Cookie の設定を選択する

当社は、当社のサイトおよびサービスを提供するために必要な必須 Cookie および類似のツールを使用しています。当社は、パフォーマンス Cookie を使用して匿名の統計情報を収集することで、お客様が当社のサイトをどのように利用しているかを把握し、改善に役立てています。必須 Cookie は無効化できませんが、[カスタマイズ] または [拒否] をクリックしてパフォーマンス Cookie を拒否することはできます。

お客様が同意した場合、AWS および承認された第三者は、Cookie を使用して便利なサイト機能を提供したり、お客様の選択を記憶したり、関連する広告を含む関連コンテンツを表示したりします。すべての必須ではない Cookie を受け入れるか拒否するには、[受け入れる] または [拒否] をクリックしてください。より詳細な選択を行うには、[カスタマイズ] をクリックしてください。

AWS Firewall Manager および AWS Organizations

フォーカスモード
AWS Firewall Manager および AWS Organizations - AWS Organizations

AWS Firewall Manager は、組織内の AWS アカウント とアプリケーションを対象に、ファイアウォールルールやその他の保護を一元的に設定、管理するセキュリティ管理サービスです。Firewall Manager を使用して、AWS WAF ルールのロールアウト、AWS Shield Advanced 保護の作成、Amazon Virtual Private Cloud (Amazon VPC) セキュリティグループの設定と監査、AWS Network Firewall デプロイを行うことができます。Firewall Manager を使用すれば、保護を一度設定するだけで、新しいリソースやアカウントが追加されているかどうかにかかわらず、組織内のすべてのアカウントとリソースに保護が自動的に適用されます。AWS Firewall Manager の詳細については、「AWS Firewall Manager デベロッパーガイド」を参照してください。

AWS Firewall Manager と AWS Organizations の統合には、次の情報を参考にしてください。

統合を有効にする際に作成されるサービスにリンクされたロール

信頼されたアクセスを有効にすると、以下のサービスにリンクされたロールが組織の管理アカウントに自動的に作成されます。このロールにより、Firewall Manager はサポートされているオペレーションを組織内のアカウントで実行できます。

このロールを削除または変更できるのは、Firewall Manager と Organizations 間の信頼されたアクセスを無効にした場合か、組織から当該のメンバーアカウントを削除した場合だけです。

  • AWSServiceRoleForFMS

サービスにリンクされたロールで使用されるサービスプリンシパル

前のセクションで説明したサービスにリンクされたロールを引き受けることができるのは、ロールに定義された信頼関係によって承認されたサービスプリンシパルだけです。Firewall Manager によって使用されるサービスにリンクされたロールには、次のサービスプリンシパルへのアクセス許可が付与されます。

  • fms.amazonaws.com

Firewall Manager との信頼されたアクセスの有効化

信頼されたアクセスの有効化に必要なアクセス許可に関しては、信頼されたアクセスを有効にするために必要なアクセス許可 を参照してください。

AWS Firewall Manager コンソールまたは AWS Organizations コンソールのいずれかを使用して、信頼されたアクセスを有効にできます。

重要

Organizations との統合の有効化には、可能な場合は常に AWS Firewall Manager コンソールまたはツールを使用することを強くお勧めします。そうすることで、サービスに必要なリソースの作成など、必要な構成が AWS Firewall Manager で実行可能になります。ここに示す手順は、統合の有効化に AWS Firewall Manager が提供するツールを使用できない場合にのみ実施してください。詳細については、この注意を参照してください。

AWS Firewall Manager コンソールまたはツールを使用して信頼されたアクセスを有効にする場合、これらのステップを実施する必要はありません。

AWS Organizations 管理アカウントでサインインし、組織内のアカウントを AWS Firewall Manager の管理者アカウントとして設定する必要があります。詳細については、AWS Firewall Manager デベロッパーガイドSet the AWS Firewall Manager Administrator Account を参照してください。

信頼されたアクセスの有効化には、AWS Organizations コンソールを使用する方法、AWS CLI コマンドを実行する方法、いずれかの AWS SDK で API オペレーションを呼び出す方法があります。

AWS Management Console
Organizations コンソールを使用して信頼されたアクセスを有効にするには
  1. AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストで [AWS Firewall Manager] を選択します。

  4. [Enable trusted access (信頼されたアクセスを有効にする)] を選択します。

  5. [AWS Firewall Manager の信頼されたアクセスを有効にする] ダイアログボックスで、[有効にする] と入力して確定し、[信頼されたアクセスを有効にする] を選択します。

  6. AWS Organizations だけの管理者である場合は、AWS Firewall Manager の管理者に、コンソールを使用してそのサービスを有効にし、AWS Organizations と連携させて使用できるようになったことを知らせます。

AWS CLI, AWS API
Organizations CLI/SDK を使用して信頼されたアクセスを有効にするには

信頼されたサービスのアクセスを有効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: enable-aws-service-access

    次のコマンドを実行し、AWS Firewall Manager を Organizations で信頼されたサービスとして有効にすることができます。

    $ aws organizations enable-aws-service-access \ --service-principal fms.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: EnableAWSServiceAccess

Organizations コンソールを使用して信頼されたアクセスを有効にするには
  1. AWS Organizations コンソールにサイン・インします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストで [AWS Firewall Manager] を選択します。

  4. [Enable trusted access (信頼されたアクセスを有効にする)] を選択します。

  5. [AWS Firewall Manager の信頼されたアクセスを有効にする] ダイアログボックスで、[有効にする] と入力して確定し、[信頼されたアクセスを有効にする] を選択します。

  6. AWS Organizations だけの管理者である場合は、AWS Firewall Manager の管理者に、コンソールを使用してそのサービスを有効にし、AWS Organizations と連携させて使用できるようになったことを知らせます。

Firewall Manager との信頼されたアクセスの無効化

信頼されたアクセスの無効化に必要なアクセス許可に関しては、信頼されたアクセスを無効にするために必要なアクセス許可 を参照してください。

AWS Firewall Manager または AWS Organizations ツールを使用して信頼されたアクセスを無効にできます。

重要

Organizations との統合の無効化には、可能な場合は常に AWS Firewall Manager コンソールまたはツールを使用することを強くお勧めします。そうすることで、AWS Firewall Manager は、サービスで不要になったリソースやアクセスロールの削除など、必要なクリーンアップを実行できます。ここに示す手順は、統合の無効化に AWS Firewall Manager が提供するツールを使用できない場合にのみ実施してください。

AWS Firewall Manager コンソールまたはツールを使用して信頼されたアクセスを無効にする場合、これらのステップを実施する必要はありません。

Firewall Manager コンソールを使用して信頼されたアクセスを無効にするには

AWS Firewall Manager 管理者アカウントの変更および取り消しを行うには、AWS Firewall Manager デベロッパーガイドDesignating a Different Account as the AWS Firewall Manager Administrator Account の指示に従います。

管理者アカウントを無効にするには、AWS Organizations 管理アカウントにサインインし、AWS Firewall Manager の新しい管理者アカウントを設定する必要があります。

信頼されたアクセスの無効化には、AWS Organizations コンソールを使用する方法、Organizations の AWS CLI コマンドを実行する方法、いずれかの AWS SDK で Organizations API オペレーションを呼び出す方法があります。

AWS Management Console
Organizations コンソールを使用して信頼されたアクセスを無効にするには
  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストで [AWS Firewall Manager] を選択します。

  4. Disable trusted access (信頼されたアクセスを無効にする) を選択します。

  5. [AWS Firewall Manager の信頼されたアクセスを無効にする] ダイアログボックスで、[無効にする] と入力して確定し、[信頼されたアクセスを無効にする] を選択します。

  6. AWS Organizations だけの管理者である場合は、AWS Firewall Manager の管理者に、コンソールかツールを使用してそのサービスを無効にし、AWS Organizations との連携を停止できるようになったことを知らせます。

AWS CLI, AWS API
Organizations CLI/SDK を使用して信頼されたアクセスを無効にするには

サービスへの信頼されたアクセスを無効にするには、次の AWS CLI コマンドまたは API オペレーションを使用できます。

  • AWS CLI: disable-aws-service-access

    次のコマンドを実行し、AWS Firewall Manager を Organizations で信頼されたサービスとして無効にすることができます。

    $ aws organizations disable-aws-service-access \ --service-principal fms.amazonaws.com

    このコマンドが成功した場合、出力は生成されません。

  • AWS API: DisableAWSServiceAccess

Organizations コンソールを使用して信頼されたアクセスを無効にするには
  1. AWS Organizations コンソールにサインインします。組織の管理アカウントで、IAM ユーザーとしてサインインするか、IAM ロールを引き受けるか、ルートユーザーとしてサインインする (推奨されません) 必要があります。

  2. ナビゲーションペインで [Services (サービス)] を選択します。

  3. サービスのリストで [AWS Firewall Manager] を選択します。

  4. Disable trusted access (信頼されたアクセスを無効にする) を選択します。

  5. [AWS Firewall Manager の信頼されたアクセスを無効にする] ダイアログボックスで、[無効にする] と入力して確定し、[信頼されたアクセスを無効にする] を選択します。

  6. AWS Organizations だけの管理者である場合は、AWS Firewall Manager の管理者に、コンソールかツールを使用してそのサービスを無効にし、AWS Organizations との連携を停止できるようになったことを知らせます。

Firewall Manager 用の委任管理者アカウントの有効化

メンバーアカウントを組織の委任管理者として指定すると、そのアカウントのユーザーおよびロールは、 Firewall Manager の管理アクションを実行できるようになります。通常この管理アクションは、組織の管理アカウントのユーザーとロールだけが実行できるものです。この手法は、組織の管理から Firewall Manager の管理を分離するのに有効です。

最小アクセス許可

Organizations 管理アカウントのユーザーまたはロールのみが、組織内で Firewall Manager の委任管理者としてメンバーアカウントを設定できます。

組織の Firewall Manager 管理者にメンバーアカウントを指定する方法については、AWS Firewall Manager デベロッパーガイドSet the AWS Firewall Manager Administrator Account を参照してください。

プライバシーサイト規約Cookie の設定
© 2024, Amazon Web Services, Inc. or its affiliates.All rights reserved.