Amazon Firewall Manager策略范围 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Firewall Manager策略范围

策略范围定义策略应用的位置。您可以将集中控制的策略应用于组织中的所有帐户和资源Amazon Organizations或您的账户和资源的子集。有关如何设置策略范围的说明,请参阅。创建 Amazon Firewall Manager 策略.

中的策略范围选项Amazon Firewall Manager

向组织添加新账户或资源时,Firewall Manager 会根据每个策略的设置自动评估该账户或资源,并根据这些设置应用策略。例如,您可以选择将策略应用于指定列表中的帐户号码除外的所有帐户;您还可以选择仅将策略应用于列表中包含所有标记的资源。

Amazon Web Services 账户在范围内

您提供的用于定义Amazon Web Services 账户受策略影响的确定哪些帐户Amazon组织以将策略应用到。您可以通过以下方式之一选择应用策略:

  • 对组织中的所有账户

  • 仅应用到包括的账号和 Amazon Organizations 组织单位 (OU) 的特定列表

  • 应用到除排除的账号和 Amazon Organizations 组织单位 (OU) 的特定列表之外的所有账户和组织单位

有关的信息Amazon Organizations,请参阅Amazon Organizations用户指南.

范围内的资源

与范围内帐户的设置类似,您为资源提供的设置决定了要应用策略的范围内资源类型。您可以选择以下操作之一:

  • 所有 资源

  • 具有您指定的所有标签的资源

  • 除了具有您指定的所有标记的资源之外的所有资源

有关标记资源的更多信息,请参阅使用标签编辑器

中的策略范围管理Amazon Firewall Manager

策略到位后,Firewall Manager 会持续管理这些策略,并将其应用到新Amazon Web Services 账户并根据政策范围添加资源.

如何 Firewall ManagerAmazon Web Services 账户和资源

如果某个帐户或资源因任何原因超出范围,Amazon Firewall Manager不会自动删除保护或删除防火墙管理器管理的资源,除非您选择从离开策略范围的资源中自动删除保护”复选框。

注意

从离开策略范围的资源中自动删除保护不适用于Amazon Shield Advanced或者Amazon WAFClassic 策略。

选中此复选框将指向Amazon Firewall Manager以在这些帐户离开策略作用域时,自动清理 Firewall Manager 为帐户管理的资源。例如,当客户资源离开策略范围时,Firewall Manager 将解除 Firewall Manager 管理的 Web ACL 与受保护的客户资源的关联。

要确定在客户资源离开策略范围时应从保护中删除哪些资源,Firewall Manager 遵循以下准则:

  • 默认行为

    • 关联对象Amazon Config托管规则将被删除。此行为独立于复选框。

    • 任何超出作用域的受保护资源仍保持关联和受保护。例如,与 Web ACL 关联的 Application Load Balancer 或 API Gateway 的 API 仍然与 Web ACL 相关联,并且保护仍然存在。

  • 使用从离开策略范围的资源中自动删除保护复选框已选中

    • 关联对象Amazon Config托管规则将被删除。此行为独立于复选框。

    • 任何超出作用域的受保护资源都会在离开策略范围时自动取消关联并从保护中删除。例如,Elastic Inference 加速器或 Amazon EC2 实例在离开策略作用域时会自动将其与复制的安全组取消关联。复制的安全组及其资源将自动从保护中删除。