**の新しいコンソールエクスペリエンスの紹介 AWS WAF**
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# チュートリアル: 階層ルールによる AWS Firewall Manager ポリシーの作成
**警告**
AWS WAF Classic は計画的なend-of-lifeプロセスを進めています。リージョン固有のマイルストーンと日付については、 AWS Health ダッシュボードを参照してください。
**注記**
これは **AWS WAF Classic** ドキュメントです。このバージョンは、2019 年 11 月 AWS WAF より前にルールやウェブ ACLs などのリソースを作成し AWS WAF 、最新バージョンに移行していない場合にのみ使用してください。Web ACL を移行するには、[AWS WAF Classic リソースの への移行 AWS WAF](waf-migrating-from-classic.md) を参照してください。
**の最新バージョンについては、 AWS WAF**「」を参照してください[AWS WAF](waf-chapter.md)。
を使用すると AWS Firewall Manager、階層ルールを含む AWS WAF Classic 保護ポリシーを作成して適用できます。つまり、特定のルールを一元的に作成および適用し、アカウント固有ルールの作成やメンテナンスを個々のユーザーに委任できるということです。一元的に適用する (共通) ルールを常に一貫して適用するために、誤操作による削除やその他の処理が行われないようモニタリングできます。アカウント固有のルールでは、個々のチームのニーズに合わせてカスタマイズされた保護をさらに追加できます。
**注記**
の最新バージョンでは AWS WAF、この機能は組み込まれており、特別な処理は必要ありません。 AWS WAF Classic をまだ使用していない場合は、代わりに最新バージョンを使用してください。「[の AWS Firewall Manager ポリシーの作成 AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf)」を参照してください。
次のチュートリアルでは、保護ルールの階層セットを作成する方法について説明します。
**Topics**
+ [ステップ 1: Firewall Manager 管理者アカウントを指定する](#hierarchical-rules-set-firewall-administrator)
+ [ステップ 2: Firewall Manager 管理者アカウントを使用してルールグループを作成する](#hierarchical-rules-create-a-rule-group)
+ [ステップ 3: Firewall Manager ポリシーを作成して共通のルールグループをアタッチする](#hierarchical-rules-create-policy)
+ [ステップ 4: アカウント固有のルールを追加する](#hierarchical-rules-add-account-specific-rules)
+ [結論](#hierarchical-rules-conclusion)
## ステップ 1: Firewall Manager 管理者アカウントを指定する
を使用するには AWS Firewall Manager、組織内のアカウントを Firewall Manager 管理者アカウントとして指定する必要があります。このアカウントは、組織内の管理アカウントまたはメンバーアカウントのいずれでもかまいません。
Firewall Manager 管理者アカウントを使用すると、組織内の他のアカウントに適用する一連の共通ルールを作成できます。組織内の他のアカウントでは、このように一元的に適用されたルールを変更することはできません。
アカウントを Firewall Manager 管理者アカウントに指定して、Firewall Manager を使用するための外の前提条件を満たすには、「[AWS Firewall Manager 前提条件](fms-prereq.md)」の説明を参照してください。前提条件を既に満たしている場合は、このチュートリアルのステップ 2 に進むことができます。
このチュートリアルでは、この管理者アカウントを **Firewall-Administrator-Account** と呼びます。
## ステップ 2: Firewall Manager 管理者アカウントを使用してルールグループを作成する
次に、**Firewall-Administrator-Account** を使用してルールグループを作成します。このルールグループには、次のステップで作成するポリシーで管理されるすべてのメンバーアカウントに適用する共通ルールを指定します。これらのルールとコンテナルールグループを変更できるのは、**Firewall-Administrator-Account** のみです。
このチュートリアルでは、このコンテナルールグループを **Common-Rule-Group** と呼びます。
ルールグループを作成するには、「[AWS WAF Classic ルールグループの作成](classic-create-rule-group.md)」の手順を参照してください。これらの手順に従う際には、Firewall Manager 管理者アカウント (**Firewall-Administrator-Account**) を使用してコンソールにサインインしておいてください。
## ステップ 3: Firewall Manager ポリシーを作成して共通のルールグループをアタッチする
**Firewall-Administrator-Account** を使用して、Firewall Manager ポリシーを作成します。このポリシーを作成する場合は、次を実行する必要があります。
+ 新しいポリシーに **Common-Rule-Group** を追加する。
+ **Common-Rule-Group** を適用する組織内のすべてのアカウントを含める。
+ **Common-Rule-Group** を適用するすべてのリソースを追加する。
ポリシーの作成手順については、「[AWS Firewall Manager ポリシーの作成](create-policy.md)」を参照してください。
これにより、指定された各アカウントにウェブ ACL が作成され、各ウェブ ACL に **Common-Rule-Group** が追加されます。ポリシーの作成後、このウェブ ACL および共通ルールは、指定されたすべてのアカウントにデプロイされます。
このチュートリアルでは、このウェブ ACL を **Administrator-Created-ACL** と呼びます。これで、組織内の指定されたメンバーアカウントごとに、一意の **Administrator-Created-ACL** が作成されます。
## ステップ 4: アカウント固有のルールを追加する
組織内の各メンバーアカウントは、アカウントに存在する **Administrator-Created-ACL** に、アカウント固有のルールを自分で追加できます。にすでに存在する一般的なルールは、新しいアカウント固有のルールとともに**Administrator-Created-ACL**引き続き適用されます。 は、ルールがウェブ ACL に表示される順序に基づいてウェブリクエスト AWS WAF を検査します。これは、**Administrator-Created-ACL** とアカウント固有のルールの両方に当てはまります。
ルールを **Administrator-Created-ACL** に追加するには、[での保護パック (ウェブ ACL) の編集 AWS WAF](web-acl-editing.md) を参照してください。
## 結論
これで、Firewall Manager 管理者が管理する共通ルールが含まれたウェブ ACL と、各メンバーアカウントで管理するアカウント固有のルールを作成できました。
各アカウントの **Administrator-Created-ACL** は、1 つの **Common-Rule-Group** を参照しています。このため、今後 Firewall Manager 管理者アカウントによって **Common-Rule-Group** が変更されると、各メンバーアカウントに直ちに反映されます。
メンバーアカウントでは、**Common-Rule-Group** に指定されている共通ルールを変更または削除することはできません。
アカウント固有のルールは、他のアカウントに影響しません。