Firewall Manager がファイアウォールエンドポイントを作成する方法 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Firewall Manager がファイアウォールエンドポイントを作成する方法

このセクションでは、Firewall Manager がファイアウォールエンドポイントを作成する方法について説明します。

ポリシーの Firewall 管理タイプによって、Firewall が Firewall Manager を作成する方法が決まります。ポリシーでは、[Distributed] (分散型) ファイアウォールや [Centralized] (集約型) ファイアウォールを作成することも、[import existing firewalls] (既存のファイアウォールのインポート) を選択することもできます。

  • 分散型 - 分散デプロイモデルでは、Firewall Manager は、ポリシー範囲内にある各 VPC のためにエンドポイントを作成します。ファイアウォールエンドポイントを作成するアベイラビリティーゾーンを指定してエンドポイントの場所をカスタマイズすることも、Firewall Manager に、パブリックサブネットを使用してアベイラビリティーゾーンにエンドポイントを自動的に作成させることもできます。アベイラビリティーゾーンを手動で選択する場合は、アベイラビリティーゾーンごとに許可される CIDR のセットを制限するオプションがあります。Firewall Manager でエンドポイントを自動的に作成する場合は、サービスが VPC 内で単一のエンドポイントを作成するか、複数のファイアウォールエンドポイントを作成するかを指定する必要もあります。

    • 複数のファイアウォールエンドポイントの場合、Firewall Manager は、各アベイラビリティーゾーンにファイアウォールエンドポイントをデプロイします。ここには、インターネットゲートウェイ、または Firewall Manager が作成したファイアウォールエンドポイントルートがルートテーブル内に存在するサブネットがあります。これは、Network Firewall ポリシーのデフォルトのオプションです。

    • 単一のファイアウォールエンドポイントの場合、Firewall Manager は、インターネットゲートウェイルートを持つサブネット内の単一のアベイラビリティーゾーンにファイアウォールエンドポイントをデプロイします。このオプションでは、他のゾーンのトラフィックは、ファイアウォールによるフィルタリングの対象となるためにゾーン境界を越える必要があります。

      注記

      これらのオプションの両方で、IPv4/prefixlist ルートを含むルートテーブルに関連付けられたサブネットが必要です。Firewall Manager は、他のリソースをチェックしません。

  • 集約型 - 集約型デプロイモデルを使用すると、Firewall Manager は、検査 VPC 内に 1 つ以上のファイアウォールエンドポイントを作成します。検査 VPC は、Firewall Manager がエンドポイントを起動する中央 VPC です。集約型デプロイモデルを使用する場合は、ファイアウォールエンドポイントを作成するアベイラビリティーゾーンも指定します。ポリシーを作成した後で検査 VPC を変更することはできません。別の検査 VPC を使用するには、新しいポリシーを作成する必要があります。

  • 既存のファイアウォールのインポート - 既存のファイアウォールをインポートする場合、ポリシーに 1 つ以上のリソースセットを追加して、ポリシーで管理するファイアウォールを選択します。リソースセットは、組織内のアカウントによって管理されるリソース (この場合は Network Firewall 内の既存のファイアウォール) の集合体です。ポリシーでリソースセットを使用する前に、まずリソースセットを作成する必要があります。Firewall Manager のリソースセットについては、「Firewall Manager でのリソースのグループ化する」を参照してください。

    インポートされたファイアウォールを使用する場合は、以下の点に留意してください。

    • インポートしたファイアウォールが非対応になった場合、Firewall Manager は次の場合を除いて、自動的に違反の解決を試みます。

      • Firewall Manager と Network Firewall ポリシーのステートフルまたはステートレスのデフォルトアクションが一致しない場合。

      • インポートしたファイアウォールのファイアウォールポリシー内のルールグループが、Firewall Manager ポリシーのルールグループと同じ優先度を持つ場合。

      • インポートしたファイアウォールが、ポリシーのリソースセットに含まれていないファイアウォールに関連付けられたファイアウォールポリシーを使用している場合。これは、ファイアウォールに設定できるファイアウォールポリシーは 1 つだけですが、1 つのファイアウォールポリシーを複数のファイアウォールに関連付けることができるため発生する可能性があります。

      • インポートされたファイアウォールのファイアウォールポリシーに属する既存のルールグループのうち、Firewall Manager ポリシーでも指定されているものに、異なる優先順位が割り当てられる場合。

    • ポリシーでリソースクリーンアップを有効にすると、Firewall Manager は FMS インポートポリシーに含まれているルールグループを、リソースセットの範囲内のファイアウォールから削除します。

    • Firewall Manager の既存のファイアウォールのインポート管理タイプで管理されているファイアウォールは、一度に 1 つのポリシーによってのみ管理できます。同じリソースセットが複数のインポートネットワークファイアウォールポリシーに追加された場合、リソースセット内のファイアウォールは、リソースセットが追加された最初のポリシーによって管理され、2 番目のポリシーでは無視されます。

    • 現在、Firewall Manager では、例外ポリシー設定をストリーミングしません。例外ポリシーのストリーミングの詳細については、「AWS Network Firewall デベロッパーガイド」の「例外ポリシーのストリーム」を参照してください。

分散型または集約型のファイアウォール管理を使用しているポリシーのアベイラビリティーゾーンのリストを変更すると、Firewall Manager は、過去に作成されたが、現在はポリシーの範囲に含まれていないエンドポイントのクリーンアップを試みます。Firewall Manager は、範囲外のエンドポイントを参照するルートテーブルのルートがない場合にのみ、エンドポイントを削除します。Firewall Manager は、これらのエンドポイントを削除できないことが判明した場合、ファイアウォールサブネットを非準拠としてマークし、安全に削除できるようになるまでエンドポイントの削除を試行し続けます。