AWS WAF の新しいコンソールエクスペリエンスのご紹介
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。
Firewall Manager のサービスにリンクされたロールの使用
AWS Firewall Manager は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、Firewall Manager に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、Firewall Maneger によって事前定義されており、ユーザーの代わりにサービスから他の AWS サービスを呼び出す必要のある許可がすべて含まれています。
サービスにリンクされたロールを使用することで、必要な許可を手動で追加する必要がなくなるため、Firewall Manager の設定が簡単になります。Firewall Manager は、サービスにリンクされたロールの許可を定義します。特に定義されている場合を除き、Firewall Manager のみがそのロールを引き受けることができます。定義された許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスにリンクされたロールを削除するには、まずそのロールの関連リソースを削除します。これにより、リソースに対する許可が誤って削除されることがなくなり、Firewall Manager のリソースは保護されます。
サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携する AWS サービス」を参照して、[サービスにリンクされたロール] 列が [はい] になっているサービスを見つけてください。そのサービスに関するサービスにリンクされたロールのドキュメントを表示するには、リンクが設定されている [Yes] (はい) を選択します。
Firewall Manager でのサービスにリンクされたロールの許可
AWS Firewall Manager では、サービスにリンクされたロール名 AWSServiceRoleForFMS を使用して、ファイアウォールポリシーと AWS Organizations アカウントリソースを管理するために、Firewall Manager がユーザーに代わって AWS サービスを呼び出せるようにします。このポリシーは、AWS マネージドのロール AWSServiceRoleForFMS にアタッチされます。マネージドロールの詳細については、「AWS マネージドポリシー: FMSServiceRolePolicy」を参照してください。
AWSServiceRoleForFMS サービスにリンクされたロールは、サービスを信頼し、ロール fms.amazonaws.com を引き受けます。
ロールの許可ポリシーは、指定したリソースに対して以下のアクションを完了することを Firewall Manager に許可します。
waf– AWS WAF Classic ウェブ ACL、ルールグループのアクセス許可、およびウェブ ACL の関連付けをアカウント内で管理します。ec2– Elastic Network Interface と Amazon EC2 インスタンスで、セキュリティグループを管理します。Amazon VPC サブネット上のネットワーク ACL を管理します。vpc– Amazon VPC 内のサブネット、ルートテーブル、タグ、エンドポイントを管理します。wafv2– アカウント内の AWS WAF ウェブ ACL、ルールグループのアクセス許可、ウェブ ACL の関連付けを管理します。cloudfront– CloudFront ディストリビューションを保護するためのウェブ ACL を作成します。config– アカウント内で、Firewall Manager が所有する AWS Config ルールを管理します。iam– このサービスにリンクされたロールを管理します。AWS WAF および Shield ポリシーのログ記録が設定されている場合は、必要とされる AWS WAF とShield のサービスにリンクされたロールを作成します。organization– Firewall Manager が使用する AWS Organizations リソースを管理するために、Firewall Manager が所有する、サービスにリンクされたロールを作成します。shield– アカウント内のリソースに対する、AWS Shield の保護と L7 の緩和についての設定を管理します。ram– DNS Firewall ルールグループと Network Firewall ルールグループの AWS RAM リソース共有を管理します。network-firewall– アカウント内で、Firewall Manager が所有する AWS Network Firewall リソース、および、それと依存関係のある Amazon VPC リソースを管理します。route53resolver– アカウント内で、Firewall Manager が所有する DNS Firewall の関連付けを管理します。
IAM コンソールの FMSServiceRolePolicy
サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの許可」を参照してください。
Firewall Manager のサービスにリンクされたロールの作成
サービスにリンクされたロールを手動で作成する必要はありません。AWS マネジメントコンソール で Firewall Manager のログ記録を有効にするか、Firewall Manager CLI または Firewall Manager API で PutLoggingConfiguration リクエストを行うと、Firewall Manager はサービスにリンクされたロールを作成します。
ログ記録を有効化するためには、iam:CreateServiceLinkedRole 許可が必要です。
このサービスにリンクされたロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。Firewall Manager ログ記録を有効にすると、Firewall Manager は、ユーザーのためにサービスにリンクされたロールを再作成します。
Firewall Manager のサービスにリンクされたロールの編集
Firewall Manager では、AWSServiceRoleForFMS のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。
Firewall Manager のサービスにリンクされたロールの削除
サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。
注記
リソースを削除する際に、Firewall Manager のサービスでそのロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってから操作を再試行してください。
IAM を使用して、サービスにリンクされたロールを削除するには
IAM コンソール、IAM CLI、または IAM API を使用して、AWSServiceRoleForFMS サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。
Firewall Manager サービスにリンクされたロールをサポートするリージョン
Firewall Manager では、このサービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「Firewall Manager エンドポイントとクォータ」を参照してください。
