管理 AWS Firewall Manager 資源存取許可的概觀 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理 AWS Firewall Manager 資源存取許可的概觀

EVENTAWS資源由AWS 帳戶,而建立或存取資源的許可則由許可政策管理。帳戶管理員可以將許可政策連接到 IAM 身分 (即使用者、群組和角色)。某些服務還支援將許可政策附加至資源。

注意

帳戶管理員 (或管理員使用者) 是具有管理員權限的使用者。如需詳細資訊,請參閱 IAM 最佳實務 (在 IAM 使用者指南 中)。

當您授予許可時,能夠決定取得許可的對象、這些對象取得的資源許可,以及可對上述資源進行的特定操作。

Topics

AWS Firewall Manager 資源和操作

InAWS Firewall Manager,資源是政策應用程式清單,以及通訊協定清單。Amazon Resource Name (ARN) Firewall Manager 資源的格式如下:

arn:aws:fms:region:account:resource/ID

下表列出每項資源的配額。

AWS Firewall Manager 主控台中的名稱 AWS Firewall Manager SDK/CLI 中的名稱 ARN 格式
Policy Policy

arn:aws:fms:region:account:policy/ID

應用程式清單 AppsList

arn:aws:fms:region:account:applications-list/ID

通訊協定清單 ProtocolsList

arn:aws:fms:region:account:protocols-list/ID

若要允許或拒絕存取 Firewall Manager 資源的子集,包括在resource您原則的元素。將帳戶資源ID 變數取代為有效值。有效值如下:

  • account:您的 IDAWS 帳戶。您必須指定一個數值。

  • 資源:Firewall Manager 資源的類型。

  • ID:Firewall Manager 資源的識別碼或萬用字元 (*),以指示所有與特定的類型相關聯的資源指定的類型。AWS 帳戶。

例如,以下 ARN 為區域 us-east-1 中的帳戶 111122223333 指定所有政策:

arn:aws:fms:us-east-1:111122223333:policy/*

如需詳細資訊,請參閱「」資源中的IAM User Guide

AWS Firewall Manager會提供一組操作,供您使用 Firewall Manager 資源。如需可用操作的清單,請參閱動作

了解資源所有權

A資源擁有者是AWS 帳戶來創建資源。也就是說,資源擁有者是AWS 帳戶的委託人實體(根帳戶、IAM 使用者或 IAM 角色),以驗證建立資源的請求。下列範例說明其如何運作:

  • 如果您使用AWS 帳戶建立 Firewall Manager 資源時,您的AWS 帳戶是資源的擁有者。

  • 如果您在AWS 帳戶並授予該使用者建立 Firewall Manager 資源的許可,則該使用者也可建立 Firewall Manager 資源。但是,您的AWS帳戶 (即該使用者所屬帳戶) 會擁有 Firewall Manager 資源。

  • 如果您在AWS 帳戶時,任何可擔任該角色的人 Firewall Manager 都能建立 Firewall Manager 資源。您的AWS帳戶 (即該角色所屬帳戶) 會擁有 Firewall Manager 資源。

管理資源存取

許可政策描述誰可以存取哪些資源。下一節說明可用來建立許可政策的選項。

注意

這些小節討論如何在AWS Firewall Manager。它不提供 IAM 服務的詳細資訊。如需完整的 IAM 文件,請參閱什麼是 IAM?中的IAM User Guide。如需 IAM 政策語法和說明的詳細資訊,請參閱AWSIAM 政策參考中的IAM User Guide

連接至 IAM 身分的政策稱為以身分為基礎的政策,而連接至資源的政策稱為以資源為基礎的政策。AWS Firewall Manager 僅支援以身分為基礎的政策。

Topics

身分類型政策 (IAM 政策)

您可以將政策連接到 IAM 身分。例如,您可以執行下列操作:

  • 將許可政策連接至您帳戶中的使用者或群組-帳戶管理員可以使用與特定使用者相關聯的許可政策,授予該使用者建立 Firewall Manager 資源的許可。

  • 將許可政策連接至角色 (授予跨帳戶許可)-您可以將以身分為基礎的許可政策連接至 IAM 角色,以授予跨帳戶許可。例如,帳戶 A 管理員可以建立角色,將跨帳戶許可授予另一個AWS 帳戶(例如,帳戶 B) 或AWS服務,如下所示:

    1. 帳戶 A 管理員建立 IAM 角色,並將許可政策連接到可授與帳戶 A 中資源許可的角色。

    2. 帳戶 A 管理員將信任政策連接至該角色,識別帳戶 B 做為可擔任該角的委託人。

    3. 帳戶 B 管理員即可將擔任該角色的許可,委派給帳戶 B 中的任何使用者。這麼做可讓帳戶 B 的使用者建立或存取帳戶 A 的資源。如果您想要將擔任該角色的許可授予 AWS 服務,則信任政策中的委託人也可以是 AWS 服務委託人。

    如需使用 IAM 委派許可的詳細資訊,請參閱存取管理中的IAM User Guide

以下為一個範例政策,該政策授予對兩個特定區域中的所有政策進行 fms:GetPolicy 動作的許可。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Deny", "Action": "fms:GetPolicy", "Resource": [ "arn:aws:fms:us-east-1:*:policy/*", "arn:aws:fms:us-west-2:*:policy/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/stage": "prod" } } } ] }

如需搭配 Firewall Manager 使用以身分為基礎的詳細資訊,請參閱將以身分為基礎的政策 (IAM 政策) 用於AWS Firewall Manager。如需使用者、群組、角色和許可的詳細資訊,請參閱 IAM 使用者指南中的身分 (使用者、群組和角色)

以資源為基礎的政策

其他服務 (例如 Amazon S3) 也支援以資源為基礎的許可政策。例如,您可以附加政策到 S3 儲存貯體,以管理存取許可到該儲存貯體。AWS Firewall Manager 不支援以資源為基礎的政策。

指定政策元素:動作、效果、資源和委託人

本服務為各項 AWS Firewall Manager 資源 (請參閱 AWS Firewall Manager 資源和操作) 定義了一組 API 操作 (請參閱Firewall Manager 所需的許可 (API 動作))。為授予對這些 API 操作的許可,Firewall Manager 會定義一組您可以在政策中指定的動作。請注意,執行 API 操作可能需要多個動作的許可。在授與特定動作的許可時,您也可以標識允許或拒絕對其執行動作的資源。

以下是最基本的政策元素:

  • 資源 – 在政策中,您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。如需更多詳細資訊,請參閱 AWS Firewall Manager 資源和操作

  • 動作 - 您使用動作關鍵字識別您要允許或拒絕的資源操作。例如,fms:CreatePolicy 許可在與 wafv2:ListRuleGroups 許可結合時,允許使用者許可執行 AWS Firewall Manager CreatePolicy 操作。

  • 效果— 您可以指定使用者請求特定動作的效果。可以為允許或拒絕。如果您不明確授與資源的存取權,將會隱含拒絕存取。您可以也明確拒絕資源存取,這樣做可確保使用者無法存取資源,即使不同政策授予存取也是一樣。

  • Principal-在以身分為基礎的政策 (IAM 政策),政策連接到的使用者是隱含委託人。AWS Firewall Manager不支援資源型政策。

若要進一步了解有關 IAM 政策語法和說明,請參閱AWSIAM 政策參考中的IAM User Guide

如需顯示所有的 AWS Firewall Manager API 動作及其適用的各項資源表格,請參閱 Firewall Manager 所需的許可 (API 動作)

在政策中指定條件

當您授與許可時,您可以使用 IAM 政策語言指定政策生效時間的條件。例如,建議只在特定日期之後套用政策。如需使用政策語言指定條件的詳細資訊,請參閱 IAM 使用者指南中的條件

欲表示條件,您可以使用預先定義的條件金鑰。沒有 Firewall Manager 專屬的條件金鑰。不過,有一般AWS條件金鑰,您可以視需要使用。如需完整的清單AWS鍵,請參閱可用條件金鑰中的IAM User Guide