本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
第 2 步:创建并应用 Shield Advanced 策略
完成先决条件后,您创建一个Amazon Firewall ManagerShield Shield S Firewall Manager Shield Advanced 策略包含你想要使用 Shield Advanced 保护的账户和资源。
重要
Firewall Manager 不支持 Amazon Route 53 或Amazon Global Accelerator. 如果您需要使用 Shield Advanced 保护这些资源,则不能使用Firewall Manager 策略。而是应按照向 Amazon 资源添加 Amazon Shield Advanced 保护中的说明操作。
创建 Firewall Manager Shield Shield
-
登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户,然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2
. 注意
有关设置 Firewall Manager 管理员账户的信息,请参阅Amazon Firewall Manager先决条件。
-
在导航窗格中,选择 Security policies (安全策略)。
-
选择 Create policy(创建策略)。
-
对于策略类型,选择Shield Advanced.
要创建 Shield Advanced 策略,你的Firewall Manager 管理员账户必须订阅 Shield Advanced。如果您尚未订阅,则会提示您订阅。有关订阅成本的信息,请参阅Amazon Shield Advanced定价
. 注意
无需手动为每个成员账户订阅 Shield Shield Shield Shield Shield Firewall Manager 在创建策略时会为您执行此操作。
-
对于区域,请选择一个Amazon Web Services 区域. 为了保护亚马逊 CloudFront 资源,选择服务全球.
保护多个区域(除外)中的资源 CloudFront 资源),则必须为每个区域创建单独的Firewall Manager 策略。
-
选择 Next(下一步)。
-
对于名称,输入一个描述性名称。
-
(仅限全球区域)适用于服务全球区域策略,你可以选择是否要管理 Shield Advanced 自动应用层 DDoS 缓解措施。在本教程中,将此选项保留为默认设置Ignore.
-
对于策略操作,请选择不会自动修复的选项。
-
选择 Next(下一步)。
-
Amazon Web Services 账户本政策适用于允许您通过指定要包含或排除的账户来缩小策略的范围。对于本教程,选择 Include all accounts under my organization (包括我的组织下的所有账户)。
-
选择要保护的资源的类型。
Firewall Manager 不支持亚马逊 Route 53 或Amazon Global Accelerator. 如果您需要使用 Shield Advanced 保护这些资源,则不能使用Firewall Manager 策略。相反,请按照Shield 高级指导进行操作向 Amazon 资源添加 Amazon Shield Advanced 保护.
-
如果您只想保护带有特定标签的资源,或者要排除带有特定标签的资源,请选择使用标签来包含/排除资源,输入用逗号分隔的标签,然后选择其中一个Include要么Exclude. 您只能选择一个选项。
如果您输入多个标签,并且资源具有这些标签中的任何一个,则将其视为匹配项。
有关标签的更多信息,请参阅使用标签编辑器。
-
选择 Next(下一步)。
-
对于策略标签,为Firewall Manager 策略添加所需的任何识别标记。有关标签的更多信息,请参阅使用标签编辑器。
-
选择 Next(下一步)。
-
查看新策略。要进行任何更改,请选择 Previous (上一步)。若您满意所创建的策略,请选择 Create policy (创建策略)。
继续浏览 第 3 步:(可选)授权Shield 响应小组 (SRT)。