**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 AWS Firewall Manager 策略范围
<a name="policy-scope"></a>

本页介绍了什么是 Firewall Manager 策略范围及其工作方式。

策略范围定义了策略的适用范围。您可以将集中式控制策略应用于：
+  AWS Organizations中的组织内所有账户和资源。
+  AWS Organizations中的组织内的账户和资源子集。

有关如何设置策略作用域的说明，请参阅 [创建 AWS Firewall Manager 策略](create-policy.md)。

## 中的策略范围选项 AWS Firewall Manager
<a name="when-in-scope"></a>

当您向组织添加新账户或资源时，Firewall Manager 会根据您的每项策略设置自动对其进行评测，并根据这些设置应用策略。例如，您可以选择将策略应用于除指定列表中账号以外的所有账户。资源标签也可以用于定义策略范围。您可以选择通过排除或包含具有列表中所有标签的资源来应用策略。或者，您可以选择仅将策略应用于列表中具有任何指定标签的资源。

**AWS 账户 在范围内**  
您为定义受策略 AWS 账户 影响的账户而提供的设置决定了要将策略应用到 AWS 组织中的哪些账户。您可以选择通过以下一种方式来应用策略：
+ 至组织中的所有账户
+ 仅限于包含的账号和 AWS Organizations 组织单位的特定列表 (OUs)
+ 除特定除外账号和 AWS Organizations 组织单位清单以外的所有人 (OUs)

有关的信息 AWS Organizations，请参阅[《AWS Organizations 用户指南》](https://docs.aws.amazon.com/organizations/latest/userguide/)。

**范围内资源**  
与范围内账户的设置类似，您为资源提供的设置决定了要将策略应用于哪些范围内资源类型。您可以选择以下任一种密钥：
+ 所有资源
+ 具有您指定的所有标签的资源
+ 所有资源，除了具有您指定的所有标签的资源
+ 仅限具有您指定的任何标签的资源
+ 所有资源，除了具有您指定的任何标签的资源

只能指定值非空的资源标签。如果未为此值赋值，Firewall Manager 会使用以下空字符串值保存标签：“”。资源标签仅与具有相同键和相同值的标签匹配。

有关标记资源的更多信息，请参阅[使用标签编辑器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。

## 中的策略范围管理 AWS Firewall Manager
<a name="when-out-of-scope"></a>

制定策略后，Firewall Manager 会持续对其进行管理， AWS 账户 并在添加新资源和资源时根据策略范围将其应用于新增资源和资源。

**Firewall Manager 如何 AWS 账户 管理和资源**  
如果账户或资源出于任何原因超出范围，则 AWS Firewall Manager 不会自动移除保护或删除 Firewall Manager 管理的资源，除非您选中 “**自动移除对离开策略范围的资源的保护**” 复选框。

**注意**  
“**自动移除对离开策略范围的资源的保护”** 选项不适用于 AWS Shield Advanced 或 AWS WAF Classic 策略。

选中此复选框 AWS Firewall Manager 将指示在帐户离开策略范围时自动清理 Firewall Manager 为这些帐户管理的资源。例如，当客户资源超出策略范围时，Firewall Manager 将取消 Firewall Manager 托管的 web ACL 与受保护的客户资源的关联。

为了确定当客户资源超出策略范围时应将哪些资源从保护中移除，Firewall Manager 需要遵循以下准则：
+ *默认行为*：
  + 关联的 AWS Config 托管规则已删除。此行为与复选框无关。
  + 任何不包含任何资源的关联 AWS WAF Web 访问控制列表 (Web ACLs) 都将被删除。此行为与复选框无关。
  + 任何超出范围的受保护资源都将保持关联状态并受到保护。例如，与 web ACL 关联的应用程序负载均衡器或 API Gateway 中的 API 仍与网页 ACL 关联，并且保护仍然有效。
+ *选中**自动移除对不在策略范围之外的资源的保护**复选框后*：
  + 关联的 AWS Config 托管规则已删除。此行为与复选框无关。
  + 任何不包含任何资源的关联 AWS WAF Web 访问控制列表 (Web ACLs) 都将被删除。此行为与复选框无关。
  + 任何超出范围的受保护资源在超出策略范围时都会自动取消关联并从 Firewall Manager 保护中移除。例如，对于安全组策略，Elastic Inference 加速器或 Amazon EC2 实例在离开策略范围时会自动取消与复制的安全组的关联。复制的安全组及其资源将自动从保护中移除。
  + 当成员帐户离开作用域或删除策略时，无论资源清理选项的值如何，Firewall Manager 都会删除日志配置。