使用 AWS Firewall Manager 管理员
本页介绍了什么是 Firewall Manager 管理员并定义了相关术语。
使用 AWS Firewall Manager,您可以有一个或多个管理员来管理您组织的防火墙资源。如果要在组织中使用多个 Firewall Manager 管理员,则可以对每个管理员应用管理范围条件来定义他们可以管理的资源。这使您可以灵活地在组织中使用不同的管理员角色,并帮助您保持最低权限访问的原则。例如,您可以让一个管理员管理组织的一套组织单位 (OU),而委托另一个管理员仅管理特定的 Firewall Manager 策略类型。有关 Organizations 和管理账户的更多信息,请参阅管理组织中的 AWS 账户。
有关每个组织可以拥有的最大管理员人数,请参阅 AWS Firewall Manager 限额
开始使用 Firewall Manager 管理员
开始使用 Firewall Manager 管理员之前,您必须先完成 AWS Firewall Manager先决条件 中列出的先决条件。在先决条件中,您将 AWS Organizations 组织加入 Firewall Manager,并为 Firewall Manager 创建默认管理员账户。默认管理员账户可以管理第三方防火墙,并且具有完整的管理范围。
管理范围
管理范围定义了 Firewall Manager 管理员可以管理的资源。AWS Organizations 管理账户将组织登录到 Firewall Manager 后,该管理账户可以创建具有不同管理范围的其他 Firewall Manager 管理员。AWS Organizations 管理账户可以授予管理员全部或受限的管理范围。完全范围为管理员提供了对上述所有资源类型的完全访问权限。受限范围是指仅向上述资源的子集授予管理权限。我们建议您仅向管理员授予他们履行其角色职责所需的权限。您可以将以下管理范围条件的任意组合应用于管理员:
您组织中管理员可以对其应用策略的账户或 OU。
管理员可以在其中执行操作的区域。
管理员可以管理的 Firewall Manager 策略类型。
管理员角色
Firewall Manager 中有两种类型的管理员角色:默认管理员和Firewall Manager 管理员。
默认管理员:当组织的管理账户在完成操作的同时将组织加入Firewall Manager时,会创建一个 Firewall Manager 的默认管理员账户AWS Firewall Manager先决条件。默认管理员可以管理第三方防火墙并具有完整的管理范围,但如果您选择拥有多个管理员,则默认管理员与其他管理员处于同等级别。
Firewall Manager 管理员:Firewall Manager 管理员可以管理 AWS Organizations 管理账户在其管理范围配置中为他们指定的资源。有关每个组织可以拥有的最大管理员人数,请参阅 AWS Firewall Manager 限额。在创建 Firewall Manager 管理员账户后,该服务会与 AWS Organizations 确认该账户是否已经是组织内 Firewall Manager 的委托管理员。如果不是,Firewall Manager 会调用 Organizations,将该账户设置为 Firewall Manager 的委托管理员。有关 Organizations 委托管理员的信息,请参阅 AWS Organizations 用户指南中的 AWS Organizations术语和概念。
现有管理员
如果您是 Firewall Manager 的现有客户,并且已经设置了管理员,则该现有管理员将是 Firewall Manager 的默认管理员。您的现有流程不应受到任何影响。如果要添加更多管理员,可以按照本章中的步骤进行操作。