本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
创建 Firewall Manager 管理员账户
以下过程介绍了如何使用 Firewall Manager 控制台创建 Firewall Manager 管理员账户。
创建 Firewall Manager 管理员账户
Amazon Web Services Management Console 使用现有 Amazon Organizations 管理帐户登录 Firewall Manager。
通过以下网址打开 Firewall Manager 控制台:https://console.amazonaws.cn/wafv2/fmsv2
。 在导航窗格中,选择 设置。
选择创建管理员账户。
在详细信息窗格中,为 Amazon 账户 ID 键入要添加为 Firewall Manager 管理员的成员账户的 Amazon ID。
对于管理范围,请选择下列选项之一:
全部:管理员能够将策略应用于组织内的所有账户和组织单位 (OU),在所有区域采取行动,并应用除第三方防火墙之外的所有 Firewall Manager 策略类型。只有默认管理员才能创建和管理第三方防火墙。向管理员授予此级别的权限时要谨慎行事。本着最低权限的精神,我们建议只授予管理员履行其职责所需的权限。
受限:如果应用受限范围,则在配置管理范围中配置账户和组织单位、地区以及账户可以管理的策略类型。
对于账户和组织单位,请按以下方式选择选项:
-
如果要将策略应用于组织中的所有账户或组织单位,请选择 “包括我的 Amazon 组织下的所有帐户”。
-
如果您只想将策略应用于特定账户或特定 Amazon Organizations 组织单位 (OU) 中的账户,请选择 “仅包括指定的账户和组织单位”,然后添加要包括的账户和 OU。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。
-
如果要将策略应用于除一组特定的账户或 Amazon Organizations 组织单位 (OU) 之外的所有账户或组织单位,请选择排除指定的账户和组织单位,并包括所有其他账户和组织单位,然后添加要排除的账户和组织单位。指定 OU 等同于指定 OU 及其任何子 OU 中的所有账户,包括之后添加的任何子 OU 和账户。
对于区域,选择以下选项之一:
-
如果要允许管理员在所有可用区域中执行操作,请选择包括所有区域。
-
如果您希望管理员仅在特定区域执行操作,请选择仅包括指定的区域,然后指定要包括的区域。
注意
要包括默认禁用的区域,您必须同时为 Amazon Organizations 组织管理账户和默认管理账户启用该区域。有关为账户启用区域的信息,请参阅 Amazon Web Services 一般参考 中的启用区域。
对于策略类型,请按以下方式选择选项:
-
如果要允许管理员管理所有策略类型,请选择包括所有策略类型。
-
如果您希望管理员仅管理特定的策略类型,请选择仅包括指定的策略类型,然后指定要包括的策略类型。
-
选择创建管理员账户以创建管理员账户。创建后,Firewall Manager 会打电话 Amazon Organizations 查看管理员是否已经是您组织的委托管理员。否则,Firewall Manager 会将该账户指定为委托管理员。有关 Organizations 中的委派管理员的信息,请参阅 Amazon Organizations 用户指南中的 Amazon Organizations 术语和概念。
如果您应用受限管理范围,Firewall Manager 会根据您的设置自动评估任何新资源。例如,如果您仅包括了特定账户,Firewall Manager 便不会将策略应用于任何新账户。另一个例子是,如果包括了 OU,则在向 OU 或其任何子 OU 添加账户时,Firewall Manager 会自动将该账户包含在管理范围内。