

**引入全新的主机体验 Amazon WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 创建 Firewall Manager 管理员账户
<a name="fms-creating-administrators"></a>

以下过程介绍了如何使用 Firewall Manager 控制台创建 Firewall Manager 管理员账户。

**注意**  
只有组织的管理账户才能创建 Firewall Manager 管理员账户。

**创建 Firewall Manager 管理员账户**

1.  Amazon Web Services 管理控制台 使用现有 Amazon Organizations 管理帐户登录 Firewall Manager。

1. 通过以下网址打开 Firewall Manager 控制台：[https://console.amazonaws.cn/wafv2/fmsv2](https://console.amazonaws.cn/wafv2/fmsv2)。

1. 在导航窗格中，选择 **设置**。

1. 选择**创建管理员账户**。

1. 在**详细信息**窗格中，为 **Amazon 账户 ID** 键入要添加为 Firewall Manager 管理员的成员账户的 Amazon ID。

1. 对于**管理范围**，请选择下列选项之一：
   + **完整**-这使管理员能够将策略应用于组织内的所有账户和组织单位 (OUs)，在所有区域采取行动，并应用除第三方防火墙之外的所有 Firewall Manager 策略类型。只有默认管理员才能创建和管理第三方防火墙。向管理员授予此级别的权限时要谨慎行事。本着最低权限的精神，我们建议只授予管理员履行其职责所需的权限。
   + **受限**：如果应用**受限**范围，则在**配置管理范围**中配置账户和组织单位、地区以及账户可以管理的策略类型。

     对于**账户和组织单位**，请按以下方式选择选项：
     + 如果要将策略应用于组织中的所有账户或组织单位，请选择 “**包括我的 Amazon 组织下的所有帐户**”。
     + 如果您只想将策略应用于特定帐户或特定 Amazon Organizations 组织单位中的帐户（OUs），请选择 “**仅包括指定的帐户和组织单位**”，然后添加要包括的帐户。OUs 指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs，包括任何子账户 OUs 和稍后添加的帐户。
     + 如果要将策略应用于除一组特定的账户或 Amazon Organizations 组织单位以外的所有账户或组织单位 (OUs)，请选择**排除指定的账户和组织单位，并包括所有其他**账户和组织单位 OUs ，然后添加要排除的账户。指定 OU 等同于指定 OU 及其任何子组织中的所有帐户 OUs，包括任何子账户 OUs 和稍后添加的帐户。

     对于**区域**，选择以下选项之一：
     + 如果要允许管理员在所有可用区域中执行操作，请选择**包括所有区域**。
     + 如果您希望管理员仅在特定区域执行操作，请选择**仅包括指定的区域**，然后指定要包括的区域。
**注意**  
要包括默认禁用的区域，您必须同时为 Amazon Organizations 组织管理账户和默认管理账户启用该区域。有关为账户启用区域的信息，请参阅 *Amazon Web Services 一般参考* 中的[启用区域](https://docs.amazonaws.cn/general/latest/gr/rande-manage.html#rande-manage-enable)。

     对于**策略类型**，请按以下方式选择选项：
     + 如果要允许管理员管理所有策略类型，请选择**包括所有策略类型**。
     + 如果您希望管理员仅管理特定的策略类型，请选择**仅包括指定的策略类型**，然后指定要包括的策略类型。

1. 选择**创建管理员账户**以创建管理员账户。创建后，Firewall Manager 会打电话 Amazon Organizations 查看管理员是否已经是您组织的委托管理员。否则，Firewall Manager 会将该账户指定为委托管理员。有关 Organizations 中的委派管理员的信息，请参阅 *Amazon Organizations 用户指南*中的 [Amazon Organizations 术语和概念](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_getting-started_concepts.html)。

如果您应用**受限**管理范围，Firewall Manager 会根据您的设置自动评估任何新资源。例如，如果您仅包括了特定账户，Firewall Manager 便不会将策略应用于任何新账户。再举一个例子，如果您包含一个 OU，则在向 OU 或其任何子组织添加帐户时 OUs，Firewall Manager 会自动将该帐户包括在管理范围内。