本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在 Firewall Manager 中使用 AWS Shield Advanced 政策
本頁說明如何搭配 Firewall Manager 使用 AWS Shield 政策。在 Firewall Manager AWS Shield 政策中,您可以選擇要保護的資源。當您在啟用自動修復的情況下套用政策時,對於尚未與 AWS WAF Web 建立關聯的每個範圍內資源ACL,Firester Manager 會建立空 AWS WAF Web 的關聯ACL。空白 Web ACL用於 Shield 監控目的。如果您接著將任何其他 Web ACL 與資源建立關聯,則 Firewall Manager 會移除空的 Web ACL關聯。
注意
當 AWS WAF 政策範圍內的資源落入以自動應用程式層DDoS緩解設定的 Shield Advanced 政策範圍內時,Firrate Manager 只會在關聯 AWS WAF 政策ACL建立的 Web 之後套用 Shield Advanced 保護。
如何在 Shield 政策ACLs中 AWS Firewall Manager 管理未關聯的 Web
您可以設定 Firewall Manager 透過政策中的管理未關聯的 Web 設定,或 中的SecurityServicePolicyData資料類型optimizeUnassociatedWebACLs設定ACLs,來管理未關聯的 WebAPI。 ACLs如果您在政策ACLs中啟用管理未關聯的 Web,則 Firewall Manager 僅在至少有一個資源ACLs將使用 Web 時,才會在政策範圍內的帳戶ACLs中建立 Web。如果帳戶在任何時候進入政策範圍,且至少有一個資源將使用 Web,則 Firewall Manager 會自動ACL在帳戶中建立 WebACL。
當您啟用管理未關聯的 Web 時ACLs,Firester Manager 會在您的帳戶ACLs中執行一次未關聯的 Web 清除。清除程序可能需要幾個小時的時間。如果資源在 Firewall Manager 建立 Web 之後離開政策範圍ACL,則 Firewall Manager 不會取消資源與 Web 的關聯ACL。如果您想要 Firewall Manager 清除 Web ACL,您必須先手動取消資源與 Web 的關聯ACL,然後在政策中啟用管理未關聯的 Web ACLs選項。
如果您未啟用此選項,則 Firewall Manager 不會管理未關聯的 WebACLs,且 Firewall Manager ACL會在政策範圍內的每個帳戶中自動建立 Web。
如何 AWS Firewall Manager 管理 Shield 政策中的範圍變更
由於許多變更,例如政策範圍設定的變更、資源上的標籤變更,以及從組織移除帳戶,帳戶和資源可能會超出 AWS Firewall Manager Shield Advanced 政策的範圍。如需政策範圍設定的一般資訊,請參閱 使用 AWS Firewall Manager 政策範圍。
使用 AWS Firewall Manager Shield Advanced 政策,如果帳戶或資源超出範圍, Firewall Manager 會停止監控帳戶或資源。
如果帳戶從組織中移除而超出範圍,則會繼續訂閱 Shield Advanced。由於帳戶不再是合併帳單系列的一部分,因此帳戶將產生按比例分配的 Shield Advanced 訂閱費用。另一方面,超出範圍但留在組織中的帳戶不會產生額外費用。
如果資源超出範圍,它將繼續受到 Shield Advanced 保護,並繼續產生 Shield Advanced 資料傳輸費用。
