翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Firewall Manager DNS Firewall ポリシーの設定
AWS Firewall Manager を使用して組織全体で Amazon Route 53 Resolver DNS Firewall を有効にするには、次の手順を順番に実行します。Firewall Manager の DNS Firewall ポリシーについては、「Firewall Manager の Amazon Route 53 Resolver DNS Firewall ポリシーを使用する」を参照してください。
ステップ 1: 前提条件を満たす
AWS Firewall Managerのアカウントを準備するには、いくつかの必須のステップがあります。それらのステップは、AWS Firewall Manager 前提条件 で説明されています。次のステップに進む前に、すべての前提条件を満たしてください。
ステップ 2: ポリシーで使用する DNS Firewall ルールグループを作成する
このチュートリアルの手順を実行するには、Amazon Route 53 Resolver DNS Firewall に精通しており、そのルールグループを設定する方法を理解している必要があります。
AWS Firewall Manager ポリシーで使用される DNS Firewall には少なくとも 1 つのルールグループが必要です。DNS Firewall でルールグループをまだ作成していない場合は、ここで作成します。DNS Firewall の使用方法については、「Amazon Route 53 デベロッパーガイド」の「Amazon Route 53 Resolver DNS Firewall」を参照してください。
ステップ 3: DNS Firewall ポリシーを作成して適用する
前提条件を完了したら、DNS Firewall AWS Firewall Manager ポリシーを作成します。DNS Firewall ポリシーは、 AWS 組織全体に対して一元管理された DNS Firewall ルールグループの関連付けのセットを提供します。また、ファイアウォールが適用される AWS アカウント とリソースも定義します。
Firewall Manager が DNS Firewall ルールグループの関連付けを管理する方法の詳細については、「Firewall Manager の Amazon Route 53 Resolver DNS Firewall ポリシーを使用する」を参照してください。
Firewall Manager の DNS Firewall ポリシーを作成するには (コンソール)
-
Firewall Manager 管理者アカウント AWS Management Console を使用して にサインインし、 で Firewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2
。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。 -
ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。
-
前提条件を満たしていない場合、問題を修正する方法についての指示がコンソールに表示されます。指示を実行してから、このステップに戻り、DNS Firewall ポリシーを作成します。
-
[Create security policy] (セキュリティポリシーを作成) を選択します。
-
[Policy type] (ポリシータイプ) で、[Amazon Route 53 Resolver DNS Firewall] を選択します。
-
リージョン で、 を選択します AWS リージョン。
-
[Next (次へ)] を選択します。
-
[Policy name] (ポリシー名) で、わかりやすい名前を入力します。
-
ポリシー設定を使用すると、Firewall Manager から管理する DNS Firewall ルールグループの関連付けを定義できます。ポリシーで使用するルールグループを追加します。VPC について、最初に評価する関連付けと、最後に評価する関連付けを定義できます。このチュートリアルでは、必要に応じて 1 つまたは 2 つのルールグループの関連付けを追加します。
-
[Next (次へ)] を選択します。
-
AWS アカウント このポリシーの影響を受ける では、包含または除外するアカウントを指定することで、ポリシーの範囲を絞り込むことができます。このチュートリアルでは、[Include all accounts under my organization] (組織のすべてのアカウントを含める) を選択します。
DNS Firewall ポリシーの [Resource type] (リソースタイプ) は常に [VPC] です。
-
[リソース] では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。ポリシーの範囲を定義するタグの詳細については、「」を参照してくださいAWS Firewall Manager ポリシースコープの使用。
リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値 "" でタグを保存します。リソースタグは、同じキーと値を持つタグのみと一致します。
-
[Next (次へ)] を選択します。
-
[ポリシータグ] で、Firewall Manager ポリシーリソースに必要な識別タグを追加します。タグの詳細については、「タグエディタの使用」を参照してください。
-
[Next (次へ)] を選択します。
-
新しいポリシー設定を確認し、調整が必要なページに戻ります。
[Policy actions] (ポリシーアクション) が [Identify resources that don’t comply with the policy rules, but don’t auto remediate] (ポリシールールに準拠していないリソースを特定するが、自動修復しない) に設定されていることを確認します。これにより、ポリシーを有効にする前に、ポリシーが行う変更を確認できます。
-
ポリシーが完成したら、[ポリシーの作成] を選択します。
[AWS Firewall Manager ポリシー] ペインにポリシーが一覧表示されます。アカウントのヘッダーの下に [保留中] と表示され、[自動修復] のステータスが示されます。ポリシーの作成には数分かかることがあります。[Pending] (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「AWS Firewall Manager ポリシーのコンプライアンス情報の表示」を参照してください。
-
調べ終わったら、このチュートリアルで作成したポリシーを保持しない場合は、ポリシー名を選択して [Delete] (削除) を選択し、[Clean up resources created by this policy.] (このポリシーによって作成されたリソースをクリーンアップします。) を選択して、最後に [Delete] (削除) を選択します。
Firewall Manager の DNS Firewall ポリシーの詳細については、「Firewall Manager の Amazon Route 53 Resolver DNS Firewall ポリシーを使用する」を参照してください。
