AWS WAF の新しいコンソールエクスペリエンスのご紹介
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。
AWS Firewall Manager Amazon VPC ネットワーク ACL ポリシーの設定
AWS Firewall Manager を使用して組織全体でセキュリティグループを有効にするには、次のステップを順番に実行します。
ネットワーク ACL の詳細については、「Amazon VPC ユーザーガイド」の「ACL を使用して、サブネットのトラフィックを制御する」を参照してください。
ステップ 1: 前提条件を満たす
AWS Firewall Manager のアカウントを準備するには、いくつかの必須のステップがあります。それらのステップは、AWS Firewall Manager の前提条件 で説明されています。「ステップ 2: ネットワーク ACL ポリシーを作成する」に進む前に、すべての前提条件を満たしてください。
ステップ 2: ネットワーク ACL ポリシーを作成する
前提条件を満たす後、Firewall Manager のネットワーク ACL ポリシーを作成します。ネットワーク ACL ポリシーは、AWS 組織全体に集中管理されたネットワーク ACL 定義を提供します。また、ネットワーク ACL が適用される AWS アカウント および サブネットも定義します。
Firewall Manager のネットワーク ACL ポリシーの詳細について、ネットワーク ACL ポリシー を参照してください。
Firewall Manager の ネットワーク ACL ポリシーの一般情報については、ネットワーク ACL ポリシー を参照してください。
注記
このチュートリアルでは、ネットワーク ACL ポリシーを組織内のサブネットに適用しません。ポリシーを作成し、そのネットワークACLをサブネットに適用した場合に何が起こるかを確認するだけです。これを行うには、ポリシーの自動修復を無効にします。
Firewall Manager ネットワーク ACL ポリシーを作成するには (コンソールで)
-
Firewall Manager 管理者アカウントを使用して AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/wafv2/fmsv2
で Firewall Manager コンソールを開きます。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager の前提条件」を参照してください。 注記
Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager の前提条件」を参照してください。
-
ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。
-
前提条件を満たしていない場合、問題を修正する方法についての指示がコンソールに表示されます。指示を従って、このステップに戻り、ネットワーク ACL ポリシーを作成します。
-
[Create policy] (ポリシーの作成) を選択します。
-
[Region] (リージョン) で、AWS リージョン を選択します。
-
[ポリシータイプ] で、[ネットワーク ACL] を選択します。
-
[次へ] を選択します。
-
[Policy name] (ポリシー名) で、わかりやすい名前を入力します。
-
[ネットワーク ACL ポリシールール] では、インバウンドトラフィックとアウトバウンドトラフィックの両方の最初と最後のルールを定義します。
Firewall Manager でネットワーク ACL ルールを定義する方法は、Amazon VPC を通じて定義する方法と同様です。唯一の違いは、ルール番号を自分で割り当てるのではなく、ルールの各セットを実行する順序を割り当て、ポリシーを保存するときに Firewall Manager が番号を割り当てることです。最大 5 つのインバウンドルールを定義し、最初と最後に任意の方法で分割できます。また、最大 5 つのアウトバウンドルールを定義できます。
ネットワーク ACL ルールを指定するガイダンスについては、「Amazon VPC ユーザーガイド」の「ネットワーク ACL ルールの追加と削除」を参照してください。
Firewall Manager ポリシーで定義するルールは、ネットワーク ACL がネットワーク ACL ポリシーに準拠する必要がある最小ルール設定を指定します。例えば、ネットワーク ACL のインバウンドルールは、ポリシーで指定されているのと同じ順序で、ポリシーの最初インバウンドルールとして始まる場合を除き、ポリシーに準拠することはできません。詳細については、「ネットワーク ACL ポリシー」を参照してください。
-
[Policy action] (ポリシーアクション) で、[Identify resources that don’t comply with the policy rules, but don’t auto remediate] (ポリシールールに準拠していないリソースを特定するが、自動修復しない) を選択します。
-
[Next] (次へ) を選択します。
-
[このポリシーの影響を受ける AWS アカウント] では、追加または除外するアカウントを指定し、ポリシーの範囲を絞り込むことができます。このチュートリアルでは、[Include all accounts under my organization] (組織のすべてのアカウントを含める) を選択します。
ネットワーク ACL ポリシーの [リソースタイプ] は常にサブネットです。
-
[リソース] では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。ポリシーの範囲を定義するタグの詳細については、「AWS Firewall Manager ポリシースコープの使用」を参照してください。
リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値 "" でタグを保存します。リソースタグは、同じキーと値を持つタグのみと一致します。
-
[次へ] を選択します。
-
[ポリシータグ] で、Firewall Manager ポリシーリソースに必要な識別タグを追加します。タグの詳細については、「タグエディタの使用」を参照してください。
-
[次へ] を選択します。
-
新しいポリシー設定を確認し、調整が必要なページに戻ります。
[Policy actions] (ポリシーアクション) が [Identify resources that don’t comply with the policy rules, but don’t auto remediate] (ポリシールールに準拠していないリソースを特定するが、自動修復しない) に設定されていることを確認します。これにより、ポリシーを有効にする前に、ポリシーが行う変更を確認できます。
-
ポリシーが完成したら、[ポリシーの作成] を選択します。
[AWS Firewall Manager ポリシー] ペインにポリシーが一覧表示されます。アカウントのヘッダーの下に [保留中] と表示され、[自動修復] のステータスが示されます。ポリシーの作成には数分かかることがあります。[Pending] (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「AWS Firewall Manager ポリシーのコンプライアンス情報の表示」を参照してください。
-
調べ終わったら、このチュートリアルで作成したポリシーを保持しない場合は、ポリシー名を選択して [Delete] (削除) を選択し、[Clean up resources created by this policy.] (このポリシーによって作成されたリソースをクリーンアップします。) を選択して、最後に [Delete] (削除) を選択します。
Firewall Manager ネットワーク ACL ポリシーの詳細については、ネットワーク ACL ポリシー を参照してください。
