本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
步驟 3:建立並套用強制 CNF 政策
完成必要條件之後,您可以建立一個 AWS Firewall Manager 強制 CNF 策略。
如需有關 Fortigate CNF Firewall Manager 員原則的詳細資訊,請參閱。強制雲端原生防火牆 (CNF) 即服務政策
建立 Firewall Manager 員策略
-
AWS Management Console 使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2
。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提。 注意
如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提。
-
在導覽窗格中,選擇 Security policies (安全群組政策)。
-
選擇建立政策。
-
針對「策略類型」,選擇「強制 CNF」。如果您尚未在 AWS Marketplace 中訂閱 Fortigate CNF 服務,則需要先這樣做。若要在 AWS Marketplace 中訂閱,請選擇 [檢視 AWS Marketplace 詳細資料]。
對於部署模型,請選擇分散式模型或集中式模型。部署模型會決定 Firewall Manager 員如何管理策略的端點。使用分散式模型時,Firewall Manager 員會在策略範圍內的每個 VPC 中維護防火牆端點。使用集中式模型,Firewall Manager 員會在檢查 VPC 中維護單一端點。
-
在「區域」中,選擇一個 AWS 區域。若要保護多個區域中的資源,您必須為每個區域建立個別的政策。
-
選擇下一步。
-
在策略配置中,選擇要與此策略關聯的 Fortigate CNF 防火牆策略。Fortigate CNF 防火牆策略列表包含與您的 Fortigate CNF 租戶相關聯的所有 Fortigate CNF 防火牆策略。如需有關建立和管理 Fortigate CNF 防火牆策略的詳細資訊,請參閱更多 CNF 文件。
-
選擇下一步。
-
在 [設定協力廠商防火牆端點] 底下,執行下列其中一項動作,視您使用的是分散式或集中式部署模型來建立防火牆端點而定:
-
如果您針對此原則使用分散式部署模型,請在可用區域下選取要在其中建立防火牆端點的可用區域。您可以依可用區域名稱或可用區域 ID 來選取可用區域。
-
如果您使用此原則的集中式部署模型,請在 [檢查 VPC 組態] 下的AWS Firewall Manager 端點設定中,輸入檢查 VPC 擁有者的 AWS 帳戶識別碼,以及檢查 VPC 的 VPC ID。
-
在可用區域下,選取要在其中建立防火牆端點的可用區域。您可以依可用區域名稱或可用區域 ID 來選取可用區域。
-
-
-
選擇下一步。
-
針對策略範圍,在AWS 帳戶 此原則適用於下方,選擇如下選項:
-
如果您要將策略套用至組織中的所有帳戶,請保留預設選項「包含我的 AWS 組織下的所有帳戶」。
-
如果您只想將策略套用至特定 AWS Organizations 組織單位 (OU) 中的特定帳戶或帳戶,請選擇 [僅包含指定的帳戶和組織單位],然後新增您要包含的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。
-
如果您要將策略套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有帳戶或組織單位,請選擇 [排除指定的帳戶和組織單位],並包含所有其他帳戶,然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶,包括稍後新增的任何子 OU 和帳戶。
您只能選擇一個選項。
套用策略後,Firewall Manager 員會根據您的設定自動評估任何新帳號。例如,如果您只包含特定帳戶,則 Firewall Manager 員不會將策略套用至任何新帳戶。另一個範例是,如果您包含 OU,當您將帳戶新增至 OU 或其任何子系 OU 時,Firewall Manager 員會自動將原則套用至新帳戶。
強制 CNF 策略的資源類型為 VPC。
-
-
對於 Resources,您可以使用標記來縮小策略的範圍,方法是包含或排除具有指定標籤的資源。您可以使用包含或排除,而不能同時使用兩者。如需標籤的詳細資訊,請參閱使用標籤編輯器。
如果您輸入多個標籤,資源必須具有所有標籤才會被包含或排除。
資源標籤只能有非空值。如果您省略標籤的值,「Firewall Manager 員」會以空白字串值儲存標籤:「」。資源標籤僅與具有相同鍵和相同值的標籤匹配。
-
對於授予跨帳戶存取權,請選擇 [下載 AWS CloudFormation 範本]。這會下載可用來建立 AWS CloudFormation 堆疊的 AWS CloudFormation 範本。此堆棧創建一個 AWS Identity and Access Management 角色,該角色授予 Firewall Manager 器跨帳戶管理 Fortigate CNF 資源的權限。如需有關堆疊的資訊,請參閱使用指南中的AWS CloudFormation 使用堆疊。要創建一個堆棧,您需要來自 Fortigate CNF 門戶的帳戶 ID。
-
選擇下一步。
-
對於策略標記,請新增任何您要新增至 Firewall Manager 員策略資源的識別標籤。如需標籤的詳細資訊,請參閱使用標籤編輯器。
-
選擇下一步。
-
檢閱新的原則設定,並返回需要進行任何調整的頁面。
請務必確定 Policy action (政策動作) 已設為 Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源,但不要自動修補。)。這可讓您檢閱原則在啟用前所做的變更。
-
當您滿意時,選擇 建立政策。
在 [原AWS Firewall Manager 則] 窗格中,應該會列出您的原則。它可能會在帳戶標題下指示「待處理」,並指示「自動補救」設定的狀態。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後,您可以選擇政策名稱,以探索帳戶和資源的合規狀態。如需相關資訊,請參閱檢視 AWS Firewall Manager 原則的符合性資訊。
如需有關 Firewall Manager 員強制 CNF 策略的詳細資訊,請參閱。強制雲端原生防火牆 (CNF) 即服務政策