Firewall Manager での AWS Shield Advanced ポリシーの使用 - AWS WAF、AWS Firewall Manager、AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
Firewall Manager は関連付けられていないウェブ ACL をどのように管理するかShield Advanced ポリシーの範囲の変更

AWS WAF の新しいコンソールエクスペリエンスのご紹介

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「更新されたコンソールエクスペリエンスを使用する」を参照してください。

Firewall Manager での AWS Shield Advanced ポリシーの使用

このページでは、Firewall Manager で AWS Shield ポリシーを使用する方法について説明します。Firewall Manager のAWS Shieldポリシーでは、保護するリソースを選択します。自動修復を有効化した状態でそのポリシーを適用すると、AWS WAFウェブ ACL にまだ関連付けられていない範囲内の各リソースについて、Firewall Manager は空の AWS WAF ウェブ ACL を関連付けます。空のウェブ ACL は、Shield によるモニタリングの目的のために使用されます。その後、他のウェブ ACL をリソースに関連付けると、Firewall Manager は、空のウェブ ACL の関連付けを削除します。

注記

AWS WAF ポリシーの範囲内にあるリソースが、「アプリケーションレイヤーの DDoS 自動緩和機能」を使用して構成された Shield Advanced ポリシーの範囲に入ると、Firewall Manager は、AWS WAF ポリシーによって作成されたウェブ ACL を関連付けた後にのみ Shield Advanced 保護を適用します。

AWS Firewall Manager は Shield ポリシー内の関連付けられていないウェブ ACL をどのように管理するか

Firewall Manager が関連付けられていないウェブ ACL を、ポリシー内の[関連付けられていないウェブ ACL の管理]設定を使って管理するか、または API のSecurityServicePolicyDataデータタイプにおけるoptimizeUnassociatedWebACLsの設定で管理するかどうかは、設定することができます。[関連付けられていないウェブ ACL の管理]をポリシーで有効にした場合、Firewall Manager は、少なくとも 1 つのリソースがウェブ ACL を使用する場合のみ、ポリシー範囲内のアカウントにウェブ ACL を作成します。アカウントがポリシーの対象になるといつでも、少なくとも 1 つのリソースがウェブ ACL を使用する場合に、Firewall Manager はアカウントにウェブ ACL を自動的に作成します。

関連付けられていないウェブ ACL の管理を有効にすると、Firewall Manager はアカウント内の関連付けられていないウェブ ACL に 1 回だけクリーンアップを実行します。このクリーンアッププロセスには、数時間かかることがあります。Firewall Manager がウェブ ACL を作成した後、リソースがポリシーの範囲から外れても、Firewall Manager はそのリソースとウェブ ACL との関連付けを解除しません。Firewall Manager にウェブ ACL をクリーンアップさせたい場合は、最初にウェブ ACL から手動でリソースの関連付けを解除してから、ポリシーの[関連付けられていないウェブ ACL の管理] オプションを有効にする必要があります。

このオプションを有効にしない場合、Firewall Manager は関連付けられていないウェブ ACL を管理せず、ポリシーの範囲内にある各アカウントにウェブ ACL を自動的に作成します。

AWS Firewall Manager が Shield ポリシーの範囲変更を管理する方法

ポリシーの範囲の設定の変更、リソースのタグに対する変更、組織からのアカウントの削除など、多くの変更により、アカウントとリソースが AWS Firewall Manager Shield Advanced ポリシーの範囲から外れる可能性があります。ポリシーの範囲設定の一般情報については、「AWS Firewall Manager ポリシースコープの使用」を参照してください。

AWS Firewall Manager Shield Advanced ポリシーを使用すると、アカウントまたはリソースが範囲外になった場合、Firewall Manager はアカウントまたはリソースのモニタリングを停止します。

アカウントが組織から削除されて範囲外になった場合でも、そのアカウントは引き続き Shield Advanced にサブスクライブされます。アカウントは一括請求ファミリーのメンバーではなくなるため、アカウントには按分計算での Shield Advanced サブスクリプション料金が発生します。一方、範囲外になったが、組織に残っているアカウントについては、追加料金が発生しません。

リソースが範囲外になった場合でも、そのリソースは Shield Advanced によって引き続き保護され、Shield Advanced データ転送料金が引き続き発生します。