**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 启用使用 F AWS Config irewall Manager
<a name="enable-config"></a>

要使用 Firewall Manager，必须启用 AWS Config。

**注意**  
根据 AWS Config 定价，您的 AWS Config 设置会产生费用。有关更多信息，请参阅[入门 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html)。

**注意**  
为了让 Firewall Manager 监控策略合规性， AWS Config 必须持续记录受保护资源的配置更改。在您的 AWS Config 配置中，必须将录制频率设置为 “**连续**”，这是默认设置。

**为 Firewall AWS Config Manager 启用**

1.  AWS Config 为每个 AWS Organizations 成员帐户启用，包括 Firewall Manager 管理员帐户。有关更多信息，请参阅[入门 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html)。

1.  AWS Config 为 AWS 区域 包含您要保护的资源的每个资源启用该选项。您可以 AWS Config 手动启用，也可以使用[AWS CloudFormation StackSets 示例 CloudFormation 模板中的 “启用 AWS Config” 模板](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html)。

   如果您不想 AWS Config 为所有资源启用，则必须根据所使用的 Firewall Manager 策略类型启用以下选项：
   + **WAF 策略** — 为资源类型启用 Config： CloudFront 分发、Application Load Balancer（从列表中选择 **ElasticLoadBalancingV2**）、API Gateway、WAF WebACL、WAF 区域 WebACL 和 WebACL。 WAFv2 AWS Config 要启用保护 CloudFront 分配，您必须位于美国东部（弗吉尼亚北部）区域。其他地区没有 CloudFront 选项。
   + **Shield 策略** — 为 Shield Protection、Protection、 ShieldRegional Application Load Balancer、EC2 EIP、WAF WebACL、WAF 区域 WebACL 和 WebACL 等资源类型启用配置。 WAFv2 
   + **安全组策略** — 为 EC2 SecurityGroup、EC2 实例和 EC2 资源类型启用 Config NetworkInterface。
   + **网络 ACL 策略**：为 Amazon EC2 子网和 Amazon EC2 网络 ACL 资源类型启用“配置”。
   + N@@ **etwork Firewall 策略** — 为资源类型 NetworkFirewall FirewallPolicy NetworkFirewallRuleGroup、EC2 VPC、EC2 InternetGateway RouteTable、EC2 和 EC2 子网启用配置。
   + **DNS 防火墙策略** — 为 EC2 VPC 和 Amazon Route 53 的资源类型启用 Config FirewallRuleGroupAssociation。
   + **第三方防火墙策略** — 为亚马逊 EC2 VPC、亚马逊 EC2、亚马逊 EC2、Amazon EC InternetGateway 2 RouteTable 子网和亚马逊 EC2 资源类型启用 Config VPCEndpoint。
**注意**  
如果您将 AWS Config 记录器配置为使用自定义 IAM 角色，则需要确保 IAM 策略具有记录 Firewall Manager 策略所需的资源类型的适当权限。如果没有适当的权限，则可能无法记录所需的资源，这会使 Firewall Manager 无法正确保护您的资源。Firewall Manager 无法查看这些权限错误配置。有关将 IAM 与配合使用的信息 AWS Config，请参阅[适用于 IAM](https://docs.aws.amazon.com/config/latest/developerguide/security-iam.html) 的信息 AWS Config。