Amazon适用于 Amazon Firewall Manager 的托管策略 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
AWSFMAdminFullAccessFMSServiceRolePolicyAWSFMAdminReadOnlyAccessAWSFMMemberReadOnlyAccess策略更新
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon适用于 Amazon Firewall Manager 的托管策略

要向用户、组和角色添加权限,与自己编写策略相比,使用 Amazon 托管策略更简单。创建仅为团队提供所需权限的 IAM 客户托管策略需要时间和专业知识。要快速入门,您可以使用我们的 Amazon 托管式策略。这些策略涵盖常见使用案例,可在您的 Amazon Web Services 账户 中使用。有关 Amazon 托管式策略的更多信息,请参阅 IAM 用户指南中的Amazon 托管式策略

Amazon Web Services 负责维护和更新 Amazon 托管式策略。您无法更改 Amazon 托管式策略中的权限。服务偶尔会向 Amazon 托管式策略添加额外权限以支持新功能。此类更新会影响附加策略的所有身份(用户、组和角色)。当启动新功能或新操作可用时,服务最有可能会更新 Amazon 托管式策略。服务不会从 Amazon 托管式策略中删除权限,因此策略更新不会破坏您的现有权限。

此外,Amazon 还支持跨多种服务的工作职能的托管式策略。例如,ViewOnlyAccess Amazon 托管式策略提供对许多 Amazon Web Services 服务和资源的只读访问权限。当服务启动新功能时,Amazon 会为新操作和资源添加只读权限。有关工作职能策略的列表和说明,请参阅 IAM 用户指南中的适用于工作职能的 Amazon 托管策略

Amazon托管策略: AWSFMAdminFullAccess

使用AWSFMAdminFullAccessAmazon托管策略,以允许您的管理员访问Amazon Firewall Manager资源,包括所有Firewall Manager 策略类型。此政策不包括在中设置亚马逊简单通知服务通知的权限Amazon Firewall Manager。有关如何设置亚马逊简单通知服务的访问权限的信息,请参阅设置亚马逊简单通知服务的访问权限

权限详情

此策略根据权限集分为多个语句。

  • Amazon Firewall Manager策略资源-允许对中的Amazon Firewall Manager资源(包括所有 Firewall Manager 策略类型)的完全管理权限。

  • 将Amazon WAF日志写入亚马逊简单存储服务-允许Firewall Manager 在 Amazon S3 中写入和读取Amazon WAF日志。

  • 创建服务链接角色 — 允许管理员创建服务相关角色以允许FiFirewall Manager 访问其他服务中的资源。此权限允许创建服务相关角色仅供Firewall Manager 使用。有关Firewall Manager 如何使用服务相关角色的信息,请参阅为 Firewall Manager 使用服务相关角色

  • Amazon Organizations— 允许管理员为中的组织使用Firewall ManagerAmazon Organizations。为 FiFirewall Manager er 启用可信访问权限Amazon Organizations,管理员帐户的成员可以查看其 Fireall Manager。有关Amazon Organizations与一起使用的信息Amazon Firewall Manager,请参阅《Amazon Organizations用户指南》中的Amazon Organizations与其他Amazon服务一起使用

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "fms:*",
            "waf:*",
            "waf-regional:*",
            "elasticloadbalancing:SetWebACL",
            "firehose:ListDeliveryStreams",
            "organizations:DescribeAccount",
            "organizations:DescribeOrganization",
            "organizations:ListRoots",
            "organizations:ListChildren",
            "organizations:ListAccounts",
            "organizations:ListAccountsForParent",
            "organizations:ListOrganizationalUnitsForParent",
            "shield:GetSubscriptionState",
            "route53resolver:ListFirewallRuleGroups",
            "route53resolver:GetFirewallRuleGroup",
            "wafv2:ListRuleGroups",
            "wafv2:ListAvailableManagedRuleGroups",
            "wafv2:CheckCapacity",
            "wafv2:PutLoggingConfiguration",
            "wafv2:ListAvailableManagedRuleGroupVersions",
            "network-firewall:DescribeRuleGroup",
            "network-firewall:DescribeRuleGroupMetadata",
            "network-firewall:ListRuleGroups",
            "ec2:DescribeAvailabilityZones",
            "ec2:DescribeRegions"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:PutBucketPolicy",
            "s3:GetBucketPolicy"
         ],
         "Resource":[
            "arn:aws:s3:::aws-waf-logs-*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":"iam:CreateServiceLinkedRole",
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "iam:AWSServiceName":[
                  "fms.amazonaws.com"
               ]
            }
         }
      },
      {
         "Effect":"Allow",
         "Action":[
            "organizations:EnableAWSServiceAccess",
            "organizations:ListDelegatedAdministrators",
            "organizations:RegisterDelegatedAdministrator",
            "organizations:DeregisterDelegatedAdministrator"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "organizations:ServicePrincipal":[
                  "fms.amazonaws.com"
               ]
            }
         }
      }
   ]
}

此策略包含以下权限:

  • fms:*:

    可让您使用Amazon Firewall Manager资源。

  • waf:*, waf-regional:*:

    可让您使用Amazon WAF策略。

  • elasticloadbalancing:SetWebACL:

    可让您将 Web 访问控制列表 (ACL) 与弹性负载均衡器。

  • firehose:ListDeliveryStreams:

    允许您查看Amazon WAF日志。

  • organizations:DescribeAccount, organizations:DescribeOrganization, organizations:ListRoots, organizations:ListChildren, organizations:ListAccounts, organizations:ListAccountsForParent, organizations:ListOrganizationalUnitsForParent:

    可让您与OrganizationsAmazon 合作。

  • shield:GetSubscriptionState:

    允许您查看Amazon Shield策略的订阅状态。

  • route53resolver:ListFirewallRuleGroups, route53resolver:GetFirewallRuleGroup:

    允许您在适用于 VPC 的 Route 53 私有 DNS 策略中使用适用于 VPC 的 Route 53 私有 DNS 规则组。

  • wafv2:ListRuleGroups, wafv2:ListAvailableManagedRuleGroups, wafv2:CheckCapacity, wafv2:PutLoggingConfiguration, wafv2:ListAvailableManagedRuleGroupVersions:

    可让您使用Amazon WAFV2策略。

  • network-firewall:DescribeRuleGroup, network-firewall:DescribeRuleGroupMetadata, network-firewall:ListRuleGroups:

    可让您使用Amazon Network Firewall策略。

  • ec2:DescribeAvailabilityZones:

    允许您查看Amazon Network Firewall策略的可用区。

  • ec2:DescribeRegions:

    允许您在Amazon Firewall Manager控制台中查看策略的区域。

  • s3:GetBucketPolicy:

    可让您获取适用于Amazon WAF日志的 Amazon S3 存储桶策略。

  • ListDelegatedAdministrators:

    允许您列出亚马逊 OpenSearch 服务委托管理员。

Amazon托管策略:FMSServiceRolePolicy

此策略Amazon Firewall Manager允许您在防火墙管理器和集成服务中代表您管理Amazon资源。此策略附加到 AWSServiceRoleForFMS 服务相关角色。有关 service-linked role 服务相关角色的更多信息,请参阅为 Firewall Manager 使用服务相关角色

有关策略的详细信息,请参阅 FMS 上的 IAM 控制台ServiceRolePolicy。

Amazon托管策略: AWSFMAdminReadOnlyAccess

授予对所有FiAmazon rewall Manager 资源的只读访问权限。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "fms:Get*",
            "fms:List*",
            "waf:Get*",
            "waf:List*",
            "waf-regional:Get*",
            "waf-regional:List*",
            "firehose:ListDeliveryStreams",
            "organizations:DescribeOrganization",
            "organizations:DescribeAccount",
            "organizations:ListRoots",
            "organizations:ListChildren",
            "organizations:ListAccounts",
            "organizations:ListAccountsForParent",
            "organizations:ListOrganizationalUnitsForParent",
            "shield:GetSubscriptionState",
            "route53resolver:ListFirewallRuleGroups",
            "route53resolver:GetFirewallRuleGroup",
            "wafv2:ListRuleGroups",
            "wafv2:ListAvailableManagedRuleGroups",
            "wafv2:CheckCapacity",
            "wafv2:ListAvailableManagedRuleGroupVersions",
            "network-firewall:DescribeRuleGroup",
            "network-firewall:DescribeRuleGroupMetadata",
            "network-firewall:ListRuleGroups",
            "ec2:DescribeAvailabilityZones",
            "ec2:DescribeRegions"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetBucketPolicy"
         ],
         "Resource":[
            "arn:aws:s3:::aws-waf-logs-*"
         ]
      },
      {
         "Effect":"Allow",
         "Action":[
            "organizations:ListDelegatedAdministrators"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "organizations:ServicePrincipal":[
                  "fms.amazonaws.com"
               ]
            }
         }
      }
   ]
}

此策略包含以下权限:

  • fms:*:

    允许您查看Amazon Firewall Manager资源。

  • waf:Get*, waf-regional:Get*:

    让你获取Amazon WAF政策。

  • waf:List*, waf-regional:List*:

    允许您列出Amazon WAF策略。

  • firehose:ListDeliveryStreams:

    允许您列出Amazon WAF日志。

  • organizations:DescribeOrganization, organizations:DescribeAccount, organizations:DescribeOrganization, organizations:ListRoots, organizations:ListChildren, organizations:ListAccounts, organizations:ListAccountsForParent, organizations:ListOrganizationalUnitsForParent:

    允许您查看OrganiAmazon zations 资源。

  • shield:GetSubscriptionState:

    允许您获取Amazon Shield策略的订阅状态。

  • route53resolver:ListFirewallRuleGroups, route53resolver:GetFirewallRuleGroup:

    允许您在 Route 53 适用于 VPC 的私有 DNS 策略中获取并列出 VPC 规则组的 Route 53 私有 DNS。

  • wafv2:ListRuleGroups, wafv2:ListAvailableManagedRuleGroups, wafv2:CheckCapacity, wafv2:ListAvailableManagedRuleGroupVersions:

    允许您列出Amazon WAFV2规则组、Amazon WAFV2策略中的Amazon托管规则组、Amazon WAFV2规则组容量和Amazon WAFV2Amazon托管规则组版本。

  • network-firewall:DescribeRuleGroup, network-firewall:DescribeRuleGroupMetadata, network-firewall:ListRuleGroups:

    允许您查看Amazon Network Firewall规则组和规则组元数据。

  • ec2:DescribeAvailabilityZones:

    允许您查看Amazon Network Firewall策略的可用区。

  • ec2:DescribeRegions:

    允许您在Amazon Firewall Manager控制台中查看策略的区域。

  • s3:GetBucketPolicy:

    可让您获取适用于Amazon WAF日志的 Amazon S3 存储桶策略。

  • ListDelegatedAdministrators:

    允许您在中列出委派的管理员Amazon Organizations。

Amazon托管策略: AWSFMMemberReadOnlyAccess

授予对Amazon Firewall Manager成员资源的只读访问权限。有关策略的详细信息,请参阅 IAM 控制台,网址为AWSFMMemberReadOnlyAccess

Firewall Manager 更新到Amazon托管策略

查看有关Firewall Manager 的Amazon托管策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动警报,请订阅 FiFirewall Manager 文档历史记录页面上的 RSS 源,网址为文档历史记录

更改 说明 日期

FMSServiceRolePolicy — 更新的政策

添加了允许Firewall Manager 描述 Amazon EC2 实例和网络接口属性的权限。

在 IAM 控制台中查看更新的政策:FMSServiceRolePolicy

 2022 年 11 月 15 日

AWSFMAdminReadOnlyAccess— 更新的政策

添加了支持Amazon WAFV2、Shield、Network Firewall、DNS 防火墙、Amazon VPC 安全组和策略的权限。

在 IAM 控制台中查看更新的政策:AWSFMAdminReadOnlyAccess

 2022 年 11 月 2 日

AWSFMAdminFullAccess— 更新的政策

添加了支持Amazon WAFV2、Shield、Network Firewall、DNS 防火墙、Amazon VPC 安全组和策略的权限。删除了Amazon SNS 权限。

在 IAM 控制台中查看更新的政策:AWSFMAdminFullAccess

 2022 年 10 月 21 日

FMSServiceRolePolicy—Amazon Firewall Manager 第三方防火墙策略的新权限

此更改允许Firewall Manager 创建和删除与第三方防火墙策略关联的 Amazon EC2 VPC 终端节点。

 2022 年 3 月 30 日

FMSServiceRolePolicy—Amazon Network Firewall 策略的新权限

为Network Firewall 策略添加了支持部署防火墙的新权限。新权限允许为策略范围内的账户检索有关可用区域的信息。

 2022 年 2 月 16 日

FMSServiceRolePolicy—Amazon Shield 策略的新权限

添加了检索Amazon WAF区域和Amazon WAF全球资源标签的新权限。添加了使用资源 ARN 检索 Web ACL 的Amazon WAF区域权限。添加了支持 Shield 自动应用层 DDoS 缓解的权限。

 2022 年 1 月 7 日

FMSServiceRolePolicy—Amazon Shield 策略的新权限

添加了检索 Elastic Load Bload Balanccess

2021 年 11 月 18 日

FMSServiceRolePolicy— 安全组和Amazon Network Firewall策略的新权限

添加了新权限以启用Amazon Network Firewall策略的集中日志记录。此外,还添加了只读 Amazon EC2 权限,以支持对Config 服务的更改,这些更改会影响Amazon Firewall Manager查询资源以获取安全组策略的方式。

 2021 年 9 月 29 日

FMSServiceRolePolicy—Amazon WAF 资源的 ARN 格式

更新了FMSServiceRolePolicy以标准化Amazon WAF资源的 ARN 格式。更新后的 ARN 格式为arn:aws:waf:*:*:*arn:aws:waf-regional:*:*:*

 2021 年 8 月 12 日

FMSServiceRolePolicy— 中国的其他地区

Amazon Firewall Manager已在中国FMSServiceRolePolicy的 BJS 和 ZHY 区域启用。

 2021 年 8 月 12 日

FMSServiceRolePolicy— 对现有策略的更新

添加了允许Amazon Firewall Manager管理Amazon Route 53 Resolver DNS 防火墙的新权限。

此更改允许Firewall Manager 配置Amazon Route 53 Resolver DNS 防火墙关联。这允许您使用Firewall Manager 为整个组织中的 VPC 提供 DNS 防火墙保护Amazon Organizations。

 2021 年 3 月 17 日

Firewall Manager 已开启跟踪更改

FiFirewall Manager 已开始跟踪其Amazon托管策略的更改。

 2021 年 3 月 2 日