本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
步骤 3:创建和应用通用安全组策略
完成先决条件后,您可以创建 Amazon Firewall Manager 通用的安全组策略。通用安全组策略为您的整个 Amazon 组织提供集中控制的安全组。它还定义了安全组适用的 Amazon Web Services 账户 和资源。除了通用安全组策略之外,Firewall Manager 还支持内容审核安全组策略(用于管理组织中正在使用的安全组规则),以及使用情况审核安全组策略(用于管理未使用和多余的安全组)。有关更多信息,请参阅 安全组策略。
对于本教程,您将创建通用安全组策略并将其操作设置为不自动修复。这使您能够在不对 Amazon 组织进行更改的情况下查看该政策会产生什么影响。
创建 Firewall Manager 通用安全组策略(控制台)
-
Amazon Web Services Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.amazonaws.cn/wafv2/fmsv2
。有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件。 注意
有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件。
-
在导航窗格中,选择 安全策略。
-
如果您未满足先决条件,控制台会显示有关如何解决任何问题的说明。按照说明操作,然后返回此步骤以创建通用安全组策略。
-
选择 创建策略。
-
对于 策略类型,选择 安全组。
-
对于 安全组策略类型,选择 通用安全组。
-
对于区域,选择一个 Amazon Web Services 区域。
-
选择下一步。
-
对于策略名称,请键入策略的描述性名称。
-
策略规则 选项允许您选择如何应用和维护此策略中的安全组。在本教程中,不要选中这些选项。
-
选择 添加主安全组,选择您为本教程创建的安全组,然后选择 添加安全组。
-
对于 策略操作,请选择 确定不符合策略规则的资源,但不自动修复。
-
选择下一步。
-
Amazon Web Services 账户 受此政策影响允许您通过指定要包含或排除的账户来缩小策略的范围。对于本教程,选择 包括我的组织下的所有账户。
-
对于资源类型,根据您为 Amazon 组织定义的资源选择一个或多个类型。
-
资源 允许您通过指定要包含还是排除的资源标签,缩小策略的范围。要使用标签,您需要先标记资源。有关标记资源的更多信息,请参阅使用标签编辑器。对于本教程,选择 包括与所选资源类型匹配的所有资源。
-
选择下一步。
-
查看您的策略设置。进行检查以确保 策略操作 设置为 确定不符合策略规则的资源,但不自动修复。这使您可以检查策略所要进行的更改,但此时不进行更改。
-
选择 创建策略。
Amazon Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下指示 待处理,并支持禁用 自动修复。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 Amazon Firewall Manager 策略的合规性信息
-
在探索完成后,如果您不希望保留为本教程创建的策略,请依次选择策略名称、删除、清除此策略创建的资源,最后选择 删除。
有关 Firewall Manager 安全组策略的更多信息,请参阅 安全组策略。