**推出 的新主控台體驗 AWS WAF**

您現在可以使用更新後的體驗，在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊，請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 AWS Firewall Manager 政策範圍
<a name="policy-scope"></a>

此頁面說明什麼是 Firewall Manager 政策範圍及其運作方式。

政策範圍會定義政策適用的位置。您可以將集中控制的政策套用至：
+ 您組織內的所有帳戶和資源 AWS Organizations。
+ 組織中您帳戶和資源的子集 AWS Organizations。

如需如何設定政策範圍的指示，請參閱 [建立 AWS Firewall Manager 政策](create-policy.md)。

## 中的政策範圍選項 AWS Firewall Manager
<a name="when-in-scope"></a>

當您將新帳戶或資源新增至組織時，防火牆管理員會自動針對每個政策的設定進行評估，並根據這些設定套用政策。例如，您可以選擇將政策套用至指定清單中的帳號以外的所有帳戶。資源標籤也可以用來定義政策範圍。您可以選擇套用政策，方法是排除或包含具有清單中所有標籤的資源。或者，您可以選擇僅將政策套用至清單中具有任何指定標籤的資源。

**AWS 帳戶 範圍內**  
您提供的設定可定義受政策 AWS 帳戶 影響的 ，決定 AWS 組織中要套用政策的帳戶。您可以透過下列方式之一套用政策：
+ 套用至您組織中的所有帳戶
+ 僅套用至特定包含帳戶號碼與 AWS Organizations 組織單位 (OU) 的清單
+ 套用至特定排除帳戶號碼和 AWS Organizations 組織單位 (OU) 之外所有項目的清單

如需 的詳細資訊 AWS Organizations，請參閱 [AWS Organizations 使用者指南](https://docs.aws.amazon.com/organizations/latest/userguide/)。

**範圍內的資源**  
與範圍內帳戶的設定類似，您為資源提供的設定會決定要套用政策的目標範圍內資源類型。您可以選擇下列其中之一：
+ 所有 資源
+ 具有您指定之所有標籤的資源
+ 除了具有您指定之所有標籤的資源之外的所有資源
+ 只有具有您指定之任何標籤的資源
+ 除了具有您指定之任何標籤的資源之外的所有資源

您只能指定具有非空值的資源標籤。如果您未提供任何值， Firewall Manager 會以空字串值 "" 儲存標籤。資源標籤僅與具有相同索引鍵和相同值的標籤相符。

如需標記資源的詳細資訊，請參閱[使用標籤編輯器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。

## 中的政策範圍管理 AWS Firewall Manager
<a name="when-out-of-scope"></a>

當政策到位時，防火牆管理員會根據政策範圍持續管理它們，並在新增它們時將其套用至新的 AWS 帳戶 和資源。

**Firewall Manager 如何管理 AWS 帳戶 和資源**  
如果帳戶或資源因任何原因超出範圍， AWS Firewall Manager 不會自動移除保護或刪除 Firewall Manager 管理的資源，除非您選取**自動移除離開政策範圍的資源保護**核取方塊。

**注意**  
選項 **自動移除離開政策範圍的資源保護**不適用於 AWS Shield Advanced 或 AWS WAF Classic 政策。

選取此核取方塊 AWS Firewall Manager 會指示 在這些帳戶離開政策範圍時，自動清除 Firewall Manager 為帳戶管理的資源。例如，當 Firewall Manager 離開政策範圍時，防火牆管理員會將 Firewall Manager 受管 Web ACL 與受保護的客戶資源取消關聯。

為了判斷當客戶資源離開政策範圍時，應該從保護中移除哪些資源， Firewall Manager 會遵循下列準則：
+ *預設行為*：
  + 已刪除相關聯的 AWS Config 受管規則。此行為與核取方塊無關。
  + 任何不包含任何資源的相關聯 AWS WAF Web 存取控制清單 (Web ACLs都會遭到刪除。此行為與核取方塊無關。
  + 超出範圍的任何受保護資源都會保持關聯和受保護。例如，與 Web ACL 相關聯的 Application Load Balancer 或來自 API Gateway 的 API 會保持與 Web ACL 的關聯，且保護仍然存在。
+ *在選取**政策範圍核取方塊的情況下，自動移除資源的保護***：
  + 已刪除相關聯的 AWS Config 受管規則。此行為與核取方塊無關。
  + 任何不包含任何資源的相關聯 AWS WAF Web 存取控制清單 (Web ACLs都會遭到刪除。此行為與核取方塊無關。
  + 超出範圍的任何受保護資源會在離開政策範圍時自動取消關聯並從 Firewall Manager 保護中移除。例如，對於安全群組政策，Elastic Inference 加速器或 Amazon EC2 執行個體會在離開政策範圍時自動與複寫的安全群組取消關聯。複寫的安全群組及其資源會自動從保護中移除。
  + 當成員帳戶離開範圍或刪除政策時，防火牆管理員會刪除記錄組態，無論資源清除選項值為何。