使用 AWS Firewall Manager 政策範圍

此頁面說明什麼是 Firewall Manager 政策範圍及其運作方式。

政策範圍會定義政策適用的位置。您可以將集中控制的政策套用至：

• 您組織內的所有帳戶和資源 AWS Organizations。

• 組織中您帳戶和資源的子集 AWS Organizations。

如需如何設定政策範圍的說明，請參閱 建立 AWS Firewall Manager 政策。

中的政策範圍選項 AWS Firewall Manager

當您將新帳戶或資源新增至組織時，防火牆管理員會自動針對每個政策的設定進行評估，並根據這些設定套用政策。例如，您可以選擇將政策套用至指定清單中的帳號以外的所有帳戶。資源標籤也可以用來定義政策範圍。您可以選擇套用政策，方法是排除或包含具有清單中所有標籤的資源。或者，您可以選擇僅將政策套用至清單中具有任何指定標籤的資源。

AWS 帳戶 範圍內

您為定義受政策 AWS 帳戶 影響的 所提供的設定，會決定 AWS 組織中要套用政策的帳戶。您可以透過下列方式之一套用政策：

• 套用至您組織中的所有帳戶

• 僅套用至特定包含帳戶號碼與 AWS Organizations 組織單位 (OU) 的清單

• 套用至特定排除帳戶號碼和 AWS Organizations 組織單位 (OU) 之外所有項目的清單

如需 的詳細資訊 AWS Organizations，請參閱 AWS Organizations 使用者指南。

範圍內的資源

與範圍內帳戶的設定類似，您為資源提供的設定會決定要套用政策的範圍內資源類型。您可以選擇下列其中之一：

• 所有 資源

• 具有您指定之所有標籤的資源

• 除了具有您指定之所有標籤的資源之外的所有資源

• 只有具有您指定之任何標籤的資源

• 除了只有具有您指定之任何標籤的資源之外的所有資源

您只能指定具有非空值的資源標籤。如果您未提供任何值， Firewall Manager 會儲存具有空字串值的標籤：""。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

如需標記資源的詳細資訊，請參閱使用標籤編輯器。

中的政策範圍管理 AWS Firewall Manager

政策到位時，防火牆管理員會持續管理它們，並根據政策範圍將它們套用到新增的新 AWS 帳戶 和資源。

Firewall Manager 如何管理 AWS 帳戶 和資源

如果帳戶或資源因任何原因超出範圍， AWS Firewall Manager 則不會自動移除保護或刪除 Firewall Manager 管理的資源，除非您選取自動移除離開政策範圍的資源保護核取方塊。

注意

選項 自動移除離開政策範圍的資源保護不適用於 AWS Shield Advanced 或 AWS WAF Classic 政策。

選取此核取方塊 AWS Firewall Manager 會指示 自動清除 Firewall Manager 在帳戶離開政策範圍時為帳戶管理的資源。例如，當 Firewall Manager 離開政策範圍時，防火牆管理員會將 Firewall Manager 管理的 Web ACL 與受保護的客戶資源取消關聯。

若要判斷客戶資源離開政策範圍時應從保護中移除哪些資源，防火牆管理員會遵循下列準則：

• 預設行為：

  • 已刪除相關聯的 AWS Config 受管規則。此行為與核取方塊無關。

  • 任何不包含任何資源的相關聯 AWS WAF Web 存取控制清單 (Web ACLs都會遭到刪除。此行為與核取方塊無關。

  • 超出範圍的任何受保護資源都會保持關聯和受保護。例如，與 Web ACL 相關聯的 Application Load Balancer 或來自 API Gateway 的 API 會保持與 Web ACL 的關聯，且保護功能會維持在適當狀態。

• 在選取政策範圍核取方塊的情況下，自動移除資源的保護：

  • 已刪除相關聯的 AWS Config 受管規則。此行為與核取方塊無關。

  • 任何不包含任何資源的相關聯 AWS WAF Web 存取控制清單 (Web ACLs都會遭到刪除。此行為與核取方塊無關。

  • 超出範圍的任何受保護資源都會自動取消關聯，並在離開政策範圍時從 Firewall Manager 保護中移除。例如，對於安全群組政策，Elastic Inference 加速器或 Amazon EC2 執行個體會在離開政策範圍時自動與複寫的安全群組取消關聯。複寫的安全群組及其資源會自動從保護中移除。