Qual è il comportamento dell'associazione di ACL Web per le policy AWS WAF e AWS WAF classiche di Gestione dei firewall AWS?

5 minuti di lettura

Ho creato un'ACL Web utilizzando una policy AWS WAF di Gestione dei firewall AWS. However: Le ACL Web non sono associate correttamente alle relative risorse nell'ambito. -oppure- Le policy di Gestione dei firewall sono in uno stato non conforme.

Risoluzione

Il comportamento dell'associazione di ACL Web per la policy AWS WAF di Gestione dei firewall dipende da:

Come è configurata la riparazione automatica
Se alla risorsa in uso è già associata un'ACL Web

Considera i seguenti scenari durante la creazione di una policy per AWS WAF Classic di Gestione dei firewall AWS o Creazione di una policy di Gestione dei firewall AWS per AWS WAF:

Se la correzione automatica delle risorse non conformi non è attivata, l'ACL Web creata da Gestione dei firewall non verrà associata alle risorse incluse nell'ambito.

Se è attivata solo la correzione automatica delle risorse non conformi, si verifica quanto segue:

Per gli account AWS non conformi che rientrano nell'ambito della policy, Gestione dei firewall crea un'ACL Web il cui nome inizia con FMManagedWebACLV2 . Questa ACL Web contiene i gruppi di regole definiti nella policy.
Gestione dei firewall associa l'ACL Web a tutte le risorse non conformi negli account. Tuttavia, se a una risorsa nell'ambito è già associata un'ACL Web, allora questa non sostituirà l'ACL Web esistente con l'ACL Web della policy di Gestione dei firewall.

Se la correzione automatica delle risorse non conformi e la sostituzione delle ACL Web correntemente associate alle risorse incluse nell'ambito con le ACL Web create da questa policy sono attivate, si verifica quanto segue:

Per una policy AWS WAF Classic di Gestione dei firewall

Se una risorsa nell'ambito ha:

Un'ACL Web classica di AWS WAF Classic personalizzata, allora la risorsa viene sostituita dall'ACL Web della policy AWS WAF di Gestione dei firewall.
Un'ACL Web di AWS WAF personalizzata, allora la risorsa non viene sostituita dall'ACL Web della policy di AWS WAF classico per Gestione dei firewall.
Un'ACL Web creata dalla policy AWS Shield Avanzato, allora viene sostituita sostituito dall'ACL Web della policy di AWS WAF classico per Gestione dei firewall.
Un'ACL Web creata dalla policy di AWS WAF classico per Gestione dei firewall, quindi non viene sostituita dall'ACL Web della policy di AWS WAF classico per Gestione dei firewall.
Un'ACL Web creata dalla policy AWS WAF di Gestione dei firewall, quindi non viene sostituita dall'ACL Web della policy di AWS WAF classico per Gestione dei firewall.

Ad esempio, supponiamo di avere due policy in AWS WAF classico, denominate Policy A e Policy B, entrambe con delle risorse. Se hai una risorsa che rientra nell'ambito della Policy A e desideri sostituirla con un'ACL Web creata dalla Policy B, allora dovrai modificare l'ambito della Policy A in modo da escludere la risorsa specifica. Dopo che la risorsa è stata esclusa da Policy A, l'associazione dell'ACL Web corrispondente per la risorsa viene rimossa. Se la risorsa rientra ora nell'ambito di Policy B, la risorsa verrà associata all'ACL Web creata da Policy B.

Per una policy AWS WAF per Gestione dei firewall

Se una risorsa nell'ambito ha:

Un'ACL Web di AWS WAF classico personalizzata, allora la risorsa viene sostituita dall'ACL Web della policy di AWS WAF per Gestione dei firewall.
Un'ACL Web di AWS WAF personalizzata, allora la risorsa viene sostituita dall'ACL Web della policy di AWS WAF per Gestione dei firewall.
Un'ACL Web creata dalla policy di AWS Shield Avanzato, allora viene sostituita dall'ACL Web della policy di AWS WAF per Gestione dei firewall.
Un'ACL Web creata dalla policy di AWS WAF classico per Gestione dei firewall, allora non viene sostituita dall'ACL Web della policy di AWS WAF per Gestione dei firewall.
Un'ACL Web creata dalla policy di AWS WAF per Gestione del firewall, allora non viene sostituita dall'ACL Web della policy di AWS WAF per Gestione del firewall.

Ad esempio, supponiamo di avere due policy in AWS WAF, denominate Policy A e Policy B con delle risorse nell'ambito. Se la policy di pulizia delle risorse non è impostata su Rimuovi automaticamente le protezioni dalle risorse che escono dall'ambito della policy, si verifica quanto segue:

Se la risorsa lascia l'ambito della policy, l'ACL Web creata da Policy A non verrà automaticamente dissociata dalla risorsa.
Se crei una nuova Policy B di AWS WAF con una corrispondente risorsa nell'ambito, allora la nuova policy sostituirà la precedente ACL Web della policy di AWS WAF.
Se crei una nuova Policy B di AWS WAF classico con una corrispondente risorsa nell'ambito, allora la nuova policy non sostituirà la precedente ACL Web della policy di AWS WAF.

Per ulteriori informazioni sulle opzioni relative all'ambito delle policy, consulta Ambito delle policy di Gestione dei firewall AWS.

Argomenti

Sicurezza, identità e conformità

Tag

AWS WAF

Lingua

Italiano

AWS UFFICIALEAggiornata 2 anni fa

Contenuto pertinente

Quale supporto è disponibile per i gruppi di regole di Marketplace AWS per AWS WAF?
AWS UFFICIALEAggiornata 2 anni fa
Come posso eseguire la migrazione da AWS WAF Classic ad AWS WAF e a quanto ammontano i tempi di inattività durante la migrazione?
AWS UFFICIALEAggiornata 2 anni fa
Come si attiva il filtraggio dei registri in AWS WAF?
AWS UFFICIALEAggiornata 2 anni fa
Perché la riparazione automatica non funziona per la mia policy WAF di AWS Firewall Manager?
AWS UFFICIALEAggiornata 10 mesi fa