Presentamos una nueva experiencia de consola para AWS WAF
Ahora puede usar la experiencia actualizada para acceder a las funciones de AWS WAF desde cualquier parte de la consola. Para obtener más información, consulta Trabajo con la experiencia de consola actualizada.
Uso de políticas de AWS Shield Advanced en Firewall Manager
En esta página, se explica cómo usar las políticas de AWS Shield con Firewall Manager. En una política de AWS Shield de Firewall Manager, elija los recursos que desea proteger. Al aplicar la política con la corrección automática activada, para cada recurso del alcance que aún no esté asociado a una ACL web AWS WAF, Firewall Manager asocia una ACL web vacía AWS WAF. La ACL web vacía se utiliza para la supervisión de Shield. Si, a continuación, asocia cualquier otra ACL web al recurso, Firewall Manager elimina la asociación ACL web vacía.
nota
Cuando un recurso al alcance de una política de AWS WAF entra en el ámbito de una política de Shield Avanzado configurada con mitigación automática de DDoS en la capa de aplicación, Firewall Manager aplica la protección Shield Avanzado solo después de asociar la ACL web creada por la política de AWS WAF.
Cómo administra AWS Firewall Manager las ACL web no asociadas en las políticas de Shield
Puede configurar si Firewall Manager administra las ACL web no asociadas por usted a través de Administrar ACL web no asociadas en su política o la configuración de optimizeUnassociatedWebACLs en el tipo de datos de SecurityServicePolicyData del API. Si habilita la administración de ACL web no asociadas en su política, Firewall Manager crea ACL web en las cuentas dentro del alcance de la política solo si las ACL web van a ser utilizadas al menos por un recurso. Si en algún momento, una cuenta entra en el alcance de la política, Firewall Manager crea automáticamente una ACL web en la cuenta si al menos un recurso utilizará la ACL web.
Cuando habilita la administración de ACL web no asociadas, Firewall Manager realiza una limpieza única de las ACL web no asociadas de su cuenta. El proceso de limpieza puede tardar varias horas. Si un recurso sale del alcance de la política después de que el Firewall Manager haya creado una ACL web, el Firewall Manager no disocia el recurso de la ACL web. Si desea que Firewall Manager limpie la ACL web, primero debe desasociar manualmente los recursos de la ACL web y, a continuación, habilitar la opción de administrar ACL web no asociadas en su política.
Si no habilita esta opción, Firewall Manager no administrará las ACL web no asociadas y el Firewall Manager creará automáticamente una ACL web en cada cuenta que esté dentro del alcance de la política.
Cómo administra AWS Firewall Manager los cambios de alcance en las políticas de Shield
Las cuentas y los recursos pueden quedar fuera del alcance de una política de AWS Firewall Manager Shield Advanced debido a una serie de cambios, como cambios en la configuración del alcance de la política, cambios en las etiquetas de un recurso y la eliminación de una cuenta de una organización. Para obtener información general sobre la configuración del alcance de la política, consulte Uso del ámbito de la política de AWS Firewall Manager.
Con una política de AWS Firewall Manager Shield Advanced, si una cuenta o un recurso queda fuera del alcance, Firewall Manager deja de supervisar la cuenta o el recurso.
Si una cuenta queda fuera del alcance al ser eliminada de la organización, seguirá suscrita a Shield Advanced. Dado que la cuenta ya no forma parte de la familia de facturación unificada, la cuenta generará una cuota de suscripción de Shield Advanced prorrateada. Por otro lado, una cuenta que queda fuera del alcance, pero permanece en la organización, no incurre en cargos adicionales.
Si un recurso queda fuera del alcance, seguirá protegido por Shield Advanced y seguirá incurriendo en gastos de transferencia de datos de Shield Advanced.
