与 Amazon Firewall Manager 管理员合作 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

与 Amazon Firewall Manager 管理员合作

使用后, Amazon Firewall Manager 您可以有一个或多个管理员来管理您组织的防火墙资源。如果要在组织中使用多个 Firewall Manager 管理员,则可以对每个管理员应用管理范围条件来定义他们可以管理的资源。这使您可以灵活地在组织中使用不同的管理员角色,并帮助您保持最低权限访问的原则。例如,您可以让一个管理员管理组织的一套组织单位 (OU),而委托另一个管理员仅管理特定的 Firewall Manager 策略类型。有关 Organizations 和管理账户的更多信息,请参阅管理组织中的 Amazon 账户

有关每个组织可以拥有的最大管理员人数,请参阅 Amazon Firewall Manager 配额

开始使用 Firewall Manager 管理员

开始使用 Firewall Manager 管理员之前,您必须先完成 Amazon Firewall Manager 先决条件 中列出的先决条件。在先决条件中,您将 Amazon Organizations 组织加入防火墙管理器,并为防火墙管理器创建默认管理员帐户。默认管理员账户可以管理第三方防火墙,并且具有完整的管理范围。

管理范围

管理范围定义了 Firewall Manager 管理员可以管理的资源。 Amazon Organizations 管理帐户将组织登录到 Firewall Manager 后,该管理帐户可以创建具有不同管理范围的其他防火墙管理器管理员。 Amazon Organizations 管理帐户可以授予管理员全部受限的管理范围。完全范围为管理员提供了对上述所有资源类型的完全访问权限。受限范围是指仅向上述资源的子集授予管理权限。我们建议您仅向管理员授予他们履行其角色职责所需的权限。您可以将以下管理范围条件的任意组合应用于管理员:

  • 您组织中管理员可以对其应用策略的账户或 OU。

  • 管理员可以在其中执行操作的区域。

  • 管理员可以管理的 Firewall Manager 策略类型。

管理员角色

Firewall Manager 中有两种类型的管理员角色:默认管理员和Firewall Manager 管理员。

  • 默认管理员:当组织的管理账户在完成操作的同时将组织加入Firewall Manager时,会创建一个 Firewall Manager 的默认管理员账户Amazon Firewall Manager 先决条件。默认管理员可以管理第三方防火墙并具有完整的管理范围,但如果您选择拥有多个管理员,则默认管理员与其他管理员处于同等级别。

  • Firewall Manager 管理员:Firewall Manager 管理员可以管理 Amazon Organizations 管理账户在其管理范围配置中为他们指定的资源。有关每个组织可以拥有的最大管理员人数,请参阅 Amazon Firewall Manager 配额。在创建 Firewall Manager 管理员帐户后,该服务会检查该帐户是否已经是组织内防火墙管理器的授权管理员。 Amazon Organizations 如果不是,Firewall Manager 会调用 Organizations,将该账户设置为 Firewall Manager 的委托管理员。有关 Organizations 委托管理员的信息,请参阅 Amazon Organizations 用户指南中的Amazon Organizations 术语和概念

现有管理员

如果您是 Firewall Manager 的现有客户,并且已经设置了管理员,则该现有管理员将是 Firewall Manager 的默认管理员。您的现有流程不应受到任何影响。如果要添加更多管理员,可以按照本章中的步骤进行操作。