Firewall Manager を使うために AWS Config を有効化 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Firewall Manager を使うために AWS Config を有効化

Firewall Manager を使用するには、AWS Config を有効にする必要があります。

注記

AWS Config の料金に従って、AWS Config 設定に対して料金が発生します。詳細については、「AWS Config の開始方法」を参照してください。

注記

Firewall Manager がポリシーコンプライアンスをモニタリングするには、AWS Config は保護されたリソースの設定変更を継続的に記録する必要があります。AWS Config の設定では、録画頻度をデフォルト設定である連続に設定する必要があります。

Firewall Manager 用に AWS Config を有効にするには

  1. Firewall Manager 管理者アカウントを含む、AWS Organizations メンバーアカウントのぞれぞれについて AWS Config を有効にします。詳細については、「AWS Config の開始方法」を参照してください。

  2. 保護するリソースを含む各 AWS リージョン に対して AWS Config を有効にする必要があります。AWS Config を手動で有効にすることも、「AWS CloudFormation StackSets サンプルテンプレート」で AWS CloudFormation テンプレート「AWS Config を有効にする」を使用することもできます。

    すべてのリソースについて AWS Config を有効にしたくない場合は、使用する Firewall Manager ポリシーの種類に応じて、次を有効にする必要があります。

    • WAF ポリシー – CloudFront Distribution、Application Load Balancer (リストから [ElasticLoadBalancingV2] を選択)、API Gateway、WAF WebACL、WAF Regional WebACL、および WAFv2 WebACL のリソースタイプについて Config を有効にします。AWS Config が CloudFront ディストリビューションを保護できるようにするには、米国東部 (バージニア北部) リージョンに存在している必要があります。他のリージョンにはオプションとしての CloudFront がありません。

    • Shield ポリシー – Shield Protection、ShieldRegional Protection、Application Load Balancer、EC2 EIP、WAF WebACL、WAF Regional WebACL、および WAFv2 WebACL のリソースタイプについて Config を有効にします。

    • セキュリティグループポリシー – EC2 SecurityGroup、EC2 Instance、および EC2 NetworkInterface のリソースタイプについて Config を有効にします。

    • ネットワーク ACL ポリシー — リソースタイプの Amazon EC2 サブネットと Amazon EC2 ネットワーク ACL の Config を有効にします。

    • Network Firewall ポリシー – NetworkFirewall FirewallPolicy、NetworkFirewall RuleGroup、EC2 VPC、EC2 InternetGateway、EC2 RouteTable、および EC2 Subnetのリソースタイプについて Config を有効にします。

    • DNS Firewall ポリシー - リソースタイプ EC2 VPC の Config を有効にします。

    • サードパーティーファイアウォールポリシー - Amazon EC2 VPC、Amazon EC2 InternetGateway、Amazon EC2 RouteTable、Amazon EC2 サブネット、Amazon EC2 VPCEndpoint のリソースタイプについて Config を有効にします。

    注記

    カスタム IAM ロールを使用するように AWS Config レコーダーを設定する場合は、IAM ポリシーに Firewall Manager ポリシーに必要なリソースタイプを記録するための適切なアクセス許可があることを確認する必要があります。適切なアクセス許可がないと、必要なリソースが記録されず、Firewall Manager がリソースを適切に保護できなくなる可能性があります。Firewall Manager では、これらのアクセス許可の設定ミスを可視化することはできません。AWS Config での IAM の使用に関する詳細は、「AWS Config の IAM」を参照してください。