Firewall Manager が非準拠のマネージドネットワークを修正する方法 ACLs

このセクションでは、ポリシーに準拠していない場合ACLsに Firewall Manager がマネージドネットワークを修正する方法について説明します。Firewall Manager は、 FMManaged タグを に設定してACLs、マネージドネットワークのみを修復しますtrue。Firewall Manager で管理されていないネットワークについては、ACLs「」を参照してください初期ネットワークACL管理。

修正は、最初、カスタム、および最後のルールの相対的な場所を復元し、最初と最後のルールの順序を復元します。修復中、Firewall Manager は必ずしもネットワークACL初期化で使用するルール番号にルールを移動しません。これらのルールカテゴリの初期番号設定と説明については、「」を参照してください初期ネットワークACL管理。

準拠ルールとルールの順序を確立するには、Firewall Manager がネットワーク 内でルールを移動する必要がある場合がありますACL。Firewall Manager は、既存の準拠ルールの順序を可能な限り維持することで、ネットワークのACL保護を維持します。例えば、ルールを新しい場所に一時的に複製し、元のルールの順序付けられた削除を実行して、プロセス中に相対的な場所を保持する場合があります。

このアプローチは設定を保護しますが、暫定ルールACLにはネットワーク内のスペースも必要です。Firewall Manager がネットワーク のルールの制限に達するとACL、修復が停止します。この場合、ネットワークはコンプライアンス違反ACLのままになり、Firewall Manager はその理由を報告します。

アカウントが Firewall Manager によって管理ACLされているネットワークにカスタムルールを追加し、それらのルールが Firewall Manager の修正に干渉する場合、Firewall Manager はネットワーク上の修復アクティビティを停止ACLし、競合を報告します。

強制修復

ポリシーの自動修復を選択した場合は、最初のルールと最後のルールのどちらを強制的に修復するかも指定します。

Firewall Manager は、カスタムルールとポリシールールの間でトラフィック処理に競合が発生した場合、対応する強制修復設定を参照します。強制修復が有効になっている場合、Firewall Manager は競合にもかかわらず修復を適用します。このオプションが有効になっていない場合、Firewall Manager は修復を停止します。いずれの場合も、Firewall Manager はルールの競合を報告し、修復オプションを提供します。

ルール数の要件と制限

修復中、Firewall Manager は、提供する保護を変更せずにルールを移動するために、一時的にルールを複製することがあります。

インバウンドルールまたはアウトバウンドルールの場合、Firewall Manager が修復を実行するために必要なルールの最大数は次のとおりです。

2 * (the number of rules defined in the policy for the traffic direction) 
+
the number of custom rules defined in the network ACL for the traffic direction

ネットワークポリシーACLsとネットワークACLポリシーは、可変ルール制限によって制限されます。Firewall Manager が修復作業で制限に達すると、修復の試行を停止し、不適合を報告します。

Firewall Manager が修復アクティビティを実行するスペースを確保するために、制限の引き上げをリクエストできます。または、ポリシーまたはネットワークの設定を変更ACLして、使用するルールの数を減らすこともできます。

ネットワークACL制限の詳細については、「Amazon ユーザーガイド」の「ネットワーク上の Amazon VPC クォータACLs」を参照してください。 VPC

修復に失敗した場合

ネットワークの更新中にACL、何らかの理由で Firewall Manager を停止する必要がある場合、変更をロールバックせず、代わりにネットワークをACL中間状態のままにします。FMManaged タグACLが に設定されたネットワークに重複ルールが表示された場合true、Firewall Manager はおそらく修正の途中です。変更が一定期間部分的に完了する可能性がありますが、Firewall Manager が修復を行うアプローチにより、トラフィックが中断されたり、関連するサブネットの保護が軽減されたりすることはありません。

Firewall Manager がコンプライアンスACLs外のネットワークを完全に修復しない場合、関連するサブネットのコンプライアンス違反を報告し、考えられる修復オプションを提案します。

修復に失敗した後の再試行

ほとんどの場合、Firewall Manager がネットワーク に対する修復変更を完了できなかった場合ACL、最終的には変更を再試行します。

この例外は、修復がネットワークACLルール数の制限またはVPCネットワークACL数の制限に達した場合です。Firewall Manager は、リソースを制限設定 AWS を超える修復アクティビティを実行できません。このような場合は、続行するにはカウントを減らすか、制限を増やす必要があります。制限の詳細については、「Amazon ユーザーガイド」の「ネットワーク上の Amazon VPC クォータACLs」を参照してください。 VPC

Firewall Manager ネットワークACLコンプライアンスレポート

Firewall Manager は、範囲内のサブネットにアタッチACLsされているすべてのネットワークのコンプライアンスをモニタリングして報告します。

一般的に、ルールの順序が間違っていたり、ポリシールールとカスタムルール間のトラフィック処理動作が競合したりする状況では、コンプライアンス違反が発生します。コンプライアンス違反の報告には、コンプライアンス違反と修復オプションが含まれます。

Firewall Manager は、他のACLポリシータイプと同様に、ネットワークポリシーのコンプライアンス違反を報告します。コンプライアンスレポートの詳細については、「」を参照してくださいAWS Firewall Manager ポリシーのコンプライアンス情報の表示。

ポリシー更新時のコンプライアンス違反

ネットワークACLポリシーを変更した後、Firewall Manager がポリシーの範囲内のネットワークを更新するまで、Firewall Manager ACLsはそれらのネットワークACLs非準拠をマークします。Firewall Manager は、ネットワークが厳密に言うと、準拠しているACLs場合でもこれを行います。

例えば、ポリシー仕様からルールを削除しても、スコープ内ネットワークACLsにはまだ追加のルールがある場合、それらのルール定義はポリシーに準拠している可能性があります。ただし、追加のルールは Firewall Manager が管理しているルールの一部であるため、Firewall Manager はそれらを現在のポリシー設定の違反と見なします。これは、Firewall Manager が Firewall Manager マネージドネットワーク に追加するカスタムルールを表示する方法とは異なりますACLs。