翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
マネージドリスト
マネージドアプリケーションおよびプロトコルリストにより、 AWS Firewall Manager コンテンツ監査セキュリティグループポリシーの設定と管理が合理化されます。ポリシーが許可または禁止するプロトコルとアプリケーションを定義するために、マネージドリストを使用します。コンテンツ監査セキュリティグループポリシーの詳細については、「コンテンツ監査セキュリティグループポリシー」を参照してください。
コンテンツ監査セキュリティグループポリシーでは、次のタイプのマネージドリストを使用できます。
-
Firewall Manager のアプリケーションリストとプロトコルリスト - Firewall Manager は、これらのリストを管理します。
-
アプリケーションリストには、一般ユーザーに対して許可または拒否される必要がある一般的に使用されるアプリケーションを記述する
FMS-Default-Public-Access-Apps-Allowed
とFMS-Default-Public-Access-Apps-Denied
が含まれます。 -
プロトコルリストには、一般ユーザーに対して許可される必要がある一般的に使用されるプロトコルリストである
FMS-Default-Protocols-Allowed
が含まれます。Firewall Manager が管理するリストはすべて使用できますが、編集や削除はできません。
-
-
カスタムアプリケーションリストとプロトコルリスト - これらのリストを管理できます。必要な設定を使用して、どちらのタイプのリストも作成できます。独自のカスタムマネージドリストを完全に制御でき、必要に応じて作成、編集、削除できます。
注記
現在、Firewall Manager は、カスタムマネージドリストが削除されると、そのカスタムマネージドリストへの参照をチェックしません。つまり、アクティブなポリシーによって使用されている場合でも、カスタムマネージドアプリケーションリストまたはプロトコルリストを削除できます。これにより、ポリシーが機能しなくなる可能性があります。アプリケーションリストまたはプロトコルリストは、アクティブなポリシーによって参照されていないことを検証した後にのみ削除します。
AWS 管理対象リストはリソースです。カスタムマネージドリストにタグを付けることができます。Firewall Manager のマネージドリストにタグを付けることはできません。
マネージドリストのバージョニング
カスタムマネージドリストにはバージョンがありません。カスタムリストを編集すると、そのリストを参照するポリシーは、更新されたリストを自動的に使用します。
Firewall Manager のマネージドリストはバージョニングされています。Firewall Manager サービスチームは、セキュリティのベストプラクティスをリストに適用するために、必要に応じて新しいバージョンを公開します。
ポリシーで Firewall Manager マネージドリストを使用する場合、次のようにバージョニング戦略を選択します。
-
利用可能な最新バージョン – リスト用に明示的なバージョン設定を指定しない場合、ポリシーは自動的に最新バージョンを使用します。コンソールで使用できる唯一のオプションです。
-
明示的なバージョン - リストのバージョンを指定すると、ポリシーでそのバージョンが使用されます。ポリシーは、バージョン設定を変更するまで、指定したバージョンにロックされたままとなります。バージョンを指定するには、CLI またはいずれかの SDK など、コンソールの外部でポリシーを定義する必要があります。
リストのバージョン設定の選択の詳細については、「コンテンツ監査セキュリティグループポリシーでのマネージドリストの使用」を参照してください。
コンテンツ監査セキュリティグループポリシーでのマネージドリストの使用
コンテンツ監査セキュリティグループポリシーを作成するときに、マネージド監査ポリシールールを使用するように選択できます。このオプションの一部の設定では、マネージドアプリケーションリストまたはプロトコルリストが必要です。これらの設定の例には、セキュリティグループルールで許可されるプロトコルや、アプリケーションがインターネットにアクセスできるプロトコルが含まれます。
マネージドリストを使用する各ポリシー設定には、次の制限が適用されます。
-
Firewall Manager のマネージドリストは、任意の設定について最大 1 個指定できます。デフォルトでは、最大 1 個のカスタムリストを指定できます。カスタムリストの上限はソフトクォータなので、その制限の引き上げをリクエストできます。詳細については、「AWS Firewall Manager クォータ」を参照してください。
-
コンソールで、Firewall Manager のマネージドリストを選択すると、バージョンを指定できません。ポリシーは、常に最新バージョンのリストを使用します。バージョンを指定するには、CLI またはいずれかの SDK など、コンソールの外部でポリシーを定義する必要があります。Firewall Manager マネージドリストのバージョニングについては、「マネージドリストのバージョニング」を参照してください。
コンソールを通じたコンテンツ監査セキュリティグループポリシーの作成については、「コンテンツ監査セキュリティグループポリシーの作成」を参照してください。
カスタムマネージドアプリケーションリストの作成
カスタムマネージドアプリケーションリストを作成するには
-
Firewall Manager AWS Management Console 管理者アカウントを使用してにサインインし、でFirewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2
。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。 注記
Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。
-
ナビゲーションペインで、[Application lists] (アプリケーションリスト) を選択します。
-
[Application lists] (アプリケーションリスト) ページで、[Create application list] (アプリケーションリストを作成) を選択します。
-
[Create application list] (アプリケーションリストを作成) ページで、リストに名前を付けます。プレフィックス
fms-
は Firewall Manager 用に予約されているため、使用しないでください。 -
プロトコルとポート番号を指定するか、[Type] (タイプ) ドロップダウンからアプリケーションを選択して、アプリケーションを指定します。アプリケーションの仕様に名前を付けます。
-
必要に応じて [Add another] (別のものを追加) を選択し、リストが完成するまでアプリケーションに関する情報を入力します。
-
(オプション) リストにタグを適用します。
-
[Save] (保存) を選択してリストを保存し、[Application lists] (アプリケーションリスト) ページに戻ります。
カスタムマネージドプロトコルリストの作成
カスタムマネージドプロトコルリストを作成するには
-
Firewall Manager AWS Management Console 管理者アカウントを使用してにサインインし、でFirewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2
。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。 注記
Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。
-
ナビゲーションペインで、[Protocol lists] (プロトコルリスト) を選択します。
-
[Protocol lists] (プロトコルリスト) ページで、[Create protocol list] (プロトコルリストを作成) を選択します。
-
プロトコルリスト作成ページで、リストに名前を付けます。プレフィックス
fms-
は Firewall Manager 用に予約されているため、使用しないでください。 -
プロトコルを指定します。
-
必要に応じて [Add another] (別のものを追加) を選択し、リストが完成するまでプロトコルに関する情報を入力します。
-
(オプション) リストにタグを適用します。
-
[Save] (保存) を選択してリストを保存し、[Protocol lists] (プロトコルリスト) ページに戻ります。
マネージドリストの表示
アプリケーションリストまたはプロトコルリストを表示するには
-
Firewall Manager AWS Management Console 管理者アカウントを使用してにサインインし、でFirewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2
。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。 注記
Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。
-
ナビゲーションペインで、[Application lists] (アプリケーションリスト) または [Protocol lists] (プロトコルリスト) を選択します。
ページには、使用可能な、選択したタイプのリストがすべて表示されます。Firewall Manager ManagedListが管理するリストの列には Y が付いています。
-
リストの詳細を表示するには、その名前を選択します。詳細ページには、リストのコンテンツとタグが表示されます。
Firewall Manager のマネージドリストの場合、[Version] (バージョン) ドロップダウンを選択して、使用可能なバージョンを確認することもできます。
カスタムマネージドリストの削除
カスタムマネージドリストを削除できます。Firewall Manager が管理するリストを編集または削除することはできません。
注記
現在、Firewall Manager は、カスタムマネージドリストを削除すると、そのカスタムマネージドリストへの参照をチェックしません。つまり、アクティブなポリシーによって使用されている場合でも、カスタムマネージドアプリケーションリストまたはプロトコルリストを削除できます。これにより、ポリシーが機能しなくなる可能性があります。アプリケーションリストまたはプロトコルリストは、アクティブなポリシーによって参照されていないことを確認した後にのみ削除してください。
カスタムマネージドアプリケーションまたはプロトコルリストを削除するには
-
Firewall Manager AWS Management Console 管理者アカウントを使用してにサインインし、でFirewall Manager コンソールを開きますhttps://console.aws.amazon.com/wafv2/fmsv2
。Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。 注記
Firewall Manager 管理者アカウントの設定については、「AWS Firewall Manager 前提条件」を参照してください。
-
次の操作を実行して、削除するリストがいずれの監査セキュリティグループポリシーでも使用中ではないことを確認します。
ナビゲーションペインで、[Security policies] (セキュリティポリシー) を選択します。
-
[AWS Firewall Manager policies] (ポリシー) ページで、監査セキュリティグループを選択して編集し、削除するカスタムリストへの参照をすべて削除します。
監査セキュリティグループポリシーで使用されているカスタムマネージドリストを削除すると、そのリストを使用しているポリシーが機能しなくなる可能性があります。
-
ナビゲーションペインで、削除するリストのタイプに応じて、[Application lists] (アプリケーションリスト) または [Protocol lists] (プロトコルリスト) を選択します。
リストページで、削除するカスタムリストを選択し、[Delete] (削除) を選択します。