步驟 3:建立並套用通用安全性群組原則 - AWS WAF、 AWS Firewall Manager、和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 3:建立並套用通用安全性群組原則

完成必要條件之後,您可以建立一 AWS Firewall Manager 般安全性群組原則。通用安全性群組原則可為整個組織提供集中控制的安全性群 AWS 組。它也會定義安全性群組套用至的 AWS 帳戶 和資源。除了一般安全性群組原則之外,Firewall Manager 還支援內容稽核安全性群組原則、管理組織中使用的安全性群組規則,以及使用狀況稽核安全性群組原則,以管理未使用的和冗餘的安全性群組。如需詳細資訊,請參閱 安全性群組原則

在本教學課程,您會建立常見安全群組政策,並將其動作設為不要自動修補。這可讓您在不對 AWS 組織進行變更的情況下查看原則會產生什麼影響。

建立 Firewall Manager 員一般安全性群組原則 (主控台)

  1. AWS Management Console 使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 如果您不符合先決條件,主控台會顯示修復問題的相關說明。遵循說明進行,然後回到此步驟,以建立常見安全群組政策。

  4. 選擇建立政策

  5. 對於 Policy type (政策類型),選擇 Security group (安全群組)

  6. 對於 Security group policy type (安全群組類型),選擇 Common security groups (常見安全群組)

  7. 在「區域」中,選擇一個 AWS 區域。

  8. 選擇下一步

  9. 策略名稱中,輸入描述性名稱。

  10. Policy rules (政策規則)可讓您選擇如何套用和維護此政策中的安全群組。在此自學課程中,不勾選選項。

  11. 選擇 Add primary security group (新增主要安全群組)、選取您在本教學課程中建立的安全群組,然後選擇 Add security group (新增安全群組)

  12. 對於 Policy action (政策動作),選擇 Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源,但不要自動修補。)

  13. 選擇下一步

  14. AWS 帳戶 受此策略影響可讓您指定要包含或排除的帳戶,以縮小策略的範圍。在本教學課程中,請選擇 Include all accounts under my organization. (納入我組織下的所有帳戶。)

  15. 針對「資源」類型,請根據您為 AWS 組織定義的資源,選擇一或多個型態。

  16. Resources (資源) 可讓您指定要納入或排除的資源標籤,縮小範圍。若要使用標記,您需要先標記您的資源。如需標記資源的詳細資訊,請參閱使用標籤編輯器。在本教學課程中,請選擇 Include all resources that match the selected resource type (納入符合選取之資源類型的所有資源)

  17. 選擇下一步

  18. 檢閱您的政策設定。請務必確定 Policy action (政策動作) 已設為 Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源,但不要自動修補。)。這可讓您檢閱您的政策可能有的變更,而不需在此時進行變更。

  19. 選擇建立政策

    在 [原AWS Firewall Manager 則] 窗格中,應該會列出您的原則。它可能會在帳戶標題下指出 Pending (待定),並指出已停用 Automatic remediation (自動修補)。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後,您可以選擇政策名稱,以探索帳戶和資源的合規狀態。如需相關資訊,請參閱檢視 AWS Firewall Manager 原則的符合性資訊

  20. 完成探索後,如果不想要保留本教學課程建立的政策,請選擇政策名稱、選擇 Delete (刪除)、選擇 Clean up resources created by this policy. (清理此政策建立的資源。),最後選擇 Delete (刪除)

如需 Firewall Manager 員安全性群組原則的詳細資訊,請參閱安全性群組原則