Firewall Manager での使用状況監査セキュリティグループポリシーの使用 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Firewall Manager での使用状況監査セキュリティグループポリシーの使用

このページでは、Firewall Manager の使用監査セキュリティグループポリシーの仕組みについて説明します。

AWS Firewall Manager 使用状況監査セキュリティグループポリシーを使用して、未使用および冗長なセキュリティグループがないか組織をモニタリングし、オプションでクリーンアップを実行します。このポリシーの自動修復を有効にすると、Firewall Manager は次の処理を行います。

  1. 冗長なセキュリティグループを統合します (このオプションを選択した場合)。

  2. 未使用のセキュリティグループを削除します (このオプションを選択した場合)。

次のリソースタイプに使用状況の監査セキュリティグループポリシーを適用できます。

  • Amazon VPC セキュリティグループ

コンソールを使用して使用状況の監査セキュリティグループポリシーを作成する方法については、「使用状況監査セキュリティグループポリシーの作成」を参照してください。

Firewall Manager が冗長セキュリティグループを検出して修正する方法

セキュリティグループを冗長と見なすには、まったく同じルールが設定され、同じ Amazon VPCインスタンスに存在する必要があります。

冗長なセキュリティグループのセットを修復するため、Firewall Manager は、保持するセット内のセキュリティグループの 1 つを選択し、セット内の他のセキュリティグループに関連付けられているすべてのリソースに関連付けます。その後、Firewall Manager は、関連付けられたリソースから他のセキュリティグループの関連付けを解除し、使用されていない状態にします。

注記

未使用のセキュリティグループも削除するように選択した場合、Firewall Manager は次にその処理を実行します。これにより、冗長セットに含まれるセキュリティグループが削除される可能性があります。

Firewall Manager が未使用のセキュリティグループを検出して修正する方法

Firewall Manager は、次の両方が当てはまる場合、セキュリティグループを未使用と見なします。

  • セキュリティグループは、Amazon EC2インスタンスまたは Amazon EC2Elastic Network Interface では使用されません。

  • Firewall Manager は、ポリシールール期間で指定された分数内にその設定項目を受信していません。

ポリシールールの期間はデフォルト設定で 0 分ですが、時間を最大 365 日 (525,600 分) まで延長して、新しいセキュリティグループをリソースに関連付ける時間を確保できます。

重要

デフォルト値の 0 以外の分数を指定する場合は、 で間接的な関係を有効にする必要があります AWS Config。それ以外の場合、使用状況監査セキュリティグループポリシーは意図したとおりに機能しません。の間接的な関係の詳細については AWS Config、 AWS Config デベロッパーガイド「 の間接的な関係 AWS Config」を参照してください。

Firewall Manager は、可能であればルール設定に従ってアカウントから削除することで、未使用のセキュリティグループを修正します。Firewall Manager がセキュリティグループを削除できない場合、ポリシーに準拠していないとしてマークされます。Firewall Manager は、別のセキュリティグループによって参照されているセキュリティグループを削除することはできません。

修復のタイミングは、デフォルトの期間設定とカスタム設定のどちらを使用するかによって異なります。

  • 期間を 0 に設定、デフォルト – この設定では、セキュリティグループは Amazon EC2インスタンスまたはElastic Network Interface で使用されないとすぐに未使用と見なされます。

    このゼロ期間設定では、Firewall Manager はセキュリティグループを直ちに修復します。

  • 0 より長い期間 – この設定では、Amazon EC2インスタンスまたはElastic Network Interface で使用されておらず、Firewall Manager が指定された数分以内に設定項目を受け取っていない場合、セキュリティグループは未使用と見なされます。

    ゼロ以外の期間設定の場合、Firewall Manager はセキュリティグループを 24 時間未使用の状態に維持した後に修復します。

デフォルトのアカウント指定

コンソールで使用状況に関する監査セキュリティグループポリシーを作成すると、Firewall Manager は自動的に [Exclude the specified accounts and include all others] (指定されたアカウントを除外し、他のすべてを含める) を選択します。その後、サービスによって、除外するリストに Firewall Manager 管理者アカウントが配置されます。これは推奨されるアプローチであり、Firewall Manager 管理者アカウントに属するセキュリティグループを手動で管理できます。