40 lines
1.1 KiB
Markdown
40 lines
1.1 KiB
Markdown
---
|
||
title: "Security Group Policy"
|
||
type: concept
|
||
tags: [AWS, Security, Firewall, Policy]
|
||
sources: []
|
||
last_updated: 2026-04-19
|
||
---
|
||
|
||
## Summary
|
||
Security Group Policy 是 Firewall Manager 中用于管理跨账户安全组规则的策略类型。
|
||
|
||
## Definition
|
||
在 Firewall Manager 环境中,Security Group Policy 定义了安全组的创建、更新和清理规则,支持三种类型:
|
||
|
||
## Policy Types
|
||
|
||
### 1. Common Security Group(通用安全组)
|
||
- 附加基线安全组到资源
|
||
- 允许产品团队添加额外规则
|
||
- 确保所有账户拥有基础安全保护
|
||
|
||
### 2. Audit and Enforcement(审计与强制)
|
||
- 检测并拒绝过度宽松的规则
|
||
- 支持手动修复或自动修复
|
||
- 提供合规性仪表板视图
|
||
|
||
### 3. Unused Security Group Cleanup(清理未使用)
|
||
- 识别和删除冗余安全组
|
||
- 简化安全管理
|
||
- 减少攻击面
|
||
|
||
## Key Features
|
||
|
||
- 支持 AWS Organizations 组织单位(OU)级别应用
|
||
- 通过 Prefix List 共享规则
|
||
- 使用 RAM 实现跨账号资源共享
|
||
|
||
## Related Concepts
|
||
- [[Security Group]]
|
||
- [[AWS Firewall Manager]] |