Firewall Manager での一般的なセキュリティグループポリシーの使用 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Firewall Manager での一般的なセキュリティグループポリシーの使用

このページでは、Firewall Manager の共通セキュリティグループポリシーの仕組みについて説明します。

Firewall Manager では、共通セキュリティグループポリシーを使用して、組織全体のアカウントおよびリソースに対するセキュリティグループの一元管理された関連付けが提供されます。組織内でポリシーを適用する場所と方法を指定します。

次のリソースタイプに共通セキュリティグループポリシーを適用できます。

  • Amazon Elastic Compute Cloud (Amazon EC2) インスタンス

  • Elastic Network Interface

  • Application Load Balancer

  • Classic Load Balancer

コンソールを使用して共通セキュリティグループポリシーを作成する方法については、「共通セキュリティグループポリシーの作成」を参照してください。

共有 VPCs

共通のセキュリティグループポリシーのポリシースコープ設定では、共有 を含めるように選択できますVPCs。この選択肢には、別のアカウントによって所有され、対象範囲内のアカウントと共有VPCsされている が含まれます。VPCs スコープ内アカウント自体は常に含まれます。共有 の詳細についてはVPCs、「Amazon ユーザーガイド」の「共有 の使用VPCs」を参照してください。 VPC

以下の注意事項は、共有 を含める場合に適用されますVPCs。これらに加えて、セキュリティグループポリシーの注意事項と制限事項 のセキュリティグループポリシーに関する一般的な注意事項も適用されます。

  • Firewall Manager は、スコープ内アカウントVPCsごとにプライマリセキュリティグループを にレプリケートします。共有 の場合VPC、Firewall Manager VPCは、 が共有されているスコープ内アカウントごとにプライマリセキュリティグループを 1 回レプリケートします。これにより、単一の共有 に複数のレプリカが発生する可能性がありますVPC。

  • 新しい共有 を作成するとVPC、ポリシーの範囲内にある に少なくとも 1 つのリソースを作成するまでVPC、Firewall Manager セキュリティグループポリシーの詳細に表示されません。

  • 共有VPCsが有効になっているポリシーVPCsで共有を無効にすると、VPCsFirewall Manager はリソースに関連付けられていないレプリカセキュリティグループを削除します。Firewall Manager は、残りのレプリカセキュリティグループをそのままの状態にしますが、それらの管理を停止します。これらの残りのセキュリティグループを削除するには、共有VPCインスタンスごとに手動管理が必要です。

プライマリセキュリティグループ

共通のセキュリティグループポリシーごとに、 AWS Firewall Manager 1 つ以上のプライマリセキュリティグループを指定します。

  • プライマリセキュリティグループは、Firewall Manager 管理者アカウントによって作成する必要があり、アカウント内の任意の Amazon VPCインスタンスに存在することができます。

  • Amazon Virtual Private Cloud (Amazon VPC) または Amazon Elastic Compute Cloud (Amazon ) を使用してプライマリセキュリティグループを管理しますEC2。詳細については、「Amazon VPCユーザーガイド」の「セキュリティグループの使用」を参照してください。

  • Firewall Manager セキュリティグループポリシーのプライマリとして、1 つ以上のセキュリティグループを指定できます。デフォルトでは、ポリシー内で許可されているセキュリティグループの数は 1 つですが、リクエストを送信して増やすことができます。詳細については、「AWS Firewall Manager クォータ」を参照してください。

ポリシールールの設定

共通セキュリティグループポリシーのセキュリティグループとリソースに対して、次の変更管理動作の 1 つ以上を選択できます。

  • ローカルユーザーがレプリカセキュリティグループに対して行った変更を特定し、レポートします。

  • ポリシー範囲内にある AWS リソースから他のセキュリティグループの関連付けを解除します。

  • プライマリグループからレプリカセキュリティグループにタグを配布します。

    重要

    Firewall Manager は、 AWS サービスによって追加されたシステムタグをレプリカセキュリティグループに配信しません。システムタグは aws: プレフィックスで始まります。また、ポリシーに組織のタグポリシーと矛盾するタグがある場合は、Firewall Manager が既存のセキュリティグループでのタグ更新や、新しいセキュリティグループの作成を行うことはありません。タグポリシーの詳細については、 AWS Organizations 「 ユーザーガイド」の「タグポリシー」を参照してください。

  • プライマリグループからレプリカセキュリティグループにセキュリティグループの参照を配布します。

    これにより、指定されたセキュリティグループの に関連付けられたインスタンスに対するすべての範囲内リソースにわたる共通のセキュリティグループ参照ルールを簡単に確立できますVPC。このオプションを有効にすると、Firewall Manager は、セキュリティグループが Amazon Virtual Private Cloud のピアセキュリティグループを参照する場合にのみ、セキュリティグループ参照を伝播します。レプリカセキュリティグループがピアセキュリティグループを正しく参照していない場合、Firewall Manager はこれらのレプリケートされたセキュリティグループを非準拠としてマークします。Amazon でピアセキュリティグループを参照する方法についてはVPC、「Amazon VPCピアリングガイド」の「ピアセキュリティグループを参照するようにセキュリティグループを更新する」を参照してください。

    このオプションを有効にしない場合、Firewall Manager はセキュリティグループの参照をレプリカセキュリティグループに伝達しません。Amazon でのVPCピアリングの詳細についてはVPC、「Amazon VPC ピアリングガイド」を参照してください。

ポリシーの作成と管理

共通のセキュリティグループポリシーを作成すると、Firewall Manager はプライマリセキュリティグループをポリシー範囲内のすべての Amazon VPCインスタンスにレプリケートし、レプリケートされたセキュリティグループをポリシー範囲内のアカウントとリソースに関連付けます。プライマリセキュリティグループを変更すると、Firewall Manager はその変更をレプリカに伝達します。

共通セキュリティグループポリシーを削除する場合、ポリシーによって作成されたリソースをクリーンアップするかどうかを選択できます。Firewall Manager の共通セキュリティグループの場合、これらのリソースはレプリカセキュリティグループです。ポリシーの削除後に個々のレプリカを手動で管理する場合を除き、クリーンアップオプションを選択してください。ほとんどの場合、クリーンアップオプションを選択するのが最も簡単な方法です。

レプリカの管理方法

Amazon VPCインスタンスのレプリカセキュリティグループは、他の Amazon VPC セキュリティグループと同様に管理されます。詳細については、「Amazon ユーザーガイド」の「 のセキュリティグループVPC」を参照してください。 VPC