**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS 的托管策略 AWS Firewall Manager
<a name="fms-security-iam-awsmanpol"></a>





 AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限，以便您可以开始为用户、组和角色分配权限。

请记住， AWS 托管策略可能不会为您的特定用例授予最低权限权限，因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。

您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限，则更新会影响该策略所关联的所有委托人身份（用户、组和角色）。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。

有关更多信息，请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

## AWS 托管策略：`AWSFMAdminFullAccess`
<a name="security-iam-awsmanpol-AWSFMAdminFullAccess"></a>

使用`AWSFMAdminFullAccess` AWS 托管策略允许您的管理员访问 AWS Firewall Manager 资源，包括所有 Firewall Manager 策略类型。此策略不包括在 AWS Firewall Manager中设置 Amazon Simple Notification Service 通知的权限。有关如何设置 Amazon Simple Notification Service 的访问权限的信息，请参阅[设置 Amazon Simple Notification Service 的访问权限](https://docs.aws.amazon.com/sns/latest/dg/sns-setting-up.html)。

有关策略列表和详细信息，请参阅 IAM 控制台，网址为[AWSFMAdminFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminFullAccess$serviceLevelSummary)。本节其余部分概述了策略设置。

**权限语句**

此策略根据权限集分为多个语句。
+ **AWS Firewall Manager 策略资源**-允许对中的 AWS Firewall Manager资源（包括所有 Firewall Manager 策略类型）拥有完全管理权限。
+ **将 AWS WAF 日志写入亚马逊简单存储服务**-允许 Firewall Manager 在 Amazon S3 中写入和读取 AWS WAF 日志。
+ **创建服务相关角色**：允许管理员创建服务相关角色，它允许 Firewall Manager 代表您分析其他服务中的资源。此权限允许创建仅供 Firewall Manager 使用的服务关联角色。有关 Firewall Manager 如何使用服务相关角色的更多信息，请参阅 [使用 Firewall Manager 的服务相关角色](fms-using-service-linked-roles.md)。
+ **AWS Organizations**：允许管理员将 Firewall Manager 用于 AWS Organizations中的企业。在中启用 Firewall Manager 的可信访问后 AWS Organizations，管理员帐户的成员可以查看其组织中的发现结果。有关 AWS Organizations 与一起使用的信息 AWS Firewall Manager，请参阅《*AWS Organizations 用户指南》*中的[AWS Organizations 与其他 AWS 服务一起使用](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)。

**权限类别**

下面列出了策略中的权限类型及其提供的权限。
+ `fms`— 使用 AWS Firewall Manager 资源。
+ `waf` 和 `waf-regional`：使用 AWS WAF Classic 策略。
+ `elasticloadbalancing`— 关联 AWS WAF Web ACLsto 弹性负载均衡器。
+ `firehose`— 查看有关 AWS WAF 日志的信息。
+ `organizations`— 使用 Organiz AWS ations 资源。
+ `shield`：查看 AWS Shield 策略的订阅状态。
+ `route53resolver`— 使用 Route 53 私有 DNS 作为 VPCs 策略，在 Route 53 私有 DNS 中使用 VPCs 规则组。
+ `wafv2`— 使用 AWS WAFV2 策略。
+ `network-firewall`— 使用 AWS Network Firewall 策略。
+ `ec2`：查看策略的可用区和区域。
+ `s3`— 查看有关 AWS WAF 日志的信息。

## AWS 托管策略：`FMSServiceRolePolicy`
<a name="security-iam-awsmanpol-FMSServiceRolePolicy"></a>

此策略 AWS Firewall Manager 允许您在 Firewall Manager 和集成服务中代表您管理 AWS 资源。此策略附加到 `AWSServiceRoleForFMS` 服务关联角色。有关服务相关角色的更多信息，请参阅 [使用 Firewall Manager 的服务相关角色](fms-using-service-linked-roles.md)。

有关政策的详细信息，请参阅 IAM 控制台，网址为[FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)。

## AWS 托管策略： AWSFMAdminReadOnlyAccess
<a name="security-iam-awsmanpol-AWSFMAdminReadOnlyAccess"></a>

授予对所有 Fi AWS rewall Manager 资源的只读访问权限。

有关策略列表和详细信息，请参阅 IAM 控制台，网址为[AWSFMAdminReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminReadOnlyAccess$serviceLevelSummary)。本节其余部分概述了策略设置。

**权限类别**

下面列出了策略中的权限类型以及这些权限允许以只读形式访问的信息。
+ `fms`— AWS Firewall Manager 资源。
+ `waf`和 `waf-regional` — AWS WAF 经典策略。
+ `firehose`— AWS WAF 日志。
+ `organizations`— AWS Organitions 资源。
+ `shield`— AWS Shield 政策。
+ `route53resolver`— Route 53 中 VPCs 规则组的私有 DNS 在 Route 53 中用于 VPCs 策略的私有 DNS。
+ `wafv2`— 中可用的 AWS WAFV2 规则组和 AWS 托管规则规则组 AWS WAFV2。
+ `network-firewall`— AWS Network Firewall 规则组和规则组元数据。
+ `ec2`— AWS Network Firewall 政策可用区和区域。
+ `s3`— AWS WAF 日志。

## AWS 托管策略： AWSFMMemberReadOnlyAccess
<a name="security-iam-awsmanpol-AWSFMMemberReadOnlyAccess"></a>

授予对 AWS Firewall Manager 成员资源的只读访问权限。有关策略列表和详细信息，请参阅 IAM 控制台，网址为[AWSFMMemberReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMMemberReadOnlyAccess$serviceLevelSummary)。













## Firewall Manager 对 AWS 托管策略的更新
<a name="fms-security-iam-awsmanpol-updates"></a>

查看自该服务开始跟踪这些更改以来 Firewall Manager AWS 托管策略更新的详细信息。有关此页面更改的自动提示，请订阅 Firewall Manager 文档历史记录页面上的 RSS 源，网址为 [文档历史记录](doc-history.md)。




| 更改 | 描述 | 日期 | 
| --- | --- | --- | 
|  [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) - 更新的策略  | 向 Firewall Manager 服务策略添加了权限。 添加了 Amazon 所需的以下权限 CloudFront： [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/fms-security-iam-awsmanpol.html)  | 2025-05-21 | 
|  [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) - 更新的策略  | 向 Firewall Manager 服务策略添加了权限。 添加了 `BatchGetResourceConfig` 权限，以批量获取资源配置状态。在 IAM 控制台中查看更新的政策：[FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)。  | 2025-02-10 | 
|  [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) - 更新的策略  |  向 Firewall Manager 服务角色策略添加了权限。 增加了读取 Network Firewall TLS 配置信息的功能。在 IAM 控制台中查看更新的政策：[FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)。  | 2024-07-22 | 
|  [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) - 更新的策略  |  添加了管理网络的权限 ACLs。 在 IAM 控制台中查看更新的政策：[FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)。  | 2024-04-22 | 
|  [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) - 更新的策略  |  添加了允许 Firewall Manager 描述指定 AWS Config 规则是否合规的权限。 在 IAM 控制台中查看更新的政策：[FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)。  | 2023-04-21 | 
|  [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) - 更新的策略  |  添加了允许 Firewall Manager 描述 Amazon EC2 实例和网络接口属性的权限。 在 IAM 控制台中查看更新的政策：[FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)。  | 2022-11-15 | 
|  [AWSFMAdminReadOnlyAccess](#security-iam-awsmanpol-AWSFMAdminReadOnlyAccess) - 更新的策略  |  增加了支持 AWS WAFV2、Shield、Network Firewall、DNS 防火墙、Amazon VPC 安全组、策略的权限。 在 IAM 控制台中查看更新的政策：[AWSFMAdminReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminReadOnlyAccess$serviceLevelSummary)。  | 2022-11-02 | 
|  [AWSFMAdminFullAccess](#security-iam-awsmanpol-AWSFMAdminFullAccess) - 更新的策略  |  增加了支持 AWS WAFV2、Shield、Network Firewall、DNS 防火墙、Amazon VPC 安全组、策略的权限。移除了 Amazon SNS 权限。 在 IAM 控制台中查看更新的政策：[AWSFMAdminFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminFullAccess$serviceLevelSummary)。  | 2022-10-21 | 
|  `FMSServiceRolePolicy`— AWS Firewall Manager 第三方防火墙策略的新权限  |  此更改允许 Firewall Manager 创建和删除与第三方防火墙策略关联的 Amazon EC2 VPC 终端节点。  | 2022-03-30 | 
|  `FMSServiceRolePolicy`— AWS Network Firewall 策略的新权限  |  添加了新权限，以支持为 Network Firewall 策略部署防火墙。新权限允许为策略范围内的账户检索有关可用区的信息。  | 2022-02-16 | 
|  `FMSServiceRolePolicy`— AWS Shield 策略的新权限  |  添加了检索 AWS WAF 区域和 AWS WAF 全球资源标签的新权限。添加了 ACLs 使用资源 ARN 检索网页的 AWS WAF 区域权限。增加了支持 Shield 自动应用层 DDo S 缓解的权限。  | 2022-01-07 | 
|  `FMSServiceRolePolicy`— AWS Shield 策略的新权限  |  添加了新权限，以检索 Elastic Load Balancing 资源的标签。  | 2021-11-18 | 
|  `FMSServiceRolePolicy`— 安全组和 AWS Network Firewall 策略的新权限  |  添加了新的权限以启用 AWS Network Firewall 策略的集中日志记录。此外，还添加了只读 Amazon EC2 权限，以支持对 Config 服务的更改，这些更改会影响 AWS Firewall Manager 查询资源以获取安全组策略的方式。  | 2021-09-29 | 
|  `FMSServiceRolePolicy`— 资源的 ARN 格式 AWS WAF   |  更新了 `FMSServiceRolePolicy`，以实现 AWS WAF 资源 ARN 格式的标准化。更新后的 ARN 格式为 `arn:aws:waf:*:*:*` 和 `arn:aws:waf-regional:*:*:*`。  | 2021-08-12 | 
|  `FMSServiceRolePolicy`：中国的其他地区  |  AWS Firewall Manager 已`FMSServiceRolePolicy`为中国的 BJS 和 ZHY 区域启用。  | 2021-08-12 | 
|  `FMSServiceRolePolicy`：对现有策略的更新  |  添加了允许 AWS Firewall Manager 管理 Amazon Route 53 Resolver DNS 防火墙的新权限。 此更改允许 Firewall Manager 配置 Amazon Route 53 Resolver DNS 防火墙关联。这允许您使用 Firewall Manager 在 VPCs 整个组织中为您提供 DNS 防火墙保护 AWS Organizations。  | 2021-03-17 | 
|  Firewall Manager 已开启跟踪更改  |  Firewall Manager 开始跟踪其 AWS 托管策略的更改。  | 2021-03-02 |