**推出 的新主控台體驗 AWS WAF**
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 Firewall Manager 中使用安全群組政策來管理 Amazon VPC 安全群組
此頁面說明如何使用 AWS Firewall Manager 安全群組政策來管理組織的 Amazon Virtual Private Cloud 安全群組 AWS Organizations。您可以將集中控制的安全群組政策套用至整間組織,或選取您的帳戶和資源子集。您也可以監控並管理在您組織中使用的安全群組政策,以及監控稽核和用途安全群組政策。
Firewall Manager 會持續維護您的政策,並在在整個組織中新增或更新帳戶和資源時將其套用到帳戶和資源。如需 的詳細資訊 AWS Organizations,請參閱 [AWS Organizations 使用者指南](https://docs.aws.amazon.com/organizations/latest/userguide/)。
如需有關 Amazon Virtual Private Cloud 安全群組的資訊,請參閱《Amazon [VPC 使用者指南》中的 VPC 的安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)。 **
您可以使用 Firewall Manager 安全群組政策,在整個 AWS 組織中執行下列動作:
+ 將常見安全群組套用至指定的帳戶和資源。
+ 稽核安全群組規則,以尋找和修補不合規規則。
+ 稽核安全群組的用途,以清理未使用的與備援安全群組。
本節涵蓋 Firewall Manager 安全群組政策的運作方式,並提供使用這些政策的指引。如需建立安全群組政策的程序,請參閱 [建立 AWS Firewall Manager 政策](create-policy.md)。
## 安全群組政策的最佳實務
本節列出使用 AWS Firewall Manager管理安全群組的建議。
**排除 Firewall Manager 管理員帳戶**
當您設定政策範圍時,請排除 Firewall Manager 管理員帳戶。當您透過主控台建立用途稽核安全群組政策時,這是預設選項。
**從停用自動修補開始**
對於內容或用途稽核安全群組政策,請先從停用自動修補開始。檢閱政策詳細資訊,以判定自動修補可能有的效用。當您確認這些變更正是您所需的時,請編輯政策,以啟用自動修補。
**如果您也使用外部來源管理安全群組,請避免衝突**
如果您使用 Firewall Manager 以外的工具或服務來管理安全群組,請小心避免 Firewall Manager 中的設定與外部來源中的設定之間發生衝突。如果您使用自動修補且設定有衝突,您可以建立消耗雙方資源的衝突修補循環。
例如,假設您設定另一項服務來維護一組 AWS 資源的安全群組,並設定 Firewall Manager 政策來維護部分或全部相同資源的不同安全群組。如果您設定任何其他安全群組與範圍內資源相關聯的任何一方,該方將會移除由另一方維護的安全群組關聯。如果雙方都以這種方式進行配置,則最終可能會產生衝突的分離和關聯循環。
此外,假設您建立 Firewall Manager 稽核政策,以強制執行與來自其他服務的安全群組組態衝突的安全群組組態。Firewall Manager 稽核政策套用的修補可以更新或刪除該安全群組,使其不符合其他服務的合規。如果其他服務設定為監控並自動修復發現的任何問題,則會重新建立或更新安全群組,使其再次不符合 Firewall Manager 稽核政策。如果 Firewall Manager 稽核政策設定為自動修復,它會再次更新或刪除外部安全群組,以此類推。
為了避免這類衝突,請在 Firewall Manager 和任何外部來源之間建立互斥的組態。
您可以使用標記從 Firewall Manager 政策的自動修復中排除外部安全群組。若要這樣做,請將一或多個標記新增至由外部來源管理的安全群組或其他資源。然後,當您定義 Firewall Manager 政策範圍時,請在資源規格中排除具有您新增之標籤或標籤的資源。
同樣地,在您的外部工具或服務中,排除 Firewall Manager 從任何管理或稽核活動中管理的安全群組。請勿匯入 Firewall Manager 資源,或使用 Firewall Manager 特定的標記將其排除在外部管理之外。
**用量稽核安全群組政策的最佳實務**
當您使用用量稽核安全群組政策時,請遵循這些準則。
+ 避免在短時間內對安全群組的關聯狀態進行多次變更,例如在 15 分鐘內。這樣做可能會導致 Firewall Manager 錯過部分或全部對應的事件。例如,請勿快速關聯和取消安全群組與彈性網路界面的關聯。
## 安全群組政策警告和限制
本節列出使用 Firewall Manager 安全群組政策的注意事項和限制。
**資源類型:Amazon EC2 執行個體**
本節列出使用 Firewall Manager 安全群組政策保護 Amazon EC2 執行個體的注意事項和限制。
+ 透過保護 Amazon EC2 彈性網路介面 (ENIs) 的安全群組,防火牆管理員不會立即看到安全群組的變更。Firewall Manager 通常會在幾個小時內偵測變更,但偵測最多可延遲六個小時。
+ Firewall Manager 不支援由 Amazon Relational Database Service 建立的 Amazon EC2 ENIs 安全群組。 Amazon Relational Database Service
+ Firewall Manager 不支援更新使用 Fargate 服務類型建立之 Amazon EC2 ENIs 的安全群組。不過,您可以使用 Amazon EC2 服務類型更新 Amazon ECS ENIs 的安全群組。
+ Firewall Manager 不支援更新請求者受管 Amazon EC2 ENIs 的安全群組,因為 Firewall Manager 沒有修改這些群組的許可。
+ 對於常見的安全群組政策,這些注意事項涉及連接到 EC2 執行個體的彈性網路界面 (ENIs) 數量與指定是否僅修復沒有新增附件的 EC2 執行個體或修復所有執行個體的政策選項之間的互動。每個 EC2 執行個體都有預設的主要 ENI,您可以連接更多 ENIs。在 API 中,此選項的政策選項設定為 `ApplyToAllEC2InstanceENIs`。
如果範圍內的 EC2 執行個體已連接其他 ENIs,且政策設定為僅包含具有主要 ENI 的 EC2 執行個體,則 Firewall Manager 不會嘗試對 EC2 執行個體進行任何修復。此外,如果執行個體超出政策範圍,防火牆管理員不會嘗試取消其可能為執行個體建立的任何安全群組關聯的關聯。
對於下列邊緣案例,在資源清除期間,防火牆管理員可以保持複寫的安全群組關聯完整,無論政策的資源清除規格為何:
+ 當具有其他 ENIs執行個體先前已由設定為包含所有 EC2 執行個體的政策修復,然後執行個體超出政策範圍或政策設定變更為僅包含沒有其他 ENIs執行個體。
+ 當沒有其他 ENIs執行個體被設定為僅包含沒有其他 ENIs的執行個體的政策修復時,則另一個 ENI 會連接到執行個體,然後執行個體超出政策範圍。
**其他注意事項和限制**
以下是 Firewall Manager 安全群組政策的其他注意事項和限制。
+ Firewall Manager 安全群組政策不支援透過 共用的安全群組 AWS RAM。
+ 使用 AWS RAM 跨組織共用字首清單不是 Firewall Manager 官方支援的功能。雖然現在可能生效,但 沒有義務為該使用案例 AWS 提供支援,也沒有任何保證會繼續運作。
+ 只有使用滾動更新 (Amazon ECS) 部署控制器的 Amazon ECS 服務,才能更新 Amazon ECS ENIs。對於其他 Amazon ECS 部署控制器,例如 CODE\$1DEPLOY 或外部控制器,防火牆管理員目前無法更新 ENIs。
+ Firewall Manager 不支援在 ENIs中更新 Network Load Balancer 的安全群組。
+ 在常見的安全群組政策中,如果稍後未與帳戶 Firewall Manager 共用共用 VPC,則不會刪除帳戶中的複本安全群組。
+ 使用用量稽核安全群組政策,如果您建立具有自訂延遲時間設定的多個政策,而這些政策都有相同的範圍,則第一個具有合規調查結果的政策將是報告調查結果的政策。
## 安全群組政策使用案例
您可以使用 AWS Firewall Manager 常見的安全群組政策來自動化主機防火牆組態,以便在 Amazon VPC 執行個體之間進行通訊。本節列出標準 Amazon VPC 架構,並說明如何使用 Firewall Manager 常見安全群組政策來保護每個架構。這些安全群組政策可協助您套用統一的規則集,以選取不同帳戶中的資源,並避免 Amazon Elastic Compute Cloud 和 Amazon VPC 中的每個帳戶組態。
使用 Firewall Manager 常見安全群組政策,您可以只標記與另一個 Amazon VPC 中的執行個體通訊所需的 EC2 彈性網路介面。然後,相同 Amazon VPC 中的其他執行個體會更安全且隔離。
**使用案例:監控和控制對 Application Load Balancer 和 Classic Load Balancer 的請求**
您可以使用 Firewall Manager 通用安全群組政策來定義您的範圍內負載平衡器應該提供哪些請求。您可以透過 Firewall Manager 主控台進行設定。只有符合安全群組傳入規則的請求才能到達負載平衡器,而且負載平衡器只會分發符合傳出規則的請求。
**使用案例:可存取網際網路的公有 Amazon VPC**
您可以使用 Firewall Manager 通用安全群組政策來保護公有 Amazon VPC,例如僅允許傳入連接埠 443。此做法與只允許公有 VPC 的傳入 HTTPS 流量相同。您可以在 VPC 中標記公有資源 (例如,「PublicVPC」),然後將 Firewall Manager 政策範圍設定為僅具有該標籤的資源。Firewall Manager 會自動將政策套用至這些資源。
**使用案例:公有和私有 Amazon VPC 執行個體**
對於可存取網際網路的公有 Amazon VPC 執行個體,您可以對公有資源使用與先前使用案例中建議的相同常見安全群組政策。您可以使用第二個常見安全群組政策,限制公有資源與私有資源之間的通訊。將公有和私有 Amazon VPC 執行個體中的資源標記為「PublicPrivate」,以套用第二個政策。您可以使用第三個政策來定義私有資源與其他公司或私有 Amazon VPC 執行個體之間的允許通訊。對於此政策,您可以在私有資源上使用另一個識別標籤。
**使用案例:中樞和發言的 Amazon VPC 執行個體**
您可以使用常見的安全群組政策來定義中樞 Amazon VPC 執行個體與發言 Amazon VPC 執行個體之間的通訊。您可以使用第二個政策來定義從每個輪輻 Amazon VPC 執行個體到中樞 Amazon VPC 執行個體的通訊。
**使用案例:Amazon EC2 執行個體的預設網路介面**
您可以使用常見安全群組政策,只允許標準通訊,例如內部 SSH 和修補程式/作業系統更新服務,並不允許其他不安全通訊。
**使用案例:識別具有開放許可的資源**
您可以使用稽核安全群組政策,來識別您組織內擁有可與公有 IP 地址進行通訊之許可,或擁有屬於第三方廠商之 IP 地址的所有資源。
# 搭配 Firewall Manager 使用常見的安全群組政策
此頁面說明 Firewall Manager 常見安全群組政策的運作方式。
透過常見的安全群組政策, Firewall Manager 提供安全群組與整個組織中帳戶和資源的集中控制關聯。您可以指定要在您組織中要套用政策的項目與如何套用。
您可以將常見的安全群組政策套用至下列資源類型:
+ Amazon Elastic Compute Cloud (Amazon EC2) 執行個體
+ 彈性網路界面
+ Application Load Balancer
+ Classic Load Balancer
如需使用主控台建立常見安全群組政策的指引,請參閱 [建立常見安全群組政策](create-policy.md#creating-firewall-manager-policy-common-security-group)。
**共用的 VPC**
在通用安全性群組政策的政策範圍設定中,您可以選擇包含共用 VPC。此選項包括由另一個帳戶擁有且與範圍內帳戶共用的 VPC。一律包含範圍內帳戶擁有的 VPC。如需共用 VPCs的相關資訊,請參閱《Amazon [ VPCs》中的使用共用](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-sharing.html) VPC。 **
下列注意事項適用於包含共用 VPCs。這些是 安全群組政策的一般注意事項。 [安全群組政策警告和限制](security-group-policies.md#security-groups-limitations)
+ Firewall Manager 會將主要安全群組複寫到每個範圍內帳戶的 VPCs。對於共用的 VPC,防火牆管理員會針對共用 VPC 的每個範圍內帳戶複寫主要安全群組一次。這可能會導致單一共用 VPC 中的多個複本。
+ 當您建立新的共用 VPC 時,在政策範圍內的 VPC 中建立至少一個資源後,才會在 Firewall Manager 安全群組政策詳細資訊中顯示它。
+ 當您在已啟用共用 VPCs的政策中停用共用 VPCs 時,在共用 VPCs中, Firewall Manager 會刪除未與任何資源相關聯的複本安全群組。Firewall Manager 會保留剩餘的複本安全群組,但會停止管理它們。移除這些剩餘的安全群組需要在每個共用 VPC 執行個體中進行手動管理。
**主要安全群組**
對於每個常見的安全群組政策,您 AWS Firewall Manager 提供一或多個主要安全群組:
+ 主要安全群組必須由 Firewall Manager 管理員帳戶建立,並且可以位於帳戶中的任何 Amazon VPC 執行個體中。
+ 您可以透過 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon EC2) 管理主要安全群組。如需詳細資訊,請參閱《*Amazon VPC 使用者指南*》中的[使用安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)。
+ 您可以將一或多個安全群組命名為 Firewall Manager 安全群組政策的主要群組。政策中允許的安全群組數量預設為一個,但您可以提交增加數量的請求。如需相關資訊,請參閱[AWS Firewall Manager 配額](fms-limits.md)。
**政策規則設定**
您可以為常見安全群組政策的安全群組和資源選擇下列一個或多個變更控制行為:
+ 識別並報告本機使用者對複本安全群組所做的任何變更。
+ 取消任何其他安全群組與政策範圍內 AWS 資源的關聯。
+ 將標籤從主要群組分佈到複本安全群組。
**重要**
Firewall Manager 不會將 AWS 服務新增的系統標籤分發至複本安全群組。系統標籤以 `aws:` 字首開頭。此外,如果政策的標籤與組織的標籤政策衝突,則 Firewall Manager 不會更新現有安全群組的標籤,也不會建立新的安全群組。如需標籤政策的相關資訊,請參閱 AWS Organizations 《 使用者指南》中的[標籤政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html)。
+ 將安全群組參考從主要群組分發至複本安全群組。
這可讓您輕鬆地建立通用安全群組,將所有範圍內資源的規則參考到與指定安全群組的 VPC 相關聯的執行個體。當您啟用此選項時,防火牆管理員只會在安全群組參考 Amazon Virtual Private Cloud 中的對等安全群組時傳播安全群組參考。如果複本安全群組未正確參考對等安全群組,則 Firewall Manager 會將這些複寫的安全群組標記為不合規。如需有關如何在 Amazon VPC 中參考對等安全群組的資訊,請參閱《[Amazon VPC 對等指南](https://docs.aws.amazon.com/vpc/latest/peering/)》中的[更新您的安全群組以參考對等安全群組](https://docs.aws.amazon.com/vpc/latest/peering/vpc-peering-security-groups.html)。
如果您未啟用此選項,防火牆管理員不會將安全群組參考傳播至複本安全群組。如需 Amazon VPC 中 VPC 對等互連的相關資訊,請參閱 [Amazon VPC 對等互連指南](https://docs.aws.amazon.com/vpc/latest/peering/)。
**政策建立與管理**
當您建立常見的安全群組政策時,防火牆管理員會將主要安全群組複寫至政策範圍內的每個 Amazon VPC 執行個體,並將複寫的安全群組關聯至政策範圍內的帳戶和資源。當您修改主要安全群組時,防火牆管理員會將變更傳播到複本。
刪除常見安全群組政策時,您可以選擇是否要清理依此政策建立的資源。對於 Firewall Manager 常見安全群組,這些資源是複本安全群組。除非您想要在刪除政策後手動管理每個個別複本,否則請選擇清理選項。在大多數情況下,選擇清理是最簡單的方法。
**如何管理複本**
Amazon VPC 執行個體中的複本安全群組管理方式與其他 Amazon VPC 安全群組相同。如需詳細資訊,請參閱《*Amazon* [VPC 使用者指南》中的 VPC 的安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)。
# 搭配 Firewall Manager 使用內容稽核安全群組政策
此頁面說明 Firewall Manager 內容稽核安全群組政策的運作方式。
使用 AWS Firewall Manager 內容稽核安全群組政策來稽核政策動作,並將其套用至組織安全群組中使用的規則。根據您在政策中定義的範圍,內容稽核安全群組政策適用於 AWS 組織中使用的所有客戶建立的安全群組。
如需使用主控台建立內容稽核安全群組政策的指引,請參閱 [建立內容稽核安全群組政策](create-policy.md#creating-firewall-manager-policy-audit-security-group)。
**政策範圍資源類型**
您可以將內容稽核安全群組政策套用至下列資源類型:
+ Amazon Elastic Compute Cloud (Amazon EC2) 執行個體
+ 彈性網路界面
+ Amazon VPC 安全群組
如果安全群組明確位於範圍內,或與範圍內的資源相關聯,則會將該安全群組視為在政策範圍內。
**政策規則選項**
您可以為每個內容稽核政策使用受管政策規則或自訂政策規則,但不能同時使用兩者。
+ **受管政策規則** – 在具有受管規則的政策中,您可以使用應用程式和通訊協定清單來控制 Firewall Manager 稽核哪些規則,並將哪些規則標記為合規或不合規。您可以使用 Firewall Manager 管理的清單。您也可以建立和使用自己的應用程式和通訊協定清單。如需這些清單類型和自訂清單管理選項的相關資訊,請參閱 [使用 Firewall Manager 受管清單](working-with-managed-lists.md)。
+ **自訂政策規則** – 在具有自訂政策規則的政策中,您將現有的安全群組指定為政策的稽核安全群組。您可以使用稽核安全群組規則做為範本,定義 Firewall Manager 稽核的規則,並將 標記為合規或不合規。
**稽核安全群組**
您必須使用 Firewall Manager 管理員帳戶建立稽核安全群組,才能在政策中使用它們。您可以透過 Amazon Virtual Private Cloud (Amazon VPC) 或 Amazon Elastic Compute Cloud (Amazon EC2) 管理安全群組。如需詳細資訊,請參閱《*Amazon VPC 使用者指南*》中的[使用安全群組](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)。
Firewall Manager 只會使用您用於內容稽核安全群組政策的安全群組,做為政策範圍內安全群組的比較參考。Firewall Manager 不會將其與組織中的任何資源建立關聯。
您在稽核安全群組中定義規則的方式取決於您在政策規則設定中的選擇:
+ **受管政策規則** – 對於受管政策規則設定,您可以使用稽核安全群組來覆寫政策中的其他設定,以明確允許或拒絕可能具有其他合規結果的規則。
+ 如果您選擇一律*允許*稽核安全群組中定義的規則,則任何符合稽核安全群組中定義規則的規則都會視為*符合*政策,無論其他政策設定為何。
+ 如果您選擇一律*拒絕*稽核安全群組中定義的規則,則任何符合稽核安全群組中定義規則的規則都會被視為*不符合*政策,無論其他政策設定為何。
+ **自訂政策規則** – 針對自訂政策規則設定,稽核安全群組會提供範圍內安全群組規則中可接受或不接受的範例:
+ 如果您選擇*允許*使用規則,則所有範圍內的安全群組都必須具有在政策稽核安全群組規則**允許範圍內的規則。*在此情況下,政策的安全群組規則會提供可接受的做法範例。*
+ 如果您選擇*拒絕*使用規則,則所有範圍內的安全群組只能擁有*不在*政策稽核安全群組規則允許範圍內的規則。*在此情況下,政策的安全群組會提供不允許執行的動作範例。*
**政策建立與管理**
建立稽核安全群組政策時,您必須停用自動修補。建議的實務為在啟用自動修補前檢閱政策建立的效用。檢閱預期的效用後,您可以編輯政策,並啟用自動修補。啟用自動修復時,防火牆管理員會更新或移除範圍內安全群組中不合規的規則。
**受稽核安全群組政策影響的安全群組**
您組織中由客戶建立的所有安全群組均有資格位於稽核安全群組政策中。
複本安全群組不是由客戶建立,因此沒有直接位於稽核安全群組政策範圍中的資格。不過它們可以隨著政策的自動修補活動而更新。常見安全群組政策的主要安全群組是由客戶建立,因此可以在稽核安全群組政策的範圍內。如果稽核安全群組政策對主要安全群組進行變更,防火牆管理員會自動將這些變更傳播到複本。
## 內容稽核安全群組政策的注意事項和限制
您無法在內容稽核安全群組政策中參考對等安全群組。
如需所有 Firewall Manager 安全群組中其他考量事項的資訊,請參閱 [安全群組政策警告和限制](security-group-policies.md#security-groups-limitations)。
# 搭配 Firewall Manager 使用用量稽核安全群組政策
此頁面說明 Firewall Manager 用量稽核安全群組政策的運作方式。
使用 AWS Firewall Manager 用量稽核安全群組政策來監控組織的未使用和備援安全群組,並選擇性地執行清除。當您啟用此政策的自動修復時, Firewall Manager 會執行下列動作:
1. 整合多餘的安全群組 (如果您已選擇該選項)。
1. 移除未使用的安全群組 (如果您已選擇該選項)。
您可以將用量稽核安全群組政策套用至下列資源類型:
+ Amazon VPC 安全群組
如需使用主控台建立用量稽核安全群組政策的指引,請參閱 [建立用途稽核安全群組政策](create-policy.md#creating-firewall-manager-policy-usage-security-group)。
**Firewall Manager 如何偵測和修復備援安全群組**
若要將安全群組視為備援,它們必須設定完全相同的規則,且位於相同的 Amazon VPC 執行個體中。
若要修復備援安全群組集,防火牆管理員會選取要保留的集合中的其中一個安全群組,然後將其與集合中與其他安全群組相關聯的所有資源建立關聯。然後 Firewall Manager 會將其他安全群組與與其相關聯的資源取消關聯,這會讓這些群組未使用。
**注意**
如果您也選擇移除未使用的安全群組,則 Firewall Manager 會執行此操作。此動作會移除備援組中的安全群組。
**Firewall Manager 如何偵測和修復未使用的安全群組**
如果下列兩者都成立,則 Firewall Manager 會將安全群組視為未使用:
+ 任何 Amazon EC2 執行個體或 Amazon EC2 彈性網路介面都不會使用安全群組。
+ Firewall Manager 未在政策規則期間指定的分鐘數內收到其組態項目。
政策規則期間預設設定為零分鐘,但您可以將時間增加到 365 天 (525,600 分鐘),以便自己有時間將新的安全群組與資源建立關聯。
**重要**
如果您指定預設值為零以外的分鐘數,則必須在其中啟用間接關係 AWS Config。否則,您的用量稽核安全群組政策將無法如預期般運作。如需 中間接關係的相關資訊 AWS Config,請參閱《 *AWS Config 開發人員指南*》中的 [中的間接關係 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/faq.html#faq-2)。
Firewall Manager 會盡可能根據規則設定從您的帳戶刪除未使用的安全群組,以修復未使用的安全群組。如果 Firewall Manager 無法刪除安全群組,它會將其標記為不合規政策。Firewall Manager 無法刪除由另一個安全群組參考的安全群組。
修復的時間會根據您使用的是預設時段設定或自訂設定而有所不同:
+ **時間範圍設定為零,預設值** – 使用此設定時,只要 Amazon EC2 執行個體或彈性網路介面未使用安全群組,就會將其視為未使用。
對於此零時段設定,防火牆管理員會立即修復安全群組。
+ **大於零的時段** – 使用此設定,當 Amazon EC2 執行個體或彈性網路介面未使用安全群組,且 Firewall Manager 未在指定的分鐘數內收到其組態項目時,安全群組會被視為未使用。
對於非零時段設定,防火牆管理員會在安全群組保持未使用狀態 24 小時後進行修復。
**預設帳戶規格**
當您透過主控台建立用量稽核安全群組政策時,防火牆管理員會自動選擇**排除指定的帳戶並包含所有其他**帳戶。然後,服務會將 Firewall Manager 管理員帳戶放入清單中以排除。這是建議的方法,可讓您手動管理屬於 Firewall Manager 管理員帳戶的安全群組。