Qual è il comportamento dell'associazione di ACL Web per le policy AWS WAF e AWS WAF classiche di Gestione dei firewall AWS?

Ultimo aggiornamento: 21/07/2022

Ho creato un'ACL Web utilizzando una policy AWS WAF di Gestione dei firewall AWS. However:

Le ACL Web non sono associate correttamente alle relative risorse nell'ambito.

-oppure-

Le policy di Gestione dei firewall sono in uno stato non conforme.

Risoluzione

Il comportamento dell'associazione di ACL Web per la policy AWS WAF di Gestione dei firewall dipende da:

  • Come è configurata la riparazione automatica
  • Se alla risorsa in uso è già associata un'ACL Web

Considera i seguenti scenari durante la creazione di una policy per AWS WAF Classic di Gestione dei firewall AWS o Creazione di una policy di Gestione dei firewall AWS per AWS WAF:

Se la correzione automatica delle risorse non conformi non è attivata, l'ACL Web creata da Gestione dei firewall non verrà associata alle risorse incluse nell'ambito.

Se è attivata solo la correzione automatica delle risorse non conformi, si verifica quanto segue:

  • Per gli account AWS non conformi che rientrano nell'ambito della policy, Gestione dei firewall crea un'ACL Web il cui nome inizia con FMManagedWebACLV2 . Questa ACL Web contiene i gruppi di regole definiti nella policy.
  • Gestione dei firewall associa l'ACL Web a tutte le risorse non conformi negli account. Tuttavia, se a una risorsa nell'ambito è già associata un'ACL Web, allora questa non sostituirà l'ACL Web esistente con l'ACL Web della policy di Gestione dei firewall.

Se la correzione automatica delle risorse non conformi e la sostituzione delle ACL Web correntemente associate alle risorse incluse nell'ambito con le ACL Web create da questa policy sono attivate, si verifica quanto segue:

Per una policy AWS WAF Classic di Gestione dei firewall

Se una risorsa nell'ambito ha:

  • Un'ACL Web classica di AWS WAF Classic personalizzata, allora la risorsa viene sostituita dall'ACL Web della policy AWS WAF di Gestione dei firewall.
  • Un'ACL Web di AWS WAF personalizzata, allora la risorsa non viene sostituita dall'ACL Web della policy di AWS WAF classico per Gestione dei firewall.
  • Un'ACL Web creata dalla policy AWS Shield Avanzato, allora viene sostituita sostituito dall'ACL Web della policy di AWS WAF classico per Gestione dei firewall.
  • Un'ACL Web creata dalla policy di AWS WAF classico per Gestione dei firewall, quindi non viene sostituita dall'ACL Web della policy di AWS WAF classico per Gestione dei firewall.
  • Un'ACL Web creata dalla policy AWS WAF di Gestione dei firewall, quindi non viene sostituita dall'ACL Web della policy di AWS WAF classico per Gestione dei firewall.

Ad esempio, supponiamo di avere due policy in AWS WAF classico, denominate Policy A e Policy B, entrambe con delle risorse. Se hai una risorsa che rientra nell'ambito della Policy A e desideri sostituirla con un'ACL Web creata dalla Policy B, allora dovrai modificare l'ambito della Policy A in modo da escludere la risorsa specifica. Dopo che la risorsa è stata esclusa da Policy A, l'associazione dell'ACL Web corrispondente per la risorsa viene rimossa. Se la risorsa rientra ora nell'ambito di Policy B, la risorsa verrà associata all'ACL Web creata da Policy B.

Per una policy AWS WAF per Gestione dei firewall

Se una risorsa nell'ambito ha:

  • Un'ACL Web di AWS WAF classico personalizzata, allora la risorsa viene sostituita dall'ACL Web della policy di AWS WAF per Gestione dei firewall.
  • Un'ACL Web di AWS WAF personalizzata, allora la risorsa viene sostituita dall'ACL Web della policy di AWS WAF per Gestione dei firewall.
  • Un'ACL Web creata dalla policy di AWS Shield Avanzato, allora viene sostituita dall'ACL Web della policy di AWS WAF per Gestione dei firewall.
  • Un'ACL Web creata dalla policy di AWS WAF classico per Gestione dei firewall, allora non viene sostituita dall'ACL Web della policy di AWS WAF per Gestione dei firewall.
  • Un'ACL Web creata dalla policy di AWS WAF per Gestione del firewall, allora non viene sostituita dall'ACL Web della policy di AWS WAF per Gestione del firewall.

Ad esempio, supponiamo di avere due policy in AWS WAF, denominate Policy A e Policy B con delle risorse nell'ambito. Se la policy di pulizia delle risorse non è impostata su Rimuovi automaticamente le protezioni dalle risorse che escono dall'ambito della policy, si verifica quanto segue:

  • Se la risorsa lascia l'ambito della policy, l'ACL Web creata da Policy A non verrà automaticamente dissociata dalla risorsa.
  • Se crei una nuova Policy B di AWS WAF con una corrispondente risorsa nell'ambito, allora la nuova policy sostituirà la precedente ACL Web della policy di AWS WAF.
  • Se crei una nuova Policy B di AWS WAF classico con una corrispondente risorsa nell'ambito, allora la nuova policy non sostituirà la precedente ACL Web della policy di AWS WAF.

Per ulteriori informazioni sulle opzioni relative all'ambito delle policy, consulta Ambito delle policy di Gestione dei firewall AWS.


Questo articolo è stato utile?


Hai bisogno di supporto tecnico o per la fatturazione?