步驟 3:建立並套用AWS Firewall Manager常見安全羣組政策 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 3:建立並套用AWS Firewall Manager常見安全羣組政策

完成先決條件之後,您就可以建立 AWS Firewall Manager 常見安全群組政策。常見安全群組政策為整間 AWS 組織提供集中控制的安全群組。它還定義了AWS 帳戶和安全羣組套用的資源。Firewall Manager 除了常見安全羣組政策之外,Firewall Manager 支援內容稽核安全羣組政策 (用以管理用於貴組織中的安全羣組) 並支援用量稽核安全羣組政策 (用以管理未使用和備援的安全羣組)。如需詳細資訊,請參閱 安全羣組政策

在本教學課程,您會建立常見安全群組政策,並將其動作設為不要自動修補。這可讓您查看政策會產生的影響,而不需變更您的 AWS 組織。

若要建立 Firewall Manager 常見安全羣組政策 (主控台)

  1. 登入AWS Management Console,然後在開啟防火 Firewall Manager 理員主控台https://console.aws.amazon.com/wafv2/fmsv2

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 如果您不符合先決條件,主控台會顯示修復問題的相關說明。遵循說明進行,然後回到此步驟,以建立常見安全群組政策。

  4. 選擇 Create policy (建立政策)

  5. 對於 Policy type (政策類型),選擇 Security group (安全群組)

  6. 對於 Security group policy type (安全群組類型),選擇 Common security groups (常見安全群組)

  7. 適用於Region (區域)中,選擇AWS 區域。

  8. 選擇 Next (下一步)。

  9. 適用於政策名稱下,輸入描述名稱。

  10. Policy rules (政策規則)可讓您選擇如何套用和維護此政策中的安全群組。在本教學課程中,請保留未核取選項。

  11. 選擇 Add primary security group (新增主要安全群組)、選取您在本教學課程中建立的安全群組,然後選擇 Add security group (新增安全群組)

  12. 對於 Policy action (政策動作),選擇 Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源,但不要自動修補。)

  13. 選擇 Next (下一步)。

  14. AWS 帳戶受此政策影響可讓您指定要納入或排除的帳户,縮小範圍。在本教學課程中,請選擇 Include all accounts under my organization. (納入我組織下的所有帳戶。)

  15. 對於 Resource type (資源類型),請根據您為自己 AWS 組織定義的資源,請選擇一種或更多類型。

  16. Resources (資源) 可讓您指定要納入或排除的資源標籤,縮小範圍。若要使用標記,您需要先標記您的資源。如需標記資源的詳細資訊,請參閱使用標籤編輯器。在本教學課程中,請選擇 Include all resources that match the selected resource type (納入符合選取之資源類型的所有資源)

  17. 選擇 Next (下一步)。

  18. 檢閱您的政策設定。請務必確定 Policy action (政策動作) 已設為 Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源,但不要自動修補。)。這可讓您檢閱您的政策可能有的變更,而不需在此時進行變更。

  19. 選擇 Create policy (建立政策)

    在 中AWS Firewall Manager政策窗格中,應會列出您的政策。它可能會在帳戶標題下指出 Pending (待定),並指出已停用 Automatic remediation (自動修補)。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後,您可以選擇政策名稱,以探索帳戶和資源的合規狀態。如需相關資訊,請參閱「檢視合規資訊AWS Firewall Manager政策」。

  20. 完成探索後,如果不想要保留本教學課程建立的政策,請選擇政策名稱、選擇 Delete (刪除)、選擇 Clean up resources created by this policy. (清理此政策建立的資源。),最後選擇 Delete (刪除)

如需 Firewall Manager 安全羣組政策的詳細資訊,請參閲安全羣組政策