**推出 的新主控台體驗 AWS WAF**
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 AWS Firewall Manager Amazon VPC 安全群組政策
若要使用 AWS Firewall Manager 在整個組織中啟用 Amazon VPC 安全群組,請依序執行下列步驟。
**Topics**
+ [步驟 1:完成先決條件](#complete-prereq-security-group)
+ [步驟 2:建立要在政策中使用的安全群組](#get-started-fms-create-security-groups)
+ [步驟 3:建立和套用常見的安全群組政策](#get-started-fms-sg-create-security-policy)
## 步驟 1:完成先決條件
為 AWS Firewall Manager準備您的帳戶有幾個必要的步驟。[AWS Firewall Manager 先決條件](fms-prereq.md) 說明這些步驟。先完成所有的先決條件,再進行 [步驟 2:建立要在政策中使用的安全群組](#get-started-fms-create-security-groups)。
## 步驟 2:建立要在政策中使用的安全群組
在此步驟中,您會建立安全群組,您可以使用 Firewall Manager 在整個組織中套用。
**注意**
在本教學課程,您不會將自己的安全群組政策套用至組織中的資源。您只會建立政策,然後查看如果將政策的安全群組套用至資源,會發生什麼事? 您可以停用政策上的自動修補,來執行此作業。
如果您已定義一般的安全群組,請略過此步驟並移至 [步驟 3:建立和套用常見的安全群組政策](#get-started-fms-sg-create-security-policy)。
**若要建立要在 Firewall Manager 常見安全群組政策中使用的安全群組**
+ 依照 [Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/) VPC 使用者指南中 [VPC 安全群組的指導,建立您可以套用至組織中所有帳戶和資源的安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)。
如需安全群組規則選項的資訊,請參閱[安全群組規則參考](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html)。
您現在可以前往[步驟 3:建立和套用常見的安全群組政策](#get-started-fms-sg-create-security-policy)。
## 步驟 3:建立和套用常見的安全群組政策
完成先決條件後,您可以建立 AWS Firewall Manager 常見的安全群組政策。常見的安全群組政策為您的整個 AWS 組織提供集中控制的安全群組。它也會定義安全群組套用的 AWS 帳戶 和資源。除了常見的安全群組政策之外, Firewall Manager 還支援內容稽核安全群組政策、管理組織中正在使用的安全群組規則,以及管理未使用和備援安全群組的用量稽核安全群組政策。如需詳細資訊,請參閱[在 Firewall Manager 中使用安全群組政策來管理 Amazon VPC 安全群組](security-group-policies.md)。
在本教學課程,您會建立常見安全群組政策,並將其動作設為不要自動修補。這可讓您查看政策會有什麼影響,而不會變更您的 AWS 組織。
**建立 Firewall Manager 一般安全群組政策 (主控台)**
1. AWS 管理主控台 使用您的 Firewall Manager 管理員帳戶登入 ,然後在 開啟 Firewall Manager 主控台[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。如需建立防火牆管理員帳戶的詳細資訊,請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
**注意**
如需建立防火牆管理員帳戶的詳細資訊,請參閱 [AWS Firewall Manager 先決條件](fms-prereq.md)。
1. 在導覽窗格中,選擇 **Security policies (安全群組政策)**。
1. 如果您不符合先決條件,主控台會顯示修復問題的相關說明。遵循說明進行,然後回到此步驟,以建立常見安全群組政策。
1. 選擇**建立政策**。
1. 對於 **Policy type (政策類型)**,選擇 **Security group (安全群組)**。
1. 對於 **Security group policy type (安全群組類型)**,選擇 **Common security groups (常見安全群組)**。
1. 針對**區域**,選擇 AWS 區域。
1. 選擇**下一步**。
1. 針對**政策名稱**,輸入描述性名稱。
1. **Policy rules (政策規則)**可讓您選擇如何套用和維護此政策中的安全群組。在本教學課程中,不要勾選選項。
1. 選擇 **Add primary security group (新增主要安全群組)**、選取您在本教學課程中建立的安全群組,然後選擇 **Add security group (新增安全群組)**。
1. 對於 **Policy action (政策動作)**,選擇 **Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源,但不要自動修補。)**。
1. 選擇**下一步**。
1. **AWS 帳戶 受此政策影響**的 可讓您透過指定要包含或排除的帳戶來縮小政策的範圍。在本教學課程中,請選擇 **Include all accounts under my organization. (納入我組織下的所有帳戶。)**。
1. 針對**資源類型**,根據您為 AWS 組織定義的資源,選擇一或多個類型。
1. 對於**資源**,您可以使用標記來縮小政策的範圍,方法是使用您指定的標籤來包含或排除資源。您可以使用包含或排除,但不能同時使用兩者。如需定義政策範圍之標籤的詳細資訊,請參閱 [使用 AWS Firewall Manager 政策範圍](policy-scope.md)。
資源標籤只能有非空值。如果您省略標籤的值, Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。
1. 選擇**下一步**。
1. 針對**政策標籤**,新增您要新增至 Firewall Manager 政策資源的任何識別標籤。如需標籤的詳細資訊,請參閱[使用標籤編輯器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。
1. 選擇**下一步**。
1. 檢閱新的政策設定,並返回您需要進行任何調整的任何頁面。
請務必確定 **Policy action (政策動作)** 已設為 **Identify resources that don’t comply with the policy rules, but don’t auto remediate. (識別不符合政策規則的資源,但不要自動修補。)**。這可讓您檢閱政策在啟用變更之前所做的變更。
1. 當您滿意時,選擇 **建立政策**。
在**AWS Firewall Manager 政策**窗格中,應該列出您的政策。它可能會在帳戶標題下指出**待定**,並指出**自動修復**設定的狀態。原則可能需要幾分鐘的時間建立。在 **Pending (待定)** 狀態被帳戶計數取代後,您可以選擇政策名稱,以探索帳戶和資源的合規狀態。如需相關資訊,請參閱[檢視 AWS Firewall Manager 政策的合規資訊](fms-compliance.md)。
1. 完成探索後,如果不想要保留本教學課程建立的政策,請選擇政策名稱、選擇 **Delete** (刪除)、選擇 **Clean up resources created by this policy. (清理此政策建立的資源。)**,最後選擇 **Delete (刪除)**。
如需 Firewall Manager 安全群組政策的詳細資訊,請參閱 [在 Firewall Manager 中使用安全群組政策來管理 Amazon VPC 安全群組](security-group-policies.md)。