AWS Firewall Manager AWS WAF 和 AWS WAF 经典策略的 Web ACL 关联行为是什么?

上次更新日期:2022 年 7 月 21 日

我使用 AWS Firewall Manager AWS WAF 策略创建了一个 Web ACL。不过,

Web ACL 与其范围内的资源未正确关联。

-或者-

Firewall Manager 策略处于不合规状态。

解决方法

Firewall Manager AWS WAF 策略的 Web ACL 关联行为取决于以下内容:

  • 如何配置自动修复
  • 您的范围内资源是否已经关联了 Web ACL

为 AWS WAF Classic 创建 AWS Firewall Manager 策略为 AWS WAF 创建 Firewall Manager 策略时,请考虑以下场景:

如果未启用自动修复任何不合规资源,则 Firewall Manager 创建的 Web ACL 将不会与范围内资源关联。

如果仅启用自动修复任何不合规资源,则会发生以下情况:

  • 对于策略范围内不合规的 AWS 账户,Firewall Manager 会创建一个名称以 FMManagedWebACLV2 开头的 Web ACL。此 Web ACL 包含策略中定义的规则组。
  • Firewall Manager 将 Web ACL 与账户中的所有不合规资源相关联。但是,如果范围内资源已有与之关联的 Web ACL,则不会将现有的 Web ACL 替换为 Firewall Manager 策略 Web ACL。

如果启用了自动修复任何不合规资源,并且使用此策略创建的 Web ACL 替换当前与范围内资源关联的 Web ACL,则会发生以下情况:

对于 Firewall Manager AWS WAF 经典策略

如果范围内的资源有:

  • 自定义 AWS WAF 经典 Web ACL,则该资源将被 Firewall Manager AWS WAF 经典策略 Web ACL 覆盖。
  • 自定义 AWS WAF Web ACL,则该资源不会被 Firewall Manager AWS WAF 经典策略 Web ACL 覆盖。
  • 由 AWS Shield Advanced 策略创建的 Web ACL,则该资源将被 Firewall Manager AWS WAF 经典策略 Web ACL 替换。
  • 由 Firewall Manager AWS WAF 经典策略创建的 Web ACL,则该资源不会被 Firewall Manager AWS WAF 经典策略 Web ACL 替换。
  • 由 Firewall Manager AWS WAF 策略创建的 Web ACL,则该资源不会被 Firewall Manager AWS WAF 经典策略 Web ACL 替换。

例如,假设您在 AWS WAF 经典中有两个策略,称为策略 A策略 B,两者都包含资源。如果您的资源在策略 A 的范围内,并且希望将其替换为策略 B 创建的 Web ACL,则必须编辑策略 A 的策略范围以排除该特定资源。将资源从策略 A 中排除后,该资源的对应 Web ACL 关联将被移除。如果该资源现在在策略 B 的范围内,则该资源将与策略 B 创建的 Web ACL 相关联。

对于 Firewall Manager AWS WAF 策略

如果范围内的资源有:

  • 自定义 AWS WAF 经典 Web ACL,则该资源将被 Firewall Manager AWS WAF 策略 Web ACL 覆盖。
  • 自定义 AWS WAF Web ACL,则该资源将被 Firewall Manager AWS WAF 策略 Web ACL 覆盖。
  • 由 AWS Shield Advanced 策略创建的 Web ACL,则该资源将被 Firewall Manager AWS WAF 策略 Web ACL 替换。
  • 由 Firewall Manager AWS WAF 经典策略创建的 Web ACL,则该资源不会被 Firewall Manager AWS WAF 策略 Web ACL 替换。
  • 由 Firewall Manager AWS WAF 策略创建的 Web ACL,则该资源不会被 Firewall Manager AWS WAF 策略 Web ACL 替换。

例如,假设您在 AWS WAF 中有两个策略,称为策略 A策略 B,范围内均有资源。如果资源清理策略未设置为自动移除对离开策略范围的资源的保护,则会发生以下情况:

  • 如果资源离开策略范围,则策略 A 创建的 Web ACL 不会自动取消与该资源的关联。
  • 如果您使用相应的范围内资源创建新的 AWS WAF 策略 B,则新策略将覆盖之前的 AWS WAF 策略 Web ACL。
  • 如果您使用相应的范围内资源创建新的 AWS WAF 经典策略 B,则新策略不会覆盖之前的 AWS WAF 策略 Web ACL。

有关策略范围选项的更多信息,请参阅 AWS Firewall Manager 策略范围


这篇文章对您有帮助吗?


您是否需要账单或技术支持?