介绍 AWS WAF 的全新控制台体验

现在，您可以使用更新后的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息，请参阅 使用更新的控制台体验。

在 Firewall Manager 中使用 AWS Shield Advanced 策略

本页介绍了如何结合使用 AWS Shield 策略和 Firewall Manager。在 Firewall Manager 策略 AWS Shield 中，您可以选择要保护的资源。当您在启用自动修正的情况下应用策略时，对于每个尚未与 AWS WAF Web ACL 关联的范围内资源，Firewall Manager 都会关联一个空的 AWS WAF Web ACL。这个空的 Web ACL 将用于 Shield 监控目的。如果您随后将任何其他 Web ACL 关联到该资源，Firewall Manager 将删除这个空 Web ACL 关联。

AWS Firewall Manager 如何在 Shield 策略中管理未关联 Web ACL

您可以通过策略中的管理未关联 Web ACL设置或 API 中 SecurityServicePolicyData 数据类型中的 optimizeUnassociatedWebACLs 设置来配置 Firewall Manager 是否为您管理未关联 Web ACL。如果在策略中启用了无关联 Web ACL 管理，则只有在 Web ACL 将被至少一个资源使用的情况下，Firewall Manager 才会在策略作用域内的账户中创建 Web ACL。当某个账户在任何时候进入策略范围时，如果至少有一个资源将使用 Web ACL，则 Firewall Manager 会自动在该账户中创建一个 Web ACL。

启用对未关联 Web ACL 的管理后，Firewall Manager 会对您账户中的未关联 Web ACL 执行一次性清理。清理过程可能需要数小时时间。如果资源在 Firewall Manager 创建 Web ACL 后离开策略范围，Firewall Manager 不会取消该资源与 Web ACL 的关联。如果希望 Firewall Manager 清理 Web ACL，则必须先手动取消资源与 Web ACL 的关联，然后在策略中启用管理未关联 Web ACL选项。

如果您不启用此选项，Firewall Manager 将不管理未关联 Web ACL，并且 Firewall Manager 会自动在策略范围内的每个账户中创建一个 Web ACL。

AWS Firewall Manager 如何管理 Shield 策略中的范围更改

鉴于各种更改，例如策略范围设置的更改、资源标签的更改以及将账户从组织中删除，账户和资源可能会超出 AWS Firewall Manager Shield Advanced 策略的范围。有关策略范围设置的一般信息，请参阅 使用 AWS Firewall Manager 策略范围。

使用 AWS Firewall Manager Shield Advanced 策略时，如果账户或资源超出范围，Firewall Manager 将停止监控该账户或资源。

如果账户因从组织中移除而超出范围，则该账户将继续订阅 Shield Advanced。由于账户不再是整合账单账户系列的一部分，因此该账户将产生按比例分配的 Shield Advanced 订阅费用。另一方面，超出范围但仍留在组织中的账户不会产生额外费用。

如果资源超出范围，它将继续受到 Shield Advanced 的保护，并继续chan's产生 Shield Advanced 数据传输费用。