AWS の マネージドポリシーAWS Firewall Manager - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
AWSFMAdminFullAccessFMSServiceRolePolicyAWSFMAdminReadOnlyAccessAWSFMMemberReadOnlyAccessポリシーの更新

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

AWS の マネージドポリシーAWS Firewall Manager

AWS マネージドポリシーは、AWS が作成および管理するスタンドアロンポリシーです。AWS マネージドポリシーは、多くの一般的なユースケースに対してアクセス許可を提供するように設計されているため、ユーザー、グループ、ロールへのアクセス権の割り当てを開始できます。

AWS マネージドポリシーは、ご利用の特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることにご注意ください。これは、すべての AWS ユーザーが使用できるようになるのを避けるためです。ユースケースに固有のカスタマー管理ポリシーを定義して、アクセス許可を絞り込むことをお勧めします。

AWS マネージドポリシーで定義されたアクセス許可は変更できません。AWS が AWS マネージドポリシーに定義されている権限を更新すると、更新はポリシーがアタッチされているすべてのプリンシパルアイデンティティ (ユーザー、グループ、ロール) に影響します。新しい AWS のサービス を起動するか、既存のサービスで新しい API オペレーションが使用可能になると、AWS が AWS マネージドポリシーを更新する可能性が最も高くなります。

詳細については、「IAM ユーザーガイド」の「AWS マネージドポリシー」を参照してください。

AWS マネージドポリシー: AWSFMAdminFullAccess

AWSFMAdminFullAccess AWS マネージドポリシーを使用して、すべての Firewall Manager ポリシータイプを始めとする AWS Firewall Manager リソースへのアクセスを管理者に許可します。このポリシーには、AWS Firewall Manager で Amazon Simple Notification Service 通知を設定するためのアクセス許可は含まれていません。Amazon Simple Notification Service のアクセスを設定する方法については、「Setting up access for Amazon Simple Notification Service」(Amazon Simple Notification Service のアクセスをセットアップする) を参照してください。

ポリシーリストの詳細については、IAM コンソールで「AWSFMAdminFullAccess」を参照してください。このセクションの残りの部分では、ポリシー設定の概要を説明します。

アクセス権限のステートメント

このポリシーは、一連のアクセス許可に基づくステートメントにグループ化されます。

  • AWS Firewall Manager ポリシーリソース - すべての Firewall Manager ポリシータイプを始めとする AWS Firewall Manager のリソースへの完全な管理アクセスを許可します。

  • Amazon Simple Storage Service への AWS WAF ログの書き込み - Firewall Manager による Amazon S3 での AWS WAF ログの書き込みと読み取りを許可します。

  • サービスにリンクされたロールの作成 – 管理者がサービスにリンクされたロールを作成できるようにします。これにより、Firewall Manager がユーザーに代わって他のサービスのリソースを分析できるようになります。このアクセス許可では、Firewall Manager が使用するサービスリンクロールのみを作成できます。Firewall Manager がサービスリンクロールを使用する方法の詳細については、Firewall Manager のサービスにリンクされたロールの使用 を参照してください。

  • AWS Organizations — 管理者による AWS Organizations の組織への Firewall Manager の使用を許可します。AWS Organizations で Firewall Manager の信頼できるアクセスを有効にすると、管理アカウントのメンバーは組織全体の調査結果を表示できます。AWS Organizations と AWS Firewall Manager の使用については、「AWS Organizations ユーザーガイド」の「Using with other AWS services」(その他の サービスと共に AWS Organizations を使用する) を参照してください。

アクセス権限カテゴリ

以下は、ポリシー内のアクセス権限のタイプと、それらが提供するアクセス権限の一覧です。

  • fms – AWS Firewall Manager リソースの動作。

  • waf および waf-regional – AWS WAF Classic ポリシーの動作。

  • elasticloadbalancing – AWS WAF ウェブ ACLsto Elastic Load Balancer を関連付けます。

  • firehose – AWS WAF ログに関する情報を表示します。

  • organizations – AWS Organizations リソースの動作。

  • shield – AWS Shield ポリシーのサブスクリプション状態を表示します。

  • route53resolver – VPC 用 Route 53 プライベート DNS ポリシー内の VPC 用 Route 53 プライベート DNS ルールグループを使用します。

  • wafv2 – AWS WAFV2 ポリシーの動作。

  • network-firewall – AWS Network Firewall ポリシーの動作。

  • ec2 – ポリシーの利用可能なゾーンとリージョンを表示します。

  • s3 – AWS WAF ログに関する情報を表示します。

AWS マネージドポリシー: FMSServiceRolePolicy

このポリシーにより、AWS Firewall Manager は、Firewall Manager および統合サービスでユーザーに代わって AWS リソースを管理できます。このポリシーは、AWSServiceRoleForFMS サービスにリンクされたロールにアタッチされます。サービスにリンクされたロールの詳細については、「Firewall Manager のサービスにリンクされたロールの使用」を参照してください。

ポリシーの詳細については、FMSServiceRolePolicy の IAM コンソールを参照してください。

AWS マネージドポリシー: AWSFMAdminReadOnlyAccess

AWS Firewall Manager のすべてのリソースへの読み取り専用アクセス権を付与します。

ポリシーリストとその詳細については、IAM コンソールで「AWSFMAdminReadOnlyAccess」を参照してください。このセクションの残りの部分では、ポリシー設定の概要を説明します。

アクセス権限カテゴリ

以下は、ポリシー内のアクセス許可のタイプと、アクセス許可が読み取り専用アクセスを許可する情報の一覧です。

  • fms – AWS Firewall Manager リソース。

  • waf および waf-regional – AWS WAF Classic ポリシー。

  • firehose – AWS WAF ログ。

  • organizations – AWS 組織のリソース。

  • shield – AWS Shield ポリシー。

  • route53resolver – VPC 用 Route 53 プライベート DNS ポリシー内の VPC 用 Route 53 プライベート DNS ルールグループ。

  • wafv2 – AWS WAFV2 で利用可能な AWS WAFV2 ルールグループと AWS マネージドルールのルールグループ。

  • network-firewall – AWS Network Firewall ルールグループとルールグループのメタデータ。

  • ec2 – AWS Network Firewall ポリシーの利用可能なゾーンとリージョン。

  • s3 – AWS WAF ログ。

AWS マネージドポリシー: AWSFMMemberReadOnlyAccess

AWS Firewall Manager メンバーリソースへの読み取り専用アクセスを許可します。ポリシーの詳細については、IAM コンソールで「AWSFMMemberReadOnlyAccess」を参照してください。

AWS マネージドポリシーに対する Firewall Manager の更新

Firewall Manager の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページへの変更に関する自動アラートについては、Firewall Manager のドキュメント履歴ページ (ドキュメント履歴) で RSS フィードをサブスクライブしてください。

変更 説明 日付

FMSServiceRolePolicy – 更新されたポリシー

Firewall Manager のサービスポリシーにアクセス許可を追加しました。

Amazon CloudFront に必要な以下のアクセス許可を追加しました。

  • cloudfront:AssociateDistributionWebACL – AWS WAF ウェブ ACL を CloudFront ディストリビューションに関連付けるアクセス許可を付与します

  • cloudfront:DisassociateDistributionWebACL – AWS WAF ウェブ ACL と CloudFront ディストリビューションの関連付けを解除するアクセス許可を付与します

 2025-05-21

FMSServiceRolePolicy – 更新されたポリシー

Firewall Manager のサービスポリシーにアクセス許可を追加しました。

リソース設定ステータスをバッチで取得する BatchGetResourceConfig アクセス許可を追加しました。IAM コンソールで更新されたポリシーを参照してください: FMSServiceRolePolicy

 2025-02-10

FMSServiceRolePolicy – 更新されたポリシー

Firewall Manager のサービスロールポリシーにアクセス権限を追加しました。

Network Firewall TLS 設定情報を読み取る機能を追加しました。IAM コンソールで更新されたポリシーを参照してください: FMSServiceRolePolicy

 2024-07-22

FMSServiceRolePolicy – 更新されたポリシー

ネットワーク ACL を管理するためのアクセス権限を追加しました。

IAM コンソールで更新されたポリシーを参照してください: FMSServiceRolePolicy

 2024-04-22

FMSServiceRolePolicy – 更新されたポリシー

指定した AWS Config ルールが規格に適合しているかどうかを、Firewall Manager が記述できるようにする許可を追加しました。

IAM コンソールで更新されたポリシーを参照してください: FMSServiceRolePolicy

 2023-04-21

FMSServiceRolePolicy – 更新されたポリシー

Firewall Manager が Amazon EC2 インスタンスとネットワークインターフェイスの属性を記述できるようにするアクセス許可が追加されました。

IAM コンソールで更新されたポリシーを参照してください: FMSServiceRolePolicy

 2022-11-15

AWSFMAdminReadOnlyAccess – 更新されたポリシー

AWS WAFV2、Shield、Network Firewall、DNS Firewall、Amazon VPC セキュリティグループ、ポリシーをサポートするアクセス許可を追加しました。

IAM コンソールで更新されたポリシーを参照してください: AWSFMAdminReadOnlyAccess

 2022-11-02

AWSFMAdminFullAccess – 更新されたポリシー

AWS WAFV2、Shield、Network Firewall、DNS Firewall、Amazon VPC セキュリティグループ、ポリシーをサポートするアクセス許可を追加しました。Amazon SNS のアクセス許可を削除しました。

IAM コンソールで更新されたポリシー (AWSFMAdminFullAccess) を参照してください。

 2022-10-21

FMSServiceRolePolicy – AWS Firewall Manager サードパーティーのファイアウォールポリシーの新しい許可

この変更により、Firewall Manager は、サードパーティーのファイアウォールポリシーに関連付けられた Amazon EC2 VPC エンドポイントを作成および削除できます。

 2022-03-30

FMSServiceRolePolicy – AWS Network Firewall ポリシーの新しい許可

Network Firewall ポリシーのファイアウォールのデプロイをサポートするための新しい許可を追加しました。新しい許可により、ポリシーの範囲内にあるアカウントのアベイラビリティーゾーンに関する情報を取得できます。

 2022-02-16

FMSServiceRolePolicy – AWS Shield ポリシーの新しい許可

AWS WAF リージョンレベルおよび AWS WAF グローバルリソースのタグを取得するための新しい許可を追加しました。リソース ARN を使用してウェブ ACL を取得するための AWS WAF リージョンレベルの許可を追加しました。Shield アプリケーションレイヤー DDoS 自動緩和をサポートするための許可を追加しました。

 2022-01-07

FMSServiceRolePolicy – AWS Shield ポリシーの新しい許可

Elastic Load Balancing リソース用にタグを取得するための新しい許可を追加しました。

 2021-11-18

FMSServiceRolePolicy – セキュリティグループと AWS Network Firewall ポリシーの新しい許可

AWS Network Firewall ポリシーの集中ログを有効にするための新しい許可を追加しました。さらに、セキュリティグループポリシーのリソースの AWS Firewall Manager によるクエリ方法に影響を与える Config サービスへの変更をサポートするために、読み取り専用の Amazon EC2 許可を追加しました。

 2021-09-29

FMSServiceRolePolicy – AWS WAF リソースの ARN 形式

AWS WAF リソースの ARN 形式を標準化するように FMSServiceRolePolicy を更新しました。更新された ARN 形式は arn:aws:waf:*:*:*arn:aws:waf-regional:*:*:* です。

 2021-08-12

FMSServiceRolePolicy - 中国の他のリージョン

AWS Firewall Manager は、中国の BJS および ZHY リージョンで FMSServiceRolePolicy を有効にしました。

 2021-08-12

FMSServiceRolePolicy - 既存のポリシーに対する更新

AWS Firewall Manager による Amazon Route 53 Resolver DNS Firewall の管理を可能にするための新しい許可を追加しました。

この変更により、Firewall Manager は Amazon Route 53 Resolver DNS Firewall の関連付けを設定できるようになります。これにより、Firewall Manager を使用して、AWS Organizations の組織全体で VPC のために DNS Firewall 保護を提供できます。

 2021-03-17

Firewall Manager が変更の追跡を開始

Firewall Manager が AWS マネージドポリシーの変更の追跡を開始しました。

 2021-03-02