本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

搭配 Firewall Manager 使用 Amazon VPC 網路存取控制清單 （ACL） 政策

本節涵蓋 AWS Firewall Manager 網路ACL政策的運作方式，並提供使用政策的指引。如需使用主控台建立網路ACL政策的指引，請參閱 建立網路ACL政策。

如需 Amazon VPC 網路存取控制清單 （ACLs） 的相關資訊，請參閱 Amazon VPC使用者指南 中的使用網路控制子網路ACLs流量。

您可以使用 Firewall Manager 網路ACL政策，在 中管理組織的 Amazon Virtual Private Cloud （AmazonVPC） 網路存取控制清單 （ACLs） AWS Organizations。您可以定義政策的網路ACL規則設定，以及您要強制執行設定的帳戶和子網路。Firewall Manager 會在整個組織中新增或更新帳戶和子網路時，持續將政策設定套用至這些帳戶和子網路。如需政策範圍 和 的相關資訊 AWS Organizations，請參閱 使用 AWS Firewall Manager 政策範圍和 AWS Organizations 使用者指南 。

當您定義 Firewall Manager 網路ACL政策時，除了標準 Firewall Manager 政策設定之外，例如名稱和範圍，還提供下列項目：

使用 Firewall Manager 網路ACL政策的最佳實務

本節列出使用 Firewall Manager 網路ACL政策和受管網路 的建議ACLs。

請參閱 FMManaged標籤以識別由 Firewall Manager ACLs 管理的網路

ACLs Firewall Manager 管理的網路的FMManaged標籤設定為 true。使用此標籤來協助區分您自己的自訂網路與您透過 Firewall Manager 管理ACLs的網路。

請勿修改網路上FMManaged標籤的值 ACL

Firewall Manager 使用此標籤，透過網路 設定和判斷其管理狀態ACL。

請勿修改具有 Firewall Manager 受管網路之子網路的關聯 ACLs

請勿手動變更子網路與 Firewall Manager ACLs 管理的任何網路之間的關聯。這樣做可能會停用 Firewall Manager 管理這些子網路保護的能力。您可以尋找 ACLs 的FMManaged標籤設定，以識別由 Firewall Manager 管理的網路true。

若要從 Firewall Manager 政策管理中移除子網路，請使用 Firewall Manager 政策範圍設定來排除子網路。例如，您可以標記子網路，然後從政策範圍中排除該標籤。如需詳細資訊，請參閱使用 AWS Firewall Manager 政策範圍。

當您更新受管網路 時ACL，請勿修改 Firewall Manager 管理的規則

在 Firewall Manager ACL管理的網路中，遵循 中所述的編號方案，以將自訂規則與政策規則分開在 Firewall Manager 中使用網路ACL規則和標記。僅新增或修改數字介於 5，000 到 32，000 之間的規則。

避免為您的帳戶限制新增太多規則

在修復網路 期間ACL，防火牆管理員通常會暫時增加網路ACL規則計數。為了避免不合規問題，請確保您有足夠的空間來儲存您正在使用的規則。如需詳細資訊，請參閱Firewall Manager 如何修復不合規的受管網路 ACLs。

從停用自動修補開始

從停用自動修復開始，然後檢閱政策詳細資訊，以判斷自動修復會帶來的影響。當您確認這些變更正是您所需的時，請編輯政策，以啟用自動修補。

Firewall Manager 網路ACL政策注意事項

本節列出使用 Firewall Manager 網路ACL政策的注意事項和限制。