介绍 AWS WAF 的全新控制台体验
现在,您可以使用更新后的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验。
使用 AWS Firewall Manager 策略范围
本页介绍了什么是 Firewall Manager 策略范围及其工作方式。
策略范围定义了策略的适用范围。您可以将集中式控制策略应用于:
AWS Organizations 中的组织内所有账户和资源。
AWS Organizations 中的组织内的账户和资源子集。
有关如何设置策略作用域的说明,请参阅 创建 AWS Firewall Manager 策略。
AWS Firewall Manager 中的策略范围选项
当您向组织添加新账户或资源时,Firewall Manager 会根据您的每项策略设置自动对其进行评测,并根据这些设置应用策略。例如,您可以选择将策略应用于除指定列表中账号以外的所有账户。资源标签也可以用于定义策略范围。您可以选择通过排除或包含具有列表中所有标签的资源来应用策略。或者,您可以选择仅将策略应用于列表中具有任何指定标签的资源。
范围内 AWS 账户
您提供的用于定义受策略影响的 AWS 账户 的设置决定了要将策略应用于 AWS 组织中的哪些账户。您可以选择通过以下一种方式来应用策略:
-
至组织中的所有账户
-
仅应用到包括的账号和 AWS Organizations 组织单元(OU)的特定列表
-
应用到除排除的账号和 AWS Organizations 组织单元(OU)的特定列表之外的所有账户和组织单元
有关 AWS Organizations 的信息,请参阅 AWS Organizations 用户指南。
范围内资源
与范围内账户的设置类似,您为资源提供的设置决定了要将策略应用于哪些范围内资源类型。您可以选择以下任一种密钥:
-
所有资源
-
具有您指定的所有标签的资源
-
所有资源,除了具有您指定的所有标签的资源
-
仅限具有您指定的任何标签的资源
-
所有资源,除了具有您指定的任何标签的资源
只能指定值非空的资源标签。如果未为此值赋值,Firewall Manager 会使用以下空字符串值保存标签:“”。资源标签仅与具有相同键和相同值的标签匹配。
有关标记资源的更多信息,请参阅使用标签编辑器。
AWS Firewall Manager 中的策略范围管理
制定策略后,Firewall Manager 会根据策略范围持续对其进行管理,并在添加这些策略时将它们应用于新 AWS 账户 和资源。
Firewall Manager 如何管理 AWS 账户 和资源
如果账户或资源出于任何原因超出范围,则 AWS Firewall Manager 不会自动移除保护或删除 Firewall Manager 管理的资源,除非您选中自动移除对超出策略范围的资源的保护复选框。
注意
自动移除对超出策略范围的资源的保护选项不适用于 AWS Shield Advanced 或 AWS WAF Classic 策略。
选中此复选框会指示 AWS Firewall Manager 在账户超出策略范围时自动清理 Firewall Manager 为账户管理的资源。例如,当客户资源超出策略范围时,Firewall Manager 将取消 Firewall Manager 托管的 web ACL 与受保护的客户资源的关联。
为了确定当客户资源超出策略范围时应将哪些资源从保护中移除,Firewall Manager 需要遵循以下准则:
默认行为:
关联的 AWS Config 托管规则已删除。此行为与复选框无关。
任何不包含任何资源的关联 AWS WAF web 访问控制列表 (web ACL) 都将被删除。此行为与复选框无关。
任何超出范围的受保护资源都将保持关联状态并受到保护。例如,与 web ACL 关联的应用程序负载均衡器或 API Gateway 中的 API 仍与网页 ACL 关联,并且保护仍然有效。
选中自动移除对不在策略范围之外的资源的保护复选框后:
关联的 AWS Config 托管规则已删除。此行为与复选框无关。
任何不包含任何资源的关联 AWS WAF web 访问控制列表 (web ACL) 都将被删除。此行为与复选框无关。
任何超出范围的受保护资源在超出策略范围时都会自动取消关联并从 Firewall Manager 保护中移除。例如,对于安全组策略,Elastic Inference 加速器或 Amazon EC2 实例在超出策略范围时会自动取消与复制的安全组的关联。复制的安全组及其资源将自动从保护中移除。
