**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Firewall Manager 先決條件
<a name="fms-prereq"></a>

本主題說明如何準備好進行管理 AWS Firewall Manager。您可以使用一個 Firewall Manager 管理員帳戶來管理組織的所有 Firewall Manager 安全政策 AWS Organizations。除非另有說明，否則請使用您將用作 Firewall Manager 管理員的帳戶來執行先決條件步驟。

第一次使用 Firewall Manager 之前，請依序執行下列步驟。

**Topics**
+ [AWS Organizations 使用 Firewall Manager 加入和設定](join-aws-orgs.md)
+ [建立 AWS Firewall Manager 預設管理員帳戶](enable-integration.md)
+ [啟用 AWS Config 以使用 Firewall Manager](enable-config.md)
+ [在 AWS Marketplace 中訂閱並設定 Firewall Manager 第三方政策的第三方設定](fms-third-party-prerequisites.md)
+ [使用 啟用 Network Firewall 和 DNS Firewall 政策的資源共用 AWS RAM](enable-ram.md)
+ [AWS Firewall Manager 在預設停用的區域中使用](enable-disabled-region.md)

# AWS Organizations 使用 Firewall Manager 加入和設定
<a name="join-aws-orgs"></a>

若要使用 Firewall Manager，您的帳戶必須是您要使用 Firewall Manager 政策之 AWS Organizations 服務中組織的成員。

**注意**  
如需 Organizations 的相關資訊，請參閱 [AWS Organizations 使用者指南](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)。

**建立所需的 AWS Organizations 成員資格和組態**

1. 選擇要做為 Organizations 中組織的 Firewall Manager 管理員的帳戶。

1. 如果您選擇的帳戶尚未成為組織的成員，請讓其加入。遵循[邀請 AWS 帳戶 以加入組織](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)的指引。

1. AWS Organizations 有兩個可用的功能集：*合併帳單功能*和*所有功能*。若要使用 Firewall Manager，您的組織必須啟用所有功能。如果您的組織僅針對合併帳單設定，請遵循[啟用組織中所有功能](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)的指導。

# 建立 AWS Firewall Manager 預設管理員帳戶
<a name="enable-integration"></a>

此頁面提供建立 AWS Firewall Manager 預設管理員帳戶的指示。

**注意**  
此程序使用您在上述步驟中選擇和設定的帳戶和組織。

只有組織的管理帳戶可以建立 Firewall Manager 預設管理員帳戶。您建立的第一個管理員帳戶是*預設管理員*帳戶。預設管理員帳戶可以管理第三方防火牆，並具有完整的管理範圍。當您設定預設管理員帳戶時，防火牆管理員會自動將其設定為 Firewall Manager 的 AWS Organizations 委派管理員。這可讓 Firewall Manager 存取組織中組織單位 (OUs的相關資訊。您可以使用 OUs來指定 Firewall Manager 政策的範圍。如需設定政策範圍的詳細資訊，請參閱 下個別政策類型的指南[建立 AWS Firewall Manager 政策](create-policy.md)。如需 Organizations 和管理帳戶的詳細資訊，請參閱[管理組織中 AWS 的帳戶](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html)。

**組織管理帳戶的必要設定**  
組織的管理帳戶必須具有下列設定，才能將組織加入 Firewall Manager 並建立預設管理員：
+ 它必須是您要在 AWS Organizations 其中套用 Firewall Manager 政策的組織成員。

**設定預設管理員帳戶**

1.  AWS 管理主控台 使用現有的 AWS Organizations 管理帳戶登入 Firewall Manager。

1. 開啟位於 [https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2) 的 Firewall Manager 主控台。

1. 在導覽窗格中，選擇**設定**。

1. 輸入您選擇用作 Firewall Manager 管理員的帳戶的帳戶 AWS ID。
**注意**  
預設管理員具有完整的管理範圍。完整管理範圍表示此帳戶可以將政策套用至組織中的所有帳戶和組織單位 (OUs)、在所有區域中採取動作，以及管理所有 Firewall Manager 政策類型。

1. 選擇**建立管理員帳戶**以建立帳戶。

如需管理 Firewall Manager 管理員帳戶的詳細資訊，請參閱 [使用 AWS Firewall Manager 管理員](fms-administrators.md)。

# 啟用 AWS Config 以使用 Firewall Manager
<a name="enable-config"></a>

若要使用 Firewall Manager，您必須啟用 AWS Config。

**注意**  
根據 AWS Config 定價，您的 AWS Config 設定會產生費用。如需詳細資訊，請參閱 [入門 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html)。

**注意**  
為了讓 Firewall Manager 監控政策合規性， AWS Config 必須持續記錄受保護資源的組態變更。在您的 AWS Config 組態中，錄製頻率必須設定為**連續**，這是預設設定。

**AWS Config 為 Firewall Manager 啟用**

1.  AWS Config 為每個 AWS Organizations 成員帳戶啟用 ，包括 Firewall Manager 管理員帳戶。如需詳細資訊，請參閱 [入門 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html)。

1.  AWS Config 針對包含您要保護之資源 AWS 區域 的每個 啟用 。您可以 AWS Config 手動啟用，也可以在 [AWS CloudFormation StackSets 範本](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html)中使用 CloudFormation 範本「啟用 AWS Config」。

   如果您不想 AWS Config 為所有資源啟用 ，則必須根據您使用的 Firewall Manager 政策類型啟用下列項目：
   + **WAF 政策** – 為 CloudFront Distribution、Application Load Balancer （從清單中選擇 **ElasticLoadBalancingV2**)、API Gateway、WAF WebACL、WAF Regional WebACL 和 WAFv2 WebACL 資源類型啟用 Config。若要讓 AWS Config 保護 CloudFront 分佈，您必須位於美國東部 （維吉尼亞北部） 區域。其他區域沒有 CloudFront 做為選項。
   + **Shield 政策** – 針對 Shield Protection、ShieldRegional Protection、Application Load Balancer、EC2 EIP、WAF WebACL、WAF Regional WebACL 和 WAFv2 WebACL 資源類型啟用 Config。
   + **安全群組政策** – 為資源類型 EC2 SecurityGroup、EC2 執行個體和 EC2 NetworkInterface 啟用 Config。
   + **網路 ACL 政策** – 為 Amazon EC2 子網路和 Amazon EC2 網路 ACL 資源類型啟用 Config。
   + **Network Firewall 政策** – 針對 NetworkFirewall FirewallPolicy、NetworkFirewall RuleGroup、EC2 VPC、EC2 InternetGateway、EC2 RouteTable 和 EC2 Subnet 資源類型啟用 Config。
   + **DNS 防火牆政策** – 為資源類型 EC2 VPC 和 Amazon Route 53 FirewallRuleGroupAssociation 啟用 Config。
   + **第三方防火牆政策** – 針對 Amazon EC2 VPC、Amazon EC2 InternetGateway、Amazon EC2 RouteTable、Amazon EC2 Subnet 和 Amazon EC2 VPCEndpoint 資源類型啟用 Config。
**注意**  
如果您將 AWS Config 記錄器設定為使用自訂 IAM 角色，則需要確保 IAM 政策具有記錄 Firewall Manager 政策所需資源類型的適當許可。如果沒有適當的許可，可能不會記錄必要的資源，這會使 Firewall Manager 無法正確保護您的資源。Firewall Manager 無法查看這些許可組態錯誤。如需搭配 使用 IAM 的詳細資訊 AWS Config，請參閱適用於 [的 IAM AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/security-iam.html)。

# 在 AWS Marketplace 中訂閱並設定 Firewall Manager 第三方政策的第三方設定
<a name="fms-third-party-prerequisites"></a>

完成下列先決條件，以設定 Firewall Manager 第三方防火牆政策。

## Fortigate 雲端原生防火牆 (CNF) as a Service 政策先決條件
<a name="fms-fortigate-cnf-prerequisites"></a>

**使用 Fortigate CNF for Firewall Manager**

1. 在 AWS Marketplace 中訂閱 [Fortigate 雲端原生防火牆 (CNF) 即服務](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i)。

1. 首先，在 Fortigate CNF 產品入口網站上註冊租用戶。然後在 Fortigate CNF 產品入口網站的租戶下新增您的 Firewall Manager 管理員帳戶。如需詳細資訊，請參閱 [Fortigate CNF 文件](https://docs.fortinet.com/product/fortigate-cnf)。

如需使用 Fortigate CNF 政策的資訊，請參閱[使用 Fortigate 雲端原生防火牆 (CNF) 做為 Firewall Manager 的服務政策](fortigate-cnf-policies.md)。

## Palo Alto Networks 雲端新一代防火牆政策先決條件
<a name="fms-cloud-ngfw-prerequisites"></a>

**使用適用於 Firewall Manager 的 Palo Alto Networks 雲端 NGFW**

1. 訂閱 AWS Marketplace 中的 [Palo Alto Networks 雲端新一代防火牆Pay-As-You-Go](https://aws.amazon.com/marketplace/pp/prodview-nkug66dl4df4i)服務。

1. 完成部署 Palo Alto Networks Cloud NGFW for [中列出的 Palo Alto Networks Cloud NGFW 部署步驟 AWS ，並使用 AWS Firewall Manager](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/getting-started-with-cloud-ngfw-for-aws/deploy-cloud-ngfw-for-aws-with-the-aws-firewall-manager.html)部署*指南中的 Palo Alto Networks Cloud Next Generation Firewall AWS *主題。

如需使用 Palo Alto Networks 雲端 NGFW 政策的詳細資訊，請參閱 [使用 Firewall Manager 的 Palo Alto Networks 雲端 NGFW 政策](cloud-ngfw-policies.md)。

# 使用 啟用 Network Firewall 和 DNS Firewall 政策的資源共用 AWS RAM
<a name="enable-ram"></a>

若要管理 Firewall Manager Network Firewall 和 DNS Firewall 政策，您必須在 AWS Organizations 中啟用與 的共用 AWS Resource Access Manager。這可讓 Firewall Manager 在您建立這些政策類型時跨您的帳戶部署保護。

**在 AWS Organizations 中啟用與 共用 AWS Resource Access Manager**
+ 遵循《 *AWS Resource Access Manager 使用者指南*》中[啟用與 共用 AWS Organizations](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)的指導。

如果您遇到資源共用的問題，請參閱 中的指引[Network Firewall 和 DNS Firewall 政策的資源共用](resource-sharing.md)。

# AWS Firewall Manager 在預設停用的區域中使用
<a name="enable-disabled-region"></a>

若要在預設停用的區域中使用 Firewall Manager，您必須為 AWS 組織的管理帳戶和 Firewall Manager 預設管理員帳戶啟用 區域。如需有關預設停用的區域以及如何啟用它們的資訊，請參閱《 *AWS 一般參考*》中的[管理 AWS 區域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html)。

**啟用已停用的區域**
+ 對於 Organizations 管理帳戶和 Firewall Manager 預設管理員帳戶，請遵循 *AWS 一般參考*中[啟用區域](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable)的指導。

遵循這些步驟後，您可以設定 Firewall Manager 以開始保護您的資源。如需詳細資訊，請參閱[設定 AWS Firewall Manager AWS WAF 政策](getting-started-fms.md)。