**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 AWS Firewall Manager 政策
<a name="working-with-policies"></a>

AWS Firewall Manager 提供下列類型的政策。對於每個政策類型，您可以定義：
+ **AWS WAF** **政策** – Firewall Manager 支援 AWS WAF 和 AWS WAF Classic 政策。對於這兩個版本，您可以定義哪些資源受到政策保護。
  +  AWS WAF 政策類型會先執行規則群組集，再於 Web ACL 中執行。然後，在您套用 Web ACL 的帳戶中，帳戶擁有者可以新增規則和規則群組，以在兩組之間執行。
  +  AWS WAF Classic 政策類型需要單一規則群組才能在 Web ACL 中執行。
+ **Shield Advanced 政策** – 此政策類型會針對您指定的資源類型，在整個組織中套用 Shield Advanced 保護。
+ **Amazon VPC 安全群組政策** – 此政策類型可讓您控制整個組織中正在使用的安全群組，並可讓您在整個組織中強制執行一組基準規則。
+ **Amazon VPC 網路存取控制清單 (ACL) 政策** – 此政策類型可讓您控制整個組織中正在使用的網路 ACLs，並可讓您在整個組織中強制執行一組基準網路 ACLs。
+ **網路防火牆政策** – 此政策類型會將 AWS Network Firewall 保護套用至組織的 VPCs。
+ **Amazon Route 53 Resolver DNS 防火牆政策** – 此政策會將 DNS 防火牆保護套用至組織的 VPCs。
+ **第三方防火牆政策** – 此政策類型會套用第三方防火牆保護。透過 Marketplace 的 AWS Marketplace 主控台訂閱，即可使用第三方防火牆[AWS](https://aws.amazon.com/marketplace)。
  + **Palo Alto Networks 雲端 NGFW 政策** – 此政策類型會將 Palo Alto Networks 雲端新一代防火牆 (NGFW) 保護和 Palo Alto Networks 雲端 NGFW 規則堆疊套用至組織的 VPCs。
  + **Fortigate 雲端原生防火牆 (CNF) 即服務政策** – 此政策類型會將 Fortigate 雲端原生防火牆 (CNF) 即服務保護套用。Fortigate CNF 是一種以雲端為中心的解決方案，可透過業界領先的進階威脅預防、智慧型 Web 應用程式防火牆 (WAF) 和 API 保護來封鎖零時差威脅並保護雲端基礎設施。

Firewall Manager 政策專屬於個別政策類型。如果您想要跨帳戶強制執行多種政策類型，您可以建立多項政策。您可以為各種類型建立一個以上的政策。

如果您將新帳戶新增至使用 建立的組織 AWS Organizations，防火牆管理員會自動將政策套用到該帳戶中在政策範圍內的資源。

## AWS Firewall Manager 政策的一般設定
<a name="policies-general-settings"></a>

AWS Firewall Manager 受管政策有一些常見的設定和行為。對於所有 ，您可以指定名稱並定義政策的範圍，而且您可以使用資源標記來控制政策範圍。您可以選擇檢視不合規的帳戶和資源，但不採取修正動作或自動修補不合規的資源。

如需政策範圍的資訊，請參閱 [使用 AWS Firewall Manager 政策範圍](policy-scope.md)。

# 建立 AWS Firewall Manager 政策
<a name="create-policy"></a>

不同政策類型的政策建立步驟有所不同。務必根據您所需的政策類型使用程序。

**重要**  
AWS Firewall Manager 不支援 Amazon Route 53 或 AWS Global Accelerator。如果您想要使用 Shield Advanced 保護這些資源，則無法使用 Firewall Manager 政策。或者，請遵循[為 AWS 資源新增 AWS Shield Advanced 保護](configure-new-protection.md)中的說明進行。

**Topics**
+ [為 建立 AWS Firewall Manager 政策 AWS WAF](#creating-firewall-manager-policy-for-waf)
+ [為 AWS WAF Classic 建立 AWS Firewall Manager 政策](#creating-firewall-manager-policy-for-classic-waf)
+ [為 建立 AWS Firewall Manager 政策 AWS Shield Advanced](#creating-firewall-manager-policy-for-shield-advanced)
+ [建立 AWS Firewall Manager 常見的安全群組政策](#creating-firewall-manager-policy-common-security-group)
+ [建立 AWS Firewall Manager 內容稽核安全群組政策](#creating-firewall-manager-policy-audit-security-group)
+ [建立 AWS Firewall Manager 用量稽核安全群組政策](#creating-firewall-manager-policy-usage-security-group)
+ [建立 AWS Firewall Manager 網路 ACL 政策](#creating-firewall-manager-policy-network-acl)
+ [為 建立 AWS Firewall Manager 政策 AWS Network Firewall](#creating-firewall-manager-policy-for-network-firewall)
+ [建立 Amazon Route 53 Resolver DNS 防火牆 AWS Firewall Manager 的政策](#creating-firewall-manager-policy-for-dns-firewall)
+ [為 Palo Alto Networks 雲端 NGFW 建立 AWS Firewall Manager 政策](#creating-cloud-ngfw-policy)
+ [建立 Fortigate 雲端原生防火牆 (CNF) as a Service AWS Firewall Manager 的政策](#creating-fortigate-cnf-policy)

## 為 建立 AWS Firewall Manager 政策 AWS WAF
<a name="creating-firewall-manager-policy-for-waf"></a>

在 Firewall Manager AWS WAF 政策中，您可以使用 受管規則群組， AWS 和 AWS Marketplace 賣方會為您建立和維護。您也可以建立和使用自己的規則群組。如需規則群組的詳細資訊，請參閱[AWS WAF 規則群組](waf-rule-groups.md)。

如果您想要使用自己的規則群組，請在建立 Firewall Manager AWS WAF 政策之前建立這些規則群組。如需準則，請參閱[管理您自己的規則群組](waf-user-created-rule-groups.md)。若要使用個別的自訂規則，您必須定義自己的規則群組、在該群組中定義規則，然後在政策中使用規則群組。

如需 Firewall Manager AWS WAF 政策的詳細資訊，請參閱 [搭配 Firewall Manager 使用 AWS WAF 政策](waf-policies.md)。

**為 AWS WAF （主控台） 建立 Firewall Manager 政策**

1.  AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
**注意**  
如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。

1. 在導覽窗格中，選擇 **Security policies (安全群組政策)**。

1. 選擇**建立政策**。

1. 針對**政策類型**，選擇 **AWS WAF**。

1. 針對**區域**，選擇 AWS 區域。若要保護 Amazon CloudFront 分佈，請選擇**全域**。

   若要保護多個區域中的資源 (CloudFront 分佈除外），您必須為每個區域建立個別的 Firewall Manager 政策。

1. 選擇**下一步**。

1. 針對**政策名稱**，輸入描述性名稱。Firewall Manager 會在其管理的 Web ACLs名稱中包含政策名稱。Web ACL 名稱`FMManagedWebACLV2-`後面接著您在此處輸入的政策名稱、 `-`和 Web ACL 建立時間戳記，以 UTC 毫秒為單位。例如 `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`。

1. 對於 **Web 請求內文檢查**，選擇性地變更內文大小限制。如需內文檢查大小限制的相關資訊，包括定價考量，請參閱《 *AWS WAF 開發人員指南*[在 中管理主體檢查的考量事項 AWS WAF](web-acl-setting-body-inspection-limit.md)》中的 。

1. 在**政策規則**下，新增 AWS WAF 您要在 Web ACL 中第一個和最後一個評估的規則群組。若要使用 AWS WAF 受管規則群組版本控制，請切換**啟用版本控制**。個別帳戶管理員可以在第一個規則群組和最後一個規則群組之間新增規則和規則群組。如需在 Firewall Manager 政策中使用 AWS WAF 規則群組的詳細資訊 AWS WAF，請參閱 [搭配 Firewall Manager 使用 AWS WAF 政策](waf-policies.md)。

   （選用） 若要自訂 Web ACL 使用規則群組的方式，請選擇**編輯**。以下是常見的自訂設定：
   + 對於受管規則群組，覆寫部分或全部規則的規則動作。如果您未定義規則的覆寫動作，評估會使用規則群組內定義的規則動作。如需此選項的相關資訊，請參閱《 *AWS WAF 開發人員指南*》[在 中覆寫規則群組動作 AWS WAF](web-acl-rule-group-override-options.md)中的 。
   + 有些受管規則群組會要求您提供額外的組態。請參閱受管規則群組提供者的文件。如需 AWS 受管規則規則群組的特定資訊，請參閱《 *AWS WAF 開發人員指南*[AWS 的受管規則 AWS WAF](aws-managed-rule-groups.md)》中的 。

   完成設定後，請選擇**儲存規則**。

1. 設定 Web ACL 的預設動作。這是 AWS WAF 在 Web 請求不符合 Web ACL 中的任何規則時所採取的動作。您可以使用**「允許**」動作或「**封鎖**」動作的自訂回應來新增自訂標頭。如需預設 Web ACL 動作的詳細資訊，請參閱 [在 中設定保護套件 (Web ACL) 預設動作 AWS WAF](web-acl-default-action.md)。如需設定自訂 Web 請求和回應的資訊，請參閱 [中的自訂 Web 請求和回應 AWS WAF](waf-custom-request-response.md)。

1. 針對**記錄組態**，選擇**啟用記錄**以開啟記錄。記錄提供有關 Web ACL 分析流量的詳細資訊。選擇**記錄目的地**，然後選擇您設定的記錄目的地。您必須選擇名稱開頭為 的記錄目的地`aws-waf-logs-`。如需設定 AWS WAF 記錄目的地的詳細資訊，請參閱 [搭配 Firewall Manager 使用 AWS WAF 政策](waf-policies.md)。

1. (選用) 如果您不想要特定欄位及其值包含在日誌中，請編寫這些欄位。選擇要編寫的欄位，然後選擇**新增**。重複其他需要編寫的欄位。在日誌中編寫的欄位顯示為 `REDACTED`。例如，如果您修訂 **URI** 欄位，日誌中的 **URI** 欄位將為 `REDACTED`。

1. （選用） 如果您不想將所有請求傳送至日誌，請新增您的篩選條件和行為。在**篩選日誌**下，針對您要套用的每個篩選條件，選擇**新增篩選條件**，然後選擇篩選條件，並指定是否要保留或捨棄符合條件的請求。當您完成新增篩選條件時，如有需要，請修改**預設記錄行為**。如需詳細資訊，請參閱《AWS WAF 開發人員指南》**中的 [尋找您的保護套件 (Web ACL) 記錄](logging-management.md)。

1. 您可以定義**權杖網域清單**，以在受保護的應用程式之間啟用權杖共用。當您使用 AWS 受管規則規則群組進行 AWS WAF 詐騙控制帳戶接管預防 (ATP) 和 AWS WAF 機器人控制時， CAPTCHA和 Challenge動作以及您實作的應用程式整合 SDKs 會使用字符。

   不允許公有字尾。例如，您無法使用 `gov.au`或 `co.uk`做為字符網域。

   根據預設， 僅 AWS WAF 接受受保護資源的網域的權杖。如果您在此清單中新增權杖網域， 會 AWS WAF 接受清單中所有網域的權杖，以及相關資源的網域的權杖。如需詳細資訊，請參閱《AWS WAF 開發人員指南》**中的 [AWS WAF 保護套件 (Web ACL) 權杖網域清單組態](waf-tokens-domains.md#waf-tokens-domain-lists)。

   當您編輯現有的 Web ACL 時，您只能變更 Web ACL 的 CAPTCHA 和挑戰**抗擾性時間**。您可以在 Firewall Manager **政策詳細資訊**頁面下找到這些設定。如需這些設定的資訊，請參閱 [在 中設定時間戳記過期和字符豁免時間 AWS WAF](waf-tokens-immunity-times.md)。如果您在現有政策中更新**關聯組態**、**CAPTCHA**、**挑戰**或**權杖網域清單**設定，則 Firewall Manager 會使用新值覆寫本機 Web ACLs。不過，如果您未更新政策的**關聯組態**、**CAPTCHA**、**挑戰**或**字符網域清單**設定，則本機 Web ACLs中的值將保持不變。如需此選項的相關資訊，請參閱《 *AWS WAF 開發人員指南*[CAPTCHA 和 Challenge 中的 AWS WAF](waf-captcha-and-challenge.md)》中的 。

1. 在 **Web ACL 管理**下，選擇 Firewall Manager 如何管理 Web ACL 建立和清除。

   1. 針對**管理未關聯的 Web ACLs**，選擇 Firewall Manager 是否管理未關聯的 Web ACLs。使用此選項時，防火牆管理員只會在至少一個資源將使用 Web ACLs 的情況下，為政策範圍內的帳戶建立 Web ACLs。當帳戶進入政策範圍時，如果至少一個資源將使用它，防火牆管理員會自動在帳戶中建立 Web ACL。

      當您啟用此選項時，防火牆管理員會在您的帳戶中執行一次性未關聯的 Web ACLs 清除。清除程序可能需要幾個小時。如果資源在 Firewall Manager 建立 Web ACL 後離開政策範圍，則 Firewall Manager 會取消資源與 Web ACL 的關聯，但不會清除未關聯的 Web ACL。Firewall Manager 只有在您第一次在政策中啟用管理未關聯的 Web ACLs 時，才會清除未關聯的 Web ACLs。

   1. 針對 **Web ACL 來源**，指定要為範圍內資源建立所有新的 Web ACLs，還是盡可能修改現有的 Web ACLs。Firewall Manager 可以修改範圍內帳戶擁有ACLs。

      預設行為是建立新的 Web ACLs。如果您選擇這麼做，則由 Firewall Manager 管理的所有 Web ACLs 都將具有開頭為 的名稱`FMManagedWebACLV2`。如果您選擇新增現有的 Web ACLs，新增的 Web ACLs 將具有以 開頭的名稱`FMManagedWebACLV2`。

1. 對於**政策動作**，如果您想要在組織的每個適用帳戶中建立 Web ACL，但尚未將 Web ACL 套用至任何資源，請選擇**識別不符合政策規則的資源，但不會自動修復**，也不要選擇**管理未關聯的 Web ACLs**。您可以稍後變更這些選項。

   如果您要改為自動將政策套用至現有的範圍內資源，請選擇 **Auto remediate any noncompliant resources (自動修補任何不合規的資源)**。如果停用**管理未關聯的 Web ACLs**，則**自動修復任何不合規的資源**選項會在組織的每個適用帳戶中建立 Web ACL，並將 Web ACL 與帳戶中的資源建立關聯。如果啟用**管理未關聯的 Web ACLs**，則**自動修復任何不合規的資源**選項只會在具有與 Web ACL 關聯資格的帳戶中建立和關聯 Web ACL。

   當您選擇**自動修復任何不合規的資源**時，您也可以選擇移除範圍內資源的現有 Web ACL 關聯，以便使用非由其他作用中 Firewall Manager 政策管理ACLs。如果您選擇此選項，防火牆管理員會先將政策的 Web ACL 與 資源建立關聯，然後移除先前的關聯。如果資源與另一個由不同作用中 Firewall Manager 政策管理的 Web ACL 有關聯，則此選項不會影響該關聯。

1. 選擇**下一步**。

1. 對於**AWS 帳戶 此政策適用於** ，請選擇 選項，如下所示：
   + 如果您想要將政策套用至組織中的所有帳戶，請保留預設選擇：**包含 AWS 組織下的所有帳戶**。
   + 如果您只想將政策套用至特定帳戶或位於特定 AWS Organizations 組織單位 (OUs) 的帳戶，請選擇**僅包含指定的帳戶和組織單位**，然後新增您要包含的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。
   + 如果您想要將政策套用至特定帳戶或 AWS Organizations 組織單位 (OU) 以外的所有人，請選擇 **Exclude the specified accounts and organizational units, and include all others (排除指定的帳戶和組織單位，並包含所有其他人)**，然後新增您要排除的帳戶和 OU。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。

   您只能選擇一個選項。

   套用政策後，防火牆管理員會自動根據您的設定評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用到任何新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 OUs 時，防火牆管理員會自動將政策套用至新帳戶。

1. 針對 **Resource type (資源類型)**，請選擇您要保護的資源類型。

1. 對於 **資源**，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除，但不能同時使用兩者。如需定義政策範圍之標籤的詳細資訊，請參閱 [使用 AWS Firewall Manager 政策範圍](policy-scope.md)。

   資源標籤只能有非空值。如果您省略標籤的值， Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

1. 選擇**下一步**。

1. 針對**政策標籤**，新增您要新增至 Firewall Manager 政策資源的任何識別標籤。如需標籤的詳細資訊，請參閱[使用標籤編輯器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。

1. 選擇**下一步**。

1. 檢閱新的政策設定，並返回您需要進行任何調整的任何頁面。

   當您滿意時，選擇 **建立政策**。在**AWS Firewall Manager 政策**窗格中，應該列出您的政策。它可能會在帳戶標題下指出**待定**，並指出**自動修復**設定的狀態。原則可能需要幾分鐘的時間建立。在 **Pending (待定)** 狀態被帳戶計數取代後，您可以選擇政策名稱，以探索帳戶和資源的合規狀態。如需相關資訊，請參閱[檢視 AWS Firewall Manager 政策的合規資訊](fms-compliance.md)。

## 為 AWS WAF Classic 建立 AWS Firewall Manager 政策
<a name="creating-firewall-manager-policy-for-classic-waf"></a>

**為 AWS WAF Classic 建立 Firewall Manager 政策 （主控台）**

1.  AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
**注意**  
如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。

1. 在導覽窗格中，選擇 **Security policies (安全群組政策)**。

1. 選擇**建立政策**。

1. 針對 **Policy type (政策類型)**，選擇 **AWS WAF Classic**。

1. 如果您已建立要新增至政策的 AWS WAF Classic 規則群組，請選擇**建立 AWS Firewall Manager 政策並新增現有的規則群組**。如果您想要建立新的規則群組，請選擇**建立防火牆管理員政策並新增新的規則群組**。

1. 針對**區域**，選擇 AWS 區域。若要保護 Amazon CloudFront 資源，請選擇**全域**。

   若要保護多個區域中的資源 (CloudFront 資源除外），您必須為每個區域建立個別的 Firewall Manager 政策。

1. 選擇**下一步**。

1. 如果您要建立一個規則群組，則遵循[建立 AWS WAF Classic 規則群組](classic-create-rule-group.md)的指示。在您建立規則群組，請繼續執行以下步驟。

1. 輸入政策名稱。

1. 如果您要新增現有的規則群組，請使用下拉式功能表選取要新增的規則群組，然後選擇 [**新增規則群組**]。

1. 政策有兩種動作：**規則群組這定的動作**和**計數**。如果您想要測試政策和規則群組，設定動作為**計數**。這個動作覆寫任何由規則群組中的規則所指定的*封鎖*動作。也就是說，如果政策的動作是設定為**計數**，只會計算請求，而不會封鎖請求。反之，如果您設定政策的動作為**規則群組設定的動作**，則會使用該規則群組規則的動作。選擇適當動作。

1. 選擇**下一步**。

1. 對於**AWS 帳戶 此政策適用於** ，請選擇 選項，如下所示：
   + 如果您想要將政策套用至組織中的所有帳戶，請保留預設選擇：**包含 AWS 組織下的所有帳戶**。
   + 如果您只想將政策套用至特定帳戶或位於特定 AWS Organizations 組織單位 (OUs) 的帳戶，請選擇**僅包含指定的帳戶和組織單位**，然後新增您要包含的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。
   + 如果您想要將政策套用至一組特定帳戶或 AWS Organizations 組織單位 (OUs) 以外的所有帳戶或組織單位，請選擇**排除指定的帳戶和組織單位，並包含所有其他**帳戶，然後新增您要排除的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。

   您只能選擇一個選項。

   套用政策後，防火牆管理員會自動根據您的設定評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用到任何新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 OUs 時，防火牆管理員會自動將政策套用至新帳戶。

1. 選擇您要保護的資源類型。

1. 針對 **資源**，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除，但不能同時使用兩者。如需定義政策範圍之標籤的詳細資訊，請參閱 [使用 AWS Firewall Manager 政策範圍](policy-scope.md)。

   資源標籤只能有非空值。如果您省略標籤的值， Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

1. 如果您想自動套用政策到現有的資源，請選擇**建立和套用此政策到現有的和新的資源**。

   此選項是在 AWS 組織內每個可用帳戶中，建立 Web ACL，並將 Web ACL 關聯至帳戶中的資源。此選項還會將政策套用到與前述條件 (資源類型和標籤) 符合的所有新的資源。或者，如果您選擇 **Create policy but do not apply the policy to existing or new resources (建立政策，但不套用政策到現有或新的資源)**，防火牆管理員在組織內每個可用帳戶內建立 Web ACL，但不套用 Web ACL 到任何資源。之後，您必須將政策套用到資源。選擇適當選項。

1. 對於 [**取代現有相關聯的 Web ACL**]，您可以選擇移除目前為範圍內資源定義的任何 Web ACL 關聯，然後使用以此政策建立的 Web ACL 關聯來取代它們。根據預設，防火牆管理員不會在新增 Web ACL 關聯之前移除現有的 Web ACL 關聯。如果您要移除現有的 Web ACL 關聯，請選擇此選項。

1. 選擇**下一步**。

1. 檢視新政策。若要修改，選擇**編輯**。當您滿意政策時，選擇 **Create and apply policy (建立和套用政策)**。

## 為 建立 AWS Firewall Manager 政策 AWS Shield Advanced
<a name="creating-firewall-manager-policy-for-shield-advanced"></a>

**建立 Shield Advanced 的 Firewall Manager 政策 （主控台）**

1.  AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
**注意**  
如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。

1. 在導覽窗格中，選擇 **Security policies (安全群組政策)**。

1. 選擇**建立政策**。

1. 針對**政策類型**，選擇 **Shield Advanced**。

   若要建立 Shield Advanced 政策，您必須訂閱 Shield Advanced。如果您未訂閱，系統會提示您訂閱。如需訂閱成本的相關資訊，請參閱 [AWS Shield Advanced 定價](https://aws.amazon.com/shield/pricing/)。

1. 針對**區域**，選擇 AWS 區域。若要保護 Amazon CloudFront 分佈，請選擇**全域**。

   對於 **Global** 以外的區域選擇，若要保護多個區域中的資源，您必須為每個區域建立個別的 Firewall Manager 政策。

1. 選擇**下一步**。

1. 針對**名稱**，輸入描述性名稱。

1. 僅針對**全球**區域政策，您可以選擇是否要管理 Shield Advanced 自動應用程式層 DDoS 緩解措施。如需此 Shield Advanced 功能的詳細資訊，請參閱 [使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)。

   您可以選擇啟用或停用自動緩解，也可以選擇忽略它。如果您選擇忽略它，防火牆管理員完全不會管理 Shield Advanced 保護的自動緩解措施。如需這些政策選項的詳細資訊，請參閱 [搭配 Firewall Manager Shield Advanced 政策使用自動應用程式層 DDoS 緩解](shield-policies-auto-app-layer-mitigation.md)。

1. 在 **Web ACL 管理**下，如果您希望 Firewall Manager 管理未關聯的 Web ACLs，請啟用**管理未關聯的 Web ACLs**。使用此選項時， Firewall Manager 僅在至少有一個資源將使用 Web ACLs 時，才會在政策範圍內的帳戶中建立 Web ACLs。如果帳戶在任何時候進入政策範圍，且至少有一個資源將使用 Web ACL，則 Firewall Manager 會自動在帳戶中建立 Web ACL。啟用此選項後， Firewall Manager 會在您的帳戶中執行一次性未關聯的 Web ACLs 清除。清除程序可能需要幾個小時的時間。如果資源在 Firewall Manager 建立 Web ACL 後離開政策範圍，則 Firewall Manager 不會取消資源與 Web ACL 的關聯。若要在一次性清除中包含 Web ACL，您必須先手動取消資源與 Web ACL 的關聯，然後啟用**管理未關聯的 Web ACLs**。

1. 對於**政策動作**，我們建議您使用不會自動修復不合規資源的選項來建立政策。當您停用自動修復時，您可以在套用新政策之前評估其效果。當您滿意變更是您想要的時，請編輯政策並變更政策動作以啟用自動修復。

   如果您要改為自動將政策套用至現有的範圍內資源，請選擇 **Auto remediate any noncompliant resources (自動修補任何不合規的資源)**。此選項會將 Shield Advanced 保護套用至 AWS 組織內每個適用的帳戶，以及帳戶中每個適用的資源。

   僅適用於**全球**區域政策，如果您選擇**自動修復任何不合規的資源**，您也可以選擇讓 Firewall Manager 自動將任何現有的 AWS WAF Classic Web ACL 關聯取代為使用最新版本 AWS WAF (v2) 建立的 Web ACLs 的新關聯。如果您選擇這麼做， Firewall Manager 會移除與舊版 Web ACLs關聯，並在任何尚未擁有政策的範圍內帳戶中建立新的空白 Web ACLs 之後，建立與最新版本 Web ACLs 的新關聯。如需有關此選項的詳細資訊，請參閱 [將 AWS WAF Classic Web ACLs取代為最新版本ACLs](shield-policies-auto-app-layer-mitigation.md#shield-policies-auto-app-layer-update-waf-version)。

1. 選擇**下一步**。

1. 對於**AWS 帳戶 此政策適用於** ，請選擇 選項，如下所示：
   + 如果您想要將政策套用到組織中的所有帳戶，請保留預設選擇：**包含組織 AWS 下的所有帳戶**。
   + 如果您只想將政策套用至特定帳戶或位於特定 AWS Organizations 組織單位 (OUs) 的帳戶，請選擇**僅包含指定的帳戶和組織單位**，然後新增您要包含的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。
   + 如果您想要將政策套用至一組特定帳戶或 AWS Organizations 組織單位 (OUs) 以外的所有帳戶或組織單位，請選擇**排除指定的帳戶和組織單位，並包含所有其他**帳戶，然後新增您要排除的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。

   您只能選擇一個選項。

   套用政策後，防火牆管理員會自動根據您的設定評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用到任何新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 OUs 時，防火牆管理員會自動將政策套用至新帳戶。

1. 選擇您要保護的資源類型。

   Firewall Manager 不支援 Amazon Route 53 或 AWS Global Accelerator。如果您需要使用 Shield Advanced 來保護這些服務的資源，則無法使用 Firewall Manager 政策。相反地，請遵循 的 Shield Advanced 指引[為 AWS 資源新增 AWS Shield Advanced 保護](configure-new-protection.md)。

1. 對於 **資源**，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除，但不能同時使用兩者。如需定義政策範圍之標籤的詳細資訊，請參閱 [使用 AWS Firewall Manager 政策範圍](policy-scope.md)。

   資源標籤只能有非空值。如果您省略標籤的值， Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

1. 選擇**下一步**。

1. 針對**政策標籤**，新增您要新增至 Firewall Manager 政策資源的任何識別標籤。如需標籤的詳細資訊，請參閱[使用標籤編輯器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。

1. 選擇**下一步**。

1. 檢閱新的政策設定，並返回您需要進行任何調整的任何頁面。

   當您滿意時，選擇 **建立政策**。在**AWS Firewall Manager 政策**窗格中，應該列出您的政策。它可能會指出帳戶標題下的**待**定，並指出**自動修復**設定的狀態。原則可能需要幾分鐘的時間建立。在 **Pending (待定)** 狀態被帳戶計數取代後，您可以選擇政策名稱，以探索帳戶和資源的合規狀態。如需相關資訊，請參閱[檢視 AWS Firewall Manager 政策的合規資訊](fms-compliance.md)。

## 建立 AWS Firewall Manager 常見的安全群組政策
<a name="creating-firewall-manager-policy-common-security-group"></a>

如需常見安全群組政策如何運作的資訊，請參閱 [搭配 Firewall Manager 使用常見的安全群組政策](security-group-policies-common.md)。

若要建立常見的安全群組政策，您必須已在 Firewall Manager 管理員帳戶中建立安全群組，以便將其用作政策的主要帳戶。您可以透過 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon EC2) 管理安全群組。如需詳細資訊，請參閱《*Amazon VPC 使用者指南*》中的[使用安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)。

**若要建立常見安全群組政策 (主控台)**

1.  AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
**注意**  
如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。

1. 在導覽窗格中，選擇 **Security policies (安全群組政策)**。

1. 選擇**建立政策**。

1. 對於 **Policy type (政策類型)**，選擇 **Security group (安全群組)**。

1. 對於 **Security group policy type (安全群組類型)**，選擇 **Common security groups (常見安全群組)**。

1. 針對**區域**，選擇 AWS 區域。

1. 選擇**下一步**。

1. 對於 **Policy name (政策名稱)**，輸入易記的名稱。

1. 對於 **Policy rules (政策規則)**，執行下列操作：

   1. 從規則選項中，選擇您要套用至安全群組規則的限制，以及政策範圍內的資源。如果您選擇**將標籤從主要安全群組分佈到此政策建立的安全群組**，則您也必須選取**識別並報告此政策建立的安全群組何時不合規**。
**重要**  
Firewall Manager 不會將 AWS 服務新增的系統標籤分發至複本安全群組。系統標籤以 `aws:` 字首開頭。此外，如果政策的標籤與組織的標籤政策衝突，則 Firewall Manager 不會更新現有安全群組的標籤，也不會建立新的安全群組。如需標籤政策的相關資訊，請參閱 AWS Organizations 《 使用者指南》中的[標籤政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html)。

      如果您選擇**將安全群組參考從主要安全群組分發至此政策建立的安全群組**，則 Firewall Manager 只會在安全群組參考在 Amazon VPC 中具有作用中的對等互連連線時，才會將安全群組參考分發。如需此選項的詳細資訊，請參閱[搭配 Firewall Manager 使用常見的安全群組政策](security-group-policies-common.md)。

   1. 針對**主要安全群組**，選擇**新增安全群組**，然後選擇您要使用的安全群組。Firewall Manager 會填入 Firewall Manager 管理員帳戶中所有 Amazon VPC 執行個體的安全群組清單。

      根據預設，每個政策的主要安全群組數量上限為 3。如需有關此設定的詳細資訊，請參閱 [AWS Firewall Manager 配額](fms-limits.md)。

   1. 對於 **Policy action (政策動作)**，我們建議建立包含不自動修補選項的政策。這可讓您在套用新政策之前評估其效用。當您確認這些變更正是您所需的時，請編輯政策並變更政策動作，以啟用不合規資源的自動修補。

1. 選擇**下一步**。

1. 對於**AWS 帳戶 此政策適用於** ，請選擇 選項，如下所示：
   + 如果您想要將政策套用至組織中的所有帳戶，請保留預設選擇：**包含 AWS 組織下的所有帳戶**。
   + 如果您只想將政策套用至特定帳戶或位於特定 AWS Organizations 組織單位 (OUs) 的帳戶，請選擇**僅包含指定的帳戶和組織單位**，然後新增您要包含的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。
   + 如果您想要將政策套用至一組特定帳戶或 AWS Organizations 組織單位 (OUs) 以外的所有帳戶或組織單位，請選擇**排除指定的帳戶和組織單位，並包含所有其他**帳戶，然後新增您要排除的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。

   您只能選擇一個選項。

   套用政策後，防火牆管理員會自動根據您的設定評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用到任何新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 OUs 時，防火牆管理員會自動將政策套用至新帳戶。

1. 針對 **Resource type (資源類型)**，請選擇您要保護的資源類型。

   對於資源類型 **EC2 執行個體**，您可以選擇修復所有 Amazon EC2 執行個體，或僅修復只有預設主要彈性網路界面 (ENI) 的執行個體。對於後者選項，防火牆管理員不會修復具有其他 ENI 附件的執行個體。相反地，啟用自動修復時，防火牆管理員只會標記這些 EC2 執行個體的合規狀態，而不會套用任何修復動作。請參閱 Amazon EC2 資源類型的其他注意事項和限制[安全群組政策警告和限制](security-group-policies.md#security-groups-limitations)。

1. 對於 **資源**，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除，但不能同時使用兩者。如需定義政策範圍之標籤的詳細資訊，請參閱 [使用 AWS Firewall Manager 政策範圍](policy-scope.md)。

   資源標籤只能有非空值。如果您省略標籤的值， Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

1. 對於**共用的 VPC 資源**，如果您想要在共用 VPC 中將政策套用至資源，除了帳戶擁有的 VPC 之外，請選取 **Include resources from shared VPCs (包含來自共用 VPC 的資源)**。

1. 選擇**下一步**。

1. 檢閱政策設定，以確保其為您所需的設定，然後選擇 **Create policy (建立政策)**。

Firewall Manager 會在範圍內帳戶內包含的每個 Amazon VPC 執行個體中建立主要安全群組的複本，最高可達每個帳戶支援的 Amazon VPC 最大配額。Firewall Manager 會將複本安全群組與每個範圍內帳戶的政策範圍內的資源建立關聯。如需此政策如何運作的詳細資訊，請參閱 [搭配 Firewall Manager 使用常見的安全群組政策](security-group-policies-common.md)。

## 建立 AWS Firewall Manager 內容稽核安全群組政策
<a name="creating-firewall-manager-policy-audit-security-group"></a>

如需內容稽核安全群組政策如何運作的資訊，請參閱 [搭配 Firewall Manager 使用內容稽核安全群組政策](security-group-policies-audit.md)。

對於某些內容稽核政策設定，您必須為 Firewall Manager 提供稽核安全群組，以用作範本。例如，您可能有一個稽核安全群組，其中包含任何安全群組中不允許的所有規則。您必須使用 Firewall Manager 管理員帳戶建立這些稽核安全群組，才能在政策中使用它們。您可以透過 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon EC2) 管理安全群組。如需詳細資訊，請參閱《*Amazon VPC 使用者指南*》中的[使用安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)。

**若要建立內容稽核安全群組政策 (主控台)**

1.  AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
**注意**  
如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。

1. 在導覽窗格中，選擇 **Security policies (安全群組政策)**。

1. 選擇**建立政策**。

1. 對於 **Policy type (政策類型)**，選擇 **Security group (安全群組)**。

1. 對於 **Security group policy type (安全群組政策類型)**，選擇 **Auditing and enforcement of security group rules (稽核和強制執行安全群組規則)**。

1. 針對**區域**，選擇 AWS 區域。

1. 選擇**下一步**。

1. 對於 **Policy name (政策名稱)**，輸入易記的名稱。

1. 針對**政策規則**，選擇您要使用的受管或自訂政策規則選項。

   1. 對於**設定受管稽核政策規則**，請執行下列動作：

      1. 針對**設定要稽核的安全群組規則**，選取您希望稽核政策套用的安全群組規則類型。

      1. 如果您想要根據安全群組中的通訊協定、連接埠和 CIDR 範圍設定來執行稽核規則等作業，請選擇**稽核過度寬鬆的安全群組規則**，然後選取您想要的選項。

         對於選取**規則允許所有流量**，您可以提供自訂應用程式清單來指定您要稽核的應用程式。如需自訂應用程式清單以及如何在政策中使用它們的詳細資訊，請參閱 [使用受管清單](working-with-managed-lists.md)和 [使用受管清單](working-with-managed-lists.md#using-managed-lists)。

         對於使用通訊協定清單的選擇，您可以使用現有的清單，也可以建立新的清單。如需通訊協定清單以及如何在政策中使用它們的詳細資訊，請參閱 [使用受管清單](working-with-managed-lists.md)和 [使用受管清單](working-with-managed-lists.md#using-managed-lists)。

      1. 如果您想要根據其對預留或非預留 CIDR 範圍的存取權來稽核高風險，請選擇**稽核高風險應用程式**，然後選取您想要的選項。

         下列選擇是互斥的：**只能存取預留 CIDR 範圍的應用程式，**以及**允許存取非預留 CIDR 範圍的應用程式**。您最多可以在任何政策中選取其中一個政策。

         對於使用應用程式清單的選擇，您可以使用現有的清單，也可以建立新的清單。如需有關應用程式清單以及如何在政策中使用它們的資訊，請參閱 [使用受管清單](working-with-managed-lists.md)和 [使用受管清單](working-with-managed-lists.md#using-managed-lists)。

      1. 使用**覆寫**設定明確覆寫政策中的其他設定。您可以選擇一律允許或拒絕特定安全群組規則，無論規則是否符合您為政策設定的其他選項。

         針對此選項，您可以提供稽核安全群組做為允許的規則或拒絕規則範本。針對**稽核安全群組**，選擇**新增稽核安全群組**，然後選擇您要使用的安全群組。Firewall Manager 會填入 Firewall Manager 管理員帳戶中所有 Amazon VPC 執行個體的稽核安全群組清單。政策的稽核安全群組數目的預設限額為一個。如需增加配額的詳細資訊，請參閱[AWS Firewall Manager 配額](fms-limits.md)。

   1. 對於**設定自訂政策規則**，請執行下列動作：

      1. 從規則選項中，選擇是否只允許在稽核安全群組中定義的規則，或拒絕所有規則。如需此選項的詳細資訊，請參閱[搭配 Firewall Manager 使用內容稽核安全群組政策](security-group-policies-audit.md)。

      1. 針對**稽核安全群組**，選擇**新增稽核安全群組**，然後選擇您要使用的安全群組。Firewall Manager 會填入 Firewall Manager 管理員帳戶中所有 Amazon VPC 執行個體的稽核安全群組清單。政策的稽核安全群組數目的預設限額為一個。如需增加配額的詳細資訊，請參閱[AWS Firewall Manager 配額](fms-limits.md)。

      1. 對於 **Policy action (政策動作)**，您必須建立包含不自動修補選項的政策。這可讓您在套用新政策之前評估其效用。當您確認這些變更正是您所需的時，請編輯政策並變更政策動作，以啟用不合規資源的自動修補。

1. 選擇**下一步**。

1. 對於**AWS 帳戶 此政策適用於** ，請選擇 選項，如下所示：
   + 如果您想要將政策套用至組織中的所有帳戶，請保留預設選擇：**包含 AWS 組織下的所有帳戶**。
   + 如果您只想將政策套用至特定帳戶或位於特定 AWS Organizations 組織單位 (OUs) 的帳戶，請選擇**僅包含指定的帳戶和組織單位**，然後新增您要包含的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。
   + 如果您想要將政策套用至一組特定帳戶或 AWS Organizations 組織單位 (OUs) 以外的所有帳戶或組織單位，請選擇**排除指定的帳戶和組織單位，並包含所有其他**帳戶，然後新增您要排除的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。

   您只能選擇一個選項。

   套用政策後，防火牆管理員會自動根據您的設定評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用到任何新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 OUs 時，防火牆管理員會自動將政策套用至新帳戶。

1. 對於 **Resource type (資源類型)**，請選擇您要保護的資源類型。

1. 對於 **資源**，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除，但不能同時使用兩者。如需定義政策範圍之標籤的詳細資訊，請參閱 [使用 AWS Firewall Manager 政策範圍](policy-scope.md)。

   資源標籤只能有非空值。如果您省略標籤的值， Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

1. 選擇**下一步**。

1. 檢閱政策設定，以確保其為您所需的設定，然後選擇 **Create policy (建立政策)**。

Firewall Manager 會根據您的政策規則設定，將稽核安全群組與您組織中的範圍內安全群組 AWS 進行比較。您可以在政策主控台中檢閱 AWS Firewall Manager 政策狀態。建立政策後，您可以編輯該政策，並啟用自動修補，以使您的稽核安全群組政策生效。如需此政策如何運作的詳細資訊，請參閱 [搭配 Firewall Manager 使用內容稽核安全群組政策](security-group-policies-audit.md)。

## 建立 AWS Firewall Manager 用量稽核安全群組政策
<a name="creating-firewall-manager-policy-usage-security-group"></a>

如需用途稽核安全群組政策如何運作的資訊，請參閱 [搭配 Firewall Manager 使用用量稽核安全群組政策](security-group-policies-usage.md)。

**建立用途稽核安全群組政策 (主控台)**

1.  AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
**注意**  
如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。

1. 在導覽窗格中，選擇 **Security policies (安全群組政策)**。

1. 選擇**建立政策**。

1. 對於 **Policy type (政策類型)**，選擇 **Security group (安全群組)**。

1. 針對**安全群組政策類型**，選擇**未關聯和備援安全群組的稽核和清除**。

1. 針對**區域**，選擇 AWS 區域。

1. 選擇**下一步**。

1. 對於 **Policy name (政策名稱)**，輸入易記的名稱。

1. 對於 **Policy rules (政策規則)**，選擇一個可用的選項或兩者都選擇。
   + 如果您選擇**此政策範圍內的安全群組必須由至少一個資源使用**，則 Firewall Manager 會移除其確定未使用的任何安全群組。啟用此規則時，防火牆管理員會在您儲存政策時執行它。

     如需 Firewall Manager 如何判斷用量和修復時間的詳細資訊，請參閱 [搭配 Firewall Manager 使用用量稽核安全群組政策](security-group-policies-usage.md)。
**注意**  
當您使用此用量稽核安全群組政策類型時，請避免在短時間內對範圍內安全群組的關聯狀態進行多次變更。這樣做可能會導致 Firewall Manager 錯過對應的事件。

     根據預設，防火牆管理員會在安全群組未使用時，將安全群組視為不符合此政策規則。您可以選擇性地指定安全群組在被視為不合規之前可以存在未使用的分鐘數，最長可達 525，600 分鐘 (365 天）。您可以使用此設定，讓自己有時間將新的安全群組與 資源建立關聯。
**重要**  
如果您指定預設值為零以外的分鐘數，則必須在其中啟用間接關係 AWS Config。否則，您的用量稽核安全群組政策將無法如預期般運作。如需 中間接關係的相關資訊 AWS Config，請參閱《 *AWS Config 開發人員指南*》中的 [中的間接關係 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/faq.html#faq-2)。
   + 如果您選擇**此政策範圍內的安全群組必須是唯一的**，則 Firewall Manager 會合併備援安全群組，因此只有一個與任何資源相關聯。如果您選擇這麼做，則 Firewall Manager 會在您儲存政策時先執行它。

1. 對於 **Policy action (政策動作)**，我們建議建立包含不自動修補選項的政策。這可讓您在套用新政策之前評估其效用。當您確認這些變更正是您所需的時，請編輯政策並變更政策動作，以啟用不合規資源的自動修補。

1. 選擇**下一步**。

1. 對於**AWS 帳戶 此政策適用於** ，請選擇 選項，如下所示：
   + 如果您想要將政策套用至組織中的所有帳戶，請保留預設選擇：**包含 AWS 組織下的所有帳戶**。
   + 如果您只想將政策套用至特定帳戶或位於特定 AWS Organizations 組織單位 (OUs) 的帳戶，請選擇**僅包含指定的帳戶和組織單位**，然後新增您要包含的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。
   + 如果您想要將政策套用至除特定帳戶或 AWS Organizations 組織單位 (OUs) 以外的所有帳戶或組織單位，請選擇**排除指定的帳戶和組織單位，並包含所有其他**帳戶，然後新增您要排除的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。

   您只能選擇一個選項。

   套用政策後，防火牆管理員會自動根據您的設定評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用到任何新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 OUs 時，防火牆管理員會自動將政策套用至新帳戶。

1. 對於**資源**，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除，但不能同時使用兩者。如需定義政策範圍之標籤的詳細資訊，請參閱 [使用 AWS Firewall Manager 政策範圍](policy-scope.md)。

   資源標籤只能有非空值。如果您省略標籤的值， Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

1. 選擇**下一步**。

1. 如果您尚未從政策範圍中排除 Firewall Manager 管理員帳戶，則 Firewall Manager 會提示您執行此操作。這樣做會在您的手動控制下，離開 Firewall Manager 管理員帳戶中的安全群組，用於常見和稽核安全群組政策。在此對話方塊中選擇您想要的選項。

1. 檢閱政策設定，以確保其為您所需的設定，然後選擇 **Create policy (建立政策)**。

如果您選擇要求唯一的安全群組， Firewall Manager 會掃描每個範圍內 Amazon VPC 執行個體中的備援安全群組。然後，如果您選擇要求至少一個資源使用每個安全群組，則 Firewall Manager 會掃描在規則中指定的分鐘內保持未使用的安全群組。您可以在政策主控台中檢閱 AWS Firewall Manager 政策狀態。如需此政策如何運作的詳細資訊，請參閱 [搭配 Firewall Manager 使用用量稽核安全群組政策](security-group-policies-usage.md)。

## 建立 AWS Firewall Manager 網路 ACL 政策
<a name="creating-firewall-manager-policy-network-acl"></a>

如需有關網路 ACL 政策如何運作的詳細資訊，請參閱 [網路 ACL 政策](network-acl-policies.md)。

若要建立網路 ACL 政策，您必須知道如何定義要與 Amazon VPC 子網路搭配使用的網路 ACL。如需詳細資訊，請參閱《*Amazon VPC 使用者指南*》中的[使用網路 ACLs 控制子網路的流量](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)[和使用網路 ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks)。

**建立網路 ACL 政策 （主控台）**

1.  AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
**注意**  
如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。

1. 在導覽窗格中，選擇 **Security policies (安全群組政策)**。

1. 選擇**建立政策**。

1. 針對**政策類型**，選擇**網路 ACL**。

1. 針對**區域**，選擇 AWS 區域。

1. 選擇**下一步**。

1. 針對**政策名稱**，輸入描述性名稱。

1. 針對**政策規則**，定義您要一律在 Firewall Manager 為您管理的網路 ACLs 中執行的規則。網路 ACLs會監控和處理傳入和傳出流量，因此在您的政策中，您會定義兩個方向的規則。

   對於任一方向，您可以定義要一律先執行的規則，以及要一律最後執行的規則。在 Firewall Manager 管理的網路 ACLs 中，帳戶擁有者可以定義要在這些第一個和最後一個規則之間執行的自訂規則。

1. 針對**政策動作**，如果您想要識別不合規的子網路和網路 ACLs，但尚未採取任何修正動作，請選擇**識別不符合政策規則但尚未自動修復的資源**。您可以稍後變更這些選項。

   如果您想要自動將政策套用到現有的範圍內子網路，請選擇**自動修復任何不合規的資源**。使用此選項，您也可以指定是否在政策規則的流量處理行為與網路 ACL 中的自訂規則衝突時強制修復。無論您是否強制修復，防火牆管理員都會在其合規違規中報告衝突的規則。

1. 選擇**下一步**。

1. 對於**AWS 帳戶 此政策適用於** ，請選擇 選項，如下所示：
   + 如果您想要將政策套用至組織中的所有帳戶，請保留預設選擇：**包含 AWS 組織下的所有帳戶**。
   + 如果您只想將政策套用至特定帳戶或位於特定 AWS Organizations 組織單位 (OUs) 的帳戶，請選擇**僅包含指定的帳戶和組織單位**，然後新增您要包含的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。
   + 如果您想要將政策套用至一組特定帳戶或 AWS Organizations 組織單位 (OUs) 以外的所有帳戶或組織單位，請選擇**排除指定的帳戶和組織單位，並包含所有其他**帳戶和組織單位，然後新增您要排除的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。

   您只能選擇一個選項。

   套用政策後，防火牆管理員會自動根據您的設定評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用到任何不同的新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 OUs 時，防火牆管理員會自動將政策套用至新帳戶。

1. 對於**資源類型**，設定在**子網路中是固定的**。

1. 對於 **資源**，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除，但不能同時使用兩者。如需定義政策範圍之標籤的詳細資訊，請參閱 [使用 AWS Firewall Manager 政策範圍](policy-scope.md)。

   資源標籤只能有非空值。如果您省略標籤的值， Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

1. 選擇**下一步**。

1. 檢閱政策設定，以確保其為您所需的設定，然後選擇 **Create policy (建立政策)**。

Firewall Manager 會建立政策，並根據您的設定開始監控和管理範圍內的網路 ACLs。如需此政策如何運作的詳細資訊，請參閱 [網路 ACL 政策](network-acl-policies.md)。

## 為 建立 AWS Firewall Manager 政策 AWS Network Firewall
<a name="creating-firewall-manager-policy-for-network-firewall"></a>

在 Firewall Manager Network Firewall 政策中，您可以使用您在 中管理的規則群組 AWS Network Firewall。如需有關管理規則群組的資訊，請參閱 *Network Firewall 開發人員指南*中的[AWS Network Firewall 規則群組](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html)。

如需 Firewall Manager Network Firewall 政策的詳細資訊，請參閱 [在 Firewall Manager 中使用 AWS Network Firewall 政策](network-firewall-policies.md)。

**為 AWS Network Firewall （主控台） 建立 Firewall Manager 政策**

1.  AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
**注意**  
如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。

1. 在導覽窗格中，選擇 **Security policies (安全群組政策)**。

1. 選擇**建立政策**。

1. 針對**政策類型**，選擇 **AWS Network Firewall**。

1. 在**防火牆管理類型**下，選擇您希望 Firewall Manager 如何管理政策的防火牆。您可以從以下選項中選擇：
   + **分散式** - Firewall Manager 會在政策範圍內的每個 VPC 中建立和維護防火牆端點。
   +  **集中式** - Firewall Manager 會在單一檢查 VPC 中建立和維護端點。
   + **匯入現有防火牆** - Firewall Manager 使用資源集從 Network Firewall 匯入現有防火牆。如需資源集的資訊，請參閱 [在 Firewall Manager 中分組您的資源](fms-resource-sets.md)。

1. 針對**區域**，選擇 AWS 區域。若要保護多個區域中的資源，您必須為每個區域建立個別的政策。

1. 選擇**下一步**。

1. 針對**政策名稱**，輸入描述性名稱。Firewall Manager 會在其建立的 Network Firewall 防火牆和防火牆政策的名稱中包含政策名稱。

1. 在**AWS Network Firewall 政策組態**中，像在 Network Firewall 中一樣設定防火牆政策。新增無狀態和有狀態規則群組，並指定政策的預設動作。您可以選擇性地設定政策的狀態規則評估順序和預設動作，以及記錄組態。如需有關 Network Firewall 防火牆政策管理的資訊，請參閱《 *AWS Network Firewall 開發人員指南*》中的[AWS Network Firewall 防火牆政策](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html)。

   當您建立 Firewall Manager 網路防火牆政策時，防火牆管理員會為範圍內的帳戶建立防火牆政策。個別帳戶管理員可以將規則群組新增至防火牆政策，但無法變更您在此處提供的組態。

1. 選擇**下一步**。

1. 根據您在上一個步驟中選取的**防火牆管理類型**，執行下列其中一項操作：
   + 如果您使用的是**分散式**防火牆管理類型，請在**防火牆端點位置下的端點****AWS Firewall Manager 組態**中，選擇下列其中一個選項：
     + **自訂端點組態** - Firewall Manager 會在您指定的可用區域中，為政策範圍內的每個 VPC 建立防火牆。每個防火牆至少包含一個防火牆端點。
       + 在**可用區域**下，選取要在其中建立防火牆端點的可用區域。您可以依可用區域**名稱**或可用區域 **ID 選取可用區域**。
       + 如果您想要為 Firewall Manager 提供 CIDR 區塊，以用於 VPCs 中的防火牆子網路，它們必須是 /28 CIDR 區塊。每行輸入一個區塊。如果您省略這些項目，防火牆管理員會從 VPCs 中可用的 IP 地址中為您選擇 IP 地址。
**注意**  
 AWS Firewall Manager Network Firewall 政策會自動進行自動修復，因此您不會在此處看到選擇不自動修復的選項。
     + **自動端點組態 ** - Firewall Manager 會在 VPC 中具有公有子網路的可用區域中自動建立防火牆端點。
       + 針對**防火牆端點**組態，指定您希望防火牆端點如何由 Firewall Manager 管理。我們建議您使用多個端點以獲得高可用性。
   + 如果您使用的是**集中式**防火牆管理類型，請在檢查 VPC **AWS Firewall Manager 組態下的端點**組態中，輸入檢查 VPC 擁有者 AWS 的帳戶 ID，以及檢查 VPC 的 VPC ID。 ****
     + 在**可用區域**下，選取要在其中建立防火牆端點的可用區域。您可以依可用區域**名稱**或可用區域 **ID 選取可用區域**。
     + 如果您想要為 Firewall Manager 提供 CIDR 區塊，以用於 VPCs 中的防火牆子網路，它們必須是 /28 CIDR 區塊。每行輸入一個區塊。如果您省略這些項目，防火牆管理員會從 VPCs 中可用的 IP 地址中為您選擇 IP 地址。
**注意**  
 AWS Firewall Manager Network Firewall 政策會自動進行自動修復，因此您不會在此處看到選擇不自動修復的選項。
   + 如果您使用的是**匯入現有的防火牆**防火牆管理類型，請在**資源集中**新增一或多個資源集。資源集會定義組織帳戶擁有的現有 Network Firewall 防火牆，而您要在此政策中集中管理這些防火牆。若要將資源集新增至政策，您必須先使用主控台或 [PutResourceSet](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutResourceSet.html) API 建立資源集。如需資源集的詳細資訊，請參閱 [在 Firewall Manager 中分組您的資源](fms-resource-sets.md)。如需從 Network Firewall 匯入現有防火牆的詳細資訊，請參閱 [Firewall Manager 如何建立防火牆端點](fms-create-firewall-endpoints.md)。

1. 選擇**下一步**。

1. 如果您的政策使用分散式防火牆管理類型，請在**路由管理**下，選擇 Firewall Manager 是否監控和提醒必須透過個別防火牆端點路由的流量。
**注意**  
如果您選擇**監控**，您無法在日後將設定變更為**關閉**。監控會持續進行，直到您刪除政策為止。

1. 對於**流量類型**，選擇性地新增要透過 路由流量以進行防火牆檢查的流量端點。

1.  對於**允許必要的跨可用區域流量**，如果您啟用此選項，則 Firewall Manager 會將流量從可用區域傳送至沒有自己的防火牆端點的可用區域視為合規路由以進行檢查。具有端點的可用區域必須一律檢查自己的流量。

1. 選擇**下一步**。

1. 對於**政策範圍**，**AWS 帳戶 在此政策下適用於** ，選擇選項，如下所示：
   + 如果您想要將政策套用至組織中的所有帳戶，請保留預設選擇：**包含 AWS 組織下的所有帳戶**。
   + 如果您只想將政策套用至特定帳戶或位於特定 AWS Organizations 組織單位 (OUs) 的帳戶，請選擇**僅包含指定的帳戶和組織單位**，然後新增您要包含的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。
   + 如果您想要將政策套用至一組特定帳戶或 AWS Organizations 組織單位 (OUs) 以外的所有帳戶或組織單位，請選擇**排除指定的帳戶和組織單位，並包含所有其他**帳戶和組織單位，然後新增您要排除的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。

   您只能選擇一個選項。

   套用政策後，防火牆管理員會自動根據您的設定評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用到任何新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 OUs 時，防火牆管理員會自動將政策套用至新帳戶。

1. Network Firewall 政策**的資源類型**為 **VPC**。

1. 對於 **資源**，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除，但不能同時使用兩者。如需定義政策範圍之標籤的詳細資訊，請參閱 [使用 AWS Firewall Manager 政策範圍](policy-scope.md)。

   資源標籤只能有非空值。如果您省略標籤的值， Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

1. 選擇**下一步**。

1. 針對**政策標籤**，新增您要新增至 Firewall Manager 政策資源的任何識別標籤。如需標籤的詳細資訊，請參閱[使用標籤編輯器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。

1. 選擇**下一步**。

1. 檢閱新的政策設定，並返回您需要進行任何調整的任何頁面。

   當您滿意時，選擇 **建立政策**。在**AWS Firewall Manager 政策**窗格中，應該列出您的政策。它可能會在帳戶標題下指出**待定**，並指出**自動修復**設定的狀態。原則可能需要幾分鐘的時間建立。在 **Pending (待定)** 狀態被帳戶計數取代後，您可以選擇政策名稱，以探索帳戶和資源的合規狀態。如需相關資訊，請參閱[檢視 AWS Firewall Manager 政策的合規資訊](fms-compliance.md)。

## 建立 Amazon Route 53 Resolver DNS 防火牆 AWS Firewall Manager 的政策
<a name="creating-firewall-manager-policy-for-dns-firewall"></a>

在 Firewall Manager DNS Firewall 政策中，您可以使用您在 Amazon Route 53 Resolver DNS Firewall 中管理的規則群組。如需有關管理規則群組的資訊，請參閱《*Amazon Route 53 開發人員指南*》中的在 [DNS 防火牆中管理規則群組和規則](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-group-managing.html)。

如需 Firewall Manager DNS Firewall 政策的詳細資訊，請參閱 [在 Firewall Manager 中使用 Amazon Route 53 Resolver DNS 防火牆政策](dns-firewall-policies.md)。

**為 Amazon Route 53 Resolver DNS Firewall 建立 Firewall Manager 政策 （主控台）**

1.  AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
**注意**  
如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。

1. 在導覽窗格中，選擇 **Security policies (安全群組政策)**。

1. 選擇**建立政策**。

1. 針對**政策類型**，選擇 **Amazon Route 53 Resolver DNS 防火牆**。

1. 針對**區域**，選擇 AWS 區域。若要保護多個區域中的資源，您必須為每個區域建立個別的政策。

1. 選擇**下一步**。

1. 針對**政策名稱**，輸入描述性名稱。

1. 在政策組態中，新增您希望 DNS 防火牆在 VPCs規則群組關聯中評估第一個和最後一個規則群組。您最多可以將兩個規則群組新增至政策。

   當您建立 Firewall Manager DNS 防火牆政策時，防火牆管理員會為範圍內VPCs 和帳戶建立規則群組關聯，以及您提供的關聯優先順序。個別帳戶管理員可以在您的第一個和最後一個關聯之間新增規則群組關聯，但無法變更您在此處定義的關聯。如需詳細資訊，請參閱[在 Firewall Manager 中使用 Amazon Route 53 Resolver DNS 防火牆政策](dns-firewall-policies.md)。

1. 選擇**下一步**。

1. 對於**AWS 帳戶 此政策適用於** ，請選擇 選項，如下所示：
   + 如果您想要將政策套用至組織中的所有帳戶，請保留預設選擇：**包含 AWS 組織下的所有帳戶**。
   + 如果您只想將政策套用至特定帳戶或位於特定 AWS Organizations 組織單位 (OUs) 的帳戶，請選擇**僅包含指定的帳戶和組織單位**，然後新增您要包含的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。
   + 如果您想要將政策套用至一組特定帳戶或 AWS Organizations 組織單位 (OUs) 以外的所有帳戶或組織單位，請選擇**排除指定的帳戶和組織單位，並包含所有其他**帳戶，然後新增您要排除的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。

   您只能選擇一個選項。

   套用政策後，防火牆管理員會自動根據您的設定評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用到任何新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 OUs 時，防火牆管理員會自動將政策套用至新帳戶。

1. DNS 防火牆政策**的資源類型**為 **VPC**。

1. 針對 **資源**，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除，但不能同時使用兩者。如需定義政策範圍之標籤的詳細資訊，請參閱 [使用 AWS Firewall Manager 政策範圍](policy-scope.md)。

   資源標籤只能有非空值。如果您省略標籤的值， Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

1. 選擇**下一步**。

1. 針對**政策標籤**，新增您要新增至 Firewall Manager 政策資源的任何識別標籤。如需標籤的詳細資訊，請參閱[使用標籤編輯器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。

1. 選擇**下一步**。

1. 檢閱新的政策設定，並返回您需要進行任何調整的任何頁面。

   當您滿意時，選擇 **建立政策**。在**AWS Firewall Manager 政策**窗格中，應該列出您的政策。它可能會在帳戶標題下指出**待定**，並指出**自動修復**設定的狀態。原則可能需要幾分鐘的時間建立。在 **Pending (待定)** 狀態被帳戶計數取代後，您可以選擇政策名稱，以探索帳戶和資源的合規狀態。如需相關資訊，請參閱[檢視 AWS Firewall Manager 政策的合規資訊](fms-compliance.md)。

## 為 Palo Alto Networks 雲端 NGFW 建立 AWS Firewall Manager 政策
<a name="creating-cloud-ngfw-policy"></a>

透過 Palo Alto Networks Cloud 新一代防火牆 (Palo Alto Networks Cloud NGFW) 的 Firewall Manager 政策，您可以使用 Firewall Manager 部署 Palo Alto Networks Cloud NGFW 資源，並集中管理所有 AWS 帳戶的 NGFW 規則堆疊。

如需 Firewall Manager Palo Alto Networks 雲端 NGFW 政策的詳細資訊，請參閱 [使用 Firewall Manager 的 Palo Alto Networks 雲端 NGFW 政策](cloud-ngfw-policies.md)。如需有關如何設定和管理適用於 Firewall Manager 的 Palo Alto Networks Cloud NGFW 的資訊，請參閱 文件*[上的 Palo Alto Networks Palo Alto Networks Cloud NGFW AWS](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)*。

### 先決條件
<a name="complete-fms-prereq-cloud-ngfw"></a>

為 AWS Firewall Manager準備您的帳戶有幾個必要的步驟。[AWS Firewall Manager 先決條件](fms-prereq.md) 說明這些步驟。在繼續下一個步驟之前，請先完成所有先決條件。

**為 Palo Alto Networks Cloud NGFW 建立 Firewall Manager 政策 （主控台）**

1.  AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
**注意**  
如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。

1. 在導覽窗格中，選擇 **Security policies (安全群組政策)**。

1. 選擇**建立政策**。

1. 針對**政策類型**，選擇 **Palo Alto Networks Cloud NGFW**。如果您尚未在 AWS Marketplace 中訂閱 Palo Alto Networks 雲端 NGFW 服務，您必須先這麼做。若要在 AWS Marketplace 中訂閱，請選擇**檢視 AWS Marketplace 詳細資訊**。

1. 針對**部署模型**，選擇**分散式模型**或**集中式模型**。部署模型會決定 Firewall Manager 如何管理政策的端點。使用分散式模型時，防火牆管理員會在政策範圍內的每個 VPC 中維護防火牆端點。使用集中式模型，防火牆管理員會在檢查 VPC 中維護單一端點。

1. 針對**區域**，選擇 AWS 區域。若要保護多個區域中的資源，您必須為每個區域建立個別的政策。

1. 選擇**下一步**。

1. 針對**政策名稱**，輸入描述性名稱。

1. 在政策組態中，選擇要與此政策建立關聯的 Palo Alto Networks Cloud NGFW 防火牆政策。Palo Alto Networks Cloud NGFW 防火牆政策清單包含與 Palo Alto Networks Cloud NGFW 租用戶相關聯的所有 Palo Alto Networks Cloud NGFW 防火牆政策。如需建立和管理 Palo Alto Networks Cloud NGFW 防火牆政策的相關資訊，請參閱部署指南中的*[部署 Palo Alto Networks Cloud NGFW for AWS 與 AWS Firewall Manager](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/getting-started-with-cloud-ngfw-for-aws/deploy-cloud-ngfw-for-aws-with-the-aws-firewall-manager.html)* 主題。 * AWS *

1. 對於 **Palo Alto Networks Cloud NGFW 記錄 - 選用**，選擇性地選擇要為您的政策記錄的 Palo Alto Networks Cloud NGFW 日誌類型 (s)。如需有關 Palo Alto Networks 雲端 NGFW 日誌類型的資訊，請參閱[《Palo Alto Networks 雲端 NGFW》中的在 上設定 Palo Alto Networks 雲端 NGFW 的日誌 AWS](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/create-cloud-ngfw-instances-and-endpoints/configure-logging-for-the-cloud-ngfw-on-aws.html)*記錄以取得 AWS 部署指南*。

   對於**日誌目的地**，指定 Firewall Manager 應該寫入日誌的時間。

1. 選擇**下一步**。

1. 在**設定第三方防火牆端點**下，根據您使用的是分散式還是集中式部署模型來建立防火牆端點，執行下列其中一項作業：
   + 如果您使用此政策的分散式部署模型，請在**可用區域**下選取要建立防火牆端點的可用區域。您可以依可用區域**名稱**或可用區域 **ID 選取可用區域**。
   + 如果您使用此政策的集中式部署模型，請在**檢查 VPC** **AWS Firewall Manager 組態下的端點**組態中，輸入檢查 VPC 擁有者 AWS 的帳戶 ID，以及檢查 VPC 的 VPC ID。
     + 在**可用區域**下，選取要在其中建立防火牆端點的可用區域。您可以依可用區域**名稱**或可用區域 **ID 選取可用區域**。

1. 如果您想要為 Firewall Manager 提供 CIDR 區塊，以用於 VPCs 中的防火牆子網路，它們必須是 /28 CIDR 區塊。每行輸入一個區塊。如果您省略這些項目，防火牆管理員會從 VPCs 中可用的 IP 地址中為您選擇 IP 地址。
**注意**  
 AWS Firewall Manager Network Firewall 政策會自動進行自動修復，因此您不會在此處看到選擇不自動修復的選項。

1. 選擇**下一步**。

1. 對於**政策範圍**，**AWS 帳戶 在此政策下適用於** ，選擇選項，如下所示：
   + 如果您想要將政策套用至組織中的所有帳戶，請保留預設選擇：**包含 AWS 組織下的所有帳戶**。
   + 如果您只想將政策套用至特定帳戶或位於特定 AWS Organizations 組織單位 (OUs) 的帳戶，請選擇**僅包含指定的帳戶和組織單位**，然後新增您要包含的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。
   + 如果您想要將政策套用至除了一組特定帳戶或 AWS Organizations 組織單位 (OUs) 以外的所有帳戶或組織單位，請選擇**排除指定的帳戶和組織單位，並包含所有其他**帳戶，然後新增您要排除的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。

   您只能選擇一個選項。

   套用政策後，防火牆管理員會自動根據您的設定評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用到任何新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 OUs 時，防火牆管理員會自動將政策套用至新帳戶。

1. Network Firewall 政策**的資源類型**為 **VPC**。

1. 對於 **資源**，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除，但不能同時使用兩者。如需定義政策範圍之標籤的詳細資訊，請參閱 [使用 AWS Firewall Manager 政策範圍](policy-scope.md)。

   資源標籤只能有非空值。如果您省略標籤的值， Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

1. 針對**授予跨帳戶存取權**，選擇**下載 CloudFormation 範本**。這會下載您可用來建立 CloudFormation 堆疊的 CloudFormation 範本。此堆疊會建立 AWS Identity and Access Management 角色，授予 Firewall Manager 跨帳戶許可來管理 Palo Alto Networks Cloud NGFW 資源。如需堆疊的相關資訊，請參閱*CloudFormation 《 使用者指南*》中的[使用堆疊](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacks.html)。

1. 選擇**下一步**。

1. 針對**政策標籤**，新增您要新增至 Firewall Manager 政策資源的任何識別標籤。如需標籤的詳細資訊，請參閱[使用標籤編輯器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。

1. 選擇**下一步**。

1. 檢閱新的政策設定，並返回您需要進行任何調整的任何頁面。

   當您滿意時，選擇 **建立政策**。在**AWS Firewall Manager 政策**窗格中，應該列出您的政策。它可能會在帳戶標題下指出**待定**，並指出**自動修復**設定的狀態。原則可能需要幾分鐘的時間建立。在 **Pending (待定)** 狀態被帳戶計數取代後，您可以選擇政策名稱，以探索帳戶和資源的合規狀態。如需相關資訊，請參閱[檢視 AWS Firewall Manager 政策的合規資訊](fms-compliance.md)。

## 建立 Fortigate 雲端原生防火牆 (CNF) as a Service AWS Firewall Manager 的政策
<a name="creating-fortigate-cnf-policy"></a>

透過適用於 Fortigate CNF 的 Firewall Manager 政策，您可以使用 Firewall Manager 在所有 AWS 帳戶中部署和管理 Fortigate CNF 資源。

如需 Firewall Manager Fortigate CNF 政策的詳細資訊，請參閱 [使用 Fortigate 雲端原生防火牆 (CNF) 做為 Firewall Manager 的服務政策](fortigate-cnf-policies.md)。如需有關如何設定 Fortigate CNF 以搭配 Firewall Manager 使用的資訊，請參閱 [Fortinet 文件]( https://docs.fortinet.com/product/fortigate-cnf )。

### 先決條件
<a name="complete-fms-prereq-fortigate-cnf"></a>

為 AWS Firewall Manager準備您的帳戶有幾個必要的步驟。[AWS Firewall Manager 先決條件](fms-prereq.md) 說明這些步驟。在繼續下一個步驟之前，請先完成所有先決條件。

**為 Fortigate CNF 建立 Firewall Manager 政策 （主控台）**

1.  AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
**注意**  
如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。

1. 在導覽窗格中，選擇 **Security policies (安全群組政策)**。

1. 選擇**建立政策**。

1. 針對**政策類型**，選擇 **Fortigate Cloud Native Firewall (CNF) as a Service**。如果您尚未在 [AWS Marketplace 中訂閱 Fortigate CNF 服務](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i)，您必須先執行此操作。若要在 AWS Marketplace 中訂閱，請選擇**檢視 AWS Marketplace 詳細資訊**。

1. 針對**部署模型**，選擇**分散式模型**或**集中式模型**。部署模型會決定 Firewall Manager 如何管理政策的端點。使用分散式模型時，防火牆管理員會在政策範圍內的每個 VPC 中維護防火牆端點。使用集中式模型，防火牆管理員會在檢查 VPC 中維護單一端點。

1. 針對**區域**，選擇 AWS 區域。若要保護多個區域中的資源，您必須為每個區域建立個別的政策。

1. 選擇**下一步**。

1. 針對**政策名稱**，輸入描述性名稱。

1. 在政策組態中，選擇要與此政策建立關聯的 Fortigate CNF 防火牆政策。Fortigate CNF 防火牆政策清單包含與 Fortigate CNF 租用戶相關聯的所有 Fortigate CNF 防火牆政策。如需有關建立和管理 Fortigate CNF 租用戶的資訊，請參閱 [Fortinet 文件](https://docs.fortinet.com/product/fortigate-cnf)。

1. 選擇**下一步**。

1. 在**設定第三方防火牆端點**下執行下列其中一項操作，取決於您使用分散式或集中式部署模型來建立防火牆端點：
   + 如果您使用此政策的分散式部署模型，請在**可用區域**下選取要在其中建立防火牆端點的可用區域。您可以依可用區域**名稱**或可用區域 **ID 選取可用區域**。
   + 如果您使用此政策的集中式部署模型，請在**檢查 VPC** **AWS Firewall Manager 組態下的端點**組態中，輸入檢查 VPC 擁有者 AWS 的帳戶 ID，以及檢查 VPC 的 VPC ID。
     + 在**可用區域**下，選取要在其中建立防火牆端點的可用區域。您可以依可用區域**名稱**或可用區域 **ID 選取可用區域**。

1. 如果您想要為 Firewall Manager 提供 CIDR 區塊，以用於 VPCs 中的防火牆子網路，它們必須是 /28 CIDR 區塊。每行輸入一個區塊。如果您省略這些項目，防火牆管理員會從 VPCs 中可用的 IP 地址中為您選擇 IP 地址。
**注意**  
 AWS Firewall Manager Network Firewall 政策會自動進行自動修復，因此您不會在此處看到選擇不自動修復的選項。

1. 選擇**下一步**。

1. 對於**政策範圍**，**AWS 帳戶 在此政策下適用於** ，選擇 選項，如下所示：
   + 如果您想要將政策套用至組織中的所有帳戶，請保留預設選擇：**包含 AWS 組織下的所有帳戶**。
   + 如果您只想將政策套用到特定帳戶或位於特定 AWS Organizations 組織單位 (OUs) 的帳戶，請選擇**僅包含指定的帳戶和組織單位**，然後新增您要包含的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。
   + 如果您想要將政策套用至一組特定帳戶或 AWS Organizations 組織單位 (OUs) 以外的所有帳戶或組織單位，請選擇**排除指定的帳戶和組織單位，並包含所有其他**帳戶，然後新增您要排除的帳戶和 OUs。指定 OU 等同於指定 OU 及其任何子 OU 中的所有帳戶，包括稍後新增的任何子 OU 和帳戶。

   您只能選擇一個選項。

   套用政策後，防火牆管理員會自動根據您的設定評估任何新帳戶。例如，如果您只包含特定帳戶，則 Firewall Manager 不會將政策套用到任何新帳戶。另一個範例是，如果您包含 OU，當您將帳戶新增至 OU 或其任何子 OUs 時，防火牆管理員會自動將政策套用至新帳戶。

1. Network Firewall 政策**的資源類型**為 **VPC**。

1. 對於**資源**，您可以使用標記來縮小政策的範圍，方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除，但不能同時使用兩者。如需定義政策範圍之標籤的詳細資訊，請參閱 [使用 AWS Firewall Manager 政策範圍](policy-scope.md)。

   資源標籤只能有非空值。如果您省略標籤的值， Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

1. 針對**授予跨帳戶存取權**，選擇**下載 CloudFormation 範本**。這會下載您可用來建立 CloudFormation 堆疊的 CloudFormation 範本。此堆疊會建立 AWS Identity and Access Management 角色，授予 Firewall Manager 跨帳戶許可來管理 Fortigate CNF 資源。如需堆疊的相關資訊，請參閱*CloudFormation 《 使用者指南*》中的[使用堆疊](https://docs.aws.amazon.com/AWSCloudFormation/latest/gsg/stacks.html)。若要建立堆疊，您需要來自 Fortigate CNF 入口網站的帳戶 ID。

1. 選擇**下一步**。

1. 針對**政策標籤**，新增您要新增至 Firewall Manager 政策資源的任何識別標籤。如需標籤的詳細資訊，請參閱[使用標籤編輯器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。

1. 選擇**下一步**。

1. 檢閱新的政策設定，並返回您需要進行任何調整的任何頁面。

   當您滿意時，選擇 **建立政策**。在**AWS Firewall Manager 政策**窗格中，應該列出您的政策。它可能會在帳戶標題下指出**待定**，並指出**自動修復**設定的狀態。原則可能需要幾分鐘的時間建立。在 **Pending (待定)** 狀態被帳戶計數取代後，您可以選擇政策名稱，以探索帳戶和資源的合規狀態。如需相關資訊，請參閱[檢視 AWS Firewall Manager 政策的合規資訊](fms-compliance.md)。

# 刪除 AWS Firewall Manager 政策
<a name="policy-deleting"></a>

您可以執行以下步驟刪除防火牆管理員政策。

**刪除政策 (主控台)**

1. 在導覽窗格中，選擇 **Security policies (安全群組政策)**。

1. 選擇您要刪除的政策旁邊的選項。

1. 選擇 **刪除**。

**注意**  
當您刪除 Firewall Manager 常見安全群組政策時，若要移除政策的複本安全群組，請選擇清除政策所建立資源的選項。否則，刪除主要執行個體後，複本會保留，並在每個 Amazon VPC 執行個體中需要手動管理。

**重要**  
當您刪除 Firewall Manager Shield Advanced 政策時，政策會遭到刪除，但您的帳戶仍會訂閱 Shield Advanced。

# 使用 AWS Firewall Manager 政策範圍
<a name="policy-scope"></a>

此頁面說明什麼是 Firewall Manager 政策範圍及其運作方式。

政策範圍會定義政策適用的位置。您可以將集中控制的政策套用至：
+ 您組織內的所有帳戶和資源 AWS Organizations。
+ 組織中您帳戶和資源的子集 AWS Organizations。

如需如何設定政策範圍的指示，請參閱 [建立 AWS Firewall Manager 政策](create-policy.md)。

## 中的政策範圍選項 AWS Firewall Manager
<a name="when-in-scope"></a>

當您將新帳戶或資源新增至組織時，防火牆管理員會自動針對每個政策的設定進行評估，並根據這些設定套用政策。例如，您可以選擇將政策套用至指定清單中的帳號以外的所有帳戶。資源標籤也可以用來定義政策範圍。您可以選擇套用政策，方法是排除或包含具有清單中所有標籤的資源。或者，您可以選擇僅將政策套用至清單中具有任何指定標籤的資源。

**AWS 帳戶 範圍內**  
您提供的設定可定義受政策 AWS 帳戶 影響的 ，決定 AWS 組織中要套用政策的帳戶。您可以透過下列方式之一套用政策：
+ 套用至您組織中的所有帳戶
+ 僅套用至特定包含帳戶號碼與 AWS Organizations 組織單位 (OU) 的清單
+ 套用至特定排除帳戶號碼和 AWS Organizations 組織單位 (OU) 之外所有項目的清單

如需 的詳細資訊 AWS Organizations，請參閱 [AWS Organizations 使用者指南](https://docs.aws.amazon.com/organizations/latest/userguide/)。

**範圍內的資源**  
與範圍內帳戶的設定類似，您為資源提供的設定會決定要套用政策的目標範圍內資源類型。您可以選擇下列其中之一：
+ 所有 資源
+ 具有您指定之所有標籤的資源
+ 除了具有您指定之所有標籤的資源之外的所有資源
+ 只有具有您指定之任何標籤的資源
+ 除了具有您指定之任何標籤的資源之外的所有資源

您只能指定具有非空值的資源標籤。如果您未提供任何值， Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

如需標記資源的詳細資訊，請參閱[使用標籤編輯器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。

## 中的政策範圍管理 AWS Firewall Manager
<a name="when-out-of-scope"></a>

當政策到位時，防火牆管理員會根據政策範圍持續管理它們，並在新增它們時將其套用至新的 AWS 帳戶 和資源。

**Firewall Manager 如何管理 AWS 帳戶 和資源**  
如果帳戶或資源因任何原因超出範圍， AWS Firewall Manager 不會自動移除保護或刪除 Firewall Manager 管理的資源，除非您選取**自動移除離開政策範圍的資源保護**核取方塊。

**注意**  
選項 **自動移除離開政策範圍的資源保護**不適用於 AWS Shield Advanced 或 AWS WAF Classic 政策。

選取此核取方塊 AWS Firewall Manager 會指示 在這些帳戶離開政策範圍時，自動清除 Firewall Manager 為帳戶管理的資源。例如，當 Firewall Manager 離開政策範圍時，防火牆管理員會將 Firewall Manager 受管 Web ACL 與受保護的客戶資源取消關聯。

為了判斷當客戶資源離開政策範圍時，應該從保護中移除哪些資源， Firewall Manager 會遵循下列準則：
+ *預設行為*：
  + 已刪除相關聯的 AWS Config 受管規則。此行為與核取方塊無關。
  + 任何不包含任何資源的相關聯 AWS WAF Web 存取控制清單 (Web ACLs都會遭到刪除。此行為與核取方塊無關。
  + 超出範圍的任何受保護資源都會保持關聯和受保護。例如，與 Web ACL 相關聯的 Application Load Balancer 或來自 API Gateway 的 API 會保持與 Web ACL 的關聯，且保護仍然存在。
+ *在選取**政策範圍核取方塊的情況下，自動移除資源的保護***：
  + 已刪除相關聯的 AWS Config 受管規則。此行為與核取方塊無關。
  + 任何不包含任何資源的相關聯 AWS WAF Web 存取控制清單 (Web ACLs都會遭到刪除。此行為與核取方塊無關。
  + 超出範圍的任何受保護資源會在離開政策範圍時自動取消關聯並從 Firewall Manager 保護中移除。例如，對於安全群組政策，Elastic Inference 加速器或 Amazon EC2 執行個體會在離開政策範圍時自動與複寫的安全群組取消關聯。複寫的安全群組及其資源會自動從保護中移除。
  + 當成員帳戶離開範圍或刪除政策時，防火牆管理員會刪除記錄組態，無論資源清除選項值為何。

# 搭配 Firewall Manager 使用 AWS WAF 政策
<a name="waf-policies"></a>

本節說明如何搭配 Firewall Manager 使用 AWS WAF 政策。在 Firewall Manager AWS WAF 政策中，您可以指定要用來保護政策範圍內所有資源的 AWS WAF 規則群組。當您套用政策時，防火牆管理員會使用指定的規則群組和其他政策組態，開始管理範圍內資源ACLs。

您可以設定政策來建立和管理範圍內資源的所有新 Web ACLs，取代任何已在使用的 Web ACLs。或者，您可以設定政策以保留任何已與範圍內資源相關聯的 Web ACLs，並加以修改以供政策使用。使用第二個選項時，防火牆管理員只會為尚未具有 Web ACLs 關聯的資源建立新的 Web ACL。

無論如何建立，在 Firewall Manager 管理ACLs 中，除了您在 Firewall Manager 政策中定義的規則群組之外，個別帳戶還可以管理自己的規則和規則群組。

如需建立 Firewall Manager AWS WAF 政策的程序，請參閱 [為 建立 AWS Firewall Manager 政策 AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf)。

# AWS WAF 政策的規則群組管理
<a name="waf-policies-rule-groups"></a>

由 Firewall Manager AWS WAF 政策管理ACLs 包含三組規則。這些規則集為 Web ACL 中的規則和規則群組提供較高的優先順序：
+ 您在 Firewall Manager AWS WAF 政策中定義的第一個規則群組。 會先 AWS WAF 評估這些規則群組。
+ Web ACL 中的帳戶管理員所定義的規則和規則群組。 AWS WAF 接下來會評估所有帳戶管理的規則或規則群組。
+ 最後一個規則群組，由您在 Firewall Manager AWS WAF 政策中定義。 最後 AWS WAF 評估這些規則群組。

在每組規則中， 會根據規則的優先順序設定，照常 AWS WAF 評估規則和規則群組。

在政策的第一個和最後一個規則群組集中，您只能新增規則群組，而不是個別規則。您可以使用受管規則群組，由 AWS 受管規則和 AWS Marketplace 賣方為您建立和維護。您也可以管理和使用自己的規則群組。如需所有這些選項的詳細資訊，請參閱[AWS WAF 規則群組](waf-rule-groups.md)。

如果您想要使用自己的規則群組，請在建立 Firewall Manager AWS WAF 政策之前建立這些規則群組。如需準則，請參閱[管理您自己的規則群組](waf-user-created-rule-groups.md)。若要使用個別的自訂規則，您必須定義自己的規則群組、在該群組中定義規則，然後在政策中使用規則群組。

您透過 Firewall Manager 管理的第一個和最後一個 AWS WAF 規則群組的名稱分別以 `PREFMManaged-`或 開頭`POSTFMManaged-`，後面接著 Firewall Manager 政策名稱，以及規則群組建立時間戳記，以 UTC 毫秒為單位。例如 `PREFMManaged-MyWAFPolicyName-1621880555123`。

如需有關 如何 AWS WAF 評估 Web 請求的資訊，請參閱 [在 中使用保護套件 (Web ACLs) 搭配規則和規則群組 AWS WAF](web-acl-processing.md)。

Firewall Manager 會為您為 AWS WAF 政策定義的規則群組啟用取樣和 Amazon CloudWatch 指標。

個別帳戶擁有者可以完全控制其新增至政策受管 Web ACLs 之任何規則或規則群組的指標和抽樣組態。

**注意**  
如果您的成員帳戶中沒有 AWS WAF 市集規則群組的訂閱，則 Firewall Manager 無法將自訂或受管規則群組傳播至該帳戶。

# AWS WAF 政策的 Web ACL 管理
<a name="how-fms-manages-web-acls"></a>

Firewall Manager 會根據您的組態設定和一般政策管理，建立和管理範圍內資源ACLs。

**注意**  
如果由另一個 Firewall Manager Shield 政策設定[進階自動應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)的資源進入 AWS WAF 政策範圍，其中資源上的 Web ACL 是由該 Firewall Manager Shield 政策建立，則 Firewall Manager 將無法將 AWS WAF 政策保護套用至資源，並將資源標記為不合規。  
如果客戶手動將客戶擁有的 Web ACL 與資源建立關聯，則 Firewall Manager AWS WAF 政策仍會使用 Firewall Manager AWS WAF 政策 Web ACL 覆寫該客戶 Web ACL。

**管理未關聯的 Web ACLs組態**  
當 Web ACLs 不會被任何資源使用時，指定 Firewall Manager 如何管理帳戶 Web ACLs 的政策組態設定。如果您啟用管理未關聯的 Web ACLs，則 Firewall Manager ACLs中建立 Web ACL，前提是至少有一個資源將使用 Web ACLs。如果您未啟用此選項，防火牆管理員會自動確保每個帳戶都有 Web ACL，無論是否將使用 Web ACL。

啟用此功能時，當帳戶進入政策範圍時，防火牆管理員只會在至少一個資源將使用 Web ACL 時，在帳戶中自動建立 Web ACL。

此外，當您啟用管理未關聯的 Web ACLs 時，在建立政策時，防火牆管理員會在您的帳戶中執行一次性未關聯的 Web ACLs 清除。在此清除期間，防火牆管理員會略過您在建立之後修改的任何 Web ACLs，例如，如果您將規則群組新增至 Web ACL 或修改其設定。清除程序可能需要幾個小時。如果資源在 Firewall Manager 建立 Web ACL 後離開政策範圍，則 Firewall Manager 會取消資源與 Web ACL 的關聯，但不會清除未關聯的 Web ACL。Firewall Manager 只有在您第一次在政策中啟用管理未關聯的 Web ACLs 時，才會清除未關聯的 Web ACLs。

在 API 中，此設定位於 [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html) 資料類型`optimizeUnassociatedWebACL`中。範例：`\"optimizeUnassociatedWebACL\":false`

**Web ACL 來源組態：建立所有新的或改造現有的？**  
指定 Firewall Manager 如何處理與範圍內資源相關聯的現有 Web ACLs 的政策組態設定。

根據預設，防火牆管理員會建立範圍內資源的所有新 Web ACLs。透過新增， Firewall Manager 會使用任何已在使用中的現有 Web ACLs，而且只會為尚未建立關聯的資源建立新的 Web ACLs。

當政策設定為新增時，與範圍內資源相關聯的所有 Web ACLs 都會新增新增或標記為不合規。

Firewall Manager 只有在滿足下列需求時，才會修改 Web ACL：
+ Web ACL 由客戶帳戶擁有。
+ Web ACL 僅與範圍內的資源相關聯。
**提示**  
設定 AWS WAF 政策進行新增之前，請確定與政策範圍內資源相關聯的 Web ACLs 未與任何out-of-scope資源相關聯。
**提示**  
如果您想要刪除相關聯的資源，請先將其與 Web ACL 取消關聯。如果 Web ACL 因為與out-of-scope資源的關聯而不合規，則刪除out-of-scope資源而不先與 Web ACL 取消關聯，可能會使 Web ACL 符合合規，然後 Firewall Manager 可以透過修復來修改 Web ACL，但在這種情況下的修復可能會延遲最多 24 小時。

如需存取合規違規詳細資訊的詳細資訊，請參閱 [檢視 AWS Firewall Manager 政策的合規資訊](fms-compliance.md)。

如果可以修改 Web ACL，防火牆管理員會修改它，如下所示：
+ Firewall Manager 會在 Web ACL 的現有規則前面插入 AWS WAF 政策的第一個規則群組，並在最後附加 AWS WAF 政策的最後一個規則群組。如需規則群組管理的資訊，請參閱 [AWS WAF 政策的規則群組管理](waf-policies-rule-groups.md)。
+ 如果政策具有記錄組態，則 Firewall Manager 只有在 Web ACL 尚未設定為記錄時，才會將其新增至 Web ACL。如果 Web ACL 已透過帳戶設定記錄，則 Firewall Manager 會在新增期間和政策記錄組態的任何後續更新期間將其保留。
+ Firewall Manager 不會驗證或設定任何其他 Web ACL 屬性。例如，防火牆管理員不會修改 Web ACL 的預設動作、自訂請求標頭CAPTCHA或Challenge組態，或是字符網域清單。Firewall Manager 只會在 Firewall Manager 建立ACLs 上設定這些其他屬性。

Firewall Manager 修改所有現有的相關聯 Web ACLs 之後，對於沒有 Web ACL 的任何範圍內資源，Firewall Manager 會按照預設政策行為處理資源。如果它是 AWS WAF 可以保護的資源，則 Firewall Manager 會建立 Firewall Manager Web ACL 並將其與該資源建立關聯。

在 API 中，Web ACL 來源設定位於 [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html) 資料類型`webACLSource`中。範例：`\"webACLSource\":\"RETROFIT_EXISTING\"`

**取樣和 CloudWatch 指標**  
AWS Firewall Manager 啟用 Web ACLs 的取樣和 Amazon CloudWatch 指標，以及其為 AWS WAF 政策建立的規則群組。

**Web ACL 命名**  
Firewall Manager 建立的 Web ACL 是以 AWS WAF 政策命名，如下所示：`FMManagedWebACLV2-policy name-timestamp`。時間戳記以 UTC 毫秒為單位。例如 `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`。

Firewall Manager 新增的 Web ACL 具有客戶帳戶在建立時指定的名稱。Web ACL 名稱無法在建立後變更。

**注意**  
如果設定[進階自動應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)措施的資源進入 AWS WAF 政策範圍，則 Firewall Manager 將無法將 AWS WAF 政策建立的 Web ACL 與資源建立關聯。

# 記錄 AWS WAF 政策
<a name="waf-policies-logging-config"></a>

您可以為您的 AWS WAF 政策啟用集中式記錄，以取得由組織中 Web ACL 分析之流量的詳細資訊。 AWS Firewall Manager 支援此選項 AWS WAFV2，而非 AWS WAF Classic。

日誌中的資訊包括從您的受保護 AWS 資源 AWS WAF 收到請求的時間、請求的詳細資訊，以及每個請求在所有範圍內帳戶比對的規則動作。如需有關 AWS WAF 記錄的資訊，請參閱《 *AWS WAF 開發人員指南*[記錄 AWS WAF 保護套件 (Web ACL) 流量](logging.md)》中的 。

您可以將日誌傳送至 Amazon Data Firehose 資料串流或 Amazon Simple Storage Service (S3) 儲存貯體。每個目的地類型都需要一些額外的組態，以便 Firewall Manager 能夠管理範圍內資源和帳戶的 AWS WAF 日誌記錄。以下各節提供詳細資訊。

如果政策已啟用 Web ACL 修訂，防火牆管理員不會覆寫現有 Web ACLs 中的任何記錄組態。如需有關新增的資訊，請參閱位於 的 Web ACL 來源組態資訊[AWS WAF 政策的 Web ACL 管理](how-fms-manages-web-acls.md)。

**注意**  
僅透過 Firewall Manager 介面修改或停用 Firewall Manager 政策的記錄。如果您使用 AWS WAF 更新或刪除由 Firewall Manager 管理之 Web ACL 的記錄組態，則 Firewall Manager 不會自動偵測變更。如果您已使用 AWS WAF，您可以重新評估 AWS WAF 政策的規則，手動提示更新 Firewall Manager 政策 AWS Config。若要這樣做，請在 AWS Config 主控台中找到 Firewall Manager 政策的 AWS Config 規則，然後選取重新評估動作。

**Topics**
+ [記錄目的地](waf-policies-logging-destinations.md)
+ [在 Firewall Manager 中啟用 AWS WAF 政策的記錄](waf-policies-enabling-logging.md)
+ [在 Firewall Manager 中停用 AWS WAF 政策的記錄](waf-policies-disabling-logging.md)

# 記錄目的地
<a name="waf-policies-logging-destinations"></a>

本節說明您可以選擇傳送 AWS WAF 政策日誌的記錄目的地。每節都會提供為目的地類型設定記錄的指引，以及目的地類型專屬行為的相關資訊。設定記錄目的地之後，您可以將其規格提供給 Firewall Manager AWS WAF 政策，以開始記錄。

建立記錄組態後，防火牆管理員無法查看日誌失敗。您有責任確認日誌交付是否如預期般運作。

Firewall Manager 不會修改組織成員帳戶中任何現有的記錄組態。

**Topics**
+ [Amazon Data Firehose 資料串流](#waf-policies-logging-destinations-kinesis-data-firehose)
+ [Amazon Simple Storage Service 儲存貯體](#waf-policies-logging-destinations-s3)

## Amazon Data Firehose 資料串流
<a name="waf-policies-logging-destinations-kinesis-data-firehose"></a>

本主題提供將 Web ACL 流量日誌傳送至 Amazon Data Firehose 資料串流的資訊。

當您啟用 Amazon Data Firehose 記錄時，防火牆管理員會將日誌從政策的 Web ACLs 傳送至您已設定儲存目的地的 Amazon Data Firehose。啟用記錄後， 會透過 Kinesis Data Firehose 的 HTTPS 端點，將每個已設定 Web ACL 的日誌 AWS WAF 傳遞至設定的儲存目的地。使用之前，請先測試您的交付串流，以確保其具有足夠的輸送量來容納組織的日誌。如需如何建立 Amazon Kinesis Data Firehose 和檢閱存放日誌的詳細資訊，請參閱[什麼是 Amazon Data Firehose？](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)

您必須具有下列許可，才能成功使用 Kinesis 啟用記錄：
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`

當您在 AWS WAF 政策上設定 Amazon Data Firehose 記錄目的地時， Firewall Manager 會在 Firewall Manager 管理員帳戶中為政策建立 Web ACL，如下所示：
+ Firewall Manager 會在 Firewall Manager 管理員帳戶中建立 Web ACL，無論帳戶是否在政策範圍內。
+ Web ACL 已啟用日誌記錄，日誌名稱為 `FMManagedWebACLV2-Loggingpolicy name-timestamp`，其中時間戳記是為 Web ACL 啟用日誌的 UTC 時間，以毫秒為單位。例如 `FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180`。Web ACL 沒有規則群組，也沒有相關聯的資源。
+ 您需要根據 AWS WAF 定價準則支付 Web ACL 的費用。如需詳細資訊，請參閱[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
+ Firewall Manager 會在您刪除政策時刪除 Web ACL。

如需服務連結角色和 `iam:CreateServiceLinkedRole` 許可的相關資訊，請參閱 [使用 的服務連結角色 AWS WAF](using-service-linked-roles.md)。

如需建立交付串流的詳細資訊，請參閱[建立 Amazon Data Firehose 交付串流](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html)。

## Amazon Simple Storage Service 儲存貯體
<a name="waf-policies-logging-destinations-s3"></a>

本主題提供將 Web ACL 流量日誌傳送至 Amazon S3 儲存貯體的資訊。

您選擇做為記錄目的地的儲存貯體必須由 Firewall Manager 管理員帳戶擁有。如需建立 Amazon S3 儲存貯體以進行記錄和儲存貯體命名需求的相關資訊，請參閱《 *AWS WAF 開發人員指南*》中的 [Amazon Simple Storage Service](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html)。

**最終一致性**  
當您變更使用 Amazon S3 記錄目的地設定 AWS WAF 的政策時，防火牆管理員會更新儲存貯體政策，以新增記錄所需的許可。執行此操作時， Firewall Manager 會遵循 Amazon Simple Storage Service 遵循的last-writer-wins語意和資料一致性模型。如果您同時在 Firewall Manager 主控台或透過 [PutPolicy](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutPolicy.html) API 對 Amazon S3 目的地進行多個政策更新，則可能不會儲存某些許可。如需 Amazon S3 資料一致性模型的詳細資訊，請參閱[《Amazon Simple Storage Service 使用者指南》中的 Amazon S3 資料一致性模型](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html#ConsistencyModel)。 **

### 將日誌發佈至 Amazon S3 儲存貯體的許可
<a name="waf-policies-logging-s3-permissions"></a>

在 AWS WAF 政策中設定 Amazon S3 儲存貯體的 Web ACL 流量記錄需要下列許可設定。當您將 Amazon S3 設定為記錄目的地，以授予服務將日誌發佈至儲存貯體的許可時，防火牆管理員會自動將這些許可連接到您的 Amazon S3 儲存貯體。如果您想要管理對日誌記錄和 Firewall Manager 資源的更精細存取，您可以自行設定這些許可。如需有關管理許可的資訊，請參閱《*IAM 使用者指南*》中的[存取資源的 AWS 管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)。如需 AWS WAF 受管政策的相關資訊，請參閱 [AWS 的 受管政策 AWS WAF](security-iam-awsmanpol.md)。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "AWSLogDeliveryForFirewallManager",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryAclCheckFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix"
        },
        {
            "Sid": "AWSLogDeliveryWriteFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}
```

------

若要避免跨服務混淆代理人問題，您可以將 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)全域條件內容索引鍵新增至儲存貯體的政策。若要新增這些金鑰，您可以修改 Firewall Manager 在您設定記錄目的地時為您建立的政策，或者如果您想要精細控制，您可以建立自己的政策。如果您將這些條件新增至記錄目的地政策，防火牆管理員不會驗證或監控混淆代理人保護。如需混淆代理人問題的一般資訊，請參閱[混淆代理人問題
](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html) *IAM 使用者指南*中的 。

當您新增`sourceAccount``sourceArn`屬性時，它會增加儲存貯體政策大小。如果您要新增較長的`sourceAccount`新增`sourceArn`屬性清單，請小心不要超過 Amazon S3 儲存[貯體政策大小](https://docs.aws.amazon.com/general/latest/gr/s3.html#limits_s3)配額。

下列範例顯示如何在儲存貯體的政策中使用 `aws:SourceArn`和 `aws:SourceAccount`全域條件內容索引鍵，以防止混淆代理人問題。將 *member-account-id* 取代為您組織中成員的帳戶 IDs。

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Id":"AWSLogDeliveryForFirewallManager",
   "Statement":[
      {
         "Sid":"AWSLogDeliveryAclCheckFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:GetBucketAcl",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":[
               "111122223333",
               "444455556666"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
               "arn:aws:logs:*:111122223333:*",
               "arn:aws:logs:*:444455556666:*"
               ]
            }
         }
      },
      {
         "Sid":"AWSLogDeliveryWriteFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:PutObject",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
         "Condition":{
            "StringEquals":{
               "s3:x-amz-acl":"bucket-owner-full-control",
               "aws:SourceAccount":[
               "111122223333",
               "444455556666"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
               "arn:aws:logs:*:111122223333:*",
               "arn:aws:logs:*:444455556666:*"
               ]
            }
         }
      }
   ]
}
```

------

#### Amazon S3 儲存貯體的伺服器端加密
<a name="waf-policies-logging-s3-kms-permissions"></a>

您可以啟用 Amazon S3 伺服器端加密，或在 S3 儲存貯體上使用 AWS Key Management Service 客戶受管金鑰。如果您選擇對 AWS WAF 日誌使用 Amazon S3 儲存貯體的預設 Amazon S3 加密，則不需要採取任何特殊動作。不過，如果您選擇使用客戶提供的加密金鑰來加密靜態 Amazon S3 資料，則必須將下列許可陳述式新增至 AWS Key Management Service 金鑰政策：

```
{
            "Sid": "Allow Logs Delivery to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
}
```

如需搭配 Amazon S3 使用客戶提供的加密金鑰的相關資訊，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[搭配客戶提供的金鑰 (SSE-C) 使用伺服器端加密](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html)。

# 在 Firewall Manager 中啟用 AWS WAF 政策的記錄
<a name="waf-policies-enabling-logging"></a>

下列程序說明如何在 Firewall Manager 主控台中啟用 AWS WAF 政策的記錄。

**啟用 AWS WAF 政策的記錄**

1. 您必須先將記錄目的地資源設定為下列項目，才能啟用記錄：
   + **Amazon Kinesis Data Streams** - 使用您的 Firewall Manager 管理員帳戶建立 Amazon Data Firehose。使用開頭為字首 的名稱`aws-waf-logs-`。例如 `aws-waf-logs-firewall-manager-central`。使用`PUT`來源和您正在操作的區域中建立資料 Firehose。如果您要擷取 Amazon CloudFront 的日誌，請在美國東部 （維吉尼亞北部） 建立 firehose。使用之前，請先測試您的交付串流，以確保其具有足夠的輸送量來容納組織的日誌。如需詳細資訊，請參閱[建立 Amazon Data Firehose 交付串流](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html)。
   + **Amazon Simple Storage Service 儲存貯**體 - 根據《 *AWS WAF 開發人員指南*》中的 Amazon [Simple Storage Service 主題中的準則建立 Amazon ](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html) Amazon S3 儲存貯體。您還必須使用 中列出的許可來設定 Amazon S3 儲存貯體[將日誌發佈至 Amazon S3 儲存貯體的許可](waf-policies-logging-destinations.md#waf-policies-logging-s3-permissions)。

1.  AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
**注意**  
如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。

1. 在導覽窗格中，選擇**安全政策**。

1. 選擇您要啟用記錄 AWS WAF 的政策。如需有關 AWS WAF 記錄的詳細資訊，請參閱 [記錄 AWS WAF 保護套件 (Web ACL) 流量](logging.md)。

1. 在**政策詳細資訊**索引標籤**的政策規則**區段中，選擇**編輯**。

1. 針對**記錄組態**，選擇**啟用記錄**以開啟記錄。記錄提供有關 Web ACL 分析流量的詳細資訊。選擇**記錄目的地**，然後選擇您設定的記錄目的地。您必須選擇名稱開頭為 的記錄目的地`aws-waf-logs-`。如需設定 AWS WAF 記錄目的地的詳細資訊，請參閱 [搭配 Firewall Manager 使用 AWS WAF 政策](waf-policies.md)。

1. (選用) 如果您不想要特定欄位及其值包含在日誌中，請編寫這些欄位。選擇要編寫的欄位，然後選擇**新增**。重複其他需要編寫的欄位。在日誌中編寫的欄位顯示為 `REDACTED`。例如，如果您修訂 **URI** 欄位，日誌中的 **URI** 欄位將為 `REDACTED`。

1. （選用） 如果您不想將所有請求傳送到日誌，請新增您的篩選條件和行為。在**篩選日誌**下，針對您要套用的每個篩選條件，選擇**新增篩選條件**，然後選擇篩選條件，並指定是否要保留或捨棄符合條件的請求。當您完成新增篩選條件時，如有需要，請修改**預設記錄行為**。如需詳細資訊，請參閱《AWS WAF 開發人員指南》**中的 [尋找您的保護套件 (Web ACL) 記錄](logging-management.md)。

1. 選擇**下一步**。

1. 檢閱您的設定，然後選擇**儲存**以儲存您對政策的變更。

# 在 Firewall Manager 中停用 AWS WAF 政策的記錄
<a name="waf-policies-disabling-logging"></a>

下列程序說明如何在 Firewall Manager 主控台中停用 AWS WAF 政策的記錄。

**停用 AWS WAF 政策的記錄**

1.  AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
**注意**  
如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。

1. 在導覽窗格中，選擇**安全政策**。

1. 選擇您要停用記錄 AWS WAF 的政策。

1. 在**政策詳細資訊**索引標籤**的政策規則**區段中，選擇**編輯**。

1. 針對**記錄組態狀態**，選擇**已停用**。

1. 選擇**下一步**。

1. 檢閱您的設定，然後選擇**儲存**以儲存您對政策的變更。

**注意**  
僅透過 Firewall Manager 介面修改或停用 Firewall Manager 政策的記錄。如果您使用 AWS WAF 更新或刪除由 Firewall Manager 管理之 Web ACL 的記錄組態，則 Firewall Manager 不會自動偵測變更。如果您已使用 AWS WAF，您可以重新評估 AWS WAF 政策的規則，手動提示更新 Firewall Manager 政策 AWS Config。若要這樣做，請在 AWS Config 主控台中找到 Firewall Manager 政策的 AWS Config 規則，然後選取重新評估動作。

# 在 Firewall Manager 中使用 AWS Shield Advanced 政策
<a name="shield-policies"></a>

此頁面說明如何搭配 Firewall Manager 使用 AWS Shield 政策。在 Firewall Manager AWS Shield 政策中，您可以選擇要保護的資源。當您在啟用自動修復的情況下套用政策時，對於尚未與 AWS WAF Web ACL 建立關聯的每個範圍內資源，防火牆管理員會將空的 AWS WAF Web ACL 建立關聯。空白 Web ACL 用於 Shield 監控目的。如果您接著將任何其他 Web ACL 與資源建立關聯，則 Firewall Manager 會移除空的 Web ACL 關聯。

**注意**  
當 AWS WAF 政策範圍內的資源進入以[自動應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)設定的 Shield Advanced 政策範圍時， Firewall Manager 只會在關聯 AWS WAF 政策建立的 Web ACL 之後套用 Shield Advanced 保護。

## 如何在 Shield 政策中 AWS Firewall Manager 管理未關聯的 Web ACLs
<a name="shield-policies-unused-web-acls"></a>

您可以設定 Firewall Manager 透過政策中的管理未關聯的 Web ACLs 設定，或 API 中 [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html) 資料類型`optimizeUnassociatedWebACLs`的設定，來為您**管理未關聯的 Web ACLs**。如果您在政策中啟用管理未關聯的 Web ACLs，則 Firewall Manager 只會在至少一個資源將使用 Web ACLs 的情況下，在政策範圍內的帳戶中建立 Web ACLs。如果帳戶在任何時候進入政策範圍，且至少有一個資源將使用 Web ACL，則 Firewall Manager 會自動在帳戶中建立 Web ACL。

當您啟用管理未關聯的 Web ACLs 時，防火牆管理員會在您的帳戶中執行一次性未關聯的 Web ACLs 清除。清除程序可能需要幾個小時的時間。如果資源在 Firewall Manager 建立 Web ACL 後離開政策範圍，則 Firewall Manager 不會取消資源與 Web ACL 的關聯。如果您希望 Firewall Manager 清除 Web ACL，您必須先手動取消資源與 Web ACL 的關聯，然後在政策中啟用管理未關聯的 Web ACLs選項。

如果您未啟用此選項，則 Firewall Manager 不會管理未關聯的 Web ACLs，且 Firewall Manager 會在政策範圍內的每個帳戶中自動建立 Web ACL。

## 如何 AWS Firewall Manager 管理 Shield 政策中的範圍變更
<a name="shield-policies-changes-in-scope"></a>

由於許多變更，例如變更政策範圍設定、變更資源上的標籤，以及從組織移除帳戶，帳戶和資源可能會超出 AWS Firewall Manager Shield Advanced 政策的範圍。如需政策範圍設定的一般資訊，請參閱 [使用 AWS Firewall Manager 政策範圍](policy-scope.md)。

使用 AWS Firewall Manager Shield Advanced 政策時，如果帳戶或資源超出範圍， Firewall Manager 會停止監控帳戶或資源。

如果帳戶因從組織中移除而超出範圍，則會繼續訂閱 Shield Advanced。由於帳戶不再是合併帳單系列的一部分，因此帳戶將產生按比例分配的 Shield Advanced 訂閱費用。另一方面，超出範圍但仍留在組織中的帳戶不會產生額外費用。

對於使用 Classic WebACL 的 Shield 政策，如果資源超出範圍，它將繼續受到 Shield Advanced 保護，並繼續產生 Shield Advanced 資料傳輸費用。

# 搭配 Firewall Manager Shield Advanced 政策使用自動應用程式層 DDoS 緩解
<a name="shield-policies-auto-app-layer-mitigation"></a>

此頁面說明自動應用程式層 DDoS 緩解如何與 Firewall Manager 搭配使用。

當您將 Shield Advanced 政策套用至 Amazon CloudFront 分佈或 Application Load Balancer 時，您可以選擇在政策中設定 Shield Advanced 自動應用程式層 DDoS 緩解措施。

如需有關 Shield Advanced 自動緩解的資訊，請參閱 [使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)。

Shield Advanced 自動應用程式層 DDoS 緩解有下列需求：
+ 自動應用程式層 DDoS 緩解僅適用於 Amazon CloudFront 分佈和 Application Load Balancer。

  如果將 Shield Advanced 政策套用至 Amazon CloudFront 分佈，您可以針對為**全球**區域建立的 Shield Advanced 政策選擇此選項。如果將保護套用至 Application Load Balancer，您可以將政策套用至 Firewall Manager 支援的任何區域。
+ 自動應用程式層 DDoS 緩解僅適用於使用最新版本 (v2) 建立的保護套件 AWS WAF (Web ACLs)。

  因此，如果您的政策使用 AWS WAF Classic Web ACLs，您需要將政策取代為新的政策，這會自動使用最新版本的 AWS WAF，或讓 Firewall Manager 為您現有的政策建立新的版本 Web ACLs，並切換到使用它們。如需選項的詳細資訊，請參閱 [將 AWS WAF Classic Web ACLs取代為最新版本ACLs](#shield-policies-auto-app-layer-update-waf-version)。

## 自動緩解組態
<a name="shield-policies-auto-app-layer-mitigation-config"></a>

Firewall Manager Shield Advanced 政策的自動應用程式層 DDoS 緩解選項會將 Shield Advanced 自動緩解功能套用至政策的範圍內帳戶和資源。如需此 Shield Advanced 功能的詳細資訊，請參閱 [使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)。

您可以選擇讓 Firewall Manager 為政策範圍內的 CloudFront 分佈或 Application Load Balancer 啟用或停用自動緩解，也可以選擇讓政策忽略 Shield Advanced 自動緩解設定：
+ **啟用** – 如果您選擇啟用自動緩解，您也可以指定緩解 Shield Advanced 規則是否應計數或封鎖相符的 Web 請求。如果範圍內的資源未啟用自動緩解，或者使用的規則動作不符合您為政策指定的規則動作，則 Firewall Manager 會將這些資源標記為不合規。如果您設定政策進行自動修復， Firewall Manager 會視需要更新不合規的資源。
+ **停用** – 如果您選擇停用自動緩解，防火牆管理員會在啟用自動緩解時，將範圍內資源標記為不合規。如果您設定政策進行自動修復， Firewall Manager 會視需要更新不合規的資源。
+ **忽略** – 如果您選擇忽略自動緩解，則 Firewall Manager 在為政策執行修補活動時，不會考慮 Shield 政策中的任何自動緩解設定。此設定可讓您透過 Shield Advanced 控制自動緩解，而不需要 Firewall Manager 覆寫這些設定。此設定不適用於透過 Shield Advanced 管理的任何 Classic Load Balancer 或彈性 IPs 資源，因為 Shield Advanced 目前不支援這些資源的 L7 自動緩解。

  

## 將 AWS WAF Classic Web ACLs取代為最新版本ACLs
<a name="shield-policies-auto-app-layer-update-waf-version"></a>

自動應用程式層 DDoS 緩解僅適用於使用最新版本 (v2) 建立的保護套件 AWS WAF (Web ACLs)。

若要判斷 Shield Advanced 政策的 Web ACL 版本，請參閱 [判斷 Shield Advanced 政策 AWS WAF 使用的 版本](shield-policies-identify-waf-version.md)。

如果您想要在 Shield Advanced 政策中使用自動緩解，且您的政策目前使用 AWS WAF Classic Web ACLs，您可以建立新的 Shield Advanced 政策來取代目前的政策，或者您可以使用本節所述的選項，將舊版 Web ACLs 取代為目前 Shield Advanced 政策中的新 (v2) Web ACLs。新政策一律使用最新版本的 建立 Web ACLs AWS WAF。如果您取代整個政策，當您刪除它時，也可以讓 Firewall Manager 刪除所有較早版本的 Web ACLs。本節的其餘部分說明取代現有政策內 Web ACLs的選項。

當您修改 Amazon CloudFront 資源的現有 Shield Advanced 政策時，防火牆管理員可以在尚未擁有 v2 Web ACL 的任何範圍內帳戶中，自動為政策建立新的 empty AWS WAF (v2) Web ACL。當 Firewall Manager 建立新的 Web ACL 時，如果政策在相同帳戶中已有 AWS WAF Classic Web ACL，則 Firewall Manager 會使用與現有 Web ACL 相同的預設動作設定來設定新版本 Web ACL。如果沒有現有的 AWS WAF Classic Web ACL，防火牆管理員會在新的 Web ACL Allow 中將預設動作設為 。Firewall Manager 建立新的 Web ACL 之後，您可以透過 主控台視需要 AWS WAF 加以自訂。

當您選擇下列任一政策組態選項時，防火牆管理員會為尚未擁有這些選項的範圍內帳戶建立新的 (v2) Web ACLs：
+ 當您啟用或停用自動應用程式層 DDoS 緩解時。此選項只會導致 Firewall Manager 建立新的 Web ACLs，而不是取代政策範圍內資源上任何現有的 AWS WAF Classic Web ACL 關聯。
+ 當您選擇自動修復的政策動作，並選擇將 AWS WAF Classic Web ACLs取代為 AWS WAF (v2) Web ACLs的選項。無論您的自動應用程式層 DDoS 緩解組態選擇為何，都可以選擇取代舊版 Web ACLs。

  當您選擇取代選項時，防火牆管理員會視需要建立新的 Web ACLs 版本，然後針對政策的範圍內資源執行下列動作：
  + 如果資源與任何其他作用中 Firewall Manager 政策的 Web ACL 相關聯，則 Firewall Manager 會單獨保留關聯。
  + 對於任何其他情況，防火牆管理員會移除與 AWS WAF Classic Web ACL 的任何關聯，並將資源與政策的 AWS WAF (v2) Web ACL 建立關聯。

您可以選擇讓 Firewall Manager 在需要時將舊版 Web ACLs 取代為新版本的 Web ACLs。如果您先前已自訂政策的 AWS WAF Classic Web ACLs，您可以在選擇讓 Firewall Manager 執行取代步驟之前，將新版本的 Web ACLs 更新為類似的設定。

您可以透過適用於 或 AWS WAF AWS WAF Classic 的相同版本主控台存取政策的任一 Web ACL 版本。

除非您刪除政策本身，否則 Firewall Manager 不會刪除任何已取代的 AWS WAF Classic Web ACLs。在政策不再使用 AWS WAF Classic Web ACLs之後，您可以視需要將其刪除。

# 判斷 Shield Advanced 政策 AWS WAF 使用的 版本
<a name="shield-policies-identify-waf-version"></a>

此頁面說明如何判斷 Shield Advanced 政策使用的 AWS WAF Web ACL 版本。

您可以查看政策 AWS Config 的服務連結規則中的參數索引鍵，來判斷 AWS WAF Firewall Manager Shield Advanced 政策使用哪個版本。如果使用中的 AWS WAF 版本是最新的，則參數索引鍵包含 `policyId`和 `webAclArn`。如果是舊版， AWS WAF Classic，參數索引鍵會包含 `webAclId`和 `resourceTypes`。

此 AWS Config 規則只會列出政策目前搭配範圍內資源使用的 Web ACLs 金鑰。

**判斷 AWS WAF 您的 Firewall Manager Shield Advanced 政策使用哪個版本**

1. 擷取 Shield Advanced 政策的政策 ID：

   1.  AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。

   1. 在導覽窗格中，選擇**安全政策**。

   1. 選擇政策的區域。對於 CloudFront 分佈，這是 `Global`。

   1. 尋找您想要的政策，並複製其**政策 ID** 的值。

      範例政策 ID：`1111111-2222-3333-4444-a55aa5aaa555`。

1. 透過將政策 ID 附加至字串 來建立政策的 AWS Config 規則名稱`FMManagedShieldConfigRule`。

   範例 AWS Config 規則名稱：`FMManagedShieldConfigRule1111111-2222-3333-4444-a55aa5aaa555`。

1. 針對名為 `policyId`和 的索引鍵，搜尋相關 AWS Config 規則的參數`webAclArn`：

   1. 在 https：//[https://console.aws.amazon.com/config/home](https://console.aws.amazon.com/config/home) 開啟 AWS Config 主控台。

   1. 在導覽窗格中，選擇**規則**。

   1. 在清單中尋找您 Firewall Manager 政策的 AWS Config 規則名稱，然後選取它。規則的頁面隨即開啟。

   1. 在**規則詳細資訊**下，在**參數**區段中，查看金鑰。如果您找到名為 `policyId`和 的金鑰`webAclArn`，政策會使用使用最新版本 建立的 Web ACLs AWS WAF。如果您找到名為 `webAclId`和 的金鑰`resourceTypes`，政策會使用使用舊版 AWS WAF Classic 建立的 Web ACLs。

# 在 Firewall Manager 中使用安全群組政策來管理 Amazon VPC 安全群組
<a name="security-group-policies"></a>

此頁面說明如何使用 AWS Firewall Manager 安全群組政策來管理組織的 Amazon Virtual Private Cloud 安全群組 AWS Organizations。您可以將集中控制的安全群組政策套用至整間組織，或選取您的帳戶和資源子集。您也可以監控並管理在您組織中使用的安全群組政策，以及監控稽核和用途安全群組政策。

Firewall Manager 會持續維護您的政策，並在在整個組織中新增或更新帳戶和資源時將其套用到帳戶和資源。如需 的詳細資訊 AWS Organizations，請參閱 [AWS Organizations 使用者指南](https://docs.aws.amazon.com/organizations/latest/userguide/)。

如需有關 Amazon Virtual Private Cloud 安全群組的資訊，請參閱《Amazon [VPC 使用者指南》中的 VPC 的安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)。 **

您可以使用 Firewall Manager 安全群組政策，在整個 AWS 組織中執行下列動作：
+ 將常見安全群組套用至指定的帳戶和資源。
+ 稽核安全群組規則，以尋找和修補不合規規則。
+ 稽核安全群組的用途，以清理未使用的與備援安全群組。

本節涵蓋 Firewall Manager 安全群組政策的運作方式，並提供使用這些政策的指引。如需建立安全群組政策的程序，請參閱 [建立 AWS Firewall Manager 政策](create-policy.md)。

## 安全群組政策的最佳實務
<a name="security-groups-best-practice"></a>

本節列出使用 AWS Firewall Manager管理安全群組的建議。

**排除 Firewall Manager 管理員帳戶**  
當您設定政策範圍時，請排除 Firewall Manager 管理員帳戶。當您透過主控台建立用途稽核安全群組政策時，這是預設選項。

**從停用自動修補開始**  
對於內容或用途稽核安全群組政策，請先從停用自動修補開始。檢閱政策詳細資訊，以判定自動修補可能有的效用。當您確認這些變更正是您所需的時，請編輯政策，以啟用自動修補。

**如果您也使用外部來源管理安全群組，請避免衝突**  
如果您使用 Firewall Manager 以外的工具或服務來管理安全群組，請小心避免 Firewall Manager 中的設定與外部來源中的設定之間發生衝突。如果您使用自動修補且設定有衝突，您可以建立消耗雙方資源的衝突修補循環。

例如，假設您設定另一項服務來維護一組 AWS 資源的安全群組，並設定 Firewall Manager 政策來維護部分或全部相同資源的不同安全群組。如果您設定任何其他安全群組與範圍內資源相關聯的任何一方，該方將會移除由另一方維護的安全群組關聯。如果雙方都以這種方式進行配置，則最終可能會產生衝突的分離和關聯循環。

此外，假設您建立 Firewall Manager 稽核政策，以強制執行與來自其他服務的安全群組組態衝突的安全群組組態。Firewall Manager 稽核政策套用的修補可以更新或刪除該安全群組，使其不符合其他服務的合規。如果其他服務設定為監控並自動修復發現的任何問題，則會重新建立或更新安全群組，使其再次不符合 Firewall Manager 稽核政策。如果 Firewall Manager 稽核政策設定為自動修復，它會再次更新或刪除外部安全群組，以此類推。

為了避免這類衝突，請在 Firewall Manager 和任何外部來源之間建立互斥的組態。

您可以使用標記從 Firewall Manager 政策的自動修復中排除外部安全群組。若要這樣做，請將一或多個標記新增至由外部來源管理的安全群組或其他資源。然後，當您定義 Firewall Manager 政策範圍時，請在資源規格中排除具有您新增之標籤或標籤的資源。

同樣地，在您的外部工具或服務中，排除 Firewall Manager 從任何管理或稽核活動中管理的安全群組。請勿匯入 Firewall Manager 資源，或使用 Firewall Manager 特定的標記將其排除在外部管理之外。

**用量稽核安全群組政策的最佳實務**  
當您使用用量稽核安全群組政策時，請遵循這些準則。
+ 避免在短時間內對安全群組的關聯狀態進行多次變更，例如在 15 分鐘內。這樣做可能會導致 Firewall Manager 錯過部分或全部對應的事件。例如，請勿快速關聯和取消安全群組與彈性網路界面的關聯。

## 安全群組政策警告和限制
<a name="security-groups-limitations"></a>

本節列出使用 Firewall Manager 安全群組政策的注意事項和限制。

**資源類型：Amazon EC2 執行個體**  
本節列出使用 Firewall Manager 安全群組政策保護 Amazon EC2 執行個體的注意事項和限制。
+ 透過保護 Amazon EC2 彈性網路介面 (ENIs) 的安全群組，防火牆管理員不會立即看到安全群組的變更。Firewall Manager 通常會在幾個小時內偵測變更，但偵測最多可延遲六個小時。
+ Firewall Manager 不支援由 Amazon Relational Database Service 建立的 Amazon EC2 ENIs 安全群組。 Amazon Relational Database Service 
+ Firewall Manager 不支援更新使用 Fargate 服務類型建立之 Amazon EC2 ENIs 的安全群組。不過，您可以使用 Amazon EC2 服務類型更新 Amazon ECS ENIs 的安全群組。
+ Firewall Manager 不支援更新請求者受管 Amazon EC2 ENIs 的安全群組，因為 Firewall Manager 沒有修改這些群組的許可。
+ 對於常見的安全群組政策，這些注意事項涉及連接到 EC2 執行個體的彈性網路界面 (ENIs) 數量與指定是否僅修復沒有新增附件的 EC2 執行個體或修復所有執行個體的政策選項之間的互動。每個 EC2 執行個體都有預設的主要 ENI，您可以連接更多 ENIs。在 API 中，此選項的政策選項設定為 `ApplyToAllEC2InstanceENIs`。

  如果範圍內的 EC2 執行個體已連接其他 ENIs，且政策設定為僅包含具有主要 ENI 的 EC2 執行個體，則 Firewall Manager 不會嘗試對 EC2 執行個體進行任何修復。此外，如果執行個體超出政策範圍，防火牆管理員不會嘗試取消其可能為執行個體建立的任何安全群組關聯的關聯。

  對於下列邊緣案例，在資源清除期間，防火牆管理員可以保持複寫的安全群組關聯完整，無論政策的資源清除規格為何：
  + 當具有其他 ENIs執行個體先前已由設定為包含所有 EC2 執行個體的政策修復，然後執行個體超出政策範圍或政策設定變更為僅包含沒有其他 ENIs執行個體。
  + 當沒有其他 ENIs執行個體被設定為僅包含沒有其他 ENIs的執行個體的政策修復時，則另一個 ENI 會連接到執行個體，然後執行個體超出政策範圍。

**其他注意事項和限制**  
以下是 Firewall Manager 安全群組政策的其他注意事項和限制。
+ Firewall Manager 安全群組政策不支援透過 共用的安全群組 AWS RAM。
+ 使用 AWS RAM 跨組織共用字首清單不是 Firewall Manager 官方支援的功能。雖然現在可能生效，但 沒有義務為該使用案例 AWS 提供支援，也沒有任何保證會繼續運作。
+ 只有使用滾動更新 (Amazon ECS) 部署控制器的 Amazon ECS 服務，才能更新 Amazon ECS ENIs。對於其他 Amazon ECS 部署控制器，例如 CODE\$1DEPLOY 或外部控制器，防火牆管理員目前無法更新 ENIs。
+ Firewall Manager 不支援在 ENIs中更新 Network Load Balancer 的安全群組。
+ 在常見的安全群組政策中，如果稍後未與帳戶 Firewall Manager 共用共用 VPC，則不會刪除帳戶中的複本安全群組。
+ 使用用量稽核安全群組政策，如果您建立具有自訂延遲時間設定的多個政策，而這些政策都有相同的範圍，則第一個具有合規調查結果的政策將是報告調查結果的政策。

## 安全群組政策使用案例
<a name="security-group-policies-use-cases"></a>

您可以使用 AWS Firewall Manager 常見的安全群組政策來自動化主機防火牆組態，以便在 Amazon VPC 執行個體之間進行通訊。本節列出標準 Amazon VPC 架構，並說明如何使用 Firewall Manager 常見安全群組政策來保護每個架構。這些安全群組政策可協助您套用統一的規則集，以選取不同帳戶中的資源，並避免 Amazon Elastic Compute Cloud 和 Amazon VPC 中的每個帳戶組態。

使用 Firewall Manager 常見安全群組政策，您可以只標記與另一個 Amazon VPC 中的執行個體通訊所需的 EC2 彈性網路介面。然後，相同 Amazon VPC 中的其他執行個體會更安全且隔離。

**使用案例：監控和控制對 Application Load Balancer 和 Classic Load Balancer 的請求**  
您可以使用 Firewall Manager 通用安全群組政策來定義您的範圍內負載平衡器應該提供哪些請求。您可以透過 Firewall Manager 主控台進行設定。只有符合安全群組傳入規則的請求才能到達負載平衡器，而且負載平衡器只會分發符合傳出規則的請求。

**使用案例：可存取網際網路的公有 Amazon VPC**  
您可以使用 Firewall Manager 通用安全群組政策來保護公有 Amazon VPC，例如僅允許傳入連接埠 443。此做法與只允許公有 VPC 的傳入 HTTPS 流量相同。您可以在 VPC 中標記公有資源 （例如，「PublicVPC」)，然後將 Firewall Manager 政策範圍設定為僅具有該標籤的資源。Firewall Manager 會自動將政策套用至這些資源。

**使用案例：公有和私有 Amazon VPC 執行個體**  
對於可存取網際網路的公有 Amazon VPC 執行個體，您可以對公有資源使用與先前使用案例中建議的相同常見安全群組政策。您可以使用第二個常見安全群組政策，限制公有資源與私有資源之間的通訊。將公有和私有 Amazon VPC 執行個體中的資源標記為「PublicPrivate」，以套用第二個政策。您可以使用第三個政策來定義私有資源與其他公司或私有 Amazon VPC 執行個體之間的允許通訊。對於此政策，您可以在私有資源上使用另一個識別標籤。

**使用案例：中樞和發言的 Amazon VPC 執行個體**  
您可以使用常見的安全群組政策來定義中樞 Amazon VPC 執行個體與發言 Amazon VPC 執行個體之間的通訊。您可以使用第二個政策來定義從每個輪輻 Amazon VPC 執行個體到中樞 Amazon VPC 執行個體的通訊。

**使用案例：Amazon EC2 執行個體的預設網路介面**  
您可以使用常見安全群組政策，只允許標準通訊，例如內部 SSH 和修補程式/作業系統更新服務，並不允許其他不安全通訊。

**使用案例：識別具有開放許可的資源**  
您可以使用稽核安全群組政策，來識別您組織內擁有可與公有 IP 地址進行通訊之許可，或擁有屬於第三方廠商之 IP 地址的所有資源。

# 搭配 Firewall Manager 使用常見的安全群組政策
<a name="security-group-policies-common"></a>

此頁面說明 Firewall Manager 常見安全群組政策的運作方式。

透過常見的安全群組政策， Firewall Manager 提供安全群組與整個組織中帳戶和資源的集中控制關聯。您可以指定要在您組織中要套用政策的項目與如何套用。

您可以將常見的安全群組政策套用至下列資源類型：
+ Amazon Elastic Compute Cloud (Amazon EC2) 執行個體
+ 彈性網路界面
+ Application Load Balancer
+ Classic Load Balancer

如需使用主控台建立常見安全群組政策的指引，請參閱 [建立常見安全群組政策](create-policy.md#creating-firewall-manager-policy-common-security-group)。

**共用的 VPC**  
在通用安全性群組政策的政策範圍設定中，您可以選擇包含共用 VPC。此選項包括由另一個帳戶擁有且與範圍內帳戶共用的 VPC。一律包含範圍內帳戶擁有的 VPC。如需共用 VPCs的相關資訊，請參閱《Amazon [ VPCs》中的使用共用](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) VPC。 **

下列注意事項適用於包含共用 VPCs。這些是 安全群組政策的一般注意事項。 [安全群組政策警告和限制](security-group-policies.md#security-groups-limitations)
+ Firewall Manager 會將主要安全群組複寫到每個範圍內帳戶的 VPCs。對於共用的 VPC，防火牆管理員會針對共用 VPC 的每個範圍內帳戶複寫主要安全群組一次。這可能會導致單一共用 VPC 中的多個複本。
+ 當您建立新的共用 VPC 時，在政策範圍內的 VPC 中建立至少一個資源後，才會在 Firewall Manager 安全群組政策詳細資訊中顯示它。
+ 當您在已啟用共用 VPCs的政策中停用共用 VPCs 時，在共用 VPCs中， Firewall Manager 會刪除未與任何資源相關聯的複本安全群組。Firewall Manager 會保留剩餘的複本安全群組，但會停止管理它們。移除這些剩餘的安全群組需要在每個共用 VPC 執行個體中進行手動管理。

**主要安全群組**  
對於每個常見的安全群組政策，您 AWS Firewall Manager 提供一或多個主要安全群組：
+ 主要安全群組必須由 Firewall Manager 管理員帳戶建立，並且可以位於帳戶中的任何 Amazon VPC 執行個體中。
+ 您可以透過 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon EC2) 管理主要安全群組。如需詳細資訊，請參閱《*Amazon VPC 使用者指南*》中的[使用安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)。
+ 您可以將一或多個安全群組命名為 Firewall Manager 安全群組政策的主要群組。政策中允許的安全群組數量預設為一個，但您可以提交增加數量的請求。如需相關資訊，請參閱[AWS Firewall Manager 配額](fms-limits.md)。

**政策規則設定**  
您可以為常見安全群組政策的安全群組和資源選擇下列一個或多個變更控制行為：
+ 識別並報告本機使用者對複本安全群組所做的任何變更。
+ 取消任何其他安全群組與政策範圍內 AWS 資源的關聯。
+ 將標籤從主要群組分佈到複本安全群組。
**重要**  
Firewall Manager 不會將 AWS 服務新增的系統標籤分發至複本安全群組。系統標籤以 `aws:` 字首開頭。此外，如果政策的標籤與組織的標籤政策衝突，則 Firewall Manager 不會更新現有安全群組的標籤，也不會建立新的安全群組。如需標籤政策的相關資訊，請參閱 AWS Organizations 《 使用者指南》中的[標籤政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html)。
+ 將安全群組參考從主要群組分發至複本安全群組。

  這可讓您輕鬆地建立通用安全群組，將所有範圍內資源的規則參考到與指定安全群組的 VPC 相關聯的執行個體。當您啟用此選項時，防火牆管理員只會在安全群組參考 Amazon Virtual Private Cloud 中的對等安全群組時傳播安全群組參考。如果複本安全群組未正確參考對等安全群組，則 Firewall Manager 會將這些複寫的安全群組標記為不合規。如需有關如何在 Amazon VPC 中參考對等安全群組的資訊，請參閱《[Amazon VPC 對等指南](https://docs.aws.amazon.com/vpc/latest/peering/)》中的[更新您的安全群組以參考對等安全群組](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html)。

   如果您未啟用此選項，防火牆管理員不會將安全群組參考傳播至複本安全群組。如需 Amazon VPC 中 VPC 對等互連的相關資訊，請參閱 [Amazon VPC 對等互連指南](https://docs.aws.amazon.com/vpc/latest/peering/)。

**政策建立與管理**  
當您建立常見的安全群組政策時，防火牆管理員會將主要安全群組複寫至政策範圍內的每個 Amazon VPC 執行個體，並將複寫的安全群組關聯至政策範圍內的帳戶和資源。當您修改主要安全群組時，防火牆管理員會將變更傳播到複本。

刪除常見安全群組政策時，您可以選擇是否要清理依此政策建立的資源。對於 Firewall Manager 常見安全群組，這些資源是複本安全群組。除非您想要在刪除政策後手動管理每個個別複本，否則請選擇清理選項。在大多數情況下，選擇清理是最簡單的方法。

**如何管理複本**  
Amazon VPC 執行個體中的複本安全群組管理方式與其他 Amazon VPC 安全群組相同。如需詳細資訊，請參閱《*Amazon* [VPC 使用者指南》中的 VPC 的安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)。

# 搭配 Firewall Manager 使用內容稽核安全群組政策
<a name="security-group-policies-audit"></a>

此頁面說明 Firewall Manager 內容稽核安全群組政策的運作方式。

使用 AWS Firewall Manager 內容稽核安全群組政策來稽核政策動作，並將其套用至組織安全群組中使用的規則。根據您在政策中定義的範圍，內容稽核安全群組政策適用於 AWS 組織中使用的所有客戶建立的安全群組。

如需使用主控台建立內容稽核安全群組政策的指引，請參閱 [建立內容稽核安全群組政策](create-policy.md#creating-firewall-manager-policy-audit-security-group)。

**政策範圍資源類型**  
您可以將內容稽核安全群組政策套用至下列資源類型：
+ Amazon Elastic Compute Cloud (Amazon EC2) 執行個體
+ 彈性網路界面
+ Amazon VPC 安全群組

如果安全群組明確位於範圍內，或與範圍內的資源相關聯，則會將該安全群組視為在政策範圍內。

**政策規則選項**  
您可以為每個內容稽核政策使用受管政策規則或自訂政策規則，但不能同時使用兩者。
+ **受管政策規則** – 在具有受管規則的政策中，您可以使用應用程式和通訊協定清單來控制 Firewall Manager 稽核哪些規則，並將哪些規則標記為合規或不合規。您可以使用 Firewall Manager 管理的清單。您也可以建立和使用自己的應用程式和通訊協定清單。如需這些清單類型和自訂清單管理選項的相關資訊，請參閱 [使用 Firewall Manager 受管清單](working-with-managed-lists.md)。
+ **自訂政策規則** – 在具有自訂政策規則的政策中，您將現有的安全群組指定為政策的稽核安全群組。您可以使用稽核安全群組規則做為範本，定義 Firewall Manager 稽核的規則，並將 標記為合規或不合規。

**稽核安全群組**  
您必須使用 Firewall Manager 管理員帳戶建立稽核安全群組，才能在政策中使用它們。您可以透過 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon EC2) 管理安全群組。如需詳細資訊，請參閱《*Amazon VPC 使用者指南*》中的[使用安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)。

Firewall Manager 只會使用您用於內容稽核安全群組政策的安全群組，做為政策範圍內安全群組的比較參考。Firewall Manager 不會將其與組織中的任何資源建立關聯。

您在稽核安全群組中定義規則的方式取決於您在政策規則設定中的選擇：
+ **受管政策規則** – 對於受管政策規則設定，您可以使用稽核安全群組來覆寫政策中的其他設定，以明確允許或拒絕可能具有其他合規結果的規則。
  + 如果您選擇一律*允許*稽核安全群組中定義的規則，則任何符合稽核安全群組中定義規則的規則都會視為*符合*政策，無論其他政策設定為何。
  + 如果您選擇一律*拒絕*稽核安全群組中定義的規則，則任何符合稽核安全群組中定義規則的規則都會被視為*不符合*政策，無論其他政策設定為何。
+ **自訂政策規則** – 針對自訂政策規則設定，稽核安全群組會提供範圍內安全群組規則中可接受或不接受的範例：
  + 如果您選擇*允許*使用規則，則所有範圍內的安全群組都必須具有在政策稽核安全群組規則**允許範圍內的規則。*在此情況下，政策的安全群組規則會提供可接受的做法範例。*
  + 如果您選擇*拒絕*使用規則，則所有範圍內的安全群組只能擁有*不在*政策稽核安全群組規則允許範圍內的規則。*在此情況下，政策的安全群組會提供不允許執行的動作範例。*

**政策建立與管理**  
建立稽核安全群組政策時，您必須停用自動修補。建議的實務為在啟用自動修補前檢閱政策建立的效用。檢閱預期的效用後，您可以編輯政策，並啟用自動修補。啟用自動修復時，防火牆管理員會更新或移除範圍內安全群組中不合規的規則。

**受稽核安全群組政策影響的安全群組**  
您組織中由客戶建立的所有安全群組均有資格位於稽核安全群組政策中。

複本安全群組不是由客戶建立，因此沒有直接位於稽核安全群組政策範圍中的資格。不過它們可以隨著政策的自動修補活動而更新。常見安全群組政策的主要安全群組是由客戶建立，因此可以在稽核安全群組政策的範圍內。如果稽核安全群組政策對主要安全群組進行變更，防火牆管理員會自動將這些變更傳播到複本。

## 內容稽核安全群組政策的注意事項和限制
<a name="policies-audit-limitations"></a>

您無法在內容稽核安全群組政策中參考對等安全群組。

如需所有 Firewall Manager 安全群組中其他考量事項的資訊，請參閱 [安全群組政策警告和限制](security-group-policies.md#security-groups-limitations)。

# 搭配 Firewall Manager 使用用量稽核安全群組政策
<a name="security-group-policies-usage"></a>

此頁面說明 Firewall Manager 用量稽核安全群組政策的運作方式。

使用 AWS Firewall Manager 用量稽核安全群組政策來監控組織的未使用和備援安全群組，並選擇性地執行清除。當您啟用此政策的自動修復時， Firewall Manager 會執行下列動作：

1. 整合多餘的安全群組 (如果您已選擇該選項)。

1. 移除未使用的安全群組 (如果您已選擇該選項)。

您可以將用量稽核安全群組政策套用至下列資源類型：
+ Amazon VPC 安全群組

如需使用主控台建立用量稽核安全群組政策的指引，請參閱 [建立用途稽核安全群組政策](create-policy.md#creating-firewall-manager-policy-usage-security-group)。

**Firewall Manager 如何偵測和修復備援安全群組**  
若要將安全群組視為備援，它們必須設定完全相同的規則，且位於相同的 Amazon VPC 執行個體中。

若要修復備援安全群組集，防火牆管理員會選取要保留的集合中的其中一個安全群組，然後將其與集合中與其他安全群組相關聯的所有資源建立關聯。然後 Firewall Manager 會將其他安全群組與與其相關聯的資源取消關聯，這會讓這些群組未使用。

**注意**  
如果您也選擇移除未使用的安全群組，則 Firewall Manager 會執行此操作。此動作會移除備援組中的安全群組。

**Firewall Manager 如何偵測和修復未使用的安全群組**  
如果下列兩者都成立，則 Firewall Manager 會將安全群組視為未使用：
+ 任何 Amazon EC2 執行個體或 Amazon EC2 彈性網路介面都不會使用安全群組。
+ Firewall Manager 未在政策規則期間指定的分鐘數內收到其組態項目。

政策規則期間預設設定為零分鐘，但您可以將時間增加到 365 天 (525，600 分鐘），以便自己有時間將新的安全群組與資源建立關聯。

**重要**  
如果您指定預設值為零以外的分鐘數，則必須在其中啟用間接關係 AWS Config。否則，您的用量稽核安全群組政策將無法如預期般運作。如需 中間接關係的相關資訊 AWS Config，請參閱《 *AWS Config 開發人員指南*》中的 [中的間接關係 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/faq.html#faq-2)。

Firewall Manager 會盡可能根據規則設定從您的帳戶刪除未使用的安全群組，以修復未使用的安全群組。如果 Firewall Manager 無法刪除安全群組，它會將其標記為不合規政策。Firewall Manager 無法刪除由另一個安全群組參考的安全群組。

修復的時間會根據您使用的是預設時段設定或自訂設定而有所不同：
+ **時間範圍設定為零，預設值** – 使用此設定時，只要 Amazon EC2 執行個體或彈性網路介面未使用安全群組，就會將其視為未使用。

  對於此零時段設定，防火牆管理員會立即修復安全群組。
+ **大於零的時段** – 使用此設定，當 Amazon EC2 執行個體或彈性網路介面未使用安全群組，且 Firewall Manager 未在指定的分鐘數內收到其組態項目時，安全群組會被視為未使用。

  對於非零時段設定，防火牆管理員會在安全群組保持未使用狀態 24 小時後進行修復。

**預設帳戶規格**  
當您透過主控台建立用量稽核安全群組政策時，防火牆管理員會自動選擇**排除指定的帳戶並包含所有其他**帳戶。然後，服務會將 Firewall Manager 管理員帳戶放入清單中以排除。這是建議的方法，可讓您手動管理屬於 Firewall Manager 管理員帳戶的安全群組。

# 搭配 Firewall Manager 使用 Amazon VPC 網路存取控制清單 (ACL) 政策
<a name="network-acl-policies"></a>

本節涵蓋 AWS Firewall Manager 網路 ACL 政策的運作方式，並提供使用這些政策的指引。如需使用主控台建立網路 ACL 政策的指引，請參閱 [建立網路 ACL 政策](create-policy.md#creating-firewall-manager-policy-network-acl)。

如需有關 Amazon VPC 網路存取控制清單 (ACLs) 的資訊，請參閱《*Amazon VPC 使用者指南*》中的[使用網路 ACLs 控制子網路的流量](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)。

您可以使用 Firewall Manager 網路 ACL 政策來管理組織中的 Amazon Virtual Private Cloud (Amazon VPC) 網路存取控制清單 (ACLs) AWS Organizations。您可以定義政策的網路 ACL 規則設定，以及您要強制執行設定的帳戶和子網路。Firewall Manager 會在在整個組織中新增或更新帳戶和子網路時，持續將您的政策設定套用至這些帳戶和子網路。如需政策範圍 和 的相關資訊 AWS Organizations，請參閱 [使用 AWS Firewall Manager 政策範圍](policy-scope.md)和 [AWS Organizations 使用者指南](https://docs.aws.amazon.com/organizations/latest/userguide/)。

當您定義 Firewall Manager 網路 ACL 政策時，除了標準 Firewall Manager 政策設定，例如名稱和範圍，您還可以提供下列項目：
+ 傳入和傳出流量處理的第一個和最後一個規則。Firewall Manager 會在政策範圍內的網路 ACLs 中強制執行這些項目的存在和排序，或報告不合規。您的個別帳戶可以建立自訂規則，以便在政策的第一個和最後一個規則之間執行。
+ 當修復會導致網路 ACL 中的規則之間發生流量管理衝突時，是否強制修復。這僅適用於針對政策啟用修補時。

## 使用 Firewall Manager 網路 ACL 政策的最佳實務
<a name="network-acls-best-practice"></a>

本節列出使用 Firewall Manager 網路 ACL 政策和受管網路 ACLs 的建議。

**請參閱 `FMManaged`標籤以識別由 Firewall Manager 管理的網路 ACLs**  
Firewall Manager 管理的網路 ACLs 會將`FMManaged`標籤設定為 `true`。使用此標籤來協助區分您自己的自訂網路 ACLs 與您透過 Firewall Manager 管理的 ACL。

**請勿修改網路 ACL 上`FMManaged`標籤的值**  
Firewall Manager 使用此標籤來設定和判斷其具有網路 ACL 的管理狀態。

**請勿修改具有 Firewall Manager 受管網路 ACLs 之子網路的關聯**  
請勿手動變更子網路與 Firewall Manager 管理的任何網路 ACLs 之間的關聯。這樣做可以停用 Firewall Manager 管理這些子網路保護的能力。您可以透過尋找 的`FMManaged`標籤設定來識別由 Firewall Manager 管理的網路 ACLs`true`。

若要從 Firewall Manager 政策管理中移除子網路，請使用 Firewall Manager 政策範圍設定來排除子網路。例如，您可以標記子網路，然後從政策範圍中排除該標籤。如需詳細資訊，請參閱[使用 AWS Firewall Manager 政策範圍](policy-scope.md)。

**當您更新受管網路 ACL 時，請勿修改 Firewall Manager 管理的規則**  
在 Firewall Manager 管理的網路 ACL 中，遵循 中所述的編號機制，將您的自訂規則與政策規則分開[在 Firewall Manager 中使用網路 ACL 規則和標記](network-acls-fms-managed.md)。僅新增或修改數字介於 5，000 到 32，000 之間的規則。

**避免為您的帳戶限制新增太多規則**  
在修復網路 ACL 期間，防火牆管理員通常會暫時增加網路 ACL 規則計數。為了避免不合規問題，請確定您有足夠的空間容納正在使用的規則。如需詳細資訊，請參閱[Firewall Manager 如何修復不合規的受管網路 ACLs](network-acls-remediation.md)。

**從停用自動修補開始**  
從停用自動修復開始，然後檢閱政策詳細資訊，以判斷自動修復會帶來的影響。當您確認這些變更正是您所需的時，請編輯政策，以啟用自動修補。

## Firewall Manager 網路 ACL 政策注意事項
<a name="network-acls-caveats"></a>

本節列出使用 Firewall Manager 網路 ACL 政策的注意事項和限制。
+ **更新時間比其他政策慢** – Firewall Manager 通常會比其他 Firewall Manager 政策更慢地套用網路 ACL 政策和政策變更，因為 Amazon EC2 網路 ACL APIs 能夠處理請求的速率有限。您可能會注意到政策變更需要比其他 Firewall Manager 政策的類似變更更長的時間，特別是當您第一次新增政策時。
+ **對於初始子網路保護，防火牆管理員偏好較舊的政策** – 這僅適用於尚未受到防火牆管理員網路 ACL 政策保護的子網路。如果子網路同時進入多個網路 ACL 政策的範圍，則 Firewall Manager 會使用最舊的政策來保護子網路。
+ **政策停止保護子網路的原因** – 管理子網路網路 ACL 的政策會保留管理，直到發生下列其中一種情況：
  + 子網路超出政策的範圍。
  + 政策已刪除。
  + 您可以手動將子網路的關聯變更為由不同 Firewall Manager 政策管理且子網路在範圍內的網路 ACL。

**Topics**
+ [使用 Firewall Manager 網路 ACL 政策的最佳實務](#network-acls-best-practice)
+ [Firewall Manager 網路 ACL 政策注意事項](#network-acls-caveats)
+ [在 Firewall Manager 中使用網路 ACL 規則和標記](network-acls-fms-managed.md)
+ [Firewall Manager 如何啟動子網路的網路 ACL 管理](network-acls-initialization.md)
+ [Firewall Manager 如何修復不合規的受管網路 ACLs](network-acls-remediation.md)
+ [刪除 Firewall Manager 網路 ACL 政策](network-acls-deletion.md)

# 在 Firewall Manager 中使用網路 ACL 規則和標記
<a name="network-acls-fms-managed"></a>

本節說明網路 ACL 政策規則規格，以及 Firewall Manager 管理的網路 ACLs。

**受管網路 ACL 上的標記**  
Firewall Manager 會使用值為 的`FMManaged`標籤來標記受管網路 ACL`true`。Firewall Manager 只會對具有此標籤設定的網路 ACLs 執行修復。

**您在政策中定義的規則**  
在網路 ACL 政策規格中，您可以定義您要針對傳入流量先執行和最後執行的規則，以及您要針對傳出流量先執行和最後執行的規則。

根據預設，您最多可以定義 5 個傳入規則，以政策中第一個和最後一個規則的任意組合使用。同樣地，您最多可以定義 5 個傳出規則。如需這些限制的詳細資訊，請參閱 [軟配額](fms-limits.md#fms-limits-mutable)。如需有關網路 ACLs 一般限制的資訊，請參閱《[Amazon VPC 使用者指南》中的網路 ACLs 上的 Amazon VPC 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls)。 **

您不會將規則編號指派給政策規則。反之，您可以按照您希望評估規則的順序指定規則，而 Firewall Manager 會使用該順序在管理的網路 ACLs 中指派規則編號。

除此之外，您可以管理政策的網路 ACL 規則規格，就像透過 Amazon VPC 管理網路 ACL 中的規則一樣。如需 Amazon VPC 中網路 ACL 管理的資訊，請參閱《**Amazon VPC 使用者指南**》中的[使用網路 ACLs 和使用網路 ACL 控制子網路的流量](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)。 [ ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) 

**受管網路 ACL 中的規則**  
Firewall Manager 會在個別帳戶管理員定義的任何自訂規則之前和之後放置政策的第一個和最後一個規則，藉此在管理的網路 ACL 中設定規則。Firewall Manager 會保留自訂規則的順序。從編號最低的規則開始評估網路 ACLs。

Firewall Manager 第一次建立網路 ACL 時，會定義具有下列編號的規則：
+ **第一個規則：1、2、...** – 由您在 Firewall Manager 網路 ACL 政策中定義。

  Firewall Manager 會指派從 1 開始的規則編號，增量為 1，並依照您在政策規格中排序的規則排序。
+ **自訂規則：5，000、5，100、...** – 由個別客戶經理透過 Amazon VPC 管理。

  Firewall Manager 會將數字指派給這些規則，從 5，000 開始，並為每個後續規則遞增 100。
+ **最後一個規則：... 32，765， 32，766** – 由您在 Firewall Manager 網路 ACL 政策中定義。

  Firewall Manager 會指派以最高可能數目結尾的規則編號 32766，增量為 1，並依您在政策規格中排序的規則排序。

網路 ACL 初始化後，防火牆管理員不會控制個別帳戶在其受管網路 ACLs 中所做的變更。個別帳戶可以在不違反合規的情況下變更網路 ACL，前提是任何自訂規則在政策的第一個和最後一個規則之間保持編號，而第一個和最後一個規則維持其指定的順序。根據最佳實務，管理自訂規則時，請遵循本節所述的編號。

# Firewall Manager 如何啟動子網路的網路 ACL 管理
<a name="network-acls-initialization"></a>

本節說明 Firewall Manager 如何啟動子網路的網路 ACL 管理。

Firewall Manager 將子網路與 Firewall Manager 建立並標記為 `FMManaged` 的網路 ACL 建立關聯時，會開始管理子網路的網路 ACL`true`。

遵循網路 ACL 政策需要子網路的網路 ACL 先依政策中指定的順序放置政策的第一個規則、最後放置最後一個規則的順序，以及位於中間的任何其他自訂規則。這些需求可由子網路已與受管網路 ACL 建立關聯的未受管網路 ACL 滿足。

當 Firewall Manager 將網路 ACL 政策套用至與未受管網路 ACL 相關聯的子網路時， Firewall Manager 會依序檢查下列項目，並在識別可行選項時停止：

1. **關聯的網路 ACL 已經合規** – 如果目前與子網路相關聯的網路 ACL 合規，則 Firewall Manager 會保留該關聯，而不會啟動子網路的網路 ACL 管理。

   Firewall Manager 不會變更或以其他方式管理非其擁有的網路 ACL，但只要符合規範， Firewall Manager 就會將其保留並監控其是否符合政策。

1. **提供合規的受管網路 ACL** – 如果 Firewall Manager 已管理符合所需組態的網路 ACL，則這是選項。如果啟用修復，防火牆管理員會將子網路與其建立關聯。如果停用修復，防火牆管理員會將子網路標記為不合規，並提供取代網路 ACL 關聯作為修復選項。

1. **建立新的合規受管網路 ACL** – 如果啟用修復，防火牆管理員會建立新的網路 ACL，並將其與子網路建立關聯。否則，防火牆管理員會將子網路標記為不合規，並提供修復選項來建立新的網路 ACL 和取代網路 ACL 關聯。

如果這些步驟失敗，防火牆管理員會報告子網路的不合規。

當子網路第一次進入範圍，以及子網路的未受管網路 ACL 不合規時，防火牆管理員會遵循這些步驟。

# Firewall Manager 如何修復不合規的受管網路 ACLs
<a name="network-acls-remediation"></a>

本節說明 Firewall Manager 如何在不符合政策時修復其受管網路 ACLs。Firewall Manager 只會修復受管網路 ACLs，並將`FMManaged`標籤設定為 `true`。如需非由 Firewall Manager 管理的網路 ACLs，請參閱 [初始網路 ACL 管理](network-acls-initialization.md)。

修復會還原第一個、自訂和最後一個規則的相對位置，並還原第一個和最後一個規則的排序。在修復期間，防火牆管理員不一定會將規則移至網路 ACL 初始化中使用的規則號碼。如需這些規則類別的初始數字設定和說明，請參閱 [初始網路 ACL 管理](network-acls-initialization.md)。

為了建立合規規則和規則排序，防火牆管理員可能需要在網路 ACL 內移動規則。Firewall Manager 會盡可能維持現有的合規規則順序，以保留網路 ACL 的保護。例如，它可能會暫時將規則複製到新位置，然後依序移除原始規則，在程序期間保留相對位置。

此方法可保護您的設定，但臨時規則也需要網路 ACL 中的空間。如果 Firewall Manager 達到網路 ACL 中規則的限制，將會停止修復。發生這種情況時，網路 ACL 會維持不合規狀態，且 Firewall Manager 會報告原因。

如果帳戶將自訂規則新增至由 Firewall Manager 管理的網路 ACL，且這些規則干擾 Firewall Manager 修補，則 Firewall Manager 會停止網路 ACL 上的任何修補活動並報告衝突。

**強制修復**  
如果您選擇政策的自動修復，您也可以指定要強制第一個規則或最後一個規則的修復。

當 Firewall Manager 在自訂規則和政策規則之間遇到流量處理衝突時，它是指對應的強制修復設定。如果啟用強制修復，即使發生衝突， Firewall Manager 仍會套用修復。如果未啟用此選項，防火牆管理員會停止修復。在任何一種情況下，防火牆管理員都會報告規則衝突並提供修補選項。

**規則計數需求和限制**  
在修復期間，防火牆管理員可能會暫時複製規則，以便在不變更其提供的保護的情況下移動規則。

對於傳入或傳出規則，防火牆管理員可能需要執行修復的最大規則數量如下：

```
2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction
```

網路 ACLs 和網路 ACL 政策受可變規則限制約束。如果 Firewall Manager 在修復工作中達到限制，則會停止嘗試修復和報告不合規。

若要讓 Firewall Manager 有空間執行其修補活動，您可以請求提高限制。或者，您可以變更政策或網路 ACL 中的組態，以減少使用的規則數量。

如需網路 ACL 限制的相關資訊，請參閱《[Amazon VPC 使用者指南》中的網路 ACLs 上的 Amazon VPC 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls)。 **

**當修復失敗時**  
更新網路 ACL 時，如果 Firewall Manager 因任何原因需要停止，則不會轉返變更，而是讓網路 ACL 處於臨時狀態。如果您在`FMManaged`標籤設定為 的網路 ACL 中看到重複的規則`true`，則 Firewall Manager 可能正在修復它。變更可能會部分完成一段時間，但由於 Firewall Manager 採取的修復方法，這不會中斷流量或減少對相關聯子網路的保護。

當 Firewall Manager 未完全修復不合規的網路 ACLs 時，它會報告相關聯子網路的不合規情況，並建議可能的修復選項。

**修復失敗後重試**  
在大多數情況下，如果 Firewall Manager 無法完成網路 ACL 的修復變更，最終會重試變更。

例外狀況是修補達到網路 ACL 規則計數限制或 VPC 網路 ACL 計數限制時。Firewall Manager 無法執行將 AWS 資源超過其限制設定的修復活動。在這些情況下，您需要減少計數或增加限制才能繼續。如需限制的相關資訊，請參閱《[Amazon VPC 使用者指南》中的網路 ACLs 上的 Amazon VPC 配額](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-nacls)。 **

## Firewall Manager 網路 ACL 合規報告
<a name="network-acls-compliance"></a>

Firewall Manager 會監控並報告連接到範圍內子網路的所有網路 ACLs 的合規性。

一般而言，如果規則順序不正確或政策規則與自訂規則之間的流量處理行為發生衝突，就會發生不合規。不合規報告包括合規違規和修復選項。

Firewall Manager 以與其他政策類型相同的方式報告網路 ACL 政策的合規違規。如需合規報告的資訊，請參閱 [檢視 AWS Firewall Manager 政策的合規資訊](fms-compliance.md)。

**政策更新期間的不合規**  
修改網路 ACL 政策後，在 Firewall Manager 更新政策範圍內的網路 ACLs 之前，防火牆管理員會將這些網路 ACLs 標記為不合規。即使網路 ACLs可能嚴格地說符合規範， Firewall Manager 也會這樣做。

例如，如果您從政策規格中移除規則，雖然範圍內網路 ACLs 仍有額外的規則，但其規則定義仍可能符合政策。不過，由於額外的規則是 Firewall Manager 管理規則的一部分，因此 Firewall Manager 會將它們視為違反目前政策設定的行為。這與 Firewall Manager 如何檢視您新增至 Firewall Manager 受管網路 ACLs自訂規則不同。

# 刪除 Firewall Manager 網路 ACL 政策
<a name="network-acls-deletion"></a>

本節說明當您刪除 Firewall Manager 網路 ACL 政策時，防火牆管理員會發生什麼情況。

當您刪除 Firewall Manager 網路 ACL 政策時，防火牆管理員會在其為政策管理的所有網路 ACLs `false` 上將`FMManaged`標籤值變更為 。

此外，您可以選擇是否要清除政策建立的資源。如果您選擇清除， Firewall Manager 會依序嘗試下列步驟：

1. **將關聯放回原始** - Firewall Manager 會嘗試將子網路關聯回防火牆管理員開始管理子網路之前與其相關聯的網路 ACL。

1. **從網路 ACL 移除第一個和最後一個規則** – 如果無法變更關聯，防火牆管理員會嘗試移除政策的第一個和最後一個規則，只保留與子網路相關聯的網路 ACL 中的自訂規則。

1. **不對規則或關聯執行**任何動作 – 如果無法執行上述任一動作，則 Firewall Manager 會保留網路 ACL 及其關聯。

如果您未選擇清除選項，則需要在刪除政策後手動管理每個網路 ACL。在大多數情況下，選擇清理是最簡單的方法。

# 在 Firewall Manager 中使用 AWS Network Firewall 政策
<a name="network-firewall-policies"></a>

本節說明如何搭配 Firewall Manager 使用 AWS Network Firewall 政策。

您可以使用 AWS Firewall Manager Network Firewall *政策*來管理整個*組織中* Amazon Virtual Private Cloud *VPCs* AWS Network Firewall *的防火牆* AWS Organizations。您可以將集中控制的防火牆套用到整個組織，或套用到您帳戶和 VPCs的選取子集。

Network Firewall 為 VPCs 中的公有子網路提供網路流量篩選保護。Firewall Manager 會根據政策定義的防火牆*管理類型*來建立和管理防火牆。Firewall Manager 提供下列防火牆管理模型：
+ **分散式** - 對於政策範圍內的每個帳戶和 VPC，防火牆管理員會建立 Network Firewall 防火牆並將防火牆端點部署到 VPC 子網路，以篩選網路流量。
+ **集中式** - Firewall Manager 在單一 Amazon VPC 中建立單一網路防火牆防火牆。
+ **匯入現有防火牆** - Firewall Manager 會在單一 Firewall Manager 政策中匯入現有防火牆以進行管理。您可以將其他規則套用至政策管理的匯入防火牆，以確保您的防火牆符合您的安全標準。

**注意**  
Firewall Manager Network Firewall 政策是您用來管理整個組織中 VPCs 之 Network Firewall 保護的 Firewall Manager 政策。  
Network Firewall 保護是在 Network Firewall 服務中稱為防火牆政策的資源中指定。

如需有關使用 Network Firewall 的資訊，請參閱 [AWS Network Firewall 開發人員指南](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)。

下列各節涵蓋使用 Firewall Manager Network Firewall 政策的要求，並說明政策的運作方式。如需建立政策的程序，請參閱 [為 建立 AWS Firewall Manager 政策 AWS Network Firewall](create-policy.md#creating-firewall-manager-policy-for-network-firewall)。

**重要**  
**您必須啟用資源共用。**Network Firewall 政策會跨組織中的帳戶共用 Network Firewall 規則群組。為此，您必須啟用資源共用 AWS Organizations。如需如何啟用資源共用的資訊，請參閱 [Network Firewall 和 DNS Firewall 政策的資源共用](resource-sharing.md)。

**重要**  
**您必須定義 Network Firewall 規則群組。 **當您指定新的 Network Firewall 政策時，您定義防火牆政策的方式與 AWS Network Firewall 直接使用 時相同。您可以指定要新增的無狀態規則群組、預設無狀態動作和有狀態規則群組。您的規則群組必須已存在於 Firewall Manager 管理員帳戶中，您才能將規則群組包含在政策中。如需建立 Network Firewall 規則群組的詳細資訊，請參閱[AWS Network Firewall 規則群組](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html)。

**Topics**
+ [Firewall Manager 如何建立防火牆端點](fms-create-firewall-endpoints.md)
+ [Firewall Manager 如何管理您的防火牆子網路](fms-manage-firewall-subnets.md)
+ [Firewall Manager 如何管理您的 Network Firewall 資源](fms-manage-network-firewall.md)
+ [Firewall Manager 如何管理和監控政策的 VPC 路由表](fms-manage-vpc-route-tables.md)
+ [設定 AWS Network Firewall 政策的記錄](nwfw-policies-logging-config.md)

# Firewall Manager 如何建立防火牆端點
<a name="fms-create-firewall-endpoints"></a>

本節說明 Firewall Manager 如何建立防火牆端點。

政策中的*防火牆管理類型*決定 Firewall Manager 如何建立防火牆。您的政策可以建立*分散式*防火牆、*集中式*防火牆，也可以**匯入現有的防火牆**：
+ **分散式** - 透過分散式部署模型， Firewall Manager 會為政策範圍內的每個 VPC 建立端點。您可以指定要在其中建立防火牆端點的可用區域來自訂端點位置，或者 Firewall Manager 可以在具有公有子網路的可用區域中自動建立端點。如果您手動選擇可用區域，您可以選擇限制每個可用區域的允許 CIDRs 集。如果您決定讓 Firewall Manager 自動建立端點，您也必須指定服務要在 VPCs內建立單一端點或多個防火牆端點。
  + 對於多個防火牆端點， Firewall Manager 會在每個可用區域中部署防火牆端點，其中您在路由表中具有具有網際網路閘道或 Firewall Manager 建立的防火牆端點路由的子網路。這是網路防火牆政策的預設選項。
  + 對於單一防火牆端點，防火牆管理員會在具有網際網路閘道路由的任何子網路的單一可用區域中部署防火牆端點。使用此選項時，其他區域中的流量需要跨區域邊界，才能由防火牆篩選。
**注意**  
對於這兩個選項，必須有子網路與路由表中具有 IPv4/字首清單路由相關聯。Firewall Manager 不會檢查任何其他資源。
+ **集中式** - 透過集中式部署模型，防火牆管理員會在*檢查 VPC* 中建立一或多個防火牆端點。檢查 VPC 是 Firewall Manager 啟動端點的中央 VPC。當您使用集中式部署模型時，您也可以指定要在其中建立防火牆端點的可用區域。您無法在建立政策後變更檢查 VPC。若要使用不同的檢查 VPC，您必須建立新的政策。
+ **匯入現有防火牆** - 當您匯入現有防火牆時，您可以透過將一或多個*資源集*新增至政策，來選擇要在政策中管理的防火牆。資源集是資源的集合，在此情況下，網路防火牆中的現有防火牆是由組織中的帳戶管理。在政策中使用資源集之前，您必須先建立資源集。如需 Firewall Manager 資源集的詳細資訊，請參閱 [在 Firewall Manager 中分組您的資源](fms-resource-sets.md)。

  使用匯入的防火牆時，請注意下列考量事項：
  + 如果匯入的防火牆不合規，防火牆管理員會嘗試自動解決違規，但下列情況除外：
    + 如果 Firewall Manager 與 Network Firewall 政策的狀態或無狀態預設動作不相符。
    + 如果匯入防火牆的防火牆政策中的規則群組具有與 Firewall Manager 政策中的規則群組相同的優先順序。
    + 如果匯入的防火牆使用與非政策資源集一部分的防火牆相關聯的防火牆政策。這可能是因為防火牆可以只有一個防火牆政策，但單一防火牆政策可以與多個防火牆相關聯。
    + 如果屬於匯入防火牆防火牆政策的預先存在規則群組，且防火牆管理員政策中也指定了不同的優先順序。
  + 如果您在政策中啟用資源清除，防火牆管理員會從資源集範圍內的防火牆移除 FMS 匯入政策中的規則群組。
  + 由 Firewall Manager 管理且匯入現有防火牆管理類型的防火牆一次只能由一個政策管理。如果將相同的資源集新增至多個匯入網路防火牆政策，資源集中的防火牆將由資源集所新增的第一個政策管理，而第二個政策則會予以忽略。
  + Firewall Manager 目前不會串流例外狀況政策組態。如需有關串流例外狀況政策的資訊，請參閱《 *AWS Network Firewall 開發人員指南*》中的[串流例外狀況政策](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policy-settings.html#:~:text=Stream%20exception%20policy)。
  + 匯入現有的防火牆不支援匯入 Transit 閘道連接的防火牆。

如果您使用分散式或集中式防火牆管理變更政策的可用區域清單，防火牆管理員會嘗試清除過去建立但目前不在政策範圍內的任何端點。只有在沒有參考超出範圍端點的路由表路由時，防火牆管理員才會移除端點。如果 Firewall Manager 發現無法刪除這些端點，它會將防火牆子網路標記為不合規，並繼續嘗試移除端點，直到可安全刪除為止。

# Firewall Manager 如何管理您的防火牆子網路
<a name="fms-manage-firewall-subnets"></a>

本節說明 Firewall Manager 如何管理您的防火牆子網路。

防火牆子網路是 Firewall Manager 為篩選網路流量的防火牆端點建立的 VPC 子網路。每個防火牆端點都必須部署在專用 VPC 子網路中。Firewall Manager 會在政策範圍內的每個 VPC 中建立至少一個防火牆子網路。

對於搭配自動端點組態使用分散式部署模型的政策， Firewall Manager 只會在可用區域中建立防火牆子網路，該區域具有具有網際網路閘道路由的子網路，或具有路由至 Firewall Manager 為其政策建立之防火牆端點的子網路。如需詳細資訊，請參閱《Amazon VPC 使用者指南》**中的 [VPC 和子網路](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Subnets.html#vpc-subnet-basics)。

對於使用分散式或集中式模型的政策，當您指定防火牆管理員在其中建立防火牆端點時，防火牆管理員會在這些特定可用區域中建立端點，無論可用區域中是否有其他資源。

當您首次定義 Network Firewall 政策時，您可以指定 Firewall Manager 如何管理範圍內每個 VPCs中的防火牆子網路。您稍後無法變更此選項。

對於搭配自動端點組態使用分散式部署模型的政策，您可以選擇下列選項：
+ 為具有公有子網路的每個可用區域部署防火牆子網路。這是預設行為。這可提供高可用性的流量篩選保護。
+ 在一個可用區域中部署單一防火牆子網路。使用此選項，防火牆管理員會識別 VPC 中具有最多公有子網路的區域，並在其中建立防火牆子網路。單一防火牆端點會篩選 VPC 的所有網路流量。這可以降低防火牆成本，但它不是高度可用的，而且需要來自其他區域的流量才能跨區域邊界進行篩選。

對於搭配自訂端點組態或集中式部署模型使用分散式部署模型的政策， Firewall Manager 會在政策範圍內的指定可用區域中建立子網路。

您可以為 Firewall Manager 提供 VPC CIDR 區塊，以用於防火牆子網路，或者您可以將防火牆端點地址的選擇保留為 Firewall Manager 決定。
+ 如果您不提供 CIDR 區塊， Firewall Manager 會查詢您的 VPCs 以取得要使用的可用 IP 地址。
+ 如果您提供 CIDR 區塊清單，防火牆管理員只會在您提供的 CIDR 區塊中搜尋新的子網路。您必須使用 /28 CIDR 區塊。對於 Firewall Manager 建立的每個防火牆子網路，它會演練 CIDR 區塊清單，並使用第一個找到適用於可用區域和 VPC 且具有可用地址的子網路。如果 Firewall Manager 在 VPC 中找不到開放空間 （有或沒有限制），則服務不會在 VPC 中建立防火牆。

如果 Firewall Manager 無法在可用區域中建立所需的防火牆子網路，它會將子網路標記為不符合政策。當區域處於此狀態時，區域的流量必須跨越區域邊界，才能由另一個區域中的端點篩選。這類似於單一防火牆子網路案例。

# Firewall Manager 如何管理您的 Network Firewall 資源
<a name="fms-manage-network-firewall"></a>

本節說明如何在 Firewall Manager 中管理 Network Firewall 資源。

當您在 Firewall Manager 中定義政策時，您會提供標準 AWS Network Firewall 防火牆政策的網路流量篩選行為。您可以新增無狀態和有狀態網路防火牆規則群組，並為不符合任何無狀態規則的封包指定預設動作。如需在 中使用防火牆政策的資訊 AWS Network Firewall，請參閱[AWS Network Firewall 防火牆政策](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html)。

對於分散式和集中式政策，當您儲存網路防火牆政策時，防火牆管理員會在政策範圍內的每個 VPC 中建立防火牆和防火牆政策。Firewall Manager 透過串連下列值來命名這些 Network Firewall 資源：
+ 固定字串，`FMManagedNetworkFirewall`或 `FMManagedNetworkFirewallPolicy`，取決於資源類型。
+ Firewall Manager 政策名稱。這是您在建立政策時指派的名稱。
+ Firewall Manager 政策 ID。這是 Firewall Manager 政策 AWS 的資源 ID。
+ Amazon VPC ID。這是 Firewall Manager 建立防火牆和防火牆政策的 VPC AWS 資源 ID。

以下顯示由 Firewall Manager 管理之防火牆的範例名稱：

```
FMManagedNetworkFirewallEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId
```

以下顯示防火牆政策名稱範例：

```
FMManagedNetworkFirewallPolicyEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId
```

建立政策後，VPCs中的成員帳戶無法覆寫防火牆政策設定或規則群組，但可以將規則群組新增至防火牆管理員建立的防火牆政策。

# Firewall Manager 如何管理和監控政策的 VPC 路由表
<a name="fms-manage-vpc-route-tables"></a>

本節說明 Firewall Manager 如何管理和監控 VPC 路由表。

**注意**  
使用集中式部署模型的政策目前不支援路由表管理。

Firewall Manager 建立防火牆端點時，也會為其建立 VPC 路由表。不過，防火牆管理員不會管理您的 VPC 路由表。您必須設定 VPC 路由表，將網路流量導向 Firewall Manager 建立的防火牆端點。使用 Amazon VPC 輸入路由增強功能，變更路由表以透過新的防火牆端點路由流量。您的變更必須在您要保護的子網路和外部位置之間插入防火牆端點。您需要執行的確切路由取決於您的架構及其元件。

目前，防火牆管理員允許監控您的 VPC 路由表路由，以找出目的地為網際網路閘道且繞過防火牆的任何流量。Firewall Manager 不支援其他目標閘道，例如 NAT 閘道。

如需有關管理 VPC 路由表的資訊，請參閱《*Amazon Virtual Private Cloud 使用者指南*》中的[管理 VPC 的路由表](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html)。如需有關管理 Network Firewall 路由表的詳細資訊，請參閱《 *AWS Network Firewall 開發人員指南*》中的[適用於 的路由表組態 AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/route-tables.html)。

當您啟用政策的監控時，防火牆管理員會持續監控 VPC 路由組態，並提醒您繞過該 VPC 防火牆檢查的流量。如果子網路具有防火牆端點路由，則 Firewall Manager 會尋找下列路由：
+ 將流量傳送至 Network Firewall 端點的路由。
+ 將流量從 Network Firewall 端點轉送到網際網路閘道的路由。
+ 從網際網路閘道到 Network Firewall 端點的傳入路由。
+ 來自防火牆子網路的路由。

如果子網路具有 Network Firewall 路由，但 Network Firewall 和網際網路閘道路由表中有非對稱路由，則 Firewall Manager 會將子網路報告為不合規。Firewall Manager 也會偵測 Firewall Manager 建立之防火牆路由表中網際網路閘道的路由，以及子網路的路由表，並將其回報為不合規。Network Firewall 子網路路由表和網際網路閘道路由表中的其他路由也會回報為不合規。視違規類型而定， Firewall Manager 會建議修補動作，讓路由組態符合規範。Firewall Manager 不會在所有情況下提供建議。例如，如果您的客戶子網路具有在 Firewall Manager 外部建立的防火牆端點，則 Firewall Manager 不建議修補動作。

根據預設，防火牆管理員會將任何超過可用區域界限的流量標記為不合規。不過，如果您選擇在 VPC 中自動建立單一端點，則 Firewall Manager 不會將跨越可用區域界限的流量標記為不合規。

對於使用分散式部署模型搭配自訂端點組態的政策，您可以選擇從沒有防火牆端點的可用區域跨越可用區域界限的流量是否標記為合規或不合規。

**注意**  
Firewall Manager 不建議non-IPv4 路由的修補動作，例如 IPv6 和字首清單路由。
使用 `DisassociateRouteTable` API 呼叫進行的呼叫最多可能需要 12 小時才能偵測。
Firewall Manager 會為包含防火牆端點的子網路建立 Network Firewall 路由表。Firewall Manager 假設此路由表僅包含有效的網際網路閘道和 VPC 預設路由。此路由表中任何額外或無效的路由都會被視為不合規。

當您設定 Firewall Manager 政策時，如果您選擇**監控**模式，則 Firewall Manager 會提供資源違規和資源的修補詳細資訊。您可以使用這些建議的修補動作來修正路由表中的路由問題。如果您選擇**關閉**模式，防火牆管理員不會為您監控路由表內容。使用此選項，您可以自行管理 VPC 路由表。如需這些資源違規的詳細資訊，請參閱 [檢視 AWS Firewall Manager 政策的合規資訊](fms-compliance.md)。

**警告**  
如果您在建立政策時選擇**監控**** AWS Network Firewall 低路由組態**，則無法關閉該政策的組態。不過，如果您選擇**關閉**，您可以稍後再啟用它。

# 設定 AWS Network Firewall 政策的記錄
<a name="nwfw-policies-logging-config"></a>

本節說明如何啟用 Network Firewall 政策的集中式記錄，以取得組織內流量的詳細資訊。您可以選擇流程記錄以擷取網路流量流程，或提醒記錄以報告符合規則且規則動作設為 `DROP`或 的流量`ALERT`。如需記錄的詳細資訊 AWS Network Firewall ，請參閱《 *AWS Network Firewall 開發人員指南*》中的[從 記錄網路流量 AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html)。

您可以將日誌從政策的網路防火牆防火牆傳送至 Amazon S3 儲存貯體。啟用記錄後， 會透過更新防火牆設定，將日誌 AWS Network Firewall 傳遞至您選取的 Amazon S3 儲存貯體，並加上預留 AWS Firewall Manager 字首 ，來傳遞每個已設定之 Network Firewall 的日誌`<policy-name>-<policy-id>`。

**注意**  
Firewall Manager 使用此字首來判斷 Firewall Manager 是否新增記錄組態，或帳戶擁有者是否新增記錄組態。如果帳戶擁有者嘗試為自己的自訂記錄使用預留字首，則會由 Firewall Manager 政策中的記錄組態覆寫。

如需如何建立 Amazon S3 儲存貯體和檢閱儲存日誌的詳細資訊，請參閱[《Amazon Simple Storage Service 使用者指南》中的什麼是 Amazon S3？](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html)。 **

若要啟用記錄功能，您必須符合下列要求：
+ 您在 Firewall Manager 政策中指定的 Amazon S3 必須存在。
+ 您必須具備下列許可：
  + `logs:CreateLogDelivery`
  + `s3:GetBucketPolicy`
  + `s3:PutBucketPolicy`
+ 如果記錄目的地的 Amazon S3 儲存貯體使用存放在 中的金鑰進行伺服器端加密 AWS Key Management Service，您必須將下列政策新增至 AWS KMS 客戶受管金鑰，以允許 Firewall Manager 登入您的 CloudWatch Logs 日誌群組：

  ```
  {
      "Effect": "Allow",
      "Principal": {
          "Service": "delivery.logs.amazonaws.com"
      },
      "Action": [
          "kms:Encrypt*",
          "kms:Decrypt*",
          "kms:ReEncrypt*",
          "kms:GenerateDataKey*",
          "kms:Describe*"
      ],
      "Resource": "*"
  }
  ```

請注意，只有 Firewall Manager 管理員帳戶中的儲存貯體可用於 AWS Network Firewall 中央記錄。

當您在 Network Firewall 政策上啟用集中式記錄時， Firewall Manager 會在您的帳戶上執行這些動作：
+ Firewall Manager 會更新所選 S3 儲存貯體的許可，以允許 交付日誌。
+ Firewall Manager 會在 S3 儲存貯體中為政策範圍內的每個成員帳戶建立目錄。您可以在 找到每個帳戶的日誌`<bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id>`。

**啟用網路防火牆政策的記錄**

1. 使用您的 Firewall Manager 管理員帳戶建立 Amazon S3 儲存貯體。如需詳細資訊，請參閱《*Amazon Simple Storage Service 使用者指南*》中的[建立儲存貯](https://docs.aws.amazon.com/AmazonS3/latest/userguide/create-bucket-overview.html)體。

1.  AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
**注意**  
如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。

1. 在導覽窗格中，選擇**安全政策**。

1. 選擇您要啟用記錄的網路防火牆政策。如需 AWS Network Firewall 記錄的詳細資訊，請參閱《 *AWS Network Firewall 開發人員指南*》中的[從 記錄網路流量 AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-logging.html)。

1. 在**政策詳細資訊**索引標籤**的政策規則**區段中，選擇**編輯**。

1. 若要啟用和彙總日誌，請在**記錄組態**下選擇一或多個選項：
   + **啟用和彙總流程日誌**
   + **啟用和彙總警示日誌**

1. 選擇您要交付日誌的 Amazon S3 儲存貯體。您必須為您啟用的每個日誌類型選擇儲存貯體。您可以針對這兩種日誌類型使用相同的儲存貯體。

1. （選用） 如果您想要將自訂成員帳戶建立的記錄取代為政策的記錄組態，請選擇**覆寫現有的記錄組態**。

1. 選擇**下一步**。

1. 檢閱您的設定，然後選擇**儲存**以儲存您對政策的變更。

**停用網路防火牆政策的記錄**

1.  AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ，然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
**注意**  
如需建立防火牆管理員帳戶的詳細資訊，請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。

1. 在導覽窗格中，選擇**安全政策**。

1. 選擇您要停用記錄的網路防火牆政策。

1. 在**政策詳細資訊**索引標籤**的政策規則**區段中，選擇**編輯**。

1. 在**記錄組態狀態**下，取消選取**啟用和彙總流程日誌**，以及如果選取**啟用和彙總提醒日誌**。

1. 選擇**下一步**。

1. 檢閱您的設定，然後選擇**儲存**以儲存您對政策的變更。

# 在 Firewall Manager 中使用 Amazon Route 53 Resolver DNS 防火牆政策
<a name="dns-firewall-policies"></a>

此頁面說明如何使用 AWS Firewall Manager DNS 防火牆政策來管理組織中 Amazon Route 53 Resolver DNS 防火牆規則群組與 Amazon Virtual Private Cloud *VPCs*之間的關聯** AWS Organizations。您可以將集中控制的規則群組套用至整個組織，或套用至您帳戶和 VPCs的選取子集。

DNS 防火牆可篩選和調節 VPCs的傳出 DNS 流量。您可以在 DNS 防火牆規則群組中建立可重複使用的篩選規則集合，並將規則群組與 VPCs建立關聯。當您套用 Firewall Manager 政策時，針對政策範圍內的每個帳戶和 VPC， Firewall Manager 會使用您在 Firewall Manager 政策中指定的關聯優先順序設定，在政策中的每個 DNS Firewall 規則群組與政策範圍內的每個 VPC 之間建立關聯。

如需有關使用 DNS 防火牆的資訊，請參閱《[Amazon Route 53 開發人員指南》中的 Amazon Route 53 Resolver DNS 防火牆](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html)。 [ ](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/Welcome.html)

下列各節涵蓋使用 Firewall Manager DNS Firewall 政策的要求，並說明政策的運作方式。如需建立政策的程序，請參閱 [建立 Amazon Route 53 Resolver DNS 防火牆 AWS Firewall Manager 的政策](create-policy.md#creating-firewall-manager-policy-for-dns-firewall)。

**重要**  
**您必須啟用資源共用。**DNS 防火牆政策會在組織中的帳戶中共用 DNS 防火牆規則群組。若要這麼做，您必須啟用資源共用 AWS Organizations。如需如何啟用資源共用的資訊，請參閱 [Network Firewall 和 DNS Firewall 政策的資源共用](resource-sharing.md)。

**重要**  
**您必須定義 DNS 防火牆規則群組。**當您指定新的 DNS 防火牆政策時，定義規則群組的方式與直接使用 Amazon Route 53 Resolver DNS 防火牆時相同。您的規則群組必須已存在於 Firewall Manager 管理員帳戶中，您才能將規則群組包含在政策中。如需建立 DNS 防火牆規則群組的詳細資訊，請參閱 [DNS 防火牆規則群組和規則](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-groups.html)。

**您可以定義最低和最高優先順序的規則群組關聯**  
您透過 Firewall Manager DNS Firewall 政策管理的 DNS Firewall 規則群組關聯包含 VPCs 的最低優先順序關聯和最高優先順序關聯。在您的政策組態中，這些會顯示為第一個和最後一個規則群組。

DNS 防火牆會依下列順序篩選 VPC 的 DNS 流量：

1. 第一個規則群組，由您在 Firewall Manager DNS Firewall 政策中定義。有效值介於 1 到 99 之間。

1. 個別帳戶管理員透過 DNS 防火牆相關聯的 DNS 防火牆規則群組。

1. 最後一個規則群組，由您在 Firewall Manager DNS Firewall 政策中定義。有效值介於 9，901 和 10，000 之間。

**Firewall Manager 如何為其建立的規則群組關聯命名**  
當您儲存 DNS 防火牆政策時，如果您啟用自動修復，防火牆管理員會在政策中提供的規則群組與政策範圍內的 VPCs 之間建立 DNS 防火牆關聯。Firewall Manager 透過串連下列值來命名這些關聯：
+ 固定字串 `FMManaged_`。
+ Firewall Manager 政策 ID。這是 Firewall Manager 政策 AWS 的資源 ID。

以下顯示由 Firewall Manager 管理之防火牆的範例名稱：

```
FMManaged_EXAMPLEDNSFirewallPolicyId
```

建立政策後，如果 VPCs 中的帳戶擁有者覆寫防火牆政策設定或規則群組關聯，則 Firewall Manager 會將政策標記為不合規，並嘗試提議補救動作。帳戶擁有者可以將其他 DNS 防火牆規則群組與 DNS 防火牆政策範圍內的 VPCs 建立關聯。由個別帳戶擁有者建立的任何關聯，都必須在第一個和最後一個規則群組關聯之間具有優先順序設定。

# 從 Firewall Manager DNS Firewall 政策刪除規則群組
<a name="fms-delete-rule-group"></a>

**刪除規則群組**  
若要從 Firewall Manager DNS Firewall 政策刪除規則群組，您必須執行下列步驟：

**重要**  
從 Firewall Manager DNS Firewall 政策中移除規則群組會將其效果從已套用政策VPCs 中移除，無論您是否也從 DNS Firewall 規則群組中刪除規則群組。刪除規則群組是永久動作，無法復原。

1. 從 Firewall Manager DNS Firewall 政策中移除規則群組。

1. 取消共用 中的規則群組 AWS Resource Access Manager。若要取消共用您擁有的規則群組，您必須將其從資源共用中移除。您可以使用 AWS RAM 主控台或 CLI AWS 來執行此操作。如需有關取消共用資源的資訊，請參閱*AWS RAM 《 使用者指南*》中的[在 中更新資源共用 AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/working-with-sharing-update.html)。

1. 使用 DNS Firewall 主控台或 CLI AWS 刪除規則群組。

# 使用 Firewall Manager 的 Palo Alto Networks 雲端 NGFW 政策
<a name="cloud-ngfw-policies"></a>

Palo Alto Networks 雲端新一代防火牆 (NGFW) 是一種第三方防火牆服務，可用於您的 AWS Firewall Manager 政策。使用適用於 Firewall Manager 的 Palo Alto Networks Cloud NGFW，您可以在所有 AWS 帳戶中建立並集中部署 Palo Alto Networks Cloud NGFW 資源和規則堆疊。

若要搭配 Firewall Manager 使用 Palo Alto Networks Cloud NGFW，您必須先在 AWS Marketplace 中訂閱 [Palo Alto Networks Cloud NGFW Pay-As-You-Go](https://aws.amazon.com/marketplace/pp/prodview-nkug66dl4df4i) 服務。訂閱後，您可以在 Palo Alto Networks 雲端 NGFW 服務中執行一系列步驟，以設定您的帳戶和雲端 NGFW 設定。然後，您可以建立 Firewall Manager Cloud FMS 政策，在 AWS Organizations 中的所有帳戶中集中部署和管理 Palo Alto Networks Cloud NGFW 資源和規則。

如需建立 Firewall Manager 政策的程序，請參閱 [為 Palo Alto Networks 雲端 NGFW 建立 AWS Firewall Manager 政策](create-policy.md#creating-cloud-ngfw-policy)。如需有關如何設定和管理適用於 Firewall Manager 的 Palo Alto Networks Cloud NGFW 的資訊，請參閱 文件*[上的 Palo Alto Networks Palo Alto Networks Cloud NGFW AWS](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)*。如需支援 AWS 的區域，請參閱 *[Cloud NGFW for AWS Supported Regions and Zones](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)*。

# 使用 Fortigate 雲端原生防火牆 (CNF) 做為 Firewall Manager 的服務政策
<a name="fortigate-cnf-policies"></a>

Fortigate 雲端原生防火牆 (CNF) as a Service 是一種第三方防火牆服務，可用於您的 AWS Firewall Manager 政策。Fortigate CNF 是新一代防火牆服務，可讓您輕鬆保護雲端網路和管理安全政策。透過 Fortigate CNF for Firewall Manager，您可以在所有 AWS 帳戶中建立並集中部署 Fortigate CNF 資源和政策集。

若要搭配 Firewall Manager 使用 Fortigate CNF，您必須先在 [AWS Marketplace 中訂閱 Fortigate 雲端原生防火牆 (CNF) 即服務](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i)。訂閱後，您可以在 Fortigate CNF 服務中執行一系列步驟，以設定全域政策集和其他設定。然後，您可以建立 Firewall Manager 政策，在 AWS Organizations 中的所有帳戶中集中部署和管理 Fortigate CNF 資源。

如需建立 Fortigate CNF Firewall Manager 政策的程序，請參閱 [建立 Fortigate 雲端原生防火牆 (CNF) as a Service AWS Firewall Manager 的政策](create-policy.md#creating-fortigate-cnf-policy)。如需有關如何設定和管理 Fortigate CNF 以搭配 Firewall Manager 使用的資訊，請參閱 [Fortigate CNF 文件]( https://docs.fortinet.com/product/fortigate-cnf)。

# Network Firewall 和 DNS Firewall 政策的資源共用
<a name="resource-sharing"></a>

若要管理 Firewall Manager Network Firewall 和 DNS Firewall 政策，您必須在 AWS Organizations 中啟用與 的資源共用 AWS Resource Access Manager。這可讓 Firewall Manager 在您建立這些政策類型時跨您的帳戶部署保護。

若要啟用資源共用，請遵循*AWS Resource Access Manager 《 使用者指南*》中的[啟用與 共用 AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)中的指示。

**資源共用的問題**  
當您使用 AWS RAM 啟用資源共用，或當您處理需要資源共用的 Firewall Manager 政策時，您可能會遇到問題。

這些問題的範例包括下列項目：
+ 當您依照指示啟用共用時，在 AWS RAM 主控台中，**啟用與 共用 AWS Organizations**的選項會呈現灰色，且無法選取。
+ 當您在 Firewall Manager 中處理需要資源共用的政策時，政策會標示為不合規，而且您會看到指出資源共用或未 AWS RAM 啟用的訊息。

如果您在資源共用時遇到問題，請使用下列程序來嘗試啟用它。

**請再試一次以啟用資源共用**
+ 請再試一次，以使用下列其中一個選項啟用共用：
  + （選項） 透過 AWS RAM 主控台，遵循*AWS Resource Access Manager 《 使用者指南*》中的[啟用與 共用 AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)中的指示。
  + （選項） 使用 AWS RAM API，呼叫 `EnableSharingWithAwsOrganization`。請參閱 [EnableSharingWithAwsOrganization](https://docs.aws.amazon.com/ram/latest/APIReference/API_EnableSharingWithAwsOrganization.html) 中的文件。