设置 AWS Firewall Manager Amazon VPC 安全组策略

创建在 Firewall Manager 通用安全组策略中使用的安全组

• 按照 Amazon VPC 用户指南中您的 VPC 安全组下的指导，创建一个可以应用于组织中所有账户和资源的安全组。

  有关安全组规则选项的信息，请参阅安全组规则参考。

创建 Firewall Manager 通用安全组策略（控制台）

1. AWS Management Console 使用您的 Firewall Manager 管理员帐户登录，然后打开防火墙管理器控制台，网址为https://console.aws.amazon.com/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息，请参阅AWS Firewall Manager 先决条件。

   注意

   有关设置 Firewall Manager 管理员账户的信息，请参阅AWS Firewall Manager 先决条件。

2. 在导航窗格中，选择 安全策略。

3. 如果您未满足先决条件，控制台会显示有关如何解决任何问题的说明。按照说明操作，然后返回此步骤以创建通用安全组策略。

4. 选择创建策略。

5. 对于 策略类型，选择 安全组。

6. 对于 安全组策略类型，选择 通用安全组。

7. 对于区域，选择一个 AWS 区域。

8. 选择下一步。

9. 对于策略名称，请键入策略的描述性名称。

10. 策略规则 选项允许您选择如何应用和维护此策略中的安全组。在本教程中，不要选中这些选项。

11. 选择 添加主安全组，选择您为本教程创建的安全组，然后选择 添加安全组。

12. 对于 策略操作，请选择 确定不符合策略规则的资源，但不自动修复。

13. 选择下一步。

14. AWS 账户 受此政策影响允许您通过指定要包含或排除的账户来缩小策略的范围。对于本教程，选择 包括我的组织下的所有账户。

15. 对于资源类型，根据您为 AWS 组织定义的资源选择一个或多个类型。

16. 对于资源，可以使用标签来缩小策略的范围，您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”，但两者不能同时使用。有关用于定义策略范围的标签的更多信息，请参阅使用 AWS Firewall Manager 策略范围。

    资源标签只能有非空值。如果忽略标签的值，Firewall Manager 会使用以下空字符串值保存标签：“”。资源标签仅与具有相同键和相同值的标签匹配。

17. 选择下一步。

18. 对于策略标签，请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息，请参阅使用标签编辑器。

19. 选择下一步。

20. 查看新的政策设置，然后返回需要进行任何调整的页面。

    进行检查以确保 策略操作 设置为 确定不符合策略规则的资源，但不自动修复。这样，您就可以在启用更改之前查看策略要做出的更改。

21. 若您满意所创建的策略，请选择 创建策略。

    AWS Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下指示待处理，并指示自动修复设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时，您可以选择策略名称来探索账户和资源的合规状态。有关信息，请参阅。查看 AWS Firewall Manager 策略的合规性信息

22. 在探索完成后，如果您不希望保留为本教程创建的策略，请依次选择策略名称、删除、清除此策略创建的资源，最后选择 删除。