建立 AWS Firewall Manager 策略 - AWS WAF、 AWS Firewall Manager、和 AWS Shield Advanced
建立政策 AWS WAF為 AWS WAF 傳統型建立策略建立 Shield 進階的政策建立常見安全群組政策建立內容稽核安全群組政策建立用途稽核安全群組政策建立網路 ACL 原則建立 Network Firewall 的策略建立 DNS 防火牆的政策建立帕洛阿爾托網路雲端 NGFW 的原則建立「充氣 CNF」的政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 AWS Firewall Manager 策略

不同政策類型的政策建立步驟有所不同。務必根據您所需的政策類型使用程序。

重要

AWS Firewall Manager 不支持 Amazon 路線 53 或 AWS Global Accelerator. 如果您想要使用 Shield Advanced 來保護這些資源,就無法使用 Firewall Manager 員原則。或者,請遵循為 AWS 資源添加 AWS Shield Advanced 保護中的說明進行。

建立 AWS Firewall Manager 政策 AWS WAF

在 Firewall Manager 員 AWS WAF 政策中,您可以使用受管規則群組,這些群組 AWS 和 AWS Marketplace 賣家會為您建立和維護。您也可以建立和使用自己的規則群組。如需規則群組的詳細資訊,請參閱AWS WAF 規則群組

如果您想要使用自己的規則群組,請在建立 Firewall Manager 員 AWS WAF 原則之前先建立這些規則群組。如需準則,請參閱管理您自己的規則群組。若要使用個別的自訂規則,您必須定義自己的規則群組、在該群組中定義規則,然後在政策中使用規則群組。

如需有關 Firewall Manager 員 AWS WAF 策略的資訊,請參閱 AWS WAF 政策

若要建立 AWS WAF (主控台) 的 Firewall Manager 員策略

  1. AWS Management Console 使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇建立政策

  4. 針對政策類型,選擇 AWS WAF

  5. 在「區域」中,選擇一個 AWS 區域。要保護 Amazon CloudFront 分佈,請選擇全球

    若要保護多個區域中的資源 ( CloudFront 散佈除外),您必須為每個區域建立個別的 Firewall Manager 員政策。

  6. 選擇下一步

  7. 策略名稱中,輸入描述性名稱。Firewall Manager 員會在其管理的 Web ACL 名稱中包含策略名稱。Web ACL 名稱FMManagedWebACLV2-後面接著您在此處輸入的策略名稱-,以及 Web ACL 建立時間戳記 (以 UTC 毫秒為單位)。例如 FMManagedWebACLV2-MyWAFPolicyName-1621880374078

  8. 對於 Web 要求主體檢查,選擇性地變更主體大小限制。如需有關本體檢查大小限制的資訊,包括定價考量,請參閱AWS WAF 開發人員指南管理車身檢查尺寸限制中的。

  9. 在 [原則規則] 下,新增您 AWS WAF 要在 Web ACL 中最先和最後評估的規則群組。若要使用 AWS WAF 受管規則群組版本控制,請切換 [啟用版本 個別帳戶管理員可以在第一個規則群組和最後一個規則群組之間新增規則和規則群組。如需有關在的 Firewall Manager 員策略中使用 AWS WAF 規則群組的詳細資訊 AWS WAF,請參閱AWS WAF 政策

    (選擇性) 若要自訂 Web ACL 使用規則群組的方式,請選擇 「編輯」。以下是常見的自訂設定:

    • 針對受管規則群組,覆寫部分或所有規則的規則動作。如果您未定義規則的覆寫動作,則評估會使用規則群組內定義的規則動作。如需有關此選項的資訊,請參閱規則群組的動作覆寫選項AWS WAF 發人員指南中的。

    • 某些受管規則群組會要求您提供其他組態。請參閱受管規則群組提供者的說明文件。如需「 AWS 受管規則」規則群組的特定資訊,請參閱AWS WAF 開發人員指南AWS 的受管規則 AWS WAF中的。

    完成設定後,請選擇 [儲存規則]。

  10. 設定 Web ACL 的預設動作。這是 AWS WAF 在 Web 請求不符合 Web ACL 中的任何規則時所採取的動作。您可以使用「允許」動作新增自訂標頭,或針對「封鎖」動作新增自訂回應。如需有關預設 Web ACL 動作的更多資訊,請參閱網頁 ACL 預設動作。如需有關設定自訂 Web 要求和回應的資訊,請參閱定制的 Web 請求和響應 AWS WAF

  11. 對於記錄組態,請選擇啟用記錄以開啟記錄。記錄可提供 Web ACL 分析之流量的詳細資訊。選擇記錄目的地,然後選擇您設定的記錄目的地。您必須選擇名稱開頭的記錄目的地aws-waf-logs-。如需有關設定 AWS WAF 記錄目的地的資訊,請參閱設定 AWS WAF 原則的記錄

  12. (選用) 如果您不想要特定欄位及其值包含在日誌中,請編寫這些欄位。選擇要編寫的欄位,然後選擇新增。重複其他需要編寫的欄位。在日誌中編寫的欄位顯示為 REDACTED。例如,如果您編輯 URI 欄位,則記錄檔中的 URI 欄位將會是REDACTED

  13. (選擇性) 如果您不想將所有要求傳送至記錄檔,請新增篩選條件和行為。在「篩選記錄檔」下方,針對您要套用的每個篩選器,選擇「新增篩選器」,然後選擇您的篩選條件,並指定要保留或刪除符合條件的要求。完成新增篩選器後,如有需要,請修改預設記錄行為。如需詳細資訊,請參閱《AWS WAF 開發人員指南》中的 網頁 ACL 記錄設定

  14. 您可以定義 Token 網域清單,以啟用受保護應用程式之間的權杖共用。當您使用「受管規則」規則群組進Challenge行 AWS WAF 詐騙控制帳戶接 AWS 管 (ATP) 和 AWS WAF 機器人控制時,您實作的和動作以及應用程式整合 SDK 會使用 Token。CAPTCHA

    不允許使用公共後綴。例如,您無法使用gov.auco.uk做為權杖網域。

    默認情況下,僅 AWS WAF 接受保護資源的域令牌。如果您在此清單中新增 Token 網域,請 AWS WAF 接受清單中所有網域和相關資源網域的權杖。如需詳細資訊,請參閱《AWS WAF 開發人員指南》中的 AWS WAF 網絡 ACL 令牌域列表配置

    只有在編輯現有的 Web ACL 時,才能變更網頁 ACL 的驗證碼和挑戰免疫時間。您可以在 Firewall Manager 員策略詳細資料頁面下找到這些設定。如需這些設定的資訊,請參閱 時間戳記到期: AWS WAF 權杖豁免時間。如果您更新現有策略中的關聯設定CAPTCHA挑戰權杖網域清單設定,Firewall Manager 員會以新值覆寫您的本機 Web ACL。不過,如果您未更新原則的「關聯設定」、「驗證碼」、「挑戰」或「權杖網域清單」設定,則本機 Web ACL 中的值將維持不變。如需有關此選項的資訊,請參閱CAPTCHA並Challenge在 AWS WAFAWS WAF 發人員指南中的。

  15. 在「Web ACL 管理」下,如果您希望 Firewall Manager 員管理未關聯的 Web ACL,請啟用「管理未關聯的 Web ACL」。使用此選項時,Firewall Manager 員只會在至少一個資源使用 Web ACL 時,才會在策略範圍內的帳號中建立 Web ACL。如果任何時候有帳號進入策略範圍,如果至少有一個資源將使用 Web ACL,則 Firewall Manager 員會在帳號中自動建立 Web ACL。啟用此選項後,Firewall Manager 員會執行一次性清除您帳戶中未關聯的 Web ACL。清理過程可能需要幾個小時。如果資源在 Firewall Manager 員建立 Web ACL 之後離開策略範圍,則 Firewall Manager 員會取消資源與 Web ACL 的關聯,但不會清除未關聯的 Web ACL。Firewall Manager 員只會在您第一次啟用原則中未關聯的 Web ACL 管理時,才會清除未關聯的 Web ACL。

  16. 針對策略動作,如果您要在組織內的每個適用帳號中建立 Web ACL,但尚未將 Web ACL 套用至任何資源,請選擇 [識別不符合策略規則的資源,但不 auto 動修復,且不要選擇管理未關聯的 Web ACL]。您可以稍後變更這些選項。

    如果您要改為自動將政策套用至現有的範圍內資源,請選擇 Auto remediate any noncompliant resources (自動修補任何不合規的資源)。如果停用「管理未關聯的 Web ACL」,則「自動修復任何不符合標準的資源」選項會在組織內的每個適用帳戶中建立 Web ACL,並將 Web ACL 與帳號中的資源建立關聯。如果啟用了「管理未關聯的 Web ACL」,則「自動修復任何不符合標準的資源」選項僅會在具有資格與 Web ACL 關聯的資源的帳號中建立 Web ACL 並建立關聯。

    當您選擇自動修復任何不符合標準的資源時,您也可以選擇從範圍內的資源移除現有的 Web ACL 關聯,針對不受其他作用中 Firewall Manager 員策略管理的 Web ACL。如果您選擇此選項,則 Firewall Manager 員會先將策略的 Web ACL 與資源產生關聯,然後移除先前的關聯。如果資源與另一個由不同作用中 Firewall Manager 員策略管理的 Web ACL 有關聯,則此選項不會影響該關聯。

  17. 選擇下一步

  18. 針對AWS 帳戶 此原則適用於,請依下列方式選擇選項:

    • 如果您要將策略套用至組織中的所有帳戶,請保留預設選項「包含我的 AWS 組織下的所有帳戶」

    • 如果您只想將策略套用至特定 AWS Organizations 組織單位 (OU) 中的特定帳戶或帳戶,請選擇 [僅包含指定的帳戶和組織單位],然後新增您要包含的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    • 如果您想要將政策套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有人,請選擇 Exclude the specified accounts and organizational units, and include all others (排除指定的帳戶和組織單位,並包含所有其他人),然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    您只能選擇一個選項。

    套用策略後,Firewall Manager 員會根據您的設定自動評估任何新帳號。例如,如果您只包含特定帳戶,則 Firewall Manager 員不會將策略套用至任何新帳戶。另一個範例是,如果您包含 OU,當您將帳戶新增至 OU 或其任何子系 OU 時,Firewall Manager 員會自動將原則套用至新帳戶。

  19. 針對 Resource type (資源類型),請選擇您要保護的資源類型。

  20. 對於 Resources,您可以使用標記來縮小策略的範圍,方法是包含或排除具有指定標籤的資源。您可以使用包含或排除,而不能同時使用兩者。如需標籤的詳細資訊,請參閱使用標籤編輯器

    如果您輸入多個標籤,資源必須具有所有標籤才會被包含或排除。

    資源標籤只能有非空值。如果您省略標籤的值,「Firewall Manager 員」會以空白字串值儲存標籤:「」。資源標籤僅與具有相同鍵和相同值的標籤匹配。

  21. 選擇下一步

  22. 對於策略標記,請新增任何您要新增至 Firewall Manager 員策略資源的識別標籤。如需標籤的詳細資訊,請參閱使用標籤編輯器

  23. 選擇下一步

  24. 檢閱新的原則設定,並返回需要進行任何調整的頁面。

    當您滿意時,選擇 建立政策。在 [原AWS Firewall Manager 則] 窗格中,應該會列出您的原則。它可能會在帳戶標題下指示「待處理」,並指示「自動補救」設定的狀態。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後,您可以選擇政策名稱,以探索帳戶和資源的合規狀態。如需相關資訊,請參閱檢視 AWS Firewall Manager 原則的符合性資訊

建立 AWS WAF 傳統的 AWS Firewall Manager 原則

建立 AWS WAF 典型(主控台)的 Firewall Manager 員策略

  1. AWS Management Console 使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇建立政策

  4. 針對 Policy type (政策類型),選擇 AWS WAF Classic

  5. 如果您已 AWS WAF 經建立要新增至原則的傳統規則群組,請選擇 [建立 AWS Firewall Manager 原則] 並新增現有規則群組。如果您要建立新的規則群組,請選擇 [建立 Firewall Manager 員原則],然後新增規則群組

  6. 在「區域」中,選擇一個 AWS 區域。若要保護 Amazon CloudFront 資源,請選擇「全球」。

    若要保護多個區域 (資源除外) 中的 CloudFront 資源,您必須為每個區域建立個別的 Firewall Manager 員政策。

  7. 選擇下一步

  8. 如果您要建立一個規則群組,則遵循建立 AWS WAF 傳統規則群組的指示。在您建立規則群組,請繼續執行以下步驟。

  9. 輸入政策名稱。

  10. 如果您要新增現有的規則群組,請使用下拉式功能表選取要新增的規則群組,然後選擇 [新增規則群組]。

  11. 政策有兩種動作:規則群組這定的動作計數。如果您想要測試政策和規則群組,設定動作為計數。這個動作覆寫任何由規則群組中的規則所指定的封鎖動作。也就是說,如果政策的動作是設定為計數,只會計算請求,而不會封鎖請求。反之,如果您設定政策的動作為規則群組設定的動作,則會使用該規則群組規則的動作。選擇適當動作。

  12. 選擇下一步

  13. 針對AWS 帳戶 此原則適用於,請依下列方式選擇選項:

    • 如果您要將策略套用至組織中的所有帳戶,請保留預設選項「包含我的 AWS 組織下的所有帳戶」

    • 如果您只想將策略套用至特定 AWS Organizations 組織單位 (OU) 中的特定帳戶或帳戶,請選擇 [僅包含指定的帳戶和組織單位],然後新增您要包含的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    • 如果您要將策略套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有帳戶或組織單位,請選擇 [排除指定的帳戶和組織單位],並包含所有其他帳戶,然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    您只能選擇一個選項。

    套用策略後,Firewall Manager 員會根據您的設定自動評估任何新帳號。例如,如果您只包含特定帳戶,則 Firewall Manager 員不會將策略套用至任何新帳戶。另一個範例是,如果您包含 OU,當您將帳戶新增至 OU 或其任何子系 OU 時,Firewall Manager 員會自動將原則套用至新帳戶。

  14. 選擇您要保護的資源類型。

  15. 對於 Resources,您可以使用標記來縮小策略的範圍,方法是包含或排除具有指定標籤的資源。您可以使用包含或排除,而不能同時使用兩者。如需標籤的詳細資訊,請參閱使用標籤編輯器

    如果您輸入多個標籤,資源必須具有所有標籤才會被包含或排除。

    資源標籤只能有非空值。如果您省略標籤的值,「Firewall Manager 員」會以空白字串值儲存標籤:「」。資源標籤僅與具有相同鍵和相同值的標籤匹配。

  16. 如果您想自動套用政策到現有的資源,請選擇建立和套用此政策到現有的和新的資源

    此選項是在 AWS 組織內每個可用帳戶中,建立 Web ACL,並將 Web ACL 關聯至帳戶中的資源。此選項還會將政策套用到與前述條件 (資源類型和標籤) 符合的所有新的資源。或者,如果您選擇 Create policy but do not apply the policy to existing or new resources (建立政策,但不套用政策到現有或新的資源),防火牆管理員在組織內每個可用帳戶內建立 Web ACL,但不套用 Web ACL 到任何資源。之後,您必須將政策套用到資源。選擇適當選項。

  17. 對於 [取代現有相關聯的 Web ACL],您可以選擇移除目前為範圍內資源定義的任何 Web ACL 關聯,然後使用以此政策建立的 Web ACL 關聯來取代它們。根據預設,Firewall Manager 員不會在新增新的 Web ACL 關聯之前移除現有的 Web ACL 關聯。如果您要移除現有的 Web ACL 關聯,請選擇此選項。

  18. 選擇下一步

  19. 檢視新政策。若要修改,選擇編輯。當您滿意政策時,選擇 Create and apply policy (建立和套用政策)

建立 AWS Firewall Manager 政策 AWS Shield Advanced

建立「防護進階」(主控台) 的 Firewall Manager 員策略

  1. AWS Management Console 使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇建立政策

  4. 針對策略類型,選擇 Shield 進階

    若要建立 Shield 牌進階政策,您必須訂閱 Shield 牌進階。如果您未訂閱,系統會提示您訂閱。如需訂閱費用的相關資訊,請參閱AWS Shield Advanced 定價

  5. 在「區域」中,選擇一個 AWS 區域。要保護 Amazon CloudFront 分佈,請選擇全球

    對於「域」以外的「區域」選項,若要保護多個區域中的資源,您必須為每個區域建立個別的 Firewall Manager 員政策。

  6. 選擇下一步

  7. 在「名稱」中,輸入描述性名稱。

  8. 僅針對全球區域政策,您可以選擇是否要管理 Shield 進階自動應用程式層 DDoS 緩解。如需有關此 Shield 進階功能的資訊,請參閱Shield 先進的自動應用層 DDoS 緩解

    您可以選擇啟用或停用自動緩和措施,也可以選擇忽略它。如果您選擇忽略它,Firewall Manager 員根本不會管理 Shield 進階防護的自動緩和措施。如需這些原則選項的詳細資訊,請參閱自動化應用程式層 DDoS 防護

  9. 在「Web ACL 管理」下,如果您希望 Firewall Manager 員管理未關聯的 Web ACL,請啟用「管理未關聯的 Web ACL」。使用此選項時,Firewall Manager 員只會在至少一個資源使用 Web ACL 時,才會在策略範圍內的帳號中建立 Web ACL。如果任何時候有帳號進入策略範圍,如果至少有一個資源將使用 Web ACL,則 Firewall Manager 員會在帳號中自動建立 Web ACL。啟用此選項後,Firewall Manager 員會執行一次性清除您帳戶中未關聯的 Web ACL。清理過程可能需要幾個小時。如果資源在 Firewall Manager 員建立 Web ACL 之後離開策略範圍,則 Firewall Manager 員將不會取消資源與 Web ACL 的關聯。若要在一次性清除中包含 Web ACL,您必須先手動取消資源與 Web ACL 的關聯,然後啟用「管理未關聯的 Web ACL」。

  10. 對於「原則」動作,建議您使用不會自動修復不符合資源的選項來建立策略。停用自動補救時,您可以先評估新原則的效果,然後再套用它。如果您滿意變更是您想要的,請編輯原則並變更原則動作以啟用自動修復。

    如果您要改為自動將政策套用至現有的範圍內資源,請選擇 Auto remediate any noncompliant resources (自動修補任何不合規的資源)。此選項會針對 AWS 組織內的每個適用帳號及帳號中的每個適用資源套用「Shield 牌進階」保護。

    僅針對域區域策略,如果您選擇自動修復任何不相容的資源,您也可以選擇讓 Firewall Manager 員自動將任何現有的 AWS WAF 傳統 Web ACL 關聯取代為使用最新版 AWS WAF (v2) 建立之 Web ACL 的新關聯。如果您選擇此選項,則 Firewall Manager 員會移除與舊版 Web ACL 的關聯,並建立與最新版 Web ACL 的新關聯,然後在任何尚未具備原則的範圍內帳戶中建立新的空白 Web ACL。如需有關此選項的詳細資訊,請參閱 以最新版本的網頁 ACL 取代 AWS WAF 傳統網頁 ACL

  11. 選擇下一步

  12. 針對AWS 帳戶 此原則適用於,請依下列方式選擇選項:

    • 如果您要將策略套用至組織中的所有帳戶,請保留預設選項「包含我的 AWS 組織下的所有帳戶」

    • 如果您只想將策略套用至特定 AWS Organizations 組織單位 (OU) 中的特定帳戶或帳戶,請選擇 [僅包含指定的帳戶和組織單位],然後新增您要包含的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    • 如果您要將策略套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有帳戶或組織單位,請選擇 [排除指定的帳戶和組織單位],並包含所有其他帳戶,然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    您只能選擇一個選項。

    套用策略後,Firewall Manager 員會根據您的設定自動評估任何新帳號。例如,如果您只包含特定帳戶,則 Firewall Manager 員不會將策略套用至任何新帳戶。另一個範例是,如果您包含 OU,當您將帳戶新增至 OU 或其任何子系 OU 時,Firewall Manager 員會自動將原則套用至新帳戶。

  13. 選擇您要保護的資源類型。

    Firewall Manager 員不支援 Amazon 路由 53 或 AWS Global Accelerator. 如果您需要使用 Shield Advanced 來保護資源不受這些服務攻擊,則無法使用 Firewall Manager 員策略。相反,請遵循的「Shield 牌進階」指引為 AWS 資源添加 AWS Shield Advanced 保護

  14. 對於 Resources,您可以使用標記來縮小策略的範圍,方法是包含或排除具有指定標籤的資源。您可以使用包含或排除,而不能同時使用兩者。如需標籤的詳細資訊,請參閱使用標籤編輯器

    如果您輸入多個標籤,資源必須具有所有標籤才會被包含或排除。

    資源標籤只能有非空值。如果您省略標籤的值,「Firewall Manager 員」會以空白字串值儲存標籤:「」。資源標籤僅與具有相同鍵和相同值的標籤匹配。

  15. 選擇下一步

  16. 對於策略標記,請新增任何您要新增至 Firewall Manager 員策略資源的識別標籤。如需標籤的詳細資訊,請參閱使用標籤編輯器

  17. 選擇下一步

  18. 檢閱新的原則設定,並返回需要進行任何調整的頁面。

    當您滿意時,選擇 建立政策。在 [原AWS Firewall Manager 則] 窗格中,應該會列出您的原則。它可能會在帳戶標題下指示「待處理」,並指示「自動補救」設定的狀態。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後,您可以選擇政策名稱,以探索帳戶和資源的合規狀態。如需相關資訊,請參閱檢視 AWS Firewall Manager 原則的符合性資訊

建立 AWS Firewall Manager 常見安全群組政策

如需常見安全群組政策如何運作的資訊,請參閱 常見安全群組政策

若要建立一般安全性群組原則,您必須在您的 Firewall Manager 系統管理員帳戶中已建立一個安全性群組,您想要做為原則的主要使用。您可以透過 Amazon Virtual Private Cloud (Amazon VPC) 或亞馬遜彈性運算雲 (Amazon EC2) 管理安全群組。如需詳細資訊,請參Amazon VPC 使用者指南中的使用安全群組

若要建立常見安全群組政策 (主控台)

  1. AWS Management Console 使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇建立政策

  4. 對於 Policy type (政策類型),選擇 Security group (安全群組)

  5. 對於 Security group policy type (安全群組類型),選擇 Common security groups (常見安全群組)

  6. 在「區域」中,選擇一個 AWS 區域。

  7. 選擇下一步

  8. 對於 Policy name (政策名稱),輸入易記的名稱。

  9. 對於 Policy rules (政策規則),執行下列操作:

    1. 從 rules 選項中,選擇您要套用至安全性群組規則和原則範圍內的資源的限制。如果您選擇將標籤從主要安全性群組分發到由此原則建立的安全性群組,則您也必須選取 [識別並報告] 當此原則建立的安全性群組變成不符合標準時。

      重要

      Firewall Manager 員不會將 AWS 服務新增的系統標記散佈到複本安全性群組中。系統標籤以 aws: 字首開頭。此外,如果策略的標記與組織的標籤策略衝突,Firewall Manager 將不會更新現有安全群組的標記或建立新的安全群組。如需有關標籤策略的詳細資訊,請參閱 AWS Organizations 使用指南中的標籤策略

      如果您選擇將安全群組參考從主要安全群組分發到此政策建立的安全群組,則 Firewall Manager 只會在安全群組參考在 Amazon VPC 中具有作用中的對等連線時,才會分發安全群組參考。如需有關此選項的詳細資訊,請參閱策略規則設定

    2. 對於 [主要安全性群組],請選擇 [新增安全性群組],然後選擇您要使用的安全性群組。Firewall Manager 員會填入 Firewall Manager 員帳戶中所有 Amazon VPC 執行個體的安全群組清單。

      根據預設,每個原則的主要安全性群組數目上限為 3。如需有關此設定的詳細資訊,請參閱 AWS Firewall Manager 配額

    3. 對於 Policy action (政策動作),我們建議建立包含不自動修補選項的政策。這可讓您在套用新政策之前評估其效用。當您確認這些變更正是您所需的時,請編輯政策並變更政策動作,以啟用不合規資源的自動修補。

  10. 選擇下一步

  11. 針對AWS 帳戶 此原則適用於,請依下列方式選擇選項:

    • 如果您要將策略套用至組織中的所有帳戶,請保留預設選項「包含我的 AWS 組織下的所有帳戶」

    • 如果您只想將策略套用至特定 AWS Organizations 組織單位 (OU) 中的特定帳戶或帳戶,請選擇 [僅包含指定的帳戶和組織單位],然後新增您要包含的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    • 如果您要將策略套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有帳戶或組織單位,請選擇 [排除指定的帳戶和組織單位],並包含所有其他帳戶,然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    您只能選擇一個選項。

    套用策略後,Firewall Manager 員會根據您的設定自動評估任何新帳號。例如,如果您只包含特定帳戶,則 Firewall Manager 員不會將策略套用至任何新帳戶。另一個範例是,如果您包含 OU,當您將帳戶新增至 OU 或其任何子系 OU 時,Firewall Manager 員會自動將原則套用至新帳戶。

  12. 針對 Resource type (資源類型),請選擇您要保護的資源類型。

    如果選擇 EC2 執行個體,您可以選擇在每個 Amazon EC2 執行個體中包含所有彈性網路界面,或只包含每個執行個體中的預設界面。如果您在任何範圍內的 Amazon EC2 執行個體中都有多個 elastic network interface,則選擇包含所有界面的選項可讓 Firewall Manager 員將政策套用到所有界面。啟用自動修復時,如果 Firewall Manager 員無法將政策套用至 Amazon EC2 執行個體中的所有彈性網路界面,則會將執行個體標示為不合規。

  13. 對於 Resources,您可以使用標記來縮小策略的範圍,方法是包含或排除具有指定標籤的資源。您可以使用包含或排除,而不能同時使用兩者。如需標籤的詳細資訊,請參閱使用標籤編輯器

    如果您輸入多個標籤,資源必須具有所有標籤才會被包含或排除。

    資源標籤只能有非空值。如果您省略標籤的值,「Firewall Manager 員」會以空白字串值儲存標籤:「」。資源標籤僅與具有相同鍵和相同值的標籤匹配。

  14. 對於共用的 VPC 資源,如果您想要在共用 VPC 中將政策套用至資源,除了帳戶擁有的 VPC 之外,請選取 Include resources from shared VPCs (包含來自共用 VPC 的資源)

  15. 選擇下一步

  16. 檢閱政策設定,以確保其為您所需的設定,然後選擇 Create policy (建立政策)

Firewall Manager 員會在範圍內帳戶中包含的每個 Amazon VPC 執行個體中建立主要安全群組的複本,每個帳戶支援的 Amazon VPC 配額上限為止。Firewall Manager 員會將複本安全性群組與每個範圍內帳戶原則範圍內的資源相關聯。如需此政策如何運作的詳細資訊,請參閱 常見安全群組政策

建立 AWS Firewall Manager 內容稽核安全群組政策

如需內容稽核安全群組政策如何運作的資訊,請參閱 內容稽核安全群組政策

對於某些內容稽核策略設定,您必須提供稽核安全性群組,Firewall Manager 員才能做為範本使用。例如,您可能有一個稽核安全性群組,其中包含您在任何安全性群組中不允許的所有規則。您必須先使用 Firewall Manager 員管理員帳戶建立這些稽核安全性群組,才能在策略中使用這些群組。您可以透過 Amazon Virtual Private Cloud (Amazon VPC) 或亞馬遜彈性運算雲 (Amazon EC2) 管理安全群組。如需詳細資訊,請參Amazon VPC 使用者指南中的使用安全群組

若要建立內容稽核安全群組政策 (主控台)

  1. AWS Management Console 使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇建立政策

  4. 對於 Policy type (政策類型),選擇 Security group (安全群組)

  5. 對於 Security group policy type (安全群組政策類型),選擇 Auditing and enforcement of security group rules (稽核和強制執行安全群組規則)

  6. 在「區域」中,選擇一個 AWS 區域。

  7. 選擇下一步

  8. 對於 Policy name (政策名稱),輸入易記的名稱。

  9. 對於策略規則,請選擇您要使用的受管理或自訂策略規則選項。

    1. 對於設定受管理的稽核策略規則,請執行下列動作:

      1. 對於 [設定要稽核的安全性群組規則],選取您希望稽核策略套用的安全性群組規則類型。

      2. 如果您想要根據安全性群組中的通訊協定、連接埠和 CIDR 範圍設定執行稽核規則之類的作業,請選擇 [稽核過於寬鬆的安全性群組規則],然後選取您想要的選項。

        對於選取 [規則允許所有流量],您可以提供自訂應用程式清單來指定要稽核的應用程式。如需有關自訂應用程式清單以及如何在原則中使用這些清單的資訊,請參閱受管理清單使用受管理清單

        對於使用通訊協定清單的選取項目,您可以使用現有的清單,也可以建立新清單。如需有關通訊協定清單以及如何在原則中使用通訊協定清單的資訊,請參閱受管理清單使用受管理清單

      3. 如果您要根據對預留或非保留 CIDR 範圍的存取權來稽核高風險,請選擇「稽核高風險應用模組」,然後選取您要的選項。

        下列選項是互斥的:只能存取保留 CIDR 範圍的應用程式,以及允許存取非保留 CIDR 範圍的應用程式。您最多可以在任何策略中選取其中一個。

        對於使用應用程式清單的選取項目,您可以使用現有清單,也可以建立新清單。如需有關應用程式清單以及如何在原則中使用這些清單的資訊,請參閱受管理清單使用受管理清單

      4. 使用寫設定可明確覆寫原則中的其他設定。您可以選擇永遠允許或永遠拒絕特定的安全性群組規則,不論這些規則是否符合您為原則設定的其他選項。

        對於此選項,您可以提供稽核安全性群組作為允許的規則或拒絕的規則範本。針對 [稽核安全性群組],選擇 [新增稽核安全性群組],然後選擇您要使用的安全性群組。Firewall Manager 員會填入 Firewall Manager 員帳戶中所有 Amazon VPC 執行個體的稽核安全群組清單。政策的稽核安全群組數目的預設限額為一個。如需增加配額的詳細資訊,請參閱AWS Firewall Manager 配額

    2. 對於 [設定自訂原則規則],請執行下列動作:

      1. 從規則選項中,選擇是否只允許在稽核安全群組中定義的規則,或拒絕所有規則。如需此選項的詳細資訊,請參閱內容稽核安全群組政策

      2. 針對 [稽核安全性群組],選擇 [新增稽核安全性群組],然後選擇您要使用的安全性群組。Firewall Manager 員會填入 Firewall Manager 員帳戶中所有 Amazon VPC 執行個體的稽核安全群組清單。政策的稽核安全群組數目的預設限額為一個。如需增加配額的詳細資訊,請參閱AWS Firewall Manager 配額

      3. 對於 Policy action (政策動作),您必須建立包含不自動修補選項的政策。這可讓您在套用新政策之前評估其效用。當您確認這些變更正是您所需的時,請編輯政策並變更政策動作,以啟用不合規資源的自動修補。

  10. 選擇下一步

  11. 針對AWS 帳戶 此原則適用於,請依下列方式選擇選項:

    • 如果您要將策略套用至組織中的所有帳戶,請保留預設選項「包含我的 AWS 組織下的所有帳戶」

    • 如果您只想將策略套用至特定 AWS Organizations 組織單位 (OU) 中的特定帳戶或帳戶,請選擇 [僅包含指定的帳戶和組織單位],然後新增您要包含的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    • 如果您要將策略套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有帳戶或組織單位,請選擇 [排除指定的帳戶和組織單位],並包含所有其他帳戶,然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    您只能選擇一個選項。

    套用策略後,Firewall Manager 員會根據您的設定自動評估任何新帳號。例如,如果您只包含特定帳戶,則 Firewall Manager 員不會將策略套用至任何新帳戶。另一個範例是,如果您包含 OU,當您將帳戶新增至 OU 或其任何子系 OU 時,Firewall Manager 員會自動將原則套用至新帳戶。

  12. 對於 Resource type (資源類型),請選擇您要保護的資源類型。

  13. 對於 Resources,您可以使用標記來縮小策略的範圍,方法是包含或排除具有指定標籤的資源。您可以使用包含或排除,而不能同時使用兩者。如需標籤的詳細資訊,請參閱使用標籤編輯器

    如果您輸入多個標籤,資源必須具有所有標籤才會被包含或排除。

    資源標籤只能有非空值。如果您省略標籤的值,「Firewall Manager 員」會以空白字串值儲存標籤:「」。資源標籤僅與具有相同鍵和相同值的標籤匹配。

  14. 選擇下一步

  15. 檢閱政策設定,以確保其為您所需的設定,然後選擇 Create policy (建立政策)

Firewall Manager 會根據您的策略規則設定,將稽核安全性群組與組 AWS 織中的範圍內安全群組進行比較。您可以在策略主控台中檢閱 AWS Firewall Manager 策略狀態。建立政策後,您可以編輯該政策,並啟用自動修補,以使您的稽核安全群組政策生效。如需此政策如何運作的詳細資訊,請參閱 內容稽核安全群組政策

建立 AWS Firewall Manager 用途稽核安全群組政策

如需用途稽核安全群組政策如何運作的資訊,請參閱 用途稽核安全群組政策

建立用途稽核安全群組政策 (主控台)

  1. AWS Management Console 使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇建立政策

  4. 對於 Policy type (政策類型),選擇 Security group (安全群組)

  5. 針對 [安全性群組原則類型],選擇 [稽核和清除未關聯及備援的安全性群組]。

  6. 在「區域」中,選擇一個 AWS 區域。

  7. 選擇下一步

  8. 對於 Policy name (政策名稱),輸入易記的名稱。

  9. 對於 Policy rules (政策規則),選擇一個可用的選項或兩者都選擇。

    • 如果您選擇此策略範圍內的安全性群組至少必須由一個資源使用,則 Firewall Manager 會移除其判斷為未使用的任何安全性群組。啟用此規則時,Firewall Manager 員會在您儲存策略時執行最後一次。

      如需有關 Firewall Manager 員如何判斷使用情況和修復時間的詳細資訊,請參閱用途稽核安全群組政策

      注意

      當您使用此用法稽核安全性群組原則類型時,請避免在短時間內對範圍內安全性群組的關聯狀態進行多次變更。這樣做可能會導致 Firewall Manager 員遺漏對應的事件。

      根據預設,Firewall Manager 只要安全性群組未使用,就會立即將其視為不相容於此原則規則。您可以選擇性地指定安全性群組在被視為不相容之前,可使用的分鐘數,最多可達 525,600 分鐘 (365 天)。您可以使用此設定,讓自己有時間將新的安全性群組與資源建立關聯。

      重要

      如果您指定的預設值為零以外的分鐘數,則必須在中啟用間接關係 AWS Config。否則,您的使用稽核安全性群組原則將無法如預期般運作。如需有關中間接關係的資訊 AWS Config,請參閱AWS Config 開發人員指南 AWS Config中的「間接關係」。

    • 如果您選擇此策略範圍內的安全性群組必須是唯一的,Firewall Manager 會合併多餘的安全性群組,以便只有一個與任何資源相關聯。如果您選擇此選項,Firewall Manager 員會在您儲存策略時先執行它。

  10. 對於 Policy action (政策動作),我們建議建立包含不自動修補選項的政策。這可讓您在套用新政策之前評估其效用。當您確認這些變更正是您所需的時,請編輯政策並變更政策動作,以啟用不合規資源的自動修補。

  11. 選擇下一步

  12. 針對AWS 帳戶 此原則適用於,請依下列方式選擇選項:

    • 如果您要將策略套用至組織中的所有帳戶,請保留預設選項「包含我的 AWS 組織下的所有帳戶」

    • 如果您只想將策略套用至特定 AWS Organizations 組織單位 (OU) 中的特定帳戶或帳戶,請選擇 [僅包含指定的帳戶和組織單位],然後新增您要包含的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    • 如果您要將策略套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有帳戶或組織單位,請選擇 [排除指定的帳戶和組織單位],並包含所有其他帳戶,然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    您只能選擇一個選項。

    套用策略後,Firewall Manager 員會根據您的設定自動評估任何新帳號。例如,如果您只包含特定帳戶,則 Firewall Manager 員不會將策略套用至任何新帳戶。另一個範例是,如果您包含 OU,當您將帳戶新增至 OU 或其任何子系 OU 時,Firewall Manager 員會自動將原則套用至新帳戶。

  13. 對於 Resources,您可以使用標記來縮小策略的範圍,方法是包含或排除具有指定標籤的資源。您可以使用包含或排除,而不能同時使用兩者。如需標籤的詳細資訊,請參閱使用標籤編輯器

    如果您輸入多個標籤,資源必須具有所有標籤才會被包含或排除。

    資源標籤只能有非空值。如果您省略標籤的值,「Firewall Manager 員」會以空白字串值儲存標籤:「」。資源標籤僅與具有相同鍵和相同值的標籤匹配。

  14. 選擇下一步

  15. 如果您尚未從策略範圍中排除 Firewall Manager 員管理員帳戶,則 Firewall Manager 員會提示您執行此操作。這樣做會讓 Firewall Manager 員管理員帳戶中的安全性群組受您手動控制的一般和稽核安全性群組原則所使用。在此對話方塊中選擇您想要的選項。

  16. 檢閱政策設定,以確保其為您所需的設定,然後選擇 Create policy (建立政策)

如果您選擇需要唯一的安全群組,Firewall Manager 員會掃描每個範圍內 Amazon VPC 執行個體中的冗餘安全群組。然後,如果您選擇要求至少一個資源使用每個安全性群組,Firewall Manager 會掃描規則中指定分鐘內未使用的安全性群組。您可以在策略主控台中檢閱 AWS Firewall Manager 策略狀態。如需此政策如何運作的詳細資訊,請參閱 用途稽核安全群組政策

建立 AWS Firewall Manager 網路 ACL 原則

如需有關網路 ACL 原則如何運作的資訊,請參閱網路 ACL 政策

若要建立網路 ACL 政策,您必須知道如何定義網路 ACL,以便與 Amazon VPC 子網路搭配使用。如需詳細資訊,請參閱 Amazon V PC 使用者指南中的使用網路 ACL 控制到子網路的流量和使用網路 ACL

建立網路 ACL 原則 (主控台)

  1. AWS Management Console 使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇建立政策

  4. 針對「原則類型」,選擇「網路 ACL」。

  5. 在「區域」中,選擇一個 AWS 區域。

  6. 選擇下一步

  7. 策略名稱中,輸入描述性名稱。

  8. 針對原則規則,請定義您要一律在 Firewall Manager 員為您管理的網路 ACL 中執行的規則。網路 ACL 會監控並處理輸入和輸出流量,因此您可以在原則中為兩個方向定義規則。

    對於任何一個方向,您都可以定義要始終首先執行的規則,以及您希望永遠最後執行的規則。在 Firewall Manager 員管理的網路 ACL 中,帳戶擁有者可以定義要在這些第一個和最後一個規則之間執行的自訂規則。

  9. 對於 [原則動作],如果您想要識別不符合標準的子網路和網路 ACL,但尚未採取任何更正動作,請選擇 [識別不符合原則規則,但不 auto 動修復的資源]。您可以稍後變更這些選項。

    如果您想要將原則自動套用至現有範圍內的子網路,請選擇 [自動修復任何不符合標準的資源]。使用此選項,您也可以指定當原則規則的流量處理行為與網路 ACL 中的自訂規則衝突時,是否強制修復。無論您是否強制修復,Firewall Manager 都會在其規範遵循違規中報告衝突的規則。

  10. 選擇下一步

  11. 針對AWS 帳戶 此原則適用於,請依下列方式選擇選項:

    • 如果您要將策略套用至組織中的所有帳戶,請保留預設選項「包含我的 AWS 組織下的所有帳戶」

    • 如果您只想將策略套用至特定 AWS Organizations 組織單位 (OU) 中的特定帳戶或帳戶,請選擇 [僅包含指定的帳戶和組織單位],然後新增您要包含的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    • 如果您要將策略套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有帳戶或組織單位,請選擇 [排除指定的帳戶和組織單位],並包含所有其他帳戶,然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    您只能選擇一個選項。

    套用策略後,Firewall Manager 員會根據您的設定自動評估任何新帳號。例如,如果您只包含特定帳戶,則 Firewall Manager 員不會將策略套用至任何不同的新帳戶。另一個範例是,如果您包含 OU,當您將帳戶新增至 OU 或其任何子系 OU 時,Firewall Manager 員會自動將原則套用至新帳戶。

  12. 對於資源類型,此設定固定在「子網路」中。

  13. 對於 Resources,您可以使用標記來縮小策略的範圍,方法是包含或排除具有指定標籤的資源。您可以使用包含或排除,而不能同時使用兩者。如需標籤的詳細資訊,請參閱使用標籤編輯器

    如果您輸入多個標籤,資源必須具有所有標籤才會被包含或排除。

    資源標籤只能有非空值。如果您省略標籤的值,「Firewall Manager 員」會以空白字串值儲存標籤:「」。資源標籤僅與具有相同鍵和相同值的標籤匹配。

  14. 選擇下一步

  15. 檢閱政策設定,以確保其為您所需的設定,然後選擇 Create policy (建立政策)

Firewall Manager 員會建立策略,並根據您的設定開始監視和管理範圍內的網路 ACL。如需此政策如何運作的詳細資訊,請參閱 網路 ACL 政策

建立 AWS Firewall Manager 政策 AWS Network Firewall

在 Firewall Manager 員 Network Firewall 策略中,您可以使用您在中管理的規則群組 AWS Network Firewall。如需管理規則群組的詳細資訊,請參閱《Network Firewall 開發人員指南》中的AWS Network Firewall 規則群組

如需 Firewall Manager 員 Network Firewall 策略的資訊,請參閱AWS Network Firewall 政策

若要建立 AWS Network Firewall (主控台) 的 Firewall Manager 員策略

  1. AWS Management Console 使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇建立政策

  4. 針對政策類型,選擇 AWS Network Firewall

  5. 在 [Firewall Manager 類型] 下,選擇您希望防火牆管理員如何管理原則的防火牆。您可以從以下選項中選擇:

    • 分散式-Firewall Manager 員會在策略範圍內的每個 VPC 中建立和維護防火牆端點。

    • 集中式-Firewall Manager 員會在單一檢查 VPC 中建立和維護端點。

    • 匯入現有防火牆-Firewall Manager 員使用資源集從 Network Firewall 匯入現有的防火牆 如需有關資源集的資訊,請參閱在 Firewall Manager 員中使用資源集

  6. 在「區域」中,選擇一個 AWS 區域。若要保護多個區域中的資源,您必須為每個區域建立個別的政策。

  7. 選擇下一步

  8. 策略名稱中,輸入描述性名稱。Firewall Manager 員會在其建立的 Network Firewall 防火牆和防火牆策略的名稱中包含策略名稱。

  9. AWS Network Firewall 策略配置中,像在 Network Firewall 中一樣設定防火牆策略。新增無狀態和可設定狀態的規則群組,並指定原則的預設動作。您可以選擇性地設定原則的可設定狀態規則評估順序和預設動作,以及記錄組態。如需有關 Network Firewall 防火牆策略管理的詳細資訊,請參閱AWS Network Firewall《AWS Network Firewall 開發人員指南》中的

    當您建立 Firewall Manager 員 Network Firewall 策略時,Firewall Manager 員會為範圍內的帳戶建立防火牆策略。個別帳戶管理員可以將規則群組新增至防火牆策略,但無法變更您在此處提供的設定。

  10. 選擇下一步

  11. 根據您在上一個步驟中選取的防火牆管理類型,執行下列其中一項作業:

    • 如果您使用的是分散式防火牆管理類型,請在「防火牆AWS Firewall Manager 端點位置」下的端點定中,選擇下列其中一個選項:

      • 自訂端點組態-Firewall Manager 會在您指定的可用區域中,為原則範圍內的每個 VPC 建立防火牆。每個防火牆至少包含一個防火牆端點。

        • 可用區域下,選取要在其中建立防火牆端點的可用區域。您可以依可用區域名稱或可用區ID 來選取可用區域。

        • 如果您想要為 Firewall Manager 員提供 CIDR 區塊以用於 VPC 中的防火牆子網路,它們都必須是 /28 CIDR 區塊。每行輸入一個圖塊。如果您省略這些項目,Firewall Manager 員會從 VPC 中可用的 IP 位址為您選擇 IP 位址。

          注意

          AWS Firewall Manager Network Firewall 策略會自動進行自動修復,因此您不會在此處看到選擇不 auto 動修復的選項。

      • 自動端點設定-Firewall Manager 會在 VPC 中使用公用子網路,在可用區域中自動建立防火牆端點。

        • 對於「防火牆」端點組態設定,指定 Firewall Manager 員如何管理防火牆端點。我們建議使用多個端點以獲得高可用性。

    • 如果您使用的是集中式防火牆管理類型,請在 [檢查 VPC 組態] 下的AWS Firewall Manager 端點設定中,輸入檢查 VPC 擁有者的 AWS 帳戶識別碼,以及檢查 VPC 的 VPC ID。

      • 可用區域下,選取要在其中建立防火牆端點的可用區域。您可以依可用區域名稱或可用區ID 來選取可用區域。

      • 如果您想要為 Firewall Manager 員提供 CIDR 區塊以用於 VPC 中的防火牆子網路,它們都必須是 /28 CIDR 區塊。每行輸入一個圖塊。如果您省略這些項目,Firewall Manager 員會從 VPC 中可用的 IP 位址為您選擇 IP 位址。

        注意

        AWS Firewall Manager Network Firewall 策略會自動進行自動修復,因此您不會在此處看到選擇不 auto 動修復的選項。

    • 如果您使用匯入現有的防火牆防火牆管理類型,請在資源集中新增一或多個資源集。資源集定義您要在此策略中集中管理的組織帳戶所擁有的現有 Network Firewall 防火牆。若要將資源集新增至策略,您必須先使用主控台或 PutResourceSetAPI 建立資源集。如需有關資源集的資訊,請參閱在 Firewall Manager 員中使用資源集。如需從 Network Firewall 匯入現有防火牆的詳細資訊,請參閱匯入現有防火牆。

  12. 選擇下一步

  13. 如果您的策略使用分散式防火牆管理類型,請在「路由管理」下,選擇「Firewall Manager」是否會監控和警示必須透過個別防火牆端點路由傳送的流量。

    注意

    如果您選擇「監視」,日後無法將設定變更為「關閉」。監視會繼續進行,直到您刪除原則為止

  14. 對於流量類型,選擇性地新增要路由傳送流量的流量端點,以進行防火牆檢查。

  15. 針對 [允許必要的跨可用區域流量],如果您啟用此選項,則 Firewall Manager 會將流量從可用區域傳送流量以進行檢查的合規路由,針對沒有自己防火牆端點的可用區域視為合規路由。具有端點的可用區域必須一律檢查其自己的流量。

  16. 選擇下一步

  17. 針對策略範圍,在AWS 帳戶 此原則適用於下方,選擇如下選項:

    • 如果您要將策略套用至組織中的所有帳戶,請保留預設選項「包含我的 AWS 組織下的所有帳戶」

    • 如果您只想將策略套用至特定 AWS Organizations 組織單位 (OU) 中的特定帳戶或帳戶,請選擇 [僅包含指定的帳戶和組織單位],然後新增您要包含的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    • 如果您要將策略套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有帳戶或組織單位,請選擇 [排除指定的帳戶和組織單位],並包含所有其他帳戶,然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    您只能選擇一個選項。

    套用策略後,Firewall Manager 員會根據您的設定自動評估任何新帳號。例如,如果您只包含特定帳戶,則 Firewall Manager 員不會將策略套用至任何新帳戶。另一個範例是,如果您包含 OU,當您將帳戶新增至 OU 或其任何子系 OU 時,Firewall Manager 員會自動將原則套用至新帳戶。

  18. Network Firewall 策略的資源類型VPC

  19. 對於 Resources,您可以使用標記來縮小策略的範圍,方法是包含或排除具有指定標籤的資源。您可以使用包含或排除,而不能同時使用兩者。如需標籤的詳細資訊,請參閱使用標籤編輯器

    如果您輸入多個標籤,資源必須具有所有標籤才會被包含或排除。

    資源標籤只能有非空值。如果您省略標籤的值,「Firewall Manager 員」會以空白字串值儲存標籤:「」。資源標籤僅與具有相同鍵和相同值的標籤匹配。

  20. 選擇下一步

  21. 對於策略標記,請新增任何您要新增至 Firewall Manager 員策略資源的識別標籤。如需標籤的詳細資訊,請參閱使用標籤編輯器

  22. 選擇下一步

  23. 檢閱新的原則設定,並返回需要進行任何調整的頁面。

    當您滿意時,選擇 建立政策。在 [原AWS Firewall Manager 則] 窗格中,應該會列出您的原則。它可能會在帳戶標題下指示「待處理」,並指示「自動補救」設定的狀態。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後,您可以選擇政策名稱,以探索帳戶和資源的合規狀態。如需相關資訊,請參閱檢視 AWS Firewall Manager 原則的符合性資訊

為 Amazon 路線 53 解析器 DNS 防火牆創建 AWS Firewall Manager 策略

在 Firewall Manager 員 DNS 防火牆政策中,您可以使用您在 Amazon Route 53 解析器 DNS 防火牆中管理的規則群組。如需管理規則群組的相關資訊,請參閱 Amazon Route 53 開發人員指南中的「在 DNS 防火牆中管理規則群組和規則」。

如需有關 Firewall Manager 員 DNS 防火牆策略的資訊,請參閱 Amazon 路線 53 解析器 DNS 防火牆政策

為 Amazon 路線 53 解析器 DNS 防火牆(控制台)創建 Firewall Manager 器策略

  1. AWS Management Console 使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇建立政策

  4. 針對策略類型,選擇 Amazon Route 53 Resolver DNS 防火牆

  5. 在「區域」中,選擇一個 AWS 區域。若要保護多個區域中的資源,您必須為每個區域建立個別的政策。

  6. 選擇下一步

  7. 策略名稱中,輸入描述性名稱。

  8. 在原則組態中,新增您希望 DNS 防火牆在虛擬私人雲端的規則群組關聯中首先和最後評估的規則群組。您最多可以將兩個規則群組新增至策略。

    當您建立 Firewall Manager 員 DNS 防火牆原則時,Firewall Manager 會為範圍內的 VPC 和帳戶建立規則群組關聯,以及您所提供的關聯優先順序。個別帳戶管理員可以在您的第一個和最後一個關聯之間新增規則群組關聯,但無法變更您在此處定義的關聯。如需詳細資訊,請參閱 Amazon 路線 53 解析器 DNS 防火牆政策

  9. 選擇下一步

  10. 針對AWS 帳戶 此原則適用於,請依下列方式選擇選項:

    • 如果您要將策略套用至組織中的所有帳戶,請保留預設選項「包含我的 AWS 組織下的所有帳戶」

    • 如果您只想將策略套用至特定 AWS Organizations 組織單位 (OU) 中的特定帳戶或帳戶,請選擇 [僅包含指定的帳戶和組織單位],然後新增您要包含的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    • 如果您要將策略套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有帳戶或組織單位,請選擇 [排除指定的帳戶和組織單位],並包含所有其他帳戶,然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    您只能選擇一個選項。

    套用策略後,Firewall Manager 員會根據您的設定自動評估任何新帳號。例如,如果您只包含特定帳戶,則 Firewall Manager 員不會將策略套用至任何新帳戶。另一個範例是,如果您包含 OU,當您將帳戶新增至 OU 或其任何子系 OU 時,Firewall Manager 員會自動將原則套用至新帳戶。

  11. DNS 防火牆策略的資源類型VPC

  12. 對於 Resources,您可以使用標記來縮小策略的範圍,方法是包含或排除具有指定標籤的資源。您可以使用包含或排除,而不能同時使用兩者。如需標籤的詳細資訊,請參閱使用標籤編輯器

    如果您輸入多個標籤,資源必須具有所有標籤才會被包含或排除。

    資源標籤只能有非空值。如果您省略標籤的值,「Firewall Manager 員」會以空白字串值儲存標籤:「」。資源標籤僅與具有相同鍵和相同值的標籤匹配。

  13. 選擇下一步

  14. 對於策略標記,請新增任何您要新增至 Firewall Manager 員策略資源的識別標籤。如需標籤的詳細資訊,請參閱使用標籤編輯器

  15. 選擇下一步

  16. 檢閱新的原則設定,並返回需要進行任何調整的頁面。

    當您滿意時,選擇 建立政策。在 [原AWS Firewall Manager 則] 窗格中,應該會列出您的原則。它可能會在帳戶標題下指示「待處理」,並指示「自動補救」設定的狀態。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後,您可以選擇政策名稱,以探索帳戶和資源的合規狀態。如需相關資訊,請參閱檢視 AWS Firewall Manager 原則的符合性資訊

建立帕洛阿爾托網路雲端 NGFW 的 AWS Firewall Manager 原則

透過 Palo Alto 網路雲端下一代防火牆 (帕洛阿爾托網路雲端 NGFW) 的 Firewall Manager 員政策,您可以使用 Firewall Manager 員部署帕洛阿爾托網路雲端 NGFW 資源,並在所有帳戶中集中管理 NGFW 規則堆疊。 AWS

如需 Firewall Manager 員帕洛阿爾托網路雲端 NGFW 原則的相關資訊,請參閱。帕洛奧圖網路雲端新世代防火牆政策如需有關如何設定和管理 Palo Alto 網路 Firewall Manager 員的雲端 NGFW 的詳細資訊,請參閱帕洛阿爾托網路帕洛阿爾托網路雲端 NGFW 的說明文件。 AWS

必要條件

為 AWS Firewall Manager準備您的帳戶有幾個必要的步驟。AWS Firewall Manager 前提 說明這些步驟。繼續進行下一個步驟之前,請先完成所有先決條件。

建立帕洛阿爾托網路雲端 NGFW (主控台) 的 Firewall Manager 員政策

  1. AWS Management Console 使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇建立政策

  4. 針對「原則類型」,選擇「帕洛奧圖網路雲端 NGFW」。如果您尚未在 AWS Marketplace 上訂閱帕洛阿爾托網絡雲 NGFW 服務,則需要先這樣做。若要在 AWS Marketplace 中訂閱,請選擇 [檢視 AWS Marketplace 詳細資料]。

  5. 對於部署模型,請選擇分散式模型集中式模型。部署模型會決定 Firewall Manager 員如何管理策略的端點。使用分散式模型時,Firewall Manager 員會在策略範圍內的每個 VPC 中維護防火牆端點。使用集中式模型,Firewall Manager 員會在檢查 VPC 中維護單一端點。

  6. 在「區域」中,選擇一個 AWS 區域。若要保護多個區域中的資源,您必須為每個區域建立個別的政策。

  7. 選擇下一步

  8. 策略名稱中,輸入描述性名稱。

  9. 在原則組態中,選擇要與此原則建立關聯的 Palo Alto 網路雲端 NGFW 防火牆原則。帕洛阿爾托網路雲端 NGFW 防火牆政策清單包含與帕洛阿爾托網路雲端 NGFW 租用戶相關聯的所有帕洛阿爾托網路雲端 NGFW 防火牆政策。如需建立和管理帕洛阿爾托網路雲端 NGFW 防火牆原則的相關資訊,請參閱部署帕洛阿爾托網路雲端 NGFW 部署指南中的 AWS Firewall Manager主題中的 AWS部署帕洛阿爾托網路雲端新世代防火牆。 AWS

  10. 對於帕洛奧圖網路雲端 NGFW 記錄-選用,選擇性地選擇要記錄原則的帕羅奧圖網路雲端 NGFW 記錄類型。如需有關帕洛阿爾托網路雲端 NGFW 記錄檔類型的資訊,請參閱在帕羅奧圖網路雲端 NGFW 的部署指南 AWS中設定帕洛阿托網路雲端 NGFW 的記錄。 AWS

    若為記錄目的地,請指定 Firewall Manager 員應將記錄檔寫入的時間

  11. 選擇下一步

  12. 在 [設定協力廠商防火牆端點] 底下,執行下列其中一項動作,視您使用的是分散式或集中式部署模型來建立防火牆端點而定:

    • 如果您針對此原則使用分散式部署模型,請在可用區域下選取要在其中建立防火牆端點的可用區域。您可以依可用區域名稱或可用區ID 來選取可用區域。

    • 如果您使用此原則的集中式部署模型,請在 [檢查 VPC 組態] 下的AWS Firewall Manager 端點定中,輸入檢查 VPC 擁有者的 AWS 帳戶識別碼,以及檢查 VPC 的 VPC ID。

      • 可用區域下,選取要在其中建立防火牆端點的可用區域。您可以依可用區域名稱或可用區ID 來選取可用區域。

  13. 如果您想要為 Firewall Manager 員提供 CIDR 區塊以用於 VPC 中的防火牆子網路,它們都必須是 /28 CIDR 區塊。每行輸入一個圖塊。如果您省略這些項目,Firewall Manager 員會從 VPC 中可用的 IP 位址為您選擇 IP 位址。

    注意

    AWS Firewall Manager Network Firewall 策略會自動進行自動修復,因此您不會在此處看到選擇不 auto 動修復的選項。

  14. 選擇下一步

  15. 針對策略範圍,在AWS 帳戶 此原則適用於下方,選擇如下選項:

    • 如果您要將策略套用至組織中的所有帳戶,請保留預設選項「包含我的 AWS 組織下的所有帳戶」

    • 如果您只想將策略套用至特定 AWS Organizations 組織單位 (OU) 中的特定帳戶或帳戶,請選擇 [僅包含指定的帳戶和組織單位],然後新增您要包含的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    • 如果您要將策略套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有帳戶或組織單位,請選擇 [排除指定的帳戶和組織單位],並包含所有其他帳戶,然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    您只能選擇一個選項。

    套用策略後,Firewall Manager 員會根據您的設定自動評估任何新帳號。例如,如果您只包含特定帳戶,則 Firewall Manager 員不會將策略套用至任何新帳戶。另一個範例是,如果您包含 OU,當您將帳戶新增至 OU 或其任何子系 OU 時,Firewall Manager 員會自動將原則套用至新帳戶。

  16. Network Firewall 策略的資源類型VPC

  17. 對於 Resources,您可以使用標記來縮小策略的範圍,方法是包含或排除具有指定標籤的資源。您可以使用包含或排除,而不能同時使用兩者。如需標籤的詳細資訊,請參閱使用標籤編輯器

    如果您輸入多個標籤,資源必須具有所有標籤才會被包含或排除。

    資源標籤只能有非空值。如果您省略標籤的值,「Firewall Manager 員」會以空白字串值儲存標籤:「」。資源標籤僅與具有相同鍵和相同值的標籤匹配。

  18. 對於授予跨帳戶存取權,請選擇 [下載 AWS CloudFormation 範本]。這會下載可用來建立 AWS CloudFormation 堆疊的 AWS CloudFormation 範本。該堆棧創建一個 AWS Identity and Access Management 角色,授予 Firewall Manager 器跨帳戶權限來管理帕洛阿爾托網絡雲 NGFW 資源。如需有關堆疊的資訊,請參閱《使用指南》中的〈AWS CloudFormation 使用堆疊

  19. 選擇下一步

  20. 對於策略標記,請新增任何您要新增至 Firewall Manager 員策略資源的識別標籤。如需標籤的詳細資訊,請參閱使用標籤編輯器

  21. 選擇下一步

  22. 檢閱新的原則設定,並返回需要進行任何調整的頁面。

    當您滿意時,選擇 建立政策。在 [原AWS Firewall Manager 則] 窗格中,應該會列出您的原則。它可能會在帳戶標題下指示「待處理」,並指示「自動補救」設定的狀態。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後,您可以選擇政策名稱,以探索帳戶和資源的合規狀態。如需相關資訊,請參閱檢視 AWS Firewall Manager 原則的符合性資訊

建立 Fortigate 雲端原生防火牆 (CNF) 即服務的原 AWS Firewall Manager 則

使用 Fortigate CNF 的 Firewall Manager 員策略,您可以使用 Firewall Manager 器在所有帳戶中部署和管理 Fortigate CNF 資源。 AWS

如需有關 Firewall Manager 員強制 CNF 策略的資訊,請參閱。強制雲端原生防火牆 (CNF) 即服務政策如需如何設定 Fortigate CNF 以搭配 Firewall Manager 員使用的詳細資訊,請參閱 Fortinet 文件。

必要條件

為 AWS Firewall Manager準備您的帳戶有幾個必要的步驟。AWS Firewall Manager 前提 說明這些步驟。繼續進行下一個步驟之前,請先完成所有先決條件。

建立 Firewall Manager 員策略

  1. AWS Management Console 使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇建立政策

  4. 針對 [原則類型],選擇 [Fortigate 雲端原生防火牆 (CNF) 即服務]。如果您尚未在 AWS Marketplace 中訂閱 Fortigate CNF 服務,則需要先這樣做。若要在 AWS Marketplace 中訂閱,請選擇 [檢視 AWS Marketplace 詳細資料]。

  5. 對於部署模型,請選擇分散式模型集中式模型。部署模型會決定 Firewall Manager 員如何管理策略的端點。使用分散式模型時,Firewall Manager 員會在策略範圍內的每個 VPC 中維護防火牆端點。使用集中式模型,Firewall Manager 員會在檢查 VPC 中維護單一端點。

  6. 在「區域」中,選擇一個 AWS 區域。若要保護多個區域中的資源,您必須為每個區域建立個別的政策。

  7. 選擇下一步

  8. 策略名稱中,輸入描述性名稱。

  9. 在策略配置中,選擇要與此策略關聯的 Fortigate CNF 防火牆策略。Fortigate CNF 防火牆策略列表包含與您的 Fortigate CNF 租戶相關聯的所有 Fortigate CNF 防火牆策略。如需建立和管理 Fortigate CNF 租用戶的相關資訊,請參閱 Fortinet 說明文件。

  10. 選擇下一步

  11. 在 [設定協力廠商防火牆端點] 底下,執行下列其中一項動作,視您使用的是分散式或集中式部署模型來建立防火牆端點而定:

    • 如果您針對此原則使用分散式部署模型,請在可用區域下選取要在其中建立防火牆端點的可用區域。您可以依可用區域名稱或可用區ID 來選取可用區域。

    • 如果您使用此原則的集中式部署模型,請在 [檢查 VPC 組態] 下的AWS Firewall Manager 端點定中,輸入檢查 VPC 擁有者的 AWS 帳戶識別碼,以及檢查 VPC 的 VPC ID。

      • 可用區域下,選取要在其中建立防火牆端點的可用區域。您可以依可用區域名稱或可用區ID 來選取可用區域。

  12. 如果您想要為 Firewall Manager 員提供 CIDR 區塊以用於 VPC 中的防火牆子網路,它們都必須是 /28 CIDR 區塊。每行輸入一個圖塊。如果您省略這些項目,Firewall Manager 員會從 VPC 中可用的 IP 位址為您選擇 IP 位址。

    注意

    AWS Firewall Manager Network Firewall 策略會自動進行自動修復,因此您不會在此處看到選擇不 auto 動修復的選項。

  13. 選擇下一步

  14. 針對策略範圍,在AWS 帳戶 此原則適用於下方,選擇如下選項:

    • 如果您要將策略套用至組織中的所有帳戶,請保留預設選項「包含我的 AWS 組織下的所有帳戶」

    • 如果您只想將策略套用至特定 AWS Organizations 組織單位 (OU) 中的特定帳戶或帳戶,請選擇 [僅包含指定的帳戶和組織單位],然後新增您要包含的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    • 如果您要將策略套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有帳戶或組織單位,請選擇 [排除指定的帳戶和組織單位],並包含所有其他帳戶,然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。

    您只能選擇一個選項。

    套用策略後,Firewall Manager 員會根據您的設定自動評估任何新帳號。例如,如果您只包含特定帳戶,則 Firewall Manager 員不會將策略套用至任何新帳戶。另一個範例是,如果您包含 OU,當您將帳戶新增至 OU 或其任何子系 OU 時,Firewall Manager 員會自動將原則套用至新帳戶。

  15. Network Firewall 策略的資源類型VPC

  16. 對於 Resources,您可以使用標記來縮小策略的範圍,方法是包含或排除具有指定標籤的資源。您可以使用包含或排除,而不能同時使用兩者。如需標籤的詳細資訊,請參閱使用標籤編輯器

    如果您輸入多個標籤,資源必須具有所有標籤才會被包含或排除。

    資源標籤只能有非空值。如果您省略標籤的值,「Firewall Manager 員」會以空白字串值儲存標籤:「」。資源標籤僅與具有相同鍵和相同值的標籤匹配。

  17. 對於授予跨帳戶存取權,請選擇 [下載 AWS CloudFormation 範本]。這會下載可用來建立 AWS CloudFormation 堆疊的 AWS CloudFormation 範本。此堆棧創建一個 AWS Identity and Access Management 角色,該角色授予 Firewall Manager 器跨帳戶管理 Fortigate CNF 資源的權限。如需有關堆疊的資訊,請參閱《使用指南》中的〈AWS CloudFormation 使用堆疊。要創建一個堆棧,您需要來自 Fortigate CNF 門戶的帳戶 ID。

  18. 選擇下一步

  19. 對於策略標記,請新增任何您要新增至 Firewall Manager 員策略資源的識別標籤。如需標籤的詳細資訊,請參閱使用標籤編輯器

  20. 選擇下一步

  21. 檢閱新的原則設定,並返回需要進行任何調整的頁面。

    當您滿意時,選擇 建立政策。在 [原AWS Firewall Manager 則] 窗格中,應該會列出您的原則。它可能會在帳戶標題下指示「待處理」,並指示「自動補救」設定的狀態。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後,您可以選擇政策名稱,以探索帳戶和資源的合規狀態。如需相關資訊,請參閱檢視 AWS Firewall Manager 原則的符合性資訊