Auto-sync: 2026-04-19 16:02

wiki/concepts/Security-Group-Policy.md

@@ -0,0 +1,40 @@
+---
+title: "Security Group Policy"
+type: concept
+tags: [AWS, Security, Firewall, Policy]
+sources: []
+last_updated: 2026-04-19
+---
+
+## Summary
+Security Group Policy 是 Firewall Manager 中用于管理跨账户安全组规则的策略类型。
+
+## Definition
+在 Firewall Manager 环境中，Security Group Policy 定义了安全组的创建、更新和清理规则，支持三种类型：
+
+## Policy Types
+
+### 1. Common Security Group（通用安全组）
+- 附加基线安全组到资源
+- 允许产品团队添加额外规则
+- 确保所有账户拥有基础安全保护
+
+### 2. Audit and Enforcement（审计与强制）
+- 检测并拒绝过度宽松的规则
+- 支持手动修复或自动修复
+- 提供合规性仪表板视图
+
+### 3. Unused Security Group Cleanup（清理未使用）
+- 识别和删除冗余安全组
+- 简化安全管理
+- 减少攻击面
+
+## Key Features
+
+- 支持 AWS Organizations 组织单位（OU）级别应用
+- 通过 Prefix List 共享规则
+- 使用 RAM 实现跨账号资源共享
+
+## Related Concepts
+- [[Security Group]]
+- [[AWS Firewall Manager]]