設定 AWS Firewall Manager Amazon VPC 安全群組政策 - AWS WAFAWS Firewall Manager、 和 AWS Shield Advanced
步驟 1:完成先決條件步驟 2:建立要在政策中使用的安全群組步驟 3:建立和套用常見的安全群組政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 AWS Firewall Manager Amazon VPC 安全群組政策

若要使用 AWS Firewall Manager 在整個組織中啟用 Amazon VPC 安全群組,請依序執行下列步驟。

步驟 1:完成先決條件

為 AWS Firewall Manager準備您的帳戶有幾個必要的步驟。AWS Firewall Manager 先決條件 說明這些步驟。先完成所有的先決條件,再進行 步驟 2:建立要在政策中使用的安全群組

步驟 2:建立要在政策中使用的安全群組

在此步驟中,您會建立安全群組,您可以使用 Firewall Manager 在整個組織中套用。

注意

在本教學課程,您不會將自己的安全群組政策套用至組織中的資源。您只會建立政策,然後查看如果將政策的安全群組套用至資源,會發生什麼事? 您可以停用政策上的自動修補,來執行此作業。

如果您已定義一般的安全群組,請略過此步驟並移至 步驟 3:建立和套用常見的安全群組政策

建立安全群組以用於 Firewall Manager 一般安全群組政策

您現在可以前往步驟 3:建立和套用常見的安全群組政策

步驟 3:建立和套用常見的安全群組政策

完成先決條件後,您可以建立 AWS Firewall Manager 常見的安全群組政策。通用安全群組政策為您的整個 AWS 組織提供集中控制的安全群組。它也會定義安全群組套用的 AWS 帳戶 和資源。除了常見的安全群組政策之外,防火牆管理員還支援內容稽核安全群組政策、管理組織中正在使用的安全群組規則,以及管理未使用和備援安全群組的用量稽核安全群組政策。如需詳細資訊,請參閱在 Firewall Manager 中使用安全群組政策來管理 Amazon VPC 安全群組

在本教學課程,您會建立常見安全群組政策,並將其動作設為不要自動修補。這可讓您查看政策會有什麼影響,而不需要變更您的 AWS 組織。

建立 Firewall Manager 一般安全群組政策 (主控台)

  1. AWS Management Console 使用您的 Firewall Manager 管理員帳戶登入 ,然後在 開啟 Firewall Manager 主控台https://console.aws.amazon.com/wafv2/fmsv2。如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

    注意

    如需建立防火牆管理員帳戶的詳細資訊,請參閱 AWS Firewall Manager 先決條件

  2. 在導覽窗格中,選擇 Security policies (安全群組政策)

  3. 如果您不符合先決條件,主控台會顯示修復問題的相關說明。遵循說明進行,然後回到此步驟,以建立常見安全群組政策。

  4. 選擇 建立政策

  5. 對於 Policy type (政策類型),選擇 Security group (安全群組)

  6. 對於 Security group policy type (安全群組類型),選擇 Common security groups (常見安全群組)

  7. 針對區域,選擇 AWS 區域。

  8. 選擇 Next (下一步)

  9. 針對政策名稱,輸入描述性名稱。

  10. Policy rules (政策規則)可讓您選擇如何套用和維護此政策中的安全群組。在本教學課程中,不要勾選選項。

  11. 選擇 Add primary security group (新增主要安全群組)、選取您在本教學課程中建立的安全群組,然後選擇 Add security group (新增安全群組)

  12. 對於 Policy action (政策動作),選擇 Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源,但不要自動修補。)

  13. 選擇 Next (下一步)

  14. AWS 帳戶 受此政策影響的 可讓您透過指定要包含或排除的帳戶來縮小政策的範圍。在本教學課程中,請選擇 Include all accounts under my organization. (納入我組織下的所有帳戶。)

  15. 針對資源類型,根據您為 AWS 組織定義的資源,選擇一或多個類型。

  16. 對於 資源,您可以使用標記來縮小政策的範圍,方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除,而不是兩者。如需定義政策範圍之標籤的詳細資訊,請參閱使用 AWS Firewall Manager 政策範圍

    資源標籤只能有非空值。如果您省略標籤的值, Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

  17. 選擇 Next (下一步)

  18. 針對政策標籤,新增任何您要新增至 Firewall Manager 政策資源的識別標籤。如需標籤的詳細資訊,請參閱使用標籤編輯器

  19. 選擇 Next (下一步)

  20. 檢閱新的政策設定,並返回任何您需要調整的頁面。

    請務必確定 Policy action (政策動作) 已設為 Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源,但不要自動修補。)。這可讓您在啟用政策之前,先檢閱政策所做的變更。

  21. 當您滿意時,選擇 建立政策

    AWS Firewall Manager 政策窗格中,應列出您的政策。它可能會指出帳戶標題下的定,並指出自動修復設定的狀態。原則可能需要幾分鐘的時間建立。在 Pending (待定) 狀態被帳戶計數取代後,您可以選擇政策名稱,以探索帳戶和資源的合規狀態。如需相關資訊,請參閱檢視 AWS Firewall Manager 政策的合規資訊

  22. 完成探索後,如果不想要保留本教學課程建立的政策,請選擇政策名稱、選擇 Delete (刪除)、選擇 Clean up resources created by this policy. (清理此政策建立的資源。),最後選擇 Delete (刪除)

如需 Firewall Manager 安全群組政策的詳細資訊,請參閱在 Firewall Manager 中使用安全群組政策來管理 Amazon VPC 安全群組