AWS Firewall Manager ポリシーの使用 - AWS WAF、AWS Firewall Manager、および AWS Shield アドバンスド

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS Firewall Manager ポリシーの使用

AWS Firewall Manager は次のタイプのポリシーを提供します。

  • AWS WAF ポリシー – Firewall Manager は、AWS WAF と AWS WAF Classic のポリシーをサポートしています。どちらのバージョンでも、ポリシーによって保護されるリソースを定義します。

    • AWS WAF ポリシーでは、ウェブ ACL で最初に実行する一連のルールグループと最後に実行する一連のルールグループを定義できます。ウェブ ACL を適用するアカウントでは、アカウント所有者はルールとルールグループを追加して、2 つの Firewall Manager ルールグループセット間で実行できます。

    • AWS WAF Classic では、1 つのルールグループを定義するポリシーを作成します。

  • Shield アドバンスド ポリシー – このポリシーは、指定されたアカウントとリソースに AWS Shield アドバンスド 保護を適用します。

  • Amazon VPC セキュリティグループ ポリシー – このタイプのポリシーでは、AWS Organizations の組織全体で使用中のセキュリティグループを制御し、組織全体にルールのベースラインセットを適用できます。

  • Network Firewall ポリシー – このポリシーは、組織の VPCs に AWS Network Firewall 保護を適用します。

Firewall Manager ポリシーは、個々のポリシータイプに固有です。アカウント間で複数のポリシータイプを適用する場合は、複数のポリシーを作成できます。タイプごとに複数のポリシーを作成できます。

AWS Organizations で作成した組織に新しいアカウントを追加すると、Firewall Manager はそのアカウントのポリシースコープ内のリソースにポリシーを自動的に適用します。

AWS Firewall Manager ポリシーの全般設定

AWS Firewall Manager 管理ポリシーには、いくつかの一般的な設定と動作があります。すべてについて、名前を指定してポリシーの範囲を定義します。リソースタグ付けを使用してポリシーの範囲を制御できます。修正処置を行わずに準拠していないアカウントとリソースを表示するか、非準拠リソースを自動的に修復するかを選択できます。

ポリシースコープは、ポリシーを適用する場所を定義します。集中管理されたセキュリティグループポリシーは、すべての リソースと、 の組織内のすべてのアカウントAWS Organizations、またはアカウントとリソースの特定のサブセットに適用できます。設定されると、 はポリシーを継続的にFirewall Manager管理し、ポリシースコープに従って新しいAWSアカウントとリソースを追加時に適用します。

AWSスコープ内の アカウント

ポリシーの影響を受けるAWSアカウントを定義するために指定する設定によって、ポリシーを適用するAWS組織内のアカウントが決まります。次のいずれかの方法でポリシーを適用できます。

  • 組織のすべてのアカウントに適用

  • 含めたアカウント番号と AWS Organizations の組織単位 (OU) の特定のリストにのみ適用

  • 除外したアカウント番号と AWS Organizations の組織単位 (OU) の特定のリストを除くすべてに適用

AWS Organizations の詳細については、「AWS Organizations ユーザーガイド」を参照してください。

どちらのオプションを選択しても、組織に新しいアカウントを追加すると、 は各ポリシーの設定と照合してFirewall Managerポリシーを自動的に評価し、示されたとおりに適用します。たとえば、リストのアカウント番号を除くすべてのアカウントにポリシーを適用する場合、新しいアカウントを追加すると、新しいアカウント番号が除外リストにない場合は、Firewall Manager によってポリシーが適用されます。

スコープ内のリソース

リソースに指定した設定によって、ポリシーを適用するスコープ内アカウントおよびリソースタイプ内のリソースが決まります。次のいずれかを選択できます。

  • すべての リソース

  • 指定したすべてのタグを持つリソースを除くすべてのリソース

  • 指定したすべてのタグを持つリソース

リソースのタグ付けの詳細については、「タグエディタの使用」を参照してください。

どちらのオプションを選択しても、新しいリソースを組織に追加すると、Firewall Manager は各ポリシーのこれらの設定に対してリソースを自動的に評価し、示されたとおりにポリシーを適用します。たとえば、リスト内のすべてのタグを含むリソースにのみポリシーを適用する場合、ポリシーのアカウントおよびリソースタイプパラメータ内でリソースを追加または更新すると、Firewall Manager はリソースのタグをリストと比較し、リソースにすべてのタグがある場合はポリシーを適用します。