**の新しいコンソールエクスペリエンスの紹介 AWS WAF**

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Firewall Manager 前提条件
<a name="fms-prereq"></a>

このトピックでは、 を管理する準備をする方法について説明します AWS Firewall Manager。 AWS Organizationsで組織のすべてのための Firewall Manager セキュリティポリシーを管理するには、1 つの Firewall Manager 管理者アカウントを使用します。特に記載がない限り、Firewall Manager 管理者として使用するアカウントを使用して、前提条件となるステップを実行します。

Firewall Manager を初めて使用する前に、次のステップを順番に実行してください。

**Topics**
+ [Firewall Manager を使用する AWS Organizations ための結合と設定](join-aws-orgs.md)
+ [AWS Firewall Manager デフォルトの管理者アカウントの作成](enable-integration.md)
+ [Firewall Manager の使用 AWS Config の有効化](enable-config.md)
+ [AWS Marketplace でサブスクライブし、Firewall Manager サードパーティーポリシーのサードパーティー設定を構成する](fms-third-party-prerequisites.md)
+ [を使用した Network Firewall および DNS Firewall ポリシーのリソース共有の有効化 AWS RAM](enable-ram.md)
+ [デフォルトでは無効になっているリージョン AWS Firewall Manager での の使用](enable-disabled-region.md)

# Firewall Manager を使用する AWS Organizations ための結合と設定
<a name="join-aws-orgs"></a>

Firewall Manager を使用するには、アカウントが Firewall Manager ポリシーを使用する AWS Organizations のサービスの組織のメンバーである必要があります。

**注記**  
Organizations の詳細については、「[AWS Organizations ユーザーガイド](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)」を参照してください。

**必要な AWS Organizations メンバーシップと設定を確立するには**

1. Organizations で組織の Firewall Manager 管理者として使用するアカウントを選択します。

1. 選択したアカウントがまだ組織のメンバーでない場合は、そのアカウントに参加させてください。[「 AWS アカウント を組織に招待](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_invites.html)する」のガイダンスに従ってください。

1. AWS Organizations には、*一括請求*機能と*すべての*機能という 2 つの機能セットがあります。Firewall Manager を使用するには、組織ですべての機能を有効にする必要があります。組織が一括請求 (コンソリデーティッドビリング) のためにのみ設定されている場合は、「[組織内のすべての機能の有効化](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html)」のガイダンスに従ってください。

# AWS Firewall Manager デフォルトの管理者アカウントの作成
<a name="enable-integration"></a>

このページでは、 AWS Firewall Manager デフォルトの管理者アカウントを作成する手順について説明します。

**注記**  
この手順では、前のステップで選択および設定したアカウントと組織を使用します。

Firewall Manager のデフォルト管理者アカウントを作成できるのは、組織の管理アカウントのみです。*デフォルトの管理者* アカウントは、最初に作成する管理者アカウントです。デフォルトの管理者アカウントはサードパーティのファイアウォールを管理でき、完全な管理権限範囲を持ちます。デフォルトの管理者アカウントを設定すると、Firewall Manager はそれを Firewall Manager の AWS Organizations 委任管理者として自動的に設定します。これにより、Firewall Manager は、対象の組織内の組織単位 (OU) に関する情報にアクセスできます。OU を使用して、Firewall Manager ポリシーの範囲を指定できます。ポリシーの範囲の設定の詳細については、「[AWS Firewall Manager ポリシーの作成](create-policy.md)」の個々のポリシータイプに関するガイダンスを参照してください。組織と管理アカウントの詳細については、[「組織の AWS アカウントの管理](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html)」を参照してください。

**組織の管理アカウントに必須な設定**  
組織を Firewall Manager にオンボーディングし、さらにデフォルト管理者を作成するためには、組織の管理アカウントに以下の設定が必要です。
+ Firewall Manager ポリシー AWS Organizations を適用する の組織のメンバーである必要があります。

**デフォルトの管理者アカウントを設定するには**

1. 既存の AWS Organizations 管理アカウント AWS マネジメントコンソール を使用して Firewall Manager にサインインします。

1. Firewall Manager コンソール ([https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)) を開きます。

1. ナビゲーションペインで **[設定]** を選択します。

1. Firewall Manager 管理者として使用するように選択した AWS アカウントのアカウント ID を入力します。
**注記**  
デフォルトの管理者は完全な管理権限範囲を保持します。完全な管理権限範囲とは、このアカウントが組織内のすべてのアカウントと組織単位 (OU) にポリシーを適用でき、すべてのリージョンでアクションの実行が可能で、また、Firewall Manager のすべてのポリシータイプを管理できることを意味します。

1. **[管理者アカウントを作成]** を選択してアカウントを作成します。

Firewall Manager 管理者アカウントの管理の詳細については、「[AWS Firewall Manager 管理者の使用](fms-administrators.md)」を参照してください。

# Firewall Manager の使用 AWS Config の有効化
<a name="enable-config"></a>

Firewall Manager を使用するには、 AWS Configを有効にする必要があります。

**注記**  
 AWS Config 料金に応じて、 AWS Config 設定に対して料金が発生します。詳細については、[「 の開始方法 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html)」を参照してください。

**注記**  
Firewall Manager がポリシーコンプライアンスをモニタリングするには、保護されたリソースの設定変更を継続的に記録 AWS Config する必要があります。 AWS Config 設定では、記録頻度をデフォルト設定である **Continuous** に設定する必要があります。

**Firewall Manager AWS Config で を有効にするには**

1. Firewall Manager 管理者アカウントを含め、 AWS Organizations メンバーアカウント AWS Config ごとに を有効にします。詳細については、[「 の開始方法 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html)」を参照してください。

1. 保護するリソース AWS リージョン を含む各 AWS Config に対して を有効にします。 AWS Config を手動で有効にすることも、StackSets サンプル CloudFormation テンプレートでテンプレート「有効化 AWS Config」を使用することもできます。 [AWS CloudFormation StackSets ](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html) 

   すべてのリソース AWS Config に対して を有効にしない場合は、使用する Firewall Manager ポリシーのタイプに応じて以下を有効にする必要があります。
   + **WAF ポリシー** – CloudFront Distribution、Application Load Balancer (リストから **[ElasticLoadBalancingV2]** を選択)、API Gateway、WAF WebACL、WAF Regional WebACL、および WAFv2 WebACL のリソースタイプについて Config を有効にします。 AWS Config が CloudFront ディストリビューションを保護できるようにするには、米国東部 (バージニア北部) リージョンに存在している必要があります。他のリージョンにはオプションとしての CloudFront がありません。
   + **Shield ポリシー** – Shield Protection、ShieldRegional Protection、Application Load Balancer、EC2 EIP、WAF WebACL、WAF Regional WebACL、および WAFv2 WebACL のリソースタイプについて Config を有効にします。
   + **セキュリティグループポリシー** – EC2 SecurityGroup、EC2 Instance、および EC2 NetworkInterface のリソースタイプについて Config を有効にします。
   + **ネットワーク ACL ポリシー** — リソースタイプの Amazon EC2 サブネットと Amazon EC2 ネットワーク ACL の Config を有効にします。
   + **Network Firewall ポリシー** – NetworkFirewall FirewallPolicy、NetworkFirewall RuleGroup、EC2 VPC、EC2 InternetGateway、EC2 RouteTable、および EC2 Subnetのリソースタイプについて Config を有効にします。
   + **DNS ファイアウォールポリシー** – リソースタイプ EC2 VPC と Amazon Route 53 FirewallRuleGroupAssociation の Config を有効にします。
   + **サードパーティーファイアウォールポリシー** - Amazon EC2 VPC、Amazon EC2 InternetGateway、Amazon EC2 RouteTable、Amazon EC2 サブネット、Amazon EC2 VPCEndpoint のリソースタイプについて Config を有効にします。
**注記**  
カスタム IAM ロールを使用するように AWS Config レコーダーを設定する場合は、IAM ポリシーに Firewall Manager ポリシーに必要なリソースタイプを記録するための適切なアクセス許可があることを確認する必要があります。適切なアクセス許可がないと、必要なリソースが記録されず、Firewall Manager がリソースを適切に保護できなくなる可能性があります。Firewall Manager では、これらのアクセス許可の設定ミスを可視化することはできません。で IAM を使用する方法については AWS Config、「IAM for[AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/security-iam.html)」を参照してください。

# AWS Marketplace でサブスクライブし、Firewall Manager サードパーティーポリシーのサードパーティー設定を構成する
<a name="fms-third-party-prerequisites"></a>

Firewall Manager のサードパーティファイアウォールポリシーを開始するには、次の前提条件を満たします。

## Fortigate Cloud Native Firewall (CNF) as a Service ポリシーの前提条件
<a name="fms-fortigate-cnf-prerequisites"></a>

**Fortigate CNF を Firewall Manager で使用するには**

1.  AWS Marketplace [のサービスとしての Fortigate Cloud Native Firewall (CNF)](https://aws.amazon.com/marketplace/pp/prodview-vtjjha5neo52i) にサブスクライブします。

1. まず、Fortigate CNF 製品ポータルにテナントを登録します。次に、Fortigate CNF 製品ポータルのテナントの下に Firewall Manager の管理者アカウントを追加します。詳細については、「[Fortigate CNF documentation](https://docs.fortinet.com/product/fortigate-cnf)」(Fortigate CNF ドキュメント) を参照してください。

Fortigate CNF ポリシーの操作については、「[Firewall Manager に Fortigate Cloud Native Firewall (CNF) as a Service ポリシーを使用する](fortigate-cnf-policies.md)」を参照してください。

## Palo Alto Networks Cloud Next Generation Firewall ポリシーの要件
<a name="fms-cloud-ngfw-prerequisites"></a>

**Palo Alto Networks Cloud NGFW を Firewall Manager で使用するには**

1.  AWS Marketplace で [Palo Alto Networks Cloud Next Generation Firewall Pay-As-You-Go ](https://aws.amazon.com/marketplace/pp/prodview-nkug66dl4df4i)サービスをサブスクライブします。

1. Palo Alto Networks Cloud NGFW デプロイガイドの[「Deploy Palo Alto Networks Cloud NGFW for AWSAWS Firewall Manager](https://docs.paloaltonetworks.com/cloud-ngfw/aws/cloud-ngfw-on-aws/getting-started-with-cloud-ngfw-for-aws/deploy-cloud-ngfw-for-aws-with-the-aws-firewall-manager.html)」トピックに記載されている *Palo Alto Networks Cloud Next Generation Firewall for AWS デプロイ*ステップを完了します。

Palo Alto Networks Cloud NGFW ポリシーの操作については、「[Palo Alto Networks Cloud NGFW ポリシーを Firewall Manager で使用する](cloud-ngfw-policies.md)」を参照してください。

# を使用した Network Firewall および DNS Firewall ポリシーのリソース共有の有効化 AWS RAM
<a name="enable-ram"></a>

Firewall Manager Network Firewall および DNS Firewall ポリシーを管理するには、 AWS Organizations で との共有を有効にする必要があります AWS Resource Access Manager。これにより、Firewall Manager は、これらのポリシータイプを作成するときに、アカウント全体で保護をデプロイできます。

**AWS Organizations で との共有を有効にするには AWS Resource Access Manager**
+ 「*AWS Resource Access Manager ユーザーガイド*」の「[AWS Organizations内でリソース共有を有効にする](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html#getting-started-sharing-orgs)」のガイダンスに従ってください。

リソース共有で問題が発生した場合は、「[Network Firewall ポリシーと DNS Firewall ポリシーのリソース共有](resource-sharing.md)」のガイダンスを参照してください。

# デフォルトでは無効になっているリージョン AWS Firewall Manager での の使用
<a name="enable-disabled-region"></a>

デフォルトでは無効になっているリージョンで Firewall Manager を使用するには、 AWS 組織の管理アカウントと Firewall Manager のデフォルトの管理者アカウントの両方でリージョンを有効にする必要があります。デフォルトで無効になっているリージョンとそれを有効にする方法については、「*AWS 全般のリファレンス*」の「[AWS リージョンの管理](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html)」を参照してください。

**無効にしたリージョンを有効にするには**
+ Organizations の管理アカウントと Firewall Manager のデフォルトの管理者アカウントの両方について、「*AWS 全般のリファレンス*」の「[リージョンを有効にする](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html#rande-manage-enable)」のガイダンスに従います。

次のステップを実行した後、Firewall Manager を設定してリソースの保護を開始できます。詳細については、「[AWS Firewall Manager AWS WAF ポリシーの設定](getting-started-fms.md)」を参照してください。