AWS WAF ポリシー - AWS WAF、AWS Firewall Manager、および AWS Shield アドバンスド

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS WAF ポリシー

Firewall Manager AWS WAF ポリシーには、リソースに適用するルールグループを指定します。ポリシーを適用すると、Firewall Manager によってポリシースコープ内の各アカウントに Firewall Manager ウェブ ACL が作成されます。その後、各アカウントマネージャーは、生成されたウェブ ACL に、お客様が定義するルールグループに加えて、ルールとルールグループを定義できます。

のルールグループ AWS Firewall Manager AWS WAF ポリシー

Firewall Manager AWS WAF ポリシーによって管理されるウェブ ACL には、3 つのルールセットが含まれています。これらのセットにより、ウェブ ACL 内のルールおよびルールグループの優先順位は上がります。

  • お客様が Firewall Manager AWS WAF ポリシーで定義した最初のルールグループ。AWS WAF は最初にこれらのルールグループを評価します。

  • アカウントマネージャーがウェブ ACL で定義したルールおよびルールグループ。AWS WAF は次にアカウント管理のルールまたはルールグループを評価します。

  • お客様が Firewall Manager AWS WAF ポリシーで定義した最後のルールグループ。AWS WAF は最後にこれらのルールグループを評価します。

これらの各ルールセット内で、AWS WAF は通常、セット内の優先順位の設定に従って、ルールとルールグループを評価します。

ポリシーの最初と最後のルールグループセットでは、ルールグループのみを追加できます。マネージドルールグループを使用できます。これらのグループは、AWS Managed Rules および AWS Marketplace 販売者がお客様に代わって作成して管理します。独自のルールグループを管理して使用することもできます。これらのすべてのオプションの詳細については、「ルールグループ」を参照してください。

独自のルールグループを使用する場合は、Firewall Manager AWS WAF ポリシーを作成する前にそれらのグループを作成します。ガイダンスについては、「独自のルールグループの管理」を参照してください。個々のカスタムルールを使用するには、独自のルールグループを定義し、その中にルールを定義してから、ポリシーでそのルールグループを使用する必要があります。

AWS WAF がウェブリクエストを評価する方法については、「方法 AWS WAF Web ACLを処理」を参照してください。

Firewall Manager AWS WAF ポリシーを作成する手順については、「AWS WAF の AWS Firewall Manager ポリシーの作成」を参照してください。

のログの構成 AWS Firewall Manager AWS WAF ポリシー

集中ログは、 AWS WAF 組織内のトラフィックに関する詳細情報を取得できます。ログ内の情報には、 AWS WAF がリクエストを受信しました AWS リソース、リクエストに関する詳細情報、および各リクエストがすべての対象アカウントから一致したルールのアクション。AWS WAF ログ記録の詳細については、「Web ACL トラフィック情報をログ中」を参照してください。

注記

AWS Firewall Manager は、最新バージョンの AWS WAF、および 用ではありません AWS WAF Classic.

集中型ログを AWS WAF ポリシー、 Firewall Manager は、ポリシーのWeb ACLを Firewall Manager 管理者アカウント:

  • Firewall Manager は、 Firewall Manager アカウントがポリシーの範囲内であるかどうかに関係なく、管理者アカウント。

  • Web ACL のログは有効になっており、ログ名は FMManagedWebACLV2Logging<policy-name><timestamp>。 Web ACL にはルール グループと関連付けられたリソースがありません。

  • Web ACLの料金は、 AWS WAF 価格ガイドライン。詳細については、「AWS WAF 料金表」を参照してください。

  • Firewall Manager ポリシーを削除するときに Web ACL を削除します。

ポリシーのWeb ACLからログを Amazon Kinesis Data Firehose ストレージのデスティネーションを構成しました。ログ記録を有効にすると、 AWS WAF 各構成済みWeb ACLのログを、 Kinesis データ Firehoseから構成されたストレージの宛先まで。使用する前に、配信ストリームをテストして、組織のログに対応できる十分なスループットがあることを確認します。Amazon Kinesis Data Firehose を作成し、保存されたログを確認する方法についての詳細は、「Amazon Kinesis Data Firehose とは何ですか。」を参照してください。

ログ記録を正常に有効化するには、以下のアクセス許可がある必要があります。

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

サービスリンクされた役割および iam:CreateServiceLinkedRole 許可、参照 AWS WAF のサービスにリンクされたロールの使用.

のログを有効にするには AWS WAF ポリシー

  1. 作成 Amazon Kinesis Data Firehose 使用する Firewall Manager 管理者アカウント。プレフィックスで始まる名前を使用します aws-waf-logs-。 例えば、 aws-waf-logs-firewall-manager-central。 データ ファイヤホースを PUT ソースと、操作している地域。Amazon CloudFront でログをキャプチャしている場合には、米国東部(バージニア北部) で firehose を作成します。使用する前に、配信ストリームをテストして、組織のログに対応できる十分なスループットがあることを確認します。詳細については、以下を参照してください。 の作成 Amazon Kinesis Data Firehose 配信ストリーム.

  2. 前提条件 (AWS Firewall Manager の前提条件) でセットアップした Firewall Manager 管理者アカウントを使用して AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/wafv2/fms で Firewall Manager コンソールを開きます。

  3. ナビゲーションペインで、 セキュリティポリシー.

  4. _を選択 AWS WAF ログ記録を有効にするポリシー。

  5. ポリシーの詳細 タブ内の ポリシールール セクションを選択し、 編集.

  6. 対象: ログ構成ステータス、選択 有効.

  7. _を選択 Kinesis Data Firehose 記録用に作成したファイルです。以下で始まるファイヤーホースを選択する必要があります。 aws-waf-logs-.

  8. (オプション) 特定のフィールドとその値がログに含まれることを希望しない場合には、このフィールドを編集します。編集するフィールドを選び、[追加] を選択します。必要に応じて手順を繰り返し、追加のフィールドを編集します。編集されたフィールドは、ログに XXX と表示されます。たとえば、 ユリ フィールド、 ユリ ログのフィールドは XXX.

  9. [] を選択します。

  10. 設定を確認し、 保存 ポリシーへの変更を保存します。

のログを無効にするには AWS WAF ポリシー

  1. 前提条件 (AWS Firewall Manager の前提条件) でセットアップした Firewall Manager 管理者アカウントを使用して AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/wafv2/fms で Firewall Manager コンソールを開きます。

  2. ナビゲーションペインで、 セキュリティポリシー.

  3. _を選択 AWS WAF ログ記録を無効にするポリシー。

  4. ポリシーの詳細 タブ内の ポリシールール セクションを選択し、 編集.

  5. 対象: ログ構成ステータス、選択 無効.

  6. [] を選択します。

  7. 設定を確認し、 保存 ポリシーへの変更を保存します。