nexus/wiki/concepts/Security-Group-Policy.md

---
title: "Security Group Policy"
type: concept
tags:
  - AWS
  - Security
  - Security-Group
  - Firewall-Manager
  - Compliance
sources:
  - ctp-topic-55-aws-firewall-manager
last_updated: 2026-04-14
---

## Definition

Security Group Policy 是 AWS Firewall Manager 中的安全组策略类型，用于在组织级别对安全组进行集中化管理和合规性控制。Policy 定义在 Firewall Manager 管理员账户中，通过 AWS Config + Lambda 机制自动分发和强制执行到目标账户的 EC2 实例。

## Policy Types

### 1. Common Security Group Policy（通用安全组策略）
- **作用**：将基线安全组附加到所有目标账户的 EC2 实例
- **特点**：允许产品团队在基线之上继续添加自定义安全组规则
- **适用场景**：需要统一安全基线但保留团队灵活性的场景

### 2. Audit & Enforcement Security Group Policy（审计与强制执行策略）
- **作用**：检测并拒绝过度宽松（over-permissive）的安全组规则
- **两种修复模式**：
  - **手动修复（Manual Remediation）**：仅告警，由管理员手动处理
  - **自动修复（Auto Remediation）**：通过 Lambda 自动纠正不合规规则
- **适用场景**：强制最小权限原则，防止安全组配置错误导致风险暴露

### 3. Cleanup Security Group Policy（清理策略）
- **作用**：自动识别并清理未使用的冗余安全组
- **适用场景**：减少安全组管理复杂度，避免过期规则堆积

## Policy Lifecycle
```
Policy Created in Firewall Manager Admin Account
    ↓
Target Account / OU Association
    ↓
AWS Config Compliance Check
    ├── Compliant → No Action
    └── Non-Compliant → Lambda Triggered
            ↓
Auto-Remediation (if enabled)
    ↓
New EC2 Instance → Auto-attach Security Group
Policy Deleted → Auto-detach Security Group from all instances
```

## Prerequisites
- Firewall Manager 管理员账户已配置
- 目标账户必须启用 AWS Config
- 目标账户所在 OU 必须授予 Firewall Manager 管理员相应权限

## Relationship with Other Concepts
- **[[AWS Firewall Manager]]**：Security Group Policy 的上层管理平台
- **[[AWS Config]]**：提供合规性评估数据
- **[[AWS Lambda]]**：执行自动化修复逻辑
- **[[Prefix List]]**：定义允许的 IP CIDR 范围，供安全组规则引用
- **[[AWS RAM]]**：跨账户共享 Prefix List

## Design Patterns
- **分层叠加模式**：Common SG（基线）+ 产品团队自定义 SG（叠加）= 完整安全策略
- **黑名单模式**：Audit & Enforcement Policy 拒绝特定危险规则（如 0.0.0.0/0 全开放）
- **白名单模式**：只允许明确声明的 CIDR 范围访问