企业安全组支持对哪些资产类型做安全组管控?
当前版本企业安全组已支持资产类型有:VPC、SUBNET、CVM、ENI、CLB、TDSQL、TDSQL-C、MYSQL、MARIADB、SQLSERVER、POSTGRESQL、REDIS、MONGODB、LIGHTHOUSE。
防火墙管理产品到期后,维护的安全组会被删除吗?
不会。防火墙管理产品到期后,不会删除维护的安全组,包含私有网络控制台中安全组配置及轻量应用服务器防火墙中安全组配置。
可以在私有网络控制台,直接修改防火墙管理维护的安全组吗?
不可以。防火墙管理-企业安全组下发至私有网络-安全组中的规则不可以直接在私有网络控制台中修改。原因为:
1. 在私有网络-安全组中手动修改后的规则,不会体现在防火墙管理-企业安全组页面中,会导致规则信息展示不统一,不利于规则维护管理。
2. 在防火墙管理-企业安全组更新规则后,会同步下发规则到私有网络-安全组,导致私有网络-安全组手动修改的规则被覆盖,影响网络安全防护。
企业安全组下发至轻量应用服务器防火墙的规则是否有上限?
企业安全组下发至轻量应用服务器防火墙(Lighthouse)的规则上限为轻量应用服务器防火墙(Lighthouse)本身的规则上限,即不可超过100条规则,超额后无法进行规则下发。
企业安全组下发的规则若与轻量应用服务器原有规则重复会如何处理?
因轻量应用服务器防火墙(Lighthouse)不支持下发重复的规则,所以防火墙管理-企业安全组规则与轻量应用服务器防火墙现存规则重复时,系统会自动删除该条轻量应用服务器防火墙现存规则(并且无法恢复),增加优先级更高的一条相同规则,可在预览变动中查看详细变更信息。如综合评估后不需要变更,可删除企业安全组规则,不进行下发。
企业安全组下发至轻量应用服务器防火墙的规则是否支持参数模板?
因轻量应用服务器防火墙(Lighthouse)不支持参数模板,所以防火墙管理-企业安全组规则生效范围选择轻量应用服务器防火墙(Lighthouse)时会进行参数模板校验,如果填写会进行报错提醒,规则无法保存。
轻量应用服务器防火墙原有规则全部删除,仅保留一条企业安全组下发的规则时,是否支持删除该企业安全组规则?
不能删除。因为如果删除该企业安全组规则,即轻量应用服务器防火墙(Lighthouse)规则被清空时,会导致无法下发新的轻量应用服务器防火墙(Lighthouse)规则,从而影响安全策略的配置。所以仅剩余的这条企业安全组的规则删除时会有失败提醒。
如何给子账号授权防火墙管理的权限?
您需要先在 CAM 角色处创建防火墙管理角色,之后在子账号处添加以下2个权限即可:
QcloudFWMFullAccess
QcloudAccessForFWMRole
进行角色创建授权不会影响业务正常进行,创建角色授权是用户通过授权允许防火墙管理后台系统读取您的云上资源、私有网络等数据,用来构建页面操作所需数据呈现,不会进行任何影响业务的自动化操作。
