为使用 Firewall Manager 启用 AWS Config
要使用 Firewall Manager,必须启用 AWS Config。
注意
根据 AWS Config 定价,您的 AWS Config 设置会产生费用。有关更多信息,请参见 AWS Config 入门。
注意
为便于 Firewall Manager 监控策略合规性,AWS Config 必须不间断记录受保护资源的配置更改。在 AWS Config 配置中,必须将记录频率设置为“连续”,这是默认设置。
为 Firewall Manager 启用 AWS Config
-
为每个 AWS Organizations 成员账户启用 AWS Config,包括 Firewall Manager 管理员账户。有关更多信息,请参见 AWS Config 入门。
-
为包含要保护的资源的每个 AWS 区域 启用 AWS Config。您可以手动启用 AWS Config,也可以在 AWS CloudFormation StackSets 示例模版上使用 AWS CloudFormation 模版“启用 AWS Config”。
如果您不想为所有资源启用 AWS Config,则必须根据所使用的 Firewall Manager 策略类型启用以下选项:
-
WAF 策略:为 CloudFront 分配、应用程序负载均衡器(从列表中选择 ElasticLoadBalancingV2)、API Gateway、WAF WebACL、WAF Regional WebACL 和 WAFv2 WebACL 资源类型启用“配置”。要启用 AWS Config 以保护 CloudFront 分配,必须位于美国东部(弗吉尼亚州北部)区域。其他区域没有 CloudFront 选项。
-
Shield 策略:为 Shield 保护、ShieldRegional Protection、应用程序负载均衡器、EC2 EIP、WAF WebACL、WAF Regional WebACL 和 WAFv2 WebACL 资源类型启用“配置”。
-
安全组策略:为 EC2 SecurityGroup、EC2 实例和 EC2 NetworkInterface 资源类型启用“配置”。
-
网络 ACL 策略 - 为 Amazon EC2 子网和 Amazon EC2 网络 ACL 资源类型启用“配置”。
-
Network Firewall 策略:为 NetworkFirewall FirewallPolicy、NetworkFirewall RuleGroup、EC2 VPC、EC2 InternetGateway、EC2 RouteTable 和 EC2 子网资源类型启用“配置”。
-
DNS 防火墙策略:为 EC2 VPC 资源类型启用“配置”。
-
第三方防火墙策略:为 Amazon EC2 VPC、Amazon EC2 InternetGateway、Amazon EC2 RouteTable、Amazon EC2 子网和Amazon EC2 vpcendPoint 资源类型启用“配置”。
注意
如果您将 AWS Config 记录器配置为使用自定义 IAM 角色,则需要确保 IAM 策略具有记录 Firewall Manager 策略所需资源类型的适当权限。如果没有适当的权限,则可能无法记录所需的资源,这会使 Firewall Manager 无法正确保护您的资源。Firewall Manager 无法查看这些权限错误配置。有关将 AWS Config 与 IAM 搭配使用的信息,请参阅适用于 AWS Config 的 IAM。
-
