本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
步骤 2:创建并应用 Shield Advanced 策略
完成先决条件后,您可以创建 Amazon Firewall Manager Shield Advanced 策略。Firewall Manager Shield Advanced 策略包含您要使用 Shield Advanced 保护的账户和资源。
重要
Firewall Manager 不支持 Amazon Route 53 或 Amazon Global Accelerator。如果您需要使用 Shield Advanced 保护这些资源,则不能使用 Firewall Manager 策略。而是应按照向 Amazon 资源添加 Amazon Shield Advanced 保护中的说明操作。
创建 Firewall Manager Shield Advanced 策略(控制台)
-
Amazon Web Services Management Console 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为https://console.amazonaws.cn/wafv2/fmsv2
。有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件。 注意
有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager 先决条件。
-
在导航窗格中,选择 安全策略。
-
选择 创建策略。
-
对于策略类型,选择 Shield Advanced。
要创建 Shield Advanced 策略,您的 Firewall Manager 必须订阅 Shield Advanced。如果您尚未订阅,则会提示您订阅。有关订阅成本的更多信息,请参阅 Amazon Shield Advanced 定价
。 注意
您无需为每个会员账户手动订阅 Shield Advanced。Firewall Manager 在创建策略时会为您执行此操作。每个账户都必须继续订阅 Firewall Manager 和 Shield Advanced,才能继续保护账户中的资源。
-
对于区域,选择一个 Amazon Web Services 区域。要保护 Amazon CloudFront 资源,请选择 “全球”。
要保护多个区域中的资源( CloudFront 资源除外),必须为每个区域创建单独的 Firewall Manager 策略。
-
选择下一步。
-
对于名称,请键入策略的描述性名称。
-
(仅全局区域)仅对于全局区域策略,您可以选择是否要管理 Shield Advanced 应用程序层 DDoS 自动缓解。在本教程中,将此选项保留为默认设置忽略。
-
对于策略操作,请选择不会自动修复的选项。
-
选择下一步。
-
Amazon Web Services 账户 本政策适用于允许您通过指定要包含或排除的账户来缩小策略的范围。对于本教程,选择 包括我的组织下的所有账户。
-
选择要保护的资源的类型。
Firewall Manager 不支持 Amazon Route 53 或 Amazon Global Accelerator。如果您需要使用 Shield Advanced 保护这些资源,则不能使用 Firewall Manager 策略。否则,请按照 向 Amazon 资源添加 Amazon Shield Advanced 保护 提供的 Shield Advanced 的指导进行操作。
-
如果您只想保护带特定标签的资源,或者排除带特定标签的资源,请选择使用标签来包含/排除资源,输入用逗号分隔的标签,然后选择包含或排除。您只能选择一个选项。
如果您输入了多个标签,并且某个资源带有任一这些标签,则会将该资源视为匹配项。
有关标签的更多信息,请参阅使用标签编辑器。
-
选择下一步。
-
对于策略标签,请添加要用于 Firewall Manager 策略的任何标识标签。有关标签的更多信息,请参阅使用标签编辑器。
-
选择下一步。
-
查看新策略。要进行任何更改,请选择 上一步。若您满意所创建的策略,请选择 创建策略。
继续步骤 3:(可选)向 Shield Response Team (SRT) 授权。