Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

引入全新的主机体验 Amazon WAF

现在，您可以使用更新的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息，请参阅 使用更新的主机体验。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

使用 Amazon Firewall Manager 策略范围

本页介绍了什么是 Firewall Manager 策略范围及其工作方式。

策略范围定义了策略的适用范围。您可以将集中控制的策略应用于：

有关如何设置策略作用域的说明，请参阅 创建 Amazon Firewall Manager 策略。

中的策略范围选项 Amazon Firewall Manager

当您向组织添加新账户或资源时，Firewall Manager 会根据您的每项策略设置自动对其进行评测，并根据这些设置应用策略。例如，您可以选择将策略应用于除指定列表中的账号之外的所有账户。资源标签也可用于定义策略范围。您可以选择通过在列表中排除或包含具有所有标签的资源来应用策略。或者，您可以选择仅将策略应用于列表中具有任何指定标签的资源。

Amazon Web Services 账户 在范围内

您为定义受策略 Amazon Web Services 账户 影响的账户而提供的设置决定了要将策略应用到 Amazon 组织中的哪些账户。您可以选择通过以下一种方式来应用策略：

有关的信息 Amazon Organizations，请参阅《Amazon Organizations 用户指南》。

范围内资源

与范围内账户的设置类似，您为资源提供的设置决定了要将策略应用于哪些范围内资源类型。您可以选择以下任一种密钥：

只能指定值非空的资源标签。如果未为此值赋值，Firewall Manager 会使用以下空字符串值保存标签：“”。资源标签仅与具有相同键和相同值的标签匹配。

有关标记资源的更多信息，请参阅使用标签编辑器。

中的策略范围管理 Amazon Firewall Manager

制定策略后，Firewall Manager 会持续对其进行管理， Amazon Web Services 账户 并在添加新资源和资源时根据策略范围将其应用于新增资源和资源。

Firewall Manager 如何 Amazon Web Services 账户 管理和资源

如果账户或资源出于任何原因超出范围，则 Amazon Firewall Manager 不会自动移除保护或删除 Firewall Manager 管理的资源，除非您选中 “自动移除对离开策略范围的资源的保护” 复选框。

选中此复选框 Amazon Firewall Manager 将指示在帐户离开策略范围时自动清理 Firewall Manager 为这些帐户管理的资源。例如，当客户资源超出策略范围时，Firewall Manager 将取消 Firewall Manager 托管的 Web ACL 与受保护的客户资源的关联。

为了确定当客户资源超出策略范围时应将哪些资源从保护中移除，Firewall Manager 需要遵循以下准则：