**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 教學課程：建立 AWS Firewall Manager 具有階層規則的政策
<a name="hierarchical-rules"></a>

**警告**  
AWS WAF Classic 正在經歷規劃end-of-life程序。如需區域特定的里程碑和日期，請參閱您的 AWS Health 儀表板。

**注意**  
這是 **AWS WAF Classic** 文件。只有在您在 2019 年 11 月 AWS WAF 之前建立 AWS WAF 規則和 Web ACLs 等資源，且尚未將它們遷移到最新版本時，才應該使用此版本。若要遷移您的 Web ACLs，請參閱 [將您的 AWS WAF Classic 資源遷移至 AWS WAF](waf-migrating-from-classic.md)。  
**如需最新版本的 AWS WAF** ，請參閱 [AWS WAF](waf-chapter.md)。

使用 AWS Firewall Manager，您可以建立和套用包含階層規則的 AWS WAF Classic 保護政策。也就是，您可以集中建立並強制執行特定規則，但將帳戶專屬規則的建立和維護作業委派給其他個人。您可以監控集中套用 (通用) 的任何意外刪除或錯誤處理規則，因此可確保一致地套用這些規則。帳戶專屬規則可新增針對個別團隊需求自訂的進一步防護。

**注意**  
在最新版本的 中 AWS WAF，此功能是內建的，不需要任何特殊處理。如果您尚未使用 AWS WAF Classic，請改用最新版本。請參閱 [為 建立 AWS Firewall Manager 政策 AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf)。

下列教學課程說明如何建立防護規則的階層組。

**Topics**
+ [步驟 1：指定 Firewall Manager 管理員帳戶](#hierarchical-rules-set-firewall-administrator)
+ [步驟 2：使用 Firewall Manager 管理員帳戶建立規則群組](#hierarchical-rules-create-a-rule-group)
+ [步驟 3：建立 Firewall Manager 政策並連接常見規則群組](#hierarchical-rules-create-policy)
+ [步驟 4：新增帳戶專屬規則](#hierarchical-rules-add-account-specific-rules)
+ [結論](#hierarchical-rules-conclusion)

## 步驟 1：指定 Firewall Manager 管理員帳戶
<a name="hierarchical-rules-set-firewall-administrator"></a>

若要使用 AWS Firewall Manager，您必須將組織中的帳戶指定為 Firewall Manager 管理員帳戶。此帳戶可以是管理帳戶或組織中的成員帳戶。

您可以使用 Firewall Manager 管理員帳戶來建立一組適用於組織中其他帳戶的常見規則。組織中的其他帳戶無法變更集中套用的規則。

若要將 帳戶指定為 Firewall Manager 管理員帳戶，並完成使用 Firewall Manager 的其他先決條件，請參閱 中的說明[AWS Firewall Manager 先決條件](fms-prereq.md)。如果您已完成先決條件，則可以跳至此教學課程中的步驟 2。

在本教學課程中，我們將管理員帳戶稱為 **Firewall-Administrator-Account**。

## 步驟 2：使用 Firewall Manager 管理員帳戶建立規則群組
<a name="hierarchical-rules-create-a-rule-group"></a>

接著，使用 **Firewall-Administrator-Account** 建立一個規則群組。此規則群組包含您將套用至所有成員帳戶的通用規則。這些成員帳戶是以您在下一步中建立的政策管理。僅 **Firewall-Administrator-Account** 可以變更這些規則和容器規則群組。

在本教學課程中，我們將此容器規則群組稱為 **Common-Rule-Group**。

若要建立規則群組，請參閱[建立 AWS WAF Classic 規則群組](classic-create-rule-group.md)中的說明。遵循這些指示時，請記得使用 Firewall Manager 管理員帳戶 (**Firewall-Administrator-Account**) 登入主控台。

## 步驟 3：建立 Firewall Manager 政策並連接常見規則群組
<a name="hierarchical-rules-create-policy"></a>

使用 **Firewall-Administrator-Account**建立 Firewall Manager 政策。建立此政策時，您必須執行下列作業：
+ 新增 **Common-Rule-Group** 至新政策。
+ 將組織內您想要套用 **Common-Rule-Group** 的所有帳戶納入。
+ 新增您想要套用 **Common-Rule-Group** 的所有資源。

如需建立政策的說明，請參閱[建立 AWS Firewall Manager 政策](create-policy.md)。

此會在各指定的帳戶中建立 web ACL，並將 **Common-Rule-Group** 新增至各 web ACL。建立政策後，此 web ACL 和通用規則便會部署至所有指定的帳戶。

在本教學課程中，我們將此 web ACL 稱為 **Administrator-Created-ACL**。唯一的 **Administrator-Created-ACL** 現在存在於組織中各個指定成員帳戶內。

## 步驟 4：新增帳戶專屬規則
<a name="hierarchical-rules-add-account-specific-rules"></a>

組織中的各成員帳戶現在可以將自己的帳戶專屬規則新增至存在於其帳戶中的 **Administrator-Created-ACL**。已經在 中的常見規則會**Administrator-Created-ACL**繼續套用，以及新的帳戶特定規則。 會根據規則出現在 Web ACL 中的順序 AWS WAF 來檢查 Web 請求。這適用於 **Administrator-Created-ACL** 和帳戶專屬規則。

若要將規則新增至 **Administrator-Created-ACL**，請參閱 [在 中編輯保護套件 (Web ACL) AWS WAF](web-acl-editing.md)。

## 結論
<a name="hierarchical-rules-conclusion"></a>

您現在有一個 Web ACL，其中包含 Firewall Manager 管理員帳戶管理的常見規則，以及每個成員帳戶維護的帳戶特定規則。

各帳戶中的 **Administrator-Created-ACL** 參照單一 **Common-Rule-Group**。因此，防火牆管理員帳戶未來的變更**Common-Rule-Group**會立即在每個成員帳戶中生效。

會員帳戶無法變更或移除 **Common-Rule-Group** 中的通用規則。

帳戶專屬規則不會影響其他帳戶。