AWS Firewall Manager ポリシースコープの使用 - AWS WAF、 AWS Firewall Manager AWS Shield Advanced、および AWS Shield ネットワークセキュリティディレクター
ポリシー範囲の設定ポリシーの範囲の管理

の新しいコンソールエクスペリエンスの紹介 AWS WAF

更新されたエクスペリエンスを使用して、 コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、「コンソールの使用」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Firewall Manager ポリシースコープの使用

このページでは、Firewall Manager ポリシーの範囲とその仕組みについて説明します。

ポリシーの範囲は、ポリシーが適用される場所を定義するものです。一元管理ポリシーは、以下に適用できます。

  • AWS Organizationsの組織内のすべてのアカウントとリソース。

  • AWS Organizationsの組織内のアカウントとリソースのサブセット。

ポリシーの範囲の設定方法については、「AWS Firewall Manager ポリシーの作成」を参照してください。

のポリシースコープオプション AWS Firewall Manager

組織に新しいアカウントまたはリソースを追加すると、Firewall Manager は、各ポリシーの設定に対して自動的に評価し、これらの設定に基づいてポリシーを適用します。例えば、指定されたリストのアカウント番号を除くすべてのアカウントにポリシーを適用するように選択できます。リソースタグを使用してポリシーの範囲を定義することもできます。リスト内のすべてのタグを持つリソースを除外または含めることで、ポリシーを適用するように選択できます。または、リストで指定されたタグのいずれかを持つリソースにのみポリシーを適用することもできます。

AWS アカウント 範囲内

ポリシーの AWS アカウント 影響を受ける を定義するために指定する設定によって、ポリシーを適用する AWS 組織内のアカウントが決まります。次のいずれかの方法でポリシーを適用できます。

  • 組織のすべてのアカウントに適用

  • 含めたアカウント番号と AWS Organizations の組織単位 (OU) の特定のリストにのみ適用

  • 除外したアカウント番号と AWS Organizations の組織単位 (OU) の特定のリストを除くすべてに適用

詳細については AWS Organizations、AWS Organizations 「 ユーザーガイド」を参照してください。

範囲内のリソース

範囲内のアカウントの設定と同様に、リソースに指定した設定によって、ポリシーを適用する範囲内のリソースタイプが決まります。次のいずれかを選択できます。

  • すべてのリソース

  • 指定したすべてのタグを持つリソース

  • 指定したすべてのタグを持つリソースを除くすべてのリソース

  • 指定したタグのいずれかを持つリソースのみ

  • 指定したタグのいずれかを持つリソースのみを除くすべてのリソース

NULL 以外の値を持つリソースタグのみを指定できます。値に何も指定しない場合、Firewall Manager は空の文字列値 "" でタグを保存します。リソースタグは、同じキーと値を持つタグのみと一致します。

リソースのタグ付けの詳細については、「タグエディタの使用」を参照してください。

でのポリシースコープ管理 AWS Firewall Manager

ポリシーが設定されると、Firewall Manager はポリシーを継続的に管理し、ポリシーの範囲に従って、追加される新しい AWS アカウント およびリソースに適用します。

Firewall Manager が AWS アカウント および リソースを管理する方法

何らかの理由でアカウントまたはリソースがスコープ外になった場合、ポリシースコープを離れるリソースから保護を自動的に削除チェックボックスをオンにしない限り、 AWS Firewall Manager は保護を自動的に削除したり、Firewall Manager が管理するリソースを削除したりしません。

注記

オプション ポリシーの範囲を離れるリソースから自動的に保護を削除すると、 AWS Shield Advanced または AWS WAF Classic ポリシーでは使用できません。

このチェックボックスをオンにすると、 AWS Firewall Manager は、Firewall Manager がアカウントがポリシーの範囲を離れるときに管理するリソースを自動的にクリーンアップするように に指示します。例えば、カスタマーリソースがポリシーの範囲から外れた場合、Firewall Manager は、Firewall Manager で管理するウェブ ACL と保護されたカスタマーリソースとの関連付けを解除します。

カスタマーリソースがポリシーの範囲外になったときに保護から削除する必要があるリソースを決定するために、Firewall Manager は次のガイドラインに従います。

  • デフォルトの動作

    • 関連付けられた AWS Config マネージドルールが削除されます。この動作は、チェックボックスとは無関係です。

    • リソースを含まない関連する AWS WAF ウェブアクセスコントロールリスト (ウェブ ACLs) はすべて削除されます。この動作は、チェックボックスとは無関係です。

    • 範囲外となった保護されたリソースは、関連付けられ、保護されたままになります。例えば、ウェブ ACL に関連付けられた API Gateway からの Application Load Balancer または API は、ウェブ ACL に関連付けられたままになり、保護は維持されます。

  • [Automatically remove protections from resources that leave the policy scope] (ポリシーの範囲を外れるリソースから保護を自動的に削除) のチェックボックスをオンにすると、次のようになります。

    • 関連付けられた AWS Config マネージドルールが削除されます。この動作は、チェックボックスとは無関係です。

    • リソースを含まない関連する AWS WAF ウェブアクセスコントロールリスト (ウェブ ACLs) はすべて削除されます。この動作は、チェックボックスとは無関係です。

    • 範囲外となった保護されたリソースは、ポリシーの範囲から外れると、自動的に関連付けが解除され、Firewall Manager 保護から削除されます。例えば、セキュリティグループポリシーの場合、Elastic Inference アクセラレーターまたは Amazon EC2 インスタンスは、レプリケートされたセキュリティグループがポリシーの範囲外になると、自動的に関連付けが解除されます。レプリケートされたセキュリティグループとそのリソースは、自動的に保護から削除されます。

    • Firewall Manager は、メンバーアカウントがスコープを離れたとき、またはポリシーが削除されたときに、リソースクリーンアップオプションの値に関係なくログ記録設定を削除します。