他のサービスによって提供されるルールグループを識別する - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

他のサービスによって提供されるルールグループを識別する

AWS WAF を使用してリソース保護を管理するために、ユーザーまたはユーザーの組織の管理者が AWS Firewall Manager または AWS Shield Advanced を使用している場合、アカウントのウェブ ACL にルールグループ参照ステートメントが追加されていることがあります。

これらのルールグループの名前は、次の文字列で始まります。

  • ShieldMitigationRuleGroup – これらのルールグループは AWS Shield Advanced によって管理され、保護対象のアプリケーションレイヤー (レイヤー 7) リソースにアプリケーションレイヤー DDoS 自動緩和を提供するために使用されます。

    保護されたリソースでアプリケーションレイヤー DDoS 自動緩和を有効にすると、Shield Advanced は、リソースに関連付けたウェブ ACL に、これらのルールグループの 1 つを追加します。Shield Advanced は、ルールグループ参照ステートメントに優先順位の設定として 10,000,000 を割り当て、ユーザーがウェブ ACL で設定したルールの後に実行されるようにします。これらのルールタイプの詳細については、「Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和 」を参照してください。

    警告

    ウェブ ACL 内のこのルールグループを手動で管理しないでください。特に、ShieldMitigationRuleGroup ルールグループ参照ステートメントをウェブ ACL から手動で削除しないでください。これにより、ウェブ ACL に関連付けられているすべてのリソースに意図しない結果が生じていた可能性もあります。代わりに、Shield Advanced を使用して、ウェブ ACL に関連付けられているリソースの自動緩和を無効にします。Shield Advanced は、ルールグループが自動緩和に必要でない場合に、ユーザーに代わって削除します。

  • PREFMManaged および POSTFMManaged – これらのルールグループは、Firewall Manager AWS WAF ポリシー設定に基づいて AWS Firewall Manager によって管理されます。Firewall Manager は、Firewall Manager が管理するウェブ ACL 内にそれらのルールグループを提供します。

    Firewall Manager は、FMManagedWebACLV2 で始まる名前でウェブ ACL を作成します。既存のウェブ ACL を改良するように Firewall Manager を設定することもできます。その場合、ウェブ ACL 名は作成時に指定した名前です。いずれの場合も、Firewall Manager はこれらのルールグループをウェブ ACL に追加します。詳細については、「Firewall Manager での AWS WAF ポリシーの使用」を参照してください。