Wie ist das Verhalten der Web-ACL-Zuordnung für die klassischen AWS-Firewall-Manager-AWS-WAF- und AWS-WAF-Richtlinien?
Ich habe eine Web-ACL mit einer AWS-Firewall-Manager-AWS-WAF-Richtlinie erstellt. Doch— Die Web-ACLs sind nicht korrekt mit ihren Ressourcen im Umfang verknüpft. -oder- Die Richtlinien des Firewall-Managers sind nicht konform.
Auflösung
Das Verhalten der Web-ACL-Zuordnung für die AWS-WAF-Richtlinie von Firewall Manager hängt von folgenden Faktoren ab:
- So wird die Autokorrektur konfiguriert
- Wenn Ihre im Umfang befindliche Ressource bereits über eine verknüpfte Web-ACL verfügt
Beachten Sie beim Erstellen einer AWS-Firewall-Manager-Richtlinie für AWS WAF Classic oder Erstellen einer Firewall-Manager-Richtlinie für AWS WAF die folgenden Szenarien:
Wenn die automatische Standardisierung nicht kompatibler Ressourcen nicht aktiviert ist, wird die vom Firewall-Manager erstellte Web-ACL nicht mit Ressourcen im Gültigkeitsbereich verknüpft.
Wenn nur die automatische Standardisierung nicht kompatibler Ressourcen aktiviert ist, passiert Folgendes:
- Für nicht konforme AWS-Konten, die innerhalb des Richtlinienbereichs liegen, erstellt Firewall Manager eine Web-ACL, deren Name mit fmManagedWebACLv2 beginnt
. Diese Web-ACL enthält die Regelgruppen, die in der Richtlinie definiert sind.
- Der Firewall-Manager ordnet die Web-ACL allen nicht konformen Ressourcen in den Konten zu. Wenn einer Ressource im Gültigkeitsbereich jedoch bereits eine Web-ACL zugeordnet ist, wird die vorhandene Web-ACL nicht durch die Web-ACL der Firewall-Manager-Richtlinie ersetzt.
Wenn die automatische Standardisierung nicht kompatibler Ressourcen und das Ersetzen von Web-ACLs, die derzeit Ressourcen im Gültigkeitsbereich zugeordnet sind, durch die durch diese Richtlinie erstellten Web-ACLs aktiviert sind, geschieht Folgendes:
Für eine klassische AWS-WAF-Richtlinie für Firewall Manager
Wenn eine im Umfang befindliche Ressource über Folgendes verfügt:
- Benutzerdefinierte klassische AWS-WAF-Web-ACL, dann wird die Ressource durch die Web ACL der klassichen AWS-WAF-Richtlinie von Firewall Manager überschrieben.
- Benutzerdefinierte AWS-WAF-Web-ACL, dann wird die Ressource nicht von der klassischen die Web ACL der klassischen AWS-WAF-Richtlinie von Firewall Manager überschrieben.
- Die Web-ACL wurde von der AWS-Shield-Advanced-Richtlinie erstellt und dann durch die Web ACL der klassischen AWS-WAF-Richtlinie von Firewall Manager ersetzt.
- Web-ACL erstellt von der klassischen Firewall-Manager-AWS-WAF-Richtlinie, dann wird sie nicht durch die Web ACL der klassischen AWS-WAF-Richtlinie von Firewall Manager ersetzt.
- Web-ACL, erstellt durch die Firewall-Manager-AWS-WAF-Richtlinie, dann wird sie nicht durch die Web ACL der klassischen AWS-WAF-Richtlinie von Firewall Manager ersetzt.
Angenommen, Sie haben in der klassischen AWS-WAF zwei Richtlinien, die als Richtlinie A und Richtlinie B bezeichnet werden, mit Ressourcen in beiden. Wenn Sie über eine Ressource verfügen, die für Richtlinie A gilt, und Sie diese durch eine von Richtlinie B erstellte Web-ACL ersetzen möchten, müssen Sie den Richtlinienbereich von Richtlinie A bearbeiten, um die spezifische Ressource auszuschließen. Nachdem die Ressource aus Richtlinie A ausgeschlossen wurde, wird die entsprechende Web-ACL-Zuordnung für die Ressource entfernt. Wenn sich die Ressource jetzt im Gültigkeitsbereich von Richtlinie B befindet, wird die Ressource der von Richtlinie B erstellten Web-ACL zugeordnet.
Für eine Firewall-Manager-AWS-WAF-Richtlinie
Wenn eine im Umfang befindliche Ressource über Folgendes verfügt:
- Benutzerdefinierte klassische AWS-WAF-Web-ACL, dann wird die Ressource durch die Web ACL der klassischen AWS-WAF-Richtlinie von Firewall Manager überschrieben.
- Benutzerdefinierte AWS WAF-Web-ACL, dann wird die Ressource durch die Web ACL der klassischen AWS-WAF-Richtlinie von Firewall Manager überschrieben.
- Die Web-ACL wurde von der AWS-Shield-Advanced-Richtlinie erstellt und dann durch die Web ACL der AWS-WAF-Richtlinie von Firewall Manager ersetzt.
- Web-ACL erstellt von der klassischen Firewall-Manager-AWS-WAF-Richtlinie, dann wird sie nicht durch die Web ACL der AWS-WAF-Richtlinie von Firewall Manager ersetzt.
- Web-ACL, erstellt durch die AWS-WAF-Richtlinie von Firewall Manager, dann wird sie nicht durch die Web ACL der AWS-WAF-Richtlinie von Firewall Manager ersetzt.
Angenommen, Sie haben in AWS WAF zwei Richtlinien, die als Richtlinie A und Richtlinie B bezeichnet werden, mit Ressourcen innerhalb des Geltungsbereichs. Wenn die Richtlinie zur Ressourcenbereinigung nicht auf Automatisches Entfernen von Schutzmaßnahmen für Ressourcen festgelegt ist, die den Richtlinienbereich verlassen, geschieht Folgendes:
- Wenn die Ressource den Richtlinienbereich verlässt, wird die durch Richtlinie A erstellte Web-ACL nicht automatisch von der Ressource getrennt.
- Wenn Sie eine neue AWS-WAF-Richtlinie B mit einer entsprechenden Ressource im Gültigkeitsbereich erstellen, überschreibt die neue Richtlinie die vorherige Web-ACL der AWS-WAF-Richtlinie.
- Wenn Sie eine neue klassische AWS-WAF-Richtlinie B mit einer entsprechenden Ressource im Gültigkeitsbereich erstellen, überschreibt die neue Richtlinie nicht die vorherige Web-ACL der AWS WAF-Richtlinie.
Weitere Informationen zu den Optionen für den Richtlinienbereich finden Sie unter Richtlinienbereich von AWS Firewall Manager.
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 4 Monaten
- AWS OFFICIALAktualisiert vor 9 Monaten
- AWS OFFICIALAktualisiert vor 3 Jahren
- AWS OFFICIALAktualisiert vor einem Jahr