View a markdown version of this page

Habilitación AWS Config para usar Firewall Manager - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, y AWS Shield director de seguridad de red

Presentamos una nueva experiencia de consola para AWS WAF

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte Trabajar con la consola.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación AWS Config para usar Firewall Manager

Para usar Firewall Manager, debe habilitar AWS Config.

nota

Se le cobrará por su AWS Config configuración, según el AWS Config precio. Para obtener más información, consulta Cómo empezar con AWS Config.

nota

Para que Firewall Manager supervise el cumplimiento de las políticas, AWS Config debe registrar continuamente los cambios de configuración de los recursos protegidos. En su AWS Config configuración, la frecuencia de grabación debe estar establecida en Continua, que es la configuración predeterminada.

Para activar AWS Config para Firewall Manager

  1. AWS Config Actívela para cada una de sus cuentas de AWS Organizations miembro, incluida la cuenta de administrador del Firewall Manager. Para obtener más información, consulte Cómo empezar con AWS Config.

  2. AWS Config Actívela para cada una de las Región de AWS que contengan los recursos que desee proteger. Puede habilitarlo AWS Config manualmente o puede usar la CloudFormation plantilla «Habilitar AWS Config» en Plantillas AWS CloudFormation StackSets de muestra.

    Si no desea habilitar todos AWS Config los recursos, debe habilitar lo siguiente según el tipo de políticas de Firewall Manager que utilice:

    • Política de WAF: habilite Config para los tipos de recursos CloudFront Distribution, Application Load Balancer (ElasticLoadBalancingV2elija de la lista), API Gateway, WebACL de WAF, WebACL regional de WAF y WebACL de WAFv2. AWS Config Para poder proteger una CloudFront distribución, debe estar en la región EE.UU. Este (Norte de Virginia). Otras regiones no tienen CloudFront esta opción.

    • Política de protección: habilite Config para los tipos de recursos Shield Protection, ShieldRegional Protection, Application Load Balancer, EC2 EIP, WAF WebACL, WAF Regional WebACL y WAFv2 WebACL.

    • Política de grupo de seguridad común: habilite Config para los tipos de recursos Amazon EC2 SecurityGroup y Amazon EC2 VPC, además de los tipos de recursos de la lista de tipos de recursos de la política (normalmente Amazon EC2 Instance y Amazon EC2). NetworkInterface Si habilita la distribución de referencias a grupos de seguridad en la política, habilite también Amazon EC2 VPCPeeringConnection.

    • Política de auditoría de contenido de grupos de seguridad: habilite Config para los tipos de recursos Amazon EC2 SecurityGroup, Amazon EC2 y Amazon NetworkInterface EC2 Instance.

    • Política de auditoría de uso de grupos de seguridad: habilite Config para el tipo de recurso Amazon EC2 SecurityGroup.

    • Política de ACL de red: habilite Config para los tipos de recursos subred de Amazon EC2 y ACL de red de Amazon EC2.

    • Política de Network Firewall: habilite Config para los tipos de recursos NetworkFirewall FirewallPolicy NetworkFirewallRuleGroup, VPC de EC2, EC2, InternetGateway EC2 y subred de RouteTable EC2.

    • Política de firewall de DNS: habilite Config para el tipo de recurso EC2 VPC y Amazon Route 53. FirewallRuleGroupAssociation

    • Third-party política de firewall: habilite Config para los tipos de recursos Amazon EC2 VPC, Amazon EC2, Amazon EC2, InternetGateway Amazon EC2 Subnet y Amazon EC2 RouteTable VPCendpoint.

    nota

    Si configura su AWS Config grabadora para usar una función de IAM personalizada, debe asegurarse de que la política de IAM tenga los permisos adecuados para registrar los tipos de recursos necesarios de la política de Firewall Manager. Sin los permisos adecuados, es posible que no se registren los recursos necesarios, lo que impide que Firewall Manager proteja sus recursos de la manera correcta. Firewall Manager no puede ver estos errores de configuración de permisos. Para obtener información sobre el uso de IAM con AWS Config, consulte IAM for. AWS Config