AWS Firewall Manager ポリシーの作成 - AWS WAF、AWS Firewall Manager、および AWS Shield アドバンスド

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS Firewall Manager ポリシーの作成

ポリシーを作成する手順は、ポリシータイプによって異なります。必ず、必要なポリシーのタイプに対応する手順を使用してください。

重要

AWS Firewall Manager では、Amazon Route 53 および AWS Global Accelerator はサポートされません。これらのリソースを Shield アドバンスド で保護する場合、Firewall Manager ポリシーは使用できません。代わりに、「AWS リソースへの AWS Shield アドバンスド 保護の追加」の手順に従ってください。

AWS WAF の AWS Firewall Manager ポリシーの作成

Firewall Manager AWS WAF ポリシーでは、AWS および AWS Marketplace 販売者によって作成されて管理されているマネージドルールグループを使用できます。独自のルールグループを作成して使用することもできます。ルールグループの詳細については、「ルールグループ」を参照してください。

独自のルールグループを使用する場合は、Firewall Manager AWS WAF ポリシーを作成する前にそれらのグループを作成します。ガイダンスについては、「独自のルールグループの管理」を参照してください。個々のカスタムルールを使用するには、独自のルールグループを定義し、その中にルールを定義してから、ポリシーでそのルールグループを使用する必要があります。

Firewall Manager AWS WAF ポリシーの詳細については、「AWS WAF ポリシー」を参照してください。

AWS WAF 用に Firewall Manager ポリシーを作成するには(コンソール)

  1. 前提条件 (AWS Firewall Manager の前提条件) でセットアップした Firewall Manager 管理者アカウントを使用して AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/wafv2/fms で Firewall Manager コンソールを開きます。

    注記

    Firewall Manager の管理者アカウントをセットアップする方法については、「ステップ2: 設定 AWS Firewall Manager 管理者アカウント」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [ポリシーの作成] を選択します。

  4. [Policy type (ポリシーの種類)] では [AWS WAF] を選択します。

  5. [リージョン] で、AWS リージョンを選択します。Amazon CloudFront ディストリビューションを保護するには、[Global (グローバル)] を選択します。

    複数のリージョンのリソース (CloudFront ディストリビューションを除く) を保護するには、各リージョンに別々の Firewall Manager ポリシーを作成する必要があります。

  6. [] を選択します。

  7. [Policy name (ポリシー名)] に、わかりやすい名前を入力します。Firewall Manager は、作成するウェブ ACL の名前にポリシー名を含めます。ウェブ ACL 名は FMManagedWebACLV2 で始まり、その後にここで入力するポリシー名が続きます。

  8. [Policy rules (ポリシールール)] で、AWS WAF でウェブ ACL の最初と最後に評価するルールグループを追加します。各アカウントマネージャーは、最初のルールグループと最後のルールグループの間にルールとルールグループを追加できます。詳細については、AWS WAF ポリシー を参照してください。

  9. ウェブ ACL のデフォルトアクションを設定します。これは、ウェブリクエストがウェブ ACL のルールと一致しない場合に、AWS WAF によって実行されるアクションです。詳細については、ウェブ ACL のデフォルトアクションの決定 を参照してください。

  10. [Policy action (ポリシーアクション)] で、組織内の該当する各アカウントにウェブ ACL を作成するが、まだリソースにウェブ ACL を適用しない場合は、[Identify resources that don't comply with the policy rules, but don't auto remediate (ポリシールールに準拠していないリソースを特定するが、自動修復しない)] を選択します。このオプションは後で変更できます。

    代わりに、ポリシーを既存のスコープ内のリソースに自動的に適用する場合は、[Auto remediate any noncompliant resources (準拠していないリソースを自動修復する)] を選択します。このオプションは、AWS 組織内の各関連アカウントにウェブ ACL を作成し、アカウント内のリソースにウェブ ACL を関連付けます。

    [Auto remediate any noncompliant resources (準拠していないリソースを自動修正)] を選択すると、別のアクティブな Firewall Manager ポリシーによって管理されていないウェブ ACL に対して、スコープ内のリソースから既存のウェブ ACL の関連付けを削除することもできます。このオプションを選択した場合、Firewall Manager は、まずポリシーのウェブ ACL をリソースに関連付けてから、以前の関連付けを削除します。リソースに、別のアクティブな Firewall Manager ポリシーによって管理されている別のウェブ ACL との関連付けがある場合、この選択はその関連付けには影響しません。

  11. [] を選択します。

  12. [AWS accounts this policy applies to] で、次のようにオプションを選択します。

    • 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの [Include all accounts under my AWS organization] を選択したままにします。

    • 特定のアカウントや AWS Organizations の特定の組織単位 (OU) にあるアカウントにのみポリシーを適用する場合は、[Include only the specified accounts and organizational units] を選択し、含めるアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    • 特定のアカウントや AWS Organizations の組織単位 (OU) 以外のすべてにポリシーを適用する場合は、[Exclude the specified accounts and organizational units, and include all others] を選択して、除外するアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。たとえば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。

  13. [リソースタイプ] で、保護するリソースのタイプを選択します。

  14. 特定のタグの付いたリソースのみを保護 (または除外) する場合は、[Resources (リソース)] で、該当するオプションを選択し、含めるまたは除外するタグを入力します。1 つのオプションのみを選択できます。タグの詳細については、Tag Editor の使用を参照してください。

    複数のタグを入力した場合、含めるまたは除外するリソースにはそれらのすべてのタグが付いている必要があります。

  15. [] を選択します。

  16. [Policy tags (ポリシータグ)] で、Firewall Manager AWS WAF ポリシーに必要な識別タグを追加します。タグの詳細については、Tag Editor の使用を参照してください。

  17. [] を選択します。

  18. 新しいポリシーを確認します。変更するには、変更する部分で [Edit (編集)] を選択します。これにより、作成ウィザードの対応する手順に戻ります。ポリシーが完成したら、[Create policy] (ポリシーの作成) を選択します。

AWS WAF Classic の AWS Firewall Manager ポリシーの作成

AWS WAF Classic 用に Firewall Manager ポリシーを作成するには(コンソール)

  1. 前提条件 (AWS Firewall Manager の前提条件) でセットアップした Firewall Manager 管理者アカウントを使用して AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/wafv2/fms で Firewall Manager コンソールを開きます。

    注記

    Firewall Manager の管理者アカウントをセットアップする方法については、「ステップ2: 設定 AWS Firewall Manager 管理者アカウント」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [ポリシーの作成] を選択します。

  4. [Policy type (ポリシータイプ)] で、[AWS WAF Classic] を選択します。

  5. ポリシーに追加する AWS WAF Classic ルールグループをすでに作成している場合は、[Create an AWS Firewall Manager policy and add existing rule groups (AWS Firewall Manager ポリシーを作成して既存のルールグループに追加する)] を選択します。新しいルールグループを作成する場合は、[Create a Firewall Manager policy and add a new rule group] (AWS Firewall Manager ポリシーを作成して新しいルールグループを追加する) を選択します。

  6. [リージョン] で、AWS リージョンを選択します。Amazon CloudFront リソースを保護するには、[Global (グローバル)] を選択します。

    複数のリージョンのリソース (CloudFront リソースを除く) を保護するには、各リージョンに別々の Firewall Manager ポリシーを作成する必要があります。

  7. [] を選択します。

  8. ルールグループを作成する場合は、AWS WAF Classic ルールグループの作成 の手順に従います。ルールグループを作成したら、次のステップに進みます。

  9. ポリシー名を入力します。

  10. 既存のルールグループを追加する場合は、ドロップダウンメニューを使用して追加するルールグループを選択し、[Add rule group (ルールグループの追加)] を選択します。

  11. ポリシーには2つのアクションがあります。ルールグループによって設定されたアクション および カウント. ポリシーをテストする場合は、アクションを [Count] (カウント) に設定します。このアクションは、ルールグループのルールで指定されたブロックアクションを上書きします。つまり、ポリシーのアクションが [Count] (カウント) に設定されている場合、リクエストはカウントされ、ブロックされません。逆に、ポリシーのアクションを [Action set by rule group] (ルールグループによって設定されたアクション) に設定すると、ルールグループルールのアクションが使用されます。適切なアクションを選択します。

  12. [] を選択します。

  13. [AWS accounts this policy applies to] で、次のようにオプションを選択します。

    • 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの [Include all accounts under my AWS organization] を選択したままにします。

    • 特定のアカウントや AWS Organizations の特定の組織単位 (OU) にあるアカウントにのみポリシーを適用する場合は、[Include only the specified accounts and organizational units] を選択し、含めるアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    • 特定のアカウントや AWS Organizations の組織単位 (OU) 以外のすべてにポリシーを適用する場合は、[Exclude the specified accounts and organizational units, and include all others] を選択して、除外するアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。たとえば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。

  14. 保護するリソースのタイプを選択します。

  15. 特定のタグを持つリソースのみを保護する場合、または特定のタグを持つリソースを除外する場合は、[Use tags to include/exclude resources (タグを使用してリソースを含める/除外する)] を選択し、タグを入力してから、[Include (含める)] または [Exclude (除外)] を選択します。1 つのオプションのみを選択できます。

    複数のタグをコンマで区切って入力する場合、リソースにこれらのタグのいずれかがある場合は一致すると見なされます。

    タグの詳細については、Tag Editor の使用を参照してください。

  16. 既存のリソースにポリシーを自動的に適用する場合は、[Create and apply this policy to existing and new resources] (既存および新規のリソースにこのポリシーを作成して適用する) を選択します。

    このオプションは、AWS 組織内の各関連アカウントにウェブ ACL を作成し、アカウント内のリソースにウェブ ACL を関連付けます。このオプションは、前述の基準 (リソースタイプとタグ) に一致するすべての新しいリソースにもポリシーを適用します。[Create policy but do not apply the policy to existing or new resources (ポリシーを作成するが既存および新規のリソースにポリシーを適用しない)] を選択した場合は、Firewall Manager により組織内の各関連アカウントにウェブ ACL が作成されますが、ウェブ ACL はいずれのリソースにも適用されません。ポリシーは後でリソースに適用する必要があります。適切なオプションを選択します。

  17. [Replace existing associated web ACLs (既存の関連付けられたウェブ ACL を置換)] では、スコープ内のリソースに対して現在定義されているウェブ ACL アソシエーションをすべて削除し、このポリシーで作成しているウェブ ACL への関連付けに置き換えることができます。デフォルトでは、Firewall Manager は、新しいウェブ ACL の関連付けアソシエーション追加する前に既存のウェブ ACL の関連付けが削除されません。既存の関連付けを削除する場合は、このオプションを選択します。

  18. [] を選択します。

  19. 新しいポリシーを確認します。設定を変更するには、[Edit] (編集) を選択します。ポリシーが完成したら、[Create and apply policy] (ポリシーの作成と適用) を選択します。

の作成 AWS Firewall Manager のポリシー シールド高度

Shield アドバンスド 用に Firewall Manager ポリシーを作成するには(コンソール)

  1. 前提条件 (AWS Firewall Manager の前提条件) でセットアップした Firewall Manager 管理者アカウントを使用して AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/wafv2/fms で Firewall Manager コンソールを開きます。

    注記

    Firewall Manager の管理者アカウントをセットアップする方法については、「ステップ2: 設定 AWS Firewall Manager 管理者アカウント」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [ポリシーの作成] を選択します。

  4. [Name (名前)] に、わかりやすい名前を入力します。

  5. [Policy type (ポリシーの種類)] では [Shield アドバンスド] を選択します。

    Shield アドバンスド ポリシーを作成するには、Shield アドバンスド に登録する必要があります。登録されていない場合は、登録するよう求められます。詳細については、AWS Shield の料金 を参照してください。

  6. [リージョン] で、AWS リージョンを選択します。Amazon CloudFront リソースを保護するには、[Global (グローバル)] を選択します。

    複数のリージョンのリソース (CloudFront リソースを除く) を保護するには、各リージョンに別々の Firewall Manager ポリシーを作成する必要があります。

  7. [] を選択します。

  8. [AWS accounts this policy applies to] で、次のようにオプションを選択します。

    • 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの [Include all accounts under my AWS organization] を選択したままにします。

    • 特定のアカウントや AWS Organizations の特定の組織単位 (OU) にあるアカウントにのみポリシーを適用する場合は、[Include only the specified accounts and organizational units] を選択し、含めるアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    • 特定のアカウントや AWS Organizations の組織単位 (OU) 以外のすべてにポリシーを適用する場合は、[Exclude the specified accounts and organizational units, and include all others] を選択して、除外するアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。たとえば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。

  9. 保護するリソースのタイプを選択します。

    Firewall Manager では、Amazon Route 53 および AWS Global Accelerator はサポートされません。これらのリソースを Shield アドバンスド で保護する必要がある場合、Firewall Manager ポリシーは使用できません。代わりに、「AWS リソースへの AWS Shield アドバンスド 保護の追加」の手順に従ってください。

  10. 特定のタグを持つリソースのみを保護する場合、または特定のタグを持つリソースを除外する場合は、[Use tags to include/exclude resources (タグを使用してリソースを含める/除外する)] を選択し、タグを入力してから、[Include (含める)] または [Exclude (除外)] を選択します。1 つのオプションのみを選択できます。

    複数のタグをコンマで区切って入力する場合、リソースにこれらのタグのいずれかがある場合は一致すると見なされます。

    タグの詳細については、Tag Editor の使用を参照してください。

  11. [Create and apply this policy to existing and new resources] (既存および新規のリソースにこのポリシーを作成して適用する) を選択します。

    このオプションでは、AWS 組織内の各関連アカウントに Shield アドバンスド 保護を適用し、アカウント内の指定リソースに保護を関連付けます。このオプションは、前述の基準 (リソースタイプとタグ) に一致するすべての新しいリソースにもポリシーを適用します。[Create but do not apply this policy to existing or new resources (ポリシーを作成するが既存および新規のリソースにポリシーを適用しない)] を選択した場合、Firewall Manager ではどのリソースにも Shield アドバンスド 保護が適用されません。ポリシーは後でリソースに適用する必要があります。

  12. [] を選択します。

  13. 新しいポリシーを確認します。設定を変更するには、[Edit] (編集) を選択します。ポリシーが完成したら、[Create policy] (ポリシーの作成) を選択します。

AWS Firewall Manager 共通セキュリティグループポリシーの作成

共通セキュリティグループポリシーのしくみの詳細については、「共通セキュリティグループポリシー」を参照してください。

共通セキュリティグループポリシーを作成するには、ポリシーのプライマリとして使用するセキュリティグループが Firewall Manager 管理者アカウントにすでに作成されている必要があります。Amazon Virtual Private Cloud (Amazon VPC) または Amazon Elastic Compute Cloud (Amazon EC2) を使用してセキュリティグループを管理できます。詳細については、Amazon VPC ユーザーガイド の「セキュリティグループを操作する」を参照してください。

共通セキュリティグループポリシー (コンソール) を作成するには

  1. 前提条件 (AWS Firewall Manager の前提条件) でセットアップした Firewall Manager 管理者アカウントを使用して AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/wafv2/fms で Firewall Manager コンソールを開きます。

    注記

    Firewall Manager の管理者アカウントをセットアップする方法については、「ステップ2: 設定 AWS Firewall Manager 管理者アカウント」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [ポリシーの作成] を選択します。

  4. [ポリシータイプ] で、[セキュリティグループ] を選択します。

  5. [セキュリティグループポリシータイプ] で、[共通セキュリティグループ] を選択します。

  6. [リージョン] で、AWS リージョンを選択します。

  7. [] を選択します。

  8. [ポリシー名] に、フレンドリ名を入力します。

  9. [ポリシールール] で、次の操作を行います。

    1. ルールオプションから、セキュリティグループルールとポリシースコープ内にあるリソースに適用する制限を選択します。

    2. [プライマリセキュリティグループ] で、[プライマリセキュリティグループの追加] を選択し、使用するセキュリティグループを選択します。Firewall Manager は、Firewall Manager 管理者アカウントのすべての Amazon VPC インスタンスからプライマリセキュリティグループのリストを作成します。ポリシーのプライマリセキュリティグループのデフォルト最大数は 1 です。最大数を引き上げる方法については、「AWS Firewall Manager のクォータ」を参照してください。

    3. [ポリシーアクション] では、自動的に修復されないオプションを使用してポリシーを作成することをお勧めします。これにより、新しいポリシーを適用する前にその効果を評価できます。変更が適切であることを確認したら、ポリシーを編集し、ポリシーアクションを変更して、準拠していないリソースの自動修復を有効にします。

  10. [] を選択します。

  11. [AWS accounts this policy applies to] で、次のようにオプションを選択します。

    • 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの [Include all accounts under my AWS organization] を選択したままにします。

    • 特定のアカウントや AWS Organizations の特定の組織単位 (OU) にあるアカウントにのみポリシーを適用する場合は、[Include only the specified accounts and organizational units] を選択し、含めるアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    • 特定のアカウントや AWS Organizations の組織単位 (OU) 以外のすべてにポリシーを適用する場合は、[Exclude the specified accounts and organizational units, and include all others] を選択して、除外するアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。たとえば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。

  12. [リソースタイプ] で、保護するリソースのタイプを選択します。

    [EC2 インスタンス] を選択した場合は、各 Amazon EC2 インスタンスのすべての Elastic Network Interface を含めるか、デフォルトインターフェイスのみを含めるかを選択できます。スコープ内の Amazon EC2 インスタンスに複数の Elastic Network Interface がある場合、すべてのインターフェイスを含めるオプションを選択すると、Firewall Manager はすべてのインターフェイスにポリシーを適用できます。自動修復を有効にすると、Firewall Manager が Amazon EC2 インスタンス内の一部の Elastic Network Interface にポリシーを適用できない場合、そのインスタンスは非準拠としてマークされます。

  13. [リソース] で、AWS アカウント内のすべてのリソースおよびリソースタイプパラメータにポリシーを適用する場合は、[選択したリソースタイプに一致するすべてのリソースを含める] を選択します。特定のリソースを含めるか除外する場合は、タグ付けを使用してリソースを指定し、適切なオプションを選択してリストにタグを追加します。ポリシーは、指定したすべてのタグを持つリソースを除くすべてのリソースに適用することも、指定したすべてのタグを持つリソースにのみ適用することもできます。リソースのタグ付けの詳細については、「タグエディタの使用」を参照してください。

    注記

    複数のタグを入力する場合、一致するすべてのタグがリソースに必要です。

  14. [Shared VPC resources (共有 VPC リソース)] の場合、アカウントが所有する VPC に加えて、共有 VPC 内のリソースにポリシーを適用する場合は、[Include resources from shared VPCs (共有 VPC からのリソースを含める)] を選択します。

  15. [] を選択します。

  16. ポリシー設定を見直して目的の設定になっていることを確認し、[ポリシーの作成] を選択します。

Firewall Manager は、スコープ内アカウントに含まれるすべての Amazon VPC インスタンスに、アカウントごとにサポートされる Amazon VPC 最大クォータまで、プライマリセキュリティグループのレプリカを作成します。また、Firewall Manager は、レプリカセキュリティグループを、各スコープ内アカウントのポリシースコープ内にあるリソースに関連付けます。このポリシーのしくみの詳細については、「共通セキュリティグループポリシー」を参照してください。

AWS Firewall Manager コンテンツ監査セキュリティグループポリシーの作成

コンテンツ監査セキュリティグループポリシーのしくみの詳細については、「コンテンツ監査セキュリティグループポリシー」を参照してください。

一部のコンテンツ監査ポリシー設定では、 Firewall Manager テンプレートとして使用します。たとえば、どのセキュリティ グループにも許可しないすべてのルールを含む監査セキュリティ グループがあるとします。これらの監査セキュリティグループは、 Firewall Manager 管理者アカウント、または管理者アカウントを使用して、ポリシーで使用できるようになります。Amazon Virtual Private Cloud (Amazon VPC) または Amazon Elastic Compute Cloud (Amazon EC2) を使用してセキュリティグループを管理できます。詳細については、Amazon VPC ユーザーガイド の「セキュリティグループを操作する」を参照してください。

コンテンツ監査セキュリティグループポリシーを作成するには (コンソール)

  1. 前提条件 (AWS Firewall Manager の前提条件) でセットアップした Firewall Manager 管理者アカウントを使用して AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/wafv2/fms で Firewall Manager コンソールを開きます。

    注記

    Firewall Manager の管理者アカウントをセットアップする方法については、「ステップ2: 設定 AWS Firewall Manager 管理者アカウント」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [ポリシーの作成] を選択します。

  4. [ポリシータイプ] で、[セキュリティグループ] を選択します。

  5. [セキュリティグループポリシータイプ] で、[セキュリティグループルールの監査と適用] を選択します。

  6. [リージョン] で、AWS リージョンを選択します。

  7. [] を選択します。

  8. [ポリシー名] に、フレンドリ名を入力します。

  9. 対象: ポリシールール、使用する管理ポリシーまたはカスタム ポリシー ルール オプションを選択します。

    1. 対象: 管理対象監査ポリシー ルールの構成、以下を実行します。

      1. 対象: セキュリティグループルールを監査用に構成する、監査ポリシーを適用するセキュリティ グループ ルールのタイプを選択します。

      2. セキュリティグループ内で許可するプロトコル、ポート、CIDR 範囲設定を制限するなどを行う場合は、 許容限度を超えるセキュリティグループルールを監査する 希望するオプションを選択します。

        プロトコルリストを使用する選択では、既存のリストを使用し、新しいリストを作成できます。プロトコルリストおよびポリシーでそれらを使用する方法については、以下を参照してください。 管理リスト および 管理リストの使用.

      3. 特定のアプリケーションが実行できる操作に制限を適用する場合は、 ハイリスクアプリケーションの監査 希望するオプションを選択します。

        次の選択は相互に排他的です。ローカルCIDR範囲のみにアクセスできるアプリケーション および パブリックCIDR範囲を使用できるアプリケーション. どのポリシーでも、1 つまで選択できます。

        アプリケーション リストを使用する選択では、既存のリストを使用し、新しいリストを作成できます。アプリケーション リストおよびポリシーでのリストの使用方法については、以下を参照してください。 管理リスト および 管理リストの使用.

      4. _を使用 オーバーライド ポリシー内の他の設定を明示的に上書きする設定。ポリシーに対して設定した他のオプションに準拠しているかどうかに関係なく、特定のセキュリティ グループ ルールを常に許可または拒否できます。

        このオプションでは、許可されたルールまたは拒否されたルール テンプレートとして監査セキュリティ グループを指定します。[監査セキュリティグループ] で、[監査セキュリティグループの追加] を選択し、使用するセキュリティグループを選択します。Firewall Manager は、 Firewall Manager 管理者アカウントのすべての Amazon VPC インスタンスから監査セキュリティグループのリストを作成します。ポリシーの監査セキュリティグループ数のデフォルト最大クォータは 1 です。クォータを引き上げる方法については、「AWS Firewall Manager のクォータ」を参照してください。

    2. 対象: カスタム ポリシー ルールの構成、以下を実行します。

      1. ルールオプションから、監査セキュリティグループで定義されたルールのみを許可するか、すべてのルールを拒否するかを選択します。この選択の詳細については、「コンテンツ監査セキュリティグループポリシー」を参照してください。

      2. [監査セキュリティグループ] で、[監査セキュリティグループの追加] を選択し、使用するセキュリティグループを選択します。Firewall Manager は、 Firewall Manager 管理者アカウントのすべての Amazon VPC インスタンスから監査セキュリティグループのリストを作成します。ポリシーの監査セキュリティグループ数のデフォルト最大クォータは 1 です。クォータを引き上げる方法については、「AWS Firewall Manager のクォータ」を参照してください。

      3. [ポリシーアクション] では、自動的に修復されないオプションを使用してポリシーを作成する必要があります。これにより、新しいポリシーを適用する前にその効果を評価できます。変更が適切であることを確認したら、ポリシーを編集し、ポリシーアクションを変更して、準拠していないリソースの自動修復を有効にします。

  10. [] を選択します。

  11. [AWS accounts this policy applies to] で、次のようにオプションを選択します。

    • 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの [Include all accounts under my AWS organization] を選択したままにします。

    • 特定のアカウントや AWS Organizations の特定の組織単位 (OU) にあるアカウントにのみポリシーを適用する場合は、[Include only the specified accounts and organizational units] を選択し、含めるアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    • 特定のアカウントや AWS Organizations の組織単位 (OU) 以外のすべてにポリシーを適用する場合は、[Exclude the specified accounts and organizational units, and include all others] を選択して、除外するアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。たとえば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。

  12. [リソースタイプ] で、保護するリソースのタイプを選択します。

  13. [リソース] で、AWS アカウント内のすべてのリソースおよびリソースタイプパラメータにポリシーを適用する場合は、[選択したリソースタイプに一致するすべてのリソースを含める] を選択します。特定のリソースを含めるか除外する場合は、タグ付けを使用してリソースを指定し、適切なオプションを選択してリストにタグを追加します。ポリシーは、指定したすべてのタグを持つリソースを除くすべてのリソースに適用することも、指定したすべてのタグを持つリソースにのみ適用することもできます。リソースのタグ付けの詳細については、「タグエディタの使用」を参照してください。

    注記

    複数のタグを入力する場合、一致するすべてのタグがリソースに必要です。

  14. [] を選択します。

  15. ポリシー設定を見直して目的の設定になっていることを確認し、[ポリシーの作成] を選択します。

Firewall Manager は、ポリシールールの設定に従って、監査セキュリティグループを AWS 組織内のスコープ内セキュリティグループと比較します。AWS Firewall Manager ポリシーコンソールでポリシーのステータスを確認できます。ポリシーを作成したら、ポリシーを編集して自動修復を有効にし、監査セキュリティグループポリシーを有効にすることができます。このポリシーのしくみの詳細については、「コンテンツ監査セキュリティグループポリシー」を参照してください。

AWS Firewall Manager 使用状況監査セキュリティグループポリシーの作成

使用状況監査セキュリティグループポリシーのしくみの詳細については、「使用状況監査セキュリティグループポリシー」を参照してください。

使用状況監査セキュリティグループポリシーを作成するには (コンソール)

  1. 前提条件 (AWS Firewall Manager の前提条件) でセットアップした Firewall Manager 管理者アカウントを使用して AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/wafv2/fms で Firewall Manager コンソールを開きます。

    注記

    Firewall Manager の管理者アカウントをセットアップする方法については、「ステップ2: 設定 AWS Firewall Manager 管理者アカウント」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [ポリシーの作成] を選択します。

  4. [ポリシータイプ] で、[セキュリティグループ] を選択します。

  5. [セキュリティグループポリシータイプ] で、[未使用および冗長セキュリティグループの監査とクリーンアップ] を選択します。

  6. [リージョン] で、AWS リージョンを選択します。

  7. [] を選択します。

  8. [ポリシー名] に、フレンドリ名を入力します。

  9. [ポリシールール] で、使用可能なオプションのいずれかまたは両方を選択します。

    • [このポリシースコープ内のセキュリティグループは少なくとも 1 つのリソースにより使用される必要がある] を選択した場合、Firewall Manager では、未使用と判断されるセキュリティグループを削除します。デフォルトでは、時間の長さに関係なく、セキュリティグループが使用されている場合、Firewall Manager はこのポリシールールに準拠していないと見なします。必要に応じて、セキュリティグループが非準拠と見なされるまで、未使用のセキュリティグループが存在できる時間を分単位で指定できます。このルールを選択すると、Firewall Manager により、ポリシーの保存時に最後に実行されます。

    • [このポリシースコープ内のセキュリティグループは一意である必要がある] を選択した場合、Firewall Manager は、冗長なセキュリティグループを統合し、どのリソースにも 1 つのみ関連付けられるようにします。これを選択すると、Firewall Manager により、ポリシーの保存時に最初に実行されます。

  10. [ポリシーアクション] では、自動的に修復されないオプションを使用してポリシーを作成することをお勧めします。これにより、新しいポリシーを適用する前にその効果を評価できます。変更が適切であることを確認したら、ポリシーを編集し、ポリシーアクションを変更して、準拠していないリソースの自動修復を有効にします。

  11. [] を選択します。

  12. [AWS accounts this policy applies to] で、次のようにオプションを選択します。

    • 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの [Include all accounts under my AWS organization] を選択したままにします。

    • 特定のアカウントや AWS Organizations の特定の組織単位 (OU) にあるアカウントにのみポリシーを適用する場合は、[Include only the specified accounts and organizational units] を選択し、含めるアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    • 特定のアカウントや AWS Organizations の組織単位 (OU) 以外のすべてにポリシーを適用する場合は、[Exclude the specified accounts and organizational units, and include all others] を選択して、除外するアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。

    選択できるオプションは 1 つのみです。

    ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。たとえば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。

  13. [リソース] で、AWS アカウント内のすべてのリソースおよびリソースタイプパラメータにポリシーを適用する場合は、[選択したリソースタイプに一致するすべてのリソースを含める] を選択します。特定のリソースを含めるか除外する場合は、タグ付けを使用してリソースを指定し、適切なオプションを選択してリストにタグを追加します。ポリシーは、指定したすべてのタグを持つリソースを除くすべてのリソースに適用することも、指定したすべてのタグを持つリソースにのみ適用することもできます。リソースのタグ付けの詳細については、「タグエディタの使用」を参照してください。

    注記

    複数のタグを入力する場合、一致するすべてのタグがリソースに必要です。

  14. [] を選択します。

  15. ポリシースコープから Firewall Manager 管理者アカウントを除外していない場合、Firewall Manager によりこれを行うよう求められます。これにより、セキュリティグループは Firewall Manager 管理者アカウントに残ります。このアカウントは、手動コントロール下で、共通セキュリティグループポリシーおよび監査セキュリティグループポリシーに使用します。このダイアログで目的のオプションを選択します。

  16. ポリシー設定を見直して目的の設定になっていることを確認し、[ポリシーの作成] を選択します。

一意のセキュリティグループにする必要があることを選択した場合、Firewall Manager は各スコープ内 Amazon VPC インスタンスで冗長セキュリティグループをスキャンします。次に、各セキュリティグループを少なくとも 1 つのリソースで使用するように選択した場合、Firewall Manager は、ルールで指定された時間(単位: 分)、未使用のままのセキュリティグループをスキャンします。AWS Firewall Manager ポリシーコンソールでポリシーのステータスを確認できます。このポリシーのしくみの詳細については、「使用状況監査セキュリティグループポリシー」を参照してください。