本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
搭配 Firewall Manager 使用用量稽核安全群組政策
本頁說明 Firewall Manager 用量稽核安全群組政策的運作方式。
使用 AWS Firewall Manager 用量稽核安全群組政策來監控您的組織是否有未使用的和多餘的安全群組,並選擇性地執行清除。當您啟用此政策的自動修復時, Firewall Manager 會執行下列動作:
整合多餘的安全群組 (如果您已選擇該選項)。
移除未使用的安全群組 (如果您已選擇該選項)。
您可以將用量稽核安全群組政策套用至下列資源類型:
-
Amazon VPC安全群組
如需使用主控台建立用量稽核安全群組政策的指引,請參閱 建立用途稽核安全群組政策。
Firewall Manager 如何偵測和修復備援安全群組
若要將安全群組視為備援,它們必須具有完全相同的規則集,並且位於相同的 Amazon VPC執行個體中。
若要修復備援安全群組集,Firrate Manager 會選取要保留的集合中的其中一個安全群組,然後將其與集合中與其他安全群組相關聯的所有資源建立關聯。然後 Firewall Manager 會取消其他安全群組與相關資源的關聯,讓這些群組變得未使用。
注意
如果您也選擇移除未使用的安全群組,則 Firewall Manager 會執行此操作。此動作會移除備援組中的安全群組。
Firewall Manager 如何偵測和修復未使用的安全群組
如果下列兩項都為 true,則 Firewall Manager 會將安全群組視為未使用:
任何 Amazon EC2執行個體或 Amazon EC2彈性網路介面都不會使用安全群組。
Firewall Manager 未在政策規則期間內指定的分鐘數內收到其組態項目。
政策規則時段的預設設定為零分鐘,但您可以將時間增加至 365 天 (525,600 分鐘),以便自己有時間將新的安全群組與 資源建立關聯。
重要
如果您指定預設值為零以外的分鐘數,則必須在 中啟用間接關係 AWS Config。否則,您的用量稽核安全群組政策將無法如預期般運作。如需 中間接關係的相關資訊 AWS Config,請參閱 AWS Config 開發人員指南 中的間接關係 AWS Config。
Firewall Manager 會盡可能根據規則設定從您的帳戶刪除未使用的安全群組,以修復未使用的安全群組。如果 Firewall Manager 無法刪除安全群組,它會將其標記為不符合政策。Firewall Manager 無法刪除另一個安全群組參考的安全群組。
修復的時間會因您使用預設時段設定或自訂設定而有所不同:
時間區段設定為零,預設值 – 使用此設定時,只要 Amazon EC2執行個體或彈性網路介面未使用安全群組,就會被視為未使用。
對於此零時間區段設定, Firewall Manager 會立即修復安全群組。
大於零的時段 – 此設定會將安全群組視為未使用,因為 Amazon EC2執行個體或彈性網路介面未使用安全群組,且 Firewall Manager 未在指定的分鐘數內收到其組態項目。
對於非零時間區段設定,Firester Manager 會在安全群組保持未使用狀態 24 小時後進行修復。
預設帳戶規格
當您透過主控台建立使用量稽核安全群組政策時,Firrate Manager 會自動選擇排除指定的帳戶,並包含所有其他 。然後,服務會將 Firewall Manager 管理員帳戶放入清單中以排除。這是建議的方法,可讓您手動管理屬於 Firewall Manager 管理員帳戶的安全群組。
