本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Firewall Manager 政策范围
策略范围定义了策略的适用范围。您可以将集中控制的策略应用于组织中的所有账户和资源 Amazon Organizations,也可以对部分账户和资源应用集中控制的策略。有关如何设置策略作用域的说明,请参阅 创建 Amazon Firewall Manager 策略。
中的策略范围选项 Amazon Firewall Manager
当您向组织添加新账户或资源时,Firewall Manager 会根据您的每项策略设置自动对其进行评测,并根据这些设置应用策略。例如,您可以选择将策略应用于除指定列表中的账号之外的所有账户;也可以选择仅将策略应用于列表中包含所有标签的资源。
Amazon Web Services 账户 在范围内
您为定义受策略 Amazon Web Services 账户 影响的账户而提供的设置决定了要将策略应用到 Amazon 组织中的哪些账户。您可以选择通过以下一种方式来应用策略:
-
至组织中的所有账户
-
仅应用到包括的账号和 Amazon Organizations 组织单位 (OU) 的特定列表
-
应用到除排除的账号和 Amazon Organizations 组织单位 (OU) 的特定列表之外的所有账户和组织单位
有关的信息 Amazon Organizations,请参阅《Amazon Organizations 用户指南》。
范围内资源
与范围内账户的设置类似,您为资源提供的设置决定了要将策略应用于哪些范围内资源类型。您可以选择以下任一种密钥:
-
所有资源
-
具有您指定的所有标签的资源
-
所有资源,除了具有您指定的所有标签的资源
只能指定非空值的资源标签。如果您没有为该值提供任何内容,Firewall Manager 会使用空字符串值保存标记:“”。资源标签仅与具有相同密钥和相同值的标签匹配。
有关标记资源的更多信息,请参阅使用标签编辑器。
中的策略范围管理 Amazon Firewall Manager
制定策略后,Firewall Manager 会持续对其进行管理, Amazon Web Services 账户 并在添加新资源和资源时根据策略范围将其应用于新增资源和资源。
Firewall Manager 如何 Amazon Web Services 账户 管理和资源
如果账户或资源出于任何原因超出范围,则 Amazon Firewall Manager 不会自动移除保护或删除 Firewall Manager 管理的资源,除非您选中 “自动移除对离开策略范围的资源的保护” 复选框。
注意
“自动移除对离开策略范围的资源的保护” 选项不适用于 Amazon Shield Advanced 或 Amazon WAF Classic 策略。
选中此复选框 Amazon Firewall Manager 将指示在帐户离开策略范围时自动清理 Firewall Manager 为这些帐户管理的资源。例如,当客户资源超出策略范围时,Firewall Manager 将取消 Firewall Manager 托管的 Web ACL 与受保护的客户资源的关联。
为了确定当客户资源超出策略范围时应将哪些资源从保护中移除,Firewall Manager 需要遵循以下准则:
默认行为:
关联的 Amazon Config 托管规则已删除。此行为与复选框无关。
任何不包含任何资源的关联 Amazon WAF Web 访问控制列表 (Web ACL) 都将被删除。此行为与复选框无关。
任何超出范围的受保护资源都将保持关联状态并受到保护。例如,与 Web ACL 关联的应用程序负载均衡器或 API Gateway 中的 API 仍与网页 ACL 关联,并且保护仍然有效。
选中自动移除对不在策略范围之外的资源的保护复选框后:
关联的 Amazon Config 托管规则已删除。此行为与复选框无关。
任何不包含任何资源的关联 Amazon WAF Web 访问控制列表 (Web ACL) 都将被删除。此行为与复选框无关。
任何超出范围的受保护资源在离开策略范围时都会自动取消关联并从 Firewall Manager 保护中移除。例如,对于安全组策略,Elastic Inference 加速器或 Amazon EC2 实例在离开策略范围时会自动取消与复制的安全组的关联。复制的安全组及其资源将自动从保护中移除。