AWS Firewall Manager ポリシーの作成 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
AWS WAFのポリシーを作成する AWS WAF Classic のポリシーを作成するShield Advanced のポリシーを作成する共通セキュリティグループポリシーの作成コンテンツ監査セキュリティグループポリシーの作成使用状況監査セキュリティグループポリシーの作成ネットワークACLポリシーの作成Network Firewall のポリシーを作成するDNS Firewall のポリシーを作成するPalo Alto Networks Cloud のポリシーを作成する NGFWFortigate のポリシーを作成する CNF

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Firewall Manager ポリシーの作成

ポリシーを作成するステップは、ポリシータイプによって異なります。必ず、必要なポリシーのタイプに対応する手順を使用してください。

重要

AWS Firewall Manager は Amazon Route 53 または をサポートしていません AWS Global Accelerator。Shield Advanced を使用してこれらのリソースを保護する場合、Firewall Manager ポリシーは使用できません。代わりに、「AWS Shield AdvancedAWS リソースへの保護の追加」の手順に従ってください。

の AWS Firewall Manager ポリシーの作成 AWS WAF

Firewall Manager AWS WAF ポリシーでは、 AWS と AWS Marketplace 販売者がユーザーに代わって作成および管理するマネージドルールグループを使用できます。独自のルールグループを作成して使用することもできます。ルールグループの詳細については、「AWS WAF ルールグループ」を参照してください。

独自のルールグループを使用する場合は、Firewall Manager AWS WAF ポリシーを作成する前にそれらのグループを作成します。ガイダンスについては、「独自のルールグループの管理」を参照してください。個々のカスタムルールを使用するには、独自のルールグループを定義し、その中にルールを定義してから、ポリシーでそのルールグループを使用する必要があります。

Firewall Manager AWS WAF ポリシーの詳細については、「」を参照してくださいAWS WAF ポリシー

の Firewall Manager ポリシーを作成するには AWS WAF (コンソール)

  1. Firewall Manager 管理者アカウント AWS Management Console を使用して にサインインし、 で Firewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [Policy type] (ポリシータイプ) では [AWS WAF] を選択します。

  5. リージョン で、 を選択します AWS リージョン。Amazon CloudFront ディストリビューションを保護するには、グローバル を選択します。

    複数のリージョン ( CloudFront ディストリビューション以外) のリソースを保護するには、リージョンごとに個別の Firewall Manager ポリシーを作成する必要があります。

  6. [Next] (次へ) を選択します。

  7. [Policy name] (ポリシー名) で、わかりやすい名前を入力します。Firewall Manager は、ACLs管理するウェブの名前にポリシー名を含めます。ウェブACL名にFMManagedWebACLV2-続いて、ここに入力したポリシー名、-、ウェブACL作成タイムスタンプがUTCミリ秒単位で続きます。例えば FMManagedWebACLV2-MyWAFPolicyName-1621880374078 です。

  8. [ウェブリクエストボディの検査] では、オプションで本文のサイズ制限を変更してください。価格に関する考慮事項など、ボディ検査のサイズ制限については、「AWS WAF  デベロッパーガイド」の「本文検査のサイズ制限の管理」を参照してください。

  9. ポリシールール で、ウェブ で最初と最後に AWS WAF 評価するルールグループを追加しますACL。 AWS WAF マネージドルールグループのバージョニングを使用するには、バージョニングを有効にする に切り替えます。各アカウントマネージャーは、最初のルールグループと最後のルールグループの間にルールとルールグループを追加できます。の Firewall Manager ポリシーで AWS WAF ルールグループを使用する方法の詳細については AWS WAF、「」を参照してくださいAWS WAF ポリシー

    (オプション) ウェブがルールグループACLを使用する方法をカスタマイズするには、編集 を選択します。一般的なカスタマイズ設定は次のとおりです。

    • マネージドルールのグループの場合は、一部またはすべてのルールのルールアクションをオーバーライドします。ルールにオーバーライドアクションを定義しない場合、評価にはルールグループ内で定義されているルールアクションが使用されます。このオプションの詳細については、「AWS WAF デベロッパーガイド」の「ルールグループのアクションオーバーライドオプション」を参照してください。

    • 一部のマネージドルールグループは追加の設定が必要です。マネージドルールグループのプロバイダーのドキュメントを参照してください。 AWS マネージドルールのルールグループに固有の情報については、「 AWS WAF デベロッパーガイドAWS のマネージドルール AWS WAF」の「」を参照してください。

    設定が完了したら、[Save rule] (ルールを保存) を選択します。

  10. ウェブ のデフォルトアクションを設定しますACL。これは、ウェブリクエストが AWS WAFウェブ のルールのいずれにも一致しない場合に が実行するアクションですACL。[Allow] (許可) アクションでカスタムヘッダーを追加することや、[Block] (ブロック) アクションのカスタムレスポンスを追加することができます。デフォルトのウェブACLアクションの詳細については、「」を参照してくださいウェブ ACL のデフォルトアクション。カスタムウェブリクエストを設定する方法については、「AWS WAFのカスタマイズされたウェブリクエストとレスポンス」を参照してください。

  11. [ログ記録設定] で、[ログ記録を有効にする] を選択してログ記録をオンにします。ログ記録は、ウェブ によって分析されるトラフィックに関する詳細情報を提供しますACL。[ログの出力先] を選択し、設定したログ記録の送信先を選択します。名前が aws-waf-logs- で始まるログ記録先を選択する必要があります。 AWS WAF ログ記録の送信先の設定については、「」を参照してくださいAWS WAF ポリシーのログ記録の設定

  12. (オプション) 特定のフィールドとその値がログに含まれることを希望しない場合には、このフィールドをマスキングします。マスキングするフィールドを選び、[Add] (追加) を選択します。必要に応じて手順を繰り返し、追加のフィールドをマスキングします。マスキングされたフィールドは、ログに REDACTED と表示されます。例えば、 URIフィールドを編集すると、ログの URIフィールドは になりますREDACTED

  13. (オプション) すべてのリクエストをログに送信しない場合は、フィルタリング条件と動作を追加します。[Filter logs] (ログをフィルタリング) で、適用する各フィルターについて [Add filter] (フィルターを追加) を選択し、次にフィルター基準を選択して、基準に一致するリクエストを保持するかドロップするかを指定します。フィルターの追加が完了したら、必要に応じて、[Default logging behavior] (デフォルトのログ記録動作) を変更します。詳細については、「AWS WAF デベロッパーガイド」の 「ウェブ ACL ログ記録設定」を参照してください。

  14. [Token domain list] (トークンドメインリスト) を定義して、保護されたアプリケーション間でトークンの共有を有効にできます。トークンは、 CAPTCHAアクションと Challengeアクション、および AWS WAF Fraud Control アカウント乗っ取り防止 (ATP) と AWS WAF Bot Control に AWS マネージドルールのルールグループを使用するときに実装SDKsするアプリケーション統合によって使用されます。

    パブリックサフィックスは許可されません。たとえば、gov.au または co.uk をトークンドメインとして使用することはできません。

    デフォルトでは、 は保護されたリソースのドメインに対してのみトークン AWS WAF を受け入れます。このリストにトークンドメインを追加すると、 はリスト内のすべてのドメインと、関連付けられたリソースのドメインのトークン AWS WAF を受け入れます。詳細については、「AWS WAF デベロッパーガイド」の 「AWS WAF ウェブ ACL トークンドメインリストの設定」を参照してください。

    既存のウェブ を編集する場合にのみ、ウェブ ACLの CAPTCHAとチャレンジのイミュニティ時間を変更することができますACL。これらの設定は、Firewall Manager の [ポリシーの詳細] ページで確認できます。これらの設定については、「タイムスタンプの有効期限: AWS WAF トークンのイミュニティ時間」を参照してください。既存のポリシーで関連付け設定 CAPTCHAチャレンジ 、またはトークンドメインリスト設定を更新すると、Firewall Manager はローカルウェブを新しい値ACLsで上書きします。ただし、ポリシーの関連付け設定 CAPTCHAチャレンジ 、またはトークンドメインリスト設定を更新しない場合、ローカルウェブの値はACLs変更されません。このオプションの詳細については、「AWS WAF デベロッパーガイド」の「CAPTCHAChallengeの および AWS WAF」を参照してください。

  15. ウェブACL管理 で、Firewall Manager が関連付けられていないウェブ を管理する場合はACLs、関連付けられていないウェブ の管理 ACLsを有効にします。このオプションを使用すると、Firewall Manager は、ウェブACLsが少なくとも 1 つのリソースによって使用される場合にのみACLs、ポリシー範囲内のアカウントにウェブを作成します。アカウントがポリシーの範囲に入ると、少なくとも 1 つのリソースがウェブ を使用する場合、Firewall Manager はアカウントACL内にウェブを自動的に作成しますACL。このオプションを有効にすると、Firewall Manager はアカウントACLs内で関連付けられていないウェブの 1 回限りのクリーンアップを実行します。このクリーンアッププロセスには、数時間かかることがあります。Firewall Manager がウェブ を作成した後にリソースがポリシーの範囲から外れた場合ACL、Firewall Manager はリソースとウェブ の関連付けを解除しますがACL、関連付けられていないウェブ はクリーンアップされませんACL。Firewall Manager は、ポリシーACLsで関連付けられていないウェブの管理を最初に有効にACLsした場合にのみ、関連付けられていないウェブをクリーンアップします。

  16. ポリシーアクション で、組織内の該当するACL各アカウントにウェブを作成するが、ウェブACLをまだリソースに適用しない場合は、ポリシールールに準拠していないリソースを特定するを選択しますが、自動修復はせず関連付けられていないウェブの管理 ACLsは選択しません。これらのオプションは後で変更できます。

    代わりに、ポリシーを既存の範囲内のリソースに自動的に適用する場合は、[Auto remediate any noncompliant resources] (準拠していないリソースを自動修復する) を選択します。関連付けられていないウェブの管理ACLsが無効になっている場合、非準拠のリソースの自動修正オプションは、組織内の該当するACL各アカウントにウェブを作成し、そのウェブをアカウントのリソースACLに関連付けます。関連付けられていないウェブの管理ACLsが有効になっている場合、非準拠のリソースの自動修復オプションは、ウェブ への関連付けの対象となるリソースを持つアカウントACLでのみウェブを作成して関連付けますACL。

    非準拠のリソース を自動修正 を選択すると、別のアクティブな Firewall Manager ポリシーによって管理ACLsされていないウェブについて、範囲内のリソースから既存のウェブACL関連付けを削除することもできます。このオプションを選択すると、Firewall Manager はまずポリシーのウェブをリソースACLに関連付けてから、以前の関連付けを削除します。リソースに、別のアクティブな Firewall Manager ポリシーによって管理ACLされている別のウェブとの関連付けがある場合、この選択はその関連付けには影響しません。

  17. [Next] (次へ) を選択します。

  18. [AWS アカウント this policy applies to] (このポリシーが適用される ) で、次のようにオプションを選択します。

    • 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの選択のままにし、 AWS 組織 のすべてのアカウントを含めます

    • 特定の AWS Organizations 組織単位 (OUs) にある特定のアカウントまたはアカウントにのみポリシーを適用する場合は、指定されたアカウントと組織単位のみを含める を選択し、含めOUsるアカウントと を追加します。OU の指定は、後で追加される子アカウントOUsやアカウントを含めOUs、OU とその子 のすべてのアカウントを指定するのと同じです。

    • 特定のアカウントまたは AWS Organizations 組織単位 (OUs) を除くすべてのアカウントにポリシーを適用する場合は、指定したアカウントと組織単位を除外し、その他すべての を含めて、除外OUsするアカウントと を追加します。OU の指定は、後で追加される子アカウントOUsやアカウントを含めOUs、OU とその子 のすべてのアカウントを指定するのと同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めると、OU またはその子 のいずれかにアカウントを追加するとOUs、Firewall Manager は自動的に新しいアカウントにポリシーを適用します。

  19. [Resource type] (リソースタイプ) で、保護するリソースのタイプを選択します。

  20. リソース では、指定したタグを持つリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。タグの詳細については、「タグエディタの使用」を参照してください。

    複数のタグを入力した場合、含めるまたは除外するリソースにはそれらのすべてのタグが付いている必要があります。

    リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値「」でタグを保存します。リソースタグは、同じキーと同じ値を持つタグとのみ一致します。

  21. [次へ] をクリックします。

  22. ポリシータグ には、Firewall Manager ポリシーリソースに追加する識別タグを追加します。タグの詳細については、「タグエディタの使用」を参照してください。

  23. [Next] (次へ) を選択します。

  24. 新しいポリシー設定を確認し、調整が必要なページに戻ります。

    ポリシーが完成したら、[Create policy] (ポリシーの作成) を選択します。[AWS Firewall Manager ポリシー] ペインにポリシーが一覧表示されます。おそらく、アカウントの見出しの下に「保留中」と表示され、自動修復設定のステータスを示します。ポリシーの作成には数分かかることがあります。[Pending] (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「AWS Firewall Manager ポリシーのコンプライアンス情報の表示」を参照してください。

AWS WAF Classic の AWS Firewall Manager ポリシーの作成

AWS WAF Classic の Firewall Manager ポリシーを作成するには (コンソール)

  1. Firewall Manager 管理者アカウント AWS Management Console を使用して にサインインし、 で Firewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [Policy type (ポリシータイプ)] で、[AWS WAF Classic] を選択します。

  5. ポリシーに追加する AWS WAF Classic ルールグループを既に作成している場合は、 AWS Firewall Manager ポリシーの作成 を選択し、既存のルールグループ を追加します。新しいルールグループを作成する場合は、[Create a Firewall Manager policy and add a new rule group] (Firewall Manager ポリシーを作成して新しいルールグループを追加する) を選択します。

  6. リージョン で、 を選択します AWS リージョン。Amazon CloudFront リソースを保護するには、グローバル を選択します。

    複数のリージョン ( リソース以外) の CloudFront リソースを保護するには、リージョンごとに個別の Firewall Manager ポリシーを作成する必要があります。

  7. [Next] (次へ) を選択します。

  8. ルールグループを作成する場合は、AWS WAF クラシックルールグループの作成 の手順に従います。ルールグループを作成したら、次のステップに進みます。

  9. ポリシー名を入力します。

  10. 既存のルールグループを追加する場合は、ドロップダウンメニューを使用して追加するルールグループを選択し、[Add rule group] (ルールグループの追加) を選択します。

  11. ポリシーには、[Action set by rule group] (ルールグループによって設定されたアクション) と [Count] (カウント) の 2 つのアクションがあります。ポリシーをテストする場合は、アクションを [Count] (カウント) に設定します。このアクションは、ルールグループのルールで指定されたブロックアクションを上書きします。つまり、ポリシーのアクションが [Count] (カウント) に設定されている場合、リクエストはカウントされ、ブロックされません。逆に、ポリシーのアクションを [Action set by rule group] (ルールグループによって設定されたアクション) に設定すると、ルールグループルールのアクションが使用されます。適切なアクションを選択します。

  12. [Next] (次へ) を選択します。

  13. [AWS アカウント this policy applies to] (このポリシーが適用される ) で、次のようにオプションを選択します。

    • 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの選択のままにし、 AWS 組織 のすべてのアカウントを含めます

    • 特定の AWS Organizations 組織単位 (OUs) にある特定のアカウントまたはアカウントにのみポリシーを適用する場合は、指定されたアカウントと組織単位のみを含める を選択し、含めOUsるアカウントと を追加します。OU の指定は、後で追加される子アカウントOUsやアカウントを含めOUs、OU とその子 のすべてのアカウントを指定するのと同じです。

    • 特定のアカウントまたは AWS Organizations 組織単位 (OUs) を除くすべてのアカウントにポリシーを適用する場合は、指定されたアカウントと組織単位を除外し、その他すべての を含めて、除外OUsするアカウントと を追加します。OU の指定は、後で追加される子アカウントOUsやアカウントを含めOUs、OU とその子 のすべてのアカウントを指定するのと同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めると、OU またはその子 のいずれかにアカウントを追加するとOUs、Firewall Manager は自動的に新しいアカウントにポリシーを適用します。

  14. 保護するリソースのタイプを選択します。

  15. リソース では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。タグの詳細については、「タグエディタの使用」を参照してください。

    複数のタグを入力した場合、含めるまたは除外するリソースにはそれらのすべてのタグが付いている必要があります。

    リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値「」でタグを保存します。リソースタグは、同じキーと同じ値を持つタグとのみ一致します。

  16. 既存のリソースにポリシーを自動的に適用する場合は、[Create and apply this policy to existing and new resources] (既存および新規のリソースにこのポリシーを作成して適用する) を選択します。

    このオプションは、組織内の AWS 該当するACL各アカウントにウェブを作成し、そのウェブをアカウントのリソースACLに関連付けます。このオプションは、前述の基準 (リソースタイプとタグ) に一致するすべての新しいリソースにもポリシーを適用します。または、ポリシーの作成 を選択しても、そのポリシーを既存または新しいリソース に適用しない場合、Firewall Manager は組織内の該当するACL各アカウントにウェブを作成しますが、そのウェブはどのリソースACLにも適用しません。ポリシーは後でリソースに適用する必要があります。適切なオプションを選択します。

  17. 既存の関連付けられているウェブ ACLsを置き換える では、範囲内のリソースに現在定義されているウェブACL関連付けを削除し、それらをこのポリシーでACLs作成するウェブへの関連付けに置き換えることができます。デフォルトでは、Firewall Manager は新しいウェブACL関連付けを追加する前に既存のウェブ関連付けを削除しません。既存の関連付けを削除する場合は、このオプションを選択します。

  18. [Next] (次へ) を選択します。

  19. 新しいポリシーを確認します。設定を変更するには、[Edit] (編集) を選択します。ポリシーが完成したら、[Create and apply policy] (ポリシーの作成と適用) を選択します。

の AWS Firewall Manager ポリシーの作成 AWS Shield Advanced

Shield Advanced の Firewall Manager ポリシーを作成するには (コンソール)

  1. Firewall Manager 管理者アカウント AWS Management Console を使用して にサインインし、 で Firewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [Policy type] (ポリシータイプ) で、[Shield Advanced] を選択します。

    Shield Advanced ポリシーを作成するには、Shield Advanced をサブスクライブする必要があります。登録されていない場合は、登録するよう求められます。サブスクリプションの費用については、「AWS Shield Advanced の料金」を参照してください。

  5. リージョン で、 を選択します AWS リージョン。Amazon CloudFront ディストリビューションを保護するには、グローバル を選択します。

    [Global] (グローバル) 以外のリージョンを選択する場合、複数のリージョンでリソースを保護するには、各リージョン用に個別の Firewall Manager ポリシーを作成する必要があります。

  6. [Next] (次へ) を選択します。

  7. [Name] (名前) で、わかりやすい名前を入力します。

  8. グローバルリージョンポリシーでのみ、Shield Advanced 自動アプリケーションレイヤーDDoS緩和を管理するかどうかを選択できます。Shield Advanced 機能については、「Shield Advanced アプリケーションレイヤー DDoS 自動緩和」を参照してください。

    自動緩和を有効または無効にすることを選択でき、あるいは無視することを選択できます。無視することを選択した場合、Firewall Manager は、Shield Advanced 保護のために自動緩和をまったく管理しません。これらのポリシーのオプションの詳細については、「アプリケーションレイヤー DDoS 自動緩和」を参照してください 。

  9. ウェブACL管理 で、Firewall Manager が関連付けられていないウェブ を管理する場合はACLs、関連付けられていないウェブ の管理 ACLsを有効にします。このオプションを使用すると、Firewall Manager は、ウェブACLsが少なくとも 1 つのリソースによって使用される場合にのみACLs、ポリシー範囲内のアカウントにウェブを作成します。アカウントがポリシーの範囲に入ると、少なくとも 1 つのリソースがウェブ を使用する場合、Firewall Manager はアカウントACL内にウェブを自動的に作成しますACL。このオプションを有効にすると、Firewall Manager はアカウントACLs内で関連付けられていないウェブの 1 回限りのクリーンアップを実行します。このクリーンアッププロセスには、数時間かかることがあります。Firewall Manager がウェブ を作成した後にリソースがポリシーの範囲から外れた場合ACL、Firewall Manager はウェブ からリソースの関連付けを解除しませんACL。1 回限りのクリーンアップACLにウェブを含めるには、まずウェブからリソースの関連付けを手動で解除してからACL、関連付けられていないウェブの管理ACLsを有効にする必要があります。

  10. [Policy action] (ポリシーアクション) では、準拠していないリソースを自動的に修復しないオプションを使用してポリシーを作成することをお勧めします。自動修復を無効にすると、新しいポリシーを適用する前にその効果を評価できます。変更が適切であることを確認したら、ポリシーを編集し、ポリシーアクションを変更して、自動修復を有効にします。

    代わりに、ポリシーを既存の範囲内のリソースに自動的に適用する場合は、[Auto remediate any noncompliant resources] (準拠していないリソースを自動修復する) を選択します。このオプションは、 AWS 組織内の該当する各アカウントとアカウント内の該当する各リソースに Shield Advanced 保護を適用します。

    グローバルリージョンポリシーでのみ、非準拠のリソース を自動修正することを選択した場合は、Firewall Manager で既存の AWS WAF Classic ウェブACL関連付けを、最新バージョン AWS WAF (v2) を使用してACLs作成されたウェブへの新しい関連付けに自動的に置き換えることもできます。これを選択すると、Firewall Manager は、ポリシー用にまだ存在しない範囲内ACLsのアカウントに新しい空のウェブを作成した後、以前のバージョンのウェブとの関連付けを削除ACLsしACLs、最新バージョンのウェブ との新しい関連付けを作成します。このオプションの詳細については、「AWS WAF クラシックウェブ ACL を最新バージョンのウェブ ACL に置き換えます。」をご参照ください。

  11. [Next] (次へ) を選択します。

  12. [AWS アカウント this policy applies to] (このポリシーが適用される ) で、次のようにオプションを選択します。

    • 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの [Include all accounts under my AWS organization] (自分の組織の下にあるすべてのアカウントを含める) を選択したままにします。

    • 特定の AWS Organizations 組織単位 (OUs) にある特定のアカウントまたはアカウントにのみポリシーを適用する場合は、指定されたアカウントと組織単位のみを含める を選択し、含めOUsるアカウントと を追加します。OU の指定は、後で追加される子アカウントOUsやアカウントを含めOUs、OU とその子 のすべてのアカウントを指定するのと同じです。

    • 特定のアカウントまたは AWS Organizations 組織単位 (OUs) を除くすべてのアカウントにポリシーを適用する場合は、指定したアカウントと組織単位を除外し、その他すべての を含めて、除外OUsするアカウントと を追加します。OU の指定は、後で追加される子アカウントOUsやアカウントを含めOUs、OU とその子 のすべてのアカウントを指定するのと同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めると、OU またはその子 のいずれかにアカウントを追加するとOUs、Firewall Manager は自動的にポリシーを新しいアカウントに適用します。

  13. 保護するリソースのタイプを選択します。

    Firewall Manager は、Amazon Route 53 または AWS Global Acceleratorをサポートしていません。これらのサービスからリソースを保護するために Shield Advanced を使用する必要がある場合、Firewall Manager ポリシーを使用することはできません。代わりに、「AWS Shield AdvancedAWS リソースへの保護の追加」の Shield Advanced のガイダンスに従ってください。

  14. リソース では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。タグの詳細については、「タグエディタの使用」を参照してください。

    複数のタグを入力した場合、含めるまたは除外するリソースにはそれらのすべてのタグが付いている必要があります。

    リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値「」でタグを保存します。リソースタグは、同じキーと同じ値を持つタグとのみ一致します。

  15. [次へ] をクリックします。

  16. ポリシータグ には、Firewall Manager ポリシーリソースに追加する識別タグを追加します。タグの詳細については、「タグエディタの使用」を参照してください。

  17. [Next] (次へ) を選択します。

  18. 新しいポリシー設定を確認し、調整が必要なページに戻ります。

    ポリシーが完成したら、[Create policy] (ポリシーの作成) を選択します。[AWS Firewall Manager ポリシー] ペインにポリシーが一覧表示されます。アカウントの見出しの下には「保留中」と表示され、自動修復設定のステータスを示します。ポリシーの作成には数分かかることがあります。[Pending] (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「AWS Firewall Manager ポリシーのコンプライアンス情報の表示」を参照してください。

AWS Firewall Manager 共通セキュリティグループポリシーの作成

共通セキュリティグループポリシーの仕組みの詳細については、「共通セキュリティグループポリシー」を参照してください。

共通セキュリティグループポリシーを作成するには、ポリシーのプライマリとして使用するセキュリティグループが Firewall Manager 管理者アカウントに既に作成されている必要があります。セキュリティグループは、Amazon Virtual Private Cloud (Amazon VPC) または Amazon Elastic Compute Cloud (Amazon ) を通じて管理できますEC2。詳細については、「Amazon ユーザーガイド」の「セキュリティグループの使用」を参照してください。 VPC

共通セキュリティグループポリシー (コンソール) を作成するには

  1. Firewall Manager 管理者アカウント AWS Management Console を使用して にサインインし、 で Firewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [Policy type] (ポリシータイプ) で、[Security group] (セキュリティグループ) を選択します。

  5. [Security group policy type] (セキュリティグループポリシータイプ) で、[Common security groups] (共通セキュリティグループ) を選択します。

  6. リージョン で、 を選択します AWS リージョン。

  7. [Next] (次へ) を選択します。

  8. [Policy name](ポリシー名) で、フレンドリ名を入力します。

  9. [Policy rules] (ポリシールール) で、次の操作を行います。

    1. ルールオプションから、セキュリティグループルールとポリシーの範囲内にあるリソースに対して適用する制限を選択します。[Distribute tags from the primary security group to the security groups created by this policy] (プライマリセキュリティグループからこのポリシーによって作成されたセキュリティグループにタグを配布) を選択した場合は、[Identify and report when the security groups created by this policy become non-compliant] (このポリシーによって作成されたセキュリティグループが非準拠になったときに識別して報告) も選択する必要があります。

      重要

      Firewall Manager は、 AWS サービスによって追加されたシステムタグをレプリカセキュリティグループに配布しません。システムタグは aws: プレフィックスで始まります。また、ポリシーに組織のタグポリシーと矛盾するタグがある場合は、Firewall Manager が既存のセキュリティグループでのタグ更新や、新しいセキュリティグループの作成を行うことはありません。タグポリシーの詳細については、「 ユーザーガイド」の「タグポリシー AWS Organizations 」を参照してください。

      セキュリティグループ参照をプライマリセキュリティグループからこのポリシー によって作成されたセキュリティグループに分散することを選択した場合、Firewall Manager は、Amazon でアクティブなピアリング接続がある場合にのみセキュリティグループ参照を分散しますVPC。このオプションの詳細については、「ポリシールールの設定」を参照してください。

    2. プライマリセキュリティグループ で、セキュリティグループの追加 を選択し、使用するセキュリティグループを選択します。Firewall Manager は、Firewall Manager 管理者アカウントのすべての Amazon VPCインスタンスのセキュリティグループのリストを入力します。

      デフォルトでは、ポリシーあたりのプライマリセキュリティグループの最大数は 3 です。この設定についての情報は、「AWS Firewall Manager クォータ」を参照してください。

    3. [Policy action] (ポリシーアクション) では、自動的に修復されないオプションを使用してポリシーを作成することをお勧めします。これにより、新しいポリシーを適用する前にその効果を評価できます。変更が適切であることを確認したら、ポリシーを編集し、ポリシーアクションを変更して、準拠していないリソースの自動修復を有効にします。

  10. [Next] (次へ) を選択します。

  11. [AWS アカウント this policy applies to] (このポリシーが適用される ) で、次のようにオプションを選択します。

    • 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの選択のままにし、 AWS 組織 のすべてのアカウントを含めます

    • 特定の AWS Organizations 組織単位 (OUs) にある特定のアカウントまたはアカウントにのみポリシーを適用する場合は、指定されたアカウントと組織単位のみを含める を選択し、含めOUsるアカウントと を追加します。OU の指定は、後で追加される子アカウントOUsやアカウントを含めOUs、OU とその子 のすべてのアカウントを指定するのと同じです。

    • 特定のアカウントまたは AWS Organizations 組織単位 (OUs) を除くすべてのアカウントにポリシーを適用する場合は、指定されたアカウントと組織単位を除外し、その他すべての を含めて、除外OUsするアカウントと を追加します。OU の指定は、後で追加される子アカウントOUsやアカウントを含めOUs、OU とその子 のすべてのアカウントを指定するのと同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めると、OU またはその子 のいずれかにアカウントを追加するとOUs、Firewall Manager は自動的にポリシーを新しいアカウントに適用します。

  12. [Resource type] (リソースタイプ) で、保護するリソースのタイプを選択します。

    リソースタイプEC2インスタンス では、すべての Amazon EC2インスタンスを修復するか、デフォルトのプライマリ Elastic Network Interface () のみを持つインスタンスのみを修復するかを選択できますENI。後者のオプションでは、Firewall Manager は追加のENIアタッチメントがあるインスタンスを修正しません。代わりに、自動修復が有効になっている場合、Firewall Manager はこれらのEC2インスタンスのコンプライアンスステータスのみをマークし、修復アクションを適用しません。Amazon EC2リソースタイプのその他の注意事項と制限については、「」を参照してくださいセキュリティグループポリシーの注意事項と制限事項

  13. リソース では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。タグの詳細については、「タグエディタの使用」を参照してください。

    複数のタグを入力した場合、含めるまたは除外するリソースにはそれらのすべてのタグが付いている必要があります。

    リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値「」でタグを保存します。リソースタグは、同じキーと同じ値を持つタグとのみ一致します。

  14. 共有VPCリソース で、共有 のリソースにポリシーを適用する場合はVPCs、VPCsアカウントが所有する に加えて、共有 からリソースを含める VPCsを選択します。

  15. [Next] (次へ) を選択します。

  16. ポリシー設定を見直して目的の設定になっていることを確認し、[Create policy] (ポリシーの作成) を選択します。

Firewall Manager は、アカウントごとにサポートされている Amazon VPC 最大クォータまで、範囲内のアカウントに含まれるすべての Amazon VPCインスタンスにプライマリセキュリティグループのレプリカを作成します。Firewall Manager は、レプリカセキュリティグループを、範囲内の各アカウント用のポリシーの範囲内にあるリソースに関連付けます。このポリシーの仕組みの詳細については、「共通セキュリティグループポリシー」を参照してください。

AWS Firewall Manager コンテンツ監査セキュリティグループポリシーの作成

コンテンツ監査セキュリティグループポリシーの仕組みの詳細については、「コンテンツ監査セキュリティグループポリシー」を参照してください。

コンテンツ監査ポリシーの設定によっては、Firewall Manager がテンプレートとして使用するための監査セキュリティグループを指定する必要があります。例えば、どのセキュリティグループでも許可しないすべてのルールを含む監査セキュリティグループがあるとします。ポリシーでこれらの監査セキュリティグループを使用するには、Firewall Manager 管理者アカウントを使用してこれらの監査セキュリティグループを作成する必要があります。セキュリティグループは、Amazon Virtual Private Cloud (Amazon VPC) または Amazon Elastic Compute Cloud (Amazon ) を通じて管理できますEC2。詳細については、「Amazon ユーザーガイド」の「セキュリティグループの使用」を参照してください。 VPC

コンテンツ監査セキュリティグループポリシーを作成するには (コンソール)

  1. Firewall Manager 管理者アカウント AWS Management Console を使用して にサインインし、 で Firewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [Policy type] (ポリシータイプ) で、[Security group] (セキュリティグループ) を選択します。

  5. [Security group policy type] (セキュリティグループポリシータイプ) で、[Auditing and enforcement of security group rules] (セキュリティグループルールの監査と適用) を選択します。

  6. リージョン で、 を選択します AWS リージョン。

  7. [Next] (次へ) を選択します。

  8. [Policy name](ポリシー名) で、フレンドリ名を入力します。

  9. [Policy rules] (ポリシールール) で、使用するマネージドポリシールールオプションまたはカスタムポリシールールオプションを選択します。

    1. [Configure managed audit policy rules] (マネージド監査ポリシールールを設定) で、次の手順を実行します。

      1. [Configure security group rules to audit] (監査するセキュリティグループルールを設定) で、監査ポリシーを適用するセキュリティグループルールの種類を選択します。

      2. セキュリティグループ内のプロトコル、ポート、CIDR範囲設定に基づいて監査ルールなどの操作を行う場合は、過度に許容されるセキュリティグループルールの監査を選択し、必要なオプションを選択します。

        [ルールですべてのトラフィックを許可する] を選択すると、カスタムアプリケーション リストを指定して、監査するアプリケーションを指定できます。カスタムアプリケーションリスト、およびポリシーでのアプリケーションリストの使用方法については、「マネージドリスト」および「マネージドリストの使用」を参照してください。

        プロトコルリストを使用する選択では、既存のリストを使用したり、新しいリストを作成したりできます。プロトコルリスト、およびポリシーでのアプリケーションリストの使用方法については、「マネージドリスト」および「マネージドリストの使用」を参照してください。

      3. 予約済みまたは予約されていないCIDR範囲へのアクセスに基づいて高リスクを監査する場合は、高リスクアプリケーションの監査を選択し、必要なオプションを選択します。

        次の選択は相互に排他的です。予約済みCIDR範囲 にのみアクセスできるアプリケーション、予約されていないCIDR範囲 へのアクセスを許可されたアプリケーション。いずれのポリシーでも、選択できるのは最大 1 つです。

        アプリケーションリストを使用する選択では、既存のリストを使用したり、新しいリストを作成したりできます。アプリケーションリスト、およびポリシーでのアプリケーションリストの使用方法については、「マネージドリスト」および「マネージドリストの使用」を参照してください。

      4. [Overrides] (上書き) 設定を使用して、ポリシー内の他の設定を明示的に上書きします。ポリシーに設定した他のオプションに準拠しているかどうかにかかわらず、特定のセキュリティグループルールを常に許可するか常に拒否するかを選択できます。

        このオプションでは、許可されたルールまたは拒否されたルールテンプレートとして監査セキュリティグループを指定します。[Audit security groups] (監査セキュリティグループ) で、[Add audit security groups] (監査セキュリティグループを追加) を選択してから、使用するセキュリティグループを選択します。Firewall Manager は、Firewall Manager 管理者アカウントのすべての Amazon VPCインスタンスの監査セキュリティグループのリストを入力します。ポリシーの監査セキュリティグループ数のデフォルト最大クォータは 1 です。クォータを引き上げる方法については、「AWS Firewall Manager クォータ」を参照してください。

    2. [Configure custom policy rules] (カスタムポリシールールを設定) で、次の手順を実行します。

      1. ルールオプションから、監査セキュリティグループで定義されたルールのみを許可するか、すべてのルールを拒否するかを選択します。この選択の詳細については、「コンテンツ監査セキュリティグループポリシー」を参照してください。

      2. [Audit security groups] (監査セキュリティグループ) で、[Add audit security groups] (監査セキュリティグループを追加) を選択してから、使用するセキュリティグループを選択します。Firewall Manager は、Firewall Manager 管理者アカウントのすべての Amazon VPCインスタンスの監査セキュリティグループのリストを入力します。ポリシーの監査セキュリティグループ数のデフォルト最大クォータは 1 です。クォータを引き上げる方法については、「AWS Firewall Manager クォータ」を参照してください。

      3. [Policy action] (ポリシーアクション) では、自動的に修復されないオプションを使用してポリシーを作成する必要があります。これにより、新しいポリシーを適用する前にその効果を評価できます。変更が適切であることを確認したら、ポリシーを編集し、ポリシーアクションを変更して、準拠していないリソースの自動修復を有効にします。

  10. [Next] (次へ) を選択します。

  11. [AWS アカウント this policy applies to] (このポリシーが適用される ) で、次のようにオプションを選択します。

    • 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの選択のままにし、 AWS 組織 のすべてのアカウントを含めます

    • 特定の AWS Organizations 組織単位 (OUs) にある特定のアカウントまたはアカウントにのみポリシーを適用する場合は、指定されたアカウントと組織単位のみを含める を選択し、含めOUsるアカウントと を追加します。OU の指定は、後で追加される子アカウントOUsやアカウントを含めOUs、OU とその子 のすべてのアカウントを指定するのと同じです。

    • 特定のアカウントまたは AWS Organizations 組織単位 (OUs) を除くすべてのアカウントにポリシーを適用する場合は、指定されたアカウントと組織単位を除外し、その他すべての を含めて、除外OUsするアカウントと を追加します。OU の指定は、後で追加される子アカウントOUsやアカウントを含めOUs、OU とその子 のすべてのアカウントを指定するのと同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めると、OU またはその子 のいずれかにアカウントを追加するとOUs、Firewall Manager は自動的にポリシーを新しいアカウントに適用します。

  12. [Resource type] (リソースタイプ) で、保護するリソースのタイプを選択します。

  13. リソース では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。タグの詳細については、「タグエディタの使用」を参照してください。

    複数のタグを入力した場合、含めるまたは除外するリソースにはそれらのすべてのタグが付いている必要があります。

    リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値「」でタグを保存します。リソースタグは、同じキーと同じ値を持つタグとのみ一致します。

  14. [Next] (次へ) を選択します。

  15. ポリシー設定を見直して目的の設定になっていることを確認し、[Create policy] (ポリシーの作成) を選択します。

Firewall Manager は、ポリシールールの設定に従って、監査セキュリティグループを AWS 組織内の範囲内セキュリティグループと比較します。ポリシーのステータスは、 AWS Firewall Manager ポリシーコンソールで確認できます。ポリシーを作成したら、ポリシーを編集して自動修復を有効にし、監査セキュリティグループポリシーを有効にすることができます。このポリシーの仕組みの詳細については、「コンテンツ監査セキュリティグループポリシー」を参照してください。

AWS Firewall Manager 使用状況監査セキュリティグループポリシーの作成

使用状況監査セキュリティグループポリシーの仕組みの詳細については、「使用状況監査セキュリティグループポリシー」を参照してください。

使用状況監査セキュリティグループポリシーを作成するには (コンソール)

  1. Firewall Manager 管理者アカウント AWS Management Console を使用して にサインインし、 で Firewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [Policy type] (ポリシータイプ) で、[Security group] (セキュリティグループ) を選択します。

  5. [セキュリティグループポリシータイプ]で、[未使用および冗長セキュリティグループの監査とクリーンアップ]を選択します。

  6. リージョン で、 を選択します AWS リージョン。

  7. [Next] (次へ) を選択します。

  8. [Policy name](ポリシー名) で、フレンドリ名を入力します。

  9. [Policy rules] (ポリシールール) で、使用可能なオプションのいずれかまたは両方を選択します。

    • [このポリシーの範囲内のセキュリティグループは少なくとも 1 つのリソースによって使用される必要があります] を選択した場合、Firewall Manager は、未使用と判断されるセキュリティグループを削除します。このルールを有効にすると、Firewall Manager はポリシーの保存時に最後にルールを実行します。

      Firewall Manager が使用状況と修復のタイミングを判断する方法の詳細については、「」を参照してください使用状況監査セキュリティグループポリシー

      注記

      この使用状況監査セキュリティグループポリシータイプを使用する場合は、対象範囲内のセキュリティグループの関連付けステータスを短時間で複数回変更しないでください。これにより、Firewall Manager が対応するイベントを見逃す可能性があります。

      デフォルトでは、Firewall Manager は、セキュリティグループが使用できなくなるとすぐに、このポリシールールに準拠していないと見なします。オプションで、セキュリティグループが非準拠と見なされるまでに、未使用のセキュリティグループが存在することができる分数を最大 525,600 分 (365 日) まで指定できます。この設定を使用して、新しいセキュリティグループをリソースに関連付ける時間を確保できます。

      重要

      デフォルト値の 0 以外の分数を指定する場合は、 で間接的な関係を有効にする必要があります AWS Config。そうしないと、使用状況監査セキュリティグループポリシーは意図したとおりに機能しません。の間接的な関係については AWS Config、「 AWS Config デベロッパーガイド」の「 の間接的な関係 AWS Config」を参照してください。

    • [このポリシーの範囲内のセキュリティグループは一意である必要があります] を選択した場合、Firewall Manager は、冗長なセキュリティグループを統合し、1 つのセキュリティグループのみがリソースに関連付けられるようにします。これを選択すると、Firewall Manager により、ポリシーの保存時に最初に実行されます。

  10. [Policy action] (ポリシーアクション) では、自動的に修復されないオプションを使用してポリシーを作成することをお勧めします。これにより、新しいポリシーを適用する前にその効果を評価できます。変更が適切であることを確認したら、ポリシーを編集し、ポリシーアクションを変更して、準拠していないリソースの自動修復を有効にします。

  11. [Next] (次へ) を選択します。

  12. [AWS アカウント this policy applies to] (このポリシーが適用される ) で、次のようにオプションを選択します。

    • 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの選択のままにし、 AWS 組織 のすべてのアカウントを含めます

    • ポリシーを特定のアカウントまたは特定の AWS Organizations 組織単位 (OUs) にあるアカウントにのみ適用する場合は、指定されたアカウントと組織単位のみを含める を選択し、含めOUsるアカウントと を追加します。OU の指定は、後で追加される子アカウントOUsやアカウントを含めOUs、OU とその子 のすべてのアカウントを指定するのと同じです。

    • 特定のアカウントまたは AWS Organizations 組織単位 (OUs) を除くすべてのアカウントにポリシーを適用する場合は、指定されたアカウントと組織単位を除外し、その他すべての を含めて、除外OUsするアカウントと を追加します。OU の指定は、後で追加される子アカウントOUsやアカウントを含めOUs、OU とその子 のすべてのアカウントを指定するのと同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めると、OU またはその子 のいずれかにアカウントを追加するとOUs、Firewall Manager は自動的にポリシーを新しいアカウントに適用します。

  13. リソース では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。タグの詳細については、「タグエディタの使用」を参照してください。

    複数のタグを入力した場合、含めるまたは除外するリソースにはそれらのすべてのタグが付いている必要があります。

    リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値「」でタグを保存します。リソースタグは、同じキーと同じ値を持つタグとのみ一致します。

  14. [Next] (次へ) を選択します。

  15. ポリシーの範囲から Firewall Manager 管理者アカウントを除外していない場合、Firewall Manager によりこれを行うよう求められます。これにより、セキュリティグループは Firewall Manager 管理者アカウントに残ります。このアカウントは、手動コントロール下で、共通セキュリティグループポリシーおよび監査セキュリティグループポリシーに使用します。このダイアログで目的のオプションを選択します。

  16. ポリシー設定を見直して目的の設定になっていることを確認し、[Create policy] (ポリシーの作成) を選択します。

一意のセキュリティグループを要求することを選択した場合、Firewall Manager は範囲内の各 Amazon VPCインスタンスで冗長なセキュリティグループをスキャンします。その後、各セキュリティグループを少なくとも 1 つのリソースで使用するように選択した場合、Firewall Manager は、ルールで指定された時間 (単位: 分)、未使用のままのセキュリティグループをスキャンします。ポリシーのステータスは、 AWS Firewall Manager ポリシーコンソールで確認できます。このポリシーの仕組みの詳細については、「使用状況監査セキュリティグループポリシー」を参照してください。

ネットワークACLポリシーの作成 AWS Firewall Manager

ネットワークACLポリシーの仕組みについては、「」を参照してくださいネットワーク ACL ポリシー

ネットワークACLポリシーを作成するには、Amazon VPCサブネットACLで使用するネットワークを定義する方法を知っている必要があります。詳細については、「Amazon VPCユーザーガイド」の「ネットワークを使用してサブネットへのトラフィックを制御するACLs」および「ネットワークを操作するACLs」を参照してください。

ネットワークACLポリシーを作成するには (コンソール)

  1. Firewall Manager 管理者アカウント AWS Management Console を使用して にサインインし、 で Firewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. ポリシータイプ でネットワーク ACLを選択します。

  5. リージョン で、 を選択します AWS リージョン。

  6. [Next] (次へ) を選択します。

  7. [Policy name] (ポリシー名) で、わかりやすい名前を入力します。

  8. ポリシールール で、Firewall Manager ACLsが管理するネットワークで常に実行するルールを定義します。ネットワークはインバウンドトラフィックとアウトバウンドトラフィックをACLsモニタリングして処理するため、ポリシーでは、両方向のルールを定義します。

    どちらの方向でも、常に最初に実行するルールと最後に実行するルールを定義します。Firewall Manager ACLsが管理するネットワークでは、アカウント所有者は、これらの最初と最後のルールの間で実行するカスタムルールを定義できます。

  9. ポリシーアクション で、非準拠のサブネットとネットワーク を識別したいがACLs、まだ修正アクションを実行しない場合は、ポリシールールに準拠していないが、 を自動修正しないリソースの特定を選択します。これらのオプションは後で変更できます。

    代わりに、既存の範囲内のサブネットにポリシーを自動的に適用する場合は、非準拠のリソース を自動修正 を選択します。このオプションでは、ポリシールールのトラフィック処理動作がネットワーク にあるカスタムルールと競合した場合に修復を強制するかどうかも指定しますACL。Firewall Manager は、強制的な修復を行うかどうかにかかわらず、コンプライアンス違反で競合するルールを報告します。

  10. [Next] (次へ) を選択します。

  11. [AWS アカウント this policy applies to] (このポリシーが適用される ) で、次のようにオプションを選択します。

    • 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの選択のままにし、 AWS 組織 のすべてのアカウントを含めます

    • 特定の AWS Organizations 組織単位 (OUs) にある特定のアカウントまたはアカウントにのみポリシーを適用する場合は、指定されたアカウントと組織単位のみを含める を選択し、含めOUsるアカウントと を追加します。OU の指定は、後で追加される子アカウントOUsやアカウントを含めOUs、OU とその子 のすべてのアカウントを指定するのと同じです。

    • 特定のアカウントまたは AWS Organizations 組織単位 (OUs) を除くすべてのアカウントにポリシーを適用する場合は、指定されたアカウントと組織単位を除外し、その他すべての を含めて、除外OUsするアカウントと を追加します。OU の指定は、後で追加される子アカウントOUsやアカウントを含めOUs、OU とその子 のすべてのアカウントを指定するのと同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含める場合、Firewall Manager はポリシーを別の新しいアカウントに適用しません。別の例として、OU を含めると、OU またはその子 のいずれかにアカウントを追加するとOUs、Firewall Manager は自動的に新しいアカウントにポリシーを適用します。

  12. リソースタイプ の場合、設定はサブネット に固定されます

  13. リソース では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。タグの詳細については、「タグエディタの使用」を参照してください。

    複数のタグを入力した場合、含めるまたは除外するリソースにはそれらのすべてのタグが付いている必要があります。

    リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値「」でタグを保存します。リソースタグは、同じキーと同じ値を持つタグとのみ一致します。

  14. [Next] (次へ) を選択します。

  15. ポリシー設定を見直して目的の設定になっていることを確認し、[Create policy] (ポリシーの作成) を選択します。

Firewall Manager はポリシーを作成し、設定ACLsに従って範囲内のネットワークのモニタリングと管理を開始します。このポリシーの仕組みの詳細については、「ネットワーク ACL ポリシー」を参照してください。

の AWS Firewall Manager ポリシーの作成 AWS Network Firewall

Firewall Manager の Network Firewall ポリシーでは、 AWS Network Firewallで管理するルールグループを使用します。ルールグループの管理については、「Network Firewall デベロッパーガイド」の「AWS Network Firewall ルールグループ」を参照してください。

Firewall Manager の Network Firewall ポリシーについては、「AWS Network Firewall ポリシー」を参照してください。

の Firewall Manager ポリシーを作成するには AWS Network Firewall (コンソール)

  1. Firewall Manager 管理者アカウント AWS Management Console を使用して にサインインし、 で Firewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [Policy type] (ポリシータイプ) では [AWS Network Firewall] を選択します。

  5. [Firewall management type] (ファイアウォールの管理タイプ) で、Firewall Manager にポリシーのファイアウォールをどのように管理させるか選択します。次のオプションから選択します。

    • 分散型 - Firewall Manager は、ポリシー範囲内の各 VPC にファイアウォールエンドポイントを作成して維持します。

    • 一元化 - Firewall Manager は、エンドポイントを 1 回の検査で作成および維持しますVPC。

    • [Import existing firewalls] (既存のファイアウォールのインポート)- Firewall Manager は、リソースセットを使用して Network Firewall から既存のファイアウォールをインポートします。リソースセットの詳細については、「Firewall Manager でのリソースセットの操作」を参照してください。

  6. リージョン で、 を選択します AWS リージョン。複数のリージョンのリソースを保護するには、各リージョンに別々の ポリシーを作成する必要があります。

  7. [Next] (次へ) を選択します。

  8. [Policy name] (ポリシー名) で、わかりやすい名前を入力します。Firewall Manager は、Network Firewall のファイアウォールおよび作成するファイアウォールポリシーの名前にポリシー名を含めます。

  9. [AWS Network Firewall policy configuration] (ポリシー設定) では、Network Firewall の場合と同じようにファイアウォールポリシーを設定します。ステートレスルールグループおよびステートフルルールグループを追加し、ポリシーのデフォルトアクションを指定します。オプションで、ポリシーのステートフルルール評価順序とデフォルトアクションを設定し、ログ記録設定を行うことができます。Network Firewall のファイアウォールポリシーの管理については、「AWS Network Firewall デベロッパーガイド」の「AWS Network Firewall ファイアウォールポリシー」を参照してください。

    Firewall Manager の Network Firewall ポリシーを作成すると、Firewall Manager は、範囲内にあるアカウント用にファイアウォールポリシーを作成します。個々のアカウントマネージャーは、ファイアウォールポリシーにルールグループを追加できますが、ここで指定する設定を変更することはできません。

  10. [Next] (次へ) を選択します。

  11. 前のステップで選択した [Firewall management type] (ファイアウォール管理タイプ) に応じて、次のいずれかを実行します。

    • [分散型] ファイアウォール管理タイプを使用している場合、[AWS Firewall Manager エンドポイント設定] 内の [ファイアウォールのエンドポイントの場所] で、以下のオプションのいずれかを選択します。

      • カスタムエンドポイント設定 - Firewall Manager は、指定したアベイラビリティーゾーンに、VPCポリシー範囲内の各 のファイアウォールを作成します。各ファイアウォールには、少なくとも 1 つのファイアウォールエンドポイントが含まれています。

        • [Availability Zones] (アベイラビリティーゾーン) で、ファイアウォールエンドポイントを作成するアベイラビリティーゾーンを選択します。アベイラビリティーゾーンは、[Availability Zone name] (アベイラビリティーゾーン名) または [Availability Zone ID] (アベイラビリティーゾーン ID) で選択できます。

        • Firewall Manager が のファイアウォールサブネットに使用するCIDRブロックを指定する場合はVPCs、すべて /28 CIDRブロックである必要があります。1 行に 1 つのブロックを入力します。これらを省略すると、Firewall Manager は で使用可能な IP アドレスから自動的に IP アドレスを選択しますVPCs。

          注記

          自動修復は AWS Firewall Manager Network Firewall ポリシーに対して自動的に行われるため、ここで自動修復を選択しないオプションは表示されません。

      • 自動エンドポイント設定 - Firewall Manager は、 のパブリックサブネットを使用して、アベイラビリティーゾーンにファイアウォールエンドポイントを自動的に作成しますVPC。

        • [Firewall endpoints] (ファイアウォールエンドポイント) の設定では、Firewall Manager によるファイアウォールエンドポイントの管理方法を指定します。高可用性を実現するために、複数のエンドポイントを使用することをお勧めします。

    • 一元的なファイアウォール管理タイプを使用している場合は、AWS Firewall Manager エンドポイント設定インスペクションVPC設定 で、インスペクション の所有者の AWS アカウント ID とVPCインスペクション の VPC ID を入力しますVPC。

      • [Availability Zones] (アベイラビリティーゾーン) で、ファイアウォールエンドポイントを作成するアベイラビリティーゾーンを選択します。アベイラビリティーゾーンは、[Availability Zone name] (アベイラビリティーゾーン名) または [Availability Zone ID] (アベイラビリティーゾーン ID) で選択できます。

      • Firewall Manager が のファイアウォールサブネットに使用するCIDRブロックを指定する場合はVPCs、すべて /28 CIDRブロックである必要があります。1 行に 1 つのブロックを入力します。これらを省略すると、Firewall Manager は で使用可能な IP アドレスから自動的に IP アドレスを選択しますVPCs。

        注記

        自動修復は AWS Firewall Manager Network Firewall ポリシーに対して自動的に行われるため、ここで自動修復を選択しないオプションは表示されません。

    • [Import existing firewalls] (既存のファイアウォールのインポート) のファイアウォール管理タイプを使用している場合は、[Resource sets] (リソースセット) で 1 つ以上のリソースセットを追加します。リソースセットは、このポリシーで一元管理したい組織のアカウントが所有する既存の Network Firewall を定義します。リソースセットをポリシーに追加するには、まずコンソールまたは PutResourceSet を使用してリソースセットを作成する必要がありますAPI。リソースセットの詳細については、「Firewall Manager でのリソースセットの操作」を参照してください。Network Firewall から既存のファイアウォールをインポートする方法の詳細については、「既存のファイアウォールのインポート」を参照してください。

  12. [次へ] をクリックします。

  13. ポリシーで分散型ファイアウォール管理タイプを使用している場合は、[Route management] (ルート管理) で、Firewall Manager がそれぞれのファイアウォールエンドポイントを経由してルーティングする必要のあるトラフィックをモニタリングおよびアラートするかどうかを選択します。

    注記

    [Monitor] (モニタリング) を選択した場合、後日設定を [Off] (オフ) に変更することはできません。モニタリングは、ポリシーを削除するまで継続します。

  14. [Traffic type] (トラフィックタイプ) で、ファイアウォール検査のためにトラフィックをルーティングするトラフィックエンドポイントをオプションで追加します。

  15. [Allow required cross-AZ traffic] (必要なクロス AZ トラフィックを許可) で、このオプションを有効にすると、Firewall Manager は、独自のファイアウォールエンドポイントを持たないアベイラビリティーゾーンの場合、検査のためにアベイラビリティーゾーンからトラフィックを送信する準拠ルーティングとして扱います。エンドポイントを持つアベイラビリティーゾーンでは、常に独自のトラフィックを検査する必要があります。

  16. [Next] (次へ) を選択します。

  17. [Policy scope] (ポリシーの範囲) の [AWS アカウント this policy applies to] (このポリシーが適用される ) で、次のようにオプションを選択します。

    • 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの選択のままにし、 AWS 組織 のすべてのアカウントを含めます

    • 特定の AWS Organizations 組織単位 (OUs) にある特定のアカウントまたはアカウントにのみポリシーを適用する場合は、指定されたアカウントと組織単位のみを含める を選択し、含めOUsるアカウントと を追加します。OU の指定は、後で追加される子アカウントOUsやアカウントを含めOUs、OU とその子 のすべてのアカウントを指定するのと同じです。

    • 特定のアカウントまたは AWS Organizations 組織単位 (OUs) を除くすべてのアカウントにポリシーを適用する場合は、指定されたアカウントと組織単位を除外し、その他すべての を含めて、除外OUsするアカウントと を追加します。OU の指定は、後で追加される子アカウントOUsやアカウントを含めOUs、OU とその子 のすべてのアカウントを指定するのと同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めると、OU またはその子 のいずれかにアカウントを追加するとOUs、Firewall Manager は自動的に新しいアカウントにポリシーを適用します。

  18. Network Firewall ポリシーのリソースタイプは ですVPC

  19. リソース では、指定したタグを持つリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。タグの詳細については、「タグエディタの使用」を参照してください。

    複数のタグを入力した場合、含めるまたは除外するリソースにはそれらのすべてのタグが付いている必要があります。

    リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値「」でタグを保存します。リソースタグは、同じキーと同じ値を持つタグとのみ一致します。

  20. [次へ] をクリックします。

  21. ポリシータグ には、Firewall Manager ポリシーリソースに追加する識別タグを追加します。タグの詳細については、「タグエディタの使用」を参照してください。

  22. [Next] (次へ) を選択します。

  23. 新しいポリシー設定を確認し、調整が必要なページに戻ります。

    ポリシーが完成したら、[Create policy] (ポリシーの作成) を選択します。[AWS Firewall Manager ポリシー] ペインにポリシーが一覧表示されます。おそらく、アカウントの見出しの下に「保留中」と表示され、自動修復設定のステータスを示します。ポリシーの作成には数分かかることがあります。[Pending] (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「AWS Firewall Manager ポリシーのコンプライアンス情報の表示」を参照してください。

Amazon Route 53 Resolver DNS Firewall の AWS Firewall Manager ポリシーの作成

Firewall Manager DNS Firewall ポリシーでは、Amazon Route 53 Resolver DNS Firewall で管理するルールグループを使用します。ルールグループの管理の詳細については、「Amazon Route 53 デベロッパーガイド」のDNS「ファイアウォールでのルールグループとルールの管理」を参照してください。

Firewall Manager Firewall ポリシーの詳細については、DNS「」を参照してくださいAmazon Route 53 Resolver DNS Firewall ポリシー

Amazon Route 53 Resolver Firewall の DNS Firewall Manager ポリシーを作成するには (コンソール)

  1. Firewall Manager 管理者アカウント AWS Management Console を使用して にサインインし、 で Firewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. ポリシータイプ でAmazon Route 53 Resolver DNSファイアウォール を選択します。

  5. リージョン で、 を選択します AWS リージョン。複数のリージョンのリソースを保護するには、各リージョンに別々の ポリシーを作成する必要があります。

  6. [Next] (次へ) を選択します。

  7. [Policy name] (ポリシー名) で、わかりやすい名前を入力します。

  8. ポリシー設定で、DNSFirewall が のルールグループの関連付けの中で最初と最後に評価するVPCsルールグループを追加します。ポリシーには最大 2 つのルールグループを追加できます。

    Firewall Manager DNS Firewall ポリシーを作成すると、Firewall Manager は、範囲内の VPCsおよび アカウントについて、指定した関連付けの優先順位でルールグループの関連付けを作成します。個々のアカウントマネージャーは、最初の関連付けと最後の関連付けの間にルールグループの関連付けを追加できますが、お客様がここで定義する関連付けを変更することはできません。詳細については、「Amazon Route 53 Resolver DNS Firewall ポリシー」を参照してください。

  9. [Next] (次へ) を選択します。

  10. [AWS アカウント this policy applies to] (このポリシーが適用される ) で、次のようにオプションを選択します。

    • 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの選択のままにし、 AWS 組織 のすべてのアカウントを含めます

    • 特定の AWS Organizations 組織単位 (OUs) にある特定のアカウントまたはアカウントにのみポリシーを適用する場合は、指定されたアカウントと組織単位のみを含める を選択し、含めOUsるアカウントと を追加します。OU の指定は、後で追加される子アカウントOUsやアカウントを含めOUs、OU とその子 のすべてのアカウントを指定するのと同じです。

    • 特定のアカウントまたは AWS Organizations 組織単位 (OUs) を除くすべてのアカウントにポリシーを適用する場合は、指定されたアカウントと組織単位を除外し、その他すべての を含めて、除外OUsするアカウントと を追加します。OU の指定は、後で追加される子アカウントOUsやアカウントを含めOUs、OU とその子 のすべてのアカウントを指定するのと同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めると、OU またはその子 のいずれかにアカウントを追加するとOUs、Firewall Manager は自動的に新しいアカウントにポリシーを適用します。

  11. DNS Firewall ポリシーのリソースタイプは ですVPC

  12. リソース では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。タグの詳細については、「タグエディタの使用」を参照してください。

    複数のタグを入力した場合、含めるまたは除外するリソースにはそれらのすべてのタグが付いている必要があります。

    リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値「」でタグを保存します。リソースタグは、同じキーと同じ値を持つタグとのみ一致します。

  13. [次へ] をクリックします。

  14. ポリシータグ には、Firewall Manager ポリシーリソースに追加する識別タグを追加します。タグの詳細については、「タグエディタの使用」を参照してください。

  15. [Next] (次へ) を選択します。

  16. 新しいポリシー設定を確認し、調整が必要なページに戻ります。

    ポリシーが完成したら、[Create policy] (ポリシーの作成) を選択します。[AWS Firewall Manager ポリシー] ペインにポリシーが一覧表示されます。アカウントの見出しの下には「保留中」と表示され、自動修復設定のステータスを示します。ポリシーの作成には数分かかることがあります。[Pending] (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「AWS Firewall Manager ポリシーのコンプライアンス情報の表示」を参照してください。

Palo Alto Networks Cloud の AWS Firewall Manager ポリシーの作成 NGFW

Palo Alto Networks Cloud Next Generation Firewall (Palo Alto Networks Cloud NGFW) の Firewall Manager ポリシーでは、Firewall Manager を使用して Palo Alto Networks Cloud NGFWリソースをデプロイし、すべての AWS アカウントでNGFWルールスタックを一元管理します。

Firewall Manager Palo Alto Networks クラウドNGFWポリシーの詳細については、「」を参照してくださいPalo Alto Networks Cloud NGFW ポリシー。Firewall Manager NGFW用の Palo Alto Networks Cloud を設定および管理する方法の詳細については、 ドキュメントの「Palo Alto Networks Palo Alto Networks CloudNGFW AWS」を参照してください。

前提条件

AWS Firewall Managerのアカウントを準備するには、いくつかの必須のステップがあります。それらのステップは、AWS Firewall Manager 前提条件 で説明されています。次のステップに進む前に、すべての前提条件を満たしてください。

Palo Alto Networks Cloud の Firewall Manager ポリシーを作成するには NGFW (コンソール)

  1. Firewall Manager 管理者アカウント AWS Management Console を使用して にサインインし、 で Firewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. ポリシータイプ でPalo Alto Networks Cloud NGFWを選択します。 AWS Marketplace で Palo Alto Networks Cloud NGFWサービスをまだサブスクライブしていない場合は、まずサブスクライブする必要があります。 AWS Marketplace でサブスクライブするには、 AWS Marketplace の詳細を表示 を選択します。

  5. [Deployment model] (デプロイモデル) で、[Distributed model] (分散モデル) または [Centralized model] (集約型モデル) のいずれかを選択します。デプロイモデルによって、Firewall Manager がポリシーのエンドポイントを管理する方法が決まります。分散モデルでは、Firewall Manager VPCはポリシー範囲内の各 にファイアウォールエンドポイントを維持します。一元化されたモデルでは、Firewall Manager は検査 で単一のエンドポイントを維持しますVPC。

  6. リージョン で、 を選択します AWS リージョン。複数のリージョンのリソースを保護するには、各リージョンに別々の ポリシーを作成する必要があります。

  7. [Next] (次へ) を選択します。

  8. [Policy name] (ポリシー名) で、わかりやすい名前を入力します。

  9. ポリシー設定で、このポリシーに関連付ける Palo Alto Networks Cloud NGFWファイアウォールポリシーを選択します。Palo Alto Networks Cloud NGFWファイアウォールポリシーのリストには、Palo Alto Networks Cloud NGFWテナントに関連付けられているすべての Palo Alto Networks Cloud NGFWファイアウォールポリシーが含まれています。Palo Alto Networks Cloud NGFWファイアウォールポリシーの作成と管理については、「デプロイガイドNGFW AWS 」の「Palo Alto Networks Cloud AWS Firewall Manager for のデプロイNGFW AWS 」トピックを参照してください。

  10. Palo Alto Networks クラウドNGFWログ記録 - オプションで、ポリシーのログ記録する Palo Alto Networks クラウドNGFWログタイプ (複数可) を選択します。Palo Alto Networks Cloud NGFWログタイプの詳細については、「デプロイガイド」の「Palo Alto Networks Cloud NGFW のログ記録の設定 AWS」を参照してください。 NGFW AWS

    [log destination] (ログの宛先) で、Firewall Manager がログを書き込む場合を指定します。

  11. [Next] (次へ) を選択します。

  12. [Configure third-party firewall endpoint] (サードパーティーのファイアウォールエンドポイントを設定) で、ファイアウォールエンドポイントの作成に分散デプロイモデルと集約型デプロイモデルのいずれを使用しているかに応じて、次のいずれかを実行します。

    • このポリシーに分散デプロイモデルを使用している場合は、[Availability Zones] (アベイラビリティーゾーン) で、ファイアウォールエンドポイントを作成するアベイラビリティーゾーンを選択します。アベイラビリティーゾーンは、[Availability Zone name] (アベイラビリティーゾーン名) または [Availability Zone ID] (アベイラビリティーゾーン ID) で選択できます。

    • このポリシーの集中型デプロイモデルを使用している場合は、AWS Firewall Manager エンドポイント設定インスペクションVPC設定 で、インスペクションの所有者の AWS アカウント ID とVPCインスペクション の VPC ID を入力しますVPC。

      • [Availability Zones] (アベイラビリティーゾーン) で、ファイアウォールエンドポイントを作成するアベイラビリティーゾーンを選択します。アベイラビリティーゾーンは、[Availability Zone name] (アベイラビリティーゾーン名) または [Availability Zone ID] (アベイラビリティーゾーン ID) で選択できます。

  13. Firewall Manager が のファイアウォールサブネットに使用するCIDRブロックを指定する場合はVPCs、すべて /28 CIDRブロックである必要があります。1 行に 1 つのブロックを入力します。これらを省略すると、Firewall Manager は で使用可能な IP アドレスからユーザーに代わって IP アドレスを選択しますVPCs。

    注記

    自動修復は AWS Firewall Manager Network Firewall ポリシーに対して自動的に行われるため、ここで自動修復を選択しないオプションは表示されません。

  14. [Next] (次へ) を選択します。

  15. [Policy scope] (ポリシーの範囲) の [AWS アカウント this policy applies to] (このポリシーが適用される ) で、次のようにオプションを選択します。

    • 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの選択のままにし、 AWS 組織 のすべてのアカウントを含めます

    • 特定の AWS Organizations 組織単位 (OUs) にある特定のアカウントまたはアカウントにのみポリシーを適用する場合は、指定されたアカウントと組織単位のみを含める を選択し、含めOUsるアカウントと を追加します。OU の指定は、後で追加される子アカウントOUsやアカウントを含めOUs、OU とその子 のすべてのアカウントを指定するのと同じです。

    • 特定のアカウントまたは AWS Organizations 組織単位 (OUs) を除くすべてのアカウントにポリシーを適用する場合は、指定されたアカウントと組織単位を除外し、その他すべての を含めて、除外OUsするアカウントと を追加します。OU の指定は、後で追加される子アカウントOUsやアカウントを含めOUs、OU とその子 のすべてのアカウントを指定するのと同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めると、OU またはその子 のいずれかにアカウントを追加するとOUs、Firewall Manager は自動的にポリシーを新しいアカウントに適用します。

  16. Network Firewall ポリシーのリソースタイプは ですVPC

  17. リソース では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。タグの詳細については、「タグエディタの使用」を参照してください。

    複数のタグを入力した場合、含めるまたは除外するリソースにはそれらのすべてのタグが付いている必要があります。

    リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値「」でタグを保存します。リソースタグは、同じキーと同じ値を持つタグとのみ一致します。

  18. [Grant cross-account access] (クロスアカウントアクセスを付与) で、[Download AWS CloudFormation template] (テンプレートをダウンロード) を選択します。これにより、 AWS CloudFormation スタックの作成に使用できる AWS CloudFormation テンプレートがダウンロードされます。このスタックは、Palo Alto Networks Cloud NGFWリソースを管理するためのクロスアカウントアクセス許可を Firewall Manager に付与する AWS Identity and Access Management ロールを作成します。スタックの詳細については、「AWS CloudFormation ユーザーガイド」の「StackSets の操作」を参照してください。

  19. [Next] (次へ) を選択します。

  20. ポリシータグ には、Firewall Manager ポリシーリソースに追加する識別タグを追加します。タグの詳細については、「タグエディタの使用」を参照してください。

  21. [Next] (次へ) を選択します。

  22. 新しいポリシー設定を確認し、調整が必要なページに戻ります。

    ポリシーが完成したら、[Create policy] (ポリシーの作成) を選択します。[AWS Firewall Manager ポリシー] ペインにポリシーが一覧表示されます。おそらく、アカウントの見出しの下に「保留中」と表示され、自動修復設定のステータスを示します。ポリシーの作成には数分かかることがあります。[Pending] (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「AWS Firewall Manager ポリシーのコンプライアンス情報の表示」を参照してください。

サービスとしての Fortigate Cloud Native Firewall (CNF) の AWS Firewall Manager ポリシーの作成

Fortigate の Firewall Manager ポリシーを使用するとCNF、Firewall Manager を使用して、すべての AWS アカウントで Fortigate CNFリソースをデプロイおよび管理できます。

Firewall Manager Fortigate CNFポリシーの詳細については、「」を参照してくださいFortigate Cloud Native Firewall (CNF) as a Service ポリシー。Firewall Manager CNFで使用するように Fortigate を設定する方法については、「Fortinet ドキュメント」を参照してください。

前提条件

AWS Firewall Managerのアカウントを準備するには、いくつかの必須のステップがあります。それらのステップは、AWS Firewall Manager 前提条件 で説明されています。次のステップに進む前に、すべての前提条件を満たしてください。

Fortigate の Firewall Manager ポリシーを作成するには CNF (コンソール)

  1. Firewall Manager 管理者アカウント AWS Management Console を使用して にサインインし、 で Firewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. ポリシータイプ で、Fortigate Cloud Native Firewall (CNF) as a Service を選択します。AWS Marketplace で Fortigate CNFサービスをまだサブスクライブしていない場合は、まずサブスクライブする必要があります。 AWS Marketplace でサブスクライブするには、 AWS Marketplace の詳細を表示 を選択します。

  5. [Deployment model] (デプロイモデル) で、[Distributed model] (分散モデル) または [Centralized model] (集約型モデル) のいずれかを選択します。デプロイモデルによって、Firewall Manager がポリシーのエンドポイントを管理する方法が決まります。分散モデルでは、Firewall Manager VPCはポリシー範囲内の各 にファイアウォールエンドポイントを維持します。一元化されたモデルでは、Firewall Manager は検査 で単一のエンドポイントを維持しますVPC。

  6. リージョン で、 を選択します AWS リージョン。複数のリージョンのリソースを保護するには、各リージョンに別々の ポリシーを作成する必要があります。

  7. [Next] (次へ) を選択します。

  8. [Policy name] (ポリシー名) で、わかりやすい名前を入力します。

  9. ポリシー設定で、このポリシーに関連付ける Fortigate CNFファイアウォールポリシーを選択します。Fortigate CNFファイアウォールポリシーのリストには、Fortigate CNFテナントに関連付けられているすべての Fortigate CNFファイアウォールポリシーが含まれています。Fortigate CNFテナントの作成と管理については、Fortinet ドキュメント を参照してください。

  10. [Next] (次へ) を選択します。

  11. [Configure third-party firewall endpoint] (サードパーティーのファイアウォールエンドポイントを設定) で、ファイアウォールエンドポイントの作成に分散デプロイモデルと集約型デプロイモデルのいずれを使用しているかに応じて、次のいずれかを実行します。

    • このポリシーに分散デプロイモデルを使用している場合は、[Availability Zones] (アベイラビリティーゾーン) で、ファイアウォールエンドポイントを作成するアベイラビリティーゾーンを選択します。アベイラビリティーゾーンは、[Availability Zone name] (アベイラビリティーゾーン名) または [Availability Zone ID] (アベイラビリティーゾーン ID) で選択できます。

    • このポリシーの集中型デプロイモデルを使用している場合は、AWS Firewall Manager エンドポイント設定インスペクションVPC設定 で、インスペクションの所有者の AWS アカウント ID とVPCインスペクション の VPC ID を入力しますVPC。

      • [Availability Zones] (アベイラビリティーゾーン) で、ファイアウォールエンドポイントを作成するアベイラビリティーゾーンを選択します。アベイラビリティーゾーンは、[Availability Zone name] (アベイラビリティーゾーン名) または [Availability Zone ID] (アベイラビリティーゾーン ID) で選択できます。

  12. Firewall Manager が のファイアウォールサブネットに使用するCIDRブロックを指定する場合はVPCs、すべて /28 CIDRブロックである必要があります。1 行に 1 つのブロックを入力します。これらを省略すると、Firewall Manager は で使用可能な IP アドレスからユーザーに代わって IP アドレスを選択しますVPCs。

    注記

    自動修復は AWS Firewall Manager Network Firewall ポリシーに対して自動的に行われるため、ここで自動修復を選択しないオプションは表示されません。

  13. [Next] (次へ) を選択します。

  14. [Policy scope] (ポリシーの範囲) の [AWS アカウント this policy applies to] (このポリシーが適用される ) で、次のようにオプションを選択します。

    • 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの選択のままにし、 AWS 組織 のすべてのアカウントを含めます

    • 特定の AWS Organizations 組織単位 (OUs) にある特定のアカウントまたはアカウントにのみポリシーを適用する場合は、指定されたアカウントと組織単位のみを含める を選択し、含めOUsるアカウントと を追加します。OU の指定は、後で追加される子アカウントOUsやアカウントを含めOUs、OU とその子 のすべてのアカウントを指定するのと同じです。

    • 特定のアカウントまたは AWS Organizations 組織単位 (OUs) を除くすべてのアカウントにポリシーを適用する場合は、指定したアカウントと組織単位を除外し、その他すべての を含めて、除外OUsするアカウントと を追加します。OU の指定は、後で追加される子アカウントOUsやアカウントを含めOUs、OU とその子 のすべてのアカウントを指定するのと同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めると、OU またはその子 のいずれかにアカウントを追加するとOUs、Firewall Manager は自動的にポリシーを新しいアカウントに適用します。

  15. Network Firewall ポリシーのリソースタイプは ですVPC

  16. リソース では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。タグの詳細については、「タグエディタの使用」を参照してください。

    複数のタグを入力した場合、含めるまたは除外するリソースにはそれらのすべてのタグが付いている必要があります。

    リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値「」でタグを保存します。リソースタグは、同じキーと同じ値を持つタグとのみ一致します。

  17. [Grant cross-account access] (クロスアカウントアクセスを付与) で、[Download AWS CloudFormation template] (テンプレートをダウンロード) を選択します。これにより、 AWS CloudFormation スタックの作成に使用できる AWS CloudFormation テンプレートがダウンロードされます。このスタックは、Fortigate CNFリソースを管理するためのクロスアカウントアクセス許可を Firewall Manager に付与する AWS Identity and Access Management ロールを作成します。スタックの詳細については、「AWS CloudFormation ユーザーガイド」の「StackSets の操作」を参照してください。スタックを作成するには、Fortigate CNF ポータルのアカウント ID が必要です。

  18. [次へ] をクリックします。

  19. ポリシータグ には、Firewall Manager ポリシーリソースに追加する識別タグを追加します。タグの詳細については、「タグエディタの使用」を参照してください。

  20. [Next] (次へ) を選択します。

  21. 新しいポリシー設定を確認し、調整が必要なページに戻ります。

    ポリシーが完成したら、[Create policy] (ポリシーの作成) を選択します。[AWS Firewall Manager ポリシー] ペインにポリシーが一覧表示されます。おそらく、アカウントの見出しの下に「保留中」と表示され、自動修復設定のステータスを示します。ポリシーの作成には数分かかることがあります。[Pending] (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「AWS Firewall Manager ポリシーのコンプライアンス情報の表示」を参照してください。