步驟 2:建立並套用 Shield 牌進階政策 - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 2:建立並套用 Shield 牌進階政策

完成先決條件之後,您可以建立 AWS Firewall Manager Shield 進階策略。Firewall Manager 員防護進階策略包含您要使用 Shield 進階保護的帳號和資源。

重要

Firewall Manager 員不支援 Amazon 路由 53 或 AWS Global Accelerator. 如果您需要使用 Shield Advanced 來保護這些資源,就無法使用 Firewall Manager 員政策。或者,請遵循為 AWS 資源添加 AWS Shield Advanced 保護中的說明進行。

建立 Firewall Manager 員防 Shield 進階策略(主控台)
  1. AWS Management Console 使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇建立政策

  4. 針對策略類型,選擇 Shield 進階

    若要建立 Shield 牌進階策略,您的 Firewall Manager 員管理員帳戶必須訂閱 Shield 牌進階。如果您未訂閱,系統會提示您訂閱。如需訂閱費用的相關資訊,請參閱AWS Shield Advanced 定價

    注意

    您不需要手動訂閱每個會員帳戶到 Shield 牌進階版。Firewall Manager 員會在建立策略時為您執行此動作。每個帳號都必須維持「Firewall Manager 員」和「防 Shield 進階」的訂閱,才能繼續保護帳號中的資源。

  5. 在「區域」中,選擇一個 AWS 區域。若要保護 Amazon CloudFront 資源,請選擇「全球」。

    若要保護多個區域 (資源除外) 中的 CloudFront 資源,您必須為每個區域建立個別的 Firewall Manager 員政策。

  6. 選擇下一步

  7. 在「名稱」中,輸入描述性名稱。

  8. (僅限全球區域) 對於全球區域政策,您可以選擇是否要管理 Shield 進階自動應用程式層 DDoS 緩解。對於此自學課程,請將此選項保留為「忽略」的預設設定。

  9. 針對「原則」動作,請選擇不會自動修復的選項。

  10. 選擇下一步

  11. AWS 帳戶 此政策適用於允許您指定要包含或排除的帳戶來縮小策略範圍。在本教學課程中,請選擇 Include all accounts under my organization. (納入我組織下的所有帳戶。)

  12. 選擇您要保護的資源類型。

    Firewall Manager 員不支援 Amazon 路由 53 或 AWS Global Accelerator. 如果您需要使用 Shield Advanced 來保護這些資源,就無法使用 Firewall Manager 員政策。相反,請遵循的「Shield 牌進階」指引為 AWS 資源添加 AWS Shield Advanced 保護

  13. 對於 Resources,您可以使用標記來縮小策略的範圍,方法是包含或排除具有指定標籤的資源。您可以使用包含或排除,而不能同時使用兩者。如需標籤的詳細資訊,請參閱使用標籤編輯器

    如果您輸入多個標籤,資源必須具有所有標籤才會被包含或排除。

    資源標籤只能有非空值。如果您省略標籤的值,「Firewall Manager 員」會以空白字串值儲存標籤:「」。資源標籤僅與具有相同鍵和相同值的標籤匹配。

  14. 選擇下一步

  15. 對於策略標記,請新增任何您要新增至 Firewall Manager 員策略資源的識別標籤。如需標籤的詳細資訊,請參閱使用標籤編輯器

  16. 選擇下一步

  17. 檢閱新的原則設定,並返回需要進行任何調整的頁面。

    請務必確定 Policy action (政策動作) 已設為 Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源,但不要自動修補。)。這可讓您在啟用政策之前檢閱原則所做的變更。

  18. 當您滿意時,選擇 建立政策

    在 [原AWS Firewall Manager 則] 窗格中,應該會列出您的原則。它可能會在帳戶標題下指示「待處理」,並指示「自動補救」設定的狀態。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後,您可以選擇政策名稱,以探索帳戶和資源的合規狀態。如需相關資訊,請參閱檢視 AWS Firewall Manager 原則的符合性資訊

繼續進行步驟 3:(可選)授權 Shield 牌響應小組(SRT)