翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon VPC ネットワークアクセスコントロールリスト (ACL) ポリシー
このセクションでは、 AWS Firewall Manager ネットワーク ACL ポリシーの仕組みについて説明し、その使用に関するガイダンスを提供します。コンソールを使用してネットワーク ACL ポリシーを作成するガイダンスについては、「」を参照してくださいネットワーク ACL ポリシーの作成。
Amazon VPC ネットワークアクセスコントロールリスト (ACLs「Amazon VPC ユーザーガイド」の「ネットワーク ACLs」を参照してください。
Firewall Manager のネットワーク ACL ポリシーを使用して、 の組織の Amazon Virtual Private Cloud (Amazon VPC) ネットワークアクセスコントロールリスト (ACLsを管理できます AWS Organizations。ポリシーのネットワーク ACL ルール設定と、設定を適用するアカウントとサブネットを定義します。Firewall Manager は、組織全体で追加または更新されるアカウントとサブネットにポリシー設定を継続的に適用します。ポリシーの範囲と の詳細については AWS Organizations、AWS Firewall Manager ポリシーの範囲「」および「 ユーザーガイドAWS Organizations」を参照してください。
Firewall Manager ネットワーク ACL ポリシーを定義する場合、名前やスコープなどの標準の Firewall Manager ポリシー設定に加えて、以下を指定します。
インバウンドトラフィックとアウトバウンドトラフィックの処理に関する最初と最後のルール。Firewall Manager は、ポリシーの範囲内にあるネットワーク ACLs にこれらの存在と順序を強制するか、コンプライアンス違反を報告します。個々のアカウントは、ポリシーの最初と最後のルールの間に実行するカスタムルールを作成できます。
修復時に修復を強制するかどうかによって、ネットワーク ACL のルール間でトラフィック管理の競合が発生します。これは、ポリシーに対して修復が有効になっている場合にのみ適用されます。
Firewall Manager のネットワーク ACL ルールとタグ付け
このセクションでは、ネットワーク ACL ポリシールールの仕様と、Firewall Manager によって管理されるネットワーク ACLs について説明します。
マネージドネットワーク ACL でのタグ付け
Firewall Manager は、マネージドネットワーク ACL に の値を持つFMManagedタグを付けますtrue。Firewall Manager は、このタグ設定を持つネットワーク ACLs に対してのみ修復を実行します。
ポリシーで定義するルール
ネットワーク ACL ポリシー仕様では、インバウンドトラフィックに対して最初と最後に実行するルールと、アウトバウンドトラフィックに対して最初と最後に実行するルールを定義します。
デフォルトでは、ポリシー内の最初と最後のルールを任意に組み合わせて使用するために、最大 5 つのインバウンドルールを定義できます。同様に、最大 5 つのアウトバウンドルールを定義できます。これらの制限の詳細については、「」を参照してくださいソフトクォータ。ネットワーク ACLs「Amazon VPC ユーザーガイド」の「ネットワーク ACLs」を参照してください。
ポリシールールにルール番号を割り当てません。代わりに、ルールを評価する順序で指定します。Firewall Manager はその順序を使用して、管理するネットワーク ACLs にルール番号を割り当てます。
これ以外にも、Amazon VPC を介してネットワーク ACL のルールを管理する場合と同様に、ポリシーのネットワーク ACL ルールの仕様を管理します。Amazon VPC でのネットワーク ACL 管理の詳細については、「Amazon VPC ユーザーガイド」の「ネットワーク ACLs」および「ネットワーク ACLs」を参照してください。
マネージドネットワーク ACL のルール
Firewall Manager は、個々のアカウントマネージャーが定義するカスタムルールの前後にポリシーの最初と最後のルールを配置することで、管理するネットワーク ACL にルールを設定します。Firewall Manager は、カスタムルールの順序を保持します。ネットワーク ACLsは、最も低い番号のルールから評価されます。
Firewall Manager が最初にネットワーク ACL を作成するときに、次の番号でルールを定義します。
最初のルール: 1、2、... – Firewall Manager ネットワーク ACL ポリシーでユーザーが定義します。
Firewall Manager は、1 から始まるルール番号を 1 の増分で割り当て、ポリシー仕様で順序付けしたルールを順序付けします。
カスタムルール: 5,000、5,100... – Amazon VPC を通じて個々のアカウントマネージャーによって管理されます。
Firewall Manager は、5,000 から始まり、後続のルールごとに 100 ずつ増加する番号をこれらのルールに割り当てます。
最後のルール: ... 32,765、32,766 – Firewall Manager ネットワーク ACL ポリシーでユーザーが定義します。
Firewall Manager は、ポリシー仕様で順序付けされたルールとともに、1 刻みで可能な最大数 32766 で終わるルール番号を割り当てます。
ネットワーク ACL の初期化後、Firewall Manager は個々のアカウントがマネージドネットワーク ACLsで行う変更を制御しません。個々のアカウントは、コンプライアンスを破ることなくネットワーク ACL を変更でき、カスタムルールがポリシーの最初と最後のルールの間で番号が付けられたままであり、最初と最後のルールが指定された順序を維持している場合に限ります。ベストプラクティスとして、カスタムルールを管理するときは、このセクションで説明されている番号付けに従ってください。
Firewall Manager がサブネットのネットワーク ACL 管理を開始する方法
Firewall Manager は、サブネットを Firewall Manager が作成し、 を FMManagedに設定してタグ付けしたネットワーク ACL に関連付けると、サブネットのネットワーク ACL の管理を開始しますtrue。
ネットワーク ACL ポリシーに準拠するには、サブネットのネットワーク ACL が、ポリシーの最初のルールをポリシーで指定された順序で最初に配置し、最後のルールを最後に配置し、順序を付けて配置し、その他のカスタムルールを中間に配置する必要があります。これらの要件は、サブネットが既に関連付けられているアンマネージドネットワーク ACL またはマネージドネットワーク ACL によって満たされます。
Firewall Manager がアンマネージドネットワーク ACL に関連付けられているサブネットにネットワーク ACL ポリシーを適用すると、Firewall Manager は実行可能なオプションが識別されると停止し、次の順序でチェックします。
関連付けられたネットワーク ACL がすでに準拠している — 現在サブネットに関連付けられているネットワーク ACL が準拠している場合、Firewall Manager はその関連付けをそのままにして、サブネットのネットワーク ACL 管理を開始しません。
Firewall Manager は、所有していないネットワーク ACL を変更または管理しませんが、準拠している限り、Firewall Manager はそれをそのままにして、ポリシーコンプライアンスをモニタリングします。
準拠のマネージドネットワーク ACL が利用可能 – Firewall Manager が、必要な設定に準拠するネットワーク ACL を既に管理している場合、これはオプションです。修復が有効になっている場合、Firewall Manager はサブネットを関連付けます。修復が無効になっている場合、Firewall Manager はサブネットを非準拠としてマークし、修復オプションとしてネットワーク ACL の関連付けを置き換えます。
新しい準拠マネージドネットワーク ACL の作成 – 修復が有効になっている場合、Firewall Manager は新しいネットワーク ACL を作成し、サブネットに関連付けます。それ以外の場合、Firewall Manager はサブネットに非準拠のマークを付け、新しいネットワーク ACL を作成し、ネットワーク ACL の関連付けを置き換える修復オプションを提供します。
これらのステップが失敗した場合、Firewall Manager はサブネットのコンプライアンス違反を報告します。
Firewall Manager は、サブネットが最初に対象範囲に入ったとき、およびサブネットのアンマネージドネットワーク ACL がコンプライアンス違反になったときに、これらのステップに従います。
Firewall Manager が非準拠のマネージドネットワーク ACLs
このセクションでは、Firewall Manager がマネージドネットワーク ACLs がポリシーに準拠していない場合にそれらを修正する方法について説明します。Firewall Manager は、 FMManaged タグを に設定して、マネージドネットワーク ACLs のみを修復しますtrue。Firewall Manager によって管理されていないネットワーク ACLs「」を参照してください初期ネットワーク ACL 管理。
修復は、最初、カスタム、最後のルールの相対的な場所を復元し、最初と最後のルールの順序を復元します。修復中、Firewall Manager は必ずしもネットワーク ACL の初期化で使用するルール番号にルールを移動するとは限りません。これらのルールカテゴリの初期番号設定と説明については、「」を参照してください初期ネットワーク ACL 管理。
準拠ルールとルールの順序を確立するには、Firewall Manager がネットワーク ACL 内でルールを移動する必要がある場合があります。Firewall Manager は、既存の準拠ルールの順序を可能な限り維持することで、ネットワーク ACL の保護を維持します。例えば、ルールを新しい場所に一時的に複製し、元のルールを順番に削除して、プロセス中に相対的な場所を保持する場合があります。
このアプローチでは設定を保護しますが、中間ルールにはネットワーク ACL にスペースも必要です。Firewall Manager がネットワーク ACL のルールの制限に達すると、修復が停止します。この場合、ネットワーク ACL はコンプライアンス違反のままになり、Firewall Manager はその理由を報告します。
アカウントが Firewall Manager によって管理されるネットワーク ACL にカスタムルールを追加し、それらのルールが Firewall Manager の修復を妨げる場合、Firewall Manager はネットワーク ACL 上の修復アクティビティを停止し、競合を報告します。
強制修復
ポリシーの自動修復を選択した場合は、最初のルールと最後のルールのどちらを強制的に修復するかも指定します。
Firewall Manager は、カスタムルールとポリシールール間のトラフィック処理に競合が発生した場合、対応する強制修復設定を参照します。強制修復が有効になっている場合、Firewall Manager は競合にかかわらず修復を適用します。このオプションが有効になっていない場合、Firewall Manager は修復を停止します。いずれの場合も、Firewall Manager はルールの競合を報告し、修復オプションを提供します。
ルール数の要件と制限
修復中、Firewall Manager は、ルールを一時的に複製して、提供する保護を変更せずにルールを移動することがあります。
インバウンドルールまたはアウトバウンドルールの場合、Firewall Manager が修復を実行するために必要とするルールの最大数は次のとおりです。
2 * (the number of rules defined in the policy for the traffic direction) + the number of custom rules defined in the network ACL for the traffic direction
ネットワーク ACLs とネットワーク ACL ポリシーは、変更可能なルール制限によって制限されます。Firewall Manager が修復作業で制限に達すると、修復の試行を停止し、コンプライアンス違反を報告します。
Firewall Manager が修復アクティビティを実行するためのスペースを確保するために、制限の引き上げをリクエストできます。または、ポリシーまたはネットワーク ACL の設定を変更して、使用するルールの数を減らすこともできます。
ネットワーク ACL の制限の詳細については、「Amazon VPC ユーザーガイド」のACLsの Amazon VPC クォータ」を参照してください。
修復が失敗した場合
ネットワーク ACL の更新中に、何らかの理由で Firewall Manager を停止する必要がある場合、Firewall Manager は変更をロールバックせず、代わりにネットワーク ACL を中間状態のままにします。FMManaged タグが に設定されているネットワーク ACL に重複するルールが表示された場合true、Firewall Manager はおそらく修正中です。変更が一定期間部分的に完了する可能性がありますが、Firewall Manager が修復を行うアプローチにより、トラフィックが中断されたり、関連するサブネットの保護が低下したりすることはありません。
Firewall Manager は、コンプライアンス違反ACLs を完全に修復しない場合、関連するサブネットのコンプライアンス違反を報告し、可能な修復オプションを提案します。
修復が失敗した後に再試行する
ほとんどの場合、Firewall Manager がネットワーク ACL に対する修復変更を完了できなかった場合、最終的には変更を再試行します。
ただし、修復がネットワーク ACL ルール数の制限または VPC ネットワーク ACL 数の制限に達した場合は例外です。Firewall Manager は、リソースを制限設定 AWS を超える修復アクティビティを実行できません。このような場合、続行するにはカウントを減らすか、制限を増やす必要があります。制限の詳細については、「Amazon VPC ユーザーガイド」のACLs の Amazon VPC クォータ」を参照してください。
Firewall Manager ネットワーク ACL コンプライアンスレポート
Firewall Manager は、範囲内のサブネットにアタッチされているすべてのネットワーク ACLs のコンプライアンスをモニタリングして報告します。
一般的に、ルールの順序が正しくない場合や、ポリシールールとカスタムルール間のトラフィック処理動作の競合などの状況では、コンプライアンス違反が発生します。コンプライアンス違反レポートには、コンプライアンス違反と修復オプションが含まれます。
Firewall Manager は、ネットワーク ACL ポリシーのコンプライアンス違反を、他のポリシータイプと同じ方法で報告します。コンプライアンスレポートの詳細については、「」を参照してくださいAWS Firewall Manager ポリシーのコンプライアンス情報の表示。
ポリシー更新中のコンプライアンス違反
ネットワーク ACL ポリシーを変更した後、Firewall Manager がポリシーの範囲内にあるネットワーク ACLs を更新するまで、Firewall Manager はそれらのネットワーク ACLs非準拠としてマークします。Firewall Manager は、ネットワーク ACLs が厳密に言うとコンプライアンスに準拠している場合でも、これを行います。
例えば、ポリシー仕様からルールを削除しても、範囲内のネットワーク ACLs にはまだ追加のルールがあるにもかかわらず、そのルール定義はポリシーに準拠している可能性があります。ただし、追加のルールは Firewall Manager が管理しているルールの一部であるため、Firewall Manager はそれらを現在のポリシー設定の違反と見なします。これは、Firewall Manager が Firewall Manager マネージドネットワーク ACLs。
Firewall Manager ネットワーク ACL ポリシーを使用するためのベストプラクティス
このセクションでは、Firewall Manager のネットワーク ACL ポリシーとマネージドネットワーク ACLs。
Firewall Manager によって管理されるネットワーク ACLs を特定するには、 FMManaged タグを参照してください。
Firewall Manager が管理するネットワーク ACLs のFMManagedタグは に設定されていますtrue。このタグを使用すると、独自のカスタムネットワーク ACLs を Firewall Manager で管理しているものから区別できます。
ネットワーク ACL のFMManagedタグの値を変更しない
Firewall Manager は、このタグを使用して、ネットワーク ACL で管理ステータスを設定および決定します。
Firewall Manager マネージドネットワーク ACLs
サブネットと Firewall Manager によって管理されるネットワーク ACLs との関連付けを手動で変更しないでください。そうすることで、Firewall Manager がこれらのサブネットの保護を管理する機能を無効にできます。Firewall Manager によって管理されるネットワーク ACLs は、 のFMManagedタグ設定を探すことで識別できますtrue。
Firewall Manager ポリシー管理からサブネットを削除するには、Firewall Manager ポリシースコープ設定を使用してサブネットを除外します。例えば、サブネットにタグを付け、そのタグをポリシースコープから除外できます。詳細については、「AWS Firewall Manager ポリシーの範囲」を参照してください。
マネージドネットワーク ACL を更新するときは、Firewall Manager によって管理されるルールを変更しないでください。
Firewall Manager によって管理されるネットワーク ACL では、「」で説明されている番号付けスキームに従って、カスタムルールをポリシールールから分離したままにしますFirewall Manager のネットワーク ACL ルールとタグ付け。5,000~32,000 の数値を持つルールのみを追加または変更します。
アカウントの制限に対してルールを追加しすぎないようにする
ネットワーク ACL の修復中、Firewall Manager は通常、ネットワーク ACL ルールの数を一時的に増やします。コンプライアンス違反の問題を回避するには、使用しているルールに十分なスペースがあることを確認してください。詳細については、「Firewall Manager が非準拠のマネージドネットワーク ACLs」を参照してください。
自動修復を無効にした状態で開始する
自動修復を無効にしてから、ポリシーの詳細情報を確認して、自動修復が与える影響を判断します。変更が適切であることを確認したら、ポリシーを編集して自動修復を有効にします。
Firewall Manager のネットワーク ACL ポリシーに関する注意事項
このセクションでは、Firewall Manager ネットワーク ACL ポリシーを使用する際の注意事項と制限事項を示します。
-
他のポリシーよりも更新時間が遅い – Firewall Manager は、通常、Amazon EC2 ネットワーク ACL APIs がリクエストを処理できる速度が制限されているため、他の Firewall Manager ポリシーよりもネットワーク ACL ポリシーとポリシーの変更をより遅く適用します。ポリシーの変更は、他の Firewall Manager ポリシーと同様の変更よりも時間がかかる場合があります。特に、ポリシーを初めて追加する場合です。
-
初期サブネット保護のために、Firewall Manager は古いポリシーを優先します。これは、Firewall Manager ネットワーク ACL ポリシーによってまだ保護されていないサブネットにのみ適用されます。サブネットが同時に複数のネットワーク ACL ポリシーの範囲に入る場合、Firewall Manager は最も古いポリシーを使用してサブネットを保護します。
-
ポリシーがサブネットの保護を停止する理由 – サブネットのネットワーク ACL を管理するポリシーは、次のいずれかが発生するまで管理を保持します。
-
サブネットはポリシーの範囲外になります。
-
ポリシーは削除されます。
-
サブネットの関連付けは、別の Firewall Manager ポリシーによって管理され、サブネットが範囲内にあるネットワーク ACL に手動で変更します。
-
Firewall Manager ネットワーク ACL ポリシーの削除
Firewall Manager ネットワーク ACL ポリシーを削除すると、Firewall Manager は、ポリシーfalseで管理しているすべてのネットワーク ACLs のFMManagedタグ値を に変更します。
さらに、ポリシーによって作成されたリソースをクリーンアップするかどうかを選択できます。クリーンアップを選択すると、Firewall Manager は次のステップを順番に試行します。
関連付けを元の に戻す – Firewall Manager は、Firewall Manager が管理を開始する前に、関連付けられているネットワーク ACL にサブネットを関連付けようとします。
ネットワーク ACL から最初と最後のルールを削除する – 関連付けを変更できない場合、Firewall Manager はポリシーの最初と最後のルールを削除しようとし、サブネットに関連付けられているネットワーク ACL にカスタムルールのみを残します。
ルールや関連付けに何もしない — 上記のいずれも実行できない場合、Firewall Manager はネットワーク ACL とその関連付けをそのまま残します。
クリーンアップオプションを選択しない場合は、ポリシーが削除された後、各ネットワーク ACL を手動で管理する必要があります。ほとんどの場合、クリーンアップオプションを選択するのが最も簡単な方法です。
