**推出 的新主控台體驗 AWS WAF** 您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 搭配 Firewall Manager 使用用量稽核安全群組政策 此頁面說明 Firewall Manager 用量稽核安全群組政策的運作方式。 使用 AWS Firewall Manager 用量稽核安全群組政策來監控組織的未使用和備援安全群組,並選擇性地執行清除。當您啟用此政策的自動修復時, Firewall Manager 會執行下列動作: 1. 整合多餘的安全群組 (如果您已選擇該選項)。 1. 移除未使用的安全群組 (如果您已選擇該選項)。 您可以將用量稽核安全群組政策套用至下列資源類型: + Amazon VPC 安全群組 如需使用主控台建立用量稽核安全群組政策的指引,請參閱 [建立用途稽核安全群組政策](create-policy.md#creating-firewall-manager-policy-usage-security-group)。 **Firewall Manager 如何偵測和修復備援安全群組** 若要將安全群組視為備援,它們必須設定完全相同的規則,且位於相同的 Amazon VPC 執行個體中。 若要修復備援安全群組集,防火牆管理員會選取要保留的集合中的其中一個安全群組,然後將其與集合中與其他安全群組相關聯的所有資源建立關聯。然後 Firewall Manager 會將其他安全群組與與其相關聯的資源取消關聯,這會讓這些群組未使用。 **注意** 如果您也選擇移除未使用的安全群組,則 Firewall Manager 會執行此操作。此動作會移除備援組中的安全群組。 **Firewall Manager 如何偵測和修復未使用的安全群組** 如果下列兩者都成立,則 Firewall Manager 會將安全群組視為未使用: + 任何 Amazon EC2 執行個體或 Amazon EC2 彈性網路介面都不會使用安全群組。 + Firewall Manager 未在政策規則期間指定的分鐘數內收到其組態項目。 政策規則期間預設設定為零分鐘,但您可以將時間增加到 365 天 (525,600 分鐘),以便自己有時間將新的安全群組與資源建立關聯。 **重要** 如果您指定預設值為零以外的分鐘數,則必須在其中啟用間接關係 AWS Config。否則,您的用量稽核安全群組政策將無法如預期般運作。如需 中間接關係的相關資訊 AWS Config,請參閱《 *AWS Config 開發人員指南*》中的 [中的間接關係 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/faq.html#faq-2)。 Firewall Manager 會盡可能根據規則設定從您的帳戶刪除未使用的安全群組,以修復未使用的安全群組。如果 Firewall Manager 無法刪除安全群組,它會將其標記為不合規政策。Firewall Manager 無法刪除由另一個安全群組參考的安全群組。 修復的時間會根據您使用的是預設時段設定或自訂設定而有所不同: + **時間範圍設定為零,預設值** – 使用此設定時,只要 Amazon EC2 執行個體或彈性網路介面未使用安全群組,就會將其視為未使用。 對於此零時段設定,防火牆管理員會立即修復安全群組。 + **大於零的時段** – 使用此設定,當 Amazon EC2 執行個體或彈性網路介面未使用安全群組,且 Firewall Manager 未在指定的分鐘數內收到其組態項目時,安全群組會被視為未使用。 對於非零時段設定,防火牆管理員會在安全群組保持未使用狀態 24 小時後進行修復。 **預設帳戶規格** 當您透過主控台建立用量稽核安全群組政策時,防火牆管理員會自動選擇**排除指定的帳戶並包含所有其他**帳戶。然後,服務會將 Firewall Manager 管理員帳戶放入清單中以排除。這是建議的方法,可讓您手動管理屬於 Firewall Manager 管理員帳戶的安全群組。