本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
启用使用 F Amazon Config irewall Manager
要使用 Firewall Manager,必须启用 Amazon Config。
注意
根据 Amazon Config 定价,您的 Amazon Config 设置会产生费用。有关更多信息,请参阅入门 Amazon Config。
注意
为了让 Firewall Manager 监控策略合规性, Amazon Config 必须持续记录受保护资源的配置更改。在您的 Amazon Config 配置中,必须将录制频率设置为 “连续”,这是默认设置。
为 Firewall Amazon Config Manager 启用
-
Amazon Config 为每个 Amazon Organizations 成员帐户启用,包括 Firewall Manager 管理员帐户。有关更多信息,请参阅入门 Amazon Config。
-
Amazon Config 为 Amazon Web Services 区域 包含您要保护的资源的每个资源启用该选项。您可以 Amazon Config 手动启用,也可以使用Amazon CloudFormation StackSets 示例 Amazon CloudFormation 模板中的 “启用 Amazon Config” 模板。
如果您不想 Amazon Config 为所有资源启用,则必须根据所使用的 Firewall Manager 策略类型启用以下选项:
-
WAF 策略 — 为资源类型启用 Config: CloudFront 分发、Application Load Balancer(从列表中选择 ElasticLoadBalancingV2)、API Gateway、WAF WebACL、WAF 区域 WebACL 和 WebACL。 WAFv2 Amazon Config 要启用保护 CloudFront 分配,您必须位于美国东部(弗吉尼亚北部)区域。其他地区没有 CloudFront 选项。
-
Shield 策略 — 为 Shield Protection、Protection、 ShieldRegional Application Load Balancer、 EC2 EIP、WAF WebACL、WAF 区域 WebACL 和 WebACL 等资源类型启用配置。 WAFv2
-
安全组策略 — 为资源类型 EC2 SecurityGroup、 EC2 实例和 “启用 Config” EC2 NetworkInterface。
-
网络 ACL 策略 — 为 Amazon S EC2 ubnet 和 Amazon EC2 网络 ACL 的资源类型启用 Config。
-
Network Firewall 策略 — 为资源类型 NetworkFirewall FirewallPolicy、、 EC2 VPC NetworkFirewall RuleGroup EC2 InternetGateway EC2 RouteTable、和 EC2 子网启用 Config。
-
DNS 防火墙策略-为资源类型 EC2 VPC 启用 Config。
-
第三方防火墙策略 — 为 Amazon EC2 VPC、Amazon、Amazon、Amazon S EC2 ub EC2 InternetGateway net 和 A EC2 RouteTable mazon 的资源类型启用 Config EC2 VPCEndpoint。
注意
如果您将 Amazon Config 记录器配置为使用自定义 IAM 角色,则需要确保 IAM 策略具有记录 Firewall Manager 策略所需的资源类型的适当权限。如果没有适当的权限,则可能无法记录所需的资源,这会使 Firewall Manager 无法正确保护您的资源。Firewall Manager 无法查看这些权限错误配置。有关将 IAM 与配合使用的信息 Amazon Config,请参阅适用于 IAM 的信息 Amazon Config。
-