Firewall Manager の使用状況監査セキュリティグループポリシーの使用 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Firewall Manager の使用状況監査セキュリティグループポリシーの使用

このページでは、Firewall Manager の使用状況監査セキュリティグループポリシーの仕組みについて説明します。

AWS Firewall Manager 使用状況監査セキュリティグループポリシーを使用すると、組織で未使用のセキュリティグループと冗長なセキュリティグループをモニタリングし、オプションでクリーンアップを実行できます。このポリシーの自動修復を有効にすると、Firewall Manager は次の処理を行います。

  1. 冗長なセキュリティグループを統合します (このオプションを選択した場合)。

  2. 未使用のセキュリティグループを削除します (このオプションを選択した場合)。

次のリソースタイプに使用状況の監査セキュリティグループポリシーを適用できます。

  • Amazon VPC セキュリティグループ

コンソールを使用して使用状況の監査セキュリティグループポリシーを作成する方法については、「使用状況監査セキュリティグループポリシーの作成」を参照してください。

Firewall Manager が冗長セキュリティグループを検知および修復する方法

セキュリティグループを冗長とみなすには、まったく同じルールセットを持ち、同じ Amazon VPC インスタンスに存在している必要があります。

冗長なセキュリティグループのセットを修復するため、Firewall Manager は、保持するセット内のセキュリティグループの 1 つを選択し、セット内の他のセキュリティグループに関連付けられているすべてのリソースに関連付けます。その後、Firewall Manager は、関連付けられたリソースから他のセキュリティグループの関連付けを解除し、使用されていない状態にします。

注記

未使用のセキュリティグループも削除するように選択した場合、Firewall Manager は次にその処理を実行します。これにより、冗長セットに含まれるセキュリティグループが削除される可能性があります。

Firewall Manager が未使用のセキュリティグループを検知および修復する方法

Firewall Manager は、次の両方が当てはまる場合、セキュリティグループを未使用と見なします。

  • セキュリティグループは、Amazon EC2 インスタンスまたは Amazon EC2 Elastic Network Interface では使用されません。

  • Firewall Manager は、ポリシールール期間で指定された分間数内にその設定アイテムを受信していません。

ポリシールールの期間はデフォルト設定で 0 分ですが、時間を最大 365 日 (525,600 分) まで延長して、新しいセキュリティグループをリソースに関連付ける時間を確保するのが可能です。

重要

デフォルト値の 0 以外の分間数を指定する場合は、AWS Config で間接的な関係を有効にする必要があります。それ以外の場合、使用状況監査セキュリティグループポリシーは意図したとおりに機能しません。AWS Config の間接な関係については、「AWS Config デベロッパーガイド」の「AWS Config における間接的な関係」を参照してください。

可能な場合、Firewall Manager はルールの設定に従って、アカウントから削除することで未使用のセキュリティグループを修復します。Firewall Manager がセキュリティグループを削除できない場合、ポリシーに準拠していないとしてマークします。Firewall Manager は、別のセキュリティグループによって参照されているセキュリティグループを削除することはできません。

修復の時間は、デフォルトの期間設定とカスタム設定のどちらを使用するかによって異なります:

  • 期間を 0 に設定、デフォルト – この設定では、セキュリティグループは Amazon EC2 インスタンスまたは Elastic Network Interface で使用されないと、すぐに未使用と見なされます。

    期間をゼロに設定する場合、Firewall Manager はセキュリティグループを直ちに修復します。

  • 0 より大きい期間 – この設定では、Amazon EC2 インスタンスまたはElastic Network Interface で使用されておらず、Firewall Manager が指定された分数内に設定項目を受け取っていない場合、セキュリティグループは未使用と見なされます。

    ゼロ以外の期間を設定する場合、Firewall Manager はセキュリティグループを 24 時間の未使用状態に維持した後に修復します。

デフォルトのアカウント指定

コンソールで使用状況に関する監査セキュリティグループポリシーを作成すると、Firewall Manager は自動的に [Exclude the specified accounts and include all others] (指定されたアカウントを除外し、他のすべてを含める) を選択します。その後、サービスによって、除外するリストに Firewall Manager 管理者アカウントが配置されます。これは推奨されるアプローチであり、Firewall Manager 管理者アカウントに属するセキュリティグループを手動で管理できます。