本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
步驟 3:建立並套用通用安全性群組原則
完成必要條件之後,您可以建立一 AWS Firewall Manager 般安全性群組原則。通用安全性群組原則可為整個組織提供集中控制的安全性群 AWS 組。它也會定義安全性群組套用至的 AWS 帳戶 和資源。除了一般安全性群組原則之外,Firewall Manager 還支援內容稽核安全性群組原則、管理組織中使用的安全性群組規則,以及使用狀況稽核安全性群組原則,以管理未使用的和冗餘的安全性群組。如需詳細資訊,請參閱 安全性群組原則。
在本教學課程,您會建立常見安全群組政策,並將其動作設為不要自動修補。這可讓您在不對 AWS 組織進行變更的情況下查看原則會產生什麼影響。
建立 Firewall Manager 員一般安全性群組原則 (主控台)
-
AWS Management Console 使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2
。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提。 注意
如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提。
-
在導覽窗格中,選擇 Security policies (安全群組政策)。
-
如果您不符合先決條件,主控台會顯示修復問題的相關說明。遵循說明進行,然後回到此步驟,以建立常見安全群組政策。
-
選擇建立政策。
-
對於 Policy type (政策類型),選擇 Security group (安全群組)。
-
對於 Security group policy type (安全群組類型),選擇 Common security groups (常見安全群組)。
-
在「區域」中,選擇一個 AWS 區域。
-
選擇下一步。
-
在策略名稱中,輸入描述性名稱。
-
Policy rules (政策規則)可讓您選擇如何套用和維護此政策中的安全群組。在此自學課程中,不勾選選項。
-
選擇 Add primary security group (新增主要安全群組)、選取您在本教學課程中建立的安全群組,然後選擇 Add security group (新增安全群組)。
-
對於 Policy action (政策動作),選擇 Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源,但不要自動修補。)。
-
選擇下一步。
-
AWS 帳戶 受此策略影響可讓您指定要包含或排除的帳戶,以縮小策略的範圍。在本教學課程中,請選擇 Include all accounts under my organization. (納入我組織下的所有帳戶。)。
-
針對「資源」類型,請根據您為 AWS 組織定義的資源,選擇一或多個型態。
-
Resources (資源) 可讓您指定要納入或排除的資源標籤,縮小範圍。若要使用標記,您需要先標記您的資源。如需標記資源的詳細資訊,請參閱使用標籤編輯器。在本教學課程中,請選擇 Include all resources that match the selected resource type (納入符合選取之資源類型的所有資源)。
-
選擇下一步。
-
檢閱您的政策設定。請務必確定 Policy action (政策動作) 已設為 Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源,但不要自動修補。)。這可讓您檢閱您的政策可能有的變更,而不需在此時進行變更。
-
選擇建立政策。
在 [原AWS Firewall Manager 則] 窗格中,應該會列出您的原則。它可能會在帳戶標題下指出 Pending (待定),並指出已停用 Automatic remediation (自動修補)。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後,您可以選擇政策名稱,以探索帳戶和資源的合規狀態。如需相關資訊,請參閱檢視 AWS Firewall Manager 原則的符合性資訊。
-
完成探索後,如果不想要保留本教學課程建立的政策,請選擇政策名稱、選擇 Delete (刪除)、選擇 Clean up resources created by this policy. (清理此政策建立的資源。),最後選擇 Delete (刪除)。
如需 Firewall Manager 員安全性群組原則的詳細資訊,請參閱安全性群組原則。