Firewall Manager がファイアウォールサブネットを管理する方法
このセクションでは、Firewall Manager がファイアウォールサブネットを管理する方法について説明します。
ファイアウォールサブネットは、ネットワークトラフィックをフィルタリングするファイアウォールエンドポイントのために Firewall Manager が作成する VPC サブネットです。各ファイアウォールエンドポイントは、専用 VPC サブネットでデプロイされる必要があります。Firewall Manager は、ポリシーの範囲内にある各 VPC に少なくとも 1 つのファイアウォールサブネットを作成します。
自動エンドポイント設定で分散型デプロイモデルを使用するポリシーの場合、Firewall Manager は、インターネットゲートウェイルートを持つサブネット、または Firewall Manager がポリシー用に作成したファイアウォールエンドポイントへのルートを持つサブネットを持つアベイラビリティーゾーンにのみ、ファイアウォールサブネットを作成します。詳細については、「Amazon VPC ユーザーガイド」の「VPC とサブネット」を参照してください。
Firewall Manager がファイアウォールエンドポイントを作成するアベイラビリティーゾーンを指定する分散型または集約型モデルのいずれかを使用するポリシーの場合、Firewall Manager は、アベイラビリティーゾーンに他のリソースがあるかどうかにかかわらず、それらの特定のアベイラビリティーゾーンにエンドポイントを作成します。
Network Firewall ポリシーを最初に定義する際に、Firewall Manager が範囲内の各 VPC 内のファイアウォールサブネットを管理する方法を指定します。この選択を後で変更することはできません。
自動エンドポイント設定で分散型デプロイモデルを使用するポリシーの場合、次のオプションから選択できます。
-
パブリックサブネットを持つすべてのアベイラビリティーゾーンにファイアウォールサブネットをデプロイします。これがデフォルトの動作です。これにより、トラフィックフィルタリング保護の高可用性を実現できます。
-
1 つのアベイラビリティーゾーンに 1 つのファイアウォールサブネットをデプロイします。この選択により、Firewall Manager は、最もパブリックなサブネットを持つ VPC 内のゾーンを特定し、そこにファイアウォールサブネットを作成します。単一のファイアウォールエンドポイントは、VPC のすべてのネットワークトラフィックをフィルタリングします。これにより、ファイアウォールのコストは削減できますが、可用性は高くなく、他のゾーンからのトラフィックがフィルタリング対象となるためにはゾーン境界を越える必要があります。
カスタムエンドポイント設定または集約型デプロイモデルで分散デプロイモデルを使用するポリシーの場合、Firewall Manager は、ポリシーの範囲内にある指定されたアベイラビリティーゾーンにサブネットを作成します。
Firewall Manager がファイアウォールサブネットに使用する VPC CIDR ブロックを提供することも、ファイアウォールエンドポイントアドレスの選択の決定を Firewall Manager に任せることもできます。
-
CIDR ブロックを指定しない場合、Firewall Manager は、使用可能な IP アドレスを VPC にクエリします。
-
CIDR ブロックのリストを指定すると、Firewall Manager は、指定した CIDR ブロック内の新しいサブネットのみを検索します。/28 CIDR ブロックを使用する必要があります。Firewall Manager が作成する各ファイアウォールサブネットについて、CIDR ブロックリストをたどり、アベイラビリティーゾーンと VPC に適用可能で、かつ、利用可能なアドレスを持つ最初に見つかったリストを使用します。Firewall Manager が VPC 内のオープンスペースを見つけることができない場合 (制限の有無にかかわらず)、サービスは VPC 内にファイアウォールを作成しません。
Firewall Manager がアベイラビリティーゾーンで必要なファイアウォールサブネットを作成できない場合、そのサブネットをポリシーに非準拠であるものとしてマークします。ゾーンがこの状態にある間、別のゾーンのエンドポイントによるフィルタリングの対象となるためには、ゾーンのトラフィックがゾーン境界を越える必要があります。これは、単一のファイアウォールサブネットのシナリオに似ています。
