建立 AWS Firewall Manager 政策 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 AWS Firewall Manager 政策

不同政策類型的政策建立步驟有所不同。務必根據您所需的政策類型使用程序。

重要

AWS Firewall Manager不支持亞馬遜路線 53 或AWS Global Accelerator。如果您想要以防護 Shield 高級保護這些資源,您無法使用 Firewall Manager 政策。或者,請遵循新增 AWS Shield Advanced 保護給 AWS 資源中的說明進行。

建立適用於 AWS WAF 的 AWS Firewall Manager 政策

在 Firewall Manager 中AWS WAF政策,您可使用受管規則羣組,AWS和AWS Marketplace賣方為您建立及維護。您也可以建立和使用自己的規則群組。如需規則群組的詳細資訊,請參閱規則群組

注意

Firewall Manager 支持新的AWS WAF機器人控制受管規則組。有關機器人控制的信息AWS WAF,請參AWS WAF機器人控制

如果您想要使用自己的規則羣組,請先建立這些規則羣組,然後再建立 Firewall ManagerAWS WAF策略。如需準則,請參閱管理您自己的規則群組。若要使用個別的自訂規則,您必須定義自己的規則群組、在該群組中定義規則,然後在政策中使用規則群組。

如需 Firewall Manager 的資訊AWS WAF政策,請參AWS WAF 政策:

若要建立 Firewall Manager 政策AWS WAF(console)

  1. 登入AWS Management Console,然 Firewall Manager 在https://console.aws.amazon.com/wafv2/fmsv2

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇 Create policy (建立政策)

  4. 針對政策類型,選擇 AWS WAF

  5. 適用於Region (區域)中,選擇AWS 區域。保護亞馬遜 CloudFront 分配,選擇全球服務

    若要保護多個區域中的資源 (而非 CloudFront 分發),您需要針對各區域建立不同的 Firewall Manager 政策。

  6. 選擇 Next (下一步)。

  7. 適用於政策名稱中,輸入描述性名稱。Firewall Manager 員會在它管理的 Web ACL 的名稱中包含政策名稱。網絡 ACL 名稱具有FMManagedWebACLV2-後接您在此輸入的政策名稱,-和 Web ACL 創建時間戳(以 UTC 毫秒為單位)。例如:FMManagedWebACLV2-MyWAFPolicyName-1621880374078

  8. Policy rules (政策規則) 下,新增您要 AWS WAF 在 Web ACL 中首先評估和最後評估的規則群組。使用AWS WAF託管規則組版本控制,切換啟用版本控制。個別帳戶管理員可以在第一個規則群組和最後一個規則群組之間新增規則和規則群組。如需使用AWS WAFFirewall Manager 策略中的規則組AWS WAF,請參AWS WAF 政策:

  9. 設定 Web ACL 的預設動作。這是AWSWAF 會在 Web 請求不符合 Web ACL 中的任何規則時採用。如需詳細資訊,請參閱 決定 Web ACL 的預設動作

  10. 針對 Policy action (政策動作),如果您想要在組織內的每個適用帳戶中建立 Web ACL,但尚未將 Web ACL 套用至任何資源,請選擇 Identify resources that don't comply with the policy rules, but don't auto remediate (識別不符合政策規則但不自動修補的資源)。您可於稍後變更此選項。

    如果您要改為自動將政策套用至現有的範圍內資源,請選擇 Auto remediate any noncompliant resources (自動修補任何不合規的資源)。此選項會在 AWS 組織內每個適用帳戶中建立 Web ACL,並將 Web ACL 關聯至帳戶中的資源。

    當您選擇自動修復任何不合規的資源時,針對未受其他作用中原則管理的 Web ACL,您也可以選擇從範圍內資源移除現有的 Web ACL 關聯。如果您選擇此選項,Firewall Manager 員會先將政策的 Web ACL 與資源產生關聯,然後再移除先前的關聯。如果資源與另一個由不同作用中防火牆管理員政策所管理的 Web ACL 有關聯,此選項不會影響該關聯。

  11. 選擇 Next (下一步)。

  12. 適用於AWS 帳戶本政策適用於中,按如下方式選擇選項:

    • 如果您要將政策套用至組織中的所有帳户,請保留預設選項將所有帳户包含在我的AWS組織

    • 如果您只想將政策套用至特定帳戶或特定 AWS Organizations 組織單位 (OU) 中的帳戶,請選擇 Include only the specified accounts and organizational units (僅包含指定的帳戶和組織單位),然後新增要包含的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    • 如果您想要將政策套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有人,請選擇 Exclude the specified accounts and organizational units, and include all others (排除指定的帳戶和組織單位,並包含所有其他人),然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    您只能選擇一個選項。

    套用政策之後,Firewall Manager 員會根據您的設定自動評估任何新帳户。例如,如果您只包含特定帳户,Firewall Manager 員不會將政策套用至任何新帳户。另一個範例是,如果您包含 OU,當您將帳户新增至 OU 或其任何子 OU 時,Firewall Manager 員會自動將政策套用至新帳户。

  13. 針對 Resource type (資源類型),請選擇您要保護的資源類型。

  14. 對於 Resources (資源),如果您只想保護 (或排除) 具有特定標籤的資源,請選取適當的選項,然後輸入要包含或排除的標籤。您只可以選擇一個選項。如需標籤的詳細資訊,請參閱使用標籤編輯器

    如果您輸入多個標籤,資源必須具有所有標籤才會被包含或排除。

  15. 選擇 Next (下一步)。

  16. 適用於標籤政策,新增任何您想要用於 Firewall Manager 員政策的識別標籤。如需標籤的詳細資訊,請參閱使用標籤編輯器

  17. 選擇 Next (下一步)。

  18. 檢視新政策。若要進行任何變更,請在您要變更的區域中選擇 Edit (編輯)。這會讓您返回建立精靈中的對應步驟。當您滿意時,選擇 建立政策

建立AWS Firewall Manager策略AWS WAF傳統

若要建立 Firewall Manager 政策AWS WAF經典版 (控制台)

  1. 登入AWS Management Console,然 Firewall Manager 在https://console.aws.amazon.com/wafv2/fmsv2

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇 Create policy (建立政策)

  4. 針對 Policy type (政策類型),選擇 AWS WAF Classic

  5. 如果您已經創建AWS WAF選擇要新增到政策的傳統規則羣組,請選擇建立AWS Firewall Manager策略並添加現有規則組。如果您要建立新的規則羣組,請選擇建立 Firewall Manager 政策並新增新的規則

  6. 適用於Region (區域)中,選擇AWS 區域。保護亞馬遜 CloudFront 資源,選擇全球服務

    若要保護多個區域中的資源 (而非 CloudFront 資源),則必須針對每個區域建立單獨的 Firewall Manager 政策。

  7. 選擇 Next (下一步)。

  8. 如果您要建立一個規則群組,則遵循建立AWS WAF傳統規則的指示。在您建立規則群組,請繼續執行以下步驟。

  9. 輸入政策名稱。

  10. 如果您要新增現有的規則群組,請使用下拉式功能表選取要新增的規則群組,然後選擇 [新增規則群組]。

  11. 政策有兩種動作:按規則組設置的操作計數。如果您想要測試政策和規則群組,設定動作為計數。這個動作覆寫任何由規則群組中的規則所指定的封鎖動作。也就是說,如果政策的動作是設定為計數,只會計算請求,而不會封鎖請求。反之,如果您設定政策的動作為規則群組設定的動作,則會使用該規則群組規則的動作。選擇適當動作。

  12. 選擇 Next (下一步)。

  13. 適用於AWS 帳戶本政策適用於中,按如下方式選擇選項:

    • 如果您要將政策套用至組織中的所有帳户,請保留預設選項將所有帳户包含在我的AWS組織

    • 如果您只想將政策套用至特定帳戶或特定 AWS Organizations 組織單位 (OU) 中的帳戶,請選擇 Include only the specified accounts and organizational units (僅包含指定的帳戶和組織單位),然後新增要包含的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    • 如果您想要將政策套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有人,請選擇 Exclude the specified accounts and organizational units, and include all others (排除指定的帳戶和組織單位,並包含所有其他人),然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    您只能選擇一個選項。

    套用政策之後,Firewall Manager 員會根據您的設定自動評估任何新帳户。例如,如果您只包含特定帳户,Firewall Manager 員不會將政策套用至任何新帳户。另一個範例是,如果您包含 OU,當您將帳户新增至 OU 或其任何子 OU 時,Firewall Manager 員會自動將政策套用至新帳户。

  14. 選擇您要保護的資源類型。

  15. 如果您只想保護具有特定標籤的資源,或排除具有特定標籤的資源,請選擇 Use tags to include/exclude resources (使用標籤包含/排除資源),輸入標籤的類型,然後選擇包含排除。您只可以選擇一個選項。

    如果您輸入多個標籤 (以逗號分隔),如果資源擁有其中任一的標籤,都會被視為符合條件。

    如需標籤的詳細資訊,請參閱使用標籤編輯器

  16. 如果您想自動套用政策到現有的資源,請選擇建立和套用此政策到現有的和新的資源

    此選項是在 AWS 組織內每個可用帳戶中,建立 Web ACL,並將 Web ACL 關聯至帳戶中的資源。此選項還會將政策套用到與前述條件 (資源類型和標籤) 符合的所有新的資源。或者,如果您選擇 Create policy but do not apply the policy to existing or new resources (建立政策,但不套用政策到現有或新的資源),防火牆管理員在組織內每個可用帳戶內建立 Web ACL,但不套用 Web ACL 到任何資源。之後,您必須將政策套用到資源。選擇適當選項。

  17. 對於 [取代現有相關聯的 Web ACL],您可以選擇移除目前為範圍內資源定義的任何 Web ACL 關聯,然後使用以此政策建立的 Web ACL 關聯來取代它們。預設情況下,Firewall Manager 員不會在添加新的 Web ACL 關聯之前刪除現有的。如果您要移除現有的 Web ACL 關聯,請選擇此選項。

  18. 選擇 Next (下一步)。

  19. 檢視新政策。若要修改,選擇編輯。當您滿意政策時,選擇 Create and apply policy (建立和套用政策)

建立適用於 AWS Shield Advanced 的 AWS Firewall Manager 政策

若要建立 Shield 高級 Firewall Manager 政策 (主控台)

  1. 登入AWS Management Console,然 Firewall Manager 在https://console.aws.amazon.com/wafv2/fmsv2

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇 Create policy (建立政策)

  4. 適用於Policy type (政策類型),選擇Shield 高級

    若要建立 Shield 高級政策,您必須訂。如果您未訂閱,系統會提示您訂閱。如需訂閲成本的詳細資訊,請參AWS Shield Advanced定價

  5. 適用於Region (區域)中,選擇AWS 區域。若要保護 Amazon CloudFront 分發,請選擇全球服務

    對於除以外的區域選擇全球服務,若要保護多個區域中的資源,您必須為每個區域建立單獨的 Firewall Manager 政策。

  6. 選擇 Next (下一步)。

  7. 適用於名稱中,輸入描述性名稱。

  8. 適用於全球服務僅區域策略,您可以選擇是否要管理 Shield 高級自動應用程序層 DDoS 緩解。如需 Shield Advanced 功能的詳細資訊,請參Shield 高級自動應用層 DDoS 緩解

    您可以選擇啟用或停用自動緩解,也可以選擇忽略它。如果您選擇忽略它,Firewall Manager 根本不管理防護高級保護的自動緩解。如需這些政策選項的詳細資訊,請參針對 Amazon CloudFront 分發的自動應用層 DDoS 緩解

  9. 適用於政策動作,我們建議建立包含不自動修補不符合規資源的選項建立政策。禁用自動修補時,您可以在套用新政策之前評估其效用。當您確認這些變更正是您所需的時,請編輯政策並變更政策動作,以啟用自動修補。

    如果您要改為自動將政策套用至現有的範圍內資源,請選擇 Auto remediate any noncompliant resources (自動修補任何不合規的資源)。Shield 選項對AWS組織和帳户中的每個適用資源。

    適用於全球服務僅區域策略(如果您選擇自動修復任何不合規的資源,您還可以選擇讓 Firewall Manager 自動替換任何現有AWS WAF經典 Web ACL 關聯與 Web ACL 的新關聯,這些關聯是使用最新版本AWS WAF(v2). 如果選擇此選項,Firewall Manager 將刪除與早期版本 Web ACL 的關聯,並在策略中尚未具有它們的任何範圍內帳户中創建新的空 Web ACL 之後,與最新版本的 Web ACL 的關聯。如需有關此選項的詳細資訊,請參閱 ReplaceAWS WAF帶有最新版本的 Web ACL 的經典網絡 ACL

  10. 選擇 Next (下一步)。

  11. 適用於AWS 帳戶本政策適用於中,按如下方式選擇選項:

    • 如果您要將政策套用至組織中的所有帳户,請保留預設選項、將所有帳户包含在我的AWS組織

    • 如果您只想將政策套用至特定帳戶或特定 AWS Organizations 組織單位 (OU) 中的帳戶,請選擇 Include only the specified accounts and organizational units (僅包含指定的帳戶和組織單位),然後新增要包含的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    • 如果您想要將政策套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有人,請選擇 Exclude the specified accounts and organizational units, and include all others (排除指定的帳戶和組織單位,並包含所有其他人),然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    您只能選擇一個選項。

    套用政策之後,Firewall Manager 員會根據您的設定自動評估任何新帳户。例如,如果您只包含特定帳户,Firewall Manager 員不會將政策套用至任何新帳户。另一個範例是,如果您包含 OU,當您將帳户新增至 OU 或其任何子 OU 時,Firewall Manager 員會自動將政策套用至新帳户。

  12. 選擇您要保護的資源類型。

    Firewall Manager 不支持亞馬遜路線 53 或AWS Global Accelerator。如果您需要使用 Shield Advanced (Shield Advanced) 以保護資源免受這些服務的影響,您無法使用 Firewall Manager 相反,請按照 Shield 高級指導新增 AWS Shield Advanced 保護給 AWS 資源

  13. 如果您只想保護具有特定標籤的資源,或排除具有特定標籤的資源,請選擇使用標籤包含/排除資源,輸入用逗號分隔的標籤,然後選擇Include或者Exclude。您只可以選擇一個選項。

    如果您輸入多個標籤,且如果資源擁有其中任一的標籤,都會被視為符合條件。

    如需標籤的詳細資訊,請參閱使用標籤編輯器

  14. 選擇 Next (下一步)。

  15. 適用於標籤政策,新增任何您想要用於 Firewall Manager 員政策的識別標籤。如需標籤的詳細資訊,請參閱使用標籤編輯器

  16. 選擇 Next (下一步)。

  17. 檢視新政策。若要進行任何變更,請在您要變更的區域中選擇 Edit (編輯)。這會讓您返回建立精靈中的對應步驟。當您滿意時,選擇 建立政策

建立 AWS Firewall Manager 常見安全群組政策

如需常見安全群組政策如何運作的資訊,請參閱 常見安全群組政策

若要建立常見安全羣組政策,您必須擁有已在 Firewall Manager 管理員帳户中您要做為政策的主要安全羣組。您可以通過 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon EC2) 管理安全羣組。如需相關資訊,請參閱「」。使用安全群組中的Amazon VPC User Guide

若要建立常見安全群組政策 (主控台)

  1. 登入AWS Management Console,然 Firewall Manager 在https://console.aws.amazon.com/wafv2/fmsv2

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇 Create policy (建立政策)

  4. 對於 Policy type (政策類型),選擇 Security group (安全群組)

  5. 對於 Security group policy type (安全群組類型),選擇 Common security groups (常見安全群組)

  6. 適用於Region (區域)中,選擇AWS 區域。

  7. 選擇 Next (下一步)。

  8. 對於 Policy name (政策名稱),輸入易記的名稱。

  9. 對於 Policy rules (政策規則),執行下列操作:

    1. 從規則選項選擇您要套用至在政策範圍之安全群組規則和資源的限制。

    2. 適用於主要安全群組,選擇添加主安全組,然後選擇您想要使用的安全羣組。Firewall Manager 在 Firewall Manager 管理員帳户中填充來自所有 Amazon VPC 實例的主要安全組列表。政策的主要安全群組的預設最大數為一個。如需提高上限的詳細資訊,請參閱AWS Firewall Manager 配額

    3. 對於 Policy action (政策動作),我們建議建立包含不自動修補選項的政策。這可讓您在套用新政策之前評估其效用。當您確認這些變更正是您所需的時,請編輯政策並變更政策動作,以啟用不合規資源的自動修補。

  10. 選擇 Next (下一步)。

  11. 適用於AWS 帳戶本政策適用於中,按如下方式選擇選項:

    • 如果您要將政策套用至組織中的所有帳户,請保留預設選項將所有帳户包含在我的AWS組織

    • 如果您只想將政策套用至特定帳戶或特定 AWS Organizations 組織單位 (OU) 中的帳戶,請選擇 Include only the specified accounts and organizational units (僅包含指定的帳戶和組織單位),然後新增要包含的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    • 如果您想要將政策套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有人,請選擇 Exclude the specified accounts and organizational units, and include all others (排除指定的帳戶和組織單位,並包含所有其他人),然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    您只能選擇一個選項。

    套用政策之後,Firewall Manager 員會根據您的設定自動評估任何新帳户。例如,如果您只包含特定帳户,Firewall Manager 員不會將政策套用至任何新帳户。另一個範例是,如果您包含 OU,當您將帳户新增至 OU 或其任何子 OU 時,Firewall Manager 員會自動將政策套用至新帳户。

  12. 針對 Resource type (資源類型),請選擇您要保護的資源類型。

    如果選擇EC2 執行個體時,您可以選擇在每個 Amazon EC2 執行個體中包含所有彈性網路界面,或只包含每個執行個體中的默認界面。如果您在任何範圍內的 Amazon EC2 執行個體中有多個 elastic network interface,選擇包含所有界面的選項可讓 Firewall Manager 將政策套用至所有界面。啟用自動修補時,如果 Firewall Manager 員無法將政策套用至 Amazon EC2 執行個體中的所有彈性網路界面,則會將執行個體標示為不合規。

  13. 適用於資源,如果您想要將政策套用到AWS 帳戶和資源類型參數,請選擇納入符合選取之資源類型的所有資源。如果您想要包含或排除特定資源,請使用標記功能指定資源,然後選擇合適的選項,然後新增標籤至清單。您可以套用政策至所有資源 (但不包括擁有您所指定之所有標籤的資源),或是只套用政策至擁有您所指定之所有標籤的資源。如需標記資源的詳細資訊,請參閱使用標籤編輯器

    注意

    如果您輸入不只一個標籤,資源必須擁有所有標籤,才會視為符合。

  14. 對於共用的 VPC 資源,如果您想要在共用 VPC 中將政策套用至資源,除了帳戶擁有的 VPC 之外,請選取 Include resources from shared VPCs (包含來自共用 VPC 的資源)

  15. 選擇 Next (下一步)。

  16. 檢閱政策設定,以確保其為您所需的設定,然後選擇 Create policy (建立政策)

Firewall Manager 會在範圍內帳户內含的每個 Amazon VPC 執行個體中建立主要安全帳户的複本,每個帳户最多支援的 Amazon VPC 最多限額。Firewall Manager 員會將複本安全羣組與在各個範圍內帳户的政策範圍內的資源產生關聯。如需此政策如何運作的詳細資訊,請參閱 常見安全群組政策

建立 AWS Firewall Manager 內容稽核安全群組政策

如需內容稽核安全群組政策如何運作的資訊,請參閱 內容稽核安全群組政策

對於某些內容審計策略設置,您必須提供一個審核安全組,供 Firewall Manager 用作模板。例如,您可能有一個審核安全組,其中包含任何安全組中不允許的所有規則。您必須先建立這些稽核安全羣組,才能夠在政策中使用它們。您可以通過 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon EC2) 管理安全羣組。如需相關資訊,請參閱「」。使用安全群組中的Amazon VPC User Guide

若要建立內容稽核安全群組政策 (主控台)

  1. 登入AWS Management Console,然 Firewall Manager 在https://console.aws.amazon.com/wafv2/fmsv2

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇 Create policy (建立政策)

  4. 對於 Policy type (政策類型),選擇 Security group (安全群組)

  5. 對於 Security group policy type (安全群組政策類型),選擇 Auditing and enforcement of security group rules (稽核和強制執行安全群組規則)

  6. 適用於Region (區域)中,選擇AWS 區域。

  7. 選擇 Next (下一步)。

  8. 對於 Policy name (政策名稱),輸入易記的名稱。

  9. 適用於政策規則,請選擇要使用的託管政策規則或自定義政策規則選項。

    1. 適用於配置託管審計策略規則,請執行下列動作:

      1. 適用於配置安全羣組規則以進行審核中,選擇您希望審計策略應用到的安全組規則的類型。

      2. 如果要執行限制安全組中允許的協議、端口和 CIDR 範圍設置等操作,請選擇審核過於寬鬆的安全羣組規則並選取您想要設定的選項。

        對於使用協議列表的選擇,您可以使用現有列表,並且可以創建新列表。如需協議列表及其在政策中使用方法的詳細資訊,請參受管理的清單使用受管清單

      3. 如果要對特定應用程序可執行的操作實施限制,請選擇審核高風險應用程序並選取您想要設定的選項。

        以下選擇是互斥的:只能訪問本地 CIDR 範圍的應用程序可以使用公共 CIDR 範圍的應用程序。您最多可以在任何政策中選擇其中一個。

        對於使用應用程序列表的選擇,您可以使用現有列表,並且可以創建新列表。如需應用程式列表及其在政策中使用方法的詳細資訊,請參受管理的清單使用受管清單

      4. 使用覆寫設置以顯式覆蓋策略中的其他設置。您可以選擇始終允許或始終拒絕特定安全組規則,無論這些規則是否符合您為策略設置的其他選項。

        對於此選項,您可以提供審核安全組作為允許的規則或拒絕規則模板。適用於稽核安全組,選擇添加稽核安全組,然後選擇您想要使用的安全羣組。Firewall Manager 在 Firewall Manager 管理員帳户中填充來自所有 Amazon VPC 實例的審核安全組列表。政策的稽核安全群組數目的預設限額為一個。如需增加配額的詳細資訊,請參閱AWS Firewall Manager 配額

    2. 適用於設定自訂政策規則,請執行下列動作:

      1. 從規則選項中,選擇是否只允許在稽核安全群組中定義的規則,或拒絕所有規則。如需此選項的詳細資訊,請參閱內容稽核安全群組政策

      2. 適用於稽核安全組,選擇添加稽核安全組,然後選擇您想要使用的安全羣組。Firewall Manager 在 Firewall Manager 管理員帳户中填充來自所有 Amazon VPC 實例的審核安全組列表。政策的稽核安全群組數目的預設限額為一個。如需增加配額的詳細資訊,請參閱AWS Firewall Manager 配額

      3. 對於 Policy action (政策動作),您必須建立包含不自動修補選項的政策。這可讓您在套用新政策之前評估其效用。當您確認這些變更正是您所需的時,請編輯政策並變更政策動作,以啟用不合規資源的自動修補。

  10. 選擇 Next (下一步)。

  11. 適用於AWS 帳戶本政策適用於中,按如下方式選擇選項:

    • 如果您要將政策套用至組織中的所有帳户,請保留預設選項將所有帳户包含在我的AWS組織

    • 如果您只想將政策套用至特定帳戶或特定 AWS Organizations 組織單位 (OU) 中的帳戶,請選擇 Include only the specified accounts and organizational units (僅包含指定的帳戶和組織單位),然後新增要包含的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    • 如果您想要將政策套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有人,請選擇 Exclude the specified accounts and organizational units, and include all others (排除指定的帳戶和組織單位,並包含所有其他人),然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    您只能選擇一個選項。

    套用政策之後,Firewall Manager 員會根據您的設定自動評估任何新帳户。例如,如果您只包含特定帳户,Firewall Manager 員不會將政策套用至任何新帳户。另一個範例是,如果您包含 OU,當您將帳户新增至 OU 或其任何子 OU 時,Firewall Manager 員會自動將政策套用至新帳户。

  12. 對於 Resource type (資源類型),請選擇您要保護的資源類型。

  13. 適用於資源,如果您想要將政策套用到AWS 帳戶和資源類型參數,請選擇納入符合選取之資源類型的所有資源。如果您想要包含或排除特定資源,請使用標記功能指定資源,然後選擇合適的選項,然後新增標籤至清單。您可以套用政策至所有資源 (但不包括擁有您所指定之所有標籤的資源),或是只套用政策至擁有您所指定之所有標籤的資源。如需標記資源的詳細資訊,請參閱使用標籤編輯器

    注意

    如果您輸入不只一個標籤,資源必須擁有所有標籤,才會視為符合。

  14. 選擇 Next (下一步)。

  15. 檢閱政策設定,以確保其為您所需的設定,然後選擇 Create policy (建立政策)

Firewall Manager 會將審核安全性羣組與AWS組織,根據您的策略規則設置。您可以檢閱 AWS Firewall Manager 政策主控台中的政策狀態。建立政策後,您可以編輯該政策,並啟用自動修補,以使您的稽核安全群組政策生效。如需此政策如何運作的詳細資訊,請參閱 內容稽核安全群組政策

建立 AWS Firewall Manager 用途稽核安全群組政策

如需用途稽核安全群組政策如何運作的資訊,請參閱 用途稽核安全群組政策

建立用途稽核安全群組政策 (主控台)

  1. 登入AWS Management Console,然 Firewall Manager 在https://console.aws.amazon.com/wafv2/fmsv2

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇 Create policy (建立政策)

  4. 對於 Policy type (政策類型),選擇 Security group (安全群組)

  5. 對於 Security group policy type (安全群組政策類型),選擇 Auditing and cleanup of unused and redundant security groups (稽核和清理未使用的和備援安全群組)

  6. 適用於Region (區域)中,選擇AWS 區域。

  7. 選擇 Next (下一步)。

  8. 對於 Policy name (政策名稱),輸入易記的名稱。

  9. 對於 Policy rules (政策規則),選擇一個可用的選項或兩者都選擇。

    • 如果選擇至少必須由一個資源使用。時,Firewall Manager 將刪除它確定未使用的任何安全組。如果安全羣組在任何時間長度未使用,Firewall Manager 會將其視為不符合此政策規則。您可以選擇性地指定安全群組在視為不符合之前可以未使用的分鐘數。如果您選擇此規則,Firewall Manager 員會在儲存政策時最後才執行此政策。

    • 如果選擇此政策範圍內的安全羣組必須是唯一的。,Firewall Manager 會整合備援安全羣組,因此只有一個會與任一資源產生關聯。如果您選擇此選項,則會在儲存政策時先執行 Firewall Manager。

  10. 對於 Policy action (政策動作),我們建議建立包含不自動修補選項的政策。這可讓您在套用新政策之前評估其效用。當您確認這些變更正是您所需的時,請編輯政策並變更政策動作,以啟用不合規資源的自動修補。

  11. 選擇 Next (下一步)。

  12. 適用於AWS 帳戶本政策適用於中,按如下方式選擇選項:

    • 如果您要將政策套用至組織中的所有帳户,請保留預設選項將所有帳户包含在我的AWS組織

    • 如果您只想將政策套用至特定帳戶或特定 AWS Organizations 組織單位 (OU) 中的帳戶,請選擇 Include only the specified accounts and organizational units (僅包含指定的帳戶和組織單位),然後新增要包含的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    • 如果您想要將政策套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有人,請選擇 Exclude the specified accounts and organizational units, and include all others (排除指定的帳戶和組織單位,並包含所有其他人),然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    您只能選擇一個選項。

    套用政策之後,Firewall Manager 員會根據您的設定自動評估任何新帳户。例如,如果您只包含特定帳户,Firewall Manager 員不會將政策套用至任何新帳户。另一個範例是,如果您包含 OU,當您將帳户新增至 OU 或其任何子 OU 時,Firewall Manager 員會自動將政策套用至新帳户。

  13. 適用於資源,如果您想要將政策套用到AWS 帳戶和資源類型參數,請選擇納入符合選取之資源類型的所有資源。如果您想要包含或排除特定資源,請使用標記功能指定資源,然後選擇合適的選項,然後新增標籤至清單。您可以套用政策至所有資源 (但不包括擁有您所指定之所有標籤的資源),或是只套用政策至擁有您所指定之所有標籤的資源。如需標記資源的詳細資訊,請參閱使用標籤編輯器

    注意

    如果您輸入不只一個標籤,資源必須擁有所有標籤,才會視為符合。

  14. 選擇 Next (下一步)。

  15. 如果您尚未將防火牆管理員帳户排除在政策範圍之外,Firewall Manager 員會提示您執行此動作。執行此動作會讓您手動控制的 Firewall Manager 管理員帳户(用於常見和稽核安全羣組政策)中的安全性羣組。在此對話方塊中選擇您想要的選項。

  16. 檢閱政策設定,以確保其為您所需的設定,然後選擇 Create policy (建立政策)

如果您選擇要求唯一的安全羣組,Firewall Manager 員會掃描每個範圍內 Amazon VPC 執行個體中是否有備援安全 然後,如果您選擇要求每個安全羣組至少由一個資源使用,Firewall Manager 會掃描規則中指定的分鐘內未使用的安全羣組。您可以檢閱 AWS Firewall Manager 政策主控台中的政策狀態。如需此政策如何運作的詳細資訊,請參閱 用途稽核安全群組政策

建立適用於 AWS Network Firewall 的 AWS Firewall Manager 政策

在 Firewall Manager Network Firewall 策略中,您可以使用您在AWS Network Firewall。如需管理您的規則羣組的詳細資訊,請參AWS Network Firewall規則群組中的Network Firewall 開發者指南

如需防火牆管理員 Network Firewall 政策的資訊,請參AWS Network Firewall 政策:

若要建立 Firewall Manager 政策AWS Network Firewall(console)

  1. 登入AWS Management Console,然 Firewall Manager 在https://console.aws.amazon.com/wafv2/fmsv2

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇 Create policy (建立政策)

  4. 針對政策類型,選擇 AWS Network Firewall

  5. UNDER部署模型中,選擇要用於策略的部署模型。搭配分佈式,Firewall Manager 會在策略範圍內的每個 VPC 中創建和維護防火牆終端節點。搭配集中式,Firewall Manager 會在單個檢查 VPC 中創建和維護終端節點。

  6. 適用於Region (區域)中,選擇AWS 區域。若要保護多個區域中的資源,您需要針對各區域建立不同的政策。

  7. 選擇 Next (下一步)。

  8. 適用於政策名稱中,輸入描述性名稱。Firewall Manager 在其創建的 Network Firewall 和防火牆策略的名稱中包含策略名稱。

  9. 在 中AWS Network Firewall政策組態中,如同在 Network Firewall 中一樣配置防火牆策略。添加無狀態和有狀態規則組並指定策略的默認操作。您可以選擇設置策略的日誌記錄配置。有關 Network Firewall 防火牆策略管理的信息,請參閲AWS Network Firewall防火牆政策中的AWS Network Firewall開發人員指南

    創建 Firewall Manager Network Firewall 策略時,Firewall Manager 會為範圍內的帳户創建防火牆策略。各個帳户管理員可以將規則組添加到防火牆策略,但他們無法更改您在此處提供的配置。

  10. 選擇 Next (下一步)。

  11. 視您使用分佈式部署模型或集中式部署模型建立防火牆終結點,執行下列步驟之一:

    • 如果使用此策略的分佈式部署模型,請在AWS Firewall Manager端點組態Firewall 終結點位置下,選擇下列其中一種選項:

      • 自訂端點組態-Firewall Manager 在您指定的可用區域中為策略範圍內的每個 VPC 創建防火牆。每個防火牆至少包含一個防火牆終結點。

        • UNDER可用區域中,選擇要在其中創建防火牆終端節點的可用區。您可以通過可用區域名稱或通過可用區域 ID

      • 自動端點組態-Firewall Manager 自動在您的 VPC 中具有公有子網的可用區域中創建防火牆終端節點。

        • 對於防火牆終端配置中,指定您希望防火牆終端節點由 Firewall Manager 管理的方式。我們建議使用多個終端節點以實現高可用性。

    • 如果要為此策略使用集中式部署模型,請在AWS Firewall Manager端點組態檢 VPC 組態,輸入AWS檢查 VPC 擁有者的帳户ID,以及檢查 VPC 的 VPC ID。

      • UNDER可用區域中,選擇要在其中創建防火牆終端節點的可用區。您可以通過可用區域名稱或通過可用區域 ID

  12. 如果要提供 CIDR 塊供 Firewall Manager 用於 VPC 中的防火牆子網,則它們必須全部為 /28 CIDR 塊。每行輸入一個塊。如果忽略這些內容,Firewall Manager 將從 VPC 中可用的 IP 地址中為您選擇 IP 地址。

    注意

    自動修復自動發生AWS Firewall ManagerNetwork Firewall 策略,因此您不會在此處看到選擇不自動修復的選項。

  13. 選擇 Next (下一步)。

  14. 如果您的策略使用分佈式部署模型,請在路由管理中,選擇 Firewall Manager 是否監視必須通過相應防火牆終端節點路由的通信並發出警報。

    注意

    如果選擇監控,您無法將設定更改為關閉在稍後的日期。監視將繼續進行,直到您刪除策略為止。

  15. 適用於流量類型,可選擇添加您要路由流量的終端節點以進行防火牆檢查。

  16. 適用於允許所需的跨可用區域流量,如果啟用此選項,則對於沒有自己的防火牆終端節點的可用區域,Firewall Manager 將流量從可用區域發送流量進行檢查的合規路由。具有終端節點的可用區必須始終檢查自己的流量。

  17. 選擇 Next (下一步)。

  18. 適用於政策範圍,UNDERAWS 帳戶本政策適用於中,按如下方式選擇選項:

    • 如果您要將政策套用至組織中的所有帳户,請保留預設選項將所有帳户包含在我的AWS組織

    • 如果您只想將政策套用至特定帳戶或特定 AWS Organizations 組織單位 (OU) 中的帳戶,請選擇 Include only the specified accounts and organizational units (僅包含指定的帳戶和組織單位),然後新增要包含的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    • 如果您想要將政策套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有人,請選擇 Exclude the specified accounts and organizational units, and include all others (排除指定的帳戶和組織單位,並包含所有其他人),然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    您只能選擇一個選項。

    套用政策之後,Firewall Manager 員會根據您的設定自動評估任何新帳户。例如,如果您只包含特定帳户,Firewall Manager 員不會將政策套用至任何新帳户。另一個範例是,如果您包含 OU,當您將帳户新增至 OU 或其任何子 OU 時,Firewall Manager 員會自動將政策套用至新帳户。

  19. 所以此Resource Type (資源類型)Network Firewall 策略是VPC

  20. 對於 Resources (資源),如果您只想保護 (或排除) 具有特定標籤的資源,請選取適當的選項,然後輸入要包含或排除的標籤。您只可以選擇一個選項。如需標籤的詳細資訊,請參閱使用標籤編輯器

    如果您輸入多個標籤,資源必須具有所有標籤才會被包含或排除。

  21. 選擇 Next (下一步)。

  22. 適用於標籤政策,新增任何您想要用於 Firewall Manager 員政策的識別標籤。如需標籤的詳細資訊,請參閱使用標籤編輯器

  23. 選擇 Next (下一步)。

  24. 檢視新政策。若要進行任何變更,請在您要變更的區域中選擇 Edit (編輯)。這會讓您返回建立精靈中的對應步驟。當您滿意時,選擇 建立政策

建立AWS Firewall ManagerAmazon Route 53 Resolver DNS 防火政策

在 Firewall Manager DNS 防火牆政策中,您可以使用您在 Amazon Route 53 解析器 DNS 防火牆中管理的規則羣組。如需管理您的規則羣組的詳細資訊,請參管理 DNS 防火牆中的規則群組和規則中的Amazon Route 53

如需防火牆管理員 DNS 防火牆政策的資訊,請參Amazon Route 53 Resolver DNS 防火政策

建立 Amazon Route 53 Resolver DNS 防火 Firewall Manager 員政策 (主控台)

  1. 登入AWS Management Console,然 Firewall Manager 在https://console.aws.amazon.com/wafv2/fmsv2

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇 Create policy (建立政策)

  4. 適用於Policy type (政策類型),選擇Amazon Route 53 ResolverDNS 防火牆

  5. 適用於Region (區域)中,選擇AWS 區域。若要保護多個區域中的資源,您需要針對各區域建立不同的政策。

  6. 選擇 Next (下一步)。

  7. 適用於政策名稱中,輸入描述性名稱。

  8. 在政策配置中,新增您希望 DNS 防火牆在 VPC 規則羣組關聯中首先評估和最後評估的規則羣組。您最多可以向政策新增兩個規則羣組。

    創建 Firewall Manager DNS 防火牆策略時,Firewall Manager 會為範圍內的 VPC 和帳户創建規則組關聯,並使用您提供的關聯優先級。個別帳户管理員可以在您的第一個和最後一個關聯之間新增規則羣組關聯,但他們無法更改您在此處定義的關聯。如需詳細資訊,請參閱 Amazon Route 53 Resolver DNS 防火政策

  9. 選擇 Next (下一步)。

  10. 適用於AWS 帳戶本政策適用於中,按如下方式選擇選項:

    • 如果您要將政策套用至組織中的所有帳户,請保留預設選項將所有帳户包含在我的AWS組織

    • 如果您只想將政策套用至特定帳戶或特定 AWS Organizations 組織單位 (OU) 中的帳戶,請選擇 Include only the specified accounts and organizational units (僅包含指定的帳戶和組織單位),然後新增要包含的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    • 如果您想要將政策套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有人,請選擇 Exclude the specified accounts and organizational units, and include all others (排除指定的帳戶和組織單位,並包含所有其他人),然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    您只能選擇一個選項。

    套用政策之後,Firewall Manager 員會根據您的設定自動評估任何新帳户。例如,如果您只包含特定帳户,Firewall Manager 員不會將政策套用至任何新帳户。另一個範例是,如果您包含 OU,當您將帳户新增至 OU 或其任何子 OU 時,Firewall Manager 員會自動將政策套用至新帳户。

  11. 所以此Resource Type (資源類型)針對 DNS Firewall 政策VPC

  12. 對於 Resources (資源),如果您只想保護 (或排除) 具有特定標籤的資源,請選取適當的選項,然後輸入要包含或排除的標籤。您只可以選擇一個選項。如需標籤的詳細資訊,請參閱使用標籤編輯器

    如果您輸入多個標籤,資源必須具有所有標籤才會被包含或排除。

  13. 選擇 Next (下一步)。

  14. 適用於標籤政策,新增任何您想要用於 Firewall Manager 員政策的識別標籤。如需標籤的詳細資訊,請參閱使用標籤編輯器

  15. 選擇 Next (下一步)。

  16. 檢視新政策。若要進行任何變更,請在您要變更的區域中選擇 Edit (編輯)。這會讓您返回建立精靈中的對應步驟。當您滿意時,選擇 建立政策

建立AWS Firewall Manager政策帕洛阿爾託網絡雲 NGFW

通過 Palo Alto 網絡雲下一代防火牆(雲 NGFW)的 Firewall Manager 策略,您可以使用 Firewall Manager 部署雲 NGFW 資源,並集中管理 NGFW 規則堆棧跨所有AWS帳户。

如需防火牆管理員雲 NGFW 政策的詳細資訊,請參Palo Alto Networks 政策。有關如何配置和管理 Firewall Manager 的雲 NGFW 的信息,請參閲Palo Alto NetworksAWS文件中)。

先決條件

為 AWS Firewall Manager 準備您的帳戶有幾個必要的步驟。AWS Firewall Manager 先決條件 說明這些步驟。先完成所有的先決條件,再進行下一步。

若要建立 Cloud NGFW (主控台) 的 Firewall Manager 政策

  1. 登入AWS Management Console,然 Firewall Manager 在https://console.aws.amazon.com/wafv2/fmsv2

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇 Create policy (建立政策)

  4. 適用於Policy type (政策類型),選擇Palo Alto Networks。如果您尚未訂購 Cloud NGFW 服務,請參AWSMarketplace,您需要先做到這一點。若要訂AWSMarketplace,選擇檢視AWSMarketplace 詳情

  5. 適用於部署模型中,選擇分佈式模型或者集中式模型。部署模型確定 Firewall Manager 如何管理策略的終端節點。使用分佈式模型,Firewall Manager 在策略範圍內的每個 VPC 中維護防火牆終端節點。使用集中式模型,Firewall Manager 在檢查 VPC 中維護單個端點。

  6. 適用於Region (區域)中,選擇AWS 區域。若要保護多個區域中的資源,您需要針對各區域建立不同的政策。

  7. 選擇 Next (下一步)。

  8. 適用於政策名稱中,輸入描述性名稱。

  9. 在策略配置中,選擇要與此策略關聯的雲 NGFW 防火牆策略。雲 NGFW 防火牆策略列表包含與您的雲 NGFW 租户關聯的所有雲 NGFW 防火牆策略。如需建立和管理雲 NGFW 防火牆政策的詳細資訊,請參部署雲 NGFWAWS與AWS Firewall Manager主題Palo Alto NetworksAWS部署指南

  10. 適用於帕洛阿爾託網絡雲 NGFW 日誌記錄-可選,可以選擇要為策略記錄的雲 NGFW 日誌類型。如需 Cloud NGFW 日誌類型的詳細資訊,請參針對雲 NGFW 設定日誌記錄AWS中的Palo Alto NetworksAWS部署指南

    適用於日誌目標中,指定 Firewall Manager 應在何時寫入日誌。

  11. 選擇 Next (下一步)。

  12. UNDER配置第三方防火牆終結視您使用分佈式部署模型或集中式部署模型來建立防火牆終結點,執行下列步驟之一:

    • 如果使用此策略的分佈式部署模型,請在可用區域中,選擇要在其中創建防火牆終端節點的可用區。您可以通過可用區域名稱或通過可用區域 ID

    • 如果要為此策略使用集中式部署模型,請在AWS Firewall Manager端點組態檢 VPC 組態,輸入AWS檢查 VPC 擁有者的帳户ID,以及檢查 VPC 的 VPC ID。

      • UNDER可用區域中,選擇要在其中創建防火牆終端節點的可用區。您可以通過可用區域名稱或通過可用區域 ID

  13. 如果要提供 CIDR 塊供 Firewall Manager 用於 VPC 中的防火牆子網,則它們必須全部為 /28 CIDR 塊。每行輸入一個塊。如果忽略這些內容,Firewall Manager 將從 VPC 中可用的 IP 地址中為您選擇 IP 地址。

    注意

    自動修復自動發生AWS Firewall ManagerNetwork Firewall 策略,因此您不會在此處看到選擇不自動修復的選項。

  14. 選擇 Next (下一步)。

  15. 適用於政策範圍,UNDERAWS 帳戶本政策適用於中,按如下方式選擇選項:

    • 如果您要將政策套用至組織中的所有帳户,請保留預設選項將所有帳户包含在我的AWS組織

    • 如果您只想將政策套用至特定帳戶或特定 AWS Organizations 組織單位 (OU) 中的帳戶,請選擇 Include only the specified accounts and organizational units (僅包含指定的帳戶和組織單位),然後新增要包含的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    • 如果您想要將政策套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有人,請選擇 Exclude the specified accounts and organizational units, and include all others (排除指定的帳戶和組織單位,並包含所有其他人),然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    您只能選擇一個選項。

    套用政策之後,Firewall Manager 員會根據您的設定自動評估任何新帳户。例如,如果您只包含特定帳户,Firewall Manager 員不會將政策套用至任何新帳户。另一個範例是,如果您包含 OU,當您將帳户新增至 OU 或其任何子 OU 時,Firewall Manager 員會自動將政策套用至新帳户。

  16. 所以此Resource Type (資源類型)Network Firewall 策略是VPC

  17. 對於 Resources (資源),如果您只想保護 (或排除) 具有特定標籤的資源,請選取適當的選項,然後輸入要包含或排除的標籤。您只可以選擇一個選項。如需標籤的詳細資訊,請參閱使用標籤編輯器

    如果您輸入多個標籤,資源必須具有所有標籤才會被包含或排除。

  18. 適用於授予跨賬户訪問權,選擇下載AWS CloudFormation範本。這將下載AWS CloudFormation模板,您可使用該模板建立AWS CloudFormation堆棧。這個堆棧創建一個AWS Identity and Access Management角色,該角色授予 Firewall Manager 跨賬户管理權限來管理雲 NGFW 資源。如需堆棧的相關資訊,請參。使用堆疊中的AWS CloudFormation使用者指南

  19. 選擇 Next (下一步)。

  20. 適用於標籤政策,新增任何您想要用於 Firewall Manager 員政策的識別標籤。如需標籤的詳細資訊,請參閱使用標籤編輯器

  21. 選擇 Next (下一步)。

  22. 檢視新政策。若要進行任何變更,請在您要變更的區域中選擇 Edit (編輯)。這會讓您返回建立精靈中的對應步驟。當您滿意時,選擇 建立政策