**Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF**

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Informationen finden Sie unter [Arbeiten mit der Konsole](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Eine AWS Firewall Manager Richtlinie erstellen
<a name="create-policy"></a>

Die Schritte zum Erstellen einer Richtlinie variieren zwischen den verschiedenen Richtlinientypen. Stellen Sie sicher, dass Sie das Verfahren für den gewünschten Richtlinientyp verwenden.

**Wichtig**  
AWS Firewall Manager unterstützt Amazon Route 53 nicht oder AWS Global Accelerator. Wenn Sie diese Ressourcen mit Shield Advanced schützen möchten, können Sie keine Firewall Manager Manager-Richtlinie verwenden. Folgen Sie stattdessen den Anweisungen in [AWS Ressourcen AWS Shield Advanced schützen](configure-new-protection.md). 

**Topics**
+ [Eine AWS Firewall Manager Richtlinie erstellen für AWS WAF](#creating-firewall-manager-policy-for-waf)
+ [Eine AWS Firewall Manager Richtlinie für Classic erstellen AWS WAF](#creating-firewall-manager-policy-for-classic-waf)
+ [Erstellen einer AWS Firewall Manager Richtlinie für AWS Shield Advanced](#creating-firewall-manager-policy-for-shield-advanced)
+ [Erstellen einer AWS Firewall Manager gemeinsamen Sicherheitsgruppenrichtlinie](#creating-firewall-manager-policy-common-security-group)
+ [Eine Sicherheitsgruppenrichtlinie für die AWS Firewall Manager Inhaltsüberwachung erstellen](#creating-firewall-manager-policy-audit-security-group)
+ [Eine Sicherheitsgruppenrichtlinie für die AWS Firewall Manager Nutzungsüberwachung erstellen](#creating-firewall-manager-policy-usage-security-group)
+ [Eine AWS Firewall Manager Netzwerk-ACL-Richtlinie erstellen](#creating-firewall-manager-policy-network-acl)
+ [Erstellen einer AWS Firewall Manager Richtlinie für AWS Network Firewall](#creating-firewall-manager-policy-for-network-firewall)
+ [Eine AWS Firewall Manager Richtlinie für die Amazon Route 53 Resolver DNS Firewall erstellen](#creating-firewall-manager-policy-for-dns-firewall)
+ [Eine AWS Firewall Manager Richtlinie für Palo Alto Networks Cloud NGFW erstellen](#creating-cloud-ngfw-policy)
+ [Erstellen einer AWS Firewall Manager Richtlinie für Fortigate Cloud Native Firewall (CNF) as a Service](#creating-fortigate-cnf-policy)

## Eine AWS Firewall Manager Richtlinie erstellen für AWS WAF
<a name="creating-firewall-manager-policy-for-waf"></a>

In einer Firewall Manager AWS WAF Manager-Richtlinie können Sie verwaltete Regelgruppen verwenden, die AWS von AWS Marketplace Verkäufern für Sie erstellt und verwaltet werden. Sie können auch eigene Regelgruppen erstellen und verwenden. Weitere Informationen zu Regelgruppen finden Sie unter [AWS WAF Regelgruppen](waf-rule-groups.md).

Wenn Sie Ihre eigenen Regelgruppen verwenden möchten, erstellen Sie diese, bevor Sie Ihre Firewall Manager AWS WAF Manager-Richtlinie erstellen. Anleitungen finden Sie unter [Verwaltung Ihrer eigenen Regelgruppen](waf-user-created-rule-groups.md). Um eine einzelne benutzerdefinierte Regel verwenden zu können, müssen Sie eine eigene Regelgruppe definieren, Ihre Regel darin definieren und dann die Regelgruppe in der Richtlinie verwenden.

Informationen zu den AWS WAF Richtlinien von Firewall Manager finden Sie unter[AWS WAF Richtlinien mit Firewall Manager verwenden](waf-policies.md).

**So erstellen Sie eine Firewall Manager Manager-Richtlinie für AWS WAF (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie unter **Policy type (Richtlinientyp)** die Option **AWS WAF**. 

1. Wählen Sie für **Region** eine AWS-Region. Um CloudFront Amazon-Distributionen zu schützen, wählen Sie **Global**.

   Um Ressourcen in mehreren Regionen (außer CloudFront Verteilungen) zu schützen, müssen Sie separate Firewall Manager Manager-Richtlinien für jede Region erstellen.

1. Wählen Sie **Weiter** aus.

1. Geben Sie als **Richtlinienname** einen aussagekräftigen Namen ein. Firewall Manager nimmt den Richtliniennamen in die Namen des Webs auf ACLs , das er verwaltet. Auf die Web-ACL-Namen `FMManagedWebACLV2-` folgten der Richtlinienname, den Sie hier eingeben`-`, und der Zeitstempel für die Erstellung der Web-ACL in UTC-Millisekunden. Beispiel, `FMManagedWebACLV2-MyWAFPolicyName-1621880374078`.

1. Bei der **Körperinspektion von Webanfragen können Sie optional die Körpergrößenbeschränkung** ändern. Informationen zu Größenbeschränkungen bei Karosserieinspektionen, einschließlich Preisüberlegungen, finden Sie [Überlegungen zur Durchführung der Körperinspektion in AWS WAF](web-acl-setting-body-inspection-limit.md) im *AWS WAF Entwicklerhandbuch*.

1. Fügen Sie unter **Richtlinienregeln** die Regelgruppen, die Sie zuerst und zuletzt auswerten AWS WAF möchten, in der Web-ACL hinzu. Um die AWS WAF verwaltete Regelgruppen-Versionsverwaltung zu verwenden, aktivieren Sie die Option Versionierung **aktivieren**. Die einzelnen Kontomanager können zwischen den ersten Regelgruppen und den letzten Regelgruppen Regeln und Regelgruppen hinzufügen. Weitere Informationen zur Verwendung von AWS WAF Regelgruppen in Firewall Manager Manager-Richtlinien für AWS WAF finden Sie unter[AWS WAF Richtlinien mit Firewall Manager verwenden](waf-policies.md).

   (Optional) Um anzupassen, wie Ihre Web-ACL die Regelgruppe verwendet, wählen Sie **Bearbeiten**. Im Folgenden finden Sie allgemeine Anpassungseinstellungen: 
   + Überschreiben Sie bei verwalteten Regelgruppen die Regelaktionen für einige oder alle Regeln. Wenn Sie keine Aktion zum Außerkraftsetzen für eine Regel definieren, verwendet die Auswertung die Regelaktion, die innerhalb der Regelgruppe definiert ist. Informationen zu dieser Option finden Sie [Regelgruppenaktionen überschreiben in AWS WAF](web-acl-rule-group-override-options.md) im *AWS WAF Entwicklerhandbuch*. 
   + Bei einigen verwalteten Regelgruppen müssen Sie zusätzliche Konfigurationen angeben. Weitere Informationen finden Sie in der Dokumentation Ihres Anbieters für verwaltete Regelgruppen. Spezifische Informationen zu den Regelgruppen für AWS verwaltete Regeln finden Sie [AWS Verwaltete Regeln für AWS WAF](aws-managed-rule-groups.md) im *AWS WAF Entwicklerhandbuch*. 

   Wenn Sie mit Ihren Einstellungen fertig sind, wählen Sie **Regel speichern** aus.

1. Stellen Sie die Standardaktion für die Web-ACL ein. Dies ist die Aktion, die AWS WAF ergreift, wenn eine Webanforderung keiner der Regeln in der Web-ACL entspricht. Sie können benutzerdefinierte Header mit der Aktion **Zulassen** oder benutzerdefinierte Antworten mit der Aktion **Blockieren** hinzufügen. Weitere Informationen zu standardmäßigen Web-ACL-Aktionen finden Sie unter [Einstellung der Standardaktion für das Protection Pack (Web-ACL) in AWS WAF](web-acl-default-action.md). Informationen zum Einrichten benutzerdefinierter Webanfragen und -antworten finden Sie unter[Maßgeschneiderte Webanfragen und Antworten in AWS WAF](waf-custom-request-response.md).

1. Wählen Sie für die **Konfiguration der Protokollierung** die Option **Protokollierung aktivieren** aus, um die Protokollierung zu aktivieren. Die Protokollierung bietet detaillierte Informationen über den Datenverkehr, der von Ihrer Web-ACL analysiert wird. Wählen Sie das **Logging-Ziel** und anschließend das von Ihnen konfigurierte Logging-Ziel aus. Sie müssen ein Protokollierungsziel auswählen, dessen Name mit `aws-waf-logs-` beginnt. Informationen zur Konfiguration eines AWS WAF Protokollierungsziels finden Sie unter[AWS WAF Richtlinien mit Firewall Manager verwenden](waf-policies.md).

1. (Optional) Wenn Sie nicht möchten, dass bestimmte Felder und deren Werte in den Protokollen enthalten sind, machen Sie diese Felder unkenntlich. Wählen Sie das Feld aus, das unkenntlich gemacht werden soll, und klicken Sie dann auf **Add (Hinzufügen)**. Wiederholen Sie diesen Vorgang nach Bedarf, um zusätzliche Felder unkenntlich zu machen. Die unkenntlich gemachten Felder werden als `REDACTED` in den Protokollen angezeigt. Wenn Sie beispielsweise das Feld **URI** unkenntlich machen, wird das Feld **URI** in den Protokollen als `REDACTED` angezeigt. 

1. (Optional) Wenn Sie nicht alle Anforderungen an die Protokolle senden möchten, fügen Sie Filterkriterien und -verhalten hinzu. Wählen Sie unter **Filter logs** (Protokolle filtern) für jeden Filter, den Sie anwenden möchten, **Add filter** (Filter hinzufügen) aus. Wählen Sie dann Ihre Filterkriterien und geben Sie an, ob Sie Anforderungen, die den Kriterien entsprechen, beibehalten oder löschen möchten. Wenn Sie mit dem Hinzufügen von Filtern fertig sind, ändern Sie bei Bedarf das **Standardprotokollierungsverhalten**. Weitere Informationen finden Sie unter [Suchen nach Ihren Protection Pack-Einträgen (Web-ACL)](logging-management.md) im *AWS WAF -Entwicklerhandbuch*.

1. Sie können eine **Token-Domänenliste** definieren, um die gemeinsame Nutzung von Token zwischen geschützten Anwendungen zu ermöglichen. Tokens werden von den Challenge Aktionen CAPTCHA und von der Anwendungsintegration verwendet, die Sie implementieren, wenn Sie SDKs die Regelgruppen mit AWS verwalteten Regeln für die Verhinderung von Kontoübernahmen (ATP) und die AWS WAF Bot-Kontrolle bei der AWS WAF Betrugsbekämpfung verwenden. 

   Öffentliche Suffixe sind nicht zulässig. Beispielsweise können Sie `gov.au` oder nicht `co.uk` als Token-Domain verwenden.

    AWS WAF Akzeptiert standardmäßig nur Token für die Domäne der geschützten Ressource. Wenn Sie Tokendomänen zu dieser Liste hinzufügen, AWS WAF akzeptiert Tokens für alle Domänen in der Liste und für die Domäne der zugehörigen Ressource. Weitere Informationen finden Sie unter [AWS WAF Konfiguration der Token-Domänenliste für das Protection Pack (Web-ACL)](waf-tokens-domains.md#waf-tokens-domain-lists) im *AWS WAF -Entwicklerhandbuch*.

   Sie können die CAPTCHA- und **Challenge-Immunitätszeiten** der Web-ACL nur ändern, wenn Sie eine bestehende Web-ACL bearbeiten. Sie finden diese Einstellungen auf der Seite mit den **Details zur Firewall Manager Manager-Richtlinie**. Weitere Informationen zu diesen Einstellungen finden Sie unter [Einstellen der Ablaufzeiten von Zeitstempeln und Token-Immunitätszeiten in AWS WAF](waf-tokens-immunity-times.md). Wenn Sie die Einstellungen für die **Zuordnungskonfiguration**, **CAPTCHA**, **Challenge** oder **Token-Domainliste** in einer vorhandenen Richtlinie aktualisieren, überschreibt Firewall Manager Ihr lokales Web ACLs mit den neuen Werten. Wenn Sie jedoch die Einstellungen für die **Zuordnungskonfiguration**, das **CAPTCHA**, die **Challenge-Liste** oder die **Token-Domainliste** der Richtlinie nicht aktualisieren, bleiben die Werte in Ihrer lokalen Website unverändert. ACLs Informationen zu dieser Option finden Sie [CAPTCHAund Challenge in AWS WAF](waf-captcha-and-challenge.md) im *AWS WAF Entwicklerhandbuch*. 

1. Wählen Sie unter **Web-ACL-Verwaltung** aus, wie Firewall Manager die Erstellung und Bereinigung von Web-ACLS verwaltet. 

   1. Wählen **Sie für Nicht zugeordnetes Web verwalten** aus ACLs, ob Firewall Manager nicht zugeordnetes Web verwaltet. ACLs Mit dieser Option erstellt Firewall Manager nur dann eine Website ACLs für die Konten im Richtlinienbereich, wenn das Internet von mindestens einer Ressource verwendet ACLs wird. Wenn ein Konto in den Richtlinienbereich fällt, erstellt Firewall Manager automatisch eine Web-ACL im Konto, sofern mindestens eine Ressource sie verwendet. 

      Wenn Sie diese Option aktivieren, führt Firewall Manager eine einmalige Bereinigung der nicht verknüpften Websites ACLs in Ihrem Konto durch. Der Bereinigungsprozess kann mehrere Stunden dauern. Wenn eine Ressource den Richtlinienbereich verlässt, nachdem Firewall Manager eine Web-ACL erstellt hat, trennt Firewall Manager die Zuordnung der Ressource von der Web-ACL, bereinigt aber nicht die nicht zugeordnete Web-ACL. Firewall Manager bereinigt nicht verknüpfte Websites nur, ACLs wenn Sie die Verwaltung von nicht verknüpften Websites ACLs in der Richtlinie zum ersten Mal aktivieren.

   1. Geben Sie für die **Web-ACL-Quelle** an, ob alle neuen Websites ACLs für im Geltungsbereich enthaltene Ressourcen erstellt oder bestehende Websites nach Möglichkeit nachgerüstet werden sollen. ACLs Firewall Manager kann Websites nachrüsten ACLs , die sich im Besitz von in den Geltungsbereich fallenden Konten befinden.

      Das Standardverhalten besteht darin, komplett neue Websites zu erstellen. ACLs Wenn Sie diese Option wählen, haben alle von Firewall Manager ACLs verwalteten Websites Namen, die mit beginnen`FMManagedWebACLV2`. Wenn Sie sich dafür entscheiden, ein vorhandenes Web nachzurüsten ACLs, ACLs erhält das nachgerüstete Web seine ursprünglichen Namen und die von Firewall Manager erstellten Websites haben Namen, die mit beginnen. `FMManagedWebACLV2` 

1. Wenn Sie für **Richtlinienaktion** eine Web-ACL für jedes entsprechende Konto innerhalb der Organisation erstellen, die Web-ACL aber noch nicht auf Ressourcen anwenden möchten, wählen Sie **Ressourcen identifizieren, die nicht den Richtlinienregeln entsprechen, aber keine auto Korrektur durchführen und wählen Sie nicht Nicht zugeordnetes** **Web verwalten** aus. ACLs Sie können diese Optionen später ändern.

   Wenn Sie die Richtlinie stattdessen automatisch auf vorhandene Ressourcen im Bereich anwenden möchten, wählen Sie **Auto remediate any noncompliant resources (Alle nicht konformen Ressourcen automatisch korrigieren)** aus. Wenn **„Nicht zugeordnetes Web verwalten**“ deaktiviert ACLs ist, erstellt die Option **Nicht konforme Ressourcen automatisch korrigieren** für jedes entsprechende Konto innerhalb der Organisation eine Web-ACL und ordnet die Web-ACL den Ressourcen in den Konten zu. Wenn **„Nicht verknüpfte Websites verwalten**“ aktiviert ACLs ist, erstellt die Option **Automatische Korrektur aller nicht kompatiblen Ressourcen** eine Web-ACL und ordnet sie nur Konten zu, deren Ressourcen für die Zuordnung zur Web-ACL in Frage kommen.

   Wenn Sie die Option **Nicht konforme Ressourcen automatisch korrigieren** wählen, können Sie auch festlegen, dass bestehende Web-ACL-Zuordnungen aus Ressourcen im Geltungsbereich für das Internet entfernt werden, ACLs die nicht durch eine andere aktive Firewall Manager Manager-Richtlinie verwaltet werden. Wenn Sie diese Option wählen, ordnet Firewall Manager zuerst die Web-ACL der Richtlinie den Ressourcen zu und entfernt dann die vorherigen Zuordnungen. Wenn eine Ressource mit einer anderen Web-ACL verknüpft ist, die von einer anderen aktiven Firewall Manager Manager-Richtlinie verwaltet wird, wirkt sich diese Auswahl nicht auf diese Zuordnung aus. 

1. Wählen Sie **Weiter** aus.

1. Wenn **AWS-Konten diese Richtlinie für gilt,** wählen Sie die Option wie folgt aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügen OUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

1. Wählen Sie unter **Resource type (Ressourcentyp)** die Arten von Ressourcen aus, die Sie schützen möchten.

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie **Weiter** aus.

1. Fügen Sie für **Policy-Tags** alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen. 

   Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen). Im Bereich „**AWS Firewall Manager Richtlinien**“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „**Ausstehend**“ angezeigt und es wird der Status der Einstellung **Automatische Problembehebung** angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status **Pending (Ausstehend)** durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter [Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md)

## Eine AWS Firewall Manager Richtlinie für Classic erstellen AWS WAF
<a name="creating-firewall-manager-policy-for-classic-waf"></a>

**So erstellen Sie eine Firewall Manager Manager-Richtlinie für AWS WAF Classic (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie unter **Policy type (Richtlinientyp)** die Option **AWS WAF Classic** aus. 

1. Wenn Sie die AWS WAF klassische Regelgruppe, die Sie der Richtlinie hinzufügen möchten, bereits erstellt haben, wählen Sie ** AWS Firewall Manager Richtlinie erstellen und vorhandene Regelgruppen hinzufügen** aus. Wenn Sie eine neue Regelgruppe erstellen möchten, wählen Sie **Create a Firewall Manager Policy und fügen Sie eine neue Regelgruppe** hinzu.

1. Wählen Sie für **Region** eine AWS-Region. Um CloudFront Amazon-Ressourcen zu schützen, wählen Sie **Global**.

   Um Ressourcen in mehreren Regionen (außer CloudFront Ressourcen) zu schützen, müssen Sie separate Firewall Manager Manager-Richtlinien für jede Region erstellen.

1. Wählen Sie **Weiter** aus.

1. Wenn Sie eine Regelgruppe erstellen, befolgen Sie die Anweisungen unter [Eine AWS WAF klassische Regelgruppe erstellen](classic-create-rule-group.md). Fahren Sie nach dem Erstellen der Regelgruppe mit den folgenden Schritten fort.

1. Geben Sie den Namen einer Richtlinie ein.

1. Wenn Sie eine vorhandene Regelgruppe hinzufügen, wählen Sie im Dropdownmenü die entsprechende Regelgruppe aus und wählen Sie dann die Option **Add rule group (Regelgruppe hinzufügen)**. 

1. Für eine Richtlinie sind zwei mögliche Aktionen vorhanden: **Action set by rule group** (Aktion durch Regelgruppe festgelegt) und **Count** (Zählen). Wenn Sie die Richtlinie und Regelgruppe testen möchten, legen Sie als Aktion **Count** (Zählen) fest. Diese Aktion setzt jede durch die Regeln in der Regelgruppe festgelegte Aktion zum *Blockieren* außer Kraft. Wenn als Aktion der Richtlinie **Count** (Zählen) festgelegt ist, bedeutet dies, dass solche Anforderungen nur gezählt und nicht blockiert werden. Wenn Sie als Aktion der Richtlinie dagegen **Action set by rule group (Aktion durch Regelgruppe festgelegt)** festlegen, werden Aktionen der Regelgruppenregeln verwendet. Wählen Sie die geeignete Aktion aus.

1. Wählen Sie **Weiter** aus.

1. Wenn **AWS-Konten diese Richtlinie gilt für,** wählen Sie die Option wie folgt aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügen OUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

1. Wählen Sie den Ressourcentyp aus, der geschützt werden soll.

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wenn die Richtlinie automatisch auf vorhandene Richtlinien angewendet werden soll, wählen Sie **Create and apply this policy to existing and new resources** (Diese Richtlinie erstellen und auf vorhandene und neue Ressourcen anwenden).

   Diese Option erstellt eine Web-ACL für alle entsprechenden Konten innerhalb einer AWS -Organisation und ordnet die Web-ACL den angegebenen Ressourcen in den Konten zu. Diese Option wendet die Richtlinie auch auf alle neuen Ressourcen an, die den voranstehenden Kriterien (Ressourcentyp und Tags) entsprechen. Alternativ erstellt Firewall Manager bei Wahl von **Create policy but do not apply the policy to existing or new resources** (Richtlinie erstellen, aber nicht auf vorhandene oder neue Ressourcen anwenden) in jedem entsprechenden Konto innerhalb der Organisation eine Web-ACL, wendet die Web-ACL jedoch nicht auf Ressourcen an. Sie müssen die Richtlinie zu einem späteren Zeitpunkt auf Ressourcen anwenden. Wählen Sie die geeignete Option aus.

1. Unter **Vorhandenes zugeordnetes Web ersetzen** können Sie festlegen ACLs, dass alle Web-ACL-Zuordnungen entfernt werden, die derzeit für Ressourcen innerhalb des Gültigkeitsbereichs definiert sind, und sie dann durch Verknüpfungen zu dem Web ersetzen ACLs, das Sie mit dieser Richtlinie erstellen. Standardmäßig entfernt Firewall Manager vorhandene Web-ACL-Zuordnungen nicht, bevor die neuen hinzugefügt werden. Wenn Sie die vorhandenen Zuordnungen entfernen möchten, wählen Sie diese Option aus. 

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neue Richtlinie. Um Änderungen vorzunehmen, wählen Sie **Edit** (Bearbeiten). Wenn Sie mit der Richtlinie zufrieden sind, wählen Sie **Create and apply Policy** (Richtlinie erstellen und anwenden).

## Erstellen einer AWS Firewall Manager Richtlinie für AWS Shield Advanced
<a name="creating-firewall-manager-policy-for-shield-advanced"></a>

**So erstellen Sie eine Firewall Manager Manager-Richtlinie für Shield Advanced (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie als **Richtlinientyp** **Shield Advanced** aus. 

   Um eine Shield Advanced-Richtlinie zu erstellen, müssen Sie Shield Advanced abonniert haben. Wenn Sie kein Abonnement eingerichtet haben, werden Sie dazu aufgefordert. [Informationen zu den Kosten für ein Abonnement finden Sie unter AWS Shield Advanced Preise.](https://aws.amazon.com/shield/pricing/) 

1. Wählen Sie für **Region** eine AWS-Region. Um CloudFront Amazon-Distributionen zu schützen, wählen Sie **Global**.

   Für andere Regionen als **Global** müssen Sie zum Schutz von Ressourcen in mehreren Regionen eine separate Firewall Manager Manager-Richtlinie für jede Region erstellen.

1. Wählen Sie **Weiter** aus.

1. Geben Sie **unter Name** einen aussagekräftigen Namen ein.

1. Nur für Richtlinien für **globale** Regionen können Sie wählen, ob Sie die automatische Abwehr von Shield Advanced auf Anwendungsebene DDo S verwalten möchten. Informationen zu dieser Shield Advanced-Funktion finden Sie unter[Automatisierung der Risikominderung auf Anwendungsebene DDo S mit Shield Advanced](ddos-automatic-app-layer-response.md).

   Sie können die automatische Schadensbegrenzung aktivieren oder deaktivieren oder sie ignorieren. Wenn Sie es ignorieren, verwaltet Firewall Manager die automatische Schadensbegrenzung für die Shield Advanced-Schutzmaßnahmen überhaupt nicht. Weitere Informationen zu diesen Richtlinienoptionen finden Sie unter. [Verwenden der automatischen Abwehr von Anwendungsschicht DDo S mit erweiterten Firewall Manager Shield-Richtlinien](shield-policies-auto-app-layer-mitigation.md)

1. Wenn Sie möchten, dass Firewall Manager nicht zugeordnetes **Web verwaltet, aktivieren Sie unter Web-ACL-Verwaltung** die ACLs Option **Nicht zugeordnetes Web verwalten**. ACLs Mit dieser Option erstellt Firewall Manager nur dann Websites ACLs in den Konten innerhalb des Richtlinienbereichs, wenn das Internet von mindestens einer Ressource verwendet ACLs wird. Wenn ein Konto zu irgendeinem Zeitpunkt in den Geltungsbereich der Richtlinie fällt, erstellt Firewall Manager automatisch eine Web-ACL in dem Konto, sofern mindestens eine Ressource die Web-ACL verwendet. Nach der Aktivierung dieser Option führt Firewall Manager eine einmalige Bereinigung der nicht verknüpften Websites ACLs in Ihrem Konto durch. Der Bereinigungsprozess kann mehrere Stunden dauern. Wenn eine Ressource den Richtlinienbereich verlässt, nachdem Firewall Manager eine Web-ACL erstellt hat, trennt Firewall Manager die Ressource nicht von der Web-ACL. Um die Web-ACL in die einmalige Bereinigung einzubeziehen, müssen Sie zuerst die Ressourcen manuell von der Web-ACL trennen und dann die Option Nicht zugeordnetes Web **verwalten** aktivieren. ACLs

1. Für **Richtlinienmaßnahmen** empfehlen wir, die Richtlinie mit der Option zu erstellen, dass nicht konforme Ressourcen nicht automatisch korrigiert werden. Wenn Sie die automatische Problembehebung deaktivieren, können Sie die Auswirkungen Ihrer neuen Richtlinie beurteilen, bevor Sie sie anwenden. Wenn Sie davon überzeugt sind, dass die Änderungen Ihren Wünschen entsprechen, bearbeiten Sie die Richtlinie und ändern Sie die Richtlinienaktion, um die automatische Korrektur zu aktivieren. 

   Wenn Sie die Richtlinie stattdessen automatisch auf vorhandene Ressourcen im Bereich anwenden möchten, wählen Sie **Auto remediate any noncompliant resources (Alle nicht konformen Ressourcen automatisch korrigieren)** aus. Diese Option wendet Shield Advanced-Schutzmaßnahmen für jedes entsprechende Konto innerhalb der AWS Organisation und jede entsprechende Ressource in den Konten an.

   Wenn Sie bei Richtlinien für **globale** Regionen die Option **Automatische Korrektur aller nicht konformen Ressourcen** wählen, können Sie auch festlegen, dass Firewall Manager alle vorhandenen AWS WAF klassischen Web-ACL-Zuordnungen automatisch durch neue Webzuordnungen ersetzt ACLs , die mit der neuesten Version von AWS WAF (v2) erstellt wurden. Wenn Sie diese Option wählen, entfernt Firewall Manager die Verknüpfungen mit der früheren Version Web ACLs und erstellt neue Verknüpfungen mit der neuesten Version Web ACLs, nachdem ACLs in allen im Geltungsbereich befindlichen Konten, die sie noch nicht für die Richtlinie haben, ein neues leeres Web erstellt wurde. Weitere Informationen zu dieser Option finden Sie unter [Ersetzen Sie AWS WAF Classic Web durch die neueste Web-Version ACLs ACLs](shield-policies-auto-app-layer-mitigation.md#shield-policies-auto-app-layer-update-waf-version).

1. Wählen Sie **Weiter** aus.

1. Wenn **AWS-Konten diese Richtlinie für gilt,** wählen Sie die Option wie folgt aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügen OUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

1. Wählen Sie den Ressourcentyp aus, der geschützt werden soll.

   Firewall Manager unterstützt Amazon Route 53 oder nicht AWS Global Accelerator. Wenn Sie Shield Advanced verwenden müssen, um Ressourcen vor diesen Diensten zu schützen, können Sie keine Firewall Manager Manager-Richtlinie verwenden. Folgen Sie stattdessen den Anweisungen von Shield Advanced unter[AWS Ressourcen AWS Shield Advanced schützen](configure-new-protection.md).

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie **Weiter** aus. 

1. Fügen Sie für **Policy-Tags** alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen. 

   Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen). Im Bereich „**AWS Firewall Manager Richtlinien**“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „**Ausstehend**“ angezeigt und es wird der Status der Einstellung **Automatische Problembehebung** angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status **Pending (Ausstehend)** durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter [Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md)

## Erstellen einer AWS Firewall Manager gemeinsamen Sicherheitsgruppenrichtlinie
<a name="creating-firewall-manager-policy-common-security-group"></a>

Informationen zur Funktionsweise gemeinsamer Sicherheitsgruppenrichtlinien finden Sie unter [Allgemeine Sicherheitsgruppenrichtlinien mit Firewall Manager verwenden](security-group-policies-common.md).

Um eine gemeinsame Sicherheitsgruppenrichtlinie zu erstellen, muss in Ihrem Firewall Manager Manager-Administratorkonto bereits eine Sicherheitsgruppe erstellt worden sein, die Sie als primäre Gruppe für Ihre Richtlinie verwenden möchten. Sie können Sicherheitsgruppen über Amazon Virtual Private Cloud (Amazon VPC) oder Amazon Elastic Compute Cloud (Amazon EC2) verwalten. Weitere Informationen finden Sie unter [Arbeiten mit Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) im *Amazon VPC-Benutzerhandbuch*. 

**So erstellen Sie eine gemeinsame Sicherheitsgruppenrichtlinie (Konsole):**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie für **Policy type (Richtlinientyp)** die Option **Security group (Sicherheitsgruppe)**. 

1. Wählen Sie für **Security group policy type (Sicherheitsgruppenrichtlinientyp)** die Option **Common security groups (Gemeinsame Sicherheitsgruppen)** aus.

1. Wählen Sie für **Region** eine AWS-Region. 

1. Wählen Sie **Weiter** aus.

1. Geben Sie unter **Policy name (Richtlinienname)** einen Anzeigenamen ein. 

1. Führen Sie für **Policy rules (Richtlinienregeln)**, die folgenden Schritte aus: 

   1. Wählen Sie unter der Option Regeln die Einschränkungen aus, die Sie auf die Sicherheitsgruppenregeln und die Ressourcen anwenden möchten, die innerhalb des Richtlinienbereichs liegen. Wenn Sie **Tags aus der primären Sicherheitsgruppe an die mit dieser Richtlinie erstellten Sicherheitsgruppen verteilen** wählen, müssen Sie auch **Identifizieren und melden auswählen, wenn die mit dieser Richtlinie erstellten Sicherheitsgruppen nicht mehr konform** sind.
**Wichtig**  
Firewall Manager verteilt keine Systemtags, die von AWS Diensten hinzugefügt wurden, an die Replikat-Sicherheitsgruppen. System-Tags beginnen mit dem Präfix `aws:`. Darüber hinaus aktualisiert Firewall Manager die Tags vorhandener Sicherheitsgruppen nicht und erstellt auch keine neuen Sicherheitsgruppen, wenn die Richtlinie Tags enthält, die mit der Tag-Richtlinie der Organisation in Konflikt stehen. Informationen zu Tag-Richtlinien finden Sie unter [Tag-Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html) im AWS Organizations Benutzerhandbuch.

      Wenn Sie die Option **Sicherheitsgruppenreferenzen von der primären Sicherheitsgruppe an die mit dieser Richtlinie erstellten Sicherheitsgruppen verteilen** wählen, verteilt Firewall Manager die Sicherheitsgruppenreferenzen nur, wenn sie über eine aktive Peering-Verbindung in Amazon VPC verfügen. Weitere Informationen zu dieser Option finden Sie unter [Allgemeine Sicherheitsgruppenrichtlinien mit Firewall Manager verwenden](security-group-policies-common.md).

   1. Wählen Sie für **Primäre Sicherheitsgruppen** die Option **Sicherheitsgruppen hinzufügen** und wählen Sie dann die Sicherheitsgruppen aus, die Sie verwenden möchten. Firewall Manager füllt die Liste der Sicherheitsgruppen aus allen Amazon VPC-Instances im Firewall Manager Manager-Administratorkonto auf. 

      Standardmäßig beträgt die maximale Anzahl primärer Sicherheitsgruppen pro Richtlinie 3. Weitere Informationen zu dieser Einstellung finden Sie unter [AWS Firewall Manager Kontingente](fms-limits.md).

   1. Für **Policy action (Richtlinienaktion)** empfehlen wir, die Richtlinie mit der Option zu erstellen, die nicht automatisch korrigiert wird. Auf diese Weise können Sie die Auswirkungen Ihrer neuen Richtlinie prüfen, bevor Sie sie anwenden. Wenn Sie sich sicher sind, dass die Änderungen Ihren Wünschen entsprechen, bearbeiten Sie die Richtlinie und ändern Sie die Richtlinienaktion, um die automatische Korrektur nicht konformer Ressourcen zu aktivieren. 

1. Wählen Sie **Weiter** aus.

1. Wenn **AWS-Konten diese Richtlinie für gilt,** wählen Sie die Option wie folgt aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügen OUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

1. Wählen Sie unter **Resource type (Ressourcentyp)** die Arten von Ressourcen aus, die Sie schützen möchten. 

   Für den Ressourcentyp **EC2-Instance** können Sie wählen, ob Sie alle Amazon EC2 EC2-Instances oder nur Instances, die nur über das standardmäßige, primäre elastic network interface (ENI) verfügen, standardisieren möchten. Bei letzterer Option behebt Firewall Manager keine Instanzen mit zusätzlichen ENI-Anhängen. Wenn die automatische Wiederherstellung aktiviert ist, markiert Firewall Manager stattdessen nur den Konformitätsstatus dieser EC2-Instances und wendet keine Behebungsmaßnahmen an. Weitere Vorbehalte und Einschränkungen für den Amazon EC2 EC2-Ressourcentyp finden Sie unter. [Vorbehalte und Einschränkungen der Sicherheitsgruppenrichtlinien](security-group-policies.md#security-groups-limitations)

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wenn Sie die Richtlinie für **gemeinsam genutzte VPC-Ressourcen** zusätzlich zu den Ressourcen anwenden möchten VPCs, die den VPCs Konten gehören, wählen Sie **Ressourcen aus gemeinsam genutzten VPCs Ressourcen einbeziehen aus**. 

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die Richtlinieneinstellungen, um sicherzustellen, dass sie Ihren Wünschen entsprechen, und wählen Sie dann **Create policy (Richtlinie erstellen)**.

Firewall Manager erstellt ein Replikat der primären Sicherheitsgruppe in jeder Amazon VPC-Instance, die innerhalb der im Geltungsbereich enthaltenen Konten enthalten ist, bis zu dem unterstützten maximalen Amazon VPC-Kontingent pro Konto. Firewall Manager ordnet die Replikat-Sicherheitsgruppen den Ressourcen zu, die innerhalb des Richtlinienbereichs für jedes in den Geltungsbereich fallende Konto liegen. Weitere Information zur Funktionsweise dieser Richtlinie finden Sie unter [Allgemeine Sicherheitsgruppenrichtlinien mit Firewall Manager verwenden](security-group-policies-common.md).

## Eine Sicherheitsgruppenrichtlinie für die AWS Firewall Manager Inhaltsüberwachung erstellen
<a name="creating-firewall-manager-policy-audit-security-group"></a>

Informationen zur Funktionsweise der Inhaltsprüfungssicherheitsgruppenrichtlinie finden Sie unter [Verwenden von Inhaltsüberwachungs-Sicherheitsgruppenrichtlinien mit Firewall Manager](security-group-policies-audit.md). 

Für einige Einstellungen der Inhaltsüberwachungsrichtlinie müssen Sie eine Überwachungssicherheitsgruppe angeben, die Firewall Manager als Vorlage verwenden kann. Möglicherweise haben Sie eine Audit-Sicherheitsgruppe, die alle Regeln enthält, die Sie in keiner Sicherheitsgruppe zulassen. Sie müssen diese Audit-Sicherheitsgruppen mit Ihrem Firewall Manager Manager-Administratorkonto erstellen, bevor Sie sie in Ihrer Richtlinie verwenden können. Sie können Sicherheitsgruppen über Amazon Virtual Private Cloud (Amazon VPC) oder Amazon Elastic Compute Cloud (Amazon EC2) verwalten. Weitere Informationen finden Sie unter [Arbeiten mit Sicherheitsgruppen](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups) im *Amazon VPC-Benutzerhandbuch*. 

**So erstellen Sie eine Inhaltsprüfungssicherheitsgruppenrichtlinie (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie für **Policy type (Richtlinientyp)** die Option **Security group (Sicherheitsgruppe)**. 

1. Wählen Sie für **Security group policy type (Sicherheitsgruppenrichtlinientyp)** die Option **Auditing and enforcement of security group rules (Überwachung und Durchsetzung von Sicherheitsgruppenregeln)**.

1. Wählen Sie für **Region** eine AWS-Region. 

1. Wählen Sie **Weiter** aus.

1. Geben Sie unter **Policy name (Richtlinienname)** einen Anzeigenamen ein. 

1. Wählen Sie **unter Richtlinienregeln** die Option für verwaltete oder benutzerdefinierte Richtlinienregeln aus, die Sie verwenden möchten. 

   1. Gehen Sie unter „**Regeln für verwaltete Überwachungsrichtlinien konfigurieren**“ wie folgt vor: 

      1. Wählen **Sie unter Sicherheitsgruppenregeln für die Überwachung konfigurieren** den Typ der Sicherheitsgruppenregeln aus, für die Ihre Überwachungsrichtlinie gelten soll. 

      1. Wenn Sie beispielsweise Regeln auf der Grundlage der Protokolle, Ports und CIDR-Bereichseinstellungen in Ihren Sicherheitsgruppen **überprüfen möchten, wählen Sie Übermäßig zulässige Sicherheitsgruppenregeln** überwachen und wählen Sie die gewünschten Optionen aus. 

         Für die **Auswahlregel lässt den gesamten Datenverkehr** zu, können Sie eine benutzerdefinierte Anwendungsliste angeben, um die Anwendungen festzulegen, die Sie überwachen möchten. Informationen zu benutzerdefinierten Anwendungslisten und deren Verwendung in Ihrer Richtlinie finden Sie unter [Verwaltete Listen verwenden](working-with-managed-lists.md) und[Verwenden von verwalteten Listen](working-with-managed-lists.md#using-managed-lists).

         Für Auswahlen, die Protokolllisten verwenden, können Sie vorhandene Listen verwenden und neue Listen erstellen. Informationen zu Protokolllisten und deren Verwendung in Ihrer Richtlinie finden Sie unter [Verwaltete Listen verwenden](working-with-managed-lists.md) und[Verwenden von verwalteten Listen](working-with-managed-lists.md#using-managed-lists).

      1. Wenn Sie hochriskante Anwendungen auf der Grundlage ihres Zugriffs auf reservierte oder nicht reservierte CIDR-Bereiche prüfen möchten, wählen Sie **Anwendungen mit hohem Risiko prüfen** und wählen Sie die gewünschten Optionen aus. 

         Die folgenden Auswahlmöglichkeiten schließen sich gegenseitig aus: **Anwendungen, die nur auf reservierte CIDR-Bereiche zugreifen können, und Anwendungen, denen der Zugriff auf nicht reservierte CIDR-Bereiche** **gestattet ist**. Sie können in jeder Richtlinie höchstens eine davon auswählen.

         Für Auswahlen, die Anwendungslisten verwenden, können Sie vorhandene Listen verwenden und neue Listen erstellen. Informationen zu Anwendungslisten und deren Verwendung in Ihrer Richtlinie finden Sie unter [Verwaltete Listen verwenden](working-with-managed-lists.md) und[Verwenden von verwalteten Listen](working-with-managed-lists.md#using-managed-lists).

      1. Verwenden Sie die Einstellungen für **Außerkraftsetzungen**, um andere Einstellungen in der Richtlinie explizit zu überschreiben. Sie können festlegen, dass bestimmte Sicherheitsgruppenregeln immer zugelassen oder verweigert werden, unabhängig davon, ob sie den anderen Optionen entsprechen, die Sie für die Richtlinie festgelegt haben. 

         Für diese Option geben Sie eine Audit-Sicherheitsgruppe als Vorlage für zulässige Regeln oder verweigerte Regeln an. Wählen Sie für **Überwachungssicherheitsgruppen** die Option **Auditsicherheitsgruppen hinzufügen** und wählen Sie dann die Sicherheitsgruppe aus, die Sie verwenden möchten. Firewall Manager füllt die Liste der Audit-Sicherheitsgruppen aus allen Amazon VPC-Instances im Firewall Manager Manager-Administratorkonto aus. Das standardmäßige Höchstkontingent für die Anzahl der Überwachungssicherheitsgruppen für eine Richtlinie ist eine. Informationen zum Erhöhen des Kontingents finden Sie unter [AWS Firewall Manager Kontingente](fms-limits.md).

   1. Gehen Sie wie folgt vor, um **benutzerdefinierte Richtlinienregeln zu konfigurieren**: 

      1. Wählen Sie aus den Regeloptionen aus, ob nur die Regeln zugelassen werden sollen, die in den Prüfungssicherheitsgruppen definiert sind, oder ob alle Regeln abgelehnt werden sollen. Weitere Informationen zu dieser Auswahl finden Sie unter [Verwenden von Inhaltsüberwachungs-Sicherheitsgruppenrichtlinien mit Firewall Manager](security-group-policies-audit.md). 

      1. Wählen Sie für **Audit-Sicherheitsgruppen** die Option **Audit-Sicherheitsgruppen hinzufügen** und wählen Sie dann die Sicherheitsgruppe aus, die Sie verwenden möchten. Firewall Manager füllt die Liste der Audit-Sicherheitsgruppen aus allen Amazon VPC-Instances im Firewall Manager Manager-Administratorkonto aus. Das standardmäßige Höchstkontingent für die Anzahl der Überwachungssicherheitsgruppen für eine Richtlinie ist eine. Informationen zum Erhöhen des Kontingents finden Sie unter [AWS Firewall Manager Kontingente](fms-limits.md).

      1. Für **Policy action (Richtlinienaktion)** müssen Sie die Richtlinie mit der Option erstellen, die nicht automatisch korrigiert wird. Auf diese Weise können Sie die Auswirkungen Ihrer neuen Richtlinie prüfen, bevor Sie sie anwenden. Wenn Sie sich sicher sind, dass die Änderungen Ihren Wünschen entsprechen, bearbeiten Sie die Richtlinie und ändern Sie die Richtlinienaktion, um die automatische Korrektur nicht konformer Ressourcen zu aktivieren. 

1. Wählen Sie **Weiter** aus.

1. Wenn **AWS-Konten diese Richtlinie gilt für**, wählen Sie die Option wie folgt aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügen OUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

1. Wählen Sie unter **Resource type (Ressourcentyp)** die Ressourcentypen aus, die Sie schützen möchten.

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die Richtlinieneinstellungen, um sicherzustellen, dass sie Ihren Wünschen entsprechen, und wählen Sie dann **Create policy (Richtlinie erstellen)**.

Firewall Manager vergleicht die Audit-Sicherheitsgruppe gemäß Ihren Richtlinienregeleinstellungen mit den im Geltungsbereich enthaltenen Sicherheitsgruppen in Ihrer AWS Organisation. Sie können den Status der Richtlinie in der AWS Firewall Manager Richtlinienkonsole überprüfen. Nachdem die Richtlinie erstellt wurde, können Sie sie bearbeiten und die automatische Standardisierung aktivieren, um die Prüfungssicherheitsgruppenrichtlinie in Kraft zu setzen. Weitere Information zur Funktionsweise dieser Richtlinie finden Sie unter [Verwenden von Inhaltsüberwachungs-Sicherheitsgruppenrichtlinien mit Firewall Manager](security-group-policies-audit.md).

## Eine Sicherheitsgruppenrichtlinie für die AWS Firewall Manager Nutzungsüberwachung erstellen
<a name="creating-firewall-manager-policy-usage-security-group"></a>

Weitere Informationen zur Funktionsweise von Nutzungsprüfungssicherheitsgruppenrichtlinien finden Sie unter [Verwenden von Sicherheitsgruppenrichtlinien zur Nutzungsüberwachung mit Firewall Manager](security-group-policies-usage.md).

**So erstellen Sie eine Nutzungsprüfungssicherheitsgruppenrichtlinie (Konsole):**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie für **Policy type (Richtlinientyp)** die Option **Security group (Sicherheitsgruppe)**. 

1. Wählen Sie als **Gruppenrichtlinientyp** die Option **Überwachung und Säuberung nicht zugeordneter und redundanter Sicherheitsgruppen** aus.

1. Wählen Sie für **Region** eine aus. AWS-Region

1. Wählen Sie **Weiter** aus.

1. Geben Sie unter **Policy name (Richtlinienname)** einen Anzeigenamen ein. 

1. Wählen Sie für **Policy rules (Richtlinienregeln)** eine oder beide der verfügbaren Optionen aus. 
   + Wenn Sie die Option **Sicherheitsgruppen innerhalb dieses Richtlinienbereichs müssen von mindestens einer Ressource verwendet werden** wählen, entfernt Firewall Manager alle Sicherheitsgruppen, die er für unbenutzt hält. Wenn diese Regel aktiviert ist, führt Firewall Manager sie zuletzt aus, wenn Sie die Richtlinie speichern.

     Einzelheiten dazu, wie Firewall Manager die Nutzung und den Zeitpunkt der Behebung bestimmt, finden Sie unter[Verwenden von Sicherheitsgruppenrichtlinien zur Nutzungsüberwachung mit Firewall Manager](security-group-policies-usage.md).
**Anmerkung**  
Wenn Sie diesen Sicherheits-Gruppenrichtlinientyp „Nutzungsüberwachung“ verwenden, vermeiden Sie es, innerhalb kurzer Zeit mehrere Änderungen am Zuordnungsstatus der in den Geltungsbereich fallenden Sicherheitsgruppen vorzunehmen. Dies kann dazu führen, dass Firewall Manager entsprechende Ereignisse verpasst. 

     Standardmäßig betrachtet Firewall Manager Sicherheitsgruppen als nicht konform mit dieser Richtlinienregel, sobald sie nicht verwendet werden. Sie können optional eine Anzahl von Minuten angeben, für die eine Sicherheitsgruppe ungenutzt bestehen kann, bevor sie als nicht konform eingestuft wird, nämlich bis zu 525.600 Minuten (365 Tage). Sie können diese Einstellung verwenden, um sich Zeit zu nehmen, um neue Sicherheitsgruppen Ressourcen zuzuordnen. 
**Wichtig**  
Wenn Sie eine andere Anzahl von Minuten als den Standardwert Null angeben, müssen Sie indirekte Beziehungen in aktivieren AWS Config. Andernfalls funktionieren Ihre Sicherheitsgruppenrichtlinien für die Nutzungsüberwachung nicht wie vorgesehen. Informationen zu indirekten Beziehungen finden Sie unter [Indirekte Beziehungen AWS Config im AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/faq.html#faq-2) *Entwicklerhandbuch*. AWS Config
   + Wenn Sie die Option **Sicherheitsgruppen innerhalb dieses Richtlinienbereichs müssen eindeutig sein** wählen, konsolidiert Firewall Manager redundante Sicherheitsgruppen, sodass jeder Ressource nur eine zugeordnet ist. Wenn Sie diese Option wählen, führt Firewall Manager sie zuerst aus, wenn Sie die Richtlinie speichern. 

1. Für **Policy action (Richtlinienaktion)** empfehlen wir, die Richtlinie mit der Option zu erstellen, die nicht automatisch korrigiert wird. Auf diese Weise können Sie die Auswirkungen Ihrer neuen Richtlinie prüfen, bevor Sie sie anwenden. Wenn Sie sich sicher sind, dass die Änderungen Ihren Wünschen entsprechen, bearbeiten Sie die Richtlinie und ändern Sie die Richtlinienaktion, um die automatische Korrektur nicht konformer Ressourcen zu aktivieren. 

1. Wählen Sie **Weiter** aus.

1. Wenn **AWS-Konten diese Richtlinie für gilt,** wählen Sie die Option wie folgt aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügen OUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie **Weiter** aus.

1. Wenn Sie das Firewall Manager-Administratorkonto nicht aus dem Richtlinienbereich ausgeschlossen haben, werden Sie von Firewall Manager dazu aufgefordert. Dadurch bleiben die Sicherheitsgruppen im Firewall Manager Manager-Administratorkonto, das Sie für allgemeine Sicherheitsgruppenrichtlinien und Überwachungsrichtlinien verwenden, unter Ihrer manuellen Kontrolle. Wählen Sie in diesem Dialog die gewünschte Option aus.

1. Überprüfen Sie die Richtlinieneinstellungen, um sicherzustellen, dass sie Ihren Wünschen entsprechen, und wählen Sie dann **Create policy (Richtlinie erstellen)**.

Wenn Sie sich dafür entschieden haben, eindeutige Sicherheitsgruppen vorzuschreiben, sucht Firewall Manager in jeder Amazon VPC-Instance im Geltungsbereich nach redundanten Sicherheitsgruppen. Wenn Sie dann festlegen, dass jede Sicherheitsgruppe von mindestens einer Ressource verwendet werden muss, sucht Firewall Manager nach Sicherheitsgruppen, die für die in der Regel angegebenen Minuten ungenutzt geblieben sind. Sie können den Status der Richtlinie in der AWS Firewall Manager Richtlinienkonsole überprüfen. Weitere Information zur Funktionsweise dieser Richtlinie finden Sie unter [Verwenden von Sicherheitsgruppenrichtlinien zur Nutzungsüberwachung mit Firewall Manager](security-group-policies-usage.md).

## Eine AWS Firewall Manager Netzwerk-ACL-Richtlinie erstellen
<a name="creating-firewall-manager-policy-network-acl"></a>

Informationen zur Funktionsweise von Netzwerk-ACL-Richtlinien finden Sie unter[Netzwerk-ACL-Richtlinien](network-acl-policies.md).

Um eine Netzwerk-ACL-Richtlinie zu erstellen, müssen Sie wissen, wie Sie eine Netzwerk-ACL für die Verwendung mit Ihren Amazon VPC-Subnetzen definieren. Weitere Informationen finden Sie unter [Steuern des Datenverkehrs zu Subnetzen über das Netzwerk ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) und [Arbeiten mit dem Netzwerk ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks) im *Amazon VPC-Benutzerhandbuch*. 

**So erstellen Sie eine Netzwerk-ACL-Richtlinie (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie als **Richtlinientyp** die Option **Network ACL** aus. 

1. Wählen Sie für **Region** eine AWS-Region. 

1. Wählen Sie **Weiter** aus.

1. Geben Sie als **Richtlinienname** einen aussagekräftigen Namen ein. 

1. Definieren Sie für **Richtlinienregeln** die Regeln, die Sie immer in dem Netzwerk ausführen möchten ACLs , das Firewall Manager für Sie verwaltet. Das Netzwerk ACLs überwacht und verarbeitet eingehenden und ausgehenden Datenverkehr. Daher definieren Sie in Ihrer Richtlinie die Regeln für beide Richtungen. 

   Für beide Richtungen definieren Sie Regeln, die immer zuerst ausgeführt werden sollen, und Regeln, die Sie immer zuletzt ausführen möchten. In dem Netzwerk ACLs , das Firewall Manager verwaltet, können Kontoinhaber benutzerdefinierte Regeln definieren, die zwischen diesen ersten und letzten Regeln ausgeführt werden. 

1. Wenn Sie **unter Richtlinienaktion** nicht konforme Subnetze und Netzwerke identifizieren möchten ACLs, aber noch keine Korrekturmaßnahmen ergreifen möchten, wählen Sie **Ressourcen identifizieren, die nicht den Richtlinienregeln entsprechen, aber keine** auto Korrektur durchführen aus. Sie können diese Optionen später ändern.

   Wenn Sie die Richtlinie stattdessen automatisch auf bestehende Subnetze im Geltungsbereich anwenden möchten, wählen Sie **Automatische Korrektur aller nicht konformen Ressourcen**. Mit dieser Option geben Sie auch an, ob die Behebung erzwungen werden soll, wenn das Verhalten der Richtlinienregeln bei der Verarbeitung des Datenverkehrs mit benutzerdefinierten Regeln in der Netzwerk-ACL kollidiert. Unabhängig davon, ob Sie die Behebung erzwingen, meldet Firewall Manager widersprüchliche Regeln bei seinen Compliance-Verstößen. 

1. Wählen Sie **Weiter** aus.

1. Wenn **AWS-Konten diese Richtlinie für gilt**, wählen Sie die Option wie folgt aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf andere, neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügen OUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

1. Für den **Ressourcentyp** ist die Einstellung auf **Subnetze** festgelegt. 

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die Richtlinieneinstellungen, um sicherzustellen, dass sie Ihren Wünschen entsprechen, und wählen Sie dann **Create policy (Richtlinie erstellen)**.

Firewall Manager erstellt die Richtlinie und beginnt mit der Überwachung und Verwaltung des integrierten Netzwerks ACLs gemäß Ihren Einstellungen. Weitere Information zur Funktionsweise dieser Richtlinie finden Sie unter [Netzwerk-ACL-Richtlinien](network-acl-policies.md).

## Erstellen einer AWS Firewall Manager Richtlinie für AWS Network Firewall
<a name="creating-firewall-manager-policy-for-network-firewall"></a>

In einer Firewall Manager Manager-Netzwerk-Firewall-Richtlinie verwenden Sie Regelgruppen, in denen Sie verwalten AWS Network Firewall. Informationen zur Verwaltung Ihrer Regelgruppen finden Sie unter [AWS Network Firewall Regelgruppen](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html) im *Network Firewall Developer Guide*.

Informationen zu den Netzwerk-Firewall-Richtlinien von Firewall Manager finden Sie unter[AWS Network Firewall Richtlinien im Firewall Manager verwenden](network-firewall-policies.md).

**So erstellen Sie eine Firewall Manager Manager-Richtlinie für AWS Network Firewall (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie unter **Policy type (Richtlinientyp)** die Option **AWS Network Firewall**.

1. Wählen Sie unter **Firewall-Management-Typ** aus, wie Firewall Manager die Firewalls der Richtlinie verwalten soll. Wählen Sie aus den folgenden Optionen aus:
   + **Verteilt** — Firewall Manager erstellt und verwaltet Firewall-Endpunkte in jeder VPC, die im Richtlinienbereich enthalten sind.
   +  **Zentralisiert** — Firewall Manager erstellt und verwaltet Endpoints in einer einzigen Inspektions-VPC.
   + **Importieren vorhandener Firewalls** — Firewall Manager importiert vorhandene Firewalls mithilfe von Ressourcensätzen aus der Network Firewall. Informationen zu Ressourcensätzen finden Sie unter. [Gruppieren Sie Ihre Ressourcen in Firewall Manager](fms-resource-sets.md)

1. Wählen Sie für **Region** eine AWS-Region. Um Ressourcen in mehreren Regionen zu schützen, müssen Sie für jede Region separate Richtlinien erstellen.

1. Wählen Sie **Weiter** aus.

1. Geben Sie als **Richtlinienname** einen aussagekräftigen Namen ein. Firewall Manager nimmt den Richtliniennamen in die Namen der Netzwerk-Firewall-Firewalls und der Firewall-Richtlinien auf, die er erstellt. 

1. Konfigurieren Sie in der **AWS Network Firewall Richtlinienkonfiguration** die Firewall-Richtlinie wie in der Network Firewall. Fügen Sie Ihre statusfreien und statusbehafteten Regelgruppen hinzu und geben Sie die Standardaktionen der Richtlinie an. Sie können optional die Reihenfolge der Statusregelauswertung und die Standardaktionen der Richtlinie sowie die Protokollierungskonfiguration festlegen. Informationen zur Verwaltung von Firewall-Richtlinien für [AWS Network Firewall Netzwerkfirewalls finden Sie unter Firewallrichtlinien](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html) im *AWS Network Firewall Entwicklerhandbuch*.

   Wenn Sie die Firewall Manager-Netzwerk-Firewall-Richtlinie erstellen, erstellt Firewall Manager Firewall-Richtlinien für die Konten, die in den Geltungsbereich fallen. Einzelne Kontomanager können Regelgruppen zu den Firewall-Richtlinien hinzufügen, aber sie können die Konfiguration, die Sie hier angeben, nicht ändern.

1. Wählen Sie **Weiter** aus.

1. Führen Sie je nach dem **Firewall-Verwaltungstyp**, den Sie im vorherigen Schritt ausgewählt haben, einen der folgenden Schritte aus:
   + Wenn Sie einen **verteilten** Firewall-Managementtyp verwenden, wählen Sie in der **AWS Firewall Manager Endpunktkonfiguration** unter **Standort des Firewall-Endpunkts** eine der folgenden Optionen aus:
     + **Benutzerdefinierte Endpunktkonfiguration** — Firewall Manager erstellt Firewalls für jede VPC innerhalb des Richtlinienbereichs in den von Ihnen angegebenen Availability Zones. Jede Firewall enthält mindestens einen Firewall-Endpunkt. 
       + Wählen Sie unter **Availability Zones** aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem **Namen der Availability Zone** oder nach der **Availability Zone ID** auswählen.
       + Wenn Sie die CIDR-Blöcke für Firewall Manager zur Verwendung für Firewall-Subnetze in Ihrem bereitstellen möchtenVPCs, müssen sie alle /28 CIDR-Blöcke sein. Geben Sie einen Block pro Zeile ein. Wenn Sie diese weglassen, wählt Firewall Manager IP-Adressen für Sie aus den aus, die in der VPCs verfügbar sind.
**Anmerkung**  
Die automatische Korrektur erfolgt automatisch für AWS Firewall Manager Netzwerk-Firewall-Richtlinien, sodass Sie hier keine Option sehen, die auto Korrektur abzulehnen.
     + **Automatische Endpunktkonfiguration** — Firewall Manager erstellt automatisch Firewall-Endpunkte in den Availability Zones mit öffentlichen Subnetzen in Ihrer VPC.
       + Geben Sie für die Konfiguration der **Firewall-Endpunkte** an, wie die Firewall-Endpunkte von Firewall Manager verwaltet werden sollen. Wir empfehlen die Verwendung mehrerer Endpunkte für eine hohe Verfügbarkeit.
   + Wenn Sie einen **zentralen** Firewall-Managementtyp verwenden, geben Sie in der **AWS Firewall Manager Endpunktkonfiguration** unter **Inspektion-VPC-Konfiguration** die AWS Konto-ID des Besitzers der Inspektion-VPC und die VPC-ID der Inspektion-VPC ein.
     + Wählen Sie unter **Availability Zones** aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem **Namen der Availability Zone** oder nach der **Availability Zone ID** auswählen.
     + Wenn Sie die CIDR-Blöcke für Firewall Manager zur Verwendung für Firewall-Subnetze in Ihrem bereitstellen möchtenVPCs, müssen sie alle /28 CIDR-Blöcke sein. Geben Sie einen Block pro Zeile ein. Wenn Sie diese weglassen, wählt Firewall Manager IP-Adressen für Sie aus den aus, die in der VPCs verfügbar sind.
**Anmerkung**  
Die automatische Korrektur erfolgt automatisch für AWS Firewall Manager Netzwerk-Firewall-Richtlinien, sodass Sie hier keine Option sehen, die auto Korrektur abzulehnen.
   + Wenn Sie den Firewall-Managementtyp **„Bestehende Firewalls importieren**“ verwenden, fügen Sie unter **Ressourcensätze** eine oder mehrere Ressourcensätze hinzu. Ein Ressourcensatz definiert die vorhandenen Netzwerk-Firewall-Firewalls, die dem Konto Ihrer Organisation gehören und die Sie in dieser Richtlinie zentral verwalten möchten. Um der Richtlinie einen Ressourcensatz hinzuzufügen, müssen Sie zunächst mithilfe der Konsole oder der [PutResourceSet](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutResourceSet.html)API einen Ressourcensatz erstellen. Informationen zu Ressourcensätzen finden Sie unter[Gruppieren Sie Ihre Ressourcen in Firewall Manager](fms-resource-sets.md). Weitere Informationen zum Importieren vorhandener Firewalls aus der Network Firewall finden Sie unter[So erstellt Firewall Manager Firewall-Endpunkte](fms-create-firewall-endpoints.md).

1. Wählen Sie **Weiter** aus.

1. Wenn Ihre Richtlinie einen verteilten Firewallverwaltungstyp verwendet, wählen Sie unter **Routenverwaltung** aus, ob Firewall Manager den Datenverkehr, der durch die jeweiligen Firewallendpunkte geleitet werden muss, überwacht und Warnmeldungen dazu sendet.
**Anmerkung**  
Wenn Sie „**Überwachen**“ wählen, können Sie die Einstellung zu einem späteren Zeitpunkt nicht auf **Aus** ändern. Die Überwachung wird fortgesetzt, bis Sie die Richtlinie löschen.

1. Fügen Sie als **Verkehrstyp** optional die Datenverkehrsendpunkte hinzu, über die Sie den Datenverkehr zur Firewall-Inspektion weiterleiten möchten.

1.  Wenn Sie diese Option für **Allow required cross-AZ traffic** aktivieren, behandelt Firewall Manager Availability Zones, die keinen eigenen Firewall-Endpunkt haben, als konformes Routing, das Datenverkehr aus einer Availability Zone zur Überprüfung sendet. Availability Zones mit Endpunkten müssen immer ihren eigenen Datenverkehr überprüfen. 

1. Wählen Sie **Weiter** aus.

1. Wählen Sie für **den Geltungsbereich** der **Richtlinie unter AWS-Konten Diese Richtlinie gilt für** die folgende Option aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügenOUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

1. Der **Ressourcentyp** für Netzwerk-Firewall-Richtlinien ist **VPC**. 

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie **Weiter** aus.

1. Fügen Sie für **Policy-Tags** alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen. 

   Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen). Im Bereich „**AWS Firewall Manager Richtlinien**“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „**Ausstehend**“ angezeigt und es wird der Status der Einstellung **Automatische Problembehebung** angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status **Pending (Ausstehend)** durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter [Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md)

## Eine AWS Firewall Manager Richtlinie für die Amazon Route 53 Resolver DNS Firewall erstellen
<a name="creating-firewall-manager-policy-for-dns-firewall"></a>

In einer Firewall Manager DNS-Firewall-Richtlinie verwenden Sie Regelgruppen, die Sie in Amazon Route 53 Resolver DNS Firewall verwalten. Informationen zur Verwaltung Ihrer Regelgruppen finden Sie unter [Verwaltung von Regelgruppen und Regeln in der DNS-Firewall](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-group-managing.html) im *Amazon Route 53 Developer Guide*.

Informationen zu den DNS-Firewallrichtlinien von Firewall Manager finden Sie unter[Verwenden der DNS-Firewall-Richtlinien von Amazon Route 53 Resolver im Firewall Manager](dns-firewall-policies.md).

**So erstellen Sie eine Firewall Manager Manager-Richtlinie für Amazon Route 53 Resolver DNS Firewall (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie als **Richtlinientyp** die Option **Amazon Route 53 Resolver DNS-Firewall** aus. 

1. Wählen Sie für **Region** eine AWS-Region. Um Ressourcen in mehreren Regionen zu schützen, müssen Sie für jede Region separate Richtlinien erstellen. 

1. Wählen Sie **Weiter** aus.

1. Geben Sie als **Richtlinienname** einen aussagekräftigen Namen ein. 

1. Fügen Sie in der Richtlinienkonfiguration die Regelgruppen hinzu, die die DNS-Firewall zuerst und zuletzt unter Ihren VPCs Regelgruppenzuordnungen auswerten soll. Sie können der Richtlinie bis zu zwei Regelgruppen hinzufügen.

   Wenn Sie die DNS-Firewall-Richtlinie von Firewall Manager erstellen, erstellt Firewall Manager die Regelgruppenzuordnungen mit den von Ihnen angegebenen Zuordnungsprioritäten für die Konten VPCs und die Konten, die innerhalb des Gültigkeitsbereichs liegen. Die einzelnen Kontomanager können Regelgruppenzuordnungen zwischen Ihrer ersten und letzten Zuordnung hinzufügen, aber sie können die Zuordnungen, die Sie hier definieren, nicht ändern. Weitere Informationen finden Sie unter [Verwenden der DNS-Firewall-Richtlinien von Amazon Route 53 Resolver im Firewall Manager](dns-firewall-policies.md).

1. Wählen Sie **Weiter** aus.

1. Wenn **AWS-Konten diese Richtlinie für gilt,** wählen Sie die Option wie folgt aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügenOUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

1. Der **Ressourcentyp** für DNS-Firewall-Richtlinien ist **VPC**. 

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie **Weiter** aus.

1. Fügen Sie für **Policy-Tags** alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen. 

   Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen). Im Bereich „**AWS Firewall Manager Richtlinien**“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „**Ausstehend**“ angezeigt und es wird der Status der Einstellung **Automatische Problembehebung** angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status **Pending (Ausstehend)** durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter [Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md)

## Eine AWS Firewall Manager Richtlinie für Palo Alto Networks Cloud NGFW erstellen
<a name="creating-cloud-ngfw-policy"></a>

Mit einer Firewall Manager-Richtlinie für die Palo Alto Networks Cloud Next Generation Firewall (Palo Alto Networks Cloud NGFW) verwenden Sie Firewall Manager, um Palo Alto Networks Cloud NGFW-Ressourcen bereitzustellen und NGFW-Regelstapel zentral für all Ihre Konten zu verwalten. AWS 

Informationen zu den Cloud NGFW-Richtlinien von Firewall Manager Palo Alto Networks finden Sie unter. [Verwendung der Palo Alto Networks Cloud NGFW-Richtlinien für Firewall Manager](cloud-ngfw-policies.md) Informationen zur Konfiguration und Verwaltung von Palo Alto Networks Cloud NGFW für Firewall Manager finden Sie in der Dokumentation *[Palo Alto Networks Cloud NGFW von Palo Alto Networks](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws)*. AWS

### Voraussetzungen
<a name="complete-fms-prereq-cloud-ngfw"></a>

Mehrere Schritte sind zur Vorbereitung Ihres Kontos auf AWS Firewall Manager zwingend erforderlich. Diese Schritte werden in [AWS Firewall Manager Voraussetzungen](fms-prereq.md) beschrieben. Erfüllen Sie alle Voraussetzungen, bevor Sie mit dem nächsten Schritt fortfahren.

**So erstellen Sie eine Firewall Manager Manager-Richtlinie für Palo Alto Networks Cloud NGFW (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie als **Richtlinientyp** **Palo Alto Networks Cloud NGFW** aus. Wenn Sie den Palo Alto Networks Cloud NGFW-Dienst noch nicht im AWS Marketplace abonniert haben, müssen Sie dies zuerst tun. Um im AWS Marketplace ein Abonnement abzuschließen, wählen Sie ** AWS Marketplace-Details anzeigen**.

1. Wählen Sie als **Bereitstellungsmodell** entweder das **verteilte Modell** oder das **zentralisierte Modell**. Das Bereitstellungsmodell bestimmt, wie Firewall Manager Endpunkte für die Richtlinie verwaltet. Beim verteilten Modell verwaltet Firewall Manager Firewall-Endpunkte in jeder VPC, die innerhalb des Richtlinienbereichs liegen. Mit dem zentralisierten Modell verwaltet Firewall Manager einen einzigen Endpunkt in einer Inspektions-VPC.

1. Wählen Sie für **Region** eine AWS-Region. Um Ressourcen in mehreren Regionen zu schützen, müssen Sie für jede Region separate Richtlinien erstellen. 

1. Wählen Sie **Weiter** aus.

1. Geben Sie als **Richtlinienname** einen aussagekräftigen Namen ein.

1. Wählen Sie in der Richtlinienkonfiguration die Palo Alto Networks Cloud NGFW-Firewallrichtlinie aus, die dieser Richtlinie zugeordnet werden soll. Die Liste der Palo Alto Networks Cloud NGFW-Firewallrichtlinien enthält alle Palo Alto Networks Cloud NGFW-Firewallrichtlinien, die Ihrem Palo Alto Networks Cloud NGFW-Mandanten zugeordnet sind. *Informationen zur Erstellung und Verwaltung von Palo Alto Networks Cloud NGFW-Firewallrichtlinien finden Sie im Abschnitt Deploy Palo Alto Networks Cloud NGFW for mit dem Thema im *[Leitfaden Palo Alto Networks Cloud NGFW for Deployment](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/getting-started-with-cloud-ngfw-for-aws/deploy-cloud-ngfw-for-aws-with-the-aws-firewall-manager.html)*. AWS AWS Firewall Manager AWS *

1. Für die **Palo Alto Networks Cloud NGFW-Protokollierung — optional — wählen Sie optional**, welche Palo Alto Networks Cloud NGFW-Protokolltypen für Ihre Richtlinie protokolliert werden sollen. *Informationen zu den NGFW-Protokolltypen in Palo Alto Networks Cloud finden [Sie unter Configure Logging for Palo Alto Networks Cloud NGFW on im Leitfaden Palo Alto Networks Cloud NGFW](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/create-cloud-ngfw-instances-and-endpoints/configure-logging-for-the-cloud-ngfw-on-aws.html) for Deployment. AWS AWS *

   Geben Sie als **Protokollziel** an, wohin Firewall Manager Protokolle schreiben soll.

1. Wählen Sie **Weiter** aus.

1. Führen **Sie unter Firewall-Endpunkt eines Drittanbieters konfigurieren** einen der folgenden Schritte aus, je nachdem, ob Sie für die Erstellung Ihrer Firewall-Endpunkte das verteilte oder das zentralisierte Bereitstellungsmodell verwenden:
   + Wenn Sie das verteilte Bereitstellungsmodell für diese Richtlinie verwenden, wählen Sie unter **Availability Zones** aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem **Namen der Availability Zone** oder nach der **Availability Zone ID** auswählen.
   + Wenn Sie das zentralisierte Bereitstellungsmodell für diese Richtlinie verwenden, geben Sie in der **AWS Firewall Manager Endpunktkonfiguration** unter **Inspektion-VPC-Konfiguration** die AWS Konto-ID des Besitzers der Inspektion-VPC und die VPC-ID der Inspektion-VPC ein.
     + Wählen Sie unter **Availability Zones** aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem **Namen der Availability Zone** oder nach der **Availability Zone ID** auswählen.

1. Wenn Sie die CIDR-Blöcke für Firewall Manager zur Verwendung für Firewall-Subnetze in Ihrem bereitstellen möchtenVPCs, müssen sie alle /28 CIDR-Blöcke sein. Geben Sie einen Block pro Zeile ein. Wenn Sie diese weglassen, wählt Firewall Manager IP-Adressen für Sie aus den aus, die in der VPCs verfügbar sind.
**Anmerkung**  
Die automatische Korrektur erfolgt automatisch für AWS Firewall Manager Netzwerk-Firewall-Richtlinien, sodass Sie hier keine Option sehen, die auto Korrektur abzulehnen.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie für **den Geltungsbereich der Richtlinie** unter „**AWS-Konten Diese Richtlinie gilt für**“ die Option wie folgt aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügenOUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

1. Der **Ressourcentyp** für Netzwerk-Firewall-Richtlinien ist **VPC**. 

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie für **Kontenübergreifenden Zugriff gewähren** die Option ** CloudFormation Vorlage herunterladen** aus. Dadurch wird eine CloudFormation Vorlage heruntergeladen, mit der Sie einen CloudFormation Stack erstellen können. Dieser Stack erstellt eine AWS Identity and Access Management Rolle, die Firewall Manager kontoübergreifende Berechtigungen zur Verwaltung von Palo Alto Networks Cloud NGFW-Ressourcen gewährt. *Informationen zu Stacks finden Sie unter [Arbeiten mit Stacks](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacks.html) im Benutzerhandbuch.CloudFormation *

1. Wählen Sie **Weiter** aus.

1. Fügen Sie für **Policy-Tags** alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen. 

   Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen). Im Bereich „**AWS Firewall Manager Richtlinien**“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „**Ausstehend**“ angezeigt und es wird der Status der Einstellung **Automatische Problembehebung** angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status **Pending (Ausstehend)** durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter [Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md)

## Erstellen einer AWS Firewall Manager Richtlinie für Fortigate Cloud Native Firewall (CNF) as a Service
<a name="creating-fortigate-cnf-policy"></a>

Mit einer Firewall Manager-Richtlinie für Fortigate CNF können Sie den Firewall Manager verwenden, um Fortigate CNF-Ressourcen für all Ihre Konten bereitzustellen und zu verwalten. AWS 

Informationen zu den Fortigate CNF-Richtlinien von Firewall Manager finden Sie unter. [Verwendung von Fortigate Cloud Native Firewall (CNF) as a Service-Richtlinien für Firewall Manager](fortigate-cnf-policies.md) [Informationen zur Konfiguration von Fortigate CNF für die Verwendung mit Firewall Manager finden Sie in der Fortinet-Dokumentation.]( https://docs.fortinet.com/product/fortigate-cnf )

### Voraussetzungen
<a name="complete-fms-prereq-fortigate-cnf"></a>

Mehrere Schritte sind zur Vorbereitung Ihres Kontos auf AWS Firewall Manager zwingend erforderlich. Diese Schritte werden in [AWS Firewall Manager Voraussetzungen](fms-prereq.md) beschrieben. Erfüllen Sie alle Voraussetzungen, bevor Sie mit dem nächsten Schritt fortfahren.

**So erstellen Sie eine Firewall Manager Manager-Richtlinie für Fortigate CNF (Konsole)**

1. Melden Sie sich AWS-Managementkonsole mit Ihrem Firewall Manager Manager-Administratorkonto an und öffnen Sie dann die Firewall Manager Manager-Konsole unter[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).
**Anmerkung**  
Weitere Informationen zum Einrichten eines Firewall Manager-Administratorkontos finden Sie unter [AWS Firewall Manager Voraussetzungen](fms-prereq.md).

1. Wählen Sie im Navigationsbereich **Security policies** (Sicherheitsrichtlinien) aus.

1. Wählen Sie **Richtlinie erstellen** aus.

1. Wählen Sie als **Richtlinientyp** **Fortigate Cloud Native Firewall (CNF) as** a Service aus. Wenn Sie den [Fortigate CNF-Service im AWS Marketplace](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i) noch nicht abonniert haben, müssen Sie dies zuerst tun. Um im AWS Marketplace ein Abonnement abzuschließen, wählen Sie ** AWS Marketplace-Details anzeigen**.

1. Wählen Sie als **Bereitstellungsmodell** entweder das **verteilte Modell** oder das **zentralisierte Modell**. Das Bereitstellungsmodell bestimmt, wie Firewall Manager Endpunkte für die Richtlinie verwaltet. Beim verteilten Modell verwaltet Firewall Manager Firewall-Endpunkte in jeder VPC, die innerhalb des Richtlinienbereichs liegen. Mit dem zentralisierten Modell verwaltet Firewall Manager einen einzigen Endpunkt in einer Inspektions-VPC.

1. Wählen Sie für **Region** eine AWS-Region. Um Ressourcen in mehreren Regionen zu schützen, müssen Sie für jede Region separate Richtlinien erstellen. 

1. Wählen Sie **Weiter** aus.

1. Geben Sie als **Richtlinienname** einen aussagekräftigen Namen ein.

1. Wählen Sie in der Richtlinienkonfiguration die Fortigate CNF-Firewall-Richtlinie aus, die dieser Richtlinie zugeordnet werden soll. Die Liste der Fortigate CNF-Firewallrichtlinien enthält alle Fortigate CNF-Firewallrichtlinien, die Ihrem Fortigate CNF-Mandanten zugeordnet sind. [Informationen zur Erstellung und Verwaltung von Fortigate CNF-Mandanten finden Sie in der Fortinet-Dokumentation.](https://docs.fortinet.com/product/fortigate-cnf)

1. Wählen Sie **Weiter** aus.

1. Führen **Sie unter Firewall-Endpunkt eines Drittanbieters konfigurieren** einen der folgenden Schritte aus, je nachdem, ob Sie für die Erstellung Ihrer Firewall-Endpunkte das verteilte oder das zentralisierte Bereitstellungsmodell verwenden:
   + Wenn Sie das verteilte Bereitstellungsmodell für diese Richtlinie verwenden, wählen Sie unter **Availability Zones** aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem **Namen der Availability Zone** oder nach der **Availability Zone ID** auswählen.
   + Wenn Sie das zentralisierte Bereitstellungsmodell für diese Richtlinie verwenden, geben Sie in der **AWS Firewall Manager Endpunktkonfiguration** unter **Inspektion-VPC-Konfiguration** die AWS Konto-ID des Besitzers der Inspektion-VPC und die VPC-ID der Inspektion-VPC ein.
     + Wählen Sie unter **Availability Zones** aus, in welchen Availability Zones Firewall-Endpoints erstellt werden sollen. Sie können Availability Zones nach dem **Namen der Availability Zone** oder nach der **Availability Zone ID** auswählen.

1. Wenn Sie die CIDR-Blöcke für Firewall Manager zur Verwendung für Firewall-Subnetze in Ihrem bereitstellen möchtenVPCs, müssen sie alle /28 CIDR-Blöcke sein. Geben Sie einen Block pro Zeile ein. Wenn Sie diese weglassen, wählt Firewall Manager IP-Adressen für Sie aus den aus, die in der VPCs verfügbar sind.
**Anmerkung**  
Die automatische Korrektur erfolgt automatisch für AWS Firewall Manager Netzwerk-Firewall-Richtlinien, sodass Sie hier keine Option sehen, die auto Korrektur abzulehnen.

1. Wählen Sie **Weiter** aus.

1. Wählen Sie für **den Geltungsbereich der Richtlinie** unter „**AWS-Konten Diese Richtlinie gilt für**“ die Option wie folgt aus: 
   + Wenn Sie die Richtlinie auf alle Konten in Ihrer Organisation anwenden möchten, behalten Sie die Standardauswahl **Alle Konten meiner AWS Organisation einbeziehen** bei. 
   + Wenn Sie die Richtlinie nur auf bestimmte Konten oder Konten in bestimmten AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Nur die angegebenen Konten und Organisationseinheiten einbeziehen** aus und fügen Sie dann die Konten hinzu, OUs die Sie einbeziehen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 
   + Wenn Sie die Richtlinie für alle Konten oder Organisationseinheiten außer einer bestimmten Gruppe von Konten oder AWS Organizations Organisationseinheiten (OUs) anwenden möchten, wählen Sie **Die angegebenen Konten und Organisationseinheiten ausschließen und alle anderen einbeziehen** aus. Fügen Sie dann die Konten hinzu OUs , die Sie ausschließen möchten. Die Angabe einer Organisationseinheit entspricht der Angabe aller Konten in der Organisationseinheit und aller ihrer untergeordneten Einheiten OUs, einschließlich aller untergeordneten Konten OUs und Konten, die zu einem späteren Zeitpunkt hinzugefügt werden. 

   Sie können nur eine der Optionen auswählen. 

   Nachdem Sie die Richtlinie angewendet haben, bewertet Firewall Manager automatisch alle neuen Konten anhand Ihrer Einstellungen. Wenn Sie beispielsweise nur bestimmte Konten angeben, wendet Firewall Manager die Richtlinie nicht auf neue Konten an. Ein weiteres Beispiel: Wenn Sie eine Organisationseinheit hinzufügen und der Organisationseinheit oder einem ihrer untergeordneten Konten ein Konto hinzufügenOUs, wendet Firewall Manager die Richtlinie automatisch auf das neue Konto an.

1. Der **Ressourcentyp** für Netzwerk-Firewall-Richtlinien ist **VPC**. 

1. Bei **Ressourcen** können Sie den Geltungsbereich der Richtlinie mithilfe von Tagging einschränken, indem Sie Ressourcen mit den von Ihnen angegebenen Tags entweder ein- oder ausschließen. Sie können Inklusion oder Exclusion verwenden, aber nicht beides. Weitere Informationen zu Tags zur Definition des Richtlinienbereichs finden Sie unter[Den Geltungsbereich der AWS Firewall Manager Richtlinie verwenden](policy-scope.md).

   Ressourcen-Tags können nur Werte enthalten, die ungleich Null sind. Wenn Sie den Wert für ein Tag weglassen, speichert Firewall Manager das Tag mit einem leeren Zeichenfolgenwert: „“. Ressourcen-Tags stimmen nur mit Tags überein, die denselben Schlüssel und denselben Wert haben. 

1. Wählen Sie für **Kontenübergreifenden Zugriff gewähren** die Option ** CloudFormation Vorlage herunterladen** aus. Dadurch wird eine CloudFormation Vorlage heruntergeladen, mit der Sie einen CloudFormation Stack erstellen können. Dieser Stack erstellt eine AWS Identity and Access Management Rolle, die Firewall Manager kontoübergreifende Berechtigungen zur Verwaltung von Fortigate CNF-Ressourcen gewährt. *Informationen zu Stacks finden Sie unter [Arbeiten mit Stacks](https://docs.aws.amazon.com/AWSCloudFormation/latest/gsg/stacks.html) im Benutzerhandbuch.CloudFormation * Um einen Stack zu erstellen, benötigen Sie die Konto-ID aus dem Fortigate CNF-Portal.

1. Wählen Sie **Weiter** aus.

1. Fügen Sie für **Policy-Tags** alle identifizierenden Tags hinzu, die Sie der Firewall Manager Manager-Richtlinienressource hinzufügen möchten. Weitere Informationen zu Tags finden Sie unter [Arbeiten mit dem Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).

1. Wählen Sie **Weiter** aus.

1. Überprüfen Sie die neuen Richtlinieneinstellungen und kehren Sie zu den Seiten zurück, auf denen Sie Anpassungen vornehmen müssen. 

   Wenn Sie mit der Richtlinie zufrieden sind, klicken Sie auf **Create policy** (Richtlinie erstellen). Im Bereich „**AWS Firewall Manager Richtlinien**“ sollte Ihre Richtlinie aufgeführt sein. Unter den Überschriften „Konten“ wird wahrscheinlich „**Ausstehend**“ angezeigt und es wird der Status der Einstellung **Automatische Problembehebung** angezeigt. Die Erstellung einer Richtlinie kann mehrere Minuten dauern. Nachdem der Status **Pending (Ausstehend)** durch die Kontenanzahl ersetzt wurde, können Sie den Richtliniennamen auswählen, um den Compliance-Status der Konten und Ressourcen zu untersuchen. Weitere Informationen finden Sie unter [Compliance-Informationen für eine AWS Firewall Manager Richtlinie anzeigen](fms-compliance.md)