本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Firewall Manager 政策範圍
原則範圍會定義原則的套用位置。您可以將集中控制的政策套用至組織內的所有帳戶和資源 AWS Organizations,或套用至帳戶和資源的子集。如需有關如何設定原則範圍的指示,請參閱建立 AWS Firewall Manager 策略。
政策範圍選項 AWS Firewall Manager
當您將新的帳號或資源新增至組織時,Firewall Manager 會根據每個策略的設定自動評估該帳號或資源,並根據這些設定套用策略。例如,您可以選擇將策略套用至指定清單中的帳號以外的所有帳號;您也可以選擇僅將策略套用至清單中包含所有標籤的資源。
AWS 帳戶 在範圍內
您提供用來定義受策略 AWS 帳戶 影響的設定會決定組 AWS 織中要套用策略的哪些帳號。您可以透過下列方式之一套用政策:
-
套用至您組織中的所有帳戶
-
僅套用至特定包含帳戶號碼與 AWS Organizations 組織單位 (OU) 的清單
-
套用至特定排除帳戶號碼和 AWS Organizations 組織單位 (OU) 之外所有項目的清單
若要取得有關資訊 AWS Organizations,請參閱AWS Organizations 使用指南。
範圍內的資源
與範圍中帳號的設定類似,您為資源提供的設定會決定要套用策略的範圍內資源類型。您可以選擇下列其中之一:
-
所有 資源
-
具有您指定之所有標籤的資源
-
除了具有您指定之所有標籤的資源以外的所有資源
您只能指定具有非空值的資源標籤。如果您未提供任何值,「Firewall Manager 員」會以空字串值儲存標籤:「」。資源標籤僅與具有相同鍵和相同值的標籤匹配。
如需標記資源的詳細資訊,請參閱使用標籤編輯器。
政策範圍管理 AWS Firewall Manager
策略到位時,Firewall Manager 會根據策略範圍持續管理這些策略, AWS 帳戶 並在新增時將它們套用至新增的資源和資源。
Firewall Manager 員如何管理 AWS 帳戶 和資源
如果帳號或資源因任何原因超出範圍,則 AWS Firewall Manager 不會自動移除保護或刪除防火牆管理員管理的資源,除非您選取 [從離開策略範圍的資源自動移除保護] 核取方塊。
注意
[從離開策略範圍的資源自動移除保護] 選項不適用於 AWS Shield Advanced 或 AWS WAF 傳統策略。
選取此核取方塊會指示 AWS Firewall Manager 當這些帳號離開策略範圍時,自動清除 Firewall Manager 為帳號管理的資源。例如,當客戶資源離開策略範圍時,Firewall Manager 將取消 Firewall Manager 員管理的 Web ACL 與受保護的客戶資源的關聯。
若要判斷當客戶資源離開策略範圍時,應從保護中移除哪些資源,Firewall Manager 會遵循下列準則:
預設行為:
相關聯的 AWS Config 受管理規則即會刪除。此行為與核取方塊無關。
任何不包含任何資源的相關 AWS WAF Web 存取控制清單 (Web ACL) 都會遭到刪除。此行為與核取方塊無關。
任何超出範圍的受保護資源都會保持關聯並受到保護。例如,與 Web ACL 相關聯的 API Gateway 中的 Application Load Balancer 或 API 會保持與 Web ACL 相關聯,而且保護會保持原位。
選取 [從離開策略範圍的資源自動移除保護] 核取方塊時:
相關聯的 AWS Config 受管理規則即會刪除。此行為與核取方塊無關。
任何不包含任何資源的相關 AWS WAF Web 存取控制清單 (Web ACL) 都會遭到刪除。此行為與核取方塊無關。
任何超出範圍的受保護資源在離開策略範圍時,都會自動取消關聯並從 Firewall Manager 員保護中移除。例如,對於安全群組政策,Elastic Inference 加速器或 Amazon EC2 執行個體離開原則範圍時,會自動與複寫的安全群組取消關聯。複製的安全性群組及其資源會自動從保護中移除。