Amazon 的托管策略 Amazon Firewall Manager - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
AWSFMAdminFullAccessFMS ServiceRolePolicyAWSFMAdminReadOnlyAccessAWSFMMemberReadOnlyAccess策略更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 的托管策略 Amazon Firewall Manager

Amazon 托管策略是由创建和管理的独立策略 Amazon。 Amazon 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。

请记住, Amazon 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 Amazon 客户使用。我们建议通过定义特定于您的使用场景的客户管理型策略来进一步减少权限。

您无法更改 Amazon 托管策略中定义的权限。如果 Amazon 更新 Amazon 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 Amazon 最有可能在启动新的 API 或现有服务可以使用新 Amazon Web Service 的 API 操作时更新 Amazon 托管策略。

有关更多信息,请参阅《IAM 用户指南》中的 Amazon 托管式策略

Amazon 托管策略: AWSFMAdminFullAccess

使用AWSFMAdminFullAccess Amazon 托管策略允许您的管理员访问 Amazon Firewall Manager 资源,包括所有 Firewall Manager 策略类型。此策略不包括在 Amazon Firewall Manager中设置 Amazon Simple Notification Service 通知的权限。有关如何设置 Amazon Simple Notification Service 的访问权限的信息,请参阅设置 Amazon Simple Notification Service 的访问权限

权限详细信息

此策略根据权限集分为多个语句。

  • Amazon Firewall Manager 策略资源-允许对中的 Amazon Firewall Manager资源(包括所有 Firewall Manager 策略类型)拥有完全管理权限。

  • 将 Amazon WAF 日志写入亚马逊简单存储服务-允许 Firewall Manager 在 Amazon S3 中写入和读取 Amazon WAF 日志。

  • 创建服务链接角色:允许管理员创建服务关联角色,它允许 Firewall Manager 代表您分析其他服务中的资源。此权限允许创建仅供 Firewall Manager 使用的服务关联角色。有关 Firewall Manager 如何使用服务相关角色的更多信息,请参阅 使用 Firewall Manager 的服务相关角色

  • Amazon Organizations:允许管理员将 Firewall Manager 用于 Amazon Organizations中的企业。在中启用 Firewall Manager 的可信访问后 Amazon Organizations,管理员帐户的成员可以查看其组织中的发现结果。有关 Amazon Organizations 与一起使用的信息 Amazon Firewall Manager,请参阅《Amazon Organizations 用户指南》中的Amazon Organizations 与其他 Amazon 服务一起使用

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "fms:*",
            "waf:*",
            "waf-regional:*",
            "elasticloadbalancing:SetWebACL",
            "firehose:ListDeliveryStreams",
            "organizations:DescribeAccount",
            "organizations:DescribeOrganization",
            "organizations:ListRoots",
            "organizations:ListChildren",
            "organizations:ListAccounts",
            "organizations:ListAccountsForParent",
            "organizations:ListOrganizationalUnitsForParent",
            "shield:GetSubscriptionState",
            "route53resolver:ListFirewallRuleGroups",
            "route53resolver:GetFirewallRuleGroup",
            "wafv2:ListRuleGroups",
            "wafv2:ListAvailableManagedRuleGroups",
            "wafv2:CheckCapacity",
            "wafv2:PutLoggingConfiguration",
            "wafv2:ListAvailableManagedRuleGroupVersions",
            "network-firewall:DescribeRuleGroup",
            "network-firewall:DescribeRuleGroupMetadata",
            "network-firewall:ListRuleGroups",
            "ec2:DescribeAvailabilityZones",
            "ec2:DescribeRegions"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:PutBucketPolicy",
            "s3:GetBucketPolicy"
         ],
         "Resource":[
            "arn:aws:s3:::aws-waf-logs-*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":"iam:CreateServiceLinkedRole",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "iam:AWSServiceName":[
                  "fms.amazonaws.com"
               ]
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "organizations:EnableAWSServiceAccess",
            "organizations:ListDelegatedAdministrators",
            "organizations:RegisterDelegatedAdministrator",
            "organizations:DeregisterDelegatedAdministrator"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "organizations:ServicePrincipal":[
                  "fms.amazonaws.com"
               ]
            }
         }
      }
   ]
}

该策略包含以下权限:

  • fms:*:

    允许您使用 Amazon Firewall Manager 资源。

  • waf:*, waf-regional:*:

    允许您使用 Amazon WAF 策略。

  • elasticloadbalancing:SetWebACL:

    允许您将 Web 访问控制列表(ACL)与弹性负载均衡器关联。

  • firehose:ListDeliveryStreams:

    允许您查看 Amazon WAF 日志。

  • organizations:DescribeAccount, organizations:DescribeOrganization, organizations:ListRoots, organizations:ListChildren, organizations:ListAccounts, organizations:ListAccountsForParent, organizations:ListOrganizationalUnitsForParent:

    允许您使用 Organizati Amazon ons。

  • shield:GetSubscriptionState:

    允许您查看 Amazon Shield 策略的订阅状态。

  • route53resolver:ListFirewallRuleGroups, route53resolver:GetFirewallRuleGroup:

    允许您在 Route 53 Private DNS for VPCs 策略中使用 Route 53 Private DNS for VPCs 规则组。

  • wafv2:ListRuleGroups, wafv2:ListAvailableManagedRuleGroups, wafv2:CheckCapacity, wafv2:PutLoggingConfiguration, wafv2:ListAvailableManagedRuleGroupVersions:

    允许您使用 Amazon WAFV2 策略。

  • network-firewall:DescribeRuleGroup, network-firewall:DescribeRuleGroupMetadata, network-firewall:ListRuleGroups:

    允许您使用 Amazon Network Firewall 策略。

  • ec2:DescribeAvailabilityZones:

    允许您查看 Amazon Network Firewall 策略的可用区。

  • ec2:DescribeRegions:

    允许您在 Amazon Firewall Manager 控制台中查看策略的区域。

  • s3:GetBucketPolicy:

    允许您获取 Amazon S3 存储桶 Amazon WAF 日志策略。

  • ListDelegatedAdministrators:

    允许您列出亚马逊 OpenSearch 服务授权的管理员。

Amazon 托管策略:FMS ServiceRolePolicy

此策略 Amazon Firewall Manager 允许您在 Firewall Manager 和集成服务中代表您管理 Amazon 资源。此策略附加到 AWSServiceRoleForFMS 服务相关角色。有关服务相关角色的更多信息,请参阅 使用 Firewall Manager 的服务相关角色

有关政策的详细信息,请参阅 FMS ServiceRolePolicy 上的 IAM 控制台。

Amazon 托管策略: AWSFMAdminReadOnlyAccess

授予对所有 Fi Amazon rewall Manager 资源的只读访问权限。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "fms:Get*",
            "fms:List*",
            "waf:Get*",
            "waf:List*",
            "waf-regional:Get*",
            "waf-regional:List*",
            "firehose:ListDeliveryStreams",
            "organizations:DescribeOrganization",
            "organizations:DescribeAccount",
            "organizations:ListRoots",
            "organizations:ListChildren",
            "organizations:ListAccounts",
            "organizations:ListAccountsForParent",
            "organizations:ListOrganizationalUnitsForParent",
            "shield:GetSubscriptionState",
            "route53resolver:ListFirewallRuleGroups",
            "route53resolver:GetFirewallRuleGroup",
            "wafv2:ListRuleGroups",
            "wafv2:ListAvailableManagedRuleGroups",
            "wafv2:CheckCapacity",
            "wafv2:ListAvailableManagedRuleGroupVersions",
            "network-firewall:DescribeRuleGroup",
            "network-firewall:DescribeRuleGroupMetadata",
            "network-firewall:ListRuleGroups",
            "ec2:DescribeAvailabilityZones",
            "ec2:DescribeRegions"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetBucketPolicy"
         ],
         "Resource":[
            "arn:aws:s3:::aws-waf-logs-*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "organizations:ListDelegatedAdministrators"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "organizations:ServicePrincipal":[
                  "fms.amazonaws.com"
               ]
            }
         }
      }
   ]
}

该策略包含以下权限:

  • fms:*:

    允许您查看 Amazon Firewall Manager 资源。

  • waf:Get*, waf-regional:Get*:

    让你获取 Amazon WAF 政策。

  • waf:List*, waf-regional:List*:

    允许您列出 Amazon WAF 策略。

  • firehose:ListDeliveryStreams:

    允许您列出 Amazon WAF 日志。

  • organizations:DescribeOrganization, organizations:DescribeAccount, organizations:DescribeOrganization, organizations:ListRoots, organizations:ListChildren, organizations:ListAccounts, organizations:ListAccountsForParent, organizations:ListOrganizationalUnitsForParent:

    允许您查看 Organi Amazon ations 资源。

  • shield:GetSubscriptionState:

    允许您获取 Amazon Shield 策略的订阅状态。

  • route53resolver:ListFirewallRuleGroups, route53resolver:GetFirewallRuleGroup:

    允许您在 Route 53 VPC 私有 DNS 策略中获取和列出 VPC 的 Route 53 Private DNS 规则组。

  • wafv2:ListRuleGroups, wafv2:ListAvailableManagedRuleGroups, wafv2:CheckCapacity, wafv2:ListAvailableManagedRuleGroupVersions:

    允许您列出 Amazon WAFV2 规则组、 Amazon WAFV2 策略中的 Amazon 托管规则 Amazon WAFV2 规则组、规则组容量和 Amazon WAFV2 Amazon 托管规则组版本。

  • network-firewall:DescribeRuleGroup, network-firewall:DescribeRuleGroupMetadata, network-firewall:ListRuleGroups:

    允许您查看 Amazon Network Firewall 规则组和规则组元数据。

  • ec2:DescribeAvailabilityZones:

    允许您查看 Amazon Network Firewall 策略的可用区。

  • ec2:DescribeRegions:

    允许您在 Amazon Firewall Manager 控制台中查看策略的区域。

  • s3:GetBucketPolicy:

    允许您获取 Amazon S3 存储桶 Amazon WAF 日志策略。

  • ListDelegatedAdministrators:

    允许您在中列出委派的管理员 Amazon Organizations。

Amazon 托管策略: AWSFMMemberReadOnlyAccess

授予对 Amazon Firewall Manager 成员资源的只读访问权限。有关政策的详细信息,请参阅 IAM 控制台,网址为AWSFMMemberReadOnlyAccess

Firewall Manager 对 Amazon 托管策略的更新

查看自该服务开始跟踪这些更改以来 Firewall Manager Amazon 托管策略更新的详细信息。有关此页面更改的自动提示,请订阅 Firewall Manager 文档历史记录页面上的 RSS 源,网址为 文档历史记录

更改 描述 日期

FMS ServiceRolePolicy — 更新政策

添加了允许 Firewall Manager 描述指定 Amazon Config 规则是否合规的权限。

在 IAM 控制台中查看更新的政策:FMS ServiceRolePolicy

 2023 年 4 月 21 日

FMS ServiceRolePolicy — 更新政策

添加了允许 Firewall Manager 描述 Amazon EC2 实例和网络接口属性的权限。

在 IAM 控制台中查看更新的政策:FMS ServiceRolePolicy

 2022 年 11 月 15 日

AWSFMAdminReadOnlyAccess - 更新的策略

增加了支持 Amazon WAFV2、Shield、Network Firewall、DNS 防火墙、Amazon VPC 安全组、策略的权限。

在 IAM 控制台中查看更新的政策:AWSFMAdminReadOnlyAccess

 2022 年 11 月 2 日

AWSFMAdminFullAccess - 更新的策略

增加了支持 Amazon WAFV2、Shield、Network Firewall、DNS 防火墙、Amazon VPC 安全组、策略的权限。移除了 Amazon SNS 权限。

在 IAM 控制台中查看更新的政策:AWSFMAdminFullAccess

 2022 年 10 月 21 日

FMSServiceRolePolicy— Amazon Firewall Manager 第三方防火墙策略的新权限

此更改允许 Firewall Manager 创建和删除与第三方防火墙策略关联的 Amazon EC2 VPC 终端节点。

 2022 年 3 月 30 日

FMSServiceRolePolicy— Amazon Network Firewall 策略的新权限

添加了新权限,以支持为 Network Firewall 策略部署防火墙。新权限允许为策略范围内的账户检索有关可用区的信息。

 2022 年 2 月 16 日

FMSServiceRolePolicy— Amazon Shield 策略的新权限

添加了检索 Amazon WAF 区域和 Amazon WAF 全球资源标签的新权限。添加了使用资源 ARN 检索网页 ACL 的 Amazon WAF 区域权限。添加了权限以支持 Shield 自动应用程序层 DDoS 缓解功能。

 2022 年 1 月 7 日

FMSServiceRolePolicy— Amazon Shield 策略的新权限

添加了新权限,以检索 Elastic Load Balancing 资源的标签。

 2021 年 11 月 18 日

FMSServiceRolePolicy— 安全组和 Amazon Network Firewall 策略的新权限

添加了新的权限以启用 Amazon Network Firewall 策略的集中日志记录。此外,还添加了只读 Amazon EC2 权限,以支持对 Config 服务的更改,这些更改会影响 Amazon Firewall Manager 查询资源以获取安全组策略的方式。

 2021 年 9 月 29 日

FMSServiceRolePolicy— 资源的 ARN 格式 Amazon WAF

更新了 FMSServiceRolePolicy,以实现 Amazon WAF 资源 ARN 格式的标准化。更新后的 ARN 格式为 arn:aws:waf:*:*:*arn:aws:waf-regional:*:*:*

 2021 年 8 月 12 日

FMSServiceRolePolicy – 中国的其他地区

Amazon Firewall Manager 已FMSServiceRolePolicy为中国的 BJS 和 ZHY 区域启用。

 2021 年 8 月 12 日

FMSServiceRolePolicy – 对现有策略的更新

添加了允许 Amazon Firewall Manager 管理 Amazon Route 53 Resolver DNS 防火墙的新权限。

此更改允许 Firewall Manager 配置 Amazon Route 53 Resolver DNS 防火墙关联。这允许您在 Amazon Organizations中使用 Firewall Manager 为整个组织中的 VPC 提供 DNS 防火墙保护。

 2021 年 3 月 17 日

Firewall Manager 已开启跟踪更改

Firewall Manager 开始跟踪其 Amazon 托管策略的更改。

 2021 年 3 月 2 日