Firewall Manager の Amazon Route 53 Resolver DNS Firewall ポリシーを使用する - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

Firewall Manager の Amazon Route 53 Resolver DNS Firewall ポリシーを使用する

このページでは、AWS Firewall Manager DNS Firewall ポリシーを使用して、Amazon Route 53 Resolver DNS Firewall ルールグループと AWS Organizations の組織全体の Amazon Virtual Private Cloud VPC との間の関連付けの管理について説明します。一元管理されたルールグループを組織全体に適用することも、アカウントと VPC の選択したサブセットに適用することもできます。

DNS Firewall は、VPC のアウトバウンド DNS トラフィックのフィルタリングと規制を提供します。DNS Firewall のルールグループで再利用可能なフィルタリングルールのコレクションを作成し、そのルールグループを VPC に関連付けます。Firewall Manager ポリシーを適用すると、ポリシーの範囲内にある各アカウントおよび VPC について、Firewall Manager は、Firewall Manager ポリシーで指定した関連付けの優先順位の設定を使用して、ポリシー内の各 DNS Firewall ルールグループと、ポリシーの範囲内にある各 VPC の間の関連付けを作成します。

DNS Firewall の使用方法については、「Amazon Route 53 デベロッパーガイド」の「Amazon Route 53 Resolver DNS Firewall」を参照してください。

次のセクションでは、Firewall Manager の DNS Firewall ポリシーを使用するための要件と、ポリシーの仕組みについて説明します。ポリシーの作成手順については、「Amazon Route 53 Resolver DNS Firewall の AWS Firewall Manager ポリシーの作成」を参照してください。

重要

リソース共有を有効にする必要があります。DNS Firewall ポリシーは、組織内のアカウント全体で DNS Firewall ルールグループを共有します。これを機能させるには、AWS Organizations でリソース共有を有効にする必要があります。リソース共有を有効にする方法については、「Network Firewall ポリシーと DNS Firewall ポリシーのリソース共有」を参照してください。

重要

DNS Firewall ルールグループを定義する必要があります。新しい DNS Firewall ポリシーを指定する際に、Amazon Route 53 Resolver DNS Firewall を直接使用する場合と同じようにルールグループを定義します。ルールグループをポリシーに含めるには、そのルールグループが Firewall Manager 管理者アカウントに既に存在している必要があります。DNS Firewall ルールグループの作成については、「DNS Firewall のルールグループとルール」を参照してください。

優先順位が最低のルールグループと最高のルールグループの関連付けを定義します

Firewall Manager の DNS Firewall ポリシーを通じて管理する DNS Firewall ルールグループの関連付けには、VPC について、優先度が最低の関連付けと優先度が最高の関連付けが含まれます。ポリシー設定では、これらは最初と最後のルールグループとして表示されます。

DNS Firewall は、VPC の DNS トラフィックを次の順序でフィルタリングします。

  1. Firewall Manager の DNS Firewall ポリシーで定義されている最初のルールグループ。有効な値は 1~99 です。

  2. DNS Firewall を通じて個々のアカウントマネージャーによって関連付けられた DNS Firewall ルールグループ。

  3. Firewall Manager の DNS Firewall ポリシーで定義されている最後のルールグループ。有効な値は 9,901 から 10,000 の間です。

Firewall Manager が作成するルールグループの関連付けの名前を付ける方法

DNS Firewall ポリシーを保存するときに自動修復を有効にした場合、Firewall Manager は、ポリシーで指定したルールグループとポリシーの範囲内にある VPC の間に DNS Firewall の関連付けを作成します。Firewall Manager は、次の値を連結することにより、これらの関連付けに名前を付けます。

  • 固定文字列、FMManaged_

  • Firewall Manager ポリシー ID。これは、Firewall Manager ポリシーの AWS リソース ID です。

Firewall Manager によって管理されるファイアウォールの名前の例を次に示します。

FMManaged_EXAMPLEDNSFirewallPolicyId

ポリシーを作成した後、VPC のアカウント所有者がファイアウォールポリシー設定またはルールグループの関連付けを上書きすると、Firewall Manager は、ポリシーを非準拠としてマークし、是正措置の提案を試みます。アカウント所有者は、DNS Firewall ポリシーの範囲内の VPC に他の DNS Firewall ルールグループを関連付けることができます。個々のアカウント所有者によって作成された関連付けには、最初と最後のルールグループの関連付けの間で優先順位の設定が必要です。