AWS Firewall Manager 的 AWS 受管政策 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Firewall Manager 的 AWS 受管政策

AWS 管理的政策是由 AWS 建立和管理的獨立政策。AWS 管理的政策的設計在於為許多常見使用案例提供許可,如此您就可以開始將許可指派給使用者、群組和角色。

請謹記,AWS 管理的政策可能不會授予您特定使用案例的最低權限許可,因為它們可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。

您無法更改 AWS 管理的政策中定義的許可。如果 AWS 更新 AWS 管理的政策中定義的許可,更新會影響政策連接的所有主體身分 (使用者、群組和角色)。在推出新的 AWS 服務 或有新的 API 操作可供現有服務使用時,AWS 很可能會更新 AWS 管理的政策。

如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策

AWS受管理的策略: AWSFMAdminFullAccess

使用受AWSFMAdminFullAccessAWS管理策略可讓系統管理員存取AWS Firewall Manager資源,包括所有 Firewall Manager 員策略類型。此政策不包括在中設定 Amazon 簡單通知服務通知的許可AWS Firewall Manager。如需如何設定 Amazon 簡單通知服務存取權限的相關資訊,請參閱設定 Amazon 簡單通知服務的存取權限

權限詳情

根據權限集,此原則會分組為陳述式。

  • AWS Firewall Manager策略資源-允許中資源的完整管理權限AWS Firewall Manager,包括所有 Firewall Manager 員策略類型。

  • 將AWS WAF日誌寫入 Amazon 簡單儲存服務-允許 Firewall Manager 員在 Amazon S3 中寫入和讀取AWS WAF日誌。

  • 建立服務連結角色 — 允許管理員建立服務連結角色,讓 Firewall Manager 代表您存取其他服務中的資源。此權限允許建立僅供 Firewall Manager 員使用的服務連結角色。如需 Firewall Manager 員如何使用服務連結角色的相關資訊,請參閱 使用 Firewall Manager 員的服務連結角色

  • AWS Organizations— 可讓系統管理員針對中的組織使用 Firewall Manager 員AWS Organizations。在中啟用 Firewall Manager 員的信任存取權之後AWS Organizations,管理員帳戶的成員可以檢視其組織中的發現項目。若要取得有關AWS Organizations搭配使用的資訊AWS Firewall Manager,請參閱《使AWS OrganizationsAWS Organizations用指南》中的「與其他AWS服務搭配

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "fms:*", "waf:*", "waf-regional:*", "elasticloadbalancing:SetWebACL", "firehose:ListDeliveryStreams", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListRoots", "organizations:ListChildren", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "shield:GetSubscriptionState", "route53resolver:ListFirewallRuleGroups", "route53resolver:GetFirewallRuleGroup", "wafv2:ListRuleGroups", "wafv2:ListAvailableManagedRuleGroups", "wafv2:CheckCapacity", "wafv2:PutLoggingConfiguration", "wafv2:ListAvailableManagedRuleGroupVersions", "network-firewall:DescribeRuleGroup", "network-firewall:DescribeRuleGroupMetadata", "network-firewall:ListRuleGroups", "ec2:DescribeAvailabilityZones", "ec2:DescribeRegions" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "s3:PutBucketPolicy", "s3:GetBucketPolicy" ], "Resource":[ "arn:aws:s3:::aws-waf-logs-*" ] }, { "Effect":"Allow", "Action":"iam:CreateServiceLinkedRole", "Resource":"*", "Condition":{ "StringEquals":{ "iam:AWSServiceName":[ "fms.amazonaws.com" ] } } }, { "Effect":"Allow", "Action":[ "organizations:EnableAWSServiceAccess", "organizations:ListDelegatedAdministrators", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource":"*", "Condition":{ "StringEquals":{ "organizations:ServicePrincipal":[ "fms.amazonaws.com" ] } } } ] }

此政策包含以下許可:

  • fms:*:

    可讓您使用AWS Firewall Manager資源。

  • waf:*, waf-regional:*:

    可讓您使用AWS WAF原則。

  • elasticloadbalancing:SetWebACL:

    可讓您將 Web 存取控制清單 (ACL) 關聯至彈性負載平衡器。

  • firehose:ListDeliveryStreams:

    可讓您檢視AWS WAF記錄檔。

  • organizations:DescribeAccount, organizations:DescribeOrganization, organizations:ListRoots, organizations:ListChildren, organizations:ListAccounts, organizations:ListAccountsForParent, organizations:ListOrganizationalUnitsForParent:

    可讓您使用「Organ AWS izations」。

  • shield:GetSubscriptionState:

    可讓您檢視AWS Shield原則的訂閱狀態。

  • route53resolver:ListFirewallRuleGroups, route53resolver:GetFirewallRuleGroup:

    可讓您在路由 53 虛擬私人 DNS 原則中使用適用於 VPC 的路由 53 私人 DNS 規則群組的路由 53 私人 DNS。

  • wafv2:ListRuleGroups, wafv2:ListAvailableManagedRuleGroups, wafv2:CheckCapacity, wafv2:PutLoggingConfiguration, wafv2:ListAvailableManagedRuleGroupVersions:

    可讓您使用AWS WAFV2原則。

  • network-firewall:DescribeRuleGroup, network-firewall:DescribeRuleGroupMetadata, network-firewall:ListRuleGroups:

    可讓您使用AWS Network Firewall原則。

  • ec2:DescribeAvailabilityZones:

    可讓您檢視AWS Network Firewall原則的可用區域。

  • ec2:DescribeRegions:

    可讓您在AWS Firewall Manager主控台中檢視原則的 [區域]。

  • s3:GetBucketPolicy:

    可讓您取得適用於AWS WAF日誌的 Amazon S3 儲存貯體政策。

  • ListDelegatedAdministrators:

    可讓您列出 Amazon OpenSearch 服務委派的管理員。

AWS受管理的策略:FMS ServiceRolePolicy

此原則可AWS Firewall Manager讓您在 Firewall Manager 員和整合式服務中代表您管理AWS資源。此政策連接至 AWSServiceRoleForFMS 服務連結角色。如需服務連結角色的詳細資訊,請參閱使用 Firewall Manager 員的服務連結角色

如需政策詳細資訊,請參閱 FMS ServiceRolePolicy 上的 IAM 主控台。

AWS受管理的策略: AWSFMAdminReadOnlyAccess

授予所有 AWS Firewall Manager 員資源的唯讀存取權。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "fms:Get*", "fms:List*", "waf:Get*", "waf:List*", "waf-regional:Get*", "waf-regional:List*", "firehose:ListDeliveryStreams", "organizations:DescribeOrganization", "organizations:DescribeAccount", "organizations:ListRoots", "organizations:ListChildren", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListOrganizationalUnitsForParent", "shield:GetSubscriptionState", "route53resolver:ListFirewallRuleGroups", "route53resolver:GetFirewallRuleGroup", "wafv2:ListRuleGroups", "wafv2:ListAvailableManagedRuleGroups", "wafv2:CheckCapacity", "wafv2:ListAvailableManagedRuleGroupVersions", "network-firewall:DescribeRuleGroup", "network-firewall:DescribeRuleGroupMetadata", "network-firewall:ListRuleGroups", "ec2:DescribeAvailabilityZones", "ec2:DescribeRegions" ], "Resource":"*" }, { "Effect":"Allow", "Action":[ "s3:GetBucketPolicy" ], "Resource":[ "arn:aws:s3:::aws-waf-logs-*" ] }, { "Effect":"Allow", "Action":[ "organizations:ListDelegatedAdministrators" ], "Resource":"*", "Condition":{ "StringEquals":{ "organizations:ServicePrincipal":[ "fms.amazonaws.com" ] } } } ] }

此政策包含以下許可:

  • fms:*:

    可讓您檢視AWS Firewall Manager資源。

  • waf:Get*, waf-regional:Get*:

    可讓您取得AWS WAF原則。

  • waf:List*, waf-regional:List*:

    可讓您列出AWS WAF策略。

  • firehose:ListDeliveryStreams:

    可讓您列出AWS WAF記錄檔。

  • organizations:DescribeOrganization, organizations:DescribeAccount, organizations:DescribeOrganization, organizations:ListRoots, organizations:ListChildren, organizations:ListAccounts, organizations:ListAccountsForParent, organizations:ListOrganizationalUnitsForParent:

    可讓您檢視「Or AWS ganizations」資源。

  • shield:GetSubscriptionState:

    可讓您取得AWS Shield原則的訂閱狀態。

  • route53resolver:ListFirewallRuleGroups, route53resolver:GetFirewallRuleGroup:

    可讓您在路由 53 虛擬私人 DNS 原則中取得並列出 VPC 規則群組的路由 53 私人 DNS。

  • wafv2:ListRuleGroups, wafv2:ListAvailableManagedRuleGroups, wafv2:CheckCapacity, wafv2:ListAvailableManagedRuleGroupVersions:

    可讓您列出規AWS WAFV2則群組、AWS WAFV2原則中的AWS受管規則規則群組、AWS WAFV2規則群組容量和AWS WAFV2AWS受管規則群組版本。

  • network-firewall:DescribeRuleGroup, network-firewall:DescribeRuleGroupMetadata, network-firewall:ListRuleGroups:

    可讓您檢視AWS Network Firewall規則群組和規則群組中繼資料。

  • ec2:DescribeAvailabilityZones:

    可讓您檢視AWS Network Firewall原則的可用區域。

  • ec2:DescribeRegions:

    可讓您在AWS Firewall Manager主控台中檢視原則的 [區域]。

  • s3:GetBucketPolicy:

    可讓您取得適用於AWS WAF日誌的 Amazon S3 儲存貯體政策。

  • ListDelegatedAdministrators:

    可讓您列出中的委派管理員AWS Organizations。

AWS受管理的策略: AWSFMMemberReadOnlyAccess

授與AWS Firewall Manager成員資源的唯讀存取權。如需政策詳細資訊,請參閱 IAM 主控台,網址為AWSFMMemberReadOnlyAccess

Firewall Manager 員更新受AWS管理策略

檢視有關 Firewall Manager 員AWS受管理策略的詳細資料,因為此服務開始追蹤這些變更。如需有關此頁面變更的自動警示,請在「Firewall Manager 員」文件歷史記錄頁面上訂閱 RSS 摘要,網址為文件歷史紀錄

變更 描述 日期

FMS ServiceRolePolicy — 更新的政策

已新增允許「Firewall Manager 員」描述指定AWS Config規則是否符合規則的權限。

請參閱 IAM 主控台中的更新政策:FMS ServiceRolePolicy

2023 年 4 月 21 日

FMS ServiceRolePolicy — 更新的政策

新增允許 Firewall Manager 員描述 Amazon EC2 執行個體和網路界面屬性的許可。

請參閱 IAM 主控台中的更新政策:FMS ServiceRolePolicy

2022 年 11 月 15 日

AWSFMAdminReadOnlyAccess-更新的政策

添加了支持AWS WAFV2,Shield,Network Firewall,DNS 防火牆,Amazon VPC 安全組,政策的許可。

請參閱 IAM 主控台中的更新政策:AWSFMAdminReadOnlyAccess

2022年11月02 日

AWSFMAdminFullAccess-更新的政策

添加了支持AWS WAFV2,Shield,Network Firewall,DNS 防火牆,Amazon VPC 安全組,政策的許可。刪除了 Amazon SNS 許可。

請參閱 IAM 主控台中的更新政策:AWSFMAdminFullAccess

2022 年 10 月 21 日

FMSServiceRolePolicy— AWS Firewall Manager 第三方防火牆策略的新權限

此變更可讓 Firewall Manager 員建立和刪除與第三方防火牆政策關聯的 Amazon EC2 VPC 端點。

2022 年 3 月 30 日

FMSServiceRolePolicy— AWS Network Firewall 政策的新權限

已新增新權限,以支援 Network Firewall 策略的防火牆部署。新權限允許針對原則範圍內的帳戶擷取有關可用區域的資訊。

2022 年 2 月 16 日

FMSServiceRolePolicy— AWS Shield 政策的新權限

添加了新的權限,以檢索AWS WAF區域和AWS WAF全球資源的標籤。新增使用資源 ARN 擷取 Web ACL 的AWS WAF地區權限。新增權限以支援 Shield 自動應用程式層 DDoS 緩解。

2022年1月7日

FMSServiceRolePolicy— AWS Shield 政策的新權限

已新增可擷取 Elastic Load Balancing 資源標籤的新權限。

2021 年 11 月 18 日

FMSServiceRolePolicy— 安全組和AWS Network Firewall策略的新權限

新增新權限以啟用AWS Network Firewall原則的集中式記錄功能。此外,還新增了唯讀 Amazon EC2 許可,以支援對 Config 服務的變更,這些變更會影響安全群組政策的AWS Firewall Manager查詢資源方式。

2021 年 9 月 29 日

FMSServiceRolePolicy— 適用於資源的 ARN 格式 AWS WAF

更新FMSServiceRolePolicy了標準化資源的 ARN 格式AWS WAF。更新後的 ARN 格式為arn:aws:waf:*:*:*arn:aws:waf-regional:*:*:*

2021 年 8 月 12 日

FMSServiceRolePolicy— 中國其他地區

AWS Firewall Manager已FMSServiceRolePolicy為中國的 BJS 和 ZHY 地區啟用。

2021 年 8 月 12 日

FMSServiceRolePolicy— 更新至現有政策

添加了新的權限,以AWS Firewall Manager允許管理 Amazon Route 53 Resolver DNS 防火牆。

此變更可讓 Firewall Manager 員設定 Amazon Route 53 Resolver DNS 防火牆關聯。這可讓您使用 Firewall Manager 員,為組織中的 VPC 提供 DNS 防火牆保護。AWS Organizations

2021年3月17日

Firewall Manager 員已開始追蹤

Firewall Manager 員開始追蹤其AWS受管理策略的變更。

2021年3月02 日