本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
第 3 步:创建并应用Amazon Firewall Manager通用安全组策略
满足先决条件后,您将创建 Amazon Firewall Manager 通用安全组策略。通用安全组策略为您的整个 Amazon 组织提供集中控制的安全组。它还定义了Amazon Web Services 账户和应用安全组的资源。除了通用安全组策略之外,Firewall Manager 还支持内容审计安全组策略(用于管理组织中正在使用的安全组规则),以及使用情况审计安全组策略(用于管理未使用和多余的安全组)。有关更多信息,请参阅安全组策略。
对于本教程,您将创建通用安全组策略并将其操作设置为不自动修复。这使您可以查看策略将产生的效果而不对 Amazon 组织进行更改。
创建 Firewall Manager 通用安全组策略(控制台)
-
登录到Amazon Web Services Management Console使用 Firewall Manager 管理员账户,然后通过以下网址打开 Firewall Manager 控制台:https://console.amazonaws.cn/wafv2/fmsv2
. 注意 有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件。
-
在导航窗格中,选择 Security policies (安全策略)。
-
如果您未满足先决条件,控制台会显示有关如何解决任何问题的说明。按照说明操作,然后返回此步骤以创建通用安全组策略。
-
选择 Create policy。
-
对于 Policy type (策略类型),选择 Security group (安全组)。
-
对于 Security group policy type (安全组策略类型),选择 Common security groups (通用安全组)。
-
适用于区域中,选择Amazon Web Services 区域.
-
选择 Next (下一步)。
-
适用于策略名称下,输入一个描述性名称。
-
Policy rules (策略规则) 选项允许您选择如何应用和维护此策略中的安全组。在本教程中,请将选项保持取消选中状态。
-
选择 Add primary security group (添加主安全组),选择您为本教程创建的安全组,然后选择 Add security group (添加安全组)。
-
对于 Policy action (策略操作),请选择 Identify resources that don’t comply with the policy rules, but don’t auto remediate (确定不符合策略规则的资源,但不自动修复)。
-
选择 Next (下一步)。
-
Amazon Web Services 账户受此政策影响允许您通过指定要包括或排除的账户,缩小策略的范围。对于本教程,选择 Include all accounts under my organization (包括我的组织下的所有账户)。
-
对于 Resource type (资源类型),根据为您的 Amazon 组织定义的资源,选择一个或多个类型。
-
Resources (资源) 允许您通过指定要包含还是排除的资源标签,缩小策略的范围。要使用标签,您需要先标记资源。有关标记资源的更多信息,请参阅使用标签编辑器。对于本教程,选择 Include all resources that match the selected resource type (包括与所选资源类型匹配的所有资源)。
-
选择 Next (下一步)。
-
查看您的策略设置。进行检查以确保 Policy actions (策略操作) 设置为 Identify resources that don’t comply with the policy rules, but don’t auto remediate (确定不符合策略规则的资源,但不自动修复)。这使您可以检查策略所要进行的更改,但此时不进行更改。
-
选择 Create policy。
在Amazon Firewall Manager策略窗格下,应当列出您的策略。它可能会在账户标题下指示 Pending (待处理),并支持禁用 Automatic remediation (自动修复)。策略的创建可能需要几分钟的时间。当 Pending (待处理) 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。想要了解有关信息,请参阅 查看符合性信息Amazon Firewall Manager策略
-
在探索完成后,如果您不希望保留为本教程创建的策略,请依次选择策略名称、Delete (删除)、Clean up resources created by this policy (清除此策略创建的资源),最后选择 Delete (删除)。
有关 Firewall Manager 安全组策略的更多信息,请参阅安全组策略.