翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ステップ 2: AWS WAF ポリシーを作成して適用する
Firewall Manager AWS WAF ポリシーには、リソースに適用するルールグループが含まれます。Firewall Manager は、ポリシーを適用する各アカウントに Firewall Managerウェブ ACL を作成します。各アカウントマネージャーは、生成されたウェブ ACL に、お客様がここで定義するルールグループに加えて、ルールとルールグループを追加できます。Firewall Manager AWS WAF ポリシーの詳細については、「」を参照してくださいAWS WAF ポリシー。
Firewall Manager AWS WAF ポリシーを作成するには (コンソール)
Firewall Manager 管理者アカウント AWS Management Console を使用して にサインインし、 で Firewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2
-
ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。
-
[Create policy] (ポリシーの作成) を選択します。
-
[Policy type] (ポリシータイプ) では [AWS WAF] を選択します。
-
リージョン で、 を選択します AWS リージョン。Amazon CloudFront ディストリビューションを保護するには、グローバル を選択します。
複数のリージョン ( CloudFront ディストリビューション以外) のリソースを保護するには、リージョンごとに個別の Firewall Manager ポリシーを作成する必要があります。
-
[Next] (次へ) を選択します。
-
[Policy name] (ポリシー名) で、わかりやすい名前を入力します。Firewall Manager は、管理するウェブ ACL の名前にポリシー名を含めます。ウェブ ACL 名の後に、
FMManagedWebACLV2-
、ここに入力するポリシー名、-
、およびウェブ ACL 作成タイムスタンプ (UTC ミリ秒) が続きます。例えば、FMManagedWebACLV2-MyWAFPolicyName-1621880374078
です。重要
ウェブ ACL 名は作成後に変更できません。ポリシー名を更新しても、Firewall Manager は関連するウェブ ACL 名を更新しません。Firewall Manager で別の名前のウェブ ACL を作成できるようにするには、新しいポリシーを作成する必要があります。
-
[Policy rules (ポリシールール)] の [First rule groups (最初のルールグループ)] で、[Add rule groups (ルールグループの追加)] を選択します。[AWS managed rule groups] ( マネージドルールグループ) を展開します。[Core rule set] (コアルールセット) で、[Add to web ACL] (ウェブ ACL に追加) に切り替えます。[AWS の既知の不正な入力] で、[ウェブ ACL に追加] に切り替えます。[Add rules] (ルールの追加) を選択します。
[Last rule groups] (最後のルールグループ) で、[Add rule groups] (ルールグループの追加) を選択します。[AWS マネージドルールグループ] を展開し、[Amazon IP 評価リスト] で [ウェブ ACL に追加] に切り替えます。[Add rules] (ルールの追加) を選択します。
「最初のルールグループ」で、「コアルールセット」を選択し、「下に移動」を選択します。 は、ウェブリクエストをAWS 既知の不正な入力ルールグループに対して AWS WAF 評価してから、 Core ルールセット に対して評価します。
AWS WAF コンソールを使用して、必要に応じて独自の AWS WAF ルールグループを作成することもできます。作成したルールグループは、[Describe policy : Add rule groups page] (ポリシーを記述: ルールグループの追加ページ) の [Your rule groups] (ルールグループ) の下に表示されます。
Firewall Manager で管理する最初と最後の AWS WAF ルールグループの名前は
POSTFMManaged-
、それぞれPREFMManaged-
または で始まり、その後に Firewall Manager ポリシー名とルールグループ作成タイムスタンプが UTC ミリ秒単位で続きます。例えば、PREFMManaged-MyWAFPolicyName-1621880555123
です。 -
ウェブ ACL のデフォルトアクションは [Allow] (許可) のままにします。
-
[Policy action] (ポリシーアクション) はデフォルトのままにして、準拠していないリソースが自動的に修復されないようにします。このオプションは後で変更できます。
-
[Next] (次へ) を選択します。
-
[Policy scope] (ポリシーの範囲) で、ポリシーを適用するリソースを識別するアカウント、リソースタイプ、タグを設定します。このチュートリアルでは、[AWS アカウント] と [Resources] (リソース) の設定はそのままにし、1 つ以上のリソースタイプを選択します。
-
リソース では、指定したタグを持つリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。タグの詳細については、「タグエディタの使用」を参照してください。
複数のタグを入力した場合、含めるまたは除外するリソースにはそれらのすべてのタグが付いている必要があります。
リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値「」でタグを保存します。リソースタグは、同じキーと同じ値を持つタグとのみ一致します。
-
[次へ] をクリックします。
-
ポリシータグ には、Firewall Manager ポリシーリソースに追加する識別タグを追加します。タグの詳細については、「タグエディタの使用」を参照してください。
-
[Next] (次へ) を選択します。
-
新しいポリシー設定を確認し、調整が必要なページに戻ります。
[Policy actions] (ポリシーアクション) が [Identify resources that don’t comply with the policy rules, but don’t auto remediate] (ポリシールールに準拠していないリソースを特定するが、自動修復しない) に設定されていることを確認します。これにより、ポリシーを有効にする前に、ポリシーが行う変更を確認できます。
-
ポリシーが完成したら、[Create policy] (ポリシーの作成) を選択します。
[AWS Firewall Manager ポリシー] ペインにポリシーが一覧表示されます。おそらく、アカウントの見出しの下に「保留中」と表示され、自動修復設定のステータスを示します。ポリシーの作成には数分かかることがあります。[Pending] (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「AWS Firewall Manager ポリシーのコンプライアンス情報の表示」を参照してください。