AWS Firewall Manager ポリシーの範囲 - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

AWS Firewall Manager ポリシーの範囲

ポリシーの範囲は、ポリシーが適用される場所を定義するものです。一元管理されたポリシーを、AWS Organizations の組織内のすべてのアカウントとリソースに適用することも、アカウントとリソースのサブセットに適用することもできます。ポリシーの範囲の設定方法については、「AWS Firewall Manager ポリシーの作成」を参照してください。

AWS Firewall Manager のポリシーの範囲のオプション

組織に新しいアカウントまたはリソースを追加すると、Firewall Manager は、各ポリシーの設定に対して自動的に評価し、これらの設定に基づいてポリシーを適用します。例えば、指定したリストのアカウント番号以外のすべてのアカウントにポリシーを適用するように選択できます。また、リスト内のすべてのタグを持つリソースにのみポリシーを適用することを選択することもできます。

範囲内の AWS アカウント

ポリシーの影響を受ける AWS アカウント を定義するために提供する設定によって、AWS 組織内のどのアカウントにポリシーを適用するかが決まります。次のいずれかの方法でポリシーを適用できます。

  • 組織のすべてのアカウントに適用

  • 含めたアカウント番号と AWS Organizations の組織単位 (OU) の特定のリストにのみ適用

  • 除外したアカウント番号と AWS Organizations の組織単位 (OU) の特定のリストを除くすべてに適用

AWS Organizations の詳細については、「AWS Organizations ユーザーガイド」を参照してください。

範囲内のリソース

範囲内のアカウントの設定と同様に、リソースに指定した設定によって、ポリシーを適用する範囲内のリソースタイプが決まります。次のいずれかを選択できます。

  • すべてのリソース

  • 指定したすべてのタグを持つリソース

  • 指定したすべてのタグを持つリソースを除くすべてのリソース

リソースのタグ付けの詳細については、「タグエディタの使用」を参照してください。

AWS Firewall Manager のポリシーの範囲の管理

ポリシーが設定されている場合、Firewall Manager はポリシーを継続的に管理し、ポリシーの範囲に従って、追加された新しい AWS アカウント およびリソースにポリシーを適用します。

Firewall Manager による AWS アカウント およびリソースの管理方法

アカウントまたはリソースが何らかの理由で範囲外になった場合、AWS Firewall Manager は、[Automatically remove protections from resources that leave the policy scope] (ポリシーの範囲を外れるリソースから保護を自動的に削除) のチェックボックスをオンにしない限り、保護を自動的に削除したり、Firewall Manager マネージドリソースを削除したりしません。

注記

[Automatically remove protections from resources that leave the policy scope] (ポリシーの範囲を外れるリソースから保護を自動的に削除) のオプションは、 AWS Shield Advanced または AWS WAF Classic ポリシーでは使用できません。

このチェックボックスをオンにすると、AWS Firewall Manager は、アカウントがポリシーの範囲を外れたときに Firewall Manager がアカウントのために管理するリソースを自動的にクリーンアップするように指示されます。例えば、カスタマーリソースがポリシーの範囲から外れた場合、Firewall Manager は、Firewall Manager で管理するウェブ ACL と保護されたカスタマーリソースとの関連付けを解除します。

カスタマーリソースがポリシーの範囲外になったときに保護から削除する必要があるリソースを決定するために、Firewall Manager は次のガイドラインに従います。

  • デフォルトの動作

    • 関連する AWS Config マネージドルールが削除されます。この動作は、チェックボックスとは無関係です。

    • 関連付けられた AWS WAF ウェブアクセスコントロールリスト (ウェブ ACL) のうち、リソースを含まないものは、すべて削除されます。この動作は、チェックボックスとは無関係です。

    • 範囲外となった保護されたリソースは、関連付けられ、保護されたままになります。例えば、ウェブ ACL に関連付けられた API Gateway からの Application Load Balancer または API は、ウェブ ACL に関連付けられたままになり、保護は維持されます。

  • [Automatically remove protections from resources that leave the policy scope] (ポリシーの範囲を外れるリソースから保護を自動的に削除) のチェックボックスをオンにすると、次のようになります。

    • 関連する AWS Config マネージドルールが削除されます。この動作は、チェックボックスとは無関係です。

    • 関連付けられた AWS WAF ウェブアクセスコントロールリスト (ウェブ ACL) のうち、リソースを含まないものは、すべて削除されます。この動作は、チェックボックスとは無関係です。

    • 範囲外となった保護されたリソースは、ポリシーの範囲から外れると、自動的に関連付けが解除され、保護から削除されます。例えば、Elastic Inference アクセラレーターまたは Amazon EC2 インスタンスは、レプリケートされたセキュリティグループがポリシーの範囲外になると、自動的に関連付けが解除されます。レプリケートされたセキュリティグループとそのリソースは、自動的に保護から削除されます。