ポリシーのコンプライアンス情報の表示AWS Firewall Manager - AWS WAF、AWS Firewall Manager、および AWS Shield アドバンスド

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

ポリシーのコンプライアンス情報の表示AWS Firewall Manager

すべての AWS Firewall Manager ポリシーについて、ポリシーの対象となるアカウントとリソースのコンプライアンスステータスを表示できます。ポリシーの設定がアカウントまたはリソースの設定に反映されている場合、アカウントまたはリソースは Firewall Manager ポリシーに準拠しています。ポリシータイプごとに独自のコンプライアンス要件があり、ポリシーを定義するときに調整できます。一部のポリシーでは、セキュリティリスクをよりよく理解し管理するために、範囲リソース内の の詳細な違反情報を表示することもできます。

ポリシーのコンプライアンス情報を表示するには

  1. 前提条件でセットアップした AWS 管理者アカウントを使用して Firewall Manager マネジメントコンソールにサインインし、Firewall Manager で Firewall Manager コンソールを開きます。https://console.aws.amazon.com/wafv2/fms

    注記

    Firewall Manager の管理者アカウントをセットアップする方法については、「ステップ 2: 管理者アカウントを設定するAWS Firewall Manager」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. ポリシーを選択します。ポリシーページの [Accounts and resources (アカウントとリソース)] タブで、Firewall Manager はポリシーのスコープ内にあるアカウントとスコープ外のアカウントごとにグループ化された、組織のアカウントを表示します。

    [ポリシースコープ内のアカウント] ペインには、各アカウントの準拠ステータスが一覧表示されます。[Compliant] (準拠) ステータスは、ポリシーがアカウントのスコープ内リソースすべてに対して正常に適用されたことを示します。[Noncompliant] (非準拠) ステータスは、アカウントの 1 つ以上のスコープ内リソースにポリシーが適用されていないことを示します。

  4. 準拠していないアカウントを選択します。アカウントページで、Firewall Manager により、非準拠の各リソースの ID とタイプ、およびリソースがポリシー違反している理由が一覧表示されます。

    注記

    リソースタイプ AWS::EC2::NetworkInterface (ENI) および AWS::EC2::Instance の場合、Firewall Manager は準拠していないリソースのすべてを表示しないことがあります。アカウント用に表示されるものを修正した後、Firewall Manager はアカウントページに追加の非準拠リソースをリストする場合があります。

  5. ポリシータイプがコンテンツ監査セキュリティグループポリシーである場合、リソースの詳細な違反情報にアクセスできます。Firewall Manager

    違反の詳細を表示するには、リソースを選択します。

    注記

    詳細なリソース違反ページを追加する前に、Firewall Manager で非準拠が見つかったリソースには、違反の詳細がない可能性があります。

    リソースページで、Firewall Manager はリソースタイプに応じて、違反に関する特定の詳細を表示します。

    • [ AWS::EC2::NetworkInterface (ENI)–] Firewall Manager リソースが準拠していないセキュリティグループに関する情報を表示します。セキュリティグループを選択すると、その詳細が表示されます。

    • [ AWS::EC2::Instance] – Firewall Manager 準拠していない EC2 インスタンスにアタッチされている ENI が表示されます。また、リソースが準拠していないセキュリティグループに関する情報も表示されます。セキュリティグループを選択すると、その詳細が表示されます。

    • [ AWS::EC2::SecurityGroup] – Firewall Manager に、次の違反の詳細が表示されます。

      • 非準拠のセキュリティグループルール 違反しているルール (プロトコル、ポート範囲、IP CIDR 範囲、説明など)。–

      • 参照されたルール – 非準拠のセキュリティグループルールが違反している監査セキュリティグループルールとその詳細。

      • 違反理由 – 非準拠結果の説明。

      • 修復アクション 推奨されるアクション。–が安全な修復アクションを特定できない場合、このフィールドは空になります。Firewall Manager

    • [AWS::EC2::Subnet] – これは、Network Firewall ポリシーに使用されます。Firewall Manager には、サブネット ID、VPC ID、およびアベイラビリティーゾーンが表示されます。該当する場合は、Firewall Manager に、違反が発生した理由、サブネットを関連付けるルートテーブルの ID など、違反に関する追加情報が含まれています。違反説明コンポーネントには、リソースの予想される状態の説明、現在の準拠していない状態、および利用可能な場合は不一致の原因の説明が含まれています。

      たとえば、サブネットの予想される状態が「サブネットは、アベイラビリティーゾーンにネットワークファイアウォールサブネットを含める必要がある」の場合、現在の状態が「サブネットの ID サブネット 1234 には、アベイラビリティーゾーン us-east-1e にネットワークファイアウォールサブネットがない」になり、「Firewall Manager は、使用可能な CIDR ブロックがないため、この AZ にサブネットを作成できなかった」などです。

    • AWS::NetworkFirewall::FirewallPolicy これは – ポリシーに使用されます。Network Firewall は、非準拠とする方法で変更された Firewall Manager ファイアウォールポリシーに関する情報を表示します。Network Firewallこの情報は、予期されるファイアウォールポリシーと、お客様のアカウントで見つかったポリシーを提供するため、ステートレスおよびステートフルルールグループの名前と優先設定、カスタムアクション名、デフォルトステートレスアクション設定を比較できます。違反説明コンポーネントには、リソースの予想される状態の説明、現在の準拠していない状態、および利用可能な場合は不一致の原因の説明が含まれています。