步驟 3:啟用 AWS Config - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 3:啟用 AWS Config

若要使用 Firewall Manager 員,您必須啟用AWS Config。

注意

根據 AWS Config 定價,您的 AWS Config 設定會產生費用。如需詳細資訊,請參閱 AWS Config 入門

啟用 AWS Config Firewall Manager 員
  1. AWS Config為您的每個成AWS Organizations員帳戶啟用,包括 Firewall Manager 員管理員帳戶。如需詳細資訊,請參閱 AWS Config 入門

  2. 針AWS Config對包含要保護之資源的每個AWS 區域項目啟用。您可以AWS Config手動啟用,也可以在範例AWS CloudFormation範本中使用範本 AWS Config「啟用」AWS CloudFormation StackSets 範本

    如果您不想AWS Config為所有資源啟用,則必須根據您使用的 Firewall Manager 員策略類型啟用下列項目:

    • WAF 策略 — 為資源類型 CloudFront 分 Config、應用程式負載平衡器 (從清單中選擇 ElasticLoadBalancingV2)、API Gateway、WAF WebACL、WAF 地區 WebACL 和 WAFv2 WebACL 啟用組態。若AWS Config要啟用保護發 CloudFront 佈,您必須位於美國東部 (維吉尼亞北部) 區域。「其他地區」沒有 CloudFront 作為選項。

    • 屏蔽政策 — 為資源類型啟用 Config Shield 保護、 ShieldRegional 保護、Application Load Balancer、EC2 EIP、WAF WebACL、WAF 區域 WebACL 和 WAFv2 WebACL。

    • 安全群組原則 — 為資源類型 EC2 SecurityGroup、EC2 執行個體和 EC2 啟用 Config NetworkInterface。

    • Network Firewall 政策 — 為資源類型 NetworkFirewall FirewallPolicy、EC2 VPC NetworkFirewall RuleGroup、EC2 InternetGateway、EC2 和 EC2 子網路啟用 Config。 RouteTable

    • DNS 防火牆政策 — 為 EC2 VPC 資源類型啟用 Config。

    • 第三方防火牆政策 — 為資源類型啟用 Config,適用於 Amazon EC2 VPC InternetGateway、Amazon EC2 RouteTable、Amazon EC2 子網路和 Amazon EC2 vpcendPoint。

    注意

    如果您將AWS Config錄製程式設定為使用自訂 IAM 角色,則需要確保 IAM 政策具有適當的許可,以記錄 Firewall Manager 員政策的必要資源類型。如果沒有適當的權限,則可能無法記錄所需的資源,以防止 Firewall Manager 員正確保護您的資源。Firewall Manager 員無法檢視這些權限錯誤設定。如需搭配使用 IAM 的詳細資訊AWS Config,請參閱AWS Config.