AWS WAF ポリシー - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS WAF ポリシー

Firewall Manager でAWS WAFポリシーを使用する場合は、AWS WAFリソース全体で使用するルールグループを指定します。ポリシーを適用すると、ポリシースコープ内の各アカウントに、Firewall Manager によって管理されるウェブ ACL が作成されます。生成されたウェブ ACL では、各アカウントマネージャーは、Firewall Manager で定義したルールグループに加えて、ルールとルールグループを定義できます。

Firewall Manager は、ポリシーの Web ACL を作成するときに、Web ACL の名前をFMManagedWebACLV2-policy name-timestamp。タイムスタンプは UTC ミリ秒です。例えば、 。FMManagedWebACLV2-MyWAFPolicyName-1621880374078

AWS Firewall Managerによって作成されるウェブ ACL およびルールグループのサンプリングと Amazon CloudWatch メトリックスが有効になり、AWS WAFポリシー。

のルールグループAWS Firewall Manager AWS WAFポリシー

Firewall Manager によって管理されるウェブ ACLAWS WAFポリシーには、3 つのルールセットが含まれています。これらのセットにより、ウェブ ACL 内のルールおよびルールグループの優先順位は上がります。

  • Firewall Manager で定義した最初のルールグループAWS WAFポリシー。AWS WAFは、これらのルールグループを最初に評価します。

  • アカウントマネージャーがウェブ ACL で定義したルールおよびルールグループ。AWS WAF は次にアカウント管理のルールまたはルールグループを評価します。

  • Firewall Manager で定義した最後のルールグループAWS WAFポリシー。AWS WAFは、これらのルールグループを最後に評価します。

これらの各ルールセット内で、AWS WAF は通常、セット内の優先順位の設定に従って、ルールとルールグループを評価します。

ポリシーの最初と最後のルールグループセットでは、ルールグループのみを追加できます。マネージドルールグループを使用できます。これらのグループは、AWSマネージドルールと AWS Marketplace 売り手は、あなたのために作成し、維持します。独自のルールグループを管理して使用することもできます。これらのすべてのオプションの詳細については、「ルールグループ」を参照してください。

注記

Firewall Manager では、新しいAWS WAFボットコントロールマネージドルールグループ。ボットコントロールの詳細については、AWS WAF「」を参照してください。AWS WAFボットコントロール

独自のルールグループを使用する場合は、Firewall Manager を作成する前にそれらのグループを作成します。AWS WAFポリシー。ガイダンスについては、「独自のルールグループの管理」を参照してください。個々のカスタムルールを使用するには、独自のルールグループを定義し、その中にルールを定義してから、ポリシーでそのルールグループを使用する必要があります。

最初と最後のAWS WAFFirewall Manager で管理するルールグループの名前は、PREFMManaged-またはPOSTFMManaged-、Firewall Manager のポリシー名、ルールグループ作成タイムスタンプ(UTC ミリ秒単位)が続きます。例えば、 。PREFMManaged-MyWAFPolicyName-1621880555123

AWS WAF がウェブリクエストを評価する方法については、「Web ACL ルールおよびルールグループの評価」を参照してください。

Firewall Manager を作成する手順については、「」を参照してください。AWS WAFポリシーの詳細については、AWS WAF の AWS Firewall Manager ポリシーの作成

Firewall Manager は、サンプリングと Amazon CloudWatch メトリックスを有効にします。AWS WAFポリシー。

個々のアカウント所有者は、ポリシーの管理対象 Web ACL に追加するルールまたはルールグループのメトリックスとサンプリング設定を完全に制御できます。

のログ記録を設定するAWS Firewall Manager AWS WAFポリシー

集中ログを有効化するには、AWS WAFポリシーを使用して、組織内のトラフィックに関する詳細情報を取得します。ログ内の情報には、AWS WAFからリクエストを受け取りましたAWSリソース、このリクエストの詳細と各リクエストがスコープ内すべてのアカウントから一致させるルールのアクションが含まれます。AWS WAF ログ記録の詳細については、「ウェブ ACL トラフィック情報のログ記録」を参照してください。

注記

AWS Firewall Managerは、最新バージョンのの場合、このオプションをサポートしています。AWS WAFではなく、AWS WAFClassic

集中ログを有効にすると、AWS WAFポリシーの場合、Firewall Manager は、次のようにファイアウォールマネージャーの管理者アカウントにポリシーの Web ACL を作成します。

  • Firewall Manager は、アカウントがポリシーのスコープ内にあるかどうかに関係なく、Firewall Manager の管理者アカウントに Web ACL を作成します。

  • ウェブ ACL でログが有効になり、ログ名がFMManagedWebACLV2-Loggingpolicy name-timestamp(タイムスタンプは、Web ACL に対してログが有効になった UTC 時間 (ミリ秒単位) です。例えば、 。FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180Web ACL には、ルールグループも関連付けられたリソースもありません。

  • Web ACL に対して課金されるのは、AWS WAF価格ガイドライン。詳細については、AWS WAF 料金を参照してください。

  • ポリシーを削除すると、Firewall Manager によって Web ACL が削除されます。

注記

Firewall Manager は、組織のメンバーアカウントの既存のログ設定を変更しません。

ポリシーのウェブ ACL から、ストレージ宛先を設定した Amazon Kinesis Data Firehose にログを送信します。ロギングを有効にすると、AWS WAFは、Kinesis Data Firehose の HTTPS エンドポイントを介して、設定済みの各 Web ACL のログを、設定済みのストレージ宛先に配信します。配信ストリームを使用する前に、配信ストリームをテストして、組織のログを収容するのに十分なスループットがあることを確認します。Amazon Kinesis Data Firehose を作成し、保存されたログを確認する方法についての詳細は、を参照してください。Amazon Kinesis Data Firehose とは何ですか?

ログ記録を正常に有効化するには、以下のアクセス許可がある必要があります。

  • iam:CreateServiceLinkedRole

  • firehose:ListDeliveryStreams

  • wafv2:PutLoggingConfiguration

サービスにリンクされたロールおよびiam:CreateServiceLinkedRoleアクセス許可の詳細については、 のサービスにリンクされたロールの使用AWS WAF

でログ記録を有効にするにはAWS WAFポリシー

  1. Firewall Manager 管理者アカウントを使用して Amazon Kinesis Data Firehose を作成します。プレフィックスで始まる名前を使用します。aws-waf-logs-。例えば、 。aws-waf-logs-firewall-manager-centralPUT ソースを使用して、動作しているリージョンでデータ firehose を作成します。Amazon CloudFront のログをキャプチャする場合は、米国東部 (バージニア北部) にFirehose を作成します。配信ストリームを使用する前に、配信ストリームをテストして、組織のログを収容するのに十分なスループットがあることを確認します。詳細については、「」を参照してください。Amazon Kinesis Data Firehose 配信ストリームの作成

  2. にサインインします。AWS Management Consoleで Firewall Manager 管理者アカウントを使用して、で Firewall Manager コンソールを開きます。https://console.aws.amazon.com/wafv2/fmsv2

    注記

    Firewall Manager 管理者アカウントの設定については、AWS Firewall Manager の前提条件 を参照してください。

  3. ナビゲーションペインで、[] を選択します。セキュリティポリシー

  4. [AWS WAFログ記録を有効にするポリシーです。AWS WAF ログ記録の詳細については、「ウェブ ACL トラフィック情報のログ記録」を参照してください。

  5. リポジトリの []ポリシーの詳細タブにあるポリシールールの設定セクションで、[] を選択します編集

  6. を使用する場合ロギング設定ステータス] で、[Enabled (有効)]

  7. ログ記録用に作成した Kinesis Data Firehose を選択します。で始まるFirehose を選択する必要があります。aws-waf-logs-

  8. (オプション) 特定のフィールドとその値がログに含まれることを希望しない場合には、このフィールドを編集します。編集するフィールドを選び、[追加] を選択します。必要に応じて手順を繰り返し、追加のフィールドを編集します。編集されたフィールドは、ログに XXX と表示されます。たとえば、編集すると、URIフィールドにURIフィールドは、ログのXXX

  9. (オプション) ログにすべてのリクエストを送信しない場合は、フィルタリング条件と動作を追加します。[]ログのフィルタリング適用するフィルターごとに、[Add filterを選択し、フィルタリング条件を選択し、条件に一致するリクエストを保持するかドロップするかを指定します。フィルターの追加が終了したら、必要に応じてデフォルトのログ記録動作

  10. [Next (次へ)] を選択します。

  11. 設定を確認し、[] を選択します。保存ポリシーに加えた変更を保存します。

のログ記録を無効にするにはAWS WAFポリシー

  1. にサインインします。AWS Management Consoleで Firewall Manager 管理者アカウントを使用して、で Firewall Manager コンソールを開きます。https://console.aws.amazon.com/wafv2/fmsv2

    注記

    Firewall Manager 管理者アカウントの設定については、AWS Firewall Manager の前提条件 を参照してください。

  2. ナビゲーションペインで、[] を選択します。セキュリティポリシー

  3. [AWS WAFログ記録を無効にするポリシー。

  4. リポジトリの []ポリシーの詳細タブにあるポリシールールの設定セクションで、[] を選択します編集

  5. を使用する場合ロギング設定ステータス] で、Disabled

  6. [Next (次へ)] を選択します。

  7. 設定を確認し、[] を選択します。保存ポリシーに加えた変更を保存します。