**の新しいコンソールエクスペリエンスの紹介 AWS WAF**

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Firewall Manager での AWS Shield Advanced ポリシーの使用
<a name="shield-policies"></a>

このページでは、Firewall Manager で AWS Shield ポリシーを使用する方法について説明します。Firewall Manager AWS Shield ポリシーで、保護するリソースを選択します。自動修復を有効にしてポリシーを適用すると、 AWS WAF ウェブ ACL にまだ関連付けられていないスコープ内のリソースごとに、Firewall Manager は空の AWS WAF ウェブ ACL を関連付けます。空のウェブ ACL は、Shield によるモニタリングの目的のために使用されます。その後、他のウェブ ACL をリソースに関連付けると、Firewall Manager は、空のウェブ ACL の関連付けを削除します。

**注記**  
 AWS WAF ポリシーの対象となるリソースが、[自動アプリケーションレイヤー DDoS 緩和](ddos-automatic-app-layer-response.md)で設定された Shield Advanced ポリシーのスコープに入ると、Firewall Manager は、 AWS WAF ポリシーによって作成されたウェブ ACL を関連付けた後にのみ Shield Advanced 保護を適用します。

## が Shield ポリシーで関連付けられていないウェブ ACLs AWS Firewall Manager を管理する方法
<a name="shield-policies-unused-web-acls"></a>

Firewall Manager が関連付けられていないウェブ ACL を、ポリシー内の**[関連付けられていないウェブ ACL の管理]**設定を使って管理するか、または API の[SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html)データタイプにおける`optimizeUnassociatedWebACLs`の設定で管理するかどうかは、設定することができます。[関連付けられていないウェブ ACL の管理]をポリシーで有効にした場合、Firewall Manager は、少なくとも 1 つのリソースがウェブ ACL を使用する場合のみ、ポリシー範囲内のアカウントにウェブ ACL を作成します。アカウントがポリシーの対象になるといつでも、少なくとも 1 つのリソースがウェブ ACL を使用する場合に、Firewall Manager はアカウントにウェブ ACL を自動的に作成します。

関連付けられていないウェブ ACL の管理を有効にすると、Firewall Manager はアカウント内の関連付けられていないウェブ ACL に 1 回だけクリーンアップを実行します。このクリーンアッププロセスには、数時間かかることがあります。Firewall Manager がウェブ ACL を作成した後、リソースがポリシーの範囲から外れても、Firewall Manager はそのリソースとウェブ ACL との関連付けを解除しません。Firewall Manager にウェブ ACL をクリーンアップさせたい場合は、最初にウェブ ACL から手動でリソースの関連付けを解除してから、ポリシーの[関連付けられていないウェブ ACL の管理] オプションを有効にする必要があります。

このオプションを有効にしない場合、Firewall Manager は関連付けられていないウェブ ACL を管理せず、ポリシーの範囲内にある各アカウントにウェブ ACL を自動的に作成します。

## が Shield ポリシーでスコープの変更 AWS Firewall Manager を管理する方法
<a name="shield-policies-changes-in-scope"></a>

ポリシースコープ設定の変更、リソースのタグの変更、組織からのアカウントの削除など、多くの変更により、アカウントとリソースは AWS Firewall Manager Shield Advanced ポリシーの範囲外になる可能性があります。ポリシーの範囲設定の一般情報については、「[AWS Firewall Manager ポリシースコープの使用](policy-scope.md)」を参照してください。

 AWS Firewall Manager Shield Advanced ポリシーでは、アカウントまたはリソースが範囲外になると、Firewall Manager はアカウントまたはリソースのモニタリングを停止します。

アカウントが組織から削除されて範囲外になった場合でも、そのアカウントは引き続き Shield Advanced にサブスクライブされます。アカウントは一括請求ファミリーのメンバーではなくなるため、アカウントには按分計算での Shield Advanced サブスクリプション料金が発生します。一方、範囲外になったが、組織に残っているアカウントについては、追加料金が発生しません。

Classic WebACL を使用する Shield ポリシーでは、リソースが範囲外になった場合、引き続き Shield Advanced によって保護され、Shield Advanced のデータ転送料金が発生します。