**引入全新的主机体验 Amazon WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 启用 Amazon Shield 网络安全控制器
<a name="nsd-enablement"></a>

**注意**  
Amazon Shield 网络安全控制器处于公开预览版中，可能会发生变化。

Amazon Shield 通过 Organizations 为 Amazon 帐户启用了网络安全 Amazon 控制器。本文档的这一部分描述了为 Amazon 组织启用 Amazon Shield 网络安全控制器所需的所有步骤。

本节包括两个步骤，这两个步骤都是完成网络安全控制器设置所必需的：

1.  Amazon 组织管理帐户启用 Amazon Shield 网络安全主管，为组织指定委派管理员，并创建相应的委派管理员策略。

1. 组织的授权管理员创建一项策略，该策略允许用户选择的区域和组织中的目标成员账户使用 Amazon Shield 网络安全主管。

## 启用 Amazon Shield 网络安全控制器并委派服务管理员
<a name="nsd-enablement-step-one"></a>

在为 Amazon Shield 网络安全控制器分配委派管理员帐户时，如果已经为其他安全服务（例如 Security **Hub**）配置了现有委派管理员，则 Amazon Shield 网络 Amazon 安全总监将推荐一个现有的委派管理员。Amazon 如果不存在委托管理员，系统将提示您从组织中选择成员帐户。组织的管理账号不能被指定为委派管理员。

**为 Amazon Shield 网络安全主管指定管理员**

1. 使用您的 Amazon 组织管理 Amazon 帐户凭据登录您的帐户，然后打开 Amazon Shield 网络安全控制器控制台，网址为 [https://console.aws.amazon.com/wafv2/network-security-director/](https://console.amazonaws.cn/wafv2/network-security-director/)。

1. 在网络安全分析器主页上，选择**开始**。

1. 对于**委派管理员帐户**，请根据提供的选项选择管理员帐户。最佳做法是，建议对所有安全服务使用相同的委派管理员以实现一致的管理。

1. 对于**委派管理员策略**，请选择以下选项之一来添加策略声明：

   1. （选项 1）选择**为我更新此项**。选中策略声明下方的复选框以确认 Amazon Shield 网络安全总监将自动创建授权策略，向委派的管理员授予所有必需的权限。

   1. （选项 2）选择**我想手动附加此项**。选择**复制并附加**。在 Amazon Organization **s 控制台的 “ Amazon 组织委托管理员**” 下，选择 “**委托**”，然后将资源策略粘贴到委托策略编辑器中，然后选择 “**创建策略**”。在 Amazon Shield 网络安全控制器控制台中打开您所在的选项卡。

1. 选择 “**完成开始使用**”。

在此步骤结束时，将完成以下操作：
+ 支持 Amazon Shield 网络安全控制器的@@ [可信访问](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_integrate_services.html)。这将允许网络安全主管在策略范围内的成员账户中创建与服务相关的角色。
+ **AWSServiceRoleForNetworkSecurityDirector**为组织的管理账户创建服务相关角色。
+ 注册 Amazon Shield 网络安全总监的委派管理员。
+ 更新资源策略，允许 Amazon Shield 网络安全主管的委托管理员向 Organizations 拨打必要的 Amazon 电话 APIs。

设置完成后，您将被重定向到 **“设置”** 页面，您可以在其中更新或删除委派的管理员、管理委托策略以及禁用网络安全控制器即服务。要将来使用组织的管理帐户访问此设置页面，请导航到网络安全控制器控制台并选择**管理设置**。

## 为具有委派管理员的成员账户启用 Amazon Shield 网络安全控制器
<a name="nsd-enablement-step-two"></a>

此步骤必须由授权的管理员完成。 Amazon 组织的管理账户指定委派管理员后，该管理员必须创建一个策略，授予在组织内启用区域的权限。所有配置的策略都可以在 Amazon Shield 网络安全控制器控制台的 “**区域和账户策略**” 部分中找到。以下步骤概述了如何创建此政策。

**创建并附加为目标账户启用区域的策略**

1. 使用您的委派管理员凭据登录您的 Amazon 帐户，然后打开 Amazon Shield 网络安全控制器控制台，网址为 [https://console.aws.amazon.com/wafv2/network-security-director/](https://console.amazonaws.cn/wafv2/network-security-director/)。

1. 在 Amazon Shield 网络安全控制器主页上，选择**启用**。

1. 在**详细信息**中，输入策略的名称和可选描述。

1. 对于**账户选择**中，请选择以下选项之一。如果要将该策略应用于所有组织单元和账户，请选择**所有组织单元和账户**。如果要将该策略应用于特定组织单元和账户，请选择**特定组织单元和账户**。使用搜索栏或组织结构树来指定将应用该政策的组织单位和帐户。

1. 对于**区域**，选择要为此策略启用或禁用的区域。[性能注意事项](troubleshooting.md#performance-considerations)在完成选择之前，请参阅。

1. 查看您的更改，然后选择 “**启用网络安全控制器”**。

在此步骤结束时，将完成以下操作：
+ **AWSServiceRoleForNetworkSecurityDirector**为当前委派的管理员账户创建服务关联角色。
+ 创建策略，使 Amazon Shield 网络安全控制器能够在已启用的区域和连接的目标上运行扫描。
+ 重定向到 “**摘要” 控制面板**，您可以在其中查看组织范围的见解以及每个账户的资源级详细信息。

设置完成后，您将被重定向到 “**摘要” 控制面板**页面，您可以在其中查看组织范围的见解以及每个账户的资源级详细信息。要在将来使用委派的管理员帐户管理策略，请导航到网络安全控制器控制台并选择**管理设置**。