**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS 的 受管政策 AWS Firewall Manager
<a name="fms-security-iam-awsmanpol"></a>





 AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可，以便您可以開始將許可指派給使用者、群組和角色。

請記住， AWS 受管政策可能不會授予特定使用案例的最低權限許可，因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)，以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可，則更新會影響政策連接的所有主體身分 （使用者、群組和角色）。 AWS 服務 當新的 啟動或新的 API 操作可用於現有服務時， AWS 最有可能更新 AWS 受管政策。

如需詳細資訊，請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

## AWS 受管政策： `AWSFMAdminFullAccess`
<a name="security-iam-awsmanpol-AWSFMAdminFullAccess"></a>

使用 `AWSFMAdminFullAccess` AWS 受管政策允許管理員存取 AWS Firewall Manager 資源，包括所有 Firewall Manager 政策類型。此政策不包含在 中設定 Amazon Simple Notification Service 通知的許可 AWS Firewall Manager。如需如何設定 Amazon Simple Notification Service 存取權的詳細資訊，請參閱[設定 Amazon Simple Notification Service 的存取權](https://docs.aws.amazon.com/sns/latest/dg/sns-setting-up.html)。

如需政策清單和詳細資訊，請參閱 [AWSFMAdminFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminFullAccess$serviceLevelSummary) 中的 IAM 主控台。本節的其餘部分提供政策設定的概觀。

**許可陳述式**

此政策會根據一組許可分組為陳述式。
+ **AWS Firewall Manager 政策資源** - 允許 中資源的完整管理許可 AWS Firewall Manager，包括所有 Firewall Manager 政策類型。
+ **將 AWS WAF 日誌寫入 Amazon Simple Storage Service** - 允許 Firewall Manager 在 Amazon S3 中寫入和讀取 AWS WAF 日誌。
+ **建立服務連結角色** – 允許管理員建立服務連結角色，讓 Firewall Manager 代表您存取其他服務中的資源。此許可僅允許建立僅供 Firewall Manager 使用的服務連結角色。如需 Firewall Manager 如何使用服務連結角色的資訊，請參閱 [使用 Firewall Manager 的服務連結角色](fms-using-service-linked-roles.md)。
+ **AWS Organizations** – 允許管理員將 Firewall Manager 用於 中的組織 AWS Organizations。在 中啟用 Firewall Manager 的受信任存取後 AWS Organizations，管理員帳戶的成員可以檢視整個組織的調查結果。如需 AWS Organizations 搭配 使用 的詳細資訊 AWS Firewall Manager，請參閱*AWS Organizations 《 使用者指南*[AWS 》中的 AWS Organizations 搭配其他服務使用](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) 。

**許可類別**

以下列出政策中的許可類型及其提供的許可。
+ `fms` – 使用 AWS Firewall Manager 資源。
+ `waf` 和 `waf-regional` – 使用 AWS WAF Classic 政策。
+ `elasticloadbalancing` – 將 AWS WAF Web ACLsto Elastic Load Balancer 建立關聯。
+ `firehose` – 檢視 AWS WAF 日誌的相關資訊。
+ `organizations` – 使用 AWS Organizations 資源。
+ `shield` – 檢視政策的 AWS Shield 訂閱狀態。
+ `route53resolver` – 在 Route 53 私有 DNS for VPCs政策中使用 Route 53 Private DNS for VPCs 規則群組。
+ `wafv2` – 使用 AWS WAFV2 政策。
+ `network-firewall` – 使用 AWS Network Firewall 政策。
+ `ec2` – 檢視政策可用區域和區域。
+ `s3` – 檢視 AWS WAF 日誌的相關資訊。

## AWS 受管政策： `FMSServiceRolePolicy`
<a name="security-iam-awsmanpol-FMSServiceRolePolicy"></a>

此政策允許 在 Firewall Manager 和整合服務中代表您 AWS Firewall Manager 管理 AWS 資源。此政策連接至 `AWSServiceRoleForFMS` 服務連結角色。如需服務連結角色的詳細資訊，請參閱[使用 Firewall Manager 的服務連結角色](fms-using-service-linked-roles.md)。

如需政策詳細資訊，請參閱 [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary) 的 IAM 主控台。

## AWS 受管政策：AWSFMAdminReadOnlyAccess
<a name="security-iam-awsmanpol-AWSFMAdminReadOnlyAccess"></a>

授予所有 AWS Firewall Manager 資源的唯讀存取權。

如需政策清單和詳細資訊，請參閱 [AWSFMAdminReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminReadOnlyAccess$serviceLevelSummary) 中的 IAM 主控台。本節的其餘部分提供政策設定的概觀。

**許可類別**

以下列出政策中的許可類型，以及許可允許唯讀存取的資訊。
+ `fms` – AWS Firewall Manager 資源。
+ `waf` 和 `waf-regional` – AWS WAF Classic 政策。
+ `firehose` – AWS WAF logs。
+ `organizations` – AWS 組織資源。
+ `shield` – AWS Shield 政策。
+ `route53resolver` – Route 53 Private DNS for VPCs 政策中的 Route 53 Private DNS for VPCs 規則群組。
+ `wafv2` – 可在 中使用的 AWS WAFV2 規則群組和 AWS 受管規則規則群組 AWS WAFV2。
+ `network-firewall` – AWS Network Firewall 規則群組和規則群組中繼資料。
+ `ec2` – AWS Network Firewall 政策可用區域 和區域 。
+ `s3` – AWS WAF logs。

## AWS 受管政策：AWSFMMemberReadOnlyAccess
<a name="security-iam-awsmanpol-AWSFMMemberReadOnlyAccess"></a>

授予 AWS Firewall Manager 成員資源的唯讀存取權。如需政策清單和詳細資訊，請參閱 [AWSFMMemberReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMMemberReadOnlyAccess$serviceLevelSummary) 中的 IAM 主控台。













## AWS 受管政策的 Firewall Manager 更新
<a name="fms-security-iam-awsmanpol-updates"></a>

檢視自此服務開始追蹤這些變更以來，防火牆管理員 AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒，請在 的 Firewall Manager 文件歷史記錄頁面上訂閱 RSS 摘要[文件歷史紀錄](doc-history.md)。




| 變更 | 描述 | Date | 
| --- | --- | --- | 
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) – 更新的政策 | 新增 Firewall Manager 服務政策的許可。<br />新增 Amazon CloudFront 所需的下列許可：[See the AWS documentation website for more details](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/fms-security-iam-awsmanpol.html) | 2025-05-21 | 
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) – 已更新政策 | 新增 Firewall Manager 服務政策的許可。<br />新增以批次方式取得資源組態狀態的`BatchGetResourceConfig`許可。請參閱 IAM 主控台中的更新政策：[FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)。 | 2025-02-10 | 
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) – 已更新政策 | 新增 Firewall Manager 服務角色政策的許可。<br />新增讀取 Network Firewall TLS 組態資訊的功能。請參閱 IAM 主控台中的更新政策：[FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)。 | 2024-07-22 | 
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) – 已更新政策 | 新增管理網路 ACLs許可。<br />請參閱 IAM 主控台中的更新政策：[FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)。 | 2024-04-22 | 
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) – 已更新政策 | 新增允許 Firewall Manager 描述指定 AWS Config 規則是否合規的許可。<br />請參閱 IAM 主控台中的更新政策：[FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)。 | 2023-04-21 | 
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) – 已更新政策 | 新增允許 Firewall Manager 描述 Amazon EC2 執行個體和網路介面屬性的許可。<br />請參閱 IAM 主控台中的更新政策：[FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)。 | 2022-11-15 | 
| [AWSFMAdminReadOnlyAccess](#security-iam-awsmanpol-AWSFMAdminReadOnlyAccess) – 更新的政策 | 新增支援 AWS WAFV2、Shield、Network Firewall、DNS Firewall、Amazon VPC 安全群組、政策的許可。<br />請參閱 IAM 主控台中的更新政策：[AWSFMAdminReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminReadOnlyAccess$serviceLevelSummary)。 | 2022-11-02 | 
| [AWSFMAdminFullAccess](#security-iam-awsmanpol-AWSFMAdminFullAccess) – 更新的政策 | 新增支援 AWS WAFV2、Shield、Network Firewall、DNS Firewall、Amazon VPC 安全群組、政策的許可。已移除 Amazon SNS 許可。<br />請參閱 IAM 主控台中的更新政策：[AWSFMAdminFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminFullAccess$serviceLevelSummary)。 | 2022-10-21 | 
| `FMSServiceRolePolicy` – AWS Firewall Manager 第三方防火牆政策的新許可 | 此變更可讓 Firewall Manager 建立和刪除與第三方防火牆政策相關聯的 Amazon EC2 VPC 端點。 | 2022-03-30 | 
| `FMSServiceRolePolicy` – AWS Network Firewall 政策的新許可 | 新增支援部署 Network Firewall 政策防火牆的新許可。新的許可允許擷取政策範圍內帳戶的可用區域相關資訊。 | 2022-02-16 | 
| `FMSServiceRolePolicy` – AWS Shield 政策的新許可 | 新增擷取 AWS WAF 區域和 AWS WAF 全域資源標籤的新許可。新增使用資源 ACLs AWS WAF 的區域許可。新增支援 Shield 自動應用程式層 DDoS 緩解的許可。 | 2022-01-07 | 
| `FMSServiceRolePolicy` – AWS Shield 政策的新許可 | 新增擷取 Elastic Load Balancing 資源標籤的新許可。 | 2021-11-18 | 
| `FMSServiceRolePolicy` – 安全群組和 AWS Network Firewall 政策的新許可 | 新增了新的許可，以啟用 AWS Network Firewall 政策的集中式記錄。此外，新增了唯讀 Amazon EC2 許可，以支援 Config 服務的變更，這些變更會影響 如何 AWS Firewall Manager 查詢安全群組政策的資源。 | 2021-09-29 | 
| `FMSServiceRolePolicy` – AWS WAF 資源的 ARN 格式 | 更新 `FMSServiceRolePolicy`以標準化 AWS WAF 資源的 ARN 格式。更新的 ARN 格式為 `arn:aws:waf:*:*:*`和 `arn:aws:waf-regional:*:*:*`。 | 2021-08-12 | 
| `FMSServiceRolePolicy` – 中國的其他區域 | AWS Firewall Manager 已`FMSServiceRolePolicy`針對中國的 BJS 和 ZHY 區域啟用 。 | 2021-08-12 | 
| `FMSServiceRolePolicy` – 更新現有政策 | 新增允許 AWS Firewall Manager 管理 Amazon Route 53 Resolver DNS 防火牆的新許可。<br />此變更允許 Firewall Manager 設定 Amazon Route 53 Resolver DNS 防火牆關聯。這可讓您使用 Firewall Manager 為整個組織中VPCs 提供 DNS 防火牆保護 AWS Organizations。 | 2021-03-17 | 
| Firewall Manager 已開始追蹤變更 | Firewall Manager 開始追蹤其 AWS 受管政策的變更。 | 2021-03-02 |