本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
步驟 2:建立並套用 Shield 牌進階政策
完成先決條件之後,您可以建立 AWS Firewall Manager Shield 進階策略。Firewall Manager 員防護進階策略包含您要使用 Shield 進階保護的帳號和資源。
重要
Firewall Manager 員不支援 Amazon 路由 53 或 AWS Global Accelerator. 如果您需要使用 Shield Advanced 來保護這些資源,就無法使用 Firewall Manager 員政策。或者,請遵循為 AWS 資源添加 AWS Shield Advanced 保護中的說明進行。
建立 Firewall Manager 員防 Shield 進階策略(主控台)
-
AWS Management Console 使用您的 Firewall Manager 員管理員帳戶登入,然後在中開啟 Firewall Manager 員主控台https://console.aws.amazon.com/wafv2/fmsv2
。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提。 注意
如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 前提。
-
在導覽窗格中,選擇 Security policies (安全群組政策)。
-
選擇建立政策。
-
針對策略類型,選擇 Shield 進階。
若要建立 Shield 牌進階策略,您的 Firewall Manager 員管理員帳戶必須訂閱 Shield 牌進階。如果您未訂閱,系統會提示您訂閱。如需訂閱費用的相關資訊,請參閱AWS Shield Advanced 定價
。 注意
您不需要手動訂閱每個會員帳戶到 Shield 牌進階版。Firewall Manager 員會在建立策略時為您執行此動作。每個帳號都必須維持「Firewall Manager 員」和「防 Shield 進階」的訂閱,才能繼續保護帳號中的資源。
-
在「區域」中,選擇一個 AWS 區域。若要保護 Amazon CloudFront 資源,請選擇「全球」。
若要保護多個區域 (資源除外) 中的 CloudFront 資源,您必須為每個區域建立個別的 Firewall Manager 員政策。
-
選擇下一步。
-
在「名稱」中,輸入描述性名稱。
-
(僅限全球區域) 對於全球區域政策,您可以選擇是否要管理 Shield 進階自動應用程式層 DDoS 緩解。對於此自學課程,請將此選項保留為「忽略」的預設設定。
-
針對「原則」動作,請選擇不會自動修復的選項。
-
選擇下一步。
-
AWS 帳戶 此政策適用於允許您指定要包含或排除的帳戶來縮小策略範圍。在本教學課程中,請選擇 Include all accounts under my organization. (納入我組織下的所有帳戶。)。
-
選擇您要保護的資源類型。
Firewall Manager 員不支援 Amazon 路由 53 或 AWS Global Accelerator. 如果您需要使用 Shield Advanced 來保護這些資源,就無法使用 Firewall Manager 員政策。相反,請遵循的「Shield 牌進階」指引為 AWS 資源添加 AWS Shield Advanced 保護。
-
對於 Resources,您可以使用標記來縮小策略的範圍,方法是包含或排除具有指定標籤的資源。您可以使用包含或排除,而不能同時使用兩者。如需標籤的詳細資訊,請參閱使用標籤編輯器。
如果您輸入多個標籤,資源必須具有所有標籤才會被包含或排除。
資源標籤只能有非空值。如果您省略標籤的值,「Firewall Manager 員」會以空白字串值儲存標籤:「」。資源標籤僅與具有相同鍵和相同值的標籤匹配。
-
選擇下一步。
-
對於策略標記,請新增任何您要新增至 Firewall Manager 員策略資源的識別標籤。如需標籤的詳細資訊,請參閱使用標籤編輯器。
-
選擇下一步。
-
檢閱新的原則設定,並返回需要進行任何調整的頁面。
請務必確定 Policy action (政策動作) 已設為 Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源,但不要自動修補。)。這可讓您在啟用政策之前檢閱原則所做的變更。
-
當您滿意時,選擇 建立政策。
在 [原AWS Firewall Manager 則] 窗格中,應該會列出您的原則。它可能會在帳戶標題下指示「待處理」,並指示「自動補救」設定的狀態。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後,您可以選擇政策名稱,以探索帳戶和資源的合規狀態。如需相關資訊,請參閱檢視 AWS Firewall Manager 原則的符合性資訊。
繼續進行步驟 3:(可選)授權 Shield 牌響應小組(SRT)。