**の新しいコンソールエクスペリエンスの紹介 AWS WAF**

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Firewall Manager での AWS WAF ポリシーの使用
<a name="waf-policies"></a>

このセクションでは、Firewall Manager で AWS WAF ポリシーを使用する方法について説明します。Firewall Manager AWS WAF ポリシーでは、ポリシー範囲内のすべてのリソースを保護するために使用する AWS WAF ルールグループを指定します。ポリシーを適用すると、Firewall Manager は、指定されたルールグループやその他のポリシー設定を使用して、対象範囲内のリソースのウェブ ACL の管理を開始します。

ポリシーを設定して、対象範囲内のリソースのすべての新しいウェブ ACL を作成および管理し、既に使用されているウェブ ACL を置き換えることができます。または、対象範囲内のリソースに既に関連付けられているウェブ ACL を保持するようにポリシーを設定し、ポリシーで使用できるように後付けすることもできます。この 2 番目のオプションでは、Firewall Manager は、ウェブ ACL とまだ関連していないリソースに対してのみ新しいウェブ ACL を作成します。

作成方法に関係なく、Firewall Manager が管理するウェブ ACL では、Firewall Manager ポリシーで定義したルールグループに加えて、各アカウントが独自のルールとルールグループを管理できます。

Firewall Manager AWS WAF ポリシーを作成する手順については、「」を参照してください[の AWS Firewall Manager ポリシーの作成 AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf)。

# AWS WAF ポリシーのルールグループ管理
<a name="waf-policies-rule-groups"></a>

Firewall Manager AWS WAF ポリシーによって管理されるウェブ ACLs には、3 つのルールセットが含まれています。これらのセットにより、ウェブ ACL 内のルールおよびルールグループの優先順位は上がります。
+ Firewall Manager AWS WAF ポリシーで定義した最初のルールグループは、最初にこれらのルールグループ AWS WAF を評価します。
+ アカウントマネージャーがウェブ ACL で定義したルールおよびルールグループ。 AWS WAF は次にアカウントマネージドルールまたはルールグループを評価します。
+ Firewall Manager AWS WAF ポリシーで定義した最後のルールグループ。 は、これらのルールグループを最後に AWS WAF 評価します。

これらのルールの各セット内で、 はセット内の優先順位設定に従って、通常どおりルールとルールグループ AWS WAF を評価します。

ポリシーの最初と最後のルールグループセットでは、個別のルールではなく、ルールグループのみを追加できます。マネージドルールグループを使用できます。マネージドルールグループは、 AWS マネージドルールと AWS Marketplace 販売者が作成および維持します。独自のルールグループを管理して使用することもできます。これらのすべてのオプションの詳細については、「[AWS WAF ルールグループ](waf-rule-groups.md)」を参照してください。

独自のルールグループを使用する場合は、Firewall Manager AWS WAF ポリシーを作成する前にそれらのグループを作成します。ガイダンスについては、「[独自のルールグループの管理](waf-user-created-rule-groups.md)」を参照してください。個々のカスタムルールを使用するには、独自のルールグループを定義し、その中にルールを定義してから、ポリシーでそのルールグループを使用する必要があります。

Firewall Manager で管理する最初と最後の AWS WAF ルールグループの名前は`POSTFMManaged-`、それぞれ `PREFMManaged-`または で始まり、その後に Firewall Manager ポリシー名とルールグループ作成タイムスタンプが UTC ミリ秒単位で続きます。例えば、`PREFMManaged-MyWAFPolicyName-1621880555123`。

がウェブリクエスト AWS WAF を評価する方法については、「」を参照してください[のルールとルールグループで保護パック (ウェブ ACLs) を使用する AWS WAF](web-acl-processing.md)。

Firewall Manager は、 AWS WAF ポリシーのために定義したルールグループのサンプリングと Amazon CloudWatch メトリクスを有効にします。

個々のアカウント所有者は、ポリシーのマネージドウェブ ACL に追加するルールまたはルールグループのメトリクスとサンプリング設定を完全に制御できます。

**注記**  
メンバーアカウントに AWS WAF マーケットプレイスルールグループへのサブスクリプションがない場合、Firewall Manager はそのアカウントにカスタムルールグループまたはマネージドルールグループを伝播できません。

# AWS WAF ポリシーのウェブ ACL 管理
<a name="how-fms-manages-web-acls"></a>

Firewall Manager は、設定と一般的なポリシー管理に従って、対象範囲内のリソースのウェブ ACL を作成および管理します。

**注記**  
別の Firewall Manager Shield ポリシーによって[高度な自動アプリケーションレイヤー DDoS 緩和](ddos-automatic-app-layer-response.md)が設定されているリソースが、その Firewall Manager Shield AWS WAF ポリシーによってリソースのウェブ ACL が作成された ポリシーの範囲内にある場合、Firewall Manager は AWS WAF ポリシー保護をリソースに適用できず、リソースが非準拠としてマークされます。  
顧客が顧客所有のウェブ ACL をリソースに手動で関連付けた場合でも、Firewall Manager AWS WAF ポリシーはその顧客ウェブ ACL を Firewall Manager AWS WAF ポリシーウェブ ACL で上書きします。

**関連付けられていないウェブ ACL 設定の管理**  
Firewall Manager が、どのリソースでもウェブ ACL を使用しない場合に、アカウントのウェブ ACL を管理する方法を指定するポリシー設定。関連付けられていないウェブ ACL の管理を有効にした場合、Firewall Manager は、少なくとも 1 つのリソースがウェブ ACL を使用する場合のみ、ポリシー範囲内のアカウントにウェブ ACL を作成します。このオプションを有効にしない場合、Firewall Manager は、ウェブ ACL を使用するかどうかに関係なく、各アカウントにウェブ ACL が自動的に付与されるようにします。

これが有効にした場合、アカウントがポリシーの対象になると、少なくとも 1 つのリソースがウェブ ACL を使用する場合のみ、Firewall Manager はアカウントにウェブ ACL を自動的に作成します。

また、関連付けられていないウェブ ACL の管理を有効にすると、ポリシーの作成中に、Firewall Manager はアカウント内の関連付けられていないウェブ ACL に 1 回だけクリーンアップを実行します。このクリーンアップ中に、Firewall Manager は、作成後に変更したウェブ ACL をすべてスキップします。例えば、ルールグループをウェブ ACL に追加したり、その設定を変更したりした場合などです。このクリーンアッププロセスには、数時間かかることがあります。Firewall Manager がウェブ ACL を作成した後、リソースがポリシー範囲から外れた場合、Firewall Manager はそのリソースとウェブ ACL の関連付けを解除しますが、関連付けられていないウェブ ACL はクリーンアップしません。Firewall Manager は、関連付けられていないウェブ ACL の管理を、ポリシーで初めて有効にした場合のみ、関連付けられていないウェブ ACL をクリーンアップします。

API では、この設定は「[SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html)」データタイプにある `optimizeUnassociatedWebACL` です。例: `\"optimizeUnassociatedWebACL\":false`

**ウェブ ACL ソース設定: すべて新規作成または既存のもの改良を行いますか？**  
Firewall Manager が対象範囲内のリソースに関連付けられている既存のウェブ ACL に対して行うことを指定するポリシー設定。

デフォルトでは、Firewall Manager は対象範囲内のリソースのすべての新しいウェブ ACL を作成します。Firewall Manager は、後付けにより、既に使用されている既存のウェブ ACL を使用し、まだ関連付けられていないリソースに対してのみ新しいウェブ ACL を作成します。

ポリシーが改良用に設定されている場合、範囲内のリソースに関連付けられているすべてのウェブ ACL は、レトロフィットまたは非準拠とマークされます。

Firewall Manager は、以下の要件を満たす場合にのみウェブ ACL を改良します。
+ ウェブ ACL はカスタマーアカウントによって所有されています。
+ ウェブ ACL は、範囲内のリソースにのみ関連付けられます。
**ヒント**  
改良のために AWS WAF ポリシーを設定する前に、ポリシーの対象範囲内のリソースに関連付けられているウェブ ACLs がout-of-scopeリソースに関連付けられていないことを確認してください。
**ヒント**  
ウェブ ACL を削除するには、最初にすべてのリソースをウェブ ACL から分離します。範囲外のリソースとの関連付けが原因でウェブ ACL が準拠していない場合、まずウェブ ACL から関連付けを解除せずに範囲外のリソースを削除すると、ウェブ ACL が準拠し、Firewall Manager は修復を通じてウェブ ACL を改良できますが、この状況での修復は最大 24 時間遅延する可能性があります。

コンプライアンス違反の詳細へのアクセスについては、[AWS Firewall Manager ポリシーのコンプライアンス情報の表示](fms-compliance.md) を参照してください。

ウェブ ACL を改良できる場合、Firewall Manager はそれを次のように変更します: 
+ Firewall Manager は、ウェブ ACL の既存のルールの前に AWS WAF ポリシーの最初のルールグループを挿入し、最後に AWS WAF ポリシーの最後のルールグループを追加します。マネージドルールグループの詳細については、[AWS WAF ポリシーのルールグループ管理](waf-policies-rule-groups.md) を参照してください。
+ ポリシーにログ記録設定がある場合、Firewall Manager は、ウェブ ACL がログ記録用にまだ設定されていない場合にのみ、それをウェブ ACL に追加します。ウェブ ACL にアカウントによってログ記録が設定されている場合、Firewall Manager は、ポリシーのログ記録設定の改良中とその後の更新時の両方でそのログ記録を保持します。
+ Firewall Manager は、他のウェブ ACL プロパティを検証または設定しません。例えば、Firewall Manager はウェブ ACL のデフォルトアクション、カスタムリクエストヘッダー、CAPTCHA または Challenge の設定、トークンドメインリストを変更しません。Firewall Manager は、Firewall Manager が作成するウェブ ACL に対してのみ、これらの他のプロパティを設定します。

Firewall Manager が既存の関連付けられているすべてのウェブ ACL をレトロフィットした後、ウェブ ACL を持たない範囲内のリソースについて、Firewall Manager はデフォルトのポリシー動作に従ってリソースを処理します。が保護 AWS WAF できるリソースである場合、Firewall Manager はそのリソースに Firewall Manager ウェブ ACL を作成して関連付けます。

API では、ウェブ ACL ソース設定は「[SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html)」データタイプにある `webACLSource` です。例: `\"webACLSource\":\"RETROFIT_EXISTING\"` 

**サンプリングと CloudWatch メトリクス**  
AWS Firewall Manager は、 AWS WAF ポリシー用に作成するウェブ ACLs とルールグループのサンプリングと Amazon CloudWatch メトリクスを有効にします。

**ウェブ ACL の命名**  
Firewall Manager が作成するウェブ ACL は、 AWS WAF ポリシーにちなんで という名前が付けられます`FMManagedWebACLV2-policy name-timestamp`。タイムスタンプは UTC (ミリ秒) です。例えば、`FMManagedWebACLV2-MyWAFPolicyName-1621880374078`。

Firewall Manager が改良するウェブ ACL には、作成時にカスタマアカウントが指定した名前があります。ウェブ ACL 名は作成後に変更できません。

**注記**  
[高度な自動アプリケーションレイヤー DDoS 緩和](ddos-automatic-app-layer-response.md)で設定されたリソースが AWS WAF ポリシーの対象である場合、Firewall Manager は AWS WAF ポリシーによって作成されたウェブ ACL をリソースに関連付けることができません。

# AWS WAF ポリシーのログ記録
<a name="waf-policies-logging-config"></a>

 AWS WAF ポリシーの集中ログ記録を有効にして、組織内のウェブ ACL によって分析されるトラフィックに関する詳細情報を取得できます。 は、このオプションを AWS WAF Classic ではなく AWS WAFV2で AWS Firewall Manager サポートします。

ログの情報には、保護された AWS リソースからリクエスト AWS WAF を受信した時間、リクエストに関する詳細情報、および各リクエストがすべての対象アカウントから一致したルールのアクションが含まれます。 AWS WAF ログ記録の詳細については、「 *AWS WAF デベロッパーガイド*[ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィック](logging.md)」の「」を参照してください。

ログは、Amazon Data Firehose データストリーム、または Amazon Simple Storage Service (S3) バケットに送信することができます。各送信先タイプには、Firewall Manager が範囲内のリソースとアカウント全体の AWS WAF ログ記録を管理できるようにするために追加の設定が必要です。詳細については次のセクションで説明します。

ポリシーでウェブ ACL のレトロフィットが有効になっている場合、Firewall Manager は既存のウェブ ACL に配置されているログ記録設定を上書きしません。後付けの詳細については、[AWS WAF ポリシーのウェブ ACL 管理](how-fms-manages-web-acls.md) のウェブ ACL ソース設定情報を参照してください。

**注記**  
Firewall Manager ポリシーのログ記録は、Firewall Manager インターフェイスを介してのみ変更または無効にします。 AWS WAF を使用して Firewall Manager によって管理されるウェブ ACL のログ記録設定を更新または削除する場合、Firewall Manager は変更を自動的に検出しません。を使用した場合は AWS WAF、 AWS WAF ポリシーのルールを再評価することで、Firewall Manager ポリシーの更新を手動で求めることができます AWS Config。これを行うには、 AWS Config コンソールで Firewall Manager ポリシーの AWS Config ルールを見つけ、再評価アクションを選択します。

**Topics**
+ [ログ記録の送信先](waf-policies-logging-destinations.md)
+ [Firewall Manager で AWS WAF ポリシーのログ記録を有効にする](waf-policies-enabling-logging.md)
+ [Firewall Manager での AWS WAF ポリシーのログ記録の無効化](waf-policies-disabling-logging.md)

# ログ記録の送信先
<a name="waf-policies-logging-destinations"></a>

このセクションでは、 AWS WAF ポリシーログの送信先として選択できるログ記録先について説明します。各セクションでは、送信先の種類のログを設定するためのガイダンスと、送信先の種類に固有の動作に関する情報を提供します。ログ記録先を設定したら、Firewall Manager AWS WAF ポリシーにその仕様を指定して、ログ記録を開始できます。

Firewall Manager では、ログ記録設定を作成した後でログの失敗を可視化することはできません。ログ配信が意図したとおりに機能していることを確認するのはユーザーの責任になります。

Firewall Manager は、組織のメンバーアカウントの既存のログ記録設定を変更しません。

**Topics**
+ [Amazon Data Firehose データストリーム](#waf-policies-logging-destinations-kinesis-data-firehose)
+ [Amazon Simple Storage Service バケット](#waf-policies-logging-destinations-s3)

## Amazon Data Firehose データストリーム
<a name="waf-policies-logging-destinations-kinesis-data-firehose"></a>

このトピックでは、ウェブ ACL トラフィックログの Amazon Data Firehose データストリームへの送信に関する情報を提供します。

Amazon Data Firehose のログ記録を有効化していると、Firewall Manager は、ストレージを出力先に設定した Amazon Data Firehose に対し、ポリシーのウェブ ACL からログを送信します。ログ記録を有効にすると、 は Kinesis Data Firehose の HTTPS エンドポイントを介して、設定された各ウェブ ACL のログを設定されたストレージ宛先に AWS WAF 配信します。それを使用する前に、配信ストリームをテストして、組織のログに対応するのに十分なスループットがあることを確認します。Amazon Kinesis Data Firehose を作成し、保存されているログを確認する方法の詳細については、「[What Is Amazon Data Firehose?](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)」を参照してください。

Kinesis によるログ記録を正常に有効化するには、以下の許可が付与されている必要があります。
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`

 AWS WAF ポリシーで Amazon Data Firehose ログ記録先を設定すると、Firewall Manager は Firewall Manager 管理者アカウントにポリシーのウェブ ACL を次のように作成します。
+ Firewall Manager は、アカウントがポリシーの範囲内にあるかどうかにかかわらず、Firewall Manager 管理者アカウントにウェブ ACL を作成します。
+ ウェブ ACL でログ記録が有効になり、`FMManagedWebACLV2-Loggingpolicy name-timestamp` というログ名が付けられます。タイムスタンプは、ウェブ ACL 用にログが有効になった UTC 時間 (ミリ秒) です。例えば、`FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180`。ウェブ ACL には、ルールグループおよび関連するリソースはありません。
+ ウェブ ACL には、 AWS WAF 料金ガイドラインに従って課金されます。詳細については、「[AWS WAF 料金](https://aws.amazon.com/waf/pricing/)」を参照してください。
+ ポリシーを削除すると、Firewall Manager はウェブ ACL を削除します。

サービスにリンクされたロールおよび `iam:CreateServiceLinkedRole` 許可の詳細については、「[のサービスにリンクされたロールの使用 AWS WAF](using-service-linked-roles.md)」を参照してください。

配信ストリームの作成の詳細については、「[Creating an Amazon Data Firehose Delivery Stream](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html)」を参照してください。

## Amazon Simple Storage Service バケット
<a name="waf-policies-logging-destinations-s3"></a>

このトピックは、ウェブ ACL トラフィックログの Amazon S3 バケットへの送信に関する情報を提供します。

ログ記録の出力先として選択するバケットは、Firewall Manager の管理者アカウントが所有している必要があります。ログ記録用に Amazon S3 バケットを作成する際の要件、およびバケット命名における要件の情報については、「*AWS WAF デベロッパーガイド*」の「[Amazon Simple Storage Service](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html)」を参照してください。

**結果整合性**  
Amazon S3 ログ記録先で設定された AWS WAF ポリシーを変更すると、Firewall Manager はバケットポリシーを更新して、ログ記録に必要なアクセス許可を追加します。その際、Firewall Manager は、Amazon Simple Storage Service が採用している、最後の書き込みを優先するセマンティクスとデータ整合性モデルに従います。Firewall Manager コンソールまたは [PutPolicy](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutPolicy.html) API を使用して、Amazon S3 内の送信先に対して同時に複数のポリシーを更新すると、一部のアクセス許可が保存されない場合があります。Amazon S3 におけるデータ整合性モデルの詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[ Amazon S3 のデータ整合性モデル](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html#ConsistencyModel)」を参照してください。

### Amazon S3 に対しログを発行するためのアクセス許可
<a name="waf-policies-logging-s3-permissions"></a>

 AWS WAF ポリシーで Amazon S3 バケットのウェブ ACL トラフィックログ記録を設定するには、次のアクセス許可設定が必要です。Amazon S3 をログ記録の出力先として設定すると、Firewall Manager は、サービスがバケットに対しログを公開することを許可するために、これらのアクセス許可を Amazon S3 バケットに自動的にアタッチします。ログ記録と Firewall Manager リソースへのよりきめ細かいアクセスを管理したい場合は、自分でこれらの許可を設定できます。アクセス許可の管理については、「IAM ユーザーガイド**」の「[AWS リソースのアクセス管理](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html)」を参照してください。 AWS WAF 管理ポリシーの詳細については、「」を参照してください[AWS の 管理ポリシー AWS WAF](security-iam-awsmanpol.md)。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "AWSLogDeliveryForFirewallManager",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryAclCheckFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix"
        },
        {
            "Sid": "AWSLogDeliveryWriteFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}
```

------

サービス間での混乱した代理問題を防ぐためには、[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) および [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) グローバル条件コンテキストキーを、バケットのポリシーに追加できます。これらのキーを追加する場合は、ログの出力先を設定する際に Firewall Manager により作成されたポリシーを変更します。あるいは、よりきめ細かな制御が必要な場合には、独自のポリシーを作成することができます。これらの条件をログ記録出力先のポリシーに追加した場合、Firewall Manager は、混乱した代理に関する保護の検証またはモニタリングを行いません。混乱した代理問題の詳細については、「*IAM ユーザーガイド*」の「[混乱する代理問題](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)」を参照してください。

`sourceAccount` および `sourceArn` のプロパティを追加すると、バケットポリシーのサイズが増加します。`sourceAccount` および `sourceArn` プロパティから成る長いリストを追加する場合は、Amazon S3 の[バケットポリシーのサイズ](https://docs.aws.amazon.com/general/latest/gr/s3.html#limits_s3)が上限を超えないように注意してください。

次の例で、 ロールポリシーで `aws:SourceArn` および `aws:SourceAccount` のグローバル条件コンテキストを使用して、混乱した代理問題を防止する方法を示します。*member-account-id* を、組織内のメンバーのアカウント ID に置き換えます。

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Id":"AWSLogDeliveryForFirewallManager",
   "Statement":[
      {
         "Sid":"AWSLogDeliveryAclCheckFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:GetBucketAcl",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":[
               "111122223333",
               "444455556666"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
               "arn:aws:logs:*:111122223333:*",
               "arn:aws:logs:*:444455556666:*"
               ]
            }
         }
      },
      {
         "Sid":"AWSLogDeliveryWriteFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:PutObject",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
         "Condition":{
            "StringEquals":{
               "s3:x-amz-acl":"bucket-owner-full-control",
               "aws:SourceAccount":[
               "111122223333",
               "444455556666"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
               "arn:aws:logs:*:111122223333:*",
               "arn:aws:logs:*:444455556666:*"
               ]
            }
         }
      }
   ]
}
```

------

#### Amazon S3 バケットのサーバー側の暗号化
<a name="waf-policies-logging-s3-kms-permissions"></a>

Amazon S3 サーバー側の暗号化を有効にするか、S3 バケットで AWS Key Management Service カスタマーマネージドキーを使用できます。 AWS WAF ログに Amazon S3 バケットでデフォルトの Amazon S3 暗号化を使用する場合は、特別なアクションを実行する必要はありません。ただし、お客様が用意した暗号化キーを使用して保管中の Amazon S3 データを暗号化する場合は、 AWS Key Management Service キーポリシーに次のアクセス許可ステートメントを追加する必要があります。

```
{
            "Sid": "Allow Logs Delivery to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
}
```

Amazon S3 でお客様が提供する暗号化キーの使用の詳細については、「*Amazon Simple Storage Service ユーザーガイド*」の「[お客様が指定したキーによるサーバー側の暗号化 (SSE−C) の使用](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html)」を参照してください。

# Firewall Manager で AWS WAF ポリシーのログ記録を有効にする
<a name="waf-policies-enabling-logging"></a>

次の手順では、Firewall Manager コンソールで AWS WAF ポリシーのログ記録を有効にする方法について説明します。

**AWS WAF ポリシーのログ記録を有効にするには**

1. ログ記録を有効にする前に、次のようにログ記録の出力先リソースを設定する必要があります。
   + **Amazon Kinesis Data Streams** – Firewall Manager 管理者アカウントを使用して Amazon Data Firehose を作成します。プレフィックス `aws-waf-logs-` で始まる名前を使用します。例えば、`aws-waf-logs-firewall-manager-central`。自分が操作しているリージョン内で、`PUT` ソースを使用して Data Firehose を作成します。Amazon CloudFront のログをキャプチャしている場合は、米国東部 (バージニア北部) に Firehose を作成します。それを使用する前に、配信ストリームをテストして、組織のログに対応するのに十分なスループットがあることを確認します。詳細については、「[Creating an Amazon Data Firehose Delivery Stream](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html)」を参照してください。
   + **Amazon Simple Storage Service バケット** – 「*AWS WAF デベロッパーガイド*」の「[Amazon Simple Storage Service](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html)」トピックにあるガイドラインに従って、Amazon S3 バケットを作成します。また、[Amazon S3 に対しログを発行するためのアクセス許可](waf-policies-logging-destinations.md#waf-policies-logging-s3-permissions) に一覧されているアクセス許可を使用して、Amazon S3 バケットを設定する必要があります。

1. Firewall Manager 管理者アカウント AWS マネジメントコンソール を使用して にサインインし、 で Firewall Manager コンソールを開きます[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
**注記**  
Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。

1. ナビゲーションペインで、**[Security Policies]** (セキュリティポリシー) を選択します。

1. ログ記録を有効にする AWS WAF ポリシーを選択します。 AWS WAF ログ記録の詳細については、「[ログ記録 AWS WAF 保護パック (ウェブ ACL) トラフィック](logging.md)」を参照してください。

1. **[Policy details]** (ポリシーの詳細) タブの **[Policy rules]** (ポリシールール) セクションで、**[Edit]** (編集) を選択します。

1. **[ログ記録設定]** で、**[ログ記録を有効にする]** を選択してログ記録をオンにします。ログ記録は、ウェブ ACL で分析されるトラフィックに関する詳細情報を提供します。**[ログの出力先]** を選択し、設定したログ記録の送信先を選択します。名前が `aws-waf-logs-` で始まるログ記録先を選択する必要があります。 AWS WAF ログ記録先の設定については、「」を参照してください[Firewall Manager での AWS WAF ポリシーの使用](waf-policies.md)。

1. (オプション) 特定のフィールドとその値がログに含まれることを希望しない場合には、このフィールドをマスキングします。マスキングするフィールドを選び、**[Add]** (追加) を選択します。必要に応じて手順を繰り返し、追加のフィールドをマスキングします。マスキングされたフィールドは、ログに `REDACTED` と表示されます。例えば、**[URI]** フィールドをマスキングすると、ログの **[URI]** フィールドは `REDACTED` となります。

1. (オプション) すべてのリクエストをログに送信しない場合は、フィルタリング条件と動作を追加します。**[Filter logs]** (ログをフィルタリング) で、適用する各フィルターについて **[Add filter]** (フィルターを追加) を選択し、次にフィルター基準を選択して、基準に一致するリクエストを保持するかドロップするかを指定します。フィルターの追加が完了したら、必要に応じて、**[Default logging behavior]** (デフォルトのログ記録動作) を変更します。詳細については、「*AWS WAF デベロッパーガイド*」の 「[保護パック (ウェブ ACL) レコードの検索](logging-management.md)」を参照してください。

1. [**次へ**] を選択します。

1. 設定を確認し、**[Save]** (保存) を選択してポリシーに対する変更を保存します。

# Firewall Manager での AWS WAF ポリシーのログ記録の無効化
<a name="waf-policies-disabling-logging"></a>

次の手順では、Firewall Manager コンソールで AWS WAF ポリシーのログ記録を無効にする方法について説明します。

**AWS WAF ポリシーのログ記録を無効にするには**

1. Firewall Manager 管理者アカウント AWS マネジメントコンソール を使用して にサインインし、 で Firewall Manager コンソールを開きます[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
**注記**  
Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。

1. ナビゲーションペインで、**[Security Policies]** (セキュリティポリシー) を選択します。

1. ログ記録を無効にする AWS WAF ポリシーを選択します。

1. **[Policy details]** (ポリシーの詳細) タブの **[Policy rules]** (ポリシールール) セクションで、**[Edit]** (編集) を選択します。

1. **[Logging configuration status]** (ログ記録設定ステータス) で、**[Disabled]** (無効) を選択します。

1. **[Next]** (次へ) を選択します。

1. 設定を確認し、**[Save]** (保存) を選択してポリシーに対する変更を保存します。

**注記**  
Firewall Manager ポリシーのログ記録は、Firewall Manager インターフェイスを介してのみ変更または無効にします。 AWS WAF を使用して Firewall Manager によって管理されるウェブ ACL のログ記録設定を更新または削除する場合、Firewall Manager は変更を自動的に検出しません。を使用した場合は AWS WAF、 AWS WAF ポリシーのルールを再評価することで、Firewall Manager ポリシーの更新を手動で促すことができます AWS Config。これを行うには、 AWS Config コンソールで Firewall Manager ポリシーの AWS Config ルールを見つけ、再評価アクションを選択します。