Firewall Manager での AWS Shield Advanced ポリシーの使用

このページでは、Firewall Manager で AWS Shield ポリシーを使用する方法について説明します。Firewall Manager AWS Shield ポリシーで、保護するリソースを選択します。自動修復を有効にしてポリシーを適用すると、 AWS WAF ウェブ にまだ関連付けられていない範囲内のリソースごとにACL、Firewall Manager は空の AWS WAF ウェブ を関連付けますACL。空のウェブACLは Shield のモニタリング目的に使用されます。その後、他のウェブACLをリソースに関連付けると、Firewall Manager は空のウェブACL関連付けを削除します。

注記

AWS WAF ポリシーの範囲内にあるリソースが、自動アプリケーションレイヤーDDoS緩和で設定された Shield Advanced ポリシーの範囲内に入ると、Firewall Manager は、 AWS WAF ポリシーによってACL作成されたウェブを関連付けた後にのみ Shield Advanced 保護を適用します。

が Shield ポリシーACLsで関連付けられていないウェブ AWS Firewall Manager を管理する方法

Firewall Manager が関連付けられていないウェブを管理するかどうかは、ポリシーの関連付けられていないウェブの管理ACLs設定、または SecurityServicePolicyDataのデータ型optimizeUnassociatedWebACLsの設定ACLsを使用して設定できますAPI。ポリシーACLsで関連付けられていないウェブの管理を有効にすると、Firewall Manager ACLsは、ウェブACLsが少なくとも 1 つのリソースによって使用される場合にのみ、ポリシー範囲内のアカウントにウェブを作成します。アカウントがポリシーの範囲に入ると、少なくとも 1 つのリソースがウェブ を使用する場合、Firewall Manager はアカウントACL内にウェブを自動的に作成しますACL。

関連付けられていないウェブ の管理を有効にするとACLs、Firewall Manager はアカウントACLs内の関連付けられていないウェブの 1 回限りのクリーンアップを実行します。このクリーンアッププロセスには、数時間かかることがあります。Firewall Manager がウェブ を作成した後にリソースがポリシーの範囲から外れた場合ACL、Firewall Manager はウェブ からリソースの関連付けを解除しませんACL。Firewall Manager でウェブ をクリーンアップする場合はACL、まずリソースとウェブ の関連付けを手動で解除してからACL、ポリシーで関連付けられていないウェブ管理ACLsオプションを有効にする必要があります。

このオプションを有効にしない場合、Firewall Manager は関連付けられていないウェブ を管理せずACLs、Firewall Manager はポリシー範囲内ACLの各アカウントにウェブを自動的に作成します。

が Shield ポリシーでスコープの変更 AWS Firewall Manager を管理する方法

アカウントとリソースは、ポリシースコープ設定の変更、リソースのタグの変更、組織からのアカウントの削除など、多くの変更により、 AWS Firewall Manager Shield Advanced ポリシーの範囲外になる可能性があります。ポリシーの範囲設定の一般情報については、「AWS Firewall Manager ポリシースコープの使用」を参照してください。

AWS Firewall Manager Shield Advanced ポリシーでは、アカウントまたはリソースが範囲外になると、Firewall Manager はアカウントまたはリソースのモニタリングを停止します。

アカウントが組織から削除されて範囲外になった場合でも、そのアカウントは引き続き Shield Advanced にサブスクライブされます。アカウントは一括請求ファミリーのメンバーではなくなるため、アカウントには按分計算での Shield Advanced サブスクリプション料金が発生します。一方、範囲外になったが、組織に残っているアカウントについては、追加料金が発生しません。

リソースが範囲外になった場合でも、そのリソースは Shield Advanced によって引き続き保護され、Shield Advanced データ転送料金が引き続き発生します。