AWS Firewall Manager ポリシースコープの使用 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
ポリシー範囲の設定ポリシーの範囲の管理

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

AWS Firewall Manager ポリシースコープの使用

このページでは、Firewall Manager ポリシーの範囲とその仕組みについて説明します。

ポリシーの範囲は、ポリシーが適用される場所を定義するものです。一元管理ポリシーは、以下に適用できます。

  • AWS Organizations の組織内のすべてのアカウントとリソース。

  • AWS Organizations の組織内のアカウントとリソースのサブセット。

ポリシーの範囲の設定方法については、「AWS Firewall Manager ポリシーの作成」を参照してください。

AWS Firewall Manager のポリシーの範囲のオプション

組織に新しいアカウントまたはリソースを追加すると、Firewall Manager は、各ポリシーの設定に対して自動的に評価し、これらの設定に基づいてポリシーを適用します。例えば、指定されたリストのアカウント番号を除くすべてのアカウントにポリシーを適用するように選択できます。リソースタグを使用してポリシーの範囲を定義することもできます。リスト内のすべてのタグを持つリソースを除外または含めることで、ポリシーを適用するように選択できます。または、リストで指定されたタグのいずれかを持つリソースにのみポリシーを適用することもできます。

AWS アカウント範囲内の

ポリシーの影響を受ける AWS アカウント を定義するために提供する設定によって、AWS 組織内のどのアカウントにポリシーを適用するかが決まります。次のいずれかの方法でポリシーを適用できます。

  • 組織のすべてのアカウントに適用

  • 含めたアカウント番号と AWS Organizations の組織単位 (OU) の特定のリストにのみ適用

  • 除外したアカウント番号と AWS Organizations の組織単位 (OU) の特定のリストを除くすべてに適用

AWS Organizations の詳細については、「AWS Organizations ユーザーガイド」を参照してください。

範囲内のリソース

範囲内のアカウントの設定と同様に、リソースに指定した設定によって、ポリシーを適用する範囲内のリソースタイプが決まります。次のいずれかを選択できます。

  • すべてのリソース

  • 指定したすべてのタグを持つリソース

  • 指定したすべてのタグを持つリソースを除くすべてのリソース

  • 指定したタグのいずれかを持つリソースのみ

  • 指定したタグのいずれかを持つリソースのみを除くすべてのリソース

NULL 以外の値を持つリソースタグのみを指定できます。値に何も指定しない場合、Firewall Manager は空の文字列値 "" でタグを保存します。リソースタグは、同じキーと値を持つタグのみと一致します。

リソースのタグ付けの詳細については、「タグエディタの使用」を参照してください。

AWS Firewall Manager のポリシーの範囲の管理

ポリシーが設定されている場合、Firewall Manager はポリシーを継続的に管理し、ポリシーの範囲に従って、追加された新しい AWS アカウント およびリソースにポリシーを適用します。

Firewall Manager による AWS アカウント およびリソースの管理方法

アカウントまたはリソースが何らかの理由で範囲外になった場合、AWS Firewall Manager は、[Automatically remove protections from resources that leave the policy scope] (ポリシーの範囲を外れるリソースから保護を自動的に削除) のチェックボックスをオンにしない限り、保護を自動的に削除したり、Firewall Manager マネージドリソースを削除したりしません。

注記

[Automatically remove protections from resources that leave the policy scope] (ポリシーの範囲を外れるリソースから保護を自動的に削除) のオプションは、 AWS Shield Advanced または AWS WAF Classic ポリシーでは使用できません。

このチェックボックスをオンにすると、AWS Firewall Manager は、アカウントがポリシーの範囲を外れたときに Firewall Manager がアカウントのために管理するリソースを自動的にクリーンアップするように指示されます。例えば、カスタマーリソースがポリシーの範囲から外れた場合、Firewall Manager は、Firewall Manager で管理するウェブ ACL と保護されたカスタマーリソースとの関連付けを解除します。

カスタマーリソースがポリシーの範囲外になったときに保護から削除する必要があるリソースを決定するために、Firewall Manager は次のガイドラインに従います。

  • デフォルトの動作

    • 関連する AWS Config マネージドルールが削除されます。この動作は、チェックボックスとは無関係です。

    • 関連付けられた AWS WAF ウェブアクセスコントロールリスト (ウェブ ACL) のうち、リソースを含まないものは、すべて削除されます。この動作は、チェックボックスとは無関係です。

    • 範囲外となった保護されたリソースは、関連付けられ、保護されたままになります。例えば、ウェブ ACL に関連付けられた API Gateway からの Application Load Balancer または API は、ウェブ ACL に関連付けられたままになり、保護は維持されます。

  • [Automatically remove protections from resources that leave the policy scope] (ポリシーの範囲を外れるリソースから保護を自動的に削除) のチェックボックスをオンにすると、次のようになります。

    • 関連する AWS Config マネージドルールが削除されます。この動作は、チェックボックスとは無関係です。

    • 関連付けられた AWS WAF ウェブアクセスコントロールリスト (ウェブ ACL) のうち、リソースを含まないものは、すべて削除されます。この動作は、チェックボックスとは無関係です。

    • 範囲外となった保護されたリソースは、ポリシーの範囲から外れると、自動的に関連付けが解除され、Firewall Manager 保護から削除されます。例えば、セキュリティグループポリシーの場合、Elastic Inference アクセラレーターまたは Amazon EC2 インスタンスは、レプリケートされたセキュリティグループがポリシーの範囲外になると、自動的に関連付けが解除されます。レプリケートされたセキュリティグループとそのリソースは、自動的に保護から削除されます。