本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
策略的 Web ACL Amazon WAF 管理
Firewall Manager 根据配置设置和一般策略管理 ACLs 为范围内资源创建和管理 Web ACL。
注意
如果配置了高级自动应用程序层 DDo S 防护的资源属于 Amazon WAF 策略的范围,则 Firewall Manager 无法将策略保护应用至资源,而将资源标记为不合规。
管理未关联的 Web ACL 配置 ACLs
策略配置设置,在任何资源都 ACLs 不会使用Web ACL 的情况下指定 ACLs Firewall Manager 如何管理账户的 Web ACL。如果您启用了对未关联的 Web ACL 管理 ACLs,则只有当至少一个资源使用 Web ACL 时,Firewall Manager 才 ACLs 会在策略范围内的账户 ACLs 中创建 Web ACL。如果未启用此选项,不管是否要使用 Web ACL,Firewall Manager 都会自动确保每个账户都有一个 Web ACL。
当启用时,只有至少有一个资源将使用 Web ACL 时,Firewall Manager 才会自动在该账户中创建一个 Web ACL。
此外,启用对未关联的 Web ACL 管理后 ACLs,Firewall Manager 会在创建策略时对您账户 ACLs 中的未关联Web ACL 执行一次性清理。在清理过程中,Firewall Manager ACLs 会跳过您在创建后修改的所有 Web ACL,例如,如果您向 Web ACL 添加了规则组或修改了其设置。清理过程可能需要数小时时间。如果资源在 Firewall Manager 创建 Web ACL 后离开策略范围,Firewall Manager 将取消该资源与 Web ACL 的关联,但不会清理未关联的 Web ACL。只有 ACLs 当您在策略中首次启用对未关联的 Web ACL 的管理时,Firewall Manager 才会清理未关联的 Web AC ACLs L。
在 API optimizeUnassociatedWebACL 中,此设置为SecurityServicePolicyData数据类型。示例:\"optimizeUnassociatedWebACL\":false
Web ACL 源配置:创建所有新的 Web ACL,还是改造现有 Web ACL?
策略配置设置,指定 Firewall Manager 如何处理与范围内资源相关联的现有 Web ACLs ACL。
默认情况下,Firewall Manager 会 ACLs 为范围内资源创建所有新 Web ACL。通过改造之后,Firewall Manager 会使用任何已投入使用的现有任何现有 We ACLs b ACL,并且仅 ACLs 为尚未关联至 Web ACL 的资源创建一个新Web ACL。
当策略进行改造配置时,与范围内资源关联的所有 Web ACLs ACL 都将进行改造或标为不合规。
只有在 Web ACL 满足以下要求时,Firewall Manager 才会对其进行改造:
Web ACL 归使用者账户所有。
Web ACL 仅与范围内资源关联。
提示
在配置改造 Amazon WAF 策略进行改造之前,请确保与该策略的范围内资源关联的 Web ACLs ACL 未与任何 out-of-scope资源相关联。
提示
如果要删除关联资源,首先取消资源与 Web ACL 的关联。如果 Web ACL 由于与资源关联而不合规,在不先将 out-of-scope资源与网络 ACL 取消关联的情况下删除该 out-of-scope资源,可使网络 ACL 进入合规状态,然后 Firewall Manager 可以通过修复来改造 Web ACL,但这种情况下的修复最长可能会延迟 24 小时。
有关访问合规性违规详细信息的信息,请参阅 查看 Amazon Firewall Manager 策略的合规性信息。
如果可以改造 Web ACL,Firewall Manager 会按如下方式对其进行修改:
Firewall Manager 在 Web ACL 的现有规则前面插入 Amazon WAF 策略的第一个规则组,并在末尾附加了 Amazon WAF 策略的最后一个规则组。有关规则组管理的信息,请参阅 Amazon WAF 策略的规则组管理。
如果该策略具有日志记录配置,则仅当 Web ACL 尚未进行日志记录配置时,Firewall Manager 才会将其添加到 Web ACL 中。如果 Web ACL 具有由该帐户配置的日志记录,Firewall Manager 会在改造期间和后续更新策略的日志配置时将其保留在原处。
Firewall Manager 不验证也不配置其他任何 Web ACL 属性。例如,Firewall Manager 不会修改 Web ACL 的默认操作、自定义请求标头、CAPTCHA 或 Challenge 配置或令牌域列表。Firewall Manager 仅在其创建的 Web ACL 创建 ACLs 的 Web ACL 上配置这些其他属性。
在 Firewall Manager 对现有的所有关联 Web ACL 进行改造之后 ACLs,对于任何没有 Web ACL 的范围内资源,Firewall Manager 将按照默认策略行为处理此资源。如果是 Amazon WAF 可以保护的资源,则 Firewall Manager 会创建 Firewall Manager Web ACL 并将其与此资源关联。
在 API 中,Web ACL 源设置为webACLSourceSecurityServicePolicyData数据类型。示例:\"webACLSource\":\"RETROFIT_EXISTING\"
采样和 CloudWatch 指标
Amazon Firewall Manager 为其为 Amazon WAF 策略创建的 Web ACLs 和规则组启用采样和 Amazon CloudWatch 指标。
Web ACL 命名
Firewall Manager 创建的 Web ACL 以该 Amazon WAF 策略命名,如下所示:FMManagedWebACLV2-。时间戳以毫秒为单位。例如 policy
name-timestampFMManagedWebACLV2-MyWAFPolicyName-1621880374078。
Firewall Manager 改造的 Web ACL 的名称即为使用者账户在创建时指定的名称。Web ACL 名称在创建后无法更改。
注意
如果配置了高级自动应用程序层 DDo S 防护的资源属于 Amazon WAF 策略的范围,则 Firewall Manager 无法将该 Amazon WAF 策略创建的 Web ACL 与该资源相关联。