本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Firewall Manager策略范围
策略范围定义了政策的适用范围。您可以将集中控制的策略应用于组织内的所有账户和资源,也可以将集中控制的策略应用于Amazon Organizations您的账户和资源的子集。有关如何设置策略范围的说明,请参阅创建 Amazon Firewall Manager 策略。
中的策略范围选项Amazon Firewall Manager
当您向组织添加新帐户或资源时,Firewall Manager 会根据您的每项策略的设置自动对其进行评估,并根据这些设置应用策略。例如,您可以选择将策略应用于除指定列表中的账户号码之外的所有账户;也可以选择仅将策略应用于列表中包含所有标签的资源。
Amazon Web Services 账户在范围内
您为定义受策略Amazon Web Services 账户影响者而提供的设置决定了要将策略应用到Amazon组织中的哪些账户。您可以选择以下方式应用策略:
-
发送到组织中的所有账户
-
仅应用到包括的账号和 Amazon Organizations 组织单位 (OU) 的特定列表
-
应用到除排除的账号和 Amazon Organizations 组织单位 (OU) 的特定列表之外的所有账户和组织单位
有关的信息Amazon Organizations,请参阅《Amazon Organizations用户指南》。
范围内的资源
与范围内的账户设置类似,您为资源提供的设置决定了要将策略应用于哪些范围内的资源类型。您可以选择以下操作之一:
-
所有资源
-
具有您指定的所有标签的资源
-
除具有您所指定所有标签的资源之外的所有资源
有关标记资源的更多信息,请参阅使用标签编辑器。
中的策略范围管理Amazon Firewall Manager
制定策略后,Firewall Manager 会根据策略范围持续对其进行管理,Amazon Web Services 账户并在添加新资源和资源时将其应用于新资源和资源。
Firewall Manager 如何Amazon Web Services 账户管理和资源
如果帐户或资源因任何原因超出范围,则Amazon Firewall Manager不会自动删除保护或删除 Firewall Manager 管理的资源,除非您选中 “自动删除对离开策略范围的资源的保护” 复选框。
注意
对于Amazon WAF传统策略,“自动删除对离开策略范围的资源的Amazon Shield Advanced保护” 选项不可用。
选中此复选框指示Amazon Firewall Manager Firewall Manager 为账户管理的资源在这些账户离开策略范围时自动清理 Firewall Manager 为账户管理的资源。例如,当客户资源离开策略资源时,Firewall Manager 将取消 Firewall Manager 托管的 Web ACL 与受保护的客户资源的关联。
要确定在客户资源离开策略范围时应将哪些资源从保护中移除,Firewall Manager 遵循以下准则:
默认行为:
关联的Amazon Config管理规则已删除。此行为与复选框无关。
任何不包含任何资源的关联Amazon WAF网络访问控制列表 (Web ACL) 都将被删除。此行为与复选框无关。
任何超出范围的受保护资源都将保持关联和受保护。例如,与 Web ACL 关联的Application Load Balancer 或 API 来自 API Gateway 的 API 仍与 Web ACL 关联,保护仍然有效。
选@@ 中 “自动删除对离开策略范围的资源的保护” 复选框:
关联的Amazon Config管理规则已删除。此行为与复选框无关。
任何不包含任何资源的关联Amazon WAF网络访问控制列表 (Web ACL) 都将被删除。此行为与复选框无关。
任何超出范围的受保护资源都会在离开策略范围时自动取消关联并从保护中删除。例如,Elastic Inference 加速器或 Amazon EC2 实例在离开策略范围时会自动与复制的安全组断开关联。复制的安全组及其资源将自动从保护中删除。