设置 Amazon Firewall Manager Amazon VPC 安全组策略 - Amazon WAF、 Amazon Firewall ManagerAmazon Shield Advanced、和 Amazon Shield 网络安全总监
步骤 1:完成先决条件步骤 2:创建在您策略中使用的安全组步骤 3:创建和应用通用安全组策略
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

引入全新的主机体验 Amazon WAF

现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的主机体验

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置 Amazon Firewall Manager Amazon VPC 安全组策略

Amazon Firewall Manager 要使用在您的组织中启用 Amazon VPC 安全组,请按顺序执行以下步骤。

步骤 1:完成先决条件

为 Amazon Firewall Manager准备您的账户有几个必要步骤。Amazon Firewall Manager 先决条件中介绍了这些步骤。在继续执行步骤 2:创建在您策略中使用的安全组之前,请完成所有先决条件。

步骤 2:创建在您策略中使用的安全组

在此步骤中,您将创建一个安全组,您可以使用 Firewall Manager 在组织中应用该安全组。

注意

在本教程中,您不将安全组策略应用到组织中的资源。您仅仅创建策略,并查看将策略的安全组应用到资源时会发生什么情况。您可以通过在策略上禁用自动修复来执行此操作。

如果您已经定义了通用安全组,请跳过此步骤并转到步骤 3:创建和应用通用安全组策略

创建在 Firewall Manager 通用安全组策略中使用的安全组

您现在已准备好转到步骤 3:创建和应用通用安全组策略

步骤 3:创建和应用通用安全组策略

完成先决条件后,您可以创建 Amazon Firewall Manager 通用的安全组策略。通用安全组策略为您的整个 Amazon 组织提供集中控制的安全组。它还定义了安全组适用的 Amazon Web Services 账户 和资源。除了通用安全组策略之外,Firewall Manager 还支持内容审核安全组策略(用于管理组织中正在使用的安全组规则),以及使用情况审核安全组策略(用于管理未使用和多余的安全组)。有关更多信息,请参阅 在 Firewall Manager 中使用安全组策略管理 Amazon VPC 安全组

对于本教程,您将创建通用安全组策略并将其操作设置为不自动修复。这使您能够在不对 Amazon 组织进行更改的情况下查看该政策会产生什么影响。

创建 Firewall Manager 通用安全组策略(控制台)

  1. Amazon Web Services Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.amazonaws.cn/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件

  2. 在导航窗格中,选择 安全策略

  3. 如果您未满足先决条件,控制台会显示有关如何解决任何问题的说明。按照说明操作,然后返回此步骤以创建通用安全组策略。

  4. 选择创建策略

  5. 对于 策略类型,选择 安全组

  6. 对于 安全组策略类型,选择 通用安全组

  7. 对于区域,选择一个 Amazon Web Services 区域。

  8. 选择下一步

  9. 对于策略名称,请键入策略的描述性名称。

  10. 策略规则 选项允许您选择如何应用和维护此策略中的安全组。在本教程中,不要选中这些选项。

  11. 选择 添加主安全组,选择您为本教程创建的安全组,然后选择 添加安全组

  12. 对于 策略操作,请选择 确定不符合策略规则的资源,但不自动修复

  13. 选择下一步

  14. Amazon Web Services 账户 受此政策影响允许您通过指定要包含或排除的账户来缩小策略的范围。对于本教程,选择 包括我的组织下的所有账户

  15. 对于资源类型,根据您为 Amazon 组织定义的资源选择一个或多个类型。

  16. 对于资源,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关用于定义策略范围的标签的更多信息,请参阅使用 Amazon Firewall Manager 策略范围

    资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。

  17. 选择下一步

  18. 对于策略标签,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅使用标签编辑器

  19. 选择下一步

  20. 查看新的政策设置,然后返回需要进行任何调整的页面。

    进行检查以确保 策略操作 设置为 确定不符合策略规则的资源,但不自动修复。这样,您就可以在启用更改之前查看策略要做出的更改。

  21. 若您满意所创建的策略,请选择 创建策略

    Amazon Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下指示待处理,并指示自动修复设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 Amazon Firewall Manager 策略的合规性信息

  22. 在探索完成后,如果您不希望保留为本教程创建的策略,请依次选择策略名称、删除清除此策略创建的资源,最后选择 删除

有关 Firewall Manager 安全组策略的更多信息,请参阅 在 Firewall Manager 中使用安全组策略管理 Amazon VPC 安全组