AWS Firewall ManagerAWS Shield Advanced ポリシーの設定 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
ステップ 1: 前提条件を満たすステップ 2: Shield Advanced ポリシーを作成して適用するステップ 3: (利用可能) Shield Response Team (SRT) に権限を付与するステップ 4: Amazon SNS 通知と Amazon CloudWatch アラームを設定する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Firewall ManagerAWS Shield Advanced ポリシーの設定

を使用して AWS Firewall Manager 、組織全体で AWS Shield Advanced 保護を有効にできます。

重要

Firewall Manager は、Amazon Route 53 または AWS Global Acceleratorをサポートしていません。Shield Advanced を使用してこれらのリソースを保護する必要がある場合、Firewall Manager ポリシーは使用できません。代わりに、「AWS リソースへの AWS Shield Advanced 保護の追加」の手順に従ってください。

Firewall Manager を使用して Shield Advanced 保護を有効にするには、次のステップを実行します。

ステップ 1: 前提条件を満たす

AWS Firewall Managerのアカウントを準備するには、いくつかの必須のステップがあります。それらのステップは、AWS Firewall Manager 前提条件 で説明されています。「ステップ 2: Shield Advanced ポリシーを作成して適用する」に進む前に、すべての前提条件を満たしてください。

ステップ 2: Shield Advanced ポリシーを作成して適用する

前提条件を完了したら、Shield Advanced AWS Firewall Manager ポリシーを作成します。Firewall Manager Shield Advanced ポリシーには、Shield Advanced で保護するアカウントおよびリソースが含まれています。

重要

Firewall Manager は、Amazon Route 53 または AWS Global Acceleratorをサポートしていません。Shield Advanced を使用してこれらのリソースを保護する必要がある場合、Firewall Manager ポリシーは使用できません。代わりに、「AWS リソースへの AWS Shield Advanced 保護の追加」の手順に従ってください。

Firewall Manager Shield Advanced ポリシーを作成するには (コンソール)

  1. Firewall Manager 管理者アカウント AWS Management Console を使用して にサインインし、 で Firewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。

  3. [Create policy] (ポリシーの作成) を選択します。

  4. [Policy type] (ポリシータイプ) で、[Shield Advanced] を選択します。

    Shield Advanced ポリシーを作成するには、Firewall Manager 管理者アカウントが Shield Advanced にサブスクライブしている必要があります。登録されていない場合は、登録するよう求められます。サブスクリプションの費用については、「AWS Shield Advanced の料金」を参照してください。

    注記

    Shield Advanced に各メンバーアカウントを手動でサブスクライブさせる必要はありません。Firewall Manager は、ポリシーの作成時にこれを行います。各アカウント内のリソースを引き続き保護するには、アカウントが Firewall Manager と Shield Advanced に登録されている必要があります。

  5. リージョン で、 を選択します AWS リージョン。Amazon CloudFront のリソースを保護するには、[Global] (グローバル) を選択します。

    複数のリージョンのリソース (CloudFront リソースを除く) を保護するには、各リージョンに別々の Firewall Manager ポリシーを作成する必要があります。

  6. [Next] (次へ) を選択します。

  7. [Name] (名前) で、わかりやすい名前を入力します。

  8. (グローバルリージョンのみ) [Global] (グローバル) リージョンポリシーの場合、Shield Advanced アプリケーションレイヤー DDoS 自動緩和を管理するかどうかを選択できます。このチュートリアルでは、この選択をデフォルト設定の [Ignore] (無視) のままにします。

  9. [Policy action] (ポリシーアクション) で、自動的に修復されないオプションを選択します。

  10. [Next (次へ)] を選択します。

  11. AWS アカウント このポリシーは に適用されます。これにより、含めるアカウントまたは除外するアカウントを指定して、ポリシーの範囲を絞り込むことができます。このチュートリアルでは、[Include all accounts under my organization] (組織のすべてのアカウントを含める) を選択します。

  12. 保護するリソースのタイプを選択します。

    Firewall Manager は、Amazon Route 53 または AWS Global Acceleratorをサポートしていません。Shield Advanced を使用してこれらのリソースを保護する必要がある場合、Firewall Manager ポリシーは使用できません。代わりに、「AWS リソースへの AWS Shield Advanced 保護の追加」の Shield Advanced のガイダンスに従ってください。

  13. [リソース] では、指定したタグでリソースを含めるか除外するかによって、タグ付けを使用してポリシーの範囲を絞り込むことができます。包含または除外は使用できますが、両方を使用することはできません。ポリシーの範囲を定義するタグの詳細については、「」を参照してくださいAWS Firewall Manager ポリシースコープの使用

    リソースタグには NULL 以外の値のみを含めることができます。タグの値を省略すると、Firewall Manager は空の文字列値 "" でタグを保存します。リソースタグは、同じキーと値を持つタグのみと一致します。

  14. [Next (次へ)] を選択します。

  15. [ポリシータグ] で、Firewall Manager ポリシーリソースに必要な識別タグを追加します。タグの詳細については、「タグエディタの使用」を参照してください。

  16. [Next (次へ)] を選択します。

  17. 新しいポリシー設定を確認し、調整が必要なページに戻ります。

    [Policy actions] (ポリシーアクション) が [Identify resources that don’t comply with the policy rules, but don’t auto remediate] (ポリシールールに準拠していないリソースを特定するが、自動修復しない) に設定されていることを確認します。これにより、ポリシーを有効にする前に、ポリシーが行う変更を確認できます。

  18. ポリシーが完成したら、[ポリシーの作成] を選択します。

    [AWS Firewall Manager ポリシー] ペインにポリシーが一覧表示されます。アカウントのヘッダーの下に [保留中] と表示され、[自動修復] のステータスが示されます。ポリシーの作成には数分かかることがあります。[Pending] (保留中) ステータスがアカウント数に置き換えられたら、ポリシー名を選択して、アカウントとリソースの準拠ステータスを調べることができます。詳細については、「AWS Firewall Manager ポリシーのコンプライアンス情報の表示」を参照してください。

ステップ 3: (利用可能) Shield Response Team (SRT) に権限を付与する」に進みます。

ステップ 3: (利用可能) Shield Response Team (SRT) に権限を付与する

の利点の 1 つは、Shield Response Team (SRT) からのサポート AWS Shield Advanced です。DDoS 攻撃の兆候を見つけた場合は、AWS サポート センターにお問い合わせください。必要に応じて、サポートセンターがお客様の問題を SRT にエスカレートします。SRT は疑わしいアクティビティを分析し、お客様に問題の緩和策を提供します。この緩和策では、多くの場合、アカウントで AWS WAF ルールとウェブ ACLs を作成または更新します。SRT は AWS WAF 設定を検査し、 AWS WAF ルールとウェブ ACLs を作成または更新できますが、そのためにはチームからの承認が必要です。セットアップの一環として AWS Shield Advanced、必要な認可を SRT に事前に提供することをお勧めします。事前に権限を付与することで、実際に攻撃が発生した場合の遅延を防ぐことができます。

SRT への連絡と承認はアカウントレベルで行います。つまり、攻撃を緩和する権限を SRT に付与するには、Firewall Manager 管理者ではなくアカウント所有者が次のステップを実行する必要があります。Firewall Manager 管理者は、所有しているアカウントに関してのみ SRT に権限を付与することができます。同様に、SRT に連絡してサポートを依頼できるのは、アカウントの所有者のみです。

注記

SRT のサービスを使用するには、ビジネスサポートプランまたはエンタープライズサポートプランをサブスクライブする必要があります。

ユーザーに代わって攻撃を緩和する権限を SRT に付与するには、「Shield Response Team (SRT) サポートによるマネージド DDoS イベントレスポンス」の手順に従ってください。SRT の許可と許可は、同じステップを使用していつでも変更できます。

ステップ 4: Amazon SNS 通知と Amazon CloudWatch アラームを設定する」に進みます。

ステップ 4: Amazon SNS 通知と Amazon CloudWatch アラームを設定する

Amazon SNS 通知や CloudWatch アラームを設定することなく、このステップから続けることもできます。しかし、これらのアラームと通知を設定することで、潜在的な DDoS イベントの可視性が大幅に上昇します。

Amazon SNS を使用すると、潜在的な DDoS アクティビティから保護されたリソースをモニタリングできます。潜在的な攻撃の通知を受け取るには、リージョンごとに Amazon SNS トピックを作成します。

重要

潜在的な DDoS アクティビティに関する Amazon SNS 通知はリアルタイムで送信されず、遅延する可能性があります。潜在的な DDoS アクティビティのリアルタイム通知を有効にするには、CloudWatch アラームを使用できます。アラームは、保護されたリソースが存在するアカウントの DDoSDetected メトリクスに基づいている必要があります。

Firewall Manager で Amazon SNS トピックを作成するには (コンソール)

  1. Firewall Manager 管理者アカウント AWS Management Console を使用して にサインインし、 で Firewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

    注記

    Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。

  2. ナビゲーションペインで [AWS FMS][Settings] (設定) を選択します。

  3. [Create new topic] (新しいトピックを作成) を選択します。

  4. トピック名を入力します。

  5. Amazon SNS メッセージの送信先となる E メールアドレスを入力し、[Add email address] (E メールアドレスの追加) を選択します。

  6. [Update SNS configuration] (SNS 設定の更新) を選択します。

Amazon CloudWatch アラームの設定

Shield Advanced は、モニタリングできる CloudWatch の検出、緩和、上位寄稿者のメトリクスを記録します。詳細については、「AWS Shield Advanced メトリクス」を参照してください。CloudWatch では、追加料金が発生します。CloudWatch の料金については、「Amazon CloudWatch の料金」を参照してください。

CloudWatch アラームを作成するには、「Amazon CloudWatch アラームの使用」の指示に従ってください。デフォルトでは、Shield Advanced は CloudWatch を設定して潜在的な DDoS イベントを示す 1 つのインジケーターの検出後に警告します。必要であれば、複数のインジケーターが検出された後にのみ警告が表示されるように、CloudWatch コンソールを使用して設定を変更することもできます。

注記

アラームに加えて、DDoS アクティビティをモニタリングする CloudWatch ダッシュボードを使用することもできます。ダッシュボードは Shield Advanced から raw データを収集し、ほぼリアルタイムの読み取り可能なメトリクスに加工します。Amazon CloudWatch の統計を使用して、ウェブアプリケーションやサービスの動作状況を把握できます。詳細については、「Amazon CloudWatch ユーザーガイド」の「CloudWatch とは」を参照してください。

CloudWatch ダッシュボードを作成する手順については、「Amazon CloudWatch によるモニタリング」を参照してください。ダッシュボードに追加できる特定の Shield Advanced メトリクスの詳細については、「AWS Shield Advanced メトリクス」を参照してください。

Shield Advanced の設定が完了したら、Shield Advanced による DDoS イベントの可視性 でイベントを表示するためのオプションをよく理解してください。