Firewall Manager の一般的なセキュリティグループポリシーの使用 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Firewall Manager の一般的なセキュリティグループポリシーの使用

このページでは、Firewall Manager の一般的なセキュリティグループポリシーの仕組みについて説明します。

Firewall Manager では、共通セキュリティグループポリシーを使用して、組織全体のアカウントおよびリソースに対するセキュリティグループの一元管理された関連付けが提供されます。組織内でポリシーを適用する場所と方法を指定します。

次のリソースタイプに共通セキュリティグループポリシーを適用できます。

  • Amazon Elastic Compute Cloud (Amazon EC2) インスタンス

  • Elastic Network Interface

  • Application Load Balancer

  • Classic Load Balancer

コンソールを使用して共通セキュリティグループポリシーを作成する方法については、「共通セキュリティグループポリシーの作成」を参照してください。

共有 VPC

共通セキュリティグループポリシーのポリシーの範囲設定で、共有 VPC を含めるよう選択できます。この選択肢には、別のアカウントによって所有され、範囲内のアカウントと共有される VPC が含まれます。範囲内のアカウントが所有する VPC は、常に含まれます。共有 VPC の詳細については、「Amazon VPC ユーザーガイド」の「共有 VPC の使用」を参照してください。

共有 VPC を含めるには、次の注意事項が適用されます。これらに加えて、セキュリティグループポリシーの規制と制限 のセキュリティグループポリシーに関する一般的な注意事項も適用されます。

  • Firewall Manager は、範囲内の各アカウントの VPC にプライマリセキュリティグループをレプリケートします。共有 VPC の場合、Firewall Manager は VPC が共有されている範囲内のアカウントごとに、プライマリセキュリティグループを 1 回 レプリケートします。これにより、単一の共有 VPC に複数のレプリカが作成される可能性があります。

  • 新しい共有 VPC を作成する場合、ポリシーの範囲内にある VPC に少なくとも 1 つのリソースを作成するまで、Firewall Manager セキュリティグループポリシーの詳細にその共有VPC は表示されません。

  • 共有 VPC を有効にしたポリシーで共有 VPC を無効にすると、共有 VPC において、Firewall Manager は、リソースに関連付けられていないレプリカセキュリティグループを削除します。Firewall Manager は、残りのレプリカセキュリティグループをそのままの状態にしますが、それらの管理を停止します。これらの残りのセキュリティグループを削除するには、各共有 VPC インスタンスで手動で管理する必要があります。

プライマリセキュリティグループ

共通セキュリティグループポリシーごとに、1 つ以上のプライマリセキュリティグループを AWS Firewall Manager に提供します。

  • プライマリセキュリティグループは、Firewall Manager 管理者アカウントによって作成される必要があり、アカウント内の任意の Amazon VPC インスタンスに存在できます。

  • プライマリセキュリティグループは、Amazon Virtual Private Cloud (Amazon VPC) または Amazon Elastic Compute Cloud (Amazon EC2) を通じて管理します。詳細については、「Amazon VPC ユーザーガイド」の「セキュリティグループの操作」を参照してください。

  • Firewall Manager セキュリティグループポリシーのプライマリとして、1 つ以上のセキュリティグループを指定できます。デフォルトでは、ポリシー内で許可されているセキュリティグループの数は 1 つですが、リクエストを送信して増やすことができます。詳細については、「AWS Firewall Manager クォータ」を参照してください。

ポリシールールの設定

共通セキュリティグループポリシーのセキュリティグループとリソースに対して、次の変更管理動作の 1 つ以上を選択できます。

  • ローカルユーザーがレプリカセキュリティグループに対して行った変更を特定し、レポートします。

  • ポリシーの範囲内の AWS リソースから他のセキュリティグループの関連付けを解除します。

  • プライマリグループからレプリカセキュリティグループにタグを配布します。

    重要

    Firewall Manager は、AWS のサービスによって追加されたシステムタグをレプリカセキュリティグループに配布しません。システムタグは aws: プレフィックスで始まります。また、ポリシーに組織のタグポリシーと矛盾するタグがある場合は、Firewall Manager が既存のセキュリティグループでのタグ更新や、新しいセキュリティグループの作成を行うことはありません。タグポリシーの詳細については、「AWS Organizations ユーザーガイド」の「タグポリシー」を参照してください。

  • プライマリグループからレプリカセキュリティグループにセキュリティグループの参照を配布します。

    これにより、指定したセキュリティグループの VPC に関連するインスタンスに対して、スコープ内の全リソースで共通のセキュリティグループの参照ルールを簡単に確立することができます。このオプションを有効にすると、Firewall Manager は、Amazon Virtual Private Cloud 内でセキュリティグループがピアセキュリティグループを参照している場合にのみ、セキュリティグループの参照を適用します。レプリカのセキュリティグループがピアセキュリティグループを正しく参照していない場合、Firewall Manager はこれらのレプリケートされたセキュリティグループを非準拠としてマークします。詳細については、「Amazon VPC ピア機能ガイド」の「セキュリティグループの更新とピアセキュリティグループの参照」を参照してください。

    このオプションを有効にしない場合、Firewall Manager はセキュリティグループの参照をレプリカのセキュリティグループに適用しません。Amazon VPC 内の VPC ピア機能については、「Amazon VPC ピア機能ガイド」を参照してください。

ポリシーの作成と管理

共通セキュリティグループポリシーを作成すると、Firewall Manager はポリシーの範囲内のすべての Amazon VPC インスタンスにプライマリセキュリティグループをレプリケートし、レプリケートされたセキュリティグループをポリシーの範囲内にあるアカウントおよびリソースに関連付けます。プライマリセキュリティグループを変更すると、Firewall Manager はその変更をレプリカに伝達します。

共通セキュリティグループポリシーを削除する場合、ポリシーによって作成されたリソースをクリーンアップするかどうかを選択できます。Firewall Manager の共通セキュリティグループの場合、これらのリソースはレプリカセキュリティグループです。ポリシーの削除後に個々のレプリカを手動で管理する場合を除き、クリーンアップオプションを選択してください。ほとんどの場合、クリーンアップオプションを選択するのが最も簡単な方法です。

レプリカの管理方法

Amazon VPC インスタンス内のレプリカセキュリティグループは、他の Amazon VPC セキュリティグループと同様に管理されます。詳細については、「Amazon VPC ユーザーガイド」の「VPC のセキュリティグループ」を参照してください。