本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
建立 Firewall Manager 管理員帳戶
下列程序說明如何使用 Firewall Manager 主控台建立 Firewall Manager 管理員帳戶。
注意
只有組織的管理帳戶可以建立 Firewall Manager 管理員帳戶。
建立 Firewall Manager 管理員帳戶
AWS Management Console 使用現有的 AWS Organizations 管理帳戶登入 Firewall Manager。
開啟位於 https://console.aws.amazon.com/wafv2/fmsv2
的 Firewall Manager 主控台。 在導覽窗格中,選擇設定。
選擇建立管理員帳戶 。
在詳細資訊窗格中,針對AWS 帳戶 ID 輸入您要新增為 Firewall Manager 管理員之成員帳戶的 AWS ID。
針對管理範圍 ,選擇下列其中一個選項:
完整 – 這可讓管理員將政策套用至組織中的所有帳戶和組織單位 (OUs)、在所有區域中採取動作,以及套用第三方防火牆以外的所有 Firewall Manager 政策類型。只有預設管理員才能建立和管理第三方防火牆。將此層級的許可授予管理員時請小心。基於最低權限的精神,我們建議只授予管理員執行其角色職責所需的許可。
受限制 – 如果套用受限制範圍,則在設定管理範圍中設定帳戶和帳戶可管理的組織單位、區域和政策類型。
針對帳戶和組織單位 ,選擇選項,如下所示:
-
如果您想要將政策套用至組織中的所有帳戶或組織單位,請選擇包含組織下的所有帳戶 AWS 。
-
如果您只想將政策套用到特定 AWS Organizations 組織單位 (OUs) 中的特定帳戶或帳戶,請選擇僅包含指定的帳戶和組織單位 ,然後新增OUs要包含的帳戶和 。指定 OU 等同於指定 OU 及其任何子 中的所有帳戶OUs,包括稍後新增的任何子帳戶OUs和帳戶。
-
如果您想要將政策套用至除特定帳戶或 AWS Organizations 組織單位 (OUs) 以外的所有帳戶或組織單位,請選擇排除指定的帳戶和組織單位,並包含所有其他 ,然後新增OUs要排除的帳戶和 。指定 OU 等同於指定 OU 及其任何子 中的所有帳戶OUs,包括稍後新增的任何子帳戶OUs和帳戶。
針對區域 ,選擇下列選項:
-
如果您想要允許管理員在所有可用區域中執行動作,請選擇包含所有區域 。
-
如果您希望管理員僅在特定區域中執行動作,請選擇僅包含指定的區域 ,然後指定要包含的區域。
注意
若要包含預設停用的區域,您必須同時為 AWS Organizations 組織管理帳戶和預設管理帳戶啟用區域。如需為 帳戶啟用區域的資訊,請參閱在 中啟用區域Amazon Web Services 一般參考。
對於政策類型 ,選擇選項,如下所示:
-
如果您想要允許管理員管理所有政策類型,請選擇包含所有政策類型 。
-
如果您希望管理員僅管理特定政策類型,請選擇僅包含指定的政策類型 ,然後指定要包含的政策類型。
-
選擇建立管理員帳戶以建立管理員帳戶。建立時, Firewall Manager 會呼叫 AWS Organizations 以查看管理員是否已是組織的委派管理員。如果沒有,防火牆管理員會將帳戶指定為委派的管理員。如需 Organizations 中委派管理員的相關資訊,請參閱 AWS Organizations 使用者指南 中的AWS Organizations 術語和概念。
如果您套用受限制的管理範圍,防火牆管理員會自動根據您的設定評估任何新資源。例如,如果您只包含特定帳戶,則 Firewall Manager 不會將政策套用至任何新帳戶。另一個範例是,如果您包含 OU,當您將帳戶新增至 OU 或其任何子 時OUs,防火牆管理員會自動將帳戶包含在管理範圍內。
