**推出 的新主控台體驗 AWS WAF** 您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。 本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 搭配 Firewall Manager 使用內容稽核安全群組政策 內容稽核安全群組政策Firewall Manager 更新內容稽核安全群組政策 AWS Firewall Manager 已擴展內容稽核安全群組政策的功能,包括使用受管應用程式和通訊協定清單的受管規則選項,以及資源違規的詳細資訊。 此頁面說明 Firewall Manager 內容稽核安全群組政策的運作方式。 使用 AWS Firewall Manager 內容稽核安全群組政策來稽核政策動作,並將其套用至組織安全群組中使用的規則。根據您在政策中定義的範圍,內容稽核安全群組政策適用於 AWS 組織中使用的所有客戶建立的安全群組。 如需使用主控台建立內容稽核安全群組政策的指引,請參閱 [建立內容稽核安全群組政策](create-policy.md#creating-firewall-manager-policy-audit-security-group)。 **政策範圍資源類型** 您可以將內容稽核安全群組政策套用至下列資源類型: + Amazon Elastic Compute Cloud (Amazon EC2) 執行個體 + 彈性網路界面 + Amazon VPC 安全群組 如果安全群組明確位於範圍內,或與範圍內的資源相關聯,則會將該安全群組視為在政策範圍內。 **政策規則選項** 您可以為每個內容稽核政策使用受管政策規則或自訂政策規則,但不能同時使用兩者。 + **受管政策規則** – 在具有受管規則的政策中,您可以使用應用程式和通訊協定清單來控制 Firewall Manager 稽核哪些規則,並將哪些規則標記為合規或不合規。您可以使用 Firewall Manager 管理的清單。您也可以建立和使用自己的應用程式和通訊協定清單。如需這些清單類型和自訂清單管理選項的相關資訊,請參閱 [使用 Firewall Manager 受管清單](working-with-managed-lists.md)。 + **自訂政策規則** – 在具有自訂政策規則的政策中,您將現有的安全群組指定為政策的稽核安全群組。您可以使用稽核安全群組規則做為範本,定義 Firewall Manager 稽核的規則,並將 標記為合規或不合規。 **稽核安全群組** 您必須使用 Firewall Manager 管理員帳戶建立稽核安全群組,才能在政策中使用它們。您可以透過 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon EC2) 管理安全群組。如需詳細資訊,請參閱《*Amazon VPC 使用者指南*》中的[使用安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)。 Firewall Manager 只會使用您用於內容稽核安全群組政策的安全群組,做為政策範圍內安全群組的比較參考。Firewall Manager 不會將其與組織中的任何資源建立關聯。 您在稽核安全群組中定義規則的方式取決於您在政策規則設定中的選擇: + **受管政策規則** – 對於受管政策規則設定,您可以使用稽核安全群組來覆寫政策中的其他設定,以明確允許或拒絕可能具有其他合規結果的規則。 + 如果您選擇一律*允許*稽核安全群組中定義的規則,則任何符合稽核安全群組中定義規則的規則都會視為*符合*政策,無論其他政策設定為何。 + 如果您選擇一律*拒絕*稽核安全群組中定義的規則,則任何符合稽核安全群組中定義規則的規則都會被視為*不符合*政策,無論其他政策設定為何。 + **自訂政策規則** – 針對自訂政策規則設定,稽核安全群組會提供範圍內安全群組規則中可接受或不接受的範例: + 如果您選擇*允許*使用規則,則所有範圍內的安全群組都必須具有在政策稽核安全群組規則**允許範圍內的規則。*在此情況下,政策的安全群組規則會提供可接受的做法範例。* + 如果您選擇*拒絕*使用規則,則所有範圍內的安全群組只能擁有*不在*政策稽核安全群組規則允許範圍內的規則。*在此情況下,政策的安全群組會提供不允許執行的動作範例。* **政策建立與管理** 建立稽核安全群組政策時,您必須停用自動修補。建議的實務為在啟用自動修補前檢閱政策建立的效用。檢閱預期的效用後,您可以編輯政策,並啟用自動修補。啟用自動修復時,防火牆管理員會更新或移除範圍內安全群組中不合規的規則。 **受稽核安全群組政策影響的安全群組** 您組織中由客戶建立的所有安全群組均有資格位於稽核安全群組政策中。 複本安全群組不是由客戶建立,因此沒有直接位於稽核安全群組政策範圍中的資格。不過它們可以隨著政策的自動修補活動而更新。常見安全群組政策的主要安全群組是由客戶建立,因此可以在稽核安全群組政策的範圍內。如果稽核安全群組政策對主要安全群組進行變更,防火牆管理員會自動將這些變更傳播到複本。 ## 內容稽核安全群組政策的注意事項和限制 警告和限制 您無法在內容稽核安全群組政策中參考對等安全群組。 如需所有 Firewall Manager 安全群組中其他考量事項的資訊,請參閱 [安全群組政策警告和限制](security-group-policies.md#security-groups-limitations)。