步驟 3:啟用 AWS Config - AWS WAF, AWS Firewall Manager和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 3:啟用 AWS Config

若要使用 Firewall Manager 員,您必須啟用 AWS Config。

注意

根據定 AWS Config 價,您的 AWS Config 設定會產生費用。如需詳細資訊,請參閱入門 AWS Config

注意

若要讓「Firewall Manager 員」監控策略符合性, AWS Config 必須持續記錄受保護資源的組態變更。在您的 AWS Config 配置中,錄製頻率必須設置為連續,這是默認設置。

啟用 AWS Config Firewall Manager 員
  1. AWS Config 為您的每個成 AWS Organizations 員帳戶啟用,包括 Firewall Manager 員管理員帳戶。如需詳細資訊,請參閱入門 AWS Config

  2. 針 AWS Config 對包含要保護之資源的每個 AWS 區域 項目啟用。您可以 AWS Config 手動啟用,也可以在範例 AWS CloudFormation 範本中使用 AWS Config「啟用」AWS CloudFormation StackSets 範本

    如果您不想 AWS Config 為所有資源啟用,則必須根據您使用的 Firewall Manager 員策略類型啟用下列項目:

    • WAF 策略 — 為資源類型 CloudFront 分 Config、應用程式負載平衡器 (從清單中選擇 ElasticLoadBalancingV2)、API Gateway、WAF WebACL、WAF 地區 WebACL 和 WAFv2 WebACL 啟用組態。若 AWS Config 要啟用保護發 CloudFront 佈,您必須位於美國東部 (維吉尼亞北部) 區域。「其他地區」沒有 CloudFront 作為選項。

    • 屏蔽政策 — 為資源類型啟用 Config Shield 保護、 ShieldRegional 保護、Application Load Balancer、EC2 EIP、WAF WebACL、WAF 區域 WebACL 和 WAFv2 WebACL。

    • 安全群組原則 — 為資源類型 EC2 SecurityGroup、EC2 執行個體和 EC2 啟用 Config NetworkInterface。

    • 網路 ACL 政策 — 為 Amazon EC2 子網路和 Amazon EC2 網路 ACL 的資源類型啟用 Config。

    • Network Firewall 政策 — 為資源類型 NetworkFirewall FirewallPolicy、EC2 VPC NetworkFirewall RuleGroup、EC2 InternetGateway、EC2 和 EC2 子網路啟用 Config。 RouteTable

    • DNS 防火牆政策 — 為 EC2 VPC 資源類型啟用 Config。

    • 第三方防火牆政策 — 為資源類型啟用 Config:Amazon EC2 VPC InternetGateway、Amazon EC2、Amazon EC2 RouteTable 子網路和 Amazon EC2 vpcendPoint。

    注意

    如果您將 AWS Config 錄製程式設定為使用自訂 IAM 角色,則需要確保 IAM 政策具有適當的許可,以記錄 Firewall Manager 員政策的必要資源類型。如果沒有適當的權限,則可能無法記錄所需的資源,以防止 Firewall Manager 員正確保護您的資源。Firewall Manager 員無法檢視這些權限錯誤設定。如需搭配使用 IAM 的詳細資訊 AWS Config,請參閱 AWS Config.