翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Firewall Manager および AWS Organizations
<a name="services-that-can-integrate-fms"></a>

AWS Firewall Manager は、組織内の およびアプリケーション全体でファイアウォールルールやその他の保護を一元的に設定 AWS アカウント および管理するために使用するセキュリティ管理サービスです。Firewall Manager を使用すると、 AWS WAF ルールのロールアウト、保護の作成 AWS Shield Advanced 、Amazon Virtual Private Cloud (Amazon VPC) セキュリティグループの設定と監査、 AWS Network Firewallのデプロイを行うことができます。Firewall Manager を使用すれば、保護を一度設定するだけで、新しいリソースやアカウントが追加されているかどうかにかかわらず、組織内のすべてのアカウントとリソースに保護が自動的に適用されます。詳細については AWS Firewall Manager、「 *[AWS Firewall Manager デベロッパーガイド](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)*」を参照してください。

次の情報は、 AWS Firewall Manager との統合に役立ちます AWS Organizations。



## 統合を有効にする際に作成されるサービスにリンクされたロール
<a name="integrate-enable-slr-fms"></a>

信頼されたアクセスを有効にすると、以下の[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)が組織の管理アカウントに自動的に作成されます。このロールにより、Firewall Manager はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、Firewall Manager と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。
+ `AWSServiceRoleForFMS`

## サービスにリンクされたロールで使用されるサービスプリンシパル
<a name="integrate-enable-svcprin-fms"></a>

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Firewall Manager によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。
+ `fms.amazonaws.com`

## Firewall Manager との信頼されたアクセスの有効化
<a name="integrate-enable-ta-fms"></a>

信頼されたアクセスの有効化に必要な権限に関しては、[信頼されたアクセスを有効にするために必要なアクセス許可](orgs_integrate_services.md#orgs_trusted_access_perms) を参照してください。

信頼されたアクセスは、 AWS Firewall Manager コンソールまたは AWS Organizations コンソールを使用して有効にできます。

**重要**  
可能な限り、 AWS Firewall Manager コンソールまたはツールを使用して Organizations との統合を有効にすることを強くお勧めします。これにより、 は、サービスに必要なリソースの作成など、必要な設定 AWS Firewall Manager を実行できます。ここに示す手順は、統合の有効化に AWS Firewall Managerが提供するツールを使用できない場合にのみ実施してください。詳細については、[この注意](orgs_integrate_services.md#important-note-about-integration)を参照してください。  
 AWS Firewall Manager コンソールまたはツールを使用して信頼されたアクセスを有効にする場合、これらのステップを実行する必要はありません。

 AWS Organizations 管理アカウントでサインインし、組織内のアカウントを AWS Firewall Manager 管理者アカウントとして設定する必要があります。詳細については、*AWS Firewall Manager デベロッパーガイド*の [Set the AWS Firewall Manager Administrator Account](https://docs.aws.amazon.com/waf/latest/developerguide/enable-integration.html) を参照してください。

信頼されたアクセスを有効にするには、 AWS Organizations コンソールを使用するか、 AWS CLI コマンドを実行するか、いずれかの AWS SDKs。

------
#### [ AWS マネジメントコンソール ]

**Organizations コンソールを使用して信頼されたアクセスを有効にするには**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。

1. ナビゲーションペインで [**Services (サービス)**] を選択します。

1. サービスのリストで **[AWS Firewall Manager]** を選択します。

1. [**Enable trusted access (信頼されたアクセスを有効にする)**] を選択します。

1. **[ AWS Firewall Managerの信頼されたアクセスを有効にする]** ダイアログボックスで、**[有効にする]** と入力して確定し、**[信頼されたアクセスを有効化]** を選択します。

1. の管理者のみの場合は AWS Organizations、 の管理者に、そのサービスがサービスコンソール から と AWS Organizations 連携できるようになった AWS Firewall Manager ことを知らせます。

------
#### [ AWS CLI, AWS API ]

**Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには**  
信頼されたサービスアクセスを有効にするには、次の AWS CLI コマンドまたは API オペレーションを使用します。
+ AWS CLI: [enable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/enable-aws-service-access.html)

  次のコマンドを実行して、Organizations で信頼されたサービス AWS Firewall Manager として を有効にします。

  ```
  $ aws organizations enable-aws-service-access \ 
      --service-principal fms.amazonaws.com
  ```

  このコマンドが成功した場合、出力は生成されません。
+ AWS API: [EnableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_EnableAWSServiceAccess.html)

------

## Firewall Manager との信頼されたアクセスの無効化
<a name="integrate-disable-ta-fms"></a>

信頼されたアクセスの無効化に必要なアクセス権限に関しては、[信頼されたアクセスを無効にするために必要なアクセス許可](orgs_integrate_services.md#orgs_trusted_access_disable_perms) を参照してください。

信頼されたアクセスは、 AWS Firewall Manager または AWS Organizations ツールを使用して無効にできます。

**重要**  
可能な限り、 AWS Firewall Manager コンソールまたはツールを使用して Organizations との統合を無効にすることを強くお勧めします。これにより、 は、サービスで不要になったリソースやアクセスロールの削除など、必要なクリーンアップ AWS Firewall Manager を実行できます。ここに示す手順は、統合の無効化に AWS Firewall Managerが提供するツールを使用できない場合にのみ実施してください。  
 AWS Firewall Manager コンソールまたはツールを使用して信頼されたアクセスを無効にする場合、これらのステップを実行する必要はありません。

**Firewall Manager コンソールを使用して信頼されたアクセスを無効にするには**  
 AWS Firewall Manager 管理者アカウントを変更または取り消すには、「 *AWS Firewall Manager デベロッパーガイド*[」の「別のアカウントを AWS Firewall Manager 管理者アカウントとして指定する](https://docs.aws.amazon.com/waf/latest/developerguide/fms-change-administrator.html)」の手順に従います。

管理者アカウントを取り消す場合は、 AWS Organizations 管理アカウントにサインインし、新しい管理者アカウントを設定する必要があります AWS Firewall Manager。

信頼されたアクセスを無効にするには、 AWS Organizations コンソールを使用するか、Organizations AWS CLI コマンドを実行するか、いずれかの AWS SDKs。

------
#### [ AWS マネジメントコンソール ]

**Organizations コンソールを使用して信頼されたアクセスを無効にするには**

1. [AWS Organizations コンソール](https://console.aws.amazon.com/organizations/v2)にサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、あるいはルートユーザーとしてサインイン ([推奨されません](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) する必要があります。

1. ナビゲーションペインで [**Services (サービス)**] を選択します。

1. サービスのリストで **[AWS Firewall Manager]** を選択します。

1. **Disable trusted access** (信頼されたアクセスを無効にする) を選択します。

1. **[ AWS Firewall Managerの信頼されたアクセスを無効にする]** ダイアログボックスで、**[無効にする]** と入力して確定し、**[信頼されたアクセスを無効にする]** を選択します。

1. の管理者のみの場合は AWS Organizations、そのサービスがサービスコンソールまたはツール を使用して を操作する AWS Organizations ことを無効にできるようになった AWS Firewall Manager ことを管理者に伝えます。

------
#### [ AWS CLI, AWS API ]

**Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには**  
次の AWS CLI コマンドまたは API オペレーションを使用して、信頼されたサービスアクセスを無効にできます。
+ AWS CLI: [disable-aws-service-access](https://docs.aws.amazon.com/cli/latest/reference/organizations/disable-aws-service-access.html)

  次のコマンドを実行して、Organizations の信頼されたサービス AWS Firewall Manager として を無効にします。

  ```
  $ aws organizations disable-aws-service-access \
      --service-principal fms.amazonaws.com
  ```

  このコマンドが成功した場合、出力は生成されません。
+ AWS API: [DisableAWSServiceAccess](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DisableAWSServiceAccess.html)

------

## Firewall Manager 用の委任管理者アカウントの有効化
<a name="integrate-enable-da-fms"></a>

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、 Firewall Manager の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、組織の管理から Firewall Manager の管理を分離するのに有効です。

**最小アクセス許可**  
Organizations 管理アカウントのユーザーまたはロールのみが、組織内で Firewall Manager の委任管理者としてメンバーアカウントを設定できます。

メンバーアカウントを組織の Firewall Manager 管理者として指定する方法については、「 *AWS Firewall Manager デベロッパーガイド*」の[AWS Firewall Manager 「管理者アカウントの設定](https://docs.aws.amazon.com/waf/latest/developerguide/enable-integration.html)」を参照してください。