**の新しいコンソールエクスペリエンスの紹介 AWS WAF**
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# の Identity and Access Management AWS Firewall Manager
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を (サインインについて) 認証し、Firewall Manager リソースの使用について誰を認可 (アクセス許可を付与) するのかを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。
**Topics**
+ [オーディエンス](#security_iam_audience)
+ [アイデンティティを使用した認証](#security_iam_authentication)
+ [ポリシーを使用したアクセスの管理](#security_iam_access-manage)
+ [が IAM と AWS Firewall Manager 連携する方法](fms-security_iam_service-with-iam.md)
+ [のアイデンティティベースのポリシーの例 AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)
+ [AWS の 管理ポリシー AWS Firewall Manager](fms-security-iam-awsmanpol.md)
+ [AWS Firewall Manager ID とアクセスのトラブルシューティング](fms-security_iam_troubleshoot.md)
+ [Firewall Manager のサービスにリンクされたロールの使用](fms-using-service-linked-roles.md)
+ [サービス間の混乱した代理の防止](cross-service-confused-deputy-prevention.md)
## オーディエンス
AWS Identity and Access Management (IAM) の使用方法は、Firewall Manager で行う作業によって異なります。
**サービスユーザー** – ジョブを実行するために Firewall Manager サービスを使用するユーザーには、必要な認証情報とアクセス許可を管理者が付与します。さらに多くの Firewall Manager の機能を使用して作業を行う際には、追加のアクセス許可が必要になる場合があります。アクセスの管理方法を理解すると、管理者に適切なアクセス許可をリクエストするのに役に立ちます。アクセスが不可能な Firewall Manager の機能がある場合は、「[AWS Shield ID とアクセスのトラブルシューティング](shd-security_iam_troubleshoot.md)」を参照してください。
**サービス管理者** – 社内で Firewall Manager のリソースを担当しているユーザーには、通常、Firewall Manager への完全なアクセス権が付与されます。Firewall Manager 機能やリソースに対するアクセス権を、サービスを利用しているユーザーの中の誰に付与するかを決めるのは、管理者の仕事です。その後、IAM 管理者にリクエストを送信して、サービスユーザーの権限を変更する必要があります。このページの情報を点検して、IAM の基本概念を理解してください。社内で Firewall Manager と IAM をどのように使用できるかの詳細については、「[が IAM と AWS Shield 連携する方法](shd-security_iam_service-with-iam.md)」を参照してください。
**IAM 管理者** – 管理者は、Firewall Manager へのアクセスを管理するポリシーの作成方法について、詳しく理解しておく必要があります。IAM で使用できる、Firewall Manager でのアイデンティティベースのポリシーの例は、「[のアイデンティティベースのポリシーの例 AWS Shield](shd-security_iam_id-based-policy-examples.md)」で確認してください。
## アイデンティティを使用した認証
認証とは、ID 認証情報 AWS を使用して にサインインする方法です。、IAM ユーザー AWS アカウントのルートユーザー、または IAM ロールを引き受けることで認証される必要があります。
AWS IAM アイデンティティセンター (IAM Identity Center)、シングルサインオン認証、Google/Facebook 認証情報などの ID ソースからの認証情報を使用して、フェデレーティッド ID としてサインインできます。サインインの詳細については、「*AWS サインイン ユーザーガイド*」の「[AWS アカウントにサインインする方法](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)」を参照してください。
プログラムによるアクセスの場合、 は SDK と CLI AWS を提供してリクエストを暗号化して署名します。詳細については、「*IAM ユーザーガイド*」の「[API リクエストに対するAWS 署名バージョン 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)」を参照してください。
### AWS アカウント ルートユーザー
を作成するときは AWS アカウント、すべての AWS のサービス および リソースへの完全なアクセス権を持つ AWS アカウント *ルートユーザー*と呼ばれる 1 つのサインインアイデンティティから始めます。日常的なタスクには、ルートユーザーを使用しないことを強くお勧めします。ルートユーザー認証情報を必要とするタスクについては、「*IAM ユーザーガイド*」の「[ルートユーザー認証情報が必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)」を参照してください。
### フェデレーテッドアイデンティティ
ベストプラクティスとして、人間のユーザーが一時的な認証情報 AWS のサービス を使用して にアクセスするには、ID プロバイダーとのフェデレーションを使用する必要があります。
*フェデレーティッド ID* は、エンタープライズディレクトリ、ウェブ ID プロバイダー、または ID ソースからの認証情報 AWS のサービス を使用して Directory Service にアクセスするユーザーです。フェデレーテッドアイデンティティは、一時的な認証情報を提供するロールを引き受けます。
アクセスを一元管理する場合は、 AWS IAM アイデンティティセンターをお勧めします。詳細については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[IAM アイデンティティセンターとは](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)」を参照してください。
### IAM ユーザーとグループ
*[IAM ユーザー](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*は、特定の個人やアプリケーションに対する特定のアクセス許可を持つアイデンティティです。長期認証情報を持つ IAM ユーザーの代わりに一時的な認証情報を使用することをお勧めします。詳細については、*IAM ユーザーガイド*の[「ID プロバイダーとのフェデレーションを使用して にアクセスすることを人間 AWS のユーザーに要求する](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)」を参照してください。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)は、IAM ユーザーの集合を指定し、大量のユーザーに対するアクセス許可の管理を容易にします。詳細については、「*IAM ユーザーガイド*」の「[IAM ユーザーに関するユースケース](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)」を参照してください。
### IAM ロール
*[IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*は、特定のアクセス許可を持つアイデンティであり、一時的な認証情報を提供します。[ユーザーから IAM ロール (コンソール) に切り替えるか、 または API オペレーションを呼び出すことで、ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)を引き受けることができます。 AWS CLI AWS 詳細については、「*IAM ユーザーガイド*」の「[ロールを引き受けるための各種方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)」を参照してください。
IAM ロールは、フェデレーションユーザーアクセス、一時的な IAM ユーザーのアクセス許可、クロスアカウントアクセス、クロスサービスアクセス、および Amazon EC2 で実行するアプリケーションに役立ちます。詳細については、*IAM ユーザーガイド* の [IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) を参照してください。
## ポリシーを使用したアクセスの管理
でアクセスを制御する AWS には、ポリシーを作成し、ID AWS またはリソースにアタッチします。ポリシーは、アイデンティティまたはリソースに関連付けられたときにアクセス許可を定義します。 は、プリンシパルがリクエストを行うときにこれらのポリシー AWS を評価します。ほとんどのポリシーは JSON ドキュメント AWS として に保存されます。JSON ポリシードキュメントの詳細については、「*IAM ユーザーガイド*」の「[JSON ポリシー概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)」を参照してください。
管理者は、ポリシーを使用して、どの**プリンシパル**がどの**リソース**に対して、どのような**条件**で**アクション**を実行できるかを定義することで、誰が何にアクセスできるかを指定します。
デフォルトでは、ユーザーやロールにアクセス許可はありません。IAM 管理者は IAM ポリシーを作成してロールに追加し、このロールをユーザーが引き受けられるようにします。IAM ポリシーは、オペレーションの実行方法を問わず、アクセス許可を定義します。
### アイデンティティベースのポリシー
アイデンティティベースのポリシーは、アイデンティティ (ユーザー、グループ、またはロール) にアタッチできる JSON アクセス許可ポリシードキュメントです。これらのポリシーは、アイデンティティがどのリソースに対してどのような条件下でどのようなアクションを実行できるかを制御します。アイデンティティベースポリシーの作成方法については、*IAM ユーザーガイド* の [カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) を参照してください。
アイデンティティベースのポリシーは、*インラインポリシー* (単一の ID に直接埋め込む) または*管理ポリシー* (複数の ID にアタッチされたスタンドアロンポリシー) にすることができます。管理ポリシーとインラインポリシーのいずれかを選択する方法については、「*IAM ユーザーガイド*」の「[管理ポリシーとインラインポリシーのいずれかを選択する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)」を参照してください。
### リソースベースのポリシー
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。例としては、IAM *ロール信頼ポリシー*や Amazon S3 *バケットポリシー*などがあります。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスを制御できます。リソースベースのポリシーでは、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。
リソースベースのポリシーは、そのサービス内にあるインラインポリシーです。リソースベースのポリシーでは、IAM の AWS マネージドポリシーを使用できません。
### アクセスコントロールリスト (ACL)
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
Amazon S3、および Amazon VPC は AWS WAF、ACLs。ACL の詳細については、*Amazon Simple Storage Service デベロッパーガイド* の [アクセスコントロールリスト (ACL) の概要](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) を参照してください。
### その他のポリシータイプ
AWS は、より一般的なポリシータイプによって付与されるアクセス許可の最大数を設定できる追加のポリシータイプをサポートしています。
+ **アクセス許可の境界** – アイデンティティベースのポリシーで IAM エンティティに付与することのできるアクセス許可の数の上限を設定します。詳細については、「*IAM ユーザーガイド*」の「[IAM エンティティのアクセス許可境界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)」を参照してください。
+ **サービスコントロールポリシー (SCP)** - AWS Organizations内の組織または組織単位の最大のアクセス許可を指定します。詳細については、「*AWS Organizations ユーザーガイド*」の「[サービスコントロールポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)」を参照してください。
+ **リソースコントロールポリシー (RCP)** – は、アカウント内のリソースで利用できる最大数のアクセス許可を定義します。詳細については、「*AWS Organizations ユーザーガイド*」の「[リソースコントロールポリシー (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)」を参照してください。
+ **セッションポリシー** – ロールまたはフェデレーションユーザーの一時セッションを作成する際にパラメータとして渡される高度なポリシーです。詳細については、「*IAM ユーザーガイド*」の「[セッションポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)」を参照してください。
### 複数のポリシータイプ
1 つのリクエストに複数のタイプのポリシーが適用されると、結果として作成されるアクセス許可を理解するのがさらに難しくなります。が複数のポリシータイプが関与する場合にリクエストを許可するかどうか AWS を決定する方法については、*「IAM ユーザーガイド*」の[「ポリシー評価ロジック](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)」を参照してください。
# が IAM と AWS Firewall Manager 連携する方法
IAM を使用して Firewall Manager へのアクセスを管理する前に、Firewall Manager で使用できる IAM の機能を把握してください。
**で使用できる IAM 機能 AWS Firewall Manager**
| IAM 機能 | Firewall Manager のサポート |
| --- | --- |
| [アイデンティティベースのポリシー](#fms-security_iam_service-with-iam-id-based-policies) | あり |
| [リソースベースのポリシー](#fms-security_iam_service-with-iam-resource-based-policies) | なし |
| [ポリシーアクション](#fms-security_iam_service-with-iam-id-based-policies-actions) | あり |
| [ポリシーリソース](#fms-security_iam_service-with-iam-id-based-policies-resources) | はい |
| [ポリシー条件キー (サポート固有)](#fms-security_iam_service-with-iam-id-based-policies-conditionkeys) | いいえ |
| [ACL](#fms-security_iam_service-with-iam-acls) | なし |
| [ABAC (ポリシー内のタグ)](#fms-security_iam_service-with-iam-tags) | あり |
| [一時的な認証情報](#fms-security_iam_service-with-iam-roles-tempcreds) | あり |
| [転送アクセスセッション (FAS)](#fms-security_iam_service-with-iam-principal-permissions) | あり |
| [サービスロール](#fms-security_iam_service-with-iam-roles-service) | 部分的 |
| [サービスリンクロール](#fms-security_iam_service-with-iam-roles-service-linked) | はい |
Firewall Manager およびその他の AWS のサービスがほとんどの IAM 機能と連携する方法の概要については、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## Firewall Manager 用 ID ベースのポリシー
**アイデンティティベースのポリシーのサポート:** あり
アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
Firewall Manager でのアイデンティティベースのポリシーの例については、「[のアイデンティティベースのポリシーの例 AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)」を参照してください。
### Firewall Manager のための ID ベースのポリシー例
Firewall Manager でのアイデンティティベースのポリシーの例については、「[のアイデンティティベースのポリシーの例 AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)」を参照してください。
## Firewall Manager 内のリソースベースのポリシー
**リソースベースのポリシーのサポート:** なし
リソースベースのポリシーは、リソースに添付する JSON ポリシードキュメントです。リソースベースのポリシーには例として、IAM *ロールの信頼ポリシー*や Amazon S3 *バケットポリシー*があげられます。リソースベースのポリシーをサポートするサービスでは、サービス管理者はポリシーを使用して特定のリソースへのアクセスをコントロールできます。ポリシーがアタッチされているリソースの場合、指定されたプリンシパルがそのリソースに対して実行できるアクションと条件は、ポリシーによって定義されます。リソースベースのポリシーで、[プリンシパルを指定する](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)必要があります。プリンシパルには、アカウント、ユーザー、ロール、フェデレーティッドユーザー、または を含めることができます AWS のサービス。
クロスアカウントアクセスを有効にするには、全体のアカウント、または別のアカウントの IAM エンティティを、リソースベースのポリシーのプリンシパルとして指定します。詳細については、IAM ユーザーガイド**の[IAM でのクロスアカウントリソースアクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)を参照してください。
## Firewall Manager のポリシーアクション
**ポリシーアクションのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
JSON ポリシーの `Action` 要素にはポリシー内のアクセスを許可または拒否するために使用できるアクションが記述されます。このアクションは関連付けられたオペレーションを実行するためのアクセス許可を付与するポリシーで使用されます。
Firewall Manager アクションのリストを確認するには、「*サービス認可リファレンス*」の「[AWS Firewall Managerで定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-actions-as-permissions)」を参照してください。
Firewall Manager のポリシーアクションには、次のプレフィックスを付加します。
```
fms
```
単一のステートメントで複数のアクションを指定するには、アクションをカンマで区切ります。
```
"Action": [
"fms:action1",
"fms:action2"
]
```
ワイルドカード (\$1) を使用して複数アクションを指定できます。例えば、`Describe` という単語で始まるすべてのアクションを指定するには次のアクションを含めます。
```
"Action": "fms:Describe*"
```
Firewall Manager でのアイデンティティベースのポリシーの例については、「[のアイデンティティベースのポリシーの例 AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)」を参照してください。
## Firewall Manager のポリシーリソース
**ポリシーリソースのサポート:** あり
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件**下で**アクション**を実行できるかということです。
`Resource` JSON ポリシー要素はアクションが適用されるオブジェクトを指定します。ベストプラクティスとして、[Amazon リソースネーム (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) を使用してリソースを指定します。リソースレベルのアクセス許可をサポートしないアクションの場合は、ステートメントがすべてのリソースに適用されることを示すために、ワイルドカード (\$1) を使用します。
```
"Resource": "*"
```
Firewall Manager リソースタイプとその ARN のリストを確認するには、「*Service Authorization Reference*」の「[AWS Firewall Managerで定義されるリソースタイプ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-resources-for-iam-policies)」を参照してください。どのアクションで各リソースの ARN を指定できるかについては、「[AWS Firewall Managerで定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-actions-as-permissions)」を参照してください。
Firewall Manager でのアイデンティティベースのポリシーの例については、「[のアイデンティティベースのポリシーの例 AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)」を参照してください。
## Firewall Manager のポリシー条件キー
**サービス固有のポリシー条件キーへのサポート:** なし
管理者は JSON AWS ポリシーを使用して、誰が何にアクセスできるかを指定できます。つまり、どの**プリンシパル**がどの**リソース**に対してどのような**条件下で****アクション**を実行できるかということです。
`Condition` 要素は、定義された基準に基づいてステートメントが実行される時期を指定します。イコールや未満などの[条件演算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)を使用して条件式を作成して、ポリシーの条件とリクエスト内の値を一致させることができます。すべての AWS グローバル条件キーを確認するには、*「IAM ユーザーガイド*」の[AWS 「グローバル条件コンテキストキー](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)」を参照してください。
Firewall Manager の条件キーのリストを確認するには、「*Service Authorization Reference*」の「[AWS Firewall Managerの条件キー](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-policy-keys)」を参照してください。条件キーを使用できるアクションとリソースについては、[「 で定義されるアクション AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html#awsfirewallmanager-actions-as-permissions)」を参照してください。
Firewall Manager でのアイデンティティベースのポリシーの例については、「[のアイデンティティベースのポリシーの例 AWS Firewall Manager](fms-security_iam_id-based-policy-examples.md)」を参照してください。
## Firewall Manager の ACL
**ACL のサポート:** なし
アクセスコントロールリスト (ACL) は、どのプリンシパル (アカウントメンバー、ユーザー、またはロール) がリソースにアクセスするためのアクセス許可を持つかを制御します。ACL はリソースベースのポリシーに似ていますが、JSON ポリシードキュメント形式は使用しません。
## Firewall Manager を使用する ABAC
**ABAC (ポリシー内のタグ) のサポート:** あり
属性ベースのアクセス制御 (ABAC) は、タグと呼ばれる属性に基づいてアクセス許可を定義する認可戦略です。IAM エンティティと AWS リソースにタグをアタッチし、プリンシパルのタグがリソースのタグと一致するときにオペレーションを許可するように ABAC ポリシーを設計できます。
タグに基づいてアクセスを管理するには、`aws:ResourceTag/key-name`、`aws:RequestTag/key-name`、または `aws:TagKeys` の条件キーを使用して、ポリシーの[条件要素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)でタグ情報を提供します。
サービスがすべてのリソースタイプに対して 3 つの条件キーすべてをサポートする場合、そのサービスの値は**あり**です。サービスが一部のリソースタイプに対してのみ 3 つの条件キーのすべてをサポートする場合、値は「**部分的**」になります。
ABAC の詳細については、「*IAM ユーザーガイド*」の「[ABAC 認可でアクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。ABAC をセットアップする手順を説明するチュートリアルについては、「*IAM ユーザーガイド*」の「[属性ベースのアクセスコントロール (ABAC) を使用する](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)」を参照してください。
## Firewall Manager での一時的な認証情報の使用
**一時的な認証情報のサポート:** あり
一時的な認証情報は、 AWS リソースへの短期的なアクセスを提供し、フェデレーションまたはスイッチロールの使用時に自動的に作成されます。長期的なアクセスキーを使用する代わりに、一時的な認証情報を動的に生成 AWS することをお勧めします。詳細については、「*IAM ユーザーガイド*」の「[IAM の一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」および「[AWS のサービス と IAM との連携](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
## 転送アクセスセッション (Firewall Manager)
**転送アクセスセッション (FAS) のサポート:** あり
転送アクセスセッション (FAS) は、 を呼び出すプリンシパルのアクセス許可と AWS のサービス、ダウンストリームサービス AWS のサービス へのリクエストをリクエストする を使用します。FAS リクエストを行う際のポリシーの詳細については、「[転送アクセスセッション](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)」を参照してください。
## Firewall Manager のサービスロール
**サービスロールへのサポート:** 一部
サービスロールとは、サービスがユーザーに代わってアクションを実行するために引き受ける [IAM ロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)です。IAM 管理者は、IAM 内からサービスロールを作成、変更、削除できます。詳細については、IAM ユーザーガイド**の [AWS のサービスに許可を委任するロールを作成する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)を参照してください。
**警告**
サービスロール向けの許可を変更すると、Firewall Manager の機能が破損する可能性があります。Firewall Manager が指示する場合以外は、サービスロールを編集しないでください。
### Firewall Manager での IAM ロールの選択
Firewall Manager で *PutNotificationChannel* API アクションを使用するには、Firewall Manager による Amazon SNS へのアクセスを許可するロールを選択する必要があります。これにより、サービスがユーザーに代わって Amazon SNS メッセージを発行できるようになります。詳細については、「*AWS Firewall Manager API リファレンス*」の「[PutNotificationChannel](https://amazonaws.com/fms/2018-01-01/APIReference/API_PutNotificationChannel.html)」を参照してください)。
SNS トピックでのアクセス許可設定の例を次に示します。このポリシーを独自のカスタムロールで使用するには、Amazon リソースネーム (ARN) `AWSServiceRoleForFMS` を `SnsRoleName` のARN に置き換えます。
```
{
"Sid": "AWSFirewallManagerSNSPolicy",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::account ID:role/aws-service-role/fms.amazonaws.com/AWSServiceRoleForFMS"
},
"Action": "sns:Publish",
"Resource": "SNS topic ARN"
}
```
Firewall Manager のアクションとリソースの詳細については、「 で定義されるアクション AWS Identity and Access Management 」ガイドトピックを参照してください。 [AWS Firewall Manager](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsfirewallmanager.html#awsfirewallmanager-actions-as-permissions)
## Firewall Manager のサービスにリンクされたロール
**サービスリンクロールのサポート:** あり
サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスにリンクされたロールのアクセス許可を表示できますが、編集することはできません。
サービスにリンクされたロールの作成または管理の詳細については、「[IAM と提携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。表の「**サービスリンクロール**」列に `Yes` と記載されたサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、**[はい]** リンクを選択します。
# のアイデンティティベースのポリシーの例 AWS Firewall Manager
デフォルトでは、ユーザーおよびロールに Firewall Manager のリソースを作成または変更する許可が付与されていません。IAM 管理者は、リソースで必要なアクションを実行するための権限をユーザーに付与する IAM ポリシーを作成できます。
これらのサンプルの JSON ポリシードキュメントを使用して IAM アイデンティティベースのポリシーを作成する方法については、「*IAM ユーザーガイド*」の「[IAM ポリシーを作成する (コンソール)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)」を参照してください。
Firewall Manager が定義するアクションとリソースタイプ (リソースタイプごとの ARN の形式を含む) の詳細については、「*Service Authorization Reference*」の「[Actions, resources, and condition keys for AWS Firewall Manager](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsfirewallmanager.html)」を参照してください。
**Topics**
+ [ポリシーに関するベストプラクティス](#fms-security_iam_service-with-iam-policy-best-practices)
+ [Firewall Manager コンソールの使用](#fms-security_iam_id-based-policy-examples-console)
+ [自分の権限の表示をユーザーに許可する](#fms-security_iam_id-based-policy-examples-view-own-permissions)
+ [Firewall Manager のセキュリティグループに読み取りアクセス権を付与する](#fms-example0)
## ポリシーに関するベストプラクティス
ID ベースのポリシーは、アカウント内で誰かが Firewall Manager のリソースを作成、アクセス、または削除できるどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、セキュリティを強化するために MFA を有効にします。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## Firewall Manager コンソールの使用
AWS Firewall Manager コンソールにアクセスするには、最小限のアクセス許可のセットが必要です。これらのアクセス許可により、 AWS アカウント内の Firewall Manager リソースの詳細をリスト化および表示できます。最小限必要な許可よりも制限が厳しいアイデンティティベースのポリシーを作成すると、そのポリシーを持つエンティティ (ユーザーまたはロール) に対してコンソールが意図したとおりに機能しません。
AWS CLI または AWS API のみを呼び出すユーザーには、最小限のコンソールアクセス許可を付与する必要はありません。代わりに、実行しようとしている API オペレーションに一致するアクションのみへのアクセスが許可されます。
ユーザーとロールが引き続き Firewall Manager コンソールを使用できるようにするには、エンティティに Firewall Manager `ConsoleAccess`または `ReadOnly` AWS 管理ポリシーもアタッチします。詳細については、「*IAM ユーザーガイド*」の「[ユーザーへのアクセス許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。
## 自分の権限の表示をユーザーに許可する
この例では、ユーザーアイデンティティにアタッチされたインラインおよびマネージドポリシーの表示を IAM ユーザーに許可するポリシーの作成方法を示します。このポリシーには、コンソールで、または AWS CLI または AWS API を使用してプログラムでこのアクションを実行するアクセス許可が含まれています。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Firewall Manager のセキュリティグループに読み取りアクセス権を付与する
Firewall Manager は、ユーザーにクロスアカウントでのリソースアクセスを許可しますが、クロスアカウントでのリソース保護を作成することは許可しません。リソースの保護は、それらのリソースを所有するアカウント内からのみ作成できます。
すべてのリソースの `fms:Get` 、`fms:List`、および `ec2:DescribeSecurityGroups` アクションへの、アクセス許可を付与するポリシーの例を次に示します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"fms:Get*",
"fms:List*",
"ec2:DescribeSecurityGroups"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
# AWS の 管理ポリシー AWS Firewall Manager
AWS 管理ポリシーは、 によって作成および管理されるスタンドアロンポリシーです AWS。 AWS 管理ポリシーは、ユーザー、グループ、ロールにアクセス許可の割り当てを開始できるように、多くの一般的なユースケースにアクセス許可を付与するように設計されています。
AWS 管理ポリシーは、すべての AWS お客様が使用できるため、特定のユースケースに対して最小特権のアクセス許可を付与しない場合があることに注意してください。ユースケースに固有の[カスタマー管理ポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)を定義して、アクセス許可を絞り込むことをお勧めします。
AWS 管理ポリシーで定義されているアクセス許可は変更できません。が AWS マネージドポリシーで定義されたアクセス許可 AWS を更新すると、ポリシーがアタッチされているすべてのプリンシパル ID (ユーザー、グループ、ロール) に影響します。 AWS は、新しい が起動されるか、新しい API オペレーション AWS のサービス が既存のサービスで使用できるようになったときに、 AWS マネージドポリシーを更新する可能性が高くなります。
詳細については、「**IAM ユーザーガイド」の「[AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)」を参照してください。
## AWS 管理ポリシー: `AWSFMAdminFullAccess`
`AWSFMAdminFullAccess` AWS 管理ポリシーを使用して、管理者がすべての Firewall Manager ポリシータイプを含む AWS Firewall Manager リソースにアクセスできるようにします。このポリシーには、 AWS Firewall Managerで Amazon Simple Notification Service 通知を設定するためのアクセス許可は含まれません。Amazon Simple Notification Service のアクセスを設定する方法については、「[Setting up access for Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/sns-setting-up.html)」(Amazon Simple Notification Service のアクセスをセットアップする) を参照してください。
ポリシーリストの詳細については、IAM コンソールで「[AWSFMAdminFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminFullAccess$serviceLevelSummary)」を参照してください。このセクションの残りの部分では、ポリシー設定の概要を説明します。
**アクセス権限のステートメント**
このポリシーは、一連のアクセス許可に基づくステートメントにグループ化されます。
+ **AWS Firewall Manager ポリシーリソース** - すべての Firewall Manager ポリシータイプを含む AWS Firewall Manager、 のリソースへの完全な管理アクセス許可を許可します。
+ **Amazon Simple Storage Service への AWS WAF ログの書き込み** - Firewall Manager に Amazon S3 での AWS WAF ログの書き込みと読み取りを許可します。
+ **サービスにリンクされたロールの作成** – 管理者がサービスにリンクされたロールを作成できるようにします。これにより、Firewall Manager がユーザーに代わって他のサービスのリソースを分析できるようになります。このアクセス許可では、Firewall Manager が使用するサービスリンクロールのみを作成できます。Firewall Manager がサービスリンクロールを使用する方法の詳細については、[Firewall Manager のサービスにリンクされたロールの使用](fms-using-service-linked-roles.md) を参照してください。
+ **AWS Organizations** — 管理者によるの組織への Firewall Manager の使用を許可します。 AWS Organizationsで Firewall Manager の信頼されたアクセスを有効にすると AWS Organizations、管理者アカウントのメンバーは組織全体の結果を表示できます。 AWS Organizations で を使用する方法については AWS Firewall Manager、「 *AWS Organizations ユーザーガイド*」の「 を[他の AWS のサービス AWS Organizations で使用する](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)」を参照してください。
**アクセス権限カテゴリ**
以下は、ポリシー内のアクセス権限のタイプと、それらが提供するアクセス権限の一覧です。
+ `fms` – AWS Firewall Manager リソースを使用します。
+ `waf` および `waf-regional` – AWS WAF Classic ポリシーの動作。
+ `elasticloadbalancing` – AWS WAF ウェブ ACLsto。
+ `firehose` – AWS WAF ログに関する情報を表示します。
+ `organizations` – AWS Organizations リソースを使用します。
+ `shield` – AWS Shield ポリシーのサブスクリプション状態を表示します。
+ `route53resolver` – VPC 用 Route 53 プライベート DNS ポリシー内の VPC 用 Route 53 プライベート DNS ルールグループを使用します。
+ `wafv2` – AWS WAFV2 ポリシーを使用します。
+ `network-firewall` – AWS Network Firewall ポリシーを使用します。
+ `ec2` – ポリシーの利用可能なゾーンとリージョンを表示します。
+ `s3` – AWS WAF ログに関する情報を表示します。
## AWS 管理ポリシー: `FMSServiceRolePolicy`
このポリシーにより AWS Firewall Manager 、 は Firewall Manager および統合サービスでユーザーに代わって AWS リソースを管理できます。このポリシーは、`AWSServiceRoleForFMS` サービスにリンクされたロールにアタッチされます。サービスにリンクされたロールの詳細については、「[Firewall Manager のサービスにリンクされたロールの使用](fms-using-service-linked-roles.md)」を参照してください。
ポリシーの詳細については、[FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary) の IAM コンソールを参照してください。
## AWS マネージドポリシー: AWSFMAdminReadOnlyAccess
すべての AWS Firewall Manager リソースへの読み取り専用アクセスを許可します。
ポリシーリストとその詳細については、IAM コンソールで「[AWSFMAdminReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminReadOnlyAccess$serviceLevelSummary)」を参照してください。このセクションの残りの部分では、ポリシー設定の概要を説明します。
**アクセス権限カテゴリ**
以下は、ポリシー内のアクセス許可のタイプと、アクセス許可が読み取り専用アクセスを許可する情報の一覧です。
+ `fms` – AWS Firewall Manager リソース。
+ `waf` および `waf-regional` — AWS WAF Classic ポリシー。
+ `firehose` – AWS WAF ログ。
+ `organizations` – AWS リソースを整理します。
+ `shield` – AWS Shield ポリシー。
+ `route53resolver` – VPC 用 Route 53 プライベート DNS ポリシー内の VPC 用 Route 53 プライベート DNS ルールグループ。
+ `wafv2` – で利用可能な AWS WAFV2 ルールグループと AWS マネージドルールのルールグループ AWS WAFV2。
+ `network-firewall` – AWS Network Firewall ルールグループとルールグループのメタデータ。
+ `ec2` – AWS Network Firewall ポリシーアベイラビリティーゾーンとリージョン 。
+ `s3` – AWS WAF ログ。
## AWS マネージドポリシー: AWSFMMemberReadOnlyAccess
AWS Firewall Manager メンバーリソースへの読み取り専用アクセスを許可します。ポリシーの詳細については、IAM コンソールで「[AWSFMMemberReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMMemberReadOnlyAccess$serviceLevelSummary)」を参照してください。
## AWS 管理ポリシーに対する Firewall Manager の更新
このサービスがこれらの変更の追跡を開始してからの Firewall Manager の AWS マネージドポリシーの更新に関する詳細を表示します。このページへの変更に関する自動アラートについては、Firewall Manager のドキュメント履歴ページ ([ドキュメント履歴](doc-history.md)) で RSS フィードをサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) – 更新されたポリシー | Firewall Manager のサービスポリシーにアクセス許可を追加しました。 Amazon CloudFront に必要な以下のアクセス許可を追加しました。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ja_jp/waf/latest/developerguide/fms-security-iam-awsmanpol.html) | 2025-05-21 |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) – 更新されたポリシー | Firewall Manager のサービスポリシーにアクセス許可を追加しました。 リソース設定ステータスをバッチで取得する `BatchGetResourceConfig` アクセス許可を追加しました。IAM コンソールで更新されたポリシーを参照してください: [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)。 | 2025-02-10 |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) – 更新されたポリシー | Firewall Manager のサービスロールポリシーにアクセス権限を追加しました。 Network Firewall TLS 設定情報を読み取る機能を追加しました。IAM コンソールで更新されたポリシーを参照してください: [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)。 | 2024-07-22 |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) – 更新されたポリシー | ネットワーク ACL を管理するためのアクセス権限を追加しました。 IAM コンソールで更新されたポリシーを参照してください: [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)。 | 2024-04-22 |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) – 更新されたポリシー | Firewall Manager が、指定された AWS Config ルールが準拠しているかどうかを記述できるようにするアクセス許可を追加しました。 IAM コンソールで更新されたポリシーを参照してください: [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)。 | 2023-04-21 |
| [FMSServiceRolePolicy](#security-iam-awsmanpol-FMSServiceRolePolicy) – 更新されたポリシー | Firewall Manager が Amazon EC2 インスタンスとネットワークインターフェイスの属性を記述できるようにするアクセス許可が追加されました。 IAM コンソールで更新されたポリシーを参照してください: [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)。 | 2022-11-15 |
| [AWSFMAdminReadOnlyAccess](#security-iam-awsmanpol-AWSFMAdminReadOnlyAccess) – 更新されたポリシー | 、Shield AWS WAFV2、Network Firewall、DNS Firewall、Amazon VPC セキュリティグループ、ポリシーをサポートするアクセス許可を追加しました。 IAM コンソールで更新されたポリシーを参照してください: [AWSFMAdminReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminReadOnlyAccess$serviceLevelSummary)。 | 2022-11-02 |
| [AWSFMAdminFullAccess](#security-iam-awsmanpol-AWSFMAdminFullAccess) – 更新されたポリシー | 、Shield AWS WAFV2、Network Firewall、DNS Firewall、Amazon VPC セキュリティグループ、ポリシーをサポートするアクセス許可を追加しました。Amazon SNS のアクセス許可を削除しました。 IAM コンソールで更新されたポリシー ([AWSFMAdminFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSFMAdminFullAccess$serviceLevelSummary)) を参照してください。 | 2022-10-21 |
| `FMSServiceRolePolicy` – AWS Firewall Manager サードパーティーのファイアウォールポリシーの新しいアクセス許可 | この変更により、Firewall Manager は、サードパーティーのファイアウォールポリシーに関連付けられた Amazon EC2 VPC エンドポイントを作成および削除できます。 | 2022-03-30 |
| `FMSServiceRolePolicy` – AWS Network Firewall ポリシーの新しいアクセス許可 | Network Firewall ポリシーのファイアウォールのデプロイをサポートするための新しい許可を追加しました。新しい許可により、ポリシーの範囲内にあるアカウントのアベイラビリティーゾーンに関する情報を取得できます。 | 2022-02-16 |
| `FMSServiceRolePolicy` – AWS Shield ポリシーの新しいアクセス許可 | AWS WAF リージョンリソースと AWS WAF グローバルリソースのタグを取得するための新しいアクセス許可を追加しました。リソース ACLs を取得する AWS WAF リージョンアクセス許可を追加しました。Shield アプリケーションレイヤー DDoS 自動緩和をサポートするための許可を追加しました。 | 2022-01-07 |
| `FMSServiceRolePolicy` – AWS Shield ポリシーの新しいアクセス許可 | Elastic Load Balancing リソース用にタグを取得するための新しい許可を追加しました。 | 2021-11-18 |
| `FMSServiceRolePolicy` – セキュリティグループと AWS Network Firewall ポリシーの新しいアクセス許可 | AWS Network Firewall ポリシーの集中ログ記録を有効にする新しいアクセス許可を追加しました。さらに、セキュリティグループポリシーのリソースを AWS Firewall Manager クエリする方法に影響を与える Config サービスの変更をサポートするために、読み取り専用の Amazon EC2 アクセス許可が追加されました。 | 2021-09-29 |
| `FMSServiceRolePolicy` – AWS WAF リソースの ARN 形式 | AWS WAF リソースの ARN 形式を標準化するように `FMSServiceRolePolicy` を更新しました。更新された ARN 形式は `arn:aws:waf:*:*:*` と `arn:aws:waf-regional:*:*:*` です。 | 2021-08-12 |
| `FMSServiceRolePolicy` - 中国の他のリージョン | AWS Firewall Manager は`FMSServiceRolePolicy`、中国の BJS および ZHY リージョンに対して を有効にしました。 | 2021-08-12 |
| `FMSServiceRolePolicy` - 既存のポリシーに対する更新 | が Amazon Route 53 Resolver DNS Firewall を管理 AWS Firewall Manager できるようにする新しいアクセス許可を追加しました。 この変更により、Firewall Manager は Amazon Route 53 Resolver DNS Firewall の関連付けを設定できるようになります。これにより、Firewall Manager を使用して、 AWS Organizationsの組織全体で VPC のために DNS Firewall 保護を提供できます。 | 2021-03-17 |
| Firewall Manager が変更の追跡を開始 | Firewall Manager は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2021-03-02 |
# AWS Firewall Manager ID とアクセスのトラブルシューティング
次の情報は、Firewall Manager と IAM の使用に伴って発生する可能性がある、一般的な問題を診断したり修復したりする際に役立ちます。
**Topics**
+ [Firewall Manager でのアクション実行が承認されない](#fms-security_iam_troubleshoot-no-permissions)
+ [iam:PassRole を実行する権限がありません](#fms-security_iam_troubleshoot-passrole)
+ [自分の 以外のユーザーに Firewall Manager リソース AWS アカウント へのアクセスを許可したい](#fms-security_iam_troubleshoot-cross-account-access)
## Firewall Manager でのアクション実行が承認されない
アクションを実行する権限がないというエラーが表示された場合は、そのアクションを実行できるようにポリシーを更新する必要があります。
次のエラー例は、`mateojackson` IAM ユーザーがコンソールを使用して、ある `my-example-widget` リソースに関する詳細情報を表示しようとしたことを想定して、その際に必要な `fms:GetWidget` アクセス許可を持っていない場合に発生するものです。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: fms:GetWidget on resource: my-example-widget
```
この場合、`fms:GetWidget` アクションを使用して `my-example-widget` リソースへのアクセスを許可するように、`mateojackson` ユーザーのポリシーを更新する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン認証情報を提供した担当者が管理者です。
## iam:PassRole を実行する権限がありません
`iam:PassRole` アクションを実行する権限がないというエラーが表示された場合は、ポリシーを更新して Firewall Manager にロールを渡せるようにする必要があります。
一部の AWS のサービス では、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、既存のロールをそのサービスに渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。
`marymajor` という IAM ユーザーが、コンソールを使用して Firewall Manager でアクションを実行しようとした際に発生するエラーの例を次に示します。ただし、このアクションをサービスが実行するには、サービスロールから付与されたアクセス許可が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、Mary のポリシーを更新してメアリーに `iam:PassRole` アクションの実行を許可する必要があります。
サポートが必要な場合は、 AWS 管理者にお問い合わせください。サインイン資格情報を提供した担当者が管理者です。
## 自分の 以外のユーザーに Firewall Manager リソース AWS アカウント へのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ これらの機能を Firewall Manager でサポートしているかどうかを確認するには、「[が IAM と AWS Shield 連携する方法](shd-security_iam_service-with-iam.md)」 を参照してください。
+ 所有 AWS アカウント している のリソースへのアクセスを提供する方法については、IAM *ユーザーガイド*の[「所有 AWS アカウント している別の の IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。
+ リソースへのアクセスをサードパーティーに提供する方法については AWS アカウント、*IAM ユーザーガイド*の[「サードパーティー AWS アカウント が所有する へのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド*の[外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)を参照してください。
+ クロスアカウントアクセスでのロールとリソースベースのポリシーの使用の違いの詳細については、*IAM ユーザーガイド*の[IAM ロールとリソースベースのポリシーとの相違点](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html)を参照してください。
# Firewall Manager のサービスにリンクされたロールの使用
AWS Firewall Manager は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、Firewall Manager に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは Firewall Manager によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用することで、必要な許可を手動で追加する必要がなくなるため、Firewall Manager の設定が簡単になります。Firewall Manager は、サービスにリンクされたロールの許可を定義します。特に定義されている場合を除き、Firewall Manager のみがそのロールを引き受けることができます。定義された許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスにリンクされたロールを削除するには、まずそのロールの関連リソースを削除します。これにより、リソースに対する許可が誤って削除されることがなくなり、Firewall Manager のリソースは保護されます。
サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連携するAWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、**サービスにリンクされたロール**列が**はい**になっているサービスを見つけてください。そのサービスに関するサービスにリンクされたロールのドキュメントを表示するには、リンクが設定されている **[Yes]** (はい) を選択します。
## Firewall Manager でのサービスにリンクされたロールの許可
AWS Firewall Manager は、サービスにリンクされたロール名 AWSServiceRoleForFMS を使用して、Firewall Manager がユーザーに代わって AWS サービスを呼び出し、ファイアウォールポリシーと AWS Organizations アカウントリソースを管理できるようにします。このポリシーは、 AWS マネージドロール にアタッチされます`AWSServiceRoleForFMS`。マネージドロールの詳細については、「[AWS 管理ポリシー: `FMSServiceRolePolicy`](fms-security-iam-awsmanpol.md#security-iam-awsmanpol-FMSServiceRolePolicy)」を参照してください。
AWSServiceRoleForFMS サービスにリンクされたロールは、サービスを信頼し、ロール `fms.amazonaws.com` を引き受けます。
ロールの許可ポリシーは、指定したリソースに対して以下のアクションを完了することを Firewall Manager に許可します。
+ `waf` - アカウントの AWS WAF Classic ウェブ ACLs、ルールグループのアクセス許可、およびウェブ ACLs関連付けを管理します。
+ `ec2` – Elastic Network Interface と Amazon EC2 インスタンスで、セキュリティグループを管理します。Amazon VPC サブネット上のネットワーク ACL を管理します。
+ `vpc` – Amazon VPC 内のサブネット、ルートテーブル、タグ、エンドポイントを管理します。
+ `wafv2` - アカウントの AWS WAF ウェブ ACLs、ルールグループのアクセス許可、およびウェブ ACLs関連付けを管理します。
+ `cloudfront` – CloudFront ディストリビューションを保護するためのウェブ ACL を作成します。
+ `config` - アカウントで Firewall Manager が所有する AWS Config ルールを管理します。
+ `iam` - このサービスにリンクされたロールを管理し、 AWS WAF および Shield ポリシーのログ記録を設定する場合は、必要な AWS WAF および Shield サービスにリンクされたロールを作成します。
+ `organization` - Firewall Manager が所有するサービスにリンクされたロールを作成して、Firewall Manager が使用する AWS Organizations リソースを管理します。
+ `shield` - アカウント内のリソース AWS Shield の保護と L7 緩和設定を管理します。
+ `ram` - DNS Firewall ルールグループと Network Firewall ルールグループの AWS RAM リソース共有を管理します。
+ `network-firewall` - アカウントの Firewall Manager 所有の AWS Network Firewall リソースと依存する Amazon VPC リソースを管理します。
+ `route53resolver` – アカウント内で、Firewall Manager が所有する DNS Firewall の関連付けを管理します。
IAM コンソールの [FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary) で、すべてのポリシーを確認します。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## Firewall Manager のサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。で Firewall Manager のログ記録を有効にするか AWS マネジメントコンソール、Firewall Manager CLI または Firewall Manager API で`PutLoggingConfiguration`リクエストを行うと、Firewall Manager によってサービスにリンクされたロールが作成されます。
ログ記録を有効化するためには、`iam:CreateServiceLinkedRole` 許可が必要です。
このサービスにリンクされたロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。Firewall Manager ログ記録を有効にすると、Firewall Manager は、ユーザーのためにサービスにリンクされたロールを再作成します。
## Firewall Manager のサービスにリンクされたロールの編集
Firewall Manager では、AWSServiceRoleForFMS のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Firewall Manager のサービスにリンクされたロールの削除
サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。
**注記**
リソースを削除する際に、Firewall Manager のサービスでそのロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってから操作を再試行してください。
**IAM を使用して、サービスにリンクされたロールを削除するには**
IAM コンソール、IAM CLI、または IAM API を使用して、AWSServiceRoleForFMS サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## Firewall Manager サービスにリンクされたロールをサポートするリージョン
Firewall Manager では、このサービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「[Firewall Manager エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/firewallmanager.html)」を参照してください。
# サービス間の混乱した代理の防止
混乱した代理問題は、アクションを実行する許可を持たないエンティティが、より特権のあるエンティティにアクションを実行するように強制できるセキュリティの問題です。では AWS、サービス間のなりすましにより、混乱した代理問題が発生する可能性があります。サービス間でのなりすましは、1 つのサービス (*呼び出し元サービス*) が、別のサービス (*呼び出し対象サービス*) を呼び出すときに発生する可能性があります。呼び出し元サービスは、本来ならアクセスすることが許可されるべきではない方法でその許可を使用して、別のお客様のリソースに対する処理を実行するように操作される場合があります。これを防ぐため、 AWS では、アカウントのリソースへのアクセス権が付与されたサービスプリンシパルで、すべてのサービスのデータを保護するために役立つツールを提供しています。
リソースポリシーで [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)および [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) グローバル条件コンテキストキーを使用して、 がリソースに別のサービス AWS Firewall Manager に付与するアクセス許可を制限することをお勧めします。クロスサービスアクセスにリソースを 1 つだけ関連付けたい場合は、`aws:SourceArn` を使用します。そのアカウント内のリソースをクロスサービスの使用に関連付けることを許可する場合は、`aws:SourceAccount` を使用します。
混乱した代理問題から保護するための最も効果的な方法は、リソースの完全な ARN を指定して、`aws:SourceArn` グローバル条件コンテキストキーを使用することです。リソースの完全な ARN が不明な場合や、複数のリソースを指定する場合には、グローバルコンテキスト条件キー `aws:SourceArn` で、ARN の未知部分を示すためにワイルドカード文字 (`*`) を使用します。例えば、`arn:aws:fms:*:account-id:*`。
`aws:SourceArn` の値に Amazon S3 バケット ARN などのアカウント ID が含まれていない場合は、両方のグローバル条件コンテキストキーを使用して、アクセス許可を制限する必要があります。
の値は、 AWS Firewall Manager 管理者の AWS アカウント`aws:SourceArn`である必要があります。
次の例では、Firewall Manager で `aws:SourceArn` グローバル条件コンテキストキーを使用して、混乱した代理問題を防止する方法を示しています。
次の例では、Firewall Manager ロールの信頼ポリシーで `aws:SourceArn` グローバル条件コンテキストキーを使用して、混乱した代理問題を防止する方法を示しています。*[Region]* (リージョン) および *[Account-ID]* (アカウント ID) をユーザー自身の情報に置き換えます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "servicename.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn": [
"arn:aws:fms:us-east-1:123456789012:${*}",
"arn:aws:fms:us-east-1:123456789012:policy/*"
]
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
}
```
------