使用AWS Firewall Manager管理員 - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用AWS Firewall Manager管理員

AWS Firewall Manager您可以使用一個或多個管理員來管理組織的防火牆資源。如果您想要在組織中使用多個 Firewall Manager 管理員,可以將系統管理範圍條件套用至每個管理員,以定義他們可以管理的資源。這可讓您彈性在組織中擁有不同的管理員角色,並協助您維護最低權限存取的主體。例如,您可以讓一位系統管理員為您的組織管理一組組織單位 (OU),同時委派其他管理員只管理特定的 Firewall Manager 原則類型。如需有關組 Organizations 和管理帳戶的詳細資訊,請參閱管理組織中的AWS帳戶

如需每個組織可擁有的管理員數目上限,請參閱 AWS Firewall Manager 配額

開始使用 Firewall Manager 員管理員

開始使用 Firewall Manager 員管理員之前,您必須完成中列出的先決條件AWS Firewall Manager 前提。在先決條件中,您會將AWS Organizations組織上線至 Firewall Manager 員,並為 Firewall Manager 員建立預設的系統管理員帳戶。預設管理員帳戶可以管理協力廠商防火牆,並具有完整的系統管理範圍。

行政範圍

系統管理範圍定義 Firewall Manager 員管理員可以管理的資源。AWS Organizations管理帳戶將組織登入 Firewall Manager 後,管理帳戶可以建立具有不同系統管理範圍的其他 Firewall Manager 員管理員。AWS Organizations管理帳戶可以授與系統管理員完整受限的系統管理範圍。「完整範圍」可讓管理員完整存取先前所有資源類型。受限範圍是指僅將管理權限授與先前資源的子集。我們建議您僅授與管理員執行其角色職責所需的權限。您可以將下列管理範圍條件的任意組合套用至系統管理員:

  • 組織中管理員可以套用原則的帳戶或 OU。

  • 管理員可以在其中執行動作的區域。

  • 系統管理員可以管理的 Firewall Manager 員原則類型。

管理員角色

Firewall Manager 員中有兩種類型的管理員角色:預設管理員和 Firewall Manager 員管理員。

  • 預設管理員-組織的管理帳戶會建立 Firewall Manager 員預設的管理員帳戶,當他們將組織上線至 Firewall Manager 員,同時完成AWS Firewall Manager 前提。預設管理員可以管理協力廠商防火牆並具有完整的管理範圍,但如果您選擇擁有多個管理員,則預設管理員可以與其他管理員處於相同的對等層級。

  • Firewall Manager 系統管理員-Firewall Manager 員可以在管理範圍設定中AWS Organizations管理管理帳戶為他們指定的資源。如需每個組織可擁有的管理員數目上限,請參閱AWS Firewall Manager 配額。建立 Firewall Manager 系統管理員帳戶後,服務會檢查該帳戶是否已經是組織內 Firewall Manager 的委派系統管理員。AWS Organizations如果沒有,則「Firewall Manager 員」會呼叫 Organizations,將帳戶設定為「Firewall Manager 員」的委派管理員。如需有關「Organizations 委派管理員」的資訊,請參閱AWS Organizations使用指南中的AWS Organizations術語和概念

現有管理員

如果您是現有的 Firewall Manager 客戶,且已設定管理員,則此現有管理員將成為 Firewall Manager 員預設管理員。不應該對現有流程造成任何影響。如果您想要新增更多管理員,可以遵循本章中的程序來進行。