¿Cuál es el comportamiento de asociación de la ACL web para las políticas de AWS WAF y AWS WAF Classic de AWS Firewall Manager?

5 minutos de lectura
0

Creé una ACL web con una política de AWS WAF de AWS Firewall Manager. Sin embargo: Las ACL web no están asociadas correctamente con los recursos que están dentro de su ámbito. -o bien- Las políticas de Firewall Manager presentan un estado de no cumplimiento.

Resolución

El comportamiento de asociación de ACL web con la política de AWS WAF para Firewall Manager depende de lo siguiente:

  • Cómo se configura la corrección automática
  • Si el recurso que está dentro del ámbito ya tiene una ACL web asociada

Tenga en cuenta los siguientes escenarios cuando cree una política de AWS Firewall Manager para AWS WAF Classic o cree una política de Firewall Manager para AWS WAF:

Si la corrección automática de cualquier recurso que no cumpla con los requisitos no está activada, la ACL web creada por Firewall Manager no se asociará con los recursos dentro del ámbito.

Si solo se activa la corrección automática de los recursos no conformes, ocurre lo siguiente:

  • Para las cuentas de AWS no conformes que estén dentro del ámbito de la política, Firewall Manager crea una ACL web cuyo nombre comienza por FMManagedWebACLV2 . Esta ACL web contiene los grupos de reglas que se definen en la política.
  • Firewall Manager asocia la ACL web con todos los recursos no conformes de las cuentas. Sin embargo, si un recurso dentro del ámbito ya tiene una ACL web asociada, no se sustituirá la ACL web existente por la ACL web de la política de Firewall Manager.

Si se activa la corrección automática de los recursos no conformes y la opción Replace web ACLs that are currently associated with in-scope resources with the web ACLs created by this policy (Sustituir las ACL web que están asociadas actualmente a los recursos dentro del ámbito por las ACL web creadas por esta política), ocurre lo siguiente:

En el caso de una política de AWS WAF Classic para Firewall Manager

Si un recurso dentro del ámbito cuenta con algún elemento de los siguientes:

  • Una ACL web de AWS WAF Classic personalizada; en ese caso, la ACL web de la política de AWS WAF Classic para Firewall Manager anulará el recurso.
  • Una ACL web de AWS WAF personalizada; en dicho caso, la ACL web de la política de AWS WAF Classic para Firewall Manager no invalidará el recurso.
  • Una ACL web creada por la política de AWS Shield Avanzado; en ese caso, se sustituirá por la ACL web de la política de AWS WAF Classic para Firewall Manager.
  • Una ACL web creada por la política de AWS WAF Classic para Firewall Manager; en dicho caso, no se sustituirá por la ACL web de la política de AWS WAF Classic para Firewall Manager.
  • Una ACL web creada por la política de AWS WAF de Firewall Manager; en ese caso, no se sustituirá por la ACL web de la política de AWS WAF Classic para Firewall Manager.

Por ejemplo, suponga que tiene dos políticas en AWS WAF Classic, denominadas Política A y Política B, con recursos en ambas. Si tiene un recurso que está dentro del ámbito de la Política A y desea reemplazarlo por una ACL web creada por la Política B, debe editar el ámbito de la política A para excluir el recurso específico. Una vez excluido el recurso de la Política A, se elimina la asociación de la ACL web correspondiente al recurso. Si el recurso ahora está dentro del ámbito de la Política B, el recurso se asociará con la ACL web creada por la Política B.

En el caso de una política de AWS WAF para Firewall Manager

Si un recurso dentro del ámbito cuenta con algún elemento de los siguientes:

  • Una ACL web de AWS WAF Classic personalizada; en ese caso, la ACL web de la política de AWS WAF para Firewall Manager anulará el recurso.
  • Una ACL web de AWS WAF personalizada; en ese caso, la ACL web de la política de AWS WAF de Firewall Manager anulará el recurso.
  • Una ACL web creada por la política de AWS Shield Avanzado en ese caso, se sustituirá por la ACL web de la política de AWS WAF de Firewall Manager.
  • Una ACL web creada por la política de AWS WAF Classic para Firewall Manager; en dicho caso, la ACL web de la política de AWS WAF de Firewall Manager de Firewall Manager no lo sustituirá.
  • Una ACL web creada por la política de AWS WAF de Firewall Manager; en dicho caso, no se sustituirá por la ACL web de la política de AWS WAF de Firewall Manager.

Por ejemplo, suponga que tiene dos políticas en AWS WAF, denominadas Política A y Política B, con recursos dentro del ámbito. Si la política de limpieza de recursos no está establecida en Automatically remove protections from resources that leave the policy scope (Eliminar automáticamente las protecciones de los recursos que abandonan el ámbito de la política), ocurre lo siguiente:

  • Si el recurso sale del ámbito de la política, la ACL web creada por la Política A no se desasociará automáticamente del recurso.
  • Si crea una nueva Política B de AWS WAF con un recurso correspondiente dentro del ámbito, la nueva política anulará la ACL web de la política de AWS WAF anterior.
  • Si crea una nueva política B de AWS WAF Classic con un recurso correspondiente dentro del ámbito, la nueva política no anulará la ACL web de la política de AWS WAF anterior.

Para obtener más información sobre las opciones de ámbito de la política, consulte AWS Firewall Manager policy scope (Ámbito de las políticas de AWS Firewall Manager).


OFICIAL DE AWS
OFICIAL DE AWSActualizada hace 2 años