Qual é o comportamento de associação da ACL da Web para as políticas clássicas do AWS Firewall Manager do AWS WAF e do AWS WAF?

5 minuto de leitura

Criei uma ACL da Web usando uma política do AWS WAF do AWS Firewall Manager. No entanto: As ACLs da Web não estão associadas corretamente aos recursos dentro do escopo.

ou - As políticas do Firewall Manager estão em status de não conformidade.

Resolução

O comportamento de associação da ACL da Web para a política do AWS WAF do Firewall Manager depende do seguinte:

Como a correção automática está configurada
Se o recurso dentro do escopo já tem uma ACL da Web associada

Considere os seguintes cenários ao criar uma política do AWS Firewall Manager para o AWS WAF Classic ou ao criar uma política do Firewall Manager para o AWS WAF:

Se a correção automática de quaisquer recursos não compatíveis não estiver ativada, a ACL da Web criada pelo Firewall Manager não será associada aos recursos dentro do escopo.

Se apenas a correção automática de quaisquer recursos não compatíveis estiver ativada, ocorrerá o seguinte:

Para contas da AWS não compatíveis que estejam dentro do escopo da política, o Firewall Manager cria uma ACL da Web cujo nome começa com FMManagedWebACLV2 . Essa ACL da Web contém os grupos de regras definidos na política.
O Firewall Manager associa a ACL da Web a todos os recursos não compatíveis nas contas. No entanto, se um recurso dentro do escopo já tiver uma ACL da Web associada, ele não a substituirá pela ACL da Web da política do Firewall Manager.

Se a correção automática de recursos não compatíveis e a opção Replace web ACLs that are currently associated with in-scope resources with the web ACLs created by this policy (Substituir ACLs da Web atualmente associadas a recursos dentro do escopo pelas ACLs da Web criadas por essa política) estiverem ativadas, ocorrerá o seguinte:

Para uma política do AWS WAF Classic do Firewall Manager

Se um recurso dentro do escopo tiver uma:

ACL da Web personalizada do AWS WAF Classic, o recurso será substituído pela ACL da Web da política do AWS WAF Classic do Firewall Manager.
ACL da Web personalizada do AWS WAF, o recurso não será substituído pela ACL da Web da política do AWS WAF Classic do Firewall Manager.
ACL da Web criada pela política avançada do AWS Shield Avançado, o recurso será substituído pela ACL da Web da política do AWS WAF Classic do Firewall Manager.
ACL da Web criada pela política do AWS WAF Classic do Firewall Manager, o recurso não será substituído pela ACL da Web da política do AWS WAF Classic do Firewall Manager.
ACL da Web criada pela política do AWS WAF do Firewall Manager, o recurso não será substituído pela ACL da Web da política do AWS WAF Classic do Firewall Manager.

Por exemplo, suponha que você tenha duas políticas no AWS WAF Classic, chamadas Política A ePolítica B, com recursos em ambas. Se você tiver um recurso que esteja no escopo da Política A e quiser substituí-lo por uma ACL da Web criada pela Política B, edite o escopo da Política A para excluir o recurso específico. Depois que o recurso é excluído da Política A, a associação de ACL da Web correspondente para esse recurso é removida. Se o recurso agora estiver no escopo da Política B, ele será associado à ACL da Web criada pela Política B.

Para uma política do AWS WAF do Firewall Manager

Se um recurso dentro do escopo tiver uma:

ACL da Web personalizada do AWS WAF Classic, o recurso será substituído pela ACL da Web da política do AWS WAF do Firewall Manager.
ACL da Web personalizada do AWS WAF, o recurso será substituído pela ACL da Web da política do AWS WAF do Firewall Manager.
ACL da Web criada pela política avançada do AWS Shield Avançado, o recurso será substituído pela ACL da Web da política do AWS WAF do Firewall Manager.
ACL da Web criada pela política do AWS WAF Classic do Firewall Manager, o recurso não será substituído pela ACL da Web da política do AWS WAF do Firewall Manager.
ACL da Web criada pela política do AWS WAF do Firewall Manager, o recurso não será substituído pela ACL da Web da política do AWS WAF do Firewall Manager.

Por exemplo, suponha que você tenha duas políticas no AWS WAF, chamadas Política A e Política B, com recursos dentro do escopo. Se a política de limpeza de recursos não estiver definida como Automatically remove protections from resources that leave the policy scope (Remover automaticamente as proteções dos recursos que saem do escopo da política), ocorrerá o seguinte:

Se o recurso sair do escopo da política, a ACL da Web criada pela Política A não será automaticamente desassociada do recurso.
Se você criar uma nova Política B do AWS WAF com um recurso dentro do escopo correspondente, a nova política substituirá a ACL da Web da política anterior do AWS WAF.
Se você criar uma nova Política B do AWS WAF Classic com um recurso dentro do escopo correspondente, a nova política não substituirá a ACL da Web da política anterior do AWS WAF.

Para obter mais informações sobre as opções de escopo de política, consulte Escopo de políticas do AWS Firewall Manager.

Tópicos

Segurança, identidade e conformidade

Conteúdo relevante

Como faço para migrar do AWS WAF Classic para o AWS WAF e qual é o tempo de inatividade durante a migração?
AWS OFICIALAtualizada há 2 anos
Como as métricas e os logs são formatados para a ação da regra de contagem no AWS WAF?
AWS OFICIALAtualizada há 2 anos
Por que a remediação automática não está funcionando para minha política WAF do AWS Firewall Manager?
AWS OFICIALAtualizada há 10 meses
Qual suporte está disponível para grupos de regras do AWS Marketplace para o AWS WAF?
AWS OFICIALAtualizada há 2 anos