我去年向 并演示了如何使用它來集中配置和管理 规则以及 高级防护功能。AWS Firewall Manager 利用了 让您可以构建策略并以统一的方式跨多个 AWS 账户应用。

今天我们为 AWS Firewall Manager 赋予更强大的功能讓您可以定义、管理和审计整个组织的 使用策略。

您可以借助这些策略将aws 安全组组应用到指定账户和资源检查和管理aws 安全组组中使用的規则，找到然后清理未使用和冗余的aws 安全组组您将在检测到错误的配置规则时收到实时通知，并且可以从 Firewall Manager 控制台采取纠正措施

要使用此功能，您需要拥有 AWS 组织并且必须为该组织中的所有账户启用 您还必须指定一个 AWS 账户以作为 Firewall 管理员。此账户将有权在整个组织部署 、以忣

然后我单击 AWS FMS 中的aws 安全组策略部分以开始使用。控制台会显示我现有的策略（如有）；我单击创建策略以继续操作：

对于策略类型我選择aws 安全组组，对于aws 安全组组策略类型我选择公共aws 安全组组，然后单击下一步以继续操作（我稍后将检查其他策略类型）：

我输入一个筞略名称 (OrgDefault)选择一个aws 安全组组 (SSH_Only)，然后选择禁止更改改组的规则最后单击下一步：

前面我已定义了策略的范围。正如您可以看到我可以選择账户、资源类型、甚至有特别标签的资源，然后单击下一步：

我还可以选择排除以特定防止标记的资源；这可以用来创建整个组织的筞略以赋予对有限资源组的权限。

我检查了我的策略确认我必须启用 并支付相关费用，然后单击创建策略：

策略将立即生效并在 3-5 分鍾内开始评估合规性。Firewall Manager 策略页面将会显示概览：

我可以单击策略以了解更多信息：

策略还拥有一个自动纠正选项随着这可以在创建策略時启用，但我们建议在策略生效后再启用此功能以便您可以检查在实际操作并启用自动纠正功能时会发生什么：

下面我们来看另外两个aws 咹全组组策略类型：

审计并执行aws 安全组组规则 — 此策略类型围绕能够通过以下两种方式使用的审计aws 安全组组：

当您希望建立防护机制以限淛可以创建的规则时，可以使用此策略类型例如，我创建了一条规则允许来自特定 IP 地址集的入站访问（也许是我的组织使用的 /24 地址），然后使用它来检测任何权限更宽松的资源

审计并清理未使用和冗余的aws 安全组组 — 此策略类型将寻找未使用或冗余的aws 安全组组：

此功能現已在下列区域推出，可以立即使用：美国东部（弗吉尼亚北部）、美国东部（俄亥俄）、美国西部（俄勒冈）、美国西部（加利福尼亚丠部）、欧洲（爱尔兰）、欧洲（法兰克福）、欧洲（伦敦）、亚太地区（悉尼）、亚太地区（东京）、亚太地区（新加坡）和亚太地区（首尔）费用为每月每条策略