推出 的新主控台體驗 AWS WAF
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱使用 主控台。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS Firewall Manager 政策範圍
此頁面說明什麼是 Firewall Manager 政策範圍及其運作方式。
政策範圍會定義政策適用的位置。您可以將集中控制的政策套用至:
您組織內的所有帳戶和資源 AWS Organizations。
組織中您帳戶和資源的子集 AWS Organizations。
如需如何設定政策範圍的指示,請參閱 建立 AWS Firewall Manager 政策。
中的政策範圍選項 AWS Firewall Manager
當您將新帳戶或資源新增至組織時,防火牆管理員會自動針對每個政策的設定進行評估,並根據這些設定套用政策。例如,您可以選擇將政策套用至指定清單中的帳號以外的所有帳戶。資源標籤也可以用來定義政策範圍。您可以選擇套用政策,方法是排除或包含具有清單中所有標籤的資源。或者,您可以選擇僅將政策套用至清單中具有任何指定標籤的資源。
AWS 帳戶 範圍內
您提供的設定可定義受政策 AWS 帳戶 影響的 ,決定 AWS 組織中要套用政策的帳戶。您可以透過下列方式之一套用政策:
-
套用至您組織中的所有帳戶
-
僅套用至特定包含帳戶號碼與 AWS Organizations 組織單位 (OU) 的清單
-
套用至特定排除帳戶號碼和 AWS Organizations 組織單位 (OU) 之外所有項目的清單
如需 的詳細資訊 AWS Organizations,請參閱 AWS Organizations 使用者指南。
範圍內的資源
與範圍內帳戶的設定類似,您為資源提供的設定會決定要套用政策的目標範圍內資源類型。您可以選擇下列其中之一:
-
所有 資源
-
具有您指定之所有標籤的資源
-
除了具有您指定之所有標籤的資源之外的所有資源
-
只有具有您指定之任何標籤的資源
-
除了具有您指定之任何標籤的資源之外的所有資源
您只能指定具有非空值的資源標籤。如果您未提供任何值, Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。
如需標記資源的詳細資訊,請參閱使用標籤編輯器。
中的政策範圍管理 AWS Firewall Manager
當政策到位時,防火牆管理員會根據政策範圍持續管理它們,並在新增它們時將其套用至新的 AWS 帳戶 和資源。
Firewall Manager 如何管理 AWS 帳戶 和資源
如果帳戶或資源因任何原因超出範圍, AWS Firewall Manager 不會自動移除保護或刪除 Firewall Manager 管理的資源,除非您選取自動移除離開政策範圍的資源保護核取方塊。
注意
選項 自動移除離開政策範圍的資源保護不適用於 AWS Shield Advanced 或 AWS WAF Classic 政策。
選取此核取方塊 AWS Firewall Manager 會指示 在這些帳戶離開政策範圍時,自動清除 Firewall Manager 為帳戶管理的資源。例如,當 Firewall Manager 離開政策範圍時,防火牆管理員會將 Firewall Manager 受管 Web ACL 與受保護的客戶資源取消關聯。
為了判斷當客戶資源離開政策範圍時,應該從保護中移除哪些資源, Firewall Manager 會遵循下列準則:
預設行為:
已刪除相關聯的 AWS Config 受管規則。此行為與核取方塊無關。
任何不包含任何資源的相關聯 AWS WAF Web 存取控制清單 (Web ACLs都會遭到刪除。此行為與核取方塊無關。
超出範圍的任何受保護資源都會保持關聯和受保護。例如,與 Web ACL 相關聯的 Application Load Balancer 或來自 API Gateway 的 API 會保持與 Web ACL 的關聯,且保護仍然存在。
在選取政策範圍核取方塊的情況下,自動移除資源的保護:
已刪除相關聯的 AWS Config 受管規則。此行為與核取方塊無關。
任何不包含任何資源的相關聯 AWS WAF Web 存取控制清單 (Web ACLs都會遭到刪除。此行為與核取方塊無關。
超出範圍的任何受保護資源會在離開政策範圍時自動取消關聯並從 Firewall Manager 保護中移除。例如,對於安全群組政策,Elastic Inference 加速器或 Amazon EC2 執行個體會在離開政策範圍時自動與複寫的安全群組取消關聯。複寫的安全群組及其資源會自動從保護中移除。
當成員帳戶離開範圍或刪除政策時,防火牆管理員會刪除記錄組態,無論資源清除選項值為何。
