步骤 2：创建并应用 Shield Advanced 策略

创建 Firewall Manager Shield Advanced 策略（控制台）

1. Amazon Web Services Management Console 使用您的 Firewall Manager 管理员帐户登录，然后打开防火墙管理器控制台，网址为https://console.amazonaws.cn/wafv2/fmsv2。有关设置 Firewall Manager 管理员账户的信息，请参阅Amazon Firewall Manager 先决条件。

   注意

   有关设置 Firewall Manager 管理员账户的信息，请参阅Amazon Firewall Manager 先决条件。

2. 在导航窗格中，选择 安全策略。

3. 选择 创建策略。

4. 对于策略类型，选择 Shield Advanced。

   要创建 Shield Advanced 策略，您的 Firewall Manager 必须订阅 Shield Advanced。如果您尚未订阅，则会提示您订阅。有关订阅成本的更多信息，请参阅 Amazon Shield Advanced 定价。

   注意

   您无需为每个会员账户手动订阅 Shield Advanced。Firewall Manager 在创建策略时会为您执行此操作。每个账户都必须继续订阅 Firewall Manager 和 Shield Advanced，才能继续保护账户中的资源。

5. 对于区域，选择一个 Amazon Web Services 区域。要保护 Amazon CloudFront 资源，请选择 “全球”。

   要保护多个区域中的资源（ CloudFront 资源除外），必须为每个区域创建单独的 Firewall Manager 策略。

6. 选择下一步。

7. 对于名称，请键入策略的描述性名称。

8. （仅全局区域）仅对于全局区域策略，您可以选择是否要管理 Shield Advanced 应用程序层 DDoS 自动缓解。在本教程中，将此选项保留为默认设置忽略。

9. 对于策略操作，请选择不会自动修复的选项。

10. 选择下一步。

11. Amazon Web Services 账户 本政策适用于允许您通过指定要包含或排除的账户来缩小策略的范围。对于本教程，选择 包括我的组织下的所有账户。

12. 选择要保护的资源的类型。

    Firewall Manager 不支持 Amazon Route 53 或 Amazon Global Accelerator。如果您需要使用 Shield Advanced 保护这些资源，则不能使用 Firewall Manager 策略。否则，请按照 为 Amazon 资源添加 Amazon Shield Advanced 保护 提供的 Shield Advanced 的指导进行操作。

13. 对于资源，您可以使用标记来缩小策略的范围，方法是包括或排除带有您指定标签的资源。您可以使用 “包含” 或 “排除”，但不能两者兼而有之。有关标签的更多信息，请参阅使用标签编辑器。

    如果输入多个标签，则资源必须具有要包括或排除的所有标签。

    资源标签只能有非空值。如果省略标签的值，Firewall Manager 会使用空字符串值保存标记：“”。资源标签仅与具有相同密钥和相同值的标签匹配。

14. 选择下一步。

15. 对于策略标记，添加要添加到 Firewall Manager 策略资源的所有标识标记。有关标签的更多信息，请参阅使用标签编辑器。

16. 选择下一步。

17. 查看新的政策设置，然后返回需要进行任何调整的页面。

    进行检查以确保 策略操作 设置为 确定不符合策略规则的资源，但不自动修复。这样，您就可以在启用策略之前查看策略将要进行的更改。

18. 若您满意所创建的策略，请选择 创建策略。

    Amazon Firewall Manager 策略窗格下应列出您的策略。它可能会在账户标题下显示 “待处理”，并指示 “自动修复” 设置的状态。策略的创建可能需要几分钟的时间。当 待处理 状态替换为账户计数时，您可以选择策略名称来探索账户和资源的合规状态。有关信息，请参阅。查看 Amazon Firewall Manager 策略的合规性信息