使用 Firewall Manager 通用安全组策略 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced 和 AWS Shield 网络安全分析器

介绍 AWS WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

使用 Firewall Manager 通用安全组策略

本页介绍了 Firewall Manager 通用安全组策略的工作方式。

Firewall Manager 通过通用安全组策略,提供集中控制的安全组与组织中的账户和资源的关联。您可以指定在企业中应用策略的位置和方式。

您可以将通用安全组策略应用于以下资源类型:

  • Amazon Elastic Compute Cloud(Amazon EC2)实例

  • 弹性网络接口

  • 应用程序负载均衡器

  • Classic 负载均衡器

有关使用控制台创建通用安全组策略的指导,请参阅 创建通用安全组策略

共享 VPC

在通用安全组策略的策略范围设置中,可以选择包括共享 VPC。此选项包括由另一个账户拥有并与范围内账户共享的 VPC。始终包括范围内账户拥有的 VPC。有关共享 VPC 的信息,请参阅 Amazon VPC 用户指南中的使用共享 VPC

在包括共享 VPC 时,注意以下警告。除此之外,安全组策略注意事项和限制 上还提供了有关安全组策略的一般注意事项。

  • Firewall Manager 将主要安全组复制到每个范围内账户的 VPC 中。对于共享 VPC,Firewall Manager 会为与之共享 VPC 的每个范围内账户复制一次主要安全组。这可能会导致单个共享 VPC 中存在多个副本。

  • 创建新的共享 VPC 后,只有当您在 VPC 中至少创建了一个属于策略范围内的资源之后,您才会在 Firewall Manager 安全组策略详细信息中看到该共享 VPC。

  • 在启用共享 VPC 的策略中禁用了共享 VPC 后,在共享 VPC 中,Firewall Manager 将删除与任何资源不关联的副本安全组。Firewall Manager 会保留剩余的副本安全组,但会停止对其进行管理。删除这些其余的安全组时,需要在每个共享 VPC 实例中执行手动管理。

主要安全组

对于每项通用安全组策略,您要向 AWS Firewall Manager 提供一个或多个主要安全组:

  • 主要安全组必须由 Firewall Manager 管理员账户创建,并且可以驻留在账户中的任何 Amazon VPC 实例中。

  • 您可以通过 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon EC2) 管理主要安全组。有关信息,请参阅 Amazon VPC 用户指南中的使用安全组

  • 您可以将一个或多个安全组指定作为 Firewall Manager 安全组策略的主安全组。默认情况下,一个策略中的安全组数量限制为一,但您可以提交请求来增加安全组的数量。有关信息,请参阅AWS Firewall Manager 限额

策略规则设置

您可以为通用安全组策略的安全组和资源选择以下一种或多种更改控制行为:

  • 识别并报告本地用户对副本安全组所做的任何更改。

  • 取消任何其他安全组与策略范围内的 AWS 资源的关联。

  • 将标签从主要安全组分配到副本安全组。

    重要

    Firewall Manager 不会将通过 AWS 服务添加的系统标签分发到副本安全组中。系统标签以 aws: 为前缀。此外,如果现有安全组的标签与组织的标签策略存在冲突,Firewall Manager 将不会更新现有安全组的标签或创建新的安全组。有关标签策略的信息,请参阅《AWS Organizations 用户指南》中的标签策略

  • 将安全组引用从主要安全组分发到副本安全组。

    这样您能够轻松地在所有范围内资源中为与指定安全组的 VPC 关联的实例建立通用的安全组引用规则。启用此选项后,只有当安全组引用 Amazon Virtual Private Cloud 中的对等安全组时,Firewall Manager 才会传播安全组引用。如果副本安全组未正确引用对等安全组,Firewall Manager 会将这些复制的安全组标记为不合规。有关如何在 Amazon VPC 中引用对等安全组的信息,请参阅《Amazon VPC 对等指南》中的更新安全组以引用对等 VPC 安全组

    如果您未启用此选项,则 Firewall Manager 不会将安全组引用传播给副本安全组。有关 Amazon VPC 中 VPC 对等的信息,请参阅 Amazon VPC 对等指南

策略的制定和管理

当您创建通用安全组策略时,Firewall Manager 会将主要安全组复制到策略范围内的每个 Amazon VPC 实例,并将复制的安全组关联到策略范围内的账户和资源。修改主要安全组时,Firewall Manager 会将更改传播到副本。

当您删除通用安全组策略时,您可以选择是否清理该策略创建的资源。对于 Firewall Manager 常见安全组,这些资源是副本安全组。除非您想在删除策略后手动管理每个副本,否则请选择清理选项。在大多数情况下,选择清理选项是最简单的方法。

如何管理副本

Amazon VPC 实例中的副本安全组的管理方式与其他 Amazon VPC 安全组相同。有关信息,请参阅 Amazon VPC 用户指南 中的您的 VPC 的安全组