使用 Firewall Manager 示例 Amazon CLI - Amazon Command Line Interface
操作
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 Firewall Manager 示例 Amazon CLI

以下代码示例向您展示了如何使用与 Firewall Manager Amazon Command Line Interface 配合使用来执行操作和实现常见场景。

操作是大型程序的代码摘录,必须在上下文中运行。您可以通过操作了解如何调用单个服务函数,还可以通过函数相关场景和跨服务示例的上下文查看操作。

场景是展示如何通过在同一服务中调用多个函数来完成特定任务任务的代码示例。

每个示例都包含一个指向的链接 GitHub,您可以在其中找到有关如何在上下文中设置和运行代码的说明。

主题

操作

以下代码示例演示如何使用 associate-admin-account

Amazon CLI

设置 Firewall Manager 管理员帐户

以下associate-admin-account示例为 Firewall Manager 设置管理员帐户。

aws fms associate-admin-account \
    --admin-account 123456789012

此命令不生成任何输出。

有关更多信息,请参阅 Amazon WAF、Firewal Amazon l Manager 和 Amazon Shield 高级开发者指南中的设置 Amazon 防火墙管理器管理员帐户

以下代码示例演示如何使用 delete-notification-channel

Amazon CLI

删除 Firewall Manager 日志的 SNS 主题信息

以下delete-notification-channel示例删除了 SNS 主题信息。

aws fms delete-notification-channel

此命令不生成任何输出。

有关更多信息,请参阅 W A Amazon F、Fi Amazon rewall Manager 和 Amazon Shield 高级开发者指南中的配置 Amazon SNS 通知和亚马逊 CloudWatch 警报

以下代码示例演示如何使用 delete-policy

Amazon CLI

删除 Firewall Manager 策略

以下delete-policy示例删除了具有指定 ID 的策略及其所有资源。

aws fms delete-policy \
    --policy-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
    --delete-all-policy-resources

此命令不生成任何输出。

有关更多信息,请参阅 Amazon WAF、Fi Amazon rewall Manager 和 Amazon Shield 高级开发者指南中的使用 Amazon 防火墙管理器策略

  • 有关 API 的详细信息,请参阅Amazon CLI 命令参考DeletePolicy中的。

以下代码示例演示如何使用 disassociate-admin-account

Amazon CLI

删除 Firewall Manager 管理员帐户

以下disassociate-admin-account示例从 Firewall Manager 中删除当前的管理员帐户关联。

aws fms disassociate-admin-account

此命令不生成任何输出。

有关更多信息,请参阅 Amazon WAF、Firewal Amazon l Manager 和 Amazon Shield 高级开发者指南中的设置 Amazon 防火墙管理器管理员帐户

以下代码示例演示如何使用 get-admin-account

Amazon CLI

检索 Firewall Manager 管理员帐户

以下get-admin-account示例检索管理员帐户。

aws fms get-admin-account

输出:

{
    "AdminAccount": "123456789012",
    "RoleStatus": "READY"
}

有关更多信息,请参阅 Amazon WAF、Firewal Amazon l Manager 和 Amazon Shield 高级开发者指南中的 Amazon 防火墙管理器先决条件

  • 有关 API 的详细信息,请参阅Amazon CLI 命令参考GetAdminAccount中的。

以下代码示例演示如何使用 get-compliance-detail

Amazon CLI

检索账户的合规信息

以下get-compliance-detail示例检索指定策略和成员账户的合规性信息。

aws fms get-compliance-detail \
    --policy-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111 \
    --member-account 123456789012

输出:

{
    "PolicyComplianceDetail": {
    "EvaluationLimitExceeded": false,
    "IssueInfoMap": {},
    "MemberAccount": "123456789012",
    "PolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "PolicyOwner": "123456789012",
    "Violators": []
}

有关更多信息,请参阅 Amazon WAF、Fi Amazon rewall Manager 和 Amazon Shield 高级开发者指南中的使用策略查看资源合规性

以下代码示例演示如何使用 get-notification-channel

Amazon CLI

检索 Firewall Manager 日志的 SNS 主题信息

以下get-notification-channel示例检索 SNS 主题信息。

aws fms get-notification-channel

输出:

{
    "SnsTopicArn": "arn:aws:sns:us-west-2:123456789012:us-west-2-fms",
    "SnsRoleName": "arn:aws:iam::123456789012:role/aws-service-role/fms.amazonaws.com/AWSServiceRoleForFMS"
}

有关更多信息,请参阅 W A Amazon F、Fi Amazon rewall Manager 和 Amazon Shield 高级开发者指南中的配置 Amazon SNS 通知和亚马逊 CloudWatch 警报

以下代码示例演示如何使用 get-policy

Amazon CLI

检索 Firewall Manager 策略

以下get-policy示例检索具有指定 ID 的策略。

aws fms get-policy \
    --policy-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

输出:

{
    "Policy": {
        "PolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "PolicyName": "test",
        "PolicyUpdateToken": "1:p+2RpKR4wPFx7mcrL1UOQQ==",
        "SecurityServicePolicyData": {
            "Type": "SECURITY_GROUPS_COMMON",
            "ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_COMMON\",\"revertManualSecurityGroupChanges\":true,\"exclusiveResourceSecurityGroupManagement\":false,\"securityGroups\":[{\"id\":\"sg-045c43ccc9724e63e\"}]}"
        },
        "ResourceType": "AWS::EC2::Instance",
        "ResourceTags": [],
        "ExcludeResourceTags": false,
        "RemediationEnabled": false
    },
    "PolicyArn": "arn:aws:fms:us-west-2:123456789012:policy/d1ac59b8-938e-42b3-b2e0-7c620422ddc2"
}

有关更多信息,请参阅 Amazon WAF、Fi Amazon rewall Manager 和 Amazon Shield 高级开发者指南中的使用 Amazon 防火墙管理器策略

  • 有关 API 的详细信息,请参阅Amazon CLI 命令参考GetPolicy中的。

以下代码示例演示如何使用 list-compliance-status

Amazon CLI

检索成员账户的政策合规性信息

以下list-compliance-status示例检索指定策略的成员账户合规性信息。

aws fms list-compliance-status \
    --policy-id a1b2c3d4-5678-90ab-cdef-EXAMPLE11111

输出:

{
    "PolicyComplianceStatusList": [
        {
            "PolicyOwner": "123456789012",
            "PolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "PolicyName": "test",
            "MemberAccount": "123456789012",
            "EvaluationResults": [
                {
                    "ComplianceStatus": "COMPLIANT",
                    "ViolatorCount": 0,
                    "EvaluationLimitExceeded": false
                },
                {
                    "ComplianceStatus": "NON_COMPLIANT",
                    "ViolatorCount": 2,
                    "EvaluationLimitExceeded": false
                }
            ],
            "LastUpdated": 1576283774.0,
            "IssueInfoMap": {}
        }
    ]
}

有关更多信息,请参阅 Amazon WAF、Fi Amazon rewall Manager 和 Amazon Shield 高级开发者指南中的使用策略查看资源合规性

以下代码示例演示如何使用 list-member-accounts

Amazon CLI

检索组织中的成员账户

以下list-member-accounts示例列出了 Firewall Manager 管理员组织中的所有成员帐户。

aws fms list-member-accounts

输出:

{
    "MemberAccounts": [
        "222222222222",
        "333333333333",
        "444444444444"
    ]
}

有关更多信息,请参阅 Amazon WAF、Firewal Amazon l Manag er 和 Amazon Shield 高级开发者指南中的 Amazon 防火墙管理器

  • 有关 API 的详细信息,请参阅Amazon CLI 命令参考ListMemberAccounts中的。

以下代码示例演示如何使用 list-policies

Amazon CLI

检索所有 Firewall Manager 策略

以下list-policies示例检索账户的策略列表。在此示例中,每个请求的输出限制为两个结果。每次调用都会返回一个NextToken,该值可用作下次list-policies调用中--starting-token参数的值,以获取列表的下一组结果。

aws fms list-policies \
    --max-items 2

输出:

{
    "PolicyList": [
        {
            "PolicyArn": "arn:aws:fms:us-west-2:123456789012:policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "PolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
            "PolicyName": "test",
            "ResourceType": "AWS::EC2::Instance",
            "SecurityServiceType": "SECURITY_GROUPS_COMMON",
            "RemediationEnabled": false
        },
        {
            "PolicyArn": "arn:aws:fms:us-west-2:123456789012:policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE22222",
            "PolicyId": "457c9b21-fc94-406c-ae63-21217395ba72",
            "PolicyName": "test",
            "ResourceType": "AWS::EC2::Instance",
            "SecurityServiceType": "SECURITY_GROUPS_COMMON",
            "RemediationEnabled": false
        }
    ],
    "NextToken": "eyJOZXh0VG9rZW4iOiBudWxsLCAiYm90b190cnVuY2F0ZV9hbW91bnQiOiAyfQ=="
}

有关更多信息,请参阅 Amazon WAF、Fi Amazon rewall Manager 和 Amazon Shield 高级开发者指南中的使用 Amazon 防火墙管理器策略

  • 有关 API 的详细信息,请参阅Amazon CLI 命令参考ListPolicies中的。

以下代码示例演示如何使用 put-notification-channel

Amazon CLI

设置 Firewall Manager 日志的 SNS 主题信息

以下put-notification-channel示例设置 SNS 主题信息。

aws fms put-notification-channel \
    --sns-topic-arn arn:aws:sns:us-west-2:123456789012:us-west-2-fms \
    --sns-role-name arn:aws:iam::123456789012:role/aws-service-role/fms.amazonaws.com/AWSServiceRoleForFMS

此命令不生成任何输出。

有关更多信息,请参阅 W A Amazon F、Fi Amazon rewall Manager 和 Amazon Shield 高级开发者指南中的配置 Amazon SNS 通知和亚马逊 CloudWatch 警报

以下代码示例演示如何使用 put-policy

Amazon CLI

创建 Firewall Manager 策略

以下put-policy示例创建了 Firewall Manager 安全组策略。

aws fms put-policy \
    --cli-input-json file://policy.json

policy.json 的内容:

{
    "Policy": {
        "PolicyName": "test",
        "SecurityServicePolicyData": {
            "Type": "SECURITY_GROUPS_USAGE_AUDIT",
            "ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_USAGE_AUDIT\",\"deleteUnusedSecurityGroups\":false,\"coalesceRedundantSecurityGroups\":true}"
        },
        "ResourceType": "AWS::EC2::SecurityGroup",
        "ResourceTags": [],
        "ExcludeResourceTags": false,
        "RemediationEnabled": false
    },
    "TagList": [
        {
            "Key": "foo",
            "Value": "foo"
        }
    ]
}

输出:

{
    "Policy": {
        "PolicyId": "a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
        "PolicyName": "test",
        "PolicyUpdateToken": "1:X9QGexP7HASDlsFp+G31Iw==",
        "SecurityServicePolicyData": {
            "Type": "SECURITY_GROUPS_USAGE_AUDIT",
            "ManagedServiceData": "{\"type\":\"SECURITY_GROUPS_USAGE_AUDIT\",\"deleteUnusedSecurityGroups\":false,\"coalesceRedundantSecurityGroups\":true,\"optionalDelayForUnusedInMinutes\":null}"
        },
        "ResourceType": "AWS::EC2::SecurityGroup",
        "ResourceTags": [],
        "ExcludeResourceTags": false,
        "RemediationEnabled": false
    },
    "PolicyArn": "arn:aws:fms:us-west-2:123456789012:policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111"
}

有关更多信息,请参阅 Amazon WAF、Fi Amazon rewall Manager 和 Amazon Shield 高级开发者指南中的使用 Amazon 防火墙管理器策略

  • 有关 API 的详细信息,请参阅Amazon CLI 命令参考PutPolicy中的。