本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
要使用 Firewall Manager,必须启用 AWS Config。
注意
根据 AWS Config 定价,您的 AWS Config 设置会产生费用。有关更多信息,请参阅入门 AWS Config。
注意
为了让 Firewall Manager 监控策略合规性, AWS Config 必须持续记录受保护资源的配置更改。在您的 AWS Config 配置中,必须将录制频率设置为 “连续”,这是默认设置。
为 Firewall AWS Config Manager 启用
-
AWS Config 为每个 AWS Organizations 成员帐户启用,包括 Firewall Manager 管理员帐户。有关更多信息,请参阅入门 AWS Config。
-
AWS Config 为 AWS 区域 包含您要保护的资源的每个资源启用该选项。您可以 AWS Config 手动启用,也可以使用AWS CloudFormation StackSets 示例 AWS CloudFormation 模板中的 “启用 AWS Config” 模板。
如果您不想 AWS Config 为所有资源启用,则必须根据所使用的 Firewall Manager 策略类型启用以下选项:
-
WAF 策略 — 为资源类型启用 Config: CloudFront 分发、Application Load Balancer(从列表中选择 ElasticLoadBalancingV2)、API Gateway、WAF WebACL、WAF 区域 WebACL 和 WebACL。 WAFv2 AWS Config 要启用保护 CloudFront 分配,您必须位于美国东部(弗吉尼亚北部)区域。其他地区没有 CloudFront 选项。
-
Shield 策略 — 为 Shield Protection、Protection、 ShieldRegional Application Load Balancer、 EC2 EIP、WAF WebACL、WAF 区域 WebACL 和 WebACL 等资源类型启用配置。 WAFv2
-
安全组策略 — 为资源类型 EC2 SecurityGroup、 EC2 实例和 “启用 Config” EC2 NetworkInterface。
-
网络 ACL 策略 — 为 Amazon S EC2 ubnet 和 Amazon EC2 网络 ACL 的资源类型启用 Config。
-
Network Firewall 策略 — 为资源类型 NetworkFirewall FirewallPolicy、、 EC2 VPC NetworkFirewall RuleGroup EC2 InternetGateway EC2 RouteTable、和 EC2 子网启用 Config。
-
DNS 防火墙策略-为资源类型 EC2 VPC 启用 Config。
-
第三方防火墙策略 — 为 Amazon EC2 VPC、Amazon、Amazon、Amazon S EC2 ub EC2 InternetGateway net 和 A EC2 RouteTable mazon 的资源类型启用 Config EC2 VPCEndpoint。
注意
如果您将 AWS Config 记录器配置为使用自定义 IAM 角色,则需要确保 IAM 策略具有记录 Firewall Manager 策略所需的资源类型的适当权限。如果没有适当的权限,则可能无法记录所需的资源,这会使 Firewall Manager 无法正确保护您的资源。Firewall Manager 无法查看这些权限错误配置。有关将 IAM 与配合使用的信息 AWS Config,请参阅适用于 IAM 的信息 AWS Config。
-
