本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
啟用 AWS Config 以使用 Firewall Manager
若要使用 Firewall Manager,您必須啟用 AWS Config。
注意
您會根據 AWS Config 定價產生 AWS Config 設定的費用。如需詳細資訊,請參閱 入門 AWS Config。
注意
為了讓 Firewall Manager 監控政策合規性, AWS Config 必須持續記錄受保護資源的組態變更。在您的 AWS Config 組態中,錄製頻率必須設定為連續 ,這是預設設定。
AWS Config 為 Firewall Manager 啟用
-
AWS Config 為每個 AWS Organizations 成員帳戶啟用 ,包括 Firewall Manager 管理員帳戶。如需詳細資訊,請參閱 入門 AWS Config。
-
AWS Config 針對包含您要保護之資源 AWS 區域 的每個 啟用 。您可以 AWS Config 手動啟用,也可以在 AWS CloudFormation 範本 使用範本「啟用 AWS Config」AWS CloudFormation StackSets 。
如果您不想 AWS Config 為所有資源啟用 ,則必須根據您使用的 Firewall Manager 政策類型啟用下列項目:
-
WAF 政策 – 為資源類型 CloudFront 分佈、Application Load Balancer (從清單中選擇 ElasticLoadBalancingV2)、APIGateway、WAFWeb ACL、WAFRegional Web ACL和 WAFv2 Web 啟用 ConfigACL。若要啟用 AWS Config 以保護 CloudFront 分佈,您必須位於美國東部 (維吉尼亞北部) 區域。其他區域沒有 CloudFront 作為選項。
-
Shield 政策 – 為 Shield Protection、 ShieldRegional Protection、Application Load Balancer 、、EC2EIPWAFWeb ACL、WAFRegional Web ACL和 WAFv2 Web 等資源類型啟用 ConfigACL。
-
安全群組政策 – 為資源類型 EC2 SecurityGroup、EC2執行個體 和 EC2 啟用 ConfigNetworkInterface。
-
網路ACL政策 – 為 Amazon EC2 Subnet 和 Amazon EC2 網路 的資源類型啟用 ConfigACL。
-
網路防火牆政策 – 為資源類型 NetworkFirewall FirewallPolicy、 NetworkFirewallRuleGroup、、EC2 RouteTable、 EC2 VPC EC2 InternetGateway和EC2子網路啟用 Config。
-
DNS 防火牆政策 – 為資源類型 啟用 ConfigEC2VPC。
-
第三方防火牆政策 – 為 Amazon EC2 VPC、Amazon 、Amazon EC2 InternetGateway、Amazon EC2 Subnet EC2 RouteTable和 Amazon EC2 的資源類型啟用 ConfigVPCEndpoint。
注意
如果您將 AWS Config 記錄器設定為使用自訂IAM角色,則需要確保IAM政策具有記錄 Firewall Manager 政策所需資源類型的適當許可。如果沒有適當的許可,可能不會記錄必要的資源,這會導致 Firewall Manager 無法正確保護您的資源。Firewall Manager 無法查看這些許可設定錯誤。如需IAM搭配 使用 的相關資訊 AWS Config,請參閱 IAM for AWS Config。
-
