本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

在 Firewall Manager 中使用 AWS Shield Advanced 策略

本页介绍如何在 Firewall Manager 中使用 AWS Shield 策略。在 Firew AWS Shield all Manager 策略中，您可以选择要保护的资源。当您在启用自动修复的情况下应用策略时，对于每个尚未与 AWS WAF 网站ACL关联的范围内的资源，Firewall Manager 会关联一个空 AWS WAF 网页ACL。空网ACL用于监控 Shield。如果您随后将任何其他网站关联ACL到该资源，Firewall Manager 会删除空的网络ACL关联。

如何在 Shield 策略ACLs中 AWS Firewall Manager 管理未关联的网站

您可以通过策略中的 “管理未关联的网ACLs页” 设置或中SecurityServicePolicyData数据类型的ACLs设置来配置 Firewall Manager 是optimizeUnassociatedWebACLs为您管理未关联的 Web。API如果您在策略ACLs中启用了对未关联网站的管理，则只有当网络将由至少一个资源使用时，Firewall Manager 才ACLs会在策略范围内的帐户ACLs中创建网页。如果某个账户在任何时候进入策略范围，如果至少有一个资源将使用该网站，Firewall Manager 会自动在该账户ACL中创建一个网页ACL。

启用对未关联网站的管理后ACLs，Firewall Manager 会对您账户ACLs中未关联的网页执行一次性清理。清理过程可能需要数小时时间。如果资源在 Firewall Manager 创建网站后离开策略范围ACL，则 Firewall Manager 不会取消该资源与 Web ACL 的关联。如果希望 Firewall Manager 清理网络ACL，则必须先手动取消资源与网络的关联ACL，然后在策略中启用 “管理未关联的 WebACLs” 选项。

如果您不启用此选项，Firewall Manager 将不管理未关联的网站ACLs，并且防火墙管理器会自动ACL在策略范围内的每个帐户中创建一个网页。

如何 AWS Firewall Manager 管理 Shield 策略中的范围变更

由于许多更改，例如策略范围设置的更改、资源标签的更改以及将帐户从组织中删除，账户和资源可能会超出 AWS Firewall Manager Shield Advanced 策略的范围。有关策略范围设置的一般信息，请参阅 使用 AWS Firewall Manager 策略范围。

使用 AWS Firewall Manager Shield Advanced 策略时，如果账户或资源超出范围，Firewall Manager 将停止监控该账户或资源。

如果账户因从组织中移除而超出范围，则该账户将继续订阅 Shield Advanced。由于账户不再是整合账单账户系列的一部分，因此该账户将产生按比例分配的 Shield Advanced 订阅费用。另一方面，超出范围但仍留在组织中的账户不会产生额外费用。

如果资源超出范围，它将继续受到 Shield Advanced 的保护，并继续chan's产生 Shield Advanced 数据传输费用。