Firewall Manager での AWS WAF ポリシーの使用 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
Firewall Manager がウェブを管理する方法 ACLs AWS WAF ポリシー内のルールグループ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Firewall Manager での AWS WAF ポリシーの使用

このページでは、Firewall Manager で AWS WAF ポリシーを使用する方法について説明します。Firewall Manager AWS WAF ポリシーでは、リソース全体で使用する AWS WAF ルールグループを指定します。ポリシーを適用すると、Firewall Manager はポリシーACLs内のウェブの管理の設定方法に応じて、ポリシー範囲内ACLsのアカウントにウェブを作成します。ポリシーによってACLs作成されたウェブでは、個々のアカウントマネージャーは、Firewall Manager で定義したルールグループに加えて、ルールとルールグループを追加できます。

Firewall Manager がウェブを管理する方法 ACLs

Firewall Manager は、ポリシーで関連付けられていないウェブ管理の設定方法、または SecurityServicePolicyDataのデータ型でoptimizeUnassociatedWebACLの設定ACLsに基づいてウェブを作成しますAPI。 ACLs

関連付けられていないウェブ の管理を有効にするとACLs、Firewall Manager ACLsは、少なくとも 1 つのリソースによってウェブが使用される場合にのみ、ポリシー範囲内のACLsアカウントにウェブを作成します。アカウントがポリシーの範囲に入ると、少なくとも 1 つのリソースがウェブ を使用する場合、Firewall Manager はアカウントACL内にウェブを自動的に作成しますACL。関連付けられていないウェブの管理を有効にするとACLs、Firewall Manager はアカウントACLsで関連付けられていないウェブの 1 回限りのクリーンアップを実行します。クリーンアップ中、Firewall Manager は、ルールグループACLsをウェブに追加ACLしたり、設定を変更したりするなど、作成後に変更したウェブをスキップします。このクリーンアッププロセスには、数時間かかることがあります。Firewall Manager がウェブ を作成した後にリソースがポリシースコープを離れるとACL、Firewall Manager はリソースとウェブ の関連付けを解除しますがACL、関連付けられていないウェブ はクリーンアップされませんACL。Firewall Manager は、ポリシーACLsで関連付けられていないウェブの管理を最初に有効にACLsした場合にのみ、関連付けられていないウェブをクリーンアップします。

このオプションを有効にしない場合、Firewall Manager は関連付けられていないウェブ を管理しません。Firewall Manager はACLsポリシー範囲内ACLの各アカウントにウェブを自動的に作成します。

サンプリングと CloudWatch メトリクス

AWS Firewall Manager は、 AWS WAF ポリシー用に作成するウェブグループとルールグループのサンプリングACLsと Amazon CloudWatch メトリクスを有効にします。

ウェブACL命名構造

Firewall Manager がポリシーACLのウェブを作成すると、ウェブ ACL に名前が付けられますFMManagedWebACLV2-policy name-timestamp。タイムスタンプはUTCミリ秒単位です。例えば、FMManagedWebACLV2-MyWAFPolicyName-1621880374078 と指定します。

注記

高度な自動アプリケーションレイヤーDDoS緩和で設定されたリソースが AWS WAF ポリシーの範囲内になった場合、Firewall Manager は AWS WAF ポリシーによってACL作成されたウェブをリソースに関連付けることができません。

AWS WAF ポリシー内のルールグループ

Firewall Manager AWS WAF ポリシーによって管理ACLsされるウェブには、3 つのルールセットが含まれています。これらのセットは、ウェブ のルールとルールグループの優先順位を高めますACL。

  • Firewall Manager AWS WAF ポリシーで定義した最初のルールグループ。 は、これらのルールグループを最初に AWS WAF 評価します。

  • ウェブ でアカウントマネージャーによって定義されるルールとルールグループACLs。 AWS WAF は次にアカウント管理のルールまたはルールグループを評価します。

  • Firewall Manager AWS WAF ポリシーで定義した最後のルールグループ。 は、これらのルールグループを最後に AWS WAF 評価します。

これらのルールの各セット内で、 は、セット内の優先順位設定に従って、通常どおりルールとルールグループ AWS WAF を評価します。

ポリシーの最初と最後のルールグループセットでは、ルールグループのみを追加できます。マネージドルールグループを使用できます。 AWS マネージドルールと AWS Marketplace 販売者はこのグループを作成して維持します。独自のルールグループを管理して使用することもできます。これらのすべてのオプションの詳細については、「使用 AWS WAF ルールグループ」を参照してください。

独自のルールグループを使用する場合は、Firewall Manager AWS WAF ポリシーを作成する前にそれらのグループを作成します。ガイダンスについては、「独自のルールグループの管理」を参照してください。個々のカスタムルールを使用するには、独自のルールグループを定義し、その中にルールを定義してから、ポリシーでそのルールグループを使用する必要があります。

Firewall Manager で管理する最初と最後の AWS WAF ルールグループの名前はPOSTFMManaged-、それぞれ PREFMManaged-または で始まり、Firewall Manager ポリシー名とルールグループ作成タイムスタンプがUTCミリ秒単位で続きます。例えば、PREFMManaged-MyWAFPolicyName-1621880555123 と指定します。

がウェブリクエスト AWS WAF を評価する方法については、「」を参照してくださいでのルールとルールグループACLsでのウェブの使用 AWS WAF

Firewall Manager AWS WAF ポリシーを作成する手順については、「」を参照してくださいの AWS Firewall Manager ポリシーの作成 AWS WAF

Firewall Manager は、 AWS WAF ポリシーに定義したルールグループのサンプリングと Amazon CloudWatch メトリクスを有効にします。

個々のアカウント所有者は、ポリシーのマネージドウェブ に追加するルールまたはルールグループのメトリクスとサンプリング設定を完全に制御できますACLs。

トピック