AWS Firewall ManagerAWS WAF ポリシーの設定

Firewall Manager の AWS WAF ポリシーを作成するには (コンソール)

Firewall Manager 管理者アカウントを使用して AWS マネジメントコンソール にサインインし、https://console.aws.amazon.com/wafv2/fmsv2 で Firewall Manager コンソールを開きます。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager の前提条件」を参照してください。

1. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

2. [Create policy] (ポリシーの作成) を選択します。

3. [Policy type] (ポリシータイプ) では [AWS WAF] を選択します。

4. [Region] (リージョン) で、AWS リージョン を選択します。Amazon CloudFront ディストリビューションを保護するには、[Global] (グローバル) を選択します。

   複数のリージョンのリソース (CloudFront ディストリビューションを除く) を保護するには、各リージョンに別々の Firewall Manager ポリシーを作成する必要があります。

5. [Next] (次へ) を選択します。

6. [Policy name] (ポリシー名) で、わかりやすい名前を入力します。Firewall Manager は、管理するウェブ ACL の名前にポリシー名を含めます。ウェブ ACL 名の後に、FMManagedWebACLV2-、ここに入力するポリシー名、-、およびウェブ ACL 作成タイムスタンプ (UTC ミリ秒) が続きます。例えば、FMManagedWebACLV2-MyWAFPolicyName-1621880374078。

   重要

   ウェブ ACL 名は作成後に変更できません。ポリシー名を更新しても、Firewall Manager は関連するウェブ ACL 名を更新しません。Firewall Manager で別の名前のウェブ ACL を作成できるようにするには、新しいポリシーを作成する必要があります。

7. [Policy rules (ポリシールール)] の [First rule groups (最初のルールグループ)] で、[Add rule groups (ルールグループの追加)] を選択します。[AWS managed rule groups] ( マネージドルールグループ) を展開します。[Core rule set] (コアルールセット) で、[Add to web ACL] (ウェブ ACL に追加) に切り替えます。[AWS の既知の不正な入力] で、[ウェブ ACL に追加] に切り替えます。[Add rules] (ルールの追加) を選択します。

   [Last rule groups] (最後のルールグループ) で、[Add rule groups] (ルールグループの追加) を選択します。[AWS マネージドルールグループ] を展開し、[Amazon IP 評価リスト] で [ウェブ ACL に追加] に切り替えます。[Add rules] (ルールの追加) を選択します。

   [最初のルールグループ] で [コアルールセット] を選択し、[下に移動] を選択します。AWS WAF は [コアルールセット] に照らして評価を行う前に、[AWS の既知の不正な入力] ルールグループに照らしてウェブリクエストを評価します。

   必要に応じて、AWS WAF コンソールを使用して独自の AWS WAF ルールグループを作成することもできます。作成したルールグループは、[Describe policy : Add rule groups page] (ポリシーを記述: ルールグループの追加ページ) の [Your rule groups] (ルールグループ) の下に表示されます。

   Firewall Manager を通じて管理する最初と最後の AWS WAF ルールグループの名前は、それぞれ PREFMManaged- または POSTFMManaged- で始まり、その後に Firewall Manager ポリシー名、ルールグループの作成タイムスタンプ (UTC ミリ秒) が続きます。例えば、PREFMManaged-MyWAFPolicyName-1621880555123。

8. ウェブ ACL のデフォルトアクションは [Allow] (許可) のままにします。

9. [Policy action] (ポリシーアクション) はデフォルトのままにして、準拠していないリソースが自動的に修復されないようにします。このオプションは後で変更できます。

10. [Next] (次へ) を選択します。

11. [Policy scope] (ポリシーの範囲) で、ポリシーを適用するリソースを識別するアカウント、リソースタイプ、タグを設定します。このチュートリアルでは、[AWS アカウント] と [Resources] (リソース) の設定はそのままにし、1 つ以上のリソースタイプを選択します。

12. [リソース] では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。ポリシーの範囲を定義するタグの詳細については、「AWS Firewall Manager ポリシースコープの使用」を参照してください。

    リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値 "" でタグを保存します。リソースタグは、同じキーと値を持つタグのみと一致します。

13. [次へ] を選択します。

14. [ポリシータグ] で、Firewall Manager ポリシーリソースに必要な識別タグを追加します。タグの詳細については、「タグエディタの使用」を参照してください。

15. [次へ] を選択します。

16. 新しいポリシー設定を確認し、調整が必要なページに戻ります。

    [Policy actions] (ポリシーアクション) が [Identify resources that don’t comply with the policy rules, but don’t auto remediate] (ポリシールールに準拠していないリソースを特定するが、自動修復しない) に設定されていることを確認します。これにより、ポリシーを有効にする前に、ポリシーが行う変更を確認できます。

17. ポリシーが完成したら、[ポリシーの作成] を選択します。

    [AWS Firewall Manager ポリシー] ペインにポリシーが一覧表示されます。アカウントのヘッダーの下に [保留中] と表示され、[自動修復] のステータスが示されます。ポリシーの作成には数分かかることがあります。[Pending] (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「AWS Firewall Manager ポリシーのコンプライアンス情報の表示」を参照してください。

ポリシーを削除するには (コンソール)

1. [AWS Firewall Manager ポリシー] ページで、ポリシー名の横にあるラジオボタンを選択し、[削除] を選択します。

2. [Delete] (削除) 確認ボックスで [Delete all policy resources] (すべてのポリシーリソースの削除) を選択してから、もう一度 [Delete] (削除) を選択します。

   AWS WAF によって、アカウントに作成されたポリシーおよび関連リソース (ウェブ ACL など) が削除されます。変更がすべてのアカウントに反映されるまでに数分かかる場合があります。