Firewall Manager の使用 AWS Config の有効化 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Firewall Manager の使用 AWS Config の有効化

Firewall Manager を使用するには、 AWS Configを有効にする必要があります。

注記

AWS Config 料金に応じて、 AWS Config 設定に対して料金が発生します。詳細については、「 の開始方法 AWS Config」を参照してください。

注記

Firewall Manager がポリシーコンプライアンスをモニタリングするには、保護されたリソースの設定変更を継続的に記録 AWS Config する必要があります。 AWS Config 設定では、録画頻度をデフォルト設定である連続 に設定する必要があります。

Firewall Manager AWS Config を有効にするには

  1. Firewall Manager 管理者アカウントを含む、 AWS Organizations メンバーアカウント AWS Config ごとに を有効にします。詳細については、「 の開始方法 AWS Config」を参照してください。

  2. 保護するリソース AWS リージョン を含む各 AWS Config に対して を有効にします。 AWS Config 手動で を有効にするか、サンプル AWS CloudFormation テンプレート で「有効化 AWS ConfigAWS CloudFormation StackSets 」テンプレートを使用できます。

    すべてのリソース AWS Config に対して を有効にしない場合は、使用する Firewall Manager ポリシーのタイプに応じて、以下を有効にする必要があります。

    • WAF ポリシー – リソースタイプ CloudFront Distribution、Application Load Balancer (リストから ElasticLoadBalancingV2 を選択)、APIGateway、WAFWeb ACL、WAFRegional Web ACL、および WAFv2 Web に対して Config を有効にしますACL。 AWS Config が CloudFront ディストリビューションを保護するには、米国東部 (バージニア北部) リージョンにいる必要があります。他の リージョンには CloudFront オプションはありません。

    • Shield ポリシー – リソースタイプの Shield Protection、 ShieldRegional Protection、Application Load Balancer 、、WAFWeb EC2EIP、ACLWAFRegional Web ACL、および WAFv2 Web で Config を有効にしますACL。

    • セキュリティグループポリシー - リソースタイプ EC2 SecurityGroup、EC2インスタンス、および EC2 の Config を有効にしますNetworkInterface。

    • ネットワークACLポリシー - Amazon EC2 サブネットと Amazon EC2ネットワーク のリソースタイプの Config を有効にしますACL。

    • ネットワークファイアウォールポリシー – リソースタイプ NetworkFirewall FirewallPolicy、 NetworkFirewallRuleGroup、、EC2VPC、EC2 InternetGatewayEC2 RouteTableおよびEC2サブネットの Config を有効にします。

    • DNS ファイアウォールポリシー - リソースタイプ の Config EC2 を有効にしますVPC。

    • サードパーティーファイアウォールポリシー – Amazon 、Amazon EC2 VPC、Amazon EC2 InternetGateway、Amazon EC2 サブネット、EC2 RouteTableおよび Amazon のリソースタイプに対して Config EC2 を有効にしますVPCEndpoint。

    注記

    カスタムIAMロールを使用するように AWS Config レコーダーを設定する場合は、IAMポリシーに Firewall Manager ポリシーに必要なリソースタイプを記録するための適切なアクセス許可があることを確認する必要があります。適切なアクセス許可がないと、必要なリソースが記録されず、Firewall Manager がリソースを適切に保護できなくなる可能性があります。Firewall Manager では、これらのアクセス許可の設定ミスを可視化することはできません。IAM で を使用する方法については AWS Config、IAM AWS Config「」の「」を参照してください。