AWS - Firewall Manager Enum

Firewall Manager

AWS Firewall Manager, AWS WAF, AWS Shield Advanced, Amazon VPC güvenlik grupları ve Ağ Erişim Kontrol Listeleri (ACL'ler), AWS Network Firewall, AWS Route 53 Resolver DNS Firewall ve üçüncü taraf güvenlik duvarları yönetimini ve bakımını kolaylaştırır. Güvenlik duvarı kurallarınızı, Shield Advanced korumalarını, VPC güvenlik gruplarını ve Network Firewall ayarlarını yalnızca bir kez yapılandırmanıza olanak tanır; hizmet, bu kuralları ve korumaları hesaplarınız ve kaynaklarınız arasında otomatik olarak uygulayarak, yeni eklenenleri de kapsar.

Hizmet, belirli kaynakları bir araya toplama ve koruma yeteneği sunar; örneğin, ortak bir etikete sahip olanlar veya tüm CloudFront dağıtımlarınız gibi. Firewall Manager'ın önemli bir avantajı, yeni eklenen kaynaklara otomatik olarak koruma sağlamasıdır.

Bir kural grubu (WAF kurallarının bir koleksiyonu), belirli AWS kaynaklarına, örneğin CloudFront dağıtımlarına veya uygulama yük dengeleyicilerine bağlanan bir AWS Firewall Manager Politikasına dahil edilebilir.

AWS Firewall Manager, güvenlik grubu politikalarının yapılandırmasını ve yönetimini basitleştirmek için yönetilen uygulama ve protokol listeleri sunar. Bu listeler, politikalarınızın izin verdiği veya reddettiği protokolleri ve uygulamaları tanımlamanıza olanak tanır. İki tür yönetilen liste vardır:

• Firewall Manager yönetilen listeleri: Bu listeler FMS-Default-Public-Access-Apps-Allowed, FMS-Default-Protocols-Allowed ve FMS-Default-Protocols-Allowed içerir. Firewall Manager tarafından yönetilir ve genel kamuya izin verilmesi veya reddedilmesi gereken yaygın olarak kullanılan uygulama ve protokolleri içerir. Bunları düzenlemek veya silmek mümkün değildir, ancak sürümünü seçebilirsiniz.

• Özel yönetilen listeler: Bu listeleri kendiniz yönetirsiniz. Kuruluşunuzun ihtiyaçlarına göre özel uygulama ve protokol listeleri oluşturabilirsiniz. Firewall Manager yönetilen listelerinin aksine, bu listelerin sürümleri yoktur, ancak özel listeler üzerinde tam kontrol sahibi olursunuz; böylece gerektiğinde oluşturabilir, düzenleyebilir ve silebilirsiniz.

Firewall Manager politikalarının yalnızca "Block" veya "Count" eylemlerine izin verdiğini belirtmek önemlidir; "Allow" seçeneği yoktur.

Prerequisites

Firewall Manager'ı yapılandırmaya geçmeden önce aşağıdaki ön koşul adımlarının tamamlanması gerekmektedir. Bu adımlar, Firewall Manager'ın güvenlik politikalarını uygulaması ve AWS ortamınızda uyumluluğu sağlaması için gerekli temel ayarları sağlar:

1. AWS Organizations'a katılın ve yapılandırın: AWS hesabınızın, AWS Firewall Manager politikalarının uygulanmasının planlandığı AWS Organizations organizasyonunun bir parçası olduğundan emin olun. Bu, organizasyon içindeki birden fazla AWS hesabı arasında kaynakların ve politikaların merkezi yönetimini sağlar.

2. AWS Firewall Manager Varsayılan Yönetici Hesabı oluşturun: Firewall Manager güvenlik politikalarını yönetmek için özel bir varsayılan yönetici hesabı oluşturun. Bu hesap, organizasyon genelinde güvenlik politikalarını yapılandırmak ve uygulamakla sorumlu olacaktır. Sadece organizasyonun yönetim hesabı, Firewall Manager varsayılan yönetici hesapları oluşturabilir.

3. AWS Config'i etkinleştirin: Firewall Manager'a güvenlik politikalarını etkili bir şekilde uygulamak için gerekli yapılandırma verilerini ve içgörüleri sağlamak üzere AWS Config'i etkinleştirin. AWS Config, kaynak yapılandırmalarını ve değişikliklerini analiz etmeye, denetlemeye, izlemeye ve denetlemeye yardımcı olur; bu da daha iyi güvenlik yönetimi sağlar.

4. Üçüncü Taraf Politikaları için AWS Marketplace'te abone olun ve Üçüncü Taraf Ayarlarını yapılandırın: Üçüncü taraf güvenlik duvarı politikalarını kullanmayı planlıyorsanız, bunlara AWS Marketplace'te abone olun ve gerekli ayarları yapılandırın. Bu adım, Firewall Manager'ın güvenilir üçüncü taraf satıcıların politikalarını entegre etmesini ve uygulamasını sağlar.

5. Ağ Güvenlik Duvarı ve DNS Güvenlik Duvarı Politikaları için kaynak paylaşımını etkinleştirin: Özellikle Ağ Güvenlik Duvarı ve DNS Güvenlik Duvarı politikaları için kaynak paylaşımını etkinleştirin. Bu, Firewall Manager'ın organizasyonunuzun VPC'lerine ve DNS çözümlemesine güvenlik duvarı korumalarını uygulamasını sağlar ve ağ güvenliğini artırır.

6. Varsayılan olarak devre dışı olan bölgelerde AWS Firewall Manager'ı kullanmak için: Firewall Manager'ı varsayılan olarak devre dışı olan AWS bölgelerinde kullanmayı planlıyorsanız, bu bölgelerde işlevselliğini etkinleştirmek için gerekli adımları attığınızdan emin olun. Bu, organizasyonunuzun faaliyet gösterdiği tüm bölgelerde tutarlı güvenlik uygulamasını sağlar.

Daha fazla bilgi için kontrol edin: AWS Firewall Manager AWS WAF politikaları ile başlama.

Types of protection policies

AWS Firewall Manager, organizasyonunuzun altyapısının farklı yönlerinde güvenlik kontrollerini uygulamak için birkaç tür politika yönetir:

1. AWS WAF Politikası: Bu politika türü, hem AWS WAF hem de AWS WAF Classic'i destekler. Politikanın hangi kaynakları koruduğunu tanımlayabilirsiniz. AWS WAF politikaları için, web ACL'sinde ilk ve son çalışacak kural gruplarını belirtebilirsiniz. Ayrıca, hesap sahipleri bu setlerin arasında çalışacak kuralları ve kural gruplarını ekleyebilir.

2. Shield Advanced Politikası: Bu politika, belirli kaynak türleri için organizasyonunuz genelinde Shield Advanced korumalarını uygular. DDoS saldırılarına ve diğer tehditlere karşı koruma sağlamaya yardımcı olur.

3. Amazon VPC Güvenlik Grubu Politikası: Bu politika ile organizasyonunuzda kullanılan güvenlik gruplarını yönetebilir, AWS ortamınızda ağ erişimini kontrol etmek için temel bir kural seti uygulayabilirsiniz.

4. Amazon VPC Ağ Erişim Kontrol Listesi (ACL) Politikası: Bu politika türü, organizasyonunuzda kullanılan ağ ACL'leri üzerinde kontrol sağlar ve AWS ortamınızda temel bir ağ ACL seti uygulamanıza olanak tanır.

5. Ağ Güvenlik Duvarı Politikası: Bu politika, organizasyonunuzun VPC'lerine AWS Network Firewall koruması uygular ve önceden tanımlanmış kurallara göre trafiği filtreleyerek ağ güvenliğini artırır.

6. Amazon Route 53 Resolver DNS Güvenlik Duvarı Politikası: Bu politika, organizasyonunuzun VPC'lerine DNS Güvenlik Duvarı korumalarını uygular ve kötü niyetli alan adı çözümleme girişimlerini engellemeye yardımcı olur; DNS trafiği için güvenlik politikalarını uygular.

7. Üçüncü Taraf Güvenlik Duvarı Politikası: Bu politika türü, AWS Marketplace konsolu aracılığıyla abonelikle sunulan üçüncü taraf güvenlik duvarlarından korumaları uygular. Güvenilir satıcılardan ek güvenlik önlemlerini AWS ortamınıza entegre etmenizi sağlar.

8. Palo Alto Networks Cloud NGFW Politikası: Bu politika, organizasyonunuzun VPC'lerine Palo Alto Networks Cloud Next Generation Firewall (NGFW) korumalarını ve kural yığınlarını uygular; gelişmiş tehdit önleme ve uygulama düzeyinde güvenlik kontrolleri sağlar.

9. Fortigate Cloud Native Firewall (CNF) as a Service Politikası: Bu politika, Fortigate Cloud Native Firewall (CNF) as a Service korumalarını uygular; bulut altyapıları için sektördeki en iyi tehdit önleme, web uygulama güvenlik duvarı (WAF) ve API koruması sunar.

Administrator accounts

AWS Firewall Manager, organizasyonunuz içindeki güvenlik duvarı kaynaklarını yönetme esnekliği sunar; bu, idari kapsamı ve iki tür yönetici hesabını içerir.

İdari kapsam, bir Firewall Manager yöneticisinin yönetebileceği kaynakları tanımlar. AWS Organizations yönetim hesabı, bir organizasyonu Firewall Manager'a dahil ettiğinde, farklı idari kapsamlarla ek yöneticiler oluşturabilir. Bu kapsamlar şunları içerebilir:

• Yöneticinin politikalara uygulayabileceği hesaplar veya organizasyonel birimler (OU'lar).

• Yöneticinin eylem gerçekleştirebileceği bölgeler.

• Yöneticinin yönetebileceği Firewall Manager politika türleri.

İdari kapsam ya tam ya da kısıtlı olabilir. Tam kapsam, yöneticinin tüm belirtilen kaynak türlerine, bölgelere ve politika türlerine erişim sağlamasını verir. Buna karşın, kısıtlı kapsam, yalnızca belirli bir kaynak, bölge veya politika türü alt kümesine idari izin verir. Yöneticilere, rollerini etkili bir şekilde yerine getirmek için ihtiyaç duydukları izinlerin verilmesi önerilir. Bu idari kapsam koşullarının herhangi bir kombinasyonunu bir yöneticinin üzerine uygulayarak, en az ayrıcalık ilkesine uyum sağlanabilir.

İki farklı türde yönetici hesabı vardır; her biri belirli roller ve sorumluluklar üstlenir:

• Varsayılan Yönetici:

• Varsayılan yönetici hesabı, AWS Organizations organizasyonunun yönetim hesabı tarafından Firewall Manager'a dahil edilme sürecinde oluşturulur.

• Bu hesap, üçüncü taraf güvenlik duvarlarını yönetme yeteneğine sahiptir ve tam idari kapsamı vardır.

• Firewall Manager için birincil yönetici hesabı olarak hizmet eder; organizasyon genelinde güvenlik politikalarını yapılandırmak ve uygulamakla sorumludur.

• Varsayılan yönetici, tüm kaynak türlerine ve idari işlevselliklere tam erişime sahipken, organizasyon içinde birden fazla yönetici kullanılıyorsa diğer yöneticilerle aynı eşit seviyede çalışır.

• Firewall Manager Yöneticileri:

• Bu yöneticiler, AWS Organizations yönetim hesabı tarafından belirlenen kapsam dahilinde kaynakları yönetebilirler.

• Firewall Manager yöneticileri, organizasyon içinde belirli roller üstlenmek üzere oluşturulmuştur; bu, sorumlulukların devredilmesine olanak tanırken güvenlik ve uyumluluk standartlarını korur.

• Oluşturulduğunda, Firewall Manager, hesabın zaten bir delege yönetici olup olmadığını belirlemek için AWS Organizations ile kontrol eder. Eğer değilse, Firewall Manager, hesabı Firewall Manager için delege yönetici olarak atamak üzere Organizations'ı arar.

Bu yönetici hesaplarını yönetmek, Firewall Manager içinde oluşturarak ve organizasyonun güvenlik gereksinimlerine ve en az ayrıcalık ilkesine göre idari kapsamlarını tanımlayarak gerçekleştirilir. Uygun idari roller atayarak, organizasyonlar etkili güvenlik yönetimini sağlarken hassas kaynaklara erişim üzerinde ayrıntılı kontrolü sürdürebilirler.

Bir organizasyon içinde yalnızca bir hesabın Firewall Manager varsayılan yöneticisi olarak hizmet edebileceğini vurgulamak önemlidir; bu, "ilk giren, son çıkan" ilkesine uyar. Yeni bir varsayılan yöneticiyi atamak için bir dizi adım izlenmelidir:

• Öncelikle, her Firewall Administrator yönetici hesabı kendi hesabını iptal etmelidir.

• Ardından, mevcut varsayılan yönetici kendi hesabını iptal edebilir; bu, organizasyonu Firewall Manager'dan etkili bir şekilde çıkarmak anlamına gelir. Bu süreç, iptal edilen hesabın oluşturduğu tüm Firewall Manager politikalarının silinmesine neden olur.

• Son olarak, AWS Organizations yönetim hesabı, Firewall Manager varsayılan yöneticisini atamalıdır.

Enumeration

# Users/Administrators

## Get the AWS Organizations account that is associated with AWS Firewall Manager as the AWS Firewall Manager default administrator
aws fms get-admin-account

## List of Firewall Manager administrators within the organization
aws fms list-admin-accounts-for-organization # ReadOnlyAccess policy is not enough for this

## Return a list of the member accounts in the FM administrator's AWS organization
aws fms list-member-accounts # Only a Firewall Manager administrator or the Organization's management account can make this request

## List the accounts that are managing the specified AWS Organizations member account
aws fms list-admins-managing-account # ReadOnlyAccess policy is not enough for this

# Resources

## Get the resources that a Firewall Manager administrator can manage
aws fms get-admin-scope --admin-account <value> # ReadOnlyAccess policy is not enough for this

## Returns the summary of the resource sets used
aws fms list-resource-sets # ReadOnlyAccess policy is not enough for this

## Get information about a specific resource set
aws fms get-resource-set --identifier <value>  # ReadOnlyAccess policy is not enough for this

## Retrieve the list of tags for a given resource
aws fms list-tags-for-resource --resource-arn <value>

## List of the resources in the AWS Organization's accounts that are available to be associated with a FM resource set. Only one account is supported per request.
aws fms list-compliance-status --member-account-ids <value> --resource-type <value> # ReadOnlyAccess policy is not enough for this

## List the resources that are currently associated to a resource set
aws fms list-resource-set-resources --identifier <value> # ReadOnlyAccess policy is not enough for this

# Policies

## Returns the list of policies
aws fms list-policies

## Get information about the specified AWS Firewall Manager policy
aws fms get-policy --policy-id <value>

## List all of the third-party firewall policies that are associated with the third-party firewall administrator's account
aws fms list-third-party-firewall-firewall-policies --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

# AppsList

## Return a list of apps list
aws fms list-apps-lists --max-results [1-100]

## Get information about the specified AWS Firewall Manager applications list
aws fms get-apps-list --list-id <value>

# Protocols

## Get the details of the Firewall Manager protocols list.
aws fms list-protocols-lists

## Get information about the specified AWS Firewall Manager Protocols list
aws fms get-protocols-list --list-id <value>

# Compliance

## Return a summary of which member accounts are protected by the specified policy
aws fms list-compliance-status --policy-id <policy-id>

## Get detailed compliance information about the specified member account (resources that are in and out of compliance with the specified policy)
aws fms get-compliance-detail --policy-id <value> --member-account <value>

# Other useful info

## Get information about the SNS topic that is used to record AWS Firewall Manager SNS logs (if any)
aws fms get-notification-channel

## Get policy-level attack summary information in the event of a potential DDoS attack
aws fms get-protection-status --policy-id <value> # Just for Shield Advanced policy

## Get the onboarding status of a Firewall Manager admin account to third-party firewall vendor tenant.
aws fms get-third-party-firewall-association-status --third-party-firewall <PALO_ALTO_NETWORKS_CLOUD_NGFW|FORTIGATE_CLOUD_NATIVE_FIREWALL> # ReadOnlyAccess policy is not enough for this

## Get violations' details for a resource based on the specified AWS Firewall Manager policy and AWS account.
aws fms get-violation-details --policy-id <value> --member-account <value> --resource-id <value> --resource-type <value>

Post Exploitation / Bypass Detection

organizations:DescribeOrganization & (fms:AssociateAdminAccount, fms:DisassociateAdminAccount, fms:PutAdminAccount)

fms:AssociateAdminAccount iznine sahip bir saldırgan, Firewall Manager varsayılan yönetici hesabını ayarlayabilir. fms:PutAdminAccount izni ile, bir saldırgan Firewall Manager yönetici hesabı oluşturabilir veya güncelleyebilir ve fms:DisassociateAdminAccount izni ile, potansiyel bir saldırgan mevcut Firewall Manager yönetici hesabı ilişkilendirmesini kaldırabilir.

• Firewall Manager varsayılan yöneticisinin ilişkisinin kesilmesi, ilk giren son çıkar politikasını takip eder. Tüm Firewall Manager yöneticileri, Firewall Manager varsayılan yöneticisinin hesabı ilişkisinin kesilmesinden önce ilişkiyi kesmelidir.

• PutAdminAccount ile bir Firewall Manager yöneticisi oluşturmak için, hesabın daha önce AssociateAdminAccount kullanılarak Firewall Manager'a kaydedilen organizasyona ait olması gerekir.

• Firewall Manager yönetici hesabının oluşturulması yalnızca organizasyonun yönetim hesabı tarafından yapılabilir.

aws fms associate-admin-account --admin-account <value>
aws fms disassociate-admin-account
aws fms put-admin-account --admin-account <value>

Potansiyel Etki: Merkezi yönetimin kaybı, politika ihlalleri, uyum ihlalleri ve ortam içindeki güvenlik kontrollerinin kesintiye uğraması.

fms:PutPolicy, fms:DeletePolicy

fms:PutPolicy, fms:DeletePolicy izinlerine sahip bir saldırgan, bir AWS Firewall Manager politikasını oluşturabilir, değiştirebilir veya kalıcı olarak silebilir.

aws fms put-policy --policy <value> | --cli-input-json file://<policy.json> [--tag-list <value>]
aws fms delete-policy --policy-id <value> [--delete-all-policy-resources | --no-delete-all-policy-resources]

Bir tespit bypass etmek için izin verici güvenlik grubu aracılığıyla izin verici bir politika örneği aşağıdaki gibi olabilir:

{
"Policy": {
"PolicyName": "permisive_policy",
"SecurityServicePolicyData": {
"Type": "SECURITY_GROUPS_COMMON",
"ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_COMMON\",\"securityGroups\":[{\"id\":\"<permisive_security_group_id>\"}], \"applyToAllEC2InstanceENIs\":\"true\",\"IncludeSharedVPC\":\"true\"}"
},
"ResourceTypeList": ["AWS::EC2::Instance", "AWS::EC2::NetworkInterface", "AWS::EC2::SecurityGroup", "AWS::ElasticLoadBalancingV2::LoadBalancer", "AWS::ElasticLoadBalancing::LoadBalancer"],
"ResourceType": "AWS::EC2::SecurityGroup",
"ExcludeResourceTags": false,
"ResourceTags": [],
"RemediationEnabled": true
},
"TagList": []
}

Potansiyel Etki: Güvenlik kontrollerinin kaldırılması, politika ihlalleri, uyum ihlalleri, operasyonel kesintiler ve ortamda potansiyel veri ihlalleri.

fms:BatchAssociateResource, fms:BatchDisassociateResource, fms:PutResourceSet, fms:DeleteResourceSet

fms:BatchAssociateResource ve fms:BatchDisassociateResource izinlerine sahip bir saldırgan, sırasıyla bir Firewall Manager kaynak setine kaynakları ilişkilendirebilir veya ilişkilendirmeyi kaldırabilir. Ayrıca, fms:PutResourceSet ve fms:DeleteResourceSet izinleri, bir saldırgana bu kaynak setlerini AWS Firewall Manager'dan oluşturma, değiştirme veya silme yetkisi verecektir.

# Associate/Disassociate resources from a resource set
aws fms batch-associate-resource --resource-set-identifier <value> --items <value>
aws fms batch-disassociate-resource --resource-set-identifier <value> --items <value>

# Create, modify or delete a resource set
aws fms put-resource-set --resource-set <value> [--tag-list <value>]
aws fms delete-resource-set --identifier <value>

Potansiyel Etki: Gereksiz miktarda öğenin bir kaynak setine eklenmesi, Servisteki gürültü seviyesini artıracak ve bu da bir DoS'a neden olabilir. Ayrıca, kaynak setlerindeki değişiklikler, kaynak kesintisine, politika ihlallerine, uyum ihlallerine ve ortam içindeki güvenlik kontrollerinin kesintiye uğramasına yol açabilir.

fms:PutAppsList, fms:DeleteAppsList

fms:PutAppsList ve fms:DeleteAppsList izinlerine sahip bir saldırgan, AWS Firewall Manager'dan uygulama listeleri oluşturabilir, değiştirebilir veya silebilir. Bu kritik olabilir, çünkü yetkisiz uygulamaların genel halka erişimine izin verilebilir veya yetkili uygulamalara erişim reddedilebilir, bu da bir DoS'a neden olabilir.

aws fms put-apps-list --apps-list <value> [--tag-list <value>]
aws fms delete-apps-list --list-id <value>

Olası Etki: Bu, yanlış yapılandırmalara, politika ihlallerine, uyum ihlallerine ve ortam içindeki güvenlik kontrollerinin kesintiye uğramasına neden olabilir.

fms:PutProtocolsList, fms:DeleteProtocolsList

fms:PutProtocolsList ve fms:DeleteProtocolsList izinlerine sahip bir saldırgan, AWS Firewall Manager'dan protokol listeleri oluşturabilir, değiştirebilir veya silebilir. Uygulama listelerinde olduğu gibi, bu kritik olabilir çünkü yetkisiz protokoller genel halk tarafından kullanılabilir veya yetkili protokollerin kullanımı reddedilebilir, bu da bir DoS'a neden olabilir.

aws fms put-protocols-list --apps-list <value> [--tag-list <value>]
aws fms delete-protocols-list --list-id <value>

Potansiyel Etki: Bu, yanlış yapılandırmalara, politika kaçaklarına, uyum ihlallerine ve ortam içindeki güvenlik kontrollerinin kesintiye uğramasına neden olabilir.

fms:PutNotificationChannel, fms:DeleteNotificationChannel

fms:PutNotificationChannel ve fms:DeleteNotificationChannel izinlerine sahip bir saldırgan, Firewall Manager'ın SNS günlüklerini kaydetmek için kullandığı IAM rolünü ve Amazon Simple Notification Service (SNS) konusunu silip belirleyebilir.

fms:PutNotificationChannel'ı konsol dışında kullanmak için, belirtilen SnsRoleName'in SNS günlüklerini yayınlamasına izin veren SNS konusunun erişim politikasını ayarlamanız gerekir. Sağlanan SnsRoleName AWSServiceRoleForFMS dışındaki bir rol ise, Firewall Manager hizmeti ana bilgisinin fms.amazonaws.com bu rolü üstlenmesine izin verecek şekilde bir güven ilişkisi yapılandırılması gerekir.

SNS erişim politikasını yapılandırma hakkında bilgi için:

aws fms put-notification-channel --sns-topic-arn <value> --sns-role-name <value>
aws fms delete-notification-channel

Potansiyel Etki: Bu, güvenlik uyarılarının atlanmasına, olay müdahalesinin gecikmesine, potansiyel veri ihlallerine ve ortamda operasyonel kesintilere yol açabilir.

fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall

fms:AssociateThirdPartyFirewall, fms:DisssociateThirdPartyFirewall izinlerine sahip bir saldırgan, üçüncü taraf güvenlik duvarlarını AWS Firewall Manager aracılığıyla merkezi olarak yönetmekten ilişkilendirebilir veya ilişkilendirmeyi kaldırabilir.

aws fms associate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL]
aws fms disassociate-third-party-firewall --third-party-firewall [PALO_ALTO_NETWORKS_CLOUD_NGFW | FORTIGATE_CLOUD_NATIVE_FIREWALL]

Olası Etki: Ayrılma, bir politika kaçışına, uyum ihlallerine ve ortam içindeki güvenlik kontrollerinin bozulmasına yol açacaktır. Diğer yandan, ilişkilendirme maliyet ve bütçe tahsisinde bir kesintiye neden olacaktır.

fms:TagResource, fms:UntagResource

Bir saldırgan, Firewall Manager kaynaklarından etiket ekleyebilir, değiştirebilir veya kaldırabilir, bu da kuruluşunuzun etiketlere dayalı maliyet tahsisi, kaynak takibi ve erişim kontrol politikalarını bozabilir.

aws fms tag-resource --resource-arn <value> --tag-list <value>
aws fms untag-resource --resource-arn <value> --tag-keys <value>

Potansiyel Etki: Maliyet tahsisi, kaynak takibi ve etiket tabanlı erişim kontrol politikalarının kesintiye uğraması.

Referanslar

• https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/govcloud-fms.html

• https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html

• https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html