Firewall Manager での Amazon VPC ネットワークアクセスコントロールリスト (ACL) ポリシーの使用 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
ベストプラクティス注意

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Firewall Manager での Amazon VPC ネットワークアクセスコントロールリスト (ACL) ポリシーの使用

このセクションでは、AWS Firewall Manager ネットワーク ACL ポリシーの仕組みについて説明し、使用する際のガイダンスを提供します。コンソールを使用してネットワーク ACL ポリシーを作成する方法については、ネットワークACLポリシーの作成 を参照してください。

Amazon VPC ネットワークのアクセスコントロールリスト (ACL) の詳細については、「Amazon VPC ユーザーガイド」の「ACL を使用して、サブネットのトラフィックを制御する」を参照してください。

Firewall Manager ネットワーク ACL ポリシーを使用して、AWS Organizations で組織の Amazon Virtual Private Cloud (Amazon VPC) ネットワークのアクセスコントロールリスト (ACL) を管理できます。ポリシーのネットワーク ACL ルール設定と、設定を適用するアカウントとサブネットを定義します。Firewall Manager は、組織全体で追加または更新されるたびにポリシー設定をアカウントとサブネットに継続的に適用します。ポリシーの範囲と AWS Organizations の詳細については、AWS Firewall Manager ポリシースコープの使用 および「AWS Organizations ユーザーガイド」を参照してください。

Firewall Manager ネットワーク ACL ポリシーを定義する場合、名前やスコープなどの標準の Firewall Manager ポリシー設定に加えて、以下を指定します:

  • インバウンドおよびアウトバウンドトラフィック処理の最初と最後のルール。Firewall Manager は、ポリシーの範囲内にあるネットワーク ACL でこれらの存在と順序を適用します。または、コンプライアンス違反を報告します。個々のアカウントは、ポリシーの最初と最後のルールの間に実行するカスタムルールを作成できます。

  • ネットワーク ACL 内のルール間でトラフィック管理の競合が発生する場合に、修復を強制するかどうか。これは、ポリシーに対して修復が有効になっている場合にのみ適用されます。

Firewall Manager ネットワーク ACL ポリシーを使用するためのベストプラクティス

このセクションでは、Firewall Manager ネットワーク ACL ポリシーとマネージドネットワーク ACL の連携に関する推奨事項を一覧表示します。

FMManaged タグを参照して、Firewall Manager によって管理されるネットワーク ACL を特定します。

Firewall Manager が管理するネットワーク ACL の FMManaged タグを true に設定します。このタグを使用して、独自のカスタムネットワーク ACL を Firewall Manager を通じて管理している ACL と区別します。

ネットワーク ACL の FMManaged タグの値を変更しないでください

Firewall Manager は、このタグを使用して、ネットワーク ACL で管理ステータスを設定および決定します。

Firewall Manager マネージドネットワーク ACL を持つサブネットの関連付けを変更しないでください。

Firewall Manager によって管理されているネットワーク ACL とサブネットの関連付けを手動で変更しないでください。そうする場合、Firewall Manager がこれらのサブネットの保護を管理する機能を無効にできます。Firewall Manager によって管理されるネットワーク ACL は、trueFMManaged タグ設定を検索することで特定できます。

Firewall Manager ポリシー管理からサブネットを削除するには、Firewall Manager ポリシースコープ設定を使用してサブネットを除外します。例えば、サブネットにタグを付け、そのタグをポリシースコープから除外できます。詳細については、「AWS Firewall Manager ポリシースコープの使用」を参照してください。

マネージドネットワーク ACL を更新するときは、Firewall Manager によって管理されるルールを変更しないでください。

Firewall Manager が管理するネットワーク ACL では、Firewall Manager でのネットワーク ACL ルールの使用とタグ付け で説明されている番号付けスキームに従って、カスタムルールをポリシールールから分離します。5,000~32,000 の数値を持つルールのみを追加または変更します。

アカウント制限にルールを追加しすぎないようにする

ネットワーク ACL の修正中、Firewall Manager は通常、ネットワーク ACL ルールの数を一時的に増加します。コンプライアンス違反の問題を回避するには、使用しているルールに十分な余裕があることを確認してください。詳細については、「Firewall Manager が非準拠のマネージドネットワーク ACL を修復する方法」を参照してください。

自動修復を無効にした状態で開始する

自動修復を無効にした状態で開始し、その後、自動修復が与える影響を判断するためにポリシーの詳細情報を確認してください。変更が適切であることを確認したら、ポリシーを編集して自動修復を有効にします。

Firewall Manager ネットワーク ACL ポリシーの規制

このセクションでは、Firewall Manager ネットワーク ACL ポリシーの使用に関する規制と制限事項を一覧表示します。

  • 他のポリシーに比べて更新時間が遅い – Firewall Manager は、Amazon EC2 ネットワーク ACL API がリクエストを処理できる速度に制限があるため、一般的にネットワーク ACL ポリシーおよびポリシー変更の適用が他の Firewall Manager ポリシーよりも遅くなります。ポリシーの変更は、他の Firewall Manager ポリシーでの同様の変更よりも、特にポリシーを初めて追加するときに時間がかかる場合があります。

  • 初期サブネット保護のために、Firewall Manager は古いポリシーを優先する – これは、Firewall Manager ネットワーク ACL ポリシーでまだ保護されていないサブネットにのみ適用されます。サブネットが同時に複数のネットワーク ACL ポリシーの範囲に入る場合、Firewall Manager は最も古いポリシーを使用してサブネットを保護します。

  • ポリシーがサブネットの保護を停止する理由 – サブネットのネットワーク ACL を管理するポリシーは、次のいずれかが発生するまで管理を保持します。

    • サブネットはポリシーの範囲外になります。

    • ポリシーが削除されます。

    • サブネットの関連付けは、別の Firewall Manager ポリシーによって管理され、サブネットが範囲内にあるネットワーク ACL に手動で変更します。

トピック