本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

搭配 Firewall Manager 使用 Amazon VPC 網路存取控制清單 (ACL) 政策

本節涵蓋 AWS Firewall Manager 網路 ACL 政策的運作方式，並提供使用這些政策的指引。如需使用主控台建立網路 ACL 政策的指引，請參閱 建立網路 ACL 政策。

如需有關 Amazon VPC 網路存取控制清單 (ACLs) 的資訊，請參閱《Amazon VPC 使用者指南》中的使用網路 ACLs 控制子網路的流量。

您可以使用 Firewall Manager 網路 ACL 政策來管理組織中的 Amazon Virtual Private Cloud (Amazon VPC) 網路存取控制清單 ACLs) AWS Organizations。您可以定義政策的網路 ACL 規則設定，以及您想要強制執行設定的帳戶和子網路。Firewall Manager 會在您的組織中新增或更新帳戶和子網路時，持續將您的政策設定套用至這些帳戶和子網路。如需政策範圍 和 的相關資訊 AWS Organizations，請參閱 使用 AWS Firewall Manager 政策範圍和 AWS Organizations 使用者指南。

當您定義 Firewall Manager 網路 ACL 政策時，除了標準 Firewall Manager 政策設定，例如名稱和範圍，您還會提供下列項目：

使用 Firewall Manager 網路 ACL 政策的最佳實務

本節列出使用 Firewall Manager 網路 ACL 政策和受管網路 ACLs 的建議。

請參閱 FMManaged標籤以識別由 Firewall Manager 管理的網路 ACLs

Firewall Manager 管理的網路 ACLs 會將FMManaged標籤設定為 true。使用此標籤來協助區分您自己的自訂網路 ACLs 與您透過 Firewall Manager 管理的網路 ACL。

請勿修改網路 ACL 上FMManaged標籤的值

Firewall Manager 使用此標籤來設定和判斷其管理狀態與網路 ACL。

請勿修改具有 Firewall Manager 受管網路 ACLs 之子網路的關聯

請勿手動變更子網路與 Firewall Manager 管理的任何網路 ACLs 之間的關聯。這樣做可以停用 Firewall Manager 管理這些子網路保護的能力。您可以尋找 的FMManaged標籤設定，以識別由 Firewall Manager 管理的網路 ACLstrue。

若要從 Firewall Manager 政策管理中移除子網路，請使用 Firewall Manager 政策範圍設定來排除子網路。例如，您可以標記子網路，然後從政策範圍中排除該標籤。如需詳細資訊，請參閱使用 AWS Firewall Manager 政策範圍。

當您更新受管網路 ACL 時，請勿修改 Firewall Manager 管理的規則

在由 Firewall Manager 管理的網路 ACL 中，遵循 中所述的編號方案，將您的自訂規則與政策規則保持區隔在 Firewall Manager 中使用網路 ACL 規則和標記。僅新增或修改數字介於 5，000 到 32，000 之間的規則。

避免為您的帳戶限制新增太多規則

在修復網路 ACL 期間，防火牆管理員通常會暫時增加網路 ACL 規則計數。為了避免不合規問題，請確定您有足夠的空間來儲存正在使用的規則。如需詳細資訊，請參閱Firewall Manager 如何修復不合規的受管網路 ACLs。

從停用自動修補開始

從停用自動修復開始，然後檢閱政策詳細資訊，以判斷自動修復會帶來的影響。當您確認這些變更正是您所需的時，請編輯政策，以啟用自動修補。

Firewall Manager 網路 ACL 政策注意事項

本節列出使用 Firewall Manager 網路 ACL 政策的注意事項和限制。