Firewall Manager の Shield Advanced ポリシーでアプリケーションレイヤー DDoS 自動緩和を使用する - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
自動緩和設定AWS WAF Classicウェブ ACL を v2ウェブ ACL に置き換える

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Firewall Manager の Shield Advanced ポリシーでアプリケーションレイヤー DDoS 自動緩和を使用する

このページでは、アプリケーションレイヤー DDoS 自動緩和が Firewall Manager とどのように連携するかについて説明します。

Amazon CloudFront ディストリビューションまたは Application Load Balancer に Shield Advanced ポリシーを適用する際に、ポリシーで Shield Advanced アプリケーションレイヤー DDoS 自動緩和を設定するオプションがあります。

Shield Advanced 自動緩和については、「Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和 」を参照してください。

Shield Advanced アプリケーションレイヤー DDoS 自動緩和には、次の要件があります。

  • アプリケーションレイヤーの DDoS の自動緩和は、Amazon CloudFront ディストリビューションと Application Load Balancer でのみ機能します。

    Shield Advanced ポリシーを Amazon CloudFront ディストリビューションに適用する場合、グローバルリージョン用に作成する Shield Advanced ポリシーに対してこのオプションを選択できます。Application Load Balancer に保護を適用する場合、Firewall Manager がサポートする任意のリージョンにポリシーを適用できます。

  • アプリケーションレイヤー DDoS 自動緩和は、AWS WAF (v2)の最新バージョンを使用して作成されたウェブ ACL でのみ機能します。

    このため、AWS WAF Classicウェブ ACL を使用するポリシーがある場合は、そのポリシーを新しいポリシーに置き換えるか (これにより、AWS WAF の最新バージョンが自動的に使用されます)、または Firewall Manager に既存のポリシー用に新しいバージョンのウェブ ACL を作成させて、それらを使用するように切り替える必要があります。オプションの詳細については、「AWS WAF Classicウェブ ACL を最新バージョンのウェブ ACL に置き換える」を参照してください。

自動緩和設定

Firewall Manager Shield Advanced ポリシーのアプリケーションレイヤー DDoS 自動緩和オプションは、ポリシーの範囲内のアカウントおよびリソースに Shield Advanced 自動緩和機能を適用します。Shield Advanced 機能の詳細については、「Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和 」を参照してください。

ポリシーの範囲内の CloudFront ディストリビューションまたは Application Load Balancer について、Firewall Manager で自動緩和を有効または無効にすることを選択でき、あるいはポリシーで Shield Advanced 自動緩和設定を無視することを選択できます。

  • [有効化] - 自動緩和を有効にする場合は、一致するウェブリクエストを Shield Advanced 緩和ルールがカウントまたはブロックするかも指定します。Firewall Manager は、自動緩和が有効になっていないか、ポリシーに指定したルールアクションと一致しないルールアクションを使用している場合に、範囲内のリソースを非準拠としてマークします。自動修復のポリシーを設定すると、Firewall Manager は、必要に応じて非準拠のリソースを更新します。

  • [無効化] - 自動緩和を無効にすることを選択した場合、Firewall Manager は、自動緩和が有効になっている範囲内のリソースを非準拠としてマークします。自動修復のポリシーを設定すると、Firewall Manager は、必要に応じて非準拠のリソースを更新します。

  • [無視] – 自動緩和を無視することを選択した場合、Firewall Manager は、ポリシーの修復アクティビティを実行するときに Shield ポリシーの自動緩和設定を考慮しません。この設定では、Shield Advanced を通じて自動緩和を有効または無効にできます。Firewall Manager によってこれらの設定を上書きされることはありません。この設定は、Shield Advanced を通じて管理される Classic Load Balancers や Elastic IP リソースには適用されません。Shield Advanced は現在、これらのリソースの L7 自動緩和をサポートしていないためです。

AWS WAF Classicウェブ ACL を最新バージョンのウェブ ACL に置き換える

アプリケーションレイヤーの DDoS 自動緩和は、AWS WAF (v2)の最新バージョンを使用して作成されたウェブ ACL でのみ機能します。

Shield Advanced ポリシーのウェブ ACL バージョンを確認するには、「Shield Advanced ポリシーで使用されている AWS WAF のバージョンの判別」を参照してください。

Shield Advanced ポリシーで自動緩和を使用する必要があり、ポリシーが現在 AWS WAF Classicウェブ ACL を使用している場合は、新しい Shield Advanced ポリシーを作成して現在のポリシーを置き換えるか、このセクションで説明されているオプションを使用して、以前のバージョンのウェブ ACL を、現在の Shield Advanced ポリシー内の新しい (v2)ウェブ ACL に置き換えることができます。新しいポリシーでは、常に、最新バージョンの AWS WAF を使用してウェブ ACL を作成します。ポリシー全体を置き換えた場合、ポリシーを削除すると、Firewall Manager で以前のバージョンのウェブ ACL もすべて削除できます。このセクションの残りの部分では、既存のポリシー内のウェブ ACL を置き換えるためのオプションについて説明します。

Amazon CloudFront リソース用の既存の Shield Advanced ポリシーを変更すると、Firewall Manager は、v2ウェブ ACL をまだ持っていない範囲内のアカウントで、ポリシー用に新しい空の AWS WAF (v2)ウェブ ACL を自動的に作成できます。Firewall Manager が新しいウェブ ACL を作成するときに、同じアカウントでポリシーが既に AWS WAF Classicウェブ ACL を持っている場合、Firewall Manager は、既存のウェブ ACL と同じデフォルトのアクション設定で新しいバージョンのウェブ ACL を設定します。既存の AWS WAF Classicウェブ ACL がない場合、Firewall Manager は、新しいウェブ ACL でデフォルトのアクションを Allow に設定します。Firewall Manager が新しいウェブ ACL を作成した後、AWS WAF コンソールで必要に応じてカスタマイズできます。

次のポリシー設定オプションのいずれかを選択すると、Firewall Manager は、まだそれらを持たない範囲内のアカウント用に新しい (v2)ウェブ ACL を作成します。

  • アプリケーションレイヤー DDoS 自動緩和を有効または無効にする場合。この選択のみの場合、Firewall Manager が新しいウェブ ACL を作成するだけであり、ポリシーの範囲内リソース上の既存の AWS WAF Classicウェブ ACL の関連付けを置き換えることはありません。

  • 自動修復のポリシーアクションを選択し、AWS WAF Classicウェブ ACL を AWS WAF (v2)ウェブ ACL に置き換えるオプションを選択した場合。アプリケーションレイヤー DDoS 自動緩和の設定の選択内容にかかわらず、以前のバージョンのウェブ ACL を置き換えることを選択できます。

    置換オプションを選択すると、Firewall Manager は必要に応じて新しいバージョンのウェブ ACL を作成し、ポリシーの範囲内のリソースについて次の操作を実行します。

    • リソースが他のアクティブな Firewall Manager ポリシーからウェブ ACL に関連付けられている場合、Firewall Manager は関連付けのみを残します。

    • それ以外の場合、Firewall Manager は AWS WAF Classicウェブ ACL との関連付けを削除し、リソースをポリシーの AWS WAF (v2)ウェブ ACL に関連付けます。

必要に応じて、Firewall Manager で以前のバージョンのウェブ ACL を新しいバージョンのウェブ ACL に置き換えることを選択できます。以前にポリシーの AWS WAF Classicウェブ ACL をカスタマイズしたことがある場合は、Firewall Manager に置換ステップを実行させることを選択する前に、新しいバージョンのウェブ ACL を同等の設定に更新できます。

ポリシー用のウェブ ACL のいずれかのバージョンには、AWS WAF または AWS WAF Classic の同じバージョンのコンソールでアクセスできます。

ポリシー自体を削除するまで、Firewall Manager は置き換えられた AWS WAF Classicウェブ ACL を削除しません。AWS WAF Classicウェブ ACL がポリシーで使用されなくなったら、必要に応じて削除できます。