AWS Firewall Manager ポリシーの作成 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
AWS WAFのポリシーを作成する AWS WAF Classic のポリシーを作成するShield Advanced のポリシーを作成する共通セキュリティグループポリシーの作成コンテンツ監査セキュリティグループポリシーの作成使用状況監査セキュリティグループポリシーの作成Network Firewall のポリシーを作成するDNS Firewall のポリシーを作成するPalo Alto Networks Cloud NGFW の ポリシーの作成Fortigate CNF 用のポリシーを作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Firewall Manager ポリシーの作成

ポリシーを作成するステップは、ポリシータイプによって異なります。必ず、必要なポリシーのタイプに対応する手順を使用してください。

重要

AWS Firewall Manager Amazon Route 53 またははサポートしていません AWS Global Accelerator。Shield Advanced を使用してこれらのリソースを保護する場合、Firewall Manager ポリシーは使用できません。代わりに、「AWS Shield AdvancedAWS リソースへの保護の追加」の手順に従ってください。

AWS Firewall Manager のポリシーの作成 AWS WAF

Firewall Manager AWS WAF ポリシーでは、 AWS AWS Marketplace 販売者が自動的に作成および管理するマネージドルールグループを使用できます。独自のルールグループを作成して使用することもできます。ルールグループの詳細については、「ルールグループ」を参照してください。

独自のルールグループを使用する場合は、Firewall Manager AWS WAF ポリシーを作成する前にそれらのグループを作成します。ガイダンスについては、「独自のルールグループの管理」を参照してください。個々のカスタムルールを使用するには、独自のルールグループを定義し、その中にルールを定義してから、ポリシーでそのルールグループを使用する必要があります。

Firewall Manager AWS WAF ポリシーの詳細については、を参照してくださいAWS WAF ポリシー

AWS WAF (コンソール) のFirewall Manager ポリシーを作成するには

  1. Firewall Manager AWS Management Console 管理者アカウントを使用してにサインインし、でFirewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [Policy type] (ポリシータイプ) では [AWS WAF] を選択します。

  5. [リージョン] では、を選択します AWS リージョン。Amazon CloudFront ディストリビューションを保護するには、「グローバル」を選択してください。

    複数のリージョン ( CloudFront ディストリビューション以外) のリソースを保護するには、リージョンごとに個別の Firewall Manager ポリシーを作成する必要があります。

  6. [Next] (次へ) を選択します。

  7. [Policy name] (ポリシー名) で、わかりやすい名前を入力します。Firewall Manager は、管理するウェブ ACL の名前にポリシー名を含めます。ウェブ ACL 名の後に、FMManagedWebACLV2-、ここに入力するポリシー名、-、およびウェブ ACL 作成タイムスタンプ (UTC ミリ秒) が続きます。例えば、FMManagedWebACLV2-MyWAFPolicyName-1621880374078 です。

  8. [ウェブリクエストボディの検査] では、オプションで本文のサイズ制限を変更してください。価格に関する考慮事項など、ボディ検査のサイズ制限については、「AWS WAF  デベロッパーガイド」の「身体検査のサイズ制限の管理」を参照してください。

  9. [ポリシールール] で、 AWS WAF 評価するルールグループをウェブ ACL の最初と最後に追加します。 AWS WAF マネージドルールグループのバージョニングを使用するには、[バージョニングを有効にする] をオンにします。各アカウントマネージャーは、最初のルールグループと最後のルールグループの間にルールとルールグループを追加できます。のFirewall Manager AWS WAF ポリシーでのルールグループの使用の詳細については AWS WAF、を参照してくださいAWS WAF ポリシー

    (オプション)ウェブ ACL によるルールグループの使用方法をカスタマイズするには、[編集] を選択します。一般的なカスタマイズ設定は次のとおりです。

    • マネージドルールのグループの場合は、一部またはすべてのルールのルールアクションをオーバーライドします。ルールにオーバーライドアクションを定義しない場合、評価にはルールグループ内で定義されているルールアクションが使用されます。このオプションの詳細については、「AWS WAF デベロッパーガイド」の「ルールグループ内のアクションオーバーライド」を参照してください。

    • 一部のマネージドルールグループは追加の設定が必要です。マネージドルールグループのプロバイダーのドキュメントを参照してください。 AWS マネージドルールルールグループに固有の情報については、『AWS WAF 開発者ガイド』AWS のマネージドルール AWS WAFのを参照してください。

    設定が完了したら、[Save rule] (ルールを保存) を選択します。

  10. ウェブ ACL のデフォルトアクションを設定します。これは、 AWS ウェブリクエストがウェブ ACL のどのルールにも一致しない場合に WAF が実行するアクションです。[Allow] (許可) アクションでカスタムヘッダーを追加することや、[Block] (ブロック) アクションのカスタムレスポンスを追加することができます。デフォルトのウェブ ACL アクションの詳細については、「ウェブ ACL のデフォルトアクション」を参照してください。カスタムウェブリクエストを設定する方法については、「AWS WAFのカスタマイズされたウェブリクエストとレスポンス」を参照してください。

  11. [ログ記録設定] で、[ログ記録を有効にする] を選択してログ記録をオンにします。ログ記録は、ウェブ ACL で分析されるトラフィックに関する詳細情報を提供します。[ログの出力先] を選択し、設定したログ記録の送信先を選択します。名前が aws-waf-logs- で始まるログ記録先を選択する必要があります。 AWS WAF ロギング先の設定については、を参照してくださいAWS WAF ポリシーのロギングを設定します。

  12. (オプション) 特定のフィールドとその値がログに含まれることを希望しない場合には、このフィールドをマスキングします。マスキングするフィールドを選び、[Add] (追加) を選択します。必要に応じて手順を繰り返し、追加のフィールドをマスキングします。マスキングされたフィールドは、ログに REDACTED と表示されます。例えば、[URI] フィールドをマスキングすると、ログの [URI] フィールドは REDACTED となります。

  13. (オプション) すべてのリクエストをログに送信しない場合は、フィルタリング条件と動作を追加します。[Filter logs] (ログをフィルタリング) で、適用する各フィルターについて [Add filter] (フィルターを追加) を選択し、次にフィルター基準を選択して、基準に一致するリクエストを保持するかドロップするかを指定します。フィルターの追加が完了したら、必要に応じて、[Default logging behavior] (デフォルトのログ記録動作) を変更します。詳細については、「AWS WAF デベロッパーガイド」の 「ウェブ ACL のログ記録の管理」を参照してください。

  14. [Token domain list] (トークンドメインリスト) を定義して、保護されたアプリケーション間でトークンの共有を有効にできます。トークンは、 AWS WAF 不正防止、アカウント乗っ取り防止 (ATP)、Challenge AWS およびボット制御のマネージドルールルールグループを使用する際に実装するおよびアクション、 AWS WAF およびアプリケーション統合 SDK によって使用されます。CAPTCHA

    パブリックサフィックスは許可されません。たとえば、gov.au または co.uk をトークンドメインとして使用することはできません。

    デフォルトでは、 AWS WAF 保護対象リソースのドメインのトークンのみを受け付けます。このリストにトークンドメインを追加すると、 AWS WAF リスト内のすべてのドメインと関連するリソースのドメインのトークンを受け入れます。詳細については、「AWS WAF デベロッパーガイド」の 「ウェブ ACL トークンドメインリストの設定」を参照してください。

    ウェブ ACL の CAPTCHA およびチャレンジのイミュニティ時間を変更できるのは、既存のウェブ ACL を編集するときのみです。これらの設定は、Firewall Manager の [ポリシーの詳細] ページで確認できます。これらの設定については、「タイムスタンプの有効期限: トークンのイミュニティ時間」を参照してください。既存のポリシー内で [関連付けの設定][CAPTCHA][チャレンジ]、または [トークンのドメインリスト] 設定を更新すると、Firewall Manager はローカルのウェブ ACL を新しい値で上書きします。ポリシーの [関連付けの設定][CAPTCHA][チャレンジ]、または [トークンのドメインリスト] 設定を更新していない場合は、ローカルのウェブ ACL の値は変更されません。このオプションの詳細については、「AWS WAF デベロッパーガイド」の「CAPTCHAそして ChallengeAWS WAF」を参照してください。

  15. 関連付けられていないウェブ ACL を Firewall Manager に管理させたい場合は、[ウェブ ACL 管理]で、[関連付けられていないウェブ ACL の管理]を有効にしてください。このオプションを使用すると、Firewall Manager は、少なくとも 1 つのリソースがウェブ ACL を使用する場合のみ、ポリシー範囲内のアカウントにウェブ ACL を作成します。アカウントがポリシーの対象になるといつでも、少なくとも 1 つのリソースがウェブ ACL を使用する場合に、Firewall Manager はアカウントにウェブ ACL を自動的に作成します。このオプションを有効にすると、Firewall Manager はアカウント内の関連付けられていないウェブ ACL に 1 回だけクリーンアップを実行します。このクリーンアッププロセスには、数時間かかることがあります。Firewall Manager がウェブ ACL を作成した後、リソースがポリシー範囲から外れた場合、Firewall Manager はそのリソースとウェブ ACL の関連付けを解除しますが、関連付けられていないウェブ ACL はクリーンアップしません。Firewall Manager は、関連付けられていないウェブ ACL の管理を、ポリシーで初めて有効にした場合のみ、関連付けられていないウェブ ACL をクリーンアップします。

  16. 組織内の該当する各アカウントにウェブ ACL を作成したいが、まだリソースにウェブ ACL を適用しない場合は、[ポリシーアクション] で、[ポリシールールに準拠していないリソースを特定するが、自動修復しない] を選択し、[関連付けられていないウェブ ACL の管理] を選択します。これらのオプションは後で変更できます。

    代わりに、ポリシーを既存の範囲内のリソースに自動的に適用する場合は、[Auto remediate any noncompliant resources] (準拠していないリソースを自動修復する) を選択します。[関連付けられていないウェブ ACL の管理]が無効になっている場合、[準拠していないリソースを自動修復する]のオプションで、組織内の該当する各アカウントにウェブ ACL を作成し、そのウェブ ACL をアカウント内のリソースに関連付けます。[関連付けられていないウェブ ACL の管理]が有効になっている場合は、[準拠していないリソースを自動修復する]のオプションは、ウェブ ACL への関連付けの対象になるリソースを持つアカウントでのみウェブ ACL を作成して関連付けます。

    [Auto remediate any noncompliant resources] (準拠していないリソースを自動修復) を選択すると、別のアクティブな Firewall Manager ポリシーによって管理されていないウェブ ACL に対して、範囲内のリソースから既存のウェブ ACL の関連付けを削除することもできます。このオプションを選択した場合、Firewall Manager は、まずポリシーのウェブ ACL をリソースに関連付けてから、以前の関連付けを削除します。リソースに、別のアクティブな Firewall Manager ポリシーによって管理されている別のウェブ ACL との関連付けがある場合、この選択はその関連付けには影響しません。

  17. [Next] (次へ) を選択します。

  18. [AWS アカウント this policy applies to] (このポリシーが適用される ) で、次のようにオプションを選択します。

    • このポリシーを組織内のすべてのアカウントに適用する場合は、デフォルトの [ AWS 自分の組織のすべてのアカウントを含める] のままにします。

    • AWS Organizations 特定のアカウントまたは特定の組織単位 (OU) に属するアカウントにのみポリシーを適用する場合は、[指定したアカウントと組織単位のみを含める] を選択し、含めるアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    • 特定のアカウントや AWS Organizations の組織単位 (OU) 以外のすべてにポリシーを適用する場合は、[Exclude the specified accounts and organizational units, and include all others] (指定されたアカウントと組織単位を除外し、他のすべてを含める) を選択して、除外するアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。

  19. [Resource type] (リソースタイプ) で、保護するリソースのタイプを選択します。

  20. 特定のタグの付いたリソースのみを保護 (または除外) する場合は、[Resources] (リソース) で、該当するオプションを選択し、含めるまたは除外するタグを入力します。1 つのオプションのみを選択できます。タグの詳細については、「タグエディタの使用」を参照してください。

    複数のタグを入力した場合、含めるまたは除外するリソースにはそれらのすべてのタグが付いている必要があります。

  21. [Next] (次へ) を選択します。

  22. [Policy tags] (ポリシータグ) で、Firewall Manager ポリシーに必要な識別タグを追加します。タグの詳細については、「タグエディタの使用」を参照してください。

  23. [Next] (次へ) を選択します。

  24. 新しいポリシーを確認します。変更するには、変更する部分で [Edit] (編集) を選択します。これにより、作成ウィザードの対応するステップに戻ります。ポリシーが完成したら、[Create policy] (ポリシーの作成) を選択します。

AWS WAF Classic AWS Firewall Manager のポリシーの作成

AWS WAF Classic (コンソール) 用のFirewall Manager ポリシーを作成するには

  1. Firewall Manager AWS Management Console 管理者アカウントを使用してにサインインし、でFirewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [Policy type (ポリシータイプ)] で、[AWS WAF Classic] を選択します。

  5. AWS WAF ポリシーに追加するクラシックルールグループをすでに作成している場合は、[ポリシーを作成] を選択し、既存のルールグループを追加します。 AWS Firewall Manager 新しいルールグループを作成する場合は、[Create a Firewall Manager policy and add a new rule group] (Firewall Manager ポリシーを作成して新しいルールグループを追加する) を選択します。

  6. [地域] では、を選択します AWS リージョン。Amazon CloudFront リソースを保護するには、「グローバル」を選択してください。

    複数のリージョン (リソース以外) CloudFront のリソースを保護するには、リージョンごとに個別の Firewall Manager ポリシーを作成する必要があります。

  7. [Next] (次へ) を選択します。

  8. ルールグループを作成する場合は、AWS WAF クラシックルールグループの作成 の手順に従います。ルールグループを作成したら、次のステップに進みます。

  9. ポリシー名を入力します。

  10. 既存のルールグループを追加する場合は、ドロップダウンメニューを使用して追加するルールグループを選択し、[Add rule group] (ルールグループの追加) を選択します。

  11. ポリシーには、[Action set by rule group] (ルールグループによって設定されたアクション) と [Count] (カウント) の 2 つのアクションがあります。ポリシーをテストする場合は、アクションを [Count] (カウント) に設定します。このアクションは、ルールグループのルールで指定されたブロックアクションを上書きします。つまり、ポリシーのアクションが [Count] (カウント) に設定されている場合、リクエストはカウントされ、ブロックされません。逆に、ポリシーのアクションを [Action set by rule group] (ルールグループによって設定されたアクション) に設定すると、ルールグループルールのアクションが使用されます。適切なアクションを選択します。

  12. [Next] (次へ) を選択します。

  13. [AWS アカウント this policy applies to] (このポリシーが適用される ) で、次のようにオプションを選択します。

    • このポリシーを組織内のすべてのアカウントに適用する場合は、デフォルトの [ AWS 自分の組織のすべてのアカウントを含める] のままにします。

    • AWS Organizations 特定のアカウントまたは特定の組織単位 (OU) に属するアカウントにのみポリシーを適用する場合は、[指定したアカウントと組織単位のみを含める] を選択し、含めるアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    • AWS Organizations 特定のアカウントまたは組織単位 (OU) 以外のすべてにポリシーを適用する場合は、[指定したアカウントと組織単位を除外し、その他すべてを含める] を選択してから、除外するアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。

  14. 保護するリソースのタイプを選択します。

  15. 特定のタグを持つリソースのみを保護する場合、または特定のタグを持つリソースを除外する場合は、[Use tags to include/exclude resources] (タグを使用してリソースを含める/除外する) を選択し、タグを入力してから、[Include] (含める) または [Exclude] (除外) を選択します。1 つのオプションのみを選択できます。

    複数のタグをコンマで区切って入力する場合、リソースにこれらのタグのいずれかがある場合は一致するとみなされます。

    タグの詳細については、「タグエディタの使用」を参照してください。

  16. 既存のリソースにポリシーを自動的に適用する場合は、[Create and apply this policy to existing and new resources] (既存および新規のリソースにこのポリシーを作成して適用する) を選択します。

    このオプションは、 AWS 組織内の各関連アカウントにウェブ ACL を作成し、アカウント内のリソースにウェブ ACL を関連付けます。このオプションは、前述の基準 (リソースタイプとタグ) に一致するすべての新しいリソースにもポリシーを適用します。また、[Create policy but do not apply the policy to existing or new resources] (ポリシーを作成するが既存および新規のリソースにポリシーを適用しない) を選択する場合は、Firewall Manager により組織内の各関連アカウントにウェブ ACL が作成されますが、ウェブ ACL はいずれのリソースにも適用されません。ポリシーは後でリソースに適用する必要があります。適切なオプションを選択します。

  17. [Replace existing associated web ACLs] (既存の関連付けられたウェブ ACL を置換) では、範囲内のリソースに対して現在定義されているウェブ ACL の関連付けをすべて削除し、このポリシーで作成しているウェブ ACL への関連付けに置き換えることができます。デフォルトでは、Firewall Manager は、新しいウェブ ACL の関連付けを追加する前に既存のウェブ ACL の関連付けを削除しません。既存の関連付けを削除する場合は、このオプションを選択します。

  18. [Next] (次へ) を選択します。

  19. 新しいポリシーを確認します。設定を変更するには、[Edit] (編集) を選択します。ポリシーが完成したら、[Create and apply policy] (ポリシーの作成と適用) を選択します。

AWS Firewall Manager 以下のポリシーを作成します。 AWS Shield Advanced

Shield Advanced の Firewall Manager ポリシーを作成するには (コンソール)

  1. Firewall Manager AWS Management Console 管理者アカウントを使用してにサインインし、でFirewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [Policy type] (ポリシータイプ) で、[Shield Advanced] を選択します。

    Shield Advanced ポリシーを作成するには、Shield Advanced をサブスクライブする必要があります。登録されていない場合は、登録するよう求められます。サブスクリプションの費用については、「AWS Shield Advanced の料金」を参照してください。

  5. [リージョン] では、を選択します AWS リージョン。Amazon CloudFront ディストリビューションを保護するには、「グローバル」を選択してください。

    [Global] (グローバル) 以外のリージョンを選択する場合、複数のリージョンでリソースを保護するには、各リージョン用に個別の Firewall Manager ポリシーを作成する必要があります。

  6. [Next] (次へ) を選択します。

  7. [Name] (名前) で、わかりやすい名前を入力します。

  8. [Global] (グローバル) リージョンポリシーの場合のみ、Shield Advanced アプリケーションレイヤー DDoS 自動緩和を管理するかどうかを選択できます。Shield Advanced 機能については、「Shield Advanced アプリケーションレイヤー DDoS 自動緩和」を参照してください。

    自動緩和を有効または無効にすることを選択でき、あるいは無視することを選択できます。無視することを選択した場合、Firewall Manager は、Shield Advanced 保護のために自動緩和をまったく管理しません。これらのポリシーのオプションの詳細については、「アプリケーションレイヤー DDoS 自動緩和」を参照してください 。

  9. 関連付けられていないウェブ ACL を Firewall Manager に管理させたい場合は、[ウェブ ACL 管理]で、[関連付けられていないウェブ ACL の管理]を有効にしてください。このオプションを使用すると、Firewall Manager は、少なくとも 1 つのリソースがウェブ ACL を使用する場合のみ、ポリシー範囲内のアカウントにウェブ ACL を作成します。アカウントがポリシーの対象になるといつでも、少なくとも 1 つのリソースがウェブ ACL を使用する場合に、Firewall Manager はアカウントにウェブ ACL を自動的に作成します。このオプションを有効にすると、Firewall Manager はアカウント内の関連付けられていないウェブ ACL に 1 回だけクリーンアップを実行します。このクリーンアッププロセスには、数時間かかることがあります。Firewall Manager がウェブ ACL を作成した後、リソースがポリシーの範囲から外れても、Firewall Manager はそのリソースとウェブ ACL との関連付けを解除しません。ウェブ ACL を 1 回限りのクリーンアップに含めるには、まずリソースとウェブ ACL の関連付けを手動で解除してから、[関連付けられていないウェブ ACL の管理]を有効にする必要があります。

  10. [Policy action] (ポリシーアクション) では、準拠していないリソースを自動的に修復しないオプションを使用してポリシーを作成することをお勧めします。自動修復を無効にすると、新しいポリシーを適用する前にその効果を評価できます。変更が適切であることを確認したら、ポリシーを編集し、ポリシーアクションを変更して、自動修復を有効にします。

    代わりに、ポリシーを既存の範囲内のリソースに自動的に適用する場合は、[Auto remediate any noncompliant resources] (準拠していないリソースを自動修復する) を選択します。このオプションは、 AWS 組織内の該当する各アカウントとアカウント内の該当する各リソースに Shield Advanced 保護を適用します。

    グローバルリージョンポリシーの場合のみ、[準拠していないリソースを自動修復] を選択すると、Firewall Manager AWS WAF が既存のクラシックウェブ ACL の関連付けを、最新バージョンの AWS WAF (v2) を使用して作成されたウェブ ACL への新しい関連付けに自動的に置き換えるように選択することもできます。これを選択すると、Firewall Manager は、ポリシー用にまだウェブ ACL を持っていない範囲内のアカウントに新しい空のウェブ ACL を作成した後、以前のバージョンのウェブ ACL との関連付けを削除し、最新バージョンのウェブ ACL との新しい関連付けを作成します。このオプションの詳細については、「AWS WAF クラシックウェブ ACL を最新バージョンのウェブ ACL に置き換えます。」をご参照ください。

  11. [Next] (次へ) を選択します。

  12. [AWS アカウント this policy applies to] (このポリシーが適用される ) で、次のようにオプションを選択します。

    • 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの [Include all accounts under my AWS organization] (自分の組織の下にあるすべてのアカウントを含める) を選択したままにします。

    • AWS Organizations 特定のアカウントまたは特定の組織単位 (OU) 内のアカウントにのみポリシーを適用する場合は、[指定したアカウントと組織単位のみを含める] を選択し、含めるアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    • AWS Organizations 特定のアカウントまたは組織単位 (OU) 以外のすべてにポリシーを適用する場合は、[指定したアカウントと組織単位を除外し、その他すべてを含める] を選択してから、除外するアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。

  13. 保護するリソースのタイプを選択します。

    Firewall Manager は、Amazon Route 53 または AWS Global Acceleratorをサポートしていません。これらのサービスからリソースを保護するために Shield Advanced を使用する必要がある場合、Firewall Manager ポリシーを使用することはできません。代わりに、「AWS Shield AdvancedAWS リソースへの保護の追加」の Shield Advanced のガイダンスに従ってください。

  14. 特定のタグを持つリソースのみを保護する場合、または特定のタグを持つリソースを除外する場合は、[Use tags to include/exclude resources] (タグを使用してリソースを含める/除外する) を選択し、カンマで区切られたタグを入力してから、[Include] (含める) または [Exclude] (除外) を選択します。1 つのオプションのみを選択できます。

    複数のタグを入力する場合、リソースにこれらのタグのいずれかがある場合は一致するとみなされます。

    タグの詳細については、「タグエディタの使用」を参照してください。

  15. [Next] (次へ) を選択します。

  16. [Policy tags] (ポリシータグ) で、Firewall Manager ポリシーに必要な識別タグを追加します。タグの詳細については、「タグエディタの使用」を参照してください。

  17. [Next] (次へ) を選択します。

  18. 新しいポリシーを確認します。変更するには、変更する部分で [Edit] (編集) を選択します。これにより、作成ウィザードの対応するステップに戻ります。ポリシーが完成したら、[Create policy] (ポリシーの作成) を選択します。

AWS Firewall Manager 共通セキュリティグループポリシーの作成

共通セキュリティグループポリシーの仕組みの詳細については、「共通セキュリティグループポリシー」を参照してください。

共通セキュリティグループポリシーを作成するには、ポリシーのプライマリとして使用するセキュリティグループが Firewall Manager 管理者アカウントに既に作成されている必要があります。セキュリティグループは、Amazon Virtual Private Cloud (Amazon VPC) または Amazon Elastic Compute Cloud (Amazon EC2) を通じて管理できます。詳細については、「Amazon VPC ユーザーガイド」の「セキュリティグループの操作」を参照してください。

共通セキュリティグループポリシー (コンソール) を作成するには

  1. Firewall Manager AWS Management Console 管理者アカウントを使用してにサインインし、でFirewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [Policy type] (ポリシータイプ) で、[Security group] (セキュリティグループ) を選択します。

  5. [Security group policy type] (セキュリティグループポリシータイプ) で、[Common security groups] (共通セキュリティグループ) を選択します。

  6. [リージョン] では、を選択します AWS リージョン。

  7. [Next] (次へ) を選択します。

  8. [Policy name](ポリシー名) で、フレンドリ名を入力します。

  9. [Policy rules] (ポリシールール) で、次の操作を行います。

    1. ルールオプションから、セキュリティグループルールとポリシーの範囲内にあるリソースに対して適用する制限を選択します。[Distribute tags from the primary security group to the security groups created by this policy] (プライマリセキュリティグループからこのポリシーによって作成されたセキュリティグループにタグを配布) を選択した場合は、[Identify and report when the security groups created by this policy become non-compliant] (このポリシーによって作成されたセキュリティグループが非準拠になったときに識別して報告) も選択する必要があります。

      重要

      Firewall Manager は、 AWS サービスによって追加されたシステムタグをレプリカのセキュリティグループに配布しません。システムタグは aws: プレフィックスで始まります。また、ポリシーに組織のタグポリシーと矛盾するタグがある場合は、Firewall Manager が既存のセキュリティグループでのタグ更新や、新しいセキュリティグループの作成を行うことはありません。タグポリシーについて詳しくは、『 AWS Organizations ユーザーガイド』の「タグポリシー」を参照してください。

      [プライマリセキュリティグループからのセキュリティグループの参照をこのポリシーによって作成されたセキュリティグループに配布する] を選択した場合、Firewall Manager は Amazon VPC にアクティブなピア接続がある場合にのみセキュリティグループの参照を配布します。このオプションの詳細については、「ポリシールールの設定」を参照してください。

    2. [Primary security groups] (プライマリセキュリティグループ) で、[Add primary security group] (プライマリセキュリティグループを追加) を選択してから、使用するセキュリティグループを選択します。Firewall Manager は、Firewall Manager 管理者アカウント内におけるすべての Amazon VPC インスタンスからのプライマリセキュリティグループのリストを設定します。ポリシーのプライマリセキュリティグループのデフォルト最大数は 1 です。最大数を引き上げる方法については、「AWS Firewall Manager クォータ」を参照してください。

    3. [Policy action] (ポリシーアクション) では、自動的に修復されないオプションを使用してポリシーを作成することをお勧めします。これにより、新しいポリシーを適用する前にその効果を評価できます。変更が適切であることを確認したら、ポリシーを編集し、ポリシーアクションを変更して、準拠していないリソースの自動修復を有効にします。

  10. [Next] (次へ) を選択します。

  11. [AWS アカウント this policy applies to] (このポリシーが適用される ) で、次のようにオプションを選択します。

    • このポリシーを組織内のすべてのアカウントに適用する場合は、デフォルトの [ AWS 自分の組織のすべてのアカウントを含める] のままにします。

    • AWS Organizations 特定のアカウントまたは特定の組織単位 (OU) に属するアカウントにのみポリシーを適用する場合は、[指定したアカウントと組織単位のみを含める] を選択し、含めるアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    • AWS Organizations 特定のアカウントまたは組織単位 (OU) 以外のすべてにポリシーを適用する場合は、[指定したアカウントと組織単位を除外し、その他すべてを含める] を選択してから、除外するアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。

  12. [Resource type] (リソースタイプ) で、保護するリソースのタイプを選択します。

    [EC2 instance] (EC2 インスタンス) を選択した場合は、各 Amazon EC2 インスタンスのすべての Elastic Network Interface を含めるか、デフォルトインターフェイスのみを含めるかを選択できます。範囲内の Amazon EC2 インスタンスに複数の Elastic Network Interface がある場合、すべてのインターフェイスを含めるオプションを選択すると、Firewall Manager はすべてのインターフェイスにポリシーを適用できます。自動修復を有効にすると、Firewall Manager が Amazon EC2 インスタンス内の一部の Elastic Network Interface にポリシーを適用できない場合、そのインスタンスは非準拠としてマークされます。

  13. リソース」で、 AWS アカウント およびリソースタイプパラメータ内のすべてのリソースにポリシーを適用する場合は、「選択したリソースタイプと一致するリソースをすべて含める」を選択します。特定のリソースを含めるか除外する場合は、タグ付けを使用してリソースを指定し、適切なオプションを選択してリストにタグを追加します。ポリシーは、指定したすべてのタグを持つリソースを除くすべてのリソースに適用することも、指定したすべてのタグを持つリソースにのみ適用することもできます。リソースのタグ付けの詳細については、「タグエディタの使用」を参照してください。

    注記

    複数のタグを入力する場合、一致するすべてのタグがリソースに必要です。

  14. [Shared VPC resources] (共有 VPC リソース) の場合、アカウントが所有する VPC に加えて、共有 VPC 内のリソースにポリシーを適用する場合は、[Include resources from shared VPCs] (共有 VPC からのリソースを含める) を選択します。

  15. [Next] (次へ) を選択します。

  16. ポリシー設定を見直して目的の設定になっていることを確認し、[Create policy] (ポリシーの作成) を選択します。

Firewall Manager は、範囲内のアカウントに含まれるすべての Amazon VPC インスタンスに、アカウントごとにサポートされる Amazon VPC の最大クォータまで、プライマリセキュリティグループのレプリカを作成します。Firewall Manager は、レプリカセキュリティグループを、範囲内の各アカウント用のポリシーの範囲内にあるリソースに関連付けます。このポリシーの仕組みの詳細については、「共通セキュリティグループポリシー」を参照してください。

AWS Firewall Manager コンテンツ監査セキュリティグループポリシーの作成

コンテンツ監査セキュリティグループポリシーの仕組みの詳細については、「コンテンツ監査セキュリティグループポリシー」を参照してください。

コンテンツ監査ポリシーの設定によっては、Firewall Manager がテンプレートとして使用するための監査セキュリティグループを指定する必要があります。例えば、どのセキュリティグループでも許可しないすべてのルールを含む監査セキュリティグループがあるとします。ポリシーでこれらの監査セキュリティグループを使用するには、Firewall Manager 管理者アカウントを使用してこれらの監査セキュリティグループを作成する必要があります。セキュリティグループは、Amazon Virtual Private Cloud (Amazon VPC) または Amazon Elastic Compute Cloud (Amazon EC2) を通じて管理できます。詳細については、「Amazon VPC ユーザーガイド」の「セキュリティグループの操作」を参照してください。

コンテンツ監査セキュリティグループポリシーを作成するには (コンソール)

  1. Firewall Manager AWS Management Console 管理者アカウントを使用してにサインインし、でFirewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [Policy type] (ポリシータイプ) で、[Security group] (セキュリティグループ) を選択します。

  5. [Security group policy type] (セキュリティグループポリシータイプ) で、[Auditing and enforcement of security group rules] (セキュリティグループルールの監査と適用) を選択します。

  6. [リージョン] では、を選択します AWS リージョン。

  7. [Next] (次へ) を選択します。

  8. [Policy name](ポリシー名) で、フレンドリ名を入力します。

  9. [Policy rules] (ポリシールール) で、使用するマネージドポリシールールオプションまたはカスタムポリシールールオプションを選択します。

    1. [Configure managed audit policy rules] (マネージド監査ポリシールールを設定) で、次の手順を実行します。

      1. [Configure security group rules to audit] (監査するセキュリティグループルールを設定) で、監査ポリシーを適用するセキュリティグループルールの種類を選択します。

      2. セキュリティグループ内のプロトコル、ポート、CIDR 範囲設定に基づく監査ルールなどを実行する場合は、[過度に許容されるセキュリティグループルールを監査] を選択し、必要なオプションを選択します。

        [ルールですべてのトラフィックを許可する] を選択すると、カスタムアプリケーション リストを指定して、監査するアプリケーションを指定できます。カスタムアプリケーションリスト、およびポリシーでのアプリケーションリストの使用方法については、「マネージドリスト」および「マネージドリストの使用」を参照してください。

        プロトコルリストを使用する選択では、既存のリストを使用したり、新しいリストを作成したりできます。プロトコルリスト、およびポリシーでのアプリケーションリストの使用方法については、「マネージドリスト」および「マネージドリストの使用」を参照してください。

      3. 予約済みまたは予約されていない CIDR 範囲へのアクセスに基づいて高リスクを監査する場合は、[高リスクアプリケーションを監査する] を選択し、必要なオプションを選択します。

        [ローカル CIDR 範囲のみにアクセスできるアプリケーション][パブリック CIDR 範囲を使用できるアプリケーション] の選択は相互に排他的です。いずれのポリシーでも、選択できるのは最大 1 つです。

        アプリケーションリストを使用する選択では、既存のリストを使用したり、新しいリストを作成したりできます。アプリケーションリスト、およびポリシーでのアプリケーションリストの使用方法については、「マネージドリスト」および「マネージドリストの使用」を参照してください。

      4. [Overrides] (上書き) 設定を使用して、ポリシー内の他の設定を明示的に上書きします。ポリシーに設定した他のオプションに準拠しているかどうかにかかわらず、特定のセキュリティグループルールを常に許可するか常に拒否するかを選択できます。

        このオプションでは、許可されたルールまたは拒否されたルールテンプレートとして監査セキュリティグループを指定します。[Audit security groups] (監査セキュリティグループ) で、[Add audit security groups] (監査セキュリティグループを追加) を選択してから、使用するセキュリティグループを選択します。Firewall Manager は、Firewall Manager 管理者アカウント内におけるすべての Amazon VPC インスタンスからの監査セキュリティグループのリストを設定します。ポリシーの監査セキュリティグループ数のデフォルト最大クォータは 1 です。クォータを引き上げる方法については、「AWS Firewall Manager クォータ」を参照してください。

    2. [Configure custom policy rules] (カスタムポリシールールを設定) で、次の手順を実行します。

      1. ルールオプションから、監査セキュリティグループで定義されたルールのみを許可するか、すべてのルールを拒否するかを選択します。この選択の詳細については、「コンテンツ監査セキュリティグループポリシー」を参照してください。

      2. [Audit security groups] (監査セキュリティグループ) で、[Add audit security groups] (監査セキュリティグループを追加) を選択してから、使用するセキュリティグループを選択します。Firewall Manager は、Firewall Manager 管理者アカウント内におけるすべての Amazon VPC インスタンスからの監査セキュリティグループのリストを設定します。ポリシーの監査セキュリティグループ数のデフォルト最大クォータは 1 です。クォータを引き上げる方法については、「AWS Firewall Manager クォータ」を参照してください。

      3. [Policy action] (ポリシーアクション) では、自動的に修復されないオプションを使用してポリシーを作成する必要があります。これにより、新しいポリシーを適用する前にその効果を評価できます。変更が適切であることを確認したら、ポリシーを編集し、ポリシーアクションを変更して、準拠していないリソースの自動修復を有効にします。

  10. [Next] (次へ) を選択します。

  11. [AWS アカウント this policy applies to] (このポリシーが適用される ) で、次のようにオプションを選択します。

    • このポリシーを組織内のすべてのアカウントに適用する場合は、デフォルトの [ AWS 自分の組織のすべてのアカウントを含める] のままにします。

    • AWS Organizations 特定のアカウントまたは特定の組織単位 (OU) に属するアカウントにのみポリシーを適用する場合は、[指定したアカウントと組織単位のみを含める] を選択し、含めるアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    • AWS Organizations 特定のアカウントまたは組織単位 (OU) 以外のすべてにポリシーを適用する場合は、[指定したアカウントと組織単位を除外し、その他すべてを含める] を選択してから、除外するアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。

  12. [Resource type] (リソースタイプ) で、保護するリソースのタイプを選択します。

  13. リソース」で、 AWS アカウント およびリソースタイプパラメータ内のすべてのリソースにポリシーを適用する場合は、「選択したリソースタイプと一致するリソースをすべて含める」を選択します。特定のリソースを含めるか除外する場合は、タグ付けを使用してリソースを指定し、適切なオプションを選択してリストにタグを追加します。ポリシーは、指定したすべてのタグを持つリソースを除くすべてのリソースに適用することも、指定したすべてのタグを持つリソースにのみ適用することもできます。リソースのタグ付けの詳細については、「タグエディタの使用」を参照してください。

    注記

    複数のタグを入力する場合、一致するすべてのタグがリソースに必要です。

  14. [Next] (次へ) を選択します。

  15. ポリシー設定を見直して目的の設定になっていることを確認し、[Create policy] (ポリシーの作成) を選択します。

Firewall Manager は、ポリシールールの設定に従って、監査セキュリティグループを AWS 組織内の範囲内セキュリティグループと比較します。 AWS Firewall Manager ポリシーのステータスはポリシーコンソールで確認できます。ポリシーを作成したら、ポリシーを編集して自動修復を有効にし、監査セキュリティグループポリシーを有効にすることができます。このポリシーの仕組みの詳細については、「コンテンツ監査セキュリティグループポリシー」を参照してください。

AWS Firewall Manager 使用状況監査セキュリティグループポリシーの作成

使用状況監査セキュリティグループポリシーの仕組みの詳細については、「使用状況監査セキュリティグループポリシー」を参照してください。

使用状況監査セキュリティグループポリシーを作成するには (コンソール)

  1. Firewall Manager AWS Management Console 管理者アカウントを使用してにサインインし、でFirewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [Policy type] (ポリシータイプ) で、[Security group] (セキュリティグループ) を選択します。

  5. [セキュリティグループポリシータイプ]で、[未使用および冗長セキュリティグループの監査とクリーンアップ]を選択します。

  6. [リージョン] では、を選択します AWS リージョン。

  7. [Next] (次へ) を選択します。

  8. [Policy name](ポリシー名) で、フレンドリ名を入力します。

  9. [Policy rules] (ポリシールール) で、使用可能なオプションのいずれかまたは両方を選択します。

    • [このポリシーの範囲内のセキュリティグループは少なくとも 1 つのリソースによって使用される必要があります] を選択した場合、Firewall Manager は、未使用と判断されるセキュリティグループを削除します。このルールを有効にすると、Firewall Manager はポリシーを保存するときに最後にこのルールを実行します。

      Firewall Manager が修正の使用状況とタイミングを決定する方法の詳細については、を参照してください使用状況監査セキュリティグループポリシー

      注記

      この使用状況監査セキュリティグループポリシータイプを使用する場合は、対象とするセキュリティグループの関連付け状態を短期間に複数回変更することは避けてください。これを行うと、Firewall Manager が対応するイベントを見逃す可能性があります。

      デフォルトでは、Firewall Manager はセキュリティグループが使用されなくなるとすぐにこのポリシールールに準拠していないと見なします。オプションで、セキュリティグループが非準拠と見なされるまでに未使用のままでいられる時間を分単位で指定できます。上限は 525,600 分 (365 日) です。この設定を使うと、新しいセキュリティグループをリソースに関連付ける時間を確保できます。

      重要

      デフォルト値の 0 以外の分数を指定する場合は、 AWS Configで間接関係を有効にする必要があります。そうしないと、使用状況監査セキュリティグループポリシーが意図したとおりに機能しなくなります。の間接関係については AWS Config、『AWS Config 開発者ガイド』の「間接関係」を参照してください。 AWS Config

    • [このポリシーの範囲内のセキュリティグループは一意である必要があります] を選択した場合、Firewall Manager は、冗長なセキュリティグループを統合し、1 つのセキュリティグループのみがリソースに関連付けられるようにします。これを選択すると、Firewall Manager により、ポリシーの保存時に最初に実行されます。

  10. [Policy action] (ポリシーアクション) では、自動的に修復されないオプションを使用してポリシーを作成することをお勧めします。これにより、新しいポリシーを適用する前にその効果を評価できます。変更が適切であることを確認したら、ポリシーを編集し、ポリシーアクションを変更して、準拠していないリソースの自動修復を有効にします。

  11. [Next] (次へ) を選択します。

  12. [AWS アカウント this policy applies to] (このポリシーが適用される ) で、次のようにオプションを選択します。

    • このポリシーを組織内のすべてのアカウントに適用する場合は、デフォルトの [自分の組織のすべてのアカウントを含める] のままにします。 AWS

    • AWS Organizations 特定のアカウントまたは特定の組織単位 (OU) に属するアカウントにのみポリシーを適用する場合は、[指定したアカウントと組織単位のみを含める] を選択し、含めるアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    • AWS Organizations 特定のアカウントまたは組織単位 (OU) 以外のすべてにポリシーを適用する場合は、[指定したアカウントと組織単位を除外し、その他すべてを含める] を選択してから、除外するアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。

  13. リソース」で、 AWS アカウント およびリソースタイプパラメータ内のすべてのリソースにポリシーを適用する場合は、「選択したリソースタイプと一致するリソースをすべて含める」を選択します。特定のリソースを含めるか除外する場合は、タグ付けを使用してリソースを指定し、適切なオプションを選択してリストにタグを追加します。ポリシーは、指定したすべてのタグを持つリソースを除くすべてのリソースに適用することも、指定したすべてのタグを持つリソースにのみ適用することもできます。リソースのタグ付けの詳細については、「タグエディタの使用」を参照してください。

    注記

    複数のタグを入力する場合、一致するすべてのタグがリソースに必要です。

  14. [Next] (次へ) を選択します。

  15. ポリシーの範囲から Firewall Manager 管理者アカウントを除外していない場合、Firewall Manager によりこれを行うよう求められます。これにより、セキュリティグループは Firewall Manager 管理者アカウントに残ります。このアカウントは、手動コントロール下で、共通セキュリティグループポリシーおよび監査セキュリティグループポリシーに使用します。このダイアログで目的のオプションを選択します。

  16. ポリシー設定を見直して目的の設定になっていることを確認し、[Create policy] (ポリシーの作成) を選択します。

一意のセキュリティグループにする必要があることを選択した場合、Firewall Manager は各範囲内 Amazon VPC インスタンスで冗長セキュリティグループをスキャンします。その後、各セキュリティグループを少なくとも 1 つのリソースで使用するように選択した場合、Firewall Manager は、ルールで指定された時間 (単位: 分)、未使用のままのセキュリティグループをスキャンします。 AWS Firewall Manager ポリシーのステータスはポリシーコンソールで確認できます。このポリシーの仕組みの詳細については、「使用状況監査セキュリティグループポリシー」を参照してください。

AWS Firewall Manager のポリシーの作成 AWS Network Firewall

Firewall Manager の Network Firewall ポリシーでは、 AWS Network Firewallで管理するルールグループを使用します。ルールグループの管理については、「Network Firewall デベロッパーガイド」の「AWS Network Firewall ルールグループ」を参照してください。

Firewall Manager の Network Firewall ポリシーについては、「AWS Network Firewall ポリシー」を参照してください。

AWS Network Firewall (コンソール) のFirewall Manager ポリシーを作成するには

  1. Firewall Manager AWS Management Console 管理者アカウントを使用してにサインインし、でFirewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [Policy type] (ポリシータイプ) では [AWS Network Firewall] を選択します。

  5. [Firewall management type] (ファイアウォールの管理タイプ) で、Firewall Manager にポリシーのファイアウォールをどのように管理させるか選択します。次のオプションから選択します。

    • [Distributed] (分散型) を使用すると、Firewall Manager は、ポリシーの範囲内の各 VPC でファイアウォールエンドポイントを作成および維持します。

    • [Centralized] (集約型) を使用すると、Firewall Manager は、単一の検査 VPC でエンドポイントを作成および維持します。

    • [Import existing firewalls] (既存のファイアウォールのインポート)- Firewall Manager は、リソースセットを使用して Network Firewall から既存のファイアウォールをインポートします。リソースセットの詳細については、「Firewall Manager でのリソースセットの操作」を参照してください。

  6. [リージョン] では、を選択します AWS リージョン。複数のリージョンのリソースを保護するには、各リージョンに別々の ポリシーを作成する必要があります。

  7. [Next] (次へ) を選択します。

  8. [Policy name] (ポリシー名) で、わかりやすい名前を入力します。Firewall Manager は、Network Firewall のファイアウォールおよび作成するファイアウォールポリシーの名前にポリシー名を含めます。

  9. [AWS Network Firewall policy configuration] (ポリシー設定) では、Network Firewall の場合と同じようにファイアウォールポリシーを設定します。ステートレスルールグループおよびステートフルルールグループを追加し、ポリシーのデフォルトアクションを指定します。オプションで、ポリシーのステートフルルール評価順序とデフォルトアクションを設定し、ログ記録設定を行うことができます。Network Firewall のファイアウォールポリシーの管理については、「AWS Network Firewall デベロッパーガイド」の「AWS Network Firewall ファイアウォールポリシー」を参照してください。

    Firewall Manager の Network Firewall ポリシーを作成すると、Firewall Manager は、範囲内にあるアカウント用にファイアウォールポリシーを作成します。個々のアカウントマネージャーは、ファイアウォールポリシーにルールグループを追加できますが、ここで指定する設定を変更することはできません。

  10. [次へ] を選択します。

  11. 前のステップで選択した [Firewall management type] (ファイアウォール管理タイプ) に応じて、次のいずれかを実行します。

    • [分散型] ファイアウォール管理タイプを使用している場合、[AWS Firewall Manager エンドポイント設定] 内の [ファイアウォールのエンドポイントの場所] で、以下のオプションのいずれかを選択します。

      • [Custom endpoint configuration] (カスタムエンドポイント設定) - Firewall Manager は、指定したアベイラビリティーゾーンに、ポリシー範囲内の各 VPC に対してファイアウォールを作成します。各ファイアウォールには、少なくとも 1 つのファイアウォールエンドポイントが含まれています。

        • [Availability Zones] (アベイラビリティーゾーン) で、ファイアウォールエンドポイントを作成するアベイラビリティーゾーンを選択します。アベイラビリティーゾーンは、[Availability Zone name] (アベイラビリティーゾーン名) または [Availability Zone ID] (アベイラビリティーゾーン ID) で選択できます。

        • Firewall Manager が VPC のファイアウォールサブネットに使用する CIDR ブロックを指定する場合、そのすべては /28 CIDR ブロックである必要があります。1 行に 1 つのブロックを入力します。これらを省略すると、Firewall Manager は、VPC で使用可能な IP アドレスから選択します。

          注記

          AWS Firewall Manager Network Firewall ポリシーでは自動修復が自動的に行われるため、auto 修復を選択するオプションはここには表示されません。

      • エンドポイントの自動設定 - Firewall Manager は、VPC 内のパブリックサブネットを持つアベイラビリティーゾーンにファイアウォールエンドポイントを自動的に作成します。

        • [Firewall endpoints] (ファイアウォールエンドポイント) の設定では、Firewall Manager によるファイアウォールエンドポイントの管理方法を指定します。高可用性を実現するために、複数のエンドポイントを使用することをお勧めします。

    • このポリシーに [集約型] ファイアウォール管理タイプを使用している場合は、[AWS Firewall Manager エンドポイント設定] 内の [インスペクション VPC の設定] で、検査 VPC の所有者の AWS アカウント ID と検査 VPC の VPC ID を入力します。

      • [Availability Zones] (アベイラビリティーゾーン) で、ファイアウォールエンドポイントを作成するアベイラビリティーゾーンを選択します。アベイラビリティーゾーンは、[Availability Zone name] (アベイラビリティーゾーン名) または [Availability Zone ID] (アベイラビリティーゾーン ID) で選択できます。

      • Firewall Manager が VPC のファイアウォールサブネットに使用する CIDR ブロックを指定する場合、そのすべては /28 CIDR ブロックである必要があります。1 行に 1 つのブロックを入力します。これらを省略すると、Firewall Manager は、VPC で使用可能な IP アドレスから選択します。

        注記

        AWS Firewall Manager Network Firewall ポリシーでは自動修復が自動的に行われるため、auto 修復を選択するオプションはここには表示されません。

    • [Import existing firewalls] (既存のファイアウォールのインポート) のファイアウォール管理タイプを使用している場合は、[Resource sets] (リソースセット) で 1 つ以上のリソースセットを追加します。リソースセットは、このポリシーで一元管理したい組織のアカウントが所有する既存の Network Firewall を定義します。ポリシーにリソースセットを追加するには、まずコンソールまたは API を使用してリソースセットを作成する必要があります。PutResourceSetリソースセットの詳細については、「Firewall Manager でのリソースセットの操作」を参照してください。Network Firewall から既存のファイアウォールをインポートする方法の詳細については、「既存のファイアウォールのインポート」を参照してください。

  12. [次へ] を選択します。

  13. ポリシーで分散型ファイアウォール管理タイプを使用している場合は、[Route management] (ルート管理) で、Firewall Manager がそれぞれのファイアウォールエンドポイントを経由してルーティングする必要のあるトラフィックをモニタリングおよびアラートするかどうかを選択します。

    注記

    [Monitor] (モニタリング) を選択した場合、後日設定を [Off] (オフ) に変更することはできません。モニタリングは、ポリシーを削除するまで継続します。

  14. [Traffic type] (トラフィックタイプ) で、ファイアウォール検査のためにトラフィックをルーティングするトラフィックエンドポイントをオプションで追加します。

  15. [Allow required cross-AZ traffic] (必要なクロス AZ トラフィックを許可) で、このオプションを有効にすると、Firewall Manager は、独自のファイアウォールエンドポイントを持たないアベイラビリティーゾーンの場合、検査のためにアベイラビリティーゾーンからトラフィックを送信する準拠ルーティングとして扱います。エンドポイントを持つアベイラビリティーゾーンでは、常に独自のトラフィックを検査する必要があります。

  16. [Next] (次へ) を選択します。

  17. [Policy scope] (ポリシーの範囲) の [AWS アカウント this policy applies to] (このポリシーが適用される ) で、次のようにオプションを選択します。

    • 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの [自分の組織のすべてのアカウントを含める] のままにします。 AWS

    • AWS Organizations 特定のアカウントまたは特定の組織単位 (OU) に属するアカウントにのみポリシーを適用する場合は、[指定したアカウントと組織単位のみを含める] を選択し、含めるアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    • AWS Organizations 特定のアカウントまたは組織単位 (OU) 以外のすべてにポリシーを適用する場合は、[指定したアカウントと組織単位を除外し、その他すべてを含める] を選択してから、除外するアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。

  18. Network Firewall ポリシーの [Resource type] (リソースタイプ) は [VPC] です。

  19. 特定のタグの付いたリソースのみを保護 (または除外) する場合は、[Resources] (リソース) で、該当するオプションを選択し、含めるまたは除外するタグを入力します。1 つのオプションのみを選択できます。タグの詳細については、「タグエディタの使用」を参照してください。

    複数のタグを入力した場合、含めるまたは除外するリソースにはそれらのすべてのタグが付いている必要があります。

  20. [Next] (次へ) を選択します。

  21. [Policy tags] (ポリシータグ) で、Firewall Manager ポリシーに必要な識別タグを追加します。タグの詳細については、「タグエディタの使用」を参照してください。

  22. [Next] (次へ) を選択します。

  23. 新しいポリシーを確認します。変更するには、変更する部分で [Edit] (編集) を選択します。これにより、作成ウィザードの対応するステップに戻ります。ポリシーが完成したら、[Create policy] (ポリシーの作成) を選択します。

Amazon Route 53 リゾルバー DNS AWS Firewall Manager ファイアウォールのポリシーの作成

Firewall Manager の DNS Firewall ポリシーでは、Amazon Route 53 Resolver DNS Firewall で管理するルールグループを使用します。ルールグループの管理については、「Amazon Route 53 デベロッパーガイド」の「DNS Firewall でのルールグループおよびルールの管理」を参照してください。

Firewall Manager の DNS Firewall ポリシーについては、「Amazon Route 53 Resolver DNS Firewall ポリシー」を参照してください。

Amazon Route 53 Resolver DNS Firewall の Firewall Manager ポリシーを作成するには (コンソール)

  1. Firewall Manager AWS Management Console 管理者アカウントを使用してにサインインし、でFirewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [Policy type] (ポリシータイプ) で、[Amazon Route 53 Resolver DNS Firewall] を選択します。

  5. [リージョン] では、を選択します AWS リージョン。複数のリージョンのリソースを保護するには、各リージョンに別々の ポリシーを作成する必要があります。

  6. [Next] (次へ) を選択します。

  7. [Policy name] (ポリシー名) で、わかりやすい名前を入力します。

  8. ポリシー設定で、VPC のルールグループの関連付けの中で DNS Firewall が最初と最後に評価するルールグループを追加します。ポリシーには最大 2 つのルールグループを追加できます。

    Firewall Manager の DNS Firewall ポリシーを作成すると、Firewall Manager は、指定した関連付けの優先順位を使用して、範囲内の VPC とアカウントのルールグループの関連付けを作成します。個々のアカウントマネージャーは、最初の関連付けと最後の関連付けの間にルールグループの関連付けを追加できますが、お客様がここで定義する関連付けを変更することはできません。詳細については、「Amazon Route 53 Resolver DNS Firewall ポリシー」を参照してください。

  9. [Next] (次へ) を選択します。

  10. [AWS アカウント this policy applies to] (このポリシーが適用される ) で、次のようにオプションを選択します。

    • このポリシーを組織内のすべてのアカウントに適用する場合は、デフォルトの [ AWS 自分の組織のすべてのアカウントを含める] のままにします。

    • AWS Organizations 特定のアカウントまたは特定の組織単位 (OU) に属するアカウントにのみポリシーを適用する場合は、[指定したアカウントと組織単位のみを含める] を選択し、含めるアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    • AWS Organizations 特定のアカウントまたは組織単位 (OU) 以外のすべてにポリシーを適用する場合は、[指定したアカウントと組織単位を除外し、その他すべてを含める] を選択してから、除外するアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。

  11. DNS Firewall ポリシーの [Resource type] (リソースタイプ) は [VPC] です。

  12. 特定のタグの付いたリソースのみを保護 (または除外) する場合は、[Resources] (リソース) で、該当するオプションを選択し、含めるまたは除外するタグを入力します。1 つのオプションのみを選択できます。タグの詳細については、「タグエディタの使用」を参照してください。

    複数のタグを入力した場合、含めるまたは除外するリソースにはそれらのすべてのタグが付いている必要があります。

  13. [Next] (次へ) を選択します。

  14. [Policy tags] (ポリシータグ) で、Firewall Manager ポリシーに必要な識別タグを追加します。タグの詳細については、「タグエディタの使用」を参照してください。

  15. [Next] (次へ) を選択します。

  16. 新しいポリシーを確認します。変更するには、変更する部分で [Edit] (編集) を選択します。これにより、作成ウィザードの対応するステップに戻ります。ポリシーが完成したら、[Create policy] (ポリシーの作成) を選択します。

パロアルトネットワークスのクラウド (NGFW) AWS Firewall Manager のポリシーの作成

パロアルトネットワークスのクラウド次世代ファイアウォール(パロアルトネットワークスクラウドNGFW)のFirewall Manager ポリシーを使用すると、Firewall Manager を使用してパロアルトネットワークスのクラウドNGFWリソースを展開し、すべてのアカウントのNGFWルールスタックを一元管理できます。 AWS

Firewall Manager Palo Alto Networks Cloud NGFW ポリシーの詳細については、「Palo Alto Networks Cloud NGFW ポリシー」を参照してください。Firewall Manager 用に Palo Alto Networks Cloud NGFW を設定および管理する方法については、Palo Alto Networks Palo Alto Networks Cloud NGFW on AWS のドキュメントを参照してください。

前提条件

AWS Firewall Managerのアカウントを準備するには、いくつかの必須のステップがあります。それらのステップは、AWS Firewall Manager 前提条件 で説明されています。次のステップに進む前に、すべての前提条件を満たしてください。

Palo Alto Networks Cloud NGFW の Firewall Manager ポリシーを作成するには (コンソール)

  1. Firewall Manager AWS Management Console 管理者アカウントを使用してにサインインし、でFirewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [Policy type] (ポリシータイプ) で、[Palo Alto Networks Cloud NGFW] を選択します。 AWS Marketplace でパロアルトネットワークスのクラウドNGFWサービスにまだ登録していない場合は、まず登録する必要があります。 AWS Marketplace で購読するには、「 AWS マーケットプレイMarketplace 詳細を表示」を選択します。

  5. [Deployment model] (デプロイモデル) で、[Distributed model] (分散モデル) または [Centralized model] (集約型モデル) のいずれかを選択します。デプロイモデルによって、Firewall Manager がポリシーのエンドポイントを管理する方法が決まります。分散モデルでは、Firewall Manager は、ポリシーの範囲内の各 VPC にファイアウォールエンドポイントを維持します。集約型モデルでは、Firewall Manager は検査 VPC に単一のエンドポイントを維持します。

  6. リージョン」では、を選択します AWS リージョン。複数のリージョンのリソースを保護するには、各リージョンに別々の ポリシーを作成する必要があります。

  7. [Next] (次へ) を選択します。

  8. [Policy name] (ポリシー名) で、わかりやすい名前を入力します。

  9. ポリシー設定で、このポリシーに関連付ける Palo Alto Networks Cloud NGFW ファイアウォールポリシーを選択します。Palo Alto Networks Cloud NGFW ファイアウォールポリシーの一覧には、Palo Alto Networks Cloud NGFW テナントに関連付けられているすべての Cloud NGFW ファイアウォールポリシーが含まれています。パロアルトネットワークスクラウド NGFW ファイアウォールポリシーの作成と管理については、『パロアルトネットワークスクラウド NGFW 導入ガイド』 AWSAWS Firewall Managerのトピックとともに「パロアルトネットワークスクラウド NGFW の導入」フォームを参照してください。 AWS

  10. パロアルトネットワークスのクラウド NGFW ロギング-オプション。ポリシーに合わせてログに記録するパロアルトネットワークスクラウド NGFW ログタイプをオプションで選択できますパロアルトネットワークスのクラウド NGFW ログタイプについて詳しくは、導入ガイドの「パロアルトネットワークスクラウド NGFW のロギングをオンに設定する」を参照してください。 AWS AWS

    [log destination] (ログの宛先) で、Firewall Manager がログを書き込む場合を指定します。

  11. [Next] (次へ) を選択します。

  12. [Configure third-party firewall endpoint] (サードパーティーのファイアウォールエンドポイントを設定) で、ファイアウォールエンドポイントの作成に分散デプロイモデルと集約型デプロイモデルのいずれを使用しているかに応じて、次のいずれかを実行します。

    • このポリシーに分散デプロイモデルを使用している場合は、[Availability Zones] (アベイラビリティーゾーン) で、ファイアウォールエンドポイントを作成するアベイラビリティーゾーンを選択します。アベイラビリティーゾーンは、[Availability Zone name] (アベイラビリティーゾーン名) または [Availability Zone ID] (アベイラビリティーゾーン ID) で選択できます。

    • このポリシーに集約型デプロイモデルを使用している場合は、[Inspection VPC configuration] (検査 VPC 設定) の [AWS Firewall Manager endpoint configuration] (エンドポイント設定) で、検査 VPC の所有者の AWS アカウント ID と検査 VPC の VPC ID を入力します。

      • [Availability Zones] (アベイラビリティーゾーン) で、ファイアウォールエンドポイントを作成するアベイラビリティーゾーンを選択します。アベイラビリティーゾーンは、[Availability Zone name] (アベイラビリティーゾーン名) または [Availability Zone ID] (アベイラビリティーゾーン ID) で選択できます。

  13. Firewall Manager が VPC のファイアウォールサブネットに使用する CIDR ブロックを指定する場合、そのすべては /28 CIDR ブロックである必要があります。1 行に 1 つのブロックを入力します。これらを省略すると、Firewall Manager は、VPC で使用可能な IP アドレスから選択します。

    注記

    AWS Firewall Manager Network Firewall ポリシーでは自動修復が自動的に行われるため、auto 修復を選択するオプションはここには表示されません。

  14. [Next] (次へ) を選択します。

  15. [Policy scope] (ポリシーの範囲) の [AWS アカウント this policy applies to] (このポリシーが適用される ) で、次のようにオプションを選択します。

    • このポリシーを組織内のすべてのアカウントに適用する場合は、デフォルトの [自分の組織のすべてのアカウントを含める] のままにします。 AWS

    • AWS Organizations 特定のアカウントまたは特定の組織単位 (OU) に属するアカウントにのみポリシーを適用する場合は、[指定したアカウントと組織単位のみを含める] を選択し、含めるアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    • AWS Organizations 特定のアカウントまたは組織単位 (OU) 以外のすべてにポリシーを適用する場合は、[指定したアカウントと組織単位を除外し、その他すべてを含める] を選択してから、除外するアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。

  16. Network Firewall ポリシーの [Resource type] (リソースタイプ) は [VPC] です。

  17. 特定のタグの付いたリソースのみを保護 (または除外) する場合は、[Resources] (リソース) で、該当するオプションを選択し、含めるまたは除外するタグを入力します。1 つのオプションのみを選択できます。タグの詳細については、「タグエディタの使用」を参照してください。

    複数のタグを入力した場合、含めるまたは除外するリソースにはそれらのすべてのタグが付いている必要があります。

  18. [Grant cross-account access] (クロスアカウントアクセスを付与) で、[Download AWS CloudFormation template] (テンプレートをダウンロード) を選択します。これにより、 AWS CloudFormation AWS CloudFormation スタックの作成に使用できるテンプレートがダウンロードされます。このスタックは、Firewall Manager AWS Identity and Access Management にパロアルトネットワークスのクラウドNGFWリソースを管理するためのクロスアカウント権限を付与するロールを作成します。スタックの詳細については、「AWS CloudFormation ユーザーガイド」の「StackSets の操作」を参照してください。

  19. [Next] (次へ) を選択します。

  20. [Policy tags] (ポリシータグ) で、Firewall Manager ポリシーに必要な識別タグを追加します。タグの詳細については、「タグエディタの使用」を参照してください。

  21. [Next] (次へ) を選択します。

  22. 新しいポリシーを確認します。変更するには、変更する部分で [Edit] (編集) を選択します。これにより、作成ウィザードの対応するステップに戻ります。ポリシーが完成したら、[Create policy] (ポリシーの作成) を選択します。

Fortigate Cloud ネイティブファイアウォール (CNF) AWS Firewall Manager のサービスとしてのポリシーの作成

Fortigate CNFのFirewall Manager ポリシーを使用すると、Firewall Manager を使用して、すべてのアカウントにFortigate CNFリソースをデプロイおよび管理できます。 AWS

Firewall Manager Fortigate CNF ポリシーについては、「Fortigate Cloud Native Firewall (CNF) as a Service ポリシー」を参照してください。Fortigate CNF を Firewall Manager で使用するための設定について詳しくは、「Fortinet のドキュメント」を参照してください。

前提条件

AWS Firewall Managerのアカウントを準備するには、いくつかの必須のステップがあります。それらのステップは、AWS Firewall Manager 前提条件 で説明されています。次のステップに進む前に、すべての前提条件を満たしてください。

Fortigate CNF の Firewall Manager ポリシーを作成するには (コンソール)

  1. Firewall Manager AWS Management Console 管理者アカウントを使用してにサインインし、でFirewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [Policy type] (ポリシータイプ) には、[Fortigate Cloud Native Firewall (CNF) as a Service] (サービスとしての Fortigate Cloud ネイティブファイアウォール (CNF)) を選択してください。AWS Marketplace でFortigate CNFサービスにまだ登録していない場合は、まず登録する必要があります。 AWS Marketplace で購読するには、「 AWS マーケットプレイMarketplace 詳細を表示」を選択します。

  5. [Deployment model] (デプロイモデル) で、[Distributed model] (分散モデル) または [Centralized model] (集約型モデル) のいずれかを選択します。デプロイモデルによって、Firewall Manager がポリシーのエンドポイントを管理する方法が決まります。分散モデルでは、Firewall Manager は、ポリシーの範囲内の各 VPC にファイアウォールエンドポイントを維持します。集約型モデルでは、Firewall Manager は検査 VPC に単一のエンドポイントを維持します。

  6. リージョン」では、を選択します AWS リージョン。複数のリージョンのリソースを保護するには、各リージョンに別々の ポリシーを作成する必要があります。

  7. [Next] (次へ) を選択します。

  8. [Policy name] (ポリシー名) で、わかりやすい名前を入力します。

  9. ポリシー設定で、このポリシーに関連付ける Fortigate CNF ファイアウォールポリシーを選択します。Fortigate CNF ファイアウォールポリシーのリストには、Fortigate CNF テナントに関連付けられているすべての CNF ファイアウォールポリシーが含まれています。Fortigate CNF テナントの作成と管理については、「Fortinet のドキュメント」を参照してください。

  10. [Next] (次へ) を選択します。

  11. [Configure third-party firewall endpoint] (サードパーティーのファイアウォールエンドポイントを設定) で、ファイアウォールエンドポイントの作成に分散デプロイモデルと集約型デプロイモデルのいずれを使用しているかに応じて、次のいずれかを実行します。

    • このポリシーに分散デプロイモデルを使用している場合は、[Availability Zones] (アベイラビリティーゾーン) で、ファイアウォールエンドポイントを作成するアベイラビリティーゾーンを選択します。アベイラビリティーゾーンは、[Availability Zone name] (アベイラビリティーゾーン名) または [Availability Zone ID] (アベイラビリティーゾーン ID) で選択できます。

    • このポリシーに集約型デプロイモデルを使用している場合は、[Inspection VPC configuration] (検査 VPC 設定) の [AWS Firewall Manager endpoint configuration] (エンドポイント設定) で、検査 VPC の所有者の AWS アカウント ID と検査 VPC の VPC ID を入力します。

      • [Availability Zones] (アベイラビリティーゾーン) で、ファイアウォールエンドポイントを作成するアベイラビリティーゾーンを選択します。アベイラビリティーゾーンは、[Availability Zone name] (アベイラビリティーゾーン名) または [Availability Zone ID] (アベイラビリティーゾーン ID) で選択できます。

  12. Firewall Manager が VPC のファイアウォールサブネットに使用する CIDR ブロックを指定する場合、そのすべては /28 CIDR ブロックである必要があります。1 行に 1 つのブロックを入力します。これらを省略すると、Firewall Manager は、VPC で使用可能な IP アドレスから選択します。

    注記

    AWS Firewall Manager Network Firewall ポリシーでは自動修復が自動的に行われるため、auto 修復を選択するオプションはここには表示されません。

  13. [Next] (次へ) を選択します。

  14. [Policy scope] (ポリシーの範囲) の [AWS アカウント this policy applies to] (このポリシーが適用される ) で、次のようにオプションを選択します。

    • このポリシーを組織内のすべてのアカウントに適用する場合は、デフォルトの [自分の組織のすべてのアカウントを含める] のままにします。 AWS

    • AWS Organizations 特定のアカウントまたは特定の組織単位 (OU) に属するアカウントにのみポリシーを適用する場合は、[指定したアカウントと組織単位のみを含める] を選択し、含めるアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    • AWS Organizations 特定のアカウントまたは組織単位 (OU) 以外のすべてにポリシーを適用する場合は、[指定したアカウントと組織単位を除外し、その他すべてを含める] を選択してから、除外するアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。

  15. Network Firewall ポリシーの [Resource type] (リソースタイプ) は [VPC] です。

  16. 特定のタグの付いたリソースのみを保護 (または除外) する場合は、[Resources] (リソース) で、該当するオプションを選択し、含めるまたは除外するタグを入力します。1 つのオプションのみを選択できます。タグの詳細については、「タグエディタの使用」を参照してください。

    複数のタグを入力した場合、含めるまたは除外するリソースにはそれらのすべてのタグが付いている必要があります。

  17. [Grant cross-account access] (クロスアカウントアクセスを付与) で、[Download AWS CloudFormation template] (テンプレートをダウンロード) を選択します。これにより、 AWS CloudFormation AWS CloudFormation スタックの作成に使用できるテンプレートがダウンロードされます。このスタックは、Firewall Manager にFortigate AWS Identity and Access Management CNFリソースを管理するためのクロスアカウント権限を付与するロールを作成します。スタックの詳細については、「AWS CloudFormation ユーザーガイド」の「StackSets の操作」を参照してください。スタックを作成するには、Fortigate CNF ポータルのアカウント ID が必要です。

  18. [Next] (次へ) を選択します。

  19. [Policy tags] (ポリシータグ) で、Firewall Manager ポリシーに必要な識別タグを追加します。タグの詳細については、「タグエディタの使用」を参照してください。

  20. [Next] (次へ) を選択します。

  21. 新しいポリシーを確認します。変更するには、変更する部分で [Edit] (編集) を選択します。これにより、作成ウィザードの対応するステップに戻ります。ポリシーが完成したら、[Create policy] (ポリシーの作成) を選択します。