AWS Firewall Manager政策範圍 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Firewall Manager政策範圍

原則範圍會定義原則的套用位置。您可以將集中控制的政策套用至組織內的所有帳戶和資源AWS Organizations,或您的帳戶和資源的子集。如需如何設定政策範圍的詳細資訊,請參閱建立 AWS Firewall Manager 政策

政策範圍選項AWS Firewall Manager

當您將新的帳號或資源新增至組織時,Firewall Manager 會根據每個策略的設定自動評估該帳號或資源,並根據這些設定套用策略。例如,您可以選擇將策略套用至指定清單中的帳號以外的所有帳號;您也可以選擇僅將策略套用至清單中包含所有標籤的資源。

AWS 帳戶在範圍

您提供的設定來定義AWS 帳戶受政策影響,決定您的帳戶中的哪些帳戶AWS要套用策略的組織。您可以透過下列方式之一套用政策:

  • 套用至您組織中的所有帳戶

  • 僅套用至特定包含帳戶號碼與 AWS Organizations 組織單位 (OU) 的清單

  • 套用至特定排除帳戶號碼和 AWS Organizations 組織單位 (OU) 之外所有項目的清單

如需有關的資訊AWS Organizations,請參閱。AWS Organizations使用者指南

範圍內的資源

與範圍中帳號的設定類似,您為資源提供的設定會決定要套用策略的範圍內資源類型。您可以選擇下列其中之一:

  • 所有 資源

  • 具有您指定之所有標籤的資源

  • 除了具有您指定之所有標籤的資源以外的所有資源

如需標記資源的詳細資訊,請參閱使用標籤編輯器

政策範圍管理AWS Firewall Manager

當策略到位時,Firewall Manager 會持續管理它們並將其套用到新的AWS 帳戶和資源,因為他們被添加,根據政策範圍。

Firewall ManagerAWS 帳戶和資源

如果某個帳號或資源因任何原因超出範圍,AWS Firewall Manager不會自動移除保護或刪除防火牆管理員管理的資源,除非您選取從離開策略範圍的資源自動移除保護核取方塊。

注意

選項從離開策略範圍的資源自動移除保護不適用於AWS Shield Advanced或者AWS WAF傳統政策。

選取此核取方塊會指示AWS Firewall Manager,當這些帳號離開策略範圍時,自動清除 Firewall Manager 為帳戶管理的資源。例如,當客戶資源離開策略範圍時,Firewall Manager 將取消 Firewall Manager 管理的 Web ACL 與受保護的客戶資源的關聯。

若要判斷當客戶資源離開策略範圍時,應從保護中移除哪些資源,Firewall Manager 會遵循下列準則:

  • 預設行為

    • 相關聯AWS Config會刪除受管規則。此行為與核取方塊無關。

    • 任何相關聯AWS WAF不包含任何資源的 Web 訪問控制列表(Web ACL)將被刪除。此行為與核取方塊無關。

    • 任何超出範圍的受保護資源都會保持關聯並受到保護。例如,與 Web ACL 相關聯的 API Gateway 中的 Application Load Balancer 器或 API 會保持與 Web ACL 相關聯,而且保護會保持在原位。

  • 使用從離開策略範圍的資源自動移除保護已選取核取方塊

    • 相關聯AWS Config會刪除受管規則。此行為與核取方塊無關。

    • 任何相關聯AWS WAF不包含任何資源的 Web 訪問控制列表(Web ACL)將被刪除。此行為與核取方塊無關。

    • 任何超出範圍的受保護資源在離開原則範圍時,都會自動取消關聯並從保護中移除。例如,Elastic Inference 加速器或 Amazon EC2 執行個體離開政策範圍時,會自動與複寫的安全群組取消關聯。複製的安全性群組及其資源會自動從保護中移除。