert vor 3 Jahren
Wie konfiguriere ich die Standardregelgruppen der Netzwerk-Firewall und die Regelgruppenregeln für Domainlisten zusammen?
AWS OFFICIALAktualisiert vor einem Jahr