本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Firewall Manager策略范围
策略范围定义了策略的适用范围。您可以通过以下方式将集中控制的策略应用于组织内的所有账户和资源Amazon Organizations,或者转到您的账户和资源的子集。有关如何设置策略范围的说明,请参阅创建 Amazon Firewall Manager 策略.
中的策略范围选项Amazon Firewall Manager
当您向组织添加新帐户或资源时,Firewall Manager 会根据您的每项策略的设置自动对其进行评估,并根据这些设置应用策略。例如,您可以选择将策略应用于除指定列表中的账户号码之外的所有账户;也可以选择仅将策略应用于列表中所有标签的资源。
Amazon Web Services 账户在范围内
您提供的用于定义Amazon Web Services 账户受政策影响决定您的账户中的哪个账户Amazon将政策应用到的组织。您可以选择以下方式应用策略:
-
发送给组织中的所有账户
-
仅应用到包括的账号和 Amazon Organizations 组织单位 (OU) 的特定列表
-
应用到除排除的账号和 Amazon Organizations 组织单位 (OU) 的特定列表之外的所有账户和组织单位
有关以下内容的信息Amazon Organizations,请参阅阅。Amazon Organizations用户指南.
范围内的资源数
与作用域内账户的设置类似,您为资源提供的设置决定了将策略应用于哪些范围内的资源类型。您可以选择以下操作之一:
-
所有资源
-
具有您指定的所有标签的资源
-
除具有您指定所有标签的资源之外的所有资源
有关标记资源的更多信息,请参阅使用标签编辑器。
中的策略范围管理Amazon Firewall Manager
策略到位后,Firewall Manager 会持续管理这些策略并将其应用于新的Amazon Web Services 账户以及根据政策范围添加的资源。
FiFirewall ManagerAmazon Web Services 账户和资源
如果账户或资源因任何原因超出范围,Amazon Firewall Manager不会自动移除保护或删除 Firewall Manager 管理的资源,除非您选择自动移除对离开策略范围的资源的保护复选框。
选项自动移除对离开策略范围的资源的保护不适用于Amazon Shield Advanced要么Amazon WAF经典策略。
选中此复选框指示Amazon Firewall Manager在帐户离开策略范围时,自动清理 Firewall Manager 为这些帐户管理的资源。例如,当客户资源离开策略范围时,Firewall Manager 将取消Firewall Manager 管理的 Web ACL 与受保护客户资源的关联。
为了确定在客户资源离开策略范围时应将哪些资源从保护中移除,Firewall Manager 遵循以下准则:
默认行为:
关联的Amazon Config托管规则已删除。此行为与复选框无关。
任何关联的Amazon WAF不包含任何资源的 Web 访问控制列表 (Web ACL) 将被删除。此行为与复选框无关。
任何超出范围的受保护资源都将保持关联和受保护。例如,来自 API Gateway 的与 Web ACL 关联的Application Load Balancer 或 API 仍与 Web ACL 关联,并且保护保持不变。
使用自动移除对离开策略范围的资源的保护复选框已选中:
关联的Amazon Config托管规则已删除。此行为与复选框无关。
任何关联的Amazon WAF不包含任何资源的 Web 访问控制列表 (Web ACL) 将被删除。此行为与复选框无关。
任何超出范围的受保护资源在离开策略范围时都会自动解除关联并从保护中移除。例如,Elastic Inference 加速器或 Amazon EC2 实例在离开策略范围时会自动取消与复制的安全组的关联。复制的安全组及其资源将自动从保护中移除。