ステップ 4: AWS Firewall ManagerAWS WAF Classic ポリシーを作成して適用する - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

ステップ 4: AWS Firewall ManagerAWS WAF Classic ポリシーを作成して適用する

警告

AWS WAF Classic は計画されたサービス終了プロセスを進めています。リージョン固有のマイルストーンと日付については、AWS Health ダッシュボードを参照してください。

注記

これは AWS WAF Classic ドキュメントです。2019 年 11 月より前に AWS WAF でルールやウェブ ACL などの AWS WAF リソースを作成し、それらをまだ最新バージョンに移行していない場合にのみ、このバージョンを使用する必要があります。Web ACL を移行するには、AWS WAF Classic リソースを AWS WAF に移行する を参照してください。

最新バージョンの AWS WAF については、AWS WAF」を参照してください。

ルールグループを作成したら、AWS Firewall Manager AWS WAF ポリシーを作成します。Firewall Manager の AWS WAF ポリシーには、リソースに適用するルールグループが含まれています。

Firewall Manager の AWS WAF ポリシーを作成するには (コンソール)

  1. ルールグループを作成すると (前の手順の最後のステップ「ステップ 3: ルールグループを作成する」)、[Rule group summary] (ルールグループの概要) ページがコンソールに表示されます。[Next] (次へ) を選択します。

  2. [Name] (名前) で、わかりやすい名前を入力します。

  3. [Policy type] (ポリシータイプ) で、[WAF] を選択します。

  4. [Region] (リージョン) で、AWS リージョン を選択します。Amazon CloudFront のリソースを保護するには、[Global] (グローバル) を選択します。

    複数のリージョンのリソース (CloudFront リソースを除く) を保護するには、各リージョンに別々の Firewall Manager ポリシーを作成する必要があります。

  5. 追加するルールグループを選択して、[Add rule group] (ルールグループの追加) を選択します。

  6. ポリシーには、[Action set by rule group] (ルールグループによって設定されたアクション) と [Count] (カウント) の 2 つのアクションがあります。ポリシーをテストする場合は、アクションを [Count] (カウント) に設定します。このアクションは、ポリシーに含まれるルールグループで指定されたブロックアクションを上書きします。つまり、ポリシーのアクションが [Count] (カウント) に設定されている場合、リクエストはカウントされ、ブロックされません。逆に、ポリシーのアクションを [Action set by rule group] (ルールグループによって設定されたアクション) に設定すると、ポリシー内のルールグループのアクションが使用されます。このチュートリアルでは、[Count] (カウント) を選択します。

  7. [Next] (次へ) を選択します。

  8. ポリシーに特定のアカウントのみを含める場合やポリシーから特定のアカウントを除外する場合には、[Select accounts to include/exclude from this policy (optional)] (このポリシーに含める/除外するアカウントを選択する (オプション)) を選択します。[Include only these accounts in this policy] (このアカウントのみをこのポリシーに含める) あるいは [Exclude these accounts from this policy](このアカウントをこのポリシーから除外する) のどちらかを選択します 1 つのオプションのみを選択できます。[Add] (追加) を選択します。含めるアカウント番号または除外するアカウント番号を選び、[OK] を選択します。

    注記

    このオプションを選択しない場合、Firewall Manager は AWS Organizations の組織内のすべてのアカウントにポリシーを適用します。組織に新しいアカウントを追加すると、Firewall Manager はそのアカウントにポリシーを自動的に適用します。

  9. 保護するリソースのタイプを選択します。

  10. 特定のタグを持つリソースのみを保護する場合、または特定のタグを持つリソースを除外する場合は、[Use tags to include/exclude resources] (タグを使用してリソースを含める/除外する) を選択し、タグを入力してから、[Include] (含める) または [Exclude] (除外) を選択します。1 つのオプションのみを選択できます。

    複数のタグをコンマで区切って入力する場合、リソースにこれらのタグのいずれかがある場合は一致するとみなされます。

    タグの詳細については、「タグエディタの使用」を参照してください。

  11. [Create and apply this policy to existing and new resources] (既存および新規のリソースにこのポリシーを作成して適用する) を選択します。

    このオプションは、AWS Organizations の組織内の各関連アカウントにウェブ ACL を作成し、アカウント内の特定のリソースにウェブ ACL を関連付けます。このオプションは、前述の基準 (リソースタイプとタグ) に一致するすべての新しいリソースにもポリシーを適用します。また、[Create but do not apply this policy to existing or new resources] (作成するが既存および新規のリソースにこのポリシーを適用しない) を選択する場合は、Firewall Manager により組織内の各関連アカウントにウェブ ACL が作成されますが、ウェブ ACL はいずれのリソースにも適用されません。ポリシーは後でリソースに適用する必要があります。

  12. [Replace existing associated web ACLs] (既存の関連付けられたウェブ ACL を置換) の選択肢は、デフォルト設定のままにします。

    このオプションを選択すると、Firewall Manager は、新しいポリシーのウェブ ACL を関連付ける前に、範囲内のリソースから既存のウェブ ACL の関連付けをすべて削除します。

  13. [Next] (次へ) を選択します。

  14. 新しいポリシーを確認します。設定を変更するには、[Edit] (編集) を選択します。ポリシーが完成したら、[Create policy] (ポリシーの作成) を選択します。