步骤 3:启用 Amazon Config - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

步骤 3:启用 Amazon Config

要使用 Firewall Manager,必须启用 Amazon Config。

注意

根据 Amazon Config 定价,您的 Amazon Config 设置会产生费用。有关更多信息,请参阅入门 Amazon Config

注意

为了让 Firewall Manager 监控策略合规性, Amazon Config 必须持续记录受保护资源的配置更改。在您的 Amazon Config 配置中,必须将录制频率设置为 “连续”,这是默认设置。

为 Firewall Amazon Config Manager 启用
  1. Amazon Config 为每个 Amazon Organizations 成员帐户启用,包括 Firewall Manager 管理员帐户。有关更多信息,请参阅入门 Amazon Config

  2. Amazon Config 为 Amazon Web Services 区域 包含您要保护的资源的每个资源启用该选项。您可以 Amazon Config 手动启用,也可以使用Amazon CloudFormation StackSets 示例 Amazon CloudFormation 模板中的 “启用 Amazon Config” 模板

    如果您不想 Amazon Config 为所有资源启用,则必须根据所使用的 Firewall Manager 策略类型启用以下选项:

    • WAF 策略 — 为资源类型启用配置: CloudFront 分发、Application Load Balancer(从列表中选择 ElasticLoadBalancingV2)、API Gateway、WAF WebACL、WAF 区域 WebACL 和 Wafv2 WebACL 和 Wafv2 WebACL。 Amazon Config 要启用保护 CloudFront 分配,您必须位于美国东部(弗吉尼亚北部)区域。其他地区没有 CloudFront 选项。

    • Shield 策略 — 为 Shield Protection、Protection、 ShieldRegional Application Load Balancer、EC2 EIP、WAF WebACL、WAF 区域 WebACL 和 Wafv2 WebACL 等资源类型启用配置。

    • 安全组策略 — 为 EC2 SecurityGroup、EC2 实例和 EC2 资源类型启用 Config NetworkInterface。

    • N@@ etwork Firewall 策略 — 为资源类型 NetworkFirewall FirewallPolicy NetworkFirewallRuleGroup、EC2 VPC、EC2 InternetGateway RouteTable、EC2 和 EC2 子网启用配置。

    • DNS 防火墙策略:为 EC2 VPC 资源类型启用“配置”。

    • 第三方防火墙策略 — 为 Amazon EC2 VPC、亚马逊 EC2、亚马逊 EC2、Amazon EC InternetGateway 2 RouteTable 子网和亚马逊 EC2 vpcendPoint 资源类型启用配置。

    注意

    如果您将 Amazon Config 记录器配置为使用自定义 IAM 角色,则需要确保 IAM 策略具有记录 Firewall Manager 策略所需的资源类型的适当权限。如果没有适当的权限,则可能无法记录所需的资源,这会使 Firewall Manager 无法正确保护您的资源。Firewall Manager 无法查看这些权限错误配置。有关将 IAM 与配合使用的信息 Amazon Config,请参阅适用于 IAM 的信息 Amazon Config。