AWS Firewall Manager AWS WAF 和 AWS WAF Classic 政策的 Web ACL 關聯行為是什麼?

2 分的閱讀內容
0

我使用 AWS Firewall Manager AWS WAF 政策建立了一個 Web ACL。不過, Web ACL 未正確地與其範圍內的資源建立關聯。

  • 或 - Firewall Manager 政策處於不相容的狀態。

解決方案

Firewall Manager AWS WAF 政策的 Web ACL 關聯行為取決於以下方面:

  • 如何設定自動修復
  • 如果您的範圍內資源已經具有關聯的 Web ACL

針對 AWS WAF Classic 建立 AWS Firewall Manager 政策針對 AWS WAF 建立 Firewall Manager 政策時,請考慮下列案例:

如果未開啟自動修復任何不相容的資源,則 Firewall Manager 建立的 Web ACL 將不會與範圍內的資源建立關聯。

如果只開啟自動修復任何不相容的資源,則會發生下列情況:

  • 針對政策範圍內的不合規 AWS 帳戶,Firewall Manager 會建立名稱以 FMManagedWebACLV2 開頭的 Web ACL

。此 Web ACL 包含政策中定義的規則群組。

  • Firewall Manager 會將 Web ACL 與帳戶中所有不相容的資源建立關聯。但是,如果範圍內的資源已經具有與其關聯的 Web ACL,則不會用 Firewall Manager 政策 Web ACL 取代現有的 Web ACL。

如果開啟自動修復任何不相容的資源,以及用此政策建立的 Web ACL 取代目前與範圍內資源關聯的 Web ACL,則會發生下列情況:

針對 Firewall Manager AWS WAF Classic 政策

如果範圍內的資源具有:

  • 自訂 AWS WAF Classic Web ACL,則 Firewall Manager AWS WAF Classic 政策 Web ACL 會覆寫資源。
  • 自訂 AWS WAF Web ACL,則 Firewall Manager AWS WAF Classic 政策 Web ACL 不會覆寫資源。
  • AWS Shield Advanced 政策建立的 Web ACL,則 Firewall Manager AWS WAF Classic 政策 Web ACL 會將其取代。
  • Firewall Manager AWS WAF Classic 政策建立的 Web ACL,則 Firewall Manager AWS WAF Classic 政策 Web ACL 不會將其取代。
  • Firewall Manager AWS WAF 政策建立的 Web ACL,則 Firewall Manager AWS WAF Classic 政策 Web ACL 不會將其取代。

例如,假設您在 AWS WAF Classic 中有兩項政策,稱為政策 A政策 B,兩者均包含資源。如果您的資源處於政策 A 範圍內,並且想要用政策 B 建立的 Web ACL 將其取代,則必須編輯政策 A 政策範圍以排除特定資源。從政策 A 排除資源之後,即會移除該資源的對應 Web ACL 關聯。如果資源現在處於政策 B 範圍內,則資源將與政策 B 建立的 Web ACL 關聯。

針對 Firewall Manager AWS WAF 政策

如果範圍內的資源具有:

  • 自訂 AWS WAF Classic Web ACL,則 Firewall Manager AWS WAF 政策 Web ACL 會覆寫資源。
  • 自訂 AWS WAF Web ACL,則 Firewall Manager AWS WAF 政策 Web ACL 會覆寫資源。
  • AWS Shield Advanced 政策建立的 Web ACL,則 Firewall Manager AWS WAF 政策 Web ACL 會將其取代。
  • Firewall Manager AWS WAF Classic 政策建立的 Web ACL,則 Firewall Manager AWS WAF 政策 Web ACL 不會將其取代。
  • Firewall Manager AWS WAF 政策建立的 Web ACL,則 Firewall Manager AWS WAF 政策 Web ACL 不會將其取代。

例如,假設您在 AWS WAF 中有兩項政策,稱為政策 A政策 B,包含範圍內資源。如果資源清除策略未設定為自動對不在政策範圍內的資源移除保護,則會發生下列情況:

  • 如果資源不在政策範圍內,則政策 A 建立的 Web ACL 不會自動與資源取消關聯。
  • 如果您使用對應的範圍內資源建立新的 AWS WAF 政策 B,則新政策會覆寫先前的 AWS WAF 政策 Web ACL。
  • 如果您使用對應的範圍內資源建立新的 AWS WAF Classic 政策 B,則新政策不會覆寫先前的 AWS WAF 政策 Web ACL。

如需政策範圍選項的詳細資訊,請參閱 AWS Firewall Manager 政策範圍


AWS 官方
AWS 官方已更新 2 年前