チュートリアル: 階層ルールによる AWS Firewall Manager ポリシーの作成 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
ステップ 1: Firewall Manager 管理者アカウントを指定するステップ 2: Firewall Manager 管理者アカウントを使用してルールグループを作成するステップ 3: Firewall Manager ポリシーを作成して共通のルールグループをアタッチするステップ 4: アカウント固有のルールを追加する結論

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

チュートリアル: 階層ルールによる AWS Firewall Manager ポリシーの作成

警告

AWS WAF Classic は計画されたサービス終了プロセスを進めています。リージョン固有のマイルストーンと日付については、AWS Health ダッシュボードを参照してください。

注記

これは AWS WAF Classic ドキュメントです。2019 年 11 月より前に AWS WAF でルールやウェブ ACL などの AWS WAF リソースを作成し、それらをまだ最新バージョンに移行していない場合にのみ、このバージョンを使用する必要があります。Web ACL を移行するには、AWS WAF Classic リソースを AWS WAF に移行する を参照してください。

最新バージョンの AWS WAF については、AWS WAF」を参照してください。

AWS Firewall Manager では、階層ルールが含まれた AWS WAF Classic 保護ポリシーを作成および適用できます。つまり、特定のルールを一元的に作成および適用し、アカウント固有ルールの作成やメンテナンスを個々のユーザーに委任できるということです。一元的に適用する (共通) ルールを常に一貫して適用するために、誤操作による削除やその他の処理が行われないようモニタリングできます。アカウント固有のルールでは、個々のチームのニーズに合わせてカスタマイズされた保護をさらに追加できます。

注記

AWS WAF の最新バージョンでは、この機能が組み込まれており、特別な対処は必要ありません。AWS WAF Classic をまだ使用していない場合は、代わりに最新バージョンを使用します。「AWS WAF の AWS Firewall Manager ポリシーの作成」を参照してください。

次のチュートリアルでは、保護ルールの階層セットを作成する方法について説明します。

ステップ 1: Firewall Manager 管理者アカウントを指定する

AWS Firewall Manager を使用するには、組織内のアカウントを Firewall Manager 管理者アカウントとして指定する必要があります。このアカウントは、組織内の管理アカウントまたはメンバーアカウントのいずれでもかまいません。

Firewall Manager 管理者アカウントを使用すると、組織内の他のアカウントに適用する一連の共通ルールを作成できます。組織内の他のアカウントでは、このように一元的に適用されたルールを変更することはできません。

アカウントを Firewall Manager 管理者アカウントに指定して、Firewall Manager を使用するための外の前提条件を満たすには、「AWS Firewall Manager の前提条件」の説明を参照してください。前提条件を既に満たしている場合は、このチュートリアルのステップ 2 に進むことができます。

このチュートリアルでは、この管理者アカウントを Firewall-Administrator-Account と呼びます。

ステップ 2: Firewall Manager 管理者アカウントを使用してルールグループを作成する

次に、Firewall-Administrator-Account を使用してルールグループを作成します。このルールグループには、次のステップで作成するポリシーで管理されるすべてのメンバーアカウントに適用する共通ルールを指定します。これらのルールとコンテナルールグループを変更できるのは、Firewall-Administrator-Account のみです。

このチュートリアルでは、このコンテナルールグループを Common-Rule-Group と呼びます。

ルールグループを作成するには、「AWS WAF Classic ルールグループの作成」の手順を参照してください。これらの手順に従う際には、Firewall Manager 管理者アカウント (Firewall-Administrator-Account) を使用してコンソールにサインインしておいてください。

ステップ 3: Firewall Manager ポリシーを作成して共通のルールグループをアタッチする

Firewall-Administrator-Account を使用して、Firewall Manager ポリシーを作成します。このポリシーを作成する場合は、次を実行する必要があります。

  • 新しいポリシーに Common-Rule-Group を追加する。

  • Common-Rule-Group を適用する組織内のすべてのアカウントを含める。

  • Common-Rule-Group を適用するすべてのリソースを追加する。

ポリシーの作成手順については、「AWS Firewall Manager ポリシーの作成」を参照してください。

これにより、指定された各アカウントにウェブ ACL が作成され、各ウェブ ACL に Common-Rule-Group が追加されます。ポリシーの作成後、このウェブ ACL および共通ルールは、指定されたすべてのアカウントにデプロイされます。

このチュートリアルでは、このウェブ ACL を Administrator-Created-ACL と呼びます。これで、組織内の指定されたメンバーアカウントごとに、一意の Administrator-Created-ACL が作成されます。

ステップ 4: アカウント固有のルールを追加する

組織内の各メンバーアカウントは、アカウントに存在する Administrator-Created-ACL に、アカウント固有のルールを自分で追加できます。アカウント固有の新しいルールとともに、既に Administrator-Created-ACL に含まれている共通ルールも引き続き適用されます。AWS WAF では、ウェブ ACL にルールが指定されている順序に基づいて、ウェブリクエストの検査が行われます。これは、Administrator-Created-ACL とアカウント固有のルールの両方に当てはまります。

ルールを Administrator-Created-ACL に追加するには、AWS WAF で保護パック (ウェブ ACL) を編集する を参照してください。

結論

これで、Firewall Manager 管理者が管理する共通ルールが含まれたウェブ ACL と、各メンバーアカウントで管理するアカウント固有のルールを作成できました。

各アカウントの Administrator-Created-ACL は、1 つの Common-Rule-Group を参照しています。このため、今後 Firewall Manager 管理者アカウントによって Common-Rule-Group が変更されると、各メンバーアカウントに直ちに反映されます。

メンバーアカウントでは、Common-Rule-Group に指定されている共通ルールを変更または削除することはできません。

アカウント固有のルールは、他のアカウントに影響しません。