**引入全新的主机体验 AWS WAF**

现在，您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Firewall Manager 内容审核安全组策略
<a name="security-group-policies-audit"></a>

本页介绍了 Firewall Manager 内容审核安全组策略的工作方式。

使用 AWS Firewall Manager 内容审计安全组策略来审计您的组织安全组中正在使用的规则，并将其应用于这些规则。根据您在策略中定义的范围，内容审计安全组策略适用于您的 AWS 组织中使用的所有客户创建的安全组。

有关使用控制台创建内容审核安全组策略的指导，请参阅 [创建内容审核安全组策略](create-policy.md#creating-firewall-manager-policy-audit-security-group)。

**策略范围资源类型**  
您可以将内容审核安全组策略应用于以下资源类型：
+ Amazon Elastic Compute Cloud（Amazon EC2）实例
+ 弹性网络接口
+ Amazon VPC 安全组

如果安全组明确位于范围内，或者与范围内的资源相关联，则将其视为策略范围。

**策略规则选项**  
您可以为每个内容审核策略使用托管策略规则或自定义策略规则，但不能同时使用这两者。
+ **托管策略规则**：在包含托管规则的策略中，您可以使用应用程序和协议列表来控制 Firewall Manager 审核哪些规则，并将哪些规则标记为合规或不合规。您可以使用 Firewall Manager 管理的列表。您也可以创建和使用自己的应用程序和协议列表。有关这些类型的列表以及自定义列表管理选项的信息，请参阅 [使用 Firewall Manager 托管列表](working-with-managed-lists.md)。
+ **自定义策略规则**：在包含自定义策略规则的策略中，您可以将现有安全组指定为策略的审核安全组。您可以将审核安全组规则用作模板，用于定义 Firewall Manager 审核的规则，并将其标记为合规或不合规。

**审核安全组**  
必须先使用 Firewall Manager 管理员账户创建审核安全组，然后才能在策略中使用它们。您可以通过 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon EC2) 管理安全组。有关信息，请参阅 *Amazon VPC 用户指南*中的[使用安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)。

您用于内容审核安全组策略的安全组仅被 Firewall Manager 用作策略范围内安全组的比较参考。Firewall Manager 不会将其与组织中的任何资源相关联。

您在审核安全组中定义规则的方式取决于您在策略规则设置中的选择：
+ **托管策略规则**：对于托管策略规则设置，您可以使用情况审核安全组覆盖策略中的其他设置，以明确允许或拒绝否则可能产生其他合规性结果的规则。
  + 如果您选择始终*允许*在审核安全组中定义的规则，则无论其他策略设置如何，任何与审核安全组中定义的规则相匹配的规则都被视为*符合*该策略。
  + 如果您选择始终*拒绝*在审核安全组中定义的规则，则无论其他策略设置如何，任何与审核安全组中定义的规则相匹配的规则都将被视为*不符合*该策略。
+ **自定义策略规则**：对于自定义策略规则设置，审核安全组提供了范围内的安全组规则中可接受或不可接受的示例：
  + 如果您选择*允许*使用这些规则，则所有范围内安全组必须只拥有在策略的审核安全组规则允许*范围内*的规则。*在这种情况下，策略的安全组规则提供了可以接受的操作示例。*
  + 如果您选择*拒绝*使用这些规则，则所有范围内安全组必须只拥有在策略的审核安全组规则允许*范围外*的规则。*在这种情况下，策略的安全组规则提供了不可接受的操作示例。*

**策略的制定和管理**  
创建审核安全组策略时，必须禁用自动修正。建议的做法是在启用自动修正之前先检查策略创建的影响。查看预期效果后，您可以编辑策略并启用自动修正。启用自动修正后，Firewall Manager 会更新或删除范围内安全组中不合规的规则。

**受审核安全组策略影响的安全组**  
您的组织中由客户创建的所有安全组都有资格加入审核安全组策略的范围。

副本安全组不是客户创建的，因此没有资格直接纳入审核安全组策略的范围。但是，由于策略的自动修正活动，它们可能会进行更新。通用安全组策略的主要安全组由客户创建，可以属于审核安全组策略的范围。如果审核安全组策略对主要安全组进行了更改，则 Firewall Manager 会自动将这些更改传播到副本。

## 内容审计安全组策略的注意事项和限制
<a name="policies-audit-limitations"></a>

不得在内容审计安全组策略中引用对等安全组。

有关跨所有 Firewall Manager 安全组的其他注意事项的信息，请参阅 [安全组策略注意事项和限制](security-group-policies.md#security-groups-limitations)。