教程:使用分层规则创建 Amazon Firewall Manager 策略 - Amazon WAF、 Amazon Firewall ManagerAmazon Shield Advanced、和 Amazon Shield 网络安全总监
步骤 1:指定 Firewall Manager 管理员账户步骤 2:使用 Firewall Manager 管理员账户创建规则组步骤 3:创建 Firewall Manager 策略并附加通用规则组步骤 4:添加特定于账户的规则结论
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

引入全新的主机体验 Amazon WAF

现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的主机体验

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

教程:使用分层规则创建 Amazon Firewall Manager 策略

警告

Amazon WAF Classic 正在按计划 end-of-life进行。有关您所在地区的里程碑和日期,请参阅您的 Amazon Health 控制面板。

注意

这是 Amazon WAF Classic 文档。只有在 2019 年 11 月 Amazon WAF 之前创建了诸如规则和 Web ACLs 之类的 Amazon WAF 资源,并且尚未将其迁移到最新版本时,才应使用此版本。要迁移您的网站 ACLs,请参阅将您的 Amazon WAF 经典资源迁移到 Amazon WAF

有关的最新版本 Amazon WAF,请参阅Amazon WAF

使用 Amazon Firewall Manager,您可以创建和应用包含分层规则的 Amazon WAF 经典保护策略。也就是说,您可以集中创建和实施某些规则,但将特定于账户的规则的创建和维护委派给其他人。您可以监控集中应用(常见)的规则,以防止意外删除或误操作,从而确保一致地应用它们。特定于账户的规则可根据各个团队的需求添加进一步的保护。

注意

在的最新版本中 Amazon WAF,此功能是内置的,不需要任何特殊处理。如果您尚未使用 Amazon WAF Classic,请改用最新版本。请参阅为创建 Amazon Firewall Manager 策略 Amazon WAF

以下教程介绍如何创建一组分层的保护规则。

步骤 1:指定 Firewall Manager 管理员账户

要使用 Amazon Firewall Manager,您必须将组织中的一个帐户指定为 Firewall Manager 管理员帐户。该账户可以是管理账户,也可以是该组织中的成员账户。

您可以使用 Firewall Manager 管理员账户来创建一组通用规则,以便应用于组织中的其他账户。组织中的其他账户无法更改这些集中应用的规则。

要将账户指定为 Firewall Manager 管理员账户并完成使用 Firewall Manager 的其他先决条件,请参阅 Amazon Firewall Manager 先决条件 中的说明。如果您已经完成了先决条件,则可以跳到本教程的步骤 2。

在本教程中,我们将管理员账户称为 Firewall-Administrator-Account

步骤 2:使用 Firewall Manager 管理员账户创建规则组

接下来,使用 Firewall-Administrator-Account 创建规则组。此规则组包含您将应用于由您在下一步中创建的策略控制的所有成员账户的通用规则。仅 Firewall-Administrator-Account 可以对这些规则和容器规则组进行更改。

在本教程中,我们将此容器规则组称为 Common-Rule-Group

要创建规则组,请参阅创建 Amazon WAF 经典规则组中的说明。请记得在遵循这些说明时使用您的 Firewall Manager 管理员账户 (Firewall-Administrator-Account) 登录控制台。

步骤 3:创建 Firewall Manager 策略并附加通用规则组

使用 Firewall-Administrator-Account,创建 Firewall Manager 策略 在创建此策略时,您必须执行以下操作:

  • Common-Rule-Group 添加到新策略。

  • 在组织中包含您希望 Common-Rule-Group 应用到的所有账户。

  • 添加您希望 Common-Rule-Group 应用到的所有资源。

有关创建策略的说明,请参阅创建 Amazon Firewall Manager 策略

这会在每个指定的账户中创建一个 Web ACL,并Common-Rule-Group向每个账户添加一个 Web ACL ACLs。创建策略后,此 Web ACL 和通用规则将部署到所有指定的账户。

在本教程中,我们将此 Web ACL 称为 Administrator-Created-ACL。现在,组织的每个指定成员账户中都存在唯一的 Administrator-Created-ACL

步骤 4:添加特定于账户的规则

组织中的每个成员账户现在都可以将自己的特定于账户的规则添加到其账户中存在的 Administrator-Created-ACL。已有的通用规则以及针对账户的新规则Administrator-Created-ACL继续适用。 Amazon WAF 根据规则在 Web ACL 中出现的顺序检查 Web 请求。这适用于 Administrator-Created-ACL 和特定于账户的规则。

要向 Administrator-Created-ACL 中添加规则,请参阅 在中编辑保护包或 Web ACL Amazon WAF

结论

您现在拥有一个 Web ACL,其中包含由 Firewall Manager 管理员账户管理的通用规则以及每个成员账户维护的特定于账户的规则。

每个账户中的 Administrator-Created-ACL 都引用单个 Common-Rule-Group。因此,Firewall Manager 管理员账户在未来对 Common-Rule-Group 进行的更改将立即在每个成员账户中生效。

成员账户无法更改或删除 Common-Rule-Group 中的通用规则。

特定于账户的规则不影响其他账户。