**引入全新的主机体验 Amazon WAF**
现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 设置 Amazon Firewall Manager Amazon VPC 安全组策略
Amazon Firewall Manager 要使用在您的组织中启用 Amazon VPC 安全组,请按顺序执行以下步骤。
**Topics**
+ [步骤 1:完成先决条件](#complete-prereq-security-group)
+ [步骤 2:创建在您策略中使用的安全组](#get-started-fms-create-security-groups)
+ [步骤 3:创建和应用通用安全组策略](#get-started-fms-sg-create-security-policy)
## 步骤 1:完成先决条件
为 Amazon Firewall Manager准备您的账户有几个必要步骤。[Amazon Firewall Manager 先决条件](fms-prereq.md) 中介绍了这些步骤。在继续执行 [步骤 2:创建在您策略中使用的安全组](#get-started-fms-create-security-groups) 之前,请完成所有先决条件。
## 步骤 2:创建在您策略中使用的安全组
在此步骤中,您将创建一个安全组,您可以使用 Firewall Manager 在组织中应用该安全组。
**注意**
在本教程中,您不将安全组策略应用到组织中的资源。您仅仅创建策略,并查看将策略的安全组应用到资源时会发生什么情况。您可以通过在策略上禁用自动修复来执行此操作。
如果您已经定义了通用安全组,请跳过此步骤并转到[步骤 3:创建和应用通用安全组策略](#get-started-fms-sg-create-security-policy)。
**创建在 Firewall Manager 通用安全组策略中使用的安全组**
+ 按照 [Amazon VPC 用户指南](https://docs.amazonaws.cn/vpc/latest/userguide/)中[您的 VPC 安全组](https://docs.amazonaws.cn/vpc/latest/userguide/VPC_SecurityGroups.html)下的指导,创建一个可以应用于组织中所有账户和资源的安全组。
有关安全组规则选项的信息,请参阅[安全组规则参考](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/security-group-rules-reference.html)。
您现在已准备好转到 [步骤 3:创建和应用通用安全组策略](#get-started-fms-sg-create-security-policy)。
## 步骤 3:创建和应用通用安全组策略
完成先决条件后,您可以创建 Amazon Firewall Manager 通用的安全组策略。通用安全组策略为您的整个 Amazon 组织提供集中控制的安全组。它还定义了安全组适用的 Amazon Web Services 账户 和资源。除了通用安全组策略之外,Firewall Manager 还支持内容审核安全组策略(用于管理组织中正在使用的安全组规则),以及使用情况审核安全组策略(用于管理未使用和多余的安全组)。有关更多信息,请参阅 [在 Firewall Manager 中使用安全组策略管理 Amazon VPC 安全组](security-group-policies.md)。
对于本教程,您将创建通用安全组策略并将其操作设置为不自动修复。这使您能够在不对 Amazon 组织进行更改的情况下查看该政策会产生什么影响。
**创建 Firewall Manager 通用安全组策略(控制台)**
1. Amazon Web Services 管理控制台 使用您的 Firewall Manager 管理员帐户登录,然后打开防火墙管理器控制台,网址为[https://console.amazonaws.cn/wafv2/fmsv2](https://console.amazonaws.cn/wafv2/fmsv2)。有关设置 Firewall Manager 管理员账户的信息,请参阅 [Amazon Firewall Manager 先决条件](fms-prereq.md)。
**注意**
有关设置 Firewall Manager 管理员账户的信息,请参阅 [Amazon Firewall Manager 先决条件](fms-prereq.md)。
1. 在导航窗格中,选择**安全策略**。
1. 如果您未满足先决条件,控制台会显示有关如何解决任何问题的说明。按照说明操作,然后返回此步骤以创建通用安全组策略。
1. 选择**创建策略**。
1. 对于 **策略类型**,选择 **安全组**。
1. 对于 **安全组策略类型**,选择 **通用安全组**。
1. 在 “**区域**” 中,选择一个 Amazon Web Services 区域。
1. 选择**下一步**。
1. 对于**策略名称**,请键入策略的描述性名称。
1. **策略规则** 选项允许您选择如何应用和维护此策略中的安全组。在本教程中,不要选中这些选项。
1. 选择 **添加主安全组**,选择您为本教程创建的安全组,然后选择 **添加安全组**。
1. 对于 **策略操作**,请选择 **确定不符合策略规则的资源,但不自动修复**。
1. 选择**下一步**。
1. **Amazon Web Services 账户 受此政策**影响允许您通过指定要包含或排除的账户来缩小策略的范围。对于本教程,选择 **包括我的组织下的所有账户**。
1. 对于**资源类型**,根据您为 Amazon 组织定义的资源选择一个或多个类型。
1. 对于**资源**,可以使用标签来缩小策略的范围,您可以包括或排除带有所指定标签的资源。您可以使用“包含”或“排除”,但两者不能同时使用。有关定义策略范围的标签的更多信息,请参阅 [使用 Amazon Firewall Manager 策略范围](policy-scope.md)。
资源标签只能有非空值。如果忽略标签的值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。
1. 选择**下一步**。
1. 对于**策略标签**,请添加要添加至 Firewall Manager 策略资源的任何标识标签。有关标签的更多信息,请参阅[使用标签编辑器](https://docs.amazonaws.cn/awsconsolehelpdocs/latest/gsg/tag-editor.html)。
1. 选择**下一步**。
1. 查看新的政策设置,然后返回需要进行任何调整的页面。
进行检查以确保**策略操作**设置为**确定不符合策略规则的资源,但不自动修复**。这样,您就可以在启用更改之前查看策略要做出的更改。
1. 若您满意所创建的策略,请选择**创建策略**。
**Amazon Firewall Manager 策略**窗格下应列出您的策略。它可能会在账户标题下指示**待处理**,并指示**自动修复**设置的状态。策略的创建可能需要几分钟的时间。当 **待处理** 状态替换为账户计数时,您可以选择策略名称来探索账户和资源的合规状态。有关信息,请参阅 [查看 Amazon Firewall Manager 策略的合规性信息](fms-compliance.md)
1. 在探索完成后,如果您不希望保留为本教程创建的策略,请依次选择策略名称、**删除**、**清除此策略创建的资源**,最后选择 **删除**。
有关 Firewall Manager 安全组策略的更多信息,请参阅 [在 Firewall Manager 中使用安全组策略管理 Amazon VPC 安全组](security-group-policies.md)。