Quel est le comportement d'association ACL Web pour AWS Firewall Manager AWS WAF et AWS WAF Classic ?

Dernière mise à jour : 21/07/2022

J'ai créé une ACL Web à l'aide d'une stratégie AWS Firewall Manager WAF AWS. Toutefois,

Les ACL Web ne sont pas correctement associées à leurs ressources incluses dans le champ d'application.

-ou-

Les stratégies de Firewall Manager sont dans un état non conforme.

Solution

Le comportement d'association ACL Web pour la stratégie AWS WAF de Firewall Manager dépend des éléments suivants :

  • Comment la correction automatique est configurée
  • Si votre ressource dans le champ d'application est déjà associée à une liste ACL Web

Envisagez les scénarios suivants lors de la création d'une stratégie AWS Firewall Manager pour AWS WAF Classic ou de la création d'une stratégie Firewall Manager pour AWS WAF :

Si la correction automatique des ressources non conformes n'est pas activée, la liste ACL Web créée par Firewall Manager ne sera pas associée aux ressources du champ d'application.

Si seule la correction automatique des ressources non conformes est activée, voici ce qui se produit :

  • Pour les comptes AWS non conformes qui entrent dans le champ d'application de la stratégie, Firewall Manager crée une liste ACL Web dont le nom commence par FMManagedWebACLV2 . Cette liste ACL Web contient les groupes de règles définis dans la stratégie.
  • Firewall Manager associe la liste ACL Web à toutes les ressources non conformes des comptes. Toutefois, si une ressource du champ d'application est déjà associée à une ACL Web, elle ne remplacera pas la liste ACL Web existante par la liste ACL Web de stratégie Firewall Manager.

Si la correction automatique des ressources non conformes et le remplacement des ACL Web qui sont actuellement associées aux ressources du champ d'application par les ACL Web créées par cette stratégie sont activés, les événements suivants se produisent :

Pour une politique classique AWS WAF de Firewall Manager

Si une ressource du champ d'application possède :

  • ACL Web classique AWS WAF personnalisée, alors la ressource est remplacée par la liste ACL Web de stratégie AWS WAF classique de Firewall Manager.
  • ACL Web AWS WAF personnalisée, alors la ressource n'est pas remplacée par la liste ACL Web de stratégie classique AWS WAF de Firewall Manager.
  • ACL Web créée par la stratégie AWS Shield Advanced, alors la ressource est remplacée par la politique ACL Web classique AWS WAF de Firewall Manager.
  • ACL Web créée par Firewall Manager AWS WAF Classic, alors la ressource n'est pas remplacée par Firewall Manager AWS WAF Classic Web ACL.
  • ACL Web créée par la stratégie AWS WAF de Firewall Manager, alors la ressource n'est pas remplacée par la politique ACL Web classique AWS WAF de Firewall Manager.

Par exemple, supposons que vous ayez deux stratégies dans AWS WAF Classic, appelées stratégie A et stratégie B avec des ressources dans les deux. Si vous avez une ressource qui fait partie de la portée de la stratégie A et que vous souhaitez la remplacer par une ACL Web créée par la stratégie B, vous devez modifier la portée de la stratégie A pour exclure la ressource spécifique. Une fois la ressource exclue de la stratégie A, l'association ACL Web correspondante pour la ressource est supprimée. Si la ressource fait maintenant partie de la portée de la stratégie B, elle sera alors associée à la liste ACL Web créée par la stratégie B.

Pour une politique AWS WAF de Firewall Manager

Si une ressource du champ d'application possède :

  • ACL Web classique AWS WAF personnalisée, alors la ressource est remplacée par la liste ACL Web de la stratégie AWS WAF de Firewall Manager.
  • ACL Web AWS WAF personnalisée, alors la ressource est remplacée par la liste ACL Web de la stratégie AWS WAF de Firewall Manager.
  • ACL Web créée par la stratégie AWS Shield Advanced, alors elle est remplacée par la politique Web ACL Web de Firewall Manager AWS WAF.
  • ACL Web créée par la stratégie classique AWS WAF de Firewall Manager, alors elle n'est pas remplacée par la politique ACL Web de la stratégie AWS WAF de Firewall Manager.
  • Web ACL créée par la stratégie AWS WAF de Firewall Manager, alors elle n'est pas remplacée par l'ACL Web de la politique AWS WAF de Firewall Manager.

Par exemple, supposons que vous ayez deux stratégies dans AWS WAF, appelées stratégie A et stratégie B avec des ressources dans le champ d'application. Si la stratégie de nettoyage des ressources n'est pas définie sur Supprimer automatiquement les protections des ressources qui quittent le champ d'application de la stratégie, voici ce qui se produit :

  • Si la ressource quitte le champ d'application de la stratégie, l'ACL Web créée par la stratégie A ne sera pas automatiquement dissociée de la ressource.
  • Si vous créez une nouvelle stratégie B AWS WAF avec une ressource correspondante dans le champ d'application, la nouvelle stratégie remplace la précédente politique AWS WAF Web ACL.
  • Si vous créez une nouvelle stratégie B AWS WAF Classic avec une ressource correspondante dans le champ d'application, la nouvelle stratégie ne remplacera pas la précédente politique AWS WAF Web ACL.

Pour plus d'informations sur les options de champ d’application des stratégies, consultez la section Étendue de la stratégie AWS Firewall Manager.


Cet article vous a-t-il été utile ?


Avez-vous besoin d'aide pour une question technique ou de facturation ?