Auto-sync: update nexus workspace

wiki/concepts/Security-Group-Policy.md

@@ -0,0 +1,68 @@
+---
+title: "Security Group Policy"
+type: concept
+tags:
+  - AWS
+  - Security
+  - Security-Group
+  - Firewall-Manager
+  - Compliance
+sources:
+  - ctp-topic-55-aws-firewall-manager
+last_updated: 2026-04-14
+---
+
+## Definition
+
+Security Group Policy 是 AWS Firewall Manager 中的安全组策略类型，用于在组织级别对安全组进行集中化管理和合规性控制。Policy 定义在 Firewall Manager 管理员账户中，通过 AWS Config + Lambda 机制自动分发和强制执行到目标账户的 EC2 实例。
+
+## Policy Types
+
+### 1. Common Security Group Policy（通用安全组策略）
+- **作用**：将基线安全组附加到所有目标账户的 EC2 实例
+- **特点**：允许产品团队在基线之上继续添加自定义安全组规则
+- **适用场景**：需要统一安全基线但保留团队灵活性的场景
+
+### 2. Audit & Enforcement Security Group Policy（审计与强制执行策略）
+- **作用**：检测并拒绝过度宽松（over-permissive）的安全组规则
+- **两种修复模式**：
+  - **手动修复（Manual Remediation）**：仅告警，由管理员手动处理
+  - **自动修复（Auto Remediation）**：通过 Lambda 自动纠正不合规规则
+- **适用场景**：强制最小权限原则，防止安全组配置错误导致风险暴露
+
+### 3. Cleanup Security Group Policy（清理策略）
+- **作用**：自动识别并清理未使用的冗余安全组
+- **适用场景**：减少安全组管理复杂度，避免过期规则堆积
+
+## Policy Lifecycle
+```
+Policy Created in Firewall Manager Admin Account
+    ↓
+Target Account / OU Association
+    ↓
+AWS Config Compliance Check
+    ├── Compliant → No Action
+    └── Non-Compliant → Lambda Triggered
+            ↓
+Auto-Remediation (if enabled)
+    ↓
+New EC2 Instance → Auto-attach Security Group
+Policy Deleted → Auto-detach Security Group from all instances
+```
+
+## Prerequisites
+- Firewall Manager 管理员账户已配置
+- 目标账户必须启用 AWS Config
+- 目标账户所在 OU 必须授予 Firewall Manager 管理员相应权限
+
+## Relationship with Other Concepts
+- **[[AWS Firewall Manager]]**：Security Group Policy 的上层管理平台
+- **[[AWS Config]]**：提供合规性评估数据
+- **[[AWS Lambda]]**：执行自动化修复逻辑
+- **[[Prefix List]]**：定义允许的 IP CIDR 范围，供安全组规则引用
+- **[[AWS RAM]]**：跨账户共享 Prefix List
+
+## Design Patterns
+- **分层叠加模式**：Common SG（基线）+ 产品团队自定义 SG（叠加）= 完整安全策略
+- **黑名单模式**：Audit & Enforcement Policy 拒绝特定危险规则（如 0.0.0.0/0 全开放）
+- **白名单模式**：只允许明确声明的 CIDR 范围访问