步驟 2:建立並套用 Shield 牌進階政策 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 2:建立並套用 Shield 牌進階政策

完成先決條件之後,您可以建立 AWS Firewall Manager Shield 進階策略。Firewall Manager 員防護進階策略包含您要使用 Shield 進階保護的帳號和資源。

重要

Firewall Manager 員不支援 Amazon 路由 53 或AWS Global Accelerator. 如果您需要使用 Shield Advanced 來保護這些資源,就無法使用 Firewall Manager 員政策。或者,請遵循新增 AWS Shield Advanced 保護給 AWS 資源中的說明進行。

建立 Firewall Manager 員防 Shield 進階策略(主控台)
  1. AWS Management Console使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇建立政策

  4. 針對策略類型,選擇 Shield 進階

    若要建立 Shield 牌進階策略,您的 Firewall Manager 員管理員帳戶必須訂閱 Shield 牌進階。如果您未訂閱,系統會提示您訂閱。如需訂閱費用的相關資訊,請參閱AWS Shield Advanced定價

    注意

    您不需要手動訂閱每個會員帳戶到 Shield 牌進階版。Firewall Manager 員會在建立策略時為您執行此動作。每個帳號都必須維持「Firewall Manager 員」和「防 Shield 進階」的訂閱,才能繼續保護帳號中的資源。

  5. 在「區域」中,選擇一個AWS 區域。若要保護 Amazon CloudFront 資源,請選擇「全球」。

    若要保護多個區域 (資源除外) 中的 CloudFront 資源,您必須為每個區域建立個別的 Firewall Manager 員政策。

  6. 選擇下一步

  7. 名稱中,輸入描述性名稱。

  8. (僅限全球區域) 對於全球區域政策,您可以選擇是否要管理 Shield 進階自動應用程式層 DDoS 緩解。對於此自學課程,請將此選項保留為「忽略」的預設設定。

  9. 針對「原則」動作,請選擇不會自動修復的選項。

  10. 選擇下一步

  11. AWS 帳戶此政策適用於允許您指定要包含或排除的帳戶來縮小策略範圍。在本教學課程中,請選擇 Include all accounts under my organization. (納入我組織下的所有帳戶。)

  12. 選擇您要保護的資源類型。

    Firewall Manager 員不支援 Amazon 路由 53 或AWS Global Accelerator. 如果您需要使用 Shield Advanced 來保護這些資源,就無法使用 Firewall Manager 員政策。相反,請遵循的「Shield 牌進階」指引新增 AWS Shield Advanced 保護給 AWS 資源

  13. 如果您只想保護具有特定標籤的資源,或者要排除具有特定標籤的資源,請選取「使用標籤來包含/排除資源」,輸入以逗號分隔的標籤,然後選擇「含」或「排除」。您只可以選擇一個選項。

    如果您輸入多個標籤,且資源具有任何這些標籤,則會將其視為相符項目。

    如需標籤的詳細資訊,請參閱使用標籤編輯器

  14. 選擇下一步

  15. 對於策略標記,請新增 Firewall Manager 員策略所需的任何識別標記。如需標籤的詳細資訊,請參閱使用標籤編輯器

  16. 選擇下一步

  17. 檢視新政策。若要進行任何變更,請選擇 Previous (上一步)。當您滿意時,選擇 建立政策

繼續進行步驟 3:(可選)授權 Shield 牌響應小組(SRT)