**引入全新的主机体验 Amazon WAF**
现在,您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.amazonaws.cn/waf/latest/developerguide/working-with-console.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 将您的账户设置为使用 Amazon Shield 网络安全总监
**注意**
Amazon Shield 网络安全控制器处于公开预览版中,可能会发生变化。
Amazon Shield 网络安全主管要求 Amazon Organizations 管理组织中多个账户的安全。本主题介绍准备 Amazon 环境的初步步骤,包括设置 Organizations、指定委派管理员和配置必要的 IAM 权限。您无需为这些初步设置步骤付费。您只需为所使用的 Amazon 服务付费。
## 先决条件
在使用 Amazon Shield 网络安全控制器之前,必须具备以下条件:
+ **Amazon O** rganizations- Amazon Shield 网络安全主管专门与 Amazon 组织合作,为多个账户提供安全分析。您不能将 Amazon Shield 网络安全控制器与单个独立帐户一起使用。
+ **管理帐户访问权限**-您需要访问 Organi Amazon zations 管理帐户才能为 Amazon Shield 网络安全主管指定委派管理员。
+ **委派管理员帐户**-您需要识别或创建一个帐户,该帐户将充当 Amazon Shield 网络安全总监的委派管理员。这不能是 Organizations 管理账户。
**重要**
Amazon Shield 网络安全控制器不能用于独立 Amazon 帐户。除了管理账户外,您还必须 Amazon 为 Organizations 配置至少一个成员账户。
## 了解 Amazon 组织集成
Amazon Organizations 是一项全球账户管理服务,允许 Amazon 管理员整合和管理多个 Amazon 账户。 Amazon Shield 网络安全总监与 Organizations 集成,为您的整个组织提供集中式安全分析和管理。
当你将 Amazon Shield 网络安全主管与 Organization Amazon s 集成时:
+ Organizations 管理账户为 Amazon Shield 网络安全主管指定委派管理员
+ 授权的管理员可以跨多个账户和区域启用 Amazon Shield 网络安全控制器
+ 通过委派的管理员帐户集中管理安全分析和调查结果
+ 在成员账户中自动创建服务关联角色以进行分析
这种方法与 Security Hub 等其他 Amazon Amazon 安全服务类似,可为您的安全工具提供一致的管理。
## 选择委派管理员
委托管理员是 Amazon 指贵组织中被授予代表组织管理 Amazon Shield 网络安全主管的权限的账户。授权的管理员可以启用该服务、创建策略和管理所有成员账户的安全发现。
**委派管理员要求:**
+ 必须是您的 Organizations 结构 Amazon 中的成员账户
+ 不能是 Organizations 管理账户
+ 应配置适当的 IAM 权限(参见下一节)
**注意**
作为最佳实践,我们建议在 Amazon 安全服务(例如 Security Hub 和 Amazon Shield 网络安全控制器)中使用相同的委托管理员帐户 GuardDuty,以实现一致的监管和简化的管理。
## 委托管理员的 IAM 要求
委托的管理员账户需要特定的 IAM 权限才能有效地管理 Amazon Shield 网络安全总监。您必须将以下策略附加到将在委派管理员账户中管理 Amazon Shield 网络安全主管的 IAM 用户或角色。
** Amazon Shield 网络安全总监委托管理员必需的 IAM 策略:**
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"network-security-director:*"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:GetRole",
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam:::role/aws-service-role/AWSServiceRoleForNetworkSecurityDirector"
]
},
{
"Effect": "Allow",
"Action": [
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListAccountsForParent",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListDelegatedAdministrators",
"organizations:DescribeOrganization",
"organizations:CreatePolicy",
"organizations:UpdatePolicy",
"organizations:DeletePolicy",
"organizations:AttachPolicy",
"organizations:DetachPolicy",
"organizations:EnablePolicyType",
"organizations:DisablePolicyType",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit",
"organizations:DescribeAccount",
"organizations:ListRoots",
"organizations:ListOrganizationalUnitsForParent",
"organizations:ListParents",
"organizations:ListChildren",
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListTagsForResource",
"organizations:ListDelegatedAdministrators",
"organizations:ListHandshakesForAccount",
"organizations:DescribePolicy",
"organizations:DescribeEffectivePolicy",
"organizations:ListPolicies",
"organizations:ListPoliciesForTarget",
"organizations:ListTargetsForPolicy"
],
"Resource": [
"*"
]
}
]
}
```
**政策解释:**
+ **network-security-director: \***-授予对所有 Amazon Shield 网络安全主管操作的完全访问权限,包括启用服务、创建策略和管理调查结果。
+ **IAM 权限**-允许授权的管理员管理服务相关角色, Amazon Shield 网络安全主管使用该角色对成员账户进行分析。
**创建并附加 IAM 策略**
1. 使用委派的管理员帐户登录 Amazon 管理控制台。
1. 使用 [https://console.aws.amazon.com/iam/](https://console.amazonaws.cn/iam/) 打开 IAM 控制台。
1. 在导航窗格中,选择**策略**,然后选择**创建策略**。
1. 选择 **JSON** 选项卡并粘贴上面显示的策略文档。
1. 选择 “**下一步:标签**”,然后选择 “**下一步:审阅**”。
1. 对于 **Name (名称)**,请输入 **NetworkSecurityDirectorDelegatedAdminPolicy**。
1. 选择**创建策略**。
1. 将此策略附加到将在委派管理员账户中管理 Amazon Shield 网络安全主管的 IAM 用户或角色。
## 安装清单
在继续启用 Amazon Shield 网络安全控制器之前,请确保您已完成以下设置任务:
+ ✓ Amazon Organizations 配置了一个管理账户和至少一个成员账户
+ ✓ 您已识别委托管理员账号(不能是管理账号)
+ ✓ 所需的 IAM 策略已创建并附加到委派管理员账户中
+ ✓ 您可以同时访问 Organizations 管理账户和委托管理员账户
完成这些设置任务后,您可以[启用 Amazon Shield 网络安全控制器](nsd-enablement.md)继续为您的组织启用 Amazon Shield 网络安全主管。