AWS 的托管策略 AWS Firewall Manager - AWS WAFAWS Firewall Manager、和 AWS Shield Advanced
AWSFMAdminFullAccessFMSServiceRolePolicyAWSFMAdminReadOnlyAccessAWSFMMemberReadOnlyAccess策略更新

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 的托管策略 AWS Firewall Manager

AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的客户托管式策略来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 当新服务启动或现有服务 AWS 服务 有新API操作可用时,最有可能更新 AWS 托管策略。

有关更多信息,请参阅《IAM用户指南》中的AWS 托管策略

AWS 托管策略:AWSFMAdminFullAccess

使用AWSFMAdminFullAccess AWS 托管策略允许您的管理员访问 AWS Firewall Manager 资源,包括所有 Firewall Manager 策略类型。此策略不包括在 AWS Firewall Manager中设置 Amazon Simple Notification Service 通知的权限。有关如何设置 Amazon Simple Notification Service 的访问权限的信息,请参阅设置 Amazon Simple Notification Service 的访问权限

有关政策列表和详细信息,请参阅IAM控制台,网址为AWSFMAdminFullAccess。本节的其余部分概述了策略设置。

权限声明

此策略根据权限集分为多个语句。

  • AWS Firewall Manager 策略资源-允许对中的 AWS Firewall Manager资源(包括所有 Firewall Manager 策略类型)拥有完全管理权限。

  • 将 AWS WAF 日志写入亚马逊简单存储服务-允许 Firewall Manager 在 Amazon S3 中写入和读取 AWS WAF 日志。

  • 创建服务相关角色-允许管理员创建服务相关角色,允许 Firewall Manager 代表您访问其他服务中的资源。此权限允许创建仅供 Firewall Manager 使用的服务关联角色。有关 Firewall Manager 如何使用服务相关角色的信息,请参阅使用 Firewall Manager 的服务相关角色

  • AWS Organizations:允许管理员将 Firewall Manager 用于 AWS Organizations中的企业。在中启用 Firewall Manager 的可信访问后 AWS Organizations,管理员帐户的成员可以查看其组织中的发现结果。有关 AWS Organizations 与一起使用的信息 AWS Firewall Manager,请参阅《AWS Organizations 用户指南》中的AWS Organizations 与其他 AWS 服务一起使用

权限类别

以下列出了策略中的权限类型及其提供的权限。

  • fms— 使用 AWS Firewall Manager 资源。

  • wafwaf-regional-使用 AWS WAF 经典策略。

  • elasticloadbalancing— 关联 AWS WAF Web ACLsto 弹性负载均衡器。

  • firehose— 查看有关 AWS WAF 日志的信息。

  • organizations— 使用 Organiz AWS ations 资源。

  • shield— 查看 AWS Shield 策略的订阅状态。

  • route53resolver— 使用 Route 53 Pri DNS vate 作为 Route 53 私有DNSVPCs策略中的VPCs规则组。

  • wafv2— 使用 AWS WAFV2 策略。

  • network-firewall— 使用 AWS Network Firewall 策略。

  • ec2— 查看策略可用区和区域。

  • s3— 查看有关 AWS WAF 日志的信息。

AWS 托管策略:FMSServiceRolePolicy

此策略 AWS Firewall Manager 允许您在 Firewall Manager 和集成服务中代表您管理 AWS 资源。此策略附加到 AWSServiceRoleForFMS 服务相关角色。有关服务相关角色的更多信息,请参阅 使用 Firewall Manager 的服务相关角色

有关政策的详细信息,请参阅IAM控制台,网址为FMSServiceRolePolicy

AWS 托管策略: AWSFMAdminReadOnlyAccess

授予对所有 Fi AWS rewall Manager 资源的只读访问权限。

有关政策列表和详细信息,请参阅IAM控制台,网址为AWSFMAdminReadOnlyAccess。本节的其余部分概述了策略设置。

权限类别

下面列出了策略中的权限类型以及这些权限允许只读访问的信息。

  • fms— AWS Firewall Manager 资源。

  • wafwaf-regional- AWS WAF 经典策略。

  • firehose— AWS WAF 日志。

  • organizations— AWS Organitions 资源。

  • shield— AWS Shield 政策。

  • route53resolver— Route 53 DNS 专用 Route 53 DNS 用于VPCs策略中的VPCs规则组。

  • wafv2— 中可用的 AWS WAFV2 规则组和 AWS 托管规则规则组 AWS WAFV2。

  • network-firewall— AWS Network Firewall 规则组和规则组元数据。

  • ec2— AWS Network Firewall 政策可用区和区域。

  • s3— AWS WAF 日志。

AWS 托管策略: AWSFMMemberReadOnlyAccess

授予对 AWS Firewall Manager 成员资源的只读访问权限。有关政策列表和详细信息,请参阅IAM控制台,网址为AWSFMMemberReadOnlyAccess

Firewall Manager 对 AWS 托管策略的更新

查看自该服务开始跟踪这些更改以来 Firewall Manager AWS 托管策略更新的详细信息。要获得有关此页面更改的自动提醒,请订阅 Firewall Manager 文档历史记录页面上的订阅RSS源,网址为文档历史记录

更改 描述 日期

FMSServiceRolePolicy - 更新的策略

向 Firewall Manager 服务角色策略添加了权限。

增加了读取 Network Firewall TLS 配置信息的功能。在IAM控制台中查看更新的政策:FMSServiceRolePolicy.

 2024-07-22

FMSServiceRolePolicy - 更新的策略

增加了管理网络的权限ACLs。

在IAM控制台中查看更新的政策:FMSServiceRolePolicy.

 2024-04-22

FMSServiceRolePolicy - 更新的策略

添加了允许 Firewall Manager 描述指定 AWS Config 规则是否合规的权限。

在IAM控制台中查看更新的政策:FMSServiceRolePolicy.

 2023-04-21

FMSServiceRolePolicy - 更新的策略

增加了允许 Firewall Manager 描述亚马逊EC2实例和网络接口属性的权限。

在IAM控制台中查看更新的政策:FMSServiceRolePolicy.

 2022-11-15

AWSFMAdminReadOnlyAccess - 更新的策略

增加了支持 AWS WAFV2、Shield、Network Firewall、Fi DNS rewall、Amazon VPC 安全组、策略的权限。

在IAM控制台中查看更新的政策:AWSFMAdminReadOnlyAccess.

 2022-11-02

AWSFMAdminFullAccess - 更新的策略

增加了支持 AWS WAFV2、Shield、Network Firewall、Fi DNS rewall、Amazon VPC 安全组、策略的权限。已移除亚马逊SNS权限。

在IAM控制台中查看更新的政策:AWSFMAdminFullAccess.

 2022-10-21

FMSServiceRolePolicy— AWS Firewall Manager 第三方防火墙策略的新权限

此更改允许 Firewall Manager 创建和删除与第三方防火墙策略关联的亚马逊EC2VPC终端节点。

 2022-03-30

FMSServiceRolePolicy— AWS Network Firewall 策略的新权限

添加了新权限,以支持为 Network Firewall 策略部署防火墙。新权限允许为策略范围内的账户检索有关可用区的信息。

 2022-02-16

FMSServiceRolePolicy— AWS Shield 策略的新权限

增加了检索 AWS WAF 区域和 AWS WAF 全球资源标签的新权限。添加了ACLs使用资源检索 Web 的 AWS WAF 区域权限ARN。增加了支持 Shield 自动应用层DDoS缓解的权限。

 2022-01-07

FMSServiceRolePolicy— AWS Shield 策略的新权限

添加了新权限,以检索 Elastic Load Balancing 资源的标签。

 2021-11-18

FMSServiceRolePolicy— 安全组和 AWS Network Firewall 策略的新权限

添加了新的权限以启用 AWS Network Firewall 策略的集中日志记录。此外,还添加了只读的 Amazon EC2 权限,以支持对 Config 服务的更改,这些更改会影响 AWS Firewall Manager 查询资源以获取安全组策略的方式。

 2021-09-29

FMSServiceRolePolicy— AWS WAF 资源ARN格式

更新了FMSServiceRolePolicy以标准化 AWS WAF 资源ARN格式。更新的ARN格式为arn:aws:waf:*:*:*arn:aws:waf-regional:*:*:*

 2021-08-12

FMSServiceRolePolicy – 中国的其他地区

AWS Firewall Manager 已FMSServiceRolePolicy为中国的BJS和ZHY地区启用。

 2021-08-12

FMSServiceRolePolicy – 对现有策略的更新

添加了允许 AWS Firewall Manager 管理 Amazon Route 53 Resolver DNS防火墙的新权限。

此更改允许 Firewall Manager 配置 Amazon Route 53 Resolver DNS防火墙关联。这允许您使用 Firewall Manager 为您的VPCs整个组织提供DNS防火墙保护 AWS Organizations。

 2021-03-17

Firewall Manager 已开启跟踪更改

Firewall Manager 开始跟踪其 AWS 托管策略的更改。

 2021-03-02