Amazon Route 53 Resolver DNS Firewall ポリシー - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Route 53 Resolver DNS Firewall ポリシー

AWS Firewall Manager DNS Firewall ポリシーを使用して、 の組織全体で Amazon Route 53 Resolver DNS Firewall ルールグループと Amazon Virtual Private Cloud VPCs 間の関連付けを管理できます AWS Organizations。一元管理されたルールグループを組織全体に適用することも、アカウントと VPC の選択したサブセットに適用することもできます。

DNS Firewall は、VPC のアウトバウンド DNS トラフィックのフィルタリングと規制を提供します。DNS Firewall のルールグループで再利用可能なフィルタリングルールのコレクションを作成し、そのルールグループを VPC に関連付けます。Firewall Manager ポリシーを適用すると、ポリシーの範囲内にある各アカウントおよび VPC について、Firewall Manager は、Firewall Manager ポリシーで指定した関連付けの優先順位の設定を使用して、ポリシー内の各 DNS Firewall ルールグループと、ポリシーの範囲内にある各 VPC の間の関連付けを作成します。

DNS Firewall の使用方法については、「Amazon Route 53 デベロッパーガイド」の「Amazon Route 53 Resolver DNS Firewall」を参照してください。

次のセクションでは、Firewall Manager の DNS Firewall ポリシーを使用するための要件と、ポリシーの仕組みについて説明します。ポリシーの作成手順については、「Amazon Route 53 Resolver DNS Firewall の AWS Firewall Manager ポリシーの作成」を参照してください。

リソース共有を有効にする必要があります。

DNS Firewall ポリシーは、組織内のアカウント全体で DNS Firewall ルールグループを共有します。これを機能させるには、 でリソース共有が有効になっている必要があります AWS Organizations。リソース共有を有効にする方法については、「Network Firewall ポリシーと DNS Firewall ポリシーのリソース共有」を参照してください。

DNS Firewall ルールグループを定義する必要があります。

新しい DNS Firewall ポリシーを指定する際に、Amazon Route 53 Resolver DNS Firewall を直接使用する場合と同じようにルールグループを定義します。ルールグループをポリシーに含めるには、そのルールグループが Firewall Manager 管理者アカウントに既に存在している必要があります。DNS Firewall ルールグループの作成については、「DNS Firewall のルールグループとルール」を参照してください。

優先順位が最低のルールグループと最高のルールグループの関連付けを定義します

Firewall Manager の DNS Firewall ポリシーを通じて管理する DNS Firewall ルールグループの関連付けには、VPC について、優先度が最低の関連付けと優先度が最高の関連付けが含まれます。ポリシー設定では、これらは最初と最後のルールグループとして表示されます。

DNS Firewall は、VPC の DNS トラフィックを次の順序でフィルタリングします。

  1. Firewall Manager の DNS Firewall ポリシーで定義されている最初のルールグループ。有効な値は 1~99 です。

  2. DNS Firewall を通じて個々のアカウントマネージャーによって関連付けられた DNS Firewall ルールグループ。

  3. Firewall Manager の DNS Firewall ポリシーで定義されている最後のルールグループ。有効な値は 9,901~10,000 です。

ルールグループの削除

Firewall Manager DNS Firewall ポリシーからルールグループを削除するには、次の手順を実行する必要があります。

  1. ルールグループを Firewall Manager DNS Firewall ポリシーから削除します。

  2. でルールグループの共有を解除します AWS Resource Access Manager。自己所有のルールグループを共有解除するには、リソース共有からルールグループを削除する必要があります。これは、 AWS RAM コンソールまたは AWS CLI を使用して実行できます。リソースの共有解除ついては、「AWS RAM ユーザーガイド」の「AWS RAM内のリソース共有を更新する」を参照してください。

  3. DNS Firewall コンソールまたは AWS CLI を使用してルールグループを削除します。

Firewall Manager が作成するルールグループの関連付けの名前を付ける方法

DNS Firewall ポリシーを保存するときに自動修復を有効にした場合、Firewall Manager は、ポリシーで指定したルールグループとポリシーの範囲内にある VPC の間に DNS Firewall の関連付けを作成します。Firewall Manager は、次の値を連結することにより、これらの関連付けに名前を付けます。

  • 固定文字列、FMManaged_

  • Firewall Manager ポリシー ID。これは Firewall Manager ポリシーの AWS リソース ID です。

Firewall Manager によって管理されるファイアウォールの名前の例を次に示します。

FMManaged_EXAMPLEDNSFirewallPolicyId

ポリシーを作成した後、VPC のアカウント所有者がファイアウォールポリシー設定またはルールグループの関連付けを上書きすると、Firewall Manager は、ポリシーを非準拠としてマークし、是正措置の提案を試みます。アカウント所有者は、DNS Firewall ポリシーの範囲内の VPC に他の DNS Firewall ルールグループを関連付けることができます。個々のアカウント所有者によって作成された関連付けには、最初と最後のルールグループの関連付けの間で優先順位の設定が必要です。