AWS Firewall Manager ポリシーの範囲 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
ポリシー範囲の設定ポリシーの範囲の管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Firewall Manager ポリシーの範囲

ポリシーの範囲は、ポリシーが適用される場所を定義するものです。一元管理ポリシーは、 の組織内のすべてのアカウントとリソース AWS Organizations、またはアカウントとリソースのサブセットに適用できます。ポリシーの範囲の設定方法については、「AWS Firewall Manager ポリシーの作成」を参照してください。

のポリシースコープオプション AWS Firewall Manager

組織に新しいアカウントまたはリソースを追加すると、Firewall Manager は、各ポリシーの設定に対して自動的に評価し、これらの設定に基づいてポリシーを適用します。例えば、指定したリストのアカウント番号以外のすべてのアカウントにポリシーを適用するように選択できます。また、リスト内のすべてのタグを持つリソースにのみポリシーを適用することを選択することもできます。

AWS アカウント 範囲内

ポリシーの AWS アカウント 影響を受ける を定義するために指定する設定によって、ポリシーを適用する AWS 組織内のアカウントが決まります。次のいずれかの方法でポリシーを適用できます。

  • 組織のすべてのアカウントに適用

  • 含めたアカウント番号と AWS Organizations の組織単位 (OU) の特定のリストにのみ適用

  • 除外したアカウント番号と AWS Organizations の組織単位 (OU) の特定のリストを除くすべてに適用

の詳細については AWS Organizations、「 AWS Organizations ユーザーガイド」を参照してください。

範囲内のリソース

範囲内のアカウントの設定と同様に、リソースに指定した設定によって、ポリシーを適用する範囲内のリソースタイプが決まります。次のいずれかを選択できます。

  • すべてのリソース

  • 指定したすべてのタグを持つリソース

  • 指定したすべてのタグを持つリソースを除くすべてのリソース

NULL 以外の値を持つリソースタグのみを指定できます。値に何も指定しない場合、Firewall Manager は空の文字列値「」でタグを保存します。リソースタグは、同じキーと同じ値を持つタグとのみ一致します。

リソースのタグ付けの詳細については、「タグエディタの使用」を参照してください。

でのポリシー範囲の管理 AWS Firewall Manager

ポリシーが設定されると、Firewall Manager はポリシーを継続的に管理し、ポリシーの範囲に従って、新しい AWS アカウント およびリソースが追加されるときにそれらを適用します。

Firewall Manager が AWS アカウント および リソースを管理する方法

アカウントまたはリソースが何らかの理由で範囲外になった場合は、ポリシースコープを離れるリソースから保護を自動的に削除するチェックボックスを選択しない限り、保護を自動的に削除したり、Firewall Manager が管理するリソースを削除したり AWS Firewall Manager しないでください。

注記

オプション ポリシーの範囲を離れるリソースから自動的に保護を削除する は、 AWS Shield Advanced または AWS WAF Classic ポリシーでは使用できません。

このチェックボックスをオンにすると、 AWS Firewall Manager は、Firewall Manager がアカウントがポリシーの範囲を離れるときに管理するリソースを自動的にクリーンアップするように に指示します。例えば、カスタマーリソースがポリシーの範囲から外れた場合、Firewall Manager は、Firewall Manager で管理するウェブ ACL と保護されたカスタマーリソースとの関連付けを解除します。

カスタマーリソースがポリシーの範囲外になったときに保護から削除する必要があるリソースを決定するために、Firewall Manager は次のガイドラインに従います。

  • デフォルトの動作

    • 関連付けられた AWS Config マネージドルールが削除されます。この動作は、チェックボックスとは無関係です。

    • リソースを含まない、関連付けられた AWS WAF ウェブアクセスコントロールリスト (ウェブ ACLsはすべて削除されます。この動作は、チェックボックスとは無関係です。

    • 範囲外となった保護されたリソースは、関連付けられ、保護されたままになります。例えば、ウェブ ACL に関連付けられた API Gateway からの Application Load Balancer または API は、ウェブ ACL に関連付けられたままになり、保護は維持されます。

  • [Automatically remove protections from resources that leave the policy scope] (ポリシーの範囲を外れるリソースから保護を自動的に削除) のチェックボックスをオンにすると、次のようになります。

    • 関連付けられた AWS Config マネージドルールが削除されます。この動作は、チェックボックスとは無関係です。

    • リソースを含まない、関連付けられた AWS WAF ウェブアクセスコントロールリスト (ウェブ ACLsはすべて削除されます。この動作は、チェックボックスとは無関係です。

    • 範囲外の保護されたリソースは、ポリシーの範囲外になると、Firewall Manager の保護から自動的に関連付けが解除され、削除されます。例えば、セキュリティグループポリシーの場合、Elastic Inference アクセラレーターまたは Amazon EC2 インスタンスは、ポリシーのスコープを離れると、レプリケートされたセキュリティグループから自動的に関連付けが解除されます。レプリケートされたセキュリティグループとそのリソースは、自動的に保護から削除されます。