為什麼我的 Firewall Manager AWS WAF 政策無法使用自動修復？

簡短描述

Firewall Manager AWS WAF 政策使用自動修復功能，將 Web ACL 與您要保護的資源相關聯。

解決方法

請遵循以下最佳實務，為 AWS WAF 建立 AWS Firewall Manager 政策。

開始之前，請確定您已完成 AWS Firewall Manager 先決條件。如需詳細資訊，請參閱如何為我的 AWS 帳戶設定 AWS Firewall Manager？

確定 AWS WAF 政策範圍包括下列項目：

• AWS 組織或特定組織單位 (OU) 中的 AWS 帳戶。
• 如果您要保護 Amazon CloudFront 分佈，請確定 AWS 區域已設定為全域。
• 如果您使用受管規則群組，請確定您已先在 AWS Marketplace 訂閱該服務。如需詳細資訊，請參閱規則群組。
• 對於資源類型，請確保包含要保護的資源類型。注意：僅在選擇全域時才可使用選擇 CloudFront 分佈作為資源類型的選項。
• 如果您使用 AWS Marketplace 賣家的規則群組，請確定您的 AWS 帳戶擁有有效的訂閱。否則，AWS WAF 無法將 Web ACL 與範圍內的資源建立關聯。
• 檢閱政策的效果後，請確定您已啟用自動修復。

對於 AWS WAF Classic，請參閱使用 AWS WAF Classic 規則群組以搭配 AWS Firewall Manager 使用。

具有 Application Load Balancer 的 Firewall Manger 政策優先

情境 1

如果您對 AWS Shield Advanced 有一項政策，而對具有 Application Load Balancer 的 Firewall Manager 有另一項政策，則 Firewall Manager 政策優先。這表示 Firewall Manager 政策與 Application Load Balancer 相關聯，因為它會覆寫 Shield Advanced 政策的 Web ACL。

**注意：**Shield 政策的空白 Web ACL 僅用於擷取進入資源的資料。此資料有助於分析 DDoS 攻擊。

情境 2

如果範圍內的 Application Load Balancer 有兩項 AWS WAF 政策 (P1 和 P2)，則會先套用達到關聯的政策 (P1)。第二項政策 (P2) 會檢查 Application Load Balancer 是否已經有關聯的 Web ACL。

相關資訊

AWS Firewall Manager 常見問答集

如何將自訂政策規則與我的 Firewall Manager 內容稽核安全群組政策搭配使用？