AWS Firewall Manager 和 AWS Organizations - AWS Organizations
服務連結角色服務委託人啟用受信任存取停用受信任存取啟用委派的管理員

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Firewall Manager 和 AWS Organizations

AWS Firewall Manager 是一項安全性管理服務,可用來集中設定及管理組織中和應用程式的防火牆規則 AWS 帳戶 及其他保護。使用 Firewall Manager 員,您可以推出 AWS WAF 規則、建立 AWS Shield Advanced 保護、設定和稽核 Amazon Virtual Private Cloud (Amazon VPC) 安全群組,以及部署 AWS Network Firewall。只需使用 Firewall Manager 設定一次防護,並將它們在您的組織內的所有帳戶和資源間自動套用,甚至是新增了新資源和帳戶亦然。如需詳細資訊 AWS Firewall Manager,請參閱AWS Firewall Manager 開發人員指南

請使用下列資訊來協助您 AWS Firewall Manager 與整合 AWS Organizations。

當您啟用整合時,即會建立服務連結角色。

當您啟用受信任存取時,會在您組織的管理帳戶中自動建立以下服務連結角色。該角色允許 Firewall Manager 在您組織的組織帳戶中執行支援的操作。

只有在您停用 Firewall Manager 和 Organizations 之間的受信任存取,或從組織中移除成員帳戶時,才能移除或修改此角色。

  • AWSServiceRoleForFMS

服務連結角色所使用的服務委託人

上一節中的服務連結角色,只能由依據角色定義的信任關係所授權的服務委託人來假設。Firewall Manager 使用的服務連結角色會將存取權授予下列服務委託人:

  • fms.amazonaws.com

使用 Firewall Manager 啟用受信任存取

如需啟用受信任存取所需許可的資訊,請參閱啟用信任的存取所需的許可

您可以使用 AWS Firewall Manager 控制台或控制台啟用受信任的 AWS Organizations 存取。

重要

我們強烈建議您盡可能使用 AWS Firewall Manager 主控台或工具來啟用與 Organizations 的整合。這可讓您 AWS Firewall Manager 執行所需的任何組態,例如建立服務所需的資源。只有在您無法使用 AWS Firewall Manager提供的工具啟用整合時,才能繼續執行這些步驟。如需詳細資訊,請參閱本說明

如果您使用 AWS Firewall Manager 主控台或工具啟用受信任的存取,則不需要完成這些步驟。

您必須使用 AWS Organizations 管理帳戶登入,並將組織內的帳戶設定為系統管理 AWS Firewall Manager 員帳戶。如需詳細資訊,請參閱AWS Firewall Manager 開發人員指南中的設定 AWS Firewall Manager 管理員帳戶

您可以使用 AWS Organizations 主控台、執行 AWS CLI 命令或呼叫其中一個 AWS SDK 中的 API 作業來啟用受信任存取。

AWS Management Console
使用 Organizations 主控台來啟用受信任的服務存取

  1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

  2. 在導覽窗格中,選擇服務

  3. AWS Firewall Manager在服務列表中選擇。

  4. 選擇 Enable trusted access (啟用信任存取)

  5. 在 [啟用受信任的存取權限] 對 AWS Firewall Manager話方塊中,輸入 enable 以確認,然後選擇 [啟用信任的存取]。

  6. 如果您只是的管理員 AWS Organizations,請告訴管理員,他們 AWS Firewall Manager 現在可以使用其主控台啟用該服務來啟用該服務 AWS Organizations。

AWS CLI, AWS API
使用 Organizations CLI/SDK 來啟用受信任服務存取

您可以使用下列 AWS CLI 命令或 API 作業來啟用受信任的服務存取:

  • AWS CLI: enable-aws-service-access

    您可以執行下列命令, AWS Firewall Manager 以啟用 Organizations 的信任服務。

    $ aws organizations enable-aws-service-access \ 
    --service-principal fms.amazonaws.com

    此命令成功後就不會產生輸出。

  • AWS API:啟用 AWSServiceAccess

使用 Firewall Manager 停用受信任存取

如需啟用受信任的存取所需許可的資訊,請參閱停用信任的存取所需的許可

您可以使用 AWS Firewall Manager 或 AWS Organizations 工具停用受信任的存取。

重要

我們強烈建議您盡可能使用 AWS Firewall Manager 主控台或工具來停用與 Organizations 的整合。這可讓您 AWS Firewall Manager 執行所需的任何清理,例如刪除服務不再需要的資源或存取角色。只有在您無法使用 AWS Firewall Manager提供的工具停用整合成時,才能繼續執行這些步驟。

如果您使用 AWS Firewall Manager 主控台或工具停用受信任的存取,則不需要完成這些步驟。

使用 Firewall Manager 主控台來停用受信任的存取

您可以依照AWS Firewall Manager 開發人 AWS Firewall Manager 員指南中指定不同帳戶為系統管理員帳戶中的指示,變更或撤銷 AWS Firewall Manager 管理員帳戶

如果您撤銷管理員帳戶,則必須登入 AWS Organizations 管理帳戶並為其設定新的管理員帳戶 AWS Firewall Manager。

您可以使用 AWS Organizations 主控台、執行 Organizations AWS CLI 命令或呼叫其中一個 AWS SDK 中的 Organizations API 作業來停用受信任的存取。

AWS Management Console
使用 Organizations 主控台來受信停用任的服務存取

  1. 登入 AWS Organizations 主控台。您必須以 IAM 使用者登入、擔任 IAM 角色,或是以組織管理帳戶中的根使用者 (不建議) 身分登入。

  2. 在導覽窗格中,選擇服務

  3. AWS Firewall Manager在服務列表中選擇。

  4. 選擇停用受信任的存取

  5. 在 [停用受信任的存取權限] 對 AWS Firewall Manager話方塊中,輸入 [停用] 加以確認,然後選擇 [停用信任的存取]。

  6. 如果您只是管理員,請告訴管理員 AWS Organizations,他們現在可以使用其主控台或工具停用該服務,無法使用該服務 AWS Organizations。 AWS Firewall Manager

AWS CLI, AWS API
使用 Organizations CLI/SDK 來停用受信任服務存取

您可以使用下列 AWS CLI 命令或 API 作業來停用受信任的服務存取:

  • AWS CLI: disable-aws-service-access

    您可以執行下列命令,將 AWS Firewall Manager 其停用為「Organizations」的信任服務。

    $ aws organizations disable-aws-service-access \
    --service-principal fms.amazonaws.com

    此命令成功後就不會產生輸出。

  • AWS API:停用 AWSServiceAccess

啟用 Firewall Manager 的委派管理員帳戶

當您將成員帳戶指定為組織的委派管理員時,該帳戶的使用者和角色可以對 Firewall Manager 執行管理動作,否則只能由組織管理帳戶中的使用者或角色執行。這可協助您將組織的管理與 Firewall Manager 的管理分開。

最低許可

只有 Organizations 管理帳戶中的使用者或角色,才能將成員帳戶設定為組織中 Firewall Manager 的委託管理員。

如需如何將成員帳戶指定為組織的 Firewall Manager 員管理員的指示,請參閱AWS Firewall Manager 開發人員指南中的設定 AWS Firewall Manager 系統管理員帳戶