AWS Firewall ManagerAWS Shield Advanced ポリシーの設定 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
ステップ 1: 前提条件を満たすステップ 2: Shield Advanced ポリシーを作成して適用するステップ 3: (オプション) Shield Response Team を承認する (SRT)ステップ 4: Amazon SNS通知と Amazon CloudWatch アラームを設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Firewall ManagerAWS Shield Advanced ポリシーの設定

を使用して AWS Firewall Manager 、組織全体で AWS Shield Advanced 保護を有効にできます。

重要

Firewall Manager は、Amazon Route 53 または AWS Global Acceleratorをサポートしていません。Shield Advanced を使用してこれらのリソースを保護する必要がある場合、Firewall Manager ポリシーは使用できません。代わりに、「AWS リソースへの AWS Shield Advanced 保護の追加」の手順に従ってください。

Firewall Manager を使用して Shield Advanced 保護を有効にするには、次のステップを実行します。

ステップ 1: 前提条件を満たす

AWS Firewall Managerのアカウントを準備するには、いくつかの必須のステップがあります。それらのステップは、AWS Firewall Manager の前提条件 で説明されています。「ステップ 2: Shield Advanced ポリシーを作成して適用する」に進む前に、すべての前提条件を満たしてください。

ステップ 2: Shield Advanced ポリシーを作成して適用する

前提条件を完了したら、Shield Advanced AWS Firewall Manager ポリシーを作成します。Firewall Manager Shield Advanced ポリシーには、Shield Advanced で保護するアカウントおよびリソースが含まれています。

重要

Firewall Manager は、Amazon Route 53 または AWS Global Acceleratorをサポートしていません。Shield Advanced を使用してこれらのリソースを保護する必要がある場合、Firewall Manager ポリシーは使用できません。代わりに、「AWS リソースへの AWS Shield Advanced 保護の追加」の手順に従ってください。

Firewall Manager Shield Advanced ポリシーを作成するには (コンソール)

  1. Firewall Manager 管理者アカウント AWS Management Console を使用して にサインインし、 で Firewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager の前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager の前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [Policy type] (ポリシータイプ) で、[Shield Advanced] を選択します。

    Shield Advanced ポリシーを作成するには、Firewall Manager 管理者アカウントが Shield Advanced にサブスクライブしている必要があります。登録されていない場合は、登録するよう求められます。サブスクリプションの費用については、「AWS Shield Advanced の料金」を参照してください。

    注記

    Shield Advanced に各メンバーアカウントを手動でサブスクライブさせる必要はありません。Firewall Manager は、ポリシーの作成時にこれを行います。各アカウント内のリソースを引き続き保護するには、アカウントが Firewall Manager と Shield Advanced に登録されている必要があります。

  5. リージョンで、 を選択します AWS リージョン。Amazon CloudFront リソースを保護するには、グローバルを選択します。

    複数のリージョン ( リソース以外) の CloudFront リソースを保護するには、リージョンごとに個別の Firewall Manager ポリシーを作成する必要があります。

  6. [Next (次へ)] を選択します。

  7. [Name] (名前) で、わかりやすい名前を入力します。

  8. (グローバルリージョンのみ) グローバルリージョンポリシーでは、Shield Advanced 自動アプリケーションレイヤーDDoS緩和を管理するかどうかを選択できます。このチュートリアルでは、この選択をデフォルト設定の [Ignore] (無視) のままにします。

  9. [Policy action] (ポリシーアクション) で、自動的に修復されないオプションを選択します。

  10. [Next (次へ)] を選択します。

  11. AWS アカウント このポリシーは に適用されます。これにより、含めるアカウントまたは除外するアカウントを指定して、ポリシーの範囲を絞り込むことができます。このチュートリアルでは、[Include all accounts under my organization] (組織のすべてのアカウントを含める) を選択します。

  12. 保護するリソースのタイプを選択します。

    Firewall Manager は、Amazon Route 53 または AWS Global Acceleratorをサポートしていません。Shield Advanced を使用してこれらのリソースを保護する必要がある場合、Firewall Manager ポリシーは使用できません。代わりに、「AWS リソースへの AWS Shield Advanced 保護の追加」の Shield Advanced のガイダンスに従ってください。

  13. [リソース] では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。ポリシーの範囲を定義するタグの詳細については、「」を参照してくださいAWS Firewall Manager ポリシースコープの使用

    リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値 "" でタグを保存します。リソースタグは、同じキーと値を持つタグのみと一致します。

  14. [Next (次へ)] を選択します。

  15. [ポリシータグ] で、Firewall Manager ポリシーリソースに必要な識別タグを追加します。タグの詳細については、「タグエディタの使用」を参照してください。

  16. [Next (次へ)] を選択します。

  17. 新しいポリシー設定を確認し、調整が必要なページに戻ります。

    [Policy actions] (ポリシーアクション) が [Identify resources that don’t comply with the policy rules, but don’t auto remediate] (ポリシールールに準拠していないリソースを特定するが、自動修復しない) に設定されていることを確認します。これにより、ポリシーを有効にする前に、ポリシーが行う変更を確認できます。

  18. ポリシーが完成したら、[ポリシーの作成] を選択します。

    [AWS Firewall Manager ポリシー] ペインにポリシーが一覧表示されます。アカウントのヘッダーの下に [保留中] と表示され、[自動修復] のステータスが示されます。ポリシーの作成には数分かかることがあります。[Pending] (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「AWS Firewall Manager ポリシーのコンプライアンス情報の表示」を参照してください。

ステップ 3: (オプション) Shield Response Team を承認する (SRT)」に進みます。

ステップ 3: (オプション) Shield Response Team を承認する (SRT)

の利点の 1 つは、Shield Response Team () からのサポート AWS Shield Advanced ですSRT。潜在的なDDoS攻撃が発生した場合は、 AWS Support センターにお問い合わせください。必要に応じて、サポートセンターは問題を にエスカレーションしますSRT。SRT は、疑わしいアクティビティを分析し、問題の軽減に役立ちます。この緩和策では、多くの場合、アカウントACLsで AWS WAF ルールとウェブを作成または更新します。SRT は AWS WAF 設定を検査し、 AWS WAF ルールとウェブを作成または更新できますがACLs、そのためにはチームからの承認が必要です。セットアップの一環として AWS Shield Advanced、必要な認可を SRTに事前に提供することをお勧めします。事前に権限を付与することで、実際に攻撃が発生した場合の遅延を防ぐことができます。

を承認し、アカウントレベルで に連絡SRTします。つまり、Firewall Manager 管理者ではなくアカウント所有者は、次のステップを実行して、潜在的な攻撃を軽減SRTするために を承認する必要があります。Firewall Manager 管理者は、所有するアカウントに対してSRTのみ を承認できます。同様に、アカウント所有者のみが に連絡してサポートSRTを受けることができます。

注記

のサービスを使用するにはSRT、ビジネスサポートプランまたはエンタープライズサポートプランにサブスクライブしている必要があります。

ユーザーに代わって潜在的な攻撃を軽減するSRTことを に許可するには、「」の手順に従いますShield Response Team (SRT) サポートによるマネージド DDoS イベントレスポンス。同じ手順を使用して、SRTアクセスとアクセス許可をいつでも変更できます。

ステップ 4: Amazon SNS通知と Amazon CloudWatch アラームを設定する」に進みます。

ステップ 4: Amazon SNS通知と Amazon CloudWatch アラームを設定する

Amazon SNS通知や CloudWatch アラームを設定せずに、このステップを続行できます。ただし、これらのアラームと通知を設定すると、発生する可能性のあるDDoSイベントを詳細に把握できます。

Amazon を使用して、保護されたリソースの潜在的なDDoSアクティビティをモニタリングできますSNS。攻撃の可能性の通知を受け取るには、リージョンごとに Amazon SNSトピックを作成します。

重要

潜在的なDDoSアクティビティに関する Amazon SNS通知はリアルタイムでは送信されず、遅延する可能性があります。潜在的なDDoSアクティビティのリアルタイム通知を有効にするには、 CloudWatch アラームを使用できます。アラームは、保護されたリソースが存在するアカウントの DDoSDetected メトリクスに基づいている必要があります。

Firewall Manager で Amazon SNSトピックを作成するには (コンソール)

  1. Firewall Manager 管理者アカウント AWS Management Console を使用して にサインインし、 で Firewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager の前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager の前提条件」を参照してください。

  2. ナビゲーションペインの で、設定 AWS FMSを選択します。

  3. [Create new topic] (新しいトピックを作成) を選択します。

  4. トピック名を入力します。

  5. Amazon SNS メッセージが送信される E メールアドレスを入力し、E メールアドレスの追加を選択します。

  6. SNS 設定の更新を選択します。

Amazon CloudWatch アラームの設定

Shield Advanced は、モニタリングできる検出、緩和、上位の寄稿者のメトリクス CloudWatch を に記録します。詳細については、「」を参照してくださいAWS Shield Advanced メトリクス。追加コスト CloudWatch が発生します。 CloudWatch 料金については、「Amazon の CloudWatch 料金」を参照してください。

CloudWatch アラームを作成するには、「Amazon CloudWatch アラームの使用」の手順に従います。デフォルトでは、Shield Advanced は、潜在的なDDoSイベントを 1 つのインジケータだけ表示した後に警告 CloudWatch するように を設定します。必要であれば、複数のインジケーターが検出された後にのみ警告が表示されるように、CloudWatch コンソールを使用して設定を変更することもできます。

注記

アラームに加えて、 CloudWatch ダッシュボードを使用して潜在的なDDoSアクティビティをモニタリングすることもできます。ダッシュボードは Shield Advanced から raw データを収集し、ほぼリアルタイムの読み取り可能なメトリクスに加工します。Amazon の統計を使用して、ウェブアプリケーションまたはサービスのパフォーマンス CloudWatch を把握できます。詳細については、「Amazon CloudWatch ユーザーガイド」の「 とは CloudWatch」を参照してください。

CloudWatch ダッシュボードの作成手順については、「」を参照してくださいAmazon CloudWatch によるモニタリング。ダッシュボードに追加できる特定の Shield Advanced メトリクスの詳細については、「AWS Shield Advanced メトリクス」を参照してください。

Shield Advanced の設定が完了したら、Shield Advanced によるDDoSイベントの可視性 でイベントを表示するためのオプションをよく理解してください。