AWS Shield Advanced ポリシー - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
Firewall Manager は関連付けられていないウェブ ACL をどのように管理するかShield Advanced ポリシーの範囲の変更アプリケーションレイヤーの自動緩和Shield Advanced ポリシーで使用されている AWS WAF のバージョンの判別

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Shield Advanced ポリシー

Firewall Manager AWS Shield ポリシーでは、保護するリソースを選択します。auto 修復を有効にしてポリシーを適用すると、まだウェブ ACL に関連付けられていないスコープ内のリソースごとに、Firewall Manager AWS WAF AWS WAF は空のウェブ ACL を関連付けます。空のウェブ ACL は、Shield によるモニタリングの目的のために使用されます。その後、他のウェブ ACL をリソースに関連付けると、Firewall Manager は、空のウェブ ACL の関連付けを削除します。

注記

AWS WAF ポリシーの範囲内のリソースが、アプリケーション層の自動DDoS軽減が設定されたShield Advancedポリシーの範囲に入ると、Firewall Manager は、ポリシーによって作成されたウェブ ACLを関連付けた後にのみShield Advanced保護を適用します。 AWS WAF

Shield ポリシーで関連付けられていないウェブ ACL AWS Firewall Manager を管理する方法

Firewall Manager が関連付けられていないウェブ ACL を自動的に管理するかどうかは、ポリシーの [関連付けられていないウェブ ACL の管理] 設定または API optimizeUnassociatedWebACLs SecurityServicePolicyDataのデータタイプの設定で設定できます。[関連付けられていないウェブ ACL の管理]をポリシーで有効にした場合、Firewall Manager は、少なくとも 1 つのリソースがウェブ ACL を使用する場合のみ、ポリシー範囲内のアカウントにウェブ ACL を作成します。アカウントがポリシーの対象になるといつでも、少なくとも 1 つのリソースがウェブ ACL を使用する場合に、Firewall Manager はアカウントにウェブ ACL を自動的に作成します。

関連付けられていないウェブ ACL の管理を有効にすると、Firewall Manager はアカウント内の関連付けられていないウェブ ACL に 1 回だけクリーンアップを実行します。このクリーンアッププロセスには、数時間かかることがあります。Firewall Manager がウェブ ACL を作成した後、リソースがポリシーの範囲から外れても、Firewall Manager はそのリソースとウェブ ACL との関連付けを解除しません。Firewall Manager にウェブ ACL をクリーンアップさせたい場合は、最初にウェブ ACL から手動でリソースの関連付けを解除してから、ポリシーの[関連付けられていないウェブ ACL の管理] オプションを有効にする必要があります。

このオプションを有効にしない場合、Firewall Manager は関連付けられていないウェブ ACL を管理せず、ポリシーの範囲内にある各アカウントにウェブ ACL を自動的に作成します。

SShield AWS Firewall Manager ポリシーの範囲変更を管理する方法

ポリシースコープ設定の変更、リソースのタグの変更、組織からのアカウントの削除など、さまざまな変更により、アカウントとリソースは AWS Firewall Manager Shield Advanced ポリシーの範囲外になる可能性があります。ポリシーの範囲設定の一般情報については、「AWS Firewall Manager ポリシーの範囲」を参照してください。

AWS Firewall Manager Shield Advancedポリシーでは、アカウントまたはリソースが範囲外になると、Firewall Manager はアカウントまたはリソースの監視を停止します。

アカウントが組織から削除されて範囲外になった場合でも、そのアカウントは引き続き Shield Advanced にサブスクライブされます。アカウントは一括請求ファミリーのメンバーではなくなるため、アカウントには按分計算での Shield Advanced サブスクリプション料金が発生します。一方、範囲外になったが、組織に残っているアカウントについては、追加料金が発生しません。

リソースが範囲外になった場合でも、そのリソースは Shield Advanced によって引き続き保護され、Shield Advanced データ転送料金が引き続き発生します。

アプリケーションレイヤー DDoS 自動緩和

Shield アドバンスドポリシーを Amazon CloudFront ディストリビューションまたはアプリケーションロードバランサーに適用する場合、ポリシーで Shield アドバンスド自動アプリケーションレイヤー DDoS 軽減を設定することができます。

Shield Advanced 自動緩和については、「Shield Advanced アプリケーションレイヤー DDoS 自動緩和」を参照してください。

Shield Advanced アプリケーションレイヤー DDoS 自動緩和には、次の要件があります。

  • アプリケーションレイヤーの自動DDoS軽減は、 CloudFront Amazonディストリビューションとアプリケーションロードバランサーでのみ機能します。

    Amazon CloudFront ディストリビューションに Shield アドバンスドポリシーを適用する場合、グローバルリージョン用に作成する Shield アドバンスドポリシーでこのオプションを選択できます。Application Load Balancer に保護を適用する場合、Firewall Manager がサポートする任意のリージョンにポリシーを適用できます。

  • アプリケーションレイヤーの DDoS の自動軽減は、最新バージョンの (v2) を使用して作成されたウェブ ACL でのみ機能します。 AWS WAF

    そのため、 AWS WAF 従来のウェブ ACL を使用するポリシーがある場合は、そのポリシーを最新バージョンのを自動的に使用する新しいポリシーに置き換えるか、Firewall Manager に既存のポリシー用に新しいバージョンの Web ACL を作成してもらい、それらを使用するように切り替える必要があります。 AWS WAFオプションの詳細については、「AWS WAF クラシックウェブ ACL を最新バージョンのウェブ ACL に置き換えます。」を参照してください。

自動緩和設定

Firewall Manager Shield Advanced ポリシーのアプリケーションレイヤー DDoS 自動緩和オプションは、ポリシーの範囲内のアカウントおよびリソースに Shield Advanced 自動緩和機能を適用します。Shield Advanced 機能の詳細については、「Shield Advanced アプリケーションレイヤー DDoS 自動緩和」を参照してください。

Firewall Manager CloudFront でポリシーの対象となるディストリビューションまたはアプリケーションロードバランサーの自動緩和を有効または無効にするか、Shield Advancedの自動緩和設定をポリシーに無視させるかを選択できます。

  • [有効化] - 自動緩和を有効にする場合は、一致するウェブリクエストを Shield Advanced 緩和ルールがカウントまたはブロックするかも指定します。Firewall Manager は、自動緩和が有効になっていないか、ポリシーに指定したルールアクションと一致しないルールアクションを使用している場合に、範囲内のリソースを非準拠としてマークします。自動修復のポリシーを設定すると、Firewall Manager は、必要に応じて非準拠のリソースを更新します。

  • [無効化] - 自動緩和を無効にすることを選択した場合、Firewall Manager は、自動緩和が有効になっている範囲内のリソースを非準拠としてマークします。自動修復のポリシーを設定すると、Firewall Manager は、必要に応じて非準拠のリソースを更新します。

  • [無視] – 自動緩和を無視することを選択した場合、Firewall Manager は、ポリシーの修復アクティビティを実行するときに Shield ポリシーの自動緩和設定を考慮しません。この設定では、Shield Advanced を通じて自動緩和を有効または無効にできます。Firewall Manager によってこれらの設定を上書きされることはありません。この設定は、Shield Advanced を通じて管理される Classic Load Balancers や Elastic IP リソースには適用されません。Shield Advanced は現在、これらのリソースの L7 自動緩和をサポートしていないためです。

AWS WAF クラシックウェブ ACL を最新バージョンのウェブ ACL に置き換えます。

アプリケーションレイヤーの DDoS の自動軽減は、最新バージョンの AWS WAF (v2) を使用して作成されたウェブ ACL でのみ機能します。

Shield Advanced ポリシーのウェブ ACL バージョンを確認するには、「Shield AWS WAF アドバンスドポリシーで使用されているバージョンの確認」を参照してください。

Shield Advancedポリシーで自動緩和機能を使用したい場合で、 AWS WAF ポリシーが現在クラシックウェブACLを使用している場合は、新しいShield アドバンスドポリシーを作成して現在のポリシーに置き換えるか、このセクションで説明されているオプションを使用して以前のバージョンのウェブ ACLを現在のSShield アドバンスドポリシー内の新しい(v2)ウェブ ACLに置き換えることができます。新しいポリシーでは、常に最新バージョンのを使用してウェブ ACL が作成されます。 AWS WAFポリシー全体を置き換えた場合、ポリシーを削除すると、Firewall Manager で以前のバージョンのウェブ ACL もすべて削除できます。このセクションの残りの部分では、既存のポリシー内のウェブ ACL を置き換えるためのオプションについて説明します。

Amazon CloudFront リソースの既存の Shield Advanced ポリシーを変更すると、Firewall Manager は、v2 ウェブ ACL をまだ持っていないスコープ内のアカウントで、ポリシー用の新しい空 AWS WAF (v2) ウェブ ACL を自動的に作成できます。Firewall Manager が新しいウェブ ACL を作成するとき、 AWS WAF ポリシーに同じアカウントにすでにクラシックウェブ ACL がある場合、Firewall Manager は新しいバージョンのウェブ ACL を既存のウェブ ACL と同じデフォルトアクション設定で構成します。 AWS WAF 既存のクラシックウェブ ACL がない場合、Firewall Manager は新しいウェブ ACL Allow にデフォルトアクションを設定します。Firewall Manager が新しいウェブ ACL を作成した後、 AWS WAF コンソールで必要に応じてカスタマイズできます。

次のポリシー設定オプションのいずれかを選択すると、Firewall Manager は、まだそれらを持たない範囲内のアカウント用に新しい (v2)ウェブ ACL を作成します。

  • アプリケーションレイヤー DDoS 自動緩和を有効または無効にする場合。この選択のみの場合、Firewall Manager が新しいウェブ ACL を作成するだけであり、ポリシーの範囲内リソース上の既存の AWS WAF Classicウェブ ACL の関連付けを置き換えることはありません。

  • 自動修復のポリシーアクションを選択し、 AWS WAF クラシックウェブ ACL を AWS WAF (v2) ウェブ ACL に置き換えるオプションを選択すると、アプリケーションレイヤー DDoS 自動緩和の設定の選択内容にかかわらず、以前のバージョンのウェブ ACL を置き換えることを選択できます。

    置換オプションを選択すると、Firewall Manager は必要に応じて新しいバージョンのウェブ ACL を作成し、ポリシーの範囲内のリソースについて次の操作を実行します。

    • リソースが他のアクティブな Firewall Manager ポリシーからウェブ ACL に関連付けられている場合、Firewall Manager は関連付けのみを残します。

    • それ以外の場合、Firewall Manager AWS WAF はクラシックウェブ ACL との関連付けをすべて削除し、リソースをポリシーの AWS WAF (v2) ウェブ ACL に関連付けます。

必要に応じて、Firewall Manager で以前のバージョンのウェブ ACL を新しいバージョンのウェブ ACL に置き換えることを選択できます。以前にポリシーの AWS WAF Classicウェブ ACL をカスタマイズしたことがある場合は、Firewall Manager に置換ステップを実行させることを選択する前に、新しいバージョンのウェブ ACL を同等の設定に更新できます。

ポリシーのウェブ ACL のいずれのバージョンにも、同じバージョンのコンソールまたは Classic のコンソールからアクセスできます。 AWS WAF AWS WAF

Firewall Manager は、ポリシー自体を削除するまで、 AWS WAF 置き換えられたクラシックウェブ ACL を削除しません。 AWS WAF クラシック Web ACL がポリシーで使用されなくなったら、必要に応じて削除できます。

Shield AWS WAF アドバンスドポリシーで使用されているバージョンの確認

Firewall Manager Shield Advancedポリシーがどのバージョンを使用しているかは、 AWS WAF AWS Config ポリシーのサービスにリンクされたルール内のパラメータキーを確認することで確認できます。 AWS WAF 使用中のバージョンが最新の場合、パラメータキーにはとが含まれますpolicyIdwebAclArn以前のバージョンの AWS WAF Classic の場合、webAclIdパラメータキーにはとが含まれますresourceTypes

AWS Config このルールには、ポリシーが対象範囲内のリソースで現在使用しているウェブ ACL のキーのみが一覧表示されます。

Firewall Manager Shield AWS WAF アドバンスドポリシーがどのバージョンを使用しているかを確認するには

  1. Shield Advanced ポリシーのポリシー ID を取得します。

    1. Firewall Manager AWS Management Console 管理者アカウントを使用してにサインインし、でFirewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    2. ナビゲーションペインで、[Security Policies] (セキュリティポリシー) を選択します。

    3. ポリシーのリージョンを選択します。 CloudFront ディストリビューションの場合はですGlobal

    4. 必要なポリシーを見つけて、その [Policy ID] (ポリシー ID) の値をコピーします。

      ポリシー ID の例: 1111111-2222-3333-4444-a55aa5aaa555

  2. ポリシー ID AWS Config を文字列に追加してポリシーのルール名を作成します。FMManagedShieldConfigRule

    AWS Config ルール名の例:. FMManagedShieldConfigRule1111111-2222-3333-4444-a55aa5aaa555

  3. AWS Config 関連するルールのパラメータで、policyIdおよびという名前のキーを検索しますwebAclArn

    1. https://console.aws.amazon.com/config/ AWS Config でコンソールを開きます。

    2. ナビゲーションペインで [Rules (ルール)] を選択します。

    3. リストでFirewall Manager AWS Config ポリシーのルール名を見つけて選択します。ルールのページが開きます。

    4. [Rule details] (ルールの詳細) の [Parameters] (パラメータ) セクションで、キーを探します。policyIdwebAclArn という名前のキーが見つかった場合、ポリシーは最新バージョンの AWS WAFを使用して作成されたウェブ ACL を使用します。webAclIdand という名前のキーが見つかった場合resourceTypes、そのポリシーは以前のバージョンの AWS WAF Classic を使用して作成された Web ACL を使用します。