ステップ 2: Shield Advanced ポリシーを作成して適用する - AWS WAF, AWS Firewall Managerおよび AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 2: Shield Advanced ポリシーを作成して適用する

前提条件を満たしたら、 AWS Firewall Manager Shield Advanced ポリシーを作成します。Firewall Manager Shield Advanced ポリシーには、Shield Advanced で保護するアカウントおよびリソースが含まれています。

重要

Firewall Manager は、Amazon Route 53 または AWS Global Acceleratorをサポートしていません。Shield Advanced を使用してこれらのリソースを保護する必要がある場合、Firewall Manager ポリシーは使用できません。代わりに、「AWS Shield AdvancedAWS リソースへの保護の追加」の手順に従ってください。

Firewall Manager Shield Advanced ポリシーを作成するには (コンソール)

  1. Firewall Manager 管理者アカウント AWS Management Console を使用して にサインインし、 で Firewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [Policy type] (ポリシータイプ) で、[Shield Advanced] を選択します。

    Shield Advanced ポリシーを作成するには、Firewall Manager 管理者アカウントが Shield Advanced にサブスクライブしている必要があります。登録されていない場合は、登録するよう求められます。サブスクリプションの費用については、「AWS Shield Advanced の料金」を参照してください。

    注記

    Shield Advanced に各メンバーアカウントを手動でサブスクライブさせる必要はありません。Firewall Manager は、ポリシーの作成時にこれを行います。各アカウント内のリソースを引き続き保護するには、アカウントが Firewall Manager と Shield Advanced に登録されている必要があります。

  5. リージョン で、 を選択します AWS リージョン。Amazon CloudFront リソースを保護するには、グローバル を選択します。

    複数のリージョン ( リソース以外) の CloudFront リソースを保護するには、リージョンごとに個別の Firewall Manager ポリシーを作成する必要があります。

  6. [Next] (次へ) を選択します。

  7. [Name] (名前) で、わかりやすい名前を入力します。

  8. (グローバルリージョンのみ) [Global] (グローバル) リージョンポリシーの場合、Shield Advanced アプリケーションレイヤー DDoS 自動緩和を管理するかどうかを選択できます。このチュートリアルでは、この選択をデフォルト設定の [Ignore] (無視) のままにします。

  9. [Policy action] (ポリシーアクション) で、自動的に修復されないオプションを選択します。

  10. [Next] (次へ) を選択します。

  11. AWS アカウント このポリシーは に適用され、含めるアカウントまたは除外するアカウントを指定して、ポリシーの範囲を絞り込むことができます。このチュートリアルでは、[Include all accounts under my organization] (組織のすべてのアカウントを含める) を選択します。

  12. 保護するリソースのタイプを選択します。

    Firewall Manager は、Amazon Route 53 または AWS Global Acceleratorをサポートしていません。Shield Advanced を使用してこれらのリソースを保護する必要がある場合、Firewall Manager ポリシーは使用できません。代わりに、「AWS Shield AdvancedAWS リソースへの保護の追加」の Shield Advanced のガイダンスに従ってください。

  13. リソース では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。タグの詳細については、「タグエディタの使用」を参照してください。

    複数のタグを入力した場合、含めるまたは除外するリソースにはそれらのすべてのタグが付いている必要があります。

    リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値「」でタグを保存します。リソースタグは、同じキーと同じ値を持つタグとのみ一致します。

  14. [次へ] をクリックします。

  15. ポリシータグ には、Firewall Manager ポリシーリソースに追加する識別タグを追加します。タグの詳細については、「タグエディタの使用」を参照してください。

  16. [Next] (次へ) を選択します。

  17. 新しいポリシー設定を確認し、調整が必要なページに戻ります。

    [Policy actions] (ポリシーアクション) が [Identify resources that don’t comply with the policy rules, but don’t auto remediate] (ポリシールールに準拠していないリソースを特定するが、自動修復しない) に設定されていることを確認します。これにより、ポリシーを有効にする前に、ポリシーが行う変更を確認できます。

  18. ポリシーが完成したら、[Create policy] (ポリシーの作成) を選択します。

    [AWS Firewall Manager ポリシー] ペインにポリシーが一覧表示されます。おそらく、アカウントの見出しの下に「保留中」と表示され、自動修復設定のステータスを示します。ポリシーの作成には数分かかることがあります。[Pending] (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「AWS Firewall Manager ポリシーのコンプライアンス情報の表示」を参照してください。

ステップ 3: (オプション) Shield Response Team (SRT) に権限を付与する」に進みます。