Firewall Manager のマネージドリストの使用 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
マネージドリストのバージョニングマネージドリストの使用

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Firewall Manager のマネージドリストの使用

このセクションでは、マネージドリストとは何か、またその使用方法について説明します。

マネージドアプリケーションおよびプロトコルリストにより、AWS Firewall Manager コンテンツ監査セキュリティグループポリシーの設定と管理が合理化されます。ポリシーが許可または禁止するプロトコルとアプリケーションを定義するために、マネージドリストを使用します。コンテンツ監査セキュリティグループポリシーの詳細については、「Firewall Manager のコンテンツ監査セキュリティグループポリシーの使用」を参照してください。

コンテンツ監査セキュリティグループポリシーでは、次のタイプのマネージドリストを使用できます。

  • Firewall Manager のアプリケーションリストとプロトコルリスト - Firewall Manager は、これらのリストを管理します。

    • アプリケーションリストには、一般ユーザーに対して許可または拒否される必要がある一般的に使用されるアプリケーションを記述する FMS-Default-Public-Access-Apps-AllowedFMS-Default-Public-Access-Apps-Denied が含まれます。

    • プロトコルリストには、一般ユーザーに対して許可される必要がある一般的に使用されるプロトコルリストである FMS-Default-Protocols-Allowed が含まれます。Firewall Manager が管理するリストはすべて使用できますが、編集や削除はできません。

  • カスタムアプリケーションリストとプロトコルリスト - これらのリストを管理できます。必要な設定を使用して、どちらのタイプのリストも作成できます。独自のカスタムマネージドリストを完全に制御でき、必要に応じて作成、編集、削除できます。

    注記

    現在、Firewall Manager は、カスタムマネージドリストが削除されると、そのカスタムマネージドリストへの参照をチェックしません。つまり、アクティブなポリシーによって使用されている場合でも、カスタムマネージドアプリケーションリストまたはプロトコルリストを削除できます。これにより、ポリシーが機能しなくなる可能性があります。アプリケーションリストまたはプロトコルリストは、アクティブなポリシーによって参照されていないことを検証した後にのみ削除します。

マネージドリストは AWS リソースです。カスタムマネージドリストにタグを付けることができます。Firewall Manager のマネージドリストにタグを付けることはできません。

マネージドリストのバージョニング

カスタムマネージドリストにはバージョンがありません。カスタムリストを編集すると、そのリストを参照するポリシーは、更新されたリストを自動的に使用します。

Firewall Manager のマネージドリストはバージョニングされています。Firewall Manager サービスチームは、セキュリティのベストプラクティスをリストに適用するために、必要に応じて新しいバージョンを公開します。

ポリシーで Firewall Manager マネージドリストを使用する場合、次のようにバージョニング戦略を選択します。

  • 利用可能な最新バージョン – リスト用に明示的なバージョン設定を指定しない場合、ポリシーは自動的に最新バージョンを使用します。コンソールで使用できる唯一のオプションです。

  • 明示的なバージョン - リストのバージョンを指定すると、ポリシーでそのバージョンが使用されます。ポリシーは、バージョン設定を変更するまで、指定したバージョンにロックされたままとなります。バージョンを指定するには、CLI またはいずれかの SDK など、コンソールの外部でポリシーを定義する必要があります。

リストのバージョン設定の選択の詳細については、「コンテンツ監査セキュリティグループポリシーでのマネージドリストの使用」を参照してください。

コンテンツ監査セキュリティグループポリシーでのマネージドリストの使用

コンテンツ監査セキュリティグループポリシーを作成するときに、マネージド監査ポリシールールを使用するように選択できます。このオプションの一部の設定では、マネージドアプリケーションリストまたはプロトコルリストが必要です。これらの設定の例には、セキュリティグループルールで許可されるプロトコルや、アプリケーションがインターネットにアクセスできるプロトコルが含まれます。

マネージドリストを使用する各ポリシー設定には、次の制限が適用されます。

  • Firewall Manager のマネージドリストは、任意の設定について最大 1 個指定できます。デフォルトでは、最大 1 個のカスタムリストを指定できます。カスタムリストの上限はソフトクォータなので、その制限の引き上げをリクエストできます。詳細については、「AWS Firewall Manager クォータ」を参照してください。

  • コンソールで、Firewall Manager のマネージドリストを選択すると、バージョンを指定できません。ポリシーは、常に最新バージョンのリストを使用します。バージョンを指定するには、CLI またはいずれかの SDK など、コンソールの外部でポリシーを定義する必要があります。Firewall Manager マネージドリストのバージョニングについては、「マネージドリストのバージョニング」を参照してください。

コンソールを通じたコンテンツ監査セキュリティグループポリシーの作成については、「コンテンツ監査セキュリティグループポリシーの作成」を参照してください。