**引入全新的主机体验 AWS WAF** 现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用 Firewall Manager 通用安全组策略 本页介绍了 Firewall Manager 通用安全组策略的工作方式。 Firewall Manager 通过通用安全组策略,提供集中控制的安全组与组织中的账户和资源的关联。您可以指定在企业中应用策略的位置和方式。 您可以将通用安全组策略应用于以下资源类型: + Amazon Elastic Compute Cloud(Amazon EC2)实例 + 弹性网络接口 + 应用程序负载均衡器 + Classic 负载均衡器 有关使用控制台创建通用安全组策略的指导,请参阅 [创建通用安全组策略](create-policy.md#creating-firewall-manager-policy-common-security-group)。 **已共享 VPCs** 在通用安全组策略的策略范围设置中,您可以选择包括共享 VPCs。此选项包括 VPCs 由其他账户拥有并与范围内的账户共享的选项。 VPCs 范围内账户拥有的始终包括在内。有关共享的信息 VPCs,请参阅 *Amazon VPC 用户指南 VPCs*中的[使用共享](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html)内容。 以下注意事项适用于包含共享。 VPCs除此之外,[安全组策略注意事项和限制](security-group-policies.md#security-groups-limitations) 上还提供了有关安全组策略的一般注意事项。 + Firewall Manager 会将每个范围内帐户 VPCs 的主安全组复制到中。对于共享 VPC,Firewall Manager 会为与之共享 VPC 的每个范围内账户复制一次主要安全组。这可能会导致单个共享 VPC 中存在多个副本。 + 创建新的共享 VPC 后,只有当您在 VPC 中至少创建了一个属于策略范围内的资源之后,您才会在 Firewall Manager 安全组策略详细信息中看到该共享 VPC。 + 当您在 VPCs 启用共享的策略 VPCs 中禁用共享时,Firewall Manager 会删除未与任何资源关联的副本安全组。 VPCsFirewall Manager 会保留剩余的副本安全组,但会停止对其进行管理。删除这些其余的安全组时,需要在每个共享 VPC 实例中执行手动管理。 **主要安全组** 对于每项常用安全组策略,您都需要 AWS Firewall Manager 提供一个或多个主安全组: + 主要安全组必须由 Firewall Manager 管理员账户创建,并且可以驻留在账户中的任何 Amazon VPC 实例中。 + 您可以通过 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon EC2) 管理主要安全组。有关信息,请参阅 *Amazon VPC 用户指南*中的[使用安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)。 + 您可以将一个或多个安全组指定作为 Firewall Manager 安全组策略的主安全组。默认情况下,一个策略中的安全组数量限制为一,但您可以提交请求来增加安全组的数量。有关信息,请参阅[AWS Firewall Manager 配额](fms-limits.md)。 **策略规则设置** 您可以为通用安全组策略的安全组和资源选择以下一种或多种更改控制行为: + 识别并报告本地用户对副本安全组所做的任何更改。 + 取消任何其他安全组与策略范围内的 AWS 资源的关联。 + 将标签从主要安全组分配到副本安全组。 **重要** Firewall Manager 不会将 AWS 服务添加的系统标签分发到副本安全组中。系统标签以 `aws:` 为前缀。此外,如果现有安全组的标签与组织的标签策略存在冲突,Firewall Manager 将不会更新现有安全组的标签或创建新的安全组。有关标签策略的信息,请参阅《 AWS Organizations 用户指南》中的[标签策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html)。 + 将安全组引用从主要安全组分发到副本安全组。 这样您能够轻松地在所有范围内资源中为与指定安全组的 VPC 关联的实例建立通用的安全组引用规则。启用此选项后,只有当安全组引用 Amazon Virtual Private Cloud 中的对等安全组时,Firewall Manager 才会传播安全组引用。如果副本安全组未正确引用对等安全组,Firewall Manager 会将这些复制的安全组标记为不合规。有关如何在 Amazon VPC 中引用对等安全组的信息,请参阅[《Amazon VPC 对等指南》](https://docs.aws.amazon.com/vpc/latest/peering/)中的[更新安全组以引用对等 VPC 安全组](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html)。 如果您未启用此选项,则 Firewall Manager 不会将安全组引用传播给副本安全组。有关 Amazon VPC 中 VPC 对等的信息,请参阅 [Amazon VPC 对等指南](https://docs.aws.amazon.com/vpc/latest/peering/)。 **策略的制定和管理** 当您创建通用安全组策略时,Firewall Manager 会将主要安全组复制到策略范围内的每个 Amazon VPC 实例,并将复制的安全组关联到策略范围内的账户和资源。修改主要安全组时,Firewall Manager 会将更改传播到副本。 当您删除通用安全组策略时,您可以选择是否清理该策略创建的资源。对于 Firewall Manager 常见安全组,这些资源是副本安全组。除非您想在删除策略后手动管理每个副本,否则请选择清理选项。在大多数情况下,选择清理选项是最简单的方法。 **如何管理副本** Amazon VPC 实例中的副本安全组的管理方式与其他 Amazon VPC 安全组相同。有关信息,请参阅 *Amazon VPC 用户指南* 中的[您的 VPC 的安全组](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)。