**推出 的新主控台體驗 AWS WAF** 您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 AWS Firewall Manager 管理員 此頁面說明什麼是 Firewall Manager 管理員,並定義相關術語。 使用 AWS Firewall Manager ,您可以有一或多個管理員可以管理組織的防火牆資源。如果您想要在組織中使用多個 Firewall Manager 管理員,您可以將管理範圍條件套用至每個管理員,以定義他們可以管理的資源。這可讓您彈性地在組織內擁有不同的管理員角色,並協助您維持最低權限存取的主體。例如,您可以讓一個管理員為您的組織管理一組組織單位 OUs),同時委派另一個管理員僅管理特定的 Firewall Manager 政策類型。如需 Organizations 和管理帳戶的詳細資訊,請參閱[管理組織中 AWS 的帳戶](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html)。 如需每個組織可擁有的管理員數量上限,請參閱 [AWS Firewall Manager 配額](fms-limits.md) **開始使用 Firewall Manager 管理員** 開始使用 Firewall Manager 管理員之前,您必須先完成 中列出的先決條件[AWS Firewall Manager 先決條件](fms-prereq.md)。在先決條件中,您將加入 AWS Organizations 組織至 Firewall Manager,並為 Firewall Manager 建立預設管理員帳戶。預設管理員帳戶能夠管理第三方防火牆,並具有完整的管理範圍。 **管理範圍** *管理範圍*定義 Firewall Manager 管理員可以管理的資源。 AWS Organizations 管理帳戶將組織加入 Firewall Manager 後,管理帳戶可以建立具有不同管理範圍的其他 Firewall Manager 管理員。 AWS Organizations 管理帳戶可以授予管理員**完整**或**受限制**的管理範圍。完整範圍可讓管理員完整存取上述所有資源類型。限制範圍是指僅將管理許可授予上述資源的子集。我們建議您只授予管理員執行其角色職責所需的許可。您可以將這些管理範圍條件的任意組合套用至管理員: + 組織中管理員可套用政策的帳戶或 OUs。 + 管理員可在其中執行動作的區域。 + 管理員可以管理的 Firewall Manager 政策類型。 **管理員角色** Firewall Manager 中有兩種類型的管理員角色:預設管理員和 Firewall Manager 管理員。 + 預設管理員 - 組織的管理帳戶會在其組織加入 Firewall Manager 時建立 Firewall Manager *預設管理員*帳戶,同時完成 [AWS Firewall Manager 先決條件](fms-prereq.md)。預設管理員可以管理第三方防火牆,並擁有完整的管理範圍,但如果您選擇擁有多個管理員,則與其他管理員位於相同的對等層級。 + Firewall Manager 管理員 - Firewall Manager 管理員可以管理管理帳戶在其 AWS Organizations 管理範圍組態中為其指定的資源。如需每個組織可擁有的管理員數量上限,請參閱 [AWS Firewall Manager 配額](fms-limits.md)。建立 Firewall Manager 管理員帳戶時,服務會使用 AWS Organizations 檢查帳戶是否已是組織中 Firewall Manager 的委派管理員。如果沒有,則 Firewall Manager 會呼叫 Organizations,將帳戶設定為 Firewall Manager 的委派管理員。如需有關 Organizations 委派管理員的資訊,請參閱*AWS Organizations 《 使用者指南*》中的[AWS Organizations 術語和概念](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html)。 **現有管理員** 如果您是現有的 Firewall Manager 客戶,且已設定 管理員,則此現有的管理員將是 Firewall Manager 預設管理員。對您現有的流程不應有任何影響。如果您想要新增更多管理員,您可以按照本章中的程序執行此操作。