AWS Network Firewall ポリシー - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
Network Firewall ポリシーのログ記録の設定

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Network Firewall ポリシー

AWS Firewall Manager Network AWS Network Firewall Firewall ポリシーを使用して組織全体の Amazon Virtual Private Cloud VPC のファイアウォールを管理できます。 AWS Organizations一元管理されたファイアウォールを組織全体に適用することも、アカウントと VPC の選択したサブセットに適用することもできます。

Network Firewall は、VPC 内のパブリックサブネットのために、ネットワークトラフィックフィルタリング保護を提供します。Firewall Manager は、ポリシーで定義されているファイアウォール管理タイプに基づいてファイアウォールを作成および管理します。Firewall Manager は以下のファイアウォール管理モデルを提供します。

  • 分散型 - ポリシーの範囲内にある各アカウントおよび VPC について、Firewall Manager は Network Firewall ファイアウォールを作成し、ファイアウォールエンドポイントを VPC サブネットにデプロイして、ネットワークトラフィックをフィルタリングします。

  • 集約型 - Firewall Manager は、単一の Amazon VPC に単一の Network Firewall のファイアウォールを作成します。

  • 既存のファイアウォールのインポート - Firewall Manager は、既存のファイアウォールを、単一の Firewall Manager ポリシーにインポートして管理します。ポリシーで管理されているインポートされたファイアウォールに追加のルールを適用して、ファイアウォールがセキュリティ基準を満たすようにすることが可能です。

注記

Firewall Manager の Network Firewall ポリシーは、組織全体における VPC のための Network Firewall 保護を管理するために使用する Firewall Manager ポリシーです。

Network Firewall 保護は、ファイアウォールポリシーと呼ばれる Network Firewall サービスのリソースで指定されます。

Network Firewall の使用については、「AWS Network Firewall デベロッパーガイド」を参照してください。

次のセクションでは、Firewall Manager の Network Firewall ポリシーを使用するための要件と、ポリシーの仕組みについて説明します。ポリシーの作成手順については、「AWS Firewall Manager のポリシーの作成 AWS Network Firewall」を参照してください。

リソース共有を有効にする必要があります。

Network Firewall ポリシーは、組織内のアカウント全体で Network Firewall ルールグループを共有します。これを機能させるには、 AWS Organizations用にリソース共有を有効にする必要があります。リソース共有を有効にする方法については、「Network Firewall ポリシーと DNS Firewall ポリシーのリソース共有」を参照してください。

Network Firewall ルールグループを定義する必要があります。

新しいNetwork Firewall ポリシーを指定するときは、 AWS Network Firewall 直接使用する場合と同じようにファイアウォールポリシーを定義します。追加するステートレスルールグループ、デフォルトのステートレスアクション、およびステートフルルールグループを指定します。ルールグループをポリシーに含めるには、そのルールグループが Firewall Manager 管理者アカウントに既に存在している必要があります。Network Firewall ルールグループの作成については、「AWS Network Firewall ルールグループ」を参照してください。

Firewall Manager がファイアウォールエンドポイントを作成する方法

ポリシーの Firewall 管理タイプによって、Firewall が Firewall Manager を作成する方法が決まります。ポリシーでは、[Distributed] (分散型) ファイアウォールや [Centralized] (集約型) ファイアウォールを作成することも、[import existing firewalls] (既存のファイアウォールのインポート) を選択することもできます。

  • 分散型 - 分散デプロイモデルでは、Firewall Manager は、ポリシー範囲内にある各 VPC のためにエンドポイントを作成します。ファイアウォールエンドポイントを作成するアベイラビリティーゾーンを指定してエンドポイントの場所をカスタマイズすることも、Firewall Manager に、パブリックサブネットを使用してアベイラビリティーゾーンにエンドポイントを自動的に作成させることもできます。アベイラビリティーゾーンを手動で選択する場合は、アベイラビリティーゾーンごとに許可される CIDR のセットを制限するオプションがあります。Firewall Manager でエンドポイントを自動的に作成する場合は、サービスが VPC 内で単一のエンドポイントを作成するか、複数のファイアウォールエンドポイントを作成するかを指定する必要もあります。

    • 複数のファイアウォールエンドポイントの場合、Firewall Manager は、各アベイラビリティーゾーンにファイアウォールエンドポイントをデプロイします。ここには、インターネットゲートウェイ、または Firewall Manager が作成したファイアウォールエンドポイントルートがルートテーブル内に存在するサブネットがあります。これは、Network Firewall ポリシーのデフォルトのオプションです。

    • 単一のファイアウォールエンドポイントの場合、Firewall Manager は、インターネットゲートウェイルートを持つサブネット内の単一のアベイラビリティーゾーンにファイアウォールエンドポイントをデプロイします。このオプションでは、他のゾーンのトラフィックは、ファイアウォールによるフィルタリングの対象となるためにゾーン境界を越える必要があります。

      注記

      これらのオプションの両方で、IPv4/prefixlist ルートを含むルートテーブルに関連付けられたサブネットが必要です。Firewall Manager は、他のリソースをチェックしません。

  • 集約型 - 集約型デプロイモデルを使用すると、Firewall Manager は、検査 VPC 内に 1 つ以上のファイアウォールエンドポイントを作成します。検査 VPC は、Firewall Manager がエンドポイントを起動する中央 VPC です。集約型デプロイモデルを使用する場合は、ファイアウォールエンドポイントを作成するアベイラビリティーゾーンも指定します。ポリシーを作成した後で検査 VPC を変更することはできません。別の検査 VPC を使用するには、新しいポリシーを作成する必要があります。

  • 既存のファイアウォールのインポート - 既存のファイアウォールをインポートする場合、ポリシーに 1 つ以上のリソースセットを追加して、ポリシーで管理するファイアウォールを選択します。リソースセットは、組織内のアカウントによって管理されるリソース (この場合は Network Firewall 内の既存のファイアウォール) の集合体です。ポリシーでリソースセットを使用する前に、まずリソースセットを作成する必要があります。Firewall Manager のリソースセットについては、「Firewall Manager でのリソースセットの操作」を参照してください。

    インポートされたファイアウォールを使用する場合は、以下の点に留意してください。

    • インポートしたファイアウォールが非対応になった場合、Firewall Manager は次の場合を除いて、自動的に違反の解決を試みます。

      • Firewall Manager と Network Firewall ポリシーのステートフルまたはステートレスのデフォルトアクションが一致しない場合。

      • インポートしたファイアウォールのファイアウォールポリシー内のルールグループが、Firewall Manager ポリシーのルールグループと同じ優先度を持つ場合。

      • インポートしたファイアウォールが、ポリシーのリソースセットに含まれていないファイアウォールに関連付けられたファイアウォールポリシーを使用している場合。これは、ファイアウォールに設定できるファイアウォールポリシーは 1 つだけですが、1 つのファイアウォールポリシーを複数のファイアウォールに関連付けることができるため発生する可能性があります。

      • インポートされたファイアウォールのファイアウォールポリシーに属する既存のルールグループのうち、Firewall Manager ポリシーでも指定されているものに、異なる優先順位が割り当てられる場合。

    • ポリシーでリソースクリーンアップを有効にすると、Firewall Manager は FMS インポートポリシーに含まれているルールグループを、リソースセットの範囲内のファイアウォールから削除します。

    • Firewall Manager の既存のファイアウォールのインポート管理タイプで管理されているファイアウォールは、一度に 1 つのポリシーによってのみ管理できます。同じリソースセットが複数のインポートネットワークファイアウォールポリシーに追加された場合、リソースセット内のファイアウォールは、リソースセットが追加された最初のポリシーによって管理され、2 番目のポリシーでは無視されます。

    • 現在、Firewall Manager では、例外ポリシー設定をストリーミングしません。例外ポリシーのストリーミングの詳細については、「AWS Network Firewall デベロッパーガイド」の「例外ポリシーのストリーム」を参照してください。

分散型または集約型のファイアウォール管理を使用しているポリシーのアベイラビリティーゾーンのリストを変更すると、Firewall Manager は、過去に作成されたが、現在はポリシーの範囲に含まれていないエンドポイントのクリーンアップを試みます。Firewall Manager は、範囲外のエンドポイントを参照するルートテーブルのルートがない場合にのみ、エンドポイントを削除します。Firewall Manager は、これらのエンドポイントを削除できないことが判明した場合、ファイアウォールサブネットを非準拠としてマークし、安全に削除できるようになるまでエンドポイントの削除を試行し続けます。

Firewall Manager がファイアウォールサブネットを管理する方法

ファイアウォールサブネットは、ネットワークトラフィックをフィルタリングするファイアウォールエンドポイントのために Firewall Manager が作成する VPC サブネットです。各ファイアウォールエンドポイントは、専用 VPC サブネットでデプロイされる必要があります。Firewall Manager は、ポリシーの範囲内にある各 VPC に少なくとも 1 つのファイアウォールサブネットを作成します。

自動エンドポイント設定で分散型デプロイモデルを使用するポリシーの場合、Firewall Manager は、インターネットゲートウェイルートを持つサブネット、または Firewall Manager がポリシー用に作成したファイアウォールエンドポイントへのルートを持つサブネットを持つアベイラビリティーゾーンにのみ、ファイアウォールサブネットを作成します。詳細については、「Amazon VPC ユーザーガイド」の「VPC とサブネット」を参照してください。

Firewall Manager がファイアウォールエンドポイントを作成するアベイラビリティーゾーンを指定する分散型または集約型モデルのいずれかを使用するポリシーの場合、Firewall Manager は、アベイラビリティーゾーンに他のリソースがあるかどうかにかかわらず、それらの特定のアベイラビリティーゾーンにエンドポイントを作成します。

Network Firewall ポリシーを最初に定義する際に、Firewall Manager が範囲内の各 VPC 内のファイアウォールサブネットを管理する方法を指定します。この選択を後で変更することはできません。

自動エンドポイント設定で分散型デプロイモデルを使用するポリシーの場合、次のオプションから選択できます。

  • パブリックサブネットを持つすべてのアベイラビリティーゾーンにファイアウォールサブネットをデプロイします。これがデフォルトの動作です。これにより、トラフィックフィルタリング保護の高可用性を実現できます。

  • 1 つのアベイラビリティーゾーンに 1 つのファイアウォールサブネットをデプロイします。この選択により、Firewall Manager は、最もパブリックなサブネットを持つ VPC 内のゾーンを特定し、そこにファイアウォールサブネットを作成します。単一のファイアウォールエンドポイントは、VPC のすべてのネットワークトラフィックをフィルタリングします。これにより、ファイアウォールのコストは削減できますが、可用性は高くなく、他のゾーンからのトラフィックがフィルタリング対象となるためにはゾーン境界を越える必要があります。

カスタムエンドポイント設定または集約型デプロイモデルで分散デプロイモデルを使用するポリシーの場合、Firewall Manager は、ポリシーの範囲内にある指定されたアベイラビリティーゾーンにサブネットを作成します。

Firewall Manager がファイアウォールサブネットに使用する VPC CIDR ブロックを提供することも、ファイアウォールエンドポイントアドレスの選択の決定を Firewall Manager に任せることもできます。

  • CIDR ブロックを指定しない場合、Firewall Manager は、使用可能な IP アドレスを VPC にクエリします。

  • CIDR ブロックのリストを指定すると、Firewall Manager は、指定した CIDR ブロック内の新しいサブネットのみを検索します。/28 CIDR ブロックを使用する必要があります。Firewall Manager が作成する各ファイアウォールサブネットについて、CIDR ブロックリストをたどり、アベイラビリティーゾーンと VPC に適用可能で、かつ、利用可能なアドレスを持つ最初に見つかったリストを使用します。Firewall Manager が VPC 内のオープンスペースを見つけることができない場合 (制限の有無にかかわらず)、サービスは VPC 内にファイアウォールを作成しません。

Firewall Manager がアベイラビリティーゾーンで必要なファイアウォールサブネットを作成できない場合、そのサブネットをポリシーに非準拠であるものとしてマークします。ゾーンがこの状態にある間、別のゾーンのエンドポイントによるフィルタリングの対象となるためには、ゾーンのトラフィックがゾーン境界を越える必要があります。これは、単一のファイアウォールサブネットのシナリオに似ています。

Firewall Manager が Network Firewall リソースを管理する方法

Firewall Managerでポリシーを定義すると、 AWS Network Firewall 標準のファイアウォールポリシーのネットワークトラフィックフィルタリング動作を指定します。ステートレスおよびステートフル Network Firewall ルールグループを追加し、ステートレスルールと一致しないパケットのデフォルトアクションを指定します。でのファイアウォールポリシーの操作方法については AWS Network Firewall、AWS Network Firewall ファイアウォールポリシーを参照してください

分散型および集約型ポリシーの場合、Network Firewall ポリシーを保存すると、Firewall Manager は、ポリシーの範囲内にある各 VPC にファイアウォールとファイアウォールポリシーを作成します。Firewall Manager は、次の値を連結して、これらの Network Firewall リソースの名前を指定します。

  • FMManagedNetworkFirewall または FMManagedNetworkFirewallPolicy のいずれかの固定文字列 (リソースタイプによる)。

  • Firewall Manager ポリシー名。これは、ポリシーの作成時に割り当てる名前です。

  • Firewall Manager ポリシー ID。これはFirewall Manager AWS ポリシーのリソース ID です。

  • Amazon VPC ID。これは、Firewall Manager がファイアウォールとファイアウォールポリシーを作成する VPC AWS のリソース ID です。

Firewall Manager によって管理されるファイアウォールの名前の例を次に示します。

FMManagedNetworkFirewallEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

ファイアウォールポリシー名の例を次に示します。

FMManagedNetworkFirewallPolicyEXAMPLENameEXAMPLEFirewallManagerPolicyIdEXAMPLEVPCId

ポリシーを作成した後、VPC のメンバーアカウントは、ファイアウォールポリシー設定またはルールグループを上書きすることはできませんが、Firewall Manager が作成したファイアウォールポリシーにルールグループを追加することはできます。

Firewall Manager がポリシーの VPC ルートテーブルを管理およびモニタリングする方法

注記

ルートテーブル管理は、集約型デプロイモデルを使用するポリシーでは現在サポートされていません。

Firewall Manager がファイアウォールエンドポイントを作成すると、それらの VPC ルートテーブルも作成されます。ただし、Firewall Manager は VPC ルートテーブルを管理しません。ネットワークトラフィックを Firewall Manager によって作成されたファイアウォールエンドポイントに送信するように VPC ルートテーブルを設定する必要があります。Amazon VPC イングレスルーティングの拡張機能を使用して、新しいファイアウォールエンドポイントを通じてトラフィックをルーティングするようにルーティングテーブルを変更します。変更によって、保護するサブネットと外部の場所の間にファイアウォールエンドポイントを挿入する必要があります。実行が必要となる正確なルーティングは、アーキテクチャとそのコンポーネントによって異なります。

現在、Firewall Manager では、ファイアウォールをバイパスするインターネットゲートウェイ宛てのトラフィックについて、VPC ルートテーブルのルートをモニタリングできます。Firewall Manager は、NAT ゲートウェイなどの他のターゲットゲートウェイをサポートしていません。

VPC のルートテーブルの管理については、「Amazon Virtual Private Cloud ユーザーガイド」の「Managing route tables for your VPC」(VPC のルートテーブルの管理) を参照してください。Network Firewall のためのルートテーブル管理に関する情報については、「AWS Network Firewall デベロッパーガイド」の「AWS Network Firewallのためのルートテーブル設定」を参照してください。

ポリシーのモニタリングを有効にすると、Firewall Manager は VPC ルート設定を継続的にモニタリングし、その VPC のファイアウォール検査をバイパスするトラフィックについて警告します。サブネットにファイアウォールエンドポイントルートがある場合、Firewall Manager は次のルートを検索します。

  • Network Firewall エンドポイントにトラフィックを送信するルート。

  • Network Firewall エンドポイントからインターネットゲートウェイにトラフィックを転送するルート。

  • インターネットゲートウェイから Network Firewall エンドポイントへのインバウンドルート。

  • ファイアウォールサブネットからのルート。

サブネットに Network Firewall ルートがあるが、Network Firewall とインターネットゲートウェイのルートテーブルに非対称ルーティングがある場合、Firewall Manager はサブネットを非準拠としてレポートします。また、Firewall Manager は、Firewall Manager が作成したファイアウォールルートテーブルおよびサブネットのルートテーブルでインターネットゲートウェイへのルートを検出し、それらを非準拠として報告します。Network Firewall サブネットルートテーブルおよびインターネットゲートウェイルートテーブル内の追加ルートも、非準拠として報告されます。Firewall Manager は、違反タイプに応じて、ルート設定を準拠状態にするための修復アクションを提案します。Firewall Manager は、すべてのケースで提案を提供するわけではありません。例えば、お客様のサブネットに、Firewall Manager の外部で作成されたファイアウォールエンドポイントがある場合、Firewall Manager は修復アクションを提案しません。

デフォルトでは、Firewall Manager は、アベイラビリティーゾーンの境界を越えるトラフィックを検査のために非準拠としてマークします。ただし、VPC 内に単一のエンドポイントを自動的に作成するように選択した場合、Firewall Manager は、アベイラビリティーゾーンの境界を越えるトラフィックを非準拠としてマークしません。

カスタムエンドポイント設定で分散デプロイモデルを使用するポリシーの場合、あるアベイラビリティーゾーンからのものであって、アベイラビリティーゾーンの境界を越え、ファイアウォールエンドポイントがないトラフィックを、準拠または非準拠のいずれとしてマークするかを選択できます。

注記

  • Firewall Manager は、IPv6 ルートやプレフィックスリストルートなど、IPv4 以外のルートに対する修復アクションを提案しません。

  • DisassociateRouteTable API コールを使用して行われた呼び出しは、検出に最大で 12 時間かかる場合があります。

  • Firewall Manager は、ファイアウォールエンドポイントを含むサブネットの Network Firewall ルートテーブルを作成します。Firewall Manager は、このルートテーブルに有効なインターネットゲートウェイと VPC のデフォルトルートだけが含まれていると仮定します。このルートテーブル内の追加ルートまたは無効なルートは、非準拠とみなされます。

Firewall Manager ポリシーを設定するときに、[Monitor] (モニタリング) モードを選択すると、Firewall Manager はリソースの違反とリソースに関する修復の詳細を提供します。これらの推奨される修復アクションを使用して、ルートテーブル内のルートの問題を修正できます。[Off] (オフ) モードを選択した場合、Firewall Manager はルートテーブルのコンテンツをモニタリングしません。このオプションでは、VPC ルートテーブルを自ら管理できます。これらのリソース違反の詳細については、「AWS Firewall Manager ポリシーのコンプライアンス情報の表示」を参照してください。

警告

AWS Network Firewall ポリシーの作成時にルート設定で [監視] を選択した場合、そのポリシーでは無効にできません。ただし、[Off] (オフ) を選択すると、後で有効にすることができます。

AWS Network Firewall ポリシーのロギングを設定します。

Network Firewall ポリシーの集中ログ記録を有効にして、組織内のトラフィックに関する詳細情報を取得できます。フローログ記録を選択してネットワークトラフィックフローをキャプチャするか、アラートログ記録を選択して DROP または ALERT に設定されたルールアクションを持つルールに一致するトラフィックをレポートできます。 AWS Network Firewall ログ記録の詳細については、「AWS Network Firewall デベロッパーガイド」の「AWS Network Firewallからのネットワークトラフィックのログ記録」を参照してください。

ポリシーの Network Firewall ファイアウォールから Amazon S3 バケットにログを送信します。ロギングを有効にしたら、 AWS Network Firewall ファイアウォール設定を更新して、 AWS Firewall Manager 予約済みのプレフィックス、を使用して選択した Amazon S3 バケットにログを配信することで、<policy-name>-<policy-id>設定済みの各ネットワークファイアウォールのログを配信します。

注記

このプレフィックスは、Firewall Manager によってログ記録設定が追加されたのか、またはアカウント所有者によって追加されたのかを判断するために、Firewall Manager によって使用されます。アカウント所有者が独自のカスタムログ記録に予約済みプレフィックスを使用しようとすると、Firewall Manager ポリシーのログ記録設定によって上書きされます。

Amazon S3 バケットを作成し、保存されているログを確認する方法の詳細については、「Amazon Simple Storage Service ユーザーガイド」の「Amazon S3 とは」を参照してください。

ログ記録を有効にするには、次の要件を満たす必要があります。

  • Firewall Manager ポリシーで指定する Amazon S3 が存在している必要があります。

  • アクセス許可を持っている必要があります。

    • logs:CreateLogDelivery

    • s3:GetBucketPolicy

    • s3:PutBucketPolicy

  • ロギング先の Amazon S3 バケットが、保存されているキーによるサーバー側の暗号化を使用している場合は AWS Key Management Service、 AWS KMS 顧客管理のキーに次のポリシーを追加して、Firewall Manager がログロググループにログを記録できるようにする必要があります。 CloudWatch 

    
{
    "Effect": "Allow",
    "Principal": {
        "Service": "delivery.logs.amazonaws.com"
    },
    "Action": [
        "kms:Encrypt*",
        "kms:Decrypt*",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:Describe*"
    ],
    "Resource": "*"
}

AWS Network Firewall 一元ログ記録に使用できるのは、Firewall Manager 管理者アカウントのバケットのみであることに注意してください。

Network Firewall ポリシーで集中ログ記録を有効にすると、Firewall Manager はアカウントに対して次のアクションを実行します。

  • Firewall Manager は、選択した S3 バケットの許可を更新して、ログ配信を許可します。

  • Firewall Manager は、ポリシーの範囲内にある各メンバーアカウントのために、S3 バケットにディレクトリを作成します。各アカウントのログは <bucket-name>/<policy-name>-<policy-id>/AWSLogs/<account-id> にあります。

Network Firewall ポリシーのログ記録を有効にするには

  1. Firewall Manager 管理者アカウントを使用して Amazon S3 バケットを作成します。詳細については、「Amazon Simple Storage Service ユーザーガイド」の「バケットの作成」を参照してください。

  2. Firewall Manager AWS Management Console 管理者アカウントを使用してにサインインし、でFirewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  3. ナビゲーションペインで、[Security Policies] (セキュリティポリシー) を選択します。

  4. ログ記録を有効にする Network Firewall ポリシーを選択します。 AWS Network Firewall ロギングについて詳しくは、『AWS Network Firewall 開発者ガイド』の「 AWS Network Firewallネットワークトラフィックのロギング」を参照してください。

  5. [Policy details] (ポリシーの詳細) タブの [Policy rules] (ポリシールール) セクションで、[Edit] (編集) を選択します。

  6. ログを有効にして集約するには、[Logging configuration] (ログ記録の設定) で 1 つ以上のオプションを選択します。

    • フローログを有効化および集約する

    • アラートログを有効化および集約する

  7. ログの配信先とする Amazon S3 バケットを選択します。有効にするログタイプごとにバケットを選択する必要があります。両方のログタイプに同じバケットを使用できます。

  8. (オプション) カスタムメンバーアカウントで作成されたログ記録をポリシーのログ記録設定に置き換える場合は、[Override existing logging configuration] (既存のログ設定を上書き) を選択します。

  9. [Next] (次へ) を選択します。

  10. 設定を確認し、[Save] (保存) を選択してポリシーに対する変更を保存します。

Network Firewall ポリシーのログ記録を無効にするには

  1. Firewall Manager AWS Management Console 管理者アカウントを使用してにサインインし、でFirewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security Policies] (セキュリティポリシー) を選択します。

  3. ログ記録を無効にする Network Firewall ポリシーを選択します。

  4. [Policy details] (ポリシーの詳細) タブの [Policy rules] (ポリシールール) セクションで、[Edit] (編集) を選択します。

  5. [Logging configuration status] (ログ記録設定のステータス) で、[Enable and aggregate flow logs] (フローログを有効にして集約) および [Enable and aggregate alert logs] (アラートログを有効にして集約) の選択を解除します (選択されている場合)。

  6. [Next] (次へ) を選択します。

  7. 設定を確認し、[Save] (保存) を選択してポリシーに対する変更を保存します。