本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 AWS Firewall Manager 管理員
此頁面說明什麼是 Firewall Manager 管理員,並定義相關術語。
使用 AWS Firewall Manager ,您可以擁有一或多個管理員來管理組織的防火牆資源。如果您想要在組織中使用多個 Firewall Manager 管理員,您可以將管理範圍條件套用至每個管理員,以定義他們可以管理的資源。這可讓您靈活地在組織中擁有不同的管理員角色,並協助您維護最低權限存取的主體。例如,您可以讓一位管理員為您的組織管理一組組織單位 (OUs),同時委派另一位管理員僅管理特定的 Firewall Manager 政策類型。如需 Organizations 和管理帳戶的詳細資訊,請參閱管理 Organization 中的 AWS 帳戶。
如需每個組織可以擁有的管理員數量上限,請參閱 AWS Firewall Manager 配額
開始使用 Firewall Manager 管理員
開始使用 Firewall Manager 管理員之前,您必須完成 中列出的先決條件AWS Firewall Manager 前提。在先決條件中,您將讓 AWS Organizations 組織加入 Firewall Manager,並為 Firewall Manager 建立預設管理員帳戶。預設管理員帳戶能夠管理第三方防火牆,並具有完整的管理範圍。
管理範圍
管理範圍定義 Firewall Manager 管理員可以管理的資源。 AWS Organizations 管理帳戶將組織加入 Firewall Manager 之後,管理帳戶可以建立具有不同管理範圍的其他 Firewall Manager 管理員。 AWS Organizations 管理帳戶可以授予管理員完整或受限制的管理範圍。完整範圍可讓管理員完整存取上述所有資源類型。限制範圍是指僅將管理許可授予上述資源的子集。我們建議您只授予管理員執行其角色職責所需的許可。您可以將這些管理範圍條件的任何組合套用至管理員:
管理員可以套用政策的帳戶或OUs組織中的 。
管理員可在其中執行動作的區域。
管理員可以管理的 Firewall Manager 政策類型。
管理員角色
Firewall Manager 中的管理員角色有兩種:預設管理員和 Firewall Manager 管理員。
預設管理員 - 組織的管理帳戶會在其組織加入 Firewall Manager 時建立 Firewall Manager 預設管理員帳戶,同時完成 AWS Firewall Manager 前提。如果您選擇擁有多個管理員,則預設管理員可以管理第三方防火牆,並具有完整的管理範圍,但在其他情況下與其他管理員位於相同的對等層級。
Firewall Manager 管理員 - Firewall Manager 管理員可以管理管理帳戶在其 AWS Organizations 管理範圍組態中為其指定的資源。如需每個組織可以擁有的管理員數量上限,請參閱 AWS Firewall Manager 配額。建立 Firewall Manager 管理員帳戶時,服務會使用 AWS Organizations 檢查帳戶是否已經是組織中 Firewall Manager 的委派管理員。如果沒有,則 Firewall Manager 會呼叫 Organizations,將帳戶設定為 Firewall Manager 的委派管理員。如需有關 Organizations 委派管理員的資訊,請參閱 AWS Organizations 使用者指南 中的AWS Organizations 術語和概念。
現有管理員
如果您是現有的 Firewall Manager 客戶,並已設定管理員,則此現有管理員將是 Firewall Manager 預設管理員。對現有流程不應有任何影響。如果您想要新增更多管理員,您可以依照本章中的程序執行。
