我想将自定义策略规则与我的 AWS Firewall Manager 内容审计安全组策略结合使用?
简短描述
您可以使用 Firewall Manager 内容审计安全组策略来检查和管理在组织的安全组中使用的规则。内容审计安全组策略适用于您的组织在 AWS Organizations 中使用的所有安全组。您可以针对自己的用例为内容审计安全组策略创建自定义策略规则。
有关详细信息,请参阅内容审计安全组策略。
解决方法
完成 Firewall Manager 先决条件,然后创建审计安全组和策略
**重要事项:**最好在停用自动修复的情况下创建审计安全组策略。在激活自动修复前请检查策略创建的影响。在查看预期效果后,您可以编辑策略,然后激活自动修复功能。激活自动修复后,Firewall Manager 会更新或删除不符合范围内安全组的规则。
“仅允许审计安全组中定义的规则”策略规则
此规则规定,所有范围内的安全组只能具有策略审计安全组规则允许范围内的规则。在本用例中,策略的安全组规则提供了可接受的操作示例。
用例示例
要允许 10.0.0.0/16 范围内列入允许列表的 CIDR 发出的 SSH,请使用仅允许来自 10.0.0.0/16 的 SSH(TCP 端口 22)的入站规则。允许来自其他范围(例如 10.0.0.0/8)的其他 CIDR 的 SSH 这一安全组规则被禁止。
有关详细信息,请参阅内容审计安全组策略。
“拒绝使用审计安全组中定义的任何规则”策略规则
此规则规定,所有范围内的安全组只能有策略审计安全组规则允许范围之外的规则。在本用例中,策略的安全组提供了不可接受的操作示例。
用例示例
要拒绝端口范围 1024 到 65535 的入站 TCP 访问,请使用允许范围为 0.0.0.0/0 的 TCP 流量的入站规则。不允许使用来自任何 CIDR 的端口范围在 1024 到 65535 之间的 TCP 流量的安全组规则。
相关信息
如何为我的 AWS 账户设置 AWS Firewall Manager?