チュートリアル: 階層ルールによる AWS Firewall Managerポリシーの作成 - AWS WAF, AWS Firewall Managerおよび AWS Shield Advanced
ステップ 1: Firewall Manager 管理者アカウントを指定するステップ 2: Firewall Manager 管理者アカウントを使用してルールグループを作成するステップ 3: Firewall Manager ポリシーを作成して共通のルールグループをアタッチするステップ 4: アカウント固有のルールを追加する結論

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

チュートリアル: 階層ルールによる AWS Firewall Managerポリシーの作成

注記

これは AWS WAF Classic ドキュメントです。2019 年 11 AWS WAF 月より前にルールやウェブ ACL AWS WAF などのリソースを作成していて、まだ最新バージョンに移行していない場合にのみ、このバージョンを使用してください。リソースを移行するには、「AWS WAF クラシックリソースをに移行する AWS WAF」を参照してください。

の最新バージョンについては AWS WAF、を参照してください。 AWS WAF

AWS Firewall Managerでは、 AWS WAF 階層ルールを含むクラシック保護ポリシーを作成して適用できます。つまり、特定のルールを一元的に作成および適用し、アカウント固有ルールの作成やメンテナンスを個々のユーザーに委任できるということです。一元的に適用する (共通) ルールを常に一貫して適用するために、誤操作による削除やその他の処理が行われないようモニタリングできます。アカウント固有のルールでは、個々のチームのニーズに合わせてカスタマイズされた保護をさらに追加できます。

注記

の最新バージョンでは AWS WAF、この機能が組み込まれており、特別な処理は必要ありません。 AWS WAF Classic をまだ使用していない場合は、代わりに最新バージョンを使用してください。「の AWS Firewall Manager ポリシーの作成 AWS WAF」を参照してください。

次のチュートリアルでは、保護ルールの階層セットを作成する方法について説明します。

ステップ 1: Firewall Manager 管理者アカウントを指定する

を使用するには AWS Firewall Manager、組織内のアカウントを Firewall Manager 管理者アカウントとして指定する必要があります。このアカウントは、組織内の管理アカウントまたはメンバーアカウントのいずれでもかまいません。

Firewall Manager 管理者アカウントを使用すると、組織内の他のアカウントに適用する一連の共通ルールを作成できます。組織内の他のアカウントでは、このように一元的に適用されたルールを変更することはできません。

アカウントを Firewall Manager 管理者アカウントに指定して、Firewall Manager を使用するための外の前提条件を満たすには、「AWS Firewall Manager 前提条件」の説明を参照してください。前提条件を既に満たしている場合は、このチュートリアルのステップ 2 に進むことができます。

このチュートリアルでは、この管理者アカウントを Firewall-Administrator-Account と呼びます。

ステップ 2: Firewall Manager 管理者アカウントを使用してルールグループを作成する

次に、Firewall-Administrator-Account を使用してルールグループを作成します。このルールグループには、次のステップで作成するポリシーで管理されるすべてのメンバーアカウントに適用する共通ルールを指定します。これらのルールとコンテナルールグループを変更できるのは、Firewall-Administrator-Account のみです。

このチュートリアルでは、このコンテナルールグループを Common-Rule-Group と呼びます。

ルールグループを作成するには、「AWS WAF クラシックルールグループの作成」の手順を参照してください。これらの手順に従う際には、Firewall Manager 管理者アカウント (Firewall-Administrator-Account) を使用してコンソールにサインインしておいてください。

ステップ 3: Firewall Manager ポリシーを作成して共通のルールグループをアタッチする

Firewall-Administrator-Account を使用して、Firewall Manager ポリシーを作成します。このポリシーを作成する場合は、次を実行する必要があります。

  • 新しいポリシーに Common-Rule-Group を追加する。

  • Common-Rule-Group を適用する組織内のすべてのアカウントを含める。

  • Common-Rule-Group を適用するすべてのリソースを追加する。

ポリシーの作成手順については、「AWS Firewall Manager ポリシーの作成」を参照してください。

これにより、指定された各アカウントにウェブ ACL が作成され、各ウェブ ACL に Common-Rule-Group が追加されます。ポリシーの作成後、このウェブ ACL および共通ルールは、指定されたすべてのアカウントにデプロイされます。

このチュートリアルでは、このウェブ ACL を Administrator-Created-ACL と呼びます。これで、組織内の指定されたメンバーアカウントごとに、一意の Administrator-Created-ACL が作成されます。

ステップ 4: アカウント固有のルールを追加する

組織内の各メンバーアカウントは、アカウントに存在する Administrator-Created-ACL に、アカウント固有のルールを自分で追加できます。すでに導入されている共通ルールは、Administrator-Created-ACL新しいアカウント固有のルールとともに引き続き適用されます。 AWS WAF ウェブ ACL にルールが表示される順序に基づいてウェブリクエストを検査します。これは、Administrator-Created-ACL とアカウント固有のルールの両方に当てはまります。

にルールを追加するにはAdministrator-Created-ACL、を参照してくださいACL でのウェブの編集 AWS WAF

結論

これで、Firewall Manager 管理者が管理する共通ルールが含まれたウェブ ACL と、各メンバーアカウントで管理するアカウント固有のルールを作成できました。

各アカウントの Administrator-Created-ACL は、1 つの Common-Rule-Group を参照しています。このため、今後 Firewall Manager 管理者アカウントによって Common-Rule-Group が変更されると、各メンバーアカウントに直ちに反映されます。

メンバーアカウントでは、Common-Rule-Group に指定されている共通ルールを変更または削除することはできません。

アカウント固有のルールは、他のアカウントに影響しません。