**の新しいコンソールエクスペリエンスの紹介 AWS WAF**
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Firewall Manager ポリシーの作成
ポリシーを作成するステップは、ポリシータイプによって異なります。必ず、必要なポリシーのタイプに対応する手順を使用してください。
**重要**
AWS Firewall Manager は Amazon Route 53 または をサポートしていません AWS Global Accelerator。Shield Advanced を使用してこれらのリソースを保護する場合、Firewall Manager ポリシーは使用できません。代わりに、「[AWS リソースへの AWS Shield Advanced 保護の追加](configure-new-protection.md)」の手順に従ってください。
**Topics**
+ [の AWS Firewall Manager ポリシーの作成 AWS WAF](#creating-firewall-manager-policy-for-waf)
+ [AWS WAF Classic の AWS Firewall Manager ポリシーの作成](#creating-firewall-manager-policy-for-classic-waf)
+ [の AWS Firewall Manager ポリシーの作成 AWS Shield Advanced](#creating-firewall-manager-policy-for-shield-advanced)
+ [AWS Firewall Manager 共通セキュリティグループポリシーの作成](#creating-firewall-manager-policy-common-security-group)
+ [AWS Firewall Manager コンテンツ監査セキュリティグループポリシーの作成](#creating-firewall-manager-policy-audit-security-group)
+ [AWS Firewall Manager 使用状況監査セキュリティグループポリシーの作成](#creating-firewall-manager-policy-usage-security-group)
+ [AWS Firewall Manager ネットワーク ACL ポリシーの作成](#creating-firewall-manager-policy-network-acl)
+ [の AWS Firewall Manager ポリシーの作成 AWS Network Firewall](#creating-firewall-manager-policy-for-network-firewall)
+ [Amazon Route 53 Resolver DNS Firewall の AWS Firewall Manager ポリシーの作成](#creating-firewall-manager-policy-for-dns-firewall)
+ [Palo Alto Networks Cloud NGFW の AWS Firewall Manager ポリシーの作成](#creating-cloud-ngfw-policy)
+ [サービスとしての Fortigate Cloud Native Firewall (CNF) の AWS Firewall Manager ポリシーの作成](#creating-fortigate-cnf-policy)
## の AWS Firewall Manager ポリシーの作成 AWS WAF
Firewall Manager AWS WAF ポリシーでは、マネージドルールグループを使用できます。このグループ AWS と AWS Marketplace 販売者はユーザーに代わって作成および維持します。独自のルールグループを作成して使用することもできます。ルールグループの詳細については、「[AWS WAF ルールグループ](waf-rule-groups.md)」を参照してください。
独自のルールグループを使用する場合は、Firewall Manager AWS WAF ポリシーを作成する前にそれらのグループを作成します。ガイダンスについては、「[独自のルールグループの管理](waf-user-created-rule-groups.md)」を参照してください。個々のカスタムルールを使用するには、独自のルールグループを定義し、その中にルールを定義してから、ポリシーでそのルールグループを使用する必要があります。
Firewall Manager AWS WAF ポリシーの詳細については、「」を参照してください[Firewall Manager での AWS WAF ポリシーの使用](waf-policies.md)。
**の Firewall Manager ポリシーを作成するには AWS WAF (コンソール)**
1. Firewall Manager 管理者アカウント AWS マネジメントコンソール を使用して にサインインし、 で Firewall Manager コンソールを開きます[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
**注記**
Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
1. ナビゲーションペインで、**[Security policies]** (セキュリティポリシー) を選択します。
1. **[Create policy]** (ポリシーの作成) を選択します。
1. **[Policy type]** (ポリシータイプ) では **[AWS WAF]** を選択します。
1. **リージョン**で、 を選択します AWS リージョン。Amazon CloudFront ディストリビューションを保護するには、**[Global]** (グローバル) を選択します。
複数のリージョンのリソース (CloudFront ディストリビューションを除く) を保護するには、各リージョンに別々の Firewall Manager ポリシーを作成する必要があります。
1. **[Next]** (次へ) を選択します。
1. **[Policy name]** (ポリシー名) で、わかりやすい名前を入力します。Firewall Manager は、管理するウェブ ACL の名前にポリシー名を含めます。ウェブ ACL 名の後に、`FMManagedWebACLV2-`、ここに入力するポリシー名、`-`、およびウェブ ACL 作成タイムスタンプ (UTC ミリ秒) が続きます。例えば、`FMManagedWebACLV2-MyWAFPolicyName-1621880374078`。
1. **[ウェブリクエストボディの検査]** では、オプションで本文のサイズ制限を変更してください。価格に関する考慮事項など、ボディ検査のサイズ制限については、「*AWS WAF デベロッパーガイド*」の「[でのボディ検査の管理に関する考慮事項 AWS WAF](web-acl-setting-body-inspection-limit.md)」を参照してください。
1. **ポリシールール**で、ウェブ ACL で最初と最後に AWS WAF 評価するルールグループを追加します。 AWS WAF マネージドルールグループのバージョニングを使用するには、**バージョニングを有効にする に切り替えます**。各アカウントマネージャーは、最初のルールグループと最後のルールグループの間にルールとルールグループを追加できます。Firewall Manager ポリシーで AWS WAF ルールグループを使用する方法の詳細については AWS WAF、「」を参照してください[Firewall Manager での AWS WAF ポリシーの使用](waf-policies.md)。
(オプション)ウェブ ACL によるルールグループの使用方法をカスタマイズするには、**[編集]** を選択します。一般的なカスタマイズ設定は次のとおりです。
+ マネージドルールのグループの場合は、一部またはすべてのルールのルールアクションをオーバーライドします。ルールにオーバーライドアクションを定義しない場合、評価にはルールグループ内で定義されているルールアクションが使用されます。このオプションの詳細については、「*AWS WAF デベロッパーガイド*」の「[でのルールグループアクションの上書き AWS WAF](web-acl-rule-group-override-options.md)」を参照してください。
+ 一部のマネージドルールグループは追加の設定が必要です。マネージドルールグループのプロバイダーのドキュメントを参照してください。 AWS マネージドルールのルールグループに固有の情報については、「 *AWS WAF デベロッパーガイド*[AWS の マネージドルール AWS WAF](aws-managed-rule-groups.md)」の「」を参照してください。
設定が完了したら、**[Save rule]** (ルールを保存) を選択します。
1. ウェブ ACL のデフォルトアクションを設定します。これは、ウェブリクエストがウェブ ACL のルールのいずれにも一致しない場合に AWS WAF が実行するアクションです。**[Allow]** (許可) アクションでカスタムヘッダーを追加することや、**[Block]** (ブロック) アクションのカスタムレスポンスを追加することができます。デフォルトのウェブ ACL アクションの詳細については、「[で保護パック (ウェブ ACL) のデフォルトアクションを設定する AWS WAF](web-acl-default-action.md)」を参照してください。カスタムウェブリクエストを設定する方法については、「[でカスタマイズされたウェブリクエストとレスポンス AWS WAF](waf-custom-request-response.md)」を参照してください。
1. **[ログ記録設定]** で、**[ログ記録を有効にする]** を選択してログ記録をオンにします。ログ記録は、ウェブ ACL で分析されるトラフィックに関する詳細情報を提供します。**[ログの出力先]** を選択し、設定したログ記録の送信先を選択します。名前が `aws-waf-logs-` で始まるログ記録先を選択する必要があります。 AWS WAF ログ記録先の設定については、「」を参照してください[Firewall Manager での AWS WAF ポリシーの使用](waf-policies.md)。
1. (オプション) 特定のフィールドとその値がログに含まれることを希望しない場合には、このフィールドをマスキングします。マスキングするフィールドを選び、**[Add]** (追加) を選択します。必要に応じて手順を繰り返し、追加のフィールドをマスキングします。マスキングされたフィールドは、ログに `REDACTED` と表示されます。例えば、**[URI]** フィールドをマスキングすると、ログの **[URI]** フィールドは `REDACTED` となります。
1. (オプション) すべてのリクエストをログに送信しない場合は、フィルタリング条件と動作を追加します。**[Filter logs]** (ログをフィルタリング) で、適用する各フィルターについて **[Add filter]** (フィルターを追加) を選択し、次にフィルター基準を選択して、基準に一致するリクエストを保持するかドロップするかを指定します。フィルターの追加が完了したら、必要に応じて、**[Default logging behavior]** (デフォルトのログ記録動作) を変更します。詳細については、「*AWS WAF デベロッパーガイド*」の 「[保護パック (ウェブ ACL) レコードの検索](logging-management.md)」を参照してください。
1. **[Token domain list]** (トークンドメインリスト) を定義して、保護されたアプリケーション間でトークンの共有を有効にできます。トークンは、 AWS WAF 不正コントロールアカウント乗っ取り防止 (ATP) と AWS WAF Bot Control に AWS Managed Rules ルールグループを使用する場合に実装する CAPTCHAアクションと Challengeアクション、およびアプリケーション統合 SDKs によって使用されます。
パブリックサフィックスは許可されません。たとえば、`gov.au` または `co.uk` をトークンドメインとして使用することはできません。
デフォルトでは、 は保護されたリソースのドメインに対してのみトークン AWS WAF を受け入れます。このリストにトークンドメインを追加すると、 はリスト内のすべてのドメインと、関連付けられたリソースのドメインのトークン AWS WAF を受け入れます。詳細については、「*AWS WAF デベロッパーガイド*」の 「[AWS WAF 保護パック (ウェブ ACL) トークンドメインリスト設定](waf-tokens-domains.md#waf-tokens-domain-lists)」を参照してください。
ウェブ ACL の CAPTCHA およびチャレンジの**イミュニティ時間**を変更できるのは、既存のウェブ ACL を編集するときのみです。これらの設定は、Firewall Manager の **[ポリシーの詳細]** ページで確認できます。これらの設定については、「[でのタイムスタンプの有効期限とトークンイミュニティ時間の設定 AWS WAF](waf-tokens-immunity-times.md)」を参照してください。既存のポリシー内で **[関連付けの設定]**、**[CAPTCHA]**、**[チャレンジ]**、または **[トークンのドメインリスト]** 設定を更新すると、Firewall Manager はローカルのウェブ ACL を新しい値でオーバーライドします。ただし、ポリシーの **[関連付けの設定]**、**[CAPTCHA]**、**[チャレンジ]**、または **[トークンのドメインリスト]** 設定を更新していない場合は、ローカルのウェブ ACL の値は変更されません。このオプションの詳細については、「*AWS WAF デベロッパーガイド*」の「[CAPTCHA および Challengeの AWS WAF](waf-captcha-and-challenge.md)」を参照してください。
1. **[ウェブ ACL 管理]** で、Firewall Manager がウェブ ACL の作成とクリーンアップを管理する方法を選択します。
1. **[関連付けられていないウェブ ACL を管理する]** では、Firewall Manager が関連付けられていないウェブ ACL を管理するかどうかを選択します。このオプションを使用すると、Firewall Manager は、少なくとも 1 つのリソースがウェブ ACL を使用する場合のみ、ポリシー範囲内のアカウントにウェブ ACL を作成します。アカウントがポリシー範囲内の対象になると、少なくとも 1 つのリソースがウェブ ACL を使用する場合に、Firewall Manager はアカウントにウェブ ACL を自動的に作成します。
このオプションを有効にすると、Firewall Manager はアカウント内の関連付けられていないウェブ ACL に 1 回だけクリーンアップを実行します。このクリーンアッププロセスには、数時間かかることがあります。Firewall Manager がウェブ ACL を作成した後、リソースがポリシー範囲から外れた場合、Firewall Manager はそのリソースとウェブ ACL の関連付けを解除しますが、関連付けられていないウェブ ACL はクリーンアップしません。Firewall Manager は、関連付けられていないウェブ ACL の管理を、ポリシーで初めて有効にした場合のみ、関連付けられていないウェブ ACL をクリーンアップします。
1. **[ウェブ ACL ソース]** の場合、スコープ内リソースのすべての新しいウェブ ACL を作成するか、可能であれば既存のウェブ ACL を改良するかを指定します。Firewall Manager は、対象範囲内のアカウントが所有するウェブ ACL を改良できます。
デフォルトの動作は、すべての新しいウェブ ACL を作成することです。これを選択すると、Firewall Manager によって管理されるすべてのウェブ ACL には、`FMManagedWebACLV2` で始まる名前が付けられます。既存のウェブ ACL を改良することを選択した場合、改良されたウェブ ACL には元の名前が付けられ、Firewall Manager によって作成された名前には `FMManagedWebACLV2` で始まる名前が付けられます。
1. 組織内の該当する各アカウントにウェブ ACL を作成したいが、まだリソースにウェブ ACL を適用しない場合は、**[ポリシーアクション]** で、**[ポリシールールに準拠していないリソースを特定するが、自動修復しない]** を選択し、**[関連付けられていないウェブ ACL の管理]** を選択します。これらのオプションは後で変更できます。
代わりに、ポリシーを既存の範囲内のリソースに自動的に適用する場合は、**[Auto remediate any noncompliant resources]** (準拠していないリソースを自動修復する) を選択します。**[関連付けられていないウェブ ACL の管理]**が無効になっている場合、**[準拠していないリソースを自動修復する]**のオプションで、組織内の該当する各アカウントにウェブ ACL を作成し、そのウェブ ACL をアカウント内のリソースに関連付けます。**[関連付けられていないウェブ ACL の管理]**が有効になっている場合は、**[準拠していないリソースを自動修復する]**のオプションは、ウェブ ACL への関連付けの対象になるリソースを持つアカウントでのみウェブ ACL を作成して関連付けます。
**[Auto remediate any noncompliant resources]** (準拠していないリソースを自動修復) を選択すると、別のアクティブな Firewall Manager ポリシーによって管理されていないウェブ ACL に対して、範囲内のリソースから既存のウェブ ACL の関連付けを削除することもできます。このオプションを選択した場合、Firewall Manager は、まずポリシーのウェブ ACL をリソースに関連付けてから、以前の関連付けを削除します。リソースに、別のアクティブな Firewall Manager ポリシーによって管理されている別のウェブ ACL との関連付けがある場合、この選択はその関連付けには影響しません。
1. **[Next]** (次へ) を選択します。
1. **[AWS アカウント this policy applies to]** (このポリシーが適用される ) で、次のようにオプションを選択します。
+ 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの選択のままにし、** AWS 組織内のすべてのアカウントを含めます**。
+ ポリシーを特定の AWS Organizations 組織単位 (OUs) にある特定のアカウントにのみ適用する場合は、**指定されたアカウントと組織単位のみを含める**を選択し、含めるアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。
+ 特定のアカウントや AWS Organizations の組織単位 (OU) 以外のすべてにポリシーを適用する場合は、**[Exclude the specified accounts and organizational units, and include all others]** (指定されたアカウントと組織単位を除外し、他のすべてを含める) を選択して、除外するアカウントと OU を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。
選択できるオプションは 1 つのみです。
ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。
1. **[Resource type]** (リソースタイプ) で、保護するリソースのタイプを選択します。
1. **[リソース]** では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。ポリシーの範囲を定義するタグの詳細については、「[AWS Firewall Manager ポリシースコープの使用](policy-scope.md)」を参照してください。
リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値 "" でタグを保存します。リソースタグは、同じキーと値を持つタグのみと一致します。
1. [**次へ**] を選択します。
1. **[ポリシータグ]** で、Firewall Manager ポリシーリソースに必要な識別タグを追加します。タグの詳細については、「[タグエディタの使用](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)」を参照してください。
1. [**次へ**] を選択します。
1. 新しいポリシー設定を確認し、調整が必要なページに戻ります。
ポリシーが完成したら、**[ポリシーの作成]** を選択します。**[AWS Firewall Manager ポリシー]** ペインにポリシーが一覧表示されます。アカウントのヘッダーの下に **[保留中]** と表示され、**[自動修復]** のステータスが示されます。ポリシーの作成には数分かかることがあります。**[Pending]** (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「[AWS Firewall Manager ポリシーのコンプライアンス情報の表示](fms-compliance.md)」を参照してください。
## AWS WAF Classic の AWS Firewall Manager ポリシーの作成
**AWS WAF Classic の Firewall Manager ポリシーを作成するには (コンソール)**
1. Firewall Manager 管理者アカウント AWS マネジメントコンソール を使用して にサインインし、 で Firewall Manager コンソールを開きます[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
**注記**
Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
1. ナビゲーションペインで、**[Security policies]** (セキュリティポリシー) を選択します。
1. **[Create policy]** (ポリシーの作成) を選択します。
1. [**Policy type (ポリシータイプ)**] で、[**AWS WAF Classic**] を選択します。
1. ポリシーに追加する AWS WAF Classic ルールグループを既に作成している場合は、** AWS Firewall Manager ポリシーの作成を選択し、既存のルールグループを追加します**。新しいルールグループを作成する場合は、[**Create a Firewall Manager policy and add a new rule group**] (Firewall Manager ポリシーを作成して新しいルールグループを追加する) を選択します。
1. **リージョン**で、 を選択します AWS リージョン。Amazon CloudFront のリソースを保護するには、**[Global]** (グローバル) を選択します。
複数のリージョンのリソース (CloudFront リソースを除く) を保護するには、各リージョンに別々の Firewall Manager ポリシーを作成する必要があります。
1. **[Next]** (次へ) を選択します。
1. ルールグループを作成する場合は、[AWS WAF Classic ルールグループの作成](classic-create-rule-group.md) の手順に従います。ルールグループを作成したら、次のステップに進みます。
1. ポリシー名を入力します。
1. 既存のルールグループを追加する場合は、ドロップダウンメニューを使用して追加するルールグループを選択し、**[Add rule group]** (ルールグループの追加) を選択します。
1. ポリシーには、**[Action set by rule group]** (ルールグループによって設定されたアクション) と **[Count]** (カウント) の 2 つのアクションがあります。ポリシーをテストする場合は、アクションを **[Count]** (カウント) に設定します。このアクションは、ルールグループのルールで指定された*ブロック*アクションを上書きします。つまり、ポリシーのアクションが **[Count]** (カウント) に設定されている場合、リクエストはカウントされ、ブロックされません。逆に、ポリシーのアクションを **[Action set by rule group]** (ルールグループによって設定されたアクション) に設定すると、ルールグループルールのアクションが使用されます。適切なアクションを選択します。
1. **[Next]** (次へ) を選択します。
1. **[AWS アカウント this policy applies to]** (このポリシーが適用される ) で、次のようにオプションを選択します。
+ 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの選択のままにし、** AWS 組織内のすべてのアカウントを含めます**。
+ ポリシーを特定の AWS Organizations 組織単位 (OUs) にある特定のアカウントにのみ適用する場合は、**指定されたアカウントと組織単位のみを含める**を選択し、含めるアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。
+ 特定のアカウントまたは AWS Organizations 組織単位 (OUs) を除くすべてのアカウントにポリシーを適用する場合は、**指定されたアカウントと組織単位を除外し、その他をすべて含め**てから、除外するアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。
選択できるオプションは 1 つのみです。
ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。
1. 保護するリソースのタイプを選択します。
1. **[リソース]** では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。ポリシーの範囲を定義するタグの詳細については、「[AWS Firewall Manager ポリシースコープの使用](policy-scope.md)」を参照してください。
リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値 "" でタグを保存します。リソースタグは、同じキーと値を持つタグのみと一致します。
1. 既存のリソースにポリシーを自動的に適用する場合は、[**Create and apply this policy to existing and new resources**] (既存および新規のリソースにこのポリシーを作成して適用する) を選択します。
このオプションは、 AWS 組織内の各関連アカウントにウェブ ACL を作成し、アカウント内のリソースにウェブ ACL を関連付けます。このオプションは、前述の基準 (リソースタイプとタグ) に一致するすべての新しいリソースにもポリシーを適用します。また、**[Create policy but do not apply the policy to existing or new resources]** (ポリシーを作成するが既存および新規のリソースにポリシーを適用しない) を選択する場合は、Firewall Manager により組織内の各関連アカウントにウェブ ACL が作成されますが、ウェブ ACL はいずれのリソースにも適用されません。ポリシーは後でリソースに適用する必要があります。適切なオプションを選択します。
1. **[Replace existing associated web ACLs]** (既存の関連付けられたウェブ ACL を置換) では、範囲内のリソースに対して現在定義されているウェブ ACL の関連付けをすべて削除し、このポリシーで作成しているウェブ ACL への関連付けに置き換えることができます。デフォルトでは、Firewall Manager は、新しいウェブ ACL の関連付けを追加する前に既存のウェブ ACL の関連付けを削除しません。既存の関連付けを削除する場合は、このオプションを選択します。
1. **[Next]** (次へ) を選択します。
1. 新しいポリシーを確認します。設定を変更するには、**[Edit]** (編集) を選択します。ポリシーが完成したら、**[Create and apply policy]** (ポリシーの作成と適用) を選択します。
## の AWS Firewall Manager ポリシーの作成 AWS Shield Advanced
**Shield Advanced の Firewall Manager ポリシーを作成するには (コンソール)**
1. Firewall Manager 管理者アカウント AWS マネジメントコンソール を使用して にサインインし、 で Firewall Manager コンソールを開きます[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
**注記**
Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
1. ナビゲーションペインで、**[Security policies]** (セキュリティポリシー) を選択します。
1. **[Create policy]** (ポリシーの作成) を選択します。
1. **[Policy type]** (ポリシータイプ) で、**[Shield Advanced]** を選択します。
Shield Advanced ポリシーを作成するには、Shield Advanced をサブスクライブする必要があります。登録されていない場合は、登録するよう求められます。サブスクリプションの費用については、「[AWS Shield Advanced の料金](https://aws.amazon.com/shield/pricing/)」を参照してください。
1. **リージョン**で、 を選択します AWS リージョン。Amazon CloudFront ディストリビューションを保護するには、**[Global]** (グローバル) を選択します。
**[Global]** (グローバル) 以外のリージョンを選択する場合、複数のリージョンでリソースを保護するには、各リージョン用に個別の Firewall Manager ポリシーを作成する必要があります。
1. **[Next]** (次へ) を選択します。
1. **[Name]** (名前) で、わかりやすい名前を入力します。
1. **[Global]** (グローバル) リージョンポリシーの場合のみ、Shield Advanced アプリケーションレイヤー DDoS 自動緩和を管理するかどうかを選択できます。Shield Advanced 機能については、「[Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和](ddos-automatic-app-layer-response.md)」を参照してください。
自動緩和を有効または無効にすることを選択でき、あるいは無視することを選択できます。無視することを選択した場合、Firewall Manager は、Shield Advanced 保護のために自動緩和をまったく管理しません。これらのポリシーのオプションの詳細については、「[Firewall Manager の Shield Advanced ポリシーでアプリケーションレイヤー DDoS 自動緩和を使用する](shield-policies-auto-app-layer-mitigation.md)」を参照してください 。
1. 関連付けられていないウェブ ACL を Firewall Manager に管理させたい場合は、**[ウェブ ACL 管理]**で、**[関連付けられていないウェブ ACL の管理]**を有効にしてください。このオプションを使用すると、Firewall Manager は、少なくとも 1 つのリソースがウェブ ACL を使用する場合のみ、ポリシー範囲内のアカウントにウェブ ACL を作成します。アカウントがポリシーの対象になるといつでも、少なくとも 1 つのリソースがウェブ ACL を使用する場合に、Firewall Manager はアカウントにウェブ ACL を自動的に作成します。このオプションを有効にすると、Firewall Manager はアカウント内の関連付けられていないウェブ ACL に 1 回だけクリーンアップを実行します。このクリーンアッププロセスには、数時間かかることがあります。Firewall Manager がウェブ ACL を作成した後、リソースがポリシーの範囲から外れても、Firewall Manager はそのリソースとウェブ ACL との関連付けを解除しません。ウェブ ACL を 1 回限りのクリーンアップに含めるには、まずリソースとウェブ ACL の関連付けを手動で解除してから、**[関連付けられていないウェブ ACL の管理]**を有効にする必要があります。
1. **[Policy action]** (ポリシーアクション) では、準拠していないリソースを自動的に修復しないオプションを使用してポリシーを作成することをお勧めします。自動修復を無効にすると、新しいポリシーを適用する前にその効果を評価できます。変更が適切であることを確認したら、ポリシーを編集し、ポリシーアクションを変更して、自動修復を有効にします。
代わりに、ポリシーを既存の範囲内のリソースに自動的に適用する場合は、**[Auto remediate any noncompliant resources]** (準拠していないリソースを自動修復する) を選択します。このオプションは、 AWS 組織内の該当する各アカウントとアカウント内の該当する各リソースに Shield Advanced 保護を適用します。
**グローバル**リージョンポリシーについてのみ、**非準拠リソースの自動修復**を選択した場合、Firewall Manager で既存の AWS WAF Classic ウェブ ACL 関連付けを、最新バージョンの AWS WAF (v2) を使用して作成されたウェブ ACLs への新しい関連付けに自動的に置き換えることもできます。これを選択すると、Firewall Manager は、ポリシー用にまだウェブ ACL を持っていない範囲内のアカウントに新しい空のウェブ ACL を作成した後、以前のバージョンのウェブ ACL との関連付けを削除し、最新バージョンのウェブ ACL との新しい関連付けを作成します。このオプションの詳細については、「[AWS WAF Classic ウェブ ACLs最新バージョンのウェブ ACLs](shield-policies-auto-app-layer-mitigation.md#shield-policies-auto-app-layer-update-waf-version)」をご参照ください。
1. **[Next]** (次へ) を選択します。
1. **[AWS アカウント this policy applies to]** (このポリシーが適用される ) で、次のようにオプションを選択します。
+ 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの **[Include all accounts under my AWS organization]** (自分の組織の下にあるすべてのアカウントを含める) を選択したままにします。
+ ポリシーを特定の AWS Organizations 組織単位 (OUs) にある特定のアカウントにのみ適用する場合は、**指定されたアカウントと組織単位のみを含める**を選択し、含めるアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。
+ 特定のアカウントまたは AWS Organizations 組織単位 (OUs) を除くすべてのアカウントにポリシーを適用する場合は、**指定されたアカウントと組織単位を除外し、その他をすべて含め**てから、除外するアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。
選択できるオプションは 1 つのみです。
ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。
1. 保護するリソースのタイプを選択します。
Firewall Manager は、Amazon Route 53 または AWS Global Acceleratorをサポートしていません。これらのサービスからリソースを保護するために Shield Advanced を使用する必要がある場合、Firewall Manager ポリシーを使用することはできません。代わりに、「[AWS リソースへの AWS Shield Advanced 保護の追加](configure-new-protection.md)」の Shield Advanced のガイダンスに従ってください。
1. **[リソース]** では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。ポリシーの範囲を定義するタグの詳細については、「[AWS Firewall Manager ポリシースコープの使用](policy-scope.md)」を参照してください。
リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値 "" でタグを保存します。リソースタグは、同じキーと値を持つタグのみと一致します。
1. [**次へ**] を選択します。
1. **[ポリシータグ]** で、Firewall Manager ポリシーリソースに必要な識別タグを追加します。タグの詳細については、「[タグエディタの使用](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)」を参照してください。
1. [**次へ**] を選択します。
1. 新しいポリシー設定を確認し、調整が必要なページに戻ります。
ポリシーが完成したら、**[ポリシーの作成]** を選択します。**[AWS Firewall Manager ポリシー]** ペインにポリシーが一覧表示されます。アカウントのヘッダーの下に **[保留中]** と表示され、**[自動修復]** のステータスが示されます。ポリシーの作成には数分かかることがあります。**[Pending]** (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「[AWS Firewall Manager ポリシーのコンプライアンス情報の表示](fms-compliance.md)」を参照してください。
## AWS Firewall Manager 共通セキュリティグループポリシーの作成
共通セキュリティグループポリシーの仕組みの詳細については、「[Firewall Manager の一般的なセキュリティグループポリシーの使用](security-group-policies-common.md)」を参照してください。
共通セキュリティグループポリシーを作成するには、ポリシーのプライマリとして使用するセキュリティグループが Firewall Manager 管理者アカウントに既に作成されている必要があります。セキュリティグループは、Amazon Virtual Private Cloud (Amazon VPC) または Amazon Elastic Compute Cloud (Amazon EC2) を通じて管理できます。詳細については、「*Amazon VPC ユーザーガイド*」の「[セキュリティグループの操作](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)」を参照してください。
**共通セキュリティグループポリシー (コンソール) を作成するには**
1. Firewall Manager 管理者アカウント AWS マネジメントコンソール を使用して にサインインし、 で Firewall Manager コンソールを開きます[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
**注記**
Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
1. ナビゲーションペインで、**[Security policies]** (セキュリティポリシー) を選択します。
1. **[Create policy]** (ポリシーの作成) を選択します。
1. **[Policy type]** (ポリシータイプ) で、**[Security group]** (セキュリティグループ) を選択します。
1. **[Security group policy type]** (セキュリティグループポリシータイプ) で、**[Common security groups]** (共通セキュリティグループ) を選択します。
1. **リージョン**で、 を選択します AWS リージョン。
1. [**次へ**] を選択します。
1. **[Policy name]**(ポリシー名) で、フレンドリ名を入力します。
1. **[Policy rules]** (ポリシールール) で、次の操作を行います。
1. ルールオプションから、セキュリティグループルールとポリシーの範囲内にあるリソースに対して適用する制限を選択します。**[Distribute tags from the primary security group to the security groups created by this policy]** (プライマリセキュリティグループからこのポリシーによって作成されたセキュリティグループにタグを配布) を選択した場合は、**[Identify and report when the security groups created by this policy become non-compliant]** (このポリシーによって作成されたセキュリティグループが非準拠になったときに識別して報告) も選択する必要があります。
**重要**
Firewall Manager は、 AWS サービスによって追加されたシステムタグをレプリカセキュリティグループに配布しません。システムタグは `aws:` プレフィックスで始まります。また、ポリシーに組織のタグポリシーと矛盾するタグがある場合は、Firewall Manager が既存のセキュリティグループでのタグ更新や、新しいセキュリティグループの作成を行うことはありません。タグポリシーの詳細については、「 AWS Organizations ユーザーガイド」の[「タグポリシー](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_tag-policies.html)」を参照してください。
**[プライマリセキュリティグループからのセキュリティグループの参照をこのポリシーによって作成されたセキュリティグループに配布する**] を選択した場合、Firewall Manager は Amazon VPC にアクティブなピア接続がある場合にのみセキュリティグループの参照を配布します。このオプションについては、「[Firewall Manager の一般的なセキュリティグループポリシーの使用](security-group-policies-common.md)」を参照してください。
1. **[プライマリセキュリティグループ]** で、**[プライマリセキュリティグループを追加]** を選択してから、使用するセキュリティグループを選択します。Firewall Manager は、Firewall Manager 管理者アカウント内におけるすべての Amazon VPC インスタンスからのセキュリティグループのリストを設定します。
ポリシーのプライマリセキュリティグループのデフォルト最大数は 3 です。この設定についての情報は、「[AWS Firewall Manager クォータ](fms-limits.md)」を参照してください。
1. **[Policy action]** (ポリシーアクション) では、自動的に修復されないオプションを使用してポリシーを作成することをお勧めします。これにより、新しいポリシーを適用する前にその効果を評価できます。変更が適切であることを確認したら、ポリシーを編集し、ポリシーアクションを変更して、準拠していないリソースの自動修復を有効にします。
1. **[Next]** (次へ) を選択します。
1. **[AWS アカウント this policy applies to]** (このポリシーが適用される ) で、次のようにオプションを選択します。
+ 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの選択のままにし、** AWS 組織内のすべてのアカウントを含めます**。
+ ポリシーを特定の AWS Organizations 組織単位 (OUs) にある特定のアカウントにのみ適用する場合は、**指定されたアカウントと組織単位のみを含める**を選択し、含めるアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。
+ 特定のアカウントまたは AWS Organizations 組織単位 (OUs) を除くすべてのアカウントにポリシーを適用する場合は、**指定されたアカウントと組織単位を除外し、その他をすべて含め**てから、除外するアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。
選択できるオプションは 1 つのみです。
ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。
1. **[Resource type]** (リソースタイプ) で、保護するリソースのタイプを選択します。
リソースタイプ [**EC2 インスタンス**] では、すべての Amazon EC2 インスタンスを修復するか、デフォルトのプライマリ Elastic Network Interface (ENI) のみを持つインスタンスのみを修復するかを選択できます。後者のオプションでは、Firewall Manager は追加の ENI アタッチメントを持つインスタンスを修正しません。代わりに、自動修復が有効になっている場合、Firewall Manager はこれらの EC2 インスタンスのコンプライアンスステータスのみをマークし、修復アクションは適用されません。Amazon EC2 リソースタイプのその他の規制と制限については、[セキュリティグループポリシーの規制と制限](security-group-policies.md#security-groups-limitations) を参照してください。
1. **[リソース]** では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。ポリシーの範囲を定義するタグの詳細については、「[AWS Firewall Manager ポリシースコープの使用](policy-scope.md)」を参照してください。
リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値 "" でタグを保存します。リソースタグは、同じキーと値を持つタグのみと一致します。
1. **[Shared VPC resources]** (共有 VPC リソース) の場合、アカウントが所有する VPC に加えて、共有 VPC 内のリソースにポリシーを適用する場合は、**[Include resources from shared VPCs]** (共有 VPC からのリソースを含める) を選択します。
1. **[Next]** (次へ) を選択します。
1. ポリシー設定を見直して目的の設定になっていることを確認し、**[Create policy]** (ポリシーの作成) を選択します。
Firewall Manager は、範囲内のアカウントに含まれるすべての Amazon VPC インスタンスに、アカウントごとにサポートされる Amazon VPC の最大クォータまで、プライマリセキュリティグループのレプリカを作成します。Firewall Manager は、レプリカセキュリティグループを、範囲内の各アカウント用のポリシーの範囲内にあるリソースに関連付けます。このポリシーの仕組みの詳細については、「[Firewall Manager の一般的なセキュリティグループポリシーの使用](security-group-policies-common.md)」を参照してください。
## AWS Firewall Manager コンテンツ監査セキュリティグループポリシーの作成
コンテンツ監査セキュリティグループポリシーの仕組みの詳細については、「[Firewall Manager のコンテンツ監査セキュリティグループポリシーの使用](security-group-policies-audit.md)」を参照してください。
コンテンツ監査ポリシーの設定によっては、Firewall Manager がテンプレートとして使用するための監査セキュリティグループを指定する必要があります。例えば、どのセキュリティグループでも許可しないすべてのルールを含む監査セキュリティグループがあるとします。ポリシーでこれらの監査セキュリティグループを使用するには、Firewall Manager 管理者アカウントを使用してこれらの監査セキュリティグループを作成する必要があります。セキュリティグループは、Amazon Virtual Private Cloud (Amazon VPC) または Amazon Elastic Compute Cloud (Amazon EC2) を通じて管理できます。詳細については、「*Amazon VPC ユーザーガイド*」の「[セキュリティグループの操作](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html#WorkingWithSecurityGroups)」を参照してください。
**コンテンツ監査セキュリティグループポリシーを作成するには (コンソール)**
1. Firewall Manager 管理者アカウント AWS マネジメントコンソール を使用して にサインインし、 で Firewall Manager コンソールを開きます[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
**注記**
Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
1. ナビゲーションペインで、**[Security policies]** (セキュリティポリシー) を選択します。
1. **[Create policy]** (ポリシーの作成) を選択します。
1. **[Policy type]** (ポリシータイプ) で、**[Security group]** (セキュリティグループ) を選択します。
1. **[Security group policy type]** (セキュリティグループポリシータイプ) で、**[Auditing and enforcement of security group rules]** (セキュリティグループルールの監査と適用) を選択します。
1. **リージョン**で、 を選択します AWS リージョン。
1. [**次へ**] を選択します。
1. **[Policy name]**(ポリシー名) で、フレンドリ名を入力します。
1. **[Policy rules]** (ポリシールール) で、使用するマネージドポリシールールオプションまたはカスタムポリシールールオプションを選択します。
1. **[Configure managed audit policy rules]** (マネージド監査ポリシールールを設定) で、次の手順を実行します。
1. **[Configure security group rules to audit]** (監査するセキュリティグループルールを設定) で、監査ポリシーを適用するセキュリティグループルールの種類を選択します。
1. セキュリティグループ内のプロトコル、ポート、CIDR 範囲設定に基づく監査ルールなどを実行する場合は、**[過度に許容されるセキュリティグループルールを監査]** を選択し、必要なオプションを選択します。
**[ルールですべてのトラフィックを許可する]** を選択すると、カスタムアプリケーション リストを指定して、監査するアプリケーションを指定できます。カスタムアプリケーションリスト、およびポリシーでのアプリケーションリストの使用方法については、「[マネージドリストの使用](working-with-managed-lists.md)」および「[マネージドリストの使用](working-with-managed-lists.md#using-managed-lists)」を参照してください。
プロトコルリストを使用する選択では、既存のリストを使用したり、新しいリストを作成したりできます。プロトコルリスト、およびポリシーでのアプリケーションリストの使用方法については、「[マネージドリストの使用](working-with-managed-lists.md)」および「[マネージドリストの使用](working-with-managed-lists.md#using-managed-lists)」を参照してください。
1. 予約済みまたは予約されていない CIDR 範囲へのアクセスに基づいて高リスクを監査する場合は、**[高リスクアプリケーションを監査する]** を選択し、必要なオプションを選択します。
**[ローカル CIDR 範囲のみにアクセスできるアプリケーション]** と **[パブリック CIDR 範囲を使用できるアプリケーション]** の選択は相互に排他的です。いずれのポリシーでも、選択できるのは最大 1 つです。
アプリケーションリストを使用する選択では、既存のリストを使用したり、新しいリストを作成したりできます。アプリケーションリスト、およびポリシーでのアプリケーションリストの使用方法については、「[マネージドリストの使用](working-with-managed-lists.md)」および「[マネージドリストの使用](working-with-managed-lists.md#using-managed-lists)」を参照してください。
1. **[Overrides]** (上書き) 設定を使用して、ポリシー内の他の設定を明示的に上書きします。ポリシーに設定した他のオプションに準拠しているかどうかにかかわらず、特定のセキュリティグループルールを常に許可するか常に拒否するかを選択できます。
このオプションでは、許可されたルールまたは拒否されたルールテンプレートとして監査セキュリティグループを指定します。**[Audit security groups]** (監査セキュリティグループ) で、**[Add audit security groups]** (監査セキュリティグループを追加) を選択してから、使用するセキュリティグループを選択します。Firewall Manager は、Firewall Manager 管理者アカウント内におけるすべての Amazon VPC インスタンスからの監査セキュリティグループのリストを設定します。ポリシーの監査セキュリティグループ数のデフォルト最大クォータは 1 です。クォータを引き上げる方法については、「[AWS Firewall Manager クォータ](fms-limits.md)」を参照してください。
1. **[Configure custom policy rules]** (カスタムポリシールールを設定) で、次の手順を実行します。
1. ルールオプションから、監査セキュリティグループで定義されたルールのみを許可するか、すべてのルールを拒否するかを選択します。この選択の詳細については、「[Firewall Manager のコンテンツ監査セキュリティグループポリシーの使用](security-group-policies-audit.md)」を参照してください。
1. **[Audit security groups]** (監査セキュリティグループ) で、**[Add audit security groups]** (監査セキュリティグループを追加) を選択してから、使用するセキュリティグループを選択します。Firewall Manager は、Firewall Manager 管理者アカウント内におけるすべての Amazon VPC インスタンスからの監査セキュリティグループのリストを設定します。ポリシーの監査セキュリティグループ数のデフォルト最大クォータは 1 です。クォータを引き上げる方法については、「[AWS Firewall Manager クォータ](fms-limits.md)」を参照してください。
1. **[Policy action]** (ポリシーアクション) では、自動的に修復されないオプションを使用してポリシーを作成する必要があります。これにより、新しいポリシーを適用する前にその効果を評価できます。変更が適切であることを確認したら、ポリシーを編集し、ポリシーアクションを変更して、準拠していないリソースの自動修復を有効にします。
1. **[Next]** (次へ) を選択します。
1. **[AWS アカウント this policy applies to]** (このポリシーが適用される ) で、次のようにオプションを選択します。
+ 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの選択のままにし、** AWS 組織内のすべてのアカウントを含めます**。
+ ポリシーを特定の AWS Organizations 組織単位 (OUs) にある特定のアカウントにのみ適用する場合は、**指定されたアカウントと組織単位のみを含める**を選択し、含めるアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。
+ 特定のアカウントまたは AWS Organizations 組織単位 (OUs) を除くすべてのアカウントにポリシーを適用する場合は、**指定されたアカウントと組織単位を除外し、その他をすべて含め**てから、除外するアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。
選択できるオプションは 1 つのみです。
ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。
1. **[Resource type]** (リソースタイプ) で、保護するリソースのタイプを選択します。
1. **[リソース]** では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。ポリシーの範囲を定義するタグの詳細については、「[AWS Firewall Manager ポリシースコープの使用](policy-scope.md)」を参照してください。
リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値 "" でタグを保存します。リソースタグは、同じキーと値を持つタグのみと一致します。
1. [**次へ**] を選択します。
1. ポリシー設定を見直して目的の設定になっていることを確認し、**[Create policy]** (ポリシーの作成) を選択します。
Firewall Manager は、ポリシールールの設定に従って、監査セキュリティグループを AWS 組織内の範囲内セキュリティグループと比較します。ポリシーのステータスは、 AWS Firewall Manager ポリシーコンソールで確認できます。ポリシーを作成したら、ポリシーを編集して自動修復を有効にし、監査セキュリティグループポリシーを有効にすることができます。このポリシーの仕組みの詳細については、「[Firewall Manager のコンテンツ監査セキュリティグループポリシーの使用](security-group-policies-audit.md)」を参照してください。
## AWS Firewall Manager 使用状況監査セキュリティグループポリシーの作成
使用状況監査セキュリティグループポリシーの仕組みの詳細については、「[Firewall Manager の使用状況監査セキュリティグループポリシーの使用](security-group-policies-usage.md)」を参照してください。
**使用状況監査セキュリティグループポリシーを作成するには (コンソール)**
1. Firewall Manager 管理者アカウント AWS マネジメントコンソール を使用して にサインインし、 で Firewall Manager コンソールを開きます[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
**注記**
Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
1. ナビゲーションペインで、**[Security policies]** (セキュリティポリシー) を選択します。
1. **[Create policy]** (ポリシーの作成) を選択します。
1. **[Policy type]** (ポリシータイプ) で、**[Security group]** (セキュリティグループ) を選択します。
1. **[セキュリティグループポリシータイプ]**で、**[未使用および冗長セキュリティグループの監査とクリーンアップ]**を選択します。
1. **リージョン**で、 を選択します AWS リージョン。
1. [**次へ**] を選択します。
1. **[Policy name]**(ポリシー名) で、フレンドリ名を入力します。
1. **[Policy rules]** (ポリシールール) で、使用可能なオプションのいずれかまたは両方を選択します。
+ **[このポリシーの範囲内のセキュリティグループは少なくとも 1 つのリソースによって使用される必要があります]** を選択した場合、Firewall Manager は、未使用と判断されるセキュリティグループを削除します。このルールを有効にすると、Firewall Manager により、ポリシーの保存時に最後に実行されます。
Firewall Manager が使用状況と修復のタイミングを決定する方法の詳細については、[Firewall Manager の使用状況監査セキュリティグループポリシーの使用](security-group-policies-usage.md) を参照してください。
**注記**
この使用状況監査セキュリティグループポリシータイプを使用する場合は、スコープ内のセキュリティグループの関連付けステータスを短時間で複数回変更しないでください。そうすると、Firewall Manager が対応するイベントを見逃す可能性があります。
デフォルトでは、セキュリティグループが使用されていない場合、Firewall Manager はこのポリシールールに準拠していないとみなします。必要に応じて、セキュリティグループが非準拠とみなされる前に、未使用のセキュリティグループが存在できる時間を分単位で指定できます。最大は 525,600 分 (365 日) です。新しいセキュリティグループをリソースに関連付ける時間を確保するために、この設定をより高くすることができます。
**重要**
デフォルト値の 0 以外の分間数を指定する場合は、 AWS Configで間接的な関係を有効にする必要があります。それ以外の場合、使用状況監査セキュリティグループポリシーは意図したとおりに機能しません。の間接的な関係については AWS Config、 *AWS Config デベロッパーガイド*の[「 の間接的な関係 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/faq.html#faq-2)」を参照してください。
+ **[このポリシーの範囲内のセキュリティグループは一意である必要があります]** を選択した場合、Firewall Manager は、冗長なセキュリティグループを統合し、1 つのセキュリティグループのみがリソースに関連付けられるようにします。これを選択すると、Firewall Manager により、ポリシーの保存時に最初に実行されます。
1. **[Policy action]** (ポリシーアクション) では、自動的に修復されないオプションを使用してポリシーを作成することをお勧めします。これにより、新しいポリシーを適用する前にその効果を評価できます。変更が適切であることを確認したら、ポリシーを編集し、ポリシーアクションを変更して、準拠していないリソースの自動修復を有効にします。
1. **[Next]** (次へ) を選択します。
1. **[AWS アカウント this policy applies to]** (このポリシーが適用される ) で、次のようにオプションを選択します。
+ 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの選択のままにし、** AWS 組織内のすべてのアカウントを含めます**。
+ 特定の AWS Organizations 組織単位 (OUs) にある特定のアカウントまたはアカウントにのみポリシーを適用する場合は、**指定されたアカウントと組織単位のみを含める**を選択し、含めるアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。
+ 特定のアカウントまたは AWS Organizations 組織単位 (OUs) を除くすべてのアカウントにポリシーを適用する場合は、**指定されたアカウントと組織単位を除外し、その他をすべて含め**てから、除外するアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。
選択できるオプションは 1 つのみです。
ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。
1. **[リソース]** では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。ポリシーの範囲を定義するタグの詳細については、「[AWS Firewall Manager ポリシースコープの使用](policy-scope.md)」を参照してください。
リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値 "" でタグを保存します。リソースタグは、同じキーと値を持つタグのみと一致します。
1. [**次へ**] を選択します。
1. ポリシーの範囲から Firewall Manager 管理者アカウントを除外していない場合、Firewall Manager によりこれを行うよう求められます。これにより、セキュリティグループは Firewall Manager 管理者アカウントに残ります。このアカウントは、手動コントロール下で、共通セキュリティグループポリシーおよび監査セキュリティグループポリシーに使用します。このダイアログで目的のオプションを選択します。
1. ポリシー設定を見直して目的の設定になっていることを確認し、**[Create policy]** (ポリシーの作成) を選択します。
一意のセキュリティグループにする必要があることを選択した場合、Firewall Manager は各範囲内 Amazon VPC インスタンスで冗長セキュリティグループをスキャンします。その後、各セキュリティグループを少なくとも 1 つのリソースで使用するように選択した場合、Firewall Manager は、ルールで指定された時間 (単位: 分)、未使用のままのセキュリティグループをスキャンします。ポリシーのステータスは、 AWS Firewall Manager ポリシーコンソールで確認できます。このポリシーの仕組みの詳細については、「[Firewall Manager の使用状況監査セキュリティグループポリシーの使用](security-group-policies-usage.md)」を参照してください。
## AWS Firewall Manager ネットワーク ACL ポリシーの作成
ネットワーク Firewall ポリシーの仕組みの詳細については、[ネットワーク ACL ポリシー](network-acl-policies.md) を参照してください。
ネットワーク ACL ポリシーを作成するには、Amazon VPC サブネットで使用するネットワーク ACL を定義する方法を知る必要があります。詳細については、「*Amazon VPC ユーザーガイド*」の「[ACL を使用して、サブネットのトラフィックを制御する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html)」および「[ネットワーク ACL の動作](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html#nacl-tasks)」を参照してください。
**ネットワーク ACL ポリシーを作成するには (コンソールで)**
1. Firewall Manager 管理者アカウント AWS マネジメントコンソール を使用して にサインインし、 で Firewall Manager コンソールを開きます[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
**注記**
Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
1. ナビゲーションペインで、**[Security policies]** (セキュリティポリシー) を選択します。
1. [**Create policy**] (ポリシーの作成) を選択します。
1. [**ポリシータイプ**] で、[**ネットワーク ACL**] を選択します。
1. **リージョン**で、 を選択します AWS リージョン。
1. [**次へ**] を選択します。
1. **[Policy name]** (ポリシー名) で、わかりやすい名前を入力します。
1. **[ポリシールール]** では、Firewall Manager が管理するネットワーク ACL で常に実行するルールを定義します。ネットワーク ACL インバウンドトラフィックとアウトバウンドトラフィックをモニタリングして処理するため、ポリシーでは両方の方向のルールを定義します。
どちらの方向でも、常に最初に実行するルールと、最後に実行するルールを定義します。Firewall Manager が管理するネットワーク ACL では、アカウント所有者は、これらの最初と最後のルールの間で実行するカスタムルールを定義できます。
1. **[ポリシーアクション]** で、非準拠のサブネットとネットワーク ACL を識別したいが、まだ修正アクションを実行しない場合は、**[ポリシールールに準拠していないが、自動修正しないリソースの特定]** を選択します。これらのオプションは後で変更できます。
代わりに、ポリシーを既存の範囲内のリソースに自動的に適用する場合は、**[準拠していないリソースを自動修復する]** を選択します。このオプションでは、ポリシールールのトラフィック処理動作がネットワーク ACL にあるカスタムルールと競合した場合に、強制的な修復を行うかどうかも指定します。Firewall Manager は、強制的な修復の有無にかかわらず、コンプライアンス違反で競合するルールを報告します。
1. [**次へ**] を選択します。
1. **[AWS アカウント this policy applies to]** (このポリシーが適用される ) で、次のようにオプションを選択します。
+ 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの選択のままにし、** AWS 組織内のすべてのアカウントを含めます**。
+ ポリシーを特定の AWS Organizations 組織単位 (OUs) にある特定のアカウントにのみ適用する場合は、**指定されたアカウントと組織単位のみを含める**を選択し、含めるアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。
+ 特定のアカウントまたは AWS Organizations 組織単位 (OUs) を除くすべてのアカウントにポリシーを適用する場合は、**指定されたアカウントと組織単位を除外し、その他をすべて含め**てから、除外するアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。
選択できるオプションは 1 つのみです。
ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しい異なるアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。
1. **[リソースタイプ]** の場合、設定は **[サブネット]** に固定されます。
1. **[リソース]** では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。ポリシーの範囲を定義するタグの詳細については、「[AWS Firewall Manager ポリシースコープの使用](policy-scope.md)」を参照してください。
リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値 "" でタグを保存します。リソースタグは、同じキーと値を持つタグのみと一致します。
1. [**次へ**] を選択します。
1. ポリシー設定を見直して目的の設定になっていることを確認し、**[Create policy]** (ポリシーの作成) を選択します。
Firewall Manager はポリシーを作成し、設定に従ってスコープ内ネットワーク ACL のモニタリングと管理を開始します。このポリシーの仕組みの詳細については、「[ネットワーク ACL ポリシー](network-acl-policies.md)」を参照してください。
## の AWS Firewall Manager ポリシーの作成 AWS Network Firewall
Firewall Manager の Network Firewall ポリシーでは、 AWS Network Firewallで管理するルールグループを使用します。ルールグループの管理については、「*Network Firewall デベロッパーガイド*」の「[AWS Network Firewall ルールグループ](https://docs.aws.amazon.com/network-firewall/latest/developerguide/rule-groups.html)」を参照してください。
Firewall Manager の Network Firewall ポリシーについては、「[Firewall Manager での AWS Network Firewall ポリシーの使用](network-firewall-policies.md)」を参照してください。
**の Firewall Manager ポリシーを作成するには AWS Network Firewall (コンソール)**
1. Firewall Manager 管理者アカウント AWS マネジメントコンソール を使用して にサインインし、 で Firewall Manager コンソールを開きます[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
**注記**
Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
1. ナビゲーションペインで、**[Security policies]** (セキュリティポリシー) を選択します。
1. **[Create policy]** (ポリシーの作成) を選択します。
1. **[Policy type]** (ポリシータイプ) では **[AWS Network Firewall]** を選択します。
1. **[Firewall management type]** (ファイアウォールの管理タイプ) で、Firewall Manager にポリシーのファイアウォールをどのように管理させるか選択します。次のオプションから選択します。
+ **[Distributed]** (分散型) を使用すると、Firewall Manager は、ポリシーの範囲内の各 VPC でファイアウォールエンドポイントを作成および維持します。
+ **[Centralized]** (集約型) を使用すると、Firewall Manager は、単一の検査 VPC でエンドポイントを作成および維持します。
+ **[Import existing firewalls]** (既存のファイアウォールのインポート)- Firewall Manager は、リソースセットを使用して Network Firewall から既存のファイアウォールをインポートします。リソースセットの詳細については、「[Firewall Manager でのリソースのグループ化する](fms-resource-sets.md)」を参照してください。
1. **リージョン**で、 を選択します AWS リージョン。複数のリージョンのリソースを保護するには、各リージョンに別々の ポリシーを作成する必要があります。
1. **[Next]** (次へ) を選択します。
1. **[Policy name]** (ポリシー名) で、わかりやすい名前を入力します。Firewall Manager は、Network Firewall のファイアウォールおよび作成するファイアウォールポリシーの名前にポリシー名を含めます。
1. **[AWS Network Firewall policy configuration]** (ポリシー設定) では、Network Firewall の場合と同じようにファイアウォールポリシーを設定します。ステートレスルールグループおよびステートフルルールグループを追加し、ポリシーのデフォルトアクションを指定します。オプションで、ポリシーのステートフルルール評価順序とデフォルトアクションを設定し、ログ記録設定を行うことができます。Network Firewall のファイアウォールポリシーの管理については、「AWS Network Firewall デベロッパーガイド」の「[AWS Network Firewall ファイアウォールポリシー](https://docs.aws.amazon.com/network-firewall/latest/developerguide/firewall-policies.html)」を参照してください。
Firewall Manager の Network Firewall ポリシーを作成すると、Firewall Manager は、範囲内にあるアカウント用にファイアウォールポリシーを作成します。個々のアカウントマネージャーは、ファイアウォールポリシーにルールグループを追加できますが、ここで指定する設定を変更することはできません。
1. [**次へ**] を選択します。
1. 前のステップで選択した **[Firewall management type]** (ファイアウォール管理タイプ) に応じて、次のいずれかを実行します。
+ **[分散型]** ファイアウォール管理タイプを使用している場合、**[AWS Firewall Manager エンドポイント設定]** 内の **[ファイアウォールのエンドポイントの場所]** で、以下のオプションのいずれかを選択します。
+ **[Custom endpoint configuration]** (カスタムエンドポイント設定) - Firewall Manager は、指定したアベイラビリティーゾーンに、ポリシー範囲内の各 VPC に対してファイアウォールを作成します。各ファイアウォールには、少なくとも 1 つのファイアウォールエンドポイントが含まれています。
+ **[Availability Zones]** (アベイラビリティーゾーン) で、ファイアウォールエンドポイントを作成するアベイラビリティーゾーンを選択します。アベイラビリティーゾーンは、**[Availability Zone name]** (アベイラビリティーゾーン名) または **[Availability Zone ID]** (アベイラビリティーゾーン ID) で選択できます。
+ Firewall Manager が VPC のファイアウォールサブネットに使用する CIDR ブロックを指定する場合、そのすべては /28 CIDR ブロックである必要があります。1 行に 1 つのブロックを入力します。これらを省略すると、Firewall Manager は、VPC で使用可能な IP アドレスから選択します。
**注記**
自動修復は AWS Firewall Manager Network Firewall ポリシーに対して自動的に行われるため、ここで自動修復を選択しないオプションは表示されません。
+ **エンドポイントの自動設定** - Firewall Manager は、VPC 内のパブリックサブネットを持つアベイラビリティーゾーンにファイアウォールエンドポイントを自動的に作成します。
+ **[Firewall endpoints]** (ファイアウォールエンドポイント) の設定では、Firewall Manager によるファイアウォールエンドポイントの管理方法を指定します。高可用性を実現するために、複数のエンドポイントを使用することをお勧めします。
+ このポリシーに **[集約型]** ファイアウォール管理タイプを使用している場合は、**[AWS Firewall Manager エンドポイント設定]** 内の **[インスペクション VPC の設定]** で、検査 VPC の所有者の AWS アカウント ID と検査 VPC の VPC ID を入力します。
+ **[Availability Zones]** (アベイラビリティーゾーン) で、ファイアウォールエンドポイントを作成するアベイラビリティーゾーンを選択します。アベイラビリティーゾーンは、**[Availability Zone name]** (アベイラビリティーゾーン名) または **[Availability Zone ID]** (アベイラビリティーゾーン ID) で選択できます。
+ Firewall Manager が VPC のファイアウォールサブネットに使用する CIDR ブロックを指定する場合、そのすべては /28 CIDR ブロックである必要があります。1 行に 1 つのブロックを入力します。これらを省略すると、Firewall Manager は、VPC で使用可能な IP アドレスから選択します。
**注記**
自動修復は AWS Firewall Manager Network Firewall ポリシーに対して自動的に行われるため、ここで自動修復を選択しないオプションは表示されません。
+ **[Import existing firewalls]** (既存のファイアウォールのインポート) のファイアウォール管理タイプを使用している場合は、**[Resource sets]** (リソースセット) で 1 つ以上のリソースセットを追加します。リソースセットは、このポリシーで一元管理したい組織のアカウントが所有する既存の Network Firewall を定義します。リソースセットをポリシーに追加するには、まずコンソールまたは「[PutResourceSet](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutResourceSet.html)」API を使用してリソースセットを作成する必要があります。リソースセットの詳細については、「[Firewall Manager でのリソースのグループ化する](fms-resource-sets.md)」を参照してください。Network Firewall から既存のファイアウォールをインポートする方法の詳細については、「」を参照してください[Firewall Manager がファイアウォールエンドポイントを作成する方法](fms-create-firewall-endpoints.md)。
1. [**次へ**] を選択します。
1. ポリシーで分散型ファイアウォール管理タイプを使用している場合は、**[Route management]** (ルート管理) で、Firewall Manager がそれぞれのファイアウォールエンドポイントを経由してルーティングする必要のあるトラフィックをモニタリングおよびアラートするかどうかを選択します。
**注記**
**[Monitor]** (モニタリング) を選択した場合、後日設定を **[Off]** (オフ) に変更することはできません。モニタリングは、ポリシーを削除するまで継続します。
1. **[Traffic type]** (トラフィックタイプ) で、ファイアウォール検査のためにトラフィックをルーティングするトラフィックエンドポイントをオプションで追加します。
1. **[Allow required cross-AZ traffic]** (必要なクロス AZ トラフィックを許可) で、このオプションを有効にすると、Firewall Manager は、独自のファイアウォールエンドポイントを持たないアベイラビリティーゾーンの場合、検査のためにアベイラビリティーゾーンからトラフィックを送信する準拠ルーティングとして扱います。エンドポイントを持つアベイラビリティーゾーンでは、常に独自のトラフィックを検査する必要があります。
1. **[Next]** (次へ) を選択します。
1. **[Policy scope]** (ポリシーの範囲) の **[AWS アカウント this policy applies to]** (このポリシーが適用される ) で、次のようにオプションを選択します。
+ 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの選択のままにし、** AWS 組織内のすべてのアカウントを含めます**。
+ ポリシーを特定の AWS Organizations 組織単位 (OUs) にある特定のアカウントにのみ適用する場合は、**指定されたアカウントと組織単位のみを含める**を選択し、含めるアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。
+ 特定のアカウントまたは AWS Organizations 組織単位 (OUs) を除くすべてのアカウントにポリシーを適用する場合は、**指定されたアカウントと組織単位を除外し、その他をすべて含め**てから、除外するアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。
選択できるオプションは 1 つのみです。
ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。
1. Network Firewall ポリシーの **[Resource type]** (リソースタイプ) は **[VPC]** です。
1. **[リソース]** では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。ポリシーの範囲を定義するタグの詳細については、「[AWS Firewall Manager ポリシースコープの使用](policy-scope.md)」を参照してください。
リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値 "" でタグを保存します。リソースタグは、同じキーと値を持つタグのみと一致します。
1. [**次へ**] を選択します。
1. **[ポリシータグ]** で、Firewall Manager ポリシーリソースに必要な識別タグを追加します。タグの詳細については、「[タグエディタの使用](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)」を参照してください。
1. [**次へ**] を選択します。
1. 新しいポリシー設定を確認し、調整が必要なページに戻ります。
ポリシーが完成したら、**[ポリシーの作成]** を選択します。**[AWS Firewall Manager ポリシー]** ペインにポリシーが一覧表示されます。アカウントのヘッダーの下に **[保留中]** と表示され、**[自動修復]** のステータスが示されます。ポリシーの作成には数分かかることがあります。**[Pending]** (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「[AWS Firewall Manager ポリシーのコンプライアンス情報の表示](fms-compliance.md)」を参照してください。
## Amazon Route 53 Resolver DNS Firewall の AWS Firewall Manager ポリシーの作成
Firewall Manager の DNS Firewall ポリシーでは、Amazon Route 53 Resolver DNS Firewall で管理するルールグループを使用します。ルールグループの管理については、「*Amazon Route 53 デベロッパーガイド*」の「[DNS Firewall でのルールグループおよびルールの管理](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-group-managing.html)」を参照してください。
Firewall Manager の DNS Firewall ポリシーについては、「[Firewall Manager の Amazon Route 53 Resolver DNS Firewall ポリシーを使用する](dns-firewall-policies.md)」を参照してください。
**Amazon Route 53 Resolver DNS Firewall の Firewall Manager ポリシーを作成するには (コンソール)**
1. Firewall Manager 管理者アカウント AWS マネジメントコンソール を使用して にサインインし、 で Firewall Manager コンソールを開きます[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
**注記**
Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
1. ナビゲーションペインで、**[Security policies]** (セキュリティポリシー) を選択します。
1. **[Create policy]** (ポリシーの作成) を選択します。
1. **[Policy type]** (ポリシータイプ) で、**[Amazon Route 53 Resolver DNS Firewall]** を選択します。
1. **リージョン**で、 を選択します AWS リージョン。複数のリージョンのリソースを保護するには、各リージョンに別々の ポリシーを作成する必要があります。
1. **[Next]** (次へ) を選択します。
1. **[Policy name]** (ポリシー名) で、わかりやすい名前を入力します。
1. ポリシー設定で、VPC のルールグループの関連付けの中で DNS Firewall が最初と最後に評価するルールグループを追加します。ポリシーには最大 2 つのルールグループを追加できます。
Firewall Manager の DNS Firewall ポリシーを作成すると、Firewall Manager は、指定した関連付けの優先順位を使用して、範囲内の VPC とアカウントのルールグループの関連付けを作成します。個々のアカウントマネージャーは、最初の関連付けと最後の関連付けの間にルールグループの関連付けを追加できますが、お客様がここで定義する関連付けを変更することはできません。詳細については、「[Firewall Manager の Amazon Route 53 Resolver DNS Firewall ポリシーを使用する](dns-firewall-policies.md)」を参照してください。
1. **[Next]** (次へ) を選択します。
1. **[AWS アカウント this policy applies to]** (このポリシーが適用される ) で、次のようにオプションを選択します。
+ 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの選択のままにし、** AWS 組織内のすべてのアカウントを含めます**。
+ ポリシーを特定の AWS Organizations 組織単位 (OUs) にある特定のアカウントにのみ適用する場合は、**指定されたアカウントと組織単位のみを含める**を選択し、含めるアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。
+ 特定のアカウントまたは AWS Organizations 組織単位 (OUs) を除くすべてのアカウントにポリシーを適用する場合は、**指定されたアカウントと組織単位を除外し、その他をすべて含め**てから、除外するアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。
選択できるオプションは 1 つのみです。
ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。
1. DNS Firewall ポリシーの **[Resource type]** (リソースタイプ) は **[VPC]** です。
1. **[リソース]** では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。ポリシーの範囲を定義するタグの詳細については、「[AWS Firewall Manager ポリシースコープの使用](policy-scope.md)」を参照してください。
リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値 "" でタグを保存します。リソースタグは、同じキーと値を持つタグのみと一致します。
1. [**次へ**] を選択します。
1. **[ポリシータグ]** で、Firewall Manager ポリシーリソースに必要な識別タグを追加します。タグの詳細については、「[タグエディタの使用](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)」を参照してください。
1. [**次へ**] を選択します。
1. 新しいポリシー設定を確認し、調整が必要なページに戻ります。
ポリシーが完成したら、**[ポリシーの作成]** を選択します。**[AWS Firewall Manager ポリシー]** ペインにポリシーが一覧表示されます。アカウントのヘッダーの下に **[保留中]** と表示され、**[自動修復]** のステータスが示されます。ポリシーの作成には数分かかることがあります。**[Pending]** (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「[AWS Firewall Manager ポリシーのコンプライアンス情報の表示](fms-compliance.md)」を参照してください。
## Palo Alto Networks Cloud NGFW の AWS Firewall Manager ポリシーの作成
Palo Alto Networks Cloud Next Generation Firewall (Palo Alto Networks Cloud NGFW) の Firewall Manager ポリシーでは、Firewall Manager を使用して Palo Alto Networks Cloud NGFW リソースをデプロイし、すべての AWS アカウントで NGFW ルールスタックを一元的に管理します。
Firewall Manager Palo Alto Networks Cloud NGFW ポリシーの詳細については、「[Palo Alto Networks Cloud NGFW ポリシーを Firewall Manager で使用する](cloud-ngfw-policies.md)」を参照してください。Firewall Manager 用に Palo Alto Networks Cloud NGFW を設定および管理する方法については、[Palo Alto Networks Palo Alto Networks Cloud NGFW on AWS](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws) のドキュメントを参照してください。
### 前提条件
AWS Firewall Managerのアカウントを準備するには、いくつかの必須のステップがあります。それらのステップは、[AWS Firewall Manager 前提条件](fms-prereq.md) で説明されています。次のステップに進む前に、すべての前提条件を満たしてください。
**Palo Alto Networks Cloud NGFW の Firewall Manager ポリシーを作成するには (コンソール)**
1. Firewall Manager 管理者アカウント AWS マネジメントコンソール を使用して にサインインし、 で Firewall Manager コンソールを開きます[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
**注記**
Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
1. ナビゲーションペインで、**[Security policies]** (セキュリティポリシー) を選択します。
1. **[Create policy]** (ポリシーの作成) を選択します。
1. **[Policy type]** (ポリシータイプ) で、**[Palo Alto Networks Cloud NGFW]** を選択します。 AWS Marketplace で Palo Alto Networks Cloud NGFW サービスをまだサブスクライブしていない場合は、まずサブスクライブする必要があります。 AWS Marketplace でサブスクライブするには、View ** AWS Marketplace の詳細**を選択します。
1. **[Deployment model]** (デプロイモデル) で、**[Distributed model]** (分散モデル) または **[Centralized model]** (集約型モデル) のいずれかを選択します。デプロイモデルによって、Firewall Manager がポリシーのエンドポイントを管理する方法が決まります。分散モデルでは、Firewall Manager は、ポリシーの範囲内の各 VPC にファイアウォールエンドポイントを維持します。集約型モデルでは、Firewall Manager は検査 VPC に単一のエンドポイントを維持します。
1. **リージョン**で、 を選択します AWS リージョン。複数のリージョンのリソースを保護するには、各リージョンに別々の ポリシーを作成する必要があります。
1. **[Next]** (次へ) を選択します。
1. **[Policy name]** (ポリシー名) で、わかりやすい名前を入力します。
1. ポリシー設定で、このポリシーに関連付ける Palo Alto Networks Cloud NGFW ファイアウォールポリシーを選択します。Palo Alto Networks Cloud NGFW ファイアウォールポリシーの一覧には、Palo Alto Networks Cloud NGFW テナントに関連付けられているすべての Cloud NGFW ファイアウォールポリシーが含まれています。Palo Alto Networks Cloud NGFW ファイアウォールポリシーの作成と管理の詳細については、*[「Palo Alto Networks Cloud NGFW for deployment guide」の「Deploy Palo Alto Networks Cloud NGFW for AWSAWS Firewall Manager](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/getting-started-with-cloud-ngfw-for-aws/deploy-cloud-ngfw-for-aws-with-the-aws-firewall-manager.html)*」トピックを参照してください。 * AWS *
1. **[Palo Alto Networks Cloud NGFW logging ログ記録 - 選択可能]**で、オプションで、ポリシーに関してログ記録する Cloud NGFW ログタイプを選択します。Palo Alto Networks Cloud NGFW ログタイプの詳細については、[「Palo Alto Networks Cloud NGFW for deployment guide」の「Configure Logging AWS](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/create-cloud-ngfw-instances-and-endpoints/configure-logging-for-the-cloud-ngfw-on-aws.html) for Palo Alto Networks Cloud NGFW on」を参照してください。 * AWS *
**[log destination]** (ログの宛先) で、Firewall Manager がログを書き込む場合を指定します。
1. **[Next]** (次へ) を選択します。
1. **[Configure third-party firewall endpoint]** (サードパーティーのファイアウォールエンドポイントを設定) で、ファイアウォールエンドポイントの作成に分散デプロイモデルと集約型デプロイモデルのいずれを使用しているかに応じて、次のいずれかを実行します。
+ このポリシーに分散デプロイモデルを使用している場合は、**[Availability Zones]** (アベイラビリティーゾーン) で、ファイアウォールエンドポイントを作成するアベイラビリティーゾーンを選択します。アベイラビリティーゾーンは、**[Availability Zone name]** (アベイラビリティーゾーン名) または **[Availability Zone ID]** (アベイラビリティーゾーン ID) で選択できます。
+ このポリシーに集約型デプロイモデルを使用している場合は、**[Inspection VPC configuration]** (検査 VPC 設定) の **[AWS Firewall Manager endpoint configuration]** (エンドポイント設定) で、検査 VPC の所有者の AWS アカウント ID と検査 VPC の VPC ID を入力します。
+ **[Availability Zones]** (アベイラビリティーゾーン) で、ファイアウォールエンドポイントを作成するアベイラビリティーゾーンを選択します。アベイラビリティーゾーンは、**[Availability Zone name]** (アベイラビリティーゾーン名) または **[Availability Zone ID]** (アベイラビリティーゾーン ID) で選択できます。
1. Firewall Manager が VPC のファイアウォールサブネットに使用する CIDR ブロックを指定する場合、そのすべては /28 CIDR ブロックである必要があります。1 行に 1 つのブロックを入力します。これらを省略すると、Firewall Manager は、VPC で使用可能な IP アドレスから選択します。
**注記**
自動修復は AWS Firewall Manager Network Firewall ポリシーに対して自動的に行われるため、ここで自動修復を選択しないオプションは表示されません。
1. [**次へ**] を選択します。
1. **[Policy scope]** (ポリシーの範囲) の **[AWS アカウント this policy applies to]** (このポリシーが適用される ) で、次のようにオプションを選択します。
+ 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの選択のままにし、** AWS 組織内のすべてのアカウントを含めます**。
+ ポリシーを特定の AWS Organizations 組織単位 (OUs) にある特定のアカウントにのみ適用する場合は、**指定されたアカウントと組織単位のみを含める**を選択し、含めるアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。
+ 特定のアカウントまたは AWS Organizations 組織単位 (OUs) を除くすべてのアカウントにポリシーを適用する場合は、**指定されたアカウントと組織単位を除外し、その他をすべて含め**てから、除外するアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。
選択できるオプションは 1 つのみです。
ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。
1. Network Firewall ポリシーの **[Resource type]** (リソースタイプ) は **[VPC]** です。
1. **[リソース]** では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。ポリシーの範囲を定義するタグの詳細については、「[AWS Firewall Manager ポリシースコープの使用](policy-scope.md)」を参照してください。
リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値 "" でタグを保存します。リソースタグは、同じキーと値を持つタグのみと一致します。
1. **[Grant cross-account access]** (クロスアカウントアクセスを付与) で、**[Download CloudFormation template]** (テンプレートをダウンロード) を選択します。これにより、 CloudFormation スタックの作成に使用できる CloudFormation テンプレートがダウンロードされます。このスタックは、Palo Alto Networks Cloud NGFW リソースを管理するためのクロスアカウントアクセス許可を Firewall Manager に付与する AWS Identity and Access Management ロールを作成します。スタックの詳細については、「*CloudFormation ユーザーガイド*」の「[StackSets の操作](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacks.html)」を参照してください。
1. [**次へ**] を選択します。
1. **[ポリシータグ]** で、Firewall Manager ポリシーリソースに必要な識別タグを追加します。タグの詳細については、「[タグエディタの使用](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)」を参照してください。
1. [**次へ**] を選択します。
1. 新しいポリシー設定を確認し、調整が必要なページに戻ります。
ポリシーが完成したら、**[ポリシーの作成]** を選択します。**[AWS Firewall Manager ポリシー]** ペインにポリシーが一覧表示されます。アカウントのヘッダーの下に **[保留中]** と表示され、**[自動修復]** のステータスが示されます。ポリシーの作成には数分かかることがあります。**[Pending]** (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「[AWS Firewall Manager ポリシーのコンプライアンス情報の表示](fms-compliance.md)」を参照してください。
## サービスとしての Fortigate Cloud Native Firewall (CNF) の AWS Firewall Manager ポリシーの作成
Fortigate CNF の Firewall Manager ポリシーを使用すると、Firewall Manager を使用して、すべての AWS アカウントで Fortigate CNF リソースをデプロイおよび管理できます。
Firewall Manager Fortigate CNF ポリシーについては、「[Firewall Manager に Fortigate Cloud Native Firewall (CNF) as a Service ポリシーを使用する](fortigate-cnf-policies.md)」を参照してください。Fortigate CNF を Firewall Manager で使用するための設定について詳しくは、「[Fortinet のドキュメント]( https://docs.fortinet.com/product/fortigate-cnf )」を参照してください。
### 前提条件
AWS Firewall Managerのアカウントを準備するには、いくつかの必須のステップがあります。それらのステップは、[AWS Firewall Manager 前提条件](fms-prereq.md) で説明されています。次のステップに進む前に、すべての前提条件を満たしてください。
**Fortigate CNF の Firewall Manager ポリシーを作成するには (コンソール)**
1. Firewall Manager 管理者アカウント AWS マネジメントコンソール を使用して にサインインし、 で Firewall Manager コンソールを開きます[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
**注記**
Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
1. ナビゲーションペインで、**[Security policies]** (セキュリティポリシー) を選択します。
1. [**Create policy**] (ポリシーの作成) を選択します。
1. **[Policy type]** (ポリシータイプ) には、**[Fortigate Cloud Native Firewall (CNF) as a Service]** (サービスとしての Fortigate Cloud ネイティブファイアウォール (CNF)) を選択してください。[AWS Marketplace で Fortigate CNF サービスを](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i)まだサブスクライブしていない場合は、まずサブスクライブする必要があります。 AWS Marketplace でサブスクライブするには、View ** AWS Marketplace の詳細**を選択します。
1. **[Deployment model]** (デプロイモデル) で、**[Distributed model]** (分散モデル) または **[Centralized model]** (集約型モデル) のいずれかを選択します。デプロイモデルによって、Firewall Manager がポリシーのエンドポイントを管理する方法が決まります。分散モデルでは、Firewall Manager は、ポリシーの範囲内の各 VPC にファイアウォールエンドポイントを維持します。集約型モデルでは、Firewall Manager は検査 VPC に単一のエンドポイントを維持します。
1. **リージョン**で、 を選択します AWS リージョン。複数のリージョンのリソースを保護するには、各リージョンに別々の ポリシーを作成する必要があります。
1. **[Next]** (次へ) を選択します。
1. **[Policy name]** (ポリシー名) で、わかりやすい名前を入力します。
1. ポリシー設定で、このポリシーに関連付ける Fortigate CNF ファイアウォールポリシーを選択します。Fortigate CNF ファイアウォールポリシーのリストには、Fortigate CNF テナントに関連付けられているすべての CNF ファイアウォールポリシーが含まれています。Fortigate CNF テナントの作成と管理については、「[Fortinet のドキュメント](https://docs.fortinet.com/product/fortigate-cnf)」を参照してください。
1. [**次へ**] を選択します。
1. **[Configure third-party firewall endpoint]** (サードパーティーのファイアウォールエンドポイントを設定) で、ファイアウォールエンドポイントの作成に分散デプロイモデルと集約型デプロイモデルのいずれを使用しているかに応じて、次のいずれかを実行します。
+ このポリシーに分散デプロイモデルを使用している場合は、**[Availability Zones]** (アベイラビリティーゾーン) で、ファイアウォールエンドポイントを作成するアベイラビリティーゾーンを選択します。アベイラビリティーゾーンは、**[Availability Zone name]** (アベイラビリティーゾーン名) または **[Availability Zone ID]** (アベイラビリティーゾーン ID) で選択できます。
+ このポリシーに集約型デプロイモデルを使用している場合は、**[Inspection VPC configuration]** (検査 VPC 設定) の **[AWS Firewall Manager endpoint configuration]** (エンドポイント設定) で、検査 VPC の所有者の AWS アカウント ID と検査 VPC の VPC ID を入力します。
+ **[Availability Zones]** (アベイラビリティーゾーン) で、ファイアウォールエンドポイントを作成するアベイラビリティーゾーンを選択します。アベイラビリティーゾーンは、**[Availability Zone name]** (アベイラビリティーゾーン名) または **[Availability Zone ID]** (アベイラビリティーゾーン ID) で選択できます。
1. Firewall Manager が VPC のファイアウォールサブネットに使用する CIDR ブロックを指定する場合、そのすべては /28 CIDR ブロックである必要があります。1 行に 1 つのブロックを入力します。これらを省略すると、Firewall Manager は、VPC で使用可能な IP アドレスから選択します。
**注記**
自動修復は AWS Firewall Manager Network Firewall ポリシーに対して自動的に行われるため、ここで自動修復を選択しないオプションは表示されません。
1. [**次へ**] を選択します。
1. **[Policy scope]** (ポリシーの範囲) の **[AWS アカウント this policy applies to]** (このポリシーが適用される ) で、次のようにオプションを選択します。
+ 組織内のすべてのアカウントにポリシーを適用する場合は、デフォルトの選択のままにし、** AWS 組織内のすべてのアカウントを含めます**。
+ ポリシーを特定の AWS Organizations 組織単位 (OUs) にある特定のアカウントにのみ適用する場合は、**指定されたアカウントと組織単位のみを含める**を選択し、含めるアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。
+ 特定のアカウントまたは AWS Organizations 組織単位 (OUs) を除くすべてのアカウントにポリシーを適用する場合は、**指定されたアカウントと組織単位を除外し、その他をすべて含め**てから、除外するアカウントと OUs を追加します。OU を指定する方法は、OU およびその子である OU のすべてのアカウント (後から追加される子の OU およびアカウントを含む) を指定する方法と同じです。
選択できるオプションは 1 つのみです。
ポリシーを適用すると、Firewall Manager は新しいアカウントを設定と照合して自動的に評価します。例えば、特定のアカウントのみを含めると、Firewall Manager は新しいアカウントにポリシーを適用しません。別の例として、OU を含めた場合、OU またはその子である OU にアカウントを追加すると、Firewall Manager は新しいアカウントにポリシーを自動的に適用します。
1. Network Firewall ポリシーの **[Resource type]** (リソースタイプ) は **[VPC]** です。
1. **[リソース]** では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。ポリシーの範囲を定義するタグの詳細については、「[AWS Firewall Manager ポリシースコープの使用](policy-scope.md)」を参照してください。
リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値 "" でタグを保存します。リソースタグは、同じキーと値を持つタグのみと一致します。
1. **[Grant cross-account access]** (クロスアカウントアクセスを付与) で、**[Download CloudFormation template]** (テンプレートをダウンロード) を選択します。これにより、 CloudFormation スタックの作成に使用できる CloudFormation テンプレートがダウンロードされます。このスタックは、Fortigate CNF リソースを管理するためのクロスアカウントアクセス許可を Firewall Manager に付与する AWS Identity and Access Management ロールを作成します。スタックの詳細については、「*CloudFormation ユーザーガイド*」の「[StackSets の操作](https://docs.aws.amazon.com/AWSCloudFormation/latest/gsg/stacks.html)」を参照してください。スタックを作成するには、Fortigate CNF ポータルのアカウント ID が必要です。
1. [**次へ**] を選択します。
1. **[ポリシータグ]** で、Firewall Manager ポリシーリソースに必要な識別タグを追加します。タグの詳細については、「[タグエディタの使用](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)」を参照してください。
1. [**次へ**] を選択します。
1. 新しいポリシー設定を確認し、調整が必要なページに戻ります。
ポリシーが完成したら、**[ポリシーの作成]** を選択します。**[AWS Firewall Manager ポリシー]** ペインにポリシーが一覧表示されます。アカウントのヘッダーの下に **[保留中]** と表示され、**[自動修復]** のステータスが示されます。ポリシーの作成には数分かかることがあります。**[Pending]** (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「[AWS Firewall Manager ポリシーのコンプライアンス情報の表示](fms-compliance.md)」を参照してください。