ステップ 3: 共通セキュリティグループポリシーを作成して適用する - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 3: 共通セキュリティグループポリシーを作成して適用する

前提条件を完了したら、 AWS Firewall Manager 共通のセキュリティグループポリシーを作成します。共通セキュリティグループポリシーは、 AWS 組織全体に一元管理されたセキュリティグループを提供します。また、セキュリティグループが適用される AWS アカウント および リソースも定義します。Firewall Manager では、共通セキュリティグループポリシーに加えて、組織内で使用中のセキュリティグループルールを管理するためのコンテンツ監査セキュリティグループポリシーと、未使用および冗長セキュリティグループを管理するための使用状況監査セキュリティグループポリシーがサポートされています。詳細については、「セキュリティグループポリシー」を参照してください。

このチュートリアルでは、共通セキュリティグループポリシーを作成し、そのアクションを自動的に修復しないように設定します。これにより、 AWS 組織を変更せずにポリシーがどのような影響を与えるかを確認できます。

Firewall Manager の一般的なセキュリティグループポリシーを作成するには (コンソール)

  1. Firewall Manager 管理者アカウント AWS Management Console を使用して にサインインし、 で Firewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. 前提条件を満たしていない場合、問題を修正する方法についての指示がコンソールに表示されます。指示に従ってから、このステップに戻り、共通セキュリティグループポリシーを作成します。

  4. [Create policy] (ポリシーの作成) を選択します。

  5. [Policy type] (ポリシータイプ) で、[Security group] (セキュリティグループ) を選択します。

  6. [Security group policy type] (セキュリティグループポリシータイプ) で、[Common security groups] (共通セキュリティグループ) を選択します。

  7. リージョン で、 を選択します AWS リージョン。

  8. [Next] (次へ) を選択します。

  9. [Policy name] (ポリシー名) で、わかりやすい名前を入力します。

  10. [Policy rules] (ポリシールール) を使用すると、このポリシーのセキュリティグループの適用方法と保守方法を選択できます。このチュートリアルでは、オプションのチェックをオフのままにします。

  11. [Add primary security group] (プライマリセキュリティグループの追加) を選択し、このチュートリアル用に作成したセキュリティグループを選択して、[Add security group] (セキュリティグループの追加) を選択します。

  12. [Policy action] (ポリシーアクション) で、[Identify resources that don’t comply with the policy rules, but don’t auto remediate] (ポリシールールに準拠していないリソースを特定するが、自動修復しない) を選択します。

  13. [Next] (次へ) を選択します。

  14. AWS アカウント このポリシーの影響を受けると、含めるアカウントまたは除外するアカウントを指定して、ポリシーの範囲を絞り込むことができます。このチュートリアルでは、[Include all accounts under my organization] (組織のすべてのアカウントを含める) を選択します。

  15. リソースタイプ で、 AWS 組織用に定義したリソースに応じて、1 つ以上のタイプを選択します。

  16. リソース では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。タグの詳細については、「タグエディタの使用」を参照してください。

    複数のタグを入力した場合、含めるまたは除外するリソースにはそれらのすべてのタグが付いている必要があります。

    リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値「」でタグを保存します。リソースタグは、同じキーと同じ値を持つタグとのみ一致します。

  17. [次へ] をクリックします。

  18. ポリシータグ には、Firewall Manager ポリシーリソースに追加する識別タグを追加します。タグの詳細については、「タグエディタの使用」を参照してください。

  19. [Next] (次へ) を選択します。

  20. 新しいポリシー設定を確認し、調整が必要なページに戻ります。

    [Policy actions] (ポリシーアクション) が [Identify resources that don’t comply with the policy rules, but don’t auto remediate] (ポリシールールに準拠していないリソースを特定するが、自動修復しない) に設定されていることを確認します。これにより、ポリシーを有効にする前に、ポリシーが行う変更を確認できます。

  21. ポリシーが完成したら、[Create policy] (ポリシーの作成) を選択します。

    [AWS Firewall Manager ポリシー] ペインにポリシーが一覧表示されます。おそらく、アカウントの見出しの下に「保留中」と表示され、自動修復設定のステータスを示します。ポリシーの作成には数分かかることがあります。[Pending] (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「AWS Firewall Manager ポリシーのコンプライアンス情報の表示」を参照してください。

  22. 調べ終わったら、このチュートリアルで作成したポリシーを保持しない場合は、ポリシー名を選択して [Delete] (削除) を選択し、[Clean up resources created by this policy.] (このポリシーによって作成されたリソースをクリーンアップします。) を選択して、最後に [Delete] (削除) を選択します。

Firewall Manager セキュリティグループポリシーの詳細については、「セキュリティグループポリシー」を参照してください。