AWS Firewall Manager政策範圍 - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Firewall Manager政策範圍

原則範圍會定義原則套用的位置。您可以將集中控制的原則套用至組織內的所有帳戶和資源,AWS Organizations,或連結至帳戶和資源的子集。如需如何設定政策範圍的指示,請參閱建立 AWS Firewall Manager 政策

政策範圍AWS Firewall Manager

當您新增新帳戶或資源至您的組織時,Firewall Manager 會自動對照您的各個政策設定,自動評估該帳戶或資源並根據這些設定套用政策。例如,您可以選擇將策略套用至指定清單中的帳號以外的所有帳號;您也可以選擇僅將策略套用至清單中包含所有標記的資源。

AWS 帳戶在範圍內

您提供的設定來定義AWS 帳戶會決定哪些帳戶在AWS組織套用原則。您可以透過下列方式之一套用政策:

  • 套用至您組織中的所有帳戶

  • 僅套用至特定包含帳戶號碼與 AWS Organizations 組織單位 (OU) 的清單

  • 套用至特定排除帳戶號碼和 AWS Organizations 組織單位 (OU) 之外所有項目的清單

如需的相關資訊AWS Organizations,請參閱AWS Organizations使用者指南

範圍內的資源

與範圍內帳戶的設定類似,您所提供的資源設定決定了範圍內資源套用政策的類型。您可以選擇下列其中之一:

  • 所有 資源

  • 擁有您指定之所有標籤的資源

  • 所有資源,但不包括擁有您指定之所有標籤的資源。

如需標記資源的詳細資訊,請參閱使用標籤編輯器

政策範圍AWS Firewall Manager

當原則就緒時,Firewall Manager 會持續管理原則,並將它們套用至新的AWS 帳戶和資源,因為它們被添加,根據政策範圍。

Firewall ManagerAWS 帳戶和資源

如果帳號或資源因任何原因而超出範圍,AWS Firewall Manager不會自動移除保護或刪除防火牆管理員管理的資源,除非您選取自動移除離開原則範圍的資源的保護核取方塊。

注意

自動移除離開原則範圍的資源的保護不適用於AWS Shield Advanced或AWS WAF傳統政策

選取此核取方塊會指示AWS Firewall Manager,在這些帳號離開原則範圍時,自動清除 Firewall Manager 為帳號管理的資源。例如,當客戶資源離開原則範圍時,Firewall Manager 會將 Firewall Manager 管理的 Web ACL 與受保護的客戶資源取消關聯。

當客戶資源離開原則範圍時,若要判斷哪些資源應該從保護中移除,Firewall Manager 會遵循下列準則:

  • 預設行為

    • 相關聯的AWS Config受管理的規則會被刪除。這個行為與核取方塊無關。

    • 超出範圍的任何受保護的資源都會保持關聯並受到保護。例如,與 Web ACL 相關聯的 Application Load Balancer 或 API Gateway 會保持與 Web ACL 相關聯,而且保護仍保持原位。

  • 使用自動移除離開原則範圍的資源的保護已選取核取方塊

    • 相關聯的AWS Config受管理的規則會被刪除。這個行為與核取方塊無關。

    • 任何超出範圍的受保護資源會在離開原則範圍時自動取消關聯,並從防護中移除。例如,當 Elastic Inference 加速器或 Amazon EC2 執行個體離開政策範圍時,會自動取消與複寫的安全群組的關聯。複寫的安全性群組及其資源會自動從保護中移除。