AWS Firewall Manager Amazon VPC セキュリティグループポリシーの設定

Firewall Manager 共通のセキュリティグループポリシーで使用するセキュリティグループを作成するには

• 「Amazon VPC ユーザーガイド」の「Security Groups for Your VPC」(VPC のセキュリティグループ) のガイダンスに従って、組織内のすべてのアカウントとリソースに適用できるセキュリティグループを作成します。

  セキュリティグループルールオプションの詳細については、「セキュリティグループのルールのリファレンス」を参照してください。

Firewall Manager の一般的なセキュリティグループポリシーを作成するには (コンソール)

1. Firewall Manager 管理者アカウントを使用して AWS Management Console にサインインし、https://console.aws.amazon.com/wafv2/fmsv2 で Firewall Manager コンソールを開きます。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager の前提条件」を参照してください。

   注記

   Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager の前提条件」を参照してください。

2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

3. 前提条件を満たしていない場合、問題を修正する方法についての指示がコンソールに表示されます。指示に従ってから、このステップに戻り、共通セキュリティグループポリシーを作成します。

4. [Create policy] (ポリシーの作成) を選択します。

5. [Policy type] (ポリシータイプ) で、[Security group] (セキュリティグループ) を選択します。

6. [Security group policy type] (セキュリティグループポリシータイプ) で、[Common security groups] (共通セキュリティグループ) を選択します。

7. [Region] (リージョン) で、AWS リージョン を選択します。

8. [Next] (次へ) を選択します。

9. [Policy name] (ポリシー名) で、わかりやすい名前を入力します。

10. [Policy rules] (ポリシールール) を使用すると、このポリシーのセキュリティグループの適用方法と保守方法を選択できます。このチュートリアルでは、オプションのチェックをオフのままにします。

11. [Add primary security group] (プライマリセキュリティグループの追加) を選択し、このチュートリアル用に作成したセキュリティグループを選択して、[Add security group] (セキュリティグループの追加) を選択します。

12. [Policy action] (ポリシーアクション) で、[Identify resources that don’t comply with the policy rules, but don’t auto remediate] (ポリシールールに準拠していないリソースを特定するが、自動修復しない) を選択します。

13. [Next] (次へ) を選択します。

14. [このポリシーの影響を受ける AWS アカウント] では、追加または除外するアカウントを指定し、ポリシーの範囲を絞り込むことができます。このチュートリアルでは、[Include all accounts under my organization] (組織のすべてのアカウントを含める) を選択します。

15. [Resource type] (リソースタイプ) で、AWS 組織に対して定義したリソースに応じて、1 つ以上のタイプを選択します。

16. [リソース] では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。タグの詳細については、「タグエディタの使用」を参照してください。

    複数のタグを入力した場合、含めるまたは除外するリソースにはそれらのすべてのタグが付いている必要があります。

    リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値 "" でタグを保存します。リソースタグは、同じキーと値を持つタグのみと一致します。

17. [Next] を選択します。

18. [ポリシータグ] で、Firewall Manager ポリシーリソースに必要な識別タグを追加します。タグの詳細については、「タグエディタの使用」を参照してください。

19. [Next] を選択します。

20. 新しいポリシー設定を確認し、調整が必要なページに戻ります。

    [Policy actions] (ポリシーアクション) が [Identify resources that don’t comply with the policy rules, but don’t auto remediate] (ポリシールールに準拠していないリソースを特定するが、自動修復しない) に設定されていることを確認します。これにより、ポリシーを有効にする前に、ポリシーが行う変更を確認できます。

21. ポリシーが完成したら、[Create policy] (ポリシーの作成) を選択します。

    [AWS Firewall Manager ポリシー] ペインにポリシーが一覧表示されます。アカウントのヘッダーの下に [保留中] と表示され、[自動修復] のステータスが示されます。ポリシーの作成には数分かかることがあります。[Pending] (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「AWS Firewall Manager ポリシーのコンプライアンス情報の表示」を参照してください。

22. 調べ終わったら、このチュートリアルで作成したポリシーを保持しない場合は、ポリシー名を選択して [Delete] (削除) を選択し、[Clean up resources created by this policy.] (このポリシーによって作成されたリソースをクリーンアップします。) を選択して、最後に [Delete] (削除) を選択します。