本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
步骤 3:创建和应用通用安全组策略
完成先决条件后,您可以创建 Amazon Firewall Manager 通用的安全组策略。通用安全组策略为您的整个 Amazon 组织提供集中控制的安全组。它还定义了安全组适用的 Amazon Web Services 账户 和资源。除了通用安全组策略之外,Firewall Manager 还支持内容审核安全组策略(用于管理组织中正在使用的安全组规则),以及使用情况审核安全组策略(用于管理未使用和多余的安全组)。有关更多信息,请参阅 安全组策略。
对于本教程,您将创建通用安全组策略并将其操作设置为不自动修复。这使您能够在不对 Amazon 组织进行更改的情况下查看该政策会产生什么影响。
创建 Firewall Manager 通用安全组策略(控制台)
-
Amazon Web Services Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.amazonaws.cn/wafv2/fmsv2
。有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件。 注意
有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件。
-
在导航窗格中,选择 安全策略。
-
如果您未满足先决条件,控制台会显示有关如何解决任何问题的说明。按照说明操作,然后返回此步骤以创建通用安全组策略。
-
选择 创建策略。
-
对于 策略类型,选择 安全组。
-
对于 安全组策略类型,选择 通用安全组。
-
对于区域,选择一个 Amazon Web Services 区域。
-
选择下一步。
-
对于策略名称,请键入策略的描述性名称。
-
策略规则 选项允许您选择如何应用和维护此策略中的安全组。在本教程中,不要选中这些选项。
-
选择 添加主安全组,选择您为本教程创建的安全组,然后选择 添加安全组。
-
对于 策略操作,请选择 确定不符合策略规则的资源,但不自动修复。
-
选择下一步。
-
Amazon Web Services 账户 受此政策影响允许您通过指定要包含或排除的账户来缩小策略的范围。对于本教程,选择 包括我的组织下的所有账户。
-
对于资源类型,根据您为 Amazon 组织定义的资源选择一个或多个类型。
-
对于资源,您可以使用标记来缩小策略的范围,方法是包括或排除带有您指定标签的资源。您可以使用 “包含” 或 “排除”,但不能两者兼而有之。有关标签的更多信息,请参阅使用标签编辑器。
如果输入多个标签,则资源必须具有要包括或排除的所有标签。
资源标签只能有非空值。如果省略标签的值,Firewall Manager 会使用空字符串值保存标记:“”。资源标签仅与具有相同密钥和相同值的标签匹配。
-
选择下一步。
-
对于策略标记,添加要添加到 Firewall Manager 策略资源的所有标识标记。有关标签的更多信息,请参阅使用标签编辑器。
-
选择下一步。
-
查看新的政策设置,然后返回需要进行任何调整的页面。
进行检查以确保 策略操作 设置为 确定不符合策略规则的资源,但不自动修复。这样,您就可以在启用策略之前查看策略将要进行的更改。
-
若您满意所创建的策略,请选择 创建策略。
Amazon Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下显示 “待处理”,并指示 “自动修复” 设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅。查看 Amazon Firewall Manager 策略的合规性信息
-
在探索完成后,如果您不希望保留为本教程创建的策略,请依次选择策略名称、删除、清除此策略创建的资源,最后选择 删除。
有关 Firewall Manager 安全组策略的更多信息,请参阅 安全组策略。