

**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 啟用 AWS Config 以使用 Firewall Manager
已更新 Firewall Manager AWS Config 先決條件

如果您使用自訂 IAM 角色，而不是 的 Firewall Manager 受管角色 AWS Config，則必須確保您的許可政策允許 AWS Config 記錄器記錄 Firewall Manager 資源。已移除 DNS 防火牆政策 AWS Config 的需求

對於 DNS 防火牆政策，您現在只需要為資源類型 EC2 VPC 啟用 Config。

若要使用 Firewall Manager，您必須啟用 AWS Config。

**注意**  
根據 AWS Config 定價，您的 AWS Config 設定會產生費用。如需詳細資訊，請參閱 [入門 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html)。

**注意**  
為了讓 Firewall Manager 監控政策合規性， AWS Config 必須持續記錄受保護資源的組態變更。在您的 AWS Config 組態中，錄製頻率必須設定為**連續**，這是預設設定。

**AWS Config 為 Firewall Manager 啟用**

1.  AWS Config 為每個 AWS Organizations 成員帳戶啟用 ，包括 Firewall Manager 管理員帳戶。如需詳細資訊，請參閱 [入門 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html)。

1.  AWS Config 針對包含您要保護之資源 AWS 區域 的每個 啟用 。您可以 AWS Config 手動啟用，也可以在 [AWS CloudFormation StackSets 範本](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html)中使用 CloudFormation 範本「啟用 AWS Config」。

   如果您不想 AWS Config 為所有資源啟用 ，則必須根據您使用的 Firewall Manager 政策類型啟用下列項目：
   + **WAF 政策** – 為 CloudFront Distribution、Application Load Balancer （從清單中選擇 **ElasticLoadBalancingV2**)、API Gateway、WAF WebACL、WAF Regional WebACL 和 WAFv2 WebACL 資源類型啟用 Config。若要讓 AWS Config 保護 CloudFront 分佈，您必須位於美國東部 （維吉尼亞北部） 區域。其他區域沒有 CloudFront 做為選項。
   + **Shield 政策** – 針對 Shield Protection、ShieldRegional Protection、Application Load Balancer、EC2 EIP、WAF WebACL、WAF Regional WebACL 和 WAFv2 WebACL 資源類型啟用 Config。
   + **安全群組政策** – 為資源類型 EC2 SecurityGroup、EC2 執行個體和 EC2 NetworkInterface 啟用 Config。
   + **網路 ACL 政策** – 為 Amazon EC2 子網路和 Amazon EC2 網路 ACL 資源類型啟用 Config。
   + **Network Firewall 政策** – 針對 NetworkFirewall FirewallPolicy、NetworkFirewall RuleGroup、EC2 VPC、EC2 InternetGateway、EC2 RouteTable 和 EC2 Subnet 資源類型啟用 Config。
   + **DNS 防火牆政策** – 為資源類型 EC2 VPC 和 Amazon Route 53 FirewallRuleGroupAssociation 啟用 Config。
   + **第三方防火牆政策** – 針對 Amazon EC2 VPC、Amazon EC2 InternetGateway、Amazon EC2 RouteTable、Amazon EC2 Subnet 和 Amazon EC2 VPCEndpoint 資源類型啟用 Config。
**注意**  
如果您將 AWS Config 記錄器設定為使用自訂 IAM 角色，則需要確保 IAM 政策具有記錄 Firewall Manager 政策所需資源類型的適當許可。如果沒有適當的許可，可能不會記錄必要的資源，這會使 Firewall Manager 無法正確保護您的資源。Firewall Manager 無法查看這些許可組態錯誤。如需搭配 使用 IAM 的詳細資訊 AWS Config，請參閱適用於 [的 IAM AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/security-iam.html)。