Firewall Manager での AWS Shield Advanced ポリシーの使用 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Firewall Manager での AWS Shield Advanced ポリシーの使用

このページでは、Firewall Manager で AWS Shield ポリシーを使用する方法について説明します。Firewall Manager AWS Shield ポリシーでは、保護するリソースを選択します。自動修復を有効にしてポリシーを適用すると、 AWS WAF ウェブ にまだ関連付けられていない範囲内のリソースごとにACL、Firewall Manager は空の AWS WAF ウェブ を関連付けますACL。空のウェブACLは Shield のモニタリング目的に使用されます。その後、他のウェブをリソースACLに関連付けると、Firewall Manager は空のウェブACL関連付けを削除します。

注記

AWS WAF ポリシーの範囲内にあるリソースが、自動アプリケーションレイヤーDDoS緩和 で設定された Shield Advanced ポリシーの範囲に入ると、Firewall Manager はポリシーによってACL作成されたウェブを関連付けた後にのみ Shield Advanced 保護を適用します AWS WAF 。

が Shield ポリシーACLsで関連付けられていないウェブ AWS Firewall Manager を管理する方法

Firewall Manager が関連付けられていないウェブを管理するかどうかは、ポリシーの関連付けられていないウェブの管理ACLs設定、または SecurityServicePolicyDataのデータ型optimizeUnassociatedWebACLsの設定ACLsを使用して設定できますAPI。ポリシーACLsで関連付けられていないウェブの管理を有効にすると、Firewall Manager ACLsは、少なくとも 1 つのリソースによってウェブが使用される場合にのみ、ポリシー範囲内のACLsアカウントにウェブを作成します。アカウントがポリシーの範囲に入ると、少なくとも 1 つのリソースがウェブ を使用する場合、Firewall Manager はアカウントACL内にウェブを自動的に作成しますACL。

関連付けられていないウェブの管理を有効にするとACLs、Firewall Manager はアカウントACLsで関連付けられていないウェブの 1 回限りのクリーンアップを実行します。このクリーンアッププロセスには、数時間かかることがあります。Firewall Manager がウェブ を作成した後にリソースがポリシースコープを離れてもACL、Firewall Manager はウェブ からのリソースの関連付けを解除しませんACL。Firewall Manager でウェブ をクリーンアップする場合はACL、まずウェブ からリソースの関連付けを手動で解除してからACL、ポリシーで関連付けられていないウェブの管理ACLsオプションを有効にする必要があります。

このオプションを有効にしない場合、Firewall Manager は関連付けられていないウェブ を管理しません。Firewall Manager はACLsポリシー範囲内ACLの各アカウントにウェブを自動的に作成します。

が Shield ポリシーでスコープの変更 AWS Firewall Manager を管理する方法

アカウントとリソースは、ポリシースコープ設定の変更、リソースのタグの変更、組織からのアカウントの削除など、多くの変更により AWS Firewall Manager Shield Advanced ポリシーの対象外になる可能性があります。ポリシーの範囲設定の一般情報については、「AWS Firewall Manager ポリシースコープの使用」を参照してください。

AWS Firewall Manager Shield Advanced ポリシーでは、アカウントまたはリソースが範囲外になると、Firewall Manager はアカウントまたはリソースのモニタリングを停止します。

アカウントが組織から削除されて範囲外になった場合でも、そのアカウントは引き続き Shield Advanced にサブスクライブされます。アカウントは一括請求ファミリーのメンバーではなくなるため、アカウントには按分計算での Shield Advanced サブスクリプション料金が発生します。一方、範囲外になったが、組織に残っているアカウントについては、追加料金が発生しません。

リソースが範囲外になった場合でも、そのリソースは Shield Advanced によって引き続き保護され、Shield Advanced データ転送料金が引き続き発生します。