本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS Firewall Manager 政策範圍
此頁面說明什麼是 Firewall Manager 政策範圍及其運作方式。
政策範圍會定義政策適用的位置。您可以將集中控制的政策套用至 中組織內的所有帳戶和資源 AWS Organizations,也可以套用至帳戶和資源的子集。如需如何設定政策範圍的指示,請參閱 建立 AWS Firewall Manager 政策。
中的政策範圍選項 AWS Firewall Manager
當您將新帳戶或資源新增至您的組織時,Firexation Manager 會自動針對每個政策的設定進行評估,並根據這些設定套用政策。例如,您可以選擇將政策套用至指定清單中的帳號以外的所有帳戶;您也可以選擇將政策僅套用至清單中具有所有標籤的資源。
AWS 帳戶 範圍內
您為定義受政策 AWS 帳戶 影響的 所提供的設定,會決定 AWS 組織中要套用政策的帳戶。您可以透過下列方式之一套用政策:
-
套用至您組織中的所有帳戶
-
僅查看包含的帳號和 AWS Organizations 組織單位的特定清單 (OUs)
-
除了排除的帳號和 AWS Organizations 組織單位的特定清單之外的所有 (OUs)
如需 的相關資訊 AWS Organizations,請參閱 AWS Organizations 使用者指南 。
範圍內的資源
與範圍內帳戶的設定類似,您為資源提供的設定決定要套用政策的範圍內資源類型。您可以選擇下列其中之一:
-
所有 資源
-
具有您指定之所有標籤的資源
-
除了具有您指定之所有標籤的資源之外的所有資源
您只能指定具有非空值的資源標籤。如果您未提供任何值,則 Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。
如需標記資源的詳細資訊,請參閱使用標籤編輯器。
中的政策範圍管理 AWS Firewall Manager
政策到位時,防火牆管理員會持續管理它們,並根據政策範圍將它們套用至新增的新 AWS 帳戶 和資源。
Firewall Manager 如何管理 AWS 帳戶 和資源
如果帳戶或資源因任何原因超出範圍, AWS Firewall Manager 除非您選取自動移除離開政策範圍的資源保護核取方塊,否則不會自動移除保護或刪除 Firewall Manager 管理的資源。
注意
選項 自動移除離開政策範圍的資源保護不適用於 AWS Shield Advanced 或 AWS WAF Classic 政策。
選取此核取方塊 AWS Firewall Manager 會指示 自動清除 Firewall Manager 在帳戶離開政策範圍時為帳戶管理的資源。例如,當 Firewall Manager 離開政策範圍時,防火牆管理員會將 Firewall Manager 受管 Web ACL 與受保護的客戶資源取消關聯。
若要判斷當客戶資源離開政策範圍時,應該從保護中移除哪些資源,防火牆管理員會遵循下列準則:
預設行為:
已刪除相關聯的 AWS Config 受管規則。此行為與核取方塊無關。
任何不包含任何資源的相關聯 AWS WAF Web 存取控制清單 (Web ACLs) 都會遭到刪除。此行為與核取方塊無關。
超出範圍的任何受保護資源都會保持關聯和受保護。例如,與 Web 相關聯的 Application Load Balancer 或API來自 API Gateway 會ACL保持與 Web 的關聯ACL,且保護功能會維持在適當狀態。
在自動移除對資源的保護時,選取政策範圍核取方塊:
已刪除相關聯的 AWS Config 受管規則。此行為與核取方塊無關。
任何不包含任何資源的相關聯 AWS WAF Web 存取控制清單 (Web ACLs) 都會遭到刪除。此行為與核取方塊無關。
超出範圍的任何受保護資源都會自動取消關聯,並在離開政策範圍時從 Firewall Manager 保護中移除。例如,對於安全群組政策,Elastic Inference 加速器或 Amazon EC2執行個體會在離開政策範圍時自動與複寫的安全群組解除關聯。複寫的安全群組及其資源會自動從保護中移除。
