第 3 步：创建并应用Amazon Firewall Manager通用安全组策略

创建 Firewall Manager 通用安全组策略（控制台）

1. 登录到Amazon Web Services Management Console使用 Firewall Manager 管理员账户，然后通过以下网址打开 Firewall Manager 控制台：https://console.amazonaws.cn/wafv2/fmsv2.

   注意

   有关设置 Firewall Manager 管理员账户的信息，请参阅Amazon Firewall Manager先决条件。

2. 在导航窗格中，选择 Security policies (安全策略)。

3. 如果您未满足先决条件，控制台会显示有关如何解决任何问题的说明。按照说明操作，然后返回此步骤以创建通用安全组策略。

4. 选择 Create policy。

5. 对于 Policy type (策略类型)，选择 Security group (安全组)。

6. 对于 Security group policy type (安全组策略类型)，选择 Common security groups (通用安全组)。

7. 适用于区域中，选择Amazon Web Services 区域.

8. 选择 Next (下一步)。

9. 适用于策略名称下，输入一个描述性名称。

10. Policy rules (策略规则) 选项允许您选择如何应用和维护此策略中的安全组。在本教程中，请将选项保持取消选中状态。

11. 选择 Add primary security group (添加主安全组)，选择您为本教程创建的安全组，然后选择 Add security group (添加安全组)。

12. 对于 Policy action (策略操作)，请选择 Identify resources that don’t comply with the policy rules, but don’t auto remediate (确定不符合策略规则的资源，但不自动修复)。

13. 选择 Next (下一步)。

14. Amazon Web Services 账户受此政策影响允许您通过指定要包括或排除的账户，缩小策略的范围。对于本教程，选择 Include all accounts under my organization (包括我的组织下的所有账户)。

15. 对于 Resource type (资源类型)，根据为您的 Amazon 组织定义的资源，选择一个或多个类型。

16. Resources (资源) 允许您通过指定要包含还是排除的资源标签，缩小策略的范围。要使用标签，您需要先标记资源。有关标记资源的更多信息，请参阅使用标签编辑器。对于本教程，选择 Include all resources that match the selected resource type (包括与所选资源类型匹配的所有资源)。

17. 选择 Next (下一步)。

18. 查看您的策略设置。进行检查以确保 Policy actions (策略操作) 设置为 Identify resources that don’t comply with the policy rules, but don’t auto remediate (确定不符合策略规则的资源，但不自动修复)。这使您可以检查策略所要进行的更改，但此时不进行更改。

19. 选择 Create policy。

    在Amazon Firewall Manager策略窗格下，应当列出您的策略。它可能会在账户标题下指示 Pending (待处理)，并支持禁用 Automatic remediation (自动修复)。策略的创建可能需要几分钟的时间。当 Pending (待处理) 状态替换为账户计数时，您可以选择策略名称来探索账户和资源的合规状态。想要了解有关信息，请参阅 查看符合性信息Amazon Firewall Manager策略

20. 在探索完成后，如果您不希望保留为本教程创建的策略，请依次选择策略名称、Delete (删除)、Clean up resources created by this policy (清除此策略创建的资源)，最后选择 Delete (删除)。