AWS Firewall Manager 政策範圍

原則範圍會定義原則的套用位置。您可以將集中控制的政策套用至組織內的所有帳戶和資源 AWS Organizations，或套用至帳戶和資源的子集。如需有關如何設定原則範圍的指示，請參閱建立 AWS Firewall Manager 策略。

政策範圍選項 AWS Firewall Manager

當您將新的帳號或資源新增至組織時，Firewall Manager 會根據每個策略的設定自動評估該帳號或資源，並根據這些設定套用策略。例如，您可以選擇將策略套用至指定清單中的帳號以外的所有帳號；您也可以選擇僅將策略套用至清單中包含所有標籤的資源。

AWS 帳戶 在範圍內

您提供用來定義受策略 AWS 帳戶 影響的設定會決定組 AWS 織中要套用策略的哪些帳號。您可以透過下列方式之一套用政策：

• 套用至您組織中的所有帳戶

• 僅套用至特定包含帳戶號碼與 AWS Organizations 組織單位 (OU) 的清單

• 套用至特定排除帳戶號碼和 AWS Organizations 組織單位 (OU) 之外所有項目的清單

若要取得有關資訊 AWS Organizations，請參閱AWS Organizations 使用指南。

範圍內的資源

與範圍中帳號的設定類似，您為資源提供的設定會決定要套用策略的範圍內資源類型。您可以選擇下列其中之一：

• 所有 資源

• 具有您指定之所有標籤的資源

• 除了具有您指定之所有標籤的資源以外的所有資源

您只能指定具有非空值的資源標籤。如果您未提供任何值，「Firewall Manager 員」會以空字串值儲存標籤：「」。資源標籤僅與具有相同鍵和相同值的標籤匹配。

如需標記資源的詳細資訊，請參閱使用標籤編輯器。

政策範圍管理 AWS Firewall Manager

策略到位時，Firewall Manager 會根據策略範圍持續管理這些策略， AWS 帳戶 並在新增時將它們套用至新增的資源和資源。

Firewall Manager 員如何管理 AWS 帳戶 和資源

如果帳號或資源因任何原因超出範圍，則 AWS Firewall Manager 不會自動移除保護或刪除防火牆管理員管理的資源，除非您選取 [從離開策略範圍的資源自動移除保護] 核取方塊。

注意

[從離開策略範圍的資源自動移除保護] 選項不適用於 AWS Shield Advanced 或 AWS WAF 傳統策略。

選取此核取方塊會指示 AWS Firewall Manager 當這些帳號離開策略範圍時，自動清除 Firewall Manager 為帳號管理的資源。例如，當客戶資源離開策略範圍時，Firewall Manager 將取消 Firewall Manager 員管理的 Web ACL 與受保護的客戶資源的關聯。

若要判斷當客戶資源離開策略範圍時，應從保護中移除哪些資源，Firewall Manager 會遵循下列準則：

• 預設行為：

  • 相關聯的 AWS Config 受管理規則即會刪除。此行為與核取方塊無關。

  • 任何不包含任何資源的相關 AWS WAF Web 存取控制清單 (Web ACL) 都會遭到刪除。此行為與核取方塊無關。

  • 任何超出範圍的受保護資源都會保持關聯並受到保護。例如，與 Web ACL 相關聯的 API Gateway 中的 Application Load Balancer 或 API 會保持與 Web ACL 相關聯，而且保護會保持原位。

• 選取 [從離開策略範圍的資源自動移除保護] 核取方塊時：

  • 相關聯的 AWS Config 受管理規則即會刪除。此行為與核取方塊無關。

  • 任何不包含任何資源的相關 AWS WAF Web 存取控制清單 (Web ACL) 都會遭到刪除。此行為與核取方塊無關。

  • 任何超出範圍的受保護資源在離開策略範圍時，都會自動取消關聯並從 Firewall Manager 員保護中移除。例如，對於安全群組政策，Elastic Inference 加速器或 Amazon EC2 執行個體離開原則範圍時，會自動與複寫的安全群組取消關聯。複製的安全性群組及其資源會自動從保護中移除。