第 2 步:创建并应用Amazon Firewall ManagerShield 高级策略 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

第 2 步:创建并应用Amazon Firewall ManagerShield 高级策略

完成先决条件后,您将创建一个Amazon Firewall ManagerShield 高级策略。Firewall Manager Shield 高级策略包含您要使用防护的账户和资源。

重要

Firewall Manager 不支持 Amazon Route 53 或Amazon Global Accelerator. 如果您需要使用 Firewall Manager 策略保护这些资源,则不能使用 Firewall Manager 策略。而是应按照向 Amazon 资源添加 Amazon Shield Advanced 保护中的说明操作。

创建 Firewall Manager Shield Advanced 策略 (控制台)

  1. 登录到Amazon Web Services Management Console使用 Firewall Manager 管理员账户,然后通过以下网址打开 Firewall Manager 控制台:https://console.amazonaws.cn/wafv2/fmsv2.

    注意

    有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件

  2. 在导航窗格中,选择 Security policies (安全策略)。

  3. 选择 Create policy

  4. 适用于策略类型中,选择Shield.

    要创建 Firewall ManShield 管理员账户,您的 Firewall Manager 管理员账户必须订阅 Firewall Manager 管理员账户。如果您尚未订阅,则会提示您订阅。有关更多信息,请参阅Amazon Shield 定价

    注意

    您无需手动让每个成员账户订阅 Firewall Advanced (Shield 高级)。Firewall Manager 作为创建策略的一部分为您执行此操作。

  5. 适用于区域中,选择Amazon Web Services 区域. 要保护 Amazon CloudFront 资源,请选择服务全球.

    若要保护多个区域中的资源(而不是 CloudFront 资源),您必须为每个区域创建单独的 Firewall Manager 策略。

  6. 选择 Next (下一步)

  7. 适用于名称下,输入一个描述性名称。

  8. Amazon Web Services 账户受此政策影响允许您通过指定要包括或排除的账户,缩小策略的范围。对于本教程,选择 Include all accounts under my organization (包括我的组织下的所有账户)

  9. 选择要保护的资源的类型。

    Firewall Manager 不支持 Amazon Route 53 或Amazon Global Accelerator. 如果您需要使用 Firewall Manager 策略保护这些资源,则不能使用 Firewall Manager 策略。而是应按照向 Amazon 资源添加 Amazon Shield Advanced 保护中的说明操作。

  10. 如果您只想保护带特定标签的资源,或者排除带特定标签的资源,请选择 Use tags to include/exclude resources (使用标签来包含/排除资源),输入标签,然后选择 Include (包含)Exclude (排除)。您只能选择一个选项。

    如果您输入了多个标签 (以逗号分隔),并且某个资源带有任一这些标签,则会将该资源视为匹配项。

    有关标签的更多信息,请参阅使用标签编辑器

  11. 选择 Create and apply this policy to existing and new resources (创建此策略并将其应用于现有资源和新资源)。

    此选项对组织内的每个适用账户应用 Shield 高级保护。Amazon Organizations,然后将该保护与账户中的指定资源关联。此选项还将策略应用于符合上述条件 (资源类型和标签) 的所有新资源。

    创建启用自动修正的 Shield 策略时,针对范围内尚未与Amazon WAFWeb ACL,Firewall Manager 将一个空Amazon WAF经典 web ACL (经典 ACL) 空 Web ACL 仅用于 Shield 监控目的。如果您随后将任何其他 Web ACL 与资源相关联,则 Firewall Manager 将删除空的 Web ACL 关联。

    注意

    Shield Advanced 最多可对每个账户保护 1,000 个资源。

    或者,如果您选择创建此策略但不将其应用于现有资源或新资源,则 Firewall Manager 不会对任何资源应用 “防 Shield 高级” 保护。您稍后必须将策略应用于资源。

  12. 选择 Next (下一步)

  13. 查看新策略。要进行任何更改,请选择 Previous (上一步)。若您满意所创建的策略,请选择 Create policy (创建策略)。

继续浏览第 3 步:(可选)授权 Shield 响应团队 (SRT)