本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Shield Advanced 政策
在 Firew Amazon Shield all Manager 策略中,您可以选择要保护的资源。当您在启用自动修复的情况下应用策略时,对于每个尚未与 Amazon WAF Web ACL 关联的范围内资源,Firewall Manager 都会关联一个空的 Amazon WAF Web ACL。这个空的 Web ACL 将用于 Shield 监控目的。如果您随后将任何其他 Web ACL 关联到该资源,Firewall Manager 将删除这个空 Web ACL 关联。
注意
当 Amazon WAF 策略范围内的资源进入配置了自动应用层 DDoS 缓解的 Shield Advanced 策略的范围时,Firewall Manager 只有在关联该策略创建的 Web ACL 后才会应用 Shield Advanced 保护。 Amazon WAF
如何在 Shield 策略中 Amazon Firewall Manager 管理未关联的 Web ACL
您可以通过策略中的 “管理未关联的 Web ACL” 设置或 API 中SecurityServicePolicyData数据类型的设置来配置 Firewall Manager 是否为您管理未关联的 Web ACL。optimizeUnassociatedWebACLs如果在策略中启用了无关联 Web ACL 管理,则只有在 Web ACL 将被至少一个资源使用的情况下,Firewall Manager 才会在策略作用域内的账户中创建 Web ACL。当某个账户在任何时候进入策略范围时,如果至少有一个资源将使用 Web ACL,则 Firewall Manager 会自动在该账户中创建一个 Web ACL。
启用对未关联 Web ACL 的管理后,Firewall Manager 会对您账户中的未关联 Web ACL 执行一次性清理。清理过程可能需要数小时时间。如果资源在 Firewall Manager 创建 Web ACL 后离开策略范围,Firewall Manager 不会取消该资源与 Web ACL 的关联。如果希望 Firewall Manager 清理 Web ACL,则必须先手动取消资源与 Web ACL 的关联,然后在策略中启用管理未关联 Web ACL选项。
如果您不启用此选项,Firewall Manager 将不管理未关联 Web ACL,并且 Firewall Manager 会自动在策略范围内的每个账户中创建一个 Web ACL。
如何 Amazon Firewall Manager 管理 Shield 策略中的范围变化
由于许多更改,例如策略范围设置的更改、资源标签的更改以及将帐户从组织中删除,账户和资源可能会超出 Amazon Firewall Manager Shield Advanced 策略的范围。有关策略范围设置的一般信息,请参阅 Amazon Firewall Manager 政策范围。
使用 Amazon Firewall Manager Shield Advanced 策略时,如果账户或资源超出范围,Firewall Manager 将停止监控该账户或资源。
如果账户因从组织中移除而超出范围,则该账户将继续订阅 Shield Advanced。由于账户不再是整合账单账户系列的一部分,因此该账户将产生按比例分配的 Shield Advanced 订阅费用。另一方面,超出范围但仍留在组织中的账户不会产生额外费用。
如果资源超出范围,它将继续受到 Shield Advanced 的保护,并继续chan's产生 Shield Advanced 数据传输费用。
自动应用程序层 DDoS 缓解
当您将 Shield Advanced 策略应用于 Amazon CloudFront 分配或应用程序负载均衡器时,您可以选择在策略中配置 Shield Advanced 自动应用程序层 DDoS 缓解措施。
有关 Shield Advanced 自动缓解的信息,请参阅 Shield Advanced 应用程序层 DDoS 自动缓解。
Shield Advanced 应用程序层 DDoS 自动缓解具有以下要求:
-
自动应用层 DDoS 缓解仅适用于 Amazon CloudFront 分配和应用程序负载均衡器。
如果将您的 Shield Advanced 政策应用于亚马逊 CloudFront 分配,则可以为为全球区域创建的 Shield Advanced 策略选择此选项。如果对应用程序负载均衡器应用保护,则可以将该策略应用于 Firewall Manager 支持的任何区域。
-
自动应用层 DDoS 缓解仅适用于使用最新版本 Amazon WAF (v2) 创建的 Web ACL。
因此,如果您的策略使用 Amazon WAF 经典 Web ACL,则需要将该策略替换为自动使用最新版本的新策略,或者让 Firewall Manager 为您的现有策略创建新版本的 Web ACL,然后切换到使用它们。 Amazon WAF有关选项的更多信息,请参阅将 Amazon WAF 经典 Web ACL 替换为最新版本的 Web ACL。
自动缓解配置
Firewall Manager Shield Advanced 策略的应用程序层 DDoS 自动缓解选项将 Shield Advanced 自动缓解功能应用于您的策略范围内的账户和资源。有关 Shield Advanced 功能的详细信息,请参阅 Shield Advanced 应用程序层 DDoS 自动缓解。
您可以选择让 Firewall Manager 为策略范围内的 CloudFront分配或应用程序负载均衡器启用或禁用自动缓解,也可以选择让策略忽略 Shield 高级自动缓解设置:
-
启用 – 如果您选择启用自动缓解,则还需要设定缓解 Shield Advanced 规则应计算还是应阻止匹配的 Web 请求。如果范围内的资源未启用自动缓解功能,或者使用的规则操作与您为策略指定的规则操作不匹配,则 Firewall Manager 会将其标记为不合规。如果将策略配置为自动修正,则 Firewall Manager 会根据需要更新不合规资源。
-
禁用 – 如果您选择禁用自动缓解,则 Firewall Manager 会将范围内的资源标记为不合规,但前提是这些资源启用了自动缓解。如果将策略配置为自动修正,则 Firewall Manager 会根据需要更新不合规资源。
-
忽略 – 如果您选择忽略自动缓解,则 Firewall Manager 在为该策略执行修正活动时不会考虑该策略中的任何自动缓解设置。此设置允许您通过 Shield Advanced 控制自动缓解,无需让 Firewall Manager 覆盖这些设置。此设置不适用于通过 Shield Advanced 管理的任何经典负载均衡器或弹性 IP 资源,因为 Shield Advanced 目前不支持这些资源的 L7 自动缓解。
将 Amazon WAF 经典 Web ACL 替换为最新版本的 Web ACL
自动应用层 DDoS 缓解仅适用于使用最新版本 Amazon WAF (v2) 创建的 Web ACL。
要确定您的 Shield Advanced 策略的 Web ACL 版本,请参阅 确定 Shield Advanced 策略使用的版本 Amazon WAF。
如果您想在 Shield Advanced 策略中使用自动缓解,并且您的策略目前使用 Amazon WAF 经典 Web ACL,则可以创建一个新的 Shield Advanced 策略来替换当前的 Shield Advanced 策略,也可以使用本节中描述的选项将早期版本的 Web ACL 替换为当前 Shield Advanced 策略中的新 (v2) Web ACL。新策略始终使用最新版本的创建 Web ACL。 Amazon WAF如果您替换了整个策略,则在删除策略时,也可以让 Firewall Manager 删除所有早期版本的 Web ACL。本节的其余部分将介绍替换现有策略中的 Web ACL 的选项。
当您修改亚马逊 CloudFront 资源的现有 Shield Advanced 策略时,Firewall Manager 可以在任何还没有 v2 Web ACL 的范围内账户中自动为该策略创建一个新的空 Amazon WAF (v2) Web ACL。当 Firewall Manager 创建新的 Web ACL 时,如果该策略在同一个账户中已经有经 Amazon WAF 典 Web ACL,Firewall Manager 会使用与现有 Web ACL 相同的默认操作设置来配置新版本的 Web ACL。如果现有 Amazon WAF 经典 Web ACL 不存在,Firewall Manager 会在新 Web ACL Allow 中将默认操作设置为。Firewall Manager 创建新的 Web ACL 后,您可以根据需要通过 Amazon WAF 控制台对其进行自定义。
当您选择以下任何策略配置选项时,Firewall Manager 会为尚未拥有新 (v2) Web ACL 的范围内账户创建新的 (v2) Web ACL:
-
当您启用或禁用应用程序层 DDoS 自动缓解时。如果仅选择此选项,则 Firewall Manager 只会创建新的 Web ACL,而不会替换策略范围内资源上的任何现有 Amazon WAF Classic Web ACL 关联。
-
当您选择自动修复的策略操作并选择将 Amazon WAF 经典 Web ACL 替换为 Amazon WAF (v2) Web ACL 的选项时。无论您选择哪种配置,您都可以选择替换早期版本的 Web ACL,以实现应用程序层 DDoS 自动缓解。
选择替换选项时,Firewall Manager 会根据需要创建新版本的 Web ACL,然后为策略的范围内资源执行以下操作:
-
如果某个资源与任何其他活动的 Firewall Manager 策略中的 Web ACL 关联,则 Firewall Manager 不会对其进行关联。
-
对于任何其他情况,Firewall Manager 都会删除与经 Amazon WAF 典 Web ACL 的任何关联,并将该资源与策略的 Amazon WAF (v2) Web ACL 相关联。
-
您可以根据需要选择让 Firewall Manager 以新版本的 Web ACL 替换早期版本的 Web ACL。如果您之前已自定义策略的 Amazon WAF Classic Web ACL,则在选择让 Firewall Manager 执行替换步骤之前,可以将新版本的 Web ACL 更新为类似设置。
您可以通过相同版本的控制台或 Cl Amazon WAF assic 访问策略的任一版本的 Web ACL。 Amazon WAF
在您删除策略本身之前,Firewall Manager 不会删除任何替换的 Amazon WAF 经典 Web ACL。在该策略不再使用 Amazon WAF 经典 Web ACL 之后,您可以根据需要将其删除。
确定 Shield Advanced 策略使用的版本 Amazon WAF
您可以通过查看策略的 Amazon WAF Amazon Config 服务相关规则中的参数密钥来确定使用哪个版本的 Firewall Manager Shield 高级策略。如果使用的 Amazon WAF 版本是最新版本,则参数键包括policyId和webAclArn。如果是早期版本 C Amazon WAF lassic,则参数键包括webAclId和resourceTypes。
该 Amazon Config 规则仅列出策略当前在范围内资源中使用的 Web ACL 的密钥。
确定 Amazon WAF 您的 Firewall Manager Shield 高级策略使用哪个版本
-
检索 Shield Advanced 策略的策略 ID:
-
Amazon Web Services Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.amazonaws.cn/wafv2/fmsv2
。有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件。 -
在导航窗格中,选择安全策略。
-
为策略选择区域。对于 CloudFront 发行版,这是
Global。 -
找到您想要的策略并复制其策略 ID 的值。
示例策略 ID:
1111111-2222-3333-4444-a55aa5aaa555。
-
-
通过将策略 ID 附加到字符串
FMManagedShieldConfigRule来创建策略的 Amazon Config 规则名称。Amazon Config 规则名称示例:
FMManagedShieldConfigRule1111111-2222-3333-4444-a55aa5aaa555. -
在相关 Amazon Config 规则的参数中搜索名为
policyId和的密钥webAclArn:-
打开 Amazon Config 控制台,网址为 https://console.aws.amazon.com/config/
。 -
在导航窗格中,选择规则。
-
在列表中找到 Firew Amazon Config all Manager 策略的规则名称并将其选中。规则页面随即打开。
-
在规则详细信息下的参数部分中,查看这些键。如果您找到名为
policyId和webAclArn的键,则策略将采用使用最新版本的 Amazon WAF创建的 Web ACL。如果您找到名为webAclId和的密钥resourceTypes,则策略将使用使用早期版本 Cl Amazon WAF assic 创建的 Web ACL。
-