AWS Firewall Manager および AWS Organizations - AWS Organizations

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Firewall Manager および AWS Organizations

AWS Firewall Manager は、組織内の およびアプリケーション全体でファイアウォールルールやその他の保護を一元的に設定 AWS アカウント および管理するために使用するセキュリティ管理サービスです。Firewall Manager を使用すると、 AWS WAF ルールのロールアウト、保護の作成 AWS Shield Advanced 、Amazon Virtual Private Cloud (Amazon VPC) セキュリティグループの設定と監査、 AWS Network Firewallのデプロイを行うことができます。Firewall Manager を使用すれば、保護を一度設定するだけで、新しいリソースやアカウントが追加されているかどうかにかかわらず、組織内のすべてのアカウントとリソースに保護が自動的に適用されます。詳細については AWS Firewall Manager、「 AWS Firewall Manager デベロッパーガイド」を参照してください。

次の情報は、 AWS Firewall Manager との統合に役立ちます AWS Organizations。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Firewall Manager はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、Firewall Manager と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

  • AWSServiceRoleForFMS

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Firewall Manager によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

  • fms.amazonaws.com

Firewall Manager との信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要な権限に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

信頼されたアクセスは、 AWS Firewall Manager コンソールまたは AWS Organizations コンソールを使用して有効にできます。

重要

可能な限り、 AWS Firewall Manager コンソールまたはツールを使用して Organizations との統合を有効にすることを強くお勧めします。これにより、 はサービスに必要なリソースの作成など、必要な設定 AWS Firewall Manager を実行できます。ここに示す手順は、統合の有効化に AWS Firewall Managerが提供するツールを使用できない場合にのみ実施してください。詳細については、この注意を参照してください。

AWS Firewall Manager コンソールまたはツールを使用して信頼されたアクセスを有効にする場合、これらのステップを実行する必要はありません。

AWS Organizations 管理アカウントでサインインし、組織内のアカウントを AWS Firewall Manager 管理者アカウントとして設定する必要があります。詳細については、AWS Firewall Manager デベロッパーガイドSet the AWS Firewall Manager Administrator Account を参照してください。

信頼されたアクセスを有効にするには、 AWS Organizations コンソールを使用するか、 AWS CLI コマンドを実行するか、 のいずれかで APIオペレーションを呼び出します AWS SDKs。

AWS Management Console
Organizations コンソールを使用して信頼されたアクセスを有効にするには
  1. AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザー (非推奨) としてサインインする必要があります。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストで [AWS Firewall Manager] を選択します。

  4. [Enable trusted access (信頼されたアクセスを有効にする)] を選択します。

  5. 「 の信頼されたアクセスを有効にする AWS Firewall Manager」ダイアログボックスで、「確認のために を有効にする」と入力し、「信頼されたアクセスを有効にする」を選択します。

  6. の管理者のみである場合は AWS Organizations、 の管理者に、サービスコンソール からそのサービスが と AWS Organizations 連携できるようになった AWS Firewall Manager ことを知らせます。

AWS CLI, AWS API
OrganizationsCLI/ を使用して信頼されたサービスアクセスを有効にするにはSDK

次の AWS CLI コマンドまたはAPIオペレーションを使用して、信頼されたサービスアクセスを有効にします。

  • AWS CLI: enable-aws-service-access

    次のコマンドを実行して、 を Organizations の信頼されたサービス AWS Firewall Manager として有効にします。

    $ aws organizations enable-aws-service-access \ --service-principal fms.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: E nableAWSServiceアクセス

Firewall Manager との信頼されたアクセスの無効化

信頼されたアクセスの無効化に必要なアクセス権限に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

信頼されたアクセスは、 AWS Firewall Manager または AWS Organizations ツールを使用して無効にできます。

重要

可能な限り、 AWS Firewall Manager コンソールまたはツールを使用して Organizations との統合を無効にすることを強くお勧めします。これにより、 は、サービスで不要になったリソースやアクセスロールの削除など、必要なクリーンアップ AWS Firewall Manager を実行できます。ここに示す手順は、統合の無効化に AWS Firewall Managerが提供するツールを使用できない場合にのみ実施してください。

AWS Firewall Manager コンソールまたはツールを使用して信頼されたアクセスを無効にする場合は、これらのステップを完了する必要はありません。

Firewall Manager コンソールを使用して信頼されたアクセスを無効にするには

AWS Firewall Manager 管理者アカウントを変更または取り消すには、「 AWS Firewall Manager デベロッパーガイド」の AWS Firewall Manager 「管理者アカウントとして別のアカウントを指定する」の手順に従います。

管理者アカウントを取り消す場合は、 AWS Organizations 管理アカウントにサインインし、新しい管理者アカウントを設定する必要があります AWS Firewall Manager。

信頼されたアクセスを無効にするには、 AWS Organizations コンソールを使用するか、Organizations AWS CLI コマンドを実行するか、いずれかの で Organizations APIオペレーションを呼び出します AWS SDKs。

AWS Management Console
Organizations コンソールを使用して信頼されたアクセスを無効にするには
  1. AWS Organizations コンソール にサインインします。組織の管理アカウントで、 IAM ユーザーとしてサインインするか、 IAMロールを引き受けるか、ルートユーザー (非推奨) としてサインインする必要があります。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストで [AWS Firewall Manager] を選択します。

  4. Disable trusted access (信頼されたアクセスを無効にする) を選択します。

  5. 「 の信頼されたアクセスを無効にする AWS Firewall Manager」ダイアログボックスで、「確認のために無効化」と入力し、「信頼されたアクセスを無効にする」を選択します。

  6. の管理者のみの場合は AWS Organizations、 の管理者に、サービスコンソールまたはツール を使用して、そのサービスが で AWS Organizations 動作することを無効にできるようになった AWS Firewall Manager ことを知らせます。

AWS CLI, AWS API
Organizations CLI/ を使用して信頼されたサービスアクセスを無効にするにはSDK

次の AWS CLI コマンドまたはAPIオペレーションを使用して、信頼されたサービスへのアクセスを無効にできます。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行して、Organizations で信頼されたサービス AWS Firewall Manager として を無効にします。

    $ aws organizations disable-aws-service-access \ --service-principal fms.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: D isableAWSServiceアクセス

Firewall Manager 用の委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、 Firewall Manager の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、組織の管理から Firewall Manager の管理を分離するのに有効です。

最小アクセス許可

Organizations 管理アカウントのユーザーまたはロールのみが、組織内で Firewall Manager の委任管理者としてメンバーアカウントを設定できます。

メンバーアカウントを組織の Firewall Manager 管理者として指定する方法については、「 AWS Firewall Manager デベロッパーガイド」のAWS Firewall Manager 「管理者アカウントの設定」を参照してください。