**引入全新的主机体验 AWS WAF** 现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用 AWS Firewall Manager 管理员 本页介绍了什么是 Firewall Manager 管理员并定义了相关术语。 使用后, AWS Firewall Manager 您可以有一个或多个管理员来管理您组织的防火墙资源。如果要在组织中使用多个 Firewall Manager 管理员,则可以对每个管理员应用管理范围条件来定义他们可以管理的资源。这使您可以灵活地在组织中使用不同的管理员角色,并帮助您保持最低权限访问的原则。例如,您可以让一个管理员管理组织的一组组织单位 (OUs),而委托另一个管理员仅管理特定的Firewall Manager策略类型。有关 Organizations [和管理账户的更多信息,请参阅管理组织中的 AWS 账户](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html)。 有关每个组织可以拥有的最大管理员人数,请参阅 [AWS Firewall Manager 配额](fms-limits.md) **开始使用 Firewall Manager 管理员** 开始使用 Firewall Manager 管理员之前,您必须先完成 [AWS Firewall Manager 先决条件](fms-prereq.md) 中列出的先决条件。在先决条件中,您将 AWS Organizations 组织加入防火墙管理器,并为防火墙管理器创建默认管理员帐户。默认管理员账户可以管理第三方防火墙,并且具有完整的管理范围。 **管理范围** *管理范围*定义了 Firewall Manager 管理员可以管理的资源。 AWS Organizations 管理帐户将组织登录到 Firewall Manager 后,该管理帐户可以创建具有不同管理范围的其他防火墙管理器管理员。 AWS Organizations 管理帐户可以授予管理员**全部**或**受限**的管理范围。完全范围为管理员提供了对上述所有资源类型的完全访问权限。受限范围是指仅向上述资源的子集授予管理权限。我们建议您仅向管理员授予他们履行其角色职责所需的权限。您可以将以下管理范围条件的任意组合应用于管理员: + 管理员可以对其应用策略的账户或组织 OUs 中的账户。 + 管理员可以在其中执行操作的区域。 + 管理员可以管理的 Firewall Manager 策略类型。 **管理员角色** Firewall Manager 中有两种类型的管理员角色:默认管理员和Firewall Manager 管理员。 + 默认管理员:当组织的管理账户在完成操作的同时将组织加入Firewall Manager时,会创建一个 Firewall Manager 的*默认管理员*账户[AWS Firewall Manager 先决条件](fms-prereq.md)。默认管理员可以管理第三方防火墙并具有完整的管理范围,但如果您选择拥有多个管理员,则默认管理员与其他管理员处于同等级别。 + Firewall Manager 管理员:Firewall Manager 管理员可以管理 AWS Organizations 管理账户在其管理范围配置中为他们指定的资源。有关每个组织可以拥有的最大管理员人数,请参阅 [AWS Firewall Manager 配额](fms-limits.md)。在创建 Firewall Manager 管理员帐户后,该服务会检查该帐户是否已经是组织内防火墙管理器的授权管理员。 AWS Organizations 如果不是,Firewall Manager 会调用 Organizations,将该账户设置为 Firewall Manager 的委托管理员。有关 Organizations 委托管理员的信息,请参阅 *AWS Organizations 用户指南*[中的AWS Organizations 术语和概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)。 **现有管理员** 如果您是 Firewall Manager 的现有客户,并且已经设置了管理员,则该现有管理员将是 Firewall Manager 的默认管理员。您的现有流程不应受到任何影响。如果要添加更多管理员,可以按照本章中的步骤进行操作。