Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

介绍 Amazon WAF 的全新控制台体验

现在，您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息，请参阅 使用更新的控制台体验。

使用 Amazon Firewall Manager 策略范围

本页介绍了什么是 Firewall Manager 策略范围及其工作方式。

策略范围定义了策略的适用范围。您可以将集中式控制策略应用于：

有关如何设置策略作用域的说明，请参阅 创建 Amazon Firewall Manager 策略。

Amazon Firewall Manager 中的策略范围选项

当您向组织添加新账户或资源时，Firewall Manager 会根据您的每项策略设置自动对其进行评测，并根据这些设置应用策略。例如，您可以选择将策略应用于除指定列表中账号以外的所有账户。资源标签也可以用于定义策略范围。您可以选择通过排除或包含具有列表中所有标签的资源来应用策略。或者，您可以选择仅将策略应用于列表中具有任何指定标签的资源。

范围内 Amazon Web Services 账户

您提供的用于定义受策略影响的 Amazon Web Services 账户 的设置决定了要将策略应用于 Amazon 组织中的哪些账户。您可以选择通过以下一种方式来应用策略：

有关 Amazon Organizations 的信息，请参阅 Amazon Organizations 用户指南。

范围内资源

与范围内账户的设置类似，您为资源提供的设置决定了要将策略应用于哪些范围内资源类型。您可以选择以下任一种密钥：

只能指定值非空的资源标签。如果未为此值赋值，Firewall Manager 会使用以下空字符串值保存标签：“”。资源标签仅与具有相同键和相同值的标签匹配。

有关标记资源的更多信息，请参阅使用标签编辑器。

Amazon Firewall Manager 中的策略范围管理

制定策略后，Firewall Manager 会根据策略范围持续对其进行管理，并在添加这些策略时将它们应用于新 Amazon Web Services 账户 和资源。

Firewall Manager 如何管理 Amazon Web Services 账户 和资源

如果账户或资源出于任何原因超出范围，则 Amazon Firewall Manager 不会自动移除保护或删除 Firewall Manager 管理的资源，除非您选中自动移除对超出策略范围的资源的保护复选框。

选中此复选框会指示 Amazon Firewall Manager 在账户超出策略范围时自动清理 Firewall Manager 为账户管理的资源。例如，当客户资源超出策略范围时，Firewall Manager 将取消 Firewall Manager 托管的 web ACL 与受保护的客户资源的关联。

为了确定当客户资源超出策略范围时应将哪些资源从保护中移除，Firewall Manager 需要遵循以下准则：