**の新しいコンソールエクスペリエンスの紹介 AWS WAF**

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Firewall Manager Amazon VPC セキュリティグループポリシーの設定
<a name="getting-started-fms-security-group"></a>

 AWS Firewall Manager を使用して組織全体で Amazon VPC セキュリティグループを有効にするには、次の手順を順番に実行します。

**Topics**
+ [ステップ 1: 前提条件を満たす](#complete-prereq-security-group)
+ [ステップ 2: ポリシーで使用するセキュリティグループを作成する](#get-started-fms-create-security-groups)
+ [ステップ 3: 一般セキュリティグループポリシーを作成して適用する](#get-started-fms-sg-create-security-policy)

## ステップ 1: 前提条件を満たす
<a name="complete-prereq-security-group"></a>

 AWS Firewall Managerのアカウントを準備するには、いくつかの必須のステップがあります。それらのステップは、[AWS Firewall Manager 前提条件](fms-prereq.md) で説明されています。「[ステップ 2: ポリシーで使用するセキュリティグループを作成する](#get-started-fms-create-security-groups)」に進む前に、すべての前提条件を満たしてください。

## ステップ 2: ポリシーで使用するセキュリティグループを作成する
<a name="get-started-fms-create-security-groups"></a>

このステップでは、Firewall Manager を使用して組織全体に適用できるセキュリティグループを作成します。

**注記**  
このチュートリアルでは、セキュリティグループポリシーを組織内のリソースに適用しません。ポリシーを作成し、ポリシーのセキュリティグループをリソースに適用した場合どうなるかを確認するだけです。これを行うには、ポリシーの自動修復を無効にします。

一般的なセキュリティグループが既に定義されている場合は、このステップを省略して「[ステップ 3: 一般セキュリティグループポリシーを作成して適用する](#get-started-fms-sg-create-security-policy)」に進みます。

**Firewall Manager 共通のセキュリティグループポリシーで使用するセキュリティグループを作成するには**
+ 「[Amazon VPC ユーザーガイド](https://docs.aws.amazon.com/vpc/latest/userguide/)」の「[Security Groups for Your VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html)」(VPC のセキュリティグループ) のガイダンスに従って、組織内のすべてのアカウントとリソースに適用できるセキュリティグループを作成します。

  セキュリティグループルールオプションの詳細については、「[セキュリティグループのルールのリファレンス](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html)」を参照してください。

これで「[ステップ 3: 一般セキュリティグループポリシーを作成して適用する](#get-started-fms-sg-create-security-policy)」に進む準備ができました。

## ステップ 3: 一般セキュリティグループポリシーを作成して適用する
<a name="get-started-fms-sg-create-security-policy"></a>

前提条件を完了したら、 AWS Firewall Manager 共通のセキュリティグループポリシーを作成します。共通セキュリティグループポリシーは、 AWS 組織全体に一元管理されたセキュリティグループを提供します。また、セキュリティグループが適用される AWS アカウント および リソースも定義します。Firewall Manager では、共通セキュリティグループポリシーに加えて、組織内で使用中のセキュリティグループルールを管理するためのコンテンツ監査セキュリティグループポリシーと、未使用および冗長セキュリティグループを管理するための使用状況監査セキュリティグループポリシーがサポートされています。詳細については、「[Firewall Manager のセキュリティグループポリシーを使用して Amazon VPC セキュリティグループを管理する](security-group-policies.md)」を参照してください。

このチュートリアルでは、共通セキュリティグループポリシーを作成し、そのアクションを自動的に修復しないように設定します。これにより、 AWS 組織を変更せずにポリシーがどのような影響を与えるかを確認できます。

**Firewall Manager の一般的なセキュリティグループポリシーを作成するには (コンソール)**

1. Firewall Manager 管理者アカウント AWS マネジメントコンソール を使用して にサインインし、 で Firewall Manager コンソールを開きます[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2)。Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。
**注記**  
Firewall Manager 管理者アカウントの設定については、「[AWS Firewall Manager 前提条件](fms-prereq.md)」を参照してください。

1. ナビゲーションペインで、**[Security policies]** (セキュリティポリシー) を選択します。

1. 前提条件を満たしていない場合、問題を修正する方法についての指示がコンソールに表示されます。指示に従ってから、このステップに戻り、共通セキュリティグループポリシーを作成します。

1. **[Create policy]** (ポリシーの作成) を選択します。

1. **[Policy type]** (ポリシータイプ) で、**[Security group]** (セキュリティグループ) を選択します。

1. **[Security group policy type]** (セキュリティグループポリシータイプ) で、**[Common security groups]** (共通セキュリティグループ) を選択します。

1. **リージョン**で、 を選択します AWS リージョン。

1. [**次へ**] を選択します。

1. **[Policy name]** (ポリシー名) で、わかりやすい名前を入力します。

1. **[Policy rules]** (ポリシールール) を使用すると、このポリシーのセキュリティグループの適用方法と保守方法を選択できます。このチュートリアルでは、オプションのチェックをオフのままにします。

1. **[Add primary security group]** (プライマリセキュリティグループの追加) を選択し、このチュートリアル用に作成したセキュリティグループを選択して、**[Add security group]** (セキュリティグループの追加) を選択します。

1. **[Policy action]** (ポリシーアクション) で、**[Identify resources that don’t comply with the policy rules, but don’t auto remediate]** (ポリシールールに準拠していないリソースを特定するが、自動修復しない) を選択します。

1. [**次へ**] を選択します。

1. **AWS アカウント このポリシーの影響を受ける** では、包含または除外するアカウントを指定することで、ポリシーの範囲を絞り込むことができます。このチュートリアルでは、**[Include all accounts under my organization]** (組織のすべてのアカウントを含める) を選択します。

1. **リソースタイプ**で、 AWS 組織に定義したリソースに応じて、1 つ以上のタイプを選択します。

1. **[リソース]** では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。ポリシーの範囲を定義するタグの詳細については、「[AWS Firewall Manager ポリシースコープの使用](policy-scope.md)」を参照してください。

   リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値 "" でタグを保存します。リソースタグは、同じキーと値を持つタグのみと一致します。

1. [**次へ**] を選択します。

1. **[ポリシータグ]** で、Firewall Manager ポリシーリソースに必要な識別タグを追加します。タグの詳細については、「[タグエディタの使用](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)」を参照してください。

1. [**次へ**] を選択します。

1. 新しいポリシー設定を確認し、調整が必要なページに戻ります。

   **[Policy actions]** (ポリシーアクション) が **[Identify resources that don’t comply with the policy rules, but don’t auto remediate]** (ポリシールールに準拠していないリソースを特定するが、自動修復しない) に設定されていることを確認します。これにより、ポリシーを有効にする前に、ポリシーが行う変更を確認できます。

1. ポリシーが完成したら、**[ポリシーの作成]** を選択します。

   **[AWS Firewall Manager ポリシー]** ペインにポリシーが一覧表示されます。アカウントのヘッダーの下に **[保留中]** と表示され、**[自動修復]** のステータスが示されます。ポリシーの作成には数分かかることがあります。**[Pending]** (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「[AWS Firewall Manager ポリシーのコンプライアンス情報の表示](fms-compliance.md)」を参照してください。

1. 調べ終わったら、このチュートリアルで作成したポリシーを保持しない場合は、ポリシー名を選択して **[Delete]** (削除) を選択し、**[Clean up resources created by this policy.]** (このポリシーによって作成されたリソースをクリーンアップします。) を選択して、最後に **[Delete]** (削除) を選択します。

Firewall Manager セキュリティグループポリシーの詳細については、「[Firewall Manager のセキュリティグループポリシーを使用して Amazon VPC セキュリティグループを管理する](security-group-policies.md)」を参照してください。