步驟 2:建立並套用AWS Firewall ManagerShield Advanced 政策 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

步驟 2:建立並套用AWS Firewall ManagerShield Advanced 政策

完成先決條件之後,您就可以建立AWS Firewall ManagerShield Advanced 政策。Firewall Manager Shield 進階政策包含您想要使用 Shield 進階保護的帳戶和資源。

重要

Firewall Manager 不支援 Amazon Route 53 或AWS Global Accelerator。如果您需要以 Shield Advanced 保護這些資源,您無法使用 Firewall Manager 政策。或者,請遵循新增 AWS Shield Advanced 保護給 AWS 資源中的說明進行。

建立 Firewall Manager Shield Advanced 政策 (主控台)

  1. 登入。AWS Management Console,然後在開啟 Firewall Manager 主控台,然後在開啟 Firewall Manager 主控台https://console.aws.amazon.com/wafv2/fmsv2

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 選擇 Create policy (建立政策)。

  4. 適用於Policy type (政策類型)中,選擇Shield Advanced

    若要建立 Shield 進階政策,您的 Firewall Manager 管理員帳戶必須訂閱 Shield 進階版。如果您未訂閱,系統會提示您訂閱。如需更多詳細資訊,請參閱 AWS Shield 定價

    注意

    您不須要手動將每個會員帳戶登記至 Shield 進階版。Firewall Manager 會在建立政策的過程中為您妥善處理。

  5. 適用於Region (區域)下,選擇AWS 區域。若要保護 Amazon CloudFront 資源,請選擇全球服務

    若要保護多個區域中的資源 (CloudFront 資源除外),您需要針對各區域建立不同的 Firewall Manager 政策。

  6. 選擇 Next (下一步)

  7. 適用於名稱中,輸入描述性的名稱。

  8. AWS 帳戶受此政策影響可讓您指定要納入或排除的帳戶,縮小範圍。在本教學課程中,請選擇 Include all accounts under my organization. (納入我組織下的所有帳戶。)

  9. 選擇您要保護的資源類型。

    Firewall Manager 不支援 Amazon Route 53 或AWS Global Accelerator。如果您需要以 Shield Advanced 保護這些資源,您無法使用 Firewall Manager 政策。或者,請遵循新增 AWS Shield Advanced 保護給 AWS 資源中的說明進行。

  10. 如果您只想保護具有特定標籤的資源,或排除具有特定標籤的資源,請選擇 Use tags to include/exclude resources (使用標籤包含/排除資源),輸入標籤的類型,然後選擇包含排除。您只可以選擇一個選項。

    如果您輸入多個標籤 (以逗號分隔),且如果資源擁有其中任一的標籤,都會被視為符合條件。

    如需標籤的詳細資訊,請參閱使用標籤編輯器

  11. 選擇建立和套用此政策到現有的和新的資源

    此選項是將 Shield 進階防護套用至AWS Organizations,並將防護關聯至帳戶中的指定資源。此選項還會將政策套用到與前述條件 (資源類型和標籤) 符合的所有新的資源。

    當您在啟用自動補救的情況下建立 Shield 政策時,針對範圍資源中尚未與AWS WAFWeb ACL,Firewall Manager 會將空白的AWS WAF典型 Web ACL。空白的網路 ACL 僅用於 Shield 監控目的。如果您接著將任何其他 Web ACL 關聯至資源,則 Firewall Manager 會移除空白的 Web ACL 關聯。

    注意

    Shield Advanced 版每個帳戶最多可保護 1,000 個資源。

    或者,如果您選擇建立政策,但不套用此政策到現有或新的資源,Firewall Manager 不會將 Shield 進階防護套用至任何資源。之後,您必須將政策套用到資源。

  12. 選擇 Next (下一步)

  13. 檢視新政策。若要進行任何變更,請選擇 Previous (上一步)。當您滿意時,選擇 建立政策

繼續進行步驟 3:(選用) 授權 Shield 反應小組 (SRT)