步骤 3：启用 AWS Config

要使用 Firewall Manager，必须启用 AWS Config。

注意

根据 AWS Config 定价，您的 AWS Config 设置会产生费用。有关更多信息，请参阅入门 AWS Config。

注意

为了让 Firewall Manager 监控策略合规性， AWS Config 必须持续记录受保护资源的配置更改。在您的 AWS Config 配置中，必须将录制频率设置为 “连续”，这是默认设置。

为 Firewall AWS Config Manager 启用

AWS Config 为每个 AWS Organizations 成员帐户启用，包括 Firewall Manager 管理员帐户。有关更多信息，请参阅入门 AWS Config。
AWS Config 为 AWS 区域包含您要保护的资源的每个资源启用该选项。您可以 AWS Config 手动启用，也可以使用AWS CloudFormation StackSets 示例 AWS CloudFormation 模板中的 “启用 AWS Config” 模板。

如果您不想 AWS Config 为所有资源启用，则必须根据所使用的 Firewall Manager 策略类型启用以下选项：
- WAF 策略 — 为资源类型启用配置： CloudFront 分发、Application Load Balancer（从列表中选择 ElasticLoadBalancingV2）、API Gateway、WAF WebACL、WAF 区域 WebACL 和 Wafv2 WebACL 和 Wafv2 WebACL。 AWS Config 要启用保护 CloudFront 分配，您必须位于美国东部（弗吉尼亚北部）区域。其他地区没有 CloudFront 选项。
- Shield 策略 — 为 Shield Protection、Protection、 ShieldRegional Application Load Balancer、EC2 EIP、WAF WebACL、WAF 区域 WebACL 和 Wafv2 WebACL 等资源类型启用配置。
- 安全组策略 — 为 EC2 SecurityGroup、EC2 实例和 EC2 资源类型启用 Config NetworkInterface。
- 网络 ACL 策略 — 为 Amazon EC2 子网和 Amazon EC2 网络 ACL 的资源类型启用 Config。
- N@@ etwork Firewall 策略 — 为资源类型 NetworkFirewall FirewallPolicy NetworkFirewallRuleGroup、EC2 VPC、EC2 InternetGateway RouteTable、EC2 和 EC2 子网启用配置。
- DNS 防火墙策略：为 EC2 VPC 资源类型启用“配置”。
- 第三方防火墙策略 — 为 Amazon EC2 VPC、亚马逊 EC2、亚马逊 EC2、Amazon EC InternetGateway 2 RouteTable 子网和亚马逊 EC2 vpcendPoint 资源类型启用配置。
注意
如果您将 AWS Config 记录器配置为使用自定义 IAM 角色，则需要确保 IAM 策略具有记录 Firewall Manager 策略所需的资源类型的适当权限。如果没有适当的权限，则可能无法记录所需的资源，这会使 Firewall Manager 无法正确保护您的资源。Firewall Manager 无法查看这些权限错误配置。有关将 IAM 与配合使用的信息 AWS Config，请参阅适用于 IAM 的信息 AWS Config。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

步骤 2：创建 AWS Firewall Manager 默认管理员帐户

步骤 4：对于第三方策略，请在 AWS Marketplace 中订阅并配置第三方设置