將以身分為基礎的政策 (IAM 政策) 用於AWS Firewall Manager - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

將以身分為基礎的政策 (IAM 政策) 用於AWS Firewall Manager

本節提供以身分為基礎的政策範例,示範帳戶管理員如何將許可政策連接至 IAM 身分 (即使用者、群組和角色),並藉此授予許可,以對 AWS Firewall Manager 資源執行操作。

重要

建議您先檢閱可供您管理 AWS Firewall Manager 資源存取之基本槪念與選項的說明介紹主題。如需更多詳細資訊,請參閱 管理 AWS Firewall Manager 資源存取許可的概觀

如需顯示所有的 AWS Firewall Manager API 動作及其適用的各項資源表格,請參閱 Firewall Manager 所需的許可 (API 動作)

Topics

使用 AWS Firewall Manager 主控台所需的許可

所以此AWS Firewall Manager主控台提供您整合式環境,以便建立並管理 Firewall Manager 資源。除了中記錄的 API 特定許可外,主控台提供的許多功能和工作流程通常還需具備建立 Firewall Manager 資源的許可。Firewall Manager 所需的許可 (API 動作)。如需額外主控台許可的詳細資訊,請參閱 客戶受管政策範例

AWS Firewall Manager 的 AWS 受管 (預先定義) 政策

AWS 透過提供獨立的 IAM 政策來解決許多常用案例,這些政策由 所建立與管理。AWS受管政策授與常見使用案例中必要的許可,讓您免於查詢需要哪些許可。如需詳細資訊,請參閱 IAM 使用者指南中的 AWS 受管政策

您可以連接至帳戶中使用者的下列 AWS 受管政策,為 AWS Firewall Manager 特有並會依使用案例加以群組:

  • AWSFMAdminFullAccess— 授與完整存取大多數情況下的 Firewall Manager 資源。如果您在中執行時遇到使用此受管理原則建立或管理 Firewall Manager 原則時遇到困難,請參閱下列章節授予對的完整存取權AWS Firewall Managerresources

  • AWSFMAdminReadOnlyAccess-授予所有 Firewall Manager 資源的唯獨存取權。

  • AWSFMMemberReadOnlyAccess— 授與唯獨存取 Firewall Manager 成員資源。

注意

您可以登入 IAM 主控台並在該處搜尋特定政策,來檢閱這些許可政策。

您也可以建立專有的自訂 IAM 政策,以允許 Firewall Manager API 操作與資源的許可。您可以將自訂政策連接至需要上述許可的 IAM 使用者或群組,或連接至為 Firewall Manager 資源建立的自訂執行角色 (IAM 角色)。

授予對的完整存取權AWS Firewall Managerresources

如果您在使用受管理的原則建立或管理 Firewall Manager 原則時遇到困難,請遵循此指引,AWSFMAdminFullAccess。如需受管政策的說明,請參閱上一節。

使用下列政策授予您帳戶的完整管理存取權:

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ec2:DescribeRegions", "ec2:DescribeSecurityGroups", "elasticloadbalancing:*", "firehose:ListDeliveryStreams", "fms:*", "network-firewall:ListRuleGroups", "network-firewall:DescribeRuleGroup", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:ListRoots", "organizations:ListChildren", "organizations:ListOrganizationalUnitsForParent", "sns:SetTopicAttributes", "sns:GetTopicAttributes", "sns:CreateTopic", "sns:ListTopics", "sns:Subscribe", "route53resolver:ListFirewallRuleGroups", "route53resolver:GetFirewallRuleGroup", "waf:ListRuleGroups", "waf-regional:ListRuleGroups", "wafv2:ListRuleGroups" ], "Resource": "*" } ] }

客戶受管政策範例

本節的範例提供一組範本政策可供您連接到使用者。如果您在建立政策方面是新手,我們建議您先在自己的帳戶中建立 IAM 使用者,將政策連接到該使用者,然後同本節步驟所概述。

當您將政策連接到使用者時,可以使用主控台來驗證每個政策的效果。起初,使用者沒有許可,且無法在主控台進行任何操作。隨著您將政策連接到使用者,便可以驗證使用者在主控台上能夠執行各種操作。

建議您使用兩個瀏覽器視窗:一個用於建立使用者和授與許可。另一個則透過使用者的登入資料登入 AWS Management Console,並在授與使用者許可時,驗證這些許可。

如需有關如何建立可做為 Firewall Manager 資源之執行角色的 IAM 角色範例,請參閱建立 IAM 角色中的IAM User Guide

範例主題

建立 IAM 使用者

首先,您需要建立 IAM 使用者,並將使用者新增至擁有管理許可的 IAM 群組,然後將管理許可授與您所建立的 IAM 使用者。然後,您可以使用特殊 URL 和使用者的登入資料存取 AWS。

如需說明,請參閱「」建立您的第一個 IAM 使用者和管理員群組中的IAM User Guide

範例:授予管理員使用者對 Firewall Manager 安全性群組的唯

下列政策授予管理員使用者對 Firewall Manager 安全群組和政策的唯讀存取權。這些使用者無法建立、更新或刪除 Firewall Manager 資源。

{ "Version": "2012-10-17", "Statement": [ { "Action": [ "fms:Get*", "fms:List*", "ec2:DescribeSecurityGroups" ], "Effect": "Allow", "Resource": "*" } ] }