本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Firewall Manager 使用情况审核安全组策略
本页介绍了 Firewall Manager 使用情况审核安全组策略的工作方式。
使用 Amazon Firewall Manager 使用情况审计安全组策略来监控您的组织中是否存在未使用和冗余的安全组,并可以选择执行清理。如果为此策略启用了自动修正,Firewall Manager 会执行以下操作:
合并冗余安全组(如果选择了该选项)。
删除未使用的安全组(如果选择了该选项)。
您可以将使用情况审核安全组策略应用于以下资源类型:
-
Amazon VPC 安全组
有关使用控制台创建使用情况审核安全组策略的指导,请参阅 创建使用情况审核安全组策略。
Firewall Manager 如何检测和修复冗余的安全组
要将安全组视为冗余,它们必须设置完全相同的规则,并且位于同一 Amazon VPC 实例中。
要修复冗余安全组集,Firewall Manager 会选择保留该安全组集中的一个安全组,然后将其关联到与该安全组集中的其他安全组关联的所有资源。然后,Firewall Manager 将其他安全组与它们所关联的资源断开关联,使它们处于未使用状态。
注意
如果您还选择删除未使用的安全组,Firewall Manager 将执行接下来的操作。这可能导致删除冗余组中的安全组。
Firewall Manager 如何检测和修复未使用的安全组
如果同时满足以下两个条件,Firewall Manager 会将安全组视为未使用:
任何亚马逊 EC2 实例或 Amazon ela EC2 stic network interface 均未使用该安全组。
在策略规则时间段中指定的分钟数内,Firewall Manager 未收到其配置项。
策略规则时间段的默认设置为零分钟,但您可以将时间增加至 365 天(525600 分钟),以便有时间将新的安全组与资源关联起来。
重要
如果您指定了除默认值 0 以外的分钟数,则必须在 Amazon Config中启用间接关系。否则,您的使用情况审核安全组策略将无法按预期运行。有关间接关系的信息 Amazon Config,请参阅《Amazon Config 开发者指南》 Amazon Config中的间接关系。
如果可能,Firewall Manager 会根据您的规则设置,通过从您的账户中删除未使用的安全组来修复这些安全组。如果 Firewall Manager 无法删除安全组,则会将其标为不符合此策略。Firewall Manager 无法删除由其他安全组引用的安全组。
根据您使用的是默认时间段设置还是自定义设置,修复时间会有所不同:
时间段设置为零,默认 — 使用此设置,当安全组未被 Amazon EC2 实例或 elastic network interface 使用时,该安全组即被视为未使用。
对于该零值时间段设置,Firewall Manager 会立即修复安全组。
时间段大于零 — 使用此设置,如果安全组未被亚马逊 EC2 实例或弹性网络接口使用,且 Firewall Manager 在指定的分钟数内未收到该安全组的配置项目,则该安全组被视为未使用。
对于非零时间段设置,Firewall Manager 会在安全组保持未使用状态 24 小时后对其进行修复。
默认账户规范
通过控制台创建使用情况审核安全组策略时,Firewall Manager 会自动选择排除指定账户并包括所有其他账户。然后,该服务会将 Firewall Manager 管理员账户放入要排除的列表中。这是推荐的方法,它允许您手动管理属于 Firewall Manager 管理员账户的安全组。